安全信息和事件管理的制作方法
相关申请的交叉引用
本申请要求2014年12月2日提交的美国专利申请14/557,545号的优先权,该申请的全部内容包含于此。
本创造性的配置涉及安全信息和事件管理(securityinformationandeventmanagement,“siem”)。更具体地,本创造性的配置涉及使用一种新型普遍拦截管理器(universalinterceptionmanager,“uim”)在计算系统中实现对事件的普遍拦截的系统和方法。
背景技术:
各种siem系统被用于促进对计算设备的保护以防恶意软件威胁。这些siem系统包括用于检测网络节点中事件发生的多个siem传感器。数据记录器被提供用于记录所检测到的与各个网络节点中发生的事件中的每个事件相关联的信息。集中式数据处理器周期性地访问该数据记录并从中检索信息。检索到的来自多个源的信息被汇集,使得可以监视整个系统的操作。这些源包括服务、数据库和应用程序。然后可以对所述信息进行后续处理以:识别事件的共同属性;根据事件的共同属性来关联所述信息;根据相关信息发出报警;和/或生成具有事件数据的图表,使得可以检测系统内的活动模式。
技术实现要素:
本发明涉及在计算系统中实现对事件的普遍拦截的系统和方法。这些方法包括拦截由操作系统(operatingsystem,“os”)对象管理器执行的多个功能,这些功能指定在其中发生的物理事件。每个物理事件包括在运行时间内的任何时刻在os中发生的实时事件。获取物理事件信息,所述物理事件信息表明哪些物理事件被所拦截的由os对象管理器执行的功能指定。
然后分析所述物理事件信息以识别与每个物理事件相关联的多个虚拟事件。特别地,在某些情况下,所述物理事件信息的不同部分在任何给定时间被至少两个事件处理程序同时、同步或异步地分析。每个虚拟事件包括当os子系统执行多个操作中的促进相应的物理事件的发生一个操作时发生的事件。
然后过滤虚拟事件信息以生成仅指定所述虚拟事件中的选择的虚拟事件的过滤信息。所述虚拟事件信息指定(1)被识别为与物理事件相关联的虚拟事件,和/或(2)表征在os的运行时间内由用户模式程序或内核模式程序请求的至少一个操作的特定背景的至少一个属性。在某些情况下,基于事先指定的物理事件类型或虚拟事件类型的安全关联性,对所述虚拟事件信息进行过滤。
然后将过滤信息序列化,使得所述信息以由所述物理事件中对应的物理事件发生的时间限定的顺序识别虚拟事件。序列化的过滤信息被置于队列中,用于后续处理以检测对计算设备的恶意软件威胁。此后,所述过滤信息被分派到数据记录器软件程序、恶意软件检测软件程序或入侵检测软件程序。
在一些情况下,计算系统可以是基于安全信息和事件管理(“siem”)的网络的一部分。这样,所述方法可以进一步包括:将所述过滤信息记录在至少一个记录文件中;并且提供远程集中式数据处理器对所述记录文件的访问。然后由远程集中式数据处理器执行操作以汇集来自多个网络节点的过滤信息。可以分析所汇集的过滤信息以检测所述恶意软件威胁。
附图说明
将参考以下附图描述实施例,其中在所有附图中相同的附图标记表示相同的项目,并且其中:
图1是对于理解本发明有用的系统的示例性架构的示意图。
图2是图1所示的客户端计算机的示例性架构的示意图。
图3是用于理解图1所示的并由图1和图2的客户端计算机实现的普遍拦截管理器的操作的示意图。
图4是用于检测计算系统内的事件的示例性方法的流程图。
具体实施方式
将容易理解,在此一般地描述并在附图中示出的实施例的各部分可以以各种不同配置进行布置和设计。因此,以下对附图所示的各种实施例的更详细的描述并不旨在限制本公开的范围,而仅是各种实施例的代表。尽管在附图中示出了实施例的各个方面,但是除非特别指出,附图不一定按比例绘制。
在不脱离本发明的精神或本质特征的情况下,本发明可以以其他具体形式实施。所描述的实施例在所有方面仅被认为是说明性的而不是限制性的。因此,本发明的范围由所附权利要求而不是由本详细描述来限定。在权利要求的等同物的含义和范围内的所有变化都将包括在其范围内。
在整个说明书中对特征、优点或类似语言的引用并不意味着可以通过本发明实现的所有特征和优点都应当在或在本发明的任何单个实施例中。相反,涉及特征和优点的语言应被理解为意味着结合实施例描述的特定特征、优点或特点包括在本发明的至少一个实施例中。因此,整个说明书中的特征和优点以及相似的语言的讨论可以但不一定是指相同的实施例。
此外,本发明的所描述的特征、优点和特点可以以任何合适的方式组合在一个或多个实施例中。根据本文的描述,相关领域的技术人员将认识到,可以在没有特定实施例的一个或多个具体特征或优点的情况下实践本发明。在其他情况下,附加特征和优点可能在某些实施例中被确认,而可能不存在于本发明的所有实施例中。
在本说明书中对“一个实施例”,“实施例”或类似语言的引用意味着结合所指实施例描述的特定特征、结构或特点包括在本发明的至少一个实施例中。因此,在整个说明书中短语“在一个实施例中”、“在实施例中”和类似的语言可以但不一定都指代相同的实施例。
如本文中所使用的,除非上下文另有明确规定,单数形式“一”、“一个”和“该”包括多个。除非另有定义,本文使用的所有技术和科学术语具有与本领域普通技术人员通常理解的相同的含义。如本文中所使用的,术语“包括”是指“包括但不限于”。
本发明一般涉及使用一种新型普遍拦截管理器(“uim”)在计算系统中普遍拦截事件的系统和方法。uim是一种系统级传感器,其能够以非常高的粒度拦截和处理几乎无限数量的异步事件,并且以最小的性能退化影响与操作系统(“os”)对象管理器同时运行。随着讨论的进行,uim的操作将会变得明显。特别地,uim可以在硬件、软件和/或两者中实现。此外,os对象管理器(例如,windows对象管理器)在本领域中是众所周知的,因此这里将不再赘述。
现在参考图1,图1提供了对于理解本发明有用的系统100的示例性架构的示意图。系统100一般地配置为识别并响应对它的安全威胁。特别地,系统100的响应时间比传统的基于siem的系统(例如本文背景技术中所公开的)更快。在这方面,系统100实现了本文讨论的用于每个网络节点内的事件检测的新型uim技术。
如图1所示,系统100包括客户端计算机102、服务器计算机106和集中式数据处理器(centralizeddataprocessor,“cdp”)108。计算机102、106、108中的每一个可以作为单个独立设备操作或可以连接(例如,使用网络104)到其他计算设备以分布式方式执行各种任务。计算机102、106、108中的每一个可以包括各种类型的计算系统和设备,包括个人计算机(“pc”)、平板电脑、膝上型计算机、台式计算机或能够执行一组指令(顺序或其他)的任何其他设备,该组指令指定该设备要采取的动作。应当理解,本公开的设备还包括提供语音、视频或数据通信的任何电子设备。此外,虽然图1中示出了单个客户端计算机102,但是短语“客户端计算机”和“计算机系统”应被理解为包括单独或共同执行一组(或多组)指令以执行本文中的任何一种或多种方法的计算设备的任何集合。
计算机102、106、108通过与网络104的相应连接彼此通信地耦合。网络104包括因特网、局域网(lan)、广域网(wan)或用于连接计算机的任何其他合适的网络。这样,可以在计算机102、106、108之间传送数据。
在一些情况下,系统100是基于siem的系统。这样,计算机102、106、108实现siem技术。更具体地,计算机102、106实现本发明的新型uim技术和数据记录技术。该uim技术通过uim112或116软件程序来实现。该数据记录技术通过数据记录器118或120软件程序来实现。特别地,该uim技术可以由运行操作系统(“os”)的任何网络节点使用。因此,系统100可以包括其上安装有uim软件的任何数量的计算机。因此,本发明不限于图1所示的特定系统架构。
每个计算机102、106包括用于记录与在其中发生的事件有关的信息(在本文中称为“事件相关数据”)的数据记录器118、120。事件指定由os110或114的对象管理器(例如,windowsos)正在执行的操作。这样的信息由在计算机102、106上运行的uim112或116获取。然后使这些记录可被cdp108访问。
cdp是本领域公知的,因此本文将不赘述。然而,应当理解,cdp108执行数据汇集操作、数据关联操作、报警操作和/或仪表板操作。数据汇集操作一般包括汇集来自多个源,如来自客户端计算机102和服务器计算机106的事件相关数据。关联操作包括识别多个事件的共同属性并根据它们的共同属性将事件链接成组。报警操作包括对关联事件执行自动分析,并产生报警,该报警指定哪些事件需要先于其他事件被调查。仪表板操作包括生成并呈现显示事件相关数据中的模式的图表。
现在参考图2,图2提供了图1所示的客户端计算机102的示例性架构的示意图。服务器计算机106与客户端计算机102相同或类似。因此,以下对服务器计算机102的讨论足以理解服务器计算机106。
如图1所示,客户端计算机102包括系统接口214、用户接口202、中央处理单元(“cpu”)、系统总线208、通过系统总线208连接到客户端计算机102的其他部分并且可由其访问的存储器210、以及连接到系统总线208的硬件实体212。硬件实体212中的至少一些执行包括对存储器210的访问和使用的动作,其可以是随机访问存储器(“ram”)、磁盘驱动器和/或压缩盘只读存储器(“cd-rom”)。
用户接口202包括输入设备、输出设备和配置为允许用户与安装在客户端计算机102上的软件应用程序交互并控制该软件应用程序的软件例程。这样的输入和输出设备包括但不限于显示器屏幕(未示出)、扬声器(未示出)、键盘(未示出)、方向垫(未示出)、方向旋钮(未示出)和麦克风(未示出)。这样,用户接口202可以促进用于启动安装在客户端计算机102上的软件应用程序(例如,web浏览器)的用户-软件交互。
系统接口214允许客户端计算机102直接或间接地与其他远程位置的计算机(例如,图1的服务器106和/或cdp108)通信。如果客户端计算机102正在间接地与远程计算机通信,则客户端计算机102通过公共通信网络(例如,图1的网络104)发送和接收信息。
硬件实体212可以包括微处理器、专用集成电路(“asic”)和其他硬件。硬件实体可以包括被编程用于提供siem相关功能,更具体地说是uim功能的微处理器。在这方面,应当理解,该微处理器可以访问和运行安装在客户端计算机102上的uim112软件程序。或者,该微处理器可以在其上安装有uim软件程序。下面将关于图3描述uim112。
如图2所示,硬件实体212可以包括磁盘驱动器单元224,磁盘驱动器单元224包括计算机可读存储介质226,其上存储有一组或多组指令220(例如,软件代码),用于实现本文描述的方法、过程或功能中的一个或多个。在由客户端计算机102执行期间,指令220还可以完全地或至少部分地驻留在存储器210内和/或cpu206内。存储器210和cpu206也可以构成机器可读介质。
虽然在示例性实施例中将计算机可读存储介质226示为单个存储介质,但术语“计算机可读存储介质”应当被视为包括单个介质或多个介质(例如,集中式或分布式数据库和/或相关联的高速缓存和服务器),其存储所述一组或多组指令。术语“计算机可读存储介质”还应被视为包括能够存储,编码或携带一组指令以供机器执并且使机器执行本公开的任一种或多种方法的任何介质。
因此,术语“计算机可读存储介质”应被视为包括但不限于固态存储器,如:存储卡或包含一个或多个只读(非易失性)存储器的其他封装、ram或其他可重写(易失性)存储器;磁光或光介质,如盘或磁带;载波信号,如在传输介质中体现计算机指令的信号;和/或电子邮件的或被认为是与有形存储介质相当的分配介质的其他自包含信息归档或一组归档的数字文件附件。因此,本公开被认为包括本文列出的任何一种或多种计算机可读介质或分发介质,并且包括其中存储本文中的软件实现的公认的等同物和后继介质。
现在参考图3,图3提供了对于理解图1和图2所示的uim112的操作有用的示意图。图1的uim116与uim112相同或类似。因此,以下对uim112的讨论就足以理解uim116。
通常,uim112被配置为检测由os对象管理器302正在执行的操作,并将关于检测到的操作的信息提供给uim客户端314(例如,图1的数据记录器118或120、入侵防御系统和/或反木马(anti-rootkit)防御系统)。os对象管理器在本领域中是公知的,因此在此不再赘述。但应当理解,os对象管理器302是os110的集中式资源代理,其保持对分配给进程的资源的跟踪。
在某些情况下,os对象管理器302包括windows对象管理器。windows对象管理器是作为管理windows资源的windowsexecutive(即低级内核模式软件程序)的一部分实现的子系统。表现为逻辑对象的每个资源驻留在用于分类的命名空间中。资源可以包括但不限于物理设备、文件、文件夹、注册表项和正在运行的进程。表示资源的所有对象都有一个对象类型属性和有关该资源的其他元数据。windows对象管理器是一个共享资源,并且处理资源的所有子系统都必须通过os对象管理器。这些子系统包括缓存管理器、配置管理器、输入/输出(“i/o”)管理器、本地过程召用、存储器管理器以及进程结构和安全参考监视器。所有这些列出的子系统和os对象管理器都包括windowsexecutive的服务。
os对象管理器302被实现为底层os的内核模式组件。本文中使用的短语“内核模式”是指进程运行内核代码(例如,设备驱动程序代码、平台服务代码和允许完全访问客户端计算机102的其他内核代码)的状态。os对象管理器302提供实现不同类型的过滤器的不同服务。特别地,os的核心是基于面向对象的模型。因此,os对象管理器302是用于对被表示为对象的资源进行连贯和统一管理的os中的全系统架构融合点。例如,在windowsos应用程序中,os对象管理器302通过以下方式来管理os中的对象:提供用于管理和使用系统资源的共同的统一机制;提供用于管理系统对象的创建和销毁的共同的统一机制;提供用于建立和使用系统对象的共同的统一的可扩展的基于方法的模型;支持对系统对象的基于句柄(handle-based)的访问;根据引用计数执行存储器管理;保留用于跟踪对象信息的对象命名空间数据库;保持对分配给每个进程的资源的跟踪;提供共同的统一的集中的安全模式;以及跟踪特定对象的访问权限以提供安全性。
os的各种标准工具创建它们自己的唯一对象类型以表示其内部数据并提供与每个单独对象类型相关联的多组服务。唯一对象类型描述系统范围内这类对象的所有实例的共同性质。例如,windows对象管理器的i/o工具创建文件对象类型,其包括打开的文件的所有副本或打开的i/o设备的所有副本。换句话说,os内的对象是需要os的多个应用程序、组件、模块和系统服务进行共享访问的特定的内核模式数据结构。在不包含该os管理器工具的情况下,在os内几乎不会发生有意义或有用的事情。
对于os110中的每种类型的对象,存在与其相关联的os服务和数据结构。这样的os服务和数据结构可以通过指定的os应用程序编程接口(“api”)功能以编程方式访问,这些功能是每个独立的os对象管理器工具所特有的。例如,为了创建文件,os110导出作为特定os工具(例如,windows用户模式win32工具)的一部分的系统功能(例如,createfile功能)。该功能调用适当的os服务(例如,windows内核模式executive工具),创建和表示一个打开的文件。在windows应用程序中,executive工具(作为处理整个createfile请求的完整部分)内部调用适当的windows对象管理器方法,该方法本身将创建特定文件类型的系统复合对象。
os对象管理器302也可以被视为实现普遍服务和方法的专用调度器,这些普遍服务和方法本身管理摘要类型的一些共享资源的寿命。如上所述,os110是逻辑汇聚点,所有os服务在该处提供对表示为对象的os中的共享资源的一致、统一和安全的访问。为了访问对象的特定实例,用户模式应用程序、系统服务和/或内核模式驱动程序调用打开的操作,在其间检查访问权限并且创建特殊描述符。这里使用的短语“用户模式”是指进程运行应用程序代码(例如最终用户应用程序代码)而不是内核代码(例如,设备驱动程序代码和平台服务代码)的状态。
由os对象管理器实现的一组对象类型取决于客户端计算机102采用的os的版本。下面的列表给出可以通过osapi获得的os对象管理器302的一些基本对象:适配器;回调(callback);控制器;调试对象(debugobject);桌面;设备;目录;驱动程序;事件;事件对;文件;函数指针(iocompletion);工作;键;键入的事件;突变体;端口;进程;简档;部分;信号量;符号链接;线程;定时器;令牌;类型;可等待端口;窗口站;和wmiguide。这些列出的对象中的每一个在本领域中都是公知的,因此在此不再赘述。
再次参考图3,uim102与os对象管理器302通信地集成,使得其可以过滤对os系统服务的召用并将过滤后的召用分派给uim客户端314。在这点上,uim102包括事件处理程序304-308、事件过滤器310和虚拟事件调度器(virtualeventsdispatcher,“ved”)312。事件处理程序304-308通常被配置为检测和拦截由os对象管理器302执行的指定在其中发生的物理事件的功能。
在某些情况下,事件处理程序304-308实现了在kouznetsov的美国专利no.7,765,558(558专利)中描述的用于检测和拦截计算系统中的事件的技术。558专利通过引用并入本文。
这里使用的术语“物理事件”是指在运行时间中的任何特定时刻在os110中发生的实时事件。例如,物理事件可以包括对os系统服务的召用、对象的创建或关闭、或对象状态的修改。物理事件的发生是异步的,独立的并且与uim的启用或禁用无关。
事件处理程序304-308还被配置为识别与每个物理事件相关联的多个虚拟事件(换句话说,将每个物理事件映射到多个虚拟事件);并且将信息352发送到事件过滤器310,信息352指定识别出的每个物理事件的虚拟事件以及在随后的串行化处理期间放置虚拟事件的顺序。这里使用的术语“虚拟事件”是指当os子系统执行多个操作中的促进相应的物理事件发生的一个操作时发生的事件。因此,物理事件可以导致根据预先存储的查找表(“lut”)的内容识别和选择各种和多个虚拟事件。例如,
每个虚拟事件可以与表征被请求的操作的特定背景的一组属性相关联。该组属性由每个单独的事件处理程序304-308根据其处理物理事件的内部逻辑来限定。在这方面,每个事件处理程序304-308可以访问包含虚拟事件的唯一标识符和指定虚拟事件的至少一个属性的信息的数据结构。该数据结构可以包括但不限于lut。虚拟事件的属性可以包括但不限于回溯(back-trace)功能,该功能被表示为,为了处理虚拟事件(以及与所讨论的虚拟事件相关联的其他任意数据,如召用线程、进程等的标识符)而被os110调用的各种功能的回调状态。
在一些情况下,事件处理程序304-308被配置为处理与多个物理事件中的相应物理事件相关联的信息350。因此,事件处理程序不处理相同的物理事件信息。因此,这些事件处理程序可以在任何时间同步、同时、异步地处理不同的物理事件信息。这个概念非常重要,因为它允许最小化多个uim客户端314可能引起的不必要的全系统性能降级影响。
每个事件处理程序304-308的细节和内部实现的逻辑取决于分配给事件处理程序的物理事件的具体类型以及如何和为何使用该物理事件的背景和目标。事件处理程序304-308的总体目标是(a)将每个物理事件实时转换(或映射)到虚拟事件,以及(b)使虚拟事件可用于由多个异步并同时运行的uim客户端314进一步处理。这种实时转换(或映射)意味着仅获得在每个单独的物理事件发生时可用的背景信息,同时将关于它的信息打包成摘要和与背景无关的数据流。这样的信息可以通过lut被事件处理程序304-308获得。
一些类型的事件处理程序可以包括但不限于执行事件处理程序(executiveeventhandlers,“eeh”)和对象事件处理程序(objecteventhandlers,“oeh”)。eeh处理与os内核的高级系统服务相关联的信息。相比之下,oeh处理与os对象管理器302生成的私密事件相关联的信息。
当正在调用os系统服务来管理驻留在os对象管理器302的内核级别(例如,windowsexecutive工具)的对象时,由oeh生成虚拟事件。oeh拦截物理事件,同时向多个uim客户端314提供以下功能和特征:对发送到类型对象的方法(本文中也称为“对象类型方法”)的召用进行低级过滤;对os对象管理器提供的基本服务的召用进行高级过滤;以及获取与给定物理事件相关联的背景相关信息。对象类型方法在对象实例的生命周期的各个阶段被异步调用。所述阶段包括但不限于:打开(创建对象的描述符);关闭(关闭对象的描述符);删除(删除对象);查询名称(查询二级命名空间中对象的名称);解析(在二级命名空间中查找对象的名称);和安全性(读取或修改对象的安全属性和设置)。所述基本服务包括但不限于:按名称打开(以其名称打开对象);按名称引用(按其名称搜索对象);创建对象(创建可在os对象管理器中访问的对象的实例);创建对象类型(创建特定类型的新对象);查找句柄(搜索以前打开的对象的描述符);以及插入对象(插入某种类型的对象,使对象可通过其句柄或名称访问)。使用以下服务获取背景相关信息:召用方id(在其背景中没发生物理事件的进程和线程的唯一标识符);在其背景中没发生物理事件的进程的主模块的名称和地址;以及在处理物理事件期间调用的召用的基于堆栈的回溯。鉴于前述,oeh充当虚拟事件的提供方,允许对访问,操纵和使用os对象管理器已知的对象的每个和每次尝试进行跟踪。
再次参考图3,事件处理程序304-206将指定虚拟事件的虚拟事件信息352传送给事件过滤器310。特别地,在运行时间期间,响应由用户模式程序或内核模式程序发出的特定请求,在os110中发生物理事件。这种物理事件必须以最小的延迟被处理,以避免出现明显不必要的全系统性能下降影响。某些类型的物理事件可能相当密集地产生,因此这样的物理事件可能导致事件处理程序304-308产生巨量的必须在uim112内序列化的虚拟事件数据。虚拟事件数据的这种序列化由事件过滤器310执行。在所述序列化之后,事件过滤器310动态过滤实时虚拟事件,使得与选择的物理事件相关联的虚拟事件信息被传递到ved312。在这点上,虚拟事件信息352基于先前指定的各种虚拟事件类型的安全相关性、事先指定的物理事件类型的安全关联性和/或uim客户端314涉及的物理事件的类型,由事件过滤器310动态过滤。例如,某些uim客户端314关注于仅过滤和监视选择的物理事件,其背景涉及特定文件组的文件、特定分支的注册表或这种分支的组、特定进程或进程组、特定线程或线程组等的事件的打开。
作为由事件过滤器310执行的动态过滤的结果,生成了过滤后的虚拟事件信息354。过滤后的虚拟事件信息354包括指定事件发生的信息,该事件与保护计算系统以防恶意软件威胁相关。然后将这样的信息354转发到ved312,它被临时按队列存储在其中。该队列可以包括预定长度的循环缓冲器。ved312将信息354分派到uim客户端314(例如,图1的数据记录器118)以进一步处理(例如,数据记录)。基于先入先出(“fifo”)方法从该队列输出信息354。特别地,ved312提供的功能可用于内核模式组件和用户模式组件二者。
图4是在计算系统(例如,图1的计算机102或106)中普遍拦截事件的示例性方法400的流程图。方法400从步骤402开始,并继续步骤404。步骤404包括拦截由os对象管理器(例如,图3的os对象管理器302)正在执行的指定在其中发生的物理事件的多个功能。每个物理事件包括在运行时间内的任何时刻在os中发生的实时事件。在步骤406中获得物理事件信息,该物理事件信息表明哪些物理事件被所拦截的由os对象管理器正在执行的功能指定。
然后在步骤408中分析物理事件信息,以识别与每个所述物理事件相关联的多个虚拟事件。特别地,在某些情况下,物理事件信息的不同部分在任何给定时间被至少两个事件处理程序(例如,图3的事件处理程序304-308)同步、同时或异步地分析。每个虚拟事件包括当os子系统执行多个操作中的促进相应物理事件发生的一个操作时发生的事件。
然后在步骤410中对虚拟事件信息进行过滤,以生成仅指定虚拟事件中的选择的虚拟事件的过滤信息。虚拟事件信息指定(1)被识别为与物理事件相关联的虚拟事件,和/或(2)表征在os运行时间期间由用户模式程序或内核模式程序请求的至少一个操作的具体背景的至少一个属性。在某些情况下,根据事先指定的物理事件类型或虚拟事件类型的安全关联性过滤虚拟事件信息。
然后在步骤412中将该过滤信息序列化,使得该信息以由发生对应的物理事件的时间限定的顺序标识虚拟事件。序列化的过滤信息被置于队列中用于后续处理以检测对计算设备的恶意软件威胁,如步骤414所示。此后,执行步骤416,其中过滤信息被分派到数据记录器软件程序或恶意软件检测软件程序。此后,执行步骤418,其中方法400结束或执行其他处理。
在某些情况下,计算系统可以是基于安全信息和事件管理(“siem”)的网络的一部分。这样,所述方法还可以包括:将过滤信息记录在至少一个记录文件中;以及提供远程集中式数据处理器对该记录文件的访问。然后由远程集中式数据处理器执行操作以汇集来自多个网络节点的过滤信息。可以分析所汇集的过滤信息以检测所述恶意软件威胁。
特别地,windows对象管理器工具提供的服务和方法不易被其他恶意软件检测或siem传感器解决方案(及类似物)所使用和依赖的由windows提供的任何标准过滤和事件管理机制用来拦截和监视。换句话说(非正式地),与所提出的高分辨率siem传感器的方法相比,“其他”解决方案是“盲目的低分辨率”。因此,这样的其他传统解决方案实际上错失了在os中实时发生的许多对安全敏的感甚至对安全关键的事件和活动。因此,这些传统的设计方案是不充分的,并且注定要大大降低/阻碍随后的安全相关决策产生过程的质量,如检测隐身恶意软件等。例如,作为其他恶意软件检测或siem传感器解决方案开始具有的所述盲目/低分辨率的直接结果,很多恶意软件、攻击和异常情况根本没有被检测到(一个人不能打击看不到的威胁,并且如果通过设计,开始具有低分辨能力,那么永远不能通过清晰度看到足够好)。
本文公开和要求保护的所有装置、方法和算法可以根据本公开,在没有过度实验的情况下进行和执行。虽然已经根据优选实施例描述了本发明,但是对于本领域技术人员显而易见的是,在不脱离本发明的概念、精神和范围的情况下,可以对装置、方法和方法的步骤顺序进行改变。更具体来说,显而易见的是,可以针对本文描述的组件,添加,组合或替换某些组件,同时获得相同或相似的结果。对于本领域技术人员显而易见的所有这样的类似替换和修改被认为在所限定的本发明的精神、范围和概念之内。
- 还没有人留言评论。精彩留言会获得点赞!