CN111492360A - 使用先进网络决策平台检测并减缓伪造认证对象攻击 - Google Patents

使用先进网络决策平台检测并减缓伪造认证对象攻击 Download PDF

Info

Publication number
CN111492360A
CN111492360A CN201880076822.4A CN201880076822A CN111492360A CN 111492360 A CN111492360 A CN 111492360A CN 201880076822 A CN201880076822 A CN 201880076822A CN 111492360 A CN111492360 A CN 111492360A
Authority
CN
China
Prior art keywords
authentication object
network
data
hash
processor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN201880076822.4A
Other languages
English (en)
Inventor
杰森·克拉布特里
安德鲁·塞勒斯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qomplx Inc
Original Assignee
Qomplx Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US15/837,845 external-priority patent/US11005824B2/en
Application filed by Qomplx Inc filed Critical Qomplx Inc
Publication of CN111492360A publication Critical patent/CN111492360A/zh
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

提供了一种用于检测并减缓伪造认证对象攻击的系统,包括:认证对象检查器,配置用于观察由身份提供者产生的新认证对象,并检索新认证对象;以及散列引擎,配置用于从认证对象检查器检索新认证对象,计算用于新认证对象的加密散列,并在数据存储中存储用于新认证对象的加密散列;其中通过比较用于每个认证对象的散列与之前产生的散列而验证伴有认证对象的后续访问请求。

Description

使用先进网络决策平台检测并减缓伪造认证对象攻击
与申请相关的交叉引用
本申请是2017年12月11日提交的名为“DETECTING AND MITIGATING FORGEDAUTHENTICATION OBJECT ATTACKS USING AN ADVANCED CYBER DECISION PLATFORM”的美国专利申请序列号15/837,845的PCT申请并要求其优先权,其要求享有2017年12月7日提交的名为“DETECTING AND MITIGATING FORGED AUTHENTICATION OBJECT ATTACKS USING ANADVANCED CYBER DECISION PLATFORM”的美国临时专利申请序列号62/596,105的权益和优先权,在此通过全文引用的方式将每一个的全部说明书并入本文。
技术领域
本公开涉及网络安全领域,特别是检测并减缓涉及伪造认证对象的攻击。
背景技术
随着计算远离物理和本地部署企业而更多地朝向基于云和联合的服务供应,出现了对于单点登录协议的需求,诸如安全断言置标语言(SAML)以跨联合服务供应提供用户友好的单点登录体验。SAML例如使用身份提供者以产生认证对象,其中用户可以使用以在域内访问多个联合服务供应,无需认证每个单独服务。SAML是本领域广泛使用的协议,且使用的应用诸如但不限于微软公司的ACTIVE DIRECTORY FEDERATED SERVICES,AZURE AD,OKTA,网络浏览器单点登录,以及许多云服务提供者(诸如AMAZON、AWS、ZURE、GOOGLE服务等等。尽管方便,这产生了安全弱点:一旦身份提供者受入侵,攻击者可以产生伪造认证对象并假冒成任何用户,潜在地获得了自由支配以在联合附图提供者的域内随心所欲。尽管传统的网络安全方案可以在其中注意到了可疑活动的情形中是足够的,足够机智以将他们的活动与普通业务混合的攻击者可以使用该伪造认证对象而长时间未被发现。
需要一种可以验证认证对象的确实性并自动地行动以减缓由伪造认证对象所滋生的攻击。
发明内容
因此,本发明已经设计并付诸实践了一种用于检测并减缓伪造认证对象攻击的系统和方法。
在典型的实施例中,一种用于检测并减缓伪造认证对象攻击的系统用作用于使用了使用普通身份提供者的联合服务的现有实施方式的外部和无阻塞验证服务。系统提供服务以产生对于合法产生的认证对象的加密散列,且也用于针对之前产生的认证对象的加密散列的数据库而检查输入的认证对象(并通过检测认证对象散列的数据库中认证对象的加密散列不存在的尝试而检测欺诈性基于SAML的认证尝试)。系统也可以允许设置多个规则以在满足了某些条件之后触发事件。
在本发明的一个特征方面中,一种用于检测并减缓伪造认证对象攻击的系统包括,认证对象检查器,包括至少处理器、存储器和存储在存储器中并运行在处理器上的多个编程指令,其中当运行在处理器上时可编程指令使得处理器:观察由身份提供者所产生的新认证对象,并检索新认真对象;以及散列引擎,包括至少处理器、存储器、和存储在存储器中并运行在处理器上的多个编程指令,其中当运行在处理器上时可编程指令使得处理器:从认证对象检查器检索新认证对象,通过至少对新认证对象执行多个计算和变换而计算对于新认证对象的加密散列,并在数据存储中存储用于新认证对象的加密散列;其中,一旦观察到对于与身份提供者相关联的联合服务的后续访问请求并由第二认证对象完成,认证对象检查器检索第二认证对象并发送认证对象至散列引擎,以及散列引擎产生用于第二认证对象的加密散列,并通过将对于即将来到的认证对象的加密散列与数据存储中之前已产生的加密散列比较而验证输入的认证对象。
在本发明的另一实施例中,系统进一步包括事件规则条件引擎,其包括至少处理器、存储器、和存储在存储器中并运行在处理器上的多个编程指令,其中当运行在处理器上时可编程指令使得处理器:一旦检测到无效认证对象从数据存储检索至少预定的事件条件动作规则,并如预定的事件条件动作规则中所指示的执行命令。在本发明的另一实施例中,多个事件条件动作规则嵌套以创建一系列断路器校验以减缓通过使用伪造认证对象的未授权访问。
在本发明的另一实施例中,一旦检测到无效认证对象,通知管理用户,并提供与无效认证对象相关联的访问数据。在本发明的另一实施例中,访问数据的至少一部分包括由无效认证对象的拥有者所访问的资源。在本发明的另一实施例中,访问数据的至少一部分包括与无效认证对象的拥有者相关联的爆炸半径数据。
在本发明的另一特征方面张,提供了一种用于为新认证对象产生散列的方法,包括步骤:(a)接收对于由身份提供者使用散列引擎所产生的认证对象计算加密散列的请求;(b)通过使用散列引擎对新认证对象执行至少多个计算和变换而产生加密散列;以及(c)在数据存储中存储加密散列。
在本发明的另一特征方面中,提供了一种用于检测并减缓伪造认证对象攻击的方法,包括步骤:(a)使用认证对象检查器检索输入的认证对象;(b)使用认证对象检查器将输入认证发送至散列引擎;(c)通过使用散列引擎对输入认证对象至少执行多个计算和变换而产生加密散列;(d)使用散列引擎检索至少之前所产生的加密散列;以及(e)通过至少将对于输入认证对象的加密散列与之前所产生的加密散列相比较,验证输入的认证对象。
附图说明
附图说明了数个特征方面,并与说明书一起用于解释根据特征方面的本发明的原理。本领域技术人员应该知晓,附图中所示的特定设置仅是示例性的,且不应视作以任何方式限制本发明或在此权利要求的范围。
图1A是根据一个特征方面的先进网络决策平台的示例性架构的示例。
图1B是示出了访问依赖于SAML协议以认证的服务提供者的典型操作的图。
图1C是示出了使用伪造AO 140的网络攻击、也可以称作“金SAML”攻击的方法的图。
图2是说明了根据本发明各个实施例的对于用于检测并减缓伪造认证对象攻击的系统的示例性系统架构的方框图。
图3A是在检测和减缓导致正在进行的网络攻击的预定因素的商业操作系统的示例性功能以及用以减缓正在进行网络攻击的步骤的流程图。
图3B是示出了用于检测欺诈装置并分析它们的威胁的进程的一般性流程的流程图。
图3C是示出了用于检测并防止网络上特权升级攻击的进程的一般性流程的流程图。
图3D是示出了用于管理与网络软件补丁相关联的弱点的进程的一般性流程的流程图。
图4A和图4B是示出了用于减缓网络攻击的商业操作系统功能的流程图。
图5是用于将网络攻击信息分段成合适的公司方的方法的流程图。
图6是根据一个特征方面的使用施动者驱动分布式计算图快速预测分析非常大数据集合的系统的示例性架构的图。
图7是根据一个特征方面的使用施动者驱动分布式计算图快速预测分析非常大数据集合的系统的示例性架构的图。
图8是根据一个特征方面的使用施动者驱动分布式计算图快速预测分析非常大数据集合的系统的示例性架构的图。
图9是根据一个特征方面的用户和实体行为分析系统的示例性架构的图。
图10是根据一个特征方面的网络安全行为分析的示例性方法的流程图。
图11是根据一个特征方面的用于测量网络安全攻击效果的示例性方法的流程图。
图12是根据一个特征方面的用于连续网络安全监控和探测的示例性方法的流程图。
图13是根据一个特征方面的用于绘制网络-物理系统图(CPG)的示例性方法的流程图。
图14是根据一个特征方面的用于连续网络弹性计分的示例性方法的流程图。
图15是根据一个特征方面的用于网络安全特权监督的示例性方法的流程图。
图16是根据一个特征方面的用于网络安全风险管理的示例性方法的流程图。
图17是根据一个特征方面的用于减缓已暴露证书威胁的示例性方法的流程图。
图18是根据一个特征方面的用于动态网络和欺诈装置发现的示例性方法的流程图。
图19是根据一个特征方面的对于Kerberos“金票”攻击和“金色SAML”攻击检测的示例性方法的流程图。
图20是根据一个特征方面的用于基于风险的弱点和补丁管理的示例性方法的流程图。
图21是根据一个特征方面的用于建立用户分组的示例性方法的流程图。
图22是根据一个特征方面的用于监控异常行为分组的示例性方法的流程图。
图23是根据一个特征方面的用于处理异常行为检测的示例性方法的流程图。
图24是说明了根据一个特征方面的用于处理新用户连接的示例性方法的流程图。
图25是根据一个特征方面的示出了用于验证认证对象的认证的示例性方法的流程图。
图26是用于本发明各个实施例中的计算装置的示例性硬件架构的方框图。
图27是说明了根据本发明各个实施例的客户端装置的示例性逻辑架构的流程图。
图28是说明了根据本发明各个实施例的客户端、服务器和外部服务的示例性架构设置的方框图。
图29是说明了根据本发明另一实施例所使用的的计算装置的示例性硬件架构的另一方框图。
具体实施方式
本发明人已经设想并付诸实践了一种用于检测并减缓伪造认证对象攻击的系统和方法。
可以在本申请中描述一个或多个不同特征方面。进一步,对于在此所述的一个或多个特征方面,可以描述数种备选设置;应该知晓的是,仅为了说明性目的而展示这些且并非以任何方式限制在此所包含的特征方面或在此所展示的权利要求。一个或多个设置可以广泛地可适用于数个特征方面,如从本公开显而易见的。通常,以足够细节描述设置以使得本领域技术人员能够实践一个或多个特征方面,且应该知晓的是可以利用其它设置并且可以做出结构、逻辑、软件、电气或其他改变而并未脱离特定特征方面的范围。在此所述的一个或多个特征方面的特定特征可以参照形成了本公开的一部分并其中借由说明方式示出了一个或多个特征方面的具体设置的一个或多个特定特征方面或附图而描述。然而应该知晓,这些特征不限于用于一个或多个特定特征方面或参照其描述它们的附图。本公开既非一个或多个特征方面的所有设置的字面描述,又非必须存在于所有设置中的一个或多个特征方面的特征列表。
在本专利申请中所提供段落标题以及该专利申请的名称仅是为了方便,且不应视作以任何方式限制本公开。
相互通信的装置无需相互连续通信,除非另外明确地规定。此外,相互通信的装置可以直接地通信,或者通过逻辑或物理的一个或多个通信机制或中间物而间接地通信。
具有相互通信的数个部件的特征方面的描述并非暗示需要所有这种部件。相反,可以描述任选的各种部件以说明广泛各种可能特征方面且以便于更全面地说明一个或多个特征方面。类似地,尽管可以以顺序次序描述工艺步骤、方法步骤、算法等等,可以通常配置该工艺、方法和算法以备选的顺序工作,除非特定地相反陈述。换言之,可以在本专利申请中描述的步骤的任何顺序或次序自身并未指示要求以该顺序执行步骤。可以实际上以任何顺序执行所述工艺的步骤。进一步,可以同时地执行一些步骤,不论是否描述或暗示为非同时地发生(例如因为一个描述描述在另一个步骤之后)。此外,由附图中其图示对工艺的说明并未暗示所示工艺排除了其他变形和修改,并未暗示所示工艺或其任意步骤对于一个或多个特征方面是必须的,也并未暗示所示工艺是优选的。此外,通常每个特征方面描述步骤一次,但是这并未意味着必须发生,或者它们可以每次执行或运行工艺、方法或算法则发生一次。可以在一些特征方面或一些情形中省略一些步骤,或者可以在给定特征方面或事情中执行多于一次。
当在此描述单个装置或物品时,显而易见的是可以替代单个装置或物品而使用多于一个装置或物品。类似地,在此描述多于一个装置或物品时,显而易见的是可以替代多于一个装置或物品而使用单个装置或物品。
装置的功能或特征可以备选地由并未明确描述为具有该功能或特征的一个或多个其他装置而具体化。因此,其他特征方面不必包括装置自身。
在此描述或参考的技术和机制为了清楚有时以单数形式描述。然而,应该知晓的是特定特征方面可以包括技术的多次迭代或者机制的多个实例,除非另外陈述。附图中的进程说明或方框应该理解为表示模块、区段或代码段,包括用于实施工艺中特殊逻辑功能或步骤的一个或多个可执行指令。备选的实施方式包括在各个特征方面的范围内,其中例如可以与所示或所述顺序之外的顺序执行功能,包括实质上同时或以相反顺序,取决于所涉及的功能,如本领域技术人员应该理解的。
定义
如在此所使用的,“图”表示信息和关系,其中信息的每个初等单元构成图的“节点”或“顶点”且两个节点之间的关系构成图的边缘。节点可以进一步由对于该节点的一个或多个描述符或“特性”的连接而限制。例如,给定节点“James R”对于人名的信息限制了特性可以是“183cm高”、“DOB 08/13/1965”且“说英语”。类似于特性的使用进一步描述了节点中信息,构成边缘的两个节点之间的关系可以使用“标签”限制。因此,给定第二节点“Thomas G”,指示了两人可以相互认识的“James R”和“Thomas G”之间的边缘可以标记为“认识”。当图论符号(图=(顶点,边缘))应用于该情形时,节点的集合用作有序配对的一个参数V,且2个元素边缘端点的集合用作有序配对的第二参数E。当在E配对内边缘端点的顺序不重要时,例如边缘James R,Thomas G等价于Thomas G,James R,图标记为“无向”。在当关系沿一个方向从一个节点流向留一个时的情形之下,例如James R比Thomas G“较高”,端点的顺序是重要的。具有该边缘的图标记为“有向”。在有向计算图系统中,变换流水线内的变换表示为有向图,每个变换包括节点且变换之间的输出消息包括边缘。有向计算图规定了程序流水线化的非线性变换流水线的潜在使用。该线性化可以导致资源消耗的指数增长。克服可能性的最切合实际的方案是仅当需要它们时引入新的变换流水线,仅创建准备好计算的那些。当系统处理数据流时,该方法导致尺寸和节点、边缘成分高度可变的变换图。本领域技术人员将认识到,变换图可以假设具有边缘关系的海量拓扑的许多形状和尺寸。选择给定的示例仅用于说明性目的且表示少量简易可能性。这些示例不应视作限定了预期作为本发明操作一部分的可能的图。
如在此所使用,“变换”是对零或更多输入数据流执行的函数,输入数据导致可以随后用作或不用做另一变换输入的单个输出流。变换可以包括机器、人类或人机交互的任意组合。变换无需改变输入的数据,该类型变换的一个示例可以是接收输入并随后用作对于该数据的队列以用于后续变换的存储变换。如以上所暗示,特殊变换可以缺乏输入数据而产生输出数据。时间戳用作示例。在本发明中,变换放入流水线中以便一个变换的输出可以用作另一个的输入。这些流水线可以由两个或更多变换构成,变换的数目仅受限于系统的资源。历史地,变换流水线已经是线性的,流水线中的每个变换从一个前项接收输入并向一个后项提供输出而不具有分支或迭代。其他流水线配置是可能的。设计本发明以允许数个这些配置,包括但不限于,线性,传入分支,传出分支,和循环。
如在此使用的,“数据库”或“数据存储子系统”(这些术语可以视作实质上同义)是适用于长期存储、索引和检索数据的系统,检索通常是经由某种查询接口或语言。“数据库”可以用于涉及本领域已知的相关数据库管理系统,但是不应视为限定于这些系统。许多备选的数据库或数据存储系统技术已经且实际上正引入本领域,包括但不限于分布式非相关数据存储系统诸如Hadoop,面向列的数据库,内存储数据库等等。尽管各个特征方面可以优选地采用本领域可应用(或未来可应用)的各种数据存储子系统的一个或另一个,本发明不应解释为如此限定,因为可以根据特征方面使用任何数据存储架构。类似的,尽管在一些情形中一个或多个特定数据存储需求描述为由分立部件满足(例如已扩展私人资本市场数据库和配置数据库),这些描述涉及数据存储系统的功能使用且并未涉及它们物理架构。例如,在此涉及的数据库的数据存储系统的任何分组可以一起包括在运行在单个机器上的单个数据库管理系统中,或者它们可以如本领域已知的包括在运行于机器集群上的单个数据库管理系统中。类似地,任何单个数据库(诸如已扩展私人资本市场数据库)可以实施在单个机器上,在使用集群技术的机器集合上,在由本领域已知的一个或多个消息收发系统所连接的数个机器上,或者在本领域普通的主控/伺服布局中。这些示例应该澄清根据本发明并未优选对于数据库管理的特定架构方案,且数据存储技术的选择任凭每个实施者自行处理,并未脱离如所请求保护的本发明的范围。
如在此使用的,“数据上下文”涉及标识了数据位置的自变量集合。这可以是Rabbit队列,云基存储中的.csv文件,或者除了单个事件或记录之外的任何其他该位置参考。活动可以相互传递事件或数据上下文以用于处理。流水线的本质允许活动之间传递有向信息,且数据位置或文件不必在流水线开始处预定。
如在此使用且可互换的称作“数据流水线”或“处理流水线”的“流水线”涉及数据流送活动和批活动的集合。流送和批活动可以在流水线内无差别地连接。事件将以反应方式流过流送活动施动者。在流送活动至批活动的结处,将存在StreamBatchProtocol数据对象。该对象负责确定何时以及是否运行批处理。这些可能性的一个或多个可以用于处理触发:常规时间间隔,每隔N个事件,或者任选地外部触发。事件保持在队列中或类似的,直至处理。每个批活动可以包含“源”数据上下文(如果上游活动是流送,这可以是流送上下文),和“目的地”数据上下文(传递至下一个活动)。流送活动可以具有任选的“目的地”流送数据上下文(任选的意味着:事件的缓存/持久对比于暂时),尽管这不应是初始实施方式的一部分。
概念架构
图1A是根据一个特征方面的先进网络决策平台(ACDP)100的示例性架构图。客户端访问系统105的特殊数据项、系统控制和与系统输出交互诸如自动预测决策和计划以及备选替代途径模拟通过系统的分布式、可扩展高带宽云接口110而发生,其使用了通用、健壮网络应用驱动接口用于经由网络107而输入并显示面向客户端的信息,且操作根据各种协议的数据存储112诸如但不限于MONGODBTM,COUCHDBTM,CASSANDRATM或REDISTM。由系统分析的来自客户端业务界限内来源以及来自云基来源的许多业务数据也通过云接口110输入系统,数据传递至连接器模块135,其可以拥有接受外部数据并转换且随货传递归一化信息至系统的其他分析和变换部件所需的API例行程序135a,有向计算图模块155,高容量网络爬虫模块115,多维时序数据库120,以及图堆栈服务145。有向计算图模块155从多个源检索一个或多个数据流,源包括但绝非限定于多个物理传感器、网络服务提供者、基于网络的调查和测量、电子基础设施的监控、人群发源活动、和人输入装置信息。在有向计算图模块155内,数据可以划分为在专用预编程数据流水线155a中两个等同流,其中一个子流可以发送用于批处理并存储,而另一个子流可以重新格式化用于变换流水线分析。数据随后传送至通用变换器服务模块160用于作为分析一部分的线性数据变换,或者传送至可分解变换器服务模块150用于作为分析一部分的批处理或迭代变换。有向计算图模块155将所有数据表示为有向图,其中变换是节点,且在图的变换边缘之间发送结果。高容量网络爬虫模块115使用多个驻留服务器的预编程网络爬虫,其自动地配置为部署在网络搜刮框架115a内,其SCRAPYTM是用于从传统网络爬虫技术并未良好标记的基于网络的来源识别并检索感兴趣数据的示例。多维时序数据存储模块120可以从可以是数种不同类型的大量多个传感器接收流送数据。多维时序数据存储模块也可以存储由系统遇到的任何时序数据,诸如但不限于企业网络使用数据,部件和系统日志,性能数据,网络服务信息捕捉诸如但不限于新闻和财经报料、以及销售和服务相关的客户数据。设计模块以通过自动地分配网络带宽和服务器处理信道以处理输入数据而适用于不规则和高容量电涌。包括用于是但不限于C++,PERL,PYTHON,和RLANGTM的语言示例的编程包装允许将复杂编程逻辑添加至多维时序数据库120的默认函数而不直接知晓核心编程,大大扩展了函数的宽度。由多维时序数据库120和高容量网络爬虫模块115检索的数据可以由有向计算图155和相关的通用变换器服务150以及可分解变换器服务160模块进一步分析并变换为任务优化的结果。备选地,来自多维时序数据库和高容量网络爬虫模块的数据可以通常采用脚本提示信息确定重要顶点145a而发送至图堆栈服务模块145,其利用了用于将信息流转换为代表该数据的图的标准化协议,例如图互联网技术,尽管本发明不依赖于任何一个标准。通过该步骤,图堆栈服务模块145以手任何预定脚本修改145a影响的图形形式表示数据,并将其存储在基于图的数据存储145b诸如GIRAPHTM或者秘钥值配对类型数据存储REDISTM或RIAKTM中,其中,所有这些适用于存储基于图的信息。
变换分析过程的结果可以随后与进一步客户端指示、与分析相关的额外商业规则和实践、以及在自动计划服务模块130中已经可应用数据之外的情况信息组合,自动计划服务模块130也运行了基于强大信息理论130a的预测统计函数和机器学习算法以允许基于当前系统推得结果快速预测未来趋势和结果并选择多个可能商业决策的每一个。使用所有可应用数据,自动化计划服务模块130可以提出商业决策最可能结果是具有可用的高度确实性的最受欢迎商业结果。在系统推得结果中与自动化计划服务模块、在终端用户商业决策辅助中结合了可能外部提供的额外信息密切相关,动作结果模拟模块125的离散事件模拟器编程模块125a与情况需要时高度可编辑脚本140b的面向终端用户的观测和状态评估服务140耦合并具有游戏引擎140a以更实际地在考虑之下实施商业决策的可能结果,允许商业决策者调查基于当前可应用数据选择一个未决动作过程的可能结果。
例如,由系统100通知信息保证部门委托人X在使用此前从未使用的证书K(Kerberos委托人秘钥)以访问服务Y。服务Y利用这些相同证书访问在数据存储Z上的安全数据。这正确地产生了警报作为通过网络的可疑横向移动,且将基于由编程用以处理该数据120a的多维时序数据存储120连续基线网络通信量监控而推荐X和Y的隔离并挂起K,由有向计算图155采用其下层通用变换器服务模块160和可分解变换器服务模块150结合AI和自动计划服务130的待发机器学习性能130a而严格分析网络基线,自动计划服务模块130也已经通过连接器模块135的多源连接APIs接收和同化了公众从多个来源可获得。由动作结果模拟模块125及其在此用于确定合法可能性的概率空间的离散事件模拟器125a针对基线运行这些交通模式的特别模拟。系统100基于该数据和分析能够检测并推荐对于所有商业操作呈现存在威胁的网络攻击的减缓,在攻击时刻通过使用观测和状态评估服务140以减缓和推荐努力的多个层级向人类分析员展示可动作计划最需要的信息,观测和状态评估服务140也已经特殊预编程以处理网络安全事件140b。
可以使用伪造认证对象检测和减缓服务910以检测并减缓源自使用了攻击者所产生的认证对象的网络攻击。以下在图2中进一步详述服务910。
根据一个特征方面,先进网络决策平台、尤其是商业操作系统的特殊编程使用,连续地监控客户企业的正常网络活动的行为,诸如但不限于网络上正常用户,由每个用户访问的资源,每个用户的访问许可,网络上机器对机器的通信量,批准外部访问核心网络和管理员访问网络的身份以及访问管理服务器结合通知了对网络攻击方法认知的实时分析。系统随后使用该信息为了两个目的:第一,使用系统的先进计算分析和模拟性能以在网络周边处和企业信息传输和信任结构内提供可能数字访问点的有关公开,并给出对于可以在攻击之前或期间作出的网络改变的推荐。第二,先进网络决策平台连续地实时监控通信量类型并通过技术诸如深度数据包检查用于在已知网络攻击向量指示的用户通信量中预决策分析上重大的偏离,网络攻击向量诸如但不限于ACTIVE DIRECTORYTM/Kerberos传递票攻击,ACTIVE DIRECTORYTM/Kerberos传递散列攻击和相关的ACTIVE DIRECTORYTM/Kerberos越过散列攻击,ACTIVE DIRECTORYTM/Kerberos万能秘钥,ACTIVE DIRECTORYTM/Kerberos金银票攻击、特权升级攻击,暴露用户证书,敲诈恶意软件盘攻击以及SAML伪造认证对象攻击(也可以称作金SAML)。当确定了在预示攻击层级的可疑活动(例如,包括但不限于万能钥匙攻击、传递散列攻击、或经由暴露用户证书的攻击)时,系统发起动作聚焦警报信息至它们角色特别适合于攻击减缓或矫正的所有预先指示当事人并格式化以基于历史、当前和上下文攻击级数分析提供预测攻击建模以便人类决策者可以在最可动作信息命令下以尽可能少的扰乱数据而快速制定以它们负责层级最有效的动作过程。系统随后以可动作形式发起防御措施以采用最少可能损害和暴露而终结攻击。永久存储所有攻击数据用于稍后法庭分析。
图1B是示出了如用于本领域的依赖于认证SAML协议120的访问服务提供者的典型操作的视图。使用计算装置的用户可以请求访问多个联合服务器的一个,且通过列出的步骤121,从身份提供者(IdP)产生用于用户的AO。可以随后批准用户不仅访问原始所请求的服务,也访问任何受信的合伙人。
图1C是示出了如本领域已知的也可以称作“金SAML”的使用伪造AO140的网络攻击的方法的图。通过步骤141,使用从已暴露IdP获取的信息的攻击者可以产生他自己的AO,绕过了采用IdP认证的需求。一旦已经产生了AO,攻击者可以假扮以IdP注册的任何用户的角色,并自由地访问服务提供者。尽管使用在此所公开的各种系统和方法可以是足够的,可以要求额外的措施用于检测并减缓伪造认证对象攻击。
图2是说明了根据本发明各个实施例的用于检测并减缓伪造认证对象攻击的系统910的示例性系统架构900的方框图。架构900可以包括用作连接用户920、多个联合服务提供者(SP)921a-n、身份提供者(IdP)922、和管理员用户923之间的无闭塞中介的系统910。
可以配置系统910以当用户具有AO时验证输入的连接,且也保持追踪正当产生的AO。系统910可以包括AO检查器911,散列引擎912,事件条件动作(ECA)规则引擎913,以及数据存储914。
可以配置AO检查器911以使用ACDP 100的能力,例如DCG模块155和相关的变换器模块以分析并处理与输入连接相关联的AO,并使用观测和状态评估服务140以监控用于输入AO的连接。可以由系统910检索输入的AO用于进一步分析。
可以配置散列引擎912以使用ACDP 100的函数诸如DCG模块155计算由身份提供者922所产生的AO的加密散列,产生用于输入AO(为了分析目的)的加密散列,以及由IdP 922所创建的新AO。可以使用单向散列以允许保护AO中包含的敏感信息,但是保留每个AO的独特性。所产生的散列可以存储在数据存储914中。散列引擎也可以运行散列检查函数,用于验证输入的AO。
ECA规则引擎913可以由网络管理员使用以创建并管理ECA规则,其可以在检测伪造AO的事件中触发动作并查询。规则可以例如是追踪并记录可疑用户的动作,延期可疑连接等等。规则可以联网以创建各种条件检查和动作的复杂流程以创建一组“断路器”检查以进一步查明连接,或在通知人类网络管理员之前尝试并自动地解决问题。
数据存储914可以是图形和时序混合数据库,诸如多维时序数据存储120或数据存储112,其存储了散列、ECA规则、日志数据等等,且可以使用ACDP 100快速并高效地查询和处理。
联合服务提供者921a-n可以包括可以共享其中用户920可以希望访问的公共IdP922的受信服务合伙人分组。联合服务提供者921a-n可以是例如,采用微软的ACTIVEDIRECTORY FEDERATED SERVICES(AS DS),AZURE AD,OKTA的服务,许多网络浏览器单点登录(SSO)实施方式,云服务提供者(诸如AMAZON AWS,AZURE,和GOOGLE)等等。
图3A是在导致减缓正在进行网络攻击200的预定因素的检测和减缓以及步骤中商业操作系统的示例性功能的流程图。系统连续地检索网络通信数据201,其可以由多维时序数据存储120及其编程包装120a存储并预处理。随后分析所有捕捉的数据以预测网络节点的正常使用模式,诸如内部用户、联网系统和设备以及对于例如厂区外雇员、承保人和卖家的企业边界之外的批准用户,仅列举几个可能参与者。自然,正常的其他网络通信量对于本领域技术人员也可以是已知的,给出的列表并非有意排除且其他可能性并未将落在本发明设计之外。网络通信的分析可以包括在图形堆栈服务145、145a中使用了特殊研发的编程的参数诸如对于网络使用的网络项的图形分析,由每个网络项使用的分析可以由于有向计算图模块155、通用变换器服务模块160和可分解服务模块150相关联的专用预开发算法实现,取决于单个使用剖写201的复杂性。随后可以在自动计划服务模块130内进一步分析结合了关于企业网络拓扑的额外数据、网关防火墙编程、内部防火墙配置、目录服务协议和配置、以及对于用户和对敏感信息访问的许可剖写这些使用模式分析,仅列举几个非排他性示例,其中可以利用包括但不限于信息理论统计130a的机器学习技术、以及专用于基于当前数据125a预测结果模拟的动作结果模拟模块125可以适用于制定当前最新且连续演进的基线网络使用剖写202。该相同数据可以与最新已知网络攻击方法报告组合,可能通过使用多应用编程接口知晓连接器模块135从数个发散和外来源检索以向企业决策者展示对于基于物理和配置的网络基础设施改变的预防性推荐以成本有效地降低网络攻击的概率并显著且更成本有效地减缓在攻击事件203、204中数据暴露和损失。
尽管这些选项的一些已经在过去可以部分地用作一部分解决方案,我们相信在该领域智能地集成来自正在进行的多个源的大量数据接下来基于当前数据预测模拟和分析结果以便可以展现可动作商业实践高效推荐是创新性且必需的。
一旦已经制定了使用所有可应用网络通信数据的网络使用的全面基线剖写,专用任务的商业操作系统对于如由预设边界205所确定的基线活动异常连续地投票输入通信数据。异常活动的示例可以包括用户在快速会话中尝试获得对数个工作站或服务器的访问,或者用户尝试使用随机用户名或其他用户的用户名和密码获得对服务器的具有敏感信息的服务器域访问,或者由任何用户尝试强力破解特权用户的密码,或者重放近期发起的ACTIVE DIRECTORYTM/Kerberos票准许票,或者使用伪造SAML AO,或者存在于任何已知、正在进行的网络上开发或引入已知恶意软件至网络,仅列举本领域技术人员已知的网络攻击剖写的很少量样本。预测并知晓已知开发的本发明设计用于分析任何异常网络行为,制定行为的可能结果,并随后发起任何所需的警报而不论攻击是否遵循已公开开发规范或展现对于正常网络实践的创新性特性偏离。一旦检测到可能的网络攻击,随后设计系统以使得对于答复方206其中可能的对于在减缓攻击和由此导致损害中的每个角色所需的信息得到定制。这可以包括提取在警报中所包括信息的子集并更新,且其中展示信息的格式可以通过企业现有的安全信息和事件管理系统。网络管理员随后可以接收信息诸如但不限于认为网络上攻击源自何处,相信什么系统当前受影响,预测攻击可以进展至何处的信息,什么企业信息有风险和关于抵抗入侵并减缓损伤的可动作推荐,而主信息安全官可以接收警报包括但不限于网络攻击的时间线,相信已暴露的服务和信息,如果已经采取了则什么动作用于减缓攻击,攻击可以如何展开的预测以及给出用以控制并抵制攻击的推荐207,尽管所有当事人可以访问他们已经在任何时刻批准访问的任何网络和网络攻击信息,除非被怀疑暴露。可以由系统206、207发起其他特殊定制的更新。
图3B是示出了用于检测欺诈装置并分析它们的威胁的进程200的通用流程的流程图。当装置连接至网络221时,连接立即发送至欺诈装置检测器222用于分析。如以下在300处所公开的,先进网络决策平台使用机器学习算法以分析系统宽数据以检测威胁。分析223连接的装置以评估其装置类型、设置和性能,存储在装置希望连接至的服务器上数据的敏感性,网络活动,服务器日志,远程查询,以及大量用以确定与装置相关联威胁程度的其他数据。如果威胁达到某一水平224,自动地防止装置访问网络225,且基于潜在的影响将基于上下文的对于最佳响应的战术推荐和潜在的威胁一起通知系统管理员226。否则,允许装置连接至网络227。
图3C是示出了用于检测并防止对网络特权升级攻击(例如“金票”攻击或“金SAML”攻击)的进程240的一般性流程的流程图。当使用数字签名或AO请求访问网络内服务器241时,将连接立即发送至特权升级攻击检测器242用于分析。如以下在300处所公开,先进网络决策平台使用机器学习算法以分析系统宽数据以检测威胁。分析243访问请求以使用数字签名验证、加上其他系统宽信息诸如所访问服务器的敏感性、数字签名或AO的新颖性、数字签名或AO先前使用、以及数字签名或AO有效性的其他措施而评估访问请求的有效性。如果评估确定访问请求表示重大威胁244,甚至不管数字签名的Kerberos验证或AO验证,自动地拒绝访问请求245,且基于潜在影响而将潜在威胁与基于上下文的对于最优响应的战术推荐一起通知系统管理员246。否则,批准访问请求247。
图3D是示出了用于管理与网络软件补丁相关联的弱点的进程260的一般性流程的流程图。作为连续操作基于风险的弱点和补丁管理监控器261的一部分,从网络之外的来源261以及网络内的来源263搜集数据。如以下在300处所公开,先进网络决策平台使用机器学习算法以分析系统宽数据以检测威胁。分析数据264以确定是否存在尚未创建和/或应用补丁的网络弱点。如果评估确定存在该弱点265,根据制造者推荐是否已经对所有软件打补丁,基于潜在影响将潜在弱点与基于上下文的对于最佳响应的战术推荐一起通知系统管理员266。否则,允许网络活动正常继续267。
图4A和图4B是示出了用于减缓网络攻击的商业操作系统功能的一般性流程300的流程图。可以将输入网络数据传递315至商业操作系统310用于作为其网络安全功能一部分的分析,输入网络数据可以包括网络流模式321,每片可测量网络通信量的源和目的地322,来自网络上服务器和工作站的系统日志323,端点数据323a,来自服务器或可应用安全信息和事件(SIEM)系统的任何安全事件日志数据324,外部威胁智能报料324a,身份或评估上下文325,外部网络健康或网络攻击报料326,Kerberos域控制器或ACTIVE DIRECTORYTM服务器日志或仪表327,以及商业单元性能相关数据328,在本发明设计用于分析并集成的许多其他可能数据类型之中。可以在网络安全系统中使用商业操作系统的专用网络安全、风险评估或公共功能的至少一个变换来自多个源的这些多类型数据以用于分析311,312,公共功能诸如但不限于网络和系统用户特权监督331,网络和系统用户行为分析332,攻击者和防御者动作时间线333,SIEM集成和分析334,动态基准标记335,以及事件识别和解决方案性能分析336,在其他可能的网络安全功能之中;风险值(VAR)建模和模拟341,不同类型数据违反的预期对比反应成本估算以建立优先权342,工作因子分析343,以及网络事件发现率344,作为系统的风险分析性能的一部分;以及格式化并输送定制报告和仪表板351的能力,按要求执行通用、特别数据分析352,对于精细改变或扩散信息威胁的连续地监控、处理和勘探输入数据353,以及产生网络-物理系统绘图354,作为商业操作系统的公共能力的一部分。可以使用输出317以配置网络网关安全应用361,通过预测基础设施推荐改变而帮助防止网络入侵362,在攻击循环早期将正在进行的网络攻击警告企业、可能阻挠其但是至少减缓损伤368,记录对于标准化指导或SLA需求的顺应性363,连续地探查现有网络基础设施并对于使得违背更可能的任何改变发出警报364,对于检测到的任何域控制器计票弱点提出建议方案365,检测恶意软件的存在366,以及取决于客户端指示而一次性或连续执行弱点扫描367。自然,这些示例仅是系统可能用途的子集,它们本质上是示例性的且并未反映本发明能力的任何边界。
图5是用于将网络攻击信息分段至合适的合作方的方法的流程图400。如前所公开200、351,先进网络决策平台的一个力量是对于特殊听众精细地定制报告仪表板的能力,同时是合适的。该定制由于商业操作系统的一部分专门编程以由包括具有其游戏引擎140a和脚本解释器140b的观察和状态评估服务140的模块展示结果而是可能的。在网络安全的设置中,专用警报的发布、更新和报告可以显著有助于以最及时的方式完成正确的减缓动作而同时保持以预设计的合适的粒度而告知所有参与方。一旦由系统401检测到网络攻击,分析关于正在进行的攻击和现有网络安全知识的所有可应用信息,包括通过接近实时的预测模拟402以开发当前事件的最精确评估以及关于攻击可以进展何处且可以如何减缓的可动作推荐。总体上产生的信息通常多于任何一个分组执行它们减缓任务所需。在这点处,在网络攻击期间,提供单个扩展的且总括一切的警报、仪表板图像或报告可以使得由每个参与方对决定性信息进行识别和动作变得更困难,因此聚焦网络安全的设置可以创建多重目标信息流,每个同时设计用于在攻击期间产生遍布企业的最快速和高效的动作,并以可以发布此后导致长期变化的推荐或信息的后续报告403。可以接收专用信息流的分组示例包括但不限于在攻击期间的前线应答器404,在攻击期间和之后的事件法庭支持405,主信息安全官406,和主风险官407,发送至后两者的信息聚焦于评估总损伤并在攻击之后实施减缓策略和预防性变化两者。前线应答器可以使用网络决策平台的已分析、变换并已校正的信息,其特殊地发送至它们404a以探查攻击的程度,隔离这些事物作为:预测攻击者至企业网络上的进入点,所涉及的系统或攻击的预测性终极目标,且可以使用系统的模拟能力以调查成功地终结攻击并以最高效方式抵抗攻击者的备选方法,尽管本领域技术人员已知的许多其他查询也由本发明可答复。模拟运行也可以包括对于企业IT系统和公司用户的正常和关键操作的任何攻击减缓动作的预测效果。类似地,主信息安全官可以使用网络决策平台以预测性分析406a什么公司信息已经被暴露,预测性模拟已经或尚未暴露的攻击的终极信息目标以及现在和近期未来可以干什么以保护该信息的攻击总影响。进一步,在攻击的追溯法庭检查期间,法庭应答器可以使用网络决策平台405a以通过预测模拟和大量数据分析清楚并完整地绘制网络基础设施的范围。法庭分析也可以使用平台采用渗透企业子网和服务器所用方法执行攻击级数的时序和基础设施空间分析的能力。此外,主风险官将执行盗取了什么信息和关于盗窃随着时间前进对于企业意味着什么的预测模拟的分析407a。额外地,可以利用系统的预测能力以帮助创建对于应该做出的IT基础设施变化的计划,这对于在公司现场可能有限的企业预算约束之下矫正网络安全风险是最佳以便于最大化财经结果。
图6是根据一个特征方面的使用施动者驱动的分布式计算图500快速预测分析非常大数据集的系统的示例性架构的视图。根据特征方面,DCG 500可以包括流水线编排器501,其可以用于对处理流水线内数据执行各种数据变换功能,且可以用于使能与任意数目各种服务和协议通信的消息收发系统510,中继消息并如需要的话将它们变换为协议专用API系统调用以用于与外部系统的互用性(而不是要求特定协议或服务集成至DCG 500中)。
流水线编排器501可以大量产生多个亲子流水线集群502a-b,其可以用作流送并行处理的专用工人。在一些设置中,整个数据处理流水线可以传递至亲子集群502a用于操纵而不是单个处理任务,使得每个亲子集群502a-b以专用方式操纵整个数据流水线以使用不同集群节点502a-b维持不同流水线的隔离处理。流水线编排器501可以提供软件API用于开始、停止、提交或保存流水线。当流水线开始时,流水线编排器501可以发送流水线信息至可应用的工人节点502a-b,例如使用AKKATM集群。对于由流水线编排器501所初始化的每个流水线,可以维持具有状态信息的报告对象。流送活动可以报告处理事件的最后时刻,以及已处理的事件数目。批活动可以报告当它们发生时的状态消息。流水线编排器501可以使用例如IGFSTM缓存文件系统执行批缓存。这允许流水线502a-b内的活动512a-d相互传递数据上下文,采用任何所需的参数配置。
流水线管理器511a-b可以对于每个新运行流水线大量产生,且可以用于发送活动、状态、寿命和事件计数信息至流水线编排器501。在特定流水线内,可以由流水线管理器511a-b创建多个活动施动者512a-d以操纵单个任务,并提供输出至数据服务522a-d。给定流水线中使用的数据模型可以由特殊流水线和活动确定,如由流水线511a-b所指引。每个流水线管理器511a-b控制并指引由其所产生的任何活动施动者512a-d的操作。流水线进程可以需要在任务之间协调流送数据。为此,流水线管理器511a-b可以产生服务连接器以动态地创建活动实例之间的TCP连接512a-d。可以对于每个单独活动512a-d维持数据上下文,且可以缓存以如需要的话提供至其他活动512a-d。数据上下文限定了活动如何访问信息,以及活动512a-d可以处理数据或简单地将其转发至下一步骤。在流水线步骤之间转发数据可以通过流送上下文或批上下文而路由发送数据。
客户端服务集群530可以操作多个服务施动者521a-d以服务活动施动者512a-d的请求,理想地维持足够服务施动者521a-d以支持每个服务类型一个活动。这些也可以设置在服务集群520a-d内,以类似于数据流水线中集群502a-b内活动施动者512a-d的逻辑组织的方式。记录服务530也可以用于在工作期间记录并采样DCG请求和消息,此时通知服务540可以用于在操作期间接收警报和其他通知(例如报告错误,其可以随后通过查看从记录服务530的记录而诊断),且可以外部连接至消息收发系统510,可以在操作期间添加、移除或修改记录和通知服务而并未影响DCG 500。可以使用多个DCG协议550a-b以在DCG 500和消息收发系统510之间提供结构化消息收发,或者使得消息收发系统510如所示跨服务集群520a-d而分布DCG消息。可以使用服务协议560以限定服务交互以便DCG 500可以修改而并未影响服务实施方式。以该方式,可以知晓的是,使用施动者驱动的DCG 500的系统的整体结构以模块化方式操作,使能各种部件的修改和替换而并未影响其他操作或需要额外重新配置。
图7是根据一个特征方面的使用施动者驱动的分布式计算图500快速预测分析非常大数据集的系统的示例性架构的视图。根据特征方面,变形消息收发布置可以利用消息收发系统510作为消息经纪,使用了流送协议610,立即使用消息收发系统510作为消息经纪发送和接收消息以如需要的话在服务施动者521a-b之间桥接通信。备选地,单个服务522a-b可以在批上下文620中直接地通信,使用数据上下文服务630作为经纪以批处理并在服务522a-b之间中继消息。
图8是根据一个特征方面的使用施动者驱动的分布式计算图500快速预测分析非常大数据集的系统的示例性架构的视图。根据特征方面,变形消息收发布置可以利用服务连接器710作为多个服务施动者521a-b之间的中央消息经纪,桥接了流送上下文610中的消息,此时数据上下文服务630继续在批上下文620中单个服务522a-b之间提供直接的对等消息收发。
应该知晓的是,上述系统变形的各种组合和布置(参照图1A-8)是可能的,例如对于由流水线管理器511a-b所指引的一个数据流水线使用一个特定消息收发布置,而另一个流水线可以利用不同的消息收发布置(或者可以根本不利用消息收发)。以该方式,单个DCG500和流水线编排器501可以以最适合于它们特定需求的方式操作单个流水线,如图6中以上所述通过设计模块化而使得动态布置成为可能。
