CN112149117A - 用于分析计算机系统攻击机制的方法和装置 - Google Patents

用于分析计算机系统攻击机制的方法和装置 Download PDF

Info

Publication number
CN112149117A
CN112149117A CN202010206309.1A CN202010206309A CN112149117A CN 112149117 A CN112149117 A CN 112149117A CN 202010206309 A CN202010206309 A CN 202010206309A CN 112149117 A CN112149117 A CN 112149117A
Authority
CN
China
Prior art keywords
graph
nodes
generated
attack
weight
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010206309.1A
Other languages
English (en)
Inventor
R·马图尔
B·特劳
J·戈特施利希
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of CN112149117A publication Critical patent/CN112149117A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F40/00Handling natural language data
    • G06F40/30Semantic analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/02Knowledge representation; Symbolic representation
    • G06N5/022Knowledge engineering; Knowledge acquisition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Artificial Intelligence (AREA)
  • Computational Linguistics (AREA)
  • Mathematical Physics (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Molecular Biology (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Audiology, Speech & Language Pathology (AREA)
  • Stored Programmes (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请公开了用于分析计算机系统攻击机制的方法和装置。公开了分析计算机系统攻击机制的方法、装置、系统和制品。示例装置包括:图形生成器,该图形生成器利用自然语言处理模型基于公开物生成图形;分析器,该分析器用于:通过标识图形中的两个或更多个节点的相应属性来分析该图形中的该两个或更多个节点,以及提供该两个或更多个节点对包括类似的相应属性的指示;变型生成器,该变型生成器用于基于该指示来生成攻击机制;以及权重假定器,该权重假定器用于获得所生成的攻击机制并且基于(A)图形中的两个或更多个节点和(B)所生成的攻击机制来指示与所生成的攻击机制的严重性相关联的权重。

