TWI592821B - 用於提供威脅儀表板之方法及基於雲端之威脅偵測系統 - Google Patents
用於提供威脅儀表板之方法及基於雲端之威脅偵測系統 Download PDFInfo
- Publication number
- TWI592821B TWI592821B TW102120416A TW102120416A TWI592821B TW I592821 B TWI592821 B TW I592821B TW 102120416 A TW102120416 A TW 102120416A TW 102120416 A TW102120416 A TW 102120416A TW I592821 B TWI592821 B TW I592821B
- Authority
- TW
- Taiwan
- Prior art keywords
- malicious attack
- threat
- cloud
- detection system
- malicious
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/901—Indexing; Data structures therefor; Storage structures
- G06F16/9024—Graphs; Linked lists
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/128—Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
本申請案主張2012年6月7日申請之美國臨時申請案第61/656,920號之權利,其全文以引用的方式併入本文中。
本發明係關於電腦系統之圖形用戶介面之領域,且更具體言之但非限制係關於產生用於提供對持續威脅之可見性之威脅洞察儀表板之基於雲端之威脅偵測系統。此等威脅儀表板可為管理員及安全專業人員提供識別惡意攻擊、惡意攻擊之範圍(針對組織或更廣泛之行業)、攻擊所標定之個體、攻擊之性質(例如,惡意軟體、認證網路釣魚等)及可行的補救措施之一者或多者之能力。
惡意電子訊息可包含舉例而言,垃圾郵件、網路釣魚、大宗郵件、成人內容及其他類似內容,其等經設計以產生收入。訊息可為電子郵件、即時訊息及類似之形式。雖然本文之描述包含電子郵件背景中之訊息之情況及其他描述,但是本發明不限於電子郵件訊息。此外,一些類型之惡意電子郵件經設計以竊取敏感信息,尤其諸如銀行帳戶信息、信用卡帳戶信息、用戶名及密碼及社會保險號。一些惡意電子郵件(諸如網路釣魚電子郵件)看似由合法源產生,諸如與最終用戶具業務往來之商家。此等電子郵件可包含標誌、商標及/或用於使
電子郵件看似合法之其他源指示符。此等類型之電子郵件通常被稱作欺詐電子郵件或複製電子郵件。一些類型之欺詐/複製電子郵件可具體標定特定個體且通常被稱作魚叉式網路釣魚攻擊。
有關欺詐電子郵件,此等惡意電子郵件亦可包含看似與由商家營運之合法網址相關聯之超連結。不幸地,此等超連結連結至經設計以從最終用戶竊取敏感信息之惡意資源。舉例而言,惡意資源可包含冒充線上銀行介面之登錄頁之偽造登錄頁。當最終用戶輸入其等之登錄信息時,登錄信息被暴露並截取。
根據一些實施例,本技術可涉及經由基於雲端之威脅偵測系統提供威脅儀表板之方法,其中基於雲端之威脅偵測系統包括CPU及記憶體。該方法包括:(a)定位有關針對目標資源之惡意攻擊之度量,該等度量指示用戶暴露於惡意攻擊之情況或基於雲端之威脅偵測系統阻止用戶暴露於惡意攻擊之情況;及(b)為用戶端裝置之網頁瀏覽器應用程式呈現威脅儀表板,該威脅儀表板包括所定位之度量。
根據其他實施例,本技術可涉及用於提供威脅洞察儀表板之基於雲端之威脅偵測系統。該系統包括:(a)處理器;及(b)用於儲存邏輯之記憶體,該邏輯由該處理器執行以執行下列操作,包括:(i)提供威脅洞察儀表板,其包括有關針對目標資源之惡意攻擊之度量,該等度量指示用戶暴露於惡意攻擊之情況或基於雲端之威脅偵測系統阻止用戶暴露於惡意攻擊之情況;及(ii)為用戶端裝置之網頁瀏覽器應用程式呈現威脅儀表板。
100‧‧‧架構
105‧‧‧基於雲端之中間節點
110‧‧‧電子郵件作者
113‧‧‧寄件人SMTP伺服器
120‧‧‧用戶端電子郵件伺服器
125‧‧‧郵件用戶端
130‧‧‧網路
200‧‧‧電子郵件處理應用程式
205‧‧‧通信模組
210‧‧‧分析模組
215‧‧‧修改模組
220‧‧‧隔離模組
225‧‧‧封鎖模組
230‧‧‧安全清單模組
235‧‧‧用戶介面(UI)模組
240‧‧‧處理器
245‧‧‧記憶體
300‧‧‧惡意電子郵件
305‧‧‧連結
400‧‧‧曲線圖
500‧‧‧表格
600‧‧‧網路釣魚攻擊
605‧‧‧潛在惡意電子郵件
610‧‧‧連結
615‧‧‧郵件伺服器
620‧‧‧郵件用戶端
625‧‧‧潛在惡意資源
700‧‧‧網路釣魚攻擊
705‧‧‧潛在惡意電子郵件
710‧‧‧中間節點
715‧‧‧郵件伺服器
720‧‧‧連結
725‧‧‧替代連結
730‧‧‧指示符
735‧‧‧電子郵件收件人
740‧‧‧登陸頁
900‧‧‧網路釣魚攻擊
905‧‧‧中間節點
910‧‧‧連結
915‧‧‧指示符
1000‧‧‧方法
1200‧‧‧威脅洞察儀表板UI
1205‧‧‧目標資源
1210‧‧‧「訊息分析」計數器
1215‧‧‧「URL防禦」計數器
1220‧‧‧攻擊分類滑條
1225‧‧‧二維曲線
1230‧‧‧訊息暴露度量
1235‧‧‧暴露阻止度量
1240‧‧‧威脅失效指示符
1245‧‧‧第二曲線
1250‧‧‧「威脅詳情」窗
1255‧‧‧「威脅情況」清單
1300‧‧‧威脅洞察儀表板UI
1305‧‧‧訊息
1310‧‧‧點擊
1315‧‧‧「威脅源」清單
1500‧‧‧計算系統
1510‧‧‧處理器
1520‧‧‧記憶體
1530‧‧‧大容量儲存裝置
1540‧‧‧攜帶式儲存媒體驅動器/攜帶式儲存裝置
1550‧‧‧輸出裝置
1560‧‧‧輸入裝置
1570‧‧‧圖形顯示器
1580‧‧‧周邊裝置
1590‧‧‧匯流排
本技術之特定實施例係藉由附圖繪示。應瞭解附圖不一定按比例且對於理解本技術不需要或使得其他細節變得難以理解之細節可省略。應瞭解本技術不一定限於本文所示之特定實施例。
圖1繪示用於實踐本技術之態樣之例示性架構。
圖2係根據本技術使用之例示性電子郵件處理應用程式之方塊圖。
圖3係欺詐電子郵件之形式之例示性惡意電子郵件。
圖4係針對複數個電子郵件訊息產生之垃圾郵件評分之例示性分佈之曲線圖。
圖5係用於歸類電子郵件之例示性垃圾郵件規則之表格。
圖6係典型網路釣魚攻擊之例示性流程圖。
圖7係藉由本技術偵測並處理惡意電子郵件之網路釣魚攻擊之圖示。
圖8A係登陸頁之提供之圖示。
圖8B至被判定為有效,即非潛在惡意連結之原始連結之重定向之提供之圖示。
圖9係藉由本技術偵測並處理惡意電子郵件之網路釣魚攻擊之另一圖示。
圖10係根據本揭示內容之用於處理電子郵件之例示性方法之流程圖。
圖11係根據本揭示內容之用於處理電子郵件之另一例示性方法之流程圖。
圖12係威脅洞察儀表板形式之例示性圖形用戶介面;圖13係威脅洞察儀表板形式之另一例示性圖形用戶介面;圖14係用於經由基於雲端之威脅偵測系統提供威脅儀表板之例示性方法之流程圖;及圖15係用於實施本技術之實施例之例示性計算系統之方塊圖。
雖然本技術存在許多不同形式之實施例,但是在附圖繪示且將
在本文中詳細描述數個特定實施例,瞭解本揭示內容係視作本技術之原理之例證且不旨在將本技術限制為所繪示之實施例。
應瞭解本文所述之相同或相似元件及/或組件在所有附圖中可用相同參考符號識別。應進一步瞭解數個附圖僅為本技術之示意展示。照此,為圖示簡明起見,一些組件可能與其等之實際比例不符。
一般而言,本技術涉及用於產生為用戶提供有關針對目標資源(諸如計算系統、電子郵件訊息、伺服器或其他資源)之惡意攻擊之視覺度量之威脅洞察儀表板之系統及方法。
由本技術產生之儀表板可舉例而言,透過獨特的威脅洞察儀表板(其將參考圖12及13更詳細地描述)提供對持續威脅之前所未有之可見性。威脅洞察儀表板可包含基於網頁之威脅儀表板及/或可組態警告,其等可允許管理員及安全專業人員識別惡意攻擊、此等攻擊之範圍(例如,僅其等之組織或更廣泛之行業)、攻擊標定之個體、攻擊之性質(即,惡意軟體、認證網路釣魚等)及必要的補救措施(若有)之一者或多者之能力。
用於偵測惡意訊息之例示性過程亦將在本文中描述以提供用於使不同儀表板填滿有關由基於雲端之威脅偵測系統偵測並使其失效之惡意威脅之度量之充分背景。
在一些情況中,本技術可提供特定威脅(被稱作「惡意攻擊」)之位置度量。詐騙者通常將此等惡意攻擊指向特定實體或對象,諸如網頁、網頁內之網頁表格、電子郵件訊息、媒體內容、文檔、伺服器、計算系統及等等。經歷惡意攻擊之實體或對象將被稱作「目標資源」。
惡意訊息可為電子郵件、即時訊息及類似之形式。雖然本文之描述包含電子郵件背景中之訊息之情況及其他描述,但是本發明不限於電子郵件訊息。更具體言之,但非限制,本技術可採用基於雲端之
中間節點(例如,基於雲端之威脅偵測系統),其經組態以偵測潛在惡意電子郵件並確認電子郵件是否包括惡意內容。作為背景,惡意電子郵件可包含垃圾郵件、成人內容、網路釣魚、大宗郵件及/或其他類似類型之內容。此等電子郵件用於為其他各自作者產生收入,但是同時煩擾收件人並通常可能惡意發送。如上所述,一些惡意電子郵件可包含經設計以欺騙收件人揭示敏感信息(諸如社會保險號、信用卡號等)之連結。
若電子郵件可能係惡意的,則本技術可解析電子郵件以判定電子郵件中是否包含與惡意資源相關聯之連結。惡意資源可包含欺詐網址,其經設計以誘導收件人暴露其等之敏感信息,但是本領域之一般技術者所知之其他常見惡意資源同樣可藉由本技術偵測。
一旦本技術判定電子郵件包含至潛在惡意資源之連結,本技術即可用至安全資源之替代連結(諸如封鎖網頁)交換該連結。本技術亦可修改電子郵件以包含潛在惡意資源之實際域名之視覺展示,使得收件人可查看連結之真實身份。在超連結之可查看文本係含糊及/或誤導的情況中,此特徵可能係有利的。在一些情況中,可藉由停用或破壞超連結使得收件人無法藉由點擊超連結文本而請求或接收資源而禁止存取潛在惡意資源。內嵌在影像或其他資源內之超連結亦可以類似方式處理。本技術亦可判定電子郵件中之連結係安全的,即肯定非惡意的。舉例而言,可知連結係安全的,此係因為其在安全清單上或另外已知係安全的。
基於雲端之威脅偵測系統亦可對電子郵件訊息評分以判定電子郵件係惡意的可能性以及隔離惡意電子郵件並產生惡意資源之封鎖清單及安全清單。
圖1繪示用於實踐本技術之態樣之例示性架構100。根據一些實施例,例示性架構100(下文中「架構100」)通常可包含基於雲端之中
間節點或基於雲端之威脅偵測系統(下文中之「中間節點105」)。一般而言,中間節點105可經組態以藉由分析包含在電子郵件中之連結以判定連結是否與潛在惡意資源相關聯;及若該連結與潛在惡意資源相關聯,則用至可信資源之替代連結替換該連結而處理電子郵件。在不同實施例中,若連結被識別為肯定惡意的,則電子郵件被過濾且不被傳送至電子郵件伺服器。
下文提供不同之情境描述,其中中間節點105偵測針對目標資源(諸如電子郵件訊息)或其他類似目標資源之惡意攻擊(諸如網路釣魚攻擊)並使其失效。注意許多用戶可能遇到或暴露於此等惡意攻擊。因此,中間節點105能夠藉由分析有關目標資源之信息而追蹤用戶之暴露於惡意攻擊。舉例而言,中間節點105可追蹤用戶暴露於惡意攻擊之各情況,諸如定址惡意攻擊之各電子郵件地址。
中間節點105亦可追蹤其他度量,諸如(a)用戶暴露於惡意攻擊之情況;(b)中間節點105阻止用戶暴露於惡意攻擊之情況;(c)用戶觸發惡意攻擊之情況;及(d)中間節點105阻止惡意攻擊被觸發之情況。
此等度量可針對不同用戶收集並在一時段內追蹤。即,中間節點105可參考時間而追蹤惡意攻擊。中間節點105隨後可使用此等時間參考度量以產生圖形或視覺顯示,其可將有關惡意攻擊之威脅概況告知管理員。將參考圖12及圖13(其在下文中更詳細描述)提供有關惡意攻擊之度量之追蹤及顯示之額外細節。
在不同實施例中,中間節點105可經組態以定位包含在電子郵件中之至少一統一資源定位符,分析該至少一統一資源定位符以判定該至少一統一資源定位符是否與潛在惡意資源相關聯,及若該至少一統一資源定位符與潛在惡意資源相關聯,則用至可信資源之替代連結替換該至少一統一資源定位符。
根據一些實施例,中間節點105可實施在基於雲端之計算環境(即
基於雲端之中間節點105)內。通常,基於雲端之計算環境係通常將組合大群組之處理器之計算能力及/或組合大群組之電腦記憶體或儲存裝置之儲存容量之資源。舉例而言,提供雲端資源之系統可專門由其等之所有者利用,諸如GoogleTM或Yahoo!TM;或此等系統可由外部用戶存取,該等用戶有效利用在計算基礎設施內之應用程式以獲得大型計算或儲存資源之益處。
雲端可舉例而言,由網頁伺服器之網路形成,各網頁伺服器(或至少其複數個)提供處理器及/或儲存資源。此等伺服器可管理由多個用戶(例如,雲端資源消費者或其他用戶)提供之工作負載。通常,各用戶將工作負載需求置於雲端上,其即時,有時極大地變化。此等變化之性質及範圍通常取決於與用戶相關聯之業務類型。
電子郵件作者110可撰寫藉由寄件人伺服器115傳送至收件人之電子郵件,該寄件人伺服器115可包含實施簡單郵件傳輸協定(「SMTP」)之伺服器。電子郵件作者110可使用郵件程式(其可包含舉例而言,OutlookTM、EntourageTM及等等)撰寫合法及/或惡意電子郵件兩者。電子郵件作者110亦可使用基於網頁之電子郵件介面撰寫並發送電子郵件。在傳統組態中,寄件人SMTP伺服器115可將電子郵件訊息直接傳送至用戶端電子郵件伺服器120,其可將電子郵件傳送至郵件用戶端125,諸如電子郵件程式或基於網頁之電子郵件介面。用戶端電子郵件伺服器120可包括舉例而言,企業電子郵件伺服器,諸如ExchangeTM、DominoTM及等等。
根據本技術,中間節點105可定位在寄件人SMTP伺服器115與用戶端電子郵件伺服器120之間。因此,在電子郵件被傳送至用戶端電子郵件伺服器120之前,中間節點105可過濾及/或處理潛在/實際惡意電子郵件。
包含在架構100中之組件可經由網路130可通信地耦合。注意提
及網路130可包含私人或公共通信網路(諸如網際網路)之任一者(或組合)。
現參考圖2,基於雲端之中間節點105可包含儲存在記憶體中之可執行指令。此等指令可由中間節點105之處理器執行。參考圖12更詳細描述包含記憶體及處理器之例示性計算系統。圖2包含電子郵件處理應用程式200之方塊圖。根據一些實施例,當被執行時,電子郵件處理應用程式200可導致中間節點105執行處理電子郵件之不同方法,其等將在下文中更詳細描述。
根據一些實施例,電子郵件處理應用程式200可包括通信模組205、分析模組210、修改模組215、隔離模組220及封鎖清單模組225及安全清單模組230。注意電子郵件處理應用程式200可包含額外模組、引擎或組件且仍落在本技術之範圍內。如本文中所使用,術語「模組」亦可指的是專用積體電路(「ASIC」)、電子電路、執行一或多個軟體或韌體程式之處理器(共用、專用或群組)、組合邏輯電路及/或提供所述功能性之其他適當組件之任意者。在其他實施例中,電子郵件處理應用程式200之個別模組可包含單獨組態之網頁伺服器。
電子郵件處理應用程式200可駐留在中間節點105之記憶體245內。電子郵件處理應用程式200可儲存為由處理器240執行之可執行指令。處理器240可經組態以控制本文所述之中間節點105之功能性。即,為了提供本揭示內容中所述之操作,處理器240執行儲存在記憶體245中之不同指令。在一些情況中,中間節點105包括產生威脅洞察儀表板之UI(用戶介面)模組235。在一些情況中,UI模組235呈現威脅洞察儀表板作為可由用戶端裝置(諸如最終用戶計算系統)存取之基於網頁之介面。再次,例示性UI(威脅洞察儀表板)繪示在圖12及圖13中並將在下文中更詳細討論。
一般而言,如圖1所示,通信模組205可從不同寄件人SMTP伺服
器系統接收電子郵件訊息(惡意及非惡意兩者)。圖3繪示冒充由可信組織(諸如銀行)發送之例示性電子郵件之佈局及內容之例示性惡意電子郵件300。此電子郵件300包含例示性連結305(諸如超連結)。雖然連結看似與可信組織之域名相關聯,但是電子郵件之源代碼之檢驗揭露連結305實際上與潛在惡意資源相關聯。舉例而言,連結305之源代碼可指定「<AHREF="http://www.spammer.domain">http://www.yourtrustedbank.com/general/custverifyinfo.asp</A>」,其中http://www.spammer.domain包含潛在惡意資源。
一旦電子郵件被接收,分析模組210即可被執行以評估電子郵件並判定包含在該電子郵件中之連結是否與潛在惡意資源相關聯。應瞭解電子郵件可由通用垃圾郵件過濾器預處理以僅藉由審查包含在電子郵件中之內容而移除可易於識別為肯定而非只是潛在惡意之電子郵件。舉例而言,包含涉及成人材料之文本內容可被自動分類為垃圾郵件並被刪除或隔離。
此外,電子郵件之預處理可包含產生電子郵件之信任/信譽/垃圾郵件評分。
圖4繪示包括複數個電子郵件之垃圾郵件評分之例示性分佈之曲線圖400。如所示,絕大多數電子郵件實際上係惡意的。亦明顯的是並非所有電子郵件得到零(其指示電子郵件絕對非惡意的)或一百(其指示電子郵件幾乎肯定係惡意的)之評分。本技術可協助得到零與一百(即,潛在惡意電子郵件)之間之評分之電子郵件之處理,但是在一些情況中,可能有利地使用本技術處理所有電子郵件。舉例而言,如將在下文中更詳細描述,電子郵件管理員可能需要識別盡可能多的惡意資源並將其等歸類以形成穩健的封鎖清單及安全清單。在一些實施例中,電子郵件之傳送被中間節點105暫時延遲,例如三十分鐘,以基
於可能在延遲週期期間接收之新信息判定電子郵件訊息之處置。在延遲週期之後,訊息之評分可能不同且因此針對該電子郵件採取之相關聯措施亦可能不同。
圖5繪示包括由上述預處理系統應用至電子郵件之垃圾郵件規則之不同屬性之例示性表格500。如所示,電子郵件可被分類為明確的垃圾郵件(具有100之垃圾郵件評分之電子郵件)、網路釣魚、成人內容、垃圾郵件、大宗郵件、可疑郵件及非垃圾郵件。再次,本技術可協助進一步處理被歸類為「可疑郵件」,即潛在惡意之電子郵件。
一旦電子郵件已被通信模組205接收,分析模組210即可被執行以評估與電子郵件相關聯之連結。再次,連結可包括統一資源定位符(「URL」)、統一資源指示符(「URI」)、網際網路協定位址(「IP」)、域名或其等之組合之任意者。連結可包括與線上資源相關聯之任意超連結。此等資源可能連結至文本、影像、視訊、圖標或可包含在電子郵件訊息中之任意其他對象,其等為本領域之一般技術者在閱讀本揭示內容之前已知。舉例而言,超連結通常包含文本串(例如,「點擊此處」),其指示或誘使收件人點擊超連結。
分析模組210可進行與電子郵件相關聯之連結之任意者之初步評估。分析模組210可採用用於預先評估連結之許多技術之任一者(或組合)。舉例而言,分析模組210可評估與線上資源相關聯之域名之年限。分析模組210可將與在特定時段內註冊之域相關聯之連結自動分類為潛在惡意。經由非限制性實例,至在前三天內註冊之域之連結可被分類為潛在惡意。
一旦發現一連結與潛在惡意資源相關聯,修改模組215即被執行以用替代連結替換與潛在惡意資源相關聯之連結。在一些情況中,可用與可信資源(諸如登陸頁)相關聯之替代連結替換該連結。在一些情況中,登陸頁可包括封鎖網頁(參看圖7)。在不同實施例中,替代連
結可包含將收件人引導至已知搜索頁或其他資源之重定向腳本。
舉例而言,修改模組215可修改電子郵件之源代碼以替換與潛在惡意資源相關聯之連結。在一些情況中,修改模組215可鄰近連結顯示與潛在惡意資源相關聯之指示符。因此,與潛在惡意資源相關聯之域名可暴露給電子郵件收件人。在一些情況中,修改模組215可使連結無效。即,修改模組215可修改電子郵件中之連結以阻止電子郵件收件人打開潛在惡意資源。因此,若電子郵件收件人點擊連結,則不執行動作(即,不返回潛在惡意資源)。
在一些實施例中,當電子郵件被歸類為潛在惡意或或者在與電子郵件相關聯之連結已被驗證為惡意之後,電子郵件可被隔離模組220隔離。
根據一些實施例,已被歸類為潛在惡意並隔離之電子郵件可在被隔離的同時由分析模組210再評估。舉例而言,若電子郵件包含與僅在最近註冊之域相關聯之連結,則在給定時段之後,後續評估連結可揭露域名與合法資源相關聯。因此,雖然連結最初被歸類為潛在惡意,但是連結實際上係非惡意的。電子郵件可再被傳送至用戶端電子郵件伺服器120並最終傳送至郵件客戶端125。
在其他實施例中,電子郵件可能未被隔離,但是可使連結臨時無效。當後續分析揭露連結與合法資源相關聯時,可使電子郵件中之連結恢復有效並將電子郵件推送/傳送至郵件客戶端125。分析模組210可包含將有關潛在惡意資源之信息與安全清單比較,該等安全清單可能係私人或公共可得之安全清單。此等安全清單可包括IP位址、域名、MAC位址或可用於識別線上資源之其他計算系統指示符。
分析模組210亦可驗證潛在惡意資源實際上係惡意的。分析模組210可包含將有關惡意資源之信息與封鎖清單比較,該等封鎖清單可能係私人或公共可得之封鎖清單。此等封鎖清單可包括IP位址、域
名、MAC位址或可用於識別線上資源之其他計算系統指示符。在不同實施例中,分析模組210亦可藉由在中間節點105上之沙盒(即,測試)環境中載入潛在惡意資源而進行潛在惡意資源之深度內容檢查。
亦同樣設想本領域一般技術者已知之用於驗證線上資源之惡意性質之其他方法以根據本技術進行使用。
根據一些實施例,一旦連結已被確認為與惡意資源相關聯,則封鎖清單模組225可被執行以將針對該資源之識別信息儲存在黑名單中供未來參考。相反地,根據一些實施例,一旦連結已被確認為與肯定非惡意之安全資源相關聯,安全清單模組230即可被執行以將針對該資源之識別信息儲存在安全清單中供未來參考。
圖6係網路釣魚攻擊600之圖示,其中潛在惡意電子郵件未被攔截或隔離。通常,潛在惡意電子郵件605被接收。潛在惡意電子郵件605可包括至潛在惡意資源之連結610。由於潛在惡意電子郵件605未由本技術之中間節點處理,故電子郵件被郵件伺服器615接收並傳遞至郵件用戶端620。當電子郵件收件人點擊連結610時,潛在惡意資源625被返回給收件人。在此情況中,潛在惡意資源625可包含經設計以從收件人竊取敏感信息之網頁。
圖7係網路釣魚攻擊700之圖示,其中藉由本技術攔截潛在惡意電子郵件。通常,潛在惡意電子郵件705在被傳送至郵件伺服器715前被中間節點710接收。潛在惡意電子郵件705可包括至潛在惡意資源之連結720。中間節點710可用替代連結725替換該連結720。此外,710可修改電子郵件以包含指示符730,該指示符730包含與潛在惡意資源(例如,url=www.spammer.domain)相關聯之域之至少一部分。在一些情況中,指示符730可顯示在括弧中或以導致潛在惡意資源之域另置或突出且因此對於電子郵件收件人而言在視覺上更明確之任意其他方式顯示。指示符可取決於不同應用及用戶需求而組態用於其他指示。
當電子郵件收件人735點擊替代連結725時,中間節點710為電子郵件收件人提供登陸頁740,在本實施例中,該登陸頁740包括告知電子郵件收件人原始連結與潛在惡意資源相關聯之封鎖頁。圖8A繪示請求潛在惡意資源並返回登陸頁740之中間節點710。圖8A繪示其中中間節點710返回HTTP 302重定向至由中間節點710判定為有效(即,非潛在惡意)連結之原始連結之例示性實施例。如本實例中所示,最終用戶完全明瞭點擊連結導致在打開連結上之實際網頁之前首先聯繫中間節點710。
圖9係網路釣魚攻擊900之圖示,其中藉由本技術攔截潛在惡意電子郵件。在此情況中,中間節點905可重寫與潛在惡意資源相關聯之連結910以展現透明度,例如實際連結(「www.spammer.domain」);因此最終用戶可做出是否點擊此連結之更好及更理性決策。在一些實施例中,中間節點905亦可顯示連結910之指示符915。
圖10係用於處理電子郵件之例示性方法之流程圖。方法1000可包括經由中間節點分析包含在電子郵件中之連結以判定該連結是否與潛在惡意資源相關聯之步驟1005。該方法亦可包括若該連結與潛在惡意資源相關聯,則用至可信資源之替代連結替換該連結之步驟1010,以及經由中間節點提供包括至電子郵件伺服器之替代連結之電子郵件之步驟1015。
圖11係用於處理電子郵件之另一例示性方法之流程圖。該方法1100可包括經由中間節點定位包含在電子郵件中之至少一統一資源定位符之步驟1105。該方法亦可包括經由中間節點分析該至少一統一資源定位符以判定該至少一統一資源定位符是否與潛在惡意資源相關聯之步驟1110;以及若該至少一統一資源定位符與潛在惡意資源相關聯,則用至可信資源之替代連結替換該至少一統一資源定位符之步驟
1115。
針對威脅洞察儀表板之產生,中間節點105可經組態以追蹤有關針對不同目標資源之惡意攻擊之度量。即,中間節點105可經組態以追蹤與惡意攻擊(諸如上述該等惡意攻擊,即垃圾郵件、網路釣魚、特洛伊木馬程式等)相關聯之描述性信息。
本領域之一般技術者將瞭解惡意攻擊可指向一目標資源或複數個目標資源。即,惡意攻擊可直接標定或以廣泛方式散佈。當惡意攻擊以廣泛方式分佈時,資源之個別或直接標定可能不會發生。舉例而言,資源之直接標定可包含針對特定電子郵件地址或電子郵件伺服器之網路釣魚攻擊。廣泛攻擊可包含舉例而言,針對任意可得之電子郵件地址不加區別地發起之惡意垃圾電子郵件活動。對於本揭示內容,針對目標資源之惡意攻擊可包含個別/直接目標攻擊及/或廣泛惡意攻擊兩者。
通常,惡意攻擊相關信息可被統稱作「度量」。惡意攻擊之度量可包含但不限於:(a)用戶暴露於惡意攻擊之情況;(b)基於雲端之威脅偵測系統(中間節點105)阻止用戶暴露於惡意攻擊之情況;(c)用戶觸發惡意攻擊之情況;及(d)基於雲端之威脅偵測系統阻止惡意攻擊被觸發之情況。惡意攻擊之度量可包含上述度量之任意組合。
應瞭解惡意攻擊之「觸發」包含試圖發起或執行惡意攻擊之用戶採取之任意措施。舉例而言,網路釣魚攻擊之觸發可包含用戶填寫惡意網頁表格。
中間節點105可經組態以產生惡意攻擊度量之不同曲線或視覺展示。圖12及圖13係各包含有關惡意攻擊之度量之一或多個例示性曲線及/或視覺展示之威脅洞察儀表板。
更詳細地,圖12包含威脅洞察儀表板UI 1200。此UI 1200可由中間節點105產生。具體言之,UI 1200可由中間節點105之UI模組235產
生。UI 1200已用適於由被最終用戶用於與中間節點105互動及查看威脅洞察儀表板之用戶端裝置(最終用戶計算系統)之網頁瀏覽器用戶端顯示之網頁瀏覽器格式呈現。
在圖12中之實例中,UI 1200亦可包含惡意攻擊之實際位置識別符,其指定為「http://nasa.hu/dzsemi/j.php」。UI 1200亦包含由中間節點105判定被惡意攻擊危害之目標資源1205之表示。即,中間節點105使用上述惡意偵測方法之任意者識別惡意攻擊與目標資源1205相關聯。
UI 1200亦可包含「訊息分析」計數器1210,其包含諸如上述度量(a)及(b)以及與多少(a)情況未被中間節點105獲取且被允許傳遞至最終用戶之度量之度量。UI 1200亦可包含「URL防禦」計數器1215,其包含諸如(c)及(d)之度量以及與用戶觸發威脅且該威脅被實際允許針對最終用戶執行之情況相關聯之度量。通常,URL防禦計數器1215指示用戶已暴露於惡意攻擊之情況。此等情況通常在惡意攻擊開始時,在中間節點105得知如何識別惡意攻擊並使其失效之前發生。
UI 1200亦可包含攻擊分類滑條1220,其指示與惡意攻擊相關聯之攻擊是否實際上直接標定或更廣泛。即,滑條1220定位為愈朝向標定末端靠近,則愈多惡意攻擊被中間節點105歸類為表現為真實目標攻擊,意指惡意攻擊已指向特定目標資源或一組用戶。相比之下,廣泛攻擊較不專注於朝向一目標,更普遍且對其預期受害者較無區別性。
UI 1200亦可包含兩個「時間線」曲線,其在給定時段內顯示不同度量。所顯示之時段可由用戶選擇使得度量可顯示一天、一週或一個月或可能在用戶定義之時段內顯示。
在一些情況中,UI可包含二維曲線1225,其具有由對目標攻擊(訊息)之暴露定義之垂直軸及由時段定義之水平軸。在此情況中,曲
線1225包含用戶暴露於惡意攻擊(諸如惡意電子郵件)之情況及中間節點105阻止用戶暴露於惡意電子郵件訊息之情況。為幫助在視覺上區分度量,中間節點105可指派不同色彩至度量之各者。舉例而言,訊息暴露度量1230可展現為第一色彩,而暴露阻止度量1235可展現為第二色彩。
UI 1200亦可包含曲線1225上之威脅失效指示符1240。威脅失效指示符1240繪示中間節點105使惡意攻擊失效之時間點。當在時間線上查看時,用戶可在視覺上確定中間節點105識別惡意攻擊所需時間以及中間節點105使惡意攻擊失效所需時間,其包含阻止用戶暴露於惡意攻擊。
UI 1200亦可包含第二曲線1245,其類似於曲線1225而形成,例外處在於第二曲線1245包含諸如用戶觸發(例如,點擊)惡意攻擊之情況之度量;及(d)基於雲端之威脅偵測系統阻止惡意攻擊被觸發之情況。
UI 1200亦可包含「威脅詳情」窗1250,其包含有關惡意攻擊之描述性信息。此威脅詳情窗1250亦可包含從沙盒環境中收集之有關攻擊之信息或度量。沙盒環境包含用作測試及量測潛在惡意攻擊之效應之例示性環境之實體或虛擬計算系統。用戶可透過此窗得到從此測試中收集之信息。舉例而言,用戶可點擊連結,其將用戶帶至更詳細之沙盒分析頁(未繪示)。
根據一些實施例,UI 1200包含「威脅情況」清單1255,其包含填滿用戶遇到或觸發惡意攻擊之威脅情況之清單。在一些實施例中,中間節點105組織清單使得用戶觸發惡意攻擊之情況顯示在用戶遇到但未觸發惡意攻擊之情況上方。威脅情況清單1255內之各列可包含指示惡意攻擊標定之電子郵件地址之識別符及指示中間節點105是否能夠重寫惡意訊息之傳送狀態。威脅情況清單1255亦可包含指示用戶點
擊惡意攻擊之次數之行;以及指示點擊是否被中間節點105「允許」或「封鎖」之行。
圖13繪示另一例示性威脅洞察儀表板UI 1300。此UI 1300包含「威脅瀏覽器」時間線曲線1305(「訊息」)及1310(「點擊」),其等由中間節點105以類似於圖12之曲線之方式產生。此等威脅事件係由中間節點105根據威脅源而非指向目標資源之特定惡意攻擊而組織。
UI 1300可包含「威脅源」清單1315,其包括惡意攻擊源之排序清單。威脅源清單1315內之各列可包含惡意攻擊之位置識別符以及攻擊之度量,其等配置為不同行。舉例而言,對於給定惡意攻擊源,惡意攻擊可被用戶看見、被中間節點105獲取、傳送或封鎖特定次數。通常,此等度量之類別表示上文更詳細描述之類別(a)、(b)、(c)及(d)。
包含在威脅源清單1315中之惡意攻擊可根據暴露或觸發成功而配置。舉例而言,傳送最頻繁之惡意攻擊排序最高。此信息允許用戶快速識別惡意攻擊對於暴露之各自最終用戶有多成功或危險。用戶可返回至圖12之儀表板以具體識別受惡意攻擊影響之用戶,即,用戶可參考圖12之威脅情況清單1255獲得與惡意攻擊中識別之特定電子郵件地址相關聯之用戶。
圖14係用於經由基於雲端之威脅偵測系統(例如,中間節點105)提供威脅儀表板之例示性方法之流程圖。基於雲端之威脅偵測系統通常包括CPU及記憶體。在一些情況中,該方法可包含偵測針對目標資源之惡意攻擊(1405)。再者,惡意攻擊可包含網路釣魚攻擊、垃圾郵件、特洛伊木馬程式攻擊及等等。目標資源可包含網頁、電子郵件地址、文檔、伺服器、最終用戶計算裝置或本領域之一般技術者已知易受惡意攻擊之其他類似資源。
該方法亦可包含定位有關針對目標資源之惡意攻擊之度量
(1410)。如在上文中更詳細描述,度量指示用戶暴露於惡意攻擊之情況或基於雲端之威脅偵測系統阻止用戶暴露於惡意攻擊之情況。
該方法亦可包含為用戶端裝置之網頁瀏覽器應用程式呈現威脅儀表板(1415)。應瞭解威脅儀表板包括所定位之度量。
圖15繪示可用於實施本技術之實施例之例示性計算系統1500。圖15之系統1500可在計算系統、網路、伺服器或其等之組合之類似物之背景中實施。圖15之計算系統1500包含一或多個處理器1510及主記憶體1520。主記憶體1520部分儲存由處理器1510執行之指令及資料。主記憶體1520在運作時可儲存可執行代碼。圖15之系統1500進一步包含大容量儲存裝置1530、(諸)攜帶式儲存媒體驅動器1540、輸出裝置1550、輸入裝置1560、圖形顯示器1570及(諸)周邊裝置1580。
圖15中所示之組件描繪為經由單個匯流排1590連接。組件可透過一或多個資料輸送構件連接。處理器單元1510及主記憶體1520可經由局部微處理器匯流排連接且大容量儲存裝置1530、(諸)周邊裝置1580、(諸)攜帶式儲存媒體驅動器1540及圖形顯示器1570可經由一或多個輸入/輸出(I/O)匯流排連接。
可用磁碟驅動器或光碟驅動器實施之大容量儲存裝置1530係用於儲存供處理器單元1510使用之資料及指令之非揮發性儲存裝置。大容量儲存裝置1530可為將軟體載入主記憶體1520中之目的而儲存用於實施本發明之實施例之該系統軟體。
(諸)攜帶式儲存媒體驅動器1540結合攜帶式非揮發性儲存媒體(諸如軟碟、光碟、數位視訊碟或USB儲存裝置)運作以輸入資料及代碼至圖15之電腦系統1500及從圖15之電腦系統1500輸出資料及代碼。用於實施本發明之實施例之系統軟體可儲存在此一攜帶式媒體上並經由(該等)攜帶式儲存媒體驅動1540輸入至電腦系統1500。
輸入裝置1560提供用戶介面之一部分。輸入裝置1560可包含用
於輸入字母數字及其他信息之字母數字小鍵盤(諸如鍵盤)或指向裝置(諸如滑鼠、軌跡球、觸控筆或游標方向鍵)。此外,如圖15中所示之系統1500包含輸出裝置1550。適當輸出裝置包含揚聲器、印表機、網路介面及監視器。
圖形顯示器1570可包含液晶顯示器(LCD)或其他適當顯示裝置。圖形顯示器1570接收文本及圖形信息並處理該信息以輸出至顯示裝置。
(諸)周邊裝置1580可包含任意類型之電腦支援裝置以添加額外功能性至電腦系統。(諸)周邊裝置1580可包含調製解調器或路由器。
提供在圖15之電腦系統1500中之組件係電腦系統中常見之可適於與本發明之實施例一起使用之組件且旨在表示本領域中已知之此等電腦組件之廣泛類別。因此,圖15之電腦系統1500可為個人電腦、手持計算系統、電話、行動計算系統、工作站、伺服器、迷你電腦、主機電腦或任意其他計算系統電腦亦可包含不同之匯流排組態、網路化平台,多處理器平台等。可使用不同作業系統,包含Unix、Linux、Windows、Macintosh OS、Palm OS、Android、iPhone OS及其他適當作業系統。
注意適用於執行本文所述之處理之任意硬體平台軍適於與本技術一起使用。電腦可讀儲存媒體指的是參與提供指令至中央處理單元(CPU)、處理器、微控制器或類似物之任意媒體或諸媒體。此等媒體可採用包括但不限於非揮發性及揮發性媒體(分別諸如光碟或磁碟及動態記憶體)之形式。電腦可讀儲存媒體之常見形式包含軟碟、軟碟片、硬碟、磁帶、任意其他磁性儲存媒體、CD-ROM碟、數位視訊碟(DVD)、任意其他光學儲存媒體、RAM、PROM、EPROM、FLASHEPROM、任意其他記憶體晶片或盒。
雖然上文已描述不同實施例,但是應瞭解其等僅舉例而言提出
且非限制。描述不旨在將本技術之範圍限制為本文敘述之特定形式。因此,較佳實施例之寬度及範疇不受限於任意上述例示性實施例。應瞭解上述描述係闡釋性的且非限制性的。相反地,本描述旨在涵蓋如在如隨附申請專利範圍定義及另外為本領域之一般技術者所知之本技術之精神及範疇內可能包含之此等替代例、修改例及等效例。因此,本技術之範疇應不參考上述描述判定,而是應參考隨附申請專利範圍連同其等之等效物之完整範疇判定。
Claims (18)
- 一種用於經由一基於雲端之威脅偵測系統提供一威脅儀表板之方法,該基於雲端之威脅偵測系統包括一中央處理單元(CPU)及一記憶體,該方法包括下列步驟:經由該基於雲端之威脅偵測系統阻止用戶暴露於一特定惡意攻擊,該特定惡意攻擊係來自一特定惡意軟體;經由該基於雲端之威脅偵測系統阻止該等用戶觸發該特定惡意攻擊;定位有關該特定惡意攻擊之度量,該等度量指示該等用戶暴露於該特定惡意攻擊之情況、該基於雲端之威脅偵測系統阻止該等用戶暴露於該特定惡意攻擊之情況、該等用戶觸發該特定惡意攻擊之情況、及該基於雲端之威脅偵測系統阻止該特定惡意攻擊被觸發之情況;及為一用戶端裝置之一網頁瀏覽器應用程式呈現一威脅儀表板,該威脅儀表板包括該等所定位之度量,該威脅儀表板進一步包括用於分類攻擊之一滑條,其經組態以指示該特定惡意攻擊是否標定一特定資源或較無區別性,該呈現包含曲線化包括一曲線之一時間線,該曲線具有一第一軸及一第二軸,該第一軸由該等度量之一時段定義,該第二軸由該基於雲端之威脅偵測系統阻止該等用戶暴露於該特定惡意攻擊之情況與該等用戶暴露於該特定惡意攻擊之情況定義;及該呈現進一步包含曲線化包括另一曲線之另一時間線,該另一曲線具有一第一軸及一第二軸,該第一軸由該等度量之一時段定義,該第二軸由該基於雲端之威脅偵測系統阻止該特定惡意攻擊被觸發之情況與該等用戶觸發該特定惡意攻擊之情況定 義。
- 如請求項1之方法,其中該第一軸為垂直軸及該第二軸為水平軸。
- 如請求項1之方法,其進一步包括在該時間線上定位一威脅失效指示符,該威脅失效指示符繪示該基於雲端之威脅偵測系統使一經觸發之惡意攻擊失效之一時間點。
- 如請求項1之方法,其中呈現包括彙編包括根據暴露或觸發成功而配置之惡意攻擊之一排序清單之一威脅源清單。
- 如請求項1之方法,其進一步包括在該時間線上定位一威脅失效指示符,該威脅失效指示符繪示該基於雲端之威脅偵測系統使一經暴露之惡意攻擊失效之一時間點。
- 如請求項1之方法,其中該等度量進一步指示該特定惡意攻擊是否為一惡意軟體攻擊與一釣魚攻擊之至少一者。
- 如請求項3之方法,其中該威脅失效指示符進一步繪示以下之至少一者:識別該特定惡意攻擊所需時間;及使該特定惡意攻擊失效所需時間。
- 如請求項3之方法,其中該威脅失效指示符進一步繪示以下兩者:識別該特定惡意攻擊所需時間;及使該特定惡意攻擊失效所需時間。
- 一種用於提供一威脅儀表板之基於雲端之威脅偵測系統,該系統包括:一處理器;及一記憶體,其用於儲存邏輯,該邏輯由該處理器執行以執行 操作,其包括:經由該基於雲端之威脅偵測系統阻止用戶暴露於一特定惡意攻擊,該特定惡意攻擊係來自一特定惡意軟體;經由該基於雲端之威脅偵測系統阻止該等用戶觸發該特定惡意攻擊;提供一威脅儀表板,其包括有關針對一目標資源之該特定惡意攻擊之度量,該等度量指示該等用戶暴露於該特定惡意攻擊之情況、該基於雲端之威脅偵測系統阻止該等用戶暴露於該特定惡意攻擊之情況、該等用戶觸發該特定惡意攻擊之情況、及該基於雲端之威脅偵測系統阻止該特定惡意攻擊被觸發之情況;及為一用戶端裝置之一網頁瀏覽器應用程式呈現該威脅儀表板,該威脅儀表板包括該等度量,該威脅儀表板進一步包括用於分類攻擊之一滑條,其經組態以指示該特定惡意攻擊是否標定該等用戶之一特定群組或廣泛,該呈現包含曲線化包括一曲線之一時間線,該曲線具有一第一軸及一第二軸,該第一軸由該等度量之一時段定義,該第二軸由該基於雲端之威脅偵測系統阻止該等用戶暴露於該特定惡意攻擊之情況與該等用戶暴露於該特定惡意攻擊之情況定義;及該呈現進一步包含曲線化包括另一曲線之另一時間線,該另一曲線具有一第一軸及一第二軸,該第一軸由該等度量之一時段定義,該第二軸由該基於雲端之威脅偵測系統阻止該特定惡意攻擊被觸發之情況與該等用戶觸發該特定惡意攻擊之情況定義。
- 如請求項9之系統,其中該處理器進一步執行該邏輯以執行在該 威脅儀表板內呈現該目標資源之一視圖之一操作。
- 如請求項9之系統,其中每一曲線具有為垂直軸之該第一軸及為水平軸之該第二軸。
- 如請求項9之系統,其中該處理器進一步執行該邏輯以執行在該時間線上定位一威脅失效指示符之一操作,該威脅失效指示符繪示該基於雲端之威脅偵測系統使一經觸發之惡意攻擊失效之一時間點。
- 如請求項9之系統,其中該處理器進一步執行該邏輯以執行將該威脅儀表板填滿該等用戶遇到或觸發該特定惡意攻擊之一威脅情況清單之一操作,其中該清單經組織使得該等用戶觸發該特定惡意攻擊之情況顯示在該等用戶遇到但未觸發該特定惡意攻擊之情況上方。
- 如請求項9之系統,其中該目標資源及該用戶端裝置並非相同裝置。
- 一種用於經由一基於雲端之威脅偵測系統提供一威脅儀表板之方法,該基於雲端之威脅偵測系統包括一中央處理單元(CPU)及一記憶體,該方法包括下列步驟:經由該基於雲端之威脅偵測系統阻止用戶觸發一特定惡意攻擊,該特定惡意攻擊係來自一特定惡意軟體;判定有關針對一目標資源之該特定惡意攻擊之度量,該特定惡意攻擊與一電子郵件訊息相關,該等度量指示:該等用戶觸發該特定惡意攻擊之情況;及該基於雲端之威脅偵測系統阻止該特定惡意攻擊被觸發之情況,及為一用戶端裝置之一網頁瀏覽器應用程式呈現一威脅儀表 板,該呈現包含曲線化用於該威脅儀表板之一時間線,該威脅儀表板包括用於該等用戶觸發該特定惡意攻擊之情況及該基於雲端之威脅偵測系統阻止該特定惡意攻擊被觸發之情況之該等度量,該呈現進一步包括提供用於分類攻擊之一滑條,其經組態以指示該特定惡意攻擊是否標定該等用戶之一特定群組或廣泛。
- 如請求項15之方法,其中該判定有關針對該目標資源之該特定惡意攻擊之該等度量進一步指示:該等用戶暴露於該特定惡意攻擊之情況;及該基於雲端之威脅偵測系統阻止該等用戶暴露於該特定惡意攻擊之情況。
- 如請求項16之方法,其中曲線化該時間線進一步包括產生具有一垂直軸及一水平軸之另一曲線,該垂直軸由該等用戶暴露於該特定惡意攻擊之情況及該基於雲端之威脅偵測系統阻止該等用戶暴露於該特定惡意攻擊之情況定義,該水平軸由一時段定義。
- 如請求項17之方法,其進一步包括在該時間線上定位一威脅失效指示符之一操作,該威脅失效指示符繪示該基於雲端之威脅偵測系統使一經暴露或經觸發之惡意攻擊失效之一時間點。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201261656920P | 2012-06-07 | 2012-06-07 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201415281A TW201415281A (zh) | 2014-04-16 |
| TWI592821B true TWI592821B (zh) | 2017-07-21 |
Family
ID=49712877
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW102120416A TWI592821B (zh) | 2012-06-07 | 2013-06-07 | 用於提供威脅儀表板之方法及基於雲端之威脅偵測系統 |
Country Status (4)
| Country | Link |
|---|---|
| US (3) | US9602523B2 (zh) |
| EP (1) | EP2859494B1 (zh) |
| TW (1) | TWI592821B (zh) |
| WO (1) | WO2013185101A2 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9912694B2 (en) | 2012-06-07 | 2018-03-06 | Proofpoint, Inc. | Dashboards for displaying threat insight information |
Families Citing this family (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9245115B1 (en) | 2012-02-13 | 2016-01-26 | ZapFraud, Inc. | Determining risk exposure and avoiding fraud using a collection of terms |
| US9876742B2 (en) * | 2012-06-29 | 2018-01-23 | Microsoft Technology Licensing, Llc | Techniques to select and prioritize application of junk email filtering rules |
| US9356948B2 (en) | 2013-02-08 | 2016-05-31 | PhishMe, Inc. | Collaborative phishing attack detection |
| US8966637B2 (en) | 2013-02-08 | 2015-02-24 | PhishMe, Inc. | Performance benchmarking for simulated phishing attacks |
| US10277628B1 (en) * | 2013-09-16 | 2019-04-30 | ZapFraud, Inc. | Detecting phishing attempts |
| US9886581B2 (en) * | 2014-02-25 | 2018-02-06 | Accenture Global Solutions Limited | Automated intelligence graph construction and countermeasure deployment |
| US9438428B2 (en) | 2014-05-12 | 2016-09-06 | CertiPath, Inc. | Method and system for email identity validation |
| US9094443B1 (en) | 2014-07-30 | 2015-07-28 | Iboss, Inc. | Web redirection for content scanning |
| US9832219B2 (en) * | 2014-09-05 | 2017-11-28 | International Business Machines Corporation | System for tracking data security threats and method for same |
| US9992219B1 (en) * | 2014-11-13 | 2018-06-05 | National Technology & Engineering Solutions Of Sandia, Llc | Framework and methodology for supply chain lifecycle analytics |
| TWI514188B (zh) * | 2014-12-10 | 2015-12-21 | Univ Nat Taiwan Science Tech | 加殼程式偵測系統及其方法 |
| US9584536B2 (en) * | 2014-12-12 | 2017-02-28 | Fortinet, Inc. | Presentation of threat history associated with network activity |
| US9906539B2 (en) | 2015-04-10 | 2018-02-27 | PhishMe, Inc. | Suspicious message processing and incident response |
| WO2017161018A1 (en) * | 2016-03-15 | 2017-09-21 | DataVisor Inc. | User interface for displaying network analytics |
| US20170279845A1 (en) * | 2016-03-23 | 2017-09-28 | DataVisor Inc. | User Interface for Displaying and Comparing Attack Telemetry Resources |
| US10805326B1 (en) * | 2016-11-21 | 2020-10-13 | Alert Logic, Inc. | Systems and methods for threat visualization with signature composure, spatial scale and temporal expansion |
| US10089475B2 (en) * | 2016-11-25 | 2018-10-02 | Sap Se | Detection of security incidents through simulations |
| US10425444B2 (en) * | 2017-06-07 | 2019-09-24 | Bae Systems Applied Intelligence Us Corp. | Social engineering attack prevention |
| US10375091B2 (en) | 2017-07-11 | 2019-08-06 | Horizon Healthcare Services, Inc. | Method, device and assembly operable to enhance security of networks |
| US11075930B1 (en) | 2018-06-27 | 2021-07-27 | Fireeye, Inc. | System and method for detecting repetitive cybersecurity attacks constituting an email campaign |
| US10715469B2 (en) * | 2018-09-19 | 2020-07-14 | International Business Machines Corporation | Poisoned message detection system |
| US10812355B2 (en) | 2018-09-19 | 2020-10-20 | International Business Machines Corporation | Record compression for a message system |
| US11539531B2 (en) * | 2019-02-24 | 2022-12-27 | Ondefend Holdings, Llc | System and apparatus for providing authenticable electronic communication |
| US10686826B1 (en) * | 2019-03-28 | 2020-06-16 | Vade Secure Inc. | Optical scanning parameters computation methods, devices and systems for malicious URL detection |
| US10498760B1 (en) * | 2019-07-16 | 2019-12-03 | ALSCO Software LLC | Monitoring system for detecting and preventing a malicious program code from being uploaded from a client computer to a webpage computer server |
| US11201893B2 (en) * | 2019-10-08 | 2021-12-14 | The Boeing Company | Systems and methods for performing cybersecurity risk assessments |
| CN114004604B (zh) * | 2021-12-30 | 2022-03-29 | 北京微步在线科技有限公司 | 一种邮件中url数据的检测方法、装置、电子设备 |
| US20230224275A1 (en) * | 2022-01-12 | 2023-07-13 | Bank Of America Corporation | Preemptive threat detection for an information system |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001099373A2 (en) | 2000-06-16 | 2001-12-27 | Securify, Inc. | System and method for security policy |
| US20030061506A1 (en) * | 2001-04-05 | 2003-03-27 | Geoffrey Cooper | System and method for security policy |
| US7496960B1 (en) * | 2000-10-30 | 2009-02-24 | Trend Micro, Inc. | Tracking and reporting of computer virus information |
| US8984640B1 (en) * | 2003-12-11 | 2015-03-17 | Radix Holdings, Llc | Anti-phishing |
| US7516488B1 (en) * | 2005-02-23 | 2009-04-07 | Symantec Corporation | Preventing data from being submitted to a remote system in response to a malicious e-mail |
| US8266295B2 (en) * | 2005-02-24 | 2012-09-11 | Emc Corporation | System and method for detecting and mitigating DNS spoofing trojans |
| US20070097976A1 (en) * | 2005-05-20 | 2007-05-03 | Wood George D | Suspect traffic redirection |
| US7841008B1 (en) | 2006-03-31 | 2010-11-23 | Symantec Corporation | Threat personalization |
| US8099785B1 (en) * | 2007-05-03 | 2012-01-17 | Kaspersky Lab, Zao | Method and system for treatment of cure-resistant computer malware |
| US20090297043A1 (en) * | 2008-05-28 | 2009-12-03 | International Business Machines Corporation | Pattern scanner and editor for security audit systems |
| US8763071B2 (en) | 2008-07-24 | 2014-06-24 | Zscaler, Inc. | Systems and methods for mobile application security classification and enforcement |
| WO2010105184A2 (en) * | 2009-03-13 | 2010-09-16 | Breach Security , Inc. | A method and apparatus for phishing and leeching vulnerability detection |
| US8631330B1 (en) * | 2009-08-16 | 2014-01-14 | Bitdefender IPR Management Ltd. | Security application graphical user interface customization systems and methods |
| US8131850B2 (en) | 2009-10-12 | 2012-03-06 | Palo Alto Research Center Incorporated | Apparatus and methods for managing network resources |
| TW201126367A (en) | 2010-01-26 | 2011-08-01 | Univ Nat Taiwan Science Tech | Detection methods and devices of web mimicry attacks |
| US8660355B2 (en) * | 2010-03-19 | 2014-02-25 | Digimarc Corporation | Methods and systems for determining image processing operations relevant to particular imagery |
| US9270690B2 (en) | 2010-07-21 | 2016-02-23 | Seculert Ltd. | Network protection system and method |
| US9119017B2 (en) * | 2011-03-18 | 2015-08-25 | Zscaler, Inc. | Cloud based mobile device security and policy enforcement |
| TWI592821B (zh) | 2012-06-07 | 2017-07-21 | 普波因特股份有限公司 | 用於提供威脅儀表板之方法及基於雲端之威脅偵測系統 |
-
2013
- 2013-06-07 TW TW102120416A patent/TWI592821B/zh active
- 2013-06-07 US US13/913,231 patent/US9602523B2/en active Active
- 2013-06-07 EP EP13799760.7A patent/EP2859494B1/en active Active
- 2013-06-07 WO PCT/US2013/044823 patent/WO2013185101A2/en active Application Filing
-
2017
- 2017-01-27 US US15/418,578 patent/US9912694B2/en active Active
-
2018
- 2018-01-24 US US15/878,611 patent/US10243991B2/en active Active
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9912694B2 (en) | 2012-06-07 | 2018-03-06 | Proofpoint, Inc. | Dashboards for displaying threat insight information |
| US10243991B2 (en) | 2012-06-07 | 2019-03-26 | Proofpoint, Inc. | Methods and systems for generating dashboards for displaying threat insight information |
Also Published As
| Publication number | Publication date |
|---|---|
| US10243991B2 (en) | 2019-03-26 |
| US20130333028A1 (en) | 2013-12-12 |
| EP2859494B1 (en) | 2018-08-15 |
| US20170142154A1 (en) | 2017-05-18 |
| TW201415281A (zh) | 2014-04-16 |
| US20180152476A1 (en) | 2018-05-31 |
| US9602523B2 (en) | 2017-03-21 |
| WO2013185101A3 (en) | 2014-02-27 |
| EP2859494A4 (en) | 2016-02-17 |
| US9912694B2 (en) | 2018-03-06 |
| EP2859494A2 (en) | 2015-04-15 |
| WO2013185101A2 (en) | 2013-12-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI592821B (zh) | 用於提供威脅儀表板之方法及基於雲端之威脅偵測系統 | |
| US10530806B2 (en) | Methods and systems for malicious message detection and processing | |
| US8839401B2 (en) | Malicious message detection and processing | |
| US10616272B2 (en) | Dynamically detecting abnormalities in otherwise legitimate emails containing uniform resource locators (URLs) | |
| Gupta et al. | Defending against phishing attacks: taxonomy of methods, current issues and future directions | |
| US11356479B2 (en) | Systems and methods for takedown of counterfeit websites | |
| JP6068506B2 (ja) | オンライン不正行為の検出の動的採点集計のシステムおよび方法 | |
| McGuire et al. | Cyber crime: A review of the evidence | |
| US11960604B2 (en) | Online assets continuous monitoring and protection | |
| Alkawaz et al. | Detecting phishing website using machine learning | |
| Ramesh et al. | Identification of phishing webpages and its target domains by analyzing the feign relationship | |
| EP3195140B1 (en) | Malicious message detection and processing | |
| Ahmad et al. | Content analysis of persuasion principles in mobile instant message phishing | |
| Perryman | A Design‐Science Approach to Nullifying Malicious Links and Attachments in Spam Email | |
| Mustonen | Phishing in email and instant messaging | |
| Mehendele et al. | Review of Phishing Attacks and Anti Phishing Tools | |
| Movassagh | Awareness and Perception of Phishing Variants from Policing, Computing and Criminology Students in Canterbury Christ Church University | |
| Ronda | Copyright (C) 2007 by Troy Ronda |