检测网络威胁的另一方式可以是通过对用户和装置行为模式的连续监控和分析。当关于开发存在很少可应用信息例如新研发的恶意软件时,该方法可以是特别有用的。图9是根据一个特征方面的用于用户和实体行为分析系统的示例性架构800的视图。架构800可以包括多个用户805a-n,其可以是单个或相连的装置,连接至用户和实体行为分析系统810。系统810可以包括分组引擎813,行为分析引擎819,监控服务822,以及用于存储所收集和已处理数据的多维时序数据存储120。分组引擎813可以配置用于收集并识别用户交互和相关度量,其可以包括交互量、交互频率等等。分组引擎813可以使用图形堆栈服务145和DCG模块155以图形格式转换并分析数据。交互数据可以随后用于将用户805a-n划分为多个分组816a-n。分组可以是基于部门、项目团队、交互频率,以及可以用户定义的其他度量。分组可以不是永久的,且可以当分组动态改变时调节并实时改变。这可以由系统810自动化,或者管理员用户可以手动改变分组。
行为分析引擎819可以批处理和聚集整体使用日志、访问日志、KERBEROS会话数据、SAML会话数据、或通过本领域通常使用的其他网络监控工具诸如BRO或SURICATA所收集的数据。聚集的数据随后可以用于为由分组引擎813所建立的每个分组产生行为基线。行为分析引擎819可以使用图形堆栈服务145和DCG模块155以使用各种机器学习模型以图形格式转换并分析数据,且也可以使用并行计算处理数据以快速地处理大量数据。模型可以容易地添加至系统。也可以配置行为分析引擎819以使用自然语言处理处理内部通信诸如电子邮件。这可以提供对于当前分组动态的额外见识以便可以建立更精确的基线,或者可以提供对于用户健康和情绪的见识。
监控服务822可以基于已建立的基线对于异常行为主动地监控分组。例如,监控服务822可以使用ACDP系统100的数据流水线或多维时序数据存储120以进行各种网络资源传感器的实时监控。可以监控的特征方面可以包括但不限于,异常网络浏览,例如,访问的各别域的数目超过预定阈值;异常数据漏出,例如,传出数据量超过预定阈值;不正常域访问,例如,在已建立分组内构成几个组元的子组通过在某一时间帧内访问异常域预定次数而展现异常浏览行为;异常登录次数,例如,用户在业余时间登入工作站;不可能的登录位置,例如,用户使用账号在某一时间帧内从可以物理不可能的两个相异位置登入;异常服务访问,例如,异常应用访问或使用模式;以及新机器,例如,用户登入并非通常所访问的机器或服务器。
示例性特征方面的详细说明
图10是根据一个特征方面的用于网络安全行为分析的示例性方法1000的流程图。根据特征方面,行为分析可以利用来自多个现有端点的被动信息报料(例如包括但不下雨网络上用户活动,网络性能,或装置行为)以产生安全解决方案。在初始步骤1001中,网络爬虫115可以被动地收集活动信息,其可以随后使用DCG 155处理1002以分析行为模式。基于该初始分析,可以识别1003异常行为(例如基于与已建立模式或趋势的变化阈值)诸如高风险用户或恶意软件操作者诸如机器人。可以随后使用1004这些异常行为以分析潜在的攻击角度并随货基于该二级分析和由动作结果模拟模块125所产生的预测产生1005安全建议以确定改变的可能效果。随后如需要的话可以自动地实施1006所建议的行为。被动监控1001随后继续,在实施1006了新安全方案之后收集信息,当观察并分析安全改变与所观察行为和威胁之间的关系时使能机器学习改进随时间变化的操作。
用于行为分析的该方法1000使能针对各种网络攻击威胁的前摄和高速反应防御能力,包括异常人类行为以及非人类“坏施动者”诸如可以探查并随后利用已有弱点的自动软件机器人。以该方式使用自动化行为学习提供了比人工干预远远更响应的解决方案,使能对于威胁的快速响应以减缓任何潜在的影响。利用机器学习行为进一步增强了该方案,提供了在发生威胁时单纯对于威胁做出反应的简单自动化方案中不可能的额外前摄行为。
图11是根据一个特征方面的用于测量网络安全攻击效果的示例性方法1100的流程图。根据特征方面,可以使用DCG 500测量攻击的影响评估以分析用户账号并识别其访问能力1101(例如,账号可以已经访问的什么文件、目录、装置或域)。这可以随后用于产生1102对于账号的影响评估得分,表示了应该认为暴露的潜在风险。在事故的事件中,对于任何暴露账号的影响评估得分可以用于产生“爆发半径”计算1103,精确地识别了作为入侵的结果什么资源处于风险以及安全员应该聚焦他们的关注于何处。为了通过模拟模块125提供前摄安全推荐,可以运行1104模拟的入侵以识别对于各种攻击的潜在爆发半径计算并确定1105高风险账号或资源以便可以在那些关键区域改进安全性而不是聚焦于反应方案。
图12是根据一个特征方面的用于连续网络安全监控和探查的示例性方法1200的流程图。根据特征方面,状态观察服务140可以从各种连接系统1201诸如(例如但不限于)服务器、域、数据库或用户目录接收数据。该信息可以连续地接收,随时间变化被动地收集事件并监控活动而同时将收集到的信息馈送1202至图形服务145中以用于产生随时间变化的状态和变化的时序图1203。随后可以使用该收集的时序数据以产生随时间变化的改变的可视化1204,将收集到的数据量化为有意义且可理解的格式。当记录新事件时,诸如改变用户角色或许可、修改服务器或数据结构、或者安全基础设施内的其他改变,将这些事件自动地并入时序数据中并据此更新可视化,以高亮凸显有意义数据的方式提供了信息健康的实况监控而并未由于待检查数据点的量而丢失细节。
图13是根据一个特征方面的用于绘制网络-物理系统图(CPG)的示例性方法1300的流程图。根据特征方面,网络-物理系统图可以包括在安全基础设施中装置和资源之间的层级和关系的可视化,将对于安全员和用户容易可理解的物理装置关系置于安全信息上下文中。在初始步骤1301中,可以在图形服务145处接收行为分析信息(如前所述,参照图10)用于包括在CPG中。在接下来步骤1302中,可以接收影响评估得分(如前所述,参照图11)且并入CPG信息中,添加风险评估上下文至行为信息。在接下来步骤1303中,可以接收并包括时序信息(如前所述,参照图12),当改变发生且录入事件时更新CPG信息。该信息可以随后用于产生1304将物理关系(诸如用户个人计算机或智能电话,或者服务器之间物理连接)与逻辑关系(诸如访问特权或数据库连接)相关联的用户、服务器、装置和其他资源的图形可视化,以产生反映了基础设施中存在的内部关系的当前状态的安全基础设施的有意义且上下文化的可视化。
图14是根据一个特征方面的用于连续网络回弹计分的示例性方法1400的流程图。根据特征方面,可以使用基线得分以度量对于网络基础设施的整体风险等级,且可以通过首先收集1401关于已公开弱点诸如(例如)使用互联网或公共弱点和探查(CVE)进程的信息而编译。随货可以将该信息并入1402CPG中如前图13中所述,且随后可以分析1403CPG与已知弱点的组合数据以识别由基础设施部件所暴露的弱点和风险之间的关系。这产生了组合CPG 1404,其包括了网络资源、用户账号和装置的内部风险等级以及基于已知弱点和安全风险分析的实际风险等级。
图15是根据一个特征方面的用于网络安全特权监督的示例性方法1500的流程图。根据特征方面,可以对于用户账号、证书、目录、和其他基于用户的特权和访问信息而收集1501时序数据(如上所述,参照图12)。随后可以分析1502该数据以识别可以影响安全性的随时间变化,诸如修改用户访问特权或添加新用户。可以针对CPG检查1503分析的结果(如图13中之前所述),以将用户目录变化与实际基础设施状态比较并相关联。该比较可以用于执行精确的且上下文增强的用户目录审计1504,其不仅识别当前用户证书和其他用户专用信息,也识别随时间变化的该信息改变以及关于实际基础设施的用户信息(例如批准访问装置的证书,且由于从用户目录单独并非直接明显的装置关系而可以因此暗示地准予额外访问)。
图16是根据一个特征方面的用于网络安全风险管理的示例性方法1600的流程图。根据特征方面,之前所述的多个方法可以组合以通过首先接收1601对于基础设施的时序数据(如前所述,图12中)以提供网络事件的实况监控而当它们发生时提供攻击的实况评估。该数据随后采用CPG(如上图13中所述)增强1602以将事件与实际基础设施元件诸如服务器或账号相关联。当出现1603事件(例如针对脆弱系统或资源的尝试攻击)时,在时序数据中记录事件1604,并针对CPG比较1605以确定影响。这对于任何受影响的资源通过包括影响评估信息而增强1606,且随后针对基线得分检查攻击1607以确定攻击影响的全部范围以及对于基础设施或政策的任何必需修改。
图17是根据一个特征方面的用于减缓已暴露证书威胁的示例性方法1700的流程图。根据特征方面,可以对于目录中用户账号收集1701影响评估得分(如前所述,参照图11),以便在实际攻击事件之前已知任何给定证书攻击的潜在影响。该信息可以与CPG组合1702,如之前图13中所述,以在基础设施内上下文化影响评估得分(例如,以便其可以预测对于任何给定证书攻击什么系统或资源可以有风险)。随后可以执行模拟攻击1703以使用机器学习以改进安全性而无需等待实际攻击触发反应响应。可以响应于1704确定模拟攻击的效果而使用爆发半径评估(如上图11中所述)并识别弱点,以及产生推荐报告1705用于针对未来攻击改进并增强基础设施。
图18是根据一个特征方面的用于动态网络和欺诈装置发现的示例性方法1800的流程图。根据特征方面,先进网络决策平台可以连续地实时监控网络1801,当它们发生时检测任何改变。当检测到新连接时1802,可以采用新连接信息更新1803CPG,这可以随后针对网络的回弹得分1804比较以检查潜在风险。也可以检查1805对于连接中所涉及任何其他装置的爆发半径度量,以检查对于潜在风险的连接的上下文(例如,对于具有敏感信息的内部数据服务器的未知连接可以视为风险远高于对于面向外部的网络服务器的已知连接)。如果连接有风险,可以采用对连接的上下文信息发送警报至管理员1806以提供相关细节的简洁通知用于快速操纵。
图19是根据一个特征方面的用于Kerberos“金票”攻击和“金SAML”攻击检测的示例性方法1900的流程图。为了检测这些攻击形式,可以利用行为分析以检测错误发起的认证票或伪造AO,是否来自不正确配置或来自攻击。根据特征方面,先进网络决策平台可以连续地监控网络1901,实时告知CPG与人、位置、装置或服务相关联的所有通信量1902。当它们实时出现时机器学习算法检测行为异常1903,将异常事件的评估以及对于特定事件的爆发半径得分和网络回弹性得分通知管理员1904以通知网络的整体健康。通过自动地检测异常行为并将异常与事件和网络的上下文信息一起告知管理员,当做出新认证连接时立即检测到暴露的票。
图20是根据一个特征方面的用于基于风险的弱点和补丁管理的示例性方法2000的流程图。根据特征方面,先进网络决策平台可以监控关于网络的所有信息2001,包括(但不限于)装置遥测数据,日志文件,连接和网络事件,部署软件版本,或上下文用户活动信息。该信息包括至CPG 2002中以维持实时网络的最新模型。当发现新弱点时,可以评估爆发半径得分2003且如需要的话更新2004网络的回弹性得分。随后可以产生安全警报2005以将弱点和影响通知管理员,且可以将已提出的补丁与补丁对于弱点的爆发半径的预测效果和整体网络回弹性得分一起展示2006。这确定了任何特定弱点的总影响风险,以及作为整体的每个弱点对于网络的整体影响。可以使用该连续网络评估以收集关于新弱点的信息并开发以在攻击出现之前提供具有清晰结果预测的前摄解决方案。
图21是根据一个特征方面的用于建立用户分组的示例性方法2100的流程图。在初始步骤2103处,由分组引擎搜集属于用户和装置之间网络交互的数据。在步骤2106处,分组引擎可以随后通过将其转换为图形格式并使用DCG模块建立对于用户分组而处理已搜集的信息。系统管理员可以提供额外输入,且如果需要的话细化分组。在步骤2109处,对于可以是基于交互信息、网络日志、连接装置等等的每个分组建立行为基线。在步骤2112处,连续监控分组的异常行为。
图22是根据一个特征方面的用于监控分组异常行为的示例性方法2200的流程图。在初始步骤2203处,如上图8中所述,系统搜集网络相关数据。该数据可以包括使用日志,Kerberos会话数据,SAML会话数据,连接至网络的计算机和其他装置,活跃用户,已安装的软件等等。在步骤2206处,行为分析引擎可以处理数据。可以使用并行计算以加速数据的处理。随后可以由之前已建立的分组而对数据分类并与其相关联。在步骤2209处,基于数据处理的结果对每个分组产生行为基线得分。在步骤2212处,将数据存储至时序图形数据库中。过程周期性重复以及时创建各个时刻的快照,并存储至数据库中。这可以允许系统重新训练基线以考虑可以随时间变化出现的非异常基线变化,以及使用ACDP系统100的预测分析功能预测分组动态的变化。
图23是根据一个特征方面的用于操纵异常行为检测的示例性方法2300的流程图。在初始步骤2303处,系统检测来自分组的异常用户行为。这可以是基于与已建立基线的比较,或者在例行监控期间捕捉的高优先级事件,例如装置访问黑名单域。在步骤2306处,系统调查异常行为源自的分组。这可以包括使用和访问日志的更全面分析。如果可应用,可以在具有较低访问特权的那些之前调查具有较高访问特权的用户或装置。在步骤2309处,识别异常行为的源,且可以采取一些校正措施。例如,可以将侵犯性装置或用户账号封锁在网络之外直至已经实施了解决方案。在步骤2312处,可以通知分组成员和系统管理员。系统可以利用以上所述的各种技术以推荐校正动作,或者系统可以自动地采取动作。
图24是说明了根据一个特征方面的用于处理新用户连接的示例性方法2400的流程图。在初始步骤2403处,系统910检测连接至被监控服务提供者的用户。在步骤2406处,如果用户与现有的AO连接,进程导致步骤2409处图25中所述的方法。
如果用户并未具有现有的AO,在步骤2412处服务提供者将用户转发至身份提供者。在步骤2415处,身份提供者促使用户识别信息,诸如用户名和密码。在步骤2418处,在成功验证之后,IdP产生对于用户的独特AO。在步骤2421处,系统910检索AO并使用散列引擎以计算对于新产生AO的加密散列,并在数据存储中存储散列。
图25是说明了根据一个特征方面的用于验证认证对象的真实性的示例性方法2500的流程图。在初始步骤2503处,具有AO的用户连接至被监控服务提供者。在步骤2506处,系统910检测连接请求,检索AO,并未AO产生加密散列。系统910可以现在将新产生的散列与存储器中存储的之前所产生散列比较。在步骤2509处,如果发现AO是可信的,连接进程正常进行且当该会话无需进一步动作时方法2500结束于步骤2512处。如果确定AO是伪造的,方法2500进至步骤2515,其中可以触发每个ECA规则以执行它们预设的功能,并在用户可配置的时间段内执行“断路器”校验。在步骤2518处,可以通知步骤处网络管理员,且发送任何相关联信息,诸如爆发半径、对于所伪造AO连接的访问日志等等。
硬件架构
通常,在此所公开的技术可以实施在硬件或者软件与硬件的组合上。例如,它们可以实施在操作系统内核中,在分立的用户进程中,在绑定至网络应用中的库数据包中,在特殊构造的机器上,在专用集成电路(ASIC)上,或者在网络接口卡上。
在此所公开的特征方面的至少一些的软件/硬件混合实施方式可以实施在由存储在存储器中的计算机程序选择性激活或重配置的可编程网络驻留机器(可以理解为包括间歇相连的知晓网络的机器)上。该网络装置可以具有多个网络接口,其可以配置或设计用以利用不同类型的网络通信协议。可以在此描述用于这些机器的一些的通用架构以便于说明可以由此实施给定功能单元的一个或多个示例性机制。根据特殊特征方面,在此所公开的各个特征方面的特征或功能的至少一些可以实施在于一个或多个网络相关联的一个或多个通用计算机上,诸如例如终端用户计算机系统,客户端计算机,网络服务器或其他服务器系统,移动计算装置(例如平板计算装置、移动电话、智能电话、膝上型计算机、或其他合适的计算装置),消费者电子装置,音乐播放器,或任何其他合适的电子装置,路由器,交换器,或其他合适的装置,或其任意组合。在至少一些特征方面中,在此所公开各个特征方面的特征或功能的至少一些可以实施在一个或多个虚拟化计算环境中(例如网络计算云,驻留在一个或多个物理计算机器上的虚拟机,或其他合适的虚拟环境)。
现在参照图26,示出描绘了适用于实施在此所公开特征或功能的至少一部分的示例性计算装置10的方框图。计算装置10可以例如是之前段落中所列计算机器的任意一个,或者实际上能够根据存储在存储器中的一个或多个程序执行基于软件或硬件的指令的任何其他电子装置。计算装置10可以配置用于使用已知的用于该通信的无线或有线协议在通信网络诸如广域网、城域网、局域网、无线网络、互联网、或任何其他网络之上与多个其他计算装置诸如客户端或服务器通信。
在一个特征方面中,计算装置10包括一个或多个中央处理单元(CPU)12,一个或多个接口15,和一个或多个总线14(诸如外围部件互联(PCI)总线)。当在合适的软件或固件的控制之下动作时,CPU 12可以负责实施与特殊配置的计算装置或机器的功能相关联的特殊功能。例如,在至少一个特征方面中,可以配置或设计计算装置10以用作利用了CPU 12、本地存储器12和/或远程存储器16、以及接口15的服务器系统。在至少一个特征方面中,可以使得CPU 12在软件模块或部件的控制之下执行不同类型功能和/或操作的一个或多个,软件模块或部件可以例如包括操作系统和任何合适的应用软件、驱动器等等。
CPU 12可以包括一个或多个处理器13,诸如例如,来自Intel,ARM,Qualcomm,和AMD微处理器系列之一的处理器。在一些特征方面中,处理器13可以包括特殊设计的硬件诸如专用集成电路(ASICs)、电可擦除可编程只读存储器(EEPROMs)、现场可编程门阵列(FPGAs)等等,用于控制计算装置10的操作。在特定特征方面中,本地存储器11(诸如非易失性随机访问存储器(RAM)和/或只读存储器(ROM),包括例如一级或多级高速缓存)也可以形成CPU 12的一部分。然而,存在其中存储器可以耦合至系统10的许多不同方式。存储器11可以用于各种目的诸如例如缓存和/或存储数据,编程指令等等。应该进一步知晓,CPU 12可以是可以包括额外硬件诸如存储器或图形处理芯片的各种芯片上系统(SOC)型硬件的一个,诸如本领域越来越常见的QUALCOMM SNAPDRAGONTM或SAMSUNG EXYNOSTMCPU,诸如用于移动装置或集成装置中。
如在此所使用的,术语“处理器”不仅限于本领域涉及的那些集成电路诸如处理器、移动处理器或微处理器,也广泛地涉及微控制器、微计算机、可编程逻辑控制器、专用集成电路、以及任何其他可编程电路。
在一个特征方面中,提供接口15作为网络接口卡(NICs)。通常,NICs控制在计算机网络之上数据包的发送和接收;其他类型接口15可以例如支持用于计算装置10的其他外设。在可以提供的接口之中是以太网接口,帧中继接口,电缆接口,DSL接口,令牌环接口,图形接口等等。此外,可以提供各种类型接口诸如例如通用串行总线(USB)、串行、以太网、FIREWIRETM、THUNDERBOLTTM、PCI、并行、射频(RF)、BLUETOOTHTM、近场通信(例如使用近场磁体)、802.11(WiFi)、帧中继、TCP/IP、ISDN、快速以太网接口、吉比特以太网接口、串行ATA(SATA)或外部SATA(ESATA)接口、高清多媒体接口(HDMI)、数字通用接口(DVI)、模拟或数字音频接口、异步传输模式(ATM)接口、高速串行接口(HSSI)接口、销售点(POS)接口、光纤数据分布接口(FDDIs)等等。通常,该接口15可以包括适用于与合适的媒介通信的物理端口。在一些情形中,它们也可以包括独立的处理器(诸如专用音频或视频处理器,如本领域通常用于高清A/V硬件接口),且在一些情形中,易失性和/或非易失性存储器(例如RAM)。
尽管图26中系统说明了用于实施在此所述一个或多个特征方面的计算装置的一个具体架构,其绝非意味着仅其上可以实施在此所述特征和技术的至少一部分的装置架构。例如,可以使用具有一个或任意数目处理器13的架构,且该处理器13可以存在于单个装置中或分布在任意数目装置之中。在一个特征方面中,单个处理器13操纵通信以及路由计算,而在其他特征方面中可以提供分立的专用通信处理器。在各个特征方面中,可以在包括客户端装置(诸如运行客户端软件的平板装置或智能电话)和服务器系统(诸如以下更详细描述的服务器系统)的根据特征方面的系统中实施不同类型特征或功能。
不论网络装置配置,特征方面的系统可以采用配置用于存储通用网络操作所用数据、程序指令、或者与在此所述特征方面的功能相关的其他信息(或以上的任意组合)的一个或多个存储器或存储器模块(诸如,例如,远程存储器块16和本地存储器11)。程序指令可以控制操作系统和/或一个或多个应用的执行,或者包括操作系统和/或一个或多个应用,例如。存储器16或者存储器11、16也可以配置用于存储数据结构,配置数据,加密数据,历史系统操作系统,或者在此所述的任何其他专用或通用非程序信息。
因为可以采用该信息和程序指令以实施在此所述的一个或多个系统或方法,至少一些网络装置特征方面可以包括非临时机器可读存储媒介,其例如可以配置或设计用于存储程序指令、状态信息等等用于执行在此所述的各个操作。该非临时机器可读存储媒介的示例包括但不限于,磁性媒介诸如硬盘、软盘和磁带;光学媒介诸如CD-ROM盘;磁-光媒介诸如光盘,以及特殊配置用以存储和执行程序指令的硬件装置,诸如只读存储器装置(ROM)、闪存(如在移动装置和集成系统中常用的)、固态驱动(SSD)和可以在单个硬件装置中组合固态物理部件和硬盘驱动的“混合SSD”存储驱动(如在关于个人计算机的领域中变得越来越普遍)、忆阻器、随机访问存储器(RAM)等等。应该知晓,该存储机制可以是整体且不可移除的(诸如可以焊接至母板上或者另外集成至电子装置中的RAM硬件模块),或者它们可以是可移除的诸如可交换闪存模块(诸如“拇指驱动”或设计用于快速交换物理存储装置的其他可移除媒介)、“可热交换”硬盘驱动或固态驱动、可移除光学存储盘、或其他这种可移除媒介,并且该整体和可移除存储媒介可以可互换地利用。程序指令的示例包括诸如可以由编译器产生的对象代码,诸如可以由汇编器或链接器产生的机器代码,诸如可以由例如JAVATM编译器产生并可以使用Java虚拟机或等价物执行的字节代码,或者包含了可以由计算机使用解释器执行的更高级代码的文件(例如以Python,Perl,Ruby,Groovy或任何其他脚本语言编写的脚本)。
在一些特征方面中,系统可以实施在独立计算系统上。现在参照图27,示出了描绘了在独立计算系统上一个或多个特征方面或其部件的典型示例性架构的方框图。计算装置20包括可以运行可以执行特征方面的一个或多个功能或应用诸如例如客户端应用24的软件的处理器21。处理器21可以在操作系统22的控制之下执行计算指令,操作系统诸如例如MICROSOFT WINDOWSTM操作系统、APPLE macOSTM或iOSTM操作系统、一些各种Linux操作系统、ANDROIDTM操作系统等等的版本。在许多情形中,一个或多个共用服务23可以在系统20中可操作,且可以有助于向客户端应用24提供公共服务。服务23可以例如是WINDOWSTM服务、Linux环境中的用户-空间公共服务、或操作系统21所使用的任何其他类型公共服务。输入装置28可以是适用于接收用户输入的任何类型,包括例如键盘、触摸屏、话筒(例如用于语音输入)、鼠标、触摸垫、轨迹球、或其任意组合。输出装置27可以是适用于向一个或多个用户提供输出的任何类型,不论对系统20是远程或本地的,且可以包括例如用于视觉输出的一个或多个屏幕、扬声器、打印机、或其任意组合。存储器25可以是具有本领域已知的任何结构和架构的、由处理器21使用例如以运行软件的随机访问存储器。存储装置26可以是用于以数字形式存储数据的任何磁性、光学、机械、忆阻器、或电存储装置(诸如以上参照图26所述的那些)。存储装置26的示例包括闪存、磁硬盘驱动、CD-ROM等等。
在一些特征方面中,系统可以实施在分布式计算网络上,诸如具有任意数目客户端和/或服务器的一个。现在参照图28,示出了描绘了用于在分布式计算网络上实施根据一个特征方面的系统的至少一部分的示例性架构30的方框图。根据特征方面,可以提供任意数目的客户端33。每个客户端33可以运行用于实施系统的客户端侧部分的软件;客户端可以包括诸如图27中所示的系统20。此外,可以提供任意数目服务器32用于操纵从一个或多个客户端33接收的请求。客户端33和服务器32可以经由一个或多个电子网络31相互通信,电子网络可以在各个特征方面中是互联网、广域网、移动电话网络(诸如CDMA或GSM蜂窝网络)、无线网络(诸如WiFi、WiMAX、LTE等等)或局域网(或实际上本领域已知的任何网络拓扑;特征方面并未在任何其他之上优选任何一个网络拓扑)的任意。网络31可以使用任何已知的网络协议诸如例如有线和/或无线协议而实施。
此外,在一些特征方面中,服务器32当需要获得额外信息或者涉及关于特定调用的额外数据时可以调用外部服务37。与外部服务37的通信可以例如经由一个或多个网络31而发生。在各个特征方面中,外部服务37可以包括与安装在硬件装置自身上相关的网络使能的服务或功能。例如,在一个特征方面中客户端应用24实施在智能电话或其他电子装置上,客户端应用24可以获得存储在云中的服务器系统32中、或部署在特定企业或用户房产的一个或多个上的外部服务37上的信息。
在一些特征方面中,客户端33或服务器32(或两者)可以利用可以本地部署或远程地跨一个或多个网络31部署的一个或多个专用服务或应用。例如,一个或多个数据库34可以由一个或多个特征方面使用或涉及。本领域技术人员应该理解,数据库34可以以广泛各种架构而设置并使用广泛各种数据访问和操纵机制。例如,在各个特征方面中一个或多个数据库34可以包括使用结构化查询语言(SQL)的相关数据库系统,而其他的可以包括备选的数据存储技术诸如本领域称作“NoSQL(例如HADOOP CASSANDRATM,GOOGLE BIGTABLETM等等)”的那些。在一些特征方面中,变型数据库架构诸如面向列的数据库、内存储数据库、集群数据库、分布式数据库,或者可以根据特征方面使用甚至扁平文件数据储存库。本领域技术人员应该知晓,如合适地可以使用已知或未来数据库技术的任意组合,除非特定数据库技术或部件的特殊布置专用于在此所述的特殊特征方面。此外应该知晓,如在此使用的术语“数据库”可以涉及物理数据库机器,用作单个数据库系统的机器集群,或者在整体数据库管理系统内的逻辑数据库。除非特殊含义专用于术语“数据库”的给定用途,应该理解为意味着这些词语含义的任意,所有这些应该由本领域技术人员理解为术语“数据库”的普通含义。
类似地,一些特征方面可以利用一个或多个安全系统36和配置系统35。安全和配置管理是公共信息技术(IT)和网络功能,且每个的一些量通常与任何IT或网络系统相关联。本领域技术人员应该理解,本领域现在或未来已知的任何配置或安全子系统可以与特征方面不受限制的结合使用,除非特殊安全36或配置系统35或方案由任何特殊特征方面的说明而特殊地要求。
图29示出了可以用在遍布系统的任意各个位置的计算机系统40的示例性概图。其是可以执行代码以处理数据的任何计算机的示例。可以对计算机系统40做出各种修改和改变而并未脱离在此所公开系统和方法的更宽范围。中央处理单元(CPU)41连接至总线42,总线也连接至存储器43、非易失性存储器44、显示器47、输入/输出(I/O)单元38、和网络接口卡(NIC)53。I/O单元48可以通常连接至键盘49、指针装置50、硬盘52和实时时钟51。NIC 53连接至网络54,其可以是互联网或本地网,本地网可以具有或不具有至互联网的连接。作为系统40的一部分也示出了在该示例中连接至主交流(AC)电源46的电源单元45。未示出可以存在的电池,以及本领域已知但是不可应用于在此所公开当前系统和方法的特殊创新功能的许多其他装置和修改。应该知晓,所示的一些或所有部件可以组合,诸如在各种集成应用中,例如Qualcomm或Samsung芯片上系统(SOC)装置,或者可以合适地将多个性能或功能组合至单个硬件装置中(例如在移动装置诸如智能电话、视频游戏控制器、车载计算机系统诸如汽车中的导航或多媒体系统、或者其他集成硬件装置中)。
在各个特征方面中,用于实施各个特征方面的系统或方法的功能可以分布在任意数目客户端和/或服务器部件之中。例如,各个软件模块可以实施用于结合任意特定特征方面的系统而执行各种功能,且该模块可以各种不同地实施以运行在服务器和/或客户端部件上。
本领域技术人员将知晓上述各个特征方面的可能修改范围。因此,本发明由权利要求及其等价形式所限定。

