RU2757597C1 - Системы и способы сообщения об инцидентах компьютерной безопасности - Google Patents

Системы и способы сообщения об инцидентах компьютерной безопасности Download PDF

Info

Publication number
RU2757597C1
RU2757597C1 RU2021102457A RU2021102457A RU2757597C1 RU 2757597 C1 RU2757597 C1 RU 2757597C1 RU 2021102457 A RU2021102457 A RU 2021102457A RU 2021102457 A RU2021102457 A RU 2021102457A RU 2757597 C1 RU2757597 C1 RU 2757597C1
Authority
RU
Russia
Prior art keywords
security
procedure
accordance
alert
text message
Prior art date
Application number
RU2021102457A
Other languages
English (en)
Inventor
Адрианус ВАРМЕНХОВЕН
Рихард Й. ХОФСТЕДЕ
Original Assignee
БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД filed Critical БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД
Application granted granted Critical
Publication of RU2757597C1 publication Critical patent/RU2757597C1/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/567Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0686Additional information in the notification, e.g. enhancement of specific meta-data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/23Reliability checks, e.g. acknowledgments or fault reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Изобретение относится к системам и способам противодействия угрозам компьютерной безопасности, в частности к сообщению автоматически обнаруженных инцидентов оператору. Технический результат состоит в повышении эффективности обнаружения инцидентов компьютерной безопасности за счет анализа данных, относящихся к компьютерной безопасности. Диспетчер оповещений динамически формирует оповещения безопасности по мере тестирования различных сценариев безопасности для вынесения заключения. Каждый выполненный сценарий может вносить специфическое для сценария сообщение, поэтому результирующее составное оповещение безопасности указывает фактическую аргументацию, использованную для вынесения соответствующего заключения. Описанные системы и методы применяются в том числе для анализа больших сетевых потоков в корпоративных сетях. В некоторых вариантах осуществления потоки предварительно маркируются дополнительными метаданными для облегчения обнаружения вредоносных программ и/или вторжений. 3 н. и 17 з.п. ф-лы, 13 ил.

Description

РОДСТВЕННЫЕ ЗАЯВКИ
[0001] В настоящей заявке испрашивается приоритет по дате подачи предварительных патентных заявок США №62/699 817, поданной 18 июля 2018 г. и озаглавленной «ИИ для проверки безопасности», и №62/816 389, поданной 11 марта 2019 г. и озаглавленный «Системы и способы сообщения об инцидентах компьютерной безопасности», полное содержание которых включено в настоящий документ посредством ссылки.
УРОВЕНЬ ТЕХНИКИ
[0002] Изобретение относится к системам и способам противодействия угрозам компьютерной безопасности, в частности к сообщению автоматически обнаруженных инцидентов оператору.
[0003] Вредоносное программное обеспечение, также известное как вредоносное ПО, поражает большое количество компьютерных систем по всему миру. Во многих формах, таких как компьютерные вирусы, троянские программы, шпионское ПО и программы-вымогатели, вредоносное ПО представляют серьезный риск для миллионов пользователей компьютеров, делая их уязвимыми для потери данных и конфиденциальной информации, кражи персональных данных и потери производительности, среди прочего. Вредоносное программное обеспечение также может способствовать несанкционированному доступу к компьютерной системе, что может дополнительно позволить злоумышленнику (хакеру) извлекать пользовательские данные и другую конфиденциальную информацию.
[0004] Большое количество устройств, неофициально называемых интернетом вещей (ИВ), все в большей степени подключается к коммуникационным сетям и сети Интернет. К таким устройствам относятся, среди прочего, смартфоны, умные часы, телевизоры и другие мультимедийные устройства, игровые консоли, бытовая техника и различные домашние датчики, такие как термореле. По мере того, как все больше таких устройств уходит в онлайн, они становятся уязвимыми для угроз безопасности, таких как вредоносное ПО и вторжение. Следовательно, существует растущая потребность в защите таких устройств от вредоносных программ, а также в защите коммуникаций с такими устройствами.
[0005] Вредоносные программы и способы взлома постоянно развиваются, заставляя поставщиков решений в области компьютерной безопасности не отставать от постоянно меняющегося ландшафта угроз. Одна конкретная категория способов безопасности, обычно известная как поведенческое обнаружение, основана на контроле активности устройства и/или компонента программного обеспечения в соответствии с набором правил. Некоторые паттерны активности (например, последовательности событий аппаратного или программного обеспечения, определенные особенности сетевого трафика) соответствуют нормальному, легитимному, использованию соответствующего устройства, тогда как другие могут указывать на злой умысел.
[0006] По мере того как все больше и больше устройств подключаются к Интернету, а бизнес становится в основном управляемым данными, скорость и чистый объем трафика данных по сетям электронной коммуникации постоянно увеличивается и может превзойти возможности традиционных систем и способов компьютерной безопасности. Кроме того, всякий раз, когда для расследования инцидентов компьютерной безопасности требуется вмешательство человека, эффективность обнаружения сильно ограничивается способностью сотрудников службы безопасности сортировать большие объемы информации. Следовательно, существует сильный стимул для разработки надежных и масштабируемых способов анализа и визуализации данных, относящихся к безопасности.
РАСКРЫТИЕ СУЩНОСТИ ИЗОБРЕТЕНИЯ
[0007] Согласно одному аспекту, способ использует серверную компьютерную систему для защиты множества клиентских систем от угроз компьютерной безопасности. Способ включает использование по меньшей мере одного аппаратного процессора серверной компьютерной системы в ответ на получение экспертного индикатора для выбора первой процедуры для оценки первого предиката безопасности из множества процедур, причем первую процедуру выбирают в соответствии с экспертным индикатором. Экспертный индикатор содержит множество элементов метаданных, характеризующих сетевой поток между клиентской системой из множества клиентских систем и другой стороной. Способ дополнительно включает использование по меньшей мере одного аппаратного процессора серверной компьютерной системы для выбора второй процедуры для оценки второго предиката безопасности из множества процедур, причем вторую процедуру выбирают в соответствии с результатом выполнения первой процедуры. Способ дополнительно включает использование по меньшей мере одного аппаратного процессора серверной компьютерной системы, в ответ на выбор первой процедуры, для добавления первого текстового сообщения к оповещению безопасности, указывающему, подвержена ли клиентская система угрозе компьютерной безопасности. Первое текстовое сообщение определяют согласно первому шаблону сообщения, выбранному согласно первой процедуре. Способ дополнительно включает использование по меньшей мере одного аппаратного процессора серверной компьютерной системы, в ответ на выбор второй процедуры, для добавления второго текстового сообщения к оповещению безопасности. Второе текстовое сообщение определяют в соответствии со вторым шаблоном сообщения, выбранным в соответствии со второй процедурой. Способ дополнительно включает использование по меньшей мере одного аппаратного процессора серверной компьютерной системы для передачи оповещения безопасности на устройство администрирования, конфигурированное для отображения оповещения безопасности человеку-оператору.
[0008] Согласно другому аспекту, серверная компьютерная система конфигурирована для защиты множества клиентских систем от угроз компьютерной безопасности. Серверная компьютерная система содержит по меньшей мере один аппаратный процессор, конфигурированный для выполнения экспертного анализатора и диспетчера оповещений, соединенного с экспертным анализатором. Экспертный анализатор конфигурирован, в ответ на получение экспертного индикатора, для выбора первой процедуры для оценки первого предиката безопасности из множества процедур, причем первая процедура выбирается согласно экспертному индикатору. Экспертный индикатор содержит множество элементов метаданных, характеризующих сетевой поток между клиентской системой из множества клиентских систем и другой стороной. Экспертный анализатор дополнительно конфигурирован для выбора второй процедуры для оценки второго предиката безопасности из множества процедур, причем вторая процедура выбирается в соответствии с результатом выполнения первой процедуры. Диспетчер оповещений конфигурирован, в ответ на выбор экспертным анализатором первой процедуры, для добавления первого текстового сообщения к оповещению безопасности, указывающему, подвержена ли клиентская система угрозе компьютерной безопасности. Первое текстовое сообщение определяют согласно первому шаблону сообщения, выбранному согласно первой процедуре. Диспетчер оповещений дополнительно конфигурирован, в ответ на выбор экспертным анализатором второго алгоритма безопасности, для добавления второго текстового сообщения к оповещению безопасности. Второе текстовое сообщение определяется в соответствии со вторым шаблоном сообщения, выбранным в соответствии со второй процедурой. Диспетчер оповещений дополнительно конфигурирован для передачи оповещения безопасности на устройство администрирования, конфигурированное для отображения оповещения безопасности человеку-оператору.
[0009] Согласно другому аспекту, энергонезависимый машиночитаемый носитель хранит инструкции, которые при выполнении по меньшей мере одним аппаратным процессором серверной компьютерной системы, конфигурированной для защиты множества клиентских систем от угроз компьютерной безопасности, предписывают серверной компьютерной системе выполнение экспертного анализатора и диспетчера оповещений, соединенного с экспертным анализатором. Экспертный анализатор конфигурирован, в ответ на получение экспертного индикатора, для выбора первой процедуры для оценки первого предиката безопасности из множества процедур, причем первая процедура выбирается согласно экспертному индикатору. Экспертный индикатор содержит множество элементов метаданных, характеризующих сетевой поток между клиентской системой из множества клиентских систем и другой стороной. Экспертный анализатор дополнительно конфигурирован для выбора второй процедуры для оценки второго предиката безопасности из множества процедур, причем вторая процедура выбирается в соответствии с результатом выполнения первой процедуры. Диспетчер оповещений конфигурирован, в ответ на выбор экспертным анализатором первой процедуры, для добавления первого текстового сообщения к оповещению безопасности, указывающему, подвержена ли клиентская система угрозе компьютерной безопасности. Первое текстовое сообщение определяют согласно первому шаблону сообщения, выбранному согласно первой процедуре. Диспетчер оповещений дополнительно конфигурирован, в ответ на выбор экспертным анализатором второго алгоритма безопасности, для добавления второго текстового сообщения к оповещению безопасности. Второе текстовое сообщение определяют в соответствии со вторым шаблоном сообщения, выбранным в соответствии со второй процедурой. Диспетчер оповещений дополнительно конфигурирован для передачи оповещения безопасности на устройство администрирования, конфигурированное для отображения оповещения безопасности человеку-оператору.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
[0010] Вышеупомянутые аспекты и преимущества настоящего изобретения станут более понятными после прочтения следующего ниже подробного описания, данного со ссылками на чертежи, на которых изображено следующее:
[0011] Фиг. 1 показывает пример набора клиентских систем, защищенных от угроз компьютерной безопасности, согласно некоторым вариантам осуществления настоящего изобретения.
[0012] Фиг. 2 показывает пример обмена данными между различными субъектами согласно некоторым вариантам осуществления настоящего изобретения.
[0013] Фиг. 3 иллюстрирует пример конфигурации аппаратного обеспечения компьютерного устройства согласно некоторым вариантам осуществления настоящего изобретения.
[0014] Фиг. 4 иллюстрирует пример компонентов программного обеспечения, выполняющиеся в клиентской системе согласно некоторым вариантам осуществления настоящего изобретения.
[0015] Фиг. 5 показывает пример последовательности этапов, выполняемых в качестве части предварительной обработки потока согласно некоторым вариантам осуществления настоящего изобретения.
[0016] Фиг. 6 показывает другую последовательность этапов, иллюстрирующую пример процесса маркировки потока согласно некоторым вариантам осуществления настоящего изобретения.
[0017] Фиг. 7-А показывает пример маркировки потока согласно некоторым вариантам осуществления настоящего изобретения.
[0018] Фиг. 7-В показывает другой пример маркировки потока согласно некоторым вариантам осуществления настоящего изобретения.
[0019] Фиг. 8 иллюстрирует пример компонентов программного обеспечения и работы сервера безопасности согласно некоторым вариантам осуществления настоящего изобретения.
[0020] Фиг. 9 показывает пример последовательности этапов, выполняемых компонентом экспертного анализатора согласно некоторым вариантам осуществления настоящего изобретения.
[0021] Фиг. 10 показывает пример последовательности этапов, выполняемых компонентом диспетчера оповещений согласно некоторым вариантам осуществления настоящего изобретения.
[0022] Фиг. 11 иллюстрирует пример процедуры обнаружения атаки, содержащей дерево решений, согласно некоторым вариантам осуществления настоящего изобретения.
[0023] Фиг. 12 показывает другой пример процедуры обнаружения атаки согласно некоторым вариантам осуществления, причем процедура содержит несколько этапов, и каждый этап может выполняться согласно множеству сценариев.
ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯ
[0024] Следует понимать, что в нижеследующем описании все перечисленные соединения между структурами могут быть прямыми функциональными соединениями или непрямыми функциональными соединениями через промежуточные структуры. Набор элементов включает в себя один или более элементов. Считается, что любое упоминание элемента относится по меньшей мере к одному элементу. Множество элементов включает по меньшей мере два элемента. Если не требуется иное, любые описанные этапы способа не обязательно должны выполняться в конкретном проиллюстрированном порядке. Первый элемент (например, данные), полученный из второго элемента, включает в себя первый элемент, равный второму элементу, а также первый элемент, сгенерированный обработкой второго элемента и, опционально, других данных. Принятие определения или решения в соответствии с параметром включает в себя принятие определения или решения в соответствии с параметром и, опционально, в соответствии с другими данными. Если не указано иное, индикатором некоторого количества/данных может быть само количество/данные или индикатор, отличный от самого количества/данных. Компьютерная программа - это последовательность инструкций процессора, выполняющих задачу. Компьютерные программы, описанные в некоторых вариантах осуществления настоящего изобретения, могут быть автономными программными объектами или подобъектами (например, подпрограммами, библиотеками) других компьютерных программ. Термин «база данных» используется здесь для обозначения любого организованного набора данных с возможностью поиска. Машиночитаемые носители включают энергонезависимые носители, такие как магнитные, оптические и полупроводниковые носители данных (например, жесткие диски, оптические диски, флэш-память, DRAM), а также каналы коммуникации, такие как проводящие кабели и оптоволоконные линии. Согласно некоторым вариантам осуществления настоящее изобретение обеспечивает, среди прочего, компьютерные системы, содержащие аппаратные средства (например, один или более процессоров), запрограммированные для выполнения описанных здесь способов, а также машиночитаемые инструкции кодирования мультимедиа для выполнения способов, описанных в данном документе.
[0025] Нижеследующее описание иллюстрирует варианты осуществления изобретения в качестве примера, а не обязательно в качестве ограничения.
[0026] Фиг. 1 показывает пример конфигурации, в которой множество клиентских систем 10а-е защищено от угроз компьютерной безопасности согласно некоторым вариантам осуществления настоящего изобретения. Клиентские системы 10а-е могут представлять любое электронное устройство, имеющее процессор, память и коммуникационный интерфейс. Примеры клиентских систем 10а-е включают корпоративные мэйнфреймы, персональные компьютеры, ноутбуки, планшетные компьютеры, мобильные телекоммуникационные устройства (например, смартфоны), медиаплееры, телевизоры, игровые консоли, бытовую технику (например, холодильники, термореле, интеллектуальное отопление и/или системы освещения), а также носимые устройства (например, умные часы, спортивное и фитнес-оборудование), среди прочего. Клиентские системы 10а-е связаны между собой локальной сетью 12 и дополнительно подключены к расширенной сети 14, такой как Интернет. Локальная сеть 12 может содержать локальную сеть (LAN). Примеры локальных сетей 12 могут включать, среди прочего, домашнюю сеть и корпоративную сеть.
[0027] В некоторых вариантах осуществления устройство 15 экспорта потока конфигурировано для перехвата трафика данных между клиентами 10а-е в пределах локальной сети 12 и/или между клиентами 10а-е и другими субъектами, расположенными вне локальной сети 12. В некоторых вариантах осуществления экспортер 15 потока конфигурирован так, чтобы действовать в качестве шлюза между локальной сетью 12 и расширенной сетью 14, или же конфигурирован так, что по меньшей мере часть сетевого трафика между локальной сетью 12 и расширенной сетью 14 проходит через экспортер 15 потока. В некоторых вариантах осуществления экспортер потока выборочно извлекает информацию из перехваченного трафика, представляет извлеченную информацию в качестве сетевого потока, закодированного в экспортном формате, таком как экспорт информации о потоке по Интернет-протоколу - IPFIX (описанный в запросе комментариев инженерной группы Интернета IETF-RFC 7011) или NetFlow® от Cisco, Inc. (см., например, IETF-RFC 3954), и экспортирует соответствующие данные сетевого потока на агрегатор данных или сервер безопасности, как показано ниже. Сетевой поток может быть определен как набор пакетов данных, проходящих через точку наблюдения в сети (например, экспортер 15 потока) в течение определенного интервала времени, так что все пакеты, принадлежащие конкретному потоку, имеют набор общих свойств (например, то же происхождение и/или назначение). Экспортируемая информация, относящаяся к сетевому потоку, обычно содержит сводку метаданных перехваченного трафика, соответствующие метаданные, полученные из заголовков пакетов или характеристик пакетов, отличных от фактического содержимого полезных данных. Примеры элементов метаданных потока включают в себя IP-адрес отправителя и получателя или имя домена в Интернете, размер полезных данных, протокол передачи, временную метку и т.д. В типичном формате экспорта данные могут быть организованы в виде таблицы, где каждая строка представляет отдельный поток, а каждый столбец - значение параметра соответствующего потока. Такие столбцы таблицы потоков в настоящем документе считаются элементами потока. Элементы потока, сформулированные в соответствии с отраслевыми стандартами, такими как IPFIX и NetFlow, в настоящем документе называются стандартными элементами потока.
[0028] В некоторых вариантах осуществления агрегатор 17 данных конфигурирован для приема информации от защищенных клиентов 10а-е и/или экспортера(ов) 15 потока, а также для организации и предварительной обработки такой информации при подготовке к экспертному анализу. Сервер 16 безопасности, связанный с возможностью обмена информацией с агрегатором 17 данных и/или репозиторием 18 данных, конфигурирован для анализа информации, собранной от клиентов, для обнаружения потенциальных угроз компьютерной безопасности.
[0029] Агрегатор 17 данных может выполнять частичный экспертный анализ информации, полученной от клиентов и/или экспортеров потоков. Тем не менее, типичный агрегатор 17 данных не выполняет оценок безопасности, например, не определяет, указывает ли конкретный поток на несанкционированный доступ к какой-либо части компьютерной системы, или указывает ли соответствующий поток на заражение вредоносным ПО. Вместо этого тип предварительной обработки, выполняемой типичными вариантами осуществления агрегатора 17 данных, направлен на ускорение и облегчение экспертного анализа, выполняемого другими компонентами системы (например, сервером 16 безопасности), за счет снятия некоторой вычислительной нагрузки с этих компонентов. Затем сервер 16 может сосредоточиться на выполнении программ обнаружения вредоносного ПО и/или вторжений, в то время как существенная часть работы, требуемой для приведения данных в оптимальную форму для обработки безопасности, может выполняться агрегатором 17 данных. Примеры операций предварительной обработки включают в себя фильтрацию событий и/или потоков, то есть, выбор событий и/или данных потока согласно различным критериям.
[0030] Некоторые варианты осуществления агрегатора 17 данных хранят относящуюся к безопасности информацию (например, индикаторы событий, сетевые потоки) в репозитории 18 данных, который может быть реализован с использованием любого типа машиночитаемого носителя, включая, но не ограничиваясь, жесткий диск, хранилище SAN, RAM-диск, любые структуры памяти, накопитель и т.д. Агрегатор 17 данных может не хранить все результаты предварительной обработки потока в репозиторий 18 данных. Вместо этого в некоторых вариантах осуществления выбираются некоторые результаты, которые могут быть особенно информативными и/или могут наилучшим образом фиксировать какой-либо тип изменения состояния контролируемого клиента и/или сети. Такие результаты предварительной обработки могут быть выбраны в соответствии с набором заранее определенных правил. Работа агрегатора 17 данных более подробно описана ниже.
[0031] В некоторых вариантах осуществления клиентские системы 10а-е контролируются, управляются и/или конфигурируются удаленно с использованием программного обеспечения, выполняемого на устройстве 13 администрирования, подключенном к расширенной сети 14 (например, Интернет). Примеры устройств 13 администрирования включают, среди прочего, персональный компьютер и смартфон. Устройство 13 может предоставлять графический интерфейс пользователя (GUI), позволяющий пользователю (например, специалисту по компьютерной безопасности, сетевому администратору) удаленно контролировать и/или управлять работой клиентских систем 10а-е, например, для установки параметров конфигурации и/или получения оповещения безопасности о событиях, происходящих в соответствующих клиентских системах. В одном примере сценария использования клиенты 10а-е представляют собой отдельные компьютеры в корпоративной сети, а устройство 13 администрирования в совокупности представляет собой компьютеры центра управления безопасностью (SOC), конфигурированные для визуализации и контроля активности соответствующей сети. В одном из таких примеров устройство 13 администрирования может выполнять программное обеспечение управления информацией и событиями (SIEM), конфигурированное для отображения оповещений безопасности, связанных с событиями, происходящими в соответствующей корпоративной сети. В другом примере сценария использования клиенты 10а-е представляют собой электронные устройства домашнего хозяйства, соединенные между собой домашней сетью. В таких случаях устройство администрирования 13 может представлять смартфон владельца, выполняющий приложение, которое позволяет соответствующему владельцу получать оповещения безопасности, касающиеся клиентов 10а-е, настраивать параметры доступа к сети и/или родительского контроля и т.д.
[0032] Квалифицированный специалист поймет, что проиллюстрированная конфигурация с фиг. 1 является лишь одной из многих возможных конфигураций. Каждый из компонентов 15 и 17 может быть реализован как автономное сетевое устройство или может быть реализован как часть сервера или группы серверов, опционально как микропрограммное обеспечение или как программное обеспечение. Например, экспортер 15 потока и агрегатор 17 данных могут быть воплощены в виде компьютерных программ, выполняемых на одной и той же физической машине. В некоторых вариантах осуществления агрегатор 17 данных может выполняться на сервере 16 безопасности. В другом альтернативном варианте осуществления экспортер 15 потока может представлять собой программное обеспечение, выполняющееся в клиентской системе, например, клиентах 10а-е на фиг. 1. В других примерных вариантах осуществления любой из экспортера 15 потока и агрегатора 17 данных может быть осуществлен в виде специализированного аппаратного устройства, например, с использованием программируемых вентильных матриц (FPGA) или специализированных интегральных схем (ASIC).
[0033] Фиг. 2 показывает пример обмена данными согласно некоторым вариантам осуществления настоящего изобретения. Агрегатор 17 данных может принимать индикатор 22 события от контролируемой клиентской системы 10 и/или индикатор 20 потока от экспортера 15 потока. Индикатор 22 события может содержать данные, указывающие на возникновение события во время работы соответствующей клиентской системы. Некоторые такие события могут указывать на угрозу безопасности. Другие события могут не указывать на злой умысел сами по себе, но могут указывать на атаку, если они предпринимаются в контексте других событий, происходящих в соответствующей клиентской системе или в других контролируемых клиентских системах. Пример индикатора 22 события может указывать на то, что конкретное вредоносное программное обеспечение (вредоносное ПО) было обнаружено в соответствующей клиентской системе. Другие примеры событий, передаваемых через индикатор 22 событий, включают запуск определенного программного компонента/приложения, попытку доступа к определенному месту на локальном запоминающем устройстве (например, жестком диске) или конкретному сетевому ресурсу, определенную последовательность операций (например, большое количество операций записи на диск за короткое время) и т.д. Индикатор 20 потока может включать в себя сводку сетевого трафика, организованную в виде набора метаданных (например, таблицы данных в формате NetFlow или IPFIX, содержащей множество стандартных элементов потока).
[0034] В некоторых вариантах осуществления агрегатор 17 данных может предварительно обработать собранные данные, чтобы облегчить дальнейший анализ сервером 16 безопасности. Предварительная обработка может добавлять подробности (например, дополнительные метаданные) к данным, полученным от экспортера 15 потока и/или клиентских систем 10а-е. В одном из таких примеров данные сетевого потока могут быть маркированы дополнительной информацией (например, геолокацией, частотой посещения конкретного IP-адреса, соотношением между отправлением и получением и т.д.). В альтернативном варианте осуществления такая маркировка потока может выполняться экспортером 15 потока. Подробности и примеры предварительной обработки/маркировки потока приведены ниже.
[0035] Сервер 16 безопасности в общем представляет собой набор связанных с возможностью обмена информацией компьютерных систем, которые могут находиться или не находиться в физической близости друг от друга. Сервер 16 конфигурирован для анализа данных, полученных от клиентов, для обнаружения угроз компьютерной безопасности, таких как вредоносное ПО и вторжение. Когда такой анализ указывает на угрозу, некоторые варианты осуществления сервера 16 передают оповещение 26 безопасности на устройство 13 администрирования. Оповещение 13 содержит кодирование по меньшей мере одного сообщения оповещения, сформулированного на естественном языке (например, английском, голландском и т.д.), соответствующего сообщения, сформулированного для предоставления информации оператору-человеку (например, специалисту по компьютерной безопасности, сетевому администратору, владельцу, и т.д.) о соответствующей угрозе и о причинах, приведших к ее обнаружению. В некоторых вариантах осуществления сообщение оповещения может дополнительно включать в себя значения различных параметров или численные значения, определенные во время анализа (например, время, размеры файлов, сетевые адреса, географические местоположения), а также предложения по дальнейшему действию или исследованию (например, изолировать сетевой домен X, запустить антивирусное ПО на хосте Y и т.д.).
[0036] Пример сообщения оповещения может гласить: «Вероятность злонамеренной активности со стороны объекта, принадлежащего к поддомену сети «Бухгалтерский учет», составляет 75%. Принтер, расположенный по сетевому адресу X, загрузил значительный объем данных (размером > 1 ГБ) на подозрительный IP-адрес (щелкните для подробностей). Перевод произошел в нерабочее время, в выходные (щелкните для подробностей)». Некоторые части сообщения оповещения могут быть снабжены гиперссылками, с отображением большего количества текста при нажатии на них. Например, «целевое устройство было идентифицировано как принтер, потому что его МАС-адрес указывает на устройство, произведенное Epson», и «целевой IP-адрес был признан подозрительным, поскольку он соответствовал элементу из серого списка и был геопозиционирован на территории Украины».
[0037] Другой пример сообщение оповещения может гласить: «Оповещение о вторжении! Обнаружено с помощью эвристики №5, 25 и 71 (щелкните на числа для подробностей)». Другая версия может гласить «Оповещение о вторжении! Обнаружено по времени активности, адресу назначения и размеру полезных данных (щелкните для подробностей)». В приведенных выше примерах подчеркнутые элементы могут содержать гиперссылки.
[0038] Фиг. 3 показывает пример конфигурации аппаратного обеспечения компьютерного устройства согласно некоторым вариантам осуществления настоящего изобретения. Проиллюстрированное вычислительное устройство в целом представляет собой любую из машин, показанных на фиг. 1 (клиенты 10а-е, устройство 13 администрирования, экспортер 15 потока, агрегатор 17 данных и сервер 16 безопасности). Конфигурация, показанная на фиг. 3, соответствует компьютерной системе; архитектура других устройств, таких как планшетные компьютеры, смартфоны и т.д., может немного отличаться от примерной архитектуры, показанной в данном документе. Процессор 32 содержит физическое устройство (например, многоядерную интегральную схему, сформированную на полупроводниковой подложке), конфигурированное для исполнения вычислительных и/или логических операций с набором сигналов и/или данных. Такие операции могут быть закодированы в виде инструкций процессора (например, машинный код или какой-либо другой язык программирования). Блок 34 памяти может содержать недолговечный машиночитаемый носитель (например, RAM), хранящий инструкции процессора и/или данные, к которым осуществляется доступ или которые генерируются процессором 32 в ходе выполнения операций. Устройства 36 ввода могут включать в себя компьютерные клавиатуры, мыши и микрофоны, среди прочего, в том числе соответствующие аппаратные интерфейсы и/или адаптеры, позволяющие пользователю вводить данные и/или инструкции в соответствующее вычислительное устройство. Устройства 38 вывода могут включать в себя устройства отображения, такие как мониторы и динамики, среди прочего, а также аппаратные интерфейсы/адаптеры, такие как графические карты, позволяющие соответствующему вычислительному устройству передавать данные пользователю. В некоторых вариантах осуществления устройства 36 ввода и устройства 38 вывода могут совместно использовать общую часть аппаратного обеспечения, как в случае устройств с сенсорным экраном. Устройства 42 хранения включают в себя машиночитаемые носители, обеспечивающие энергонезависимое хранение, чтение и запись программных инструкций и/или данных. Примерные устройства 42 хранения включают в себя магнитные и оптические диски и устройства флэш-памяти (твердотельные), а также съемные носители, такие как CD и/или DVD диски и приводы. Сетевые адаптеры 44 позволяют соответствующему вычислительному устройству подключаться к сети электронной коммуникации и/или обмениваться данными с другими устройствами/компьютерными системами. Контроллер-концентратор 40 представляет собой множество шин системы, периферии и/или чипсета и/или всех других электронных схем, обеспечивающих коммуникации между процессором 32 и устройствами 34, 36, 38, 42 и 44. Например, контроллер-концентратор 40 может включать в себя, среди прочего, контроллер памяти, контроллер ввода/вывода (I/O) и контроллер прерываний. В другом примере контроллер-концентратор 40 может содержать процессор 32 подключения северного моста к памяти 34 и/или процессор 32 подключения южного моста к устройствам 36, 38, 42 и 44.
[0039] На фиг. 4 показаны примерные компоненты программного обеспечения, выполняющиеся в клиентской системе, например клиентах 10а-е с фиг. 1. Приложение 48, в целом, представляет любое пользовательское приложение, такое как текстовый редактор, электронная таблица, компьютерная графика, браузер, игра, медиаплеер и приложения электронной коммуникации, среди прочего. Приложение 50 безопасности может выполнять различные задачи компьютерной безопасности, такие как обнаружение вредоносного программного обеспечения, контроль приложений, родительский контроль и т.д. Приложение 50 может содержать сборщик событий 52, конфигурированный для обнаружения возникновения различных связанных с безопасностью событий во время выполнения приложения 48 и/или ОС 46. Возникновение и параметры таких событий могут быть переданы агрегатору 17 данных в виде индикаторов 22 событий. Сетевой фильтр 53 может предоставлять услуги безопасности коммуникации, такие как межсетевой экран и/или анализ трафика. В некоторых вариантах осуществления сетевой фильтр 53 может извлекать информацию из электронных сообщений между клиентом 10 и другими субъектами и может экспортировать такую информацию в качестве индикатора потока в агрегатор 17 данных.
[0040] Фиг. 5-6 показывают примеры последовательностей этапов, подробно описывающие примерную работу агрегатора 17 данных согласно некоторым вариантам осуществления настоящего изобретения. Конкретная операция предварительной обработки, выполняемая агрегатором 17, включает маркирование сетевых потоков, полученных от клиентов 10а-е и/или экспортера(ов) 15 потока. Маркирование в настоящем документе относится к определению дополнительной информации (например, метаданных) из входящих данных, таких как индикатор 20 потока и/или индикатора 22 события (см. фиг. 2), и добавления соответствующей дополнительной информации к представлению соответствующих входящих данных, например в качестве дополнительного столбца в строке таблицы, представляющей сетевой поток. Маркированные элементы потока могут быть определены в соответствии с любой комбинацией стандартных элементов потока (т.е. элементов потока, сформулированных в соответствии со стандартом, таким как NetFlow или IPFIX), или могут опционально быть получены в соответствии с такими стандартными элементами потока и, возможно, другой внешней и/или не относящейся к потоку информации.
[0041] Неограничивающим примером маркированного элемента является элемент с маркированной геолокации, полученной из IP-адреса целевого сетевого потока с помощью справочной таблицы геолокации. Таблица поиска сопоставляет IP-адрес с географическим положением (например, страной, городом, почтовым индексом, регионом и т.д.), которое затем становится новым маркированным элементом соответствующего потока. Другим неограничивающим примером маркированного элемента является промежуток времени или продолжительность, которая может быть дополнительно вычислена в соответствии с временными метками «время начала потока» и «время окончания потока». Другой пример маркированного элемента - это индикатор частоты запросов, полученных с определенного IP-адреса. Еще один примерный маркированный элемент - это коэффициент трафика, полученный из количества данных, отправленных и полученных от конкретного IP-адреса или конкретного порта устройства, расположенного на конкретном IP-адресе. Еще один примерный маркированный элемент - это элемент порта/IP-адреса, полученный в соответствии с исходным IP-адресом и портом назначения сетевого потока.
[0042] Конкретная категория маркированных элементов включает составные маркированные элементы, которые определяются согласно другим маркированным элементам и, опционально, согласно другим данным. Составной маркированный элемент может содержать комбинацию множества маркированных элементов. Неограничивающий пример маркированного составного элемента определяется в соответствии с элементом с интервалом времени и элементом с маркировкой геолокации. Другой неограничивающий пример вычисляется путем определения объема трафика (например, частоты, байтов или их комбинации) для конкретной геолокации. Составные маркированные элементы, в свою очередь, могут использоваться для определения других, более сложных маркированных элементов.
[0043] Фиг. 5 показывает примерную последовательность этапов, выполняемых для маркировки потока согласно некоторым вариантам осуществления настоящего изобретения. В ответ на прием сетевого потока для анализа на этапе 104 может быть определен порядок маркировки. В некоторых вариантах осуществления маркирование осуществляется посредством набора модулей маркировки, которые могут выполняться одновременно или последовательно в зависимости от типа анализируемых данных. Например, каждый модуль маркировки может вычислять отдельный маркирвоанный элемент. В оптимизированной конфигурации параллельных вычислений отдельные модули маркировки могут выполняться на разных физических процессорах агрегатора 17. Этап 104 может определять порядок, в котором такие модули выполняются, например, в соответствии с характеристикой анализируемого сетевого потока. В одном примере выполнение модуля маркировки А требует наличия определенного маркированного элемента, который вычисляется модулем маркировки В. Затем примерная очередность может гарантировать, что модуль В выполняется перед модулем А. Очередность также может предотвратить циклические зависимости и/или бесконечные циклы. В альтернативном варианте агрегатор 17 данных содержит конечный автомат, который автоматически запускает выполнение различных модулей маркировки в соответствии с особенностями анализируемого сетевого потока. Например, каждый модуль маркировки может запускаться при наличии определенного типа элемента потока.
[0044] На этапе 106 модуль маркировки выбирается в соответствии с очередностью. На следующем этапе 108 выполняется соответствующий модуль маркировки (подробности см. на фиг. 6). Затем на этапе 110 определяется, есть ли еще какие-либо модули маркировки, которые необходимо выполнить, и если да, агрегатор 17 данных возвращается к этапу 106, чтобы выбрать другой модуль маркировки для выполнения.
[0045] На фиг. 6 показана последовательность этапов, подробно описывающая выполнение типичного модуля маркировки. Сначала на этапе 122 проверяется, все ли данные, необходимые для получения соответствующего маркированного элемента, доступны, например, все ли необходимые элементы потока уже определены. Если нет, выполнение соответствующего модуля маркировки может завершиться. В некоторых вариантах осуществления соответствующий модуль может быть повторно запущен позже, когда требуемые данные станут доступны.
[0046] Когда все требуемые данные доступны, соответствующий модуль (модули) маркировки может выполнять последовательность этапов в цикле для каждой строки таблицы, представляющей соответствующий сетевой поток. Для каждой строки этап 126 может считывать набор элементов потока, в то время как этап 128 может определять маркированный элемент согласно соответствующим элементам потока и, опционально, согласно другим данным. Когда необходимо создать новый столбец для вмещения маркированного элемента, соответствующий столбец создается на этапе 132. Следующий этап 134 фактически записывает маркированный элемент в таблицу, представляющую сетевой поток. Этап 134 может включать перезапись существующего маркированного элемента.
[0047] На фиг. 7-А-В показан пример процесса маркировки добавочного потока согласно некоторым вариантам осуществления настоящего изобретения. Индикатор 20 потока включает множество потоков, каждый из которых представлен в виде строки таблицы, имеющей множество столбцов/стандартных элементов, представляющих, например, IP-адрес источника и назначения, размер пакета и т.д. Индикатор 20 потока может быть получен от экспортера 15 потока (см. фиг. 2 и соответствующее описание выше). В проиллюстрированном примере первый модуль маркировки определяет геолокацию в соответствии с элементом «IP-адрес назначения» каждого потока. Вновь вычисленный маркированный элемент записывается в новый столбец. Второй модуль повторно использует элемент/столбец «IP-адрес назначения», но он также использует внутреннюю базу данных, которая отслеживает, как часто посещался IP-адрес. Он увеличивает значение во внутренней базе данных, хранит это значение в базе данных и копирует его в новый столбец, обозначенный в настоящем документе как «Частота». Третий модуль маркировки использует столбцы «Отправленные байты» и «Полученные байты» и определяет соотношение трафика, например, как отправленное/полученное, и записывает вновь вычисленное значение в новый столбец, обозначенный в настоящем документе как «Коэффициент трафика». Четвертый модуль маркировки использует стандартные элементы «IP-адрес источника» и «Порт назначения» каждого потока и внутреннюю базу данных для определения степени, в которой соответствующий кортеж значений представляет собой аномальное отклонение от предыдущей активности, записанной на этом IP-адресе источника. Этот новый маркированный элемент записывается в новый столбец, который называется «Показатель аномалии 1».
[0048] В примере составной маркировки пятый модуль маркировки (фиг. 7-В) использует столбец «Порт назначения» и столбец «Коэффициент трафика», ранее определенные третьим модулем маркировки, для изменения значения, уже присутствующего в столбце «Показатель аномалии 1» и определенного четвертым модулем маркировки. Результат обновляется в существующем столбце «Показатель аномалии 1» или, опционально, в новом столбце, обозначенном в настоящем документе «Показатель аномалии 2».
[0049] Фиг. 8 показывает пример компонентов и работы сервера 16 безопасности согласно некоторым вариантам осуществления настоящего изобретения. Компоненты могут включать экспертный анализатор 64, подключенный к диспетчеру 66 оповещений, и диспетчер 62 сценариев, подключенный к экспертному анализатору 64 и/или диспетчеру 66 оповещений. Квалифицированный специалист поймет, что диспетчер 62, анализатор 64 и диспетчер 66 оповещений могут быть отдельными объектами (например, отдельными процессами, которые могут выполняться на различных физических процессорах) или отдельными компонентами (например, библиотеками) единого программного объекта, выполняемого на сервере 16. Точно так же следует понимать, что «подача сигналов», как описано в данном документе, может представлять фактическую передачу данных между отдельными исполняющими объектами/машинами или передачу значений между отдельными модулями одного исполняющего объекта. В альтернативных вариантах осуществления некоторые компоненты могут быть реализованы аппаратно и/или программно.
[0050] Термин «предикат» используется в настоящем документе для обозначения утверждения, которое имеет переменную степень истинности, зависящую от значений его переменных. Оценка предиката включает определение значения истинности соответствующего предиката. Примеры предикатов, среди прочего, включают «клиент X подвергся атаке», «клиент X является принтером» и «размер загружаемых данных превышает 1 ГБ». Некоторые предикаты являются строго логическими (истина/ложь), в то время как значение истинности других предикатов может быть числовым, что указывает на вероятность того, что соответствующий предикат истинен (например, существует вероятность р, что клиент X подвергся атаке, причем р может быть 50%, 65%, 90% и т.д.). В некоторых вариантах осуществления некоторые значения предиката выборочно запускают оповещение, как более подробно показано ниже. Например, определение того, что клиент X подвергается атаке, может вызвать оповещение, в то время как определение того, что клиент X является принтером, не может. В другом примере оповещение запускается, когда вероятность того, что соответствующий предикат имеет вычисленное значение истинности, превышающее заранее определенное предельное значение (например, вероятность атаки >75%).
[0051] Термин «сценарий» используется в настоящем документе для обозначения набора правил, протокола или алгоритма оценки предиката. Один из примеров сценария содержит набор условий, которые, когда удовлетворяются входящим набором данных потока и/или события, указывают, что соответствующий предикат является истинным. Сценарий может включать в себя любое логическое предложение, содержащее набор предикатов, связанных И, ИЛИ и/или НЕ, например импликация (р ∧ q) ∨(r ∧ s ∧ ¬ t) → u, где р, q, r, s, t - исходные условия, а u - заключение. В одном из таких примеров и является основным предикатом, связанным с соответствующим сценарием (например, «клиент X подвергся атаке»). Выполнение соответствующего сценария включает оценку множества других субпредикатов р, q, …t. Предикат р может гласить «клиент X является принтером», предикат q может гласить «клиент X загрузил данные на подозрительный IP-адрес», а предикат t может гласить «активность произошла в рабочее время». Оценка предиката q, в свою очередь, может потребовать оценки нескольких субпредикатов (например, проверки того, находится ли соответствующий адрес в черном или сером списке, и проверки того, привязан ли соответствующий IP-адрес к определенному региону или стране). Другие примеры сценария включают эвристику обнаружения вредоносных программ и дерево решений. Обычно между предикатами и сценариями существует отношение «один ко многим», т.е. может быть несколько способов оценки одного предиката.
[0052] Некоторые варианты осуществления используют несколько (например, сотни) сценариев для обнаружения угроз компьютерной безопасности. Несколько таких сценариев могут выполняться параллельно. Сценарии могут быть реализованы в виде программных программ, то есть последовательностей компьютерных инструкций, специфичных для соответствующего сценария. Сценарии могут храниться в репозитории 19 сценариев в машиночитаемой форме, такой как исполняемый код, XML, байт-код, язык Пролог и т.д. Затем сценарии могут быть извлечены, доступны или вызваны выборочно в соответствии с особенностями полученного потока и/или индикаторов событий. Чтобы обеспечить возможность выборочного запуска сценариев, некоторые варианты осуществления репозитория сценариев дополнительно содержат индикаторы связи между предикатами и сценариями, используемые для оценки соответствующих предикатов.
[0053] В некоторых вариантах осуществления диспетчер 62 сценариев конфигурирован для выбора набора сценариев в соответствии с предикатом и/или различными характеристиками собранных данных и для передачи выбора в экспертный анализатор 64 и/или диспетчер 66 оповещений. Выполнение некоторых сценариев может быть инициировано определенными триггерными событиями и/или значениями триггеров определенных элементов собранных потоков. В одном таком примере диспетчер 62 сценария и/или экспертный анализатор 64 могут содержать конечный автомат, запускаемый определенными значениями входных экспертных индикаторов.
[0054] Экспертный анализатор 64 конфигурирован для анализа данных, собранных из клиентских систем 10а-е и/или модуля 15 экспорта потоков, в соответствии с набором сценариев. Анализируемые данные могут включать результат предварительной обработки агрегатором 17 данных и/или экспортером/эксппортерами 15 потока. В некоторых вариантах осуществления такая предварительная обработка может включать в себя маркировку, то есть добавление дополнительных метаданных к данным, полученным от клиентов, для облегчения анализа экспертным анализатором 64.
[0055] Фиг. 9 иллюстрирует работу экспертного анализатора 64 согласно некоторым вариантам осуществления настоящего изобретения. Для каждого предиката, требующего оценки, анализатор 64 может выборочно извлекать по меньшей мере один сценарий и выполнить соответствующий сценарий для оценки соответствующего предиката. Оценка предикатов может дополнительно включать извлечение/доступ к информации из репозитория 18 данных. Такая информация может содержать параметры конфигурации устройства, данные идентификации устройства (например, таблицу, связывающую МАС-адреса с производителями или типами устройств и т.д.) и/или ретроспективные данные (например, журналы событий или сети и т.д.). Учитывая, что оценка предиката может включать оценку других субпредикатов, при этом каждый такой субпредикат может оцениваться согласно отдельному сценарию, некоторые варианты осуществления рекурсивно выполняют этапы 202-212, пока не будут оценены все соответствующие предикаты и субпредикаты.
[0056] В некоторых вариантах осуществления этап 209 может проверить, была ли оценка предиката успешной. Иногда некоторые предикаты невозможно оценить из-за отсутствия необходимых данных. В некоторых случаях позже может быть сделана еще одна попытка оценить соответствующий предикат. Когда соответствующий предикат был успешно оценен, на этапе 210 экспертный анализатор 64 передает результат оценки текущего предиката диспетчеру 66 оповещений. В ответ диспетчер 66 может сформулировать текстовую часть оповещения в соответствии с такими результатами, полученными от анализатора 64 (более подробно ниже). Когда оценка предиката завершена, этап 214 может проверить, удовлетворяет ли вычисленное значение предиката условию оповещения (например, вероятность атаки >75%). Если да, анализатор 64 может сигнализировать диспетчеру 66 оповещений, чтобы подготовить для передачи оповещение 26 безопасности.
[0057] В некоторых вариантах осуществления диспетчер 66 оповещений формулирует и передает оповещение 26 безопасности на устройство 13 администрирования (см. фиг. 2). Оповещения представляют собой текстовую часть, сформулированную на естественном языке. Соответствующая текстовая часть может включать в себя различные значения (например, значения предиката), оцениваемые во время выполнения сценария экспертным анализатором 64. Диспетчер 66 оповещений может формулировать сообщения оповещения в соответствии с набором заранее определенных шаблонов оповещений. В некоторых вариантах осуществления каждый шаблон оповещения связан со сценарием, позволяя выборочный поиск соответствующего шаблона согласно сценарию (сценариям), выполняемому экспертным анализатором 64. Примерный шаблон оповещения может содержать текст, сформулированный на естественном языке, и набор заполнителей для значений предикатов, оцениваемых как часть соответствующего сценария. Некоторые примерные шаблоны показаны ниже:
• Т1: Имеется [% val_1] вероятности вторжения. Целевой IP-адрес [% val_2]. Оценка основана на типе устройства, объеме загруженных данных и IP-адресе назначения, как показано ниже.
• Т2: клиентское устройство - это [% val_3].
• Т3: На [% val_4] клиент загрузил приблизительно [% val_5] данных на подозрительный IP-адрес.
• Т4: Клиентское устройство - это принтер в соответствии с МАС-адресом и открытыми интерфейсами коммуникации.
• Т5: IP-адрес был признан подозрительным, поскольку он привязан к [% val_6].
• Т6: IP-адрес был внесен в черный список.
где [% val_i] указывает заполнители для элементов, включая IP-адрес, дату, размер файла и т.д. Шаблоны оповещений могут храниться в специальном репозитории 29 шаблонов или, альтернативно, могут быть включены в репозиторий 19 сценариев. В одном примере шаблоны оповещений могут быть закодированы вместе со связанным сценарием, например, как часть кодирования XML, байт-кода или кода Пролога соответствующего сценария.
[0058] Фиг. 10 показывает пример последовательности этапов, выполняемых диспетчером 66 оповещений согласно некоторым вариантам осуществления настоящего изобретения. Проиллюстрированный диспетчер оповещений перехватывает сигналы, полученные от диспетчера 62 сценария и/или экспертного анализатора 64. Затем сообщение оповещения постепенно создается на основе индивидуальных шаблонов для конкретного сценария и результатов оценки, полученных от экспертного анализатора 64. Когда принятый сигнал содержит индикатор 63 сценария (фиг. 8), менеджер 66 оповещений может выборочно извлекать шаблон оповещения, связанный с соответствующим сценарием, из репозитория 29 шаблонов. Когда оцениваются различные предикаты сценария, этап 232 может редактировать текущее сообщение оповещения, чтобы включить в него вычисленные значения. В некоторых вариантах осуществления этап 232 может просто создать экземпляр соответствующего шаблона с оцененными значениями предиката (в приведенных выше примерах замена заполнителя [% val_3] на «принтер» и заполнителя [% val_4] меткой времени).
[0059] Когда оценка предиката включает оценку набора субпредикатов, диспетчер 64 оповещений может рекурсивно извлекать шаблоны согласно сценариям для оценки соответствующих субпредикатов. В таких ситуациях этап 232 может включать переформулировку текущего сообщения оповещения в соответствии с шаблоном оповещения для основного сценария/предиката и, кроме того, в соответствии с индивидуальным шаблоном/шаблонами, связанным(и) с соответствующим субпредикатом. В некоторых вариантах осуществления такая переформулировка может просто включать конкатенацию основного шаблона оповещения с шаблонами соответствующих субпредикатов. Используя примерные шаблоны, проиллюстрированные выше, конкатенация может привести к шаблону оповещения, гласящему «Т1Т2Т3». В альтернативных вариантах осуществления конкатенация может быть заменена более сложной обработкой, например, для создания иерархического шаблона, позволяющего пользователю получать доступ к различным уровням информации, относящейся к соответствующей ситуации безопасности. Такое примерное переформулирование шаблонов включает в себя введение гиперссылок, диаграмм, подробных списков и т.д.
[0060] Когда диспетчер 234 оповещений получает индикатор оповещения от анализатора 64, указывающий на выполнение набора условий для оповещения пользователя/администратора, диспетчер 66 оповещений может собрать оповещение 26 безопасности, включая текстовое сообщение, созданное на этапах 226-232, и вывести оповещение 26 для передачи на устройство 13 администрирования.
[0061] Примерные системы и способы, описанные выше, позволяют эффективно обнаруживать и передавать угрозы компьютерной безопасности даже в высокопроизводительных вычислительных приложениях и высокоскоростных сетях. В некоторых вариантах осуществления используются распределенные агенты для сбора важных для безопасности данных от клиентов. Такие данные могут включать в себя, например, сводки сетевого трафика и/или информацию о возникновении конкретных событий во время выполнения программного обеспечения на защищенном клиентском устройстве. Собранная информация затем централизуется и предварительно обрабатывается перед подачей в экспертный анализатор, конфигурированный для определения, указывают ли собранные данные на угрозу компьютерной безопасности, такую как вредоносное программное обеспечение и/или сетевое вторжение. Предварительная обработка может включать в себя, например, маркировку данных сетевого потока дополнительной информацией, указывающей на безопасность (например, метаданными, полученными согласно различным аспектам соответствующего потока и/или согласно данным, не относящимся к потоку). Такая предварительная обработка может существенно облегчить обнаружение, избавляя экспертный анализатор от некоторой вычислительной нагрузки, связанной с обнаружением. Такое распределение вычислительных затрат между компонентами системы безопасности может быть особенно важным в высокоскоростных высокопроизводительных вычислительных приложениях, где объем данных может превосходить традиционные централизованные системы компьютерной безопасности.
[0062] Некоторые варианты осуществления настоящего изобретения основаны на наблюдении, что скорость и абсолютный объем данных, циркулирующих по современным сетям электронной коммуникации, могут легко перегрузить персонал компьютерной безопасности. Следовательно, существует сильный стимул для разработки надежных и масштабируемых способов анализа и визуализации информации, относящейся к безопасности. Некоторые варианты осуществления обеспечивают интуитивно понятное представление соответствующих подробностей в ответ на обнаружение события безопасности, так что даже средний компьютерный оператор может понять, что произошло и как реагировать на каждую ситуацию.
[0063] Некоторые варианты осуществления отображают сообщение оповещения, сформулированное на естественном языке (например, английском, китайском), подробно описывающие различные аспекты события безопасности, включая отчет об аргументации, которая привела к его обнаружению. Такие сообщения оповещения существенно облегчают понимание события безопасности, позволяют оператору мысленно проверить точность заключения, вынесенного машиной, а также позволяют сообщать о соответствующем событии нетехническому персоналу (например, менеджерам, владельцам и т.д.). Некоторые такие сообщения могут даже использоваться в качестве экспертных доказательств в суде.
[0064] В некоторых вариантах осуществления сообщение оповещения создается постепенно и динамически путем сборки фрагментов сообщения по мере прохождения машиной алгоритма обнаружения. В одном из таких примеров фрагмент сообщения может добавляться каждый раз, когда оценивается условие или вычисляется конкретная переменная. Таким образом, сообщение оповещения может развиться от «X произошло» до «X произошло, потому что Y» и до «X произошло из-за Y и Z, где Z было определено на основе Z1 и Z2» и т.д.
[0065] Одним из преимуществ такой конструкции динамического сообщения является то, что она не требует знания априори всех сценариев обнаружения, возможных результатов и возможных комбинаций параметров. Вместо того, чтобы адаптировать сообщения оповещения к каждой ситуации безопасности (например, к каждому результату экспертного анализа), некоторые варианты осуществления прикрепляют шаблон сообщения оповещения к каждому сценарию обнаружения и/или к каждой программе для оценки значимой для безопасности величины (например, определения тип устройства, определения репутации партнера по коммуникации и др.). Затем полное сообщение оповещения может быть построено динамически из фрагментов сообщения, сгенерированных отдельными шаблонами, выбранными в соответствии с тем, как было фактически обнаружено соответствующее событие. Рассматривая пример дерева решений, в котором каждый «лист» соответствует уникальной комбинации условий, вместо прикрепления заранее определенных сообщений оповещения к отдельным листьям, некоторые варианты осуществления прикрепляют фрагменты сообщения к промежуточным ветвям и подветвям дерева решений. Затем фактическое сообщение оповещения строится в соответствии с конкретным способом прохождения дерева решений.
[0066] Один из таких примеров проиллюстрирован на фиг. 11. Программа обнаружения содержит дерево решений, в котором узлы представляют различные предикаты, а ветви представляют различные значения соответствующих предикатов. Например, предикат Р1 может гласить «клиент - это принтер», предикат Р2 может гласить «клиент загрузил большой файл» и т.д. В проиллюстрированном примере два различных пути через дерево решений приводят к одному и тому же заключению V, например, «клиент атакован». Однако в некоторых вариантах осуществления сообщение оповещения, генерируемое при прохождении одного пути обнаружения, будет отличаться от сообщения оповещения, генерируемого другим путем обнаружения. В проиллюстрированном примере шаблоны оповещений Т1, …, Т4 связаны с предикатами Р1, …, Р4 соответственно. Каждый такой шаблон может создавать фрагмент сообщения M1, …, М4 соответственно. В примерном варианте осуществления, где фрагменты сообщения объединяются для формирования полного сообщения оповещения, левый путь создает сообщение оповещения M1+М4, при этом правый путь создает сообщение оповещения M1+М2+М3, даже если заключение то же. И наоборот, система, в которой заранее определенное сообщение оповещения связано с заключением V, выдает одно и то же сообщение оповещения как для левого, так и для правого путей обнаружения.
[0067] Когда относящиеся к безопасности данные генерируются и обрабатываются с высокой скоростью, возможно, в конфигурациях параллельных вычислений, могут возникать ситуации, когда некоторая информация, которая требуется для оценки конкретного предиката, недоступна в момент вызова конкретного сценария. Однако соответствующая информация может быть доступна позже. Таким образом, даже когда данные, собранные с клиентских машин и сетей, запускают один и тот же сценарий/сценарии обнаружения, некоторые из этих сценариев могут не выполняться каждый раз, поэтому фактически проведенный анализ безопасности может отличаться от одного раза к другому. Иначе говоря, в быстро меняющихся конфигурациях асинхронных вычислений, которые иногда требуются для обработки огромного объема информации, генерируемой современными компьютерами и сетями, линия или обоснование/точная последовательность оценок предикатов априори неизвестны. Система динамически генерируемых оповещений, как в некоторых вариантах осуществления настоящего изобретения, может позволить оператору точно понять, какая аргументация использовалась каждый раз, и почему две похожие ситуации могут иногда приводить к противоречивым заключениям безопасности.
[0068] Более того, в постоянно меняющемся мире компьютерной безопасности может быть несколько способов обнаружения угрозы безопасности и несколько способов вычисления различных параметров безопасности. Постоянно разрабатываются новые инструменты анализа, алгоритмы и сценарии атак. Благодаря недавним достижениям в области искусственного интеллекта, растет интерес к тому, чтобы позволить машине гибко выбирать из доступного набора инструментов. Динамическое генерирование сообщений оповещения, обеспечиваемое некоторыми вариантами осуществления настоящего изобретения, способно обеспечить такое гибкое принятие решений.
[0069] В одном таком примере, показанном на фиг. 12, программа обнаружения содержит оценку трех различных предикатов P1, Р2 и Р3. Однако каждый предикат может оцениваться множеством независимых способов, проиллюстрированных отдельными сценариями S1, …, S8. Примеры таких сценариев включают отдельные эвристики анализа, например, анализ отдельных аспектов входных данных. Два различных набора данных (экспертные индикаторы 24а-b) могут запускать различные сценарии для оценки соответствующих предикатов. Например, экспертный индикатор 24а может запускать сценарии S1, S4 и S7, тогда как индикатор 24b может запускать сценарии S1, S5 и S6. В проиллюстрированном варианте осуществления каждый сценарий содержит связанный шаблон оповещения. Соответствующие шаблоны генерируют набор фрагментов сообщения M1, М4, М7 и M1, М5, М6, соответственно, которые собираются менеджером 66 оповещений в проиллюстрированные сообщения оповещения. Пример показывает, что сообщения оповещения могут отличаться, даже если заключение одинаково в обоих случаях. Определенные сообщения оповещения (M1+М4+М7 по сравнению с M1+М5+М6) указывают на различные способы, которыми был вынесено заключение. В ситуациях, когда левая и правая последовательности сценариев приводят к противоречивым заключениям, сообщения оповещения могут предложить аналитику существенное понимание причин такого несоответствия.
[0070] Другой примерный вариант осуществления, который может быть проиллюстрирован с помощью фиг. 12, может испробовать все альтернативные способы оценки каждого предиката. Например, экспертный анализатор 64 может оценивать предикат Р1, используя все три сценария S1, S2 и S3, и предикат Р2, используя два сценария S4 и S5. Сценарии могут выполняться параллельно, например, на разных процессорах или машинах. Каждый сценарий может иметь внутреннюю достоверность, отраженную, например, в показателях производительности, таких как частота обнаружения и/или частота ложных срабатываний. Таким образом, такая система может генерировать множество заключений, каждое из которых соответствует отдельной комбинации сценариев, причем каждая комбинация имеет собственную степень достоверности, которая может быть изложена в соответствующем сообщении оповещения. Составные сообщения оповещения, указывающие на конкретную комбинацию сценариев, используемых для каждого заключения, могут, таким образом, помочь аналитику разобраться в противоречивых заключениях и, в конечном итоге, какому заключению следует доверять.
[0071] Что касается примеров, показанных на фиг. 11 и 12, заключение V может представлять различные типы предикатов, например, основной предикат безопасности, такой как «клиент находится под атакой», или любой подпредикат, оцениваемый как часть сценария безопасности: «клиент - это принтер», «IP адрес является подозрительным", "аномальный сетевой трафик на узле X", "трафик на узле X превышает ожидаемый объем" и т.д.
[0072] Дополнительным преимуществом динамического построения оповещений безопасности является то, что это позволяет разделить различные компоненты системы безопасности. В частности, это позволяет разрабатывать сценарии обнаружения независимо друг от друга. Иными словами, новые сценарии обнаружения могут быть разработаны и добавлены к существующему набору инструментов без необходимости изменения остальных компонентов обнаружения (например, диспетчера 66 оповещений). Каждому новому сценарию может быть предоставлен собственный шаблон для генерации фрагмента сообщения оповещения. Эта независимая архитектура системы безопасности может существенно облегчить разработку, тестирование и внедрение, что приведет к общему сокращению времени вывода на рынок и затрат на обслуживание.
[0073] Специалисту в данной области техники понятно, что вышеупомянутые варианты осуществления могут быть различным образом изменены, без выхода при этом за рамки объема правовой охраны настоящего изобретения. Соответственно, объем правовой охраны настоящего изобретения определен следующей ниже формулой изобретения и ее юридическими эквивалентами.

Claims (47)

1. Способ анализа данных, относящихся к компьютерной безопасности, включающий использование по меньшей мере одного аппаратного процессора серверной компьютерной системы, конфигурированного для защиты множества клиентских систем от угроз компьютерной безопасности, для:
в ответ на получение экспертного индикатора, выбора первой процедуры для оценки первого предиката безопасности из множества процедур, причем первую процедуру выбирают в соответствии с экспертным индикатором, при этом экспертный индикатор содержит множество элементов метаданных, характеризующих сетевой поток между клиентской системой из множества клиентских систем и другой стороной;
выбора второй процедуры для оценки второго предиката безопасности из множества процедур, причем вторую процедуру выбирают в соответствии с результатом выполнения первой процедуры;
в ответ на выбор первой процедуры, добавления первого текстового сообщения к оповещению безопасности, указывающему, подвержена ли клиентская система угрозе компьютерной безопасности, причем первое текстовое сообщение определяют в соответствии с первым шаблоном сообщения, выбранным в соответствии с первой процедурой;
в ответ на выбор второй процедуры, добавления второго текстового сообщения к оповещению безопасности, причем второе текстовое сообщение определяют в соответствии со вторым шаблоном сообщения, выбранным в соответствии со второй процедурой; и
передачи оповещения безопасности на устройство администрирования, конфигурированное для отображения оповещения безопасности человеку-оператору.
2. Способ по п. 1, в котором оценка первого предиката безопасности включает оценку третьего предиката безопасности, при этом способ дополнительно включает использование по меньшей мере одного аппаратного процессора серверной компьютерной системы для:
выбора третьей процедуры для оценки третьего предиката безопасности из множества процедур; и
добавления третьего текстового сообщения к оповещению безопасности при подготовке к передаче на устройство администрирования, причем третье текстовое сообщение определяют в соответствии с третьим шаблоном сообщения, выбранным в соответствии с третьей процедурой.
3. Способ по п. 2, в котором первое текстовое сообщение содержит гиперссылку, которая при ее активации вызывает отображение третьего текстового сообщения.
4. Способ по п. 1, дополнительно включающий использование по меньшей мере одного аппаратного процессора серверной компьютерной системы для:
определения заключения, указывающего, подвержена ли клиентская система угрозе компьютерной безопасности, причем заключение определяют в соответствии с результатом выполнения первой процедуры и другим результатом выполнения второй процедуры; и
добавления индикатора заключения в оповещение безопасности при подготовке к передаче на устройство администрирования.
5. Способ по п. 1, в котором первый шаблон сообщения содержит заполнитель, и при этом определение первого текстового сообщения включает замену заполнителя значением первого предиката безопасности, определяемого в соответствии с результатом выполнения первой процедуры.
6. Способ по п. 1, в котором первое текстовое сообщение содержит элемент, выбранный из группы, состоящей из индикатора типа устройства клиентской системы, индикатора географического местоположения другой стороны и индикатора времени возникновения электронного сообщения.
7. Способ по п. 1, в котором множество элементов метаданных содержит маркированный элемент, вычисленный согласно другому элементу из множества элементов метаданных.
8. Способ по п. 1, в котором первое текстовое сообщение содержит идентификатор, позволяющий оператору-человеку идентифицировать первую процедуру среди множества процедур.
9. Способ по п. 1, в котором первое текстовое сообщение содержит гиперссылку, которая при ее активации вызывает отображение значения первого предиката безопасности.
10. Серверная компьютерная система, конфигурированная для защиты множества клиентских систем от угроз компьютерной безопасности, причем серверная компьютерная система содержит по меньшей мере один аппаратный процессор, конфигурированный для выполнения экспертного анализатора и диспетчера оповещений, соединенного с экспертным анализатором, при этом:
экспертный анализатор конфигурирован для:
в ответ на получение экспертного индикатора, выбора первой процедуры для оценки первого предиката безопасности из множества процедур, причем первая процедура выбирается в соответствии с экспертным индикатором, при этом экспертный индикатор содержит множество элементов метаданных, характеризующих сетевой поток между клиентской системой из множества клиентских систем и другой стороной, и
выбора второй процедуры для оценки второго предиката безопасности из множества процедур, причем вторая процедура выбирается в соответствии с результатом выполнения первой процедуры; и
диспетчер оповещений конфигурирован для:
в ответ на выбор экспертным анализатором первой процедуры, добавления первого текстового сообщения к оповещению безопасности, указывающему, подвержена ли клиентская система угрозе компьютерной безопасности, причем первое текстовое сообщение определяется в соответствии с первым шаблоном сообщения, выбранным в соответствии с первой процедурой,
в ответ на выбор экспертным анализатором второй процедуры, добавления второго текстового сообщения к оповещению безопасности, причем второе текстовое сообщение определяется в соответствии со вторым шаблоном сообщения, выбранным в соответствии со второй процедурой, и
передачи оповещения безопасности на устройство администрирования, конфигурированное для отображения оповещения безопасности человеку-оператору.
11. Серверная компьютерная система по п. 10, в которой оценка первого предиката безопасности включает оценку третьего предиката безопасности и в которой:
экспертный анализатор дополнительно конфигурирован для выбора третьей процедуры для оценки третьего предиката безопасности из множества процедур; и
диспетчер оповещений дополнительно конфигурирован для добавления третьего текстового сообщения к оповещению безопасности при подготовке к передаче на устройство администрирования, причем третье текстовое сообщение определяется в соответствии с третьим шаблоном сообщения, выбранным в соответствии с третьей процедурой.
12. Серверная компьютерная система по п. 11, в которой первое текстовое сообщение содержит гиперссылку, которая при ее активации вызывает отображение третьего текстового сообщения.
13. Серверная компьютерная система по п. 10, в которой:
экспертный анализатор дополнительно конфигурирован для определения заключения, указывающего, подвержена ли клиентская система угрозе компьютерной безопасности, причем заключение определяется в соответствии с результатом выполнения первой процедуры и другим результатом выполнения второй процедуры; и
диспетчер оповещений дополнительно конфигурирован для добавления индикатора заключения в оповещение безопасности при подготовке к передаче на устройство администрирования.
14. Серверная компьютерная система по п. 10, в которой первый шаблон сообщения содержит заполнитель, при этом определение первого текстового сообщения включает замену заполнителя значением первого предиката безопасности, определенного в соответствии с результатом выполнения первой процедуры.
15. Серверная компьютерная система по п. 10, в которой первое текстовое сообщение содержит элемент, выбранный из группы, состоящей из индикатора типа устройства клиентской системы, индикатора географического местоположения другой стороны и индикатора времени возникновения электронного сообщения.
16. Серверная компьютерная система по п. 10, в которой множество элементов метаданных содержит маркированный элемент, вычисленный согласно другому элементу из множества элементов метаданных.
17. Серверная компьютерная система по п. 10, в которой первое текстовое сообщение содержит идентификатор, позволяющий оператору-человеку идентифицировать первую процедуру среди множества процедур.
18. Серверная компьютерная система по п. 10, в которой первое текстовое сообщение содержит гиперссылку, которая при ее активации вызывает отображение значения первого предиката безопасности.
19. Долговременный машиночитаемый носитель, хранящий инструкции, которые при выполнении по меньшей мере одним аппаратным процессором серверной компьютерной системы, конфигурированной для защиты множества клиентских систем от угроз компьютерной безопасности, предписывают серверной компьютерной системе выполнение экспертного анализатора и диспетчера оповещений, соединенного с экспертным анализатором, в котором:
экспертный анализатор конфигурирован для:
в ответ на получение экспертного индикатора, выбора первой процедуры для оценки первого предиката безопасности из множества процедур, причем первая процедура выбирается в соответствии с экспертным индикатором, при этом экспертный индикатор содержит множество элементов метаданных, характеризующих сетевой поток между клиентской системой из множества клиентских систем и другой стороной, и
выбора второй процедуры для оценки второго предиката безопасности из множества процедур, причем вторая процедура выбирается в соответствии с результатом выполнения первой процедуры, и
диспетчер оповещений конфигурирован для:
в ответ на выбор экспертным анализатором первой процедуры, добавления первого текстового сообщения к оповещению безопасности, указывающему, подвержена ли клиентская система угрозе компьютерной безопасности, причем первое текстовое сообщение определяется в соответствии с первым шаблоном сообщения, выбранным в соответствии с первой процедурой,
в ответ на выбор экспертным анализатором второй процедуры, добавления второго текстового сообщения к оповещению безопасности, причем второе текстовое сообщение определяется в соответствии со вторым шаблоном сообщения, выбранным в соответствии со второй процедурой, и
передачи оповещения безопасности на устройство администрирования, конфигурированное для отображения оповещения безопасности человеку-оператору.
20. Машиночитаемый носитель по п. 19, дополнительно хранящий второй набор инструкций, причем второй набор инструкций предписывает по меньшей мере одному аппаратному процессору выполнение первой процедуры.
RU2021102457A 2018-07-18 2019-07-18 Системы и способы сообщения об инцидентах компьютерной безопасности RU2757597C1 (ru)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201862699817P 2018-07-18 2018-07-18
US62/699,817 2018-07-18
US201962816389P 2019-03-11 2019-03-11
US62/816,389 2019-03-11
PCT/IB2019/056172 WO2020016834A1 (en) 2018-07-18 2019-07-18 Systems and methods for reporting computer security incidents

Publications (1)

Publication Number Publication Date
RU2757597C1 true RU2757597C1 (ru) 2021-10-19

Family

ID=68051830

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2021102457A RU2757597C1 (ru) 2018-07-18 2019-07-18 Системы и способы сообщения об инцидентах компьютерной безопасности

Country Status (11)

Country Link
US (1) US11184368B2 (ru)
EP (1) EP3818680A1 (ru)
JP (1) JP7069399B2 (ru)
KR (1) KR102462128B1 (ru)
CN (1) CN112385196B (ru)
AU (1) AU2019307885B2 (ru)
CA (1) CA3104450A1 (ru)
IL (1) IL280098A (ru)
RU (1) RU2757597C1 (ru)
SG (1) SG11202012485SA (ru)
WO (1) WO2020016834A1 (ru)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018022011A1 (en) * 2016-07-26 2018-02-01 Hewlett-Packard Development Company, L.P. Indexing voxels for 3d printing
EP3563522A1 (en) * 2016-12-30 2019-11-06 Bitdefender Netherlands B.V. System for preparing network traffic for fast analysis
CN110896386B (zh) * 2018-09-12 2022-05-10 西门子(中国)有限公司 识别安全威胁的方法、装置、存储介质、处理器和终端
WO2021240663A1 (ja) * 2020-05-26 2021-12-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 通信ログ集約装置および通信ログ集約方法
US11606383B1 (en) * 2022-03-03 2023-03-14 Uab 360 It Securing against network vulnerabilities
US12047416B1 (en) * 2023-05-26 2024-07-23 Copperfasten Te ologies Limited Intelligent anti-phishing management

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090168648A1 (en) * 2007-12-29 2009-07-02 Arbor Networks, Inc. Method and System for Annotating Network Flow Information
RU2477929C2 (ru) * 2011-04-19 2013-03-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ предотвращения инцидентов безопасности на основании рейтингов опасности пользователей
RU2514137C1 (ru) * 2012-09-28 2014-04-27 Закрытое акционерное общество "Лаборатория Касперского" Способ автоматической настройки средства безопасности
US20160036844A1 (en) * 2014-07-15 2016-02-04 Cisco Technology, Inc. Explaining network anomalies using decision trees
RU2610395C1 (ru) * 2015-12-24 2017-02-09 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Способ расследования распределенных событий компьютерной безопасности

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7278094B1 (en) * 2000-05-03 2007-10-02 R. R. Donnelley & Sons Co. Variable text processing for an electronic press
US7164698B1 (en) 2000-03-24 2007-01-16 Juniper Networks, Inc. High-speed line interface for networking devices
WO2002017571A1 (en) 2000-08-24 2002-02-28 Tiara Networks, Inc. System and method for connecting geographically distributed virtual local area networks
US7913304B2 (en) * 2006-03-24 2011-03-22 Neusoft Corporation Event detection method and device
US7933759B2 (en) * 2008-03-28 2011-04-26 Microsoft Corporation Predicate checking for distributed systems
KR101003104B1 (ko) * 2008-12-22 2010-12-21 한국전자통신연구원 무선 네트워크에서 보안 상황 감시 장치
US8125920B2 (en) 2009-03-04 2012-02-28 Cisco Technology, Inc. System and method for exporting structured data in a network environment
CN102012988B (zh) * 2010-12-02 2012-09-26 张平 自动二进制恶意代码行为分析方法
CN102355361B (zh) * 2011-06-30 2013-09-04 江苏南大苏富特科技股份有限公司 基于报警信息的安全评估方法
US8997227B1 (en) * 2012-02-27 2015-03-31 Amazon Technologies, Inc. Attack traffic signature generation using statistical pattern recognition
US9652362B2 (en) 2013-12-06 2017-05-16 Qualcomm Incorporated Methods and systems of using application-specific and application-type-specific models for the efficient classification of mobile device behaviors
CN103746961B (zh) * 2013-12-12 2017-03-15 中国人民解放军63928部队 一种网络攻击场景的因果知识挖掘方法、装置及服务器
CN103914649A (zh) * 2014-04-16 2014-07-09 西安电子科技大学 基于攻击策略图的实时警报综合分析处理方法及其入侵检测系统
WO2015164370A1 (en) 2014-04-22 2015-10-29 Orckit-Corrigent Ltd. A method and system for deep packet inspection in software defined networks
CA2966613C (en) * 2014-12-11 2021-01-19 Bitdefender Ipr Management Ltd User interface for security protection and remote management of network endpoints
US9460284B1 (en) * 2015-06-12 2016-10-04 Bitdefender IPR Management Ltd. Behavioral malware detection using an interpreter virtual machine
US10445377B2 (en) * 2015-10-15 2019-10-15 Go Daddy Operating Company, LLC Automatically generating a website specific to an industry
AU2016367922B2 (en) * 2015-12-11 2019-08-08 Servicenow, Inc. Computer network threat assessment
CA3006003C (en) * 2015-12-19 2021-11-23 Bitdefender Ipr Management Ltd Dual memory introspection for securing multiple network endpoints
EP3563522A1 (en) 2016-12-30 2019-11-06 Bitdefender Netherlands B.V. System for preparing network traffic for fast analysis
US10375098B2 (en) * 2017-01-31 2019-08-06 Splunk Inc. Anomaly detection based on relationships between multiple time series

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090168648A1 (en) * 2007-12-29 2009-07-02 Arbor Networks, Inc. Method and System for Annotating Network Flow Information
RU2477929C2 (ru) * 2011-04-19 2013-03-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ предотвращения инцидентов безопасности на основании рейтингов опасности пользователей
RU2514137C1 (ru) * 2012-09-28 2014-04-27 Закрытое акционерное общество "Лаборатория Касперского" Способ автоматической настройки средства безопасности
US20160036844A1 (en) * 2014-07-15 2016-02-04 Cisco Technology, Inc. Explaining network anomalies using decision trees
RU2610395C1 (ru) * 2015-12-24 2017-02-09 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Способ расследования распределенных событий компьютерной безопасности

Also Published As

Publication number Publication date
CN112385196A (zh) 2021-02-19
CN112385196B (zh) 2023-03-21
WO2020016834A1 (en) 2020-01-23
KR102462128B1 (ko) 2022-11-03
AU2019307885B2 (en) 2024-03-07
AU2019307885A1 (en) 2021-01-07
EP3818680A1 (en) 2021-05-12
US20200028857A1 (en) 2020-01-23
IL280098A (en) 2021-03-01
KR20210030361A (ko) 2021-03-17
CA3104450A1 (en) 2020-01-23
US11184368B2 (en) 2021-11-23
SG11202012485SA (en) 2021-01-28
JP2021530807A (ja) 2021-11-11
JP7069399B2 (ja) 2022-05-17

Similar Documents

Publication Publication Date Title
RU2757597C1 (ru) Системы и способы сообщения об инцидентах компьютерной безопасности
US11089045B2 (en) User and entity behavioral analysis with network topology enhancements
US11916944B2 (en) Network anomaly detection and profiling
US11218510B2 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
US20220014560A1 (en) Correlating network event anomalies using active and passive external reconnaissance to identify attack information
US20220224723A1 (en) Ai-driven defensive cybersecurity strategy analysis and recommendation system
US11757920B2 (en) User and entity behavioral analysis with network topology enhancements
US20220201042A1 (en) Ai-driven defensive penetration test analysis and recommendation system
Wan et al. Feature-selection-based ransomware detection with machine learning of data analysis
CN108616529B (zh) 一种基于业务流的异常检测方法及系统
US11269995B2 (en) Chain of events representing an issue based on an enriched representation
Khosravi et al. Alerts correlation and causal analysis for APT based cyber attack detection
US20220210202A1 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
CN109074454A (zh) 基于赝象对恶意软件自动分组
US20230412620A1 (en) System and methods for cybersecurity analysis using ueba and network topology data and trigger - based network remediation
CN117454376A (zh) 工业互联网数据安全检测响应与溯源方法及装置
Cao et al. Learning state machines to monitor and detect anomalies on a kubernetes cluster
Wen et al. Detecting and predicting APT based on the study of cyber kill chain with hierarchical knowledge reasoning
Ramos et al. A Machine Learning Based Approach to Detect Stealthy Cobalt Strike C &C Activities from Encrypted Network Traffic
Nadeem et al. MalPaCA: malware packet sequence clustering and analysis
Shackleford Using analytics to predict future attacks and breaches
Al-Maani Automatic modeling of cyber intrusions using the diamond model utilizing security logs and events
Fang REPTRACKER: Towards Automatic Attack Investigation
CN117407862A (zh) 应用程序防护方法、装置、计算机设备和存储介质
畑田充弘 Toward Efficient Incident Handling Triage: Automated Threats Classification and Data-centric Talent Development