用于實(shí)時(shí)定制的威脅防護(hù)的系統(tǒng)和方法
【專利說明】用于實(shí)時(shí)定制的威脅防護(hù)的系統(tǒng)和方法
[0001 ] 本申請(qǐng)是申請(qǐng)?zhí)枮?01280045112.8�����、申請(qǐng)日為2012年9月14日��、發(fā)明名稱為“用于實(shí)時(shí)定制的威脅防護(hù)的系統(tǒng)和方法”的發(fā)明專利申請(qǐng)的分案申請(qǐng)�。
技術(shù)領(lǐng)域
[0002]本說明書一般涉及網(wǎng)絡(luò)安全的領(lǐng)域�,更具體地涉及用于實(shí)時(shí)定制的威脅防護(hù)的系統(tǒng)和方法。
【背景技術(shù)】
[0003]信息系統(tǒng)已經(jīng)在全球規(guī)模上逐漸融入人們的日常生活和工作中,且信息安全的領(lǐng)域已經(jīng)同樣地在現(xiàn)在的社會(huì)中變得愈加重要���。這樣大規(guī)模的融合還為惡意操作者展現(xiàn)了許多利用這些系統(tǒng)的機(jī)會(huì)�����。如果惡意軟件能感染主計(jì)算機(jī),則它能執(zhí)行任意數(shù)量的惡意行動(dòng)�����,如從主計(jì)算機(jī)發(fā)出垃圾郵件或惡意郵件�、從與主計(jì)算機(jī)相關(guān)聯(lián)的企業(yè)或個(gè)人盜取敏感信息、向其它主計(jì)算機(jī)傳播和/或幫助分布式拒絕服務(wù)攻擊�。此外,對(duì)于一些類型的惡意軟件��,惡意操作者能向其它惡意操作者出售或者以其它方式給予訪問權(quán)��,由此擴(kuò)大對(duì)主計(jì)算機(jī)的利用���。因此�,有效保護(hù)并維持穩(wěn)定的計(jì)算機(jī)和系統(tǒng)的能力仍然對(duì)于組件制造商�����、系統(tǒng)設(shè)計(jì)者和網(wǎng)絡(luò)運(yùn)營商提出很大的挑戰(zhàn)。
【附圖說明】
[0004]為了提供對(duì)本公開及其特點(diǎn)和優(yōu)點(diǎn)的更全面的理解�,參照結(jié)合附圖進(jìn)行的以下描述,其中相似的附圖標(biāo)記表示相似的部分�����,其中:
圖1是示出根據(jù)本說明書的用于實(shí)時(shí)定制的威脅防護(hù)的網(wǎng)絡(luò)環(huán)境的示范實(shí)施例的簡化框圖�;以及
圖2是可與該網(wǎng)絡(luò)環(huán)境相關(guān)聯(lián)的潛在操作的簡化交互圖。
[0005]圖3是可與該網(wǎng)絡(luò)環(huán)境相關(guān)聯(lián)的潛在操作的簡化流程圖���。
【具體實(shí)施方式】
[0006]概述
在一個(gè)示范實(shí)施例中提供一種方法����,該方法包括:接收與來自遍及網(wǎng)絡(luò)環(huán)境分布的傳感器的報(bào)告相關(guān)聯(lián)的事件信息以及使事件信息相互關(guān)聯(lián)以識(shí)別威脅��?�;谕{的定制的安全策略可以被發(fā)送到傳感器���。在更具體的實(shí)施例中�,可從威脅情報(bào)云接收事件信息�����。在另外的實(shí)施例中,還可基于威脅將聲譽(yù)數(shù)據(jù)發(fā)送到威脅情報(bào)云����。
[0007]示范實(shí)施例
轉(zhuǎn)向圖1,圖1是網(wǎng)絡(luò)環(huán)境10的示范實(shí)施例的簡化框圖��,在網(wǎng)絡(luò)環(huán)境10中可實(shí)現(xiàn)用于實(shí)時(shí)定制的威脅防護(hù)的系統(tǒng)和方法�。網(wǎng)絡(luò)環(huán)境10包括威脅情報(bào)云15����、事件分析子云20、傳感器25a-25c以及主機(jī)30a-30i�����。傳感器25a-25c例如可包括遍及網(wǎng)絡(luò)環(huán)境10分布的防止入侵系統(tǒng)����、網(wǎng)關(guān)設(shè)備、防火墻��、防病毒軟件和/或其它安全系統(tǒng)以跨越威脅向量從主機(jī)30a-30i收集信息�,威脅向量包括文件��、Web�����、消息和網(wǎng)絡(luò)威脅向量��。威脅情報(bào)云15—般表示用于從傳感器25a-25c接收信息并傳遞從該信息導(dǎo)出的實(shí)時(shí)的基于聲譽(yù)的威脅情報(bào)的基礎(chǔ)設(shè)施�。事件分析子云表示用于分析由威脅情報(bào)云15接收的信息的基礎(chǔ)設(shè)施���,以及還可提供更新服務(wù)35����,更新服務(wù)35能將威脅信息和策略配置更新傳遞到傳感器25a-25c和/或主機(jī)30a-30i����。
[0008]圖1的每個(gè)元件可通過簡單的網(wǎng)絡(luò)接口或通過任何其它合適的連接(有線或無線)來相互耦合,這提供用于網(wǎng)絡(luò)通信的可行路徑�。此外,這些元件中的任何一個(gè)或更多可基于具體配置需要進(jìn)行組合或者從架構(gòu)中移除�。網(wǎng)絡(luò)環(huán)境10可包括能夠進(jìn)行用于在網(wǎng)絡(luò)中傳輸或接收分組的傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議(TCP/IP)通信的配置。網(wǎng)絡(luò)環(huán)境10還可基于具體需要在適當(dāng)情況下結(jié)合用戶數(shù)據(jù)報(bào)協(xié)議/IP(UDP/IP)或任何其它合適的協(xié)議來操作�����。
[0009]在詳細(xì)描述圖1的操作和基礎(chǔ)設(shè)施之前,提供某些上下文信息以提供可在網(wǎng)絡(luò)環(huán)境10內(nèi)發(fā)生的一些操作的概觀�。誠摯提供這樣的信息并且只用于教導(dǎo)的目的,因此不應(yīng)以任何方式解釋為限制本公開的廣泛應(yīng)用�����。
[0010]通常的網(wǎng)絡(luò)環(huán)境包括以下能力:例如使用互聯(lián)網(wǎng)來與其它網(wǎng)絡(luò)電子通信����、訪問連接到互聯(lián)網(wǎng)的服務(wù)器上托管的Web頁面、發(fā)送或接收電子郵件(S卩��,email)消息或者與連接到互聯(lián)網(wǎng)的最終用戶或服務(wù)器交換文件���。用戶一般期望存儲(chǔ)在網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)易于得到但免遭未授權(quán)的訪問。他們還經(jīng)常期望通信是可靠的且免遭未授權(quán)的訪問����。然而,惡意用戶不斷開發(fā)新的手段來干擾正常操作以及獲得對(duì)機(jī)密信息的訪問權(quán)�����。病毒��、木馬、蠕蟲���、Bot以及其它惡意軟件是用來利用網(wǎng)絡(luò)或系統(tǒng)中的弱點(diǎn)的工具的常見示例��,但設(shè)計(jì)成通過未授權(quán)訪問����、破壞����、公開、修改數(shù)據(jù)和/或拒絕服務(wù)來干擾計(jì)算機(jī)或網(wǎng)絡(luò)的正常操作的任何活動(dòng)都是“威脅”���。
[0011]能部署廣范圍的對(duì)策來應(yīng)對(duì)威脅�,包括防火墻����、防止入侵系統(tǒng)、網(wǎng)絡(luò)訪問控制以及Web過濾����。防止入侵系統(tǒng)(IPS)(還稱為入侵檢測和防止系統(tǒng)(IDPS))能例如監(jiān)視網(wǎng)絡(luò)和/或系統(tǒng)的活動(dòng)是否有惡意活動(dòng)或潛在惡意活動(dòng)以及發(fā)送警報(bào)。然而�����,IPS警報(bào)可能不總是可采取行動(dòng)的。許多警報(bào)只提供警告信息或指導(dǎo)����,即使觀察到的事件指示惡意活動(dòng),這是因?yàn)閱蝹€(gè)事件可能不足以用合適的置信度來識(shí)別攻擊�����。
[0012]IPS通常處于在線(in-line)以便它能例如通過丟棄分組�����、重置連接和/或阻擋來自源的業(yè)務(wù)來積極地阻擋檢測到的入侵���。IPS能使用多個(gè)檢測方法,包括應(yīng)用和協(xié)議異常�����、外殼代碼(she 11-code)檢測算法和特征(signature)����。例如����,基于特征的檢測一般包括將特征(S卩����,對(duì)應(yīng)于已知威脅的任何模式)與觀察到的事件或活動(dòng)比較以識(shí)別威脅。示范特征是將遠(yuǎn)程連接建立為根用戶的嘗試�。另一個(gè)示例是接收其主題欄和所附文件是已知形式的惡意軟件所特有的電子郵件。
[0013]基于特征的檢測在檢測已知威脅時(shí)可能非常有效���,但在檢測未知威脅或者甚至已知威脅的細(xì)微變化時(shí)可能無效����。另外����,IPS特征傾向于是通用的而一般不是為局部環(huán)境定制的。威脅可能只是局部看得見����,而不是全局看得見。從全局部署的傳感器收集的知識(shí)一般不能被有效利用來改進(jìn)局部安全策略�。還經(jīng)常要求人工調(diào)整策略,這可能導(dǎo)致足以允許感染蔓延的延遲。
[0014]根據(jù)本文中描述的實(shí)施例�����,網(wǎng)絡(luò)環(huán)境10能通過提供用于使全局威脅情報(bào)和局部威脅情報(bào)相互關(guān)聯(lián)以及提供定制的安全策略的系統(tǒng)和方法來克服這些缺點(diǎn)(和其它缺點(diǎn))����。
[0015]再次參照?qǐng)D1用于說明,主機(jī)30a_30i可以是網(wǎng)絡(luò)元件�,這些網(wǎng)絡(luò)元件意在包括網(wǎng)絡(luò)設(shè)備、服務(wù)器�����、路由器��、交換機(jī)���、網(wǎng)關(guān)�、橋��、負(fù)載均衡器����、防火墻、處理器���、模塊或可操作以在網(wǎng)絡(luò)環(huán)境中交換信息的任何其它合適的設(shè)備�、組件�����、元件或?qū)ο?���。網(wǎng)絡(luò)元件可包括任何合適的便于其操作的硬件、軟件����、組件、模塊���、接口或?qū)ο?��。這可包括適當(dāng)?shù)脑试S有效交換數(shù)據(jù)或信息的算法和通信協(xié)議。主機(jī)30a-30i還可以表示其它有線或無線網(wǎng)絡(luò)節(jié)點(diǎn)�����,如臺(tái)式計(jì)算機(jī)、膝上計(jì)算機(jī)或移動(dòng)通信設(shè)備(例如���,iPhone��、iPad���、安卓設(shè)備等)。
[0016]威脅情報(bào)云15在一個(gè)實(shí)施例中是聲譽(yù)系統(tǒng)��,其可以實(shí)現(xiàn)為分布式文件系統(tǒng)集群��。一般�,聲譽(yù)系統(tǒng)監(jiān)視活動(dòng)并基于實(shí)體過去的行為來對(duì)其分配聲譽(yù)值或者分。聲譽(yù)值可表示在從善意到惡意的范圍上的不同的可信賴等級(jí)�����。例如�,可基于與網(wǎng)絡(luò)地址進(jìn)行的連接或源自該地址的電子郵件來為該地址計(jì)算連接聲譽(yù)值(例如,最小風(fēng)險(xiǎn)�����、未證實(shí)��、高風(fēng)險(xiǎn)等)。連接聲譽(yù)系統(tǒng)可用來拒絕帶有已知或可能與惡意活動(dòng)相關(guān)聯(lián)的IP地址的電子郵件或網(wǎng)絡(luò)連接�,而文件聲譽(yù)系統(tǒng)能阻擋具有已知或可能與惡意活動(dòng)相關(guān)聯(lián)的散列的文件(例如���,應(yīng)用)的活動(dòng)�。威脅情報(bào)云15可接收來自遍及網(wǎng)絡(luò)分布的傳感器(例如���,傳感器25a_25c)的報(bào)告��,傳感器中的一些可以在由分開的實(shí)體控制的分開的域中��。例如�����,收集模塊可請(qǐng)求傳感器向威脅情報(bào)云15周期性地發(fā)送報(bào)告��,這些報(bào)告可匿名發(fā)送以保護(hù)敏感信息���。報(bào)告可包括事件信息,如連接的源和目的地址��、活動(dòng)的類型����、下載的文件���、使用的協(xié)議等,以及可以是可采取行動(dòng)的(例如�,改變嚴(yán)重程度的警報(bào))或勸告的(例如,提供可能不可獨(dú)立采取行動(dòng)的關(guān)于可疑活動(dòng)的信息)�。
[0017]事件分析子云20表示用于在歷史上以及近實(shí)時(shí)地存儲(chǔ)、處理和挖掘事件的云基礎(chǔ)設(shè)施���。子云20可實(shí)現(xiàn)用于數(shù)據(jù)挖掘警