CN114491522A - 建立应用程序白名单的方法与系统 - Google Patents
建立应用程序白名单的方法与系统 Download PDFInfo
- Publication number
- CN114491522A CN114491522A CN202011530900.9A CN202011530900A CN114491522A CN 114491522 A CN114491522 A CN 114491522A CN 202011530900 A CN202011530900 A CN 202011530900A CN 114491522 A CN114491522 A CN 114491522A
- Authority
- CN
- China
- Prior art keywords
- adm
- clean room
- information
- nodes
- real
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 27
- 238000004891 communication Methods 0.000 claims description 7
- 230000000694 effects Effects 0.000 claims description 4
- 238000012545 processing Methods 0.000 claims description 4
- 230000001419 dependent effect Effects 0.000 claims description 3
- 101100264195 Caenorhabditis elegans app-1 gene Proteins 0.000 description 9
- 238000010586 diagram Methods 0.000 description 5
- 241000700605 Viruses Species 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5058—Service discovery by the service manager
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Virology (AREA)
- Bioethics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种建立应用程序白名单的方法与系统,该方法包括:收集由至少一服务器所传来的一线程间信息记录,其中,多个分布式应用程序安装在该至少一服务器内;根据该线程间信息记录,以发现在洁净室环境中的一拓朴信息;根据该拓朴信息来建立一组白名单法则;以及执行该组白名单法则。
Description
技术领域
本申请涉及一种建立应用程序白名单的方法与系统。
背景技术
近来,网络安全已变得越来越重要。随着安装在数据中心内的分布式应用程序(distributed application)的数量增长,自动恶意程序与入侵检测的需求亦增加中。在最近,应用程序白名单主要是由人工定义,而对于包括数以千计节点的分布式应用程序,建立此种法则的自动系统是重要的。
分布式应用程序是指执行于网络内的多台计算机上的软件。这些分布式应用程序彼此互动以达成特殊目的或任务。传统上,应用程序依赖单一系统来执行。即便是在客户端-服务器模型中,应用程序软件必需执行于客户端上,或执行于被客户端所存取的服务器上。
白名单上所列出的事项(item)是指对某一系统或协议而言是允许的存取行为。当使用白名单时,所有实体(entity)是被拒绝存取,除非已被包括在白名单上。传统上,白名单是由系统管理人员所定义。虽然此种方式可以对于小型系统与分布式应用程序有良好作用,随着节点数量增加,愈加可能发生错误或错失这些法则之一,而导致应用程序无法正常动作。
发明内容
本申请涉及一种利用拓朴信息来建立应用程序白名单的方法与系统。
本申请一实施例提供一种建立应用程序白名单的方法,包括:收集由至少一服务器所传来的一线程间信息记录,其中,多个分布式应用程序安装该至少一服务器内;根据该线程间信息记录,以发现在洁净室环境中之一拓朴信息;根据该拓朴信息来建立一组白名单法则;以及执行该组白名单法则。
本申请另一实施例提供一种建立应用程序白名单的系统,包括:至少一服务器,多个分布式应用程序安装该至少一服务器内;以及一分析引擎,耦接至该至少一服务器,以收集由该至少一服务器所传来的一线程间信息记录。该分析引擎架构成:根据该线程间信息记录,以发现在洁净室环境中之一拓朴信息;根据该拓朴信息来建立一组白名单法则;以及执行该组白名单法则。
为了对本申请的上述及其他方面有更佳的了解,下文特举实施例,并配合附图详细说明如下:
附图说明
图1绘示根据本申请一实施例的建立应用程序白名单系统的方块图。
图2绘示依照本申请一实施例的建立应用程序白名单方法的流程图。
图3绘示依照本申请一实施例的建立应用程序相依图(application dependencymap(ADM))的流程图。
图4A绘示依照本申请一实施例的洁净室(green room)ADM的示范例。
图4B绘示依照本申请一实施例的实际操作(real operation)ADM的示范例。
图4C绘示依照本申请一实施例的另一种实际操作ADM的示范例。
图5绘示依照本申请一实施例的执行白名单法则的流程图,其可最小化伪阳性警报(false-positive alarm)。
图6A与图6B显示藉由决定不完整边缘(incomplete edge)是否合法(legitimate)以如何决定洁净室ADM与实际操作ADM是否相等的示意图。
图7显示根据本申请一实施例的恶意攻击决定(attack determination)。
图8显示,在确认连线是有效之后,将该有效连线用于更新洁净室ADM的示意图。
【符号说明】
100:建立应用程序白名单系统
120:分析引擎
120、130:服务器
141~143:应用程序
210~230:步骤
310~330:步骤
410~470:节点
510~555:步骤
具体实施方式
本说明书的技术用语系参照本技术领域的习惯用语,如本说明书对部分用语有加以说明或定义,该部分用语的解释以本说明书的说明或定义为准。本公开的各个实施例分别具有一或多个技术特征。在可能实施的前提下,本领域技术人员可选择性地实施任一实施例中部分或全部的技术特征,或者选择性地将这些实施例中部分或全部的技术特征加以组合。
在本申请实施例中,方法与系统有关于自动定义分布式应用程序系统(distributed application system)的白名单法则与威胁程度。在本申请实施例中,方法与系统有关于发现分布式应用程序相依图(application dependency map,ADM)。在本申请实施例中,方法与系统有关于将相依图转换成白名单法则。在本申请实施例中,方法与系统有关于执行白名单法则,以聚焦在减少伪阳性错误(false-positive)。
图1绘示根据本申请一实施例的建立应用程序白名单系统的方块图。建立应用程序白名单系统100包括:分析引擎(analytic engine)110与耦合至分析引擎110的至少一服务器(例如但不受限于,2个服务器120与130)。至少有一分布式应用程序安装于服务器120,且至少有一分布式应用程序安装于服务器130。例如但不受限于,应用程序141与142安装于服务器120,且应用程序143安装于服务器130。
分析引擎110收集由服务器120与130所传来的线程间(inter-thread)信息记录(traffic log)。线程间信息记录记载应用程序141、142与143在执行时的线程信息。
在本申请一实施例中,分析引擎110分析线程间信息记录以执行三个阶段处理:根据线程间信息记录以发现拓朴信息(topology information)(拓朴信息例如但不受限于,洁净室环境的应用程序相依图(ADM));根据拓朴信息或洁净室ADM来建立一组白名单法则;以及,执行该组白名单法则且最小化伪阳性(false-positive)警报。洁净室环境代表被隔离且安全的具有存取控制的工作空间,此空间中没有恶意软件(malware)与病毒(virus)的攻击。在此空间中,可以收集应用程序的正常行为(normal behavior),从而建立基础的应用程序白名单。
图2绘示依照本申请一实施例的建立应用程序白名单方法的流程图。在步骤210中,根据线程间信息记录以发现拓朴信息或洁净室环境ADM。在步骤220中,根据拓朴信息或洁净室ADM来建立一组白名单法则。在步骤230中,执行该组白名单法则且最小化伪阳性(false-positive)警报。
ADM建立相互依存(interdependent)应用程序之间的关系。ADM可辨别:彼此通信的多个装置(例如,服务器120与130);这些装置用于通信的TCP IP端口;以及执行于这些装置上的程序。
图3绘示依照本申请一实施例的建立ADM的流程图。在步骤310中,在送出系统呼叫(system call)的分组(packet)处截听(intercept)客户端操作系统(guest OS)。在步骤320中,得到线程与TCP连线信息(来源TCP IP端口、目的TCP IP端口)。在步骤330中,从线程间信息记录产生正确的ADM。
本申请一实施例检视连线的线程层级执行(thread-level execution)。系统呼叫截听可致能改变的检测与部署(deployment)。记录在线程间层级的信息可确保产生正确的应用程序相依性。
现将解释在本申请一实施例中,如何转换ADM成为一组白名单法则以建立一组白名单法则。对于在ADM中的每一笔记录,本申请实施例建立防火墙法则(一组白名单法则),包括多个节点,各节点的属性(attribute)包括应用程序命名信息与目的端口信息。
图4A绘示依照本申请一实施例的洁净室ADM的示范例。图4B绘示依照本申请一实施例的实际操作(real operation)ADM的示范例。图4C绘示依照本申请一实施例的另一种实际操作ADM的示范例。洁净室ADM是指在洁净室下所定义或所产生的ADM,而实际操作ADM是指在实际操作下所定义或所产生的ADM。
如图4A所示,洁净室ADM包括节点410-425,各节点的属性包括应用程序命名信息与目的端口信息。例如,节点410的属性包括应用程序命名信息(亦即app1)与目的端口信息(无(N/A)),而节点415的属性包括应用程序命名信息(亦即app2)与目的端口信息(port2)。图4B与图4C的节点430-445与450-470的属性亦相似。
图5绘示依照本申请一实施例的执行白名单法则的流程图,其可最小化伪阳性警报(false-positive alarm)。在比较洁净室ADM与实际操作ADM时,实际操作ADM可能有所不同,特别是,各节点的IP地址将会改变,但应用程序命名信息与目的端口信息仍是保持不变。在此情况下,在本申请实施例中,需要执行全图匹配(full graph matching)。
至于白名单法则执行,在改变原始白名单法则以匹配在产品环境(实际操作)中的分布式应用程序之后,本申请实施例开始阻挡不在白名单上的所有连线。当阻挡一些连线时,可能有两种情况:该连线是值得信赖的但在洁净室环境观察中未观察到此情况。这可能是相当少发生的事件,例如是每月的备份。另一情况是,当连线不值得信赖时,此情况可能发生于当系统中存在恶意程序(malware)时。
在步骤510中,藉由比较洁净室ADM与实际操作ADM来执行全图匹配。在步骤515中,根据比较结果,决定洁净室ADM是否匹配于实际操作ADM。
例如,藉由比较图4A中的洁净室ADM与图4B中的实际操作ADM,则决定此两者是匹配。另一方面来说,藉由比较图4A中的洁净室ADM与图4C中的实际操作ADM,则决定此两者不匹配。
详细地说,在比较的洁净室ADM与实际操作ADM时,比较ADM中的所有节点。在比较图4A中的洁净室ADM与图4B中的实际操作ADM时,分别比较洁净室ADM的这些节点410-425与实际操作ADM的节点430-445,藉由比较洁净室ADM的这些节点410-425的这些属性与实际操作ADM的节点430-445的这些属性。在比较后,当这些节点410-425的这些属性与节点430-445的这些属性是相同时,则决定图4A的洁净室ADM的这些节点410-425相等于(等同于)图4B的实际操作ADM的节点430-445,因此决定图4A的洁净室ADM匹配于图4B的实际操作ADM。
相反地,在比较图4A中的洁净室ADM与图4C中的实际操作ADM时,分别比较洁净室ADM的这些节点410-425与实际操作ADM的节点450-470,藉由比较洁净室ADM的这些节点410-425的这些属性与实际操作ADM的节点450-470的这些属性。在比较后,实际操作ADM的节点470(属性包括应用程序命名信息(app5)与目的端口信息(port 5)不匹配于洁净室ADM的任一这些节点。故而,决定图4A的洁净室ADM不匹配于图4C的实际操作ADM。
在步骤515中,当决定洁净室ADM匹配于实际操作ADM时,则在步骤520中,决定洁净室ADM是等效于实际操作ADM(亦即没有伪阳性错误)。藉此,本申请实施例将不会出现伪阳性错误与伪阴性错误。在本申请中,伪阳性错误是指,本申请实施例系统辨别出有恶意攻击存在,但实际上并不存在恶意攻击;而伪阴性错误是指,本申请实施例系统辨别出是合法(legitimate)行为,但实际上并不是合法行为。
在步骤515中,当决定洁净室ADM并不匹配于实际操作ADM时,流程接续步骤525。在步骤525中,对洁净室ADM与实际操作ADM执行子图匹配(sub-graph matching)以找出实际操作ADM的所有不完整边缘(incomplete edge)。例如,在步骤525中,对图4A的洁净室ADM与图4C的实际操作ADM执行子图匹配(sub-graph matching)以找出实际操作ADM的不完整边缘(亦即,节点470)。
在步骤530,藉由决定该不完整边缘是否合法来决定是否洁净室ADM等效于实际操作ADM。图6A与图6B显示藉由决定不完整边缘是否合法以决定洁净室ADM与实际操作ADM是否相等的示意图。例如,如图6A所示,在比较洁净室ADM与实际操作ADM后,发现应用程序app2与应用程序app3之间的连线是一个不完整边缘。如图6B所示,当应用程序app1与应用程序app2之间的连线通过应用程序app1的线程t11而连线至应用程序app2的线程t21,以及,应用程序app2与应用程序app3之间的连线通过应用程序app2的线程t22而连线至应用程序app3,则决定应用程序app2与应用程序app3之间的连线不是合法的,因为应用程序app2内的这些连线不是通过相同的线程(t21)。
也就是说,在本申请实施例中,即便有不在原始拓朴(例如但不受限于,洁净室ADM)上的连线请求(例如,从应用程序app2至应用程序app3的连线请求),但该连线是完成于应用程序app2上的相同线程(在接收连线请求后,例如,从应用程序app1至应用程序app2的连线请求),则该连线请求将会被允许。因此,是否允许该连线请求是根据该连线是否完成于同一线程而决定。
当在步骤530中决定该不完整边缘不是合法的,藉此以决定洁净室ADM不等效于实际操作ADM时,流程接续至步骤535以决定洁净室ADM不等效于实际操作ADM(亦即,实际操作ADM并不合法)。
相反地,当在步骤530中决定该不完整边缘是合法的,藉此以决定洁净室ADM等效于实际操作ADM时,流程接续至步骤540以执行不完整边缘处理,以根据该合法的不完整边缘而更新洁净室ADM,并根据洁净室ADM而更新智能分布式应用程序白名单。
在步骤545,决定是否有恶意攻击。图7显示根据本申请一实施例的恶意攻击决定(attack determination)。如图7所示,在洁净室ADM中,应用程序app1与应用程序app2之间的连线平均约1.5秒完成,而且,应用程序app2与应用程序app3之间的连线平均约0.1秒完成。然而,在实际操作ADM中,应用程序app1与应用程序app2之间的连线约1.5秒完成,而且,应用程序app2与应用程序app3之间的连线约4秒完成。因为应用程序app2与应用程序app3之间的连线请求比起一般情况花费更多时间,这可能会是恶意活动,故而,在步骤550中,发出警报。也就是说,乃是根据连线请求的完成时间而决定是否存在恶意攻击,并据以发出恶意活动的警报。
另一方面,当在步骤545中决定该连线不是一种攻击,流程接续至步骤555以辨别该连线是合法的且该洁净室ADM要被更新。
在本申请一实施例中,允许原本不在白名单内的某些通信可以连线而在之后确认其有效法,藉由决定是否在相同线程上完成,亦即,如果从应用程序app1至应用程序app2的看似不合法通信之后接续着从应用程序app2至应用程序app3的合法通信。图8显示,在确认应用程序app1至应用程序app2之间连线是有效之后,将应用程序app1至应用程序app2之间的该有效连线用于更新洁净室ADM图。
本申请实施例的目的在于,提供自动安全系统,其允许被视为是合法的某些网络连线,但其他的网络连线则会先检查且取决于感胁程度来决定这些网络连线是该阻挡,允许或者是否要触发警报。本申请实施例的主要目的是减少人工与系统之间的互动,并减少伪阳性错误。
简言之,在本申请实施例中,分布式应用程序是在网络上的多个计算机上同时执行的软件,且可存储于服务器上或存储于云端服务器上。先在洁净室环境中检查分布式应用程序,以决定这些应用程序的各节点之间的关系。利用所收集的信息来形成拓朴与ADM。根据ADM,形成一组白名单法则,以只让有效合法连线执行。当分布式应用程序处于实际环境中时,这些信息会被使用。ADM用以辨别该分布式应用程序的各节点。在辨别各节点后,更改这些白名单法则,以匹配于新环境(实际操作)。当有原本未出现于洁净室环境中的新连线出现时,ADM可用于测量其有效性(合法性)。如果决定该新连线是有效的,该新连线用于更新洁净室ADM。
本申请导入自动系统,兼具白名单法则的建立与执行。本申请不只可自动化白名单法则的建立,也可导入智能白名单法则的执行,不会阻挡在白名单之外的每一条连线,而是先检查且辨别其感胁程度。
综上所述,虽然本申请已以实施例公开如上,然其并非用以限定本申请。本申请所属领域技术人员,在不脱离本申请的精神和范围内,当可作各种的更动与润饰。因此,本申请的保护范围当视所附权利要求书界定范围为准。
Claims (20)
1.一种建立应用程序白名单的方法,包括:
收集由至少一服务器所传来的一线程间信息记录,其中,多个分布式应用程序安装该至少一服务器内;
根据该线程间信息记录,以发现在洁净室环境中的拓朴信息;
根据该拓朴信息来建立一组白名单法则;以及
执行该组白名单法则。
2.如权利要求1所述的方法,其中,
该拓朴信息包括应用程序相依图(ADM);
该ADM产生该至少一服务器的这些分布式应用程序之间的多个关系;以及
该ADM辨别:彼此相通信的多个装置;这些装置用于通信所用的多个TCPIP端口;以及这些装置上所执行的多个程序。
3.如权利要求2所述的方法,其中,建立该ADM包括:
在送出系统呼叫的分组处截听客户端操作系统;
得到线程与TCP连线信息;以及
从该线程间信息记录产生该ADM。
4.如权利要求2所述的方法,其中,在建立该组白名单法则时,对于该ADM中的各记录,该组白名单法则包括多个节点,各这些节点的属性包括应用程序命名信息与目的端口信息。
5.如权利要求4所述的方法,其中,执行该组白名单法则包括:
藉由比较洁净室ADM与实际操作ADM来执行全图匹配;以及
根据比较结果,决定是否该洁净室ADM匹配于该实际操作ADM。
6.如权利要求4所述的方法,其中,在比较该洁净室ADM与该实际操作ADM时,藉由比较该洁净室ADM的多个节点的多个属性与该实际操作ADM的多个节点的多个属性,以分别比较该洁净室ADM的这些节点与该实际操作ADM的这些节点。
7.如权利要求6所述的方法,其中,
当该洁净室ADM匹配于该实际操作ADM时,该洁净室ADM等效于该实际操作ADM;以及
当该洁净室ADM不匹配于该实际操作ADM时,对该洁净室ADM与该实际操作ADM执行子图匹配,以找到该实际操作ADM的任一不完整边缘。
8.如权利要求7所述的方法,其中,在子图匹配时,藉由根据一连线是否执行于同一线程来决定该实际操作ADM的该不完整边缘是否合法,来决定该洁净室ADM是否等效于该实际操作ADM。
9.如权利要求8所述的方法,其中,
在子图匹配时,当决定该实际操作ADM的该不完整边缘是不合法的以决定该洁净室ADM不等效于该实际操作ADM时,决定该实际操作ADM不合法;以及
在子图匹配时,当决定该实际操作ADM的该不完整边缘是合法的以决定该洁净室ADM等效于该实际操作ADM时,执行不完整边缘处理以根据该不完整边缘来更新该该洁净室ADM,并根据该洁净室ADM来执行智能分布式应用程序白名单。
10.如权利要求9所述的方法,其中,当根据连线请求的花费时间来决定有恶意攻击时,发起恶意活动警报;以及,一旦决定该连线请求不是恶意攻击时,辨认该连线请求是合法的且更新该洁净室ADM。
11.一种建立应用程序白名单的系统,包括:
至少一服务器,多个分布式应用程序安装该至少一服务器内;以及
分析引擎,耦接至该至少一服务器,以收集由该至少一服务器所传来的线程间信息记录,
其中,该分析引擎架构成:
根据该线程间信息记录,以发现在洁净室环境中的拓朴信息;
根据该拓朴信息来建立一组白名单法则;以及
执行该组白名单法则。
12.如权利要求11所述的系统,其中,
该拓朴信息包括应用程序相依图(ADM);
该ADM产生该至少一服务器的这些分布式应用程序之间的多个关系;以及
该ADM辨别:彼此相通信的多个装置;这些装置用于通信所用的多个TCPIP端口;以及这些装置上所执行的多个程序。
13.如权利要求12所述的系统,其中,在建立该ADM时,该分析引擎架构成:
在送出系统呼叫的分组处截听客户端操作系统;
得到线程与TCP连线信息;以及
从该线程间信息记录产生该ADM。
14.如权利要求12所述的系统,其中,在建立该组白名单法则时,对于该ADM中的各记录,该组白名单法则包括多个节点,各这些节点的属性包括应用程序命名信息与目的端口信息。
15.如权利要求14所述的建立该ADM,其中,在执行该组白名单法则时,该分析引擎架构成:
藉由比较洁净室ADM与实际操作ADM来执行全图匹配;以及
根据比较结果,决定是否该洁净室ADM匹配于该实际操作ADM。
16.如权利要求15所述的系统,其中,该分析引擎架构成:
在比较该洁净室ADM与该实际操作ADM时,藉由比较该洁净室ADM的多个节点的多个属性与该实际操作ADM的多个节点的多个属性,以分别比较该洁净室ADM的这些节点与该实际操作ADM的这些节点。
17.如权利要求16所述的系统,其中,该分析引擎架构成:
当该洁净室ADM匹配于该实际操作ADM时,该洁净室ADM等效于该实际操作ADM;以及
当该洁净室ADM不匹配于该实际操作ADM时,对该洁净室ADM与该实际操作ADM执行子图匹配,以找到该实际操作ADM的任一不完整边缘。
18.如权利要求17所述的系统,其中,该分析引擎架构成:
在子图匹配时,藉由根据连线是否执行于同一线程来决定该实际操作ADM的该不完整边缘是否合法,来决定该洁净室ADM是否等效于该实际操作ADM。
19.如权利要求18所述的系统,其中,该分析引擎架构成:
在子图匹配时,当决定该实际操作ADM的该不完整边缘是不合法的以决定该洁净室ADM不等效于该实际操作ADM时,决定该实际操作ADM不合法;以及
在子图匹配时,当决定该实际操作ADM的该不完整边缘是合法的以决定该洁净室ADM等效于该实际操作ADM时,执行不完整边缘处理以根据该不完整边缘来更新该该洁净室ADM,并根据该洁净室ADM来执行智能分布式应用程序白名单。
20.如权利要求19所述的系统,其中,该分析引擎架构成:
当根据连线请求的花费时间来决定有恶意攻击时,发起恶意活动警报;以及,一旦决定该连线请求不是恶意攻击时,辨认该连线请求是合法的且更新该洁净室ADM。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/082,581 | 2020-10-28 | ||
| US17/082,581 US20220131864A1 (en) | 2020-10-28 | 2020-10-28 | Method and system for establishing application whitelisting |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114491522A true CN114491522A (zh) | 2022-05-13 |
Family
ID=77517557
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011530900.9A Pending CN114491522A (zh) | 2020-10-28 | 2020-12-22 | 建立应用程序白名单的方法与系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20220131864A1 (zh) |
| CN (1) | CN114491522A (zh) |
| TW (1) | TWI731821B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI802040B (zh) * | 2021-10-08 | 2023-05-11 | 精品科技股份有限公司 | 基於檔案屬性特徵之應用程式控管方法 |
| TWI815715B (zh) * | 2022-10-27 | 2023-09-11 | 英業達股份有限公司 | 利用伺服器日誌資料判斷伺服器狀態之判斷系統與判斷方法 |
| CN116595509B (zh) * | 2023-07-11 | 2023-10-03 | 北京珞安科技有限责任公司 | 一种程序白名单构建方法及系统 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5332838B2 (ja) * | 2009-04-07 | 2013-11-06 | ソニー株式会社 | 情報処理装置、および実行制御方法 |
| US10033766B2 (en) * | 2015-06-05 | 2018-07-24 | Cisco Technology, Inc. | Policy-driven compliance |
| WO2018081629A1 (en) * | 2016-10-28 | 2018-05-03 | Tala Security, Inc. | Application security service |
| US10038671B2 (en) * | 2016-12-31 | 2018-07-31 | Fortinet, Inc. | Facilitating enforcement of security policies by and on behalf of a perimeter network security device by providing enhanced visibility into interior traffic flows |
| US10735450B2 (en) * | 2017-11-30 | 2020-08-04 | Intel Corporation | Trust topology selection for distributed transaction processing in computing environments |
| TW202001582A (zh) * | 2018-06-08 | 2020-01-01 | 英研智能移動股份有限公司 | 裝置辨識方法及具有裝置辨識功能的伺服器 |
-
2020
- 2020-10-28 US US17/082,581 patent/US20220131864A1/en not_active Abandoned
- 2020-12-08 TW TW109143230A patent/TWI731821B/zh active
- 2020-12-22 CN CN202011530900.9A patent/CN114491522A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| TWI731821B (zh) | 2021-06-21 |
| TW202218392A (zh) | 2022-05-01 |
| US20220131864A1 (en) | 2022-04-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11818146B2 (en) | Framework for investigating events | |
| CN114491522A (zh) | 建立应用程序白名单的方法与系统 | |
| CN112187825B (zh) | 一种基于拟态防御的蜜罐防御方法、系统、设备及介质 | |
| EP3942765B1 (en) | Cloud view detection of virtual machine brute force attacks | |
| Krügel et al. | Decentralized event correlation for intrusion detection | |
| EP2987090B1 (en) | Distributed event correlation system | |
| US8407798B1 (en) | Method for simulation aided security event management | |
| US8763118B2 (en) | Classification of software on networked systems | |
| US8997236B2 (en) | System, method and computer readable medium for evaluating a security characteristic | |
| US6553377B1 (en) | System and process for maintaining a plurality of remote security applications using a modular framework in a distributed computing environment | |
| WO2018218537A1 (zh) | 工业控制系统及其网络安全的监视方法 | |
| US9491190B2 (en) | Dynamic selection of network traffic for file extraction shellcode detection | |
| CN112073437B (zh) | 多维度的安全威胁事件分析方法、装置、设备及存储介质 | |
| US20220070185A1 (en) | Method for responding to threat transmitted through communication network | |
| US11489851B2 (en) | Methods and systems for monitoring cyber-events | |
| CN111541686B (zh) | 一种扫描器的调用方法和装置 | |
| JP2015179979A (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
| RU2746105C2 (ru) | Система и способ конфигурирования шлюза для защиты автоматизированных систем | |
| RU2769075C1 (ru) | Система и способ активного обнаружения вредоносных сетевых ресурсов | |
| RU2724796C1 (ru) | Система и способ защиты автоматизированных систем при помощи шлюза | |
| Amin et al. | Edge-computing with graph computation: A novel mechanism to handle network intrusion and address spoofing in SDN | |
| CN113139878A (zh) | 一种配电自动化主站网络安全风险辨识方法及系统 | |
| CN116938605B (zh) | 网络攻击防护方法、装置、电子设备及可读存储介质 | |
| TOUMI et al. | COOPERATIVE TRUST FRAMEWORK BASED ON HY-IDS, FIREWALLS, AND MOBILE AGENTS TO ENHANCE SECURITY IN A CLOUD ENVIRONMENT | |
| Cheminod et al. | Analysis of exploitable vulnerability sequences in industrial networked systems: a proof of concepts |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |