CN114127720A - 用于多源漏洞管理的系统和方法 - Google Patents
用于多源漏洞管理的系统和方法 Download PDFInfo
- Publication number
- CN114127720A CN114127720A CN202080051631.XA CN202080051631A CN114127720A CN 114127720 A CN114127720 A CN 114127720A CN 202080051631 A CN202080051631 A CN 202080051631A CN 114127720 A CN114127720 A CN 114127720A
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- cloud
- information
- source
- management method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Debugging And Monitoring (AREA)
Abstract
一种用于多源云基础设施漏洞管理的方法包括接收与云环境中基于云的元素相关的云元素信息。所述方法还包括从第一漏洞源接收第一漏洞信息和从第二漏洞源接收第二漏洞信息。还从所述云环境接收关于所述基于云的元素的云元素上下文信息。然后,从所述第一漏洞信息和从所述第二漏洞信息两者生成多源漏洞数据库。然后,使用所述多源漏洞数据库评估所述云元素信息和所述云元素上下文信息以生成漏洞评价。
Description
本文使用的章节标题仅用于组织目的,并且不应被解释为以任何方式限制本申请中描述的主题。
引言
数据和软件应用程序向云的移动从根本上改变了计算机系统向用户提供软件应用程序和服务的方式。例如,传统企业网络的网络边缘已经被虚拟外围所取代,因此改变了计算机处理信息的方式和计算机访问数据的方式。因此,消除了传统上部署硬件安全装置和网络可见性装置的入口点和出口点。
不仅基础处理架构在云中不同,过程、应用和服务的规模和增长模型在云中也不同。例如,基于云的计算机系统资源可在非常快的时间尺度上增长和收缩。此外,基于云的计算机系统可以为高度分布式,因此跟踪和正确排序事件的挑战性要大得多。此外,与固定基础设施企业网络相比,基于云的计算机系统中的安全和漏洞威胁模型也必然不同。因此,监测和保护云上的网络信息和系统的传统方法和系统不再足以保护用户。
附图说明
结合附图,在下面的具体实施方式中更具体地描述了根据优选和示例性实施例的本教导及其其他优点。本领域技术人员将理解,下面描述的附图仅用于说明目的。附图不一定是按比例绘制的,相反,重点通常放在说明教导的原理上。附图无意以任何方式限制申请人的教导范围。
图1示出了根据本教导的多源云基础设施漏洞管理方法的实施例的步骤。
图2示出了根据本教导的多源云基础设施漏洞管理系统的实施例的框图。
图3示出了根据本教导的管理虚拟私有云的多源云基础设施漏洞管理系统的工作流的实施例。
图4示出了本教导的收集多源漏洞信息的方法和系统的实施例的框图。
图5示出了为本发明的服务器管理多源漏洞信息的方法和系统的工作流的实施例。
图6示出了本教导的漏洞管理方法的实施例中的详细步骤。
具体实施方式
现在将参考如附图中所示的示例性实施例更详细地描述本教导。尽管结合各种实施例和示例描述了本教导,但是本教导并不意图局限于这些实施例。相反,如本领域技术人员将理解的,本教导包括各种替代方案、修改和等效物。获得本文教导的本领域普通技术人员将认识到在本文所描述的本公开的范围内的另外的实现方式、修改和实施例以及其他使用领域。
说明书中对“一个实施例”或“实施例”的引用意味着结合所述实施例描述的特定特征、结构或特性被包括在所述教导的至少一个实施例中。短语“在一个实施例中”在说明书中不同地方的出现不一定都指同一实施例。
应理解,本教导的方法的各个步骤可以以任何顺序和/或同时执行,只要所述教导保持可操作即可。此外,应理解,本教导的设备和方法可以包括任何数量或所有所描述的实施例,只要所述教导保持可操作即可。
需要通过尽可能快速高效地识别和/或补救易受攻击的元素来管理基于云的软件和/或基础设施中的漏洞的系统和方法。漏洞管理是对计算机软件和/或固件中的漏洞进行识别、分类、归类和/或补救和缓解的过程。在云环境中,漏洞存在于云堆栈的多个层。云基础设施中元素的漏洞多种多样,数量众多,并且可能会迅速变化。例如,基于云基础设施中元素的不同特征,漏洞是不同的,诸如在元素上执行的软件版本、由元素使用的不同操作系统、在元素上执行的不同应用以及不同的基础设施提供商。因此,漏洞信息可以是嘈杂的和/或被稀释的。在云环境中,关于特定已知漏洞的信息如果是通常性的,就没那么有用了。此外,在云环境中,如果信息不是在帮助在云基础设施内定位漏洞的上下文中提供的,则信息就没有那么有用了。
本教导的方法和设备的一个特征是它产生比现有技术漏洞管理更少噪声和/或稀释的漏洞信息。例如,代替被告知bash版本对于所有操作系统通常是易受攻击的,本教导的系统或方法的用户代替被告知他们的bash的特定版本对于他们当前使用的软件版本(诸如Ubuntu版本)是易受攻击的。
本教导的方法和设备的另一个特征是,它产生用云特定的上下文丰富的漏洞信息。例如,不是通知用户“服务器”易受攻击,而是通知用户,例如,“您的Django应用服务器易受攻击,并且它负载平衡器上”。因此,本教导的方法和系统向用户提供与手头的基于云的系统特别相关的漏洞评价。例如,向用户提供安装在特定Linux版本上的进程的漏洞,而不是通常影响所有Unix系统的漏洞信息。后一种一般评价对于用户来说难以管理和/或补救,因为它缺乏特异性和上下文。
本文使用的术语“基于云的元素”可以指部署在云中的硬件、软件以及硬件和软件的组合。例如,基于云的元素可以指在基于云的硬件上运行的软件。基于云的元素也可以指位于云中的硬件装置。基于云的元素也可以指虚拟机或其他虚拟计算操作。基于云的元素还可以指软件和运行所述软件的基于硬件的计算装置。本文使用的软件是指提供过程、应用和/或服务的可执行代码的集合。另外,本文使用的基于云的元素可以是在云上运行的各种服务和/或平台。
本教导的一方面是云原生漏洞管理应用套件,所述云原生漏洞管理应用套件可在任何计算平台(包括例如虚拟机、服务器、台式机、笔记本电脑和手持装置)上运行。执行本教导的系统和方法的一些或全部的计算平台可以是专用的或共享的。
许多服务提供商提供基于云的元素,所述基于云的元素包括一系列计算、存储、数据库、网络和云迁移服务。另外,还可获得多种基于云的元素,诸如类似于搜索、负载平衡和软件开发工具的工具和应用。AmazonWebServices(AWS)提供多种服务,所述多种服务包括弹性计算云(EC2)、关系数据库服务(RDS)、简单存储服务(S3)。Amazon还提供身份和访问管理(IAM)等服务。同样,Google提供云服务,有时也被称为Google云。Microsoft提供Azure云服务。这些和其他服务提供商提供多种云存储服务,包括托管数据库、对象、块和文件存储。预计未来几年,商业云服务产品将快速增长。
本教导的多源云基础设施漏洞管理系统的一些实施例的一个特征是它们将漏洞信息的不同源统一到一个通用视图中,所述通用视图用于生成与对用户特别有用的适用漏洞相关的输出。这包括生成警报输出和提供补救途径。也就是说,本教导的多源云基础设施漏洞管理系统的各种实施例统一了从与不同云服务提供商和/或漏洞信息提供商相关联的不同源收集的基于云的漏洞信息,使得它们可以被处理以生成有效且可操作的漏洞评价。
一些现有技术系统仅依赖于国家漏洞数据库(NVD)作为漏洞数据的源。其他现有技术系统仅依赖于其他漏洞数据源。在这些现有技术系统中,漏洞数据的多源没有被一起处理。因此,这些现有技术系统没有建立特定漏洞的共同的、更丰富的视图。相比之下,本教导的方法和系统的实施例将NVD信息与其他源(包括诸如CentOSErrata和SecurityAdvisories(CESA)以及Amazon的LinuxAdvisories(ALAS)的特定于操作系统的漏洞数据)相结合。来自这些源的信息被收集并且摄取到形式中,所述形式支持对收集到的关于基于云的元素的数据进行一致的处理,以提供所述元素的统一漏洞图片。
本教导的另一个特征是,可以从用户的基于云的元素以及向用户提供基于云的元素的各种云提供商收集信息。来自云提供商的另外的信息提供上下文数据,所述上下文数据产生更有针对性和/或更精确的漏洞评价。通过了解关于例如特定基于云的元素的位置、类型、版本和其他上下文信息的细节,针对所述特定基于云的元素的漏洞和相关联的补救路径更具体、更准确,并且优先级更高。
因此,本教导的漏洞管理方法和系统的各种实施例向用户提供与手头系统相关的漏洞信息。例如,可以为安装在特定Linux版本上的进程提供漏洞,这与通常影响所有Unix系统的情况相反。本教导的方法和系统提供优于现有技术漏洞管理的优势,因为它减少了误报,并且还因为云提供商特定的上下文使得信息更加清楚哪些基于云的元素需要修补。
图1示出了根据本教导的多源云基础设施漏洞管理方法100的实施例的步骤。在第一步骤102中,收集信息。此收集步骤102可以涉及被动接收和接收和/或检索信息的各种其他方法。此收集步骤102可以涉及从例如网站、数据库或其他储存库检索信息。在所述方法的各种实施例的收集步骤102中可以收集各种各样的信息。例如,在一些实施例中,收集关于正在被管理的基于云的基础设施的信息。收集关于各种基于云的元素的信息,包括关于操作系统、工作负载、包、服务器、机器映像、主机、磁盘和其他类型的存储的基于云的元素细节。另外,可在收集步骤102中收集关于与漏洞评价相关的其他被监测的基于云的元素的信息。
在收集步骤102的一些实施例中,从漏洞数据的各种源收集信息。例如,可以收集公共漏洞数据的各种已知源。例如,从任何特定漏洞信息源收集漏洞信息可以采取从网页下载、利用API、读取一个或多个文件和/或监测RSS提要(RSSfeed)的形式。例如,漏洞信息可以采取CVE列表、漏洞分类跟踪和/或漏洞补救细节的形式。作为特定示例,可以从国家标准与技术研究院(NIST)运行的国家漏洞数据库(NVD)收集信息,所述数据库提供通用漏洞和暴露(CVE)的更新列表。在各种实施例中,还可以收集特定于操作系统的漏洞数据(诸如CentOS的CESA、Amazon的ALASLinux安全建议、Ubuntu的漏洞以及其他)中的一个或多个。漏洞信息的其他示例源可能包括RedHat、Microsoft、各种操作系统提供商,以及各种计算机和网络系统提供商、服务提供商以及开源和专有漏洞数据库和网站。
可在收集步骤102中以多种方式收集信息。例如,可以从文件读取信息。所述信息也可以从网络接收。此外,所述信息可以从网页下载。实现方法100的收集步骤102的处理器也可以从云提供商请求信息,和/或云提供商可以将信息发送到执行方法100的收集步骤102的处理器。可在特定时间提供或检索信息,和/或可在接近实时的基础上提供或检索信息。在一些实施例中,收集步骤102从软件代理接收信息。此外,在一些实施例中,收集步骤102从操作系统接收信息。此外,在一些实施例中,收集步骤102从数据库接收信息。
在第二步骤104中,所收集的信息被摄取以形成通用信息集,所述通用信息集基于来自收集信息的多源的信息。摄取的信息以统一的形式提供,可在后续步骤中进一步处理。此统一的形式可以采取具有特定属性集的一个或多个列表的形式。在摄取步骤104的一些实施例中,收集器在收集步骤102中接收文件,然后在摄取步骤104中,文件被读入处理器并且与其他收集的信息相结合以产生包括多源信息的文件。
在一些实施例中,摄取步骤生成两种类型的摄取信息。在这些实施例中,第一类型的摄取信息是云元素信息。云元素信息基于收集的关于正在管理的基于云的基础设施的信息。基于云的元素信息还可以包括从云提供商导出的上下文信息。第二种类型的摄取信息是多源漏洞信息。多源漏洞信息基于从各种漏洞信息源收集的信息。
在第三步骤106中,评估基于云的元素信息和多源漏洞信息。此评估包括,例如,将特定漏洞与基于云的托管基础设施中的适用云元素进行匹配、对漏洞进行优先级排序、确定漏洞严重性、确定适当的补救措施和/或确定相关漏洞。其他漏洞评价和/或云基础设施上下文也可以是评估步骤106的一部分。
在第四步骤108中,在执行多个任务的下游处理中处理评估的信息。例如,第四步骤108可以生成漏洞评价。第四步骤108可以确定如果例如用户已经选择抑制报告的特定漏洞,则特定漏洞是否应从特定漏洞评价中排除。因此,第四步骤108可以过滤评估的信息以排除特定的预定漏洞。第四步骤108还可以生成警报、识别策略违规、发布报告、补救威胁和/或将不合规的基础设施修改为合规的配置。在步骤四108中对评估信息的处理可以导致警报和/或补救步骤,所述警报和/或补救步骤使得用户能够做出决定或采取动作。评估信息的步骤四108中的处理可以用于对基于云的元素的过程和/或配置或重新配置执行自动改变,以补救与识别的漏洞相关联的各种问题。步骤四108中的处理可以向用户IO装置产生与生成的漏洞评价相关的输出,以供用户消费。第四步骤108可以基于用户供应的规则处理评估的信息,以产生本文所描述的各种结果和动作。在一些实施例中,第四步骤108的结果生成能够为最终用户进行警报、报告和分析的计算机过程。例如,结果可能会导致基础设施配置、合规性保证、漏洞和威胁的建立产生变化。
评估步骤三106或处理步骤四108中的任一者或两者可以包括一系列处理步骤,每个处理步骤产生特定的处理数据和从收集的信息导出的合成信息。步骤三106和/或步骤四108的一些实施例利用流水线处理器架构,其优点在于,处理可以以任何顺序应用,因为馈送到下一级的每个流水线级的输出是通用事件数据。例如,流水线处理器可以是在2017年12月17日提交的标题为“用于基于云的操作系统事件和数据访问监测的系统和方法(SystemandMethodForCloud-BasedOperatingSystemEventandDataAccessMonitoring)”的美国专利申请第15/846,780号中公开的流水线处理器,所述专利申请被转让给本受让人。美国专利申请第15/846,780号的全部内容通过引用并入本文。每个阶段还可以产生与评估步骤三106相关联的细化评估信息。处理步骤四108的不同阶段可以产生例如原始事件日志、基于满足可定制规则集的事件的警报和通知、漏洞和利用分析、安全威胁和漏洞的识别以及时序原始事件日志的档案。
图2示出了根据本教导的多源云基础设施漏洞管理系统200的实施例的框图。一个或多个云环境,云1202到云N204,连接到收集器206。本文使用的术语“云环境”是可以提供给用户的一组基于云的元素。在一些实施例中,云环境由诸如Amazon、Google、Microsoft和众多其他云服务提供商的服务提供商提供。在一些实施例中,云环境是预置或内部云环境,其例如托管在一个或多个组织的办公室、数据中心、网络和/或其他处理和/或输入/输出系统设施内。本文使用的术语“云系统”是驻留在一个或多个云环境中的一组云元素,所述一个或多个云环境云环境由大量用户(包括例如提供多种网络服务和软件即服务平台的公司)使用。收集系统208、210从云环境202、204接收云元素信息。多个漏洞信息源208、210连接到收集器212。收集器206、212使用各种方法从云环境202、204和漏洞信息源208、210搜集信息。多个收集器206、212不一定使用相同的方法。在各种实施例中,云环境的数量、漏洞信息源的数量和收集器的数量是不同的。
收集器206、212连接到处理器214。处理器可以采取多种处理器系统的形式。例如,处理器214可以是单个处理器或可以是多个处理器。处理器214可以是基于硬件的,或处理器214可以是虚拟机处理器。处理器214也可以是基于云的处理器。另外,处理器214可以是在云基础设施上执行的服务。处理器214连接到数据库216。数据库216可以是单个数据库,或数据库可以包括多个数据库。此外,数据库216可以是私有数据库或公共数据库。
处理器214连接到一个或多个用户输入/输出装置218。用户输入/输出装置218可以包括例如网站、计算机、应用、管理系统或用于管理、监测、修改和/或操作云基础设施的多种装置中的任一种。为简单起见,图2仅示出了本教导的监测系统的可能元件的子集。多源云基础设施漏洞管理系统200的一些实施例包括具有许多其他云环境、收集器、数据库、处理器和用户I/O的大规模系统。
参考图1和图2两者,处理器214执行方法100的一些或所有步骤。云环境202、204生成由收集器206在步骤一102中接收和/或检索的云元素信息。漏洞信息源208、210生成漏洞信息,所述漏洞信息由收集器212在步骤一102中接收和/或检索。处理器214执行摄取步骤二104和/或评估步骤三106的全部或部分。处理器214还可以向下游执行步骤四108,以生成警报和其他输出。处理器214还向数据库216提供信息。另外,处理器214可以使用从数据库216检索的信息和/或从摄取步骤二104、评估步骤三106和下游处理步骤108的任何结果中检索的信息。处理器214然后将通用事件数据的下游处理的结果发送到用户I/O 218。在一些实施例中,用户I/O执行处理步骤四108中的一些或全部。
在一些实施例中,收集器206、212中的一个或多个是作为处理器214的一部分的收集处理器。在一些实施例中,处理器214包括执行摄取步骤二104的摄取处理器、执行评估步骤三106的评估处理器以及执行步骤四108中的至少一些处理的下游处理器。这些不同的处理器可以是相同或不同的物理和/或虚拟处理器。
图3示出了根据本教导的管理虚拟私有云302的多源云基础设施漏洞管理系统300的工作流的实施例。虚拟私有云302包括一个或多个软件代理304、304'和304”。虚拟私有云是通常由云服务提供商提供的基于云的服务。虚拟私有云也是一套共享计算资源,其包括公共云环境内分配给用户的多种基于云的元素。虚拟私有云在云环境中共享计算资源的不同用户之间提供一定程度的隔离。
软件代理304、304'和304”中的一个或多个收集关于虚拟私有云302中的各种基于云的元素的信息。软件代理304、304'、304”可以从虚拟私有云302中的管理平台收集此信息。例如,软件代理304、304'和304”可以从包管理器收集信息。软件代理304、304'和304”还可以直接从基于云的元素或虚拟私有云302的相关基于云的元素收集信息。生成系统元素列表306。例如,在虚拟私有云302上运行的所有包的列表、它们的操作系统(OS)类型和它们的OS版本可以被生成作为系统元素列表306的一部分。
检查多个漏洞数据库308,以识别适用于系统元素列表中的元素的任何可能的漏洞。例如,可以识别特定包和OS类型以及OS版本的漏洞。
为所有适用的基于云的元素生成潜在漏洞列表310。潜在漏洞信息310可以包括例如特定漏洞的严重性、漏洞的入口向量以及其他细节。执行研究、分析和过滤潜在漏洞列表312的另外的处理312。在一些实施例中,此处理312仅产生特定于被管理的基于云的元素的漏洞。在一些实践例中,处理312应用计算机安全行业最佳实践和其他安全经验来建立漏洞的严重性。基于从处理312确定的严重性,处理决策步骤314以确定系统是否易受攻击。如果不是,则不采取动作316。如果是,则处理漏洞评价318。
漏洞评价318的结果提供关于虚拟私有云302中基于云的元素的漏洞的多种信息。例如,在一些实施例中,提供易受攻击的包和相关联的CVE的列表。在一些实施例中,提供受漏洞影响的服务器。在一些实施例中,提供聚集的漏洞关键性能指标(KPI)。作为漏洞评价的因此,虚拟私有云302的用户可以采取补救动作,例如修补软件、修改配置等。
在各种实施例中,当软件代理304、304'、304”在建立的时间周期上收集关于虚拟私有云302中的各种基于云的元素的信息时,多源云基础设施漏洞管理系统300的过程周期被重复。在一些实施例中,多源云基础设施漏洞管理系统300工作流由用户发起。在一些实施例中,在采取补救动作之后,重复所有或一些工作流,并且所得到的漏洞评价将被反映为不再是列表318上补救成功的那些项目的漏洞。
本教导的一些实施例在虚拟私有云302的主机级别安装软件代理304、304'和304”中的一个或多个,因此可在最深级别扫描服务器以寻找易受攻击的已安装的包。软件代理304、304'和304”检查关于工作负载的包信息。本教导的系统和方法使用处理312来通知用户在此检查的包信息中是否存在易受攻击的包。处理312可以基于通用的漏洞和暴露(CVE),围绕什么是重要的来组织工作流。这支持在用户控制面板(未示出)上直接显示优先检测到的漏洞。
图4示出了本教导的收集多源漏洞信息400的方法和系统的实施例。漏洞数据被输入到漏洞跟踪数据库402中。如本文所描述,漏洞信息的一个公共源是国家漏洞数据库(NVD)源404。NVD源404维护NVD网站406和NVD通用漏洞和暴露(CVE)文件408,所述两者都有助于已知漏洞的组合数据410。组合数据410用于产生NVD CVE列表412。在一些实施例中,来自NVD CVE列表412的信息被收集并且存储在漏洞跟踪数据库402中。
存储在漏洞跟踪数据库402中的数据可以包括例如以通用平台枚举(CPE)格式表示的漏洞包列表。也就是说,关于与基于云的系统、软件和/或包内的预定平台相关联的漏洞的信息。例如,漏洞包括与安全相关的软件缺陷和错误配置。例如,软件漏洞可能与代码、包设计和/或系统架构相关联。例如,收集的数据还可以包括,漏洞影响细节,诸如攻击向量和分数。例如,所述分数可以基于作为NIST NVD的一部分提供的通用漏洞评分系统(CVSS)。
第二漏洞信息源是RedHat 414。RedHat源414包括RedHat安全数据API(应用程序接口)416,所述RedHat安全数据API(应用程序接口)416提供RedHat漏洞分类跟踪420。源414还包括RedHat安全通知网页418,所述RedHat安全通知网页418提供RedHat包漏洞补救细节422。RedHat漏洞分类跟踪420信息被收集并且存储在漏洞跟踪数据库402中。RedHat包漏洞补救细节422信息被收集并且存储在漏洞跟踪数据库402中。
第三漏洞信息源是Ubuntu 424。Ubuntu源424包括Ubuntu安全跟踪器网页428,所述Ubuntu安全跟踪器网页428提供Ubuntu漏洞分类跟踪426。源424还包括Ubuntu安全通知网页436,所述Ubuntu安全通知网页436提供Ubuntu包漏洞补救细节432。Ubuntu漏洞分类跟踪426信息被收集并且存储在漏洞跟踪数据库402中。Ubuntu包漏洞补救细节432信息被收集并且存储在漏洞跟踪数据库402中。
第四漏洞信息源是Amazon 434。Amazon源434包括Amazon ALA SRSS提要436,所述Amazon ALA SRSS提要436提供Amazon Linux包漏洞补救细节438。ALAS是Linux安全咨询服务。RSS是众所周知的内容分发的真正简单的联合标准。Amazon Linux包漏洞补救细节438信息被收集并且存储在漏洞跟踪数据库402中。
第五漏洞信息源是CentOS 440。CentOS源440包括CentOS安全通知网页444,所述CentOS安全通知网页444提供CentOS包漏洞补救细节442。CentOS包漏洞补救细节442信息被收集并且存储在漏洞跟踪数据库402中。
在各种实施例中,收集和存储来自源404、414、424、434、440的信息如结合图1的多源云基础设施漏洞管理方法描述的收集102和摄取104步骤所描述的。例如,漏洞跟踪数据库402可以是结合图2描述的数据库216。
图5示出了用于本教导的服务器502的管理多源漏洞信息500的方法和系统的工作流的实施例。在工作流500开始时,服务器处于未知的易受攻击状态。系统在决策点504确定是否需要扫描。例如,在新注册的服务器上触发此确定(需要扫描=是)。在一些实施例中,在用户可配置的时间点触发确定。在一些实施例中,所述确定在由系统确定的自动触发点被触发,诸如当漏洞信息源发布新的漏洞或以其他方式由某个其他阈值确定时。如果在决策点504确定需要扫描,则收集器获取关于服务器502的包信息506。在一些实施例中,软件代理获取关于服务器502的包信息506。
在摄取步骤中处理508所获取的包信息。此处理步骤508将所获取的包信息上下文化,并且将数据放入可以与漏洞跟踪数据库510中的漏洞进行比较的格式。在各种实施例中,此漏洞跟踪数据库510是结合图4描述的漏洞跟踪数据库402。处理508允许从漏洞跟踪数据库510中提取特定信息。例如,服务器502上的bash的特定版本具有特定的Ubuntu漏洞。因此,特定于服务器类型、包类型、包版本和/或关于包的其他细节的漏洞从漏洞跟踪数据库510提取。
另外,从一个或多个云提供商514、514'和514”收集512关于服务器502的上下文数据。还从服务器502搜集信息,以确定关于服务器502的特定数据和数据上下文。作为示例,可以搜集通知用户已将特定服务器502识别为Azure云平台上的前线网络服务器的上下文数据。关于服务器502的此上下文数据被摄取,并且与从漏洞跟踪数据库510搜集的信息一起被处理516以生成服务器502的用户的漏洞数据。继续此示例,以漏洞数据516形式的处理输出可以是例如用户的字体线网络服务器具有bash漏洞。因此,在收集和摄取期间搜集的包和服务器信息的特异性的组合允许处理器产生漏洞数据516,所述漏洞数据516是现有技术漏洞评价所不能提供的非常具体和可操作的漏洞评价,所述包和服务器信息的特异性是可以与漏洞跟踪数据库510匹配的格式,并且可以包含来自多源的漏洞,并且由从云提供商514、514'和514”收集的上下文512提供。
图6示出了本教导的漏洞管理方法600的实施例中的详细步骤。在方法600的步骤一602中,从NVD收集漏洞信息。在方法600的步骤二604中,从其他源收集漏洞信息。例如,可在步骤二604中从特定操作系统及其提供的漏洞数据收集漏洞信息。例如,CentOS、Ubuntu、Linux。信息中的一些可以是经由网页存储的数据形式,并且可以经由自动识别这些网页上的漏洞数据来获得。一些信息也可以通过用特定于OS的数据源的API调用获得的数据形式提供。通过各种方式和从各种源收集信息是一个重要的区别,它为使用本发明的系统和方法进行漏洞管理提供显著的优势。一些实施例使用负责搜集必要的特定漏洞数据的收集器(例如,NVD数据收集器、CESA数据收集器、Ubuntu漏洞收集器等)。在各种实施例中,这些收集器实现特定的收集方法来收集特定漏洞信息。
方法600的步骤三606是收集关于管理下的用户的基于云的系统的信息。步骤三606涉及收集与云环境中基于云的元素相关的云元素信息。在一些实施例中,步骤三606通过由软件代理执行的包扫描来完成。在一些实施例中,步骤三606收集关于操作系统以及安装的包的信息。此信息可以包括例如类型和版本。
方法600的步骤四608处理从不同漏洞源收集的数据,以将其置于适当的形式以作为多源漏洞数据库的一部分进行存储和处理。步骤四608的一些实施例在没有来自其他数据源的任何上下文的情况下单独地存储来自每个数据源的数据。步骤四608的其他实施例组合了在步骤一602和步骤二604中收集的来自不同漏洞源的所有漏洞信息,并且仅存储适用于用户特定系统的特定漏洞信息。例如,步骤四608的实施例可以只产生关于特定类型的Unix操作系统而不是通常的Unix的漏洞信息。步骤四608的一些实施例处理来自多个漏洞源的漏洞,以生成并且在多源漏洞数据库中存储比在单独的单独源中报告的更少噪声和/或具有更好特异性的通用漏洞。例如,多用户漏洞数据库中的一个通用漏洞可能会替换来自与同一漏洞相关的两个不同源的两个单独报告的漏洞。
方法600的步骤五610处理如步骤三606中所确定的来自管理下的用户系统的漏洞数据库的特定漏洞信息。
方法600的步骤六612收集管理下的系统中基于云的元素的另外的上下文信息。此信息可以从提供用户系统中基于云的元素的云提供商那里收集。上下文信息对于确定特定漏洞的严重性可能是重要的。例如,仅开发团队才能访问的易受攻击的包比经由网页访问整个互联网的漏洞呈现更低的风险。
方法600的步骤七614为管理下的用户系统处理来自多源漏洞数据库的基于云的元素信息、上下文信息和漏洞信息,以生成漏洞评价。使用搜集的上下文(例如服务器标签)帮助确定漏洞补救的优先级,并且向用户提供漏洞评价中提供的系统漏洞的额外细节和上下文。基于上下文,漏洞的重要性更加相关。例如,上下文帮助用户了解哪些服务器必须首先打补丁,以显著降低基础设施的整体风险。上下文的示例包括以下属性,诸如:服务器是否服务于用户网络流量;云提供商防火墙规则中是否暴露了利用特定端口的漏洞;以及数据库包中是否存在漏洞。
方法600的步骤八616提供警报和/或补救细节,所述警报和/或补救细节使得用户能够做出决定或采取与步骤七614中识别的漏洞相关的动作。步骤八616可以基于步骤七614中识别的漏洞来提供基于云的元素的重新配置。例如,可以应用软件补丁、可以改变端口和/或可以修改数据库。此外,可以删除所有不必要的包,可以查看OS通知并且识别CVE,并且可以应用建议的最佳实践,并且可以确认包是最新版本。可以应用漏洞评分。漏洞评分可以基于NVD使用的通用漏洞评分系统v2(CVSS v2)。在这些情况下,由NVD确定,严重程度可以是高(H)、中(M)或低(L)。方法600的一些实施例允许用户抑制特定漏洞,并且这些漏洞不被系统处理和/或报告。步骤八616的一些实施例适应用户建立对特定漏洞的风险的接受的情况。例如,用户可以确定特定包漏洞的呈现风险是可接受的。这些风险接受标准可以是预先确定的和/或它们可由用户在方法600的步骤的执行的不同点处确定。在一些实施例中,在步骤八616中,抑制和/或过滤掉用户风险接受的漏洞。
本教导的一些实施例的一个特征是,它们针对所有安装的包比较大量已发布的CVE。可以针对这些包上的所有对应供应商建议进行交叉检查,并且可以确定漏洞,例如,针对受影响服务器上的特定映像ID。此方法大大降低了误报率。本教导的系统和方法的一些实施例支持自动检查关于工作负载的包信息并且对照NVD进行检查。本教导的一些实施例还可以向用户提供手动的、策划的更新、与操作系统供应商的交叉引用以及关于哪个AMI需要更新的主动指导。根据本教导的系统在所有环境、云安全提供商和容器中得到支持,从而降低了复杂性。
本教导的一些实施例的一个特征是它们可以支持工作负载层的漏洞管理,这是非常高效的。通常,漏洞管理涉及监测用户工作负载和基础设施上的配置,以检测攻击面的任何增加。然而,在实践中可能会在基础映像中安装未经授权的包,或在生产环境中手动安装包。这使得在云环境中跟踪补丁变得复杂而乏味。例如,新的基础映像(例如Amazon机器映像,或基于Amazon云的系统上的AMI)通常每隔几周制作一次,在漏洞出现和补丁添加到AMI之间的时间内,服务器易受攻击。当攻击面易受攻击的时间过长时,普遍存在的漏洞(诸如Heartbleed或Shellshock)会造成严重的问题。例如,基于云的基础设施可能包括不可变基础设施范例之外的服务器。这些服务器通常是环境中最重要的服务器(例如OpenVPN服务器、jumphosts等),因此需要持续监测存在漏洞的包。
此外,由于应用依赖性的原因,许多包被固定,并且不被基础结构代码更新。这使得这些包也易受攻击,除非定期监测和修补。自动漏洞扫描近乎实时地检查包信息,以确定是否存在易受攻击的包以及所述易受攻击的包的位置。当在主机级别实现时,自动扫描意味着可在应用生命周期的每一步识别和补救漏洞。
本教导的用于多源漏洞管理的系统和方法的另一个特征是,它提供一组云原生的(即,专门为云设计的)、独立于平台的、全面的漏洞管理应用。漏洞管理方法和系统的实施例的结果可以向用户提供与其基于云的基础设施中正在发生的漏洞相关的合成的和上下文化的数据。在一个示例中,系统和方法的结果和输出有助于补救广泛的漏洞类型中的漏洞,因为它可以应用一组全面的已知漏洞。
本教导的方法和系统的另一个特征是,它以成本有效的方式利用分布在基于云的计算架构中的处理资产。因此,随着被管理的信息系统的增长,根据本教导规模的系统以成本有效、模块化的方式内向发展。这至少部分是因为此系统依赖于基于云的处理资源,这些资源可以随着信息系统需求的扩大而扩大,并且当信息系统需求减弱时减少。根据本教导的系统还通过支持可配置的和基于软件应用程序的监测方法来容易地适应新的计算机基础设施管理、合规性、威胁、漏洞和新的监测应用的添加。这与已知系统形成对比,在已知系统中,用于漏洞管理的单点解决方案需要专门的、昂贵的硬件,并且提供较小的基于云的系统管理应用套件。
等效方案
尽管结合各种实施例描述了申请人的教导,但是这并不意味着申请人的教导限于此类实施例。相反,如本领域技术人员将理解的,申请人的教导包括各种替代、修改和等效,在不脱离教导的精神和范围的情况下,可在其中做出这些替代、修改和等效。
Claims (26)
1.一种用于多源云基础设施漏洞管理方法,所述方法包括:
a)接收与云环境中基于云的元素相关的云元素信息;
b)从第一漏洞源接收第一漏洞信息;
c)从第二漏洞源接收第二漏洞信息;
d)从所述云环境接收关于所述基于云的元素的云元素上下文信息;
e)从所述第一漏洞信息和从所述第二漏洞信息两者生成多源漏洞数据库;
f)使用所述多源漏洞数据库评估所述云元素信息和所述云元素上下文信息,以生成漏洞评价;以及
g)响应于所述漏洞评价生成补救步骤列表。
2.如权利要求1所述的多源云基础设施漏洞管理方法,其中所述漏洞评价包括优先漏洞列表。
3.如权利要求1所述的基于云的控制平面事件监测方法,其中所述漏洞评价包括具有相关联严重性的漏洞列表。
4.如权利要求1所述的基于云的控制平面事件监测方法,其中所述漏洞评价包括聚集的漏洞关键性能指标。
5.如权利要求1所述的多源云基础设施漏洞管理方法,其还包括对所述补救步骤列表进行优先级排序。
6.如权利要求5所述的多源云基础设施漏洞管理方法,其中所述优先补救步骤列表包括推荐的软件补丁。
7.如权利要求5所述的多源云基础设施漏洞管理方法,其中所述优先补救步骤列表包括软件移除包。
8.如权利要求1所述的多源云基础设施漏洞管理方法,其中所述从所述第一漏洞信息和从所述第二漏洞信息两者生成所述多源漏洞数据库包括处理所述第一漏洞信息和所述第二漏洞信息以生成通用漏洞。
9.如权利要求1所述的多源云基础设施漏洞管理方法,其中所述使用所述多源漏洞数据库评估所述云元素信息和所述云元素上下文信息以生成所述漏洞评价包括列出特定于所述基于云的元素的漏洞。
10.如权利要求1所述的多源云基础设施漏洞管理方法,其中所述基于云的元素中的至少一个包括基于云的计算机。
11.如权利要求1所述的多源云基础设施漏洞管理方法,其中所述基于云的元素中的至少一个包括基于云的虚拟机。
12.如权利要求1所述的多源云基础设施漏洞管理方法,其中所述从所述第一漏洞源和所述第二漏洞源中的至少一者接收所述第一漏洞信息和/或所述第二漏洞信息包括从公共漏洞数据库接收漏洞信息。
13.如权利要求1所述的多源云基础设施漏洞管理方法,其中所述从所述第一漏洞源和所述第二漏洞源中的至少一者接收所述第一漏洞信息和/或所述第二漏洞信息包括从网页接收漏洞信息。
14.如权利要求1所述的多源云基础设施漏洞管理方法,其中所述从所述第一漏洞源和所述第二漏洞源中的至少一者接收所述第一漏洞信息和/或所述第二漏洞信息包括从文件接收漏洞信息。
15.如权利要求1所述的多源云基础设施漏洞管理方法,其中所述从所述第一漏洞源和所述第二漏洞源中的至少一者接收所述第一漏洞信息和/或所述第二漏洞信息包括从OS特定数据源接收漏洞信息。
16.如权利要求1所述的多源云基础设施漏洞管理方法,其中所述云元素信息包括包信息。
17.如权利要求16所述的多源云基础设施漏洞管理方法,其中所述包信息包括包类型。
18.如权利要求16所述的多源云基础设施漏洞管理方法,其中所述包信息包括包版本。
19.如权利要求1所述的多源云基础设施漏洞管理方法,其中所述云元素信息包括服务器信息。
20.如权利要求19所述的多源云基础设施漏洞管理方法,其中所述服务器信息包括服务器类型。
21.如权利要求19所述的多源云基础设施漏洞管理方法,其中所述服务器信息包括关于服务器网络流量的信息。
22.如权利要求1所述的多源云基础设施漏洞管理方法,其还包括向用户提供所述漏洞评价。
23.一种多源云基础设施漏洞管理系统,其包括:
a)包括多个基于云的元素的云环境;
b)处理器,其具有输入端,所述输入端接收与所述云环境中的所述多个基于云的元素中的至少一些相关的基于云的元素信息;
c)处理器,其具有输入端,所述输入端从第一漏洞源接收第一漏洞信息并且从第二漏洞源接收第二漏洞信息,所述处理器从所述第一漏洞信息和从所述第二漏洞信息两者在存储器中生成多源漏洞数据库;
d)处理器,其具有输入端,所述输入端从所述云环境接收关于所述基于云的元素的云元素上下文信息;以及
e)处理器,其使用所述存储器中的所述多源漏洞数据库评估所述基于云的元素信息和所述云元素上下文信息,以生成漏洞评价,并且响应于所述漏洞评价生成补救步骤列表。
24.如权利要求23所述的多源云基础设施漏洞管理系统,其中具有接收与所述云环境中的所述多个基于云的元素中的至少一些相关的基于云的元素信息的所述输入端的所述处理器以及具有从所述第一漏洞源接收第一漏洞信息并且从所述第二漏洞源接收第二漏洞信息的所述输入端的所述处理器由同一处理器组成。
25.如权利要求23所述的多源云基础设施漏洞管理系统,其中具有从所述云环境接收关于所述基于云的元素的云元素上下文信息的输入端的所述处理器以及评估所述云元素信息和所述云元素上下文信息的所述处理器由同一处理器组成。
26.如权利要求23所述的多源云基础设施漏洞管理系统,其还包括所述第一漏洞源和第二漏洞源。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US16/516,450 US11308219B2 (en) | 2019-07-19 | 2019-07-19 | System and method for multi-source vulnerability management |
US16/516,450 | 2019-07-19 | ||
PCT/US2020/041213 WO2021015951A1 (en) | 2019-07-19 | 2020-07-08 | System and method for multi-source vulnerability management |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114127720A true CN114127720A (zh) | 2022-03-01 |
Family
ID=74193729
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202080051631.XA Pending CN114127720A (zh) | 2019-07-19 | 2020-07-08 | 用于多源漏洞管理的系统和方法 |
Country Status (4)
Country | Link |
---|---|
US (2) | US11308219B2 (zh) |
EP (1) | EP3999956A4 (zh) |
CN (1) | CN114127720A (zh) |
WO (1) | WO2021015951A1 (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11704414B2 (en) * | 2020-04-29 | 2023-07-18 | Jpmorgan Chase Bank, N.A. | Systems and methods for managing vulnerability data |
US11706239B2 (en) * | 2020-08-26 | 2023-07-18 | Cisco Technology, Inc. | Systems and methods for detecting vulnerabilities in network processes during runtime |
US11314585B1 (en) * | 2021-03-31 | 2022-04-26 | Dell Products L.P. | System for generating enterprise remediation documentation |
US11431557B1 (en) | 2021-04-13 | 2022-08-30 | Dell Products L.P. | System for enterprise event analysis |
US11996996B2 (en) | 2021-04-16 | 2024-05-28 | Dell Products L.P. | System for view-only command center mode |
US11606246B2 (en) | 2021-04-28 | 2023-03-14 | Dell Products L.P. | System for enterprise alert timeline of a system and service |
CN113240509B (zh) * | 2021-05-18 | 2022-04-22 | 重庆邮电大学 | 一种基于多源数据联邦学习的贷款风险评估方法 |
CN116016509B (zh) * | 2022-12-19 | 2024-05-14 | 中国联合网络通信集团有限公司 | 私有云数据处理方法、装置、设备及存储介质 |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7278163B2 (en) | 2005-02-22 | 2007-10-02 | Mcafee, Inc. | Security risk analysis system and method |
US8527811B2 (en) | 2010-09-13 | 2013-09-03 | International Business Machines Corporation | Problem record signature generation, classification and search in problem determination |
US8756698B2 (en) | 2012-08-10 | 2014-06-17 | Nopsec Inc. | Method and system for managing computer system vulnerabilities |
US10445505B2 (en) | 2014-09-22 | 2019-10-15 | Mcafee, Llc | Process vulnerability assessment |
US10142204B2 (en) * | 2015-07-27 | 2018-11-27 | Datagrid Systems, Inc. | Techniques for evaluating server system reliability, vulnerability and component compatibility using crowdsourced server and vulnerability data |
US20180205755A1 (en) * | 2017-01-19 | 2018-07-19 | University Of North Texas | Systems and methods for adaptive vulnerability detection and management |
KR101881271B1 (ko) * | 2017-11-15 | 2018-07-25 | 한국인터넷진흥원 | 취약점 정보를 수집하는 장치 및 그 방법 |
US10708292B2 (en) * | 2017-11-28 | 2020-07-07 | Aetna Inc. | Vulnerability contextualization |
US10971134B2 (en) | 2018-10-31 | 2021-04-06 | International Business Machines Corporation | Cognitive modification of speech for text-to-speech |
US10951496B2 (en) | 2018-12-24 | 2021-03-16 | Threat Stack, Inc. | System and method for cloud-based control-plane event monitor |
-
2019
- 2019-07-19 US US16/516,450 patent/US11308219B2/en active Active
-
2020
- 2020-07-08 CN CN202080051631.XA patent/CN114127720A/zh active Pending
- 2020-07-08 WO PCT/US2020/041213 patent/WO2021015951A1/en unknown
- 2020-07-08 EP EP20844012.3A patent/EP3999956A4/en active Pending
-
2022
- 2022-03-16 US US17/696,388 patent/US11809574B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
WO2021015951A1 (en) | 2021-01-28 |
US11308219B2 (en) | 2022-04-19 |
EP3999956A1 (en) | 2022-05-25 |
US20210019423A1 (en) | 2021-01-21 |
EP3999956A4 (en) | 2023-08-02 |
US11809574B2 (en) | 2023-11-07 |
US20220207153A1 (en) | 2022-06-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11809574B2 (en) | System and method for multi-source vulnerability management | |
US10972493B2 (en) | Automatically grouping malware based on artifacts | |
US10762206B2 (en) | Automated behavioral and static analysis using an instrumented sandbox and machine learning classification for mobile security | |
US10375101B2 (en) | Computer implemented techniques for detecting, investigating and remediating security violations to IT infrastructure | |
US10200390B2 (en) | Automatically determining whether malware samples are similar | |
US9998484B1 (en) | Classifying potentially malicious and benign software modules through similarity analysis | |
US11516237B2 (en) | Visualization and control of remotely monitored hosts | |
US9401922B1 (en) | Systems and methods for analysis of abnormal conditions in computing machines | |
US10122742B1 (en) | Classifying software modules based on comparisons using a neighborhood distance metric | |
US10437996B1 (en) | Classifying software modules utilizing similarity-based queries | |
CN109074454B (zh) | 基于赝象对恶意软件自动分组 | |
EP3567504A1 (en) | A framework for coordination between endpoint security and network security services | |
US8914889B2 (en) | False alarm detection for malware scanning | |
CN112602081A (zh) | 利用警报置信度分配来增强网络安全和操作监控 | |
US20230129144A1 (en) | Malicious enterprise behavior detection tool | |
US20200125728A1 (en) | Data-driven identification of malicious files using machine learning and an ensemble of malware detection procedures | |
Walker et al. | Cuckoo’s malware threat scoring and classification: Friend or foe? | |
US11042637B1 (en) | Measuring code sharing of software modules based on fingerprinting of assembly code | |
US20230421588A1 (en) | Data inspection system and method | |
US20230259657A1 (en) | Data inspection system and method | |
CN113010268B (zh) | 恶意程序识别方法及装置、存储介质、电子设备 | |
US20240154992A1 (en) | Event-driven collection and monitoring of resources in a cloud computing environment | |
Preetam | Behavioural analytics for threat detection | |
WO2023042191A1 (en) | A top-down cyber security system and method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40068599 Country of ref document: HK |
|
TA01 | Transfer of patent application right | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20230310 Address after: 5th Avenue, Seattle, Washington, USA Applicant after: F5 Co. Address before: Boston, Massachusetts, USA Applicant before: THREAT STACK, Inc. |