TW201705034A - 用於使用無監督式機器學習和優先權演算法的高速威脅性情報管理的系統及方法 - Google Patents

用於使用無監督式機器學習和優先權演算法的高速威脅性情報管理的系統及方法 Download PDF

Info

Publication number
TW201705034A
TW201705034A TW105107288A TW105107288A TW201705034A TW 201705034 A TW201705034 A TW 201705034A TW 105107288 A TW105107288 A TW 105107288A TW 105107288 A TW105107288 A TW 105107288A TW 201705034 A TW201705034 A TW 201705034A
Authority
TW
Taiwan
Prior art keywords
computer
computer network
clusters
cluster
network
Prior art date
Application number
TW105107288A
Other languages
English (en)
Other versions
TWI711938B (zh
Inventor
慶麟 林
Original Assignee
策安保安有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 策安保安有限公司 filed Critical 策安保安有限公司
Publication of TW201705034A publication Critical patent/TW201705034A/zh
Application granted granted Critical
Publication of TWI711938B publication Critical patent/TWI711938B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/232Non-hierarchical techniques
    • G06F18/2321Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2413Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on distances to training or reference patterns
    • G06F18/24147Distances to closest patterns, e.g. nearest neighbour classification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Evolutionary Biology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Mathematical Physics (AREA)
  • Medical Informatics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Probability & Statistics with Applications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本文件揭示一種用於整併電腦及其相關網路的威脅性情報資料的系統和方法。數量龐大的原始威脅性情報資料係收集自複數個來源,且被畫分成一共用性格式以供進行群簇分析,其中資料的群簇係使用無監督式機器學習演算法來達成。產生的組織化威脅性情報資料其後接受一個以加權資產為基礎的威脅嚴重等級相關性程序。一特定電腦網路的所有中間網路漏洞均被使用做為此程序的關鍵整併參數。透過此高速自動化程序所集納的經過處理的最終情報資料接著在傳輸至第三方之前被格式化成預定之格式。

