包括安全規(guī)則評估的保護(hù)系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本公開設(shè)及保護(hù)系統(tǒng)，并且更具體地設(shè)及能夠評估提議的安全規(guī)則的設(shè)備和/或 網(wǎng)絡(luò)威脅監(jiān)測系統(tǒng)。
【背景技術(shù)】
[0002] 在現(xiàn)代社會中，計算設(shè)備正在從僅是便利品變?yōu)楸匦杵?。在全球?guī)模上，通信正在 變得電子占主導(dǎo)，并且運(yùn)些通信經(jīng)常包括敏感或機(jī)密信息的傳輸。例如，用戶經(jīng)由電子通信 可W傳輸個人標(biāo)識信息，可W進(jìn)行金融交易，可W接收醫(yī)療數(shù)據(jù)，等等。在更大的規(guī)模上，小 型的商業(yè)、公司、教育機(jī)構(gòu)、政府機(jī)構(gòu)可W全都利用電子通信來進(jìn)行業(yè)務(wù)處理、執(zhí)行機(jī)密文 檔等。駐留在電子設(shè)備上或通過電子設(shè)備來傳送的運(yùn)種數(shù)據(jù)的全部對于希望利用它來實現(xiàn) 其他們自身的利益的未授權(quán)方可能具有吸引力。因此，設(shè)備級別和/或網(wǎng)絡(luò)級別保護(hù)系統(tǒng) (包括但不限于，病毒和惡意軟件保護(hù)軟件、未授權(quán)訪問防護(hù)(例如，網(wǎng)絡(luò)安全監(jiān)視器和入侵 檢測/防護(hù)系統(tǒng)等）已經(jīng)變成必要的應(yīng)用。
[0003] 現(xiàn)有的設(shè)備保護(hù)系統(tǒng)典型地是集中式管理的。例如，保護(hù)客戶機(jī)通常安裝在將利 用用于保護(hù)客戶機(jī)的軟件更新而受保護(hù)的設(shè)備上，其中從網(wǎng)絡(luò)管理員或安全提供商(例如， 提供安全裝備和/或軟件的全球公司）向外推送所述用于保護(hù)客戶機(jī)的軟件更新。軟件更新 可W例如包括用于標(biāo)識對設(shè)備和/或包括設(shè)備的網(wǎng)絡(luò)的威脅(例如，病毒、蠕蟲、入侵、由人 類或惡意軟件在端點設(shè)備內(nèi)、在網(wǎng)絡(luò)中或者在運(yùn)兩者中進(jìn)行的任何可疑的或惡意的活動 等）的經(jīng)更新的規(guī)則、定義，等等。盡管運(yùn)種保護(hù)模型在過去是有效的，但是未授權(quán)方捕捉 和/或攔截敏感和/或機(jī)密數(shù)據(jù)的增長的興趣已經(jīng)使對設(shè)備和/或網(wǎng)絡(luò)保護(hù)的"全體適用"方 式不足夠。運(yùn)種改變是網(wǎng)絡(luò)尺寸、參數(shù)和配置的巨大的可變性的結(jié)果。當(dāng)保護(hù)一致的端點 (例如，全部基于Windows、全部基于安卓，等等)時，傳統(tǒng)的集中式安全方式工作相當(dāng)好，但 是創(chuàng)建集中式規(guī)則來保護(hù)眾多的不同的設(shè)備和/或網(wǎng)絡(luò)具有大得多的挑戰(zhàn)性。不同的操作 環(huán)境可W包括對設(shè)備和/或網(wǎng)絡(luò)的多種唯一的威脅，運(yùn)些威脅中的一些威脅對于環(huán)境外部 的集中式管理員或安全提供商可能不是顯而易見的?？紤]到運(yùn)些挑戰(zhàn)，生成滿足整個網(wǎng)絡(luò) 的所有需要的有效安全策略變得非常困難。此外，盡管在網(wǎng)絡(luò)環(huán)境中操作的設(shè)備可W具有 關(guān)于可能的安全配置的輸入，但是不存在集中式管理員有效地處理此信息的方式。
【附圖說明】
[0004] 隨著W下【具體實施方式】進(jìn)行并且在參考附圖后，要求保護(hù)的主題的各實施例的特 征和優(yōu)點將變得明顯，其中相似的參考號指示相似的部件，并且在附圖中：
[0005] 圖1示出根據(jù)本公開的至少一個實施例的包括安全規(guī)則評估的示例保護(hù)系統(tǒng)；
[0006] 圖2示出根據(jù)本公開的至少一個實施例的用于設(shè)備的示例配置;W及
[0007] 圖3示出根據(jù)本公開的至少一個實施例的用于包括安全規(guī)則評估的保護(hù)系統(tǒng)的示 例操作。
[000引盡管W下【具體實施方式】將通過參考說明性實施例進(jìn)行，但是其許多替代、修改和 變型對本領(lǐng)域技術(shù)人員將是明顯的。
【具體實施方式】
[0009] 本公開設(shè)及一種包括安全規(guī)則評估的保護(hù)系統(tǒng)。在一個實施例中，設(shè)備可W包括 保護(hù)模塊，所述保護(hù)模塊用于標(biāo)識對所述設(shè)備或包括所述設(shè)備的網(wǎng)絡(luò)中的至少一者的威 脅。所述保護(hù)模塊可W包括例如規(guī)則評估器(RE)模塊，所述RE模塊用于:評估提議的安全規(guī) 貝1J，所述提議的安全規(guī)則用于基于至少一個基礎(chǔ)事實場景來標(biāo)識所述威脅；W及至少基于 所述評估來判定是否將所述提議的安全規(guī)則提升(promote)為新的安全規(guī)則(例如，W便將 所述提議的安全規(guī)則合并到所述設(shè)備中的活躍的安全規(guī)則集中）?？蒞由所述保護(hù)模塊生 成所述提議的安全規(guī)則，或者可W從所述網(wǎng)絡(luò)中的其他設(shè)備或其他網(wǎng)絡(luò)接收所述提議的安 全規(guī)則。可W與所述網(wǎng)絡(luò)中的其他設(shè)備中的至少一個或其他網(wǎng)絡(luò)共享新的安全規(guī)則。在傳 輸之前，必要的話，可W規(guī)范化所述新的安全規(guī)則W促進(jìn)與所述其他設(shè)備和/或網(wǎng)絡(luò)的兼容 性。在一個實施例中，所述RE模塊可W進(jìn)一步觸發(fā)對所述提議的安全規(guī)則的獨(dú)立評估，當(dāng)判 定是否將所述提議的安全規(guī)則添加至所述設(shè)備中的所述活躍規(guī)則集時，也可W考慮所述獨(dú) 立評估。獨(dú)立評估可W包括例如由任何網(wǎng)絡(luò)、互聯(lián)網(wǎng)或分布式服務(wù)執(zhí)行的手動或自動的代 碼回顧、質(zhì)量檢查，等等。
[0010] 在一個實施例中，設(shè)備可W至少包括例如保護(hù)模塊。所述保護(hù)模塊可W用于標(biāo)識 對所述設(shè)備或包括所述設(shè)備的網(wǎng)絡(luò)中的至少一者的威脅。所述保護(hù)模塊可W至少包括RE模 塊，所述RE模塊用于:評估至少一個提議的安全規(guī)則，所述至少一個提議的安全規(guī)則用于由 所述保護(hù)模炔基于至少一個基礎(chǔ)事實場景來標(biāo)識所述威脅；W及至少部分地基于所述評估 來判定是否允許所述至少一個提議的安全規(guī)則變?yōu)橹辽僖粋€新的安全規(guī)則。如果確定了允 許所述至少一個提議的安全規(guī)則變?yōu)橹辽僖粋€新的安全規(guī)則，則所述RE模塊可W進(jìn)一步使 所述至少一個新的安全規(guī)則被添加到由所述保護(hù)模塊使用的活躍的安全規(guī)則集中。
[0011] 所述保護(hù)模塊可W進(jìn)一步基于機(jī)器學(xué)習(xí)算法來生成所述至少一個提議的安全規(guī) 貝1J，所述機(jī)器學(xué)習(xí)算法用于確定對所述設(shè)備或包括所述設(shè)備的所述網(wǎng)絡(luò)中的至少一者的威 脅。所述至少一個基礎(chǔ)事實場景可W包括例如，至少一個已知的良好操作場景或已知的不 良操作場景。所述RE模塊模塊用于評估所述至少一個提議的安全規(guī)則隨后可W包括:所述 RE模塊用于判定由所述至少一個提議的安全規(guī)則生成的威脅標(biāo)識是否對應(yīng)于所述至少一 個已知的良好操作場景或已知的不良操作場景。在相同或不同的實施例中，所述RE模塊可 W進(jìn)一步用于判定是否致使執(zhí)行對所述至少一個提議的安全規(guī)則的獨(dú)立評估。在運(yùn)個實例 中，所述RE模塊可W進(jìn)一步用于:致使執(zhí)行對所述至少一個提議的安全規(guī)則的所述獨(dú)立評 估；W及基于所述獨(dú)立評估來判定是否允許所述至少一個提議的安全規(guī)則變?yōu)樗鲋辽僖?個新的安全規(guī)則。
[0012] 在一個實施例中，所述設(shè)備可W進(jìn)一步包括通信模塊，所述通信模塊用于:從所述 網(wǎng)絡(luò)中的另一設(shè)備中的保護(hù)模塊或從至少一個其他網(wǎng)絡(luò)中的至少一者接收所述至少一個 提議的安全規(guī)則。在運(yùn)個實例中，所述RE模塊可W進(jìn)一步用于:使所述通信模塊將所述至少 一個新的安全規(guī)則傳輸?shù)剿鼍W(wǎng)絡(luò)中的所述另一設(shè)備或所述至少一個其他網(wǎng)絡(luò)中的至少 一者。所述RE模塊可W進(jìn)一步用于:判定在傳輸之前所述至少一個新的安全規(guī)則是否要求 規(guī)范化；W及如果確定了所述至少一個新的安全規(guī)則要求規(guī)范化，則更改所述至少一個新 的安全規(guī)則W促進(jìn)與所述網(wǎng)絡(luò)中的所述另一設(shè)備或所述至少一個其他網(wǎng)絡(luò)中的至少一者 的兼容性?？蒞基于由所述RE模塊確定了所述至少一個新的安全規(guī)則適用于所述另一設(shè)備 或所述另一網(wǎng)絡(luò)而將所述至少一個新的安全規(guī)則傳輸?shù)剿鼍W(wǎng)絡(luò)中的所述另一設(shè)備或所 述另一網(wǎng)絡(luò)。與本公開一致的一種方法可W包括例如W下步驟:評估設(shè)備中的至少一個提 議的安全規(guī)則，所述至少一個提議的安全規(guī)則在所述設(shè)備中用于基于至少一個基礎(chǔ)事實場 景來標(biāo)識對所述設(shè)備或包括所述設(shè)備的網(wǎng)絡(luò)中的至少一者的威脅;至少基于所述評估來判 定是否允許所述至少一個提議的安全規(guī)則變?yōu)橹辽僖粋€新的安全規(guī)則；W及如果確定了允 許所述至少一個提議的安全規(guī)則變?yōu)橹辽僖粋€新的安全規(guī)則，則使所述至少一個新的安全 規(guī)則被添加到所述設(shè)備中的活躍的安全規(guī)則集中。
[0013] 至少一種設(shè)備保護(hù)方式是采用標(biāo)識并報告可疑動作的大型安全信息和事件管理 (SIEM)系統(tǒng)。SIEM系統(tǒng)可W從眾多的網(wǎng)絡(luò)服務(wù)器和設(shè)備收集并處理表示數(shù)千個端點的活動 (例如，"大數(shù)據(jù)"）的龐大的數(shù)據(jù)量。SIEM能W完全自動的方式將一些活動標(biāo)識為可疑的（例 如，威脅、風(fēng)險或安全事件）。由SKM執(zhí)行的標(biāo)識的質(zhì)量直接反映在SKM系統(tǒng)正在生成的警 告(例如，尤其是也被稱為誤報(FP)的不正確警告）的數(shù)量中。如果警告的數(shù)量過多，則處理 所有運(yùn)些警告所需的資源量增加，并且相反地，威脅標(biāo)識的準(zhǔn)確性可能由于FP和漏報(FN) 的存在而下降。與本公開一致的實施例可W能夠通過將規(guī)則生成分布至對等設(shè)備的網(wǎng)絡(luò)來 實現(xiàn)比SIEM系統(tǒng)顯著更好的性能，所述對等設(shè)備的網(wǎng)絡(luò)可W進(jìn)一步評估規(guī)則質(zhì)量并且將高 質(zhì)量規(guī)則傳播至其他設(shè)備或其他網(wǎng)絡(luò)。
[0014] 圖1示出根據(jù)本公開的至少一個實施例的包括安全規(guī)則評估的示例保護(hù)系統(tǒng)。網(wǎng) 絡(luò)100可W是例如包括各種裝備（諸如，設(shè)備102A、設(shè)備102C...設(shè)備10化（統(tǒng)稱為"設(shè)備 102A...n"))的局域網(wǎng)(LAN)或廣域網(wǎng)(WAN)。網(wǎng)絡(luò)100可W包括可能要求保護(hù)(例如，抵御威 脅，諸如，未授權(quán)的入侵、訪問違反、數(shù)據(jù)泄露等）的任何數(shù)量的電子裝備。設(shè)備102A. . .n的 示例可W包括但不限于移動通信設(shè)備(諸如，基于安廿彩0S、iOS夠、Windows飯0S、Mac膨 0S、Tizen 0S、火狐(Firefox)OS、黑奪@0S、化Im成0S、塞班液OS等的蜂窩手機(jī)或智能電 話）、移動計算設(shè)備（諸如，平板計算機(jī)，像jPad嚴(yán)、Su計ace愈、GalaxyTab@、Kindle閒'6? 等）、包括由英特爾公司制造的低功率忍片組的超極本⑩、上網(wǎng)本計算機(jī)、筆記本計算機(jī)、膝 上型計算機(jī)、掌上計算機(jī)等）、典型固定式計算設(shè)備(諸如，臺式計算機(jī)、服務(wù)器、機(jī)頂盒、智 能電視）、小形狀因數(shù)計算解決方案(例如，用于空間受限的應(yīng)用、電視機(jī)頂盒等）（像來自英 特爾公司的下一代計算單元(NUC)平臺）），等等。
[0015] 在一個實施例中，設(shè)備102A可W包括保護(hù)模塊104A，設(shè)備102B可W包括保護(hù)模塊 104B，設(shè)備102C可W包括保護(hù)模塊104C……設(shè)備10化可W包括保護(hù)