CN112385196B - 用于报告计算机安全事故的系统和方法 - Google Patents
用于报告计算机安全事故的系统和方法 Download PDFInfo
- Publication number
- CN112385196B CN112385196B CN201980045990.1A CN201980045990A CN112385196B CN 112385196 B CN112385196 B CN 112385196B CN 201980045990 A CN201980045990 A CN 201980045990A CN 112385196 B CN112385196 B CN 112385196B
- Authority
- CN
- China
- Prior art keywords
- routine
- security
- text message
- alert
- indicator
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 38
- 230000004044 response Effects 0.000 claims description 17
- 238000004891 communication Methods 0.000 claims description 15
- 230000005540 biological transmission Effects 0.000 claims description 7
- 230000001010 compromised effect Effects 0.000 claims description 5
- 238000002360 preparation method Methods 0.000 claims description 5
- 238000001514 detection method Methods 0.000 abstract description 25
- 238000004458 analytical method Methods 0.000 abstract description 9
- 239000002131 composite material Substances 0.000 abstract description 7
- 238000012360 testing method Methods 0.000 abstract description 2
- 238000007781 pre-processing Methods 0.000 description 11
- 238000011156 evaluation Methods 0.000 description 9
- 239000003550 marker Substances 0.000 description 9
- 238000003066 decision tree Methods 0.000 description 7
- 230000000694 effects Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 239000012634 fragment Substances 0.000 description 6
- 238000012545 processing Methods 0.000 description 5
- 230000001960 triggered effect Effects 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 238000004590 computer program Methods 0.000 description 4
- 238000004374 forensic analysis Methods 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 230000002547 anomalous effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000010438 heat treatment Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0686—Additional information in the notification, e.g. enhancement of specific meta-data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/23—Reliability checks, e.g. acknowledgments or fault reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
警报管理器软件在对各种安全场景进行测试而达成判定时动态地组装安全警报。每个执行的场景都可以提供场景特有的消息,因此产生的复合安全警报指示了在达成相应的判定时使用的实际推理路线。所描述的系统和方法尤其适用于公司网络中的高容量网络流的分析。在一些实施例中,流被预先标记有额外的元数据,以便于检测恶意软件和/或入侵。
Description
相关申请的交叉引用
本申请要求2018年7月18日提交的题为“用于安全审查的AI(AI for SecurityReview)”的第62/699,817号美国临时专利申请和2019年3月11日提交的题为“用于报告计算机安全事故的系统和方法(Systems and Methods for Reporting Computer SecurityIncidents)”的第62/816,389号美国临时专利申请的申请日的权益,其全部内容通过引用并入本文。
背景技术
本发明涉及用于减轻计算机安全威胁的系统和方法,尤其涉及向人类操作员报告自动检测到的事故。
恶意程式(也称为恶意软件)影响着全球大量的计算机系统。它的许多形式(诸如计算机病毒、特洛伊木马、间谍软件和恶意软件)给数百万计算机用户带来了严重的风险,使他们易遭受数据和敏感信息丢失、身份被盗以及丧失工作效率等。恶意程式也可能便于对计算机系统的未授权访问,这可能进一步允许入侵者(黑客)提取用户数据和其它敏感信息。
各种各样的装置,非正式地称为物联网(IoT),越来越多地连接到通信网络和互联网。此类装置包含智能手机、智能手表、TV和其它多媒体装置、游戏控制台、家用器具和诸如恒温器的各种家用传感器等。随着越来越多的此类装置上线,它们将面临恶意软件和入侵等安全威胁。因此,越来越需要保护此类装置免受恶意软件的攻击,以及保护与此类装置之间的通信。
恶意程式和黑客方法不断演变,向计算机安全提供商提出挑战,使得他们需跟上不断变化的威胁形势。一种特殊的安全方法(通常称为行为检测),依赖于根据一组规则监控装置和/或软件部件的活动。一些活动模式(例如,硬件或软件事件的序列、网络流量的特定特征)对应于相应的装置的正常合法使用,而其它活动模式可能指示恶意。
随着越来越多的装置连接到互联网,以及业务变得主要由数据驱动,电子通信网络的数据流量的速度和数量不断增加,并且可能会压倒传统的计算机安全系统和方法。进一步地,每当需要人为干预来调查计算机安全事故时,检测的效率因安全人员对大量信息进行分类的能力而严重限制。因此,亟需开发稳健且可扩展的方法来分析和可视化与安全相关的数据。
发明内容
根据一个方面,一种方法采用服务器计算机系统来保护多个客户端系统免受计算机安全威胁。所述方法包括采用服务器计算机系统的至少一个硬件处理器,以响应于接收取证指示符,从多个例程中选择用于评估第一安全谓词的第一例程,所述第一例程根据取证指示符选择。取证指示符包括多个元数据元素,所述多个元数据元表征多个客户端系统的客户端系统与另一方之间的网络流。所述方法进一步包括采用服务器计算机系统的至少一个硬件处理器,以从多个例程中选择用于评估第二安全谓词的第二例程,所述第二例程根据执行第一例程的结果选择。所述方法进一步包括采用服务器计算机系统的至少一个硬件处理器,以响应于选择第一例程,将第一文本消息添加到安全警报,所述安全警报指示客户端系统是否受到计算机安全威胁。第一文本消息基于根据第一例程选择的第一消息模板确定。所述方法进一步包括采用服务器计算机系统的至少一个硬件处理器,以响应于选择第二例程,将第二文本消息添加到安全警报。第二文本消息基于根据第二例程选择的第二消息模板确定。所述方法进一步包括采用服务器计算机系统的至少一个硬件处理器,将安全警报传输到管理装置,所述管理装置配置为向人类操作员显示安全警报。
根据另一方面,服务器计算机系统配置为保护多个客户端系统免受计算机安全威胁。服务器计算机系统包括至少一个硬件处理器和警报管理器,所述硬件处理器配置为执行取证分析器,所述警报管理器连接到取证分析器。取证分析器配置为,响应于接收取证指示符,从多个例程中选择用于评估第一安全谓词的第一例程,所述第一例程根据取证指示符选择。取证指示符包括多个元数据元素,所述多个元数据元素表征多个客户端系统的客户端系统与另一方之间的网络流。取证分析器进一步配置为从多个例程中选择用于评估第二安全谓词的第二例程,第二例程根据执行第一例程的结果选择。警报管理器配置为,响应于取证分析器选择第一例程,将第一文本消息添加到安全警报,安全警报指示客户端系统是否受到计算机安全威胁。第一文本消息基于根据第一例程选择的第一消息模板确定。警报管理器进一步配置为,响应于取证分析器选择第二安全算法,将第二文本消息添加到安全警报。第二文本消息基于根据第二例程选择的第二消息模板确定。警报管理器进一步配置为将安全警报传输到管理装置,所述管理装置配置为向人类操作员显示安全警报。
根据另一方面,一种非暂时性计算机可读介质存储指令,当由服务器计算机系统的至少一个硬件处理器执行时,所述指令使服务器计算机系统执行取证分析器和警报管理器,服务器计算机系统配置为保护多个客户端系统免受计算机安全威胁,警报管理器连接到取证分析器。取证分析器配置为,响应于接收取证指示符,从多个例程中选择用于评估第一安全谓词的第一例程,所述第一例程根据取证指示符选择。取证指示符包括多个元数据元素,所述多个元数据元素表征多个客户端系统的客户端系统与另一方之间的网络流。取证分析器进一步配置为从多个例程中选择用于评估第二安全谓词的第二例程,所述第二例程根据执行第一例程的结果选择。警报管理器配置为,响应于取证分析器选择第一例程,将第一文本消息添加到安全警报,所述安全警报指示客户端系统是否受到计算机安全威胁。第一文本消息基于根据第一例程选择的第一消息模板确定。警报管理器进一步配置为,响应于取证分析器选择第二安全算法,将第二文本消息添加到安全警报。第二文本消息基于根据第二例程选择的第二消息模板确定。警报管理器进一步配置为将安全警报传输到管理装置,所述管理装置配置为向人类操作员显示安全警报。
附图说明
通过阅读以下详细描述并且参考附图,将更好地理解本发明的前述方面和优势,其中:
图1示出了根据本发明的一些实施例的免受计算机安全威胁的一组示例性客户端系统。
图2示出了根据本发明的一些实施例的各种实体之间的示例性数据交换。
图3说明了根据本发明的一些实施例的计算装置的示例性硬件配置。
图4说明了根据本发明的一些实施例的在客户端系统上执行的示例性软件部件。
图5示出了根据本发明的一些实施例作为流预处理的部分实施的示例性步骤序列。
图6示出了另一步骤序列,所述步骤说明根据本发明的一些实施例的示例性流标记过程。
图7-A示出了根据本发明的一些实施例的流标记的实例。
图7-B示出了根据本发明的一些实施例的流标记的另一实例。
图8说明了根据本发明的一些实施例的安全服务器的示例性软件部件和操作。
图9示出了根据本发明的一些实施例的由取证分析器部件执行的示例性步骤序列。
图10示出了根据本发明的一些实施例的由警报管理器部件执行的示例性步骤序列。
图11说明了根据本发明的一些实施例的包括决策树的示例性攻击检测过程。
图12示出了根据一些实施例的另一示例性攻击检测过程,所述过程包括多个步骤,其中每个步骤可以根据多个场景来实施。
具体实施方式
在下面的描述中,应当理解,结构之间的所有引用的连接可以是直接操作连接或通过中间结构的间接操作连接。一组元素包含一或多个元素。对元素的任意表述都理解为指至少一个元素。多个元素包含至少两个元素。除非另有要求,任意描述的方法步骤不需要以特定的示例性顺序来执行。从第二元素导出的第一元素(例如,数据)涵盖等于第二元素的第一元素,以及通过处理第二元素和任选的其它数据生成的第一元素。根据参数做出决定或决策涵盖根据参数做出决定或决策和任选地根据其它数据做出决定或决策。除非另有说明,某些数量/数据的指示符可以是数量/数据本身,也可以是不同于数量/数据本身的指示符。计算机程序是实施任务的处理器指令序列。在本发明的一些实施例中描述的计算机程序可以是独立的软件实体或其它计算机程序的子实体(例如,子例程、库)。术语“数据库”在本文中用于表示任意有组织的、可搜索的数据集合。计算机可读介质涵盖诸如磁、光和半导体存储介质的非暂时性介质(例如,硬盘、光盘、闪存、DRAM),以及诸如导电电缆和光纤链路的通信链路。根据一些实施例,本发明尤其提供了包括编程为执行本文描述的方法的硬件(例如,一或多个处理器)的计算机系统,以及编码指令以执行本文描述的方法的计算机可读介质。
以下描述通过实例而非限制的方式说明了本发明的实施例。
图1示出了根据本发明的一些实施例的示例性配置,其中保护多个客户端系统10a-e免受计算机安全威胁。客户端系统10a-e可以代表具有处理器、存储器和通信接口的任意电子装置。示例性客户端系统10a-e包含公司主机计算机、个人计算机、膝上型电脑、平板电脑、移动电信装置(例如,智能手机)、媒体播放器、TV、游戏机、家用器具(例如,冰箱、恒温器、智能加热和/或照明系统)以及可穿戴装置(例如,智能手表、运动和健身装备)等。客户端系统10a-e通过本地网络12互连,并且进一步连接到扩展网络14(诸如互联网)。本地网络12可以包括局域网(LAN)。示例性本地网络12可以包含家庭网络和公司网络等。
在一些实施例中,流导出器器具15配置为拦截本地网络12内的客户端10a-e之间和/或客户端10a-e与位于本地网络12外部的其它实体之间的数据流量。在一些实施例中,流导出器15配置为充当本地网络12与扩展网络14之间的网关,或者配置为使得本地网络12与扩展网络14之间的网络流量的至少部分穿过流导出器15。在一些实施例中,流导出器选择性地从拦截的流量中提取信息,将提取的信息表示为以导出格式编码的网络流,诸如因特网协议流信息导出-IPFIX(在因特网工程任务组的请求注解IETF-RFC7011中描述)或来自思科公司(Cisco,Inc.)的NetFlow(例如,参见IETF-RFC3954),并且将相应的网络流数据导出到数据聚集器或安全服务器,如下所示。网络流可以定义为在某个时间间隔期间通过网络中的观察点(例如,流导出器15)的一组数据分组,使得属于特定流的所有分组具有一组公共属性(例如,相同的源和/或目的)。与网络流相关的导出信息通常包括截取的流量的元数据概要,从分组报头或从除有效载荷的实际内容之外的分组特征导出的相应的元数据。示例性流元数据元素包含源和目的IP地址或互联网域名、有效载荷大小、传输协议、时间戳等。在典型的导出格式中,数据可以组织为表,每行代表不同的流,并且每列代表相应的流的属性的值。流表的此类列在本文被认为是流元素。根据行业标准(诸如IPFIX和NetFlow)制定的流元素在本文称为标准流元素。
在一些实施例中,数据聚集器装置17配置为从受保护的客户端10a-e和/或流导出器15接收信息,并且组织和预处理此类信息以准备取证分析。通信耦合到数据聚集器17和/或数据储存库18的安全服务器16配置为分析从客户端采集的信息以检测潜在的计算机安全威胁。
数据聚集器17可以对从客户端和/或流导出器收集的信息实施部分取证分析。然而,典型的数据聚集器17不进行安全评估,例如不确定特定流是否指示对计算机系统的某个部分的未授权访问,或者相应的流是否指示恶意软件感染。相反,由数据聚集器17的典型实施例完成的预处理的类型旨在通过减轻其它系统部件(例如,安全服务器16)的一些计算负担来加速和促进这些部件完成的取证分析。然后,服务器16可以专注于执行恶意软件和/或入侵检测例程,而将数据以最佳形式用于安全处理所需的大部分工作可以由数据聚集器17来完成。示例性预处理操作包含事件和/或流过滤,即,根据各种标准选择事件和/或流数据。
数据聚集器17的一些实施例将安全相关信息(例如,事件指示符、网络流)存储在数据储存库18中,其可以使用任意类型的计算机可读介质来实现,包含但不限于硬盘、存储SAN、RAM盘、任意类型的存储器结构、队列等。数据聚集器17可能不会将流预处理的所有结果存储到数据储存库18。相反,一些实施例选择一些结果,这些结果可能尤其是信息型的和/或可以最好地捕捉被监控客户端和/或网络的状态中的某种类型的变化。预处理的此类结果可以根据一组预定的规则选择。数据聚集器17的操作将在下面进一步详细描述。
在一些实施例中,使用在连接到扩展网络14(例如,因特网)的管理装置13上执行的软件来远程监控、管理和/或配置客户端系统10a-e。示例性管理装置13包含个人计算机和智能手机等。装置13可以展示图形用户界面(GUI),从而允许用户(例如,计算机安全专业人员、网络管理员)远程监控和/或管理客户端系统10a-e的操作,例如,设置配置选项和/或接收关于在相应的客户端系统上发生的事件的安全警报。在一个示例性用例场景中,客户端10a-e表示公司网络上的单个计算机和管理装置13共同表示配置为可视化和监控相应的网络的活动的安全操作中心(SOC)的计算机。在一个此类实例中,管理装置13可以执行安全信息和事件管理(SIEM)软件,所述事件管理软件配置为显示与在相应的公司网络内发生的事件相关的安全警报。在另一示例性用例场景中,客户端10a-e表示通过家庭网络互连的家庭电子装置。在此类情况下,管理装置13可以代表执行应用的家长的智能手机,所述应用允许相应的家长接收关于客户端10a-e的安全警报、配置网络访问和/或家长控制选项等。
技术人员将会理解,图1中的说明性配置只是许多可能的配置中的一个。部件15和17中的每个可以实现为独立的网络设备,或者可以任选地实现为服务器或服务器组的部分,任选地实现为固件或软件。例如,流导出器15和数据聚集器17可以实现为在相同物理机器上执行的计算机程序。在一些实施例中,数据聚集器17可以在安全服务器16上执行。在另一可替代实施例中,流导出器15可以表示在诸如图1中的客户端10a-e的客户端系统上执行的软件。在又一示例性实施例中,流导出器15和数据聚集器17中的任意一个都可以实现为专用硬件装置,例如使用现场可编程门阵列(FPGA)或专用集成电路(ASIC)。
图2示出了根据本发明的一些实施例的示例性数据交换。数据聚集器17可以从受监控的客户端系统10接收事件指示符22和/或从流导出器15接收流指示符20。事件指示符22可以包括指示在相应的客户端系统的操作期间发生事件的数据。一些此类事件可能指示存在安全威胁。其它事件本身可能不是恶意指示,但是当在相应的客户端系统或其它受监控的客户端系统上发生的其它事件在上下文中发生时,可能指示攻击。示例性事件指示符22可以指示在相应的客户端系统上检测到特定的恶意程式(恶意软件)。通过事件指示符22传送的事件的其它实例包含特定软件部件/应用的启动、访问本地存储装置(例如,硬盘驱动)上的特定位置或特定网络资源的尝试、特定操作序列(例如,在短时间内发生的大量磁盘写入)等。流指示符20可以包含被组织为一组元数据(例如,包括多个标准流元素的NetFlow或IPFIX格式的数据表)的网络流量摘要。
在一些实施例中,数据聚集器17可以预处理收集的数据,以便于安全服务器16的进一步分析。预处理可以将细节(例如,额外的元数据)添加到从流导出器15和/或客户端系统10a-e接收的数据。在一个此类实例中,网络流数据可以用附加信息(例如,地理定位、访问特定IP地址的频率、发送与接收之间的比率等)来标记。在可替代实施例中,此类流标记可以由流导出器15执行。流预处理/标记的细节和实例将在下面进一步给出。
安全服务器16一般代表一组通信耦合的计算机系统,这些计算机系统可以在物理上彼此接近或不接近。服务器16配置为分析从客户端采集的数据,以检测诸如恶意程式和入侵的计算机安全威胁。当此类分析指示威胁时,服务器16的一些实施例将安全警报26传输到管理装置13。安全警报26包括以自然语言(例如,英语、荷兰语等)制定的至少一个警报消息的编码,相应的消息被公式化以向人类操作员(例如,计算机安全专业人员、网络管理员、家长等)提供关于相应的威胁和关于导致检测相应的威胁的推理的信息。在一些实施例中,警报消息可以进一步包括在分析期间确定的各种参数或量的值(例如,时间、文件大小、网络地址、地理位置),以及对进一步行动或调查(例如,隔离网络域X、在主机Y上运行反恶意软件软件等)的建议。
示例性警报消息可以是:“属于‘会计’网络子域的实体有75%的可能性进行恶意活动。位于网络地址X的打印机已将大量数据(大小>l Gb)上传到可疑的IP地址(单击了解详细信息)。转移发生在工作时间之外的一个周末(单击了解详细信息)”。警报消息的某些部分可能有超链接,因此单击时会显示更多文本。例如,“目标装置识别为打印机,因为其MAC地址指示是爱普生(Epson)制造的装置”,和“目标IP地址被认为可疑,因为它与灰色列表项匹配,并且其地理位置在乌克兰”。
另一示例性警报消息可以是:“入侵警报!由试探法第5、25和71号检测到(单击数字了解详细信息)”。另一版本可能是“入侵警报!根据活动的时间、目的地地址和有效负载 大小进行检测(单击了解详细信息)”。在上面的实例中,带下划线的项目可以包括超链接。
图3示出了根据本发明的一些实施例的计算装置的示例性硬件配置。示例性计算装置一般表示图1中所示的任意机器(客户端10a-e、管理装置13、流导出器15、数据聚集器17和安全服务器16)。图3中所示的配置对应于计算机系统;诸如平板电脑、智能手机等的其它装置的架构可能与本文所示的示例性架构略有不同。处理器32包括配置为利用一组信号和/或数据来执行计算和/或逻辑操作的物理装置(例如,形成在半导体衬底上的多核集成电路)。此类操作可以被编码为处理器指令(例如,机器编码或一些其它编程语言)。存储器单元34可以包括易失性计算机可读介质(例如,RAM),存储有处理器32在实施操作的过程中访问或生成的处理器指令和/或数据。输入装置36可以包含计算机键盘、鼠标和麦克风等,包含有使用户能够将数据和/或指令引入相应的计算装置的相应的硬件接口和/或适配器。输出装置38可以包含诸如监视器和扬声器等显示装置,以及诸如图形卡等硬件接口/适配器,使得相应的计算装置能够向用户传送数据。在一些实施例中,输入装置36和输出装置38可以共享一个公共硬件,如在触摸屏装置的情况下。存储装置42包含允许软件指令和/或数据的非易失性存储、读取和写入的计算机可读介质。示例性存储装置42包含磁盘和光盘以及闪存(固态)存储器装置,以及诸如CD和/或DVD盘的可移动介质和驱动器。网络适配器44使相应的计算装置能够连接到电子通信网络和/或与其它装置/计算机系统通信。控制器集线器40代表多个系统、外围设备和/或芯片组总线,和/或能够在处理器32与装置34、36、38、42和44之间通信的所有其它电路系统。例如,控制器集线器40可以包含存储器控制器、输入/输出(I/O)控制器和中断控制器等。在另一实例中,控制器集线器40可以包括将处理器32连接到存储器34的北桥和/或将处理器32连接到装置36、38、42和44的南桥。
图4示出了在诸如图1中的客户端10a-e的客户端系统上执行的示例性软件部件。应用程序48一般代表任意用户应用程序,诸如文字处理、电子表、计算机图形、浏览器、游戏、媒体播放器和电子通信应用程序等。安全应用50可以执行诸如检测恶意程式、应用控制、家长控制等的各种计算机安全任务。应用50可以包括事件采集器52,所述事件采集器配置为在应用48和/或OS 46的执行期间检测各种安全相关事件的发生。此类事件的发生和参数可以以事件指示符22的形式传送给数据聚集器17。网络过滤器53可以提供通信安全服务,诸如防火墙和/或流量分析。在一些实施例中,网络过滤器53可以从客户端10与其它实体之间的电子通信中提取信息,并且可以将此类信息作为流量指示符输出到数据聚集器17。
图5至6示出了根据本发明的一些实施例的数据聚集器17的详细说明的示例性操作的示例性步骤序列。聚集器17执行的特定预处理操作包括标记从客户端10a-e和/或流导出器15接收的网络流。本文的标记是指从诸如流指示符20和/或事件指示符22(参见图2)的输入数据中确定附加信息(例如,元数据),并且将相应的附加信息添加到相应的输入数据的表示中,例如作为表示网络流的表行中的附加列。标记的流元素可以根据标准流元素(即,根据诸如NetFlow或IPFIX的标准制定的流元素)的任意组合来确定,或者可以任选地根据此类标准流元素和可能的其它外部和/或非流信息来导出。
标记的元素的非限制性实例是地理定位标记的元素,其借助于地理定位查找表从目标网络流的IP地址导出。查找表将IP地址与地理位置相匹配(例如,国家、城市、邮政编码、地区等),然后成为相应的流的新标记的元素。标记元素的另一非限制性实例是时间流逝或持续时间,其可以任选地根据流的“流开始时间”和“流结束时间”时间戳来计算。标记的元素的另一实例是从特定IP地址接收的请求频率的指示符。另一示例性标记的元素是从发送到特定IP地址或位于特定IP地址的装置的特定端口以及从所述特定地址或特定端口接收的数据量导出的流量比率。另一示例性的标记的元素是端口/IP地址元素,根据网络流的源IP地址和目的端口导出。
标记的元素的特定类别包括复合标记的元素,其根据其它标记的元素和任选地根据其它数据来确定。复合标记的元素可以包括多个标记的元素的组合。根据时间流逝元素和地理定位标记的元素来确定复合标记的元素的非限制性实例。另一非限制性实例通过确定到特定地理定位的流量的容量(例如,频率、字节或其组合)来计算。复合标记的元素又可以用于确定其它更复杂的标记的元素。
图5示出了根据本发明的一些实施例实施执行流标记的示例性步骤序列。响应于接收用于分析的网络流,步骤104可以确定标记的顺序。在一些实施例中,标记由一组标记模块执行,所述标记模块可以根据被分析的数据的类型同时或顺序执行。例如,每个标记模块可以计算不同的标记的元素。在优化的并行计算配置中,不同的标记模块可以在聚集器17的不同物理处理器上执行。例如,根据所分析的网络流的特征,步骤104可以确定此类模块执行的顺序。在一个实例中,标记模块A的执行需要存在由标记模块B计算的特定标记的元素。然后,示例性调度可以确保模块B在模块A之前执行。调度还可以防止循环依赖和/或无限循环。在可替代实施例中,数据聚集器17包括有限状态机,该有限状态机根据所分析的网络流的特性自动触发各种标记模块的执行。例如,每个标记模块可以由特定种类的流元素的可用性来触发。
在步骤106中,根据调度选择标记模块。进一步的步骤108执行相应的标记模块(详情情参见图6)。接下来,步骤110确定是否还有一些标记模块需要执行,并且当是时,数据聚集器17返回到步骤106以选择另一标记模块来执行。
图6示出了典型标记模块的详细说明执行的步骤序列。首先,步骤122检查导出相应的标记的元素所需的所有数据是否可用,例如是否已经指定了所有必需的流元素。当否时,相应的标记模块的执行可以结束。在一些实施例中,当必需的数据可用时,可以在步骤124中稍后重新执行相应的模块。
当所有需要的数据都可用时,相应的标记模块可以为表示相应的网络流的表的每一行执行循环中的步骤序列。对于每行,步骤126可以读取一组流元素,而步骤128可以根据相应的流元素并且任选地根据其它数据来确定标记的元素。当在步骤130中,必须创建新的列来接收标记的元素时,在步骤132中创建相应的列。进一步的步骤134实际上将标记的元素写入表示网络流的表中。步骤134可以包括重写现有的标记的元素。
图7-A至B示出了根据本发明的一些实施例的示例性增量流标记过程。流指示符20包括多个流,每个流表示为具有多个列/标准元素的表行,所述列/标准元素表示例如源和目的IP地址、分组大小等。可以从流量导出器15接收流量指示符20(参见图2和上面的相关描述)。在示例性实例中,第一标记模块根据每个流的“目的IP地址”元素来确定地理位置定位。新计算的标记的元素被写入新列。第二标记模块再次使用“目的IP地址”元素/列,但它也使用跟踪访问IP地址的频率的内部数据库。它增加内部数据库中的值,将该值存储在数据库中,并且将其复制到本文标记为“频率”的新列中。第三标记模块使用“发送字节”和“接收字节”列,并且确定例如发送/接收的流量比率,以及将新计算的值写入本文标记为“流量比率”的新列。第四标记模块使用每个流的“源IP地址”和“目的端口”标准元素以及内部数据库来确定相应的值元组表示来自在该源IP地址记录的先前活动的异常离群值的程度。新标记的元素被写入视为“异常度量1”的新列。
在复合标记的实例中,第五标记模块(图7-B)使用第三标记模块先前确定的“目的端口”列和“流量比率”列来修改第四标记模块确定的“异常度量”列中已经存在的值。结果在现有的列“异常测量1”中更新,或者任选地在本文标记为“异常测量2”的新列中更新。
图8示出了根据本发明的一些实施例的安全服务器16的示例性部件和操作。部件可以包括连接到警报管理器66的取证分析器64,和连接到取证分析器64和/或警报管理器66的场景调度器62。技术人员将理解,调度器62、分析器64和警报管理器66可以是独立的实体(例如,独立的过程,可能在不同的物理处理器上执行)或在服务器16上执行的单个软件实体的不同的部件(例如,库)。类似地,应该理解,本文描述的“发信号”可以表示不同执行实体/机器之间的数据的实际传输,或者单个执行实体的不同模块之间的值的传递。在可替代实施例中,一些部件可以在硬件和/或固件中实现。
本文使用的术语谓词表示一种语句,所述语句根据其变量的值具有不同的真实程度。评估谓词包括确定相应的谓词的真值。示例性谓词包含“客户端X受到攻击”、“客户端X是打印机”和“上传数据的大小超过1Gb”等。一些谓词是严格布尔型的(真/假),而其它谓词的真值可能是数值型的,表示相应的谓词为真的可能性(例如,客户端X受到攻击的概率p,其中p可以是50%、65%、90%等)。在一些实施例中,一些谓词值选择性地触发警报,如下文更详细地示出。例如,确定客户端X受到攻击可能会触发警报,而确定客户端X是打印机可能不会。在另一实例中,当相应的谓词具有计算的真值的可能性超过预定阈值(例如,攻击可能性>75%)时,触发警报。
术语场景在本文中用于表示用于评估谓词的一组规则、协议或算法。一个示例性场景包括一组条件,当一组输入的流和/或事件数据满足所述一组条件时,指示相应的谓词为真。场景可以包含任意逻辑命题,包括一组由“AND”、“OR”和/或“NOT”连接的谓词,例如蕴涵其中p、q、r、s、t是前提,u是结论。在一个此类实例中,u是与相应的场景相关联的主谓词(例如,“客户端X受到攻击”)。执行相应的场景包括评估多个其它子谓词p、q、……、t。谓词p可能会读作“客户端X是打印机”,谓词q可能会读作“客户端X已将数据上传到可疑的IP地址”,而谓词t可能会读作“办公时间内发生的活动”。评估谓词q可能需要评估几个子谓词(例如,检查相应的地址是否在黑名单或灰名单上,和检查相应的IP地址是否地理定位到特定地区或国家)。其它示例性场景包含恶意软件检测启发式方法和决策树。通常,谓词与场景之间存在一对多的关系,即,可能有多种方法来评估单个谓词。
一些实施例使用多个(例如,数以百计)检测计算机安全威胁的场景。几个此类场景可以并行执行。场景可以实现为软件例程,即,特定于相应的场景的计算机指令序列。场景可以以诸如可执行编码、XML、字节码、序言等的计算机可读的形式存储在场景储存库19中。然后,可以根据接收的流和/或事件指示符的特征,选择性地检索、访问或调用场景。为了允许场景的选择性触发,场景储存库的一些实施例进一步包括谓词与用于评估相应的谓词的场景之间的关联的指示符。
在一些实施例中,场景调度器62配置为根据所采集数据的谓词和/或各种特征来选择一组场景,并且将选择传送到取证分析器64和/或警报管理器66。一些场景的执行可以由特定触发事件和/或所采集的流的某些元素的触发值来触发。在一个此类实例中,场景调度器62和/或取证分析器64可以包括由输入的取证指示符的某些值触发的有限状态机。
取证分析器64配置为根据一组场景来分析从客户端系统10a-e和/或流导出器15采集的数据。分析的数据可以包含由数据聚集器17和/或流导出器15预处理的结果。在一些实施例中,此类预处理可以包含标记,即,将附加元数据添加到从客户端接收的数据,以便于由取证分析器64分析。
图9说明了根据本发明的一些实施例的取证分析仪64的操作。如步骤202、204、206和208所示,对于需要评估的每个谓词,分析器64可以选择性地检索至少一个场景并且执行相应的场景来评估相应的谓词。谓词评估可以进一步包括从数据储存库18检索/访问信息。此类信息可以包括装置配置设置、装置标识数据(例如,将MAC地址与制造商或装置类型相关联的表等。)和/或历史数据(例如,事件或网络日志等)。考虑到谓词的评估可以包括其它子谓词的评估,其中每个此类子谓词可以根据不同的场景来评估,一些实施例递归地执行步骤202-212,直到评估了所有相应的谓词和子谓词。
在一些实施例中,步骤209可以检查谓词评估是否成功。有时,由于缺少必要的数据,一些谓词无法被评估。在一些情况下,稍后可能会再次尝试评估相应的谓词。当相应的谓词被成功评估时,在步骤210中,取证分析器64将当前谓词的评估结果65传输给警报管理器66。作为响应,管理器66可以根据从分析器64接收的此类结果来制定警报的文本部分(下面更详细地描述)。当谓词评估完成时,步骤214可以验证所计算的谓词值是否满足警报条件(例如,攻击概率>75%)。当是时,在步骤216中,分析器64可以向警报管理器66发送信号,以准备用于传输的安全警报26。
在一些实施例中,警报管理器66制定安全警报26并且将其分发给管理装置13(参见图2)。警报由用自然语言制定的文本部分组成。在场景执行期间相应的文本部分可以包含各种由取证分析器64评估的值(例如,谓词值)。警报管理器66可以根据一组预定的警报模板来制定警报消息。在一些实施例中,每个警报模板与场景相关联,从而允许根据由取证分析器64执行的场景选择性地检索相应的模板。示例性警报模板可以包括以自然语言制定的文本和作为相应的场景的部分被评估的谓词的值的一组占位符。一些示例性模板如下所示:
·T1:入侵的概率为[%val_1]。目标IP地址[%val_2]。
根据装置类型、上传数据量和目标IP进行评估,如下所示。
·T2:客户端装置是[%val_3]。
·T3:在[%val_4]上,客户端已将大约[%val_5]的数据上传到可疑IP。
·T4:客户端装置是根据MAC地址和暴露的通信接口的打印机。
·T5:IP地址被认为是可疑的,因为它地理定位到[%val_6]。
·T6:IP地址与黑名单匹配。
其中[%val_i]指示包含IP地址、日期、文件大小等项目的占位符。警报模板可以存储在专用模板储存库29中,或者可替代地可以包含在场景储存库19中。在一个实例中,警报模板可以与相关联的场景一起编码,例如作为相应场景的XML、字节码或序言编码的部分。
图10示出了根据本发明的一些实施例的由警报管理器66执行的示例性步骤序列。在步骤222和224中,示例性警报管理器监听从场景调度器62和/或取证分析器64接收的信号。然后,基于从取证分析器64接收的单个场景特定模板和评估结果,逐步构建警报消息。当在步骤226中,接收的信号包括场景指示符63(图8)时,在步骤228中,警报管理器66可以从模板储存库29选择性地检索与相应的场景相关联的警报模板。当在步骤230中评估各种场景谓词时,步骤232可以编辑当前警报消息以包含计算值。在一些实施例中,步骤232可以简单地用评估的谓词值实例化相应的模板(在上述实例中,用“打印机”替换占位符[%val_3],用时间戳替换占位符[%val_4])。
当评估谓词包括评估一组子谓词时,警报管理器64可以根据用于评估相应的子谓词的场景递归地检索模板。在此类情况下,步骤232可以包括根据主场景/谓词的警报模板并且进一步根据与相应的子谓词相关联的单个模板来重新制定当前的警报消息。在一些实施例中,此类重新制定可以简单地包括将主警报模板与相应的子谓词的模板级联起来。使用上面说明的示例性模板,串联可能导致警报模板读取“T1T2T3”。在可替代的实施例中,级联可以用更复杂的处理来代替,例如产生允许用户访问与相应安全状况相关的各种级别的信息的分层模板。模板的此类示例性重新制定包含引入超链接、图表、逐项列表等。
在步骤234中,当警报管理器66接收来自分析器64的警报指示符时,指示满足了用于警示用户/管理员的一组条件,警报管理器66可以组装包含在步骤226-232中构建的文本消息的安全警报26,并且在步骤236中输出警报26以传输到管理装置13。
即使在高性能计算应用和高速网络中,上面描述的示例性系统和方法也允许对计算机安全威胁的有效检测和通信。一些实施例使用分布式代理从客户端采集安全相关数据。例如,此类数据可以包含网络流摘要和/或关于在受保护客户端装置上执行软件期间的特定事件发生的信息。然后,采集的信息被集中和预处理,然后被馈送到取证分析器,所述取证分析器配置为确定收集的数据是否指示计算机安全威胁,诸如恶意程式和/或网络入侵。例如,预处理可以包含用附加的安全指示信息标记网络流数据(例如,根据相应流的相应的方面和/或根据非流数据导出的元数据)。此类预处理可以通过减轻取证分析器与检测相关联的一些计算负担来极大地促进检测。在安全系统部件之间的此类计算成本分配在高速、高性能计算应用中可能尤其重要,在这些应用中,数据量可能压倒更传统的集中式计算机安全系统。
本发明的一些实施例依赖于这样的观察,即在现代电子通信网络上循环的数据的速度和庞大的数据量很容易使计算机安全人员不堪重负。因此,亟需开发稳健且可扩展的方法来分析和可视化与安全相关的信息。一些实施例能够响应于安全事件的检测,直观地呈现相关细节,使得即使是一般熟练的计算机操作员也能够理解发生了什么以及如何对每种情况做出响应。
一些实施例显示以自然语言(例如,英语、汉语)制定的详细描述安全事件的各个方面的警报消息,包含导致其检测的推理的叙述。此类警报消息极大地促进了对安全事件的理解,允许人类操作员在精神上验证由机器提供的判断的准确性,并且进一步允许向非技术人员(例如,管理者、家长等)报告相应的事件。一些此类信息甚至可以在法庭上用作法庭证据。
一些实施例通过在机器遍历检测算法时组装消息片段来逐步且动态地构建警报消息。在一个此类实例中,可以在每次评估条件或计算特有的变量时添加消息片段。因此,警报消息可以从“发生了X”发展到“因为Y发生了X”到“因为Y和Z发生了X,其中Z基于Z1和Z2确定”等。
此类动态消息构建的一个优势是,它不需要所有检测场景、可能的结果和参数的可能组合的先验知识。一些实施例将警报消息模板附接到每个检测场景和/或每个用于评估安全相关量的例程(例如,确定装置类型、确定通信伙伴的声誉等),而并非针对每种安全情况定制警报消息(例如,对于取证分析的每个结果)。然后,可以根据根据相应的事件实际上是如何被检测到而选择的单个模板所生成的消息片段来动态地构建完整的警报消息。以决策树为例,其中每个“叶子”对应于唯一的条件组合,一些实施例将消息片段附接到决策树的中间分支和子分支,而并非将预定的警报消息附接到单个叶子。然后,根据遍历决策树的特定方式构建实际的警报消息。
在图11中说明一个此类实例。检测例程包括决策树,其中节点代表各种谓词,并且分支代表相应谓词的不同值。例如,谓词P1可能会读作“客户端是打印机”,谓词P2可能会读作“客户端上传了大文件”等。在示例性实例中,通过决策树的两条不同的路径得出相同的判定V,例如,“客户端受到攻击”。然而,在一些实施例中,通过行走一条检测路径生成的警报消息将不同于通过另一检测路径生成的警报消息。在示例性实例中,警报模板T1、……、T4分别与谓词P1、……、P4相关联。每个此类模板可以分别产生消息片段M1、……、M4。在示例性实施例中,消息片段被级联以形成完整的警报消息,左侧路径产生警报消息M1+M4,其中右侧路径产生警报消息M1+M2+M3,即使判定是相同的。相比之下,其中预定的警报消息与判定V相关联的系统产生针对左手和右手检测路径都相同的警报消息。
当可能在并行计算配置中高速生成和处理与安全相关的数据时,可能会出现评估特定谓词所需的某些信息在调用特定场景时不可用的情况。然而,稍后可以得到相应的信息。因此,即使从客户端机器和网络采集的数据触发了相同的检测场景,其中一些场景也可能不会每次都执行,因此实际执行的安全分析可能会因时间而异。换句话说,在快速移动的异步计算配置中,有时需要处理由现代计算机和网络生成的大量信息,谓词评估的线或推理/精确序列不是先验已知的。如在本发明的一些实施例中的动态生成的警报系统可以允许操作员准确地理解每次使用哪条推理路线,以及为什么两种类似的情况有时会产生冲突的安全判定。
进一步地,在不断变化的计算机安全世界中,可能有多种检测安全威胁的方法,以及多种计算各种安全参数的方法。新的分析工具、算法和攻击场景不断被开发出来。随着人工智能的最新进展,人们越来越有兴趣让机器灵活地从一组可用的工具中进行选择。由本发明的一些实施例提供的警报消息的动态生成能够适应此类灵活的决策制定。
在图12中一个示例性的此类实例中,检测例程包括评估三个不同的谓词P1、P2和P3。然而,每个谓词可以以多种独立的方式进行评估,如不同的场景S1、……、S8所说明的。此类场景的实例包含不同的分析试探法,例如分析输入数据的不同方面。两个不同的数据集(取证指示符24a-b)可以触发不同的场景来评估相关谓词。例如,取证指示符24a可以触发场景S1、S4和S7,而指示符24b可以触发场景S1、S5和S6。在示例性实施例中,每个场景包括相关联的警报模板。相应的模板分别生成一组消息片段M1、M4、M7和M1、M5、M6,它们由警报管理器66组装成示例性警报消息。实例显示,即使两种情况下的判定相同,警报消息也可能不同。不同的警报消息(M1+M4+M7与M1+M5+M6)指示达成判定的不同方式。在场景的左序列和右序列产生冲突判定的情况下,警报消息可以向分析师提供关于此类差异的原因的实质性洞察。
可以使用图12说明的另一示例性实施例可以尝试评估每个谓词的所有可替代的方式。例如,取证分析器64可以使用S1、S2和S3这三个场景来评估谓词P1,并且使用S4和S5这两个场景来评估谓词P2。场景可以并行执行,例如,在不同的处理器或机器上。例如,反映在诸如检测率和/或误报率的性能度量中,每个场景可以具有内在的可靠性。因此,此类系统可以生成多个判定,每个判定对应于不同的场景组合,每个组合具有其自己的可信任度,所述可信任度可以在相应的警报消息中详细说明。复合警报消息指示用于每个判定的场景的特定组合,因此可以帮助分析师理解冲突的判定,并且最终确定信任哪个判定。
关于图11和12中示例性实例,判定V可以表示各种类型的谓词,例如诸如“客户端受到攻击”的主安全谓词,或者作为安全场景的部分评估的任意子谓词:“客户端是打印机”、“IP地址可疑”、“节点X的网络流量异常”、“节点X的流量超过预期量”等。
动态构建安全警报的另一个优势是,它允许安全系统的各个部件解耦。尤其是,它允许开发彼此独立的检测场景。换句话说,可以开发新的检测场景并且将其添加到现有的工具集中,而不必改变其余的检测部件(例如,警报管理器66)。可以为每个新场景提供自己的模板,用于生成警报消息片段。这种安全系统的解耦架构可以极大地促进开发、测试和部署,从而总体上减少上市时间和维护成本。
对于本领域技术人员来说明显的是,在不脱离本发明的范围的情况下,可以以多种方式改变上述实施例。因此,本发明的范围应由以下权利要求及其法律等同物来确定。
Claims (20)
1.一种配置为保护多个客户端系统免受计算机安全威胁的方法,所述方法包括:
响应于接收取证指示符,从多个例程中选择用于评估第一安全谓词的第一例程,所述第一例程是根据所述取证指示符选择,其中所述取证指示符包括多个元数据元素,所述多个元数据元素表征所述多个客户端系统的客户端系统与另一方之间的网络流;
从所述多个例程中选择用于评估第二安全谓词的第二例程,所述第二例程是根据执行所述第一例程的结果选择;
响应于选择所述第一例程,将指示所述客户端系统是否受到计算机安全威胁的第一文本消息添加到安全警报,所述第一文本消息是基于根据所述第一例程选择的第一消息模板确定;
响应于选择所述第二例程,将第二文本消息添加到所述安全警报,所述第二文本消息是基于根据所述第二例程选择的第二消息模板确定;以及
将所述安全警报传输到管理装置,所述管理装置配置为向人类操作员显示所述安全警报。
2.根据权利要求1所述的方法,其中评估所述第一安全谓词包括评估第三安全谓词,并且其中所述方法进一步包括:
从所述多个例程中选择用于评估所述第三安全谓词的第三例程;和
将第三文本消息添加到所述安全警报,以准备传输到所述管理装置,所述第三文本消息是基于根据所述第三例程选择的第三消息模板确定。
3.根据权利要求2所述的方法,其中所述第一文本消息包括超链接,当所述超链接被激活时,显示所述第三文本消息。
4.根据权利要求1所述的方法,进一步包括:
确定判定,所述判定指示所述客户端系统是否受到所述计算机安全威胁,所述判定是根据执行所述第一例程的结果和执行所述第二例程的另一结果确定;和
将所述判定的指示符添加到所述安全警报,以准备传输到所述管理装置。
5.根据权利要求1所述的方法,其中所述第一消息模板包括占位符,并且其中确定所述第一文本消息包括用所述第一安全谓词的值来替换所述占位符,所述第一安全谓词是根据执行所述第一例程的结果确定。
6.根据权利要求1所述的方法,其中所述第一文本消息包括选自由以下组成的群组中的项目:所述客户端系统的装置类型的指示符、所述另一方的地理位置的指示符和电子通信的发生时间的指示符。
7.根据权利要求1所述的方法,其中所述多个元数据元素包括标记元素,所述标记元素是根据所述多个元数据元素中的另一元素计算。
8.根据权利要求1所述的方法,其中所述第一文本消息包括标识符,所述标识符使得所述人类操作员能够标识所述多个例程中的所述第一例程。
9.根据权利要求1所述的方法,其中所述第一文本消息包括超链接,当所述超链接被激活时,显示所述第一安全谓词的值。
10.一种服务器计算机系统,所述服务器计算机系统配置为保护多个客户端系统免受计算机安全威胁,所述服务器计算机系统包括至少一个硬件处理器和警报管理器,所述硬件处理器配置为执行取证分析器,所述警报管理器连接到所述取证分析器,其中:
所述取证分析器配置为:
响应于接收取证指示符,从多个例程中选择用于评估第一安全谓词的第一例程,所述第一例程是根据所述取证指示符选择,其中所述取证指示符包括多个元数据元素,所述多个元数据元素表征所述多个客户端系统的客户端系统与另一方之间的网络流,和
从所述多个例程中选择用于评估第二安全谓词的第二例程,所述第二例程是根据执行所述第一例程的结果选择;并且
所述警报管理器配置为:
响应于所述取证分析器选择所述第一例程,将指示所述客户端系统是否受到计算机安全威胁的第一文本消息添加到安全警报,所述第一文本消息是基于根据所述第一例程选择的第一消息模板确定,
响应于所述取证分析器选择所述第二例程,将第二文本消息添加到所述安全警报,所述第二文本消息是基于根据所述第二例程选择的第二消息模板确定,以及将所述安全警报传输到管理装置,所述管理装置配置为向人类操作员显示所述安全警报。
11.根据权利要求10所述的服务器计算机系统,其中评估所述第一安全谓词包括评估第三安全谓词,并且其中:
所述取证分析器进一步配置为从所述多个例程中选择用于评估所述第三安全谓词的第三例程;并且
所述警报管理器进一步配置为将第三文本消息添加到所述安全警报,以准备传输到所述管理装置,所述第三文本消息是基于根据所述第三例程选择的第三消息模板确定。
12.根据权利要求11所述的服务器计算机系统,其中所述第一文本消息包括超链接,当所述超链接被激活时,显示所述第三文本消息。
13.根据权利要求10所述的服务器计算机系统,其中:
所述取证分析器进一步配置为确定判定,所述判定指示所述客户端系统是否受到所述计算机安全威胁,所述判定是根据执行所述第一例程的结果和执行所述第二例程的另一结果确定;并且
所述警报管理器进一步配置为将所述判定的指示符添加到所述安全警报,以准备传输到所述管理装置。
14.根据权利要求10所述的服务器计算机系统,其中所述第一消息模板包括占位符,并且其中确定所述第一文本消息包括用所述第一安全谓词的值来替换所述占位符,所述第一安全谓词是根据执行所述第一例程的结果确定。
15.根据权利要求10所述的服务器计算机系统,其中所述第一文本消息包括选自由以下组成的群组中的项目:所述客户端系统的装置类型的指示符、所述另一方的地理位置的指示符和电子通信的发生时间的指示符。
16.根据权利要求10所述的服务器计算机系统,其中所述多个元数据元素包括标记元素,所述标记元素是根据所述多个元数据元素中的另一元素计算。
17.根据权利要求10所述的服务器计算机系统,其中所述第一文本消息包括标识符,所述标识符使得所述人类操作员能够标识所述多个例程中的所述第一例程。
18.根据权利要求10所述的服务器计算机系统,其中所述第一文本消息包括超链接,当所述超链接被激活时,显示所述第一安全谓词的值。
19.一种非暂时性计算机可读介质,存储有指令,当由服务器计算机系统的至少一个硬件处理器执行时,所述指令执行取证分析器和警报管理器,所述服务器计算机系统配置为保护多个客户端系统免受计算机安全威胁,所述警报管理器连接到所述取证分析器,其中:
所述取证分析器配置为:
响应于接收取证指示符,从多个例程中选择用于评估第一安全谓词的第一例程,所述第一例程是根据所述取证指示符选择,其中所述取证指示符包括多个元数据元素,所述多个元数据元素表征所述多个客户端系统的客户端系统与另一方之间的网络流,和
从所述多个例程中选择用于评估第二安全谓词的第二例程,所述第二例程是根据执行所述第一例程的结果选择;并且
所述警报管理器配置为:
响应于所述取证分析器选择所述第一例程,将指示所述客户端系统是否受到计算机安全威胁的第一文本消息添加到安全警报,所述第一文本消息是基于根据所述第一例程选择的第一消息模板确定,
响应于所述取证分析器选择所述第二例程,将第二文本消息添加到所述安全警报,所述第二文本消息是基于根据所述第二例程选择的第二消息模板确定,以及将所述安全警报传输到管理装置,所述管理装置配置为向人类操作员显示所述安全警报。
20.根据权利要求19所述的计算机可读介质,进一步存储第二组指令,所述第二组指令使得所述至少一个硬件处理器执行所述第一例程。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201862699817P | 2018-07-18 | 2018-07-18 | |
US62/699,817 | 2018-07-18 | ||
US201962816389P | 2019-03-11 | 2019-03-11 | |
US62/816,389 | 2019-03-11 | ||
PCT/IB2019/056172 WO2020016834A1 (en) | 2018-07-18 | 2019-07-18 | Systems and methods for reporting computer security incidents |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112385196A CN112385196A (zh) | 2021-02-19 |
CN112385196B true CN112385196B (zh) | 2023-03-21 |
Family
ID=68051830
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201980045990.1A Active CN112385196B (zh) | 2018-07-18 | 2019-07-18 | 用于报告计算机安全事故的系统和方法 |
Country Status (11)
Country | Link |
---|---|
US (1) | US11184368B2 (zh) |
EP (1) | EP3818680A1 (zh) |
JP (1) | JP7069399B2 (zh) |
KR (1) | KR102462128B1 (zh) |
CN (1) | CN112385196B (zh) |
AU (1) | AU2019307885B2 (zh) |
CA (1) | CA3104450A1 (zh) |
IL (1) | IL280098A (zh) |
RU (1) | RU2757597C1 (zh) |
SG (1) | SG11202012485SA (zh) |
WO (1) | WO2020016834A1 (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE112016007098T5 (de) * | 2016-07-26 | 2019-04-18 | Hewlett-Packard Development Company, L.P. | Indexierung von voxeln für das 3d-drucken |
RU2753189C2 (ru) * | 2016-12-30 | 2021-08-12 | Битдефендер Незерлендс Б.В. | Система для подготовки сетевого трафика для быстрого анализа |
CN110896386B (zh) * | 2018-09-12 | 2022-05-10 | 西门子(中国)有限公司 | 识别安全威胁的方法、装置、存储介质、处理器和终端 |
WO2021240663A1 (ja) * | 2020-05-26 | 2021-12-02 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 通信ログ集約装置および通信ログ集約方法 |
US11606383B1 (en) * | 2022-03-03 | 2023-03-14 | Uab 360 It | Securing against network vulnerabilities |
Family Cites Families (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7278094B1 (en) * | 2000-05-03 | 2007-10-02 | R. R. Donnelley & Sons Co. | Variable text processing for an electronic press |
US7164698B1 (en) | 2000-03-24 | 2007-01-16 | Juniper Networks, Inc. | High-speed line interface for networking devices |
WO2002017571A1 (en) | 2000-08-24 | 2002-02-28 | Tiara Networks, Inc. | System and method for connecting geographically distributed virtual local area networks |
US7913304B2 (en) * | 2006-03-24 | 2011-03-22 | Neusoft Corporation | Event detection method and device |
US20090168648A1 (en) * | 2007-12-29 | 2009-07-02 | Arbor Networks, Inc. | Method and System for Annotating Network Flow Information |
US7933759B2 (en) * | 2008-03-28 | 2011-04-26 | Microsoft Corporation | Predicate checking for distributed systems |
KR101003104B1 (ko) * | 2008-12-22 | 2010-12-21 | 한국전자통신연구원 | 무선 네트워크에서 보안 상황 감시 장치 |
US8125920B2 (en) | 2009-03-04 | 2012-02-28 | Cisco Technology, Inc. | System and method for exporting structured data in a network environment |
CN102012988B (zh) * | 2010-12-02 | 2012-09-26 | 张平 | 自动二进制恶意代码行为分析方法 |
RU2477929C2 (ru) * | 2011-04-19 | 2013-03-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ предотвращения инцидентов безопасности на основании рейтингов опасности пользователей |
CN102355361B (zh) * | 2011-06-30 | 2013-09-04 | 江苏南大苏富特科技股份有限公司 | 基于报警信息的安全评估方法 |
US8997227B1 (en) * | 2012-02-27 | 2015-03-31 | Amazon Technologies, Inc. | Attack traffic signature generation using statistical pattern recognition |
RU2514137C1 (ru) * | 2012-09-28 | 2014-04-27 | Закрытое акционерное общество "Лаборатория Касперского" | Способ автоматической настройки средства безопасности |
US9652362B2 (en) * | 2013-12-06 | 2017-05-16 | Qualcomm Incorporated | Methods and systems of using application-specific and application-type-specific models for the efficient classification of mobile device behaviors |
CN103746961B (zh) * | 2013-12-12 | 2017-03-15 | 中国人民解放军63928部队 | 一种网络攻击场景的因果知识挖掘方法、装置及服务器 |
CN103914649A (zh) * | 2014-04-16 | 2014-07-09 | 西安电子科技大学 | 基于攻击策略图的实时警报综合分析处理方法及其入侵检测系统 |
EP3618358B1 (en) | 2014-04-22 | 2024-05-29 | Orckit IP, LLC | A method for deep packet inspection in software defined networks |
US10230747B2 (en) * | 2014-07-15 | 2019-03-12 | Cisco Technology, Inc. | Explaining network anomalies using decision trees |
EP3235218B1 (en) * | 2014-12-11 | 2021-08-25 | Bitdefender IPR Management Ltd. | Systems and methods for securing network endpoints |
US9460284B1 (en) * | 2015-06-12 | 2016-10-04 | Bitdefender IPR Management Ltd. | Behavioral malware detection using an interpreter virtual machine |
US10445377B2 (en) * | 2015-10-15 | 2019-10-15 | Go Daddy Operating Company, LLC | Automatically generating a website specific to an industry |
US10686805B2 (en) * | 2015-12-11 | 2020-06-16 | Servicenow, Inc. | Computer network threat assessment |
US10630643B2 (en) * | 2015-12-19 | 2020-04-21 | Bitdefender IPR Management Ltd. | Dual memory introspection for securing multiple network endpoints |
RU2610395C1 (ru) * | 2015-12-24 | 2017-02-09 | Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | Способ расследования распределенных событий компьютерной безопасности |
RU2753189C2 (ru) * | 2016-12-30 | 2021-08-12 | Битдефендер Незерлендс Б.В. | Система для подготовки сетевого трафика для быстрого анализа |
US10375098B2 (en) * | 2017-01-31 | 2019-08-06 | Splunk Inc. | Anomaly detection based on relationships between multiple time series |
-
2019
- 2019-07-18 RU RU2021102457A patent/RU2757597C1/ru active
- 2019-07-18 US US16/515,349 patent/US11184368B2/en active Active
- 2019-07-18 JP JP2021502894A patent/JP7069399B2/ja active Active
- 2019-07-18 CA CA3104450A patent/CA3104450A1/en active Pending
- 2019-07-18 SG SG11202012485SA patent/SG11202012485SA/en unknown
- 2019-07-18 WO PCT/IB2019/056172 patent/WO2020016834A1/en unknown
- 2019-07-18 AU AU2019307885A patent/AU2019307885B2/en active Active
- 2019-07-18 CN CN201980045990.1A patent/CN112385196B/zh active Active
- 2019-07-18 KR KR1020217001417A patent/KR102462128B1/ko active IP Right Grant
- 2019-07-18 EP EP19773502.0A patent/EP3818680A1/en active Pending
-
2021
- 2021-01-11 IL IL280098A patent/IL280098A/en unknown
Also Published As
Publication number | Publication date |
---|---|
AU2019307885B2 (en) | 2024-03-07 |
JP7069399B2 (ja) | 2022-05-17 |
AU2019307885A1 (en) | 2021-01-07 |
KR102462128B1 (ko) | 2022-11-03 |
SG11202012485SA (en) | 2021-01-28 |
CN112385196A (zh) | 2021-02-19 |
US20200028857A1 (en) | 2020-01-23 |
JP2021530807A (ja) | 2021-11-11 |
CA3104450A1 (en) | 2020-01-23 |
WO2020016834A1 (en) | 2020-01-23 |
EP3818680A1 (en) | 2021-05-12 |
IL280098A (en) | 2021-03-01 |
KR20210030361A (ko) | 2021-03-17 |
US11184368B2 (en) | 2021-11-23 |
RU2757597C1 (ru) | 2021-10-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112385196B (zh) | 用于报告计算机安全事故的系统和方法 | |
US11343268B2 (en) | Detection of network anomalies based on relationship graphs | |
US20220053013A1 (en) | User and entity behavioral analysis with network topology enhancement | |
US11916944B2 (en) | Network anomaly detection and profiling | |
US10601848B1 (en) | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators | |
US11757920B2 (en) | User and entity behavioral analysis with network topology enhancements | |
EP3170122B1 (en) | Explaining causes of network anomalies | |
JP2022512192A (ja) | 挙動による脅威検出のためのシステムおよび方法 | |
US10073980B1 (en) | System for assuring security of sensitive data on a host | |
CN113168469B (zh) | 用于行为威胁检测的系统及方法 | |
US20230412620A1 (en) | System and methods for cybersecurity analysis using ueba and network topology data and trigger - based network remediation | |
Elfeshawy et al. | Divided two-part adaptive intrusion detection system | |
CN108073499A (zh) | 应用程序的测试方法及装置 | |
CN111316272A (zh) | 使用行为和深度分析的先进网络安全威胁减缓 | |
CN113660223B (zh) | 基于告警信息的网络安全数据处理方法、装置及系统 | |
CN113168468B (zh) | 用于行为威胁检测的系统及方法 | |
Miciolino et al. | Preemptive: an integrated approach to intrusion detection and prevention in industrial control systems | |
Li et al. | The design and implementation of network alarm and data fusion analysis systems based on cloud computing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40038095 Country of ref document: HK |
|
GR01 | Patent grant | ||
GR01 | Patent grant |