Description

用於使用無監督式機器學習和優先權演算法的高速威脅性情報管理的系統及方法
本發明係有關於一種用於整併電腦及其相關網路的威脅性情報資料(threat intelligence data)的系統和方法。特別是,本發明涉及從複數個來源收集數量龐大的原始威脅性情報資料,並將所收集的資料畫分成一共用性格式以供進行群簇分析(cluster analysis)。接著其使用無監督式機器學習演算法(unsupervised machine learning algorithm)將經過標準化的資料群集成簇。所產生的經過組織的威脅性情報資料其後接受一個以加權資產(weighted asset)為基礎的威脅嚴重等級相關性程序。一特定電腦網路的所有中間網路漏洞均被使用做為此程序的關鍵整併參數。透過此高速自動化程序所集納的經過處理的最終情報資料接著在傳輸至第三方之前被格式化成預定之格式。
電腦及其相關網路的安全性和健全對於企業每日的正常運作而言已變得極其重要,因為儲存於該等電腦和網路之內的資訊無日不受迫於來自各式各樣來源的日益複雜的惡意網路威脅。由於電腦技術的進 展,對於電腦網路的攻擊亦已變得日漸精巧,使得現有的安全專家和他們的管理工具均難以應付和減輕此等攻擊。這些網路攻擊的形式可以是來自電腦病毒、蠕蟲(worm)、阻斷服務攻擊(denial of service attack;DoS)、特洛伊木馬程式(Trojan horse)、網路釣魚(phishing)、或者任何其他惡意的軟體,其意圖係擾亂基本的電腦運作、收集敏感資料及/或獲取限制性電腦網路的存取權。此種性質的軟體概括地被稱為"惡意軟體(malware)"。因此,為了先行預防可能由這些威脅對重要資訊資產所造成的任何損害,其需要維持有關此等網路安全威脅的最新情報資訊的持續性境況覺察意識。
為了減輕加諸於電腦及其相關網路的網路性威脅,安全提供者需要有關於該等威脅的概貌及來源的詳細資訊。此資訊將包括一特定惡意軟體之來源,諸如網域名稱(domain name)、網際網路協定(IP)位址、相關網站及其全球資源定位器(Universal Resource Locator;URL)、電子郵件位址、地區及全球位置座標、以及此等惡意軟體的偵測足跡,使得網路安全提供者能夠拿出一個全面性的策略來預測及緩解該等惡意軟體。
由於網路安全性提供者不可能憑一己之力獲得此類資訊,故此類資訊通常係取得自諸如開放來源與商業廠商的各種情報來源。這些情報來源供應網路威脅情報資料,提供有關於已被偵測出來、被識別出來且經過分類後的潛在與現有的網路威脅的資訊。從這些資訊提供者取得的資料從而可以由網路安全提供者和系統管理者使用,以確保其電腦系統對於這些潛在威脅有得到妥善的防護。
多數系統管理者向開放來源和商業網路安全提供者兩方均預訂此等威脅性情報資料。然而,來自每一個此等來源的資料饋入通常係 表示成它們自己的專有格式,且取決於研發團隊的實力,亦帶有不同程度有效性和可靠度。錯誤、不精確、及/或誤導資訊的傳遞的可能性特別令人關注,因為此虛假情報可能對使用所接收威脅性情報的機關組織或政府單位的能力造成廣泛的質疑。此虛假情報問題並不容易處理,因為資訊的數位傳輸是以非常高的速度無拘無束且大量地進行。因此,對於網路管理者而言,其難以正確地採用這些不一致的資料饋入而後將其變成對抗入侵安全威脅的有用的可操作回應。
此外,由於數量龐大的原始資料係由各種情報來源每日產生,是以從此等大量原始資料提煉可操作資訊是一項令人卻步的事情,其中甚至可能包含重覆的資料。當每一個情報來源均以其自己本身的語言配合自己本身的規則、使用它自己本身的網路協定和事件記錄收送資料之時,此問題變得格外錯綜複雜。這造成使用隨著來源變動的各種網路協定的各種不同格式資料的傳輸。有鑑於此,多數網路安全威脅情報系統的提供者均將不知所措,且其網路安全威脅情報態勢的總體視野將產生不足、延遲和混淆。因此,實際將該等大量原始威脅性情報資料切割成不同格式並且將其轉換成有用的情報資料是一個巨大的挑戰。這些人力和技術缺乏效率之累積將使得資料的傳輸無法被第三方充分運用。
編號No.8,813,228標題"Collective Threat Intelligence Gathering System(集體威脅情報收集系統)"的美國專利,以Deloitte Development LLC之名義申請,提出一種從多種來源收集威脅性情報資料的系統。該系統從而對資料進行匯總、標準化、過濾、評分和分類,以辨識出對於一資訊網路的威脅。此文件亦揭示出,最終而言,入侵情報資料的每一次饋入均被 分類成預定的威脅類別。其亦使用市售或公開的已知威脅之可用資料對資料進行分析和評分。得到高惡意分數的資料接著被進一步格式化,而後被分送給客戶。
公開編號No.2003/0191832 A1的美國專利申請案,標題"Method and Apparatus for Controlled Establishment of a Turnkey System Providing a Centralized Data Aggregation and Summary Capability to Third Party Entities(用於一種提供集中式資料匯總與摘要能力給第三方實體之現成系統的可控式構建的方法與設備)",以Ramakrishna Satyavolu等人之名義申請,揭示一種用以從一網路收集和匯總資料的軟體系統,其中資料從而被區隔、優化和歸納,然後經過處理的資料被分送給第三方。第三方利用建立自該系統的情報以提供及改善他們的安全系統。
概括而言,從各種來源取得的資料饋入並不提供即時和自動化的威脅情報分析。特別是,其並無網路威脅資料來源提供評估流向目標電腦系統的資料之正確性和相關性的"智慧型"資料饋入。在能從資料產生出任何意義之前,所有取得的資料仍將必須通過由一分析人員進行分析的冗長耗時程序。此外,雖然威脅資料可以被分析和評分,但此等資料可能與一特定網路並無相關,因此,一電腦網路仍可能被達成高威脅等級的惡意資料淹沒或過載。
基於以上緣故,熟習相關技術者一直持續致力於完成一種能夠透過複數個網路協定從複數個來源集納和匯總大量原始網路威脅性情報資料,並且在重新分送給有興趣的第三方之前,將該等原始資料轉換成一種有用格式的系統和方法。
依據本發明的實施例所提出的系統和方法達成上述和其他問題之解決和相關技術的一個進展。依據本發明之系統和方法之實施例之一第一優點在於其可以以一種有效率的方式從大量的情報產生來源收集威脅性情報資料,無論用於資料收集的資料格式或網路協定為何,僅有相關於一受監視目標電腦網路的資料被格式化成該電腦網路的預定格式。
依據本發明之系統和方法之實施例之一第二優點在於來自許多來源的威脅性情報資料可以被以一種高速方式切實且有效率地匯總,且能夠立即被投入使用,以針對被強調顯示於所接收的威脅性情報資料之中的預期網路攻擊,防護一特定電腦網路。
依據本發明之系統和方法之實施例之一第三優點在於僅有已經過驗證且相關於該電腦網路的威脅性情報資訊被格式化成該電腦網路的預定格式。此等資料對於該電腦網路的安全團隊極為有用,因為這大幅地降低安全分析者必須遍覽的資料數量。
依據本發明之系統和方法之實施例之一第四優點在於其針對群簇的形成使用無監督式機器學習演算法,從而透過採用的網路訓練周期,去除外部協助的必要性。此群簇分析方法將會把已知和未知的威脅歸類成群簇地圖,其中未知的安全威脅亦會被偵測到,因為群簇分析讓未知的惡意威脅或異常狀況能夠被辨識於地圖之中,不限於已被預定之類別。後群簇分析亦被套用,藉以使得被群集成簇的資料進一步接受加權嚴重性分析和漏洞相關性分析,以確保只有相關及精確的資料被提供至一特定電腦網路。
以上優點係由以下述方式運作的依據本發明的方法之實施例所提供。
依據本發明的一第一態樣,其提出一種整併一電腦網路的威脅性情報資料的方法,其中該方法預定由一電腦系統執行,該方法的步驟包含:從複數個來源收集威脅性情報資料並且將所收集的威脅性情報資料標準化成一種共用性/一致性資料格式、使用無監督式機器學習演算法將經過標準化的威脅性情報資料歸類成群簇,其中每一群簇均包含代表該威脅性情報資料之一屬性的一群資料、針對對於該電腦網路而言具嚴重性的電腦安全威脅之群簇進行分類、將被分類為嚴重等級的群簇與該電腦網路的一安全態勢(security posture)進行比較以決定該電腦系統感興趣的群簇、以及將被決定為該電腦系統感興趣的群簇格式化成該電腦網路之一預定格式。
參照該第一態樣,在該第一態樣的一第一可能實施方式之中,對於該電腦網路而言具嚴重性的群簇之分類的步驟包含:擷取關聯該電腦網路之電腦資產的一列表、以及將影響該等電腦資產的一計算特徵(computing feature)的群簇認定為具有對於該電腦網路而言具嚴重性的電腦安全威脅之群簇。
參照第一態樣的第一可能實施方式,該方式另包含:擷取賦予關聯該電腦網路的每一電腦資產的嚴重性的權重數值;加總所擷取的嚴重性權重數值;以及將加總後的嚴重性權重數值分配給該電腦網路。
參照第一態樣的第一可能實施方式,該計算特徵包含一電腦資產之一作業系統或者該電腦資產所提供之一網路協定。
參照第一態樣,在第一態樣的一第二可能實施方式之中,其 中在將被分類為嚴重等級的群簇與該電腦網路的一安全態勢進行比較以決定該電腦系統感興趣的群簇之前,該方法另包含產生該電腦網路之該安全態勢。
參照第一態樣之第二可能實施方式,在第一態樣的一第四可能實施方式之中,產生該電腦網路之該安全態勢包含建立代表該電腦網路之一物件模型,其中該物件模型包含該電腦網路所內含的電腦資產的安全資訊,以及執行一分析程式,可操作以使用該物件模型執行該電腦網路之中的每一電腦資產之漏洞測試,其中該漏洞測試的結果被用以決定該電腦網路之該安全態勢。
參照第一態樣之第四可能實施方式,在第一態樣的一第五可能實施方式之中,使用該物件模型的該電腦網路之中的每一電腦資產之漏洞測試包含有關該電腦網路的系統層級和拓撲漏洞的測試、以及電腦資產的節點層級漏洞的測試。
參照第一態樣,在第一態樣的一第六可能實施方式之中,將經過標準化的威脅性情報資料歸類成群簇,其中每一群簇包含代表該威脅性情報資料之一屬性的一群資料,另包含使用每一群簇之中的威脅性情報資料驗證該等群簇。
參照第一態樣的第六可能實施方式,在第一態樣的一第七可能實施方式之中,驗證該等群簇包含指派權重數值給該等群簇所包含的每一記錄,其中相較於被指派給源自一商業性來源的記錄之一權重數值,源自一開放來源的記錄被指派一較低的權重數值;加總每一群簇所包含的記錄的權重數值;以及驗證所具有的加總權重數值超過一預定門檻值的群簇。
參照第一態樣,在第一態樣的一第八可能實施方式之中,經過格式化的群簇被用以更新該電腦網路之安全態勢。
參照第一態樣,在第一態樣的一第九可能實施方式之中,威脅性情報資料的屬性包含一電腦安全性威脅或一網際網路協定(IP)位址。
105‧‧‧網路威脅/安全性情報來源
106‧‧‧開放來源
107‧‧‧商業性提供者
108‧‧‧社群來源
109‧‧‧匿名收集者
115‧‧‧網路
120‧‧‧收集引擎
124‧‧‧驗證模組
125‧‧‧處理引擎
126‧‧‧漏洞過濾模組
127‧‧‧資料庫
128‧‧‧集群模組
129‧‧‧嚴重性分類模組
131‧‧‧電腦網路
132‧‧‧電腦網路
133‧‧‧電腦網路
134‧‧‧電腦網路
205‧‧‧TIF記錄
210‧‧‧識別碼
215‧‧‧來源屬性
220‧‧‧類別屬性
225‧‧‧資料屬性
300‧‧‧TIF記錄
305‧‧‧群簇
310‧‧‧群簇
315‧‧‧群簇
320‧‧‧群簇
400‧‧‧TIF記錄
500‧‧‧程序
505-530‧‧‧步驟
600‧‧‧程序
602-655‧‧‧步驟
700‧‧‧程序
705-735‧‧‧步驟
800‧‧‧處理系統
805‧‧‧中央處理單元
810‧‧‧記憶體匯流排
815‧‧‧輸入/輸出匯流排
820‧‧‧記憶體
825‧‧‧記憶體
830‧‧‧輸入/輸出裝置
835‧‧‧鍵盤
840‧‧‧顯示器
845‧‧‧記憶體
850‧‧‧網路裝置
A‧‧‧電腦伺服器
B‧‧‧電腦伺服器
依據本發明的實施例的一系統和方法的特徵和優點解決了上述和其他問題,該系統和方法被描述於以下的詳細說明並被顯示於以下的圖式之中。
圖1例示依據本發明實施例的一種用於匯總和重分配表示成一適當格式的相關威脅性情報資料的系統的一網路示意圖;圖2例示依據本發明實施例的呈可傳輸事件格式(transportable incident format;TIF)記錄形式之一資料庫的一樣本;圖3例示圖2的呈可傳輸事件格式(TIF)記錄形式之資料庫的一樣本,其中該等TIF記錄被使用一依據本發明實施例的集群演算法(clustering algorithm)加以歸類;圖4例示圖3的經過群集成簇的資料庫的一樣本,其中依據本發明的實施例套用一驗證步驟;圖5例示依據本發明實施例的一種用於匯總和重分配表示成一適當格式的相關威脅性情報資料的程序之一流程圖;圖6例示依據本發明實施例的一種用以針對群集成簇的資料執行一嚴重性類別分析的程序之一流程圖;圖7例示依據本發明實施例的一種使用每一群簇的威脅性情報資料項 目驗證群簇的程序之一流程圖;而圖8例示一區塊圖,代表提供依據本發明的實施例的處理系統。
本發明係有關於一種用於整併電腦及其相關網路的威脅性威脅性情報資料的系統和方法。特別是,本發明涉及從複數個來源收集數量龐大的原始威脅性情報資料,並將所收集的資料畫分成一共用性可傳輸事件格式以供群簇分析。接著其使用無監督式機器學習演算法將經過標準化的資料群集成簇。產生的組織化威脅性情報資料其後接受一個以加權資產為基礎的威脅嚴重等級相關性程序。一特定電腦網路的所有中間網路漏洞均被使用做為此程序的關鍵整併參數。透過此高速自動化程序所集納的經過處理的最終情報資料接著在傳輸至第三方之前被格式化成預定之格式。
圖1例示依據本發明實施例的一系統之一網路示意圖。此系統包含各種模組和裝置,執行程序以提供一種用於匯總和重分配收集自來源105的相關威脅性情報資料。通過認證的資料而後在收集引擎120之內被格式化成預定之格式並被傳遞至處理引擎125,以在經過處理的資料相應地被重新分送至電腦網路131至134之前,進行進一步的處理。
當一電腦網路,例如,電腦網路131至134的其中一者,被新加入系統之時,一個新加入的電腦網路資產的列表,意即電腦資產,將被提供給處理引擎125並儲存於其內。此電腦網路資產的列表將包含電腦網路之內所有被判定為對網路攻擊敏感的資產,包含但不限於,桌上型電腦、大型主機、傳真機、路由器、伺服器、交換機、個人電腦、膝上型電 腦、平板電腦、以及支援資訊相關活動的任何裝置或元件。
依據本發明的實施例,包含於電腦網路資產的列表之中的資產可以被分配特定的嚴重性權重,其中對於電腦網路而言重要性較高的資產相較於對於電腦網路相對而言重要性較低的其他資產將被指派一較高之權重。此意味一電腦網路內的資產的嚴重性權重並非單獨受限於被其製造商以硬體編碼或預分配的方式加諸特定類型電腦硬體上的預設嚴重性權重。例如,在預設狀況下,相較於分配給一傳真機的嚴重性權重數值而言,一桌上型電腦可能被製造商分配一較高的嚴重性權重數值。然而,對於電腦網路的管理者而言,相較於桌上型電腦,傳真機維持運作對於電腦網路的正常運行可能更為重要。因此,對比於嚴重性權重數值的預設或標準指派,相較於桌上型電腦,管理者實際上將指派一較高的嚴重性權重數值給傳真機。
換言之,電腦網路內的資產的嚴重性權重可以依據資產對於電腦網路日常運作的重要性加以修改。簡單地說,此意味電腦網路資產之列表可以被修改和客製化,以涵蓋網路之中被認定為重要的所有資產。此儲存於處理引擎125內的電腦網路電腦資產之列表之後將被週期性地更新,使得加諸電腦網路的任何變更均將被系統充分獲知。在本發明的實施例之中,每當電腦資產被從一特定電腦網路移除或者被加入該電腦網路,該電腦網路的電腦資產之列表將被該電腦網路更新。
至於處理引擎125,此裝置包含複數個模組,諸如資料庫127、集群模組128、嚴重性分類模組129、漏洞過濾模組126以及驗證模組124。此等模組中的每一者之功能將在以下段落之中被進一步地詳述。
來源105包含網路威脅/安全性情報來源,諸如開放來源106、商業性提供者107、社群來源108以及匿名收集者109。開放來源106可以包含,但不限於,列出並追蹤各種類型惡意軟體或網路威脅的公眾可造訪網站或網域。有興趣者可以造訪此等網站以免費下載或取得威脅性情報資料。缺點在於,雖然開放來源106可以提供珍貴的威脅性情報資料,但從開放來源106取得的資料的真實性可能令人懷疑,因為列在開放來源106上的資料多數時間都未經認證。由於開放來源106的性質,開放來源106可能被懷有惡意者利用來散佈錯誤資訊。因此,從開放來源106取得的資訊必須與其他來源交互對照,以在可以使用資料之前核驗所取得資料的正確性。此類開放來源的一些實例包含,但不限於,諸如"www.malwaredomainlist.com"或"www.malware-domains.com"等網站,其列出在網路空間傳播的各種網路威脅和惡意軟體,或者諸如"Project Honeypot"、"ZeuS Tracker"、"Malware Domain List"、"TOR Nodes"、"Someonewhocares"、及"SecurityTracker"等各種開放來源專案。
商業性提供者107可以包含,但不限於,諸如"McAfee"、"FireEye"、"Anubisnetworks"、"Trend Micro"、"Fortinet"、"Norse"等商業性網路威脅收集者,或者任何其他收費提供威脅性情報資料的此類實體。此等商業性提供者通常透過他們自己的專有網路協定並以他們自己的格式提供威脅性情報資料。從這些商業性提供者取得的威脅性情報資料通常比較可靠,因為確保其聲譽不受虛偽資訊損壞才符合其利益。換言之,由這些商業性提供者識別出來的真實威脅或惡意軟體的數目通常遠超過虛偽資訊的數目。因此,從這些來源取得的資料通常更為可信,且相較於從其他替代 來源取得的資料更加值得信賴。
社區來源108可以包含在線社群或網路,使用社群中致力於威脅性情報資料收集的使用者的主動參與。這些社群可以包含社交網路、聊天室、在線社團、或者網際網路上可找到的任何其他此類適當媒體。至於匿名收集者109,此一來源基本上將包含種類繁多的匿名來源,諸如被組構成用以收集和傳送威脅性情報資料至一中央收集資料庫的通信閘、路由器、數據機、防火牆、或交換機。這些匿名收集者亦可以包含過去曾經歷網路攻擊或目前正遭受攻擊的電腦網路使用者的自動反饋。從社群來源108和匿名收集者109取得的資訊將亦必須與其他來源交互對照,以在資料可以使用之前核驗所取得資料的正確性,因為惡意使用者可以輕易地使用此等資料收集饋入來注入錯誤資訊以伏擊其他人。
其亦應注意,接收自每一來源的資料均係以該來源本身的格式存在。例如,從"McAfee"(意即,從一商業性提供者107之來源)取得的威脅性情報資料將使用McAfee的專有格式,而從"Project Honeypot"(意即,從一開放來源106之來源)取得的資料將是使用此特定開放來源所特有的另一格式。
除了以上所述者之外,取決於威脅性情報資料的來源,資料可以使用各式各樣的網路協定透過網路115從來源105被傳送到收集引擎120。在此等網路協定之中,可以使用的包含,但不限於,傳輸控制協議(Transmission Control Protocol;TCP/IP)、安全外殼(Secure Shell;SSH)、檔案傳輸協議(File Transfer Protocol;FTP)、簡單郵件傳輸協議(Simple Mail Transfer Protocol;SMTP)、電話網絡(Telephone Network;Telnet)、超文本咖啡壺控制 協議(Hyper Text Coffee Pot Control Protocol;HTCPCP)、超文本傳輸協議(Hyper Text Transfer Protocol;HTTP),點對點協議(Point to Point Protocol;PPP),網際網路訊息存取協議(Internet Message Access Protocol;IMAP)、以及可以被任一情報提供者在來源105之中使用的任何其他專有網路協議。
至於網路115,網路115係一通信網路,諸如網際網路,讓計算裝置及/或處理系統能夠透過有線方式、無線方式、或二者之結合彼此通連。相關領域之熟習者應能領略,有線方式可以包含,但不限於,諸如廣域網路(wide area network;WAN)或區域網路(local area network;LAN)之一有線網路,而無線方式則可以包含透過射頻(Radio Frequency;RF)信號或紅外線信號建立而成的無線通信。
依據本發明的實施例,收集引擎120包含複數個電腦伺服器,透過一骨幹網路(backbone network)全部並聯在一起。這些伺服器中的每一者均被編程以建立和維持與來源105之內的一分配來源之連接。換言之,此意味收集引擎120之中的每一伺服器均將被分配至一固定來源,且資料傳輸可以使用分配來源的偏好網路協定進行。此確保收集自每一來源的威脅性情報資料均被切實並有效率地使用。
舉例而言,收集引擎120之中的電腦伺服器"A"可以被分派任務以從商業性提供者107內的一來源收集資料,例如,從McAfee的網站,使用McAfee的專有網路協定且使用McAfee的資料格式,而電腦伺服器"B"則可以被分派任務以從商業性提供者107內的另一來源收集資料,例如,從Trend Micro的網站,使用Trend Micro的專有網路協定且使用Trend Micro的資料格式。在本文以下,當參照到原始威脅性情報資料之時,相關領域 之熟習者應理解,該資料將是使用一特定來源的專有格式且被組構成使用該特定來源的偏好網路協定傳送。
此外,每一伺服器均可以執行複數個虛擬機器模擬,使得每一伺服器的資源均可以被分成複數個分離的虛擬樣例,以從一特定來源透過多個通道促成資料收集。在本發明的實施例之中,此可以使用對等網路模式(peer-to-peer model)實施而成。當複數個虛擬連接被建立於一伺服器與其威脅性情報資料來源之間,此意味若一連接在該伺服器與該來源之間中斷,並不會危害到威脅性情報資料之傳輸,因為其他連接可以暫時替代中斷的連接直到連接回復為止。例如,一伺服器可以具有二十個分離的虛擬樣例以從開放來源106中之特定來源透過二十個通道促成資料收集。此外,雖然圖1之中的收集引擎120僅描繪二十四個電腦伺服器,但相關領域之熟習者應能體認,其可以依據需要使用任何數目之電腦伺服器,此並未脫離本發明之範疇。
其應注意,收集引擎120可以被編程以週期性地從來源105下載原始威脅性情報資料,例如,每小時、每天、等等。或者,其可以提供指令給來源105,使得每當在任何特定來源有新資料可用之時,威脅性情報資料可以從來源105被推撥到收集引擎120,意即,使用一推撥機制(push-mechanism)。
重述一下要點,收集自一特定來源的原始資料將使用來源本身的專有資料格式且其組構的方式將使得其可以使用該特定來源的偏愛網路協定進行傳送。因此,收集引擎120將具有一些威脅性情報資料以多種資料格式存在並且被調構成以多種網路協定傳輸。為了將此資訊的混合體 均質化成可使用的東西,原始資料必須被解析並標準化成一共用性格式。為了解決此問題,收集引擎120內的每一伺服器均被配置一解碼器模組,用以對收集自一特定來源的原始威脅性情報資料進行解析和標準化。與開放來源和商業性來源相關的解碼器的一些實例包含,但不限於,一Honeypot解碼器,用於解析Project Honeypot所提供的惡意IP的列表;一ZeuS Tracker解碼器,用於解析Zeus命令和控制以及ZeuS Tracker所提供的偽造URL的列表;一Malware Domain List解碼器,用於解析Malware Domain List所提供的惡意IP及URL的列表;一TOR Node解碼器,用於解析dan.me.uk所提供的TOR節點的列表;一Anublis Cyberfeed解碼器,用於解析來自Anubisnetworks的商業性網路威脅饋入;一Host File解碼器,用於解析落入諸如震撼網站(shock site)、劫持網站(hijack site)、間諜軟體、惡意軟體等類別下的網域的列表。
在單一伺服器的和標準化程序期間,收集自一特定來源的原始威脅性情報資料被從其原始格式,如同從其來源取得者,轉換成一種一致性格式。依據本發明的實施例,該一致性格式可以被稱為可傳輸事件格式(TIF)記錄。來自收集引擎120中的伺服器的該等TIF記錄接著可以被儲存於資料庫127之中,如同處理引擎125之中所提供。此意味從一特定來源取得的每一資料項目將被解析並被標準化成一TIF記錄。從每一伺服器取得的所有TIF記錄均將包含對一電腦網路的安全分析者特別有用的屬性。這些屬性包含一感知電腦威脅的SOURCE(來源)、CATEGORY(類別)和DATA(資料)屬性,如同從原始威脅性情報資料(從特定於伺服器之一來源所取得者)的解析和標準化所取得者。
包含於TIF記錄之中的屬性亦可以包含其他離散屬性,諸如,但不限於,PROTOCOL(協定)、DESTINATION PORT(目標端口)、DESCRIPTION(說明)等等。相關領域之熟習者應能領略,除了SOURCE(來源)、CATEGORY(類別)和DATA(資料)屬性之外,其他屬性的任何其他組合均可以包含於TIF記錄之中,此均未脫離本發明之範疇。
當收集引擎120的每一伺服器中的原始威脅性情報資料被解析和標準化之後,從每一伺服器產生的TIF記錄被整理於資料庫127之內。在收集自來源105的所有原始威脅性情報資料均已在收集引擎120之中被解析和標準化之後,資料庫127從而將具有大量珍貴的經過整理的TIF記錄形式威脅性情報資訊。
已由解碼器模組解析並標準化成TIF記錄且被傳送至資料庫127的原始威脅性情報資料之一簡化實例被例示於圖2之中。位於TIF記錄205之中的行識別碼210代表被用以區別一記錄與下一記錄的識別碼,而每一記錄被表示成TIF記錄205之中的一列。圖2例示樣本TIF記錄205,其包含以下屬性:來源215、類別220以及資料225。相關領域之熟習者應當有所認知,其他類型的文數字識別碼亦可被用以取代圖2之中所示的數字識別碼,且例如IP位址、位置等其他屬性的任何額外組合均可以包含於TIF記錄之中而並未脫離本發明之範疇。一特定記錄的出處或販售者被列出於來源215之下,同時就本發明的這個實施例而言,關聯一特定記錄的惡意活動之類型被列出於類別220之下。在本發明的這個實施例之中,資料225包含有關於可能被一特定類型的惡意活動影響之任何計算特徵的資訊。此例中,dwin代表一Windows作業系統;而demail則代表一種被組構成用 以傳送/接收電子郵件的資產等等。相關領域之熟習者應能體認,其可以使用其他命名約定來代表資料225之中的計算特徵,此並未脫離本發明之範疇。例如,就TIF記錄之中的編號1的項目而言,資料225指出惡意活動的類型係一"蠕蟲",且此"蠕蟲"將透過一電子郵件網路協定影響Windows機器,故表示成"dwin,email"。相關領域之熟習者應能體認,資料225可以包含其他類型的計算特徵而並未脫離本發明的範疇,且例示於圖2之中的實例並非表示其係一個所有計算特徵的窮舉列表。
回頭參看圖1,處理引擎125從而被組構成用以使用集群模組128以將TIF記錄的項目聚集在一起,使得每一群簇包含代表TIF記錄之一屬性的一群資料。在本發明的這個實施例之中,集群模組128被組構成用以將TIF記錄中具有相同意圖或目的之惡意活動或電腦安全性威脅的項目聚集在一起。例如,集群模組128可以被組構成用以從TIF記錄偵測包含諸如病毒、特洛伊木馬程式、蠕蟲、阻斷服務攻擊(DoS)等電腦安全性威脅的記錄。集群模組接著將根據所偵測到的關聯記錄之惡意活動,把偵測到的記錄歸類成群簇。在本發明的其他實例之中,集群模組128可以被組構成用以從TIF記錄偵測具有相同IP位址、時間、地區等之記錄。情況類似地,集群模組接著將把這些偵測到的記錄相應地歸類成群簇。
可被處理引擎125使用以利用圖案探索方法形成群簇的機器學習演算法包含,但不限於,排他集群(exclusive clustering)、重疊集群(overlapping clustering)、階層集群(hierarchical clustering)、概率集群(probabilistic clustering)、以及雙向集群(two-way clustering)。由於每一種集群演算法的設計均係針對特定類型的資料集加以考量,故其並無單一理想集群演算法會 適用於處理所有種類的資料集。使用一集群方法而非一分類方法係有利的,因為集群讓未知的惡意活動或安全性威脅能夠透過不同群簇的形成而被偵測到,不需要具有預先定義類別的限制。
依據本發明的實施例,其偏愛使用無監督式機器學習演算法以進行TIF記錄之集群。在本發明的一實施例之中,集群模組可以使用一種諸如最近相鄰(k-nearest neighbour;k-NN)演算法的無監督式機器學習演算法來形成群簇。上述的k-NN演算法係一種儲存所有可用樣例並且根據該等可用樣例的一相似性量度分類新資料的演算法。該k-NN演算法使得其能夠根據各種類別之間的假定相似度分離資料或記錄。因此,其可以藉由搜尋所提供資料之間的相似度而讓類別能夠彼此區分。一新記錄接著被依據多數隸屬的類別被分類。
依據本發明的其他實施例,集群模組可以使用其他類型的無監督式機器學習演算法,諸如自我組織特徵地圖(Self-Organizing Feature Maps;SOFM或SOM)網路,來形成群簇。上述的SOM網路允許無監督下的資料分類。特別是,SOM係一種無監督式人工神經網路(artificial neural network),使用競爭式學習(competitive learning)進行訓練,以產生訓練樣本輸入空間的一相對低維度離散表示方式,稱為一地圖。SOM與其他人工神經網路的差異在於其使用一鄰域函數(neighbourhood function)以保留輸入空間的拓撲性質。此使得SOM適用於視覺化地顯現相對高維度資料的相對低維度景象,近似於多維度的尺度調整。
一自我組織地圖係由稱為神經元亦稱為節點的元件所組成。關聯每一節點係與輸入資料向量維度相同的一權重向量以及位於地圖 空間之中的一位置。節點的一般配置方式係在一六角形或長方形網格之中具有規則的間隔。此SOM描繪出一種從一相對較高維度資料空間到一相對較低維度地圖空間的映射。將一個來自資料空間的向量放到地圖上的程序係先找到其權重向量最接近從資料空間取出之向量的節點。一旦確定最接近的節點,其即被指派從資料空間取出之向量的數值,且此節點亦稱為一"贏家神經元"。位於贏家的半徑之內的所有神經元,按照鄰域函數的定義,亦將更新它們的權重。此訓練方法稱為"贏者全拿"策略。SOM的優點在於,不像監督式訓練技術,SOM之中的網路學習在沒有外部協助之下形成其本身的訓練資料之分類。
本發明的這個實施例之中,在集群模組128(其被組構以執行SOM演算法)的輸出可以被使用之前,資料庫127之中的TIF記錄先被提供給集群模組128一段時間,例如,介於1到4個禮拜之間,使得集群模組128可以被訓練來從現有的TIF記錄識別出群簇。SOM在集群模組128的訓練期間,SOM中的節點之間的相關性規則將被改進,使得當SOM被套用於新的TIF記錄之時,該等TIF記錄可以在不需要任何外力協助下以一有效率而切實的方式被群集成簇。
因此,依據本發明的實施例,集群模組128可以被組構成使用諸如k-NN或SOM之無監督式機器學習演算法,以依據其IP位址、端口、事件類型、惡意活動/電腦安全性威脅的種類、等等,將TIF記錄之中的項目群集成簇。圖3之中例示已被群集成簇的TIF記錄205的一個實例。已被群集成簇的TIF記錄300例示已依據該群記錄被群集於其下的一特定類型之惡意活動被歸類的群簇。此例中,群簇305代表其惡意活動或電腦安全性 威脅顯示為蠕蟲的記錄,而群簇310則代表其惡意活動顯示為特洛伊木馬的記錄。至於群簇315,此群簇代表其惡意活動顯示為權限工具式病毒(rootkits)的記錄,而群簇320則代表其惡意活動顯示為Dos攻擊的記錄。相關領域之熟習者應有認知,TIF記錄被群集成資料之群組,各自代表威脅性情報資料之一屬性,且並不僅限於圖2至圖4所例示的惡意活動類型。
參照圖1,資料庫127之中被群集成簇的記錄接著接受一嚴重性等級分類程序,使用嚴重性分類模組129,其提供於處理引擎125之內者。此程序旨在將電腦網路和與其相關的群簇聯繫起來。此程序使用一特定電腦網路的所有中間網路漏洞做為程序的關鍵整併參數。
總結而言,嚴重性分類程序之功能在於,針對每一群簇,識別出可以被該群簇所代表的屬性影響的電腦網路。在本發明的這個實施例之中,嚴重性分類程序針對每一群簇識別出可以被該群簇所代表的惡意活動影響的電腦網路。舉例而言,經過集群的記錄中之一第一群簇可以代表相關於電腦網路131和134但不相關於電腦網路132或133的惡意活動。此意味有關此群簇的資訊僅應被傳送給電腦網路131、134的分析者,但不必傳送給電腦網路132、133的分析者。藉由施用此嚴重性分類程序,此大幅地增加傳送至一特定電腦網路的威脅性情報資料的相關性和正確性。此避免一電腦網路的電腦分析者被對其所管理的電腦網路而言毫無作用的不相關資料淹沒。
依據本發明的實施例,參照圖3之中所顯示的實例,描述嚴重性分類程序之運作之一例示性實例。重述一下要點,圖3例示已被群集成群簇305、310、315和320的TIF記錄300。在此例之中,嚴重性分類模 組129藉由擷取隸屬於電腦網路131的電腦資產的一個列表而開始嚴重性分類程序。針對此實例之目的,其假定隸屬於電腦網路131的資產包含一電腦和一無線路由器。相關領域之熟習者應能領略,電腦網路可以由任何類型和數目的電腦資產構成,而並未脫離本發明的範疇。
在此例之中,其假定電腦網路131中的電腦具有諸如一Windows作業系統的計算特徵,且其被組構成用以傳送/接收電子郵件,而電腦網路131中的無線路由器具有諸如一Windows作業系統的計算特徵,且其被組構成使用SSH協定進行傳送/接收。其應注意,所有電腦資產均將具有各種類型的計算特徵,諸如其作業系統、其被組構的網路協定、等等,且並非僅限於此等實例。
模組129接著將從TIF記錄300選擇群簇305。隸屬於電腦網路131的第一電腦資產接著被選擇,其係電腦。模組129接著選擇電腦的第一計算特徵,此係它的Windows作業系統。被選定的這個計算特徵接著被與包含於群簇305的資料225之內的資訊相比較,以判定此計算特徵是否可以被群簇305所代表的惡意活動(意即,"蠕蟲攻擊")影響。由於群簇305內的資料225指出群簇305影響Windows和Linux作業系統("dwin和dlinux"),故模組129將把群簇305識別成一個對於電腦網路131而言具嚴重性的群簇。模組129接著針對其他群簇重複此程序,意即,群簇310和315,其全部均被識別成對於電腦網路131而言具嚴重性的群簇,因為群簇310、315的資料225一欄指出這些群簇具有影響Windows作業系統的惡意活動("dwin")。
至於群簇320,此群簇的資料225指出此群簇的惡意活動影 響Linux;點對點協定(PPP);以及傳真網路協定(fax network protocol),意即,"dlinux,PPP和dlinux,fax"。由於電腦網路131中的電腦使用一Windows作業系統及電子郵件網路協定,故電腦網路131之中的這個電腦資產並未受群簇影響。模組129接著針對位於電腦網路131之中的其他電腦資產重複該嚴重性分類程序,也就是上述的無線路由器。由於無線路由器使用一Windows作業系統且被組構成使用SSH網路協定傳送/接收資料,故模組129將指出此電腦資產亦未被群簇320影響。由於電腦網路131之中的所有電腦資產均具有未受群簇320影響的計算特徵,故此群簇將被認定為一個並非對於電腦網路131而言具嚴重性的群簇。
因此,在嚴重性分類程序完成之時,僅有與群簇305、310、和315相關的記錄被發現對於電腦網路131而言具嚴重性。換言之,來自這三個群簇的記錄對於一個電腦網路131的電腦分析者而言關係重大,但來自群簇320的記錄則沒什麼關係。因此,電腦分析者不需要花時間檢查包含於群簇320之內的資料,從而縮短該分析者的檢查時間並且大幅地增進該分析者的效率。完成電腦網路131的嚴重性分類程序之後,模組129接著繼續執行其他電腦網路的嚴重性分類程序,意即,電腦網路132、133、和134。接著其利用從電腦網路嚴重性分類所取得之結果相應地更新資料庫128。
依據本發明的其他實施例,針對每一群簇,在嚴重性分類程序之後,該嚴重性分類程序接著進一步使用電腦網路之中被分類為具嚴重性的電腦資產的嚴重性權重數值,來判定哪個電腦網路更易受損於該特定群簇所代表的電腦安全性威脅。
舉例而言,假設電腦網路131和134二者均受群簇305影響。在此例之中,當群簇305影響到電腦網路131之中已被分配一較高嚴重性權重數值的一電腦資產,則嚴重性分類程序將把此群簇強調顯示給電腦網路131的分析者。在同一實例之中,若電腦網路134中受影響的電腦資產被分配一低嚴重性權重數值,則電腦網路134的分析者將不會被告知此群簇,直到具有較高嚴重性權重數值的其他電腦網路有接收到經過處理的情報資料為止。
參照圖1,在群集成簇的TIF記錄接受嚴重性分類之後,其使用漏洞過濾模組126將該等群集成簇的TIF記錄放入一漏洞過濾程序。在此程序之中,被發現對於一特定電腦網路具嚴重性的群簇被與該特定電腦網路的一安全態勢進行比較,以判定該電腦網路是否易受損於該嚴重性群簇所代表的威脅。
依據本發明的實施例,一電腦網路的安全態勢可以藉由先建立代表包含於該電腦網路之內的電腦資產的所有網路安全漏洞的一物件模型而取得。此物件模型接著被放入一嚴格測試程序以判定該電腦網路易受損於各種類型和形式的網路攻擊的程度。該測試程序可以包含執行一分析程式,此分析程式在該物件模型上循環通過、選擇及執行複數個網路攻擊,以評估該電腦網路對於各種類型和形式的網路攻擊的易受損程度。在該測試程序期間,該電腦網路之中的每一電腦資產均被測試於一系統層級、一拓撲層級和一節點層級。若該物件模型並未受一特定攻擊影響,則此將意味該電腦網路針對此一攻擊已被有效地蔽護或者已然安裝一適當的安全性修補,從而讓此一攻擊失靈。此資訊接著被使用以產生該電腦網路之一安 全態勢。若其顯示該物件模型在一特定層級受一特定網路攻擊影響,則有關於該網路攻擊的資訊接著被捕集且該安全態勢被相應地更新。
藉由將被發現對於一特定電腦網路而言具嚴重性的群簇與該電腦網路的安全態勢進行比較,對該電腦網路而言已然免疫的群簇將不會針對該電腦網路被進一步處理。此係由於若該電腦網路已經有針對一特定類型的惡意活動被修補過,則該電腦網路的安全分析者不需要接收有關於該等惡意活動的類似資訊,因為相關的電腦安全性威脅將無害於該電腦網路。因此,這進一步降低安全性分析者在他們那端必須篩濾的無關威脅性情報資料的數量。接著其利用從電腦網路的漏洞過濾所取得之結果相應地更新資料庫128。
回到前述的實例,其中群簇305、310及315被發現是對於電腦網路131而言具嚴重性的群簇。若電腦網路131的安全態勢被與群簇305、310、315比較且其發現電腦網路131僅易受損於群簇305,則此將表示群簇310、315之內所包含的記錄可以不必考慮進一步的處理。換言之,電腦網路131之安全態勢之漏洞測試顯示電腦網路131易受損於透過電子郵件、SSH、以及HTTP網路協定影響Windows和Linux作業系統的"蠕蟲"類攻擊。
與每一電腦網路相關的最終過濾群簇接著依據每一電腦網路的預定格式被格式化,且接著被相應地提供給每一電腦網路。例如,對於電腦網路133而言,在經過格式化的記錄被提供給電腦網路133之前,其可以是一黑名單或一白名單被套用於針對電腦網路133被過濾的群簇的一個先決條件。在本發明的其他實施例之中,在此經過處理的資料被轉送至 第三方以供其進一步使用之前,其可以裁製一客製化遮蔽物並套用於被過濾的群簇。
依據本發明的實施例,經過格式化的群簇可以被接收方電腦網路使用,以更新各別電腦網路的安全態勢。這將確保電腦網路的安全態勢維持在最新狀態,且因此進一步降低必須被電腦網路之一分析者檢視的威脅性情報資料的數量。
依據本發明的實施例,在經過標準化的威脅性情報資料被集群模組128歸類成簇之後,且在嚴重性分類程序之前,被群集成簇的資料使用驗證模組124接受一驗證程序。如同本說明的較先前部分所述,從某些來源取得的威脅性情報資料傾向於比從其他來源取得的威脅性情報資料更為可信。特別是,從商業性來源107取得的資料將比從開放來源106、社群來源108和匿名來源109取得的資料具有較高的權重。透過驗證程序之使用,群集成簇的TIF記錄被驗證以濾除被認為是"雜訊"的記錄或者本質上無足輕重的記錄。此可以藉由根據記錄之來源套用一特定權重至群集成簇的TIF記錄之中的記錄以及藉由驗證其具有的總權重高於一預定門檻值的群簇來達成。
所提出的驗證程序參照圖3所示的實例得到最佳的闡釋。在此例之中,源自開放來源106的記錄被賦予一權重數值1,源自商業性來源107的記錄被賦予一權重數值5,源自社群來源108的記錄被賦予一權重數值1而源自匿名來源109的記錄被賦予一權重數值1。當權重數值針對每一群簇被加總之時,產生以下權重數值:具有一加總權重8的群簇305;具有一加總權重6的群簇310;具有一加總權重3的群簇315;以及具有一加總 權重6的群簇320。此例中,該預定門檻值因此被設定成5;所具有的加總權重小於5的任何群簇將未通過驗證,因此將被認定為是"雜訊"。此被例示於圖4,其中TIF記錄400將群簇305、310、320例示成已經過驗證,而群簇315則已被略去,不再進行進一步處理。
依據本發明的實施例,一種用於整併一電腦網路的威脅性情報資料的方法包含以下五步驟:步驟1,從複數個來源收集威脅性情報資料,且將所收集的威脅性情報資料標準化成一種一致性資料格式;步驟2,將經過標準化的威脅性情報資料歸類成群簇,其中每一群簇均包含代表該威脅性情報資料之一屬性的一群資料;步驟3,就對於該電腦網路而言具嚴重性的電腦安全性威脅分類該等群簇;步驟4,將被分類成具嚴重性的群簇與該電腦網路之一安全態勢比較以判定該電腦系統感興趣的群簇;以及步驟5,將被判定為該電腦系統感興趣的電腦安全性威脅之群簇格式化成該電腦網路之一預定格式。
在本發明的實施例之中,其需要一程序以僅整併一目標電腦網路的來自複數個來源的相關威脅性情報資料。以下說明和圖5至7描述提供依據本發明之程序的程序實施例。
圖5例示依據本發明實施例的程序500,由一電腦系統執行,以整併一電腦網路的威脅性情報資料。程序500開始於步驟505,其中威脅性情報資料被收集自複數個來源。此混合的原始威脅性情報資料包含 呈多種格式以及被組構成用於使用各種網路協定進行傳輸的資料。程序500接著繼續進行至步驟510,其中全部的原始威脅性情報資料被標準化成一種一致性格式。在本發明的實施例之中,此一致性格式可以包含TIF記錄。在步驟515,呈該一致性格式的資料被歸類成群簇,其中每一群簇均代表威脅性情報資料之一屬性,諸如一種惡意活動、IP位址、位置、出處、來源、或者電腦安全性威脅。程序500接著繼續進行至步驟520,其中群集成簇的資料從而接受一嚴重性分類程序以濾除對於該電腦網路而言具嚴重性的群簇。被認為對於該電腦網路而言具嚴重性的群簇接著在步驟525進一步接受一漏洞過濾程序。在此步驟之中,具嚴重性的群簇被與該電腦網路之一安全態勢比較以判定該電腦網路易受其損害的群簇。經過進一步過濾的群簇接著在步驟530被格式化成該電腦網路的一預定格式。程序500接著結束。
圖6例示程序600,由一電腦系統執行,以針對電腦安全性威脅過濾群集成簇的記錄或者過濾對於該電腦網路而言具嚴重性的群簇。程序600開始於步驟602,其擷取隸屬於該電腦網路的電腦資產。程序600接著在步驟605從該等群集成簇的記錄選定一第一群簇。在步驟610,程序600從所擷取的電腦資產之中選定一第一電腦資產。程序600接著繼續進行以選定關聯所選定電腦資產的一第一計算特徵。此發生於步驟615。所選定的計算特徵在步驟620被與位於所選定群簇中的資料進行比較。若程序600判定該選定計算特徵並未受該選定群簇影響,則程序600繼續進行至步驟625。在步驟625,程序600判定該選定電腦資產是否具有另一計算特徵尚待選定。若尚有另一計算特徵待選定,則程序600繼續進行至步驟630。該選定電腦資產的下一計算特徵被選定於步驟630,且程序600接著繼續進行 至步驟620,其中該選定計算特徵被評估於步驟620。
回到步驟625,若該選定電腦資產的計算特徵已全部被選定過,則程序600接著繼續進行至步驟650。在步驟650,程序600判定該電腦網路是否具有另一電腦資產尚待選定。若有另一電腦資產待被選定,則程序600進行至步驟655,於此另一電腦資產被選定。程序600接著繼續進行至步驟615,其中該選定資產的一第一計算特徵被選定且隨後被評估於步驟620。
回到步驟650,若該電腦網路的電腦資產已全部被選定過,則程序600改為繼續進行至步驟640。在步驟640,程序600判定群集成簇的記錄之中是否有另一群簇針對該電腦網路尚待評估。若有另一群簇尚待評估,則程序600繼續進行以在步驟645選擇此下一群簇。程序600接著繼續進行至步驟610,於此選定該第一電腦資產。程序600接著進行通過如前所述的各別步驟。
回到步驟620,若程序600判定該選定計算特徵可以受該選定群簇影響,則程序600改為進行至步驟635。在步驟635,程序600將該選定群簇識別成一個對於該電腦網路而言具嚴重性的群簇且程序600接著直接繼續進行至步驟640,未評估電腦資產的其他計算特徵。
一旦群集成簇的記錄之中的所有群簇均已經過程序600評估,程序600接著即結束。
圖7例示依據本發明實施例的程序700,由一電腦系統執行,以驗證經過解析與標準化的威脅性情報資料的群簇。程序700開始於步驟705,在此步驟之中,取決於記錄的出處或來源,適當的權重被指派給 每一記錄。一較高之權重被指派給源自諸如商業性來源之可信和可靠來源的資料,而一較低之權重被指派給源自諸如開放、社群和匿名來源的可信度較低之來源的資料。程序700接著繼續進行至步驟710,其中每一群簇之中的記錄之權重全部被加總以得到每一群簇之一總權重。在步驟715,程序700選定一群簇,並在步驟720判定該選定群簇的加總權重是否超過一預定門檻值。若程序700判定該選定群簇之該加總權重超過該預定門檻值,則程序700繼續進行至步驟735。在步驟735,該選定群簇將被程序700驗證,且程序700接著繼續進行至步驟725。
回到步驟720,若該選定群簇之加總權重並未超過該預定門檻值,則程序700將改為繼續進行至步驟725。在步驟725,程序700將判定其是否存在另一群簇尚待程序700選定。若程序700判定有另一群簇尚待選定,則程序700將繼續進行至步驟730。在步驟730,程序700將選定下一個群簇並且接著繼續進行至步驟720。程序700會重複步驟720至725,直到群簇全部被選定過為止。換言之,一旦其在步驟725判定並無更多群簇尚待選定,則程序700接著將結束。
上述的程序可以由儲存於一非暫態性電腦可讀取媒體之中的指令提供,且由一電腦系統之中的一處理單元執行。為了避免疑義,非暫態性電腦可讀取媒體應被視為包含所有電腦可讀取媒體,除了一暫態性傳播信號之外。一電腦系統可以是設置於用以提供本發明的一或多個行動裝置及/或電腦之中。前述的指令可以被儲存為韌體、硬體、或軟體。圖8例示此一處理系統之一實例。處理系統800可以是位於行動裝置及/或伺服器之中的處理系統,執行指令以執行用以提供一種依據本發明實施例的方 法及/或系統的程序。相關領域之熟習者應能領略,每一處理系統的確切組態可以有所不同,且每一行動裝置之中的處理系統的確切組態可以有所變化,而圖8僅係透過舉例的方式給定。
處理系統800包含中央處理單元(CPU)805。中央處理單元805係一處理器、微處理器、或者處理器與微處理器的任何組合,執行指令以執行依據本發明的程序。中央處理單元805連接至記憶體匯流排810和輸入/輸出(I/O)匯流排815。記憶體匯流排810將中央處理單元805連接至記憶體820及825,以在記憶體820、825與中央處理單元805之間傳送資料和指令。輸入/輸出匯流排815使中央處理單元805連接至週邊裝置,以在中央處理單元805與該等週邊裝置之間傳送資料。相關領域之熟習者應能體認,輸入/輸出匯流排815和記憶體匯流排810可以被結合成一匯流排或者被分成許多其他匯流排,而確切之組態取決於熟習相關技術者的設計選擇。
一非揮發性記憶體820,諸如唯讀記憶體(ROM),連接至記憶體匯流排810。非揮發性記憶體820儲存操控處理系統800的各種子系統和在開機時啟動系統所需要的指令和資料。相關領域之熟習者應能體認,其可以使用任何數目和類型的記憶體來執行此功能。
一揮發性記憶體825,諸如隨機存取記憶體(RAM),亦連接至記憶體匯流排810。揮發性記憶體825儲存中央處理單元805執行程序之軟體指令所需要的指令和資料,諸如用於提供一種依據本發明實施例的系統所需之程序。相關領域之熟習者應能體認,其可以使用任何數目和類型的記憶體做為揮發性記憶體,且所使用的確切類型取決於熟習相關技術者的設計選擇。
輸入/輸出(I/O)裝置830、鍵盤835、顯示器840、記憶體845、網路裝置850以及任何數目的其他週邊裝置均連接至輸入/輸出匯流排815,以與中央處理單元805交換資料而使用於中央處理單元805所執行的應用程式。輸入/輸出裝置830係從中央處理單元805傳送及/或接收資料的任何裝置。鍵盤835係一特定類型的輸入/輸出裝置,其接收使用者輸入並將該等輸入傳送給中央處理單元805。顯示器840從中央處理單元805接收顯示資料並顯示影像於一螢幕上以供使用者觀看。記憶體845係一個傳送資料至中央處理單元805並自其接收資料的裝置,以儲存資料至一媒體。網路裝置850將中央處理單元805連接至一網路,以往來於其他處理系統進行資料之傳輸。
以上係對於依據本發明之系統和方法之實施例之說明,本發明之範疇於以下申請專利範圍之中提出。其應可設想到,其他人可以且能夠設計出落入以下申請專利範圍的範疇之內的替代實施例。
105‧‧‧網路威脅/安全性情報來源
106‧‧‧開放來源
107‧‧‧商業性提供者
108‧‧‧社群來源
109‧‧‧匿名收集者
115‧‧‧網路
120‧‧‧收集引擎
124‧‧‧驗證模組
125‧‧‧處理引擎
126‧‧‧漏洞過濾模組
127‧‧‧資料庫
128‧‧‧集群模組
129‧‧‧嚴重性分類模組
131‧‧‧電腦網路
132‧‧‧電腦網路
133‧‧‧電腦網路
134‧‧‧電腦網路
A‧‧‧電腦伺服器
B‧‧‧電腦伺服器

Claims (33)

  1. 一種整併電腦網路的威脅性情報資料的方法,該方法由一電腦系統執行,包含:從複數個來源收集威脅性情報資料,並將所收集的威脅性情報資料標準化成一種一致性資料格式;使用無監督式機器學習演算法將經過標準化的威脅性情報資料歸類成群簇,其中每一群簇均包含代表威脅性情報資料之一屬性的一群資料;針對對於該電腦網路而言具嚴重性的群簇進行分類;將被分類成具嚴重性的群簇與該電腦網路之一安全態勢比較以判定該電腦系統感興趣的群簇;以及將被判定為該電腦系統感興趣的群簇格式化成該電腦網路之一預定格式。
  2. 如申請專利範圍第1項的方法,其中上述的針對對於該電腦網路而言具嚴重性的群簇進行分類的步驟包含:擷取關聯該電腦網路的電腦資產之一列表;識別出影響該等電腦資產之一計算特徵的群簇;以及將被識別出的影響該等電腦資產之一計算特徵的群簇分類成對於該電腦網路而言具嚴重性。
  3. 如申請專利範圍第2項的方法,另包含:擷取賦予關聯該電腦網路的該等電腦資產中的每一者之嚴重性權重數值;加總所擷取的嚴重性權重數值;以及 將加總後的嚴重性權重數值分配給該電腦網路。
  4. 如申請專利範圍第2項的方法,其中該計算特徵包含一電腦資產的一作業系統或一網路協定。
  5. 如申請專利範圍第1項的方法,其中在上述的將被分類成具嚴重性的群簇與該電腦網路之一安全態勢比較以判定該電腦系統感興趣的群簇的步驟之前,該方法另包含:產生該電腦網路之該安全態勢。
  6. 如申請專利範圍第5項的方法,其中上述的產生該電腦網路之該安全態勢的步驟包含:建立代表該電腦網路的一物件模型,其中該物件模型包含該電腦網路之內所包含的電腦資產之電腦安全性資訊;以及執行一分析程式,該分析程式可操作以使用該物件模型執行該電腦網路之中的該等電腦資產中的每一者之漏洞測試,其中該漏洞測試的結果被用來決定該電腦網路之該安全態勢。
  7. 如申請專利範圍第6項的方法,其中上述的使用該物件模型的該電腦網路之中的該等電腦資產中的每一者之漏洞測試包含有關該電腦網路的系統層級和拓撲漏洞的測試、以及該等電腦資產的節點層級漏洞的測試。
  8. 如申請專利範圍第1項的方法,其中上述的使用機器學習演算法將經過標準化的威脅性情報資料歸類成群簇,其中每一群簇均包含代表威脅性情報資料之一屬性的一群資料之步驟另包含:使用每一群簇之中的威脅性情報資料驗證該等群簇。
  9. 如申請專利範圍第8項的方法,其中上述的驗證該等群簇的步驟包 含:指派權重數值給包含於該等群簇之中的每一記錄,其中相較於指派給一源自一商業性來源的記錄之一權重數值,一源自一開放來源的記錄被指派一較低的權重數值;加總包含於每一群簇之中的記錄之權重數值;以及驗證所具有的加總權重數值超過一預定門檻值的群簇。
  10. 如申請專利範圍第1項的方法,另包含:使用該等經過格式化的群簇來更新該電腦網路的該安全態勢。
  11. 如申請專利範圍第1項的方法,其中威脅性情報資料的該屬性包含一電腦安全性威脅或一網際網路協定(IP)位址。
  12. 一種用於整併電腦網路的威脅性情報資料的系統,包含:一處理單元;以及一非暫態性媒體,可由該處理單元讀取,該媒體儲存當由該處理單元執行時使該處理單元進行以下動作的指令:從複數個來源收集威脅性情報資料,並將所收集的威脅性情報資料標準化成一種一致性資料格式;使用無監督式機器學習演算法將經過標準化的威脅性情報資料歸類成群簇,其中每一群簇均包含代表威脅性情報資料之一屬性的一群資料;針對對於該電腦網路而言具嚴重性的群簇進行分類;將被分類成具嚴重性的群簇與該電腦網路之一安全態勢比較以判定該電腦系統感興趣的群簇;以及將被判定為該電腦系統感興趣的群簇格式化成該電腦網路之一預定格 式。
  13. 如申請專利範圍第12項的系統,其中上述的用以針對對於該電腦網路而言具嚴重性的群簇進行分類的指令包含:用以導控該處理單元進行以下動作的指令:擷取關聯該電腦網路的電腦資產之一列表;識別出影響該等電腦資產之一計算特徵的群簇;以及將被識別出的影響該等電腦資產之一計算特徵的群簇分類成對於該電腦網路而言具嚴重性。
  14. 如申請專利範圍第12項的系統,另包含:用以導控該處理單元進行以下動作的指令:擷取賦予關聯該電腦網路的該等電腦資產中的每一者之嚴重性權重數值;加總所擷取的嚴重性權重數值;以及將加總後的嚴重性權重數值分配給該電腦網路。
  15. 如申請專利範圍第12項的系統,其中該計算特徵包含一電腦資產的一作業系統或一網路協定。
  16. 如申請專利範圍第12項的系統,其中在上述的用以將被分類成具嚴重性的群簇與該電腦網路之一安全態勢比較以判定該電腦系統感興趣的群簇的指令之前,該系統另包含:用以導控該處理單元進行以下動作的指令:產生該電腦網路之該安全態勢。
  17. 如申請專利範圍第16項的系統,其中上述的用以產生該電腦網路 之該安全態勢的指令包含:用以導控該處理單元進行以下動作的指令:建立代表該電腦網路的一物件模型,其中該物件模型包含該電腦網路之內所包含的電腦資產之電腦安全性資訊;以及執行一分析程式,該分析程式可操作以使用該物件模型執行該電腦網路之中的該等電腦資產中的每一者之漏洞測試,其中該漏洞測試的結果被用來決定該電腦網路之該安全態勢。
  18. 如申請專利範圍第17項的系統,其中上述的使用該物件模型的該電腦網路之中的該等電腦資產中的每一者之漏洞測試包含有關該電腦網路的系統層級和拓撲漏洞的測試、以及該等電腦資產的節點層級漏洞的測試。
  19. 如申請專利範圍第12項的系統,其中上述的用以使用機器學習演算法將經過標準化的威脅性情報資料歸類成群簇,其中每一群簇均包含代表威脅性情報資料之一屬性的一群資料之指令另包含:用以導控該處理單元進行以下動作的指令:使用每一群簇之中的威脅性情報資料驗證該等群簇。
  20. 如申請專利範圍第19項的系統,其中上述的用以驗證該等群簇的指令包含:用以導控該處理單元進行以下動作的指令:指派權重數值給包含於該等群簇之中的每一記錄,其中相較於指派給一源自一商業性來源的記錄之一權重數值,一源自一開放來源的記錄被指派一較低的權重數值;加總包含於每一群簇之中的記錄之權重數值;以及 驗證所具有的加總權重數值超過一預定門檻值的群簇。
  21. 如申請專利範圍第12項的系統,另包含:用以導控該處理單元進行以下動作的指令:使用該等經過格式化的群簇來更新該電腦網路的該安全態勢。
  22. 如申請專利範圍第12項的系統,其中威脅性情報資料的該屬性包含一電腦安全性威脅或一網際網路協定(IP)位址。
  23. 一種用於整併電腦網路的威脅性情報資料的系統,包含:被組構成用以從複數個來源收集威脅性情報資料,並將所收集的威脅性情報資料標準化成一種一致性資料格式之電路;被組構成用以使用無監督式機器學習演算法將經過標準化的威脅性情報資料歸類成群簇之電路,其中每一群簇均包含代表威脅性情報資料之一屬性的一群資料;被組構成用以針對對於該電腦網路而言具嚴重性的群簇進行分類之電路;被組構成用以將被分類成具嚴重性的群簇與該電腦網路之一安全態勢比較以判定該電腦系統感興趣的群簇之電路;以及被組構成用以將被判定為該電腦系統感興趣的群簇格式化成該電腦網路之一預定格式之電路。
  24. 如申請專利範圍第23項的系統,其中上述的被組構成用以針對對於該電腦網路而言具嚴重性的群簇進行分類的電路包含:被組構成用以擷取關聯該電腦網路的電腦資產之一列表的電路;被組構成用以識別出影響該等電腦資產之一計算特徵的群簇的電路; 以及被組構成用以將被識別出的影響該等電腦資產之一計算特徵的群簇分類成對於該電腦網路而言具嚴重性的電路。
  25. 如申請專利範圍第24項的系統,另包含:被組構成用以擷取賦予關聯該電腦網路的該等電腦資產中的每一者之嚴重性權重數值的電路;被組構成用以加總所擷取的嚴重性權重數值之電路;以及被組構成用以將加總後的嚴重性權重數值分配給該電腦網路的電路。
  26. 如申請專利範圍第24項的系統,其中該計算特徵包含一電腦資產的一作業系統或一網路協定。
  27. 如申請專利範圍第23項的系統,其中在上述的被組構成用以將被分類成具嚴重性的群簇與該電腦網路之一安全態勢比較以判定該電腦系統感興趣的群簇的電路之前,該系統另包含:被組構成用以產生該電腦網路之該安全態勢的電路。
  28. 如申請專利範圍第27項的系統,其中上述的被組構成用以產生該電腦網路之該安全態勢的電路包含:被組構成用以建立代表該電腦網路的一物件模型的電路,其中該物件模型包含該電腦網路之內所包含的電腦資產之電腦安全性資訊;以及被組構成用以執行一分析程式的電路,該分析程式可操作以使用該物件模型執行該電腦網路之中的該等電腦資產中的每一者之漏洞測試,其中該漏洞測試的結果被用以決定該電腦網路之該安全態勢。
  29. 如申請專利範圍第28項的系統,其中上述的使用該物件模型的該 電腦網路之中的該等電腦資產中的每一者之漏洞測試包含有關該電腦網路的系統層級和拓撲漏洞的測試、以及該等電腦資產的節點層級漏洞的測試。
  30. 如申請專利範圍第23項的系統,其中上述的被組構成用以使用機器學習演算法將經過標準化的威脅性情報資料歸類成群簇,且其中每一群簇均包含代表威脅性情報資料之一屬性的一群資料之電路另包含:被組構成用以使用每一群簇之中的威脅性情報資料驗證該等群簇的電路。
  31. 如申請專利範圍第30項的系統,其中上述的被組構成用以驗證該等群簇的電路包含:被組構成用以指派權重數值給包含於該等群簇之中的每一記錄之電路,其中相較於指派給一源自一商業性來源的記錄之一權重數值,一源自一開放來源的記錄被指派一較低的權重數值;被組構成用以加總包含於每一群簇之中的記錄之權重數值的電路;以及被組構成用以驗證所具有的加總權重數值超過一預定門檻值的群簇之電路。
  32. 如申請專利範圍第23項的系統,另包含:被組構成用以使用該等經過格式化的群簇來更新該電腦網路的該安全態勢之電路。
  33. 如申請專利範圍第23項的系統,其中威脅性情報資料的該屬性包含一電腦安全性威脅或一網際網路協定(IP)位址。
TW105107288A 2015-07-24 2016-03-10 用於使用無監督式機器學習和優先權演算法的高速威脅性情報管理的系統及方法 TWI711938B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
WOPCT/SG2015/050233 2015-07-24
PCT/SG2015/050233 WO2017018926A1 (en) 2015-07-24 2015-07-24 System and method for high speed threat intelligence management using unsupervised machine learning and prioritization algorithms

Publications (2)

Publication Number Publication Date
TW201705034A true TW201705034A (zh) 2017-02-01
TWI711938B TWI711938B (zh) 2020-12-01

Family

ID=57884992

Family Applications (1)

Application Number Title Priority Date Filing Date
TW105107288A TWI711938B (zh) 2015-07-24 2016-03-10 用於使用無監督式機器學習和優先權演算法的高速威脅性情報管理的系統及方法

Country Status (7)

Country Link
US (1) US10713586B2 (zh)
EP (1) EP3143547B1 (zh)
CN (1) CN106663169B (zh)
AU (1) AU2015403433B2 (zh)
SG (1) SG11201509818UA (zh)
TW (1) TWI711938B (zh)
WO (1) WO2017018926A1 (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI688903B (zh) * 2017-12-28 2020-03-21 香港商阿里巴巴集團服務有限公司 社交內容風險識別方法、裝置及設備
TWI710970B (zh) * 2018-09-20 2020-11-21 開曼群島商創新先進技術有限公司 無監督模型評估方法、裝置、伺服器及可讀儲存媒體
TWI712981B (zh) * 2018-12-13 2020-12-11 開曼群島商創新先進技術有限公司 風險辨識模型訓練方法、裝置及伺服器
US11592812B2 (en) 2019-02-19 2023-02-28 Applied Materials, Inc. Sensor metrology data integration
US11853042B2 (en) 2021-02-17 2023-12-26 Applied Materials, Inc. Part, sensor, and metrology data integration

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106663169B (zh) 2015-07-24 2021-03-09 策安保安有限公司 使用无监督式机器学习和优先权算法的高速威胁情报管理的系统及方法
US11232522B2 (en) 2015-10-05 2022-01-25 Verizon Media Inc. Methods, systems and techniques for blending online content from multiple disparate content sources including a personal content source or a semi-personal content source
US10387432B2 (en) * 2015-10-05 2019-08-20 Oath Inc. Methods, systems and techniques for ranking blended content retrieved from multiple disparate content sources
US11522977B2 (en) * 2015-10-09 2022-12-06 Niranjan Suri System and method to optimize communications in tactical networks by computing and using information value
KR101703446B1 (ko) * 2015-10-15 2017-02-06 숭실대학교산학협력단 DoS 공격의 탐지가 가능한 네트워크 및 이의 제어 방법과, 상기 네트워크에 포함되는 게이트웨이 및 관리 서버
MY195590A (en) * 2016-10-24 2023-02-02 Certis Cisco Security Pte Ltd Quantitative Unified Analytic Neural Networks
WO2019004928A1 (en) * 2017-06-29 2019-01-03 Certis Cisco Security Pte Ltd AUTONOMOUS INCREASE SORTING PRIORITIZATION BY PERFORMANCE MODIFIER AND TIME-DECREASING PARAMETERS
US10503899B2 (en) 2017-07-10 2019-12-10 Centripetal Networks, Inc. Cyberanalysis workflow acceleration
US10936981B2 (en) * 2017-08-24 2021-03-02 Facebook, Inc. Detecting a landing page that violates an online system policy based on a structural similarity between the landing page and a web page violating the policy
US10678954B2 (en) * 2017-09-21 2020-06-09 GM Global Technology Operations LLC Cybersecurity vulnerability prioritization and remediation
KR101916676B1 (ko) * 2017-11-27 2018-11-08 한국인터넷진흥원 사이버 위협 인텔리전스 데이터를 수집하는 방법 및 그 시스템
US10812510B2 (en) * 2018-01-12 2020-10-20 The Boeing Company Anticipatory cyber defense
CN108737406B (zh) * 2018-05-10 2020-08-04 北京邮电大学 一种异常流量数据的检测方法及系统
CN108833389A (zh) * 2018-06-05 2018-11-16 北京奇安信科技有限公司 一种情报数据共享处理方法及装置
DK3660716T3 (da) * 2018-11-30 2021-01-25 Ovh Tjenesteinfrastruktur og fremgangsmåder til at forudsige og detektere potentielle anomalier hos tjenesteinfrastrukturen
US11201877B2 (en) * 2018-12-11 2021-12-14 Cisco Technology, Inc. Detecting encrypted malware with SPLT-based deep networks
CN109547479A (zh) * 2018-12-27 2019-03-29 国网浙江省电力有限公司电力科学研究院 一种工业环境中威胁情报整合系统和方法
EP3928467B1 (en) 2019-02-22 2024-05-08 Telefonaktiebolaget LM Ericsson (publ) Managing telecommunication network event data
US11647041B2 (en) * 2019-04-08 2023-05-09 United States Of America As Represented By The Secretary Of The Air Force System and method for privacy preservation in cyber threat
US11070572B2 (en) * 2019-07-09 2021-07-20 Mcafee, Llc Methods, systems, articles of manufacture and apparatus for producing generic IP reputation through cross-protocol analysis
US11863577B1 (en) * 2019-08-22 2024-01-02 Rapid7, Inc. Data collection and analytics pipeline for cybersecurity
US10735270B1 (en) * 2019-09-30 2020-08-04 Godaddy.Com, Llc Computer-based systems configured for network modelling and monitoring using programming object bindings and methods of use thereof
CN111209750B (zh) * 2020-01-07 2023-11-21 深圳开源互联网安全技术有限公司 车联网威胁情报建模方法、装置及可读存储介质
US11522880B2 (en) 2020-07-09 2022-12-06 International Business Machines Corporation Analytics engine for data exploration and analytics
US11956266B2 (en) * 2020-10-23 2024-04-09 International Business Machines Corporation Context based risk assessment of a computing resource vulnerability
US11677771B2 (en) * 2021-05-12 2023-06-13 Dragos, Inc. Community threat intelligence and visibility for operational technology networks
TWI777766B (zh) * 2021-09-10 2022-09-11 中華電信股份有限公司 偵測惡意網域查詢行為的系統及方法
CN114124484B (zh) * 2021-11-09 2024-04-05 招商银行股份有限公司 网络攻击识别方法、系统、装置、终端设备以及存储介质

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030191832A1 (en) 1999-06-01 2003-10-09 Ramakrishna Satyavolu Method and apparatus for controlled establishment of a turnkey system providing a centralized data aggregation and summary capability to third party entities
US7249162B2 (en) * 2003-02-25 2007-07-24 Microsoft Corporation Adaptive junk message filtering system
US20070289013A1 (en) * 2006-06-08 2007-12-13 Keng Leng Albert Lim Method and system for anomaly detection using a collective set of unsupervised machine-learning algorithms
CN101650792A (zh) * 2008-08-12 2010-02-17 宏碁股份有限公司 管理跨平台防毒软件的方法及其系统
US8151350B2 (en) * 2008-11-03 2012-04-03 Korea University Industry And Academy Collaboration Foundation Method and device for detecting unknown network worms
CN101872343A (zh) * 2009-04-24 2010-10-27 罗彤 半监督式的海量数据层次分类方法
US8554948B2 (en) * 2010-03-03 2013-10-08 At&T Intellectual Property I, L.P. Methods, systems and computer program products for identifying traffic on the internet using communities of interest
EP2718814B1 (en) 2011-06-05 2021-02-17 Help/Systems, LLC System and method for providing automated computer security compromise as a service
US8726379B1 (en) 2011-07-15 2014-05-13 Norse Corporation Systems and methods for dynamic protection from electronic attacks
US8782788B2 (en) * 2012-06-28 2014-07-15 LonoCloud, Inc. Systems, methods, and apparatus for improved application security
US8813228B2 (en) * 2012-06-29 2014-08-19 Deloitte Development Llc Collective threat intelligence gathering system
US9258321B2 (en) * 2012-08-23 2016-02-09 Raytheon Foreground Security, Inc. Automated internet threat detection and mitigation system and associated methods
US9323935B2 (en) 2012-12-18 2016-04-26 Mcafee, Inc. User device security profile
CN104036780B (zh) * 2013-03-05 2017-05-24 阿里巴巴集团控股有限公司 一种人机识别方法及系统
US9692789B2 (en) 2013-12-13 2017-06-27 Oracle International Corporation Techniques for cloud security monitoring and threat intelligence
US9338181B1 (en) * 2014-03-05 2016-05-10 Netflix, Inc. Network security system with remediation based on value of attacked assets
CN104601565B (zh) * 2015-01-07 2018-06-15 天津理工大学 一种智能优化规则的网络入侵检测分类方法
CN106663169B (zh) 2015-07-24 2021-03-09 策安保安有限公司 使用无监督式机器学习和优先权算法的高速威胁情报管理的系统及方法

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI688903B (zh) * 2017-12-28 2020-03-21 香港商阿里巴巴集團服務有限公司 社交內容風險識別方法、裝置及設備
US11200381B2 (en) 2017-12-28 2021-12-14 Advanced New Technologies Co., Ltd. Social content risk identification
TWI710970B (zh) * 2018-09-20 2020-11-21 開曼群島商創新先進技術有限公司 無監督模型評估方法、裝置、伺服器及可讀儲存媒體
US10997528B2 (en) 2018-09-20 2021-05-04 Advanced New Technologies Co., Ltd. Unsupervised model evaluation method, apparatus, server, and computer-readable storage medium
TWI712981B (zh) * 2018-12-13 2020-12-11 開曼群島商創新先進技術有限公司 風險辨識模型訓練方法、裝置及伺服器
US11592812B2 (en) 2019-02-19 2023-02-28 Applied Materials, Inc. Sensor metrology data integration
US11853042B2 (en) 2021-02-17 2023-12-26 Applied Materials, Inc. Part, sensor, and metrology data integration

Also Published As

Publication number Publication date
EP3143547A1 (en) 2017-03-22
EP3143547B1 (en) 2019-03-20
TWI711938B (zh) 2020-12-01
AU2015403433A1 (en) 2018-02-08
WO2017018926A1 (en) 2017-02-02
US10713586B2 (en) 2020-07-14
CN106663169B (zh) 2021-03-09
EP3143547A4 (en) 2017-10-11
SG11201509818UA (en) 2017-03-30
US20170228658A1 (en) 2017-08-10
AU2015403433B2 (en) 2021-08-19
CN106663169A (zh) 2017-05-10

Similar Documents

Publication Publication Date Title
TWI711938B (zh) 用於使用無監督式機器學習和優先權演算法的高速威脅性情報管理的系統及方法
Kumar et al. An integrated rule based intrusion detection system: analysis on UNSW-NB15 data set and the real time online dataset
AU2019201137B2 (en) A cyber security appliance for a cloud infrastructure
Apruzzese et al. The role of machine learning in cybersecurity
CN110431817B (zh) 识别恶意网络设备
Moustafa et al. Big data analytics for intrusion detection system: Statistical decision-making using finite dirichlet mixture models
US10735458B1 (en) Detection center to detect targeted malware
JP2023524619A (ja) 関心度に基づいてデータ・フローを異なって取り扱うこと
US20220201042A1 (en) Ai-driven defensive penetration test analysis and recommendation system
AU2021275768A1 (en) Cyber security for instant messaging across platforms
US20170078310A1 (en) Identifying phishing websites using dom characteristics
Mulamba et al. Sybilradar: A graph-structure based framework for sybil detection in on-line social networks
Sathya et al. Discriminant analysis based feature selection in kdd intrusion dataset
WO2008133762A1 (en) Insider threat detection
WO2017049042A1 (en) Identifying phishing websites using dom characteristics
Alani Big data in cybersecurity: a survey of applications and future trends
Albayati et al. Analysis of intelligent classifiers and enhancing the detection accuracy for intrusion detection system
Ring et al. A toolset for intrusion and insider threat detection
Mvula et al. A systematic literature review of cyber-security data repositories and performance assessment metrics for semi-supervised learning
Debatty et al. Graph-based APT detection
Lavrenovs et al. Explainable AI for classifying devices on the internet
Wutyi et al. Heuristic rules for attack detection charged by NSL KDD dataset
Cao et al. Statistical network behavior based threat detection
Mulugeta Security posture based incident forecasting
Danso Transferability of machine learning model for IoT device identification and vulnerability assessment