CN118233278A - 过滤用于传输到远程设备的事件的系统和方法 - Google Patents
过滤用于传输到远程设备的事件的系统和方法 Download PDFInfo
- Publication number
- CN118233278A CN118233278A CN202311545548.XA CN202311545548A CN118233278A CN 118233278 A CN118233278 A CN 118233278A CN 202311545548 A CN202311545548 A CN 202311545548A CN 118233278 A CN118233278 A CN 118233278A
- Authority
- CN
- China
- Prior art keywords
- events
- event
- remote device
- collected
- event type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 86
- 230000005540 biological transmission Effects 0.000 title claims abstract description 42
- 238000001914 filtration Methods 0.000 title claims abstract description 28
- 230000008569 process Effects 0.000 description 21
- 239000003795 chemical substances by application Substances 0.000 description 14
- 238000004458 analytical method Methods 0.000 description 12
- 230000009471 action Effects 0.000 description 7
- 230000002155 anti-virotic effect Effects 0.000 description 6
- 238000001514 detection method Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 230000008859 change Effects 0.000 description 5
- 230000000694 effects Effects 0.000 description 5
- 230000002093 peripheral effect Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 238000013459 approach Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000003491 array Methods 0.000 description 2
- 238000012550 audit Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000015572 biosynthetic process Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000001902 propagating effect Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- FFBHFFJDDLITSX-UHFFFAOYSA-N benzyl N-[2-hydroxy-4-(3-oxomorpholin-4-yl)phenyl]carbamate Chemical compound OC1=C(NC(=O)OCC2=CC=CC=C2)C=CC(=C1)N1CCOCC1=O FFBHFFJDDLITSX-UHFFFAOYSA-N 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 229910052802 copper Inorganic materials 0.000 description 1
- 239000010949 copper Substances 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- OVBPIULPVIDEAO-LBPRGKRZSA-N folic acid Chemical compound C=1N=C2NC(N)=NC(=O)C2=NC=1CNC1=CC=C(C(=O)N[C@@H](CCC(O)=O)C(O)=O)C=C1 OVBPIULPVIDEAO-LBPRGKRZSA-N 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 229920000747 poly(lactic acid) Polymers 0.000 description 1
- 230000000246 remedial effect Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Abstract
本申请涉及过滤用于传输到远程设备的事件的系统和方法。在一个方面,示例性方法包括:收集事件,并针对所收集的事件中的每个事件,从预定的事件类型列表中识别所收集的事件所属的类型,以及针对所识别的每种事件类型,确定选择系数,所述选择系数指示所述事件类型的的事件要传输到远程设备的比例;当达到预定数量的所收集的事件时,将所收集的事件组合成序列,并且针对所述序列,确定收集给定数量的事件的时间间隔;针对每种事件类型,基于各个事件类型的所述选择系数来选择用于传输到所述远程设备的事件;以及将所选择的事件传输到所述远程设备。
Description
技术领域
本发明涉及信息技术(IT)领域,更具体地,涉及过滤用于传输到远程设备的事件的系统和方法。
背景技术
目前,除了传统的恶意软件(如病毒、网络蠕虫、键盘记录器、勒索软件等)外,网络攻击也很常见。特别是,对信息系统(IS,例如,公司网络、或其他类型的计算设备和用于其通信的网络)的针对性攻击(TA)和复杂攻击(例如,高级持续威胁(APT))正变得越来越常见。攻击者可能追求各种目标,从窃取员工的个人数据到从事工业间谍活动。攻击者通常具有关于公司网络架构、内部文档管理原则、用于保护网络和计算机设备的手段的信息,或特定于信息系统的其他信息,通常是机密文档。
现有的恶意软件和计算机攻击防护技术(如:特征分析、启发式分析、仿真和其他技术)具有许多缺点,这些缺点不允许这些现有技术提供足够的防护水平,以抵御针对性攻击和其他网络攻击。例如,这些技术不允许检测和调查先前未知的威胁、不使用恶意软件的计算机攻击、复杂的攻击(使用技术绕过安全工具)和长期的攻击(从几天到几年),这些攻击的迹象只有在攻击开始很长一段时间后才为人所知。
经典的防恶意软件解决方案不适合有效处理APT攻击,因为APT意味着了解受攻击系统的架构,包括该系统的保护架构。在另一种方法中,可使用安全信息和事件管理(SIEM)系统来检测APT攻击,例如,使用集成威胁数据流、用于检测高级威胁和针对性攻击的防APT系统、用于调查软件样本的系统,以及通过使用妥协指标搜索关于恶意软件特征的信息来进行检测。在另一种方法中,可以使用用于监控企业系统的管理检测和响应(MDR)类解决方案以及用于检测和研究端点检测和响应(EDR)端点上的恶意活动的一类解决方案。同时,除了自动系统外,还可以使用信息安全专家的分析。自动系统用于通过将端点设备上发生的信息安全事件(遥测数据,例如启动进程、加载库、建立网络连接、和其他事件)与关于已知威胁的数据相关联来检测信息安全事故。在大多数情况下,检测到的信息安全事故还需要信息安全专家进行分析以最小化损害,收集事故数据并做出进一步回应。
因此,已知IS系统的一个技术问题是,当处理从至少一台计算机接收的事件时,远程设备的计算资源负载很高。毕竟,IS中包含的计算机越多,收集的事件就越多,这对信息安全系统的计算资源造成了更高的负载,并因此降低了这种信息安全系统的检测水平。应该注意的是,当处理发生在计算机设备和信息系统中的各种性质的事件时,这个问题是典型的。IS事件可以包括:操作系统(OS)事件、OS内核事件、程序事件、硬件事件、设备驱动程序事件、审计系统事件、和其他事件。
因此,需要一种更优化的方式来过滤用于传输到远程设备的事件。
发明内容
本发明的各方面涉及过滤用于传输到远程设备的事件。
在一个示例性方面,提供了一种过滤用于传输到远程设备的事件的方法,所述方法包括:收集事件,并针对所收集的事件中的每个事件,从预定的事件类型列表中识别所收集的事件所属的类型,以及针对所识别的每种事件类型,确定选择系数,所述选择系数指示所述事件类型的事件要传输到远程设备的比例;当达到预定数量的所收集的事件时,将所收集的事件组合成序列,并且针对所述序列,确定收集给定数量的事件的时间间隔;针对每种事件类型,基于各个事件类型的所述选择系数来选择用于传输到所述远程设备的事件;以及将所选择的事件传输到所述远程设备。
在一个方面,所述方法还包括:针对每种事件类型,将收集所述给定数量的事件的所述时间间隔与预定时间段进行比较;针对每种事件类型,基于所述比较的结果来更新所述选择系数;以及将经更新的选择系数应用于下一序列的所收集的事件。
在一个方面,当收集所述给定数量的事件的所述时间间隔大于或等于所述预定时间段时,将所有事件类型的选择系数设置为第一组选择系数值,以及当收集所述给定数量的事件的所述时间间隔小于所述预定时间段时,将所有事件类型的选择系数设置为第二组选择系数值。
在一个方面,所述第一组选择系数值包括对于所有事件类型都等于1的值。
在一个方面,所述第二组选择系数值包括仅对于所需的事件类型等于1的值。
在一个方面,当收集所述给定数量的事件的所述时间间隔小于所述预定时间段并且所述事件类型中的至少一种事件类型的事件数量超过预定阈值时,将事件数量超过所述预定阈值的该种事件类型的选择系数根据以下公式设置为第一值:U=(Δt)/T×Us;以及Us=1-Ns/N;其中,U是所述第一值;Δt是收集所述给定数量的事件的所述时间间隔;T是所述预定时间段;Us是加权系数;Ns是事件数量超过所述预定阈值的事件类型的事件数量;以及N是所收集的事件的所述给定数量。
在一个方面,基于所述远程设备的计算资源来调整所述预定时间段和事件的所述给定数量,并且所述预定时间段被配置为与事件的所述给定数量成比例。
在一个方面,针对每种事件类型,选择用于传输到所述远程设备的事件还包括:根据各个事件类型的选择系数随机选择用于传输到所述远程设备的事件。
在一个方面,对于包括所述给定数量的事件的第一收集事件,每种事件类型的选择系数包括等于1的值。
在一个方面,所收集的事件包括信息安全(IS)事件。
在一个方面,所述方法还包括:从远程设备接收呈所识别的IS事故、关于特定事件或事件类型对所述IS事故的贡献的信息形式的反馈。
在一个方面,所述方法还包括:基于所述事件类型对所述IS事故的贡献来确定至少一种事件类型的选择系数。
在一个方面,针对每种事件类型,选择用于传输到所述远程设备的事件还基于所述事件类型对所述IS事故的相应贡献。
在一个方面,针对两种事件类型,当在所收集的事件中,所述两种事件类型中的第一事件类型的事件数量小于所述两种事件类型中的第二事件类型的事件数量时,将所述第一事件类型的选择系数设置为大于所述第二事件类型的选择系数。
在一个方面,将收集所述给定数量的事件的所述时间间隔确定为所述序列的所收集的事件中的第一个事件的时间戳与所述序列的所收集的事件中的最后一个事件的时间戳之间的差值。
根据本发明的一个方面,提供了一种过滤用于传输到远程设备的事件的系统,所述系统包括计算设备的至少一个硬件处理器,所述至少一个硬件处理器被配置为:收集事件,并针对所收集的事件中的每个事件,从预定的事件类型列表中识别事件类型,以及针对所识别的每种事件类型,确定选择系数,所述选择系数指示所述事件类型的事件要传输到远程设备的比例;当达到预定数量的所收集的事件时,将所收集的事件组合成序列,并且针对所述序列,确定收集给定数量的事件的时间间隔;针对每种事件类型,基于各个事件类型的所述选择系数来选择用于传输到所述远程设备的事件;以及将所选择的事件传输到所述远程设备。
在一个示例性方面,提供了一种非暂时性计算机可读介质,其上存储过滤用于传输到远程设备的事件的指令集,其中,所述指令集包括用于以下操作的指令:收集事件,并针对所收集的事件中的每个事件,从预定的事件类型列表中识别事件类型,以及针对所识别的每种事件类型,确定选择系数,所述选择系数指示所述事件类型的事件要传输到远程设备的比例;当达到预定数量的所收集的事件时,将所收集的事件组合成序列,并且针对所述序列,确定收集给定数量的事件的时间间隔;针对每种事件类型,基于各个事件类型的所述选择系数来选择用于传输到所述远程设备的事件;以及将所选择的事件传输到所述远程设备。
本发明的方法和系统旨在提供对过滤用于传输到远程设备的事件的改进。第一技术效果是减少处理从至少一台计算机接收的事件的远程设备的计算资源上的负载。另一个技术效果是通过考虑到收集指定数量的事件的时间间隔,针对每种事件类型确定要传输到远程设备的事件的比例,来过滤事件。
附图说明
并入本说明书中并构成本说明书的一部分的附图示出了本发明的一个或多个示例方面,以及连同具体实施方式一起用来解释这些示例方面的原理和实现方式。
图1示出了根据本发明的各方面的信息系统的示例。
图2示出了根据本发明的各方面的过滤用于传输到远程设备的事件的方法的示例。
图3示出了根据本发明的各方面的用于过滤事件的本发明的方法的示例性实现。
图4呈现了在其上可以实现本发明的各个方面的通用计算机系统的示例。
具体实施方式
图1示出了根据本发明的各方面的信息系统100的示例。在一个方面,信息系统100包括通过计算机网络120彼此连接并连接到远程设备150的一组计算机设备110。每个计算机设备110配备有安全代理130,安全代理130被设计为实现过滤要传输到远程设备150的事件的方法。被过滤的事件可以直接发生在计算机设备110上、网络120中或信息系统100中,并且可以具有不同的发生性质。
在一个方面,事件被理解为信息安全事件(例如,启动进程、加载库、建立网络连接、以及其他信息安全事件)。然而,本发明的方法也适用于其他类型的事件,特别是OS事件、OS内核事件、软件事件、硬件事件、设备驱动程序事件、审计系统事件、以及其他事件。
在一个方面,安全代理130可以从各种事件源,特别是从安全工具140,从一个或多个事件日志、一个或多个网络日志、和其他来源获得关于事件的信息。在一个方面,安全代理130还被设计为选择要传输到远程设备150(例如,传输到服务器)的全部或部分事件。在一个方面,所选择的事件到远程设备150的后续传输也由安全代理130执行。在一个方面,在过滤和传输信息安全事件的情况下,远程设备150的最高级分析用于通过使用各种解决方案(例如SIEM、EDR、MDR等)关联信息安全事件来检测信息安全事故。
在一个方面,事件可以包括关于计算机设备110和网络120上的对象的信息。在一个方面,计算机设备110和/或网络120上的对象可以是,例如,文件(给定文件的散列)、进程、库、URL、IP地址、证书、文件执行日志、或设备110或网络120上的任何其他对象。在一个方面,关于对象的信息可以包括标识符、名称、时间戳、元数据、以及关于对象的其他可能信息。
在一个方面,可以按事件的类型对事件进行分组。事件类型可以在系统操作期间在计算机设备110本身上或在远程设备150上预定义、定义或配置。需要事件类型来概述与不同对象相关联的相同类型的事件。例如,事件“启动进程1”和“启动进程2”是属于同一事件类型“启动进程”的不同事件。因此,多个事件可以属于同一事件类型。
事件(特别是信息安全事件)类型的其他示例如下所示:
·通过防病毒接口(例如,防恶意软件扫描接口(Antimalware Scan Interface,AMSI)——amsi_scan)传递对象;
·加载驱动程序——driver_load;
·获得系统日志——event_log;
·与文件信息相关联的事件——file(文件);
·用于修改/创建/删除文件的事件——file_change;
·用于用户打开会话并登录的事件——logon_session。
·用于网络连接的事件——network_connection;
·用于打开网络端口的事件——network_port_listen;
·用于将数据输入控制台的事件——process_console_interactive_input;
·用于创建进程的事件——process_create;
·用于加载库的事件——process_module_load;
·用于终止进程的事件——process_terminate;
·用于修改进程令牌的事件——process_token_change;
·用于对注册表进行更改的事件——registry_change;
·用于检测安全工具或安全工具模块的判决的事件,包括不准确的判决或测试签名——threat_detect;
·用于安全工具对检测到的威胁采取补救动作的事件——threat_processing_result;
·与关于网络互联的信息相关联的事件;
·与妥协指标(IOC,也称为感染指标)相关联的事件;以及
·与对象元数据相关联的事件,例如对象的校验和。
以上提供的信息安全事件列表并不详尽。因此,可能存在这里未指定的其他事件类型。
在一个方面,计算机设备110还可以包括安全工具140,其可以被设计为确保信息安全。
在一个方面,使用过滤信息安全事件的示例,安全工具140可以从远程设备150接收关于所传输的事件的分析结果的反馈。例如,安全工具140可以接收关于检测到的信息安全事故的反馈,以提高计算机设备110的安全性。
在一个方面,来自远程设备150的反馈可以包括签名、启发法、模拟器规则、以及用于检测计算机设备110上的新恶意软件的其他指令。此外,反馈还可以包括关于检测到的信息安全事故的更详细的信息。例如,反馈可以包括导致信息安全事故的信息安全事件和条件的列表、所述信息安全事件对信息安全事故的贡献、等等。在一个方面,反馈还可以包含关于某些事件类型的事件对信息安全事故的贡献的信息。例如,诸如“网络连接”的事件对信息安全事故的贡献可能比诸如“启动进程”的事件更大。考虑到接收到的反馈,安全工具140然后可以执行动作以确保计算机设备110的信息安全,特别地,安全工具140可以搜索并消除漏洞和恶意软件,同时考虑新指令、改变计算机设备110的信息安全设置以及其他动作。
在一个方面,计算机设备110的信息安全设置的修改包括以下中的一者或多者:
·使用最新数据库实施防病毒扫描;
·更改网络120的设置;
·限制计算机设备110的功能;
·限制计算机设备110与其他设备的交互;
·限制对计算机设备110的资源的(一个或多个)访问;
·实现多因素认证;
·例如通过安全工具140对计算设备上的安全性进行更新;以及
·接收对安全设置的一个或多个上述修改的结果的反馈。
在一个方面,安全工具140可以包括一个或多个模块,该一个或多个模块被设计为确保计算机设备110的安全,该一个或多个模块包括以下中的至少一者:访问扫描器、按需扫描器、电子邮件防病毒软件、网络防病毒软件、主动保护模块、主机入侵预防系统(HIPS)模块、数据丢失预防(DLP)模块、漏洞扫描器、模拟器、防火墙等。在一个方面,这些模块可以是安全工具140的一体部分。在另一方面,这些模块可以被实施为单独的软件组件。在又一方面,安全代理130是安全工具140的模块之一。
在一个方面,访问扫描器包含检测用户计算机系统上所有打开、启动和保存的文件的恶意活动的功能。按需扫描器与访问扫描器的不同之处在于,它根据用户的请求扫描用户定义的文件和目录。
在一个方面,电子邮件防病毒软件可用于控制恶意对象的传入和传出电子邮件。在一个方面,网络防病毒软件可用于防止在用户访问网站时执行可能包含在网站上的恶意代码,以及阻止打开网站。在一个方面,HIPS模块可以用于检测程序的不想要的和恶意的活动,并在执行时阻止程序。在一个方面,DLP模块可以用于检测和防止机密数据泄漏到计算机或网络外部。在一个方面,可能需要漏洞扫描仪来检测计算机上的漏洞(例如,保护工具的某些组件被禁用、过时的病毒数据库、关闭的网络端口等)。在一个方面,防火墙可以根据指定的规则来监控和过滤网络流量。在一个方面,当代码在模拟器中运行时,模拟器可以用于模拟访客系统。在一个方面,主动保护模块可以使用行为签名来检测可执行文件的行为,并根据各个可执行文件相应的信任级别对各个可执行文件进行分类。
在一个方面,当检测到恶意软件(可疑行为、垃圾邮件、和计算机威胁的其他迹象)时,上述各种模块可以创建相应的通知(然后可以将其转换为安全工具140的判决),该通知向安全工具140指示检测到的威胁以及采取动作(例如,通过删除或修改文件、禁止执行等)来消除威胁的需要。在一个方面,检测到恶意软件的模块(即模块本身)可以采取措施消除威胁。在另一方面,判决可能是不准确的(因为该判决可能给出假阳性),或者可能是测试判决。在这种情况下,安全工具140可以不执行消除威胁的动作,而是将进一步向远程设备150发送通知。值得注意的是,安全工具140的判决是关于对象(文件、进程)的信息的一部分,该信息然后可以以信息安全事件的形式传输到安全代理130。
图2示出了根据本发明的各方面的过滤用于传输到远程设备150的事件的方法200的示例。在一个方面,方法200可以使用在计算机设备110(例如,图4中的计算机20)上实现的安全代理130来执行。
在步骤210中,方法200收集发生的事件,并且对于每个收集的事件,从预定的事件类型列表中识别至少一种事件类型,并针对所识别的每种事件类型确定选择系数(U),该选择系数(U)指示所述事件类型的要传输到远程设备(例如,远程设备150)的事件的比例。
因此,针对每种事件类型,确定特定的选择系数U。在一个方面,事件要传输到的远程设备可以是如图4所示的计算机20。值得注意的是,为特定事件类型确定的选择系数的属性等同于在上述事件类型的事件中要传输到远程设备150的事件的比例的特性。为了简洁,选择系数是将主要由本发明的方法使用的特征。
在一个方面,选择系数U可以表示为K个元素的向量,其中K表示事件类型的数量。然后,向量的元素可以由U j表示,j表示从1到K的事件类型的数量。然后,向量U=[U 1,U2,…,Uk]。在一个方面,向量U j的每个元素等于各个事件类型的选择系数。
在步骤220中,当达到预定数量(N)的所收集的事件时,方法200将所收集的事件组合成序列,并针对该序列确定收集给定数量(N)的事件的时间间隔(Δt)。值得注意的是,所收集的事件类型的数量低于或等于所收集的事件数量,即K≤N。还值得注意的是,方法200对发生在至少一个计算机设备110上、网络120中或信息系统100中的事件流连续操作。此外,在N个事件量的顺序累积(或生成)的事件序列的框架内执行对事件的处理以过滤它们。在一个方面,数量N是可配置的值。也就是说,当下一序列的N个事件被累积时,根据方法200处理该累积序列,之后下一序列的N个事件被累积,依此类推。
在步骤230中,针对每种事件类型,方法200基于各个事件类型的选择系数U来选择用于传输到远程设备150的事件。也就是说,对于每种特定事件类型,从该特定事件类型的事件中,选择用于传输到远程设备150的事件,要传输的事件的部分等于各个选择系数U。
在步骤240中,方法200针对每种事件类型,将收集给定数量的事件的时间间隔(Δt)与预定时间段(T)进行比较。
在一个方面,生成序列的时间间隔的比较包括根据预定时间间隔Δt建立至少一种事件类型的选择系数U(以及事件的比例)。在一个优选方面,根据具有特定时间间隔Δt的选择系数与给定时间段(T)的比较结果来建立至少一种事件类型的事件的比例。在这种情况下,在步骤240中,方法200将形成序列的时间间隔(Δt)与指定的时间段(T)进行比较。
在一个方面,形成序列的时间间隔(Δt)被确定为序列中第一个事件的时间戳与序列中最后一个事件的时间戳之间的差值。
在一个方面,事件的时间戳可以表示表征事件的任何时刻,例如,事件发生的时刻、事件源生成事件的时刻、安全代理130接收(收集)事件的时刻等此外,在一个方面,时间戳可以由事件源确定的时间或者由事件接收器确定的时间来设置,即,由安全代理130确定的时间来设置。
在步骤250中,方法200基于步骤240中的比较结果,针对每种事件类型,更新选择系数(U)。下面呈现了建立选择系数(U)的示例。
在步骤260中,将经更新的选择系数用于下一序列的所收集的事件,即,重复方法200的步骤210-250。
在一个方面,根据计算机设备110的特性、计算机设备110连接到的信息系统100、或远程设备150的计算资源来配置事件数量N和时间段T的值。在一个方面,时间段(T)被配置为与事件数量(N)成比例。
例如,T可以基于以下参数的函数来计算:T0、Nideal、N,其中Nideal是在基本时间段(T0)期间发送的事件的计划数量。参数值T0、Nideal、N是预设的。值得注意的是,可以基于对接收和分析事件的远程设备150的计算资源的要求来选择表征事件的安排发送的参数Nideal和T0的集合。例如,远程设备150可以在基本时间段T0(例如,小时、分钟、十秒、秒等)内处理不多于Nideal个事件。因此,为了满足这一要求,必须在时间段T内发送N个事件。因此Δt与T的比较结果表示事件的发生率(每单位时间的事件数量),并且根据事件发生率的变化来做出建立选择系数(U)的值的决定。例如,如果事件很少发生(Δt≥T),这相当于事件的低发生率,则可以设置高选择因子(U),使得选择大部分或全部事件以进一步传输到远程设备150。毕竟,这种所选择的事件的数量将不会导致远程设备150的计算资源的高负载或过载。否则,当事件频繁发生时(Δt<T),这对应于事件的高发生率。在这种情况下,将设置较低的选择因子(U)以减少远程设备150的计算资源上的负载。
因此,在一个方面,如果作为比较的结果,Δt等于或大于T,则该方法将所有事件类型的选择系数(U)设置为第一组值。否则,该方法将所有事件类型的选择系数(U)设置为第二组值。值的组是预定义的,并且包含被分配给各个选择系数(U)的值。在一个方面,第一组值包含对于所有事件类型都等于1的值。值得注意的是,选择系数(U)的值可以设置在从0到1的范围内。在另一方面,第二组值另外包含对于被标记为事件类型所需的事件类型等于1的值,这将减少远程设备150的计算资源上的负载,但同时发送所需类型的事件。使用过滤信息安全事件的示例,这还将在处理从至少一个计算机设备110接收的事件的远程设备150上保持高级别的信息安全性和低负载之间的平衡。以下将更详细地讨论所需的事件类型。
应该注意的是,在处理信息安全事件的情况下,在步骤230中选择信息安全事件之后,可以将信息安全事件发送给远程设备150进行分析,远程设备150接着可以通过使用各种解决方案(例如SIEM、EDR、MDR等)关联信息安全事件来检测信息安全事故。此外,在安全工具140的帮助下,从远程设备150接收反馈,该反馈基于信息安全事故的检测结果,以提高计算机设备110的安全性。在一个方面,安全工具140执行动作以确保计算机设备110的信息安全,同时考虑所接收的反馈。上面结合图1描述了执行行动以确保信息安全的实施示例。
在一个方面,针对每种事件类型,使用安全代理130,根据该特定事件类型的事件对信息安全事故的贡献来设置选择系数(U)。以下是这种变化的一个示例。在另一方面,使用安全代理130,针对每种事件类型,根据指定事件类型对信息安全事故的贡献来选择要传输到远程设备150的事件部分——例如,选择在数量上具有最高贡献的事件,该数量等于各个类型的事件的部分。例如,如果收集了100个同一类型的事件,并且该类型的事件的部分是10%,则远程设备150可以选择具有最高贡献的该类型的10个事件来传输到远程设备。在另一方面,针对每种事件类型,安全代理130随机选择要发送到远程设备的事件的比例。
下面是方法200如何操作的一个示例。在方法200的执行开始时(即,当形成N个事件的第一序列时),根据第一组值来设置(确定)每种事件类型的选择系数(U)的值,并且特别地,将它们设置为1。因此,根据形成的第一事件序列中,所有事件将被选择并传输到远程设备150。接下来,确定是否需要改变选择系数(U)。在一个方面,是否需要改变选择系数是基于对从第一事件序列选择和传输的关于事件的信息的评估来确定的,即,基于确定序列的形成的时间间隔Δt以及与参数T的值(即时间段)的比较来确定的。如果时间间隔Δt等于或超过参数T的值,则系数保持不变(即,根据第一组值设置)。否则,如果时间间隔Δt低于参数T的值,则改变选择系数(U)的值(即,设置为第二组值)。之后,使用经更新的(原始设置或修改的)选择系数(U)来从第二序列中选择要传输到远程设备150的事件。因此,从每个新序列要传输到远程设备150的事件的选择和数量是基于根据前一序列计算的选择系数(U)。值得注意的是,当选择系数(U)与原始值不同,并且时间间隔Δt变得等于或高于参数T的指定值时,则根据第一组值将后续序列的选择系数(U)改变(设置)为原始值。
在一个方面,方法200可以允许该过程以如下方式进行发展:使该方法能够选择更准确的事件集用于后续事件序列的传输。同时,在一个方面,基于对供远程设备150分析的信息的完整性的考虑,从要传输到远程设备150的第一序列中选择所有事件。通常,第一事件序列包含各个计算机设备110上的所有或大部分进程和其他对象的标识符和相应名称。而后续序列可能只包含进程和其他对象的标识符,但不包含名称。因此,如果不是所有事件都是从第一序列中选择的,那么一些名称可能会丢失,这可能导致在远程设备150上分析事件时,难以或甚至不可能将计算机设备110上的进程和其他对象的标识符与其各自的名称相匹配。当发生的事件数量初始减少时,即当Δt增加后变为等于或大于T,然后当Δt再次变为小于T时,也可能出现类似的情况。这就是为什么选择系数是基于对当前事件序列的分析来计算的,并用于后续事件序列的原因。这种方法允许该过程适应所发生的事件的流速,以及改变事件的流速的原因(例如,在违反计算机设备110的信息安全的情况下)。
在一个方面,例如通过添加“(一个或多个)所需事件类型”属性来标记上述强制性事件类型。例如,对于与信息安全相关的事件,强制性事件类型可以包括:启动进程(process_create)、终止进程(process_terminate)、打开用户登录会话(logon_session)、检测恶意软件(threat_detect)、处理恶意软件检测结果(threat_processing_result)。因此,在该示例中,将传递所需类型的所有事件进行分析。因此,远程设备150能够通过至少分析强制性事件类型来更正确地检测信息安全事故。因此,将在选择用于分析的信息安全事件的数量与高级别的信息安全之间达到平衡。事件类型可以在系统的操作期间预定义、定义和/或配置。例如,默认情况下,“启动进程”事件类型可以是所需类型之一。然而,在系统操作期间,事件类型“启动进程”可能不再是强制性的,例如,如果事件类型“启动进程”的重要性变得低于其他所需事件类型的话。
在一个方面,一种事件类型(Us2)的重要性由该类型的事件对远程设备150可以检测到的信息安全事故的贡献来确定,并且基于对已知信息安全事故和来自远程设备150接收到的先前序列的事件的分析结果来确定。
在一个方面,在确定了事件类型的重要性之后,将关于事件类型的重要性的信息传输到每个计算机设备110上的安全代理130。
在另一方面,如果作为比较的结果,Δt小于T,并且至少一种事件类型的事件数量(Ns)超过阈值(Nt),则该类型的事件被标记为需要强过滤。通常,此类事件是不重要的重复事件,其数量相当高。
在另一方面,该方法确定序列中的至少一种事件类型的事件的比例(Ns/N)是否超过可配置阈值(Nt/N,例如20%)。然后,如果超过阈值,该方法将该类型的事件标记为需要增强过滤。此外,在一个方面,对于标记为需要增强过滤的事件,该方法可以另外计算加权系数Us=1-Ns/N,并根据以下公式设置选择系数(U):U=(Δt)/T×Us。
在另一方面,选择系数还取决于事件类型Us2的重要性。在这种情况下,U=(Δt)/T×Us×Us2。因此,与其他类型的事件相比,不重要类型的事件将不那么频繁地被选择以被传输到远程设备150。
在这些示例中,与未标记为需要增强过滤的其他事件类型相比,需要增强过滤的事件将被发送以用于更低频率的分析。例如,假设系统中存在四种类型的可能事件。还假设事件序列包含N=1210个事件。在第一个事件序列中,获得了以下每种类型的事件数量:N1=1000,N2=40,N3=60,N4=110,其中Ni是第i种类型的事件数量。阈值Nt=50。于是,类型1、3、4的事件将被标记为需要增强过滤,而类型2的事件将不会被标记,因为它们的数量低于阈值Nt。四种事件类型中的每一种的选择系数U定义如下:U1=10%,U2=100%(例如,默认值),U3=53%,U4=51%,其中Ui是第i类型的事件的选择因子U的值。
在一个方面,针对两种事件类型,将选择系数(U)的值设置为使得如果序列中第一类型的事件数量小于第二类型的事件数量,则第一事件类型的选择系数高于第二事件类型的选择系数。
在另一方面,选择系数U还基于信息系统的特性。信息系统的这种特性可以包括以下中的至少一者:计算机设备110的数量、远程设备150的计算力(即计算能力)、等等。
在另一方面,根据信息系统的特性来配置N,Nideal的值中的至少一者。例如,如果远程设备150具有低计算资源,则可以将Nideal降低到计算资源的消耗将足以确保所需的信息安全级别的值。
在另一方面,使用公式T=T0×N/Nideal计算时间段T。例如,假设该方法每小时传输1500个事件。于是,Nideal=1500,T0=3600秒(1小时)。
例如,当确定序列必须每个包含150个事件时,即N=150,则可以发送150个事件的计划时间段设置为T=3600×150/1500=360秒=6分钟。
因此,本发明的方法可以解决在处理从计算机接收的事件时远程设备的计算资源上的高负载的特定技术问题,并实现了所要求保护的技术结果,即,减少了处理从至少一个计算机接收的事件的远程设备的计算机资源上的负载,并且通过针对每种事件类型确定要传输到远程设备的事件的部分,同时考虑收集指定数量的事件的时间间隔来执行事件的过滤。
图3示出了根据本发明各方面的用于过滤事件的本发明的方法的示例性实现方式300。在图3的示例中,每个事件序列的大小设置为五(N=5)。在本示例中,收集了五个事件序列,每个序列中有五个事件其中m是从1到5的事件序列号,i是从1至5的序列m中的事件号。
在开始时,收集第一个事件序列(i从0到5)。对于第一个事件序列,根据第一组值来设置选择系数U的向量的值,例如,等于1。根据选择系数U的向量值,选择第一个事件序列/>以传输到远程设备150。然后,该方法确定(计算)指定序列形成的时间间隔Δt,并将其与给定时间段T进行比较。根据图3,接收到第一个和最后一个事件之间的时间Δt1=tend1–tbegin1超过了给定的时间段T,因此将用于选择第二个序列中的事件的选择系数U的向量设置为等于第一组值。情况与第二个事件序列/>类似。然而,在第三个事件序列/>的形成中,接收第一个和最后一个事件之间的时间Δt3=tend3–tbegin3变为小于指定的时间段T。因此,选择系数U的向量的值被设置为第二组值。因此,当接收到第四个事件序列/>时,根据改变后的选择系数U的向量值,选择接收到的用于传输到远程设备的事件。由于第四个事件序列的接收到第一个和最后一个事件之间的时间Δt4=tend4–tbegin4也小于时间段T,因此选择系数U再次被设置为第二组值。然后,当对第五个事件序列进行过滤时,将进一步使用改变后的选择系数U。由于第五个事件序列的接收到第一个和最后一个事件之间的时间Δt5=tend5–tbegin5超过时间段T,因此选择系数U现在设置为第一组值。改变后的选择系数U将用于过滤第六个事件序列(图3中未示出)。
图4是示出计算机系统20的框图,过滤用于传输到远程设备的事件的系统和方法的各方面可以在计算机系统20上实现。计算机系统20可以是多个计算设备的形式,或者也可以是单个计算设备的形式,例如台式电脑、笔记本电脑、手提电脑、移动计算设备、智能手机、平板电脑、服务器、主机、嵌入式设备和其他形式的计算设备。
如图所示,计算机系统20包括中央处理单元(Central Processing Unit,CPU)21、系统存储器22和连接各种系统部件的系统总线23,各种系统部件包括与中央处理单元21相关联的存储器。系统总线23可以包括总线存储器或总线存储器控制器、外围总线、以及能够与任何其他的总线架构交互的本地总线。总线的示例可以包括PCI、ISA、串行总线(PCI-Express)、超传送TM(HyperTransportTM)、无限带宽TM(InfiniBandTM)、串行ATA、I2C、和其他合适的互连。中央处理单元21(也称为处理器)可以包括单组或多组具有单核或多核的处理器。处理器21可以执行实现本发明的技术的一种或多种计算机可执行代码。系统存储器22可以为用于存储本文中所使用的数据和/或由处理器21可执行的计算机程序的任何存储器。系统存储器22可以包括易失性存储器(诸如随机存取存储器(Random Access Memory,RAM)25)和非易失性存储器(诸如只读存储器(Read-Only Memory,ROM)24、闪存等)或其任意组合。基本输入/输出系统(Basic Input/Output System,BIOS)26可以存储用于在计算机系统20的元件之间传送信息的基本程序,例如在使用ROM 24加载操作系统时的那些基本程序。
计算机系统20可以包括一个或多个存储设备,诸如一个或多个可移除存储设备27、一个或多个不可移除存储设备28、或其组合。所述一个或多个可移除存储设备27以及一个或多个不可移除存储设备28通过存储器接口32连接到系统总线23。在一方面,存储设备和相应的计算机可读存储介质为用于存储计算机指令、数据结构、程序模块、和计算机系统20的其他数据的电源独立的模块。系统存储器22、可移除存储设备27和不可移除存储设备28可以使用各种各样的计算机可读存储介质。计算机可读存储介质的示例包括:机器存储器,诸如缓存、SRAM、DRAM、零电容RAM、双晶体管RAM、eDRAM、EDO RAM、DDR RAM、EEPROM、NRAM、RRAM、SONOS、PRAM;闪存或其他存储技术,诸如在固态驱动器(Solid State Drive,SSD)或闪存驱动器中;磁带盒、磁带、和磁盘存储器,诸如在硬盘驱动器或软盘中;光学存储器,诸如在光盘(CD-ROM)或数字通用光盘(Digital Versatile Disk,DVD)中;以及可用于存储期望数据且可被计算机系统20访问的任何其他介质。
计算机系统20的系统存储器22、可移除存储设备27和不可移除存储设备28可以用于存储操作系统35、附加应用程序37、其他程序模块38和程序数据39。计算机系统20可以包括用于传送来自输入设备40的数据的外围接口46,所述输入设备40诸如键盘、鼠标、手写笔、游戏控制器、语音输入设备、触摸输入设备、或其他外围设备,诸如借助一个或多个I/O端口的打印机或扫描仪,该一个或多个I/O端口诸如串行端口、并行端口、通用串行总线(Universal Serial Bus,USB)、或其他外围接口。显示设备47(诸如一个或多个监控器、投影仪或集成显示器)也可以通过输出接口48(诸如视频适配器)连接到系统总线23。除了显示设备47之外,计算机系统20还可以装配有其他外围输出设备(未示出),诸如扬声器和其他视听设备。
计算机系统20可以使用与一个或多个远程计算机49的网络连接而在网络环境中工作。所述一个或多个远程计算机49可以为本地计算机工作站或服务器,其包括前面在描述计算机系统20的性质时所述的元件中的大多数元件或全部元件。其他设备也可以存在于计算机网络中,诸如但不限于路由器、网络站点、对等设备或其他网络节点。计算机系统20可以包括用于通过一个或多个网络而与远程计算机49通信的一个或多个网络接口51或网络适配器,该一个或多个网络诸如计算机局域网(Local-Area Network,LAN)50、计算机广域网(Wide-Area Network,WAN)、内联网、和因特网。网络接口51的示例可以包括以太网接口、帧中继接口、SONET(同步光纤网)接口、和无线接口。
本发明的各个方面可以为系统、方法和/或计算机程序产品。计算机程序产品可以包括一种或多种计算机可读存储介质,该计算机可读存储介质上具有用于使处理器执行本发明的各方面的计算机可读程序指令。
计算机可读存储介质可以为有形设备,该有形设备可以保持且存储指令或数据结构的形式的程序代码,该程序代码可以被计算设备(诸如计算机系统20)的处理器访问。计算机可读存储介质可以为电子存储设备、磁性存储设备、光学存储设备、电磁存储设备、半导体存储设备、或其任何合适的组合。作为示例,这类计算机可读存储介质可以包括随机存取存储器(RAM)、只读存储器(ROM)、电可擦可编程只读存储器(EEPROM)、便携式光盘只读存储器(CD-ROM)、数字通用光盘(DVD)、闪存、硬盘、便携式电脑磁盘、记忆棒、软盘、或甚至机械编码设备,诸如在其上记录有指令的凹槽中的打孔卡或凸起结构。如在本文中所使用的,计算机可读存储介质不应被视为暂时性信号本身,暂时性信号诸如无线电波或其他自由传播的电磁波、通过波导或传送介质传播的电磁波、或通过电线传输的电信号。
可以将本文中所描述的计算机可读程序指令从计算机可读存储介质下载到相应的计算设备、或通过网络(例如,因特网、局域网、广域网和/或无线网络)下载到外部计算机或外部存储设备。该网络可以包括铜传输电缆、光学传输光纤、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。在每个计算设备中的网络接口从网络接收计算机可读程序指令并转发该计算机可读程序指令,用以存储在相应的计算设备内的计算机可读存储介质中。
用于执行本发明的操作的计算机可读程序指令可以为汇编指令、指令集架构(Instruction-Set-Architecture,ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或以一种或多种编程语言(包括面向对象的编程语言和传统程序化编程语言)的任何组合编写的源代码或目标代码。计算机可读程序指令(作为独立的软件包)可以完全地在用户的计算机上、部分地在用户的计算机上、部分地在用户的计算机上且部分地在远程计算机上、或完全地在远程计算机或服务器上执行。在后一种情况中,远程计算机可以通过任何类型的网络(包括LAN或WAN)连接到用户的计算机,或可以进行与外部计算机的连接(例如通过因特网)。在一些方面中,电子电路(包括例如可编程逻辑电路、现场可编程门阵列(FPGA)、或可编程逻辑阵列(Programmable Logic Array,PLA))可以通过利用计算机可读程序指令的状态信息而执行计算机可读程序指令,以使该电子电路个性化,从而执行本发明的各方面。
在各个方面,本发明中所描述的系统和方法可以按照模块来处理。如本文中所使用的术语“模块”指的是例如现实世界的设备、部件、或使用硬件(例如通过专用集成电路(ASIC)或FPGA)实现的部件的布置,或者指的是硬件和软件的组合,例如通过微处理器系统和实现模块功能的指令集(该指令集在被执行时将微处理器系统转换成专用设备)来实现这样的组合。一个模块还可以被实现为两个模块的组合,其中单独地通过硬件促进某些功能,并且通过硬件和软件的组合促进其他功能。在某些实现方式中,模块的至少一部分(以及在一些情况下,模块的全部)可以在计算机系统(如上面图4中更详细描述的计算机系统)的处理器上运行。因此,每个模块可以以各种适合的配置来实现,而不应受限于本文中所例示的任何特定的实现方式。
为了清楚起见,本文中没有公开各个方面的所有例行特征。应当领会的是,在本发明的任何实际的实现方式的开发中,必须做出许多特定实现方式的决定,以便实现开发者的特定目标,并且这些特定目标将对于不同的实现方式和不同的开发者变化。应当理解的是,这种开发努力会是复杂的且费时的,但对于了解本发明的优点的本领域的普通技术人员来说仍然是工程的例行任务。
此外,应当理解的是,本文中所使用的措辞或术语出于描述而非限制的目的地,从而本说明书的术语或措辞应当由本领域技术人员根据本文中所提出的教导和指导结合(一个或多个)相关领域技术人员的知识来解释。此外,不旨在将本说明书或权利要求中的任何术语归于不常见的或特定的含义,除非明确如此阐述。
本文中所公开的各个方面包括本文中以说明性方式所引用的已知模块的现在和未来已知的等同物。此外,尽管已经示出并描述了各个方面和应用,但是对于了解本发明的优点的本领域技术人员将明显的是,在不脱离本文中所公开的发明构思的前提下,相比于上文所提及的内容而言的更多修改是可行的。
Claims (20)
1.一种过滤用于传输到远程设备的事件的方法,所述方法包括:
收集事件,并针对所收集的事件中的每个事件,从预定的事件类型列表中识别所收集的事件所属的类型,以及针对所识别的每种事件类型,确定选择系数,所述选择系数指示所述事件类型的事件要传输到远程设备的比例;
当达到预定数量的所收集的事件时,将所收集的事件组合成序列,并且针对所述序列,确定收集给定数量的事件的时间间隔;
针对每种事件类型,基于各个事件类型的所述选择系数来选择用于传输到所述远程设备的事件;以及
将所选择的事件传输到所述远程设备。
2.如权利要求1所述的方法,还包括:
针对每种事件类型,将收集所述给定数量的事件的所述时间间隔与预定时间段进行比较;
针对每种事件类型,基于所述比较的结果来更新所述选择系数;以及
将经更新的选择系数应用于下一序列的所收集的事件。
3.如权利要求2所述的方法,其中,当收集所述给定数量的事件的所述时间间隔大于或等于所述预定时间段时,将所有事件类型的选择系数设置为第一组选择系数值,以及当收集所述给定数量的事件的所述时间间隔小于所述预定时间段时,将所有事件类型的选择系数设置为第二组选择系数值。
4.如权利要求3所述的方法,其中,所述第一组选择系数值包括对于所有事件类型都等于1的值。
5.如权利要求3所述的方法,其中,所述第二组选择系数值包括仅对于所需的事件类型等于1的值。
6.如权利要求2所述的方法,其中,当收集所述给定数量的事件的所述时间间隔小于所述预定时间段并且所述事件类型中的至少一种事件类型的事件数量超过预定阈值时,将所述事件数量超过所述预定阈值的该种事件类型的选择系数根据以下公式设置为第一值:
U=(Δt)/T×Us;以及
Us=1-Ns/N;
其中,
U是所述第一值;
Δt是收集所述给定数量的事件的所述时间间隔;
T是所述预定时间段;
Us是加权系数;
Ns是所述事件数量超过所述预定阈值的事件类型的事件数量;以及
N是所收集的事件的所述给定数量。
7.如权利要求2所述的方法,其中,基于所述远程设备的计算资源来调整所述预定时间段和事件的所述给定数量,并且所述预定时间段被配置为与事件的所述给定数量成比例。
8.如权利要求1所述的方法,其中,针对每种事件类型,选择用于传输到所述远程设备的事件还包括:根据各个事件类型的选择系数随机选择用于传输到所述远程设备的事件。
9.如权利要求1所述的方法,其中,对于包括所述给定数量的事件的第一收集事件,每种事件类型的选择系数包括等于1的值。
10.如权利要求1所述的方法,其中,所收集的事件包括信息安全(IS)事件。
11.如权利要求10所述的方法,还包括:从远程设备接收呈所识别的IS事故、关于特定事件或事件类型对所述IS事故的贡献的信息形式的反馈。
12.如权利要求11所述的方法,还包括:
基于所述事件类型对所述IS事故的贡献来确定至少一种事件类型的选择系数。
13.如权利要求11所述的方法,其中,针对每种事件类型,选择用于传输到所述远程设备的事件还基于所述事件类型对所述IS事故的各个贡献。
14.如权利要求1所述的方法,其中,针对两种事件类型,当在所收集的事件中,所述两种事件类型中的第一事件类型的事件数量小于所述两种事件类型中的第二事件类型的事件数量时,所述第一事件类型的选择系数大于所述第二事件类型的选择系数。
15.如权利要求1所述的方法,其中,将收集所述给定数量的事件的所述时间间隔确定为所述序列的所收集的事件中的第一个事件的时间戳与所述序列的所收集的事件中的最后一个事件的时间戳之间的差值。
16.一种过滤用于传输到远程设备的事件的系统,包括:
计算设备的至少一个处理器,所述至少一个处理器被配置为:
收集事件,并针对所收集的事件中的每个事件,从预定的事件类型列表中识别所收集的事件所属的类型,以及针对所识别的每种事件类型,确定选择系数,所述选择系数指示所述事件类型的事件要传输到远程设备的比例;
当达到预定数量的所收集的事件时,将所收集的事件组合成序列,并且针对所述序列,确定收集给定数量的事件的时间间隔;
针对每种事件类型,基于各个事件类型的所述选择系数来选择用于传输到所述远程设备的事件;以及
将所选择的事件传输到所述远程设备。
17.如权利要求16所述的系统,所述至少一个处理器还被配置为:
针对每种事件类型,将收集所述给定数量的事件的所述时间间隔与预定时间段进行比较;
针对每种事件类型,基于所述比较的结果来更新所述选择系数;以及
将经更新的选择系数应用于下一序列的所收集的事件。
18.如权利要求17所述的系统,其中,当收集所述给定数量的事件的所述时间间隔大于或等于所述预定时间段时,将所有事件类型的选择系数设置为第一组选择系数值,以及当收集所述给定数量的事件的所述时间间隔小于所述预定时间段时,将所有事件类型的选择系数设置为第二组选择系数值。
19.如权利要求18所述的系统,其中,所述第一组选择系数值包括对于所有事件类型都等于1的值。
20.一种非暂时性计算机可读介质,其上存储有过滤用于传输到远程设备的事件的指令集,其中,所述指令集包括用于以下操作的指令:
收集事件,并针对所收集的事件中的每个事件,从预定的事件类型列表中识别所收集的事件所属的类型,以及针对所识别的每种事件类型,确定选择系数,所述选择系数指示所述事件类型的事件要传输到远程设备的比例;
当达到预定数量的所收集的事件时,将所收集的事件组合成序列,并且针对所述序列,确定收集给定数量的事件的时间间隔;
针对每种事件类型,基于各个事件类型的所述选择系数来选择用于传输到所述远程设备的事件;以及
将所选择的事件传输到所述远程设备。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2022133607 | 2022-12-21 | ||
| US18/459,488 | 2023-09-01 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN118233278A true CN118233278A (zh) | 2024-06-21 |
Family
ID=
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11785040B2 (en) | Systems and methods for cyber security alert triage | |
| US10855700B1 (en) | Post-intrusion detection of cyber-attacks during lateral movement within networks | |
| US10893059B1 (en) | Verification and enhancement using detection systems located at the network periphery and endpoint devices | |
| US10601848B1 (en) | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators | |
| US20190190937A1 (en) | Apparatus method and medium for tracing the origin of network transmissions using n-gram distribution of data | |
| US8839435B1 (en) | Event-based attack detection | |
| US20220201042A1 (en) | Ai-driven defensive penetration test analysis and recommendation system | |
| US10129276B1 (en) | Methods and apparatus for identifying suspicious domains using common user clustering | |
| US20130167236A1 (en) | Method and system for automatically generating virus descriptions | |
| US10142343B2 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
| CN108369541B (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
| US20210160260A1 (en) | Automatic Categorization Of IDPS Signatures From Multiple Different IDPS Systems | |
| WO2018143097A1 (ja) | 判定装置、判定方法、および、判定プログラム | |
| WO2023163820A1 (en) | Graph-based analysis of security incidents | |
| JP7320462B2 (ja) | アクセス権に基づいてコンピューティングデバイス上でタスクを実行するシステムおよび方法 | |
| CN112149126A (zh) | 确定文件的信任级别的系统和方法 | |
| KR101968633B1 (ko) | 실시간 최신 악성코드 및 침해 진단 서비스 제공 방법 | |
| EP3019995B1 (en) | Identifying misuse of legitimate objects | |
| CN113824678B (zh) | 处理信息安全事件的系统、方法和非暂时性计算机可读介质 | |
| WO2018215957A1 (en) | Verifying success of compromising a network node during penetration testing of a networked system | |
| EP4395259A1 (en) | System and method for filtering events for transmission to remote devices | |
| US20240214399A1 (en) | System and method for filtering events for transmission to remote devices | |
| CN118233278A (zh) | 过滤用于传输到远程设备的事件的系统和方法 | |
| Kumar et al. | A review on 0-day vulnerability testing in web application | |
| RU2813239C1 (ru) | Способ фильтрации событий для передачи на удаленное устройство |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication |