定向安全警告的制作方法
【专利说明】定向安全警告
【背景技术】
[0001] 实体可维护具有到互联网的一个或多个连接的内部网络。内部网络包括由通信链 路连接的多个资源,并且可用于连接人们、经由互联网内部地和外部地提供服务和/或组 织信息以及与实体关联的其他活动。网络上的资源可能容易受到安全攻击,其起源于内部 网络中或互联网上。安全攻击可包括尝试破坏、修改、禁用、窃取和/或获取对资产(例如, 资源、数据和信息)使用的未授权访问。多个实体可能容易受到并且会遭受到公共安全攻 击。
[0002] 附图图示
[0003] 图1图示了根据本公开的用于提供定向安全警告的环境的示例的流程图。
[0004] 图2图示了根据本公开的用于提供定向安全警告的方法的示例的框图。
[0005] 图3图示了根据本公开的将威胁交换社区中的参与者分组成集群用于提供定向 安全警告的示例的流程图。
[0006] 图4图示了根据本公开的系统的示例的框图。
【具体实施方式】
[0007] 实体可通过识别其网络中的脆弱性来设法避免安全攻击。脆弱性可包括网络设 计、实现、操作和/或管理中可被开发以违反网络安全策略的缺陷和/或弱点(例如,可能 通过对实体资产的未授权访问、破坏、公开和/或修改而对网络有不利影响的情形和/或事 件(event))。开发可包括借脆弱性之机导致不希望的和/或不可预料的行为的计算机可 读指令、数据和/或命令序列。安全攻击可包括针对脆弱性的开发的使用和/或尝试使用。 为避免后续安全攻击,实体可执行调查(例如,司法调查),以确定在安全攻击期间哪种开 发针对哪种脆弱性被使用。
[0008] 对实体来说,识别对与实体关联的网络、由实体持有的信息和/或由实体管理的 资源(例如,计算设备、存储器资源、处理资源)的当前安全威胁可能是有利的。安全威胁 可包括指示即将发生安全攻击的可能性的信息。该信息可包括指示脆弱性和/或开发的信 息,和/或攻击已针对另一实体发生的信息,以及其它信息。
[0009] 实体面临对其信息技术(IT)基础设施的越来越高级、专业、有组织并且受到良好 资助的安全攻击。通过快速并准确地检测、识别和/或对付安全威胁,实体可减轻这些安全 攻击的影响。然而,实体可能发现,凭借自身来快速并准确地检测、识别和/或对付安全威 胁越来越困难。目前实体可通过访问多个威胁情报源来识别安全威胁。然而,威胁情报源 可能提供大量信息,并且可导致安全威胁的泛滥。安全威胁可导致假阳性安全警告,其会花 费人力资源来分析并解决。鼓励实体共享关于安全威胁的信息可改进检测新兴威胁的速度 和/或精确度。
[0010] 根据本公开的示例,实体可参加威胁交换社区以识别安全威胁。例如,威胁交换社 区可包括一组计算系统,其经由通信链路交换关于信息技术(IT)基础设施(例如,系统和 服务)的信息(例如,数据)。计算系统可被称为威胁交换社区的参与者。在某些实现中, 包括和/或控制计算系统的实体可以也被称为威胁交换社区的参与者。
[0011] 例如,参与者包括一组实体中每个实体的IT基础设施内的参与者服务器或参与 者服务器组。每个参与者服务器(或每个参与者服务器组)可将与包括该参与者服务 器的IT基础设施内或IT基础设施处的动作有关的信息提供至威胁交换服务器。威胁 交换服务器可分析由每个参与者服务器提供的信息以识别威胁交换社区中的安全事务 (occurrence),并且将关于安全事务的定向安全警告提供至参与者服务器。如本文所使用 的安全事务可包括影响威胁交换服务器的动作的变量和信息(例如,数据)。例如,影响动 作的这种安全事务可包括利用参与者提供的信息识别的用于描述安全背景、安全攻击、安 全威胁、可疑事件、脆弱性、开发、警告、事故(incident)和/或其他相关事件的信息。
[0012] 在某些示例中,以点对点体系结构通信的参与者服务器以及威胁交换服务器或其 功能,分布于参与者服务器或参与者服务器的子集中。即,在某些示例中,威胁交换社区不 包括集中式威胁交换服务器。相反,威胁交换服务器以参与者服务器组实现。
[0013] 如本文所使用的,定向安全警告可包括参与者处于遭受攻击(例如,安全攻击)的 风险中的通知。在某些实例中,这种通知可以是由特定攻击者利用针对特定脆弱性的特定 开发。因为定向安全警告取决于由参与者提供的安全数据,因此参与者可基于所提供的安 全数据的量和/或细节接收定向安全警告。由此,根据本公开的示例的安全威胁交换社区 可防止参与者接收警告而不提供数据和/或提供有限数据,通常称为"自由骑手"。
[0014] 进一步,在本公开的多种示例中,参与者可分组为多个集群。多个集群可基于参与 者提供的特性数据(例如,基础设施、规模、产业)、安全数据(例如,主机名、网际协议(IP) 地址、补丁级别)和/或所识别的公共安全事务模式(例如,公共安全攻击、事件以及在参 与者之间识别的事故)而动态地形成。集群可用于针对威胁交换社区中的各参与者计算威 胁相关分(如本文进一步讨论的)。
[0015] 系统、方法和计算机可读可执行指令被提供用于提供定向安全警告。提供定向安 全警告可包括从威胁交换社区中的多个参与者收集参与者数据,利用威胁交换服务器使用 所收集的参与者数据计算多个参与者中一参与者的威胁相关分,以及经由威胁交换社区中 的通信链路基于所计算的威胁相关分从威胁交换服务器向该参与者提供定向安全警告。
[0016] 在本公开如下详细描述中,参考形成其一部分的附图,附图中以图示的形式示出 本公开的示例如何被实现。这些示例被足够详细地描述以使本领域普通技术人员能够实现 本公开的示例,并且应当理解,其他示例可被使用,并可做出过程的、电气的和/或结构上 的变化,而不偏离本公开的范围。
[0017] 本文的附图遵循以下编号惯例:其中第一数字对应于附图号而剩余数字标识附图 中的元素或组件。不同的图之间相似的元素或组件可通过使用相似数字来标识。例如,102 可引用图1的元素"02",而在图3中相似元素可引用为302。如将被理解,本文多种示例中 示出的元素可被增加、替换和/或消除,以提供本公开的多个附加的示例。
[0018] 此外,如将被理解,图中提供的元素的比例和相对尺度意图图示本公开的示例,并 且不应理解为限制意义。如本文所使用的,在附图中特别结合附图标记的指示符"N"、"K" 和"L"指示多个如此指示的特定特征可与本公开的多个示例一起包括。并且,如本文所使 用的"多个"元素和/或特征可指代一个或多个这种元素和/或特征。
[0019] 图1图示了根据本公开的用于提供定向安全警告的环境100的示例的流程图。环 境100可包括威胁交换社区。威胁交换社区可包括连接至威胁交换服务器102的多个参与 者 110-1,110-2,…,110-N〇
[0020] 图 1 的示例中图示的箭头(例如,112-1,112-2,112-N,114-1,114-2,114-N)图示 了威胁交换服务器102和多个参与者110-1,. ..,110-N之间的通信。箭头所图示的通信可 包括威胁交换社区中的通信链路。如本文所使用的通信链路可包括网络连接,诸如逻辑和 /或物理连接。提供从参与者110-1,...,110-N到威胁交换服务器102的通信的通信链路 (例如,由112-1,112-2, ...,112-N所图示的)可与提供从威胁交换服务器102到参与者 110-1,…,110-N的通信的通信链路(例如,由114-1,114-2,…,114-N所图示)相同和 /或不同。
[0021] 多个参与者110-1,...,110_N可提供参与者数据至威胁交换服务器102 (例如,如 由从参与者110-1,...,110-N到威胁交换服务器102的箭头112-1,...,112-N所图示)。 参与者数据可包括安全数据和/或特性数据。如本文所使用的安全数据可包括安全相关信 息(例如,IP地址、主机名、补丁级别、个人可识别信息、参与者特定安全信息等)。例如,安 全数据可包括描述安全事务的信息。如本文所使用的安全事务可包括影响威胁交换服务器 的动作的变量和信息(例如,数据)。例如,影响动作的这种安全事务可包括利用参与者提 供的信息(例如,参与者数据)识别的、描述安全背景、安全攻击、安全威胁、可疑事件、脆弱 性、开发、警告、事故和/或其他相关事件的信息。
[0022] 特性数据可包括与参与者相关的数据,如基础设施数据、产业部门标识和/或实 体的规模。在多个示例中,特性数据可包括历史安全数据,其标识由参与者识别的先前的安 全事务。
[0023] 如本文所使用的事件(或安全事件)可包括对已发生的事情的描述。事件可用于 描述发生的事情和对发生的事情的描述。例如,事件可包括信息,诸如与事件关联的日志中 的记录。事件的示例包括"Alice登入IP地址10. 1. 1. 1的机器","IP地址192. 168. 10. 1 的机器传输4. 2G字节的数据至IP地址8. 1. 34. 2的机器","邮件消息在下午2 :38从fredO flinstones. com发送至bettvOrubb