用于实时定制的威胁防护的系统和方法
【专利说明】用于实时定制的威胁防护的系统和方法
[0001 ] 本申请是申请号为201280045112.8、申请日为2012年9月14日、发明名称为“用于实时定制的威胁防护的系统和方法”的发明专利申请的分案申请。
技术领域
[0002]本说明书一般涉及网络安全的领域,更具体地涉及用于实时定制的威胁防护的系统和方法。
【背景技术】
[0003]信息系统已经在全球规模上逐渐融入人们的日常生活和工作中,且信息安全的领域已经同样地在现在的社会中变得愈加重要。这样大规模的融合还为恶意操作者展现了许多利用这些系统的机会。如果恶意软件能感染主计算机,则它能执行任意数量的恶意行动,如从主计算机发出垃圾邮件或恶意邮件、从与主计算机相关联的企业或个人盗取敏感信息、向其它主计算机传播和/或帮助分布式拒绝服务攻击。此外,对于一些类型的恶意软件,恶意操作者能向其它恶意操作者出售或者以其它方式给予访问权,由此扩大对主计算机的利用。因此,有效保护并维持稳定的计算机和系统的能力仍然对于组件制造商、系统设计者和网络运营商提出很大的挑战。
【附图说明】
[0004]为了提供对本公开及其特点和优点的更全面的理解,参照结合附图进行的以下描述,其中相似的附图标记表示相似的部分,其中:
图1是示出根据本说明书的用于实时定制的威胁防护的网络环境的示范实施例的简化框图;以及
图2是可与该网络环境相关联的潜在操作的简化交互图。
[0005]图3是可与该网络环境相关联的潜在操作的简化流程图。
【具体实施方式】
[0006]概述
在一个示范实施例中提供一种方法,该方法包括:接收与来自遍及网络环境分布的传感器的报告相关联的事件信息以及使事件信息相互关联以识别威胁。基于威胁的定制的安全策略可以被发送到传感器。在更具体的实施例中,可从威胁情报云接收事件信息。在另外的实施例中,还可基于威胁将声誉数据发送到威胁情报云。
[0007]示范实施例
转向图1,图1是网络环境10的示范实施例的简化框图,在网络环境10中可实现用于实时定制的威胁防护的系统和方法。网络环境10包括威胁情报云15、事件分析子云20、传感器25a-25c以及主机30a-30i。传感器25a-25c例如可包括遍及网络环境10分布的防止入侵系统、网关设备、防火墙、防病毒软件和/或其它安全系统以跨越威胁向量从主机30a-30i收集信息,威胁向量包括文件、Web、消息和网络威胁向量。威胁情报云15—般表示用于从传感器25a-25c接收信息并传递从该信息导出的实时的基于声誉的威胁情报的基础设施。事件分析子云表示用于分析由威胁情报云15接收的信息的基础设施,以及还可提供更新服务35,更新服务35能将威胁信息和策略配置更新传递到传感器25a-25c和/或主机30a-30i。
[0008]图1的每个元件可通过简单的网络接口或通过任何其它合适的连接(有线或无线)来相互耦合,这提供用于网络通信的可行路径。此外,这些元件中的任何一个或更多可基于具体配置需要进行组合或者从架构中移除。网络环境10可包括能够进行用于在网络中传输或接收分组的传输控制协议/互联网协议(TCP/IP)通信的配置。网络环境10还可基于具体需要在适当情况下结合用户数据报协议/IP(UDP/IP)或任何其它合适的协议来操作。
[0009]在详细描述图1的操作和基础设施之前,提供某些上下文信息以提供可在网络环境10内发生的一些操作的概观。诚挚提供这样的信息并且只用于教导的目的,因此不应以任何方式解释为限制本公开的广泛应用。
[0010]通常的网络环境包括以下能力:例如使用互联网来与其它网络电子通信、访问连接到互联网的服务器上托管的Web页面、发送或接收电子邮件(S卩,email)消息或者与连接到互联网的最终用户或服务器交换文件。用户一般期望存储在网络环境中的数据易于得到但免遭未授权的访问。他们还经常期望通信是可靠的且免遭未授权的访问。然而,恶意用户不断开发新的手段来干扰正常操作以及获得对机密信息的访问权。病毒、木马、蠕虫、Bot以及其它恶意软件是用来利用网络或系统中的弱点的工具的常见示例,但设计成通过未授权访问、破坏、公开、修改数据和/或拒绝服务来干扰计算机或网络的正常操作的任何活动都是“威胁”。
[0011]能部署广范围的对策来应对威胁,包括防火墙、防止入侵系统、网络访问控制以及Web过滤。防止入侵系统(IPS)(还称为入侵检测和防止系统(IDPS))能例如监视网络和/或系统的活动是否有恶意活动或潜在恶意活动以及发送警报。然而,IPS警报可能不总是可采取行动的。许多警报只提供警告信息或指导,即使观察到的事件指示恶意活动,这是因为单个事件可能不足以用合适的置信度来识别攻击。
[0012]IPS通常处于在线(in-line)以便它能例如通过丢弃分组、重置连接和/或阻挡来自源的业务来积极地阻挡检测到的入侵。IPS能使用多个检测方法,包括应用和协议异常、外壳代码(she 11-code)检测算法和特征(signature)。例如,基于特征的检测一般包括将特征(S卩,对应于已知威胁的任何模式)与观察到的事件或活动比较以识别威胁。示范特征是将远程连接建立为根用户的尝试。另一个示例是接收其主题栏和所附文件是已知形式的恶意软件所特有的电子邮件。
[0013]基于特征的检测在检测已知威胁时可能非常有效,但在检测未知威胁或者甚至已知威胁的细微变化时可能无效。另外,IPS特征倾向于是通用的而一般不是为局部环境定制的。威胁可能只是局部看得见,而不是全局看得见。从全局部署的传感器收集的知识一般不能被有效利用来改进局部安全策略。还经常要求人工调整策略,这可能导致足以允许感染蔓延的延迟。
[0014]根据本文中描述的实施例,网络环境10能通过提供用于使全局威胁情报和局部威胁情报相互关联以及提供定制的安全策略的系统和方法来克服这些缺点(和其它缺点)。
[0015]再次参照图1用于说明,主机30a_30i可以是网络元件,这些网络元件意在包括网络设备、服务器、路由器、交换机、网关、桥、负载均衡器、防火墙、处理器、模块或可操作以在网络环境中交换信息的任何其它合适的设备、组件、元件或对象。网络元件可包括任何合适的便于其操作的硬件、软件、组件、模块、接口或对象。这可包括适当的允许有效交换数据或信息的算法和通信协议。主机30a-30i还可以表示其它有线或无线网络节点,如台式计算机、膝上计算机或移动通信设备(例如,iPhone、iPad、安卓设备等)。
[0016]威胁情报云15在一个实施例中是声誉系统,其可以实现为分布式文件系统集群。一般,声誉系统监视活动并基于实体过去的行为来对其分配声誉值或者分。声誉值可表示在从善意到恶意的范围上的不同的可信赖等级。例如,可基于与网络地址进行的连接或源自该地址的电子邮件来为该地址计算连接声誉值(例如,最小风险、未证实、高风险等)。连接声誉系统可用来拒绝带有已知或可能与恶意活动相关联的IP地址的电子邮件或网络连接,而文件声誉系统能阻挡具有已知或可能与恶意活动相关联的散列的文件(例如,应用)的活动。威胁情报云15可接收来自遍及网络分布的传感器(例如,传感器25a_25c)的报告,传感器中的一些可以在由分开的实体控制的分开的域中。例如,收集模块可请求传感器向威胁情报云15周期性地发送报告,这些报告可匿名发送以保护敏感信息。报告可包括事件信息,如连接的源和目的地址、活动的类型、下载的文件、使用的协议等,以及可以是可采取行动的(例如,改变严重程度的警报)或劝告的(例如,提供可能不可独立采取行动的关于可疑活动的信息)。
[0017]事件分析子云20表示用于在历史上以及近实时地存储、处理和挖掘事件的云基础设施。子云20可实现用于数据挖掘警