Description

用于分析计算机系统攻击机制的方法和装置
技术领域
本公开总体上涉及硬件和/或软件攻击,并且更具体地,涉及用于分析计算机系统攻击机制的方法和装置。
背景技术
用于对计算机系统的硬件和/或软件组件实行攻击的机制通常通过安全会议和/或其他类似的公开平台来公开。利用此类公开平台(例如,安全会议和/或其他类似的公开媒体)来说明用于执行此类攻击的任务和/或方法的次序的详细方式。在此类公开平台(例如,安全会议和/或其他类似的公开媒体)上公开的文档的焦点在于传达与如在此类时刻采用的攻击有关的具体细节。
附图说明
图1是图示出包括攻击检测器、示例服务器、示例公开物、以及示例网络的示例系统的框图,该攻击检测器用于确定和分析攻击机制。
图2A是可由图1的图形生成器生成的示例图形的图形图示。
图2B是可由图1的图形生成器生成的附加示例图形的图形图示。
图3是图示出图1的技术替换控制器的框图。
图4是图示出图1的权重假设器的框图。
图5是图示出图1的目标替换控制器的框图。
图6是图示出图1的上下文短语控制器的框图。
图7是表示可被执行以实现图1的图形生成器的示例机器可读指令的流程图。
图8是表示可被执行以实现图1和图3的技术替换控制器的示例机器可读指令的流程图。
图9是表示可被执行以实现图1和图4的权重假设器的示例机器可读指令的流程图。
图10是表示可被执行以实现图1和图5的目标替换控制器的示例机器可读指令的流程图。
图11是表示可被执行以实现图1和图6的上下文短语控制器的示例机器可读指令的流程图。
图12是被构造成用于执行图7-图11的指令以实现图1的攻击检测器的示例处理平台的框图。
这些图并未按比例绘制。一般来说,贯穿(多个)附图和所附书面描述中将使用相同的附图标记来指代相同或相似的组件。除非另有指示,否则连接参考(例如,附连的、耦合的、连接的、以及结合的)应被广义地解释并且可包括元件集合之间的中间构件以及元件之间的相对移动。由此,连接参考不必推断两个元件直接地连接并彼此处于固定的关系。
当标识可单独地被引用的多个元素或组件时,本文使用描述符“第一”、“第二”、“第三”等。除非另有规定或基于它们的使用上下文理解,否则此类描述符并非旨在赋予优先级、物理次序或列表中的布置、或者时间上的排序的任何含义,而仅仅用作为了便于理解所公开的示例而单独地指代多个元件或组件的标签。在一些示例中,描述符“第一”可以用指代具体实施方式中的要素,而在权利要求中可利用诸如“第二”或“第三”之类的不同的描述符来指代同一要素。在此类情况下,应当理解,此类描述符仅用于便于引用多个要素或组件。
具体实施方式
包括机器学习(ML)、深度学习(DL)和/或其他人工机器驱动逻辑的人工智能(AI)使得机器(例如,计算机、逻辑电路等)能够使用模型来处理输入数据,以基于先前由模型经由训练过程所学习的模式和/或关联来生成输出。例如,可以利用数据来训练模型以识别模式和/或关联,并且在处理输入数据时遵循此类模式和/或关联,以使得(多个)其他输入得到与所识别的模式和/或关联一致的(多个)输出。
存在许多不同类型的机器学习模型和/或机器学习架构。在本文中所公开的示例中,使用基于词嵌入或词向量神经网络和深度学习的自然语言处理模型。使用基于词嵌入或词向量神经网络和深度学习的自然语言处理模型实现对包括攻击机制任务的相互依赖关系的图形的生成和分析。一般而言,适合于在本文中所公开的示例方式中使用的机器学习模型/架构将是允许对节点之间的相互依赖关系的洞察的图形神经网络(GNN)。然而,可以附加地或替代地使用诸如词向量型神经网络等的其他类型的机器学习模型。
一般而言,实现ML/AI系统涉及两个阶段:学习/训练阶段和推断阶段。在学习/训练阶段,使用训练算法将模型训练成根据基于例如训练数据的模式和/或关联来操作。一般而言,模型包括引导如何将输入数据变换成输出数据的内部参数,诸如通过模型内的一系列节点和连接来将输入数据变换成输出数据。附加地,将超参数用作训练过程的部分,以控制如何来执行学习(例如,学习速率、机器学习模型中要使用的层数等)。超参数被定义为是在发起训练过程之前确定的训练参数。
可基于ML/AI模型的类型和/或预期输出来执行不同类型的训练。例如,监督式训练使用输入和对应的期望(例如,标记的)输出来选择用于ML/AI模型的减少模型误差的参数(例如,通过对多个选择参数的组合进行迭代)。如本文中所使用,标记是指机器学习模型的预期输出(例如,分类、预期输出值等)。替代地,无监督式训练(例如,在深度学习、机器学习等的子集中使用)涉及从输入推断模式以选择用于ML/AI模型的参数(例如,不具有预期(标记的)输出的益处)。
在本文中所公开的示例中,使用来自文献、书籍、论文、安全公开物等的词嵌入来训练ML/AI模型,或者在本文中所公开的其他示例中,使用来自文献、书籍、论文、安全公开物的注释和基于关系的技术来训练ML/AI模型。然而,可附加地或替代地使用任何其他训练算法。在本文中所公开的示例中,在计算机架构上本地地执行训练。使用控制如何执行学习的超参数(例如,学习率、要在机器学习模型中使用的层数等)来执行训练。
使用训练数据来执行训练。在本文中所公开的示例中,训练数据源自于无监督式词嵌入或文献、书籍、论文、安全公开物等。
一旦完成训练,模型就被部署成用作可执行构造,该可执行构造基于模型中定义的节点和连接的网络来处理输入并提供输出。将模型本地存储在计算机架构上。
一旦被训练,所部署的模型就可以在推断阶段中进行操作以处理数据。在推断阶段,要分析的数据(例如,实况数据)被输入到模型,并且该模型执行以创建输出。该推断阶段可以被认为是用于基于其从训练学习到的内容(例如,通过执行模型以将学习到的模式和/或关联应用于实况数据)来生成输出的AI“思考”。在一些示例中,输入数据在被用作对机器学习模型的输入之前经历预处理。而且,在一些示例中,在由AI模型生成输出数据之后,该输出数据可能经历后处理,以将输出变换成有用的结果(例如,数据显示、要由机器执行的指令等)。
在一些示例中,所部署的模型的输出可被捕捉并作为反馈而被提供。通过分析反馈,可以确定所部署的模型的准确度。如果反馈指示所部署的模型的准确度低于阈值或其他标准,则可以使用反馈和经更新的训练数据集、超参数等来触发对经更新的模型的训练,以生成经更新的所部署的模型。
对计算机系统实行和/或执行硬件和/或软件攻击的机制通常通过安全会议和/或其他合适的公开媒体来公开。利用此类公开物使对攻击机制的详细描述公开化,以使得被破坏的硬件和/或软件的终端用户和/或创建者可以在未来的产品版本和/或软件更新版本中缓解此类攻击。
结果是,有兴趣拓宽未被对应的硬件和/或软件设备的终端用户和/或创建者发现的攻击的可见性。在示例中,某个攻击机制的公开可激发在公开时可能尚不存在的另一攻击机制。而且,此类攻击机制的公共知识造成高度的信息过载,使得人们难以随时关注其给定领域中的所有攻击。因此,给予相对于当前硬件和/或软件版本采用的攻击机制的细节而不是可能致使当前硬件和/或软件缓解技术不合适的此类攻击机制的可能的(例如,未来的)变化最多关注。
在现有缓解技术中,个体或个体的群组可能有意地实行对新的攻击机制(例如,未知的攻击机制)的探索。在此类现有缓解技术中,努力被限于实行探索的个体或个体群组的个体专业知识。更是如此,现有缓解技术通常包括综合性安全工具的缺乏,这些综合性安全工具用于组织可能的新的攻击机制和/或以其他方式对可能的新的攻击机制进行优先级排定。
本文中所公开的示例包括用于确定已知的和/或新近已知的攻击机制的可能变化的方法、装置和制品。在本文中所公开的此类示例中,关于先前已知的攻击机制(例如,过去公开的和/或以其他方式被发现的攻击机制)的现有知识与攻击机制的新的知识(例如,最近通过合适的公开媒体被公开的攻击机制的知识)组合,以生成、确定、和/或以其他方式假设新的攻击机制。
本文中所公开的示例包括基于攻击机制的现有知识和新的知识来生成图形。在本文中所公开的此类示例中,图形图示出实行和/或以其他方式执行攻击机制中所涉及的步骤和/或任务。在本文中所公开的示例中,图形表示攻击机制之间的关系映射。本文中所公开的示例中所描述的图形包括节点和边,并且可通过处理通过公开媒体提供的报告(例如,安全会议公开物、PowerPoint演示、word文档、可移植文档格式(PDF)文件、视频演示的文字记录等)而被推导出、被创建和/或以其他方式被生成。类似地,在本文中所公开的示例中,图形可图示出被称为类型(type-of)关系(例如,分类学关系)的关系,这些关系可用于区分各种攻击机制。
本文中所公开的示例包括用于使用图形来生成、发现和/或以其他方式假设新的攻击机制(例如,已知攻击机制的变型)的方法和装置。在本文中所公开的示例中,可通过响应于确定两个子节点的父节点相同(例如,父节点图示出同一目标)而互换和/或代替图形的至少两个不同子节点来自动地生成、发现、和/或以其他方式假设新的攻击机制。由此,本文中所公开的示例可判定攻击机制是否可利用不同的子节点来执行和/或以其他方式实行。替代地,在本文中所公开的一些示例中,通过在图形内以图形中另一节点的目标来互换和/或替换节点的目标而不是替换整个节点以判定此类攻击机制是否可实现不同的目标来自动地生成、发现、和/或以其他方式假设新的攻击机制。附加地或替代地,在本文中所公开的一些示例中,通过分析词嵌入以确定图形中类似的词和/或短语并且确定可以能够执行父节点的目标的可能的子节点来生成、发现、和/或以其他方式假设新的攻击机制。
在本文中所公开的示例中,向新近生成的、发现的、和/或以其他方式假设的攻击机制分配权重。在本文中所公开的此类示例中,权重可表示严重性和/或成功的可能性中的任何一者。在本文中所公开的一些示例中,可向新近生成的、发现的、和/或以其他方式假设的攻击机制分配多个权重。例如,可存在基于严重性的用于每个新近生成的、发现的、和/或以其他方式假设的攻击机制的确定的权重、基于节点之间的距离的权重、基于缓解属性的权重、基于产品属性的权重、基于要求属性的权重、和/或任何合适的权重。在本文中所公开的此类示例中,可利用多个权重和/或以其他方式将该多个权重组合成单个权重。
图1是图示出包括攻击检测器102、示例服务器104、示例公开物106、以及示例网络107的示例系统100的框图,该攻击检测器102用于确定和分析攻击机制。攻击检测器102包括示例收发器108、示例图形生成器110、示例技术替换控制器124、示例权重假定器126、示例目标替换控制器128、以及示例上下文短语控制器130。图形生成器110包括示例图形处理器112、示例信息提取器114、示例任务次序确定器116、示例依赖关系确定器118、示例关系提取器120、以及示例图形编译器122。
在图1中所图示的示例中,服务器104是管理攻击检测器102的访问的设备和/或设备网络。在本文中所公开的示例中,服务器104存储与已知攻击机制有关的信息。在此类示例中,服务器104与攻击检测器102通信,以获得与攻击机制有关的信息。服务器104存储与可对硬件和/或软件计算系统执行的攻击机制有关的数据和信息。在本文中所公开的其他示例中,服务器104可与攻击检测器102通信,以提供与已知攻击机制有关的数据和/或信息,从而使得攻击检测器102可以确定和/或以其他方式分析新的攻击机制(例如,已知攻击机制的变型)。在本文中所公开的一些示例中,服务器104可由能够与攻击检测器102通信的和/或向攻击检测器102提供信息和/或数据和/或提供来自攻击检测器102的信息和/或数据的任何合适的计算系统和/或计算设备来实现。
在图1中,示例公开物106是文档和/或文件(例如,安全会议公开物、PowerPoint演示、word文档、可移植文档格式(PDF)文件等)。另外,公开物106还可以是视频演示的文字记录。此类文字记录可使用任何合适的视频和/或音频到文本的方法来确定。在本文中所公开的示例中,公开物106包括与攻击机制有关的信息。在本文中所公开的进一步的示例中,公开物106包括与攻击检测器102和/或服务器104未知的攻击机制有关的信息。在本文中所公开的示例中,公开物106可经由无线通信、有线通信、和/或任何合适的通信方法(例如,卫星通信)通过网络107被传输和/或以其他方式被发送至攻击检测器102(例如,到收发器108)和/或服务器104。在本文中所公开的其他示例中,公开物106可直接被发送至攻击检测器102的收发器108。
另外,公开物106可由攻击检测器102自动地拉取和/或以其他方式取出。在此类示例中,攻击检测器102可订阅要在新内容(例如,附加公开物)可用时通知的各种公开物的馈送。替代地,攻击检测器102可被配置成用于针对新内容(例如,附加公开物)自动地对已知网站和/或媒体提供方进行轮询。在本文中所公开的此类示例中,攻击检测器102可自动地拉取和/或以其他方式取出公开物106。
图1的所图示的示例的示例收发器108通过与服务器104和/或网络107通信的WiFi无线电来实现。在一些示例中,收发器108促进经由以太网与服务器104和/或网络107的有线通信。在本文中所公开的其他示例中,可附加地或替代地使用任何其他类型的无线收发器来实现收发器108。
在图1中所图示的示例中,图形生成器110包括图形处理器112、信息提取器114、任务次序确定器116、依赖关系确定器118、关系提取器120、以及图形编译器122,以生成和/或以其他方式创建代表已知攻击机制和新的攻击机制(例如,公开物106中所定义的攻击机制)的示例图形111。在本文中所公开的示例中,图形生成器110由利用自然语言处理模型的处理系统实现。例如,图形生成器110可利用自然语言处理技术来分析公开物106中所提供的攻击机制的含义和/或任务次序。在本文中所公开的其他示例中,图形生成器110可利用任何合适的图形生成手段来生成图形111。替代地,图形生成器110可从用户输入获得图形111,其中,已经通过用户知识推导出该图形。
在图1中,示例图形处理器112与收发器108通信,以判定是否生成图形。例如,图形处理器112可处理源自于网络107的传入信息(例如,公开文档106)并确定依赖关系以创建图形111。在本文中所公开的其他示例中,图形处理器112可与服务器104通信从而获得先前版本的图形111(例如,服务器104中所存储的、是图形111的衍生版本或更早版本的示例图形),以便更新和/或以其他方式添加公开物106中所包括的新信息。在本文中所公开的示例中,判定是否生成图形可涉及更新先前版本的图形和/或生成新的图形(例如,图形111)。图形处理器112可确定利用经由自然语言处理模型基于深度学习的信息提取(例如,科学知识图形构造SciIE)和/或基于关系提取来构造图形111,这些自然语言模型诸如,Spacey、CoreNLP或任何合适的模型。
在图1的示例中,如果示例信息提取器114可操作以从公开物106提取信息。例如,信息提取器114可从公开物106提取任务的列表(例如,任务列表)、操作、目标等。作为响应,示例依赖关系确定器118可操作以确定所提取的信息的依赖关系。结果是,图形编译器122编译图形111,其中,基于依赖关系和/或任务次序来对已知攻击机制和/或新的攻击机制的任务进行排序。在图1中所图示的示例中,信息提取器114、依赖关系确定器118、以及图形编译器122可被执行以生成图形111。
附加地或替代地,在图1中,任务次序确定器116、依赖关系提取器120、以及图形编译器122可以可操作以生成图形111。在此类示例中,任务次序确定器116确定公开物106中所列出的每个任务的操作的次序。作为响应,关系提取器120提取关系(例如,任务是否可以被重排序、改变、移动等)。结果是,图形编译器122编译图形111,其中,基于依赖关系和/或任务次序来对已知攻击机制和/或新的攻击机制的任务进行排序。
在图1的示例中,由图形编译器122生成的图形111包括示例节点113、115、117、119、121,这些节点表示公开文档106中所描绘的攻击机制(例如,公开文档106中概述的攻击机制)中包括的技术和/或技术类别。节点113、115、117、119、121之间的关系可以是分类学(‘类型’)关系或子步骤(方法细分或操作序列,其中每个操作是子步骤)关系。在本文中所公开的示例中,图形111的节点113、115、117、119、121包括诸如要求属性、目标属性、以及产品属性之类的属性。在本文中所公开的进一步的示例中,要求属性是指此类对应的节点113、115、117、119、121成功操作所需要的条件。此外,要求属性可指攻击机制可能影响到的程序或设备的状态。在本文中所公开的进一步的示例中,目标属性是指此类节点113、115、117、119、121的成功执行可以实现什么。例如,目标属性可涉及执行以下各项中的任一项:远程代码执行、存储器披露、服务的拒绝等。在本文中所公开的示例中,基于与实现目标属性的目标相关联的损坏而给目标属性分配权重(例如,严重性评分)。例如,相比于权限升级目标,远程代码执行目标将具有更高的权重(例如,严重性评分)。在本文中所公开的示例中,产品属性是指受此类对应的节点113、115、117、119、121的执行影响的产品类别和/或特定版本。在本文中所公开的示例中,产品属性包括说服力属性和缓解属性。在本文中所公开的此类属性中,说服力属性是指产品在领域中被多广泛地部署(即,该产品在行业中说服力如何)。此类示例说服力属性可涉及范围从0至1的评分。此外,在本文中所公开的示例中,缓解属性是指缓解和采用水平的有效完整度(例如,更完整的缓解涉及更好的缓解水平)。此类示例缓解属性可涉及范围从0至1的评分。在本文中所公开的示例中,图形111中的节点113、115、117、119、121中的两个或更多个节点可分别表示两个或更多个攻击机制中所包括的两个或更多个任务,且由此,图形中的两个或更多个节点113、115、117、119、121可以分别是两个或更多个父节点的子节点。
在图1中所图示的示例中,技术替换控制器124与图形生成器110通信,以分析新近生成的和/或经更新的图形111中的节点113、115、117、119、121。在本文中所公开的示例中,技术替换控制器124基于图形111通过以作为第二父节点的部分的第二子节点来替换和/或以其他方式代替第一父节点的第一子节点来确定、生成和/或以其他方式假设新的攻击机制。在此类示例中,第一父节点和第二父节点是具有相同的目标属性的两个不同的节点。此外,在此类示例中,节点113可以是示例第一父节点113,节点115可以是示例第二父节点115,节点117可以是示例第一子节点117,并且节点119可以是示例第二子节点119。此类替换可产生要由技术替换控制器124进一步分析的示例新的攻击机制123,。在本文中所公开的示例中,技术替换控制器124将所确定的、所生成的、和/或以其他方式所假设的示例新的攻击机制123传输至权重假定器126以确定对应的权重。技术替换控制器124的操作在下文参考图3和图8进一步详细解释。
在图1中所图示的示例中,权重假定器126与技术替换控制器124、目标替换控制器128、和/或上下文短语控制器130通信,以确定得到的所确定的、所生成的、和/或以其他方式所假设的新的攻击机制123的权重。权重假定器126的操作在下文结合图4和图9进一步详细解释。
在图1中所图示的示例中,目标替换控制器128与图形生成器110通信,以分析新近生成的和/或经更新的图形111中的节点113、115、117、119、121。在本文中所公开的示例中,目标替换控制器128基于图形111通过以图形111中最初不存在的替代节点替换和/或以其他方式代替父节点的节点来确定、生成、和/或以其他方式假设新的攻击机制。此类代替可产生要由目标替换控制器128进一步分析的附加攻击机制。在本文中所公开的示例中,目标替换控制器128将所确定的、所生成的、和/或以其他方式所假设的攻击机制123传输至权重假定器126以确定对应的权重。目标替换控制器128的操作在下文参考图5和图10进一步详细解释。
在图1中所图示的示例中,上下文短语控制器130与图形生成器110通信,以分析新近生成的和/或经更新的图形111中的节点113、115、117、119、121。在本文中所公开的示例中,上下文短语控制器120基于图形通过以作为第一父节点113的部分的第二子节点的目标属性替换和/或以其他方式代替第一父节点113的第一子节点117的目标属性来确定、生成、和/或以其他方式假设新的攻击机制123。在此类示例中,节点121可以是示例第二子节点121。此类跨子节点的目标替换可产生要由上下文短语控制器130进一步分析的附加攻击机制。在本文中所公开的示例中,上下文短语控制器130将此类所确定的、所生成的、和/或以其他方式所假设的攻击机制123传输至权重假定器126以确定对应的权重。上下文短语控制器130的操作在下文参考图6和图11进一步详细解释。
图2A是可由图1的图形生成器110生成的示例图形200的图形图示。例如,图形200是图1的示例图形111的第一示例。在本文中所公开的其他示例中,图形200可通过(例如,从用户提供的输入等获得的)任何合适的图形生成手段来生成。在图2A中,示例图形200包括示例第一攻击机制202和示例第二攻击机制204。此外,第一攻击机制202是示例先前已知的攻击机制。由此,第一攻击机制202尤其包括第一父节点206和第一子节点208。在图2A中所图示的示例中,第一子节点208利用共享存储器来操作,并且由此,用于缓解第一攻击机制202的缓解技术包括移除共享存储器访问。
在图2A中所图示的示例中,第二攻击机制204尤其包括第二父节点210、第二子节点212、以及第三子节点214。在此类示例中,第一父节点206和第二父节点210指示相同的操作(例如,“高速缓存时序”)。如由第一攻击机制202所指示,可使用第一子节点208(例如,“转储清除和重新加载(flush and reload)”)来执行第一父节点206。如由第二攻击机制204所指示,可使用第二子节点212(例如,“转储清除和重新加载”)或第三子节点214(例如,“填装和探测”)来执行第二子节点210。在本文中所公开的示例中,可在不利用共享存储器的情况下执行第三子节点214(例如,“填装和探测”)。由此,图1的攻击检测器102可通过以第三子节点214代替第一子节点208来生成、确定、和/或以其他方式假设新的攻击机制。由此,可能的攻击机制可以能够通过执行类似于第三子节点214的执行来绕过第一攻击机制202的缓解技术(例如,移除共享存储器访问)。此类可能的攻击机制由攻击检测器102确定、生成、和/或以其他方式提供并在上文所提及的参数下被分析。
图2B是可由图1的图形生成器110生成的附加示例图形220的图形图示。例如,图形220是图1的示例图形111的第二示例。在本文中所公开的其他示例中,图形220可通过(例如,从用户提供的输入等获得的)任何合适的图形生成手段来生成。在图2B中,示例图形220包括示例主攻击机制222。此外,主攻击机制222是示例先前已知的攻击机制。由此,主攻击机制222尤其包括示例父节点224和示例第一子节点226。在图2B中所图示的示例中,图形220包括示例第一所生成的子节点228、示例第二所生成的子节点230、示例第三所生成的子节点232、示例第四所生成的子节点234、以及示例第五所生成的子节点236。
在图2B中所图示,攻击检测器102标识第一所生成的子节点228、第二所生成的子节点230、第三所生成的子节点232、第四所生成的子节点234、以及第五所生成的子节点236,并且确定、生成、和/或以其他方式假设其中第一所生成的子节点228、第二所生成的子节点230、第三所生成的子节点232、第四所生成的子节点234、和/或第五所生成的子节点236中的任一者代替第一子节点226的新的攻击机制。
图3是图示出图1的技术替换控制器124的框图。技术替换控制器124包括示例图形确定器302、示例分析器304、示例变型生成器306、以及示例编译器308。在图3中,图形确定器302、分析器304、变型生成器306、和/或编译器308中的任一者可与图1的图形生成器110通信以分析由图形生成器110产生的图形111。
在图3中,图形确定器302判定图形111是否已由图1的图形生成器110生成。例如,图形确定器302可与图形生成器110通信,以判定图形111已被生成和/或以其他方式获得图示图形111已被生成的指示并且由此获得图形111。替代地,图形确定器302可与图形生成器110通信以判定图形111尚未被生成(例如,图形111不存在)并且由此继续等待。在此类示例中,如果图形确定器302经由与图形生成器110的通信判定图形111尚未被生成(例如,图形111不存在),则图形确定器302可指示获得旧版本的图形(例如,服务器104中所存储的图形111的衍生版本和/或更旧的版本)。在本文中所公开的示例中,图形确定器302可使用任何合适的控制器和/或处理器来实现。
在图3的所图示的示例中,分析器304分析图形111中的节点113、115、117、119、121。例如,分析器304可确定图形111中的两个或更多个节点113、115、117、119、121包括相似的目标属性。在此类示例中,分析器304可向变型生成器306传送或以其他方式生成对变型生成器306的指示节点113、115、117、119、121中的任何节点是否类似(例如,包括类似的目标属性)的指示。由此,分析器304对图形111进行预处理,以标识图形111中的节点113、115、117、119、121以供变型生成器306使用。在本文中所公开的其他示例中,分析器304可基于任何合适的属性(例如,产品属性、缓解属性、要求属性等)来判定节点113、115、117、119、121中的任何节点是否类似。在本文中所公开的示例中,分析器304可将包括多个传出节点(例如,多个子节点)的任何节点(例如,节点113、115、117、119、121中的任何节点)与包括作为不同的攻击链的部分的多个去往输出的节点(例如,多个子节点)的另一节点(例如,节点113、115、117、119、121中的任何节点)进行比较。由此,与多个传出节点(例如,多个子节点)有关的指示可被发送至变型生成器306以供进一步处理。在本文中所公开的示例中,分析器304可使用任何合适的控制器和/或处理器来实现。
在图3中,变型生成器306与分析器304通信,以获得和/或以其他方式接收图形111的在特定属性(例如,目标属性、要求属性、产品属性、缓解属性等)上类似的节点113、115、117、119、121的指示。例如,变型生成器306能以彼此来代替包括类似目标属性的子节点(例如,子节点117、119、121)中的任何子节点。在此类示例中,变型生成器306生成、确定、和/或以其他方式假设新的攻击机制(例如,图1的新的攻击机制123)。另外,变型生成器306与分析器304通信,以获得对图形111的感兴趣的(例如,类似的)节点113、115、117、119、121的任何合适的指示。在本文中所公开的示例中,将此类新的攻击机制(例如,图1的新的攻击机制123)发送至图1的权重假定器126,以便确定权重。权重假定器126的示例在下文结合图4进一步详细解释。在本文中所公开的示例中,变型生成器306可使用任何合适的控制器和/或处理器来实现。
在图3的所图示的示例中,编译器308与变型生成器306和权重假定器126通信以获得结果。例如,在变型生成器306生成、确定、和/或以其他方式假设新的攻击机制之后,并且在权重假定器126确定此类新的攻击机制的对应权重之后,编译器308随后返回此类对应权重的结果。在本文中所公开的示例中,编译器308可使用任何合适的控制器和/或处理器来实现。
图4是图示出图1的权重假定器126的框图。权重假定器126包括示例目标确定器402、示例距离确定器404、示例产品比较器406、示例要求确定器408、示例缓解确定器410、示例权重更新器412、以及示例权重日志414。在图4中,目标确定器402、距离确定器404、产品比较器406、要求确定器408、缓解确定器410、权重更新器412、和/或权重日志414中的任一者可与图1的技术替换控制器124、目标替换控制器128、和/或上下文短语控制器130通信,以分析所生成的、所确定的、和/或以其他方式所假设的攻击机制。
在图4中所图示的示例中,目标确定器402确定与新的攻击机制的新的目标属性相关联的严重性权重。例如,从技术替换控制器124、目标替换控制器128、和/或上下文短语控制器130中的任一者推导出的新近生成、确定、和/或以其他方式假设的攻击机制(例如,图1的攻击机制123)可包括新的目标属性,其中,给此类目标属性的严重性被分配第一权重。在本文中所公开的示例中,目标属性的严重性可遵从经由服务器104的用户输入。例如,在本文中所公开的一些示例中,可认为分布式拒绝服务(DDoS)攻击的目标比代码更换攻击更严重和/或伤害性更大。由此,可给DDoS目标分配更高的权重。替代地,在本文中所公开的一些示例中,可认为代码更换攻击比DDoS供给更严重和/或伤害性更大,并且由此,可给代码更换攻击的目标分配更高的权重。在本文中所公开的示例中,目标属性权重可被提供至权重更新器412,以被存储在权重日志414中并被编译为最终结果。在本文中所公开的示例中,目标确定器402可使用任何合适的控制器和/或处理器来实现。
在图4中所图示的示例中,距离解释器404确定与节点距离相关联的第二权重。例如,距离解释器404就为了代替所选择的节点而遍历的距离来分析新近生成的、确定的、和/或以其他方式假设的攻击机制(例如,图1的攻击机制123)。例如,如果子节点(例如,子节点117)将代替第二子节点(例如,子节点119),则跨图形111遍历的距离可被计算并作为相应的距离属性权重被存储。进一步在此类示例中,跨图形遍历得越远,则权重越低。在本文中所公开的示例中,使用节点之间距离的倒数来减少与节点距离相关联的权重。此类距离属性权重被发送至权重更新器412以被存储在权重日志414中并被编译为最终结果。在本文中所公开的示例中,距离解释器404可使用任何合适的控制器和/或处理器来实现。
在图4中所图示的示例中,产品比较器406将已知攻击机制的产品属性与新近生成的图形(例如,包括新的攻击机制的图形111)的产品属性进行比较。结果是,产品比较器406判定在两个版本(例如,已知攻击机制和新近已知的攻击机制)中是否存在产品属性变化。在本文中所公开的示例中,如果判定在已知攻击机制与新近已知的攻击机制之间存在类似的产品属性,则产品比较器406递增包括已知攻击机制中存在的产品属性的每一个节点的产品权重。例如,如果已知攻击机制与新的攻击机制之间的产品属性类似,则针对已知攻击机制增加产品属性权重,因为新的攻击机制可以能够影响该产品属性。替代地,如果存在产品属性变化,则产品比较器确定指示新的产品属性的产品属性权重被影响。例如,如果新的攻击机制影响新版本的硬件和/或软件计算系统,则产品比较器406可由于增加的有效性而分配更高的权重。此类产品属性权重被发送至权重更新器412以被存储在权重日志414中并被编译为最终结果。在本文中所公开的示例中,产品比较器406可使用任何合适的控制器和/或处理器来实现。
在图4中所图示的示例中,要求确定器408将已知攻击机制的要求属性与新近生成的图形(例如,包括新的攻击机制的图形111)的要求属性进行比较。结果是,要求确定器408判定在两个版本(例如,已知攻击机制和新近已知的攻击机制)中是否存在要求属性变化。在本文中所公开的示例中,如果判定在已知攻击机制与新近已知的攻击机制之间要求属性类似,则要求确定器408递增包括已知攻击机制中存在的要求属性的每一个节点的要求权重。例如,如果已知攻击机制与新的攻击机制之间的要求属性类似,则针对已知攻击机制增加要求属性权重,因为新的攻击机制可以能够影响该要求属性。此类要求属性权重被发送至权重更新器412以被存储在权重日志414中并被编译为最终结果。在本文中所公开的示例中,要求确定器408可使用任何合适的控制器和/或处理器来实现。
在图4中所图示的示例中,缓解确定器410针对共享类似产品的每一个节点判定缓解属性是否类似。如果否,则缓解确定器410增加缓解属性权重,因为新的攻击机制可以能够绕过当前不同的缓解属性。此类缓解属性权重被发送至权重更新器412以被存储在权重日志414中并被编译为最终结果。在本文中所公开的一些示例中,新的攻击机制中的节点可具有不同的缓解属性权重和/或要求属性权重。在此类示例中,缓解属性权重和/或要求属性权重可能不影响最终结果。在本文中所公开的示例中,缓解确定器410可使用任何合适的控制器和/或处理器来实现。
在图4中所图示的示例中,示例权重更新器412与目标确定器402、距离解释器404、产品比较器406、要求确定器408、和/或缓解确定器410通信,以分别获得目标属性权重、距离属性权重、产品属性权重、要求属性权重、以及缓解属性权重。在本文中所公开的示例中,权重更新器412将目标属性权重、距离属性权重、产品属性权重、要求属性权重、以及缓解属性权重存储在权重日志414中。在本文中所公开的一些示例中,权重更新器412可将目标属性权重、距离属性权重、产品属性权重、要求属性权重、以及缓解属性权重与彼此区分开以使得各个权重可被分析。替代地,权重更新器412可将目标属性权重、距离属性权重、产品属性权重、要求属性权重、以及缓解属性权重编译为最终结果(例如,单个组合权重)。经编译的权重可与所生成的攻击机制的严重性相关联。在本文中所公开的示例中,权重更新器412可使用任何合适的控制器和/或处理器来实现。
在图4中所图示的示例中,权重日志414可由用于存储数据的任何设备来实现,该设备诸如例如,闪存、磁介质、光介质等。此外,示例权重日志414中所存储的数据可采用任何数据格式,诸如例如,二进制数据、逗号分隔的数据、制表符分隔的数据、结构化查询语言(SQL)结构等。在所图示的示例中,示例权重日志414存储由目标确定器402、距离解释器404、产品比较器406、要求确定器408、缓解确定器410、和/或权重更新器412收集的信息。
图5是图示出图1的目标替换控制器128的框图。目标替换控制器128包括示例图形确定器502、示例节点分析器504、示例互换接口506、以及示例编译器508。在图5中,图形确定器502、节点分析器504、互换接口506、和/或编译器508中的任一者可与图1的图形生成器110通信以分析由图形生成器110产生的图形111。
在图5的示例中所图示,图形确定器502判定图形111是否已由图1的图形生成器110生成。例如,图形确定器502可与图形生成器110通信,以判定图形111已被生成和/或以其他方式获得陈述图形111已被生成的指示并且由此获得图形111。替代地,图形确定器502可与图形生成器110通信以判定图形111尚未被生成(例如,图形111不存在)并且由此继续等待。在此类示例中,如果图形确定器502经由与图形生成器110的通信判定图形111尚未被生成(例如,图形111不存在),则图形确定器502可指示获得旧版本的图形(例如,服务器104中所存储的图形111的衍生版本和/或更旧的版本)。在本文中所公开的示例中,图形确定器502可使用任何合适的控制器和/或处理器来实现。
在图5中,示例节点分析器504确定图形111的节点113、115、117、119、121中的任何节点的目标属性。结果是,互换接口506可执行跨攻击机制的目标属性替换和/或图形111的类似节点之间的目标替换中的任一者。例如,互换接口506可通过向上并且跨攻击机制传播各种节点目标属性来跨攻击机制替换目标属性。在此类示例中,通过以宽度优先形式(例如,到兄弟节点和/或其他子节点)并且随后进一步向上(例如,到父节点和祖父节点)将各种节点目标传播至同一攻击机制中的其他节点来形成新的攻击机制。此外,在本文中所公开的此类示例中,如果节点中的任何节点的目标中的任何目标被代替,则新的攻击机制被生成。通过跨攻击机制替换目标属性,以替代的和/或新的目标属性来利用同一攻击机制。
如果互换接口506跨攻击机制替换目标属性,则新的攻击机制的对应权重可利用图1和图4的权重假定器126来确定。在本文中所公开的一些示例中,可由交换接口通过加上新的目标属性的严重性评分并减去距起始节点的距离来确定新的攻击机制的对应权重。在本文中所公开的其他示例中,可利用任何合适的确定新的攻击机制的对应权重的方法。
替代地,互换接口506可在图形111的类似节点之间替换目标属性。在此类示例中,通过将各种节点目标传播至不同的攻击机制的其他节点来形成新的攻击机制。如果互换接口506在图形111的类似节点之间替换目标属性,则新的攻击机制的对应权重可利用图1和图4的权重假定器126来确定。在本文中所公开的一些示例中,可由交换接口通过标识新的目标属性权重(例如,新的目标属性严重性评分)来确定新的攻击机制的对应权重。在本文中所公开的示例中,节点分析器504和/或互换接口506可使用任何合适的控制器和/或处理器来实现。
在图5的所图示的示例中,编译器508与互换接口506和/或权重假定器126通信以获得结果。例如,在互换接口506生成、确定、和/或以其他方式假设新的攻击机制之后,并且在确定此类新的攻击机制的对应权重之后,编译器508随后返回此类对应权重的结果。在本文中所公开的示例中,编译器508可使用任何合适的控制器和/或处理器来实现。
图6是图示出图1的上下文短语控制器130的框图。上下文短语控制器130包括示例图形确定器602、示例标识器604、示例神经网络接口606、示例节点接口608、以及示例编译器610。在图6中,图形确定器602、标识器604、神经网络接口606、节点接口608、和/或编译器610中的任一者可与图1的图形生成器110通信以分析由图形生成器110产生的图形111。
在图6的示例中所图示,图形确定器602判定图形111是否已由图1的图形生成器110生成。例如,图形确定器602可与图形生成器110通信,以判定图形111已被生成和/或以其他方式获得陈述图形111已被生成的指示并且由此获得图形111。替代地,图形确定器602可与图形生成器110通信以判定图形111尚未被生成(例如,图形111不存在)并且由此继续等待。在此类示例中,如果图形确定器602经由与图形生成器110的通信判定图形111尚未被生成(例如,图形111不存在),则图形确定器602可指示获得旧版本的图形(例如,服务器104中所存储的图形111的衍生版本和/或更旧的版本)。在本文中所公开的示例中,图形确定器602可使用任何合适的控制器和/或处理器来实现。在本文中所公开的示例中,图形确定器602可使用任何合适的控制器和/或处理器来实现。
在图6中,示例标识器604标识图形111的节点113、115、117、119、121的目标属性。此外,就图形111中的攻击机制,神经网络接口606利用神经网络学习技术(例如,word2vec(词到向量)、合适的无监督式神经网络)来标识指示实现给定的目标属性的类似的词和/或短语。在此类示例中,目标属性在有关攻击机制的任何子节点中可能均未被标识。在本文中所公开的示例中,神经网络接口606针对所标识的词和/或短语将上下文嵌入在图形111中。在本文中所公开的示例中,标识器604和/或神经网络接口606可使用任何合适的控制器和/或处理器来实现。
在图6中,示例节点接口器608与神经网络接口606通信,以获得目标属性最初未被包括在图形111中的有关攻击机制中的指示。由此,节点接口608将新近标识的目标属性与图形111中有关攻击机制中的节点的当前目标属性互换。由此,节点接口608可生成、确定、和/或以其他方式假设新的攻击机制,同时互换目标属性。在本文中所公开的示例中,节点接口608可使用任何合适的控制器和/或处理器来实现。
在图6的所图示的示例中,编译器610与节点接口608和/或权重假定器126通信以获得结果。例如,在节点接口608生成、确定、和/或以其他方式假设新的攻击机制之后,并且在此类新的攻击机制的对应权重被确定之后,编译器610随后返回此类对应权重的结果。在本文中所公开的示例中,编译器610可使用任何合适的控制器和/或处理器来实现。
虽然图1和图3-图6中图示出实现图1的攻击检测器102的示例方式,但是图1和/或图3-图6中所图示的元件、过程和/或设备中的一个或多个可被组合、拆分、重新布置、省略、消除和/或以任何其他方式实现。进一步地,以下各项可由硬件、软件、固件、和/或硬件、软件和/或固件的任何组合来实现:示例收发器108、示例图形生成器110、示例技术替换控制器124、示例权重假定器126、示例目标替换控制器128、示例上下文短语控制器130、和/或更一般地,图1的示例攻击检测器102;示例图形处理器112、示例信息提取器114、示例任务次序确定器116、示例依赖关系确定器118、示例关系提取器120、示例图形编译器122、和/或更一般地,图1的示例图形生成器110;示例图形确定器302、示例分析器304、示例变型生成器306、示例编译器308、和/或更一般地,图1和图3的示例技术替换控制器124;示例目标确定器402、示例距离确定器404、示例产品比较器406、示例要求确定器408、示例缓解确定器410、示例权重更新器412、示例权重日志414、和/或更一般地,图1和图4的示例权重假定器126;示例图形确定器502、示例节点分析器504、示例互换接口506、示例编译器508、和/或更一般地,图1和图5的示例1目标替换控制器128;示例图形确定器602、示例标识器604、示例神经网络接口606、示例节点接口608、示例编译器610、和/或更一般地,图1和图6的上下文短语控制器130。因此,例如,以下各项中的任一项可以由一个或多个模拟或数字电路、逻辑电路、(多个)可编程处理器、(多个)可编程控制器、(多个)图形处理器单元(GPU)、(多个)数字信号处理器(DSP)、(多个)专用集成电路(ASIC)、(多个)可编程逻辑器件(PLD)、和/或(多个)现场可编程逻辑器件(FPLD)来实现:示例收发器108、示例图形生成器110、示例技术替换控制器124、示例权重假定器126、示例目标替换控制器128、示例上下文短语控制器130、和/或更一般地,图1的示例攻击检测器102;示例图形处理器112、示例信息提取器114、示例任务次序确定器116、示例依赖关系确定器118、示例关系提取器120、示例图形编译器122、和/或更一般地,图1的示例图形生成器110;示例图形确定器302、示例分析器304、示例变型生成器306、示例编译器308、和/或更一般地,图1和图3的示例技术替换控制器124;示例目标确定器402、示例距离确定器404、示例产品比较器406、示例要求确定器408、示例缓解确定器410、示例权重更新器412、示例权重日志414、和/或更一般地,图1和图4的示例权重假定器126;示例图形确定器502、示例节点分析器504、示例互换接口506、示例编译器508、和/或更一般地,图1和图5的示例1目标替换控制器128;示例图形确定器602、示例标识器604、示例神经网络接口606、示例节点接口608、示例编译器610、和/或更一般地,图1和图6的上下文短语控制器130。当阅读本专利的装置权利要求或系统权利要求中的任何权利要求以覆盖纯软件和/或固件实现方式时,以下各项中的至少一项由此被明确地定义成包括诸如存储器、数字多功能盘(DVD)、紧凑盘(CD)、蓝光盘等之类的包括软件和/或固件的非瞬态计算机可读存储设备或存储盘:示例收发器108、示例图形生成器110、示例技术替换控制器124、示例权重假定器126、示例目标替换控制器128、示例上下文短语控制器130、和/或更一般地,图1的示例攻击检测器102;示例图形处理器112、示例信息提取器114、示例任务次序确定器116、示例依赖关系确定器118、示例关系提取器120、示例图形编译器122、和/或更一般地,图1的示例图形生成器110;示例图形确定器302、示例分析器304、示例变型生成器306、示例编译器308、和/或更一般地,图1和图3的示例技术替换控制器124;示例目标确定器402、示例距离确定器404、示例产品比较器406、示例要求确定器408、示例缓解确定器410、示例权重更新器412、示例权重日志414、和/或更一般地,图1和图4的示例权重假定器126;示例图形确定器502、示例节点分析器504、示例互换接口506、示例编译器508、和/或更一般地,图1和图5的示例1目标替换控制器128;示例图形确定器602、示例标识器604、示例神经网络接口606、示例节点接口608、示例编译器610、和/或更一般地,图1和图6的上下文短语控制器130。更进一步地,除了图1和图3-图6中所图示的那些元件、过程和/或设备之外,图1的示例攻击检测器102还可包括的一个或多个元件、过程和/或设备,或者图1可包括作为那些元件、过程和/或设备的替代的一个或多个元件、过程和/或设备,和/或可包括所图示的元件、过程和/或设备中任一者或全部中多于一个的元件、过程和/或设备。如本文使用的,短语“通信”包括其各种变体,包含直接通信和/或通过一个或多个中间组件的间接通信,并且不要求直接物理(例如,有线)通信和/或持续通信,而是附加地包括以周期性间隔、预定间隔、非周期性间隔、和/或一次性事件来进行的选择性通信。
在图7-图11中示出了表示用于实现图1的攻击检测器102的示例硬件逻辑、机器可读指令、硬件实现的状态机和/或其任何组合的流程图。机器可读指令可以是用于由计算机处理器执行的一个或多个可执行程序或可执行程序的(多个)部分,计算机处理器诸如结合图12在下文讨论的示例处理器平台1200中示出的处理器1212。程序可被具体化在与处理器1212关联的诸如CD-ROM、软盘、硬驱动器、DVD、蓝光盘或存储器之类的非瞬态计算机可读存储介质上所存储的软件中,但是整个程序和/或其部分可以替代地由除处理器1212之外的设备执行,和/或被具体化在固件或专用硬件中。进一步地,虽然参考图7-图11中所图示的流程图描述示例程序,但是可以替代地使用实现示例攻击检测器102的许多其他方法。例如,可改变框的执行次序,和/或可改变、消除或组合所描述的框中的一些框。另外或替代地,任何或所有框可由被构造成用于在不执行软件或固件的情况下执行对应操作的一个或多个硬件电路(例如,分立的和/或集成的模拟和/或数字电路、FPGA、ASIC、比较器、运算放大器(op-amp)、逻辑电路等)来实现。
可以压缩格式、加密格式、分段格式、封装格式等中的一种或多种来存储本文中所描述的机器可读指令。可将本文中所描述的机器可读指令存储为可用于创建、制造和/或产生机器可执行指令的数据(例如,指令的部分、代码、代码的表示等)。例如,机器可读指令可被分段并被存储在一个或多个存储设备和/或计算设备(例如,服务器)上。机器可读指令可能要求安装、修改、适配、更新、组合、补充、配置、解密、解压缩、拆包、分发、重新分配等中的一项或多项,以使得它们可直接由计算设备和/或其他机器读取和/或执行。例如,机器可读指令可被存储在多个部分中,这些部分单独地被压缩、被加密、并被存储在单独的计算设备上,其中,这些部分在被解密、被解压缩和被组合时形成实现诸如本文中所描述的程序的一组可执行指令。在另一示例中,机器可读指令能以它们可由计算机读取所在的状态被存储,但是要求添加库(例如,动态链接库(DLL))、软件开发工具包(SDK)、应用编程接口(API)等,以便在特定的计算设备或其他设备上执行指令。在另一个示例中,在可以整体或部分地执行机器可读指令和/或对应的(多个)程序之前,可能需要配置机器可读指令(例如,所存储的设置、数据输入、所记录的网络地址等)。因此,所公开的机器可读指令和/或对应的(多个)程序旨在包含此类机器可读指令和/或(多个)程序,而不管机器可读指令和/或(多个)程序在存储时或以其他方式处于静态或在传输中时的特定格式或状态如何。
本文中所描述的机器可读指令可由任何过去、现在或未来的指令语言、脚本语言、编程语言等来表示。例如,可使用下列语言中的任何语言来表示机器可读指令:C、C++、Java、C#、Perl、Python、JavaScript、超文本标记语言(HTML)、结构化查询语言(SQL)、Swift等。
如上文所提及,可使用非瞬态计算机和/或机器可读介质上所存储的可执行指令(例如,计算机和/或机器可读指令)来实现图7-图11的示例过程,非瞬态计算机和/或机器可读介质诸如,硬盘驱动器、闪存、只读存储器、紧凑盘、数字多功能盘、高速缓存、随机存取存储器和/或在任何持续时间内(例如,在扩展时间段内、永久地、在简短的实例期间、在临时缓冲期间、和/或在对信息的高速缓存期间)将信息存储在其中的任何其他存储设备或存储盘。如本文中所使用,术语非瞬态计算机可读介质被明确地限定为包括任何类型的计算机可读存储设备和/或存储盘,并且排除传播信号并排除传输介质。
“包含”和“包括”(及其所有形式和时态)在本文中用作开放式术语。因此,每当权利要求将任何形式的“包含(include)”或“包括(comprise)”(例如,包括(comprises/comprising)、包含(includes/including)、具有(having)等)用作前言或用于任何种类的权利要求叙述内时,要理解的是,附加的要素、项等可以存在而不落在对应权利要求或叙述的范围之外。如本文中所使用,当短语“至少”被用作例如权利要求的前述部分中的过渡术语时,其以与术语“包含”和“包括”是开放式的相同的方式是开放式的。术语“和/或”在以诸如A、B和/或C的形式被使用时是指A、B、C的任何组合或子集,诸如,(1)仅A,(2)仅B,(3)仅C,(4)A与B,(5)A与C,(6)B与C,以及(7)A与B且与C。如本文中在描述结构、组件、项目、对象和/或事物的上下文中所使用,短语“A和B中的至少一者”旨在指代包括以下各项中的任何一项的实现方式:(1)至少一个A,(2)至少一个B,以及(3)至少一个A和至少一个B。类似地,如本文中在描述结构、组件、项目、对象和/或事物的上下文中所使用,短语“A或B中的至少一者”旨在指代包括以下各项中的任何一项的实现方式:(1)至少一个A,(2)至少一个B,以及(3)至少一个A和至少一个B。如本文中在描述对过程、指令、动作、活动和/或步骤的实行或执行的上下文中所使用,短语“A和B中的至少一者”旨在指代包括以下各项中的任何一项的实现方式:(1)至少一个A,(2)至少一个B,以及(3)至少一个A和至少一个B。类似地,如本文中在描述过程、指令、动作、活动和/或步骤的实行或执行的上下文中所使用,短语“A或B中的至少一者”旨在指代包括以下各项中的任何一项的实现方式:(1)至少一个A,(2)至少一个B,以及(3)至少一个A和至少一个B。
如本文中所使用,单数引用(例如,“一个(a/an)”、“第一”、“第二”等)不排除复数。本文中所使用的术语“一个(a/an)”实体是指该实体中的一个或多个。术语“一个(a)”(或“一个(an)”)、“一个或多个”、以及“至少一个”可以在本文中互换地使用。此外,虽然单独列出,但多个装置、元件或方法动作可由例如单个单元或处理器来实现。另外,虽然各个特征可以被包括在不同的示例或权利要求中,但是这些特征可以可能被组合,并且在不同的示例或权利要求中的包括并不意味着特征的组合是不可行和/或不利的。
图7是表示可被执行以实现图1的图形生成器110的示例机器可读指令700的流程图。在图7中,示例图形处理器112与收发器108通信,以判定是否生成图形(框710)。在图7中所图示的示例中,信息提取器114可处理和/或以其他方式提取源自于网络107的传入信息(例如,公开文档106)(框720)。在图7的示例中,如果示例信息提取器114执行框720的控制,则示例依赖关系确定器118操作以确定所提取的信息的依赖关系(框730)。结果是,图形编译器122编译图形111,其中,基于依赖关系和/或任务次序来对已知攻击机制和/或新的攻击机制的任务进行排序(框740)。
附加地或替代地,在图7中,任务次序确定器116可确定公开物106中所列出的每个任务的操作的次序(框750).作为响应,关系提取器120提取任务之间的关系(例如,任务是否可以被重排序、改变、移动等)(框760)。结果是,图形编译器122编译图形111,其中,基于依赖关系和/或任务次序来对已知攻击机制和/或新的攻击机制的任务进行排序(框770)。
响应于框740或框770的执行,图形生成器110判定是否继续操作(框780)。响应于框780的控制返回“是”,则控制返回至框710。替代地,过程停止。
图8是表示可被执行以实现图1和图3的技术替换控制器124的示例机器可读指令800的流程图。在图8中,图形确定器302判定图形111是否已被生成(框810)。如果图形确定器302判定图形111尚未被生成(例如,框810的控制返回“否”),则控制进行至等待。替代地,如果图形确定器302判定图形111已被生成,则控制进行至框820,在框820中,分析器304分析图形111中的节点113、115、117、119、121。作为响应,分析器304可基于任何合适的属性(例如,产品属性、缓解属性、要求属性等)来判定节点113、115、117、119、121中的任何节点是否类似(框830)。如果分析器304判定图形111中不存在类似的节点(例如,框830的控制返回“否”),则控制进行至框870。
响应于分析器304判定图形111中存在类似的节点(例如,框830的控制返回“是”),则变型生成器306生成、确定、和/或以其他方式假设新的攻击机制(例如,图1的新的攻击机制123)(框840)。在本文中所公开的示例中,将此类新的攻击机制(例如,图1的新的攻击机制123)发送至图1的权重假定器126,以便确定权重(框850)。下文结合图9进一步详细解释框850的控制。
在图8中所图示的示例中,编译器308与变型生成器306和权重假定器126通信以获得结果(框860)。例如,在变型生成器306生成、确定、和/或以其他方式假定新的攻击机制(例如,执行框840的控制)之后,并且在权重假定器126确定此类新的攻击机制的对应权重(例如,执行框850的控制)之后,编译器308随后返回此类对应权重的结果。
响应于框860的执行,技术替换控制器124判定是否继续操作(框870)。响应于框870的控制返回“是”,则控制返回至框810。替代地,过程停止。
图9是表示可被执行以实现图1和图4的权重假定器126的示例机器可读指令的流程图。图9中所图示,目标确定器402确定与新的目标严重性(例如,新的攻击机制的新的目标的严重性)相关联的第一权重(框905)。另外,距离解释器404确定与节点距离相关联的第二权重(框910)。作为响应,权重更新器412基于框905和910中控制的执行来更新总权重(框915)。
在图9中所图示的示例中,产品比较器406将已知攻击机制的产品属性与新近生成的图形(例如,包括新的攻击机制的图形111)的产品属性进行比较(框920)。结果是,产品比较器406判定在两个版本(例如,已知攻击机制和新近已知的攻击机制)中是否存在产品属性变化或者是否存在类似的产品属性(框925)。在本文中所公开的示例中,如果判定在已知攻击机制与新近已知的攻击机制之间存在类似的产品属性,则产品比较器406基于该产品属性来确定第三权重(框930)。如果框930中执行的控制返回“否”,则控制进行至框970。响应于框930的控制的执行,权重更新器412基于框930中的控制的执行来更新总权重(框935)。
响应于框935的控制的执行,要求确定器408判定在两个版本(例如,已知攻击机制和新近已知的攻击机制)中是否存在要求属性变化(框940)。在本文中所公开的示例中,如果判定在已知攻击机制与新近已知的攻击机制之间存在类似的要求属性,则要求确定器408基于该要求属性来确定第四权重(框945)。如果框940中执行的控制返回“否”,则控制进行至框955。响应于框945的控制的执行,权重更新器412基于框945中的控制的执行来更新总权重(框950)。
在图9中所图示的示例中,缓解确定器410针对共享类似产品的每一个节点判定缓解属性是否类似(框955)。响应于框955的控制返回“否”,则控制进行至框970。替代地,响应于框955的控制返回“是”,则缓解确定器410基于缓解属性来确定第五权重(框960).响应于框960的控制的执行,权重更新器412基于框960中的控制的执行来更新总权重(框965)。
作为响应,权重假定器126封装并返回该结果(例如,总权重)(框970)。
图10是表示可被执行以实现图1和图5的目标替换控制器128的示例机器可读指令1000的流程图。在图10的示例中所图示,图形确定器502判定图形111是否已被生成(框1010)。如果图形确定器502判定图形111尚未被生成,则控制返回至框1010并且过程等待。替代地,如果图形确定器502判定图形111已被生成,则控制进行至框1020。
在图10中,节点分析器504确定图形111的节点113、115、117、119、121中的任何节点的目标属性(框1020)。结果是,互换接口506可在图形111的类似节点之间替换目标属性(框1030)和/或跨攻击机制替换目标属性(框1040)。响应于框1030或框1040的执行,互换接口506与权重假定器126通信,以确定(多个)新的攻击机制的权重(框1050)。
在图10的所图示的示例中,编译器508与互换接口506和/或权重假定器126通信以获得结果(框1060)。
响应于框1060的执行,目标替换控制器128判定是否继续操作(框1070)。响应于框1070的控制返回“是”,则控制返回至框1010。替代地,过程停止。
图11是表示可被执行以实现图1和图6的上下文短语控制器130的示例机器可读指令1100的流程图。在图11的示例中所图示,图形确定器602判定图形111是否已被生成(框1110)。响应于框1110的控制返回“否”,则控制进行至框1110并且等待。替代地,响应于框1110的控制返回“是”,控制进行至框1120。
标识器604标识图形111的节点113、115、117、119、121的目标属性(框1120)。此外,神经网络接口606标识是否存在指示实现给定的目标属性在攻击机制的其他地方出现的类似的词和/或短语(框1130)。响应于框1130的控制返回“否”,则控制进行至框1170。替代地,响应于框1130的控制返回“是”,则控制进行至框1140。
在框1140处,节点接口608互换包括指示类似目标的类似的词和/或短语的节点。作为响应,节点接口608与权重假定器126通信,以确定(多个)新的攻击机制的权重(框1150)。
在图6的所图示的示例中,编译器610与节点接口608和/或权重假定器126通信以获得结果(框1160)。响应于框1160的执行,上下文短语控制器130判定是否继续操作(框1170)。响应于框1170的控制返回“是”,则控制返回至框1110。替代地,过程停止。
图12是被构造成用于执行图7-图11的指令以实现图1的攻击检测器102的示例处理器平台1200的框图。处理器平台1200可以是例如,服务器、个人计算机、工作站、自学习机(例如,神经网络)、移动设备(例如,手机、智能电话、诸如iPadTM之类的平板)、个人数字助理(PDA)、互联网设备、DVD播放器、CD播放器、数字视频记录仪、蓝光播放器、游戏控制台、个人视频记录仪、机顶盒、耳机或其他可穿戴设备、或任何其他类型的计算设备。
所图示示例的处理器平台1200包括处理器1212。所图示示例的处理器1212是硬件。例如,处理器1212可以由来自任何所期望的族或制造商的一个或多个集成电路、逻辑电路、微处理器、GPU、DSP或控制器来实现。硬件处理器可以是基于半导体的(例如,基于硅的)器件。在该示例中,处理器实现:示例收发器108、示例图形生成器110、示例技术替换控制器124、示例权重假定器126、示例目标替换控制器128、示例上下文短语控制器130、和/或更一般地,图1的示例攻击检测器102;示例图形处理器112、示例信息提取器114、示例任务次序确定器116、示例依赖关系确定器118、示例关系提取器120、示例图形编译器122、和/或更一般地,图1的示例图形生成器110;示例图形确定器302、示例分析器304、示例变型生成器306、示例编译器308、和/或更一般地,图1和图3的示例技术替换控制器124;示例目标确定器402、示例距离确定器404、示例产品比较器406、示例要求确定器408、示例缓解确定器410、示例权重更新器412、示例权重日志414、和/或更一般地,图1和图4的示例权重假定器126;示例图形确定器502、示例节点分析器504、示例互换接口506、示例编译器508、和/或更一般地,图1和图5的示例1目标替换控制器128;示例图形确定器602、示例标识器604、示例神经网络接口606、示例节点接口608、示例编译器610、和/或更一般地,图1和图6的上下文短语控制器130。
所图示示例的处理器1212包括本地存储器1213(例如,高速缓存)。所图示示例的处理器1212经由总线1218与包括易失性存储器1214和非易失性存储器1216的主存储器进行通信。易失性存储器1214可由同步动态随机存取存储器(SDRAM)、动态随机存取存储器(DRAM)、
Figure BDA0002421194600000281
动态随机存取存储器
Figure BDA0002421194600000282
和/或任何其他类型的随机存取存储器设备实现。非易失性存储器1216可由闪存和/或任何其他所期望类型的存储器设备实现。由存储器控制器控制对主存储器1214、1216的访问。
所图示示例的处理器平台1200还包括接口电路1220。接口电路1220可由任何类型的接口标准实现,诸如,以太网接口、通用串行总线(USB)、
Figure BDA0002421194600000283
接口、近场通信(NFC)接口和/或PCI快速(PCI express)接口。
在所图示的示例中,将一个或多个输入设备1222连接至接口电路1220。(多个)输入设备1222允许用户将数据和/或命令输入到处理器1212中。(多个)输入设备可以由例如音频传感器、话筒、相机(静止的或视频)、键盘、按钮、鼠标、触屏、轨迹板、轨迹球、等点鼠标和/或语音识别系统实现。
一个或多个输出设备1224也被连接至所图示示例的接口电路1220。输出设备1224可例如由显示设备(例如,发光二极管(LED)、有机发光二极管(OLED)、液晶显示器(LCD)、阴极射线管显示器(CRT)、就地切换(IPS)显示器、触屏等)、触觉输出设备、打印机和/或扬声器实现。因此,所图示示例的接口电路1220典型地包括图形驱动器卡、图形驱动器芯片和/或图形驱动器处理器。
所图示示例的接口电路1220还包括诸如发射器、接收器、收发器、调制解调器、住宅网关、无线接入点和/或网络接口之类的通信设备,以促进经由网络1226与外部机器(例如,任何种类的计算设备)交换数据。通信可以经由例如,以太网连接、数字订户线(DSL)连接、电话线连接、同轴电缆系统、卫星系统、直线对传式无线系统、蜂窝电话系统等。
所图示示例的处理器平台1200还包括用于存储软件和/或数据的一个或多个大容量存储设备1228。此类大容量存储设备1228的示例包括软盘驱动器、硬盘驱动器、紧凑盘驱动器、蓝光盘驱动器、独立磁盘冗余阵列(RAID)系统和数字多功能盘(DVD)驱动器。
图7-图11的机器可执行指令1232可被存储在大容量存储设备1228中、易失性存储器1214中、非易失性存储器1216中、和/或诸如CD或DVD之类的可移除的非瞬态计算机可读存储介质上。
根据前述内容,将会领会,已经公开了可利用攻击机制的现有知识和攻击机制的最近(例如,新的)知识来生成、确定、和/或以其他方式假设攻击机制的示例方法、装置、和制品。所公开的方法、装置、和制品通过自动地取出公开文档以用于与自然语言处理器一起使用从而生成对应的图形来改善使用计算设备的效率。本文中所公开的示例包括基于表示现有的和最近的(例如,新的)攻击机制的图形来组织新的攻击机制并排定其优先级。而且,本文中所公开的示例通过实现对可能不存在和/或不可理解的攻击机制的分析来提供超越现有方法的优势。例如,已经通过示例缓解技术被缓解的现有攻击机制可能经由新近发现的技术的替换而被绕过。在本文中所公开的示例中,此类新近发现的技术连同现有攻击机制一起被分析,以生成、确定、和/或以其他方式假设新的攻击机制。另外,本文中所公开的示例包括确定与新的所生成的攻击机制相关联的权重(例如,严重性评分),该权重指示新的所生成的攻击机制的严重的可能性。所公开的方法、装置、和制品相应地涉及计算机的功能的一个或多个改进。
本文中公开了用于分析计算机系统攻击机制的示例方法、装置、系统和制品。进一步的示例及其组合包括下列:
示例1包括一种用于分析攻击机制的装置,该装置包括:图形生成器,该图形生成器利用自然语言处理模型基于公开物生成图形;分析器,该分析器用于:通过标识图形中的两个或更多个节点的相应属性来分析该图形中的该两个或更多个节点;以及提供对该两个或更多个节点包括类似的相应属性的指示;变型生成器,该变型生成器用于基于该指示来生成攻击机制;以及权重假定器,该权重假定器用于基于(A)图形中的两个或更多个节点和(B)所生成的攻击机制来指示与所生成的攻击机制的严重性相关联的权重。
示例2包括如示例1所述的装置,进一步包括图形确定器,该图形确定器用于判定图形是否被生成并且响应于判定图形被生成而将该图形传送至分析器。
示例3包括如示例2所述的装置,其中,图形确定器用于通过与图形生成器通信来判定图形被生成。
示例4包括如示例1所述的装置,其中,图形中的两个或更多个节点分别被包括在两个或更多个攻击机制中。
示例5包括如示例1所述的装置,其中,相应属性是图形中的两个或更多个节点的相应目标属性。
示例6包括如示例1所述的装置,其中,图形中的两个或更多个节点分别是两个或更多个父节点的子节点。
示例7如示例1所述的装置,其中,所生成的攻击机制不被包括在基于公开物生成的图形中。
示例8包括如示例7所述的装置,其中,公开物是安全会议公开物、PowerPoint演示、word文档、可移植文档格式PDF文件、或视频演示的文字记录中的至少一者。
示例9包括一种非瞬态计算机可读存储介质,包括指令,这些指令在被执行时使得至少一个处理器至少用于:基于公开物来生成图形;通过标识图形中的两个或更多个节点的相应属性来分析该图形中的该两个或更多个节点;提供对该两个或更多个节点包括类似的相应属性的指示;基于该指示来生成攻击机制;以及指示与所生成的攻击机制的严重性相关联的权重,该权重基于(A)图形中的两个或更多个节点和(B)所生成的攻击机制。
示例10包括如示例9所述的非瞬态计算机可读存储介质,其中,指令在被执行时使得至少一个处理器用于:判定图形是否被生成,并且响应于判定图形被生成而将该图形传送至分析器。
示例11包括如示例10所述的非瞬态计算机可读存储介质,其中,指令在被执行时使得至少一个处理器用于:通过与图形生成器通信来判定图形被生成。
示例12包括如示例9所述的非瞬态计算机可读存储介质,其中,图形中的两个或更多个节点分别被包括在两个或更多个攻击机制中。
示例13包括如示例9所述的非瞬态计算机可读存储介质,其中,相应属性是图形中的两个或更多个节点的相应目标属性。
示例14包括如示例9所述的非瞬态计算机可读存储介质,其中,图形中的两个或更多个节点分别是两个或更多个父节点的子节点。
示例15包括如示例9所述的非瞬态计算机可读存储介质,其中,所生成的攻击机制不被包括在基于公开物生成的图形中。
示例16包括如示例15所述的非瞬态计算机可读存储介质,其中,公开物是安全会议公开物、PowerPoint演示、word文档、可移植文档格式PDF文件、或视频演示的文字记录中的至少一者。
示例17包括一种用于分析攻击机制的方法,该方法包括:基于公开物来生成图形;通过标识图形中的两个或更多个节点的相应属性来分析该图形中的该两个或更多个节点;提供对该两个或更多个节点包括类似的相应属性的指示;基于该指示来生成攻击机制;以及指示与所生成的攻击机制的严重性相关联的权重,该权重基于(A)图形中的两个或更多个节点和(B)所生成的攻击机制。
示例18包括如示例17所述的方法,进一步包括:判定图形是否被生成,并且响应于判定图形被生成而将该图形传送至分析器。
示例19包括如示例18所述的方法,进一步包括:通过与图形生成器通信来判定图形被生成。
示例20包括如示例17所述的方法,其中,图形中的两个或更多个节点分别被包括在两个或更多个攻击机制中。
示例21包括如示例17所述的方法,其中,相应属性是图形中的两个或更多个节点的相应目标属性。
示例22包括如示例17所述的方法,其中,图形中的两个或更多个节点分别是两个或更多个父节点的子节点。
示例23如示例17所述的方法,其中,所生成的攻击机制不被包括在基于公开物生成的图形中。
示例24包括如示例23所述的方法,其中,公开物是安全会议公开物、PowerPoint演示、word文档、可移植文档格式PDF文件、或视频演示的文字记录中的至少一者。
示例25包括一种用于分析攻击机制的设备,该设备包括:用于基于公开物来生成图形的装置;用于通过标识图形中的两个或更多个节点的相应属性并且提供对该两个或更多个节点包括类似的相应属性的指示来分析该图形中的该两个或更多个节点的装置;用于攻击机制生成的装置,用于攻击机制生成的装置用于基于指示来生成攻击机制;以及用于指示与所生成的攻击机制的严重性相关联的权重的装置,该权重基于(A)图形中的两个或更多个节点和(B)所生成的攻击机制。用于生成图形的示例装置由图1的图形生成器110来实现。用于分析的示例装置由图3的分析器304来实现。用于攻击机制生成的示例装置由图3的变型生成器306来实现。用于指示权重的示例装置由图1的权重假定器126来实现。
示例26包括如示例25所述的设备,进一步包括:用于判定图形是否被生成并且响应于判定图形被生成而将该图形传送至分析装置的装置。用于判定图形是否被生成的示例装置由图3的图形确定器302来实现。用于判定图形是否被生成的装置可以是示例图形确定装置或用于图形确定的装置。
示例27包括如示例26所述的设备,其中,判定装置用于通过与生成装置通信来判定图形被生成。
示例28包括如示例25所述的设备,其中,图形中的两个或更多个节点分别被包括在两个或更多个攻击机制中。
示例29包括如示例25所述的设备,其中,相应属性是图形中的两个或更多个节点的相应目标属性。
示例30包括如示例25所述的设备,其中,图形中的两个或更多个节点分别是两个或更多个父节点的子节点。
示例31如示例25所述的设备,其中,所生成的攻击机制不被包括在基于公开物生成的图形中。
示例32包括如示例31所述的设备,其中,公开物是安全会议公开物、PowerPoint演示、word文档、可移植文档格式PDF文件、或视频演示的文字记录中的至少一者。
虽然本文中已公开了某些示例方法、设备和制品,但本专利涵盖的范围并不限于此。相反,本专利涵盖公平地落入本专利权利要求范围内的全部方法、设备和制品。

Claims (25)

1.一种用于分析攻击机制的装置,所述装置包括:
图形生成器,所述图形生成器利用自然语言处理模型基于公开物生成图形;
分析器,所述分析器用于:
通过标识所述图形中的两个或更多个节点的相应属性来分析所述图形中的所述两个或更多个节点;以及
提供对所述两个或更多个节点包括类似的相应属性的指示;
变型生成器,所述变型生成器用于基于所述指示来生成攻击机制;以及
权重假定器,所述权重假定器用于基于(A)所述图形中的所述两个或更多个节点和(B)所生成的攻击机制来指示与所生成的攻击机制的严重性相关联的权重。
2.如权利要求1所述的装置,进一步包括图形确定器,所述图形确定器用于判定所述图形是否被生成并且响应于判定所述图形被生成而将所述图形传送至所述分析器。
3.如权利要求2所述的装置,其中,所述图形确定器用于通过与所述图形生成器通信来判定所述图形被生成。
4.如权利要求1所述的装置,其中,所述图形中的所述两个或更多个节点分别被包括在两个或更多个攻击机制中。
5.如权利要求1所述的装置,其中,所述相应属性是所述图形中的所述两个或更多个节点的相应目标属性。
6.如权利要求1所述的装置,其中,所述公开物是安全会议公开物、PowerPoint演示、word文档、可移植文档格式PDF文件、或视频演示的文字记录中的至少一者。
7.一种非瞬态计算机可读存储介质,包括指令,所述指令在被执行时使得至少一个处理器至少用于:
基于公开物来生成图形;
通过标识所述图形中的两个或更多个节点的相应属性来分析所述图形中的所述两个或更多个节点;
提供对所述两个或更多个节点包括类似的相应属性的指示;
基于所述指示来生成攻击机制;以及
指示与所生成的攻击机制的严重性相关联的权重,所述权重基于(A)所述图形中的所述两个或更多个节点和(B)所生成的攻击机制。
8.如权利要求7所述的非瞬态计算机可读存储介质,其中,所述指令在被执行时使得所述至少一个处理器用于:判定所述图形是否被生成,并且响应于判定所述图形被生成而将所述图形传送至分析器。
9.如权利要求8所述的非瞬态计算机可读存储介质,其中,所述指令在被执行时使得所述至少一个处理器用于:通过与图形生成器通信来判定所述图形被生成。
10.如权利要求7所述的非瞬态计算机可读存储介质,其中,所述相应属性是所述图形中的所述两个或更多个节点的相应目标属性。
11.如权利要求7所述的非瞬态计算机可读存储介质,其中,所述图形中的所述两个或更多个节点分别是两个或更多个父节点的子节点。
12.如权利要求7所述的非瞬态计算机可读存储介质,其中,所生成的攻击机制不被包括在基于所述公开物生成的所述图形中。
13.如权利要求12所述的非瞬态计算机可读存储介质,其中,所述公开物是安全会议公开物、PowerPoint演示、word文档、可移植文档格式PDF文件、或视频演示的文字记录中的至少一者。
14.一种用于分析攻击机制的方法,所述方法包括:
基于公开物来生成图形;
通过标识所述图形中的两个或更多个节点的相应属性来分析所述图形中的所述两个或更多个节点;
提供对所述两个或更多个节点包括类似的相应属性的指示;
基于所述指示来生成攻击机制;以及
指示与所生成的攻击机制的严重性相关联的权重,所述权重基于(A)所述图形中的所述两个或更多个节点和(B)所生成的攻击机制。
15.如权利要求14所述的方法,进一步包括:判定所述图形是否被生成,并且响应于判定所述图形被生成而将所述图形传送至分析器。
16.如权利要求14所述的方法,其中,所述图形中的所述两个或更多个节点分别被包括在两个或更多个攻击机制中。
17.如权利要求14所述的方法,其中,所述相应属性是所述图形中的所述两个或更多个节点的相应目标属性。
18.如权利要求14所述的方法,其中,所述图形中的所述两个或更多个节点分别是两个或更多个父节点的子节点。
19.如权利要求14所述的方法,其中,所生成的攻击机制不被包括在基于所述公开物生成的所述图形中。
20.如权利要求19所述的方法,其中,所述公开物是安全会议公开物、PowerPoint演示、word文档、可移植文档格式PDF文件、或视频演示的文字记录中的至少一者。
21.一种用于分析攻击机制的设备,所述设备包括:
用于基于公开物来生成图形的装置;
用于通过以下操作来分析所述图形中的两个或更多个节点的装置:
标识所述图形中的所述两个或更多个节点的相应属性;以及
提供对所述两个或更多个节点包括类似的相应属性的指示;
用于攻击机制生成的装置,所述用于攻击机制生成的装置用于基于所述指示来生成攻击机制;以及
用于指示与所生成的攻击机制的严重性相关联的权重的装置,所述权重基于(A)所述图形中的所述两个或更多个节点和(B)所生成的攻击机制。
22.如权利要求21所述的设备,进一步包括:用于判定所述图形是否被生成并且响应于判定所述图形被生成而将所述图形传送至分析装置的装置。
23.如权利要求22所述的设备,其中,判定装置用于通过与生成装置通信来判定所述图形被生成。
24.如权利要求21所述的设备,其中,所述图形中的所述两个或更多个节点分别被包括在两个或更多个攻击机制中。
25.如权利要求21所述的设备,其中,所述相应属性是所述图形中的所述两个或更多个节点的相应目标属性,并且其中,所述图形中的所述两个或更多个节点分别是两个或更多个父节点的子节点。
CN202010206309.1A 2019-06-27 2020-03-23 用于分析计算机系统攻击机制的方法和装置 Pending CN112149117A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/455,473 US20190318085A1 (en) 2019-06-27 2019-06-27 Methods and apparatus to analyze computer system attack mechanisms
US16/455,473 2019-06-27

Publications (1)

Publication Number Publication Date
CN112149117A true CN112149117A (zh) 2020-12-29

Family

ID=68161888

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010206309.1A Pending CN112149117A (zh) 2019-06-27 2020-03-23 用于分析计算机系统攻击机制的方法和装置

Country Status (3)

Country Link
US (1) US20190318085A1 (zh)
EP (1) EP3757834A1 (zh)
CN (1) CN112149117A (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11184370B1 (en) * 2019-07-30 2021-11-23 NortonLifeLock Inc. Identifying and protecting against evolving cyberattacks using temporal word embeddings
US11568049B2 (en) 2019-09-27 2023-01-31 Mcafee, Llc Methods and apparatus to defend against adversarial machine learning
US11620338B1 (en) * 2019-10-07 2023-04-04 Wells Fargo Bank, N.A. Dashboard with relationship graphing
CN112632535B (zh) * 2020-12-18 2024-03-12 中国科学院信息工程研究所 攻击检测方法、装置、电子设备及存储介质

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110999249A (zh) * 2017-08-03 2020-04-10 T移动美国公司 发现多个向量攻击的相似搜索
US10868825B1 (en) * 2018-08-14 2020-12-15 Architecture Technology Corporation Cybersecurity and threat assessment platform for computing environments

Also Published As

Publication number Publication date
EP3757834A1 (en) 2020-12-30
US20190318085A1 (en) 2019-10-17

Similar Documents

Publication Publication Date Title
US11790237B2 (en) Methods and apparatus to defend against adversarial machine learning
CN112149117A (zh) 用于分析计算机系统攻击机制的方法和装置
US11003444B2 (en) Methods and apparatus for recommending computer program updates utilizing a trained model
CN112148275A (zh) 用于改进的软件开发效率的上下文和复杂度感知推荐系统的方法、系统、制品和装置
US11157384B2 (en) Methods, systems, articles of manufacture and apparatus for code review assistance for dynamically typed languages
US20230342196A1 (en) Methods and apparatus to optimize workflows
US20230128680A1 (en) Methods and apparatus to provide machine assisted programming
CN112148552A (zh) 用于选择代码数据结构类型的方法、系统、制品和装置
US11720676B2 (en) Methods and apparatus to create malware detection rules
US11435990B2 (en) Methods and apparatus for malware detection using jar file decompilation
US20220191583A1 (en) Methods and apparatus for enhancing a video and audio experience
CN112148274A (zh) 用于改善代码特性的方法、系统、制品和装置
US20210334300A1 (en) Systems, methods, and apparatus for context-driven search
US11729213B2 (en) Automatic generation of deceptive API endpoints
US11831419B2 (en) Methods and apparatus to detect website phishing attacks
US20210374229A1 (en) Methods and apparatus to improve detection of malware in executable code
US20230409976A1 (en) Rewriting method and information processing apparatus
US11983247B2 (en) Methods, systems, articles of manufacture, and apparatus to recalibrate confidences for image classification
US20240095052A1 (en) Machine Learning with Dynamic Bytecode Transformation
WO2021120028A1 (en) Methods and apparatus for modifying machine learning model
US11694077B2 (en) Methods, systems, and articles of manufacture to autonomously select data structures
US20210342442A1 (en) Methods and apparatus to accelerate security threat investigation
JP2020190930A (ja) 対象物検索システム、対象物検索方法および学習済モデル

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination