存储特性数据。特性数据例如可存储在位于威胁交换服 务器上和/或可由威胁交换服务器访问的参与者数据库中。
[0081] 收集安全数据模块450可包括在由处理资源440执行时可提供多个安全数据收集 功能的CRI。收集安全数据模块450可从多个参与者连续地收集安全数据。例如,收集安全 数据模块450可使用威胁交换服务器经由威胁交换社区中的通信链路(例如,从参与者到 威胁交换服务器的通信链路)收集并存储安全数据。收集的安全数据例如可存储在位于威 胁交换服务器上和/或可由威胁交换服务器访问的事故数据库中。
[0082] 聚类参与者模块452可包括在由处理资源440执行时可执行多个聚类功能的CRI。 聚类参与者模块452可基于从特性数据和安全数据识别的行为动态地将多个参与者分组 成多个集群。例如,聚类参与者模块452可包括用于基于利用连续收集的安全数据识别的 公共安全事务模式对参与者进行聚类的指令。在某些示例,聚类参与者模块452可包括用 于基于利用连续收集的安全数据所推断的特性数据动态地将参与者分组成集群的指令。
[0083] 计算威胁相关分模块456可包括在由处理资源440执行时可执行多个威胁相关分 功能的CRI。计算威胁相关分模块456可利用从参与者和多个集群中的集群收集的安全数 据来计算多个参与者中的参与者的威胁相关分。例如,计算威胁相关分模块456可使用威 胁交换社区中的威胁交换服务器计算威胁相关分。
[0084] 提供定向安全警告模块458可包括在由处理资源440执行时可执行多个定向安全 警告功能的CRI。提供定向安全警告模块458可经由威胁交换社区中的通信链路从威胁交 换服务器向参与者提供基于所计算的分数的定向安全警告。定向安全警告可例如响应于所 计算的威胁相关分高于阈值分数而提供。
[0085] 如本文所使用的存储器资源446可包括易失性和/或非易失性存储器。易失性存 储器可包括依赖于电力存储信息的存储器,诸如各种类型的动态随机存取存储器(DRAM), 以及其他。非易失性存储器可包括不依赖电力存储信息的存储器。
[0086] 存储器资源446可集成计算设备中,或以有线和/或无线方式可通信地联接至计 算设备。例如,存储器资源446可为内部存储器、便携式存储器、便携式磁盘或关联于另一 计算资源的存储器(例如,使CRI能够在网络诸如互联网中传输和/或执行)。
[0087] 存储器资源446可经由通信路径442 (例如,通信链路)与处理资源440相通信。 通信路径442可位于与处理资源440关联的机器(例如,计算设备)的本地或远程。本地 通信路径442的示例可包括机器(例如,计算设备)内部的电子总线,其中存储器资源446 是经由电子总线与处理资源440相通信的易失性、非易失性、固定和/或可移除存储介质之 〇
[0088] 通信路径442可以诸如存储器资源446和处理资源(例如440)之间的网络连接 而使存储器资源446位于处理资源(例如440)的远程。即,通信路径442可为网络连接。 这种网络连接的示例可包括局域网(LAN)、广域网(WAN)、个人局域网(PAN)和互联网,以及 其他。在该示例中,存储器资源446可与第一计算设备关联,而处理资源440可与第二计算 设备例如.!avaK服务器关联。例如,处理资源440可与存储器资源446相通信,其中存储器 资源446包括一组指令,并且其中处理资源440被设计为执行该组指令。
[0089] 联接至存储器资源446的处理资源440可执行CRI以注册威胁交换社区中的多个 参与者,包括从多个参与者收集特性数据。联接至存储器资源446的处理资源440可执行 CRI以从多个参与者连续地收集安全数据。联接至存储器资源446的处理资源440还可执 行CRI以基于从特性数据和安全数据识别的行为动态地将多个参与者分组成多个集群。联 接至存储器资源446的处理资源440还可执行CRI以利用威胁交换服务器使用从参与者和 多个集群中的集群收集的安全数据来计算多个参与者中的参与者的威胁相关分。进一步, 联接至存储器资源446的处理资源440还可执行CRI以经由威胁交换社区中的通信链路基 于所计算的威胁相关分从安全交换服务器向参与者提供定向安全警告。
[0090] 如本文所使用的"逻辑"为用于执行本文描述的动作和/或功能等的可选的或附 加的处理资源,包括硬件(例如各种形式的晶体管逻辑、专用集成电路(ASIC)等),与存储 于存储器中并且可由处理器执行的计算机可执行指令(例如软件、固件等)相反。
[0091] 说明书示例提供了对本公开的系统和方法的应用和使用的描述。由于多个示例可 被形成而不偏离本公开的系统和方法的精神和范围,因此该图示书仅仅提出了多种可能的 示例配置和实现方式中的一些。
【主权项】
1. 一种用于提供定向安全警告的方法,所述方法包括: 从威胁交换社区中的多个参与者收集参与者数据; 利用威胁交换服务器使用所收集的参与者数据计算所述多个参与者中一参与者的威 胁相关分;以及 经由所述威胁交换社区中的通信链路,基于所计算的威胁相关分,从所述威胁交换服 务器向该参与者提供定向安全警告。2. 根据权利要求1的方法,其中计算威胁相关分包括基于所收集的参与者数据的子集 对安全事务与该参与者相关的概率进行统计建模。3. 根据权利要求1的方法,其中计算威胁相关分包括对该参与者被针对脆弱性的开发 所攻击的概率进行统计建模。4. 根据权利要求1的方法,进一步包括基于参与者提供数据将所述多个参与者分组成 多个集群。5. 根据权利要求4的方法,其中计算威胁相关分包括比较该参与者与所述多个集群中 的一集群。6. -种非暂存计算机可读介质,存储由处理资源可执行的一组指令,其中该组指令能 由所述处理资源执行以: 从威胁交换社区中的多个参与者收集特性数据和安全数据; 基于所收集的特性数据和安全数据将所述多个参与者分组成多个集群; 利用威胁交换服务器使用来自所述多个参与者中的一参与者和所述多个集群中的一 集群的安全数据,计算该参与者的威胁相关分;以及 经由所述威胁交换社区中的通信链路,基于所计算的威胁相关分,从所述威胁交换服 务器向该参与者提供定向安全警告。7. 根据权利要求6的介质,其中由所述处理资源可执行的指令包括可执行以进行以下 操作的指令:基于从所收集的安全数据识别的公共安全事务模式将所述多个参与者分组成 多个集群。8. 根据权利要求6的介质,其中由所述处理资源可执行以提供定向安全警告的指令包 括用于进行以下操作的指令:响应于所述威胁相关分超出阈值分数,向该参与者发送所述 定向安全警告。9. 根据权利要求6的介质,其中由所述处理资源可执行以计算该参与者的威胁相关分 的指令包括:用于考虑安全背景以识别威胁级别的指令。10. 根据权利要求6的介质,其中由所述处理资源可执行以提供定向安全警告的指令 包括:用于在所述定向安全警告中提供支持证据的指令。11. 根据权利要求6的介质,其中由所述处理资源可执行以计算该参与者的威胁相关 分的指令包括:用于确定该参与者与该集群的相似性的指令。12. -种用于发送定向安全警告的系统,包括: 处理资源;以及 存储器资源,可通信地联接至所述处理资源,并且包含由所述处理资源可执行的指令 以: 在威胁交换社区中注册多个参与者,包括从所述多个参与者收集特性数据; 从所述多个参与者连续收集安全数据; 基于从所述特性数据和安全数据识别的行为,动态地将所述多个参与者分组成多个集 群; 利用威胁交换服务器使用来自所述多个参与者中的一参与者和所述多个集群中的一 集群的安全数据,计算该参与者的威胁相关分;以及 经由所述威胁交换社区中的通信链路,基于所计算的威胁相关分,从所述威胁交换服 务器向该参与者提供定向安全警告。13. 根据权利要求12的系统,其中可执行以计算该参与者的威胁相关分的指令包括用 于进行以下操作的指令:响应于针对该集群的验证的安全攻击且该参与者位于该集群中, 计算该参与者的更高威胁相关分。14. 根据权利要求12的系统,其中可执行以提供定向安全警告的指令包括:用于响应 于所述威胁相关分高于阈值分数,提供所述定向安全警告的指令。15. 根据权利要求12的系统,其中所述指令可执行以基于利用连续收集的安全数据而 推断的信息来动态地分组所述参与者。
【专利摘要】提供定向安全警告可包括从威胁交换社区中的多个参与者收集参与者数据,利用威胁交换服务器使用所收集的参与者数据计算威胁交换社区中的多个参与者中的一参与者的威胁相关分,并且经由威胁交换社区中的通信链路,基于计算的威胁相关分,从威胁交换服务器向该参与者提供定向安全警告。
【IPC分类】G06F21/55, G06F21/57
【公开号】CN105009137
【申请号】CN201380072035
【发明人】威廉姆·G·霍恩, 托马斯·桑德, K·维斯瓦纳杉, 西瓦·拉伊·拉贾戈帕兰, 阿努拉克·辛格拉
【申请人】惠普发展公司,有限责任合伙企业
【公开日】2015年10月28日
【申请日】2013年1月31日
【公告号】EP2951753A1, WO2014120181A1