Claims (13)

1.一种用于检测并减缓伪造认证对象攻击的系统,包括:
认证对象检查器,包括至少处理器、存储器、和存储在所述存储器中并运行在所述处理器上的多个编程指令,其中当运行在所述处理器上时所述可编程指令使得所述处理器:
观察由身份提供者所产生的新认证对象;以及
检索所述新认证对象;
将所述新认证对象发送至散列引擎;以及
散列引擎,包括至少处理器、存储器、和存储在所述存储器中并运行在所述处理器上的多个编程指令,其中当运行在所述处理器上时所述可编程指令使得所述处理器:
从所述认证对象检查器检索所述新认证对象;
通过对所述新认证对象执行至少多个计算和变换而计算用于所述新认证对象的加密散列;以及
在数据存储中存储所述用于新认证对象的加密散列;以及
其中,一旦观察到对于与所述身份提供者相关联并伴随第二认证对象的联合服务的后续访问请求,所述认证对象检查器检索所述第二认证对象并将所述认证对象发送至所述散列引擎,所述散列引擎产生用于所述第二认证对象的加密散列并通过至少将用于引入的认证对象的加密散列与所述数据存储中之前产生的加密散列比较而验证引入的认证对象。
2.根据权利要求1所述的系统,进一步包括事件-规则-条件引擎,包括至少处理器、存储器、和存储在所述存储器中并运行在所述处理器上的多个编程指令,其中当运行在所述处理器上时所述可编程指令使得所述处理器:
一旦检测到无效认证对象从所述数据存储检索至少预定的事件-条件-动作规则;以及
执行如在所述预定的事件-条件-动作规则中所指示的命令。
3.根据权利要求2所述的系统,其中,多个事件-条件-动作规则嵌套以创建一系列电路断路器校验以减缓通过使用伪造认证对象的未授权访问。
4.根据权利要求1所述的系统,其中,一旦检测到无效认证对象,通知管理员用户,并提供与所述无效认证对象相关联的访问数据。
5.根据权利要求3所述的系统,其中,所述访问数据的至少一部分包括由所述无效认证对象的拥有者所访问的资源。
6.根据权利要求3所述的系统,其中,所述访问数据的至少一部分包括与所述无效认证对象的拥有者相关联的爆发半径数据。
7.一种用于产生用于新认证对象的散列的方法,包括步骤:
(a)接收请求以使用散列引擎计算用于由身份提供者所产生认证对象的加密散列;
(b)通过使用所述散列引擎对所述新认证对象执行至少多个计算和变换而产生所述加密散列;以及
(c)在数据存储中存储所述加密散列。
8.一种用于检测并减缓伪造认证对象攻击的方法,包括步骤:
(a)使用认证对象检查器检索引入的认证对象;
(b)使用所述认证对象检查器将所述引入的认证发送至散列引擎;
(c)通过使用所述散列引擎对所述引入的认证对象执行至少多个计算和变换而产生加密散列;
(d)使用所述散列引擎检索至少之前产生的加密散列;以及
(e)通过至少将用于所述引入认证对象的加密散列与之前产生的加密散列比较而验证所述引入的认证对象。
9.根据权利要求8所述的方法,进一步包括步骤:
(a)使用事件-规则-条件引擎一旦检测到无效认证对象从所述数据存储检索至少预定的事件-条件-动作规则;以及
(b)使用所述事件-规则-条件引擎执行如在所述预定的事件-条件-动作规则中所指示的命令。
10.根据权利要求9所述的方法,其中,多个事件-条件-动作嵌套以创建一系列电路断路器校验以减缓通过使用无效认证对象的未授权访问。
11.根据权利要求8所述的方法,其中,一旦检测到无效认证对象,通知管理员用户,并提供与所述无效认证对象相关联的访问数据。
12.根据权利要求11所述的方法,其中,所述访问数据的至少一部分包括由所述无效认证对象的拥有者所访问的资源。
13.根据权利要求11所述的方法,其中,所述访问数据的至少一部分包括与所述无效认证对象的拥有者所关联的爆发半径数据。
CN201880076822.4A 2017-12-07 2018-12-07 使用先进网络决策平台检测并减缓伪造认证对象攻击 Withdrawn CN111492360A (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201762596105P 2017-12-07 2017-12-07
US62/596,105 2017-12-07
US15/837,845 US11005824B2 (en) 2015-10-28 2017-12-11 Detecting and mitigating forged authentication object attacks using an advanced cyber decision platform
US15/837,845 2017-12-11
PCT/US2018/064541 WO2019113492A1 (en) 2017-12-07 2018-12-07 Detecting and mitigating forged authentication object attacks using an advanced cyber decision platform

Publications (1)

Publication Number Publication Date
CN111492360A true CN111492360A (zh) 2020-08-04

Family

ID=66751780

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201880076822.4A Withdrawn CN111492360A (zh) 2017-12-07 2018-12-07 使用先进网络决策平台检测并减缓伪造认证对象攻击

Country Status (3)

Country Link
EP (1) EP3721364A4 (zh)
CN (1) CN111492360A (zh)
WO (1) WO2019113492A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112532642A (zh) * 2020-12-07 2021-03-19 河北工业大学 一种基于改进Suricata引擎的工控系统网络入侵检测方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7222366B2 (en) * 2002-01-28 2007-05-22 International Business Machines Corporation Intrusion event filtering
US9191215B2 (en) * 2003-12-30 2015-11-17 Entrust, Inc. Method and apparatus for providing authentication using policy-controlled authentication articles and techniques
US20110087888A1 (en) * 2009-10-13 2011-04-14 Google Inc. Authentication using a weak hash of user credentials
US9729538B2 (en) * 2014-09-01 2017-08-08 Microsoft Israel Research And Development (2002) Ltd System, method and process for detecting advanced and targeted attacks with the recoupling of kerberos authentication and authorization

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112532642A (zh) * 2020-12-07 2021-03-19 河北工业大学 一种基于改进Suricata引擎的工控系统网络入侵检测方法
CN112532642B (zh) * 2020-12-07 2022-05-20 河北工业大学 一种基于改进Suricata引擎的工控系统网络入侵检测方法

Also Published As

Publication number Publication date
EP3721364A1 (en) 2020-10-14
EP3721364A4 (en) 2021-08-25
WO2019113492A1 (en) 2019-06-13

Similar Documents

Publication Publication Date Title
US11647039B2 (en) User and entity behavioral analysis with network topology enhancement
US11582207B2 (en) Detecting and mitigating forged authentication object attacks using an advanced cyber decision platform
US11799900B2 (en) Detecting and mitigating golden ticket attacks within a domain
US10594714B2 (en) User and entity behavioral analysis using an advanced cyber decision platform
US11818169B2 (en) Detecting and mitigating attacks using forged authentication objects within a domain
US10609079B2 (en) Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management
US10432660B2 (en) Advanced cybersecurity threat mitigation for inter-bank financial transactions
US11757920B2 (en) User and entity behavioral analysis with network topology enhancements
US11757849B2 (en) Detecting and mitigating forged authentication object attacks in multi-cloud environments
US11818150B2 (en) System and methods for detecting and mitigating golden SAML attacks against federated services
US20230319019A1 (en) Detecting and mitigating forged authentication attacks using an advanced cyber decision platform
US20230388278A1 (en) Detecting and mitigating forged authentication object attacks in multi - cloud environments with attestation
US20230412620A1 (en) System and methods for cybersecurity analysis using ueba and network topology data and trigger - based network remediation
US20230362142A1 (en) Network action classification and analysis using widely distributed and selectively attributed sensor nodes and cloud-based processing
US20230308459A1 (en) Authentication attack detection and mitigation with embedded authentication and delegation
EP3655878A1 (en) Advanced cybersecurity threat mitigation using behavioral and deep analytics
CN111316268A (zh) 用于银行间金融交易的高级网络安全威胁抑制
CN111492360A (zh) 使用先进网络决策平台检测并减缓伪造认证对象攻击
US12003534B2 (en) Detecting and mitigating forged authentication attacks within a domain
WO2019051131A1 (zh)

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication

Application publication date: 20200804

WW01 Invention patent application withdrawn after publication