CN113661693A - 经由日志检测敏感数据暴露 - Google Patents
经由日志检测敏感数据暴露 Download PDFInfo
- Publication number
- CN113661693A CN113661693A CN202080027748.4A CN202080027748A CN113661693A CN 113661693 A CN113661693 A CN 113661693A CN 202080027748 A CN202080027748 A CN 202080027748A CN 113661693 A CN113661693 A CN 113661693A
- Authority
- CN
- China
- Prior art keywords
- network
- attack
- rule
- chain
- rules
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000036961 partial effect Effects 0.000 claims abstract description 104
- 238000000034 method Methods 0.000 claims abstract description 84
- 230000014509 gene expression Effects 0.000 claims description 20
- 238000003860 storage Methods 0.000 claims description 20
- 238000005516 engineering process Methods 0.000 claims description 17
- 238000012512 characterization method Methods 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 10
- 230000008569 process Effects 0.000 claims description 10
- 230000009471 action Effects 0.000 claims description 6
- 230000003213 activating effect Effects 0.000 claims description 5
- 230000004044 response Effects 0.000 claims description 5
- 230000001960 triggered effect Effects 0.000 claims description 5
- 238000010586 diagram Methods 0.000 description 26
- 201000007023 Thrombotic Thrombocytopenic Purpura Diseases 0.000 description 19
- 230000000694 effects Effects 0.000 description 19
- 230000006870 function Effects 0.000 description 12
- 238000012544 monitoring process Methods 0.000 description 12
- 238000012545 processing Methods 0.000 description 12
- 238000001514 detection method Methods 0.000 description 9
- 230000003287 optical effect Effects 0.000 description 9
- 230000000875 corresponding effect Effects 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 4
- 239000003795 chemical substances by application Substances 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 230000006378 damage Effects 0.000 description 4
- 230000001902 propagating effect Effects 0.000 description 4
- 230000002829 reductive effect Effects 0.000 description 4
- 230000003044 adaptive effect Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 3
- 230000003542 behavioural effect Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 239000004065 semiconductor Substances 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 229910052802 copper Inorganic materials 0.000 description 1
- 239000010949 copper Substances 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000008595 infiltration Effects 0.000 description 1
- 238000001764 infiltration Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000000873 masking effect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
- G06F17/10—Complex mathematical operations
- G06F17/15—Correlation function computation including computation of convolution operations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Mathematical Optimization (AREA)
- Computational Mathematics (AREA)
- Mathematical Analysis (AREA)
- Pure & Applied Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Mathematical Physics (AREA)
- Algebra (AREA)
- Databases & Information Systems (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
提供了一种用于动态地识别安全威胁的计算机实现的方法,所述安全威胁包括由攻击模式表示的部分网络攻击序列组成的网络攻击链。该方法包括:接收安全事件序列;通过应用用来检测网络攻击链的第一部分网络攻击的危害指示符的预定规则集合确定第一网络攻击模式—从而识别特定的网络攻击链—以及确定所述第一部分网络攻击的模式中的类型和属性。该方法包括进一步基于第一部分网络攻击的攻击模式中的类型和属性为特定网络攻击链中的下游部分网络攻击配置至少一个规则,以及将所述至少一个配置的规则添加到要由所述关联引擎用于动态地识别安全威胁的所述预定规则集合。
Description
技术领域
本发明总体上涉及用于识别安全威胁的方法,并且更具体地涉及用于动态地识别安全威胁的计算机实现的方法,其包括由攻击模式表示的部分网络攻击序列组成的网络攻击链。本发明进一步涉及用于动态地识别包括网络攻击链的安全威胁的安全信息和事件监视系统,以及计算机程序产品。
背景技术
IT基础设施上的安全攻击是企业IT组织当前面临的最具挑战性的任务之一。对于企业组织,最高信息安全官(CISO)的角色变得越来越重要。市场上可用的大多数安全信息和事件监视(SIEM)解决方案需要由高度熟练的人员监视和调整的一组复杂相关规则,以便识别和检测可能导致组织的至少一部分中的安全事件的潜在安全威胁。根据一般和数据安全规章(GDPR),在欧盟运行的企业如果变得显而易见的是他们没有保护他们的客户的数据,则可能面临高额罚款。
SIEM相关规则引擎通常需要以CPU时间和存储器要求形式的相对高的系统资源消耗,因为相关词是基于正则表达式(正则表达式)、滤波器和阈值来设计的,以便匹配需要被检查、实时评估和评价的一组条件和交叉依赖性,同时接收大量摄取的安全事件并将其写入日志文件。
平均而言,在典型的IT(信息技术)环境中以及由安全解决方案终端设备产生的安全事件和日志可能在1k EPS(每秒事件)到100k EPS之间变化,并且可能必须跨大约平均150到400个不同规则的集合而相关。所以,SIEM系统的大部分技术对计算机系统资源有非常高的需求。
现代网络攻击不再由单独的事件组成,而是形成被设计为分析、破坏和开发现代IT基础架构的特定步骤的序列。这些网络攻击链在文献中还被称为“网络杀死链”或“网络攻击杀死链”。另外,跨相关网络攻击序列映射潜在安全威胁的安全事件之间的相关性需要额外的系统资源,并且还可能由于低性能以及未适当调整的相关性规则而导致系统性能降级。
这些复杂网络攻击的检测和重新调解通常需要特定事件步骤的完整网络攻击链的外来知识。未能充分了解网络攻击链可能会有丢失计算系统的损害部分的风险,从而允许黑客继续或重新启动该破坏。
在当前SIEM系统中,部署相关规则并使其能够将一组归一化的过去安全事件数据与潜在地沿着网络攻击链的每个阶段的多个值进行匹配。例如,如果相关规则的目的是支持邀请威胁情形和网络攻击的使用情况,其涉及所有网络攻击链阶段,需要配置规则以便针对预定义的“m”组值,检测每个摄取并归一化的事件/日志条目的一组“n”个经解析的属性,其中具有系统资源Dumont为x*n*m,其中,“x”是网络攻击链的阶段数。
在这种背景下,已经尝试了一些方法来解决这种困境。文件WO2015/127472A2披露了用于监测计算机网络环境中的恶意软件事件的系统和方法。所述方法包括根据关于被怀疑与安全风险相链接的网络交易或计算机操作的数据来识别多个可疑对象的步骤。使用分析服务将可疑对象传送到在一个或多个通用数字计算机上操作的期望服务。
此外,文件US 2018/0234445 A1披露了一种技术,该技术包括接收对与计算机系统相关联的条目所展现的行为异常进行识别的数据。该技术包括至少部分地基于威胁情报将行为异常与上下文相关联以提供经修改的异常。机器学习被用来对经修改的异常进行分类并识别行为异常。
然而,所有这些技术假定(或多或少)具有无限的计算能力。不进行有限资源的反映——特别是CPU时间和存储器。因此,仍然需要还考虑计算资源的有限可用性的进一步优化的安全信息和事件监测解决方案。
发明内容
根据本发明的一个方面,可以提供一种用于动态地识别安全威胁的计算机实现的方法,所述安全威胁包括由攻击模式表示的部分网络攻击序列组成的网络攻击链。该方法可以包括接收安全事件序列,在所接收的安全事件序列中,通过应用用于检测网络攻击链的第一部分网络攻击的危害指示符的预定规则集合,使用关联引擎确定第一网络攻击模式,从而识别特定的网络攻击链,并且还确定所述识别的特定网络攻击链的所述第一部分网络攻击的模式中的类型和属性。
此外,该方法还可以包括:基于所述第一部分网络攻击的攻击模式中的所述类型和所述属性,为所述特定网络攻击链中的下游部分网络攻击配置至少一个规则,以及将所述至少一个配置的规则添加到要由所述关联引擎用于动态地识别对信息技术系统的安全威胁的所述预定义规则集合。
根据本发明的另一方面,可以提供一种用于动态地识别安全威胁的安全信息和事件监控(SIEM)系统,所述安全威胁包括网络攻击链。该系统可以包括:接收单元,被适配成用于接收安全事件序列;以及确定单元,被适配成用于被适配成用于在所接收的安全事件序列中,通过应用用于检测网络攻击链的第一部分网络攻击的危害指示符的预定规则集合,使用关联引擎确定第一网络攻击模式,从而识别特定的网络攻击链。确定单元还被适配成用于确定所述识别的特定网络攻击链的所述第一部分网络攻击的模式中的类型和属性。
此外,SIEM系统可以包括配置单元,被适配成用于基于所述第一部分网络攻击的攻击模式中的所述类型和所述属性,为所述特定网络攻击链中的下游部分网络攻击配置至少一个规则,以及添加模块,被适配成用于将所述至少一个配置的规则添加到要由所述关联引擎用于动态地识别对信息技术系统的安全威胁的所述预定义规则集合。
所提出的用于动态地识别安全威胁的计算机实现的方法(安全威胁包括由攻击模式表示的部分网络攻击序列组成的网络攻击链)可以提供多个优点和技术效果:
用于检测和潜在地防止多级网络攻击链所需的计算机资源可以显著地减少。虽然可以使用用于识别所有种类的危害指示符的完整规则集合来执行网络攻击链的第一元件的检测,属于网络攻击链的较晚阶段的后续部分网络攻击可能仅需要精简的规则集合——或者,在一些情况下–用于识别和确定危害指示符的修改的规则集合。
因为已知如果已经接收到第一部分攻击,只有有限数量的选项可用于网络攻击链,所以不需要用原始的未修改的完整规则集合跟踪第二阶段或第三阶段(等等)部分攻击以识别危害指示符。所继承的网络攻击链的知识和部分攻击的序列可以用于修改和具体地减小该规则集合。
由此,可以消除将无意义的部分攻击确定为在第一部分攻击之后的第二或后续阶段。这可能对所需的计算资源具有显著影响,即,以相同的或甚至更好的精度识别网络攻击序列需要著较减少CPU在存储器上的时间。威胁事件的检测的准确性可能是可行的,因为只有有限量的计算资源可用。使用在此提出的构思可以使得能够显著减少计算资源以实现相同的目标:识别网络攻击链。因此,同样对于较小和较不强大的计算系统,如果与根据现有技术的用于使用未修改的规则集合检测网络攻击链,并对随后的部分攻击多次使用该规则的方法相比,可以实现相同的结果。
在下文中,将描述本发明构思的附加实施例。
根据一个优选实施例,该方法还可以包括通过应用所述配置的至少一个规则来检测所述网络攻击链的在先前的步骤中已经确定的所述第二网络攻击中的第二危害指示符,使用所述关联引擎在所述接收的安全事件序列中确定第二网络攻击模式。通过在网络线程的初始识别之后的这个第二步骤,可以用比总是使用完整的或扩展的规则集合更少的计算工作量来确认特定网络攻击链的检测。
根据该方法的一个有利实施例,该组规则可以使用关于恶意软件属性枚举和表征(被称为MEAC)和结构化威胁信息表达式(被称为STIX)的信息。因此,可以使用危害指示符和作为网络攻击链的一部分的攻击模式之间的关系参考。相关信息可以被设置到可由所提出的方法和/或相关系统访问的储存库。
根据一个许可的实施例,该方法还可以包括通过添加新的危害指示符连续地更新预定义的规则集合。在业界,在实践中有相当好的办法来定期相互通知和更新安全防护中心。一旦安全防护中心之一识别出新的攻击模式或活动,就可以在短时间内相应地通知其他中心。
根据该方法的一个另外优选实施例,将该至少一个所配置规则添加到该规则集中可以通过选择性地配置和/或激活相关规则来执行——尤其对于第一攻击不相关但对于第二进一步下游攻击相关的那些相关规则——对规则分组,和/或相对于通用规则对所述配置和添加的至少一个规则进行优先级排序。因此,可以定义防御网络安全威胁的未来行为,由此同时,可以显著减少识别相同网络攻击链的未来网络安全攻击(即,部分网络攻击的专用序列)所需的努力。
根据该方法的可选实施例,针对下游局部网络攻击配置至少一个规则还可以包括使用关于识别来自储存库的规则、恶意软件属性枚举和表征以及结构化威胁信息表达式(STIX)的策略技术过程(TTP)的数据。如果需要,可以定期更新这种储存库,或者按需更新这种储存库,以便保持相应的信息是最新的。
根据所述方法的一个许可实施例,配置用于下游部分网络攻击的所述至少一个规则还可以包括配置涉及网络攻击链的典型下游网络攻击的附加规则,所述网络攻击链的典型下游网络攻击涉及所识别的特定网络攻击链的第一部分网络攻击的模式中的所确定的类型和属性。此处再次—以修改的方式—可以预期所识别的特定网络攻击链的未来的部分网络攻击,以便减少努力—并且同时增加速度—用于未来的识别。所以,可以激活针对特定网络攻击链的所有阶段的完整的规则。
根据进一步有用的实施例,该方法还可以包括在确定了对应于一个网络攻击链的预定义数量的后续部分安全攻击之后,触发警报信号。预定义的数量可以是“1”,即,刚好在识别假设的网络攻击链的第一部分的网络攻击之后。通过这样的警报,网络安全官员可以被报警并且如果需要可以更接近地监督和控制SIEM系统。在其他实施例中,如果两个或三个部分网络攻击被识别为属于同一网络攻击链,则可以触发警报。这样,SIEM系统的一些活动可以自动地操作,直到已经达到属于一起的部分网络攻击的阈值,而在其他网络攻击链的情况下,可以在识别已知网络攻击链的第一个网络攻击之后立即触发警报。
根据一个附加的优选实施例,该方法还可以包括:如果确定所述特定网络攻击链的风险值降低到预定风险阈值以下,则移除用于所述规则集合中的所述特定网络攻击链中的下游部分网络攻击的所述至少一个配置的规则。在可替换的或增强的实施例中,该方法可以包括:如果使用所述至少一个配置的规则的关联引擎在预定义时间内没有确定下游网络攻击模式,则移除用于所述特定网络攻击链中的下游部分网络攻击的所述至少一个配置的规则,例如,在预定天数之后。以此方式,可以确保该规则集合不扩展太多,使得必须检查和评估太多的相关性,这可能是非常耗时和耗资源的。通过移除可能不再需要的那些规则,SIEM系统可保持清洁和有效。关于不存在对相应网络攻击模式的观察的信息被反馈到恶意软件枚举和表征和结构化威胁信息表达(MEAC)的储存库中。由此,可以建立到更高级别的威胁定义的反馈回路。此外,这种提供确保了精简且资源友好的SIEM系统。
根据一个进一步可选的实施例,该方法还可以包括:从所述恶意软件属性枚举和表征和结构威胁信息表达式的储存库中移除与用于所述规则集中的所述特定网络攻击链中的下游部分网络攻击的至少一个配置的规则相关的规则。同样,这种提供可以确保精简且资源友好的SIEM系统。
此外,实施例可以采取相关计算机程序产品的形式,该相关计算机程序产品可从计算机可用或计算机可读介质访问,该计算机可用或计算机可读介质提供用于由计算机或任何指令执行系统使用或与其结合使用的程序代码。出于本说明的目的,计算机可用或计算机可读介质可为可包含用于存储、传达、传播或传输供指令执行系统、设备或装置使用或结合指令执行系统、设备或装置使用的程序的装置的任何设备。
附图说明
应注意的是,参考不同的主题描述了本发明的实施例。特别地,一些实施例参考方法类型权利要求来描述,而其他实施例参考装置类型权利要求来描述。然而,本领域的技术人员将从以上和以下描述中得出,除非另有说明,除了属于一种类型的主题的特征的任何组合之外,还涉及不同主题的特征之间的任何组合,特别是方法类型权利要求的特征,以及装置类型权利要求的特征之间的任何组合被视为公开在本文件内。
以上限定的方面以及本发明的其他方面从下文中有待描述的实施例的实例中是清楚的并且参考实施例的实例进行解释,但是本发明并不限于这些实施例。
将仅以举例方式并且参考以下附图来描述本发明的优选实施例:
图1示出了用于动态地识别安全威胁的本发明的计算机实现的方法的实施例的框图,安全威胁包括由攻击模式表示的部分网络攻击序列组成的网络攻击链。
图2示出了典型的网络攻击链的阶段的图。
图3示出了传统事件检测和所提出的概念的基础的比较的框图。
图4示出了具有动态自适应和固定组件的规则集的结构的实施例的框图。
图5示出了所提出的使用主要构建块的概念的实施例的框图。
图6示出从更详细的视角指示本发明构思的步骤的流程图的框图。
图7示出了用于动态地识别安全威胁的安全信息和事件监视系统的框图,安全威胁包括由攻击模式表示的部分网络攻击序列组成的网络攻击链。
图8示出了适于执行与所提出的方法有关的程序代码并且包括根据图7的系统的计算系统的实施例的框图。
具体实施方式
在本说明书的上下文中,可以使用以下惯例、术语和/或表达式:
术语”安全威胁”可以表示可能利用漏洞来破坏信息技术系统的安全并且因此引起可能的伤害的可能危险。该术语涉及计算机安全的技术领域并且描述由入侵者或入侵者系统对计算机或存储系统中的数据的潜在攻击、不允许访问或潜在破坏或操纵,或者接管对计算机、存储或通信系统的控制。安全线程通常源自网络攻击。
术语”网络攻击链”可以表示对计算机或类似系统的子攻击的序列。序列的每个阶段建立在前一个阶段上。存在具有七个并且还具有18个级别的网络攻击序列或链的理论模型。在本文档的过程中,术语“部分网络攻击的序列”、“网络攻击链”可以同义地使用。
术语”安全事件序列”可以表示每个部分网络攻击序列可以建立安全措施的违反,这些安全措施大部分在简单网络攻击防御系统的雷达下运行。第一组经常未检测到的攻击是可操作的以调查潜在目标,以便仅在最后阶段接管对被攻击系统的控制。
术语”第一网络攻击模式”可以表示在部分网络攻击序列中的第一攻击动作。在网络攻击链的七层模型中,这可能涉及侦查阶段或时期。
术语”相关性引擎”可以表示能够将事件与预定义模式相关联的系统,即,其是用于感测大量事件并准确指出在该大量信息中真正重要的少数事件的技术。这通过寻找并分析事件与预定义模式之间的关系来实现。可能需要一系列动作来检测相关性,如过滤、聚合、分析、掩蔽等。关联引擎用于执行关联机制。
术语”组预定义规则”在本文档的上下文中可以表示一组规则,IT环境中的安全系统的日志事件利用该组规则尝试检测网络攻击。
术语”危害指示符”(IoC)可以在计算机取证和IT安全性中指示在网络上或在操作系统中观察到的具有高置信度的指示计算机入侵的伪像(artifact)。典型的IoC是病毒签名和IP地址、恶意软件文件的MD5散列或僵尸网络命令和控制服务器的URL或域名。在事件响应和计算机取证的过程中已经识别了IoC之后,它们可以用于使用入侵检测系统和防病毒软件的未来攻击尝试的早期检测。已知的指示器通常在行业内交换。
术语”下游”可以表示在当前的部分网络攻击之后的部分网络攻击。例如,如果当前的部分网络攻击是期望的行或序列中的第二个,则下游的部分网络攻击是在第二个之后的部分网络攻击,即,第三个、第四个、第五个等等。
术语”恶意软件属性枚举和表征”(MAEC)(被发音为“mike”)是一种社区开发的结构化语言,用于基于属性(如行为、伪像和恶意软件样本之间的关系)编码和共享关于恶意软件的高保真度信息。通过消除恶意软件描述中当前存在的模糊性和不准确性并且通过减少对签名的依赖,MAEC旨在:(i)实现相关、集成和自动化;(ii)改进关于恶意软件的人与人、人与工具、工具与工具和工具与人的通信;(iii)通过启用利用对先前观察到的恶意软件实例的响应的能力来允许对策的更快发展;以及,(iv)减少研究者对恶意软件分析工作的潜在重复。
术语”结构化威胁信息表达式”(STIX)可以表示网络安全相关表达式的收集的表达式的储存库。STIX是定义和开发结构化语言以表示网络威胁信息的协作、社区驱动的努力。STIX语言传达潜在网络威胁信息的全部范围,并且努力是完全表现性的、灵活的、可扩展的、可自动的以及尽可能人类可读的。所有感兴趣方都欢迎参与作为其开放、协作社区的一部分的演化STIX。STIX用例包括(i)分析网络威胁;(ii)指定网络威胁的指示符模式;(iii)管理网络威胁预防和响应活动;(iv)共享网络威胁信息。
在下文中,将给出附图的详细描述。附图中的所有说明都是示意性的。首先,给出了用于动态地识别安全威胁的本发明的计算机实现的方法的实施例的框图,该安全威胁包括由攻击模式表示的部分网络攻击序列组成的网络攻击链。之后,将描述另外的实施例,以及用于动态地识别包括网络攻击链的安全威胁的安全信息和事件监视系统的实施例。
图1示出了用于动态地识别安全威胁的计算机实现的方法100的实施例的框图,安全威胁包括由攻击模式表示的部分网络攻击序列组成的网络攻击链。方法100包括接收102安全事件序列。可以从来自网络安全监视系统或SIEM系统的日志源接收安全事件。
作为第一步骤,方法100包括在所接收的安全事件序列中使用相关引擎通过应用一组预定义规则(具体为TTP规则,战术技术过程识别规则)的第一网络攻击模式,确定(104)用于检测所述网络攻击链的第一部分网络攻击的危害的指示符。由此第一部分网络攻击识别特定的网络攻击链。
此外,方法100包括确定(106)所识别的特定网络攻击链的第一部分网络攻击的模式中的类型和属性(那些集合中的至少一个)。由此,可能已经接收到活动的签名。
此外,方法100包括基于第一部分网络攻击的攻击模式中的类型和属性,为特定网络攻击链中的下游部分网络攻击配置(108)至少一个规则。由此,该方法准备SIEM系统以预期未来的部分网络攻击,使得与传统SIEM系统相比,可以用更少的资源并且更快地识别这些攻击。
最后但并非最不重要,方法100包括将至少一个配置的规则添加(110)到预定义规则的集合中以由关联引擎用于动态地识别对信息技术系统的安全威胁。
图2示出了网络攻击链的典型阶段的图200。已经证明,典型的网络安全攻击(如勒索马(ransomware)或木马(trojans))遵循彼此建立并使用来自之前步骤的信息的某个动作序列。典型的七步方法包括:
1侦察–入侵者选择目标,对其进行研究,并且尝试识别目标网络中的弱点。
2恶意设计–入侵者创建针对一个或多个弱点定制的远程访问恶意软件代理,如病毒或蠕虫。
3传送–入侵者将代理传输至目标(例如,经由电子邮件附件、网站或USB驱动器)。
4利用–恶意软件代理的程序代码触发,其在目标网络上采取行动来利用弱点。
5安装–恶意软件代理安装可由入侵者使用的接入点(例如,“后门”)。
6命令和控制–恶意软件使入侵者能够具有对目标网络的“键盘上的手”持久访问。
7目标动作–入侵者采取行动来实现其目标,如数据渗滤、数据破坏、或加密讨要赎金。
这种知识可以用于减少对抗网络安全链的努力。在传统方法中,来自n个不同源的每个安全事件–具体地,IP地址、电子邮件ID、文件散列、URL等–必须针对来自m个恶意软件活动的危害指示符的完整已知列表进行解析–在此还具体地,IP地址、电子邮件ID、文件散列、URL等。这必须乘以典型活动中涉及的步数;因此,必须做出7*n*m的不同确定,以便保护IT环境并且要求高系统资源利用率。
通过此处提出的概念,可以显著地减少这种努力:代替来自n个不同源的安全事件,仅必须搜索从n’个不同源的子集解析的安全事件以寻找IP地址、电子邮件ID文件散列、URL等。这必须与基于TTP的m’个恶意软件活动的一个子集的危害指示符的一个已知列表相乘:因此,7*n’*m’的乘积远小于上述7*n*m个不同确定的情况。因此,所提出的概念允许显著地降低系统资源利用以防止网络安全威胁。
总之,应用基于洞察的主动协调处理,而不是强力处理事件。通过优化的方法,可以在预定义的SIEM资源约束内实时完成足迹保护和网络攻击链的关联。
图3示出了传统事件检测和所提出的概念的基础的比较的框图300。可以注意到,时间箭头在顶部开始并且向下到达图的底部。该图的上半部示出了监控传入安全事件302的传统SIEM系统304。这些以传统方式进行管理,通常无需采用基于先前部分网络攻击的任何规则集。
因此,如果在“现在”时间接收到新事件306,则传统SIEM系统304以先前安全事件已经被处理的方式(即,根据或多或少的静态规则)来处理此新事件306。
在图3的下半部分中,描绘了根据所提出的概念的SIEM系统320。因为网络安全链根据具有部分网络攻击的某些阶段到来,这些部分网络攻击中的每一个可能不代表其自身中的威胁,所以新事件306可以由SIEM系统320识别为可以在“现在”时间之后接收的部分网络攻击的序列中的第一网络攻击。因此,未来事件308、...、318可以是完整网络攻击链的进一步阶段。现在,基于新事件306,在此提出的方法以及提出的SIEM系统320,通过配置规则以更容易地识别(在图3的情况下)已知属于所识别的网络安全链的未来事件308、312和318来准备其自身。这样,与传统方法相比,基于部分网络安全攻击链的网络安全攻击的检测、识别和确认可以被优化并且可以用更少的资源来执行。
图4示出了具有动态自适应和固定组件的规则集的结构的实施例的框图400。TTP识别规则402的集合中的每一个允许将n个事件属性与mn个损害指示符进行比较。活动特定规则404将仅一个或非常少的事件属性与危害指示符的短列表进行比较。因此,与通用规则引起的负载相比,来自活动特定规则404的负载是微小的。最后,通用规则406中的每一个与n个事件属性与mn危害指示符的比较有关。
网络安全攻击可以在网络安全攻击的不同阶段(具体地,阶段1至阶段7)作为一系列部分网络安全攻击而出现。在阶段P1至P7的每一个中可能存在部分网络安全攻击;然而,可能不需要在每个阶段执行单独的部分网络安全攻击。由此,仅活动3示出针对七个阶段中的每一个阶段的规则。其他活动(例如,活动1、2或c)仅示出了针对这些阶段的子集的规则。因为通常已知对于哪个阶段可以预期新的部分网络安全攻击,所以在处理这些特定阶段时可能仅需要配置和激活相关引擎的规则。
作为示例,考虑TTP数据库包括以下信息的勒索软件活动:
阶段1–重构:来自恶意IP地址a.b.c.d的网络扫描
阶段2–恶意设计:从域@benefit-city.com发送具有主题“你的邮件”或“你的照片”的电子邮件
阶段4–递送:具有散列密钥的恶意软件(反病毒签名4CB5F)
还未知的阶段4至7的细节
活动规则“中间件”包含触发违规的三个单独规则:
1.如果对于IP a.b.c.d“拒绝”防火墙事件的数量>100(通常,防火墙拒绝事件阈值的预定义值),
2.如果电子邮件接收事件包括发件人=“@benefit-city.com”并且(主题=“mailfor you”或者主题=“photo for you”),或者
3.如果检测到具有散列密钥=4CB5F的防病毒事件“存储在磁盘上的文件”。
此示例活动规则非常具体地检查几个针对几个已知的、恶意的值的属性;因此,它们仅引起规则引擎上的微小负载。还可注意,在图2的右侧,指示规则执行的假定次序408。
图5示出了使用主要构建块的所提出的概念的实施例的框图500。示出了两个主要构建块:相关引擎518和TTP特定规则集合识别符520。从事件收集器502接收安全事件,例如作为对一个或多个安全事件日志(未示出)的访问权限。关联引擎518访问TTP识别规则506,该规则506对照已知的危害指示符来匹配传入事件。已知的危害指示符触发TTP/MEAC识别符512以查询和映射关系并且识别来自TTP/MEAC储存库516的附加攻击模式。在冲突的匹配指示符已经识别了威胁性TTP(攻击模式)的情况下,规则开发引擎514将附加TTP转换成活动特定规则的小集合508并在相关引擎518中激活它。
规则执行器504还访问被实现为监视非网络攻击模式的通用规则510,例如,内部威胁(比较图4,408)。已知TTP/MEAC识别符的块512和网络攻击链的规则开发引擎514是TTP特定规则集合识别符520的主要构建块。
最后,在框504中执行的规则识别安全威胁的情况下,可触发警报生成器522。
图6示出从更详细的视角指示本发明构思的步骤的流程图600的框图。
本发明构思的方法包括以下步骤:使自适应相关能够支持针对相关规则的动态存储器分配,从而针对潜在安全事件检测全网络攻击链。
首先,安全事件602在经由一个或多个事件收集器从日志源收集之后被发送到事件预处理器。其次,安全事件由相关引擎队列管理器加载604和处理606,所述相关引擎队列管理器基于系统资源可用性来处理经过相关引擎的事件的数量。
然后,通过相关队列被处理的事件606经过相关规则执行器(比较506),相关规则执行器将TTP识别规则集合加载到相关执行器。通过相关规则执行器中的规则检查来自队列的事件。一旦存在与事件和TTP识别相关规则匹配—情况“是”—规则引擎将分析(616)TTP以创建和/或修改用于完整链的规则。
另外,规则引擎将不断地检查TTP/MEAC储存库618以基于TTP/MAEC动态地开发适用于新的恶意软件活动的规则。使用关于TTP攻击模式和危害指示符的最新更新,周期性地更新激活的活动特定规则。
基于此,向规则执行器分别添加或加载(620)附加网络攻击序列规则,以便沿着整个网络攻击链监控附加的部分网络安全攻击。
如果在确定608期间(未发现匹配-情况“否”)。在610,通过活动特定规则(比较图4,404)和另外通用规则(比较图4,408)处理所接收的事件,并且在614,基于规则的肯定结果/确定(612),警报将与所确定的网络攻击链级别一起被激活。
还可以注意的是,在确定608的“是”的情况下,还遵循流程图的分支“是,未来相关”。即,额外的网络攻击链规则被加载622到规则执行器,以沿着整个网络攻击链监视额外的网络安全攻击。然后,规则将应用于关于特定网络攻击链的置信度水平的映射(比较624),并且基于规则的结果,警报将与所确定的网络攻击链水平一起被激活(614)。
出于完整性原因,图7示出了用于动态地识别安全威胁的安全信息和事件监视系统700的框图,安全威胁包括由攻击模式表示的部分网络攻击序列组成的网络攻击链。系统700包括适于接收安全事件序列的接收单元702和适于在所接收的安全事件序列中,通过应用一组预定义规则来检测所述网络攻击链的第一部分网络攻击的危害指示符,确定使用相关引擎的第一网络攻击模式,从而识别特定的网络攻击链的确定单元704。确定单元704还适于确定所识别的特定网络攻击链的第一部分网络攻击的模式中的类型和属性。
此外,系统700还包括配置单元706和添加模块708,配置单元706适于基于第一局部网络攻击的攻击模式中的类型和属性来配置用于特定网络攻击链中的下游部分网络攻击的至少一个规则,添加模块708适于将至少一个配置的规则添加到由相关性引擎用来动态地识别对信息技术系统的安全威胁的预定义规则集中。
本发明的实施例可以与几乎任何类型的计算机一起实现,而不管平台适于存储和/或执行程序代码。图8作为实例示出适于执行与所提出的方法相关的程序代码的计算系统800。
计算系统800仅是合适的计算机系统的一个实例,并且不旨在对在此描述的本发明的实施例的用途或功能的范围提出任何限制,而不管计算机系统800是否能够被实现和/或执行上文阐述的任何功能。在计算机系统800中,存在可与许多其他通用或专用计算系统环境或配置一起操作的组件。可以适合于与计算机系统/服务器800一起使用的众所周知的计算系统、环境和/或配置的示例包括,但不限于个人计算机系统、服务器计算机系统、瘦客户机、厚客户机,手持式或膝上型设备、多处理器系统、基于微处理器的系统、机顶盒、可编程消费电子产品,网络PC、小型计算机系统、大型计算机系统和包括任何上述系统或设备的分布式云计算环境,等等。计算机系统/服务器800可以在由计算机系统700执行的计算机系统可执行指令(诸如程序模块)的一般上下文中描述。一般而言,程序模块可包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、逻辑、数据结构等。计算机系统/服务器800可以在分布式云计算环境中实践,其中任务由通过通信网络链接的远程处理设备来执行。在分布式云计算环境中,程序模块可位于本地和远程计算机系统存储介质(包括存储器存储设备)两者中。
如图所示,计算机系统/服务器800以通用计算设备的形式示出。计算机系统/服务器800的组件可包含(但不限于)一或多个处理器或处理单元802、系统存储器804和将包含系统存储器804的不同系统组件耦合到处理器802的总线806。总线806表示若干类型的总线结构中的任一种总线结构中的一种或多种,包括存储器总线或存储器控制器、外围总线、加速图形端口、以及使用各种总线架构中的任一种的处理器或局部总线。作为示例而非限制,此类架构包括工业标准架构(ISA)总线、微通道架构(MCA)总线、增强型ISA(EISA)总线、视频电子标准协会(VESA)局部总线和外围组件互连(PCI)总线。计算机系统/服务器800通常包括各种计算机系统可读介质。这样的介质可以是可由计算机系统/服务器800访问的任何可用介质,并且它包括易失性和非易失性介质、可移动和不可移动介质两者。
系统存储器804可包含呈易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)808和/或高速缓冲存储器810。计算机系统/服务器800还可以包括其他可移动/不可移动、易失性/非易失性计算机系统存储介质。仅作为示例,存储系统812可被提供用于从不可移动、非易失性磁介质(未示出,并且通常被称为”硬盘驱动器”)读取和向其写入。虽然未示出,但是可以提供用于从可移除非易失性磁盘(例如,”软盘”)读取和向可移除非易失性磁盘写入的磁盘驱动器,以及用于从可移除非易失性光盘(诸如CD-ROM、DVD-ROM或其他光学介质)读取或向可移除非易失性光盘写入的光盘驱动器。在这样的实例中,每一个都可以通过一个或多个数据介质接口连接到总线806。如下面将进一步描绘和描述的,存储器804可以包括具有被配置为执行本发明的实施例的功能的一组(例如,至少一个)程序模块的至少一个程序产品。
具有一组(至少一个)程序模块816的程序/实用程序、以及操作系统、以及一个或多个应用程序、其他程序模块和程序数据可以存储在存储器804中,作为实例而非限制。操作系统、一个或多个应用程序、其他程序模块和程序数据中的每一者或其某一组合可包含联网环境的实施例。程序模块816通常执行本发明的实施例的功能和/或方法,如本文所述。
计算机系统/服务器800还可以与一个或多个外部设备818通信,诸如键盘、定点设备、显示器820等;使得用户能够与计算机系统/服务器800交互的一个或多个设备;和/或使计算机系统/服务器800能够与一个或多个其他计算设备通信的任何设备(例如,网卡、调制解调器等)。这样的通信可以经由输入/输出(I/O)接口814发生。再者,计算机系统/服务器800可以经由网络适配器822与诸如局域网(LAN)、通用广域网(WAN)和/或公共网络(例如,互联网)之类的一个或多个网络通信。如所描绘的,网络适配器822可以经由总线806与计算机系统/服务器800的其他部件通信。应当理解,尽管未示出,其他硬件和/或软件组件可以与计算机系统/服务器800结合使用。示例包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动器阵列、RAID系统、磁带驱动器和数据归档存储系统等。
此外,用于动态地识别包括网络攻击链的安全威胁的安全信息和事件监视系统700可以附接到总线系统806。
已经出于说明的目的呈现了本发明的不同实施例的描述,但不旨在是穷尽性的或局限于所披露的实施例。在不背离所描述的实施例的范围和精神的情况下,许多修改和变化对本领域的普通技术人员而言将是显而易见的。这里使用的术语被选择以最佳地解释实施例的原理、实际应用或对市场上存在的技术的技术改进,或者使得本领域普通技术人员能够理解这里公开的实施例。
本发明可以体现为系统、方法和/或计算机程序产品。所述计算机程序产品可包含上面具有计算机可读程序指令的计算机可读存储介质(或多个介质),所述计算机可读程序指令用于致使处理器执行本发明的各方面。
该介质可以是用于传播介质的电子、磁性、光学、电磁、红外或半导体系统。计算机可读介质的示例可包括半导体或固态存储器、磁带、可移动计算机磁盘、随机存取存储器(RAM)、只读存储器(ROM)、刚性磁盘和光盘。光盘的当前示例包括致密盘只读存储器(CD-ROM)、致密盘读/写(CD-R/W)、DVD和蓝光盘。
计算机可读存储介质可以是可以保留和存储指令以供指令执行设备使用的有形设备。计算机可读存储介质可以是例如但不限于电子存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或前述各项的任何合适的组合。计算机可读存储介质的更具体例子的非穷举列表包括以下:便携式计算机盘,硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪存),静态随机存取存储器(SRAM)、便携式致密盘只读存储器(CD-ROM),数字通用盘(DVD)、记忆棒、软盘、机械编码设备(诸如穿孔卡片或具有记录在其上的指令的凹槽中的凸起结构),以及上述的任意合适的组合。如本文中所使用的计算机可读存储介质不应被解释为瞬态信号本身,诸如无线电波或其他自由传播的电磁波、通过波导或其他传输介质传播的电磁波(例如,通过光纤电缆的光脉冲)、或通过导线传输的电信号。
本文描述的计算机可读程序指令可以从计算机可读存储介质下载到相应的计算/处理设备或经由网络(例如,互联网、局域网、广域网和/或无线网络)下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光传输光纤、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配器卡或网络接口从网络接收计算机可读程序指令,并转发计算机可读程序指令以存储在相应计算/处理设备内的计算机可读存储介质中。
用于执行本发明的操作的计算机可读程序指令可以是汇编程序指令,指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据,或者以一种或多种编程语言的任意组合编写的源代码或目标代码,包括面向对象的Smalltalk、C++等编程语言,以及常规的过程式编程语言,例如“C”编程语言或类似的编程语言。计算机可读程序指令可以完全地在用户的计算机上执行、部分地作为独立软件包在用户的计算机上执行、部分地在用户的计算机上部分在远程计算机上执行、或者完全地在远程计算机或服务器上执行。在后一种情形中,远程计算机可以通过任何类型的网络(包括局域网(LAN)或广域网(WAN))连接到用户的计算机,或者可以连接到外部计算机(例如,通过使用互联网服务提供商的互联网)。在一些实施例中,电子电路(包括例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA))可以通过利用计算机可读程序指令的状态信息来执行计算机可读程序指令以使电子电路个性化,以便执行本发明的各方面。
本文中参考根据本发明的实施例的方法、设备(系统)和计算机程序产品的流程图说明和/或框图描述本发明的方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机可读程序指令来实现。
这些计算机可读程序指令可以被提供给通用计算机的处理器,专用计算机或其他可编程数据处理装置,以产生机器,其通过计算机或其他可编程数据处理装置的处理器执行,创建用于实现在流程图和/或方框图的一个或多个方框中指定的功能/动作的装置。这些计算机可读程序指令还可存储在可指导计算机的计算机可读存储介质、可编程数据处理装置、和/或以特定方式起作用的其他设备中,使得具有存储在其中的指令的计算机可读存储介质包括制品,该制品包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各方面的指令。
计算机可读程序指令还可加载到计算机、其他可编程数据处理设备上,或者使得在计算机上执行一系列操作步骤的另一设备,其他可编程装置或其他设备,以产生计算机实现的过程,使得在计算机上执行的指令,其他可编程装置或另一设备实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
附图中的流程图和/或框图示出了根据本发明的不同实施例的系统、方法和计算机程序产品的可能实现方式的架构、功能和操作。对此,流程图或框图中的每个方框可以代表模块、段或指令的一部分,其包括用于实现规定的逻辑功能的一个或多个可执行指令。在一些替代实现方式中,框中所标注的功能可以不以图中所标注的顺序发生。例如,取决于所涉及的功能,连续示出的两个框实际上可以基本上同时执行,或者这些框有时可以以相反的顺序执行。还将注意的是,框图和/或流程图中的每个框、以及框图和/或流程图中的框的组合可以由基于专用硬件的系统来实现,所述基于专用硬件的系统执行指定的功能或动作或执行专用硬件与计算机指令的组合。
在此所使用的术语仅用于描述具体实施例的目的并且不旨在限制本发明。如在此使用的,单数形式“一个”、“一种”和“该”旨在也包括复数形式,除非上下文另外清楚地指示。将进一步理解的是,当在本说明书中使用术语“包括(comprises)”和/或“包括(comprising)”时,其指定所陈述的特征、整体、步骤、操作、元件和/或组件的存在,但是不排除一个或多个其他特征、整体、步骤、操作、元件、组件和/或其组的存在或添加。
以下权利要求书中的所有装置或步骤加上功能元件的对应结构、材料、动作和等效物旨在包括用于结合其他要求保护的元件(如具体要求保护的)来执行功能的任何结构、材料或动作。本发明的描述是出于说明和描述的目的而呈现的,但不旨在是穷尽性的或局限于所披露的形式的本发明。在不脱离本发明的范围和精神的情况下,许多修改和变化对本领域的普通技术人员将是显而易见的。选择和描述这些实施例是为了最好地解释本发明的原理和实际应用,并且使得本领域的普通技术人员能够针对适合于所考虑的具体用途的具有不同修改的不同实施例理解本发明。
总之,已经讨论了在以下编号的方案中指定的不同实施例:
1.一种用于动态地识别安全威胁的计算机实现的方法,所述安全威胁包括由由攻击模式表示的部分网络攻击序列组成的网络攻击链,所述方法包括:
-接收安全事件序列,
-在所接收的安全事件序列中,通过应用用于检测网络攻击链的第一部分网络攻击的危害指示符的预定规则集合,使用关联引擎确定第一网络攻击模式,从而识别特定的网络攻击链,
-确定所述识别的特定网络攻击链的所述第一部分网络攻击的模式中的类型和属性,
-基于所述第一部分网络攻击的攻击模式中的所述类型和所述属性,为所述特定网络攻击链中的下游部分网络攻击配置至少一个规则,
-将所述至少一个配置的规则添加到要由所述关联引擎用于动态地识别对信息技术系统的安全威胁的所述预定义规则集合。
2.如方案1所述的方法,进一步包括:
-通过应用所述配置的至少一个规则来检测所述网络攻击链的所述第二网络攻击中的第二危害指示符,使用所述关联引擎在所述接收的安全事件序列中确定第二网络攻击模式。
3.如方案1或2所述的方法,其中,所述规则集合使用关于恶意软件属性枚举和表征的信息以及结构化威胁信息表达式的信息。
4.如方案3所述的方法,进一步包括:
-通过添加新的危害指示符来连续地更新所述预定义规则集合。
5.如前述方案中任一项所述的方法,其中所述将所述至少一个配置的规则添加到所述规则集合是通过以下操作执行的:
-选择性地配置和/或激活相关规则,
-对所述规则分组,和/或
-相对于通用规则对所述配置和添加的至少一个规则进行优先级排序。
6.如前述方案中任一项所述的方法,其中,所述配置用于下游部分网络攻击的所述至少一个规则包括:
-使用关于识别来自储存库的规则、恶意软件属性枚举和表征以及结构化威胁信息表达式的策略技术过程的数据。
7.如前述方案中任一项所述的方法,所述配置用于下游部分网络攻击的所述至少一个规则进一步包括:
-在所述识别的特定网络攻击链的所述第一部分网络攻击的所述模式中配置涉及与所述确定的类型和属性有关的网络攻击链的典型下游部分网络攻击的附加规则。
8.如方案1所述的方法,进一步包括:
-在确定了对应于一个网络攻击链的预定义数量的后续部分安全攻击之后,触发警报信号。
9.如前述方案中任一项所述的方法,进一步包括:
-如果确定所述特定网络攻击链的风险值降低到预定风险阈值以下,则移除用于所述规则集合中的所述特定网络攻击链中的下游部分网络攻击的所述至少一个配置的规则。
10.如方案9所述的方法,进一步包括:
-如果使用所述至少一个配置的规则的关联引擎在预定义时间内没有确定下游网络攻击模式,则移除用于所述特定网络攻击链中的下游部分网络攻击的所述至少一个配置的规则。
11.如方案9所述的方法,其中,包括:
-从所述恶意软件属性枚举和表征和结构威胁信息表达式的储存库中移除与用于所述规则集中的所述特定网络攻击链中的下游部分网络攻击的至少一个配置的规则相关的规则。
12.一种用于动态识别安全威胁的安全信息和事件监测系统,所述安全威胁包括由由攻击模式表示的部分网络攻击序列组成的网络攻击链,所述系统包括:
-接收单元,被适配成用于接收安全事件序列,
-确定单元,被适配成用于在所接收的安全事件序列中,通过应用用于检测网络攻击链的第一部分网络攻击的危害指示符的预定规则集合,使用关联引擎确定第一网络攻击模式,从而识别特定的网络攻击链,
-其中,所述确定单元还被适配成用于确定所述识别的特定网络攻击链的所述第一部分网络攻击的模式中的类型和属性,
-配置单元,被适配成用于基于所述第一部分网络攻击的攻击模式中的所述类型和所述属性,为所述特定网络攻击链中的下游部分网络攻击配置至少一个规则,
-添加模块,被适配成用于将所述至少一个配置的规则添加到要由所述关联引擎用于动态地识别对信息技术系统的安全威胁的所述预定义规则集合。
13.如方案12所述的系统,其中所述确定单元还适于:
-通过应用所述配置的至少一个规则来检测所述网络攻击链的所述第二网络攻击中的第二危害指示符,使用所述关联引擎在所述接收的安全事件序列中确定第二网络攻击模式。
14.如方案12或13所述的系统,其中所述规则集合适于:
-使用关于恶意软件属性枚举和表征的信息以及结构化威胁信息表达式的信息。
15.如方案14所述的系统,其还包括:
-更新单元,该更新单元被适配成用于通过添加新的危害指示符来连续地更新所述预定义规则集合。
16.如方案13至15中任一项所述的系统,其中所述添加模块还适于:
-选择性地配置和/或激活相关规则,
-对所述规则分组,和/或
-相对于通用规则对所述配置和添加的至少一个规则进行优先级排序。
17.如前述方案13至17中任一项所述的系统,进一步包括:
-储存库,用于存储将由所述指令用于配置的关于识别规则、恶意软件属性枚举和表征和结构化威胁信息表达式的策略技术过程的数据。
18.如前述方案13至18中任一项所述的系统,其中,所述配置单元在配置用于下游部分网络攻击的所述至少一个规则时还适于:
-在所述识别的特定网络攻击链的所述第一部分网络攻击的所述模式中配置涉及与所述确定的类型和属性有关的网络攻击链的典型下游部分网络攻击的附加规则。
19.如以上方案13至18中任一项所述的系统,进一步包括:
-报警单元,该报警单元被适配成用于在确定了对应于一个网络攻击链的预定义数量的后续部分安全攻击之后,触发警报信号。
20.如前述方案13至19中任一项所述的系统,进一步包括:
-移除模块,适于如果确定所述特定网络攻击链的风险值降低到预定风险阈值以下,则移除用于所述规则集合中的所述特定网络攻击链中的下游部分网络攻击的所述至少一个配置的规则。
21.如方案20所述的系统,其中所述移除模块还适于:
-如果确定使用所述至少一个配置的规则的所述关联引擎在预定义时间内没有确定下游网络攻击模式,移除用于所述特定网络攻击链中的下游部分网络攻击的所述至少一个配置的规则。
22.如方案20所述的系统,其中所述移除模块还适于:
-将与至少一个配置的规则相关的规则从预定义规则集合中移除。
23.一种用于动态地识别安全威胁的计算机程序产品,所述安全威胁包括由由攻击模式表示的部分网络攻击序列组成的网络攻击链,所述计算机程序产品包括计算机可读存储介质,所述计算机可读存储介质具有随其体现的程序指令,所述程序指令可由一个或多个计算系统或控制器执行以使得所述一个或者多个计算系统:
-接收安全事件序列,
-在所接收的安全事件序列中,通过应用用于检测网络攻击链的第一部分网络攻击的危害指示符的预定规则集合,使用关联引擎确定第一网络攻击模式,从而识别特定的网络攻击链,
-确定所述识别的特定网络攻击链的所述第一部分网络攻击的模式中的类型和属性,
-基于所述第一部分网络攻击的攻击模式中的所述类型和所述属性,为所述特定网络攻击链中的下游部分网络攻击配置至少一个规则,
-将所述至少一个配置的规则添加到要由所述关联引擎用于动态地识别对信息技术系统的安全威胁的所述预定义规则集合。
Claims (23)
1.一种计算机实现的方法,包括:
接收安全事件序列;
在所接收的安全事件序列中,通过应用用于检测网络攻击链的第一部分网络攻击的危害指示符的预定规则集合,使用关联引擎确定第一网络攻击模式,从而识别特定的网络攻击链;
确定所述识别的特定网络攻击链的所述第一部分网络攻击的模式中的类型和属性;
基于所述第一部分网络攻击的攻击模式中的所述类型和所述属性,为所述特定网络攻击链中的下游部分网络攻击配置至少一个规则;以及
将所述至少一个配置的规则添加到要由所述关联引擎用于动态地识别对信息技术系统的安全威胁的所述预定义规则集合。
2.如权利要求1所述的方法,进一步包括:
通过应用所述配置的至少一个规则来检测所述网络攻击链的所述第二网络攻击中的第二危害指示符,使用所述关联引擎在所述接收的安全事件序列中确定第二网络攻击模式。
3.如权利要求1或2所述的方法,其中,所述规则集合使用关于恶意软件属性枚举和表征的信息以及结构化威胁信息表达式的信息。
4.如权利要求3所述的方法,进一步包括:
通过添加新的危害指示符来连续地更新所述预定义规则集合。
5.如前述权利要求中任一项所述的方法,其中,所述将所述至少一个配置的规则添加到所述规则集合是通过执行从由以下各项组成的组中选择的动作来执行:
选择性地配置和/或激活相关规则;
对所述规则分组;以及
相对于通用规则对所述配置和添加的至少一个规则进行优先级排序。
6.如前述权利要求中任一项所述的方法,其中,所述配置用于下游部分网络攻击的所述至少一个规则包括:
使用关于识别来自储存库的规则、恶意软件属性枚举和表征以及结构化威胁信息表达式的策略技术过程的数据。
7.如前述权利要求中任一项所述的方法,其中,所述配置用于下游部分网络攻击的所述至少一个规则进一步包括:
在所述识别的特定网络攻击链的所述第一部分网络攻击的所述模式中配置涉及与所述确定的类型和属性有关的网络攻击链的典型下游部分网络攻击的附加规则。
8.如权利要求1所述的方法,进一步包括:
在确定了对应于一个网络攻击链的预定义数量的后续部分安全攻击之后,触发警报信号。
9.如以上权利要求中任一项所述的方法,进一步包括:
如果确定所述特定网络攻击链的风险值降低到预定风险阈值以下,则移除用于所述规则集合中的所述特定网络攻击链中的下游部分网络攻击的所述至少一个配置的规则。
10.如权利要求9所述的方法,进一步包括:
如果使用所述至少一个配置的规则的关联引擎在预定义时间内没有确定下游网络攻击模式,则移除用于所述特定网络攻击链中的下游部分网络攻击的所述至少一个配置的规则。
11.如权利要求9所述的方法,进一步包括:
从所述恶意软件属性枚举和表征和结构威胁信息表达式的储存库中移除与用于所述规则集中的所述特定网络攻击链中的下游部分网络攻击的至少一个配置的规则相关的规则。
12.一种计算机系统,包括:
一个处理器;以及
存储由所述处理器执行的编程指令的计算机可读存储设备,所述程序指令包括用于以下操作的指令:
接收安全事件序列;
在所接收的安全事件序列中,通过应用用于检测网络攻击链的第一部分网络攻击的危害指示符的预定规则集合,使用关联引擎确定第一网络攻击模式,从而识别特定的网络攻击链;
确定所述识别的特定网络攻击链的所述第一部分网络攻击的模式中的类型和属性;
基于所述第一部分网络攻击的攻击模式中的所述类型和所述属性,为所述特定网络攻击链中的下游部分网络攻击配置至少一个规则;以及
将所述至少一个配置的规则添加到要由所述关联引擎用于动态地识别对信息技术系统的安全威胁的所述预定义规则集合。
13.如权利要求12所述的系统,其中,用于确定的指令包括用于以下操作的指令:
通过应用所述配置的至少一个规则来检测所述网络攻击的所述第二网络攻击中的第二危害指示符,使用所述关联引擎在所述接收的安全事件序列中确定第二网络攻击模式。
14.如权利要求12或13所述的系统,其中,所述规则集合包括:
使用关于恶意软件属性枚举和表征的信息以及结构化威胁信息表达式的信息。
15.如权利要求14所述的系统,进一步包括用于以下操作的指令:
通过添加新的危害指示符来连续地更新所述预定义规则集合。
16.如权利要求12至15中任一项所述的系统,其中,用于添加的指令进一步包括用于执行选自由以下各项组成的组中的操作的指令:
选择性地配置和/或激活相关规则;
对所述规则分组;以及
相对于通用规则对所述配置和添加的至少一个规则进行优先级排序。
17.如权利要求12至16中任一项所述的系统,进一步包括:
储存库,用于存储将由所述指令用于配置的关于识别规则、恶意软件属性枚举和表征和结构化威胁信息表达式的策略技术过程的数据。
18.如权利要求12至17中任一项所述的系统,其中,用于配置用于下游部分网络攻击的所述至少一个规则的指令包括用于以下操作的指令:
在所述识别的特定网络攻击链的所述第一部分网络攻击的所述模式中配置涉及与所述确定的类型和属性有关的网络攻击链的典型下游部分网络攻击的附加规则。
19.如权利要求12至18中任一项所述的系统,进一步包括用于以下操作的指令:
在确定了对应于一个网络攻击链的预定义数量的后续部分安全攻击之后,触发警报信号。
20.如权利要求12至19中任一项所述的系统,进一步包括用于以下各项的指令:
响应于确定所述特定网络攻击链的风险值降低到预定风险阈值以下,移除用于所述规则集合中的所述特定网络攻击链中的下游部分网络攻击的所述至少一个配置的规则。
21.如权利要求20所述的系统,其中,所述用于移除的指令包括:响应于确定使用所述至少一个配置的规则的所述关联引擎在预定义时间内没有确定下游网络攻击模式,移除用于所述特定网络攻击链中的下游部分网络攻击的所述至少一个配置的规则。
22.如权利要求20所述的系统,其中,所述用于移除的指令包括用于以下操作的指令:
将与至少一个配置的规则相关的规则从预定义规则集合中移除。
23.一种用于动态地识别安全威胁的计算机程序产品,所述安全威胁包括由由攻击模式表示的部分网络攻击序列组成的网络攻击链,所述计算机程序产品包括计算机可读存储介质,所述计算机可读存储介质具有随其体现的程序指令,所述程序指令可由一个或多个计算系统或控制器的一个或多个处理器执行以执行一种方法,所述程序指令包括用于以下操作的指令:
接收安全事件序列;
在所接收的安全事件序列中,通过应用用于检测网络攻击链的第一部分网络攻击的危害指示符的预定规则集合,使用关联引擎确定第一网络攻击模式,从而识别特定的网络攻击链;
确定所述识别的特定网络攻击链的所述第一部分网络攻击的模式中的类型和属性;
基于所述第一部分网络攻击的攻击模式中的所述类型和所述属性,为所述特定网络攻击链中的下游部分网络攻击配置至少一个规则;以及
将所述至少一个配置的规则添加到要由所述关联引擎用于动态地识别对信息技术系统的安全威胁的所述预定义规则集合。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/387,632 US11431734B2 (en) | 2019-04-18 | 2019-04-18 | Adaptive rule generation for security event correlation |
| US16/387,632 | 2019-04-18 | ||
| PCT/EP2020/058028 WO2020212093A1 (en) | 2019-04-18 | 2020-03-23 | Detecting sensitive data exposure via logging |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113661693A true CN113661693A (zh) | 2021-11-16 |
| CN113661693B CN113661693B (zh) | 2023-11-17 |
Family
ID=69960641
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080027748.4A Active CN113661693B (zh) | 2019-04-18 | 2020-03-23 | 经由日志检测敏感数据暴露 |
Country Status (12)
| Country | Link |
|---|---|
| US (1) | US11431734B2 (zh) |
| EP (1) | EP3957042A1 (zh) |
| JP (1) | JP7544738B2 (zh) |
| KR (1) | KR102612500B1 (zh) |
| CN (1) | CN113661693B (zh) |
| AU (1) | AU2020257925B2 (zh) |
| BR (1) | BR112021020850A2 (zh) |
| CA (1) | CA3137249A1 (zh) |
| IL (1) | IL286611A (zh) |
| MX (1) | MX2021012614A (zh) |
| SG (1) | SG11202109795WA (zh) |
| WO (1) | WO2020212093A1 (zh) |
Families Citing this family (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10841337B2 (en) | 2016-11-28 | 2020-11-17 | Secureworks Corp. | Computer implemented system and method, and computer program product for reversibly remediating a security risk |
| US10735470B2 (en) | 2017-11-06 | 2020-08-04 | Secureworks Corp. | Systems and methods for sharing, distributing, or accessing security data and/or security applications, models, or analytics |
| WO2020183615A1 (ja) * | 2019-03-12 | 2020-09-17 | 三菱電機株式会社 | 攻撃推定装置、攻撃制御方法、および攻撃推定プログラム |
| EP3712721A1 (de) * | 2019-03-19 | 2020-09-23 | Siemens Aktiengesellschaft | Sicherheitsrelevante diagnosemeldungen |
| US11431734B2 (en) | 2019-04-18 | 2022-08-30 | Kyndryl, Inc. | Adaptive rule generation for security event correlation |
| US11418524B2 (en) * | 2019-05-07 | 2022-08-16 | SecureworksCorp. | Systems and methods of hierarchical behavior activity modeling and detection for systems-level security |
| US11522877B2 (en) | 2019-12-16 | 2022-12-06 | Secureworks Corp. | Systems and methods for identifying malicious actors or activities |
| US11669615B2 (en) * | 2020-07-23 | 2023-06-06 | Mcafee, Llc | Skewness in indicators of compromise |
| US11588834B2 (en) * | 2020-09-03 | 2023-02-21 | Secureworks Corp. | Systems and methods for identifying attack patterns or suspicious activity in client networks |
| US11539737B2 (en) * | 2020-10-28 | 2022-12-27 | Kyndryl, Inc. | Adaptive security for resource constraint devices |
| CN112351017B (zh) * | 2020-10-28 | 2022-08-26 | 北京奇虎科技有限公司 | 横向渗透防护方法、装置、设备及存储介质 |
| AT523933B1 (de) * | 2020-11-18 | 2022-01-15 | Ait Austrian Inst Tech Gmbh | Verfahren zur Klassifizierung von anomalen Betriebszuständen eines Computernetzwerks |
| JP7427574B2 (ja) * | 2020-11-30 | 2024-02-05 | 株式会社日立製作所 | 状態診断装置、及び状態診断方法 |
| CN114650146A (zh) * | 2020-12-02 | 2022-06-21 | 中国电信股份有限公司 | 攻击溯源方法及装置、计算机可存储介质 |
| CN114697057B (zh) * | 2020-12-28 | 2023-02-10 | 华为技术有限公司 | 获取编排剧本信息的方法、装置及存储介质 |
| US11528294B2 (en) | 2021-02-18 | 2022-12-13 | SecureworksCorp. | Systems and methods for automated threat detection |
| CN113259371B (zh) * | 2021-06-03 | 2022-04-19 | 上海雾帜智能科技有限公司 | 基于soar系统的网络攻击事件阻止方法及系统 |
| CN115473658B (zh) * | 2021-06-10 | 2024-09-06 | 中国移动通信集团有限公司 | 网络攻击检测方法、装置、设备及存储介质 |
| CN113591092B (zh) * | 2021-06-22 | 2023-05-09 | 中国电子科技集团公司第三十研究所 | 一种基于漏洞组合的攻击链构建方法 |
| CN113452700B (zh) * | 2021-06-25 | 2022-12-27 | 阿波罗智联(北京)科技有限公司 | 处理安全信息的方法、装置、设备以及存储介质 |
| CN113765915B (zh) * | 2021-09-06 | 2023-04-21 | 杭州安恒信息技术股份有限公司 | 网络事件分析方法、系统、可读存储介质及计算机设备 |
| JP7230146B1 (ja) | 2021-09-24 | 2023-02-28 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 車両セキュリティ分析装置、方法およびそのプログラム |
| US12034751B2 (en) | 2021-10-01 | 2024-07-09 | Secureworks Corp. | Systems and methods for detecting malicious hands-on-keyboard activity via machine learning |
| CN114095274B (zh) * | 2021-12-10 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 一种攻击研判方法及装置 |
| CN114430335B (zh) * | 2021-12-16 | 2024-08-20 | 奇安信科技集团股份有限公司 | web指纹匹配方法及装置 |
| CN114301692B (zh) * | 2021-12-29 | 2023-12-12 | 中国电信股份有限公司 | 攻击预测方法、装置、介质及设备 |
| CN114124587B (zh) * | 2022-01-29 | 2022-06-28 | 北京安帝科技有限公司 | 一种攻击链的处理方法、系统及电子设备 |
| US12015623B2 (en) | 2022-06-24 | 2024-06-18 | Secureworks Corp. | Systems and methods for consensus driven threat intelligence |
| CN114866355B (zh) * | 2022-07-06 | 2023-04-28 | 浙江国利网安科技有限公司 | 一种报文流转发方法、装置、计算机设备 |
| CN115883218B (zh) * | 2022-12-02 | 2024-04-12 | 中国人民解放军国防科技大学 | 基于多模态数据模型的复合攻击链补全方法、系统及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160373476A1 (en) * | 2015-06-17 | 2016-12-22 | Accenture Global Services Limited | Data acceleration |
| US9882929B1 (en) * | 2014-09-30 | 2018-01-30 | Palo Alto Networks, Inc. | Dynamic selection and generation of a virtual clone for detonation of suspicious content within a honey network |
| CN107888607A (zh) * | 2017-11-28 | 2018-04-06 | 新华三技术有限公司 | 一种网络威胁检测方法、装置及网络管理设备 |
| CN108259449A (zh) * | 2017-03-27 | 2018-07-06 | 新华三技术有限公司 | 一种防御apt攻击的方法和系统 |
Family Cites Families (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7644365B2 (en) | 2003-09-12 | 2010-01-05 | Cisco Technology, Inc. | Method and system for displaying network security incidents |
| JP3999188B2 (ja) * | 2003-10-28 | 2007-10-31 | 富士通株式会社 | 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム |
| US9686293B2 (en) | 2011-11-03 | 2017-06-20 | Cyphort Inc. | Systems and methods for malware detection and mitigation |
| US10356109B2 (en) * | 2014-07-21 | 2019-07-16 | Entit Software Llc | Security indicator linkage determination |
| US9716721B2 (en) | 2014-08-29 | 2017-07-25 | Accenture Global Services Limited | Unstructured security threat information analysis |
| US20160219066A1 (en) | 2015-01-26 | 2016-07-28 | Cisco Technology, Inc. | Event correlation in a network merging local graph models from distributed nodes |
| US10298607B2 (en) | 2015-04-16 | 2019-05-21 | Nec Corporation | Constructing graph models of event correlation in enterprise security systems |
| US9516052B1 (en) | 2015-08-01 | 2016-12-06 | Splunk Inc. | Timeline displays of network security investigation events |
| US9699205B2 (en) | 2015-08-31 | 2017-07-04 | Splunk Inc. | Network security system |
| US10641585B2 (en) | 2016-03-08 | 2020-05-05 | Raytheon Company | System and method for integrated and synchronized planning and response to defeat disparate threats over the threat kill chain with combined cyber, electronic warfare and kinetic effects |
| US20170289191A1 (en) * | 2016-03-31 | 2017-10-05 | Acalvio Technologies, Inc. | Infiltration Detection and Network Rerouting |
| US20180004958A1 (en) * | 2016-07-01 | 2018-01-04 | Hewlett Packard Enterprise Development Lp | Computer attack model management |
| JP6786960B2 (ja) * | 2016-08-26 | 2020-11-18 | 富士通株式会社 | サイバー攻撃分析支援プログラム、サイバー攻撃分析支援方法およびサイバー攻撃分析支援装置 |
| WO2018071356A1 (en) | 2016-10-13 | 2018-04-19 | Nec Laboratories America, Inc. | Graph-based attack chain discovery in enterprise security systems |
| US20180115569A1 (en) | 2016-10-21 | 2018-04-26 | Emet Rodney Anders, JR. | Cyber security |
| US11146578B2 (en) * | 2016-12-16 | 2021-10-12 | Patternex, Inc. | Method and system for employing graph analysis for detecting malicious activity in time evolving networks |
| US10728264B2 (en) | 2017-02-15 | 2020-07-28 | Micro Focus Llc | Characterizing behavior anomaly analysis performance based on threat intelligence |
| US10404751B2 (en) | 2017-02-15 | 2019-09-03 | Intuit, Inc. | Method for automated SIEM custom correlation rule generation through interactive network visualization |
| US10474966B2 (en) * | 2017-02-27 | 2019-11-12 | Microsoft Technology Licensing, Llc | Detecting cyber attacks by correlating alerts sequences in a cluster environment |
| JP2018185712A (ja) * | 2017-04-27 | 2018-11-22 | 株式会社日立製作所 | セキュリティ監視システム及びセキュリティ監視方法 |
| US10855700B1 (en) * | 2017-06-29 | 2020-12-01 | Fireeye, Inc. | Post-intrusion detection of cyber-attacks during lateral movement within networks |
| US11258818B2 (en) * | 2018-01-31 | 2022-02-22 | Ironsdn Corp. | Method and system for generating stateful attacks |
| US11700269B2 (en) * | 2018-12-18 | 2023-07-11 | Fortinet, Inc. | Analyzing user behavior patterns to detect compromised nodes in an enterprise network |
| US11431734B2 (en) | 2019-04-18 | 2022-08-30 | Kyndryl, Inc. | Adaptive rule generation for security event correlation |
-
2019
- 2019-04-18 US US16/387,632 patent/US11431734B2/en active Active
-
2020
- 2020-03-23 JP JP2021558907A patent/JP7544738B2/ja active Active
- 2020-03-23 MX MX2021012614A patent/MX2021012614A/es unknown
- 2020-03-23 SG SG11202109795W patent/SG11202109795WA/en unknown
- 2020-03-23 AU AU2020257925A patent/AU2020257925B2/en active Active
- 2020-03-23 WO PCT/EP2020/058028 patent/WO2020212093A1/en active Application Filing
- 2020-03-23 CN CN202080027748.4A patent/CN113661693B/zh active Active
- 2020-03-23 CA CA3137249A patent/CA3137249A1/en active Pending
- 2020-03-23 EP EP20713877.7A patent/EP3957042A1/en active Pending
- 2020-03-23 BR BR112021020850A patent/BR112021020850A2/pt unknown
- 2020-03-23 KR KR1020217033288A patent/KR102612500B1/ko active IP Right Grant
-
2021
- 2021-09-22 IL IL286611A patent/IL286611A/en unknown
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9882929B1 (en) * | 2014-09-30 | 2018-01-30 | Palo Alto Networks, Inc. | Dynamic selection and generation of a virtual clone for detonation of suspicious content within a honey network |
| US20160373476A1 (en) * | 2015-06-17 | 2016-12-22 | Accenture Global Services Limited | Data acceleration |
| US20160371489A1 (en) * | 2015-06-17 | 2016-12-22 | Accenture Global Services Limited | Event anomaly analysis and prediction |
| US20180322283A1 (en) * | 2015-06-17 | 2018-11-08 | Accenture Global Services Limited | Event anomaly analysis and prediction |
| CN108259449A (zh) * | 2017-03-27 | 2018-07-06 | 新华三技术有限公司 | 一种防御apt攻击的方法和系统 |
| CN107888607A (zh) * | 2017-11-28 | 2018-04-06 | 新华三技术有限公司 | 一种网络威胁检测方法、装置及网络管理设备 |
Non-Patent Citations (1)
| Title |
|---|
| 陈剑锋;范航博;: "面向网络空间安全的威胁情报本体化共享研究", 通信技术, no. 01 * |
Also Published As
| Publication number | Publication date |
|---|---|
| AU2020257925B2 (en) | 2022-08-11 |
| IL286611A (en) | 2021-10-31 |
| US11431734B2 (en) | 2022-08-30 |
| SG11202109795WA (en) | 2021-10-28 |
| EP3957042A1 (en) | 2022-02-23 |
| KR20210141575A (ko) | 2021-11-23 |
| MX2021012614A (es) | 2021-11-12 |
| JP2022529220A (ja) | 2022-06-20 |
| BR112021020850A2 (pt) | 2021-12-14 |
| WO2020212093A1 (en) | 2020-10-22 |
| US20200336497A1 (en) | 2020-10-22 |
| AU2020257925A1 (en) | 2021-09-30 |
| CA3137249A1 (en) | 2020-10-22 |
| KR102612500B1 (ko) | 2023-12-08 |
| JP7544738B2 (ja) | 2024-09-03 |
| CN113661693B (zh) | 2023-11-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113661693B (zh) | 经由日志检测敏感数据暴露 | |
| US11936666B1 (en) | Risk analyzer for ascertaining a risk of harm to a network and generating alerts regarding the ascertained risk | |
| US11636206B2 (en) | Deferred malware scanning | |
| US10467411B1 (en) | System and method for generating a malware identifier | |
| US11562068B2 (en) | Performing threat detection by synergistically combining results of static file analysis and behavior analysis | |
| US9781144B1 (en) | Determining duplicate objects for malware analysis using environmental/context information | |
| US9344457B2 (en) | Automated feedback for proposed security rules | |
| US20170061126A1 (en) | Process Launch, Monitoring and Execution Control | |
| CN108369541B (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
| US11277438B2 (en) | Mitigating malware impact by utilizing sandbox insights | |
| US11750634B1 (en) | Threat detection model development for network-based systems | |
| US11588839B2 (en) | Leveraging user-behavior analytics for improved security event classification | |
| US20240259414A1 (en) | Comprehensible threat detection | |
| Perera et al. | The next gen security operation center | |
| US11599638B2 (en) | Game engine-based computer security | |
| CN109040136A (zh) | 一种网络攻击的检测方法及电子设备 | |
| WO2023042191A1 (en) | A top-down cyber security system and method | |
| US11770388B1 (en) | Network infrastructure detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20221207 Address after: New York, United States Applicant after: Qindarui Co. Address before: New York grams of Armand Applicant before: International Business Machines Corp. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |