威胁检测的企业图形方法与流程

云计算和存储方案给企业提供存储和处理数据的各种能力。然而，存在与云计算和企业网络相关联的安全问题。必须适当地配置、管理和保证基础设施，并且还必须保护数据和应用。高效的安全架构应当识别并且解决出现的问题，但是情况不总是那样。虽然每天检测到的安全攻击的数目已经随着安全信息和事件管理(siem)软件工具和服务的使用而增加，但是任何一个攻击的重要性不容易被辨别。攻击的泛滥独自地常常阻止it职业确定哪些攻击是最重要的。而且，经由siem出于安全目的记录的安全日志、警报和其他虚拟机(vm)和网络数据常常失去其关于哪些机器或电器产生他们的功能上下文，其进一步模糊攻击中的许多攻击的重要性。

技术实现要素：

提供本发明内容以引入以在下面的详细描述章节中被进一步描述的简化形式的概念的选择。本发明内容不旨在标识所要求保护的主题内容的关键特征或基本特征，其也不旨在辅助确定所要求保护的主题内容的范围。

根据本文所公开的一个方面，呈现了一种用于分析安全警报的方法。本文所公开的方法包括基于与企业相关联的信息生成企业图形。企业图形被用来标识企业的计算机之间的关系。在接收到由企业的安全组件产生的多个安全警报时，基于企业图形中所标识的关系的强度，标识安全警报中的两个或更多个安全警报之间的至少一个重要关系。方法然后包括基于多个安全警报中的两个或更多个安全警报之间的至少一个重要关系，标识至少一个潜在安全事故。方法还可以包括检查与至少一个潜在安全事故相关联的安全警报以标识攻击的至少一个已知部分。

根据本文所公开的另一方面，呈现了一种用于分析安全警报的系统。本文所公开的系统包括用于基于与企业相关联的信息生成企业图形的企业图形服务，该信息用于标识企业的计算机之间的关系。多个安全组件生成关于企业的多个安全警报，并且然后融合服务标识安全警报之间的重要关系，其中每个重要关系被标识在企业图形中并且符合至少两个或更多个安全警报。系统还包括用于基于安全警报中的两个或更多个安全警报之间的重要关系标识潜在安全事故的杀伤链解译器。系统还可以包括优先化符合杀伤链解译器所标识的潜在安全事故的安全警报的列表，以及以下推荐：潜在安全事故中的一个或多个安全事故的安全警报被给予高于不与任何其他所标识的潜在安全事故相关联的其他安全警报的优先级。

根据本文所公开的又一方面，呈现了一种包括用于分析安全警报的指令的计算机可读存储介质。由处理器执行的指令包括：基于与企业相关联的信息来生成企业图像；利用企业图形标识企业的计算机之间的关系；以及接收由企业的多个安全组件产生的多个安全警报。指令还包括：基于企业图形中所标识的关系的强度，标识安全警报中的两个或更多个安全警报之间的至少一个重要关系；以及基于安全警报中的两个或更多个安全警报之间的至少一个重要关系，标识包含企业的两个或更多个实体的潜在安全事故，其中潜在安全事故符合恶意可执行代码的已知片段的至少一部分。指令然后还包括指示潜在安全事故的多个安全警报具有高于不与所标识的潜在安全事故相关联的其他安全警报的优先级，以及推断潜在安全事故是实际攻击。

示例被实现为计算机过程、计算系统或用于一个或多个计算机的计算机程序产品。根据方面，计算机程序产品是具有包括用于执行计算机过程的指令的计算机程序的计算机系统的服务器。

在以下附图和描述中阐述一个或多个方面的细节。其他特征和优点从以下详细描述的阅读和相关联的附图的回顾将是明显的。将理解到，以下详细描述仅是解释性的并且不是对权利要求的限制。

附图说明

并入在本公开中并且构成其一部分的附图图示了各方面。在附图中：

图1图示了具有各方面中被利用的企业网络的示例环境；

图2图示了各方面中被利用的基于云的企业网络的示例环境；

图3图示了根据各方面的用于分析企业内的安全警报的示例性系统；

图4图示了示出被包含在分析具有图3的系统的企业内的安全警报中的一般阶段的流程图；

图5图示了用于分析具有图3的系统的安全警报的图4的流程图的可选阶段；以及

图6图示了用于各种实施例中被利用的设备/计算机的物理组件的示例性环境。

具体实施方式

以下详细描述参考附图。在可能的情况下，相同的附图标记被用在附图中并且以下描述参考相同或者类似元件。虽然可以描述示例，但是修改、改编和其他实现是可能的。例如，可以对附图中所图示的元件做出替代、添加或者修改，并且本文所描述的方法可以通过对所公开的方法的替代、重排或者添加阶段来修改。相应地，以下详细描述不是限制性的，但是相反，适当的范围由所附的权利要求定义。示例可以采取硬件实现、或者全部软件实现、或者组合软件和硬件方面的实现的形式。因此，以下详细描述将不以限制性意义理解。

下文参考根据本发明的实施例的方法、装置(系统)和计算机程序产品的流程图图示和/或框图来描述本发明的各方面。将理解到，流程图图示和/或框图中的每个框和流程图图示和/或框图中的框的组合可以通过计算机程序指令实现。这些计算机程序指令可以被提供到通用计算机、专用计算机或其他可编程数据处理装置的处理器以产生机器，使得经由该计算机或其他可编程数据处理装置的处理器运行的所述指令创建用于实现所述流程图和/或(一个或多个)框图的(多个)框中所指定的功能/动作的装置。

图1图示了在其中可以实践本公开的示例计算环境100。如所图示的，企业(诸如企业网络110)被分为多个站点。给定站点120可以由位于企业网络110外部或者远程于站点120定位的远程设备130远程访问，或者可以由位于企业网络110内部或者本地于站点120定位的本地设备140本地访问。企业网络110与地理位置服务150通信以为远程设备130提供位置数据。虽然图示了两个站点120、一个远程设备130和一个本地设备140，但是站点120、远程设备130和本地设备140的数目可以大于或小于被图示在示例环境100中的内容。

尽管遍及多个站点120和域散布(例如，对于被散布在大地理区域上的公司、政府机构、教育机构而言)，企业网络110提供在其上计算设备可以交互的单个操作环境。企业网络110的每个站点120包括：网关122，其可操作以接受来自连接到站点120的设备的通信；域控制器124，其与网关122通信并且可操作以认证试图访问企业网络110的实体；和监视器126，其与域控制器124通信并且可操作以聚集来自远程设备130的连接信息以管理实体位置数据。网关122和域控制器124将由本领域的技术人员理解为包括硬件设备和在那些设备上运行的软件以提供其功能。在各方面中，监视器126可以在专用硬件上运行或者可以经由被用于数个目的的计算设备上(诸如例如在与域控制器124相同的硬件上)的软件提供。在附加的方面中，企业网络110可以利用比站点120更少的监视器126；站点120中的一些或全部站点可以共享监视器126。

远程设备130和本地设备140图示了众多计算系统，包括但不限于台式计算机系统、有线和无线计算系统、移动计算系统(例如，移动电话、上网本、平板电脑或者平板型计算机、笔记本计算机和膝上型计算机)、手持式设备、多处理器系统、基于微处理器或者可编程的消费者电子产品、小型计算机、打印机和大型计算机。

远程设备130和本地设备140由用户操作，其可以是请求到企业网络110的一个或多个站点120的连接的人类或者自动化系统(例如，“机器人”)。例如，googlenow^tm或电子助理(分别地从加州库比蒂诺的苹果公司；加州山景城的alphabet公司；以及华盛顿州雷德蒙德的微软公司可购得)的实例可以响应于或预期来自人类用户的查询而请求连接。

远程设备130和本地设备140通过由站点120的域控制器124认证而访问企业网络110。远程设备130可以经由虚拟专用网络(vpn)连接或者其他隧道连接到给定站点120以发起会话，而本地设备140连接到其所位于的站点120。给定设备是远程设备130还是本地设备140取决于其如何连接到企业网络110，并且给定设备可以是远程设备130和本地设备140二者。例如，用户可以在办公室中时使用本地设备140，以本地连接到企业网络110并且将该设备带回家并且登录到企业网络110中，这使设备成为用于远程会话的远程设备130。实体(设备或者用户账户)连接到给定站点120，其然后由域控制器124或者监视器126记录并且映射为使用给定站点120。本地设备140还可以具有其对域控制器124的连接尝试和出于安全目的由监视器126记录的活动会话。

还可以使用其中任务由通过通信网络链接的计算设备执行的计算环境的其他配置。图2图示了在其中可以实践本公开的另一示例计算环境200。如所图示的，企业(诸如具有云202的云网络202)访问因特网204。云202具有由服务器和计算机资源210和云存储装置212所提供的共享处理资源和数据，以用于向企业内的用户提供各种功能。环境200内的企业在云202、企业旧有系统220、企业供应商222、企业客户224和各种企业位置(诸如分别地具有附图标记230、232和234的位置a-c)中间被划分。然而，企业可以包括更少或更多位置，诸如位置a-c。在一个或多个实施例中，位置可以是企业公司的总部并且其他位置可以是分支办公室。而且，一个或多个位置可以是访问云202的企业的远程用户。

而且，云202可以被称为由一个或多个虚拟设备/机器组成的虚拟设备/机器。虚拟机是硬件设备(诸如计算机)的软件表示，如由本领域的技术人员理解的。而且，企业的位置a-c、旧有系统220、供应商222和客户224中的每一个可以具有被称为机器(诸如实际的计算机或者服务器)的一个或多个实体。机器还可以相反地是虚拟计算机。虽然图1的企业计算环境100可以描绘特定设备，但是远程设备130和本地设备140、网络110内的站点120处的机器以及云160的服务器/计算机资源中的每一个可以被称为实体或者机器，并且是实际的硬件计算设备(诸如计算机或者服务器)，或者可以相反地是虚拟设备/机器。

图3图示了用于分析各种企业计算环境内的安全警报的示例性系统300。系统300包括用于生成并且维持企业图形310的服务。企业图形310基于信息(诸如与架构相关联或从架构导出的操作智能320和企业网络内所执行的功能)而被生成。因此，企业图形310是公司企业内的机器之间的所有关系的编译并且被用来标识企业的机器之间的关系。

用于分析警报的系统还包括用于将相关安全警报330融合在一起的融合服务340。由企业的网络110内的安全组件/方案产生的安全警报330由融合服务340接收和存储。融合服务340分析安全警报330并且执行统计计算以基于企业的网络110内的机器之间的特定关系的强度，标识安全警报330中的两个或更多个安全警报之间的重要关系。基于机器的类型或者机器被定位在企业内何处，关系可以被确定为重要关系。例如，重要关系可以基于特定机器之间的物理距离或者网络连接性。而且，重要关系可以存在于运行相同应用或者执行相同功能的机器之间。其他重要关系可以由于特定机器之间的安全警报330的频率或者由于关于特定机器的安全警报330的类型而存在。如果重要关系由融合服务340标识，则潜在安全事故360可以基于多个安全警报330之间的重要关系的存在来标识。

而且，多个重要关系可能导致一个或多个潜在安全事故360。基于两个或更多个安全警报330之间的一个或多个重要关系的潜在安全故障360可以包含企业的网络的两个或更多个机器。例如，特定潜在安全事故360的安全警报330可以来自相同处所内的或者运行相同应用的两个计算设备。而且，可以在导致安全警报330的一个或多个机器处检测已知恶意可执行代码的片段。由于检测恶意可执行代码而发生的单个安全警报330可能导致潜在安全事故360。安全警报330还可以由于一个或多个机器诸如从网络内的另一机器或从网络外部接收到恶意可执行代码的已知片段而发生。在一个实施例中，由于检测恶意可执行代码的已知片段而发生的安全警报330和由于接收恶意可执行代码的该已知片段而发生的另一安全警报330一起可能导致潜在安全事故360。

如果超过一个潜在安全关系被标识，则每个潜在安全关系可以基于每个关系多么重要或者基于多少重要关系与特定潜在安全事故360相关联相对于彼此来进行排名或者优先化。因此，可以生成潜在安全事故360的列表。而且，任何潜在安全事故360的安全警报330将具有高于不与任何所标识的潜在安全事故360相关联的其他安全警报330的优先级。可以生成与潜在安全事故360相关联或者基于潜在安全事故360的安全警报330的优先级列表。潜在安全事故360的安全警报330可以经由优先级列表被推荐为被给予调查优先级，使得it专家知道将其工作聚焦在何处。

系统300还包括用于标识潜在安全事故360的如图3中所示的杀伤链解译器350。杀伤链解译器350基于被发现为存在于两个或更多个安全警报330之间的重要关系来标识潜在安全事故360。分析安全警报330的本领域的技术人员应当理解，攻击通常地包括已知阶段。因此，攻击的阶段可以在不同的时间出现并且在不同的位置或机器处发生。然后，根据一个或多个实施例，安全警报330可以被布置或者呈现为符合攻击的可能阶段并且因此定义满足用于应当调查的实际攻击的准则的事件链。换言之，检查与一个或多个潜在安全事故360相关联的安全警报330可能导致标识攻击的至少一个或多个已知部分或全部。检查与一个或多个潜在安全事故360相关联的数个安全警报330可以通过将由数个安全警报330定义的事件链与用于攻击的准则相比较来标识攻击的至少一个已知部分或全部。如果潜在安全事故360的数个安全警报330的事件链符合用于攻击的准则，那么可以推断潜在安全事故360是实际攻击。

除系统300自身之外，调查安全警报的如上文所描述的系统300的使用构成发明方法。在实践分析安全警报的方法400中，如图4中所图示的，步骤包括用于基于信息(诸如从网络的架构导出的操作智能320和/或网络上所执行的操作)生成企业图形310的过程框410。在过程框420处，企业图形被用来基于架构和网络上所执行的功能，标识企业的网络内的关系。在融合服务340处接收由网络内的安全组件/方案产生的安全警报330。融合服务340将相关安全警报融合在一起，以便基于企业图形310中所标识的关系的强度来标识重要关系，如在过程框430中所示。潜在安全事故可以基于两个或更多个安全警报之间的重要关系。

方法400还包括用于检查与潜在安全事故360相关联的安全警报330的过程框440。例如，安全警报330的检查可能导致安全攻击的已知部分或全部的标识。将理解到，附加操作可以在此处所提到的过程步骤之间或者除那些步骤之外被执行。

方法400还包括图5中所示的步骤中的一个或多个步骤。因此，方法400还可以包括用于执行杀伤链解译的过程框450。例如，安全警报可以符合应当被检查以便标识实际攻击的全部或部分的攻击的可能状态。方法400还可以包括用于指示与潜在安全事故360相关联的安全警报330具有例如高于不与潜在安全事故360相关联的其他安全警报330的优先级的过程框460。方法400还可以包括用于推断潜在安全事故360是真实攻击的过程框470。

例如，参考根据各方面的方法、系统和计算机程序产品的框图和/或操作图示，上文描述了实施例。框中所指出的功能/动作可以脱离如在任何流程图中所示或者参考附图在本文中被描述的次序而发生。例如，连续所示或所描述的两个步骤或者过程可以实际上基本上被并发地执行或者框可以有时以相反的次序被执行，这取决于所包含的功能/动作。

图6和对应的讨论旨在提供可以实现实施例的适合的计算环境的简要的一般描述。通常，程序模块包括执行特定任务或者实现特定抽象数据类型的例程、程序、组件、数据结构和其他类型的结构。还可以使用其他计算机系统配置，包括手持式设备、多处理器系统、基于微处理器或者可编程消费者电子产品、小型计算机、大型计算机等。还可以使用其中任务由通过通信网络链接的远程处理设备执行的分布式计算环境。在分布式计算环境中，程序模块可以被定位在本地存储器存储设备和远程存储器存储设备二者中。

仍然参考图6，将描述用于各种实施例中被利用的计算机520的说明性计算机环境。图6中所示的计算机环境包括计算设备，每个计算设备可以被配置为移动计算设备(例如，电话、平板电脑、上网本、膝上型电脑)、服务器、台式电脑或某种其他类型的计算设备并且包括中央处理单元510(“cpu”)、系统存储器512(其包括随机存取存储器514(“ram”)和只读存储器(“rom”)516)以及将存储器耦合到cpu510的系统总线518。

基本输入/输出系统(包含帮助在计算机内的元件之间传递信息(诸如在启动期间)的基本例程)被存储在rom516中。计算机520还包括用于存储操作系统524、附件管理器526、消息应用528和网络浏览器530的大容量存储设备522。

大容量存储设备522通过被连接到总线518的大容量存储控制器(未示出)被连接到cpu10。大容量存储设备522和其相关联的计算机可读介质为计算机520提供非易失性存储装置。虽然本文所包含的计算机可读介质的描述指代大容量存储设备(诸如硬盘或者cd-rom驱动器)，但是计算机可读介质可以是可以由计算机520访问的任何可用介质。

通过示例而非限制，计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括在用于信息(诸如计算机可读指令、数据结构、程序模块或者其他数据)的存储的任何方法或技术中被实现的易失性和非易失性、可移除和不可移除的介质二者。计算机存储介质包括但不限于ram、rom、可擦可编程只读存储器(“eprom”)、电可擦可编程只读存储器(“eeprom”)、闪速存储器或者其他固态存储器技术、cd-rom、数字通用光盘(“dvd”)或者其他光学存储装置、磁带盒、磁带、磁盘存储装置或者其他磁性存储设备、或者可以被用来存储期望信息并且可以由计算机520访问的任何其他介质。

计算机520通过网络532(诸如因特网)在使用到远程计算机的逻辑连接的联网环境中操作。计算机520可以通过被连接到总线518的网络接口单元534连接到网络532。网络连接可以是无线和/或有线的。网络接口单元534还可以被用来连接到其他类型的网络和远程计算机系统。计算机520还可以包括用于接收并且处理来自若干其他设备(包括键盘、鼠标或者电子笔(未示出))的输入的输入/输出控制器536。类似地，输入/输出控制器536可以向扫描器、照相机、显示屏538、打印机或者其他类型的输入和/或输出设备提供输入/输出。显示器538被配置为显示经由消息应用528接收到的消息的表示。

如上文简要提到的，若干程序模块和数据文件可以被存储在计算机520的大容量存储设备522和ram514中，该计算机520包括适用于控制计算机的操作的操作系统524，诸如来自华盛顿雷德蒙德的微软公司的windowswindows10或windows操作系统。大容量存储设备522和ram514还可以存储一个或多个程序模块。特别地，大容量存储设备522和ram514可以存储一个或多个应用程序，包括一个或多个消息应用528和网络浏览器530。

用户接口542由用户用来与应用和文档进行交互。消息应用528可以是一个或多个不同的消息应用。例如，计算设备可以包括电子邮件应用、即时消息(im)应用、sms、mms应用、实时信息网络(例如，界面)、社交网络应用等。根据实施例，消息应用528是电子邮件应用(诸如microsoft)。(多个)消息应用可以是基于客户端和/或基于网络的。例如，可以使用基于网络的消息服务540，诸如：microsoftwindowslive或者基于某个其他网络的电子邮件和消息服务。

网络共享544被配置为存储通过ip网络518对一个或多个用户可访问的内容(例如，文档、电子表格、图像、视频、网络内容等)。例如，网络共享544可以存储由被定位在一个或多个位置处的用户可访问的内容。

本说明书中所提供的一个或多个示例的描述和图示不旨在限定或者限制如以任何方式要求保护的范围。本申请中所提供的方面、示例和细节被认为是足以传达所有权并且使得他人能够制造并且使用最佳模式。实现不应当被解释为限于本申请中所提供的任何方面、示例或细节。不管组合还是分离地示出和描述，各种特征(结构的特征和方法的特征二者)旨在选择性地被包括或者省略以产生具有特定特征集的示例。已经提供本申请的描述和图示，本领域的技术人员可以设想落入本申请中被实现的一般发明构思的更宽方面的精神内的变型、修改和备选实施例，其没有脱离更宽范围。