包括安全规则评估的保护系统的制作方法
【技术领域】
[0001] 本公开设及保护系统,并且更具体地设及能够评估提议的安全规则的设备和/或 网络威胁监测系统。
【背景技术】
[0002] 在现代社会中,计算设备正在从仅是便利品变为必需品。在全球规模上,通信正在 变得电子占主导,并且运些通信经常包括敏感或机密信息的传输。例如,用户经由电子通信 可W传输个人标识信息,可W进行金融交易,可W接收医疗数据,等等。在更大的规模上,小 型的商业、公司、教育机构、政府机构可W全都利用电子通信来进行业务处理、执行机密文 档等。驻留在电子设备上或通过电子设备来传送的运种数据的全部对于希望利用它来实现 其他们自身的利益的未授权方可能具有吸引力。因此,设备级别和/或网络级别保护系统 (包括但不限于,病毒和恶意软件保护软件、未授权访问防护(例如,网络安全监视器和入侵 检测/防护系统等)已经变成必要的应用。
[0003] 现有的设备保护系统典型地是集中式管理的。例如,保护客户机通常安装在将利 用用于保护客户机的软件更新而受保护的设备上,其中从网络管理员或安全提供商(例如, 提供安全装备和/或软件的全球公司)向外推送所述用于保护客户机的软件更新。软件更新 可W例如包括用于标识对设备和/或包括设备的网络的威胁(例如,病毒、蠕虫、入侵、由人 类或恶意软件在端点设备内、在网络中或者在运两者中进行的任何可疑的或恶意的活动 等)的经更新的规则、定义,等等。尽管运种保护模型在过去是有效的,但是未授权方捕捉 和/或拦截敏感和/或机密数据的增长的兴趣已经使对设备和/或网络保护的"全体适用"方 式不足够。运种改变是网络尺寸、参数和配置的巨大的可变性的结果。当保护一致的端点 (例如,全部基于Windows、全部基于安卓,等等)时,传统的集中式安全方式工作相当好,但 是创建集中式规则来保护众多的不同的设备和/或网络具有大得多的挑战性。不同的操作 环境可W包括对设备和/或网络的多种唯一的威胁,运些威胁中的一些威胁对于环境外部 的集中式管理员或安全提供商可能不是显而易见的。考虑到运些挑战,生成满足整个网络 的所有需要的有效安全策略变得非常困难。此外,尽管在网络环境中操作的设备可W具有 关于可能的安全配置的输入,但是不存在集中式管理员有效地处理此信息的方式。
【附图说明】
[0004] 随着W下【具体实施方式】进行并且在参考附图后,要求保护的主题的各实施例的特 征和优点将变得明显,其中相似的参考号指示相似的部件,并且在附图中:
[0005] 图1示出根据本公开的至少一个实施例的包括安全规则评估的示例保护系统;
[0006] 图2示出根据本公开的至少一个实施例的用于设备的示例配置;W及
[0007] 图3示出根据本公开的至少一个实施例的用于包括安全规则评估的保护系统的示 例操作。
[000引尽管W下【具体实施方式】将通过参考说明性实施例进行,但是其许多替代、修改和 变型对本领域技术人员将是明显的。
【具体实施方式】
[0009] 本公开设及一种包括安全规则评估的保护系统。在一个实施例中,设备可W包括 保护模块,所述保护模块用于标识对所述设备或包括所述设备的网络中的至少一者的威 胁。所述保护模块可W包括例如规则评估器(RE)模块,所述RE模块用于:评估提议的安全规 贝1J,所述提议的安全规则用于基于至少一个基础事实场景来标识所述威胁;W及至少基于 所述评估来判定是否将所述提议的安全规则提升(promote)为新的安全规则(例如,W便将 所述提议的安全规则合并到所述设备中的活跃的安全规则集中)。可W由所述保护模块生 成所述提议的安全规则,或者可W从所述网络中的其他设备或其他网络接收所述提议的安 全规则。可W与所述网络中的其他设备中的至少一个或其他网络共享新的安全规则。在传 输之前,必要的话,可W规范化所述新的安全规则W促进与所述其他设备和/或网络的兼容 性。在一个实施例中,所述RE模块可W进一步触发对所述提议的安全规则的独立评估,当判 定是否将所述提议的安全规则添加至所述设备中的所述活跃规则集时,也可W考虑所述独 立评估。独立评估可W包括例如由任何网络、互联网或分布式服务执行的手动或自动的代 码回顾、质量检查,等等。
[0010] 在一个实施例中,设备可W至少包括例如保护模块。所述保护模块可W用于标识 对所述设备或包括所述设备的网络中的至少一者的威胁。所述保护模块可W至少包括RE模 块,所述RE模块用于:评估至少一个提议的安全规则,所述至少一个提议的安全规则用于由 所述保护模炔基于至少一个基础事实场景来标识所述威胁;W及至少部分地基于所述评估 来判定是否允许所述至少一个提议的安全规则变为至少一个新的安全规则。如果确定了允 许所述至少一个提议的安全规则变为至少一个新的安全规则,则所述RE模块可W进一步使 所述至少一个新的安全规则被添加到由所述保护模块使用的活跃的安全规则集中。
[0011] 所述保护模块可W进一步基于机器学习算法来生成所述至少一个提议的安全规 贝1J,所述机器学习算法用于确定对所述设备或包括所述设备的所述网络中的至少一者的威 胁。所述至少一个基础事实场景可W包括例如,至少一个已知的良好操作场景或已知的不 良操作场景。所述RE模块模块用于评估所述至少一个提议的安全规则随后可W包括:所述 RE模块用于判定由所述至少一个提议的安全规则生成的威胁标识是否对应于所述至少一 个已知的良好操作场景或已知的不良操作场景。在相同或不同的实施例中,所述RE模块可 W进一步用于判定是否致使执行对所述至少一个提议的安全规则的独立评估。在运个实例 中,所述RE模块可W进一步用于:致使执行对所述至少一个提议的安全规则的所述独立评 估;W及基于所述独立评估来判定是否允许所述至少一个提议的安全规则变为所述至少一 个新的安全规则。
[0012] 在一个实施例中,所述设备可W进一步包括通信模块,所述通信模块用于:从所述 网络中的另一设备中的保护模块或从至少一个其他网络中的至少一者接收所述至少一个 提议的安全规则。在运个实例中,所述RE模块可W进一步用于:使所述通信模块将所述至少 一个新的安全规则传输到所述网络中的所述另一设备或所述至少一个其他网络中的至少 一者。所述RE模块可W进一步用于:判定在传输之前所述至少一个新的安全规则是否要求 规范化;W及如果确定了所述至少一个新的安全规则要求规范化,则更改所述至少一个新 的安全规则W促进与所述网络中的所述另一设备或所述至少一个其他网络中的至少一者 的兼容性。可W基于由所述RE模块确定了所述至少一个新的安全规则适用于所述另一设备 或所述另一网络而将所述至少一个新的安全规则传输到所述网络中的所述另一设备或所 述另一网络。与本公开一致的一种方法可W包括例如W下步骤:评估设备中的至少一个提 议的安全规则,所述至少一个提议的安全规则在所述设备中用于基于至少一个基础事实场 景来标识对所述设备或包括所述设备的网络中的至少一者的威胁;至少基于所述评估来判 定是否允许所述至少一个提议的安全规则变为至少一个新的安全规则;W及如果确定了允 许所述至少一个提议的安全规则变为至少一个新的安全规则,则使所述至少一个新的安全 规则被添加到所述设备中的活跃的安全规则集中。
[0013] 至少一种设备保护方式是采用标识并报告可疑动作的大型安全信息和事件管理 (SIEM)系统。SIEM系统可W从众多的网络服务器和设备收集并处理表示数千个端点的活动 (例如,"大数据")的庞大的数据量。SIEM能W完全自动的方式将一些活动标识为可疑的(例 如,威胁、风险或安全事件)。由SKM执行的标识的质量直接反映在SKM系统正在生成的警 告(例如,尤其是也被称为误报(FP)的不正确警告)的数量中。如果警告的数量过多,则处理 所有运些警告所需的资源量增加,并且相反地,威胁标识的准确性可能由于FP和漏报(FN) 的存在而下降。与本公开一致的实施例可W能够通过将规则生成分布至对等设备的网络来 实现比SIEM系统显著更好的性能,所述对等设备的网络可W进一步评估规则质量并且将高 质量规则传播至其他设备或其他网络。
[0014] 图1示出根据本公开的至少一个实施例的包括安全规则评估的示例保护系统。网 络100可W是例如包括各种装备(诸如,设备102A、设备102C...设备10化(统称为"设备 102A...n"))的局域网(LAN)或广域网(WAN)。网络100可W包括可能要求保护(例如,抵御威 胁,诸如,未授权的入侵、访问违反、数据泄露等)的任何数量的电子装备。设备102A. . .n的 示例可W包括但不限于移动通信设备(诸如,基于安廿彩0S、iOS够、Windows饭0S、Mac膨 0S、Tizen 0S、火狐(Firefox)OS、黑奪@0S、化Im成0S、塞班液OS等的蜂窝手机或智能电 话)、移动计算设备(诸如,平板计算机,像jPad嚴、Su计ace愈、GalaxyTab@、Kindle閒'6? 等)、包括由英特尔公司制造的低功率忍片组的超极本⑩、上网本计算机、笔记本计算机、膝 上型计算机、掌上计算机等)、典型固定式计算设备(诸如,台式计算机、服务器、机顶盒、智 能电视)、小形状因数计算解决方案(例如,用于空间受限的应用、电视机顶盒等)(像来自英 特尔公司的下一代计算单元(NUC)平台)),等等。
[0015] 在一个实施例中,设备102A可W包括保护模块104A,设备102B可W包括保护模块 104B,设备102C可W包括保护模块104C……设备10化可W包括保护