与者310-1,...,310-L可基于所识别的行为(例如,公 共行为)被分组。例如,集群332-1,...,332-K可基于从一时间段内收集的安全数据和/ 或由参与者310-1,. ..,310-L提供的安全数据所识别的公共安全事务模式而形成。公共安 全事务模式可包括公共安全事件和/或参与者之间(例如,第一参与者310-1和第二参与 者310-2之间)的安全事故。公共安全事务模式可例如基于相关IP地址、公共安全攻击、 公共安全事件和/或安全事故来识别。由此,在某些示例中,公共安全事务模式可基于安全 数据和特性数据。
[0063] 例如,攻击者可使用安全攻击中的相关IP地址。相关IP地址可包括攻击者在多 次安全攻击中使用的IP地址。因此,相似IP地址可用于相似攻击。参与者可基于与安全 事务相关联的相关IP地址的标识而形成为集群。
[0064] 可选地和/或附加地,攻击者可能由于对相似参与者有效的攻击工具和/或因为 攻击者的目标而以公共安全事务模式攻击参与者310-1,. ..,310_L。攻击工具可能对特定 基础设施有效,由此具有相似基础设施的参与者310-1,...,310-L可被类似地攻击。参与 者310-1,…,310-L之间的安全事务模式可被识别,例如,基于提供至参与者310-1,..., 310-L的相似的定向安全警告。在某些实例中,攻击者可具有目标和/或视点。例如,相似 产业(例如,银行)的参与者可能呈现出公共安全事务模式。
[0065] 集群332-1,…,332-K可被动态地分组,例如,基于连续收集的数据。动态地将多 个参与者310-1,. . ?,310-L分组为多个集群332-1,. . ?,332-K可包括随着时间重新评估安 全数据和/或特性数据。与静态分组相比较,动态地将参与者310-1,...,310分组成集群 332-1,...,332-K可给参与者提供对攻击者的改变的技术和策略的更好的响应。例如,集 群可识别攻击者已开发有效攻击特定硬件组件的方式。提供该信息至参与者310-1,..., 310-L可帮助参与者310-1,...,310-L更好地保护其网络。
[0066] 在多种示例中,参与者310-1,...,310_L可提供安全数据,并且不提供特性数据 和/或提供有限的特性数据。将参与者310-1,...,310-L分组成多个集群332-1,..., 332-K可基于安全数据,而特性数据的子部分可利用安全数据推断。由此,在多种示例中,集 群332-1,...,332-K可利用提供相关特性数据的子部分的参与者来形成。
[0067] 例如,集群(例如,特定集群332-2)可基于由参与者提供的安全数据形成。集群 332-2可识别集群332-2中的参与者(例如,特定参与者310-3,310-4和310-5)之间的公 共安全事务模式。威胁交换服务器302可能不具有和/或不知道该集群中每个参与者的特 性数据的子部分。威胁交换服务器302可推断参与者未提供的特性数据,并且可使用所推 断的数据在将来的时间重构集群。
[0068]例如,参与者3 (例如,310-3)、参与者4 (例如,310-4)和参与者5 (例如,310-5)可 处于集群332-2 (例如,集群2)中。威胁交换服务器302可具有参与者3和参与者4的特 性数据,用于识别他们正在使用特定应用(例如,软件)。威胁交换服务器302可基于聚类 推断出参与者5正在使用特定应用。所推断的信息例如可被保存(例如,保存在参与者数 据库中)。尽管本示例说明了推断信息为应用的标识,但根据本公开的推断信息不限于此。 例如,推断信息可包括多种特性数据。
[0069] 集群332-1,...,332-K可用于提供定向安全警告至威胁交换社区330中的参与 者。例如,特定参与者的威胁相关分可通过确定该参与者与多个集群332-1,...,332-K中 的一集群之间的相似性来计算。集群在某些实例中可以是针对集群中的一个参与者(或多 个)具有验证的安全事务(例如,安全攻击)的集群。
[0070] 例如,假设集群2(例如,332-2)中的参与者3(例如,310-3)和参与者4(例如, 310-4)具有通过针对特定脆弱性的特定开发进行的验证的安全攻击。集群2中的参与者 5 (例如,310-5)可具有基于针对该集群(例如,集群2)的验证的安全攻击而计算的、比参 与者5不属于该集群的情况更高的威胁相关分。
[0071] 此外,属于不同集群(例如,332-1和332-K)的剩余参与者(例如,310-1,310-2, 310-6,310-L)可具有通过比较每个参与者与该集群(例如,集群2)的相似性而计算的威胁 相关分。因为多个集群(332-1,332-2, . . .,332-K)基于安全数据和/或特性数据形成,所 以每一个集群可被当作简档,其标识集群中参与者的公共IT基础设施、规模、产业、安全事 务和/或其他安全数据和/或特性数据。不同的集群(例如,集群3332-K)的参与者6(例 如,310-6)的威胁相关分可通过比较来自参与者6的参与者数据(例如,安全数据和/或特 性数据)和集群2 (例如,332-2)的简档来计算。响应于确定参与者6与集群2的简档相 似,可计算出比不与集群2的简档相似的参与者1(例如,集群1中的310-1)更高的威胁相 关分。
[0072] 在本公开多种示例中,聚类可被使用和/或被传送至参与者310-1,...,310-1, 用于开发安全策略。集群332-1,…,332-K可用于识别参与者310-1,...,310-L的同质 组。这种信息可用于开发同质组中的参与者310-1,…,310-L可受益的缓和策略。例如, 参与者集合(例如,测试组)可利用集群332-1,...,332-K识别以测试新的缓和策略。集 群332-1,...,332-K可允许归纳从一个测试组到另一个测试组获取的缓和测试的结果,这 降低需要的测试组的数量。进一步,参与者可使用集群信息来比较他们自身与同伴(例如, 相同的产业中、相同规模等的参考者)。例如,如果金融业的参与者发现他们与产业同伴不 在一个集群,其可能希望理解他们被不同地聚类的影响原因以及是否需要校正动作。
[0073] 图4图不了根据本公开的系统438的不例的框图。系统438可利用软件、硬件、固 件和/或逻辑来执行多个功能。
[0074] 系统438可以是被配置以提供定向安全警告的任何硬件和程序指令的组合。硬件 例如可包括处理资源440、存储器资源446和/或计算机可读介质(CRM)(例如,机器可读介 质(MRM)、数据库等)。如本文所使用的处理资源440可包括能够执行存储器资源446所存 储的指令的任何数量的处理器。处理资源440可集成于单个设备中或分布在各设备中。程 序指令(例如,计算机可读指令(CRI))可包括存储于存储器资源446上并且可由处理资源 440执行以实现希望功能(例如,从威胁交换社区中的多个参与者连续地收集安全数据等) 的指令。
[0075] 存储器资源446可与处理资源440相通信。如本文所使用的存储器资源446可包 括能够存储可由处理资源440执行的指令的任何数量的存储器组件。这种存储器资源446 为非暂存CRM。存储器资源446可集成于单个设备中或分布在各设备中。进一步,存储器资 源446可完全或部分地集成在与处理资源440相同的设备中,或可与该设备和处理资源440 分立但可由该设备和处理资源440访问。因此,应当注意系统438可实现于用户和/或客 户端设备上,服务器设备和/或服务器设备的集合上和/或用户设备和服务器设备的组合 上。
[0076] 处理资源440可与存储器资源446相通信,存储器资源446存储可由本文描述的 处理资源440执行的一组CRI。CRI还可存储于由服务器管理的远程存储器中,并表示可被 下载、安装和执行的安装包。系统438可包括存储器资源446,并且处理资源440可联接至 存储器资源446。
[0077] 处理资源440可执行可存储于内部或外部存储器资源446的CRI。处理资源440 可执行CRI以执行多种功能,包括结合图1、图2和图3描述的功能。例如,处理资源440可 执行CRI以提供定向安全警告至威胁交换社区中的参与者。
[0078] CRI可包括多个模块 448、450、452、456、458。多个模块 448、450、452、456、458 可 包括在由处理资源440执行时可执行多个功能的CRI。
[0079] 多个模块448、450、452、456、458可为其他模块的子模块。例如,计算威胁相关分 模块456和提供定向安全警告模块458可为子模块和/或包含于相同的计算设备中。在另 一示例,多个模块448、450、452、456、458可包括位于分立且不同的位置(例如,〇^等)处 的独立模块。
[0080] 注册模块448可包括在由处理资源440执行时可提供多个注册功能的CRI。注册 模块448可注册威胁交换社区中的多个参与者,包括从多个参与者收集特性数据。例如,注 册模块448可使用威胁交换服务器经由威胁交换社区中的通信链路(例如,从参与者到威 胁交换服务器的通信链路)收集并