CN112544054A - 通过众包安全性解决方案自动生成威胁修复步骤 - Google Patents
通过众包安全性解决方案自动生成威胁修复步骤 Download PDFInfo
- Publication number
- CN112544054A CN112544054A CN201980052500.0A CN201980052500A CN112544054A CN 112544054 A CN112544054 A CN 112544054A CN 201980052500 A CN201980052500 A CN 201980052500A CN 112544054 A CN112544054 A CN 112544054A
- Authority
- CN
- China
- Prior art keywords
- client
- processes
- repair
- file
- different
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
- H04L41/064—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis involving time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Debugging And Monitoring (AREA)
- Alarm Systems (AREA)
Abstract
计算系统利用众包来为经历警报情况的系统生成修复文件。在修复文件的生成期间,计算系统标识与多个不同客户端系统相关联的多个不同类型的警报。计算系统还基于过程临近度和时间与警报状况的相关性,为每种类型的警报生成多个不同客户端修复过程集,并且基于相关性矢量中的值确定多个过程中的哪些过程与所标识的警报有关。然后,基于多个不同客户端修复过程集之间存在的相关性,创建客户端修复过程集,以包括被确定为与所标识的警报有关并且被聚类在一起的过程,以为每种类型的警报标识要包括在所生成的复合修复文件中的过程。
Description
背景技术
计算机和计算系统已经影响了现代生活的近乎每一个方面。计算机通常涉及工作、休闲、医疗保健、运输、娱乐、家政管理等。
一些计算机功能还可以通过计算系统经由网络连接互连到其他计算系统的能力来增强。网络连接可以包括,但不仅限于,经由有线或无线以太网的连接,蜂窝式连接,或者甚至通过串行、并行、USB或其它连接的计算机到计算机的连接。这些连接允许计算系统访问其他计算系统上的服务,并且快速且有效地从其他计算系统接收应用数据。
计算系统的互连已支持分布式计算系统,即所谓的“云”计算系统。在本说明书中,“云计算”可以是用于允许对可配置的计算资源(如网络、服务器、存储装置、应用、以及服务等)的共享池进行无处不在的、方便的、按需的网络访问的系统或资源,这些计算资源可以用减少的管理努力或服务提供者交互来快速地被供应和发行。云模型可由各种特性(如按需自服务、广泛网络访问、资源池、快速灵活性、测量服务等)、服务模型(如软件即服务(“Saas”)、平台即服务(“PaaS”)、基础结构即服务(“IaaS”))以及部署模型(如私有云、社区云、公用云、混合云等)组成。
基于云和远程的服务应用是流行的。这种应用被托管在诸如云的公有和私有远程系统上,并且通常提供一组基于web的服务用于与客户端来回传送。
不幸的是,计算系统的云和互连使计算系统暴露于来自恶意方的漏洞和威胁。例如,恶意方可以将恶意软件代码传送到毫无戒心的计算系统,或者创建已知由计算机系统执行、但是包含在计算系统上执行不期望行动的隐藏恶意软件的应用。恶意方也可能在计算系统上发起暴力攻击或DDoS(分布式拒绝服务)攻击。
为了解决和防止如上所述的威胁场景,许多组织雇用信息技术(IT)专家来监控其计算机系统的健康状况,标识与威胁场景相关联的警报,以及管理和更新防病毒和反恶意软件的软件,来缓解新近开发和发现的威胁。然而,这种类型的监控和更新非常昂贵并且耗时。此外,许多组织没有配备相同的监控软件和/或无法雇用了解对新近开发和发现的威胁可用的所有可能的修复行动的全职专家。不同修复方案也不总是适用于所有组织,这使事情更加复杂。因此,IT专家经常顺其自然,以在因特网上搜索可能适用于解决威胁场景的可能解决方案。但是,这是一个非常低效的过程。在许多情况下,由于存在各种计算系统以及可用于被实施以解决不同威胁场景的各种类型的可能解决方案,因此IT专家甚至标识要对他们的(多个)计算系统执行的最佳修复过程也是完全不切实际的或不可能的。
因此,持续存在着对标识和提供用于标识和应用修复过程以解决威胁场景的新技术的需求和期望。
本文要求保护的主题不限于解决任何缺点或仅在诸如上述环境的那些环境中操作的实施例。相反,提供该背景技术仅用于说明其中可以实践本文所述的一些实施例的一个示例性技术领域。
发明内容
所公开的实施例针对被配置成基于众包安全性解决方案来支持对威胁场景的自动缓解和修复的系统、方法和存储设备。
在一些实施例中,众包被用来生成修复文件,该修复文件被提供以用于缓解威胁场景。这些实施例包括标识多个不同类型的警报的计算系统,其中多个不同类型的警报中的每个标识的警报与对应的多个不同客户端系统相关联,每个客户端系统触发或检测标识的警报。接下来,为每种类型的警报生成多个不同客户端修复过程集。对于每个标识的警报,该过程包括:标识由对应的多个不同客户端系统在距标识的警报的预先确定时间内和/或过程临近度内执行的过程;基于多个过程与标识的警报的相关性矢量,确定多个过程中的哪些过程与标识的警报有关;以及对于多个不同客户端系统中的每个客户端,创建客户端修复过程集,客户端修复过程集包括被确定为与标识的警报有关、并且由客户端在距标识的警报的预先确定时间段内和/或过程临近度内执行的过程。
接下来,计算系统通过包括满足多个不同客户端修复过程集之间的相关性阈值的一个或多个公用修复过程,并且同时从复合修复文件省略不满足不同客户端修复过程集之间的相关性阈值的一个或多个非公用修复过程,来基于多个不同客户端修复过程集之间存在的相关性,为每种类型的警报生成复合修复文件。
最后,计算系统将(多个)复合修复文件提供给特定客户端系统,以响应于由特定客户端检测到并且与(多个)修复文件相对应的警报来执行修复/缓解。修复文件可以包括要被执行的过程的列表和/或响应于提供(多个)复合修复文件而自动触发和执行的可执行文件。
提供本发明内容以便以简化形式介绍将在以下详细描述中进一步描述的一些概念。本发明内容不旨在标识出所要求保护的主题的关键特征或必要特征,也不旨在用于帮助确定所要求保护的主题的范围。
附加特征和优点将在以下描述中提出,并且部分会从描述中显而易见,或者可以通过实践本文的教导来获悉。本发明的特征和优点可以通过在所附权利要求中特别指出的工具和组合来实现和获得。本发明的特征从以下描述和所附权利要求中将更完全显而易见,或者可以通过如下文所述实践本发明而获悉。
附图说明
为了描述可以获得以上记载的及其他优点和特征的方式,将参考具体实施例呈现以上简述的主题的更具体描述,具体实施例在附图中说明。理解这些附图仅描述典型的实施例,因此不应被视为范围的限制,实施例将通过使用附图以附加的具体性和细节来描述和解释,在附图中:
图1图示了与公开的方法相关联的动作的流程图,该方法用于通过众包安全性解决方案执行威胁修复的自动生成;
图2图示了包括计算系统的示例性计算环境,该计算系统被配置成实现和/或包括所公开的实施例;
图3图示了多个过程的相关性矢量及其与警报的相关性的表示;
图4图示了从图3中所示的相关性矢量得到的修复过程集的表示;
图5图示了针对与特定警报相关联的不同客户端的修复过程集的集群的表示;以及
图6图示了复合修复文件的各种表示形式,诸如可以从修复过程集的集群中得到的复合修复文件。
具体实施方式
所公开的实施例通常针对被配置成基于众包安全性解决方案来支持对威胁场景的自动缓解和修复的系统、方法和存储设备。
在一些实施例中,通过相关性矢量处理、修复过程集生成和修复过程集集群处理,利用众包来生成修复文件。通过改进计算系统能够基于众包信息并且以对人类不实际的方式来自动标识修复步骤并且生成用于对应警报的复合修复文件的方式,所公开的实施例能够解决与威胁场景的修复相关联的技术和实际问题。
图1图示了流程图100的各种动作,流程图100由计算系统(例如,图2中所示的计算系统200)执行,以通过众包安全性解决方案来执行修复步骤的自动生成。
如所示的,计算系统标识多个不同类型的警报,其中多个不同类型的警报中的每个标识的警报与对应的多个不同客户端系统相关联,每个客户端系统触发或检测标识的警报(动作110)。警报的该标识可以是基于各种信息。例如,计算系统可以通过从应用或远程系统(例如,客户端270、272、274)接收/标识警报的定义来标识警报。计算系统还可以基于检测到与配置文件、日志文件或与计算机组件相关联的经测量的计算机健康度量(诸如当执行各种客户端系统的自动健康监控时)相关联的异常来自动定义警报。
在一些情况下,标识的警报是针对所检测的威胁场景,诸如病毒、恶意软件、DDoS、暴力攻击、性能、容量或带宽的意外改变、意外或未授权的请求、意外执行文件或过程被执行,等等。在一些情况下,标识的警报是针对不确定其是否与恶意活动相关联,但是可能关联的过程,诸如文件的安装、更新、修改、删除、上载、下载或其他处理。
图3图示了相关性矢量300的一个示例,在一些情况下,该相关性矢量300被生成并且被用来标识与警报相关联的过程,并且还可以被用来从正在被执行的过程标识警报。相关性矢量300将在下面更详细地描述。
在标识出(多个)警报之后,计算系统为警报或警报类型中的每个生成多个不同客户端修复过程集(动作120)。该过程包括各种子步骤或子动作,包括:(1)对于每个标识的警报或警报类型,标识由对应的多个不同客户端系统在距标识的警报的预先确定时间内和/或过程临近度内并且在标识的警报之后执行的过程(动作121),基于多个过程与标识的警报的相关性矢量,确定多个过程中的哪些过程与标识的警报有关(动作122),并且对于多个不同客户端系统中的每个客户端,创建客户端修复过程集,客户端修复过程集包括被确定为与标识的警报有关、并且由客户端在距标识的警报的预先确定时间段内和/或过程临近度内执行的过程(动作123)。
由计算系统执行的对过程的标识(动作121)可以包括日志过程和/或访问日志文件。在一些情况下,这还可以包括对所标识的过程进行过滤,以标识正在执行的所有过程的子集,并且排除在时间上距离太远或与警报状况的相关临近度太远的过程。例如,如果检测到警报状况在特定时间发生,则所标识的过程可以被限制/过滤以仅包括在警报状况之后预先确定时间出现的过程的子集。该预先确定时间可以是阈值时段,该阈值时段由分钟、小时、天或从警报状况出现起的另一持续时间定义。
同样,所标识的过程可以被限制/过滤,以仅包括由计算系统的特定组件执行的过程的子集,该过程的子集被确定为临近警报状况或以其他方式与警报状况紧密相关(例如,相同的主机系统中的处理器,由与警报状况相关联的特定应用运行或打开的会话,与特定客户端相关联的虚拟机,特定的负载平衡器、路由器、服务器、服务或网站等)。
基于多个过程和标识的警报的相关性矢量来确定多个过程中的哪些过程与标识的警报有关的动作(动作122)可以涉及建立/处理相关性矢量,诸如由图3中所示的相关性矢量300表示的。
虽然当前实施例仅包括七个过程(即,过程A-G),但是应当理解,在其他实施例中,相关性矢量将包括更多的过程,并且可以包括所标识的过程的全部集合中的任何数量或基于时间、组件或任何其他限定符而仅包括有限/过滤的过程子集(例如,数十个、数百个、数千个或甚至更多个过程)。
在一些情况下,使用初始过程集来帮助查找和标识警报状况(动作110)。在其他情况下,基于已经定义的警报状况并且基于仅选择被确定为在距定义的警报状况的阈值时间段内和/或过程临近度内出现的过程(通常如上所述),来选择性地过滤过程的集合。
在当前实施例中,相关性矢量300将标识的过程(A-G)中的每个与对应的距离属性(即距离属性1-4)相关联。尽管仅示出了四个距离属性,但是可以利用任何数目的距离属性来适应不同的需求和偏好。
在一些情况下,距离属性被表示为值(例如,值A1-G4),这些值包括绝对值或备选地包括经归一化/相对的值,其可以用于标识过程与特定警报或警报类型之间的相关性距离。在其他实施例中,距离属性实际上是字符串或其他类型的标识符(数字值除外),其被用来在修复过程集的构建期间对过程进行过滤。
在一些情况下,距离属性包括诸如与警报状况或警报触发事件的时间临近度、执行该过程的组件、与被标识为涉及警报状况的(多个)组件的网络临近度、唯一性、执行的频率、执行计数器、过程与警报状况之间的已知相关性,和/或可以用于评估过程与已知警报状况之间的相对相关性的任何其他度量。
然后,在一些情况下,距离属性可以被归一化,以标识对应过程对特定警报的相对权重或距离,从而确定过程中的哪些过程可能与警报状况相关联。备选地或附加地,可以通过特定的标识符或阈值(例如,值A1-G4)来过滤过程。
在一些情况下,执行确定哪些过程与所标识的警报有关的过程(动作122),以标识客户端在对所检测的警报状况的修复中执行的特定过程。这些过程可以是基于防病毒/防恶意软件的软件的自动过程和/或基于管理员/用户行动或输入命令而手动触发或实现的过程。例如,这些过程可以包括这些事:诸如打开防火墙、关闭端口、改变密码、关闭服务、重新安装或重新格式化文件、隔离文件、禁用特定组件或应用、阻止来自特定地址的流量、为管理员或第三方生成通知、重新平衡网络流量、实例化新会话或功能、在分布式网络中扩展(spinning up)或招募新资源、创建数据的副本或备份、关闭或重新启动系统/组件和/或任何其他过程。
创建修复过程集的子动作(动作123)和/或生成多个修复过程集的动作(动作120)还可以包括存储表示修复过程集的数据结构。用于图3的相关性矢量300的修复过程集的一个说明性示例是修复过程集400。如所示的,该修复过程集400包括由客户端1针对警报类型1执行的过程。在这一点上,应当理解,警报类型1可以是任何类型的警报状况(例如,所检测的DDoS,所检测的具有未经授权凭据的登录请求,所检测的未知和意外可执行文件的执行或任何其他警报状况)。在一些情况下,为多个不同客户端中的每个客户端创建和存储与不同警报状况相关联的多个不同修复过程集。
在图1中所示的流程图100的下一个图示的动作是,计算系统基于多个不同客户端修复过程集之间存在的相关性为每种类型的警报生成复合修复文件的动作(动作130)。例如,这可以通过保存单个文件或分布式文件来实现,该单个文件或分布式文件从针对公用警报状况的多个不同客户端修复过程集标识一个或多个公用修复过程的列表,并且该一个或多个公用修复过程满足多个不同客户端修复过程集之间的公用性或相关性阈值,并且同时从复合修复文件中省略不满足不同客户端修复过程集之间的公用性或相关性阈值的一个或多个非公用修复过程。
在一些情况下,生成复合修复文件的过程(动作130)包括标识/生成与不同客户端和公用警报状况相关联的修复过程集的集群。修复过程集500的集群的表示如图5中所示。如所示的,许多客户端修复过程集(对应于客户端1-6和n)被编译到单个表中,该表反映了多个过程,该多个过程被确定为满足相应的阈值,以被选择和包括在用于不同客户端的对应修复过程集中。例如,图4的修复过程集400在修复过程集500的集群的顶行中被图示,其中过程A、C、D、F和G被标记为响应于警报类型1而由客户端1执行的过程。修复过程集500的集群还包括用于与相同警报类型1相关联的客户端2的修复过程集,其中确定客户端2已经执行了与由客户端1执行的过程集相同的过程A、C、D、F和G。但是,客户端3、4、5、6和n响应于相同的警报执行了不同的过程集,如在集群中的它们的对应修复过程集指示符所反映的。
尽管在集群中仅示出了几个客户端修复过程集,但是应当理解,可以包括任何数目的客户端修复过程集。实际上,使用的过程集越多,最终的复合修复文件输出可能越准确。
在一些情况下,复合修复文件的生成(130)是基于组合针对特定警报类型的修复过程集的集群,该集群省略了与该警报类型相关联的总标识或存储的修复过程集中的一些过程集,诸如通过省略与客户端相对应的、非特定类型的修复过程集。更加具体地,修复过程集的集群可以过滤或仅包括可用修复过程集的子集,以便仅包括被确定为是特定类型的计算系统(例如,具有公用处理配置、公用操作系统、公用网络配置等的系统)的修复过程集。在一些情况下,这可以使经历警报状况的目标系统能够获得对应的复合修复文件,该复合修复文件专门针对并且基于类似配置的客户端系统的修复过程集而定制。
在组装/标识修复过程集500的集群之后,计算系统就可以对各种过程进行分析,以确定哪些过程应当被包括在一个或多个复合修复文件中(动作130),诸如图6的复合修复文件610、620、630、640、650和660。该确定主要是基于对过程满足特定的相关性阈值的确定。
例如,在一些情况下,针对复合修复文件(诸如,复合修复文件610)的过程的选择是基于以下确定:要被包括的过程由具有集群中的客户端修复过程集的所有客户端执行。在这种情况下,相关性阈值是集群中的包含物与特定类型的警报相关联。
在其他情况下,针对复合修复文件(诸如,复合修复文件620)的过程的选择是基于以下确定:要被包括的过程由具有集群中的客户端修复过程集的大多数客户端执行。在这种情况下,相关性阈值是过程与修复特定警报状况的大多数客户端相关联。
在其他情况下,针对复合修复文件(诸如,复合修复文件630、640和650)的过程的选择是基于以下确定:要被包括的过程由相同类型或相似类型(例如,系统类型相关性)的全部客户端或大多数客户端执行。例如,如果图5中所示的客户端1-5和n的标签是客户端类型标识符,而不只是顺序数量标识符,则由类型1-2的客户端(例如,客户端1和客户端2)执行的过程将被包括在基于客户端类型1-2的复合修复文件630中。同样,由类型3-4的客户端执行的过程将被包括在复合修复文件640中,并且由类型5-6的客户端执行的过程将被包括在复合修复文件650中。尽管未示出,但是用于客户端类型n的附加复合修复文件将包括过程A、C、D、E、G、I和n。同样,尽管当前未示出,但是用于多种不同类型(2种类型以上)的复合修复文件可以被包括到单个复合修复文件中。
还应当理解,在一些情况下,复合修复文件包含不可执行文件的过程的列表,并且不包括用于触发所列出的过程的执行的任何触发器。然而,在一些实施例中,备选地或附加地,复合修复文件包含用于由目标系统执行过程的实际可执行文件,和/或包括用于触发对目标系统可用的可执行文件的触发器(诸如,当目标系统加载或运行复合修复文件时)。在这些情况下,对于复合文件中的每个相关/对应过程,复合修复文件的生成还包括以下动作:将可执行文件和/或触发器下载和加载到复合修复文件中。
虽然当前图示的复合修复文件(610、620、630、640、650和660)仅包含几个过程(即3≤过程≥8),但是应当理解,复合修复文件可以包括被确定为与特定警报类型充分相关的任何数量的相关过程,并且在某些实施例中,该相关过程还基于客户端类型。例如,复合修复文件可能仅包含1个或2个过程,或者在一些情况下可以包含9个以上过程。
在一些实施例中,(多个)复合修复文件的生成还包括:基于响应于确定没有足够的信息来确定特定修复行动是否满足或不满足多个不同客户端修复过程集之间的相关性阈值或与特定警报状况和系统类型的公用性或相关性临近度的阈值而被触发的提示,而接收用户输入,以用于从复合修复行动文件(或修复过程集或相关性矢量)包括或排除特定修复行动。
现在将注意力重新转向图2,其图示了前述计算系统200可以如何包含足以被配置成执行图3的流程图300中所示的动作以及本文所述的其他功能的组件。例如,计算系统200包括威胁缓解相关数据收集器210,该威胁缓解相关数据收集器210被特别配置有可执行代码,以用于使计算系统200收集关于不同威胁/警报类型的元数据并且检测威胁特定信息,威胁特定信息包括不同的警报类型或被用来标识不同的警报类型。威胁缓解相关数据收集器还标识和标记被确定为在距威胁/警报状况的特定时间/临近度内被执行的过程。
计算系统200还包括缓解嵌入器220,其专门被配置有代码,以用于通过标识不同的所标识的过程的距离属性值来构建相关性矢量,并且用于将该信息嵌入/插入到相关性矢量中,以标识过程距特定威胁/警报状况的相对相关性距离,并且标识与警报状况足够接近/相关的过程以被包括在(多个)对应的补救过程集中。
计算系统200还包括缓解产生器230,其专门被配置有代码,以用于生成修复过程集的集群,并且用于过滤/选择用于生成(多个)复合修复文件的适当修复过程集,以及用于生成(多个)复合修复文件。
计算系统200还包括一个或多个处理器,该一个或多个处理器是用于实例化各种系统组件(例如210、220、230)和/或用于执行上述可执行代码以实现所公开和要求保护的功能的硬件处理器。
计算系统200还包括存储装置250,存储装置250包括硬件存储装置,用于存储可执行代码和相关系统组件(例如210、220、230)以及用于存储本文所述的各种相关性矢量(252)、修复过程集(254)和复合修复文件(256)。存储装置250可以是本地和/或远程存储装置(包括分布式存储装置)。该存储装置也可以是易失性和非易失性存储装置的任何组合。
计算系统200通过一个或多个网络连接而被连接到各种客户端系统(例如,270、272、274和/或任何数量的其他客户端系统),客户端系统可以将过程信息提供给计算系统200以生成相关性矢量252、修复过程集254和复合修复文件256,和/或可以从计算系统接收复合修复文件256。
通过网络连接260与计算系统通信的客户端还可以包括一个或多个目标系统,该目标系统生成并且向计算系统发送对复合修复文件的请求,该复合修复文件与目标系统经历的警报状况相对应。例如,客户端n(274)可以是目标系统,该目标系统经历警报状况并且生成对复合修复文件的对应请求,以对警报状况进行响应。对复合修复文件的该请求可以指定警报状况的特定类型,并且在一些情况下,可以指定经历警报状况的计算系统的特定类型,诸如目标系统类型。
响应于对复合修复文件的请求,计算系统200确定对应的复合修复文件是否存在并且是否可访问。然后,当确定存在对应的复合修复文件时,计算系统自动执行参考图2的流程图200图示和描述的一个或多个动作来生成复合修复文件。备选地,当确定复合修复文件已经被生成并且可访问时,计算系统200将简单地从存储装置250中标识适当的复合修复文件256,并且将其提供给目标系统(动作140)。然后,管理员可以审核列出的过程,并且确定是否执行这些过程,而不必搜索和确定与管理员所关心的条件和系统类型相关或不相关的修复过程的相关性。
新生成的复合修复文件也将被存储,以便可以它可访问并且准备好在下次请求时提供。备选地,不存储任何复合修复文件,或者基于创建的新近度(例如,在前一天、上周、上个月等内)和/或基于被预测为在某个即时阈值内(例如,在第二天、下周、下个月等)被再次请求,而仅存储所生成的复合修复文件的子集。不存储所有复合修复文件的一个原因是,它们变得过时和/或可以使用自上次创建以来接收到的更多信息来更准确地调整它们,并且以便在接收新请求时启动新调整的复合修复文件。在这种情况下,各种修复过程集和集群也被按需刷新和替换。备选地,当后续接收到对新的复合修复文件的请求时,修复过程集和集群将被维持在存储装置中并且进行简单更新(当新信息可用并且适当时)。
在一些实施例中,计算系统200监控目标系统(例如,客户端n274)的健康状况,并且自动检测目标系统经历的警报状况以及目标系统类型。然后,计算系统200在不从目标系统接收对复合修复文件的请求的情况下,响应于检测到警报状况而自动生成和/或向目标系统提供与警报状况(和系统类型)相关联的(多个)复合修复文件,以进行手动应用(例如,当复合修复文件包含不可执行文件时)和自动应用(例如,当复合修复文件包含可执行文件时)。
计算系统200还可以监控各种客户端来检测警报状况,以便触发各种相关性矢量和/或(多个)修复过程集和/或(多个)修复过程集的(多个)集群的生成,即使没有完全生成复合修复文件。然后,仅响应于来自目标系统对复合修复文件的特定请求和/或响应于检测到目标系统处的警报状况,而生成复合修复文件。这可以帮助减少否则将需要经常为每一个所检测的警报状况生成和存储复合修复文件的开销和费用。
本公开的范围包括前述实施例的任何组合。
鉴于前述内容,应当理解,当前实施例使计算系统比现有技术更有效地生成和提供复合修复文件,该复合修复文件与经历威胁状况的目标系统相关,并且可以被用来修复那些威胁状况。
所公开的方法可以通过包括计算机硬件的各种类型的专用或通用计算系统来实践。本发明的范围内的实施例也包括用于运载或存储计算机可执行指令和/或数据结构的物理及其他计算机可读介质。这种计算机可读介质可以是可以由通用或专用计算机系统访问的任何可用介质。存储计算机可执行指令的计算机可读介质是物理存储介质。承载计算机可执行指令的计算机可读介质是传输介质。由此,作为示例而非限制,本发明的实施例可以包括至少两种显著不同的计算机可读介质:物理计算机可读存储介质和传输计算机可读介质。
物理计算机可读存储介质包括RAM、ROM、EEPROM、CD-ROM或其他光盘存储装置(诸如CD、DVD等)、磁盘存储装置或其他磁性存储设备,或可用于存储计算机执行指令或数据结构形式的期望程序代码装置并且可被通用或专用计算机访问的任何其他介质。
“网络”被定义为使得电子数据能够在计算机系统和/或模块和/或其它电子设备之间传输的一个或多个数据链路。当信息通过网络或另一个通信连接(硬连线、无线,或硬连线或无线的组合)传输或提供给计算机时,该计算机将该连接适当地视为传输介质。传输介质可以包括可用于携带计算机可执行指令或数据结构形式的期望程序代码装置并可被通用或专用计算机访问的网络和/或数据链路。以上的组合也被包括在计算机可读介质的范围内。
此外,在到达各种计算机系统组件之后,计算机可执行指令或数据结构形式的程序代码装置可从传输计算机可读介质自动转移到物理计算机可读存储介质(或者相反)。例如,通过网络或数据链路接收到的计算机可执行指令或数据结构可被缓存在网络接口模块(例如,“NIC”)内的RAM中,并且然后最终被传输至计算机系统RAM和/或计算机系统处的较不易失性的计算机可读物理存储介质。因此,计算机可读物理存储介质可以被包括在同样(或甚至主要)利用传输介质的计算机系统组件中。
计算机可执行指令包括例如使通用计算机、专用计算机或专用处理设备执行某一功能或一组功能的指令和数据。计算机可执行指令可以是例如二进制代码、诸如汇编语言之类的中间格式指令,或甚至源代码。尽管用结构特征和/或方法动作专用的语言描述了本主题,但可以理解,所附权利要求中定义的主题不必限于上述特征或动作。相反,上述特征和动作是作为实现权利要求的示例形式而公开的。
本领域的技术人员将理解,本发明可以在具有许多类型的计算机系统配置的网络计算环境中实践,这些计算机系统配置包括个人计算机、台式计算机、膝上型计算机、消息处理器、手持式设备、多处理器系统、基于微处理器的或可编程消费电子设备、网络PC、小型计算机、大型计算机、移动电话、PDA、寻呼机、路由器、交换机等等。本发明也可在其中通过网络链接(或者通过硬连线数据链路、无线数据链路,或者通过硬连线和无线数据链路的组合)的本地和远程计算机系统两者都执行任务的分布式系统环境中实施。在分布式系统环境中,程序模块可位于本地和远程存储器存储设备两者中。
备选地或附加地,本文描述的功能可以至少部分由一个或多个硬件逻辑组件来执行。例如但非限制,可使用的硬件逻辑组件的说明性类型包括现场可编程门阵列(FPGA)、程序专用的集成电路(ASIC)、程序专用的标准产品(ASSP)、片上系统系统(SOC)、复杂可编程逻辑器件(CPLD)等等。
本发明可以以其他具体形式来体现,而不背离其精神或特征。所描述的实施例在所有方面都应被认为仅是说明性而非限制性的。因此,本发明的范围由所附权利要求而非前述描述指示。在权利要求的等价物的含义和范围内的所有变化应当被包含在其范围内。
Claims (15)
1.一种计算系统,包括一个或多个处理器和一个或多个硬件存储设备,所述一个或多个硬件存储设备存储有的计算机可执行指令,所述计算机可执行指令由所述一个或多个处理器可执行以用于实现用于利用众包来生成修复文件的方法,其中所述方法包括:所述计算系统执行以下:
标识多个不同类型的警报,其中所述多个不同类型的警报中的每个标识的警报与对应的多个不同客户端系统相关联,每个客户端系统触发或检测所述标识的警报;
通过为每个标识的警报执行以下,为每个类型的警报生成多个不同客户端修复过程集:
标识由对应的多个不同客户端系统执行的多个过程,所述多个过程在距所述标识的警报的预先确定时间内和/或过程临近度内被执行;以及
基于所述多个过程与所述标识的警报的相关性矢量,确定所述多个过程中的哪些过程与所述标识的警报有关;以及
对于所述多个不同客户端系统中的每个客户端,创建客户端修复过程集,所述客户端修复过程集包括被确定为与所述标识的警报有关、并且由所述客户端在距所述标识的警报的所述预先确定时间段内和/或过程临近度内执行的所述过程;
通过包括满足所述多个不同客户端修复过程集之间的相关性阈值的一个或多个公用修复过程,并且同时从复合修复文件省略未能满足所述不同客户端修复过程集之间的所述相关性阈值的一个或多个非公用修复过程,基于所述多个不同客户端修复过程集之间存在的相关性,为每个类型的警报生成所述复合修复文件;以及
将所述复合修复文件提供给特定客户端系统,以用于响应于由所述特定客户端检测到并且与所述修复文件相对应的警报来执行修复。
2.根据权利要求1所述的计算系统,其中所述相关性阈值是所述一个或多个公用修复过程在大多数但不是全部所述不同客户端修复过程集中的出现。
3.根据权利要求1所述的计算系统,其中所述相关性阈值是所述一个或多个公用修复过程在全部所述不同客户端修复过程集中的出现。
4.根据权利要求1所述的计算系统,其中创建所述客户端修复过程集还包括:包括被确定为与所述标识的警报有关、并且由所述客户端在距所述标识的警报的所述预先确定时间段内和所述过程临近度内执行的所述过程。
5.根据权利要求1所述的计算系统,其中所述方法还包括:将所述多个不同客户端修复过程集过滤为客户端修复过程集的子集,所述客户端修复过程集的子集与多个不同客户端类型中的特定客户端类型相对应。
6.根据权利要求5所述的计算系统,其中所述方法还包括:为所述多个不同客户端类型中的每个客户端类型生成分离的复合修复文件。
7.根据权利要求1所述的计算系统,其中所述复合修复文件是具有可执行指令的可执行文件,以用于响应于运行所述复合修复文件而自动执行修复行动。
8.根据权利要求1所述的计算系统,其中所述复合修复文件是不可执行文件,所述不可执行文件包括推荐的修复行动的列表。
9.根据权利要求1所述的计算系统,其中所述方法还包括:基于响应于确定没有足够的信息以用于确定特定修复行动是满足还是未能满足所述多个不同客户端修复过程集之间的所述相关性阈值而被触发的提示,而接收用户输入,以用于包括所述特定修复行动或从所述复合修复行动文件排除所述特定修复行动。
10.一种用于利用众包来生成修复文件的方法,所述方法包括:
标识多个不同类型的警报,其中所述多个不同类型的警报中的每个标识的警报与对应的多个不同客户端系统相关联,每个客户端系统触发或检测所述标识的警报;
通过为每个标识的警报执行以下,为每个类型的警报生成多个不同客户端修复过程集:
标识由对应的多个不同客户端系统执行的多个过程,所述多个过程在距所述标识的警报的预先确定时间内和/或过程临近度内被执行;以及
基于所述多个过程与所述标识的警报的相关性矢量,确定所述多个过程中的哪些过程与所述标识的警报有关;以及
对于所述多个不同客户端系统中的每个客户端,创建客户端修复过程集,所述客户端修复过程集包括被确定为与所述标识的警报有关、并且由所述客户端在距所述标识的警报的所述预先确定时间段内和/或过程临近度内执行的所述过程;
通过包括满足所述多个不同客户端修复过程集之间的相关性阈值的一个或多个公用修复过程,并且同时从复合修复文件省略未能满足所述不同客户端修复过程集之间的所述相关性阈值的一个或多个非公用修复过程,基于所述多个不同客户端修复过程集之间存在的相关性,为每个类型的警报生成所述复合修复文件;以及
将所述复合修复文件提供给特定客户端系统,以用于响应于由所述特定客户端检测到并且与所述修复文件相对应的警报来执行修复。
11.根据权利要求10所述的方法,其中所述相关性阈值是所述一个或多个公用修复过程在大多数但不是全部所述不同客户端修复过程集中的出现。
12.根据权利要求10所述的方法,其中所述相关性阈值是所述一个或多个公用修复过程在全部所述不同客户端修复过程集中的出现。
13.根据权利要求10所述的方法,其中创建所述客户端修复过程集还包括:包括被确定为与所述标识的警报有关并且由所述客户端在距所述标识的警报的所述预先确定时间段内和所述过程临近度内执行的所述过程。
14.根据权利要求10所述的方法,其中所述方法还包括:将所述多个不同客户端修复过程集过滤为客户端修复过程集的子集,所述客户端修复过程集的子集与多个不同客户端类型中的特定客户端类型相对应。
15.根据权利要求14所述的方法,其中所述复合修复文件是具有可执行指令的可执行文件,以用于响应于运行所述复合修复文件而自动执行修复行动。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/056,157 US10826756B2 (en) | 2018-08-06 | 2018-08-06 | Automatic generation of threat remediation steps by crowd sourcing security solutions |
| US16/056,157 | 2018-08-06 | ||
| PCT/US2019/039639 WO2020033070A1 (en) | 2018-08-06 | 2019-06-28 | Automatic generation of threat remediation steps by crowd sourcing security solutions |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112544054A true CN112544054A (zh) | 2021-03-23 |
| CN112544054B CN112544054B (zh) | 2023-05-30 |
Family
ID=67297411
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980052500.0A Active CN112544054B (zh) | 2018-08-06 | 2019-06-28 | 通过众包安全性解决方案自动生成威胁修复步骤 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10826756B2 (zh) |
| EP (1) | EP3834369A1 (zh) |
| CN (1) | CN112544054B (zh) |
| WO (1) | WO2020033070A1 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10911479B2 (en) * | 2018-08-06 | 2021-02-02 | Microsoft Technology Licensing, Llc | Real-time mitigations for unfamiliar threat scenarios |
| US11782763B2 (en) * | 2019-05-07 | 2023-10-10 | Oracle International Corporation | Resolution of tickets in a multi-tenant environment |
| US11533329B2 (en) * | 2019-09-27 | 2022-12-20 | Keysight Technologies, Inc. | Methods, systems and computer readable media for threat simulation and threat mitigation recommendations |
| US11736500B2 (en) * | 2020-08-12 | 2023-08-22 | Arista Networks, Inc. | System and method for device quarantine management |
| US11973796B2 (en) | 2021-04-06 | 2024-04-30 | Microsoft Technology Licensing, Llc | Dangling domain detection and access mitigation |
| US11888870B2 (en) | 2021-10-04 | 2024-01-30 | Microsoft Technology Licensing, Llc | Multitenant sharing anomaly cyberattack campaign detection |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090183023A1 (en) * | 2008-01-11 | 2009-07-16 | Lucent Technologies Inc. | Method and apparatus for time-based event correlation |
| US8549626B1 (en) * | 2009-03-20 | 2013-10-01 | Symantec Corporation | Method and apparatus for securing a computer from malicious threats through generic remediation |
| US20140052849A1 (en) * | 2012-08-14 | 2014-02-20 | Digicert, Inc. | Sensor-based Detection and Remediation System |
| US20140283066A1 (en) * | 2013-03-15 | 2014-09-18 | John D. Teddy | Server-assisted anti-malware client |
| US8904538B1 (en) * | 2012-03-13 | 2014-12-02 | Symantec Corporation | Systems and methods for user-directed malware remediation |
| US9332029B1 (en) * | 2014-12-24 | 2016-05-03 | AO Kaspersky Lab | System and method for malware detection in a distributed network of computer nodes |
| US9692789B2 (en) * | 2013-12-13 | 2017-06-27 | Oracle International Corporation | Techniques for cloud security monitoring and threat intelligence |
| WO2017152079A1 (en) * | 2016-03-04 | 2017-09-08 | Codepinch, Llc | Computer-implemented system and method for automating web application runtime error repairing |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090099896A1 (en) * | 2007-10-15 | 2009-04-16 | International Business Machines Corporation | System and method for workflow delinquency remediation |
| US8667583B2 (en) | 2008-09-22 | 2014-03-04 | Microsoft Corporation | Collecting and analyzing malware data |
| US8504504B2 (en) | 2008-09-26 | 2013-08-06 | Oracle America, Inc. | System and method for distributed denial of service identification and prevention |
| US8578491B2 (en) * | 2008-12-11 | 2013-11-05 | Alcatel Lucent | Network based malware detection and reporting |
| US9386030B2 (en) | 2012-09-18 | 2016-07-05 | Vencore Labs, Inc. | System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks |
| IN2014MU04068A (zh) * | 2014-12-18 | 2015-06-05 | Cyberoam Technologies Pvt Ltd | |
| US20160180087A1 (en) * | 2014-12-23 | 2016-06-23 | Jonathan L. Edwards | Systems and methods for malware detection and remediation |
| US9729562B2 (en) | 2015-03-02 | 2017-08-08 | Harris Corporation | Cross-layer correlation in secure cognitive network |
| US10931685B2 (en) * | 2016-12-12 | 2021-02-23 | Ut-Battelle, Llc | Malware analysis and recovery |
| US11240263B2 (en) | 2017-01-31 | 2022-02-01 | Micro Focus Llc | Responding to alerts |
| US10643214B2 (en) * | 2017-04-28 | 2020-05-05 | Splunk Inc. | Risk monitoring system |
| RU2651196C1 (ru) * | 2017-06-16 | 2018-04-18 | Акционерное общество "Лаборатория Касперского" | Способ обнаружения аномальных событий по популярности свертки события |
| US10637888B2 (en) | 2017-08-09 | 2020-04-28 | Sap Se | Automated lifecycle system operations for threat mitigation |
| US11089042B2 (en) * | 2018-02-06 | 2021-08-10 | Bank Of America Corporation | Vulnerability consequence triggering system for application freeze and removal |
| US10911479B2 (en) | 2018-08-06 | 2021-02-02 | Microsoft Technology Licensing, Llc | Real-time mitigations for unfamiliar threat scenarios |
-
2018
- 2018-08-06 US US16/056,157 patent/US10826756B2/en active Active
-
2019
- 2019-06-28 CN CN201980052500.0A patent/CN112544054B/zh active Active
- 2019-06-28 WO PCT/US2019/039639 patent/WO2020033070A1/en unknown
- 2019-06-28 EP EP19740264.7A patent/EP3834369A1/en not_active Withdrawn
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090183023A1 (en) * | 2008-01-11 | 2009-07-16 | Lucent Technologies Inc. | Method and apparatus for time-based event correlation |
| US8549626B1 (en) * | 2009-03-20 | 2013-10-01 | Symantec Corporation | Method and apparatus for securing a computer from malicious threats through generic remediation |
| US8904538B1 (en) * | 2012-03-13 | 2014-12-02 | Symantec Corporation | Systems and methods for user-directed malware remediation |
| US20140052849A1 (en) * | 2012-08-14 | 2014-02-20 | Digicert, Inc. | Sensor-based Detection and Remediation System |
| US20140283066A1 (en) * | 2013-03-15 | 2014-09-18 | John D. Teddy | Server-assisted anti-malware client |
| US9692789B2 (en) * | 2013-12-13 | 2017-06-27 | Oracle International Corporation | Techniques for cloud security monitoring and threat intelligence |
| US20170295199A1 (en) * | 2013-12-13 | 2017-10-12 | Oracle International Corporation | Techniques for cloud security monitoring and threat intelligence |
| US9332029B1 (en) * | 2014-12-24 | 2016-05-03 | AO Kaspersky Lab | System and method for malware detection in a distributed network of computer nodes |
| WO2017152079A1 (en) * | 2016-03-04 | 2017-09-08 | Codepinch, Llc | Computer-implemented system and method for automating web application runtime error repairing |
Non-Patent Citations (1)
| Title |
|---|
| SAEED SALAH等: "Fusing information from tickets and alerts to improve the incident resolution process", 《INFORMATION FUSION (2018)》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US10826756B2 (en) | 2020-11-03 |
| EP3834369A1 (en) | 2021-06-16 |
| US20200044911A1 (en) | 2020-02-06 |
| WO2020033070A1 (en) | 2020-02-13 |
| CN112544054B (zh) | 2023-05-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10911479B2 (en) | Real-time mitigations for unfamiliar threat scenarios | |
| CN112544054B (zh) | 通过众包安全性解决方案自动生成威胁修复步骤 | |
| US11652852B2 (en) | Intrusion detection and mitigation in data processing | |
| US10599874B2 (en) | Container update system | |
| US20190342296A1 (en) | Automated compliance with security, audit and network configuration policies | |
| US11665142B2 (en) | Dynamic discovery of executing applications | |
| US9253213B2 (en) | Query flow reconstruction in database activity monitoring systems | |
| US10491621B2 (en) | Website security tracking across a network | |
| CN110199283B (zh) | 用于在网络功能虚拟化环境中认证平台信任的系统和方法 | |
| US20190342338A1 (en) | Automated compliance with security, audit and network configuration policies | |
| US11134085B2 (en) | Cloud least identity privilege and data access framework | |
| WO2021121382A1 (en) | Security management of an autonomous vehicle | |
| US10911478B2 (en) | Detection of attacks in the cloud by crowd sourcing security solutions | |
| US11528286B2 (en) | Network vulnerability detection | |
| US11487570B1 (en) | Efficient creation of endpoints for accessing services directly within a cloud-based system | |
| US11374959B2 (en) | Identifying and circumventing security scanners | |
| WO2024010747A1 (en) | Approval workflows for anomalous user behavior |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |