CN113196265A - 安全检测分析 - Google Patents
安全检测分析 Download PDFInfo
- Publication number
- CN113196265A CN113196265A CN201880100337.6A CN201880100337A CN113196265A CN 113196265 A CN113196265 A CN 113196265A CN 201880100337 A CN201880100337 A CN 201880100337A CN 113196265 A CN113196265 A CN 113196265A
- Authority
- CN
- China
- Prior art keywords
- computer
- data
- sensitization
- analysis
- analysis process
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
Abstract
装置和方法,用于在服务器处处理在第一计算机处对第一外部数据执行的分析过程的接收结果以获得敏化数据;以及将敏化数据从服务器提供给第二计算机,以用于在对在第二计算机处接收的第二外部数据执行敏化分析过程时使用。
Description
背景技术
计算机可以运行分析过程以处理输入数据。例如,计算机可以运行分析过程以确定程序是否应该被下载到计算机或安装在计算机上。例如,计算机可以运行分析以确定程序是否是真正的安全软件的条目(item),程序是否包含一些恶意代码或恶意软件,或者合法软件是否正被用于恶意目的。恶意代码和用于恶意目的的代码可能阻止计算机正确地操作或根本无法正常运行,并且可能损害计算机的安全性,从而使其被用于恶意目的(例如,将病毒传播(spread)到其他计算机或从计算机挖掘密码或银行数据以提供给网络罪犯)。
附图说明
结合附图,根据跟随的详细描述,本公开的各种特征将是显而易见的,附图一起图示了本公开的特征,并且其中:
图1示出了根据本公开的示例获得敏化(sensitizing)数据的示意表示;
图2a和图2b示出了根据本公开的示例的敏化分析计算机过程的示意表示;
图3示出了根据本公开的示例的装置的示意表示;
图4a和图4b示出了根据本公开的示例的敏化分析计算机过程的示意表示;
图5示出了根据本公开的示例的示例方法;以及
图6示出了根据本公开的示例的示例方法。
具体实施方式
在以下描述中,出于解释的目的,阐述了某些示例的许多具体细节。说明书中对“示例”或类似语言的引用意指结合该示例描述的特定特征、结构或特性被包括在至少该一个示例中,但不一定被包括在其他示例中。
在边缘计算网络的边缘处的计算机(其可以被称为“端点”、“端点设备”、“检测器”或“安全检测器”)可以运行行为分析(其可以被称为“边缘分析”)。例如,这样的分析可以分析在计算机处发生的行为,并确定例如恶意软件攻击的当前风险或安全漏洞的可能性(chance)。这样的分析可以具有各种参数和阈值,它使用所述参数和阈值来关于输入数据做出决策。当包括关于更广泛的上下文的知识时,可以改进该决策。
相对于纯粹基于云或基于中央服务器的网络,基于边缘的计算机可以提供优势。然而,由于它们在计算网络的边缘处的位置,它们可以在没有其他设备的活动的上下文的情况下做出关于潜在网络威胁和恶意软件的决策。此外,基于边缘的计算机通常可能缺乏关于其他设备正在看到什么的更广泛的上下文。这在做出安全决策(诸如恶意软件检测和响应)时可能是重要的。
在边缘计算机处使用来自更广泛的上下文的数据和结果(findings)来分析数据可以被称为“敏化”。基于来自网络中其他计算机的分析结果获得的参数和阈值可以帮助改进由边缘计算机做出的决策。因此,虽然来自网络中其他计算机的更广泛的上下文信息对于边缘计算机做出决策不是必需的,但是在边缘计算机处的分析中使用它可以改善结果,因为考虑了网络中其他计算机处所发生的更广泛的上下文。
图1图示了执行输入数据104的分析105的示例计算机102(“端点设备”)。给定输入104,计算机102对输入执行一些分析105并产生决策106(诸如“良好”、“不良”、“未知”或例如[0,1]中的一些可能性分数)。分析105可以被称为“端点分析过程”105,因为该分析是在端点设备102(即边缘计算机102)上进行的。继而,该决策可能导致一些动作(诸如“阻止”、“允许”、“收集更多数据”等)。此外,计算机102可以产生关于检测的一些附加数据,该附加数据可以被称为“元数据”108。元数据的示例包括时间戳,在该时间戳处发生讨论中的(inquestion)活动。也就是说,在第一计算机102处对数据104(其可以被称为“第一外部数据”)执行的分析过程105的结果可以包括指示与决策106有关的补充信息的元数据108。
术语“外部数据”104可以被理解为意指在第一计算机102处的与外部影响有关的数据,诸如由与第一计算机102分离并与第一计算机102通信的计算机接收的数据。外部数据104可以包括例如:网络数据(例如域名系统(DNS)数据和HTTP(S)数据);基于主机的数据(例如,进程、服务和注册表活动、文件系统访问数据和外围访问数据(例如,操作系统(OS)应用编程接口(API)调用));进程和线程创建以及库数据(动态链接库dll)加载;创建、下载或改变的文件;由进程进行的系统调用;以及针对进程的CPU、存储器和系统资源使用统计。
计算机102可以通过考虑不同计算机的分析的结果(其可以被称为“敏化”数据112)来执行分析。下面更深入地讨论获得该敏化数据。
用于解决计算机在没有来自网络中其他计算机的上下文的情况下执行分析的问题的一种方式是通过将来自计算机(以及来自网络中其他计算机)的设备数据收集到公共位置中,并在那里执行大部分的分析。公共位置可以是中央服务器或云。然而,在边缘计算环境中,将数据收集到中央公共位置可能丧失使用基于边缘的检测的好处。使用基于边缘的检测的可能好处包括:获得和分析比将被发送回中央服务器或云以进行中央处理更多的数据的可能性;更快地响应于潜在威胁的能力;在没有到云的可用连接时响应的能力(换句话说,不依赖于“始终在线”的中央计算机进行处理);并且基于边缘的计算系统是可扩展的,因为本地设备具有它们自己的处理能力(可以使用在云处的许多服务器进行对大量设备的机群的在云上的集中分析处理)。
此外,可以通过考虑来自网络中其他计算机的分析的结果来改进在一台计算机处的分析,以考虑计算机的更广泛的上下文和在那里接收的输入数据。更广泛的上下文的示例包括其他端点/计算机上的任何相关活动。例如,如果在一个给定的端点上检测到新的行为,则例如了解其他设备是否也将此视为新的行为,或者这是否是他们的既定的行为的模式,这将是有用的。
作为另一个示例,考虑来自其他计算机的分析可以允许来自分析计算机的结果与关于活动的更广泛的上下文信息的相关性。更广泛的上下文可以通过对比方说威胁情报源(threat intelligence feeds)或其他记录的丰富(enrichment)查找来获得。
