CN110677380A - 网络威胁指示符提取和响应 - Google Patents
网络威胁指示符提取和响应 Download PDFInfo
- Publication number
- CN110677380A CN110677380A CN201910595095.9A CN201910595095A CN110677380A CN 110677380 A CN110677380 A CN 110677380A CN 201910595095 A CN201910595095 A CN 201910595095A CN 110677380 A CN110677380 A CN 110677380A
- Authority
- CN
- China
- Prior art keywords
- indicator
- action
- score
- threat
- date
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
- H04L43/045—Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/062—Generation of reports related to network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及网络威胁指示符提取和响应,并公开一种设备,其包括通信接口和处理器。通信接口被配置为接收网络威胁报告。处理器被配置为从网络威胁报告中提取指示符。该指示符被报告为与网络威胁相关联。处理器还被配置为基于指示符确定指示该指示符与恶意活动相关联的可能性的置信度分数。处理器还被配置为基于指示符确定指示恶意活动的潜在严重性的影响分数。处理器还被配置为基于指示符、置信度分数和影响分数来识别要执行的动作。该动作包括阻止对应于指示符的网络流量或监控对应于指示符的网络流量。处理器还配置为启动动作的执行。
Description
技术领域
本公开总体涉及网络威胁指示符响应。
背景技术
组织中的网络安全事件通常类似于其他组织中已经发生的网络安全事件。有关其他组织的网络安全事件的信息可以用于检测和防止恶意网络活动。可以从具有不同程度可信度的各种源收集此类信息。例如,可以从发布网络威胁的指示符的可信网络安全源接收一些信息。可以从公共网络安全论坛上的匿名用户帖子收集其他信息。要分析的信息量可能会导致延迟检测和阻止恶意网络活动的积压。
发明内容
在特定实施方式中,设备包括通信接口和处理器。通信接口被配置为接收网络威胁报告。处理器被配置为从网络威胁报告中提取指示符。该指示符被报告为与网络威胁相关联。处理器还被配置为基于指示符确定指示该指示符与恶意活动相关联的可能性的置信度分数。处理器还被配置为基于指示符确定指示恶意活动的潜在严重性的影响分数。处理器还被配置为基于指示符、置信度分数和影响分数来识别要执行的动作。该动作包括阻止对应于指示符的网络流量或监控对应于指示符的网络流量。处理器还配置为启动动作的执行。
在另一特定实施方式中,一种方法包括在设备处接收网络威胁报告。该方法还包括在设备处从网络威胁报告中提取指示符。该指示符被报告为与网络威胁相关联。该方法还包括基于指示符确定指示指示符与恶意活动相关联的可能性的置信度分数。该方法还包括基于指示符确定指示恶意活动的潜在严重性的影响分数。该方法还包括基于指示符、置信度分数和影响分数识别要执行的动作。该动作包括阻止对应于指示符的网络流量或监控对应于指示符的网络流量。该方法还包括启动动作的执行。
在另一特定实施方式中,一种存储指令的计算机可读存储设备,所述指令在由处理器执行时致使处理器执行包括接收网络威胁报告的操作。该操作还包括从网络威胁报告中提取指示符。该指示符被报告为与网络威胁相关联。该操作还包括基于指示符确定指示指示符与恶意活动相关联的可能性的置信度分数。该操作还包括基于指示符确定指示恶意活动的潜在严重性的影响分数。该操作还包括基于指示符、置信度分数和影响分数识别要执行的动作。该动作包括阻止对应于指示符的网络流量或监控对应于指示符的网络流量。该操作还包括启动动作的执行。
本文描述的特征、功能和优点可以在各种实施方式中独立地实现,或者可以在其他实施方式中组合,其进一步的细节可以参考以下描述和附图发现。
附图说明
图1是示出可操作以执行网络威胁指示符提取和响应的系统的框图;
图2是示出与图1的指示符相关联的属性的示例的图示;
图3是示出置信度分数的示例计算的图示;
图4是示出影响分数的示例计算的图示;
图5是示出属性和相应动作的示例的图示;
图6是示出网络威胁指示符提取和响应的方法的示例的流程图;以及
图7是描绘包括计算设备的计算环境的框图,该计算设备被配置为支持根据本公开的计算机实现的方法和计算机可执行程序指令(或代码)的各方面。
具体实施方式
本文描述的实施方式涉及网络威胁指示符提取和响应。例如,威胁报告分析器从第一源接收网络威胁报告。网络威胁报告包括被报告为与网络威胁相关联的一个或多个指示符。作为示例,指示符可以包括被报告为与网络威胁相关联的互联网协议(IP)地址。威胁报告分析器确定与指示符相关联的属性。例如,威胁报告分析器从网络威胁报告中提取至少一个属性。为了说明,网络威胁报告可以包括归属(attribution)标识符,其指示网络威胁的报告行为人。作为另一示例,威胁报告分析器基于来自第二源(例如,可信源)的数据确定至少一个属性。例如,威胁报告分析器向与第二源相关联的设备发送请求。该请求包括指示符。威胁报告分析器从设备接收与指示符相关联的数据。例如,数据指示第二源是否也报告指示符与网络威胁相关联。
威胁报告分析器基于与指示符相关联的属性确定置信度分数和影响分数。置信度分数指示指示符与恶意活动相关联的可能性。例如,如果第二源也报告指示符与网络威胁相关联,则置信度分数较高。影响分数指示恶意活动的潜在严重性。例如,如果归属标识符将指示符归属为已知会发生有害和/或广泛的网络威胁的一方,则影响分数较高。
威胁报告分析器基于置信度分数和影响分数确定指示符在响应队列中的位置,并在响应队列中的位置处添加指示符。响应队列指示对于要采取的相应动作(如果有的话)要处理指示符的顺序。指示符在响应队列中的位置表示指示符的优先级。较早处理具有较高优先级的指示符。在一些示例中,响应队列具有特定容量。当响应队列填满容量时,威胁报告分析器可以在将较高优先级的指示符添加到响应队列之前从响应队列中移除较低优先级的指示符。
响应于确定指示符是在响应队列中要处理的下一个指示符,威胁报告分析器从响应队列中检索指示符。威胁报告分析器基于置信度分数和影响分数识别要执行的动作。例如,该动作包括监控对应于指示符的网络流量或阻止对应于指示符的网络流量。在特定示例中,响应于从响应队列检索指示符,威胁报告分析器识别要执行的动作。在另一个示例中,威胁报告分析器独立于将指示符添加到响应队列而识别要执行的动作。威胁报告分析器启动动作的执行。在特定示例中,独立于接收指示要执行的动作的用户输入来执行动作。
具有与恶意活动相关联的较高可能性的指示符和/或指示恶意活动的较高潜在严重性的指示符被较早处理。通过使威胁报告分析器能够防止或减少相应恶意活动的影响,更快地搜索(或访问)较高优先级的指示符改善计算机功能。与指示符优先级的主观确定相比,基于置信度分数和影响分数对指示符优先排序提高了优先级计算的准确性。威胁报告分析器能够过滤互联网流量,其可以基于与针对指示符的特定属性计算置信度分数和影响分数相关联的规则来定制。自动执行动作(例如,不接收指示要执行动作的用户输入)减少(例如,消除)响应恶意活动的平均时间。
图1是系统100的框图,系统100可操作以执行网络威胁指示符提取和响应。系统100包括经由网络102耦合到一个或多个设备的第一设备140。例如,第一设备140经由网络102耦合到第二设备124、第三设备126、第四设备128、一个或多个附加设备或其组合。第一设备140对应于例如计算机、服务器、分布式系统或其组合。网络102包括有线网络、无线网络或两者。第二设备124、第三设备126或第四设备128中的一个或多个包括例如网络服务器、数据库、计算机、服务器、分布式系统、移动设备、通信设备、台式计算机、笔记本电脑、平板电脑或其组合。第一设备140经由通信接口146耦合到网络102。
应当注意,在以下描述中,由图1的系统100执行的各种功能被描述为由某些组件或模块执行。然而,组件和模块的这种划分仅用于说明。在替代方面,本文描述为由特定组件或模块执行的功能可以在多个组件或模块之间划分。此外,在另一方面,图1的两个或更多个组件或模块可以集成到单个组件或模块中。可以使用硬件(例如,现场可编程门阵列(FPGA)设备、专用集成电路(ASIC)、数字信号处理器(DSP)、控制器等)、软件(例如,可由处理器执行的指令)或其任何组合来实现图1中所示的每个组件或模块。
第一设备140经由输出接口148耦合到显示设备122。第一设备140包括存储器142。第一设备140包括输入接口144。输入接口144耦合到一个或多个输入设备,例如触摸屏、鼠标、键盘、麦克风、相机或其组合。第一设备140包括威胁报告分析器150(例如,处理器)。威胁报告分析器150用于分析网络威胁报告101。
在操作期间,第一设备140经由通信接口146从第二设备124接收网络威胁报告101。在特定方面,第二设备124与第一源(例如特定网站,特定组织、第三方或其组合)相关联。作为示例,网络威胁报告101可以包括讨论网络安全问题的网络论坛上的用户帖子。作为另一个示例,网络威胁报告101可以包括由网络安全组织发布的网络威胁的报告。威胁报告分析器150可以同时从许多不同的源接收报告。在特定实施方式中,威胁报告分析器150使用网络抓取技术从各种源生成网络威胁报告。例如,威胁报告分析器150通过从第二设备124托管的网页提取数据来生成网络威胁报告101。在特定实施方式中,威胁报告分析器150订阅以从各种源接收网络威胁报告。例如,威胁报告分析器150订阅由第一源提供的服务,并从第二设备124接收网络威胁报告101作为订阅的一部分。在特定方面,第一源包括监控网络威胁并发布网络威胁报告(例如,网络威胁报告101)的第三方(例如,商业实体、安全专家或两者)。网络威胁是由一个或多个作恶者造成的。第一设备140从第二设备124接收由第一源生成的网络威胁报告(例如,网络威胁报告101)。
威胁报告分析器150从网络威胁报告101中提取一个或多个指示符。例如,威胁报告分析器150从网络威胁报告101中提取指示符103。在特定方面,网络威胁报告101包括文本(例如,自然或非结构化语言)。在这方面,威胁报告分析器150通过执行关键字搜索、自然语言处理等从网络威胁报告101中提取指示符103。例如,威胁报告分析器150通过执行关键字搜索(或自然语言处理)检测网络威胁报告101中的特定关键字(或短语),并基于检测到特定关键字(或短语)从网络威胁报告101中提取指示符103。在特定方面,网络威胁报告101被格式化或结构化(例如,包括键值对)。在这方面,威胁报告分析器150通过基于相应的格式或结构解析网络威胁报告101,从网络威胁报告101中提取指示符103。例如,威胁报告分析器150从网络威胁报告101提取特定元素(例如,特定键值对的值)作为指示符103。网络威胁报告101指示指示符103被报告为与网络威胁相关联。例如,组织报告指示符103与网络威胁相关联。作为另一示例,用户在网络安全论坛中张贴指示符103。在特定实施方式中,指示符103对应于折衷的指示符(indicator of compromise,IOC)。IOC包括指示网络威胁(例如,计算机入侵)的人工产物(即,可观察的特征)。指示符103包括但不限于互联网协议(IP)地址、病毒签名、电子邮件地址、电子邮件主题、域名、统一资源标识符(URI)、统一资源定位符(URL)、文件名、消息摘要算法5(MD5)散列、文件路径或其组合。
威胁报告分析器150确定与指示符103相关联的一个或多个属性105。属性105包括例如指示符类型、威胁类型、攻击类型、注册日期、最先看到的日期、最后看到的日期、最先报告的日期、最后报告的日期、报告源、特定关键字、杀伤链阶段(kill chain phase)、归属标识符、归属置信度、报告量、误报率、其他属性或其组合,如参考图2进一步描述的。
在特定方面,威胁报告分析器150从网络威胁报告101中提取至少一些属性105。例如,威胁报告分析器150从网络威胁报告101中提取指示符类型、威胁类型、攻击类型、注册日期、最先看到的日期、最后看到的日期、最先报告的日期、最后报告的日期、报告源、特定关键字、杀伤链阶段、归属标识符、归属置信度或其组合。
在特定方面,威胁报告分析器150接收与指示符103相关联的附加数据。例如,威胁报告分析器150将第一请求161发送到第三设备126。在特定方面,第三设备126与第二源(例如,第一可信源)相关联。第一请求161包括指示符103。第三设备126响应于第一请求161将第一数据165发送到第一设备140。第一数据165与指示符103相关联。例如,第一数据165指示第二源是否具有与指示符103相关联的网络威胁的报告。
在特定方面,威胁报告分析器150从多个附加源接收与指示符103相关联的附加数据。例如,威胁报告分析器150将第二请求163发送到第四设备128。在特定方面,第四设备128与第三源(例如,第二可信源)相关联。第四设备128响应于接收到包括指示符103的第二请求163,将第二数据167发送到第一设备140。第二数据167与指示符103相关联。例如,第一数据165指示第三源是否具有与指示符103相关联的网络威胁的报告。
在特定方面,威胁报告分析器150具有对与指示符103相关联的附加数据的访问权。例如,历史数据121存储在存储器142中。在特定方面,历史数据121对应于日志,例如系统日志、网络日志或两者。为了说明,历史数据121指示对由指示符103指示的域名的访问次数。作为另一示例,查找数据129(例如,表)存储在存储器142中。查找数据129包括例如配置设置、默认值、用户输入或其组合。为了说明,查找数据129指示特定关键字与用于计算置信度分数107、影响分数109或两者的特定分数相关联,如参考图2-图4进一步描述的。
在特定方面,威胁报告分析器150基于第一数据165、第二数据167、历史数据121或其组合来确定属性105中的至少一些。例如,威胁报告分析器150确定报告量、误报率或两者,如参考图2进一步描述的。
威胁报告分析器150基于属性105确定置信度分数107,如参考图3进一步描述的。置信度分数107指示指示符103与恶意活动相关联的可能性。例如,与匿名源(例如,公共论坛上的匿名用户)相比,如果指示符103被更可信的源(例如,发布网络威胁指示符的组织)报告为与网络威胁相关联,则置信度分数107指示指示符103与恶意活动相关联的较高可能性。为了说明,匿名源可能不正确地(或恶意地)将指示符103报告为与网络威胁相关联。如果更可信的源将指示符103报告为与网络威胁相关联,则指示符103与潜在恶意活动相关联的可能性较高。
威胁报告分析器150基于属性105确定影响分数109,如参考图4进一步描述的。影响分数109指示与指示符103相关联的恶意活动的潜在严重性。例如,如果与指示符103相关联的恶意活动的影响可能更具破坏性、更广泛,或两者,则恶意活动具有较高的潜在严重性。杀伤链(例如赛博杀伤链(cyber kill 
)(马里兰州的洛克希德马丁公司(Lockheed Martin Corp.,Maryland)的注册商标))的特定杀伤链阶段与指示符103相关联。特定杀伤链阶段指示与指示符103相关联的恶意活动的可能影响。例如,相比于针对与第二杀伤链阶段(例如,命令和控制)相关联的指示符103的恶意活动相比,针对与第一杀伤链阶段(例如,侦察)相关联的指示符103的恶意活动可能具有较小的破坏性和/或较不广泛的影响。与第一杀伤链阶段(例如,侦察)相比,影响分数109指示第二杀伤链阶段(例如,命令和控制)的更高严重性。
威胁报告分析器150基于置信度分数107、影响分数109或两者来确定指示符103的总分数111。在特定示例中,总分数111对应于置信度分数107和影响分数109的加权和。总分数111指示指示符103的第一优先级。
威胁报告分析器150被配置为按照其总分数的顺序将指示符添加到响应队列113。例如,威胁报告分析器150基于总分数111确定响应队列113中的位置117。威胁报告分析器150在响应队列113中的位置117处添加指示符103。在特定方面,响应队列113中的位置117是空的,威胁报告分析器150在位置117处添加指示符103。在替代方面,响应队列113中的位置117被具有比指示符103的总分数低的总分数的另一个指示符占据。威胁报告分析器150在位置117处和之后更新指示符的位置(例如,增加1),并将指示符103添加到位置117处。在特定示例中,响应队列113具有特定容量。威胁报告分析器150响应于确定响应队列113被填充到容量,在将指示符103在位置117处添加到响应队列113之前从响应队列113的(例如,最后位置)移除第二指示符。与将所有指示符存储在存储器142中相比,移除较低优先级指示符使得响应队列113具有较低的存储器占用空间。
威胁报告分析器150生成图形用户界面(GUI)123。GUI 123指示下列项中的一个或多个:网络威胁报告101的一部分、指示符103、属性105中的一个或多个、置信度分数107、影响分数109、总分数111、位置117,或响应队列113。在特定实施方式中,响应于将指示符103添加到响应队列113,威胁报告分析器150生成GUI 123。在另一实施方式中,响应于从第一用户132(例如,网络管理员)接收请求关于响应队列113的更新的信息的用户输入125,威胁报告分析器150生成GUI 123。在特定方面,第一用户132提供用户输入125,其指示对与指示符103相关联的数据的更新,并且威胁报告分析器150更新数据。例如,用户输入125指示更新的位置、更新的属性,更新的置信度分数107、更新的影响分数109或更新的总分数111中的至少一个。威胁报告分析器150响应于接收用户输入125而更新位置117、属性105、置信度分数107、影响分数109和总分数111,以指示更新的位置、更新的属性、更新的置信度分数107、更新的影响分数109和更新的总分数111。在特定方面,威胁报告分析器150响应于接收到指示要从响应队列113移除指示符103的用户输入125,而从响应队列113中移除指示符103。
威胁报告分析器150被配置为处理响应队列113。例如,威胁报告分析器150响应于确定下一指针指示位置117,而确定指示符103是要处理的下一个指示符。威胁报告分析器150响应于确定指示符103是要处理的下一个指示符,而从响应队列113中检索指示符103并更新下一指针以指示响应队列113中的位置117之后的位置。
威胁报告分析器150基于指示符103识别要执行的动作115。例如,威胁报告分析器150基于指示符103、置信度分数107、影响分数109或其组合来识别动作115,如参考图5进一步描述的。动作115可以包括,例如,阻止与指示符103相关联的网络流量、监控与指示符103相关联的网络流量,或两者。例如,动作115可以包括阻止来自指示符103指示的域的第一子域的网络流量、监控来自该域的第二子域的网络流量,或两者。作为另一示例,动作115可以包括阻止来自指示符103指示的IP地址的第一类型的流量、监控来自该IP地址的第二类型的流量,或两者。
在特定方面,威胁报告分析器150响应于识别动作115而启动动作115的执行。在特定实施方式中,威胁报告分析器150响应于识别动作115而执行动作115。在替代实施方式中,启动动作115的执行包括安排动作115的执行。例如,威胁报告分析器150通过将动作115添加到动作队列119来安排动作115的执行。威胁报告分析器150生成(或更新)GUI 123。GUI123指示下列项中的一个或多个:网络威胁报告101的一部分、指示符103、属性105中的一个或多个、置信度分数107、影响分数109、总分数111、动作115,或动作队列119。在特定实施方式中,威胁报告分析器150响应于将动作115添加到动作队列而生成(或更新)GUI 123。在另一实施方式中,威胁报告分析器150响应于从第一用户132接收请求关于添加到动作队列119的动作的信息的用户输入125来生成(或更新)GUI 123。
在特定实施方式中,威胁报告分析器150被配置为响应于接收到执行相应动作的明确用户请求而执行动作队列119中的动作。例如,响应于接收到指示要执行动作115的用户输入125,启动动作115的执行。为了说明,威胁报告分析器150响应于接收到指示将要执行动作115的用户输入125来执行动作115。在特定示例中,第一用户132检查添加到动作队列119的动作115并提供指示动作115的批准的用户输入125。可替代地,威胁报告分析器150响应于确定尚未接收到用户输入125(其指示要执行动作115)或用户输入125指示不执行动作115,而制止执行动作115。威胁报告分析器150响应于接收到指示不执行动作115的用户输入125,而从动作队列119中移除动作115。
在特定实施方式中,威胁报告分析器150被配置为执行动作队列119中的动作,除非及时接收到明确用户取消。例如,威胁报告分析器150响应于确定尚未接收到指示不执行动作115的用户输入125而执行动作115。为了说明,威胁报告分析器150执行动作115,除非第一用户132提供指示动作115的执行被取消的用户输入125。如果威胁报告分析器150接收到指示不执行动作115的用户输入125,则威胁报告分析器150通过从动作队列119中移除动作115来取消动作115的执行。
在特定实施方式中,存储器142包括响应于明确用户请求而要执行的动作的第一动作队列(例如,动作队列119)和除非接收到明确用户取消否则就要执行的动作的第二动作队列(例如,动作队列119)。威胁报告分析器150基于置信度分数107、影响分数109、总分数111、动作115的类型或其组合来确定动作115是否要被添加到第一动作队列(例如,动作队列119)或第二动作队列(例如,动作队列119)。在特定方面,威胁报告分析器150基于置信度分数107、影响分数109、总分数111或其组合来确定动作分数127。威胁报告分析器150响应于确定动作分数127大于第一阈值或者动作115是第一类型(例如,监控与指示符103相关联的网络流量)而将动作115添加到第二动作队列(例如,动作队列119)可替代地,威胁报告分析器150响应于确定动作分数127小于或等于第一阈值并且动作115是第二类型(例如,阻止与指示符103相关联的网络流量)而将动作115添加到第一动作队列(例如,动作队列119)。
威胁报告分析器150响应于接收到指示要执行动作115的用户输入125,而执行来自第一动作队列(例如,动作队列119)的动作115。可替代地,威胁报告分析器150响应于确定尚未接收到指示不执行动作115的用户输入125,而执行来自第二动作队列(例如,动作队列119)的动作115。
因此,系统100基于置信度分数107和影响分数109使指示符103能够被优先排序。当动作分数127满足阈值(例如,指示恶意活动的高置信度或高潜在严重性)时,或当行动115为可能导致很少或不导致对正常商业活动的中断的类型(例如,监控流量)时,可以执行动作115无需延迟以用于先前用户批准。因此,与等待用户批准(例如,在半夜)相关的很少或没有延迟的情况下,可以减少(例如,防止)来自恶意活动的有害影响。通过使要执行的动作能够防止或减少相应恶意活动的影响,更快地搜索(或访问)更高优先级的指示符来改善计算机功能。与将所有指示符存储在存储器142中相比,移除较低优先级指示符使得响应队列113具有较低的存储器占用空间。
参考图2,表格被示出并且通常表示为200。表格200的第一列包括属性105的示例。表格200的第二列包括属性值290,作为在第一列中指示的属性105的示例的说明性值。表格200的第三列包括置信度/影响/动作值292的示例,其指示第一列中指示的属性105的示例是否用于确定置信度分数107、影响分数109、置信度分数107和影响分数109,或动作115。应当理解,属性105可以包括比表格200中所示更少、附加或不同的属性。在一些实施方式中,属性105的特定属性可以用于确定与表格200中所示的不同的置信度分数107、影响分数109、置信度分数107和影响分数109,或动作115。
属性105包括最先看到的日期201(例如,3/12/2018 4:33)、最后看到的日期203(例如,5/12/2018 8:23)、报告量205(例如,451)、杀伤链阶段207(例如,命令和控制(C2))、攻击类型209(例如,恶意软件)、威胁类型211(例如,恶意IP)、一个或多个描述关键字213(例如,“扫描”)、一个或多个关键字标签215(例如,“exfil”)、归属标识符217(例如,毛绒兔(Fluffy Bunny))、归属置信度219(例如,高)、源计数221(例如,3)、源信誉分数223(例如,高)、附加源数据225(例如,13/52)、最先报告的日期227(例如,1/13/2018 5:11)、最后报告的日期229(例如,5/23/2018 12:42)、一个或多个手动应用的动作231(例如,阻止-代理(Block-Proxy))、指示符类型233(例如,IPv4地址)、指示符创建日期235(例如,8/15/2018)、内部点击量(hits)237(例如,500)、最后内部点击日期239(例如,4/12/2001)、“被针对”(targeted)240(例如,是)、注册日期242(例如,1/16/2017)、误报率244(例如,50%)、附加属性或其组合。
在特定示例中,图1的威胁报告分析器150从网络威胁报告101提取最先看到的日期201(例如,3/12/2018 4:33)、最后看到的日期203(例如,5/12/20188:23)、报告量205(例如,451)、杀伤链阶段207(例如,C2)、攻击类型209(例如,恶意软件)、威胁类型211(例如,恶意IP)、描述关键字213(例如,“扫描”)、关键字标签215(例如,“exfil”)、归属标识符217(例如,毛绒兔(Fluffy Bunny))、归属置信度219(例如,高)、源计数221(例如,3)、源信誉分数223(例如,高)、最先报告的日期227(例如,1/13/2018 5:11)、最后报告的日期229(例如,5/23/2018 12:42)、指示符类型233(例如,IPv4地址)、“被针对”240(例如,是)、注册日期242(例如,1/16/2017),或其组合。在特定示例中,威胁报告分析器150基于网络威胁报告101、历史数据121、第一数据165、第二数据167或其组合,来确定附加源数据225(例如,13/52)、手动应用的动作231(例如,阻止-代理)、指示符创建日期235(例如,8/15/2018)、内部点击量237(例如,500)、最后内部点击日期239(例如,4/12/2001)、误报率244(例如,50%),或其组合,如本文所述。
威胁报告分析器150可以基于最先看到的日期201(例如,3/12/2018 4:33)、最后看到的日期203(例如,5/12/2018 8:23)、报告量205(例如,451)、描述关键字213(例如,“扫描”)、关键字标签215(例如,“exfil”)、归属置信度219(例如,高)、源计数221(例如,3)、源信誉分数223(例如,高)、附加源数据225(例如,13/52)、最先报告的日期227(例如,1/13/2018 5:11)、最后报告的日期229(例如,5/23/2018 12:42)、手动应用的动作231(例如,阻止-代理)、指示符创建日期235(例如,8/15/2018)、注册日期242(例如,1/16/2017)、误报率244(例如,50%)或其组合,来确定置信度分数107,如本文所述。在特定方面,置信度分数107对应于属性105的各种属性的分数的加权和。例如,威胁报告分析器150将第一权重分配给最先看到的日期201,将第二权重分配给最后看到的日期203,基于最先看到的日期201的值(例如,3/12/2018 4:33)将第一分数分配给最先看到的日期201,基于最后看到的日期203(例如,5/12/20188:23)的值将第二分数分配给最后看到的日期203,并基于第一分数和第二分数的加权和确定置信度分数107(例如,置信度分数107=第一权重*第一分数+第二权重*第二分数)。
威胁报告分析器150可以基于报告量205(例如,451)、杀伤链阶段207(例如,C2)、攻击类型209(例如,恶意软件)、威胁类型211(例如,恶意IP)、描述关键字213(例如,“扫描”)、关键字标签215(例如,“exfil”)、归属标识符217(例如,毛绒兔(Fluffy Bunny))、附加源数据225(例如,13/52)、指示符类型233(例如,IPv4地址)、“被针对”240(例如,是),或其组合,来确定影响分数109,如本文所述。在特定方面,影响分数109对应于属性105的各种属性的分数的加权和。
最先看到的日期201(例如,3/12/2018 4:33)指示报告指示最先看到(或检测到)指示符103的日期(例如,时间戳)。例如,网络威胁报告101基于多个报告,并且在多个报告中具有最早看到的日期的第一报告(例如,公共论坛上的用户帖子)指示在最先看到的日期201(例如,3/12/2018 4:33)检测到指示符103。在特定示例中,对于最先看到的日期201早于阈值最先看到的日期,置信度分数107较低。例如,如果两年前最先看到指示符103,则指示符103不太可能与潜在恶意活动相关联。
最后看到的日期203(例如,5/12/2018 8:23)指示报告指示最后看到(或检测到)指示符103的日期(例如,时间戳)。例如,在多个报告中具有最近看到的日期的第二报告(例如,网络安全出版物)指示在最后看到的日期203(例如,5/12/2018 8:23)检测到指示符103。在特定示例中,对于最后看到的日期203早于阈值最后看到的日期,置信度分数107较低。例如,如果一年前最后看到指示符103,则指示符103不太可能与潜在恶意活动相关联。
注册日期242(例如,1/16/2017)指示报告指示指示符103通过注册机构注册的日期(例如,时间戳)。例如,网络威胁报告101基于指示指示符103(例如,域名)在注册日期242(例如,1/16/2017)通过注册机构(例如,域名注册商)注册的报告。在特定示例中,对于注册日期242早于阈值注册日期,置信度分数107较低。例如,如果两年前注册了指示符103,则指示符103不太可能与潜在恶意活动相关联。
最先报告的日期227(例如,1/13/2018 5:11)指示与指示符103相关联的最早报告的日期(例如,时间戳)。例如,在与指示符103相关联的多个报告中,第一报告(例如,公共论坛上的用户帖子)具有最早日期(例如,公共论坛上的用户帖子的日期)。在特定示例中,对于最先报告的日期227早于阈值最先报告的日期,置信度分数107较低。例如,如果两年前最先报告指示符103,则指示符103不太可能与潜在恶意活动相关联。
最后报告的日期229(例如,5/23/2018 12:42)指示与指示符103相关联的最近报告的日期(例如,时间戳)。例如,在与指示符103相关联的多个报告中,第二报告(例如,网络安全出版物)具有最近报告的日期(例如,出版物的日期)。在特定示例中,对于最后报告的日期229早于阈值最后报告的日期,置信度分数107较低。例如,如果一年前最后报告指示符103,则指示符103不太可能与潜在恶意活动相关联。
在特定方面,报告(例如,公共论坛上的用户帖子)具有发布报告(例如,帖子的日期)的报告日期(例如,最先报告的日期227或最后报告的日期229)。报告(例如,用户帖子)可以指示报告地检测到指示符103(例如,用户在用户帖子中指示该网络流量日志指示在看到的日期检测到指示符103)的看到的日期(例如,最先看到的日期201或最后看到的日期203)。看到的日期小于或等于报告的日期。
报告量205(例如,451)指示指示指示符103与恶意活动相关联的报告的计数。例如,网络威胁报告101基于来自多个源的多个报告。为了说明,网络威胁报告101指示第一特定源接收指示指示符103与恶意活动相关联的第一数量的报告(例如,51),并且第二特定源接收指示指示符103与恶意活动相关联的第二数量的报告(例如,400)。威胁报告分析器150基于第一数量的报告和第二数量的报告确定报告量205(例如,451)(例如,报告量205=第一数量的报告+第二数量的报告)。在特定方面,威胁报告分析器150基于网络威胁报告101、第一数据165、第二数据167或其组合来导出报告量205(例如,2)。例如,威胁报告分析器150确定对应于来自第一源(例如,第二设备124)的指示指示符103与恶意活动相关联的网络威胁报告101的第一数量(例如,1)。威胁报告分析器150确定对应于第一数据165的第二数量(例如,450),其指示第二源(例如,第三设备126)从各种源接收到指示指示符103与恶意活动相关联的第二数量的报告。威胁报告分析器150基于第一数量和第二数量确定报告量205(例如,451)(例如,报告量205=第一数量+第二数量)。在特定示例中,对于报告量205高于报告量置信度阈值,置信度分数107较高。例如,如果许多报告指示指示符103与恶意活动相关联,则指示符103更可能与潜在恶意活动相关联。在特定示例中,对于报告量205高于报告量影响阈值,影响分数109较高。例如,如果许多报告指示指示符103被检测到与恶意活动相关联,则与指示符103相关联的潜在恶意活动可能具有更严重的影响。
误报率244(例如,33%)基于指示符103被检测(或报告)为与非恶意(或良性)活动相关联的次数以及指示符103被检测(或报告)为与恶意活动相关联的次数。例如,网络威胁报告101指示指示符103被报告地与恶意活动相关联。威胁报告分析器150基于历史数据121、网络威胁报告101或两者,确定指示符103已被报告(或检测)为与非恶意活动相关联的第一次数(例如,1)以及指示符103已被报告(或检测)为与恶意活动相关联的第二次数(例如,2)。威胁报告分析器150基于第一次数和第二次数确定误报率244(例如,33%)(例如,误报率244=第一次数/(第一次数+第二次数))。在特定示例中,对于误报率244高于误报率阈值,置信度分数107较低。例如,如果将指示符103更频繁地报告(或检测)为与非恶意活动相关联,则指示符103不太可能与潜在恶意活动相关联。
描述关键字213(例如,“扫描”)指示在与指示符103相关联的多个报告的描述中检测到的特定关键字。关键字标签215(例如,“exfil”)指示在与多个报告相关联的标签中检测到的特定关键字。在特定实施方式中,对于指示符103,如果查找数据129指示描述关键字213(例如,“扫描”)、关键字标签215(例如,“exfil”)或其组合先前已与恶意活动相关联,则置信度分数107较高。为了说明,如果关键字标签215(例如,“exfil”)指示特定活动(例如,渗出(exfiltration)或提取),则置信度分数107较高。
杀伤链阶段207(例如,C2)指示杀伤链(例如,赛博杀伤链(cyber kill
))中的被报告地与指示符103相关联的阶(stage)。杀伤链包括多个阶,例如侦察(例如,探测弱点)、武器化(例如,构建可交付的有效载荷)、传递(例如,发送有效载荷,例如恶意链接)、利用(例如,在目标的计算机处执行代码)、安装(例如,在目标资产上安装恶意软件)、C2(例如,创建远程控制系统的信道)和动作(例如,远程执行恶意动作)。在特定示例中,对于杀伤链阶段207与杀伤链中的较高阶(或阶段)相关联,影响分数109较高。为了说明,如果指示符103被报告地与杀伤链中的特定阶段(例如,C2)相关联,则与指示符103相关联的潜在恶意活动可能具有更严重的影响。
归属标识符217(例如,毛绒兔(Fluffy Bunny))表示报告地与指示符103相关联的作恶者。在特定示例中,对于归属标识符217指示与具有更严重的影响(例如,更具破坏性、更广泛,或两者)的恶意活动相关联的作恶者,影响分数109较高。为了说明,如果被报告地指示符103与特定归属标识符相关联,该特定归属标识符指示先前已经参与具有更严重的影响的恶意活动的作恶者,则与指示符103相关联的潜在恶意活动可能具有更严重的影响。
攻击类型209(例如,恶意软件)指示被报告地与指示符103相关联的网络攻击的类型。威胁类型211(例如,恶意IP)指示被报告地与指示符103相关联的网络威胁的类型。指示符类型233(例如,IPv4地址)指示指示符103的类型。例如,指示符类型233可以包括IP地址、病毒签名、电子邮件地址、电子邮件主题、域名、URI、URL、文件名、MD5散列、文件路径或其组合。在特定示例中,对于攻击类型209、威胁类型211、指示符类型233或其组合与具有更严重影响(例如,更具破坏性,更广泛,或两者)的恶意活动相关联,影响分数109较高。为了说明,如果报告指示符103被报告地与先前已经导致具有更严重的影响的恶意活动的特定攻击类型、特定威胁类型、特定指示符类型或其组合相关联,则与指示符103相关联的潜在恶意活动可能具有更严重的影响。
在特定实施方式中,历史数据121指示与杀伤链阶段207(例如,C2)、攻击类型209(例如,恶意软件)、威胁类型211(例如,恶意IP)、描述关键字213(例如,“扫描”)、关键字标签215(例如,“exfil”)、指示符类型233或其组合相关联的恶意活动先前已被检测到并且具有相应的影响严重性。在该实施方式中,威胁报告分析器150基于影响严重性确定影响分数109。
归属置信度219(例如,高)指示指示符103与归属标识符217指示的作恶者相关联的报告的可能性。在特定示例中,对于指示符103,如果归属置信度219高,则置信度分数107较高。
源计数221(例如,3)指示已提供与指示符103相关联的至少一个报告的源的计数。例如,第二设备124(或第一源)生成指示指示符103被报告地与恶意活动相关联的网络威胁报告101。作为另一示例,第三设备126(或第二源)和第四设备128(或第三源)分别生成指示指示符103与恶意活动相关联的第一数据165和第二数据167。威胁报告分析器150基于从其接收指示指示符103与恶意活动相关联的至少一个报告的源(例如,第一源、第二源和第三源)的计数来确定源计数221(例如,3)。在特定示例中,对于指示符103,如果源计数221(例如,3)较高,则置信度分数107较高。
源信誉分数223(例如,高或10)指示与源相关联的可信水平。在特定方面,源信誉分数223指示与多个报告的源相关联的可信水平,并且网络威胁报告101指示源信誉分数223。在另一方面,源信誉分数223指示与特定源(例如网络威胁报告101的第一源(例如,第二设备124))相关联的可信水平。在这方面,威胁报告分析器150从存储器142中检索源信誉分数223。例如,历史数据121指示源信誉分数223并且威胁报告分析器150将源信誉分数223更新为由历史数据121指示的值。在另一示例中,源信誉分数223基于查找数据129(例如,配置设置、默认数据、用户输入125或其组合)。例如,查找数据129指示第一源(例如,第二设备124)的源信誉分数223。在特定示例中,对于指示符103,如果源信誉分数223(例如,高)较高,则置信度分数107较高。
“被针对”240(例如,是)指示指示符103是否被报告地与目标网络威胁相关联。例如,指示符103可以与针对特定组织、特定人或两者的网络威胁相关联。在特定示例中,对于指示符103,如果“被针对”240(例如,是)指示指示符103被报告地与目标网络威胁相关联,则影响分数109较高。在特定示例中,对于指示符103,如果“被针对”240指示指示符103与针对大型或敏感目标(例如,医院、学校、机场、电网、政府部门、金融机构或政府官员)的目标网络威胁相关联,则影响分数109(例如,高)较高。在该示例中,对于指示符103,如果“被针对”240指示指示符103被报告地与针对小型或模糊目标的目标网络威胁相关联,则影响分数109(例如,中)较低。
在特定示例中,威胁报告分析器150生成附加源数据225(例如,13/52)。例如,威胁报告分析器150向附加源发送关于指示符103的信息的请求。为了说明,威胁报告分析器150将第一请求161发送到第三设备126(例如,第二源),将第二请求163发送到第四设备128(例如,第三源),或两者。第一请求161、第二请求163或两者包括指示符103。威胁报告分析器150从附加源接收指示指示符103是否已经被检测为报告地与网络威胁相关联的数据。例如,威胁报告分析器150从第三设备126接收第一数据165,从第四设备128接收第二数据167,或两者。威胁报告分析器150生成(或更新)指示附加源的计数的附加源数据225(例如,13/52),从该附加源接收指示指示符103已被报告为与网络威胁相关联的数据(例如,附加源数据225=从其接收指示指示符103已经被报告为与网络威胁相关联的数据的源的计数/从其请求与指示符103相关联的数据的源的计数)。在特定示例中,对于指示符103,如果附加源数据225(例如,13/52)指示较高计数的源指示指示符103被报告地与网络威胁相关联,则置信度分数107、影响分数109或两者较高。
手动应用的动作231(例如,阻止-代理)指示基于用户请求已经启动(或推荐)的与指示符103相对应的动作(例如,动作115)。例如,威胁报告分析器150接收网络威胁报告101,生成包括指示符103的GUI 123,将GUI 123提供给显示设备122,并接收请求(或推荐)与指示符103相关联的第一动作(例如,阻止-代理)的用户输入125。威胁报告分析器150在接收请求第一动作的用户输入125之后确定至少一些属性105。例如,威胁报告分析器150响应于接收到用户输入125,而确定手动应用的动作231包括第一动作(例如,阻止-代理)。在特定示例中,网络威胁报告101指示第一源(例如,第二设备124或第二设备124的用户)已推荐对应于指示符103的第二动作(例如,动作115)。手动应用的动作231包括第一动作、第二动作或其组合。在特定方面,威胁报告分析器150启动手动应用的动作231(例如,阻止-代理)的执行。威胁报告分析器150在确定手动应用的动作231之后确定(或更新)置信度分数107、影响分数109、总分数111或其组合。在特定示例中,对于指示符103,如果手动应用的动作231包括对应于指示符103的至少一个动作、对应于指示符103的特定动作(例如,阻止-代理),或者两者,则置信度分数107较高。
指示符创建日期235(例如,8/15/2018)指示第一源(例如,第二设备124)检测到指示符103的日期。例如,指示符创建日期235指示第一源(例如,第二设备124)接收(或检测)指示指示符103与恶意活动相关联的报告(例如,公共论坛上的用户帖子)的日期。在另一示例中,指示符创建日期235对应于网络威胁报告101被创作的日期(例如,创建日期或更新日期)。在特定示例中,如果指示符创建日期235更近,则置信度分数107更高。为了说明,威胁报告分析器150在第一时间基于指示符创建日期235确定指示符年龄(例如,指示符年龄=第一时间-指示符创建日期235)并且基于指示符年龄更新置信度分数107。对于较高的指示符年龄,置信度分数107较低。在特定方面,威胁报告分析器150更新(例如,以特定时间间隔)存储在响应队列113中的指示符103的置信度分数107、影响分数109、总分数111、位置117或其组合。因此,指示符103存储在响应队列113中的时间越长,指示符103可以失去优先级,因为较高优先级的指示符(例如,指示符103)被较早地处理并且更多指示符被添加到响应队列113中。
内部点击量237(例如,500)表示在网络流量中检测到指示符103的次数。例如,历史数据121包括跟踪网络102的特定网络部分中的网络流量的网络日志、系统日志或两者。特定网络部分被认为是与第一设备140相关联的组织的内部。最后内部点击日期239(例如,4/12/2001)指示在特定网络部分中检测到指示符103的最近日期。在特定方面,威胁报告分析器150基于至少一些属性105确定动作115,如参考图5进一步描述的。例如,威胁报告分析器150确定各种动作(例如,阻止与指示符103相关联的所有网络流量或阻止与指示符103相关联的一些网络流量)的潜在商业影响。为了说明,如果内部点击量237(例如,500)较高、最后内部点击日期239(例如,4/12/2001)是最近的,或两者,则潜在商业影响较高。
威胁报告分析器150可以响应于确定动作的潜在商业影响大于阈值商业影响而制止选择动作作为动作115。在特定方面,威胁报告分析器150独立于潜在商业影响来选择动作115,并基于潜在商业影响将动作115添加到多个动作队列的特定动作队列。例如,威胁报告分析器150响应于确定潜在商业影响大于影响阈值,而将动作115添加到响应于明确用户请求而执行的动作的第一动作队列(例如,动作队列119)。可替代地,威胁报告分析器150响应于确定潜在商业影响小于或等于影响阈值,而将动作115添加到除非接收到明确用户取消否则就执行的动作的第二动作队列(例如,动作队列119)。
因此,威胁报告分析器150基于网络威胁报告101、第一数据165、第二数据167、历史数据121或其组合来确定属性105。属性105使威胁报告分析器150能够确定指示符103的优先级(例如,总分数111),如参考图1所述。
图3包括置信度分数107的示例计算的图示300。图示300包括表格302。表格302的第一列指示属性105的示例。表格302的第二列包括属性值390,作为第一列中指示的属性105的示例的说明性值。属性105包括归属置信度219、源计数221、指示符类型233、指示符创建日期235和第二源点击量301。第二源点击量301指示如由第二源(例如,可信源)报告的检测到指示符103的次数。例如,图2的附加源数据225包括第二源点击量301。第二源点击量301(例如,无)指示如在第一数据165中报告地指示符103被指示为与网络威胁相关联的次数(例如,0)。
威胁报告分析器150确定属性105的分数392。例如,威胁报告分析器150响应于分别确定归属置信度219具有第一值(例如,高),源计数221具有第二值(例如,3),指示符类型233具有第三值(例如,IPv4地址),指示符创建日期235具有第四值(例如,8/15/2014),并且第二源点击量301具有第五值(例如,无),而确定第一分数(例如,10)、第二分数(例如,10)、第三分数(例如,1)、第四分数(例如,2)和第五分数(例如,0)。在特定方面,威胁报告分析器150基于图1的查找数据129(例如,用户输入、配置设置、默认值或其组合)确定分数392。例如,查找数据129指示具有特定值(例如,“exfil”)的特定属性(例如,关键字标签215)的第一分数。威胁报告分析器150基于特定属性的第一分数确定置信度分数107。例如,威胁报告分析器150响应于确定归属置信度219具有第一值(例如,高)并且查找数据129指示第一分数(例如,10)被分配给具有第一值(例如,高)的归属置信度219,而确定归属置信度219具有第一分数(例如,10)。表格302的第三列包括第一列中指示的属性105的示例的分数392的说明性值。
威胁报告分析器150确定属性105的权重394。例如,威胁报告分析器150分别将第一权重(例如,20%)、第二权重(例如,20%)、第三权重(例如,10%)、第四权重(例如,40%)和第五权重(例如,10%)分配给归属置信度219、源计数221、指示符类型233、指示符创建日期235和第二源点击量301。在特定方面,威胁报告分析器150基于查找数据129指示归属置信度219、源计数221、指示符类型233、指示符创建日期235和第二源点击量301将分别被分配第一权重(例如,20%)、第二权重(例如,20%)、第三权重(例如,10%)、第四权重(例如,40%)和第五权重(例如,10%),而确定权重394。表格302的第四列包括第一列中指示的属性105的示例的权重394的说明性值。因此,可以通过指定(例如,在查找数据129中)属性的特定权重并且通过指定(例如,在查找数据129中)属性的特定值的特定分数来为特定属性定制置信度分数107的计算。
威胁报告分析器150基于分数392和权重394确定属性105的加权分数396。例如,威胁报告分析器150分别将第一加权分数(例如,第一分数*第一权重)、第二分数加权分数(例如,第二分数*第二权重)、第三加权分数(例如,第三分数*第三权重)、第四加权分数(例如,第四分数*第四权重)和第五加权分数(例如,第五分数*第五权重)分配给归属置信度219、源计数221、指示符类型233、指示符创建日期235和第二源点击量301。表格302的第五列包括第一列中指示的属性105的示例的加权分数396的说明性值。
威胁报告分析器150基于加权分数396确定属性105的置信度分数107(例如,4.9/10)。例如,威胁报告分析器150基于分配给归属置信度219、源计数221、指示符类型233、指示符创建日期235和第二源点击量301的加权分数396的总和确定置信度分数107(例如,4.9/10)(例如,置信度分数107=第一加权分数+第二加权分数+第三加权分数+第四加权分数+第五加权分数)。
图示300包括表格304。表格304指示对应于表格302中指示的属性105的示例的置信度分数107的说明性值(例如,4.9/10)。威胁报告分析器150将评级398分配给置信度分数107。置信度分数107的范围380对应于各种评级。在特定方面,查找数据129指示范围380。图示300包括指示范围380的说明性值的表格306。表格306指示第一评级(例如,未知)、第二评级(例如,低)、第三评级(例如,中)和第四评级(例如,高)分别对应于第一范围(例如,0-2.9)、第二范围(例如,3.0-5.9)、第三范围(例如,6.0-7.9)和第四范围(例如,8.0-10)。威胁报告分析器150响应于确定第二范围(例如,3.0-5.9)包括置信度分数107(例如,4.9),而确定置信度分数107对应于第二评级(例如,低)。威胁报告分析器150因此基于至少一些属性105确定置信度分数107。
图4包括影响分数109的示例计算的图示400。图示400包括表格402。表格402的第一列指示属性105的示例。表格402的第二列包括属性值490,作为第一列中指示的属性105的示例的说明性值。属性105包括攻击类型209、威胁类型211和归属标识符217。
威胁报告分析器150基于加权分数496确定影响分数109。首先,威胁报告分析器150确定属性105的分数492。例如,威胁报告分析器150分别响应于确定攻击类型209具有第一值(例如,恶意软件)、威胁类型211具有第二值(例如,恶意IP)并且归属标识符217具有第三值(例如,毛绒兔(Fluffy Bunny)),而确定第一分数(例如,7)、第二分数(例如,7)和第三分数(例如,8)。在特定方面,威胁报告分析器150基于图1的查找数据129确定分数492。例如,查找数据129指示具有特定值(例如,“exfil”)的特定属性(例如,关键字标签215)的第二分数。威胁报告分析器150基于特定属性的第二分数确定影响分数109。确定影响分数109的第二分数可以与确定置信度分数107的第一分数(由查找数据129指示)相同或不同。在特定示例中,威胁报告分析器150响应于确定攻击类型209具有第一值(例如,恶意软件)并且查找数据129指示第一分数(例如,7)被分配给具有第一值(例如,恶意软件)的攻击类型209,而确定攻击类型209具有第一分数(例如,7)。表格402的第三列包括第一列中指示的属性105的示例的分数492的说明性值。
威胁报告分析器150确定属性105的权重494。例如,威胁报告分析器150分别将第一权重(例如,30%)、第二权重(例如,30%)和第三权重(例如,40%)分配给攻击类型209、威胁类型211和归属标识符217。在特定方面,威胁报告分析器150基于查找数据129指示攻击类型209、威胁类型211和归属标识符217将被分配第一权重(例如,30%)、第二重量(例如,30%)和第三重量(例如,40%),而确定权重494。表格402的第四列包括第一列中指示的属性105的示例的权重494的说明性值。因此,可以通过指定(例如,在查找数据129中)属性的特定权重并且通过指定(例如,在查找数据129中)属性的特定值的特定分数来针对特定属性定制影响分数109的计算。
威胁报告分析器150基于分数492和权重494确定属性105的加权分数496。例如,威胁报告分析器150分别将第一加权分数(例如,第一分数*第一权重)、第二加权分数(例如,第二分数*第二权重)和第三加权分数(例如,第三分数*第三权重)分配给攻击类型209、威胁类型211和归属标识符217。表格402的第五列包括第一列中指示的属性105的示例的加权分数496的说明性值。
威胁报告分析器150基于加权分数496确定属性105的影响分数109(例如,7.4/10)。例如,威胁报告分析器150基于分配给攻击类型209、威胁类型211和归属标识符217的加权分数496的总和来确定影响分数109(例如,7.4/10)(例如,影响分数109=第一加权分数+第二加权分数+第三加权分数)。
图示400包括表格404。表格404指示对应于表格402中指示的属性105的示例的影响分数109的说明性值(例如,7.4/10)。威胁报告分析器150将评级498分配给影响分数109。影响分数109的范围480对应于各种评级。在特定方面,查找数据129指示范围480。图示400包括指示范围480的说明性值的表格406。表格406指示第一评级(例如,未知)、第二评级(例如,低)、第三评级(例如,中)和第四评级(例如,高)分别对应于第一范围(例如,0-2.9)、第二范围(例如,3.0-5.9)、第三范围(例如,分别为6.0-7.9)和第四范围(例如,8.0-10)。例如,威胁报告分析器150响应于确定第三范围(例如,6.0-7.9)包括影响分数109(例如,7.4),而确定影响分数109对应于第三评级(例如,中)。威胁报告分析器150因此基于至少一些属性105确定影响分数109。
图5包括属性105的示例510-530和对应于特定属性值540-560的动作115的图示500。在第一示例510中,属性值540指示属性105包括具有第一值(例如,IPv4地址)的指示符类型233、具有第二值(例如,0)的内部点击量237、具有第三值(例如,7.3)的置信度分数107、以及具有第四值(例如,7.1)的影响分数109。
在第一示例510中,威胁报告分析器150确定与指示符103相关联的动作115具有低潜在商业影响,因为内部点击量237的第二值(例如,0)低于内部点击量阈值(例如,10)。威胁报告分析器150基于图3的范围380确定置信度分数107的第三值(例如,7.3)对应于评级398(例如,中评级),并且基于图4的范围480确定影响分数109的和第四值(例如,7.1)对应于评级498(例如,中评级)。
在特定方面,威胁报告分析器150响应于确定满足第一标准而将更具攻击性的动作选择为动作115。在特定实施方式中,威胁报告分析器150响应于确定动作115具有低潜在商业影响,置信度分数107(例如,7.3)满足置信度阈值(例如,大于或等于6.0),影响分数109(例如,7.1)满足影响阈值(例如,大于或等于6.0),或其组合,而确定满足第一标准。在特定实施方式中,图1的查找数据129指示满足用于将更具攻击性的动作选择为动作115的第一标准。威胁报告分析器150响应于确定满足第一标准,而将动作115设置为包括阻止与指示符103相关联的代理流量和电子邮件流量以及监控与指示符103相关联的代理流量、电子邮件流量、反向代理(RP)流量、虚拟专用网络(VPN)流量以及外部网络日志。
在第二示例520中,属性值550指示属性105包括具有第一值(例如,域名)的指示符类型233、具有第二值(例如,100)的内部点击量237、具有第三值(例如,04/2016)的最后内部点击日期239、具有第四值(例如,5.8)的置信度分数107和具有第五值(例如,7.5)的影响分数109。在第二示例520中,威胁报告分析器150确定内部点击量237的第二值(例如,100)指示高商业影响,因为第二值大于内部点击量阈值(例如,10)并且第三值(例如,04/2016)指示商业影响小,因为第三值早于点击阈值日期(例如,超过一年)。威胁报告分析器150基于第二值和第三值确定与指示符103相关联的动作115具有中潜在商业影响。威胁报告分析器150基于图3的范围380确定置信度分数107的第四值(例如,5.8)对应于评级398(例如,低评级),并且基于图4的范围480确定影响分数109的第五值(例如,7.5)对应于评级498(例如,中评级)。
在特定方面,威胁报告分析器150响应于确定满足第二标准而将中攻击性动作选择为动作115。在特定实施方式中,威胁报告分析器150响应于确定动作115具有中潜在商业影响,置信度分数107(例如,5.8)未满足置信度阈值(例如,小于6.0),影响分数109(例如,7.5)满足影响阈值(例如,大于或等于6.0),或其组合,而确定满足第二标准。在另一实施方式中,威胁报告分析器150响应于确定动作115具有中潜在商业影响并且影响分数109(例如,7.5)满足影响阈值(例如,大于或等于6.0),而确定满足第二标准。在特定实施方式中,图1的查找数据129指示满足用于将中攻击性动作选择为动作115的第二标准。威胁报告分析器150响应于确定满足第二标准,而将动作115设置为包括阻止与指示符103相关联的代理流量并监控与指示符103相关联代理流量、电子邮件流量、RP流量、虚拟专用网络(VPN)流量以及外部网络日志。
在第三示例530中,属性值560指示属性105包括具有第一值(例如,IPv4地址)的指示符类型233、具有第二值(例如,10,000)的内部点击量237、具有第三值(例如,2天前)的最后内部点击日期239、具有第四值(例如,2.8)的置信度分数107,和具有第五值(例如,1.7)的影响分数109。在第三示例530中,威胁报告分析器150确定内部点击量237的第二值(例如,10,000)指示高商业影响,因为第二值大于内部点击量阈值(例如,10),并且第三值(例如,2天前)指示高商业影响,因为第三值在点击阈值日期(例如,一周前)之后。威胁报告分析器150基于第二值和第三值确定与指示符103相关联的动作115具有高潜在商业影响。
在特定方面,威胁报告分析器150响应于确定满足第三标准而将非攻击性动作选择为动作115。在特定实施方式中,威胁报告分析器150响应于确定动作115具有高潜在商业影响,置信度分数107(例如,2.8)未满足置信度阈值(例如,小于6.0),以及影响分数109(例如,1.7)未满足冲击阈值(例如,小于6.0)或其组合,而确定满足第三标准。在特定实施方式中,图1的查找数据129指示满足用于将非攻击性动作选择为动作115的第三标准。威胁报告分析器150响应于确定满足第三标准,而将动作115设置为指示不采取任何行动。在另一示例中,威胁报告分析器150响应于确定满足第三标准,而将动作115设置为包括监控与指示符103相关联的代理流量、电子邮件流量、RP流量、虚拟专用网络(VPN)流量以及外部网络日志。在特定实施方式中,威胁报告分析器150响应于确定满足第三标准,而将攻击性动作或中攻击性动作选择为动作115并将动作115添加到响应于用户批准而要执行的动作的第一动作队列(例如,动作队列119)中。
应该理解的是,图5中包括的示例是说明性的而不是限制性的。威胁报告分析器150可以基于与指示符103相关联的各种属性来选择要执行的各种动作。尽管已经参考图1-图5描述了各种阈值,但系统100可以包括与属性105的特定属性相对应的多个阈值。
图6是网络威胁指示符提取和响应的方法600的流程图。方法600可以由图1的威胁报告分析器150、第一设备140或系统100中的一个或多个来执行。
方法600包括在602处接收网络威胁报告。例如,图1的威胁报告分析器150接收网络威胁报告101,如参考图1所述。
方法600还包括在604处从网络威胁报告中提取指示符。例如,图1的威胁报告分析器150从网络威胁报告101中提取指示符103。指示符103被报告为与网络威胁相关联。
方法600可以包括在606处从网络威胁报告中提取与指示符相关联的属性。例如,图1的威胁报告分析器150从网络威胁报告101中提取指示符类型233、威胁类型211、攻击类型209、注册日期242、最先看到的日期201、最后看到的日期203、最先报告的日期227、最后报告的日期229、第一源(例如,第二设备124)的源信誉分数223、描述关键字213、杀伤链阶段207、归属标识符217、归属置信度219,或其组合,如参考图1-图2所述。
替代地或附加地,方法600可以包括在608处确定与指示符相关联的属性。例如,图1的威胁报告分析器150确定报告量205、误报率244或两者,如所描述的参考图1-图2所述。
方法600还包括在610处基于指示符确定指示指示符与恶意活动相关联的可能性的置信度分数。例如,图1的威胁报告分析器150基于指示符103确定置信度分数107,如参考图1和图3进一步描述的。为了说明,威胁报告分析器150基于指示符类型233、威胁类型211、攻击类型209、注册日期242、最先看到的日期201、最后看到的日期203、最先报告的日期227、最后报告的日期229、第一源(例如,第二设备124)的源信誉分数223、描述关键字213、杀伤链阶段207、归属标识符217、归属置信度219、报告量205或误报率244中的至少一个来确定置信度分数107,如参考图1-图3所述。置信度分数107指示指示符103与恶意活动相关联的可能性。
方法600还包括在612处基于指示符确定指示恶意活动的潜在严重性的影响分数。例如,图1的威胁报告分析器150基于指示符103确定影响分数109,如参考图1和图2进一步描述的。为了说明,威胁报告分析器150基于指示符类型233、威胁类型211、攻击类型209、注册日期242、最先看到的日期201、最后看到的日期203、最先报告的日期227、最后报告的日期229、第一源(例如,第二设备124)的源信誉分数223、描述关键字213、杀伤链阶段207、归属标识符217、归属置信度219、报告量205或误报率244中的至少一个来确定影响分数109,如参考图1-图2和图4所述。影响分数109指示恶意活动的潜在严重性。
方法600还包括在614处基于指示符、置信度分数和影响分数识别要执行的动作。例如,图1的威胁报告分析器150基于指示符103、置信度分数107和影响分数109识别动作115,如参考图1所述。动作115包括阻止对应于指示符103的网络流量,监控对应于指示符103的网络流量,或两者,如参考图1和图5所述。
方法600还包括在616处启动动作115的执行。例如,图1的威胁报告分析器150启动动作115的执行,如参考图1所述。为了说明,威胁报告分析器150可以独立于指示要执行动作115的用户输入(例如,在没有用户输入的情况下)执行动作115。
因此,方法600使得能够基于指示符103与恶意活动相关联的可能性和恶意活动的潜在严重性来识别对应于指示符103的动作115。可以在不接收指示要执行动作115的任何用户输入的情况下执行动作115。动作115的较早执行使得能够防止相应的恶意活动。
图7是包括计算设备710的计算环境700的框图的图示,该计算设备710被配置为支持根据本公开的计算机实现的方法和计算机可执行程序指令(或代码)的各方面。例如,计算设备710或其部分被配置为执行指令以启动、执行或控制参考图1-图6描述的一个或多个操作。
计算设备710包括收发器722。收发器722包括发射器天线704和接收器天线708。计算设备710包括处理器720。在特定方面,处理器720包括威胁报告分析器150。处理器720被配置为与系统存储器730、一个或多个存储设备740、一个或多个输入/输出接口750、一个或多个通信接口760或其组合通信。系统存储器730包括易失性存储器设备(例如,随机存取存储器(RAM)设备)、非易失性存储器设备(例如,只读存储器(ROM)设备、可编程只读存储器和闪存)或两者。系统存储器730存储操作系统732,操作系统732可以包括用于启动计算设备710的基本输入/输出系统以及使计算设备710能够与用户、其他程序和其他设备交互的完整操作系统。系统存储器730存储系统(程序)数据736。在特定方面,图1的存储器142包括系统存储器730、一个或多个存储设备740或其组合。
系统存储器730包括可由处理器720执行的一个或多个应用程序734。作为示例,一个或多个应用程序734包括可由处理器720执行以启动、控制或执行参考图1-图6描述的一个或多个操作的指令。为了说明,一个或多个应用程序734包括可由处理器720执行以启动、控制或执行参考威胁报告分析器150描述的一个或多个操作的指令。
处理器720被配置为与一个或多个存储设备740通信。例如,一个或多个存储设备740包括非易失性存储设备,诸如磁盘、光盘或闪存设备。在特定示例中,存储设备740包括可移动存储器设备和不可移动存储器设备两者。存储设备740被配置为存储操作系统、操作系统的图像、应用程序和程序数据。在特定方面,系统存储器730、存储设备740或两者包括有形计算机可读介质。在特定方面,一个或多个存储设备740在计算设备710外部。
处理器720被配置为与一个或多个输入/输出接口750通信,其使得计算设备710能够与一个或多个输入/输出设备770通信以促进用户交互。在特定方面,输入/输出接口750包括图1的输入接口144、输出接口148或两者。处理器720被配置为基于经由输入/输出接口750接收的用户输入来检测交互事件。可替代地,处理器720被配置为经由输入/输出接口750将显示发送到图1的显示设备122。处理器720被配置为经由一个或多个通信接口760与设备或控制器780通信。例如,一个或多个通信接口760包括图1的通信接口146。在说明性示例中,非暂时性计算机可读存储介质(例如,系统存储器730)包括当由处理器(例如,处理器720)执行时使处理器启动、执行或控制操作的指令。操作包括参考图1-图6描述的一个或多个操作。
此外,本公开包括根据以下条款的实施例:
条款1.一种设备,包括:通信接口,其被配置为接收网络威胁报告;以及处理器,其被配置为:从网络威胁报告中提取指示符,该指示符被报告为与网络威胁相关联;基于指示符确定指示指示符与恶意活动相关的可能性的置信度分数;基于指示符确定指示恶意活动的潜在严重性的影响分数;基于指示符、置信度分数和影响分数识别要执行的动作,其中该动作包括阻止对应于指示符的网络流量或监控对应于指示符的网络流量;以及启动该动作的执行。
条款2.根据条款1所述的设备,其中指示符包括互联网协议(IP)地址、电子邮件地址、电子邮件主题、域名、统一资源标识符(URI)、统一资源定位符(URL)、文件名、消息摘要算法5(MD5)散列、文件路径或其组合。
条款3.根据条款1或2中任一项所述的设备,其中置信度分数基于与指示符相关联的一个或多个属性,一个或多个属性包括最先看到的日期、最后看到的日期、指示符年龄、注册日期、最先报告的日期、最后报告的日期、报告源、源信誉评分、报告量、归属置信度、特定关键字或误报率。
条款4.根据条款1-3中任一项所述的设备,其中影响分数基于与指示符相关联的一个或多个属性,一个或多个属性包括指示符类型、报告量、杀伤链阶段、威胁类型、攻击类型、特定关键字或归属标识符。
条款5.根据条款1-4中任一项所述的设备,其中处理器还被配置为将指示符添加到响应队列中的位置,该位置基于置信度分数和影响分数。
条款6.根据条款5所述的设备,还包括输出接口,其被配置为耦合到显示设备,其中处理器还被配置为在启动动作的执行之前:基于响应队列生成图形用户界面(GUI),GUI指示指示符在响应队列中的位置;以及通过输出接口将GUI提供到显示设备。
条款7.一种方法,包括:在设备处接收网络威胁报告;在设备处从网络威胁报告中提取指示符,该指示符被报告为与网络威胁相关联;基于指示符确定指示指示符与恶意活动相关联的可能性的置信度分数;基于指示符确定指示恶意活动的潜在严重性的影响分数;基于指示符、置信度分数和影响分数识别要执行的动作,其中该动作包括阻止对应于指示符的网络流量或监控对应于指示符的网络流量;以及在设备处启动动作的执行。
条款8.根据条款7所述的方法,其中指示符包括互联网协议(IP)地址、病毒签名、电子邮件地址、电子邮件主题、域名、统一资源标识符(URI)、统一资源定位符(URL)、文件名、消息摘要算法5(MD5)散列、文件路径或其组合。
条款9.根据条款7或8中任一项所述的方法,其中置信度分数和影响分数基于与所述指示符相关联的一个或多个属性。
条款10.根据条款7-9中任一项所述的方法,还包括基于网络威胁报告确定与指示符相关联的属性,其中该属性包括指示符类型、威胁类型、攻击类型、最先看到的日期、最后看到的日期、最先报告的日期、最后报告的日期、报告源、特定关键字、杀伤链阶段、归属标识符或归属置信度,并且其中置信度分数或影响分数中的至少一个基于该属性。
条款11.根据条款7-10中任一项所述的方法,还包括确定与指示符相关联的属性,该属性包括报告量或误报率,其中报告量包括指示指示符与恶意活动相关联的报告的计数,其中误报率基于指示符被检测为与非恶意活动相关联的第一次数以及指示符被检测为与恶意活动相关联的第二次数,并且其中置信度分数或影响分数中的至少一个基于该属性。
条款12.根据条款7-11中任一项所述的方法,其中置信度分数基于与指示符相关联的一个或多个属性,一个或多个属性包括最先看到的日期、最后看到的日期、指示符年龄、最先报告的日期、最后报告的日期、报告源、源信誉评分、报告量、归属置信度、特定关键字或误报率。
条款13.根据条款7-12中任一项所述的方法,其中影响分数基于与指示符相关联的一个或多个属性,一个或多个属性包括指示符类型、报告量、杀伤链阶段、威胁类型、攻击类型、特定关键字或归属标识符。
条款14.根据条款7-13中任一项所述的方法,还包括在设备处将指示符添加到响应队列中的位置,该位置基于置信度分数和影响分数。
条款15.根据条款14所述的方法,还包括:在启动动作的执行之前:在设备处基于响应队列生成图形用户界面(GUI),GUI指示指示符在响应队列中的位置;以及将GUI从设备提供到显示设备。
条款16.根据条款7所述的方法,还包括:在设备处生成指示动作的图形用户界面(GUI);将GUI从设备提供到显示设备,其中响应于接收到指示要执行动作的用户输入而启动动作的执行。
条款17.根据条款7-16中任一项所述的方法,其中启动动作的执行包括安排动作的执行,其中该方法还包括:在设备处生成指示动作的图形用户界面(GUI);将GUI从设备提供到显示设备;以及响应于接收到指示不执行动作的用户输入,取消动作的执行。
条款18.根据条款7-17中任一项所述的方法,其中启动动作的执行包括独立于接收用户输入而执行动作。
条款19.一种存储指令的计算机可读存储设备,指令在由处理器执行时使处理器执行包括以下操作的操作:接收网络威胁报告;从网络威胁报告中提取指示符,该指示符被报告为与网络威胁相关联;基于指示符确定指示指示符与恶意活动相关联的可能性的置信度分数;基于指示符确定指示恶意活动的潜在严重性的影响分数;基于指示符、置信度分数和影响分数识别要执行的动作,其中该动作包括阻止对应于指示符的网络流量或监控对应于指示符的网络流量;以及启动动作的执行。
条款20.根据条款19所述的计算机可读存储设备,其中该操作还包括从网络威胁报告中提取与指示符相关联的属性,其中置信度分数或影响分数中的至少一个基于该属性,并且其中该属性包括指示符类型、威胁类型、攻击类型、注册日期、最先看到的日期、最后看到的日期、最先报告的日期、最后报告的日期、报告源、特定关键字、杀伤链阶段、归属标识符或归属置信度。
上述示例是说明性的,并不限制本公开。应该理解,根据本发明的原理可以进行多种修改和变化。
本文描述的示例的说明旨在提供对各种实施方式的结构的一般理解。这些图示不旨在用作利用本文描述的结构或方法的设备和系统的所有元件和特征的完整描述。在阅读本公开后,许多其他实施方式对于本领域技术人员而言是显而易见的。在不脱离本公开的范围的情况下,可以从本公开利用或导出其他实施方式,使得可以进行结构和逻辑替换和改变。例如,方法操作可以以与图中所示不同的顺序执行,或者可以省略一个或多个方法操作。因此,本公开和附图应被视为说明性的而非限制性的。
此外,尽管本文已说明和描述了特定实例,但应了解,经设计以实现相同或类似结果的任何后续布置可替代所展示的特定实施方案。本公开旨在涵盖各种实施方式的任何和所有后续修改或变化。在阅读本说明书之后,上述实施方式的组合以及本文未具体描述的其他实施方式对于本领域技术人员而言将是显而易见的。
提交本公开的摘要,其理解是它不会用于解释或限制权利要求的范围或含义。另外,在前面的具体实施方式中,出于简化本公开的目的,可以将各种特征组合在一起或在单个实施方式中描述。上述示例说明但不限制本公开。还应该理解,根据本公开的原理可以进行多种修改和变化。如以下权利要求所反映的,所要求保护的主题可以针对少于任何所公开示例的所有特征。因此,本公开的范围由以下权利要求及其等同物限定。
Claims (15)
1.一种方法,包括:
在设备处接收网络威胁报告;
在所述设备处从所述网络威胁报告中提取指示符,所述指示符被报告为与网络威胁相关联;
基于所述指示符确定指示所述指示符与恶意活动相关联的可能性的置信度分数;
基于所述指示符确定指示所述恶意活动的潜在严重性的影响分数;
基于所述指示符、所述置信度分数和所述影响分数,识别要执行的动作,其中所述动作包括阻止对应于所述指示符的网络流量或监控对应于所述指示符的网络流量;以及
在所述设备处启动所述动作的执行。
2.根据权利要求1所述的方法,其中所述指示符包括互联网协议地址即IP地址、病毒签名、电子邮件地址、电子邮件主题、域名、统一资源标识符即URI、统一资源定位符即URL、文件名、消息摘要算法5散列即MD5散列、文件路径或其组合。
3.根据权利要求1所述的方法,其中所述置信度分数和所述影响分数基于与所述指示符相关联的一个或多个属性。
4.根据权利要求1所述的方法,还包括基于所述网络威胁报告确定与所述指示符相关联的属性,其中所述属性包括指示符类型、威胁类型、攻击类型、最先看到的日期、最后看到的日期、最先报告的日期、最后报告的日期、报告源、特定关键字、杀伤链阶段、归属标识符或归属置信度,并且其中所述置信度分数或所述述影响分数中的至少一个基于所述属性。
5.根据权利要求1所述的方法,还包括确定与所述指示符相关联的属性,所述属性包括报告量或误报率,其中所述报告量包括指示所述指示符与所述恶意活动相关联的报告的计数,其中所述误报率基于所述指示符被检测为与非恶意活动相关联的第一次数和所述指示符被检测为与恶意活动相关联的第二次数,其中所述置信度分数或所述影响分数中的至少一个基于所述属性。
6.根据权利要求1所述的方法,其中所述置信度分数基于与所述指示符相关联的一个或多个属性,所述一个或多个属性包括最先看到的日期、最后看到的日期、指示符年龄、最先报告的日期、最后报告的日期、报告源、源信誉分数、报告量、归属置信度、特定关键字或误报率。
7.根据权利要求1所述的方法,其中所述影响分数基于与所述指示符相关联的一个或多个属性,所述一个或多个属性包括指示符类型、报告量、杀伤链阶段、威胁类型、攻击类型、特定关键字或归属标识符。
8.根据权利要求1所述的方法,其中还包括在所述设备处将所述指示符添加到响应队列中的位置,所述位置基于所述置信度分数和所述影响分数。
9.根据权利要求8所述的方法,还包括:在起送所述动作的执行之前:
在所述设备处,基于所述响应队列生成图形用户界面即GUI,所述GUI指示所述指示符在所述响应队列中的所述位置;以及
将所述GUI从所述设备提供到显示设备。
10.根据权利要求1所述的方法,还包括:
在所述设备处生成指示所述动作的图形用户界面即GUI;以及
将所述GUI从所述设备提供到显示设备,
其中,响应于接收到指示要执行所述动作的用户输入,启动所述动作的所述执行。
11.根据权利要求1所述的方法,其中启动所述动作的所述执行包括安排所述动作的执行,其中所述方法还包括:
在所述设备处生成指示所述动作的图形用户界面即GUI;
将所述GUI从所述设备提供到显示设备;以及
响应于接收到指示不执行所述动作的用户输入,取消所述动作的所述执行。
12.根据权利要求1所述的方法,其中启动所述动作的所述执行包括独立于接收用户输入而执行所述动作。
13.一种设备,包括:
通信接口,其被配置为接收网络威胁报告;以及
处理器,其被配置为执行根据权利要求1-12中任一项所述的方法,包括:
从所述网络威胁报告中提取指示符,所述指示符被报告为与网络威胁相关联;
基于所述指示符确定指示所述指示符与恶意活动相关联的可能性的置信度分数;
基于所述指示符确定指示所述恶意活动的潜在严重性的影响分数;
基于所述指示符、所述置信度分数和所述影响分数,识别要执行的动作,其中所述动作包括阻止对应于所述指示符的网络流量或监控对应于所述指示符的网络流量;以及
启动所述行动的执行。
14.一种存储指令的计算机可读存储设备,所述指令在由处理器执行时使所述处理器执行包括以下操作的操作:
接收网络威胁报告;
从所述网络威胁报告中提取指示符,所述指示符被报告为与网络威胁相关联;
基于所述指示符确定指示所述指示符与恶意活动相关联的可能性的置信度分数;
基于所述指示符确定指示所述恶意活动的潜在严重性的影响分数;
基于所述指示符、所述置信度分数和所述影响分数,识别要执行的动作,其中所述动作包括阻止对应于所述指示符的网络流量或监控对应于所述指示符的网络流量;以及
启动所述行动的执行。
15.根据权利要求14所述的计算机可读存储设备,其中所述操作还包括从所述网络威胁报告中提取与所述指示符相关联的属性,其中所述置信度分数或所述影响分数中的至少一个基于所述属性,并且其中所述属性包括指示符类型、威胁类型、攻击类型、注册日期、最先看到的日期、最后看到的日期、最先报告的日期、最后报告的日期、报告源、特定关键字、杀伤链阶段、归属标识符或归属置信度。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/026,629 | 2018-07-03 | ||
| US16/026,629 US11063967B2 (en) | 2018-07-03 | 2018-07-03 | Network threat indicator extraction and response |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110677380A true CN110677380A (zh) | 2020-01-10 |
| CN110677380B CN110677380B (zh) | 2023-09-26 |
Family
ID=67296966
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910595095.9A Active CN110677380B (zh) | 2018-07-03 | 2019-07-03 | 用于网络威胁指示符提取和响应的方法和相关设备 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11063967B2 (zh) |
| EP (1) | EP3591934A1 (zh) |
| JP (1) | JP7340368B2 (zh) |
| CN (1) | CN110677380B (zh) |
| CA (1) | CA3048256C (zh) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10749890B1 (en) * | 2018-06-19 | 2020-08-18 | Architecture Technology Corporation | Systems and methods for improving the ranking and prioritization of attack-related events |
| US11038775B2 (en) * | 2018-08-10 | 2021-06-15 | Cisco Technology, Inc. | Machine learning-based client selection and testing in a network assurance system |
| US10812521B1 (en) * | 2018-08-10 | 2020-10-20 | Amazon Technologies, Inc. | Security monitoring system for internet of things (IOT) device environments |
| WO2020054818A1 (ja) * | 2018-09-14 | 2020-03-19 | 株式会社 東芝 | 通信制御装置 |
| US11128654B1 (en) | 2019-02-04 | 2021-09-21 | Architecture Technology Corporation | Systems and methods for unified hierarchical cybersecurity |
| US11343263B2 (en) | 2019-04-15 | 2022-05-24 | Qualys, Inc. | Asset remediation trend map generation and utilization for threat mitigation |
| US11388188B2 (en) * | 2019-05-10 | 2022-07-12 | The Boeing Company | Systems and methods for automated intrusion detection |
| EP4028918A4 (en) * | 2019-09-09 | 2023-09-27 | Reliaquest Holdings, LLC | THREAT MITIGATION SYSTEM AND METHOD |
| US11997125B2 (en) * | 2020-02-24 | 2024-05-28 | Strikeready Inc. | Automated actions in a security platform |
| US11500983B2 (en) * | 2020-05-18 | 2022-11-15 | Zerofox, Inc. | Configurable system for detecting social media threats |
| US11729198B2 (en) * | 2020-05-21 | 2023-08-15 | Tenable, Inc. | Mapping a vulnerability to a stage of an attack chain taxonomy |
| US11483351B2 (en) | 2020-08-26 | 2022-10-25 | Cisco Technology, Inc. | Securing network resources from known threats |
| US11444971B2 (en) * | 2020-10-06 | 2022-09-13 | Nozomi Networks Sagl | Method for assessing the quality of network-related indicators of compromise |
| JP7408530B2 (ja) | 2020-11-13 | 2024-01-05 | 株式会社日立製作所 | セキュリティ管理システム、及びセキュリティ管理方法 |
| US11861563B2 (en) * | 2021-01-15 | 2024-01-02 | Cloudflare, Inc. | Business email compromise detection system |
| GB2610562A (en) * | 2021-09-08 | 2023-03-15 | British Telecomm | Anomalous activity mitigation |
| US11874933B2 (en) | 2021-12-29 | 2024-01-16 | Qualys, Inc. | Security event modeling and threat detection using behavioral, analytical, and threat intelligence attributes |
| US20230224275A1 (en) * | 2022-01-12 | 2023-07-13 | Bank Of America Corporation | Preemptive threat detection for an information system |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102160048A (zh) * | 2008-09-22 | 2011-08-17 | 微软公司 | 收集和分析恶意软件数据 |
| US20140007238A1 (en) * | 2012-06-29 | 2014-01-02 | Vigilant Inc. | Collective Threat Intelligence Gathering System |
| CN105491035A (zh) * | 2011-09-15 | 2016-04-13 | 迈可菲公司 | 用于实时定制的威胁防护的系统和方法 |
| US20180069888A1 (en) * | 2015-08-31 | 2018-03-08 | Splunk Inc. | Identity resolution in data intake of a distributed data processing system |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009110334A (ja) | 2007-10-31 | 2009-05-21 | Mitsubishi Electric Corp | 端末及びセキュリティシステム及び端末プログラム及びセキュリティ情報管理方法 |
| EP2385676B1 (en) | 2010-05-07 | 2019-06-26 | Alcatel Lucent | Method for adapting security policies of an information system infrastructure |
| US9015843B2 (en) | 2010-12-03 | 2015-04-21 | Microsoft Corporation | Predictive malware threat mitigation |
| US8756693B2 (en) | 2011-04-05 | 2014-06-17 | The United States Of America As Represented By The Secretary Of The Air Force | Malware target recognition |
| US9258321B2 (en) * | 2012-08-23 | 2016-02-09 | Raytheon Foreground Security, Inc. | Automated internet threat detection and mitigation system and associated methods |
| KR20140044954A (ko) | 2012-09-03 | 2014-04-16 | 네이버 주식회사 | 툴바를 통한 이중 안티 피싱 방법 및 서버 |
| US10616258B2 (en) * | 2013-10-12 | 2020-04-07 | Fortinet, Inc. | Security information and event management |
| US10447733B2 (en) * | 2014-06-11 | 2019-10-15 | Accenture Global Services Limited | Deception network system |
| US9118714B1 (en) * | 2014-07-23 | 2015-08-25 | Lookingglass Cyber Solutions, Inc. | Apparatuses, methods and systems for a cyber threat visualization and editing user interface |
| US10230742B2 (en) | 2015-01-30 | 2019-03-12 | Anomali Incorporated | Space and time efficient threat detection |
| JP6988690B2 (ja) | 2018-05-23 | 2022-01-05 | 日本電信電話株式会社 | 信頼度算出装置、信頼度算出方法及びプログラム |
-
2018
- 2018-07-03 US US16/026,629 patent/US11063967B2/en active Active
-
2019
- 2019-07-02 CA CA3048256A patent/CA3048256C/en active Active
- 2019-07-03 EP EP19184239.2A patent/EP3591934A1/en active Pending
- 2019-07-03 JP JP2019124191A patent/JP7340368B2/ja active Active
- 2019-07-03 CN CN201910595095.9A patent/CN110677380B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102160048A (zh) * | 2008-09-22 | 2011-08-17 | 微软公司 | 收集和分析恶意软件数据 |
| CN105491035A (zh) * | 2011-09-15 | 2016-04-13 | 迈可菲公司 | 用于实时定制的威胁防护的系统和方法 |
| US20140007238A1 (en) * | 2012-06-29 | 2014-01-02 | Vigilant Inc. | Collective Threat Intelligence Gathering System |
| US20180069888A1 (en) * | 2015-08-31 | 2018-03-08 | Splunk Inc. | Identity resolution in data intake of a distributed data processing system |
Also Published As
| Publication number | Publication date |
|---|---|
| US20200014711A1 (en) | 2020-01-09 |
| CA3048256A1 (en) | 2020-01-03 |
| CA3048256C (en) | 2023-08-29 |
| US11063967B2 (en) | 2021-07-13 |
| JP7340368B2 (ja) | 2023-09-07 |
| JP2020035424A (ja) | 2020-03-05 |
| CN110677380B (zh) | 2023-09-26 |
| EP3591934A1 (en) | 2020-01-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110677380B (zh) | 用于网络威胁指示符提取和响应的方法和相关设备 | |
| US11374960B2 (en) | Methods, systems and media for evaluating layered computer security products | |
| US20220200956A1 (en) | Network threat prediction and blocking | |
| US11212306B2 (en) | Graph database analysis for network anomaly detection systems | |
| US11483343B2 (en) | Phishing detection system and method of use | |
| US10121000B1 (en) | System and method to detect premium attacks on electronic networks and electronic devices | |
| EP2630611B1 (en) | Method and system for protecting against unknown malicious activities by determining a reputation of a link | |
| US20180189697A1 (en) | Methods and apparatus for processing threat metrics to determine a risk of loss due to the compromise of an organization asset | |
| US20220070216A1 (en) | Phishing detection system and method of use | |
| US20140196144A1 (en) | Method and Apparatus for Detecting Malicious Websites | |
| CN113408948A (zh) | 一种网络资产管理方法、装置、设备和介质 | |
| US11303662B2 (en) | Security indicator scores | |
| US20190050563A1 (en) | Visualization of associations among data records in a security information sharing platform | |
| US11770388B1 (en) | Network infrastructure detection | |
| US11356484B2 (en) | Strength of associations among data records in a security information sharing platform | |
| US20240163254A1 (en) | Automatic validations and prioritizations of indicators of compromise | |
| US11868472B2 (en) | Malicious pattern identification in clusters of data items | |
| US20160226898A1 (en) | Process For Identifying A Compromised Device | |
| CN114297644A (zh) | 攻击线索ioc置信度计算方法及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |