le. com" 或〃JohnSmith 在下午 8 :30 使用他的标记卡 打开3号楼5门"。事件可包含多个详细数据,并且可以以计算机可读的方式格式化(例如 逗号隔开的字段)。在某些示例中,事件不对应于与安全明显相关的任何事物。例如,事件 可为良性。
[0024] 事故(或安全事故)可为表示安全攻击已发生和/或当前正在发生的可能性的信 息。不同于关于未来的安全威胁,事故关于过去和现在。事故可包括错误播放、检测开发活 动的系统触发的警告和/或可疑或反常活动的证据。事故可被调查以确定安全攻击是否实 际发生(在多种情况下事故可为假阳性)以及根本原因是什么(即哪种脆弱性和开发被使 用)。
[0025] 如本文所使用的警告(或安全警告)可包括指示攻击可能性的事件。例如,参与 者(例如,110-1,...,110-N)的入侵检测系统和/或威胁交换服务器102可查找已知可疑 的行为并生成该效果的事件。这种事件(例如,警告)可具有与其关联的优先级,以表示其 有多大可能成为安全攻击和/或所观察的行为有多危险。
[0026] 安全背景可包括描述关于参与者的信息(例如,参与者特性数据)、安全事务的总 体威胁级别、关于独立的或本地威胁环境的信息、关于威胁交换社区的全局威胁环境(例 如,增加的特定类型的活动)的信息和/或其他有用信息。换句话说,安全背景描述和/或 是威胁交换社区中的安全相关状况。作为示例,安全背景可描述或图示威胁交换社区中的 安全威胁级别、威胁交换社区中安全攻击和/或安全威胁的定性评估、威胁交换社区中的 活动和/或事件、威胁交换社区中的IT基础设施、威胁交换社区中的事故、由威胁交换服务 器提供的信息、由威胁交换社区参与者收集的信息和/或其他安全相关信息。作为特定示 例,安全背景可由威胁交换社区中的安全事务定义。即,参与者或威胁交换社区的安全背景 可基于威胁交换社区中识别的安全事务来确定。
[0027] 在某些示例中,特性数据可从多个参与者110-1,...,110_N收集,作为注册过程 的一部分。例如,参与者110-1,...,110-N可注册威胁交换服务器1-2并提供特性数据。 特性数据可随时间更新,然而也可不经常变化。
[0028] 在本公开的多种示例中,威胁交换服务器102及其功能可以是参与者110-1,..., 110-N的一部分,和/或可以作为服务(例如,威胁交换服务)被提供给参与者110-1,..., 110-N。如本文所使用的服务可包括提供至用户的无形的商品。例如,提供的服务可包括计 算资源(例如,存储、存储器、处理资源)和/或计算机可读指令(例如,程序)。
[0029] 如本文所使用的威胁交换服务器102可包括被设计和/或指定为提供多个威胁交 换功能的计算机硬件组件(例如,物理服务器、处理资源、存储器资源)和/或计算机可读 指令组件。如图1的示例所图示的威胁交换服务器102可包括和/或访问事故数据库104、 参与者数据库106和/或其他威胁情报数据库108。如图1的示例所图示的环境100图示 了单个威胁交换服务器102。然而,根据本公开的示例不限于此。在多种示例中,威胁交换 服务器可包括多个威胁交换服务器。
[0030] 如本文所使用的数据库可包括结构化数据集合。事故数据库104可为包含威胁交 换社区的当前和历史安全事务(例如,由参与者110-1,...,110-N报告的)的数据库。当 前安全事务可包括未解决的安全事务(例如,安全攻击和安全事故)。历史安全事务可包括 已被解决和/或不再考虑为当前安全事务的安全事务。
[0031] 参与者数据库106可为包含参与者提供的特性数据的数据库。如本文所使用的特 性数据可包括IT系统信息、产业部门信息和/或基础设施信息(例如,硬件和/或程序指 令信息),以及与参与者110-1,. ..,110-N中的每一个相关的其它数据。例如,特性数据可 包括关于在参与者的基础设施内运行的软件的信息,诸如应用名、应用版本和/或操作系 统补丁级别。
[0032] 威胁交换服务器102在多种示例中可包括另一威胁情报数据库108。另一威胁情 报数据库108可为包含外部和内部威胁情报的数据库。例如,威胁情报可包括安全攻击的 标识和/或症状。
[0033] 威胁交换服务器102可将来自多个参与者110-1,...,110_N的进入的安全数据 与事故数据库104、参与者数据库106和/或其他威胁情报数据库108相比较,以向参与者 110-1,…,110-N提供定向安全警告116-1,116-2,…,116-N。安全数据可包括实时和/ 或近实时安全事件、背景和/或事故。
[0034] 在本公开的某些示例中,参与者提供数据可由参与者110-1,...,110-N提供为自 由形式文本的事故描述。语义文本处理工具,诸如智能数据操作层(IDOL)服务器,可用于 确定不同的自由形式事故描述的相似性。这可帮助确定哪一个参与者110-1,. ..,110-N提 交了相似的事故和/或事件数据。
[0035] 例如,威胁交换服务器102可利用所收集的参与者数据计算多个参与者 110-1,. ..,110-N中的一参与者(例如,特定参与者110-2)的威胁相关分。如本文所使用 的威胁相关分可包括标识安全事务与特定参与者的相关性的分数(例如,参与者有多大可 能要经历安全事务,这种分数可能对参与者的影响,或在相对于可能影响参与者的其他安 全事务的相关性方面安全事务的等级和/或其组合)。威胁相关分可与特定安全事务相关。 在某些示例中,威胁相关分可包括概率。例如,威胁相关分可包括安全事务(例如,安全攻 击)与参与者110-2相关的统计概率。在多种实例中,安全事务可与威胁交换社区中的参 与者(例如,第一参与者110-1)相关联。例如,如果参与者具有已验证的安全攻击和/或 正经历可疑行为和/或事件,则安全事务可与该参与者相关联。
[0036] 例如,所收集的用于计算威胁相关分的参与者数据可包括总的收集的参与者数据 的子集。子集可包括收集自参与者(例如,特定参与者110-2)和集群中的参与者的参与者 数据。参与者110-1,...,ll〇_N可例如基于参与者提供数据分组为多个集群。集群的分组 可基于从参与者提供数据中识别的相似的行为。
[0037] 威胁相关分可例如通过比较参与者110-2与参与者集群而计算。例如,集群可具 有验证的安全攻击。如果参与者110-2属于(例如,分组在)具有验证的安全攻击的集群, 则定向安全警告可提供至参与者110-2。如果参与者110-2不属于具有验证的安全攻击的 集群,则参与者110-2的特性数据和/或安全数据可与该集群的特性数据和/或安全数据 相比较,以确定参与者与集群的相似性,并计算威胁相关分(如本文进一步讨论的)。
[0038] 针对每一个参与者11〇-1,...,110-N计算威胁相关分可包括多种技术以测量参 与者110-1,...,110-N的相似性。例如,威胁交换服务器102可将来自剩余参与者的进入 的安全数据与具有验证的安全攻击的参与者的集群进行比较。相似性可包括例如来自入侵 检测系统(IDS)、数据库访问异常和/或相关IP地址的相似事件。
[0039] 在某些示例中,针对参与者110-1,...,110-N计算威胁相关分可包括对每一个参 与者110-1,...,110-N处的安全事务进行统计建模,并计算遇到特定事件的条件概率(例 如,特定参与者将被针对脆弱性的开发所攻击的概率)。提供至威胁交换服务器102的进 入的安全数据可与参与者提供的特性数据(例如,参与者数据库106中的数据)相比较和 /或与其他威胁情报数据(例如,其他威胁情报数据库108中的数据)相比较。
[0040] 尽管本示例图示了计算概率,但根据本公开的示例计算威胁相关分不限于此。威 胁相关分可在这种概率未知的情况下被计算。例如,在多种示例中,计算威胁相关分可包括 基于参与者数据识别(例如,确定)安全事务与参与者的相关性。在多种示例中,相关性可 包括参与者将经历安全事务的总体可能性、其对参与者的影响或相对于其他安全事务的等 级和/或其组合。在某些实例中,这种计算可不包括数字概率分。例如,可能已知安全攻击 A比安全攻击B更有可能对参与者1 (例如,110-1)发生。利用该总体知识,可针对安全攻 击A向参与者1提供具有比针对安全攻击B向参与者1提供的定向安全警告更高分数的定 向安全警告。
[0041] 在多种示例中,计算威胁相关分可包括考虑安全背景以识别威胁级别(例如,安 全事件的严重性)。例如,安全背景可包括描述关于参与者的信息、安全事务总体威胁级别、 关于威胁交换社区的全局威胁环境的信息(例如,增加的特定类型的活动)和/或其他有 用信息。将特性数据与进入的安全数据和/或安全背景进行比较可用于确定安全事务对每 一个参与者(例如,110-1,...,110-N)有多关键。例如,根据参与者所利用的硬件和/或 计算机可读指令组件,安全事件可对第二参与者110-2而言比第三参与者110-N受到更大 的关注。
[0042] 例如,假设第一参与者110-1具有验证的安全攻击。与第一参与者110-1关联的 安全攻击的严重性可被识别