允许端点计算机对(有时外部的)服务执行丰富查找可能是不期望的和不切实际的。这样做将消耗计算机的资源,并可能引起关于访问控制、认证、信息的许可和防火墙的附加考虑。在一些情况下,允许端点直接彼此通信可能是不切实际的,因为这可能增加计算开销,可能涉及相互认证和访问控制的处理负担,并且可能引起关于防火墙的问题。在端点之间直接共享来自其他组织的(匿名化的)信息可能也是困难的。
本文中公开的示例提供了方法和设备,其可以解决上述挑战中的一个或多个,所述挑战关于边缘计算机在更广泛的上下文的好处的情况下执行分析,但是减少了与访问外部丰富源或在集中设施处执行大部分的分析相关联的潜在问题。
本文中公开的示例可以使用机器学习来实现。在机器学习术语中,用于对输入数据运行分析检查中的参数和阈值可以被称为“决策边界”,它是数据的特征、学习参数和选择的模型超参数的函数。此外,在机器学习设置中,参数110和敏化数据112可以是特征向量。
本文中公开的示例可以涉及将从“在边缘上”的安全检测器(计算机,诸如PC、打印机或IoT设备)导出的信息传播给其对等体(第二计算机,再次诸如PC、打印机或IoT设备),以帮助它们对它们自身的观察到的行为做出更明智(informed)、更准确的决策。本文中公开的示例可以被认为涉及在边缘处生成的“警报元数据”(例如,处理的结果、在(一个或多个)边缘计算机处的数据)。这样的“警报元数据”被发送到一个或多个中央服务器(诸如用于云计算的云)。可以在中央服务器处执行附加的计算。在一些示例中,例如来自丰富源的额外数据可以被收集并添加到元数据。然后,所得到的敏化数据可以被向下发送并被其他设备接收,所述其他设备继而可以存储和/或在运行它们自身的分析时处理接收到的敏化数据。这样的敏化数据可以被在其他设备上运行的分析所使用,以例如基于敏化数据来变更内部参数和阈值。通过整理(collate)来自一台或多台计算机的分析结果,并且在一些示例中用存储在中央服务器处的信息来扩充(augment)该结果,可以将敏化数据分发到其他终端计算机,以允许在那里进行改进的“敏化”分析,从而受益于从其他源和/或从中央存储的数据获得的信息。
分析可以通过一些函数f来描述。然后,在数学上,图1的系统的示例可以被表达为:
本文中公开的示例可以提供一种方式,其中可以从元数据108精选(curate)敏化数据112,并将其分发到运行分析的其他端点(“第二计算机”)。敏化数据为分析计算机提供上下文,指示对更广泛系统的上下文的知识,例如包括跨总的设备的机群正在发生什么,在一些示例中具有外部丰富数据和/或专家人类分析的上下文。
决策106和元数据108然后可以被发送到中央服务器或云,在中央服务器或云中,可以执行相应的例程来处理分析的输出。这里,服务器/云可以使用事件元数据、从人类分类精选的内容和丰富源(根据设计,其可能不一定对端点可用)来调整敏化参数。丰富源可以包括来自其他组织中运行的类似检测器的聚合和匿名化元数据(即跨机群丰富)。
图2a和图2b示出了根据本公开的示例的敏化分析计算机过程的示意表示。图2a示出了第一计算机102,其可以对在第一计算机102处接收到的第一外部数据执行分析过程。分析过程可以对在第一计算机/端点处接收到的数据执行一些分析,以确定数据有多“安全”(即,如何指示合法活动)(或者相反,数据有多可能与恶意行为/恶意软件相关)的一些度量。在本公开的末尾处讨论的示例中详述了若干场景,诸如:用诸如alexa排序号的可信排序或Whois信息来扩充数据;考虑是否在信任排序内有二级域;计算包括每个域(例如,n-gram)的字符的统计分布(所述“域”可以是计算机DNS域名,诸如web域);计算数据的时间戳或时间戳差的统计分布;学习模型对数据的应用;以及例如在每日和历史的基础上确定发生次数。
来自分析过程106、108的结果然后被提供给服务器114。在一些示例中,服务器可以是云。服务器114可以处理接收到的结果106、108,以获得敏化数据。敏化数据112可以被认为表示分析过程的结果,其被用来提供针对接收的外部数据的上下文,使得可以由接收计算机116对数据的性质(例如,数据是安全的还是恶意的)做出改进的判断。
服务器114然后可以向第二计算机116提供敏化数据112。第二计算机116现在可以根据接收到的敏化数据112对在第二计算机处接收到的第二外部数据执行敏化分析过程。敏化分析过程可以被认为是基于由敏化数据112提供的上下文对在第二计算机/端点116处接收的数据的分析,以确定数据有多安全(或者相反,数据有多可能与恶意行为/恶意软件相关)的一些度量。也就是说,第二计算机116可以接收一些外部数据,并且可以利用在计算环境中的其他计算机处执行的分析的好处和上下文来分析它,并且在一些示例中,利用在服务器114处执行的其他数据丰富(通过敏化数据)的好处来分析它。
因此,总的来说,系统100可以执行方法,该方法包括:在服务器处接收在第一计算机处对第一外部数据执行的分析过程的结果,该结果指示在第一计算机处恶意计算机行为的级别的决策;在服务器处处理接收到的结果以获得敏化数据;以及从服务器向第二计算机提供敏化数据,以根据接收到的敏化数据对在第二计算机处接收的第二外部数据执行敏化分析过程。
在图2b的示例中,有第一计算机102和另外的计算机118。在其他示例中,可以有多于一台另外的计算机118。例如,系统可以包括向服务器114提供分析过程结果的许多台(例如,多于10台、多于20台或多于50台)计算机。在该示例中,由第二计算机116用来执行第二外部数据的分析的敏化数据112是服务器114处理在第一计算机102处对第一外部数据执行的分析过程的结果106、108以及在另外的计算机118处对另外的外部数据执行的另外的分析过程的处理结果(在该示例中,决策120和元数据121)的结果。也就是说,在一些示例中,对所接收的第二外部数据执行敏化分析过程取决于所接收的敏化数据112,其中敏化数据112由服务器114处理在第一计算机102处对第一外部数据执行的分析过程的结果106、108、120、121以及处理在另外的计算机118处对另外的外部数据执行的另外的分析过程的结果而产生。
图3示出了根据本公开的示例的装置的示意表示。该装置包括处理器302;耦合到处理器的计算机可读存储装置306;以及分析模块308。该装置的指令集用于与处理器302和计算机可读存储装置306协作。在一些示例中,装置300可以是第一计算机。在一些示例中,该装置可以是第二计算机。在一些示例中,该装置可以是另外的计算机。在一些示例中,该装置可以是中央服务器。在一些示例中,装置300可以是计算机。在一些示例中,该装置可以是计算机的模块。
在一些示例中,诸如图3中所示的装置可以被配置成在输入端处从服务器接收敏化数据。敏化数据是在第一计算机处对第一外部数据执行的分析过程的服务器处理结果的结果。敏化数据指示第一计算机处的恶意计算机行为的级别。然后,该装置可以根据接收到的敏化数据对接收到的第二外部数据执行敏化分析过程。分析模块308用于对外部数据(如果敏化数据是可用的,则其可以被敏化,但不一定被敏化)进行分析。本文中公开的方法可以由诸如图3的装置之类的装置来执行,该装置包括处理器302、耦合到处理器302的计算机可读存储装置(存储器)306、以及用于与处理器302和计算机可读存储装置306协作以执行所述方法的指令集。
图4a和图4b示出了根据本公开的示例的敏化分析计算机过程的示意表示。在每个示例中,第二计算机116用于接收并处理在第一计算机102处对第一外部数据执行的分析过程的结果,其中该结果指示在第一计算机102处恶意计算机行为的级别的决策。
在图4a中,处理接收到的结果包括确定将接收到的结果作为敏化数据提供给第二计算机。敏化数据112基于来自分析外部数据的一个(或多个)计算机102的结果,并且该分析被提供给服务器/云114以被传递给第二计算机116。在最简单的情况下,在服务器/云114处不执行附加的计算,这仅将收集的数据112反射回到其他端点116。在该情况下,敏化数据112将表示之前在别处已经看到的活动。敏化数据112可以例如馈入到第二计算机116处的参数中,其考虑由在第二计算机116处接收到的外部数据表示的活动是否跨机群是新的。
图4a示出了提供决策106和元数据108的第一计算机。在一些示例中,可以有多于一个第一计算机102(参见图2b),因此可以整理来自向中央服务器114提供决策106和元数据108的多个计算机102的结果,以向第二计算机116提供合并的敏化数据112。在一些示例中,可以有多于一个第二计算机从服务器/云112接收敏化数据112。元数据108可能不一定由计算机102提供(或者在多个计算机102的示例中,由多个计算机中的每个计算机提供)。
在图4b中,处理接收到的结果包括除了从第一计算机102获得的决策106之外还基于一些外部信息122、124、126分析接收到的结果以获得敏化数据。
总的来说,来自一个边缘检测器102的决策数据106和/或元数据108可以被用于在不同的边缘检测器116处敏化分析处理。由中央/云服务112介导(mediate)用于在不同的端点116处进行分析的这样的数据共享。
例如,外部丰富数据122可以被用于提供接收结果的上下文。在一些示例中,丰富数据122可以包括指示已知恶意活动的存在的威胁情报源。在一些示例中,丰富数据122可以包括与在第一计算机102处处理的第一外部数据相关联的域(即,web域)的信任的级别的指示。作为示例,可以通过执行查找来扩充数据,所述查找诸如找到域的alexa排序或其Whois注册数据,如丰富数据112中所记录的。搜索黑名单和白名单是使用丰富数据122来补充在服务器/云114处的数据106、108分析的其他示例。如果域是alexa排序的(并且因此可能潜在地被认为是安全的),则敏化数据112可以指示恶意活动的警报应该被抑制,从而避免假阳性指示,否则如果声明域是alexa排序的敏化数据112是不可用的,则可能指示假阳性指示。
例如,人类调查124可以被用于手动分析接收到的结果106、108,并对它们进行补充以提供敏化数据112。例如,数据分析师(人类)可以手动插入针对外部域数据的一个或多个标签,其指示:特定域与恶意软件相关联;特定域是合法的;和/或在考虑活动是合法的还是恶意的时,特定的观察到的行为或活动应该具有应用于它的更高或更低的权重。
例如,表示由另外的计算机执行的分析126的数据可以被用于与由第一计算机102执行的分析过程相关的分析过程中。也就是说,可以计算关于与个体设备102相关联的事件(例如警报)的信息,或者可以计算关于跨设备102的机群发生的类似事件的信息。当在服务器/云114处确定敏化数据112时,来自单个设备102的统计126可以在更长的时间段内取得(即,考虑在第一计算机102处的外部数据的多于一个实例),和/或可以考虑跨多个设备102的数据126。
分析的外部数据126的示例可以是命令和控制(C2)信标的细节。由于外部分析126,域生成算法(DGA)边缘分析计算机116可以接收敏化数据112中的信息,即对于给定的域已经/尚未观察到C2信标。例如,如果已经检测到对some-domain.com的潜在恶意信标,则DGA检测器116可以使用该敏化数据112来决定通过在比如果没有这样的敏化数据可用于补充在分析装置116处单独执行的分析更少的观察到的相关的事件(诸如恶意活动的指示)之后触发动作来减轻DGA威胁。
这些类型的因素122、124、126中的任何一个或多于一个可以被用于分析接收到的结果并获得敏化数据112。
这样的其他外部信息或“决定因素”可以馈入到数据102以对其进行补充并获得敏化数据112,使得所得到的敏化数据112向第二计算机116提供与来自网络中其他计算机102的结果相关的上下文,以及基于在服务器/云114处可用的外部信息的整体分析,该外部信息在端点计算机处可能是不可用的。因此,服务器/云112可以基于(一个或多个)接收的决策106和元数据108以及外部因素122、124、126来执行一些分析,以获得敏化数据112。敏化数据122提供要被分发到运行分析的其他端点116的上下文。该敏化数据112可以允许其他端点116更快地检测已知的恶意行为(如通过敏化数据确定),或者允许抑制恶意活动的假阳性指示。敏化数据可以通过在第二计算机处指示对分析过程的参数的调整来实现这一点,例如,以更快地得出关于所分析的外部数据的决策。因此,该调整可以提供要在第二计算机处对第二外部数据执行的分析过程的敏化。
除了更快地检测例如通用域生成算法(DGA)或命令和控制(C2)流量之外,这样的示例可以允许要更适当地和更快地采取行动的(潜在恶意的)行为的具体实例。
关于图4a和4b,对于机群或单个设备116两者,可以在服务器/云114中执行的动作的另一个示例是计算关于随时间建立的数据106、108的统计分布和相应统计度量。对于离散数据,这可以包括频率分布。对于连续数据,可以计算诸如平均值或标准偏差之类的度量。这样的计算可以允许获得事件的统计和已知分布,诸如对应于‘合法’和‘恶意’活动的警报信息和分布。通过观察给定的事件如何适合这些不同的分布,可以提供一种对该数据执行一些计算(诸如聚合)以产生单个分数的方式。在一些示例中,服务器/云114可以做出直接决策,并基于这样的分数将事件的内容分类为对应于恶意、可疑或合法。此外,在一些示例中,出于相同的目的,已知的分布可以被导入(例如,作为丰富数据122)到服务器/云114。这样的统计计算的结果可以被存储在服务器/云114处。服务器/云114可以将这样的信息或这样的信息的子集)作为敏化数据112的部分发送到端点。
上面的示例可以提供通过集中、丰富和分发来管理上下文数据106、108、122、124、126的方式。在分发到其他端点116时,分析装置116现在可以存储敏化数据112并且在做出其决策时使用敏化数据112。敏化数据12的部分可以被存储并与端点上的其他分析一起使用。
图5示出了根据本公开的示例的示例方法500。方法500包括:在服务器处接收在第一计算机处对第一外部数据执行的分析过程的结果,该结果指示在第一计算机处恶意计算机行为的级别的决策502。在接收到结果之后,方法500在服务器处处理接收到的结果,以获得敏化数据504。服务器然后将敏化数据提供给第二计算机,以根据接收到的敏化数据对在第二计算机处接收到的第二外部数据执行敏化分析过程510。在该示例中,处理接收到的结果包括确定将接收到的结果作为敏化数据提供给第二计算机506(参见图4a),并基于以下各项来分析接收到的结果以获得敏化数据508:外部丰富数据,以提供接收到的结果的上下文;人类调查,以手动分析接收到的结果;或者表示在与由第一计算机执行的分析过程相关的分析过程中由另外的计算机执行的分析的数据(参见图4b)。在某些示例中,可以省略该示例方法的一个或多个元素。
图6示出了根据本公开的示例的示例方法600。在该示例中,敏化数据(例如,从第一计算机处的分析过程的结果获得504的敏化数据,如图5中所示)表示到特定域602(即,web域)的多个信标信号,包括来自第一计算机的到特定域的信标信号。如果敏化数据表示高于阈值T1的到特定域的多个信标信号604(即,如果检测到高于阈值T1的多个信号,例如到地址的常规通信,则这些信号被认为是信标信号),则对在第二计算机处接收的外部数据执行的敏化分析处理进行调整。该调整包括如果在第二计算机处接收到到特定域的信标信号,则减少在第二计算机处执行的敏化分析处理以确定信标信号不指示恶意活动608。
如果敏化数据表示低于阈值T2的到特定域的多个信标信号606,则对在第二计算机处接收到的外部数据执行的敏化分析处理进行调整。该调整包括如果在第二计算机处接收到到特定域的信标信号,则减少在第二计算机处执行的敏化分析处理以确定信标信号指示恶意活动610。
在任一情况下,无论到特定域的多个信标信号高于阈值T1,还是低于阈值T2,与在没有提供敏化数据的情况下将在第二计算机处执行的非敏化分析处理相比,敏化分析处理中的减少被减少了。在一些示例中,T1=T2。在其他示例中,T1可能不等于T2。
通常,与没有敏化的分析过程中使用的阈值相比,在第二计算机处执行的敏化分析过程可以通过调整敏化分析过程中的阈值来执行。阈值可以与获得在第二计算机处处理的第二外部数据是否指示恶意计算机行为的决策相关联。例如,调整阈值可以允许更快地做出外部数据是否是恶意的决策,或者在没有敏化数据是可用的情况下在第二计算机处以外部数据的较小的数据集做出决策。
例如,与用于没有敏化的分析过程以获得在第二计算机处的恶意行为的决策的分析时间相比,阈值调整可以是调整用于敏化分析过程以获得在第二计算机处的恶意行为的决策的分析时间。敏化数据可以指示在第一计算机处接收到的某些外部数据与恶意活动相关。然后,如果在第二计算机处接收到类似的(comparable)外部数据,则第二计算机可以执行对外部数据的敏化分析,这受益于已经在第一计算机处执行的分析,并且因此可以减少分析时间以得出外部数据表示恶意活动的结论。发生分析时间中的减少,因为在第一计算机处分析的类似的数据已经被标识为潜在恶意的,并且第二计算机受益于在第一计算机处的该在先分析,以更快地关于所接收的外部数据的恶意性质做出决策。
类似地,与用于没有敏化的分析过程以获得在第二计算机处的恶意行为的决策的第二外部数据中潜在恶意行为的指示的数量相比,阈值调整可以是调整用于敏化分析过程以获得在第二计算机处的恶意行为的决策的第二外部数据中潜在恶意行为的指示的数量。
在一些示例中,与没有敏化的分析过程(其将标识处理的第二外部数据指示恶意行为)相比,在第二计算机处执行的敏化分析过程可以包括标识处理的第二外部数据不指示恶意行为。这样的示例可以被认为避免了“假阳性”结果。例如,如果单独分析(即,与在不同计算机处的分析隔离,并且与诸如可信站点的列表或预期数据更新的列表之类的外部信息源隔离),外部数据可能提供指示该数据可能与恶意行为相关的结果。然而,事实上,该数据可能与恶意行为无关。
例如,可能发布软件更新。该新的软件更新信息可以被传输到计算机,在没有关于数据更新的任何上下文或信息的情况下,该计算机可以将软件更新视为潜在的恶意数据,直到被广泛地检出(check out)。然而,如果计算机能够执行“敏化分析”,则该分析与非敏化分析相比可以更快地执行,并且可以得出“非恶意软件更新”的更正确的结论,而不是“修改软件的潜在恶意尝试”。用于执行敏化分析的敏化数据可以包括:来自分离的计算机(或多个分离的计算机)的分析结果,其指示数据涉及安全软件更新;和/或来自诸如软件供应商的外部源的信息,其指示软件更新将被发布(诸如存储在中央服务器或云处的“软件发布”列表)。在向第二计算机提供合并的敏化数据之前,可以在中央服务器或云处整理多于一个敏化数据源。
以下示例说明了敏化分析过程。所述示例被组织成三个步骤,其中的每个大致对应于:a)在端点102上的初始收集和警报,b)在云114处的丰富,以及c)将敏化数据112传送回到端点116。每个步骤可以包含多个示例。
示例1
步骤1:警报和发送警报数据
作为示例,设备可以收集域名系统(DNS)数据并执行分析。当由端点生成与DGA活动相关的警报时,该事件可能产生附加元数据,包括(但不限于)失败的DNS查找(DNS查询返回不存在的域(NXDOMAINS))以及指示它们何时发生的时间戳。此外,可以添加新的DNS查找,其会成功,但是在已经触发潜在恶意行为的警报(因此可能的DGA活动)之后,先前在设备上是看不到的。该信息可以由{(domain1,result,timestamp1),(domain2,result,timestamp2),…,(domain_n,result,timestamp_n)}表示(并且是元数据108的示例),其中该域是DNS域,时间戳是请求何时发生,并且结果是指示其是否是成功的标志。
步骤2:在云中扩充、聚合和评分警报数据
可以触发警报,并且可以基于该信息立即采取动作。然而,这样的决策缺乏比方说其他设备是否也看到了该活动或者实际上该活动是否在组织的别处建立的上下文。该信息可能影响要采取的最适当的动作。此外,没有关于讨论中的域的外部信息。例如,注册信息、alexa排序和威胁情报源都可以被用来帮助关于讨论中的域进行评估。此外,除了能够在云114处收集更多数据之外,可以在云114处应用比在边缘计算机116处更复杂且计算昂贵的计算。
对于上面的示例,可以在警报信息domain_i中用其alexa排序号和Whois信息(诸如注册日期)来扩充每个成功的新域。在该情况下,警报信息现在附加地包含一些整数值,诸如{(domain1,result,timestamp1,ALEXA_RANK),(domain2,result,timestamp2,ALEXA_RANK),…,(domain_n,result,timestamp_n,ALEXA_RANK)}。另外的示例包括考虑在可以获得的alexa列表或Whois信息内是否有二级域。例如,如果接收到域wrong.hp.com,则基于hp.com二级域的信息可以被用于对其可以被生成作为DGA的部分的可能性进行排序。作为另一示例,<<some_dynamic_dns_provider.com>>可能与DGA流量有关,因为恶意软件所有者可以注册域。
此外,可以对时间戳t_i(或它们的差)计算统计,以理解它们的分布。例如,可以根据时间戳来确定连接是否是周期性的,或者它们是否在一天的特定部分时发生。在中央服务器114上,可以应用比在边缘116处更复杂的计算或学习模型,以及可能收集额外信息。此外,可以对包括每个域domain_i的字符(诸如n-gram)的分布计算统计。可以计算域名和alexa排序列表中的域名之间的相似性度量,以尝试标识键入错误。可以例如在每天和历史的基础上对跨所有机群接收到的每个domain_i对发生进行计数。也就是说,在过去已经看到那些域,还是在当前天/周期间在多个设备上看到它们。在跨机群中的多个设备存在相似的domain_i名的情况下,可以检查它们是否具有相似的时差分布。这可以通过分析警报信息{(domain1,result,timestamp1),(domain2,result,timestamp2),…,(domain_n,result,timestamp_n)}中的时间戳来获得。该数据可以被发送(拉或推模型)到其他端点116。
步骤3:将云数据推/拉到其他端点
在云接收域的列表的示例中,作为丰富数据{(domain1,timestamp1),(domain2,timestamp2),…,(domain_n,timestamp_n)},它可以选择什么也不做,并且仅将域的列表发送(推/拉)出到其他端点,然后所述其他端点可以使用该附加信息(假如它们已经被设计为与该系统集成)。例如,由端点116对该域信息的接收可以改变由端点用来评估与接收到的外部数据{(domain1,timestamp1),(domain2,timestamp2),…,(domain_n,timestamp_n)}相关的活动的内部阈值和其他参数。替代地,端点116可以连同域一起接收域的alexa排序。这可以被存储并与涉及域名的另一分析一起使用,所述分析诸如确定命令和控制信标活动的合法性,或者评估通过下载攻击的潜在的驱动的风险。通过将信息发送到端点116,而不是在云114中做出决策,并将该决策直接传播到端点116,每个端点116能够做出针对其本地环境和上下文(例如,由本地管理员配置的威胁级别或假阳性率)定制的决策。
在另一个示例中,云114可以对数据106、108进行更多的处理,以创建分数或分数的区间(上限和下限)来发送给其他端点116。这里,云114正在指示端点116如何对给定的警报信息评分(即,对第二外部数据评分)。可以由分析装置116使用该评分信息来适当地作出反应。作为另一示例,如果提供了范围(min_score,max_score),那么看到该警报信息的任何分析装置116可以将此用作指导,并且考虑该建议分数范围以及接收和分析的外部数据来创建最终分数。
在另一个示例中,云针对警报信息创建简单的分类,诸如“不良”、“警告”或“合法”。这可能来自人类干预和调查,或者是否有关于特定分析过程的安全咨询(advisory)。这向端点116给出了它们应该如何处理由它们看到的匹配给定警报信息的活动生成的数据的明确指示。在该情况下,如果端点116从云接收到以下警报信息(其本身是从端点警报接收到的):{(domain1,timestamp1),(domain2,timestamp2),…,(domain_n,timestamp_n)},并且被指示阻止任何这样的活动,则domain_i中的任一个的第一次发生将被端点116阻止。因此,来自一个端点102的警报信息已经被用于在另一个端点116上做出更快的决策。
示例2——敏化C2信标检测
步骤1:警报和发送警报数据
设备102可以收集超文本传输协议(安全)(HTTP(S))数据并且对该数据执行分析方法。当由端点102生成与C2活动有关的警报时,该事件可以产生附加元数据108,除了其他之外,包括(但可以不限于)连接的时间戳、诸如响应代码的HTTP报头数据、发送/接收的字节,HTTP引荐者(referrer)、使用的HTTP动词、用户代理以及何时由端点首次访问域名。
步骤2:在云中扩充、聚合和评分警报数据
在评估信标流量的严重性时,上下文是重要的。在该示例中,警报信息中的每个域都可以用其alexa排序号和Whois信息(诸如注册日期)来扩充。也可以对信标中包括的任何统一资源定位符(URL)执行分析。作为示例,可以对URL是否看起来是对数据编码进行检查。对字符的分析可以被用来做到这一点。托管服务器的IP地址可以被地理定位(geolocated)。可以在每天和历史的基础上关于跨所有机群接收到的每个域对发生进行计数。也就是说,在过去已经看到它们,还是在当前天/周期间在多个设备上看到它们。跨整个机群第一次访问该域,或者在给定的时间区间内有多少不同的源访问了该域,可以被用作丰富数据,以补充接收到的数据并提供上下文。
作为示例,信标中涉及的时间戳可以经由聚类或另一种统计技术来分析。可以标识其中活动的模式相似但具有不同域的其他警报信息。这可能帮助标识连续不断变化(fluxing)其C2服务器的恶意软件。其他情况可以被用来丰富接收到的外部数据,在所述其他情况下,跨机群看到该域。例如,如果最近在SMTP记录中观察到的域是电子邮件中的链接,并且如果SMTP分析是可用的,则可以使用该电子邮件的风险分数。这可能指示潜在的网络钓鱼(phishing)域被重新用作C2域。
由如上面确定的上下文丰富的这样的数据可以作为敏化数据被发送(拉或推模型)给其他端点116。
步骤3:将云数据推/拉到其他端点
端点116可以接收如从步骤2计算的敏化数据112。例如,它可以使用如下事实以下面的方式来影响它的决策,该事实是其他设备102、118已经看到对它现在已经观察到的域的信标活动。如果许多其他设备102、118已经向该服务器发送信标,则这可能指示推出了新的更新服务或类似,并且因此可以抑制潜在恶意活动的假阳性结果。否则,如果该域最近从未或很少被几个源访问,则可以更快地做出警报来自该域的流量和对其采取动作(例如,阻止)的决策,而不是等待已经满足各种阈值,因为如由其他端点确定的与该域相关的最近行为暗示恶意活动。
作为另一个示例,端点116可以连同域一起接收域的alexa排序。这可以被存储并与涉及域名的另一分析一起使用,所述分析诸如确定DNS查找的合法性或评估通过下载攻击的潜在的驱动的风险。关于时间戳的统计可以作为敏化数据112的部分被接收。这里,如果在端点116上看到类似的活动的模式(但是针对不同的域),则这可能有助于(lendweight to)断言源正在见证连续不断变化的C2域。这可以包括周期性、持续时间等。如果观察到的用户代理不同于通常由源使用的用户代理,并且如果敏化数据中包含该用户代理作为潜在恶意,则可以更快地决定再次阻止或采取动作。
在另一个示例中,云114可以对数据进行更多的处理,以创建分数或分数的区间(上限和下限)来发送给其他端点。这里,云正在指示端点如何对给定的警报信息评分。这可以被分析装置用来适当地作出反应。同样,如果提供了范围(min_score,max_score),那么看到该警报信息的任何分析装置将此用作指导,并且考虑该建议分数范围来创建最终分数。
在另一个示例中,云114可以针对警报信息创建简单的分类,诸如例如“不良”、“警告”或“合法”。这可能来自人类干预和调查,或者是否有关于特定分析的安全咨询。这也可能来自威胁情报或黑名单/白名单,并且可以设置敏化参数中的标志来指示该事实。这向端点116给出了它们应该如何处理由它们看到的匹配给定警报信息的活动生成的数据的明确指示。在该情况下,如果端点从云接收到关于some-domain.com的警报信息(其本身从端点警报接收到该信息),并且被指示阻止任何这样的活动,则到some-domain.com的第一连接将被端点116阻止,而不是等待满足各种其他阈值。因此,通过使用来自云114的敏化数据(其继而至少部分地来自不同的端点102、118)在端点处敏化分析,已经从另一个端点使用了警报信息,以在端点116上做出更快的决策。
在其中第三方应用和插件被安装在设备上的示例中,可能有更多种类和数量的来自设备的外部网络流量,并且因此对于漏洞和恶意软件而言有更多机会在联网设备处引起问题。因此,能够有效地标识恶意行为并正确地将行为标识为非恶意的重要性增加了。能够改进恶意和非恶意行为的检测,同时利用边缘计算网络的优势(例如,分散式和边缘计算网络对中央计算机的不依赖以及基于边缘的计算机的增加的速度),同时利用机群范围和跨机群的威胁检测,这是重要的。本文中公开的示例可以帮助解决这样的问题。
除了其中这样的特征中的一些是相互排斥的组合之外,本说明书(包括任何所附权利要求、摘要和附图)中公开的特征中的所有特征可以以任何组合来组合。除非另外明确说明,本说明书(包括任何所附权利要求、摘要和附图)中公开的每个特征可以由用于相同、等同或类似目的的替代特征来替换。因此,除非另外明确说明,否则所公开的每个特征都是通用系列的等同或相似特征的一个示例。
本教导不限于任何前述示例的细节。可以设想本说明书(包括任何所附权利要求、摘要和附图)中公开的特征的任何新颖组合。权利要求不应被解释为仅覆盖前述示例,而是还覆盖落入权利要求的范围内的任何变型。
Claims (15)
1.一种方法,包括:
在服务器处接收在第一计算机处对第一外部数据执行的分析过程的结果,所述结果指示在第一计算机处恶意计算机行为的级别的决策;
在服务器处处理接收到的结果以获得敏化数据;以及
从服务器向第二计算机提供敏化数据,以根据接收到的敏化数据对在第二计算机处接收到的第二外部数据执行敏化分析过程。
2.根据权利要求1所述的方法,其中,在第一计算机处对第一外部数据执行的分析过程的结果包括指示与决策相关的补充信息的元数据。
3.根据权利要求1所述的方法,其中,处理接收到的结果包括确定将接收到的结果作为敏化数据提供给第二计算机。
4.根据权利要求1所述的方法,其中,处理接收到的结果包括分析接收到的结果,以基于以下各项获得敏化数据:
外部丰富数据,以提供接收到的结果的上下文;
人类调查,以手动分析接收到的结果;或者
表示在与由第一计算机执行的分析过程相关的分析过程中由另外的计算机执行的分析的数据。
5.根据权利要求4所述的方法,其中,丰富数据包括:
指示已知的恶意活动的存在的威胁情报源;或者
与在第一计算机处处理的第一外部数据相关联的域的信任的级别的指示。
6.根据权利要求1所述的方法,其中,敏化数据指示在第二计算机处对分析过程的参数的调整,所述调整提供在第二计算机处对第二外部数据执行的分析过程的敏化。
7.根据权利要求6所述的方法,其中,敏化数据表示到特定域的多个信标信号,包括来自第一计算机的到特定域的信标信号;并且其中:
如果敏化数据表示高于阈值的到特定域的多个信标信号,则所述调整是如果在第二计算机处接收到特定域的信标信号,则减少在第二计算机处的敏化分析处理,以确定信标信号不指示恶意活动;以及
如果敏化数据表示低于阈值的到特定域的多个信标信号,则所述调整是如果在第二计算机处接收到特定域的信标信号,则减少在第二计算机处的敏化分析处理,以确定信标信号指示恶意活动;
与在没有提供的敏化数据的情况下将在第二计算机处执行的非敏化分析处理相比,敏化分析处理中的减少被减少了。
8.根据权利要求1所述的方法,其中,在第一计算机上执行的分析过程与在没有提供的敏化数据的情况下将在第二计算机处执行的非敏化分析处理相同。
9.根据权利要求1所述的方法,其中,服务器被包括在云中。
10.一种装置,包括:
处理器;
耦合到处理器的计算机可读存储装置;以及
指令集,用于与处理器和计算机可读存储装置协作,以:
从服务器接收敏化数据,所述敏化数据由在第一计算机处对第一外部数据执行的分析过程的服务器处理结果产生,敏化数据指示在第一计算机处的恶意计算机行为的级别;以及
根据接收到的敏化数据对接收到的第二外部数据执行敏化分析过程。
11.根据权利要求10所述的装置,其中,指令集用于与处理器和计算机可读存储装置协作,以通过以下方式执行敏化分析过程:
与在没有敏化的分析过程中使用的阈值相比,调整敏化分析过程中的阈值,其中,阈值与获得在第二计算机处处理的第二外部数据是否指示恶意计算机行为的决策相关联。
12.根据权利要求10所述的装置,其中,指令集用于与处理器和计算机可读存储装置协作,以通过以下方式调整阈值:
与用于没有敏化的分析过程以获得在第二计算机处的恶意行为的决策的分析时间或第二外部数据中潜在恶意行为的指示的数量相比,减少用于敏化分析过程以获得在第二计算机处的恶意行为的决策的分析时间或第二外部数据中潜在恶意行为的指示的数量。
13.根据权利要求10所述的装置,其中,指令集用于与处理器和计算机可读存储装置协作,以通过以下方式执行敏化分析过程:
与将标识处理的第二外部数据指示恶意行为的没有敏化的分析过程相比,标识处理的第二外部数据不指示恶意行为。
14.根据权利要求10所述的装置,其中,指令集用于与处理器和计算机可读存储装置协作,以:
根据接收到的敏化数据对接收到的第二外部数据执行敏化分析过程,其中敏化数据由服务器处理在第一计算机处对第一外部数据执行的分析过程的结果和在另外的计算机处对另外的外部数据执行的另外的分析过程的处理结果产生。
15.一种非暂时性计算机可读存储介质,其上存储有可执行指令,当由服务器执行时,所述可执行指令使得服务器:
处理在第一计算机处对第一外部数据执行的分析过程的接收结果,以获得敏化数据;以及
将敏化数据提供给第二计算机,以用于在对在第二计算机处接收的第二外部数据执行敏化分析过程时使用。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/US2018/066504 WO2020131049A1 (en) | 2018-12-19 | 2018-12-19 | Security detection analytics |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113196265A true CN113196265A (zh) | 2021-07-30 |
Family
ID=71101586
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201880100337.6A Pending CN113196265A (zh) | 2018-12-19 | 2018-12-19 | 安全检测分析 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20220035910A1 (zh) |
EP (1) | EP3899767A4 (zh) |
CN (1) | CN113196265A (zh) |
WO (1) | WO2020131049A1 (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11843624B1 (en) | 2022-07-12 | 2023-12-12 | Netskope, Inc. | Trained model to detect malicious command and control traffic |
US11616799B1 (en) * | 2022-07-12 | 2023-03-28 | Netskope, Inc. | Training a model to detect malicious command and control cloud |
US11736513B1 (en) | 2022-07-12 | 2023-08-22 | Netskope, Inc. | Detecting malicious command and control cloud traffic |
Family Cites Families (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4124348B2 (ja) * | 2003-06-27 | 2008-07-23 | 株式会社日立製作所 | 記憶システム |
US7555777B2 (en) * | 2004-01-13 | 2009-06-30 | International Business Machines Corporation | Preventing attacks in a data processing system |
US7540025B2 (en) * | 2004-11-18 | 2009-05-26 | Cisco Technology, Inc. | Mitigating network attacks using automatic signature generation |
US9839395B2 (en) * | 2007-12-17 | 2017-12-12 | Dexcom, Inc. | Systems and methods for processing sensor data |
US8621608B2 (en) * | 2008-04-29 | 2013-12-31 | Mcafee, Inc. | System, method, and computer program product for dynamically adjusting a level of security applied to a system |
US9747440B2 (en) * | 2012-08-15 | 2017-08-29 | Qualcomm Incorporated | On-line behavioral analysis engine in mobile device with multiple analyzer model providers |
US9430646B1 (en) * | 2013-03-14 | 2016-08-30 | Fireeye, Inc. | Distributed systems and methods for automatically detecting unknown bots and botnets |
US20180053114A1 (en) * | 2014-10-23 | 2018-02-22 | Brighterion, Inc. | Artificial intelligence for context classifier |
US10238323B2 (en) * | 2014-06-06 | 2019-03-26 | Dexcom, Inc. | Fault discrimination and responsive processing based on data and context |
JP6916112B2 (ja) * | 2014-11-21 | 2021-08-11 | ブルヴェクター, インコーポレーテッドBluvector, Inc. | ネットワークデータ特性評価のシステムと方法 |
US9330264B1 (en) * | 2014-11-26 | 2016-05-03 | Glasswall (Ip) Limited | Statistical analytic method for the determination of the risk posed by file based content |
US10681060B2 (en) * | 2015-05-05 | 2020-06-09 | Balabit S.A. | Computer-implemented method for determining computer system security threats, security operations center system and computer program product |
US10084645B2 (en) * | 2015-11-30 | 2018-09-25 | International Business Machines Corporation | Estimating server-change risk by corroborating historic failure rates, predictive analytics, and user projections |
US10432650B2 (en) * | 2016-03-31 | 2019-10-01 | Stuart Staniford | System and method to protect a webserver against application exploits and attacks |
US9928366B2 (en) * | 2016-04-15 | 2018-03-27 | Sophos Limited | Endpoint malware detection using an event graph |
US10650593B2 (en) * | 2016-07-12 | 2020-05-12 | Tyco Fire & Security Gmbh | Holographic technology implemented security solution |
US10984897B2 (en) * | 2016-10-27 | 2021-04-20 | Snaps Solutions, Llc | Systems and methods for surfacing contextually relevant content into the workflow of a third party system via a distributed architecture |
US10798112B2 (en) * | 2017-03-30 | 2020-10-06 | Fireeye, Inc. | Attribute-controlled malware detection |
US10999296B2 (en) * | 2017-05-15 | 2021-05-04 | Forcepoint, LLC | Generating adaptive trust profiles using information derived from similarly situated organizations |
US10706147B1 (en) * | 2017-05-19 | 2020-07-07 | Amazon Technologies, Inc. | Mitigating side-channel attacks via shared cache |
US10250623B1 (en) * | 2017-12-11 | 2019-04-02 | Malwarebytes, Inc. | Generating analytical data from detection events of malicious objects |
US11068991B2 (en) * | 2017-12-18 | 2021-07-20 | Hartford Fire Insurance Company | Closed-loop system incorporating risk analytic algorithm |
US10803181B2 (en) * | 2018-01-09 | 2020-10-13 | Accenture Global Solutions Limited | Data security and protection system using uniqueness factor classification and analysis |
-
2018
- 2018-12-19 US US17/299,656 patent/US20220035910A1/en not_active Abandoned
- 2018-12-19 EP EP18943839.3A patent/EP3899767A4/en active Pending
- 2018-12-19 WO PCT/US2018/066504 patent/WO2020131049A1/en unknown
- 2018-12-19 CN CN201880100337.6A patent/CN113196265A/zh active Pending
Also Published As
Publication number | Publication date |
---|---|
EP3899767A4 (en) | 2022-08-03 |
WO2020131049A1 (en) | 2020-06-25 |
EP3899767A1 (en) | 2021-10-27 |
US20220035910A1 (en) | 2022-02-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11855968B2 (en) | Methods and systems for deep learning based API traffic security | |
US11425148B2 (en) | Identifying malicious network devices | |
US10601848B1 (en) | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators | |
US10855700B1 (en) | Post-intrusion detection of cyber-attacks during lateral movement within networks | |
US10445502B1 (en) | Susceptible environment detection system | |
US20190207966A1 (en) | Platform and Method for Enhanced Cyber-Attack Detection and Response Employing a Global Data Store | |
US9912691B2 (en) | Fuzzy hash of behavioral results | |
US20190207967A1 (en) | Platform and method for retroactive reclassification employing a cybersecurity-based global data store | |
US11310201B2 (en) | Network security system with enhanced traffic analysis based on feedback loop | |
EP3776307B1 (en) | Distributed system for adaptive protection against web-service-targeted vulnerability scanners | |
US11522877B2 (en) | Systems and methods for identifying malicious actors or activities | |
US11240275B1 (en) | Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture | |
CN108023868B (zh) | 恶意资源地址检测方法和装置 | |
US10965553B2 (en) | Scalable unsupervised host clustering based on network metadata | |
US20230205891A1 (en) | Systems and methods for prioritizing security findings using machine learning models | |
CN113196265A (zh) | 安全检测分析 | |
CN113901441A (zh) | 一种用户异常请求检测方法、装置、设备及存储介质 | |
EP3361405B1 (en) | Enhancement of intrusion detection systems | |
JP2023023000A (ja) | シグネチャ管理装置、およびシグネチャ管理方法 | |
CN114900322A (zh) | 检测和防护网络攻击的方法、装置、服务器及配置终端 | |
Mohammed | Anomalous network packet detection | |
Spain et al. | Deliverable D2. 2: Threat Analysis Platform | |
Benferhat et al. | A preference logic-based approach for Alert correlation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |