并用于计算剩余参与者110-2,. ..,110-N的威胁相关分。在多 种示例中,与第一参与者110-1关联的安全事务的严重性可基于由参与者集群提供的安全 背景来识别和/或确定。参与者集群可包括第一参与者110-1 (例如,第一参与者110-1所 属的参与者集群)。
[0043] 作为另一示例,假设参与者集群具有已识别的安全攻击A,并且由该集群提供的安 全背景识别出安全攻击A导致1,000美元的损失。假设该参与者集群还具有识别的安全攻 击B,并且由该集群提供的安全背景识别出安全攻击B导致1百万美元的损失。基于安全 背景(例如,由安全攻击A导致的1,000美元损失以及由安全攻击B导致的1百万美元损 失),具有计算的50%的安全攻击A发生概率和10%的安全攻击B发生概率的参与者(例 如,特定参与者110-1)的威胁相关分可针对安全攻击B具有比安全攻击A更高的威胁相关 分。即,安全背景可影响威胁相关分。
[0044] 在某些示例中,定向安全警告可基于所识别的与威胁交换社区中的特定参与者 关联的安全事务来计算。例如,基于提供自第一参与者110-1的安全数据,与第一参与者 110-1关联的安全事务(例如,安全攻击、安全事故和可疑事件)可被识别。与参与者关联 的安全事务可包括影响参与者和/或由参与者经历的安全事务。识别安全事务可包括识别 安全事务的特点。如本文所使用的安全事务的特点可包括识别的安全攻击的症状、识别的 与安全事故关联的脆弱性和/或开发和/或安全事件,以及其它信息。例如,安全攻击的症 状可包括与安全攻击关联的多个动作和/或事件的模式。
[0045] 所识别的特点可用于对每个剩余参与者计算安全事务的威胁相关分。例如,第二 参与者110-2的威胁相关分可利用由威胁交换社区的第二参与者110-2和/或多个附加 参与者提供的安全数据计算。例如,威胁相关分可包括分数、概率和/或等级,其基于触发 安全事务的识别的特点(例如症状、脆弱性、开发和事件)之间的相似性和由每个参与者 110-1,. . .,110-N提供的安全数据,针对每个参与者来计算。
[0046] 利用所计算的威胁相关分,定向安全警告116-1,...,116-N可被提供至每个参与 者110-1,. . .,110-N。例如,在某些示例中,定向安全警告116-1,. . .,116-N可响应于所计 算的威胁相关分大于(例如,超出)阈值分数而提供。如本文所使用的定向安全警告可包 括基于特定参与者的行为和/或信息(例如,提供的安全数据和/或特性数据)而生成的 警告(例如,指示攻击可能性的事件)。阈值分数可包括预定数字值。例如,阈值分数可以 是参与者可配置的。
[0047] 在某些示例中,威胁相关分可包括数字分数(例如,0到1)和/或一般级别。一般 级别可包括预定分类,诸如"高"、"中"、和"低"和/或"红"、"黄"、"绿",以及其它分类。分 类可包括由威胁交换社区和/或参与者110-1,...,110-N基于威胁相关分而设置的预定分 类。
[0048] 在本公开的多种示例中,定向安全警告116-1,...,116_N可以是参与者可配置 的。例如,参与者可预先确定所计算的威胁相关分如何用于提供定向安全警告116-1,..., 116-N。配置可包括预定阈值分数、预定分类和/或如何提供定向安全警告的指示。
[0049] 例如,第一参与者110-1可配置阈值分数为90%,由此响应于所计算的威胁相关 分大于90%,定向安全警告116-1可提供至第一参与者110-1。尽管本示例图示了参与者 配置阈值,但根据本公开的示例不限于此。在多种示例中,威胁交换服务器102的操作者可 配置定向安全警告116-1,. . .,116-N的阈值和/或设置。
[0050] 提供定向安全警告至威胁交换社区中的参与者110-1,...,110_N可帮助参与者 110-1,. . .,110-N将人力资源分配至安全威胁。参与者110-1,. . .,110-N可基于提供的定 向安全警告识别最相关的安全事务,并相应地专用人力资源。进一步,因为提供至参与者的 定向安全警告基于由参与者提供的安全数据,所以定向安全警告可通过鼓励参与者提供安 全数据来帮助防止环境100中的自由骑手(例如,不提供安全数据和/或提供有限安全数 据的参与者)。
[0051] 图2图示了根据本公开的用于提供定向安全警告的方法220的示例的框图。方法 220可用于提供安全警告至威胁交换社区中与相关安全事务关联的多个参与者中的每一 个。
[0052] 在222,方法220可包括从威胁交换社区中的多个参与者收集参与者数据。参与者 数据可包括特性数据和安全数据。例如,多个参与者可提供特性数据至威胁交换服务器,作 为注册过程的一部分。在多种示例中可连续地从多个参与者收集安全数据。参与者数据可 经由威胁交换社区中的通信链路从多个参与者收集至威胁交换服务器。
[0053] 在224,方法220可包括利用威胁交换服务器使用收集的参与者数据计算多个参 与者中一参与者的威胁相关分。在多种示例中,计算威胁相关分可包括基于参与者数据确 定安全事务与参与者的相关性(例如,参与者有多大可能要经历安全事务,这种分数可能 对参与者的影响,或在相对于可能影响参与者的其他安全事务的相关性方面安全事务的等 级和/或其组合)。
[0054] 在本公开多种示例中,计算威胁相关分可包括基于参与者数据的子集对安全事务 与该参与者相关的概率进行统计建模。如本文所使用的参与者提供数据的子集可包括由该 参与者提供的参与者数据以及由参与者集群提供的参与者数据。例如,对安全事务与该参 与者相关的概率进行统计建模可包括对该参与者将受针对脆弱性的开发所攻击的概率进 行建模。
[0055] 在226,方法220可包括经由威胁交换社区中的通信链路,基于所计算的威胁相关 分,从威胁交换服务器向该参与者提供定向安全警告。如本文所使用的定向安全警告可包 括指示安全攻击的可能性的事件。在某些示例中,定向安全警告可包括支持证据。支持证 据可包括与安全事务相关联的信息和/或所计算的威胁相关分。支持证据的示例可包括开 发的标识、脆弱性的标识和/或安全事务的标识,以及其它信息。
[0056] 提供定向安全警告可包括发送定向安全警告至该参与者和/或存储定向安全警 告。定向安全警告可存储在已知和/或预定的位置,诸如统一资源定位符(URL),其中参与 者可访问定向安全警告。在这种实例中,提供定向安全警告可包括发送指示定向安全警告 可用的消息(例如,电子邮件和/或其他文本消息)至参与者。在多种示例中,定向安全警 告可响应于所计算的分数大于(例如,超过)阈值分数而发送至参与者。
[0057] 图3图示了根据本公开将威胁交换社区330中的参与者310-1,310-2, 310-3, 310-4,310-5,310-6,. ? ?,310-L 分组成集群 332-1,332-2,. ? ?,332-K 的示例的框图。将参 与者310-1,...,310-L分组成集群332-1,.. ?,332-K可用于计算威胁交换社区330中的参 与者的威胁相关分。
[0058] 如图3的示例所图示的集群332-1,…,332-K可利用威胁交换服务器302形成。 在多种示例中,如图3所图示的威胁交换服务器302可包括如图1所图示的威胁交换服务 器102。如图3的示例所图示的箭头334-1,334-2,...,334-K可包括威胁交换社区中的通 信链路330。
[0059] 如本文所使用的参与者310-1,. ..,310-L的集群332-1,. ..,332-K可包括威胁交 换社区330中多个参与者310-1,...,310-L中的参与者子组。威胁交换社区330中的参与 者310-1,...,310-L可基于不同的参与者特性而经历不同的安全事务。例如,金融业中的 参与者可看到与金融业的其他参与者相似的安全事务。作为另一示例,具有公共IT基础设 施的参与者可经历相似的安全事务。
[0060] 在多种示例中,参与者310-1,...,310_L可基于所提供的特性数据和/或安全数 据被分组为集群332-1,...,332-K。例如,安全数据可利用威胁交换服务器302从威胁交换 社区330中的多个参与者310-1,...,310-L连续地收集。例如,安全数据可包括IP地址、 主机名、计算机可读指令(例如,程序)标识符和补丁级别,以及其它数据。
[0061] 集群332-1,. ..,332-K可利用多种聚类技术形成。例如,集群可利用聚类函数(例 如,算法)形成。使用的特定聚类函数可基于所提供的特性数据和/或安全数据的细节而选 择。例如,如果特性数据和/或安全数据包括数字值,则使用的聚类函数可包括距离函数。 如果特性数据和/或安全数据包括类别,则其他聚类函数可被使用。聚类函数可为分层的 或非分层的。示例聚类函数可包括k均值聚类函数,其将n个观测值划分为k个集群,其中 每个观测值属于具有最近均值的集群。
[0062] 集群332-1,. . .,332-K可基于特性数据、安全数据和/或其组合形成。利用特性 数据、安全数据和/或两者,多个参