计算系统上的定向攻击的检测和识别
阅读:596发布:2020-05-08
专利汇可以提供计算系统上的定向攻击的检测和识别专利检索,专利查询,专利分析的服务。并且获得恶意活动数据,其指示计算系统上的尝试的攻击。识别目标的聚类并且确定该恶意活动是否将一个目标聚类优先于其他目标聚类作为目标。而且,识别低流行度攻击并且确定低流行度攻击是否在目标聚类中的一个或多个中具有高集中度。如果恶意活动将一个聚类优先作为目标或者低流行度攻击在一个聚类中具有高集中度,则该攻击被识别为定向攻击,以使得可以采取补救步骤。,下面是计算系统上的定向攻击的检测和识别专利的具体信息内容。
1.一种计算系统,包括:
目标过滤逻辑单元,其接收指示被监视计算系统上的恶意活动的攻击数据并且对所述攻击数据应用目标过滤器以基于攻击目标对所述攻击数据进行聚类;
恶意活动安全系统,其在所述恶意活动优先攻击目标聚类的情况下将所述恶意活动识别为定向攻击,并且获得指示所述定向攻击的攻击特性和指示与所述定向攻击相对应的攻击方的身份的攻击方特性;以及
控制信号生成器逻辑单元,其控制用户接口机制以生成所述定向攻击的交互式指示,所述交互式指示包括所述攻击特性和所述攻击方特性。
2.根据权利要求1所述的计算系统,并且还包括:
信号丰富逻辑单元,其被配置为获得与所述攻击数据相对应的丰富属性,所述丰富属性指示所述攻击目标的特性,所述信号丰富逻辑单元被配置为将所述丰富属性添加至所述攻击数据,以使得所述目标过滤逻辑能够应用所述目标过滤器以基于所述攻击目标对所述攻击数据进行聚类。
3.根据权利要求2所述的计算系统,其中,所述信号丰富逻辑单元被配置为进一步获得指示所述恶意活动的特性的攻击特性作为与所述攻击数据相对应的所述丰富属性。
4.根据权利要求3所述的计算系统,其中,所述信号丰富逻辑单元被配置为进一步获得指示所述攻击方的身份的攻击方特性作为与所述攻击数据相对应的所述丰富属性。
5.根据权利要求4所述的计算系统,并且还包括:
攻击方过滤逻辑单元,其接收包括所述攻击方特性的所述丰富属性并且对所述攻击数据和所述丰富属性应用攻击方过滤器以基于所述攻击方特性对所述攻击数据进行聚类。
6.根据权利要求5所述的计算系统,并且还包括:
攻击过滤逻辑单元,其接收包括所述攻击特性的所述丰富属性并且对所述攻击数据和所述丰富属性应用攻击过滤器以基于所述攻击特性对所述攻击数据进行聚类。
7.根据权利要求6所述的计算系统,其中,所述恶意活动安全系统包括:
流行度过滤逻辑单元,其被配置为对所述攻击数据和所述丰富属性应用流行度过滤器以确定所述恶意活动是否跨所述被监视计算系统的用户相对于其他恶意活动具有相对低的流行度,以及在目标聚类上相对于所述恶意活动的数量具有相对高的流行度,并且如果是,则将所述恶意活动识别为定向攻击。
8.根据权利要求2所述的计算系统,其中,所述信号丰富逻辑单元被配置为获得指示所述攻击目标所执行的功能的角色数据作为指示所述攻击目标的所述特性的所述丰富属性,所述目标过滤逻辑单元被配置为应用所述目标过滤器以基于与所述攻击目标相对应的所述角色数据来对所述攻击数据进行聚类。
9.根据权利要求2所述的计算系统,其中,所述信号丰富逻辑单元被配置为获得指示所述攻击目标的地理位置的地理位置数据作为指示所述攻击目标的所述特性的所述丰富属性,所述目标过滤逻辑单元被配置为应用所述目标过滤器以基于与所述攻击目标相对应的所述地理位置数据来对所述攻击数据进行聚类。
10.根据权利要求2所述的计算系统,其中,所述信号丰富逻辑单元被配置为获得指示所述攻击目标所在部门的部门数据作为指示所述攻击目标的所述特性的所述丰富属性,所述目标过滤逻辑单元被配置为应用所述目标过滤器以基于与所述攻击目标相对应的所述部门数据来对所述攻击数据进行聚类。
11.一种计算机实现的方法,包括:
接收指示被监视计算系统上的恶意活动的攻击数据;
对所述攻击数据应用目标过滤器以基于攻击目标对所述攻击数据进行聚类;
在所述恶意活动优先攻击目标聚类的情况下将所述恶意活动识别为定向攻击;
如果所述恶意活动被识别为定向攻击,则获得指示所述定向攻击的攻击特性并且获得指示与所述定向攻击相对应的攻击方的身份的攻击方特性;以及
控制用户接口机制以生成所述定向攻击的交互式指示,所述交互式指示包括所述攻击特性和所述攻击方特性。
12.根据权利要求11所述的计算机实现的方法,并且还包括:
识别与所述攻击数据相对应的丰富属性,所述丰富属性指示所述攻击目标的特性;以及
将所述丰富属性添加至所述攻击数据,以使得所述目标过滤器能够被应用以基于所述攻击目标对所述攻击数据进行聚类。
13.根据权利要求12所述的计算机实现的方法,并且还包括:
将指示所述恶意活动的特性的攻击特性识别为与所述攻击数据相对应的所述丰富属性。
14.根据权利要求13所述的计算机实现的方法,并且还包括:
将指示所述攻击方的身份的攻击方特性识别为与所述攻击数据相对应的所述丰富属性。
15.一种计算系统,包括:
信号丰富逻辑单元,其被配置为接收指示被监视计算系统上的恶意活动的攻击数据并且获得与所述攻击数据相对应的丰富属性,所述丰富属性指示攻击目标的特性,所述信号丰富逻辑单元被配置为将所述丰富属性添加至所述攻击数据;
目标过滤逻辑单元,其对所述攻击数据和所述丰富属性应用目标过滤器以基于攻击目标对所述攻击数据进行聚类;
恶意活动安全系统,其在所述恶意活动优先攻击目标聚类的情况下将所述恶意活动识别为定向攻击,并且获得指示所述定向攻击的攻击特性和指示与所述定向攻击相对应的攻击方的身份的攻击方特性;以及
控制信号生成器逻辑单元,其控制用户接口机制以生成所述定向攻击的交互式指示,所述交互式指示包括所述攻击特性和所述攻击方特性。
计算系统上的定向攻击的检测和识别
背景技术
[0001] 计算系统目前被广泛使用。一些计算系统被部署为数据中心,或者用于为多个不同用户托管服务,等等。
[0002] 对于个人或组织而言,尝试获得对他们没有被授权访问的计算系统的访问并且随后在该计算系统上执行某一类型的恶意活动并不是罕见的。实际上,对于许多大型组织而言,这样的攻击和恶意软件几乎是日复一日地出现的。
[0003] 为了应对这些攻击,大多数组织都配备有基本的反恶意软件和安全机制。这些机制对于有时被称作商品攻击(commodity attack)的攻击的表现相对良好。商品攻击常常由尝试一般地攻击目标的攻击方所发起,而没有将特定目标作为兴趣焦点。然而,这些机制对于识别和中断更加定向性的攻击不能同样地起作用,其中,攻击方使得特定组织或者该组织内的个人或群体作为攻击的目标。这常常是因为这样的攻击方持续获取知识并且基于该知识来改变策略。例如,这样的攻击方会从在公司电子邮件系统上的攻击转移为通过社交媒体的攻击,等等。
[0004] 以上讨论仅是针对一般的背景信息所提供的,而不旨在用于帮助确定所要求保护的主题的范围。发明内容
[0005] 获得恶意活动数据,其指示计算系统上的尝试的攻击。识别目标的聚类并且确定该恶意活动是否将一个目标聚类优先于其他目标聚类作为目标。而且,识别低流行度攻击并且确定低流行度攻击是否在目标聚类中的一个或多个中具有高集中度。如果恶意活动将一个聚类优先作为目标或者低流行度攻击在一个聚类中具有高集中度,则该攻击被识别为定向攻击,以使得可以采取补救步骤。
[0006] 提供了该发明内容以用简化形式引入对在以下的具体实施方式中进一步描述的概念的选择。该发明内容不旨在标识所要求保护的主题的关键特征或必要特征,也不旨在用于帮助确定所要求保护的主题的范围。所要求保护的主题不限于解决背景技术中所提到的任何或全部缺点的实现。附图说明
[0007] 图1是计算系统架构的一个示例的框图。
[0008] 图2A和2B(在本文被统称为图2)图示了流程图,该流程图示出了图1所示的架构在识别定向攻击并且获得有关攻击方的信息以便能够采取补救步骤时的操作的一个示例。
[0009] 图3是示出了被部署在云计算架构中的图1所示的架构的框图。
[0010] 图4-6示出了可以在先前的附图中所示的架构中使用的移动设备的示例。
[0011] 图7是示出了可以在先前附图中所示的架构中使用的计算环境的一个示例的框图。
具体实施方式
[0012] 图1是计算系统架构100的一个示例的框图,所述计算系统架构包括被监视计算系统102(其可以是所托管的服务或者另一个计算系统)、定向攻击识别系统104、和补救动作系统106。图1还示出,在一个示例中,被监视计算系统102可以由用户系统108-110所访问,以使得用户112-114可以分别通过他们的用户计算系统108-110来访问被监视计算系统102。
[0013] 此外,图1示出了用户116(其可以是管理用户、待命工程师、或者另一个攻击响应方)能够访问定向攻击识别系统104或补救动作系统106中的任何一个或者二者。通常而言,定向攻击识别系统104接收指示已经关于被监视计算系统102所采取的恶意活动的恶意活动数据。其标识该恶意活动是否表示对计算系统102的定向攻击,并且如果是这样,则为用户116显现该信息。用户116接着可以访问补救动作系统106以采取补救动作来禁止该攻击继续,禁止未来的定向攻击,等等。还可以生成控制信号,从而系统104可以自动地控制系统106来采取补救动作。
[0014] 在更加详细地描述架构100的整体操作之前,将首先提供对架构100中的一些项目以及它们的操作的简要描述。被监视计算系统102可以是为用户112-114托管服务的计算系统,其可以是数据中心,或者其可以是另一个被监视计算系统。其说明性地包括一个或多个处理器或服务器118、数据存储单元120,将基于计算系统的类型而变化的多种不同的计算系统功能122,并且其可以包括宽泛的多种其他项目124。
[0015] 计算系统102还说明性地包括恶意活动检测系统126,其自身可以包括活动识别器逻辑单元128、目标识别器逻辑单元130、攻击方特性识别器逻辑单元132、攻击特性识别器逻辑单元133,并且其可以包括其他项目134。活动识别器逻辑单元128可以是识别在被监视计算系统102上发生的活动或事件并且确定其是否为恶意活动的模型或动态系统。活动识别器逻辑单元128的输出可以包括标识出被认为是恶意的活动或步骤序列或事件的活动标识符、它们被确实认定为恶意的指示、以及标识该逻辑单元128在将活动识别为恶意时具有的置信度的置信度分数。
[0016] 目标识别器逻辑单元130说明性地识别恶意活动的目标。例如,如果恶意活动被包含到一个或多个电子邮件消息中,则目标识别器逻辑单元130说明性地识别(多个)电子邮件消息的一个或多个接收方。其还可以识别目标的其他特性,例如目标在使用被监视计算系统102的组织中所扮演的角色、用户所在的部门、用户的物理位置、接收方域以及任何接收方标签,等等。
[0017] 攻击方特性识别器逻辑单元132说明性地识别攻击方的多种不同特性。同样,例如,在攻击被包含在电子邮件消息中的情况下,其可以识别该电子邮件消息的发送方、发送方域、发送方IP地址和/或IP范围、发送方的国家和位置,等等。
[0018] 攻击特性识别器逻辑单元133还可以说明性地识别攻击的不同特性。例如,其可以识别电子邮件消息的回复(Re:)行中的主题。其可以具体地识别电子邮件消息的特性(例如,将电子邮件地址行或URL中的O改变为零或者类似的欺诈特性、电子邮件中的URL、电子邮件中的附件哈希、电子邮件中的原始接收方、针对电子邮件标记的任何恶意软件族、关于电子邮件是否是钓鱼电子邮件或垃圾电子邮件的确定,等等)。攻击特性识别器逻辑单元133还可以基于其所识别的特性来对攻击(或恶意活动)进行聚类。这也可以由其他逻辑单元来完成。
[0019] 当恶意活动检测系统126识别出任何恶意活动时,其说明性地将其连同其已经活动或生成的其他信息一起发送至定向攻击识别系统104。系统104确定该恶意活动是否表示定向攻击。
[0020] 定向攻击识别系统104说明性地包括一个或多个处理器或服务器136、恶意活动安全系统138、数据存储单元140、攻击显现逻辑单元142(其自身可以控制信号生成逻辑单元143和其他项目145)、用户接口机制147,并且其可以包括宽泛的多种其他项目144。恶意活动安全系统138自身说明性地包括信号丰富逻辑单元145、目标/攻击方/攻击过滤和聚类逻辑单元146(在下文被称为聚类逻辑单元146)、流行度过滤逻辑单元148、定向攻击识别器逻辑单元149、攻击方简档生成器逻辑单元150,并且其可以包括各种宽泛的多种其他项目
152。恶意活动安全系统138说明性地以某种方式解析并过滤恶意活动信息,因此能够确定其是否表示定向攻击。
152。恶意活动安全系统138说明性地以某种方式解析并过滤恶意活动信息,因此能够确定其是否表示定向攻击。
[0021] 信号丰富逻辑单元145接收指示被监视计算系统102上的恶意活动的恶意活动信号并且利用能够用于聚类的丰富属性来对所述信号进行丰富。所述丰富属性例如可以包括目标识别器逻辑单元130所识别的目标信息、逻辑单元132所识别的攻击方特性、以及逻辑单元133所识别的攻击特性,等等。
[0022] 聚类逻辑单元146说明性地对恶意活动特性进行过滤以生成表示被该恶意活动作为目标的用户群组的目标聚类。其随后可以基于针对那些目标的攻击的特性来细化该聚类或者生成其他聚类。基于逻辑单元133所识别的攻击特性而生成的攻击聚类例如可以用于对该聚类进行细化以识别不同类别的攻击的目标。例如,聚类逻辑单元146可以基于被包含在攻击中的电子邮件消息的有效载荷或内容来细化目标聚类。这可以产生基于被不同类型的恶意活动作为目标而被分离的群组或聚类。聚类逻辑单元146可以基于由攻击方特性识别器逻辑单元132所识别的攻击方特征或特性再次对该聚类进行细化(或者可以生成其他聚类)。
[0023] 作为示例,假设组织中的研究群组被许多攻击方作为目标。目标聚类将所有这些攻击收集在一起以指示研究群组是目标。攻击方聚类接着基于攻击方信息将此细化为研究部门内的多个聚类或群组。例如,可以存在始终都被对手当作目标的子聚类或子群组。可以存在始终被一个或多个不良行动方当作目标的另一个子聚类或子群组。
[0024] 流行度处理逻辑单元跨整个租户或组织或者被监视计算系统102一般地识别攻击的流行度。其还识别攻击是否一般地跨该组织、租户或被监视计算系统102具有相对低的流行度(或活动频率),但是在单个目标或目标群组内具有高集中度。这些类型的定向攻击可能难以检测。这是因为它们通常流行度相对低,从而难以被识别。然而,如果它们以单个目标聚类或聚类群组作为目标,则即使它们跨租户、组织或计算系统102相对于其他攻击具有相对低的流行度,它们也会被识别为定向攻击。
[0025] 攻击方简档生成器逻辑单元150说明性地在攻击已经被识别为定向攻击时开始使用由攻击方特性识别器逻辑单元132所识别的攻击方特性来生成攻击方简档。该攻击方简档可以被监视以确定其是否随时间变化,该特定攻击方是否在提高或降低攻击频率,等等。
[0026] 攻击显现逻辑单元142说明性地使用控制信号生成器逻辑单元143来生成控制信号,所述控制信号控制系统104以生成指示由系统104所识别的一个或多个定向攻击的输出。该输出可以具有提供钻取(drilling)能力,从而用户能够向上钻取到关于该定向攻击的更多抽象(或整体)信息或者向下钻取到更多详细信息。
[0027] 一旦已经识别了定向攻击,则用户116可以调用补救动作系统106。系统104(例如,控制信号生成器逻辑单元143)还可以生成另外的控制信号以自动控制补救动作系统106。补救动作系统106说明性地基于所识别的定向攻击、攻击的类型、攻击方简档等来采取补救动作。
[0028] 图2A和2B(在本文被统称为图2)图示了流程图,该流程图示出了架构100在识别定向攻击、生成攻击方简档、以及控制系统106采取补救动作时的操作的一个示例。首先假设恶意活动分析系统138从被监视计算系统102中的恶意活动检测系统126获得了指示所尝试的攻击或恶意活动的恶意活动数据。获得该信息是由图2的流程图中的框160所指示的。在一个示例中,该恶意活动数据指示针对攻击方没有被授权访问的资源获取访问的尝试。这由框162所指示。该恶意活动数据可以指示执行另一种非授权动作的尝试,或者其也可以表示其他攻击。这由框164和166所指示。
[0029] 恶意活动安全系统138接着针对安全动作而选择恶意活动的或模式的集合(或者表示恶意活动或模式的信号)。这由框168所指示。信号丰富逻辑单元145接着利用能够被聚类逻辑单元146所使用的丰富属性来丰富那些信号。这由框161所指示。该丰富属性可以包括各种属性,例如由逻辑单元130所识别的目标信息163,由逻辑单元132所识别的攻击方特性165,由逻辑单元133所识别的攻击特性167,以及各种其他特性169。下文更加详细地描述能够被用来丰富恶意活动或模式的特性的一些示例。
[0030] 聚类逻辑单元146接着通过基于该恶意活动信号和丰富属性应用过滤器来识别并细化聚类。这由框170所指示。例如,聚类逻辑单元146可以通过基于目标属性163过滤恶意活动信号和丰富属性来生成目标的聚类。这由框171所指示。可以通过基于目标针对诸如租户之类的组织所实行的功能进行过滤来对目标聚类。这由框172所指示。作为示例,如果作为目标的用户是研究角色、财务角色,并且信号丰富逻辑单元已经利用该信息丰富了恶意活动或模式,则它们可以基于该信息而被过滤从而根据该角色或者目标所实行的功能来生成聚类。可以通过基于目标工作的部门进行过滤来对目标聚类,如框174所示。如框176所示,它们可以基于目标的物理位置或者以其他方式被聚类。一旦应用了过滤器并且将目标聚类,就可以通过应用过滤器以如框178所示基于攻击特性或者如框180所示基于攻击方的特性进行过滤来将聚类进一步被划分为子集或子聚类(或者可以生成另外的聚类)。
[0031] 作为示例,当目标被首次被过滤从而它们基于攻击目标的功能、部门、物理位置等被聚类时,这将识别出被作为目标的不同用户群组。当通过应用过滤器以基于攻击特性(例如,电子邮件中的有效载荷特征,或者其他攻击特性)进行过滤将聚类细化时,这将聚类分割为被具有不同特性的攻击作为目标的不同用户群组。接着,可以通过应用过滤器以基于攻击方的特性进行过滤来进一步细化初始聚类和子聚类。这将指示具有特性集合的攻击方是否优先对作为目标的群组或聚类之一进行攻击。
[0032] 一旦已经基于攻击、攻击方和目标生成了聚类,则定向攻击识别器149就确定攻击方或攻击方群组的恶意活动或者具有相似特性的攻击是否优先以目标聚类或目标聚类的集合作为目标。这由框182所指示。如果是,则恶意活动可以被识别为定向攻击。这由框184所指示。
[0033] 流行度过滤逻辑单元148还可以应用时间过滤器来广泛识别恶意活动的流行度,如框186所指示。在一个示例中,流行度由一种攻击的数量相对于所讨论群组中其他攻击的数量所表示。例如,假设一种恶意活动模式已经被识别为攻击。流行度过滤逻辑单元148可以应用过滤器以确定该攻击是否已经相对于特定类别的其他攻击被启动过相对高的次数。这由框186所指示。例如,可以跨国家181(或其他地理区域)、跨行业183、或者跨另一广泛流行度类别来识别被监视计算系统102上的攻击的流行度。逻辑单元148可以应用集中度过滤器来识别具体租户、租户的聚类、或租户的另一个聚类上是否存在某一集中度的恶意活动。
[0034] 定向攻击识别器149接着确定该恶意活动是否广泛地具有相对低的流行度,但是在具体租户或其他目标聚类上具有相对高的集中度。这由框188所指示。如果是,则该恶意活动也被识别为定向攻击。这由框190所指示。
[0035] 如果如框192所指示的还没有定向攻击被识别器149所识别,则处理跳转至框194,其中确定是否有任何另外的恶意活动或模式要被定向攻击识别系统104所考虑。如果是,则处理返回框160。
[0036] 在框192处,如果识别器149已经识别出定向攻击,则系统104控制攻击方简档生成器逻辑单元150开始基于由攻击方特性识别器逻辑单元132所识别的攻击方特性来构建攻击方简档。构建攻击方简档是由图2的流程图中的框196所指示的。
[0037] 此外,系统104控制攻击显现逻辑单元142生成并显现对定向攻击的交互式指示。这由框198所指示。例如,控制信号生成器逻辑单元143可以生成控制信号以控制用户接口机制147来显现交互式显示,所述交互式显示可以随钻取致动器一起被显现,所述钻取致动器可以用于向上钻取到有关攻击、攻击方、目标、其他攻击等的不太详细或更为概括的信息。其还可以具有一个或多个致动器以向下钻取到有关定向攻击、有关攻击方、有关目标等的更加详细的信息。
[0038] 而且,系统104或用户116接着可以控制补救动作系统106以便采取补救动作。例如,控制信号生成器逻辑单元143可以生成控制信号以控制补救动作系统106自动采取动作。这由框200所指示。补救动作可以被采取(自动地或者由用户)以停止或禁止定向攻击继续进行,禁止该攻击方或类似攻击方或者使用类似攻击特性的攻击方所进行的未来的定向攻击,或者执行其他补救动作。
[0039] 因此可以看出,该系统通过识别本来可能以未被识别的方式进行的定向攻击来大幅提升计算系统的安全性从而改进该计算系统。其应用各种过滤标准来识别目标聚类以及相对低流行度的攻击在小的目标群组上的集中度。其接着生成控制信号以控制输出逻辑生成并显现指示定向攻击的输出,从而使得能够采取补救动作。
[0040] 应当注意的是,上述讨论已经描述了多种不同的系统、组件、和/或逻辑单元。应当理解的是,这样的系统、组件、和/或逻辑单元可以由执行与那些系统、组件和/或逻辑单元相关联的功能的硬件项(例如,处理器和相关联的存储器,或者其他处理组件,在下文中描述了其中一些)组成。另外,系统、组件和/或逻辑单元可以由加载到存储器中并随后由处理器或服务器或者如下所述的其他计算组件执行的软件组成。系统、组件和/或逻辑单元还可以由硬件、软件、固件等(下文描述了其一些示例)的不同组合组成。这些仅仅是能够用于形成上文所描述的系统、组件和/或逻辑单元的不同结构的一些示例。也可以使用其他结构。
[0041] 本讨论可能已经提及了处理器和服务器。在一个示例中,处理器和服务器包括具有没有单独示出的相关联的存储器和定时电路的计算机处理器。它们是其所属的系统或设备的功能部分并且由那些系统中的其他组件或项目的功能所激活并且促进上述功能。
[0042] 而且,已经对多个用户接口显示进行了讨论。它们能够采用宽泛的多种不同的形式并且能够具有部署于其上的各种不同的用户可致动的输入机制。例如,用户可致动输入机制可以是文本框、勾选框、图标、链接、下拉菜单、搜索框等。它们还可以以宽泛的多种不同方式被致动。例如,它们能够使用指示和点击设备(例如,轨迹球或鼠标)被致动。它们能够使用硬件按钮、开关、操纵杆或键盘、拇指开关或拇指板等被致动。它们还能够使用虚拟键盘或其他虚拟制动器被致动。另外,在它们被显示于其上的屏幕是触摸感应屏幕时,它们能够使用触摸手势被致动。同样,在显示它们的设备具有话音识别组件的情况下,它们能够使用话音命令被致动。
[0043] 还已经讨论了多个数据存储单元。应当注意的是,它们中的每个能够被划分成多个数据存储单元。所有都能够位于访问它们的系统本地,所有都能够是远程的,或者一些可以是本地的而其他是远程的。在本文中预期到所有这些配置。
[0044] 而且,附图示出了具有归因于每个框的多个框。应当理解的是,可以使用更少的框因此功能由更少的组件来执行。同样,可以使用更多的框,其中功能在更多组件之间进行分布。
[0045] 图3是在图1中所示的架构100的框图,区别在于其元件被布置在云计算架构500中。云计算提供了不要求终端用户了解提供服务的系统的物理地点或配置的计算、软件、数据访问、和存储服务。在各种实施例中,云计算使用合适的协议来通过诸如互联网之类的广域网来提供服务。例如,云计算提供方通过广域网提供应用并且它们能够通过web浏览器或任何其他计算组件而被访问。架构100的软件或组件以及对应的数据能够被存储在远程地点处的服务器上。云计算环境中的计算资源能够在远程数据中心地点被合并或者它们可以是分散的。云计算基础结构可以通过共享数据中心来提供服务,即使它们对于用户表现为单个接入点。因此,在本文中所描述的组件和功能可以使用云计算架构从处于远程地点的服务提供方来提供。可替代地,它们可以从常规服务器来提供,或者它们可以直接被安装在客户端设备上,或者采用其他方式。
[0046] 该描述旨在包括公共云计算和私有云计算两者。云计算(公共的和私有的两者)提供大体上无缝的资源池化,以及对管理和配置底层硬件基础结构的降低的需求。
[0047] 公共云是由供应方管理的并且通常支持多个消费者使用同一基础结构。同样,与私有云不同,公共云能够使得终端用户免于管理硬件。私有云能够由组织自行管理并且该基础结构通常不与其他组织共享。该组织仍然要在一定程度上维护硬件,例如安装和维修等。
[0048] 在图3中所示的示例中,一些项目类似于在图1中所示的项目,并且它们被类似地编号。图3具体地示出了被监视计算系统102、定向攻击识别系统104以及补救动作系统106可以位于云502中(其可以是公共的,私有的,或者是其中部分是公共的而其他是私有的组合)。因此,用户108、112、114、和116使用用户设备504、506和508来通过云502访问那些系统。
[0049] 图3还描绘了云架构的另一示例。图3示出了还预期到架构100中的一些元件可以被布置在云502中而其他元件不被布置在云502中。作为示例,数据存储单元120、140可以被布置在云502之外,并且通过云502来访问。在另一示例中,定向攻击识别系统104(或其他项)可以在云502之外。无论它们位于何处,它们可以通过网络(广域网或局域网)由合适的用户设备直接访问,它们可以通过服务被托管在远程地点,或者它们可以通过云被提供为服务或者由驻留在云中的连接服务来访问。在本文中构想到所有这些架构。
[0050] 还应当注意的是,架构100或其部分能够被布置在宽泛的多种不同设备上。那些设备中的一些包括服务器、台式计算机、膝上型计算机、平板计算机、或其他移动设备,例如掌上计算机、蜂窝电话、智能电话、多媒体播放机、个人数字助理等。
[0051] 图4是能够用作其中可以部署本系统(或其部分)用户或客户端的手持设备16的手持或移动计算设备的一个说明性示例的简化框图。图5-6是手持或移动设备的示例。
[0052] 图4提供了可以运行组件架构100或用户设备504、506、和508或者可以与架构100进行交互或者这两者的客户端设备16的组件的一般框图。在设备16中,提供允许手持设备与其他计算设备进行通信的通信链路13,并且在某些实施例中,提供用于自动地接收信息(例如,通过扫描)的信道。通信链路13的示例包括红外端口、串行/USB端口、诸如以太网端口之类的有线网络端口、以及允许通过一个或多个通信协议进行通信的无线网络端口,其中所述一个或多个通信协议包括通用分组无线电服务(GPRS)、LTE、HSPA、HSPA+和其他3G与4G无线协议、1Xrtt和短消息服务(其是用于提供至网络的蜂窝接入的无线服务)、以及提供至网络的本地无线连接的Wi-Fi协议和蓝牙协议。
[0053] 在其他示例中,在连接至可移动安全数字(SD)卡接口15的SD卡上接收应用或系统。SD卡接口15和通信链路13沿着总线19与处理器17(其也可以实施来自先前附图的处理器或服务器)进行通信,其中,总线19也连接至存储器21和输入/输出(I/O)组件23、以及时钟25和定位系统27。
[0054] 在一个示例中,提供I/O组件23以促进输入和输出操作。设备16的各种示例的I/O组件23可以包括诸如按键、触摸传感器、多点触摸传感器、光学或视频传感器、语音传感器、触摸屏、接近度传感器、麦克风、倾斜传感器、和重力开关之类的输入组件,以及诸如显示设备、扬声器、和/或打印机端口之类的输出组件。也可以使用其他I/O组件23。
[0055] 时钟25说明性地包括输出时间和日期的实时时钟组件。其还可以说明性地为处理器17提供定时功能。
[0056] 定位系统27说明性地包括输出设备16的当前地理地点的组件。这可以包括例如全球定位系统(GPS)接收机、LORAN系统、航位推算系统、蜂窝三角测量系统、或其他定位系统。其还可以包括例如生成期望的地图、导航路线、和其他地理功能的地图软件或者导航软件。
[0057] 存储器21存储操作系统29、网络设置31、应用33、应用配置设置35、数据存储单元37、通信驱动器39、以及通信配置设置41。存储器21可以包括所有类型的有形的易失性和非易失性计算机可读存储器设备。其还可以包括计算机存储介质(在下文中所描述的)。存储器21存储计算机可读指令,所述计算机可读指令当由处理器17执行时,使得该处理器根据这些指令来执行计算机实现的步骤或功能。类似地,设备16可以具有客户端系统24,其能够运行各种应用或实施架构100的部分或全部。也可以由其他组件来激活处理器17以促进它们的功能。
[0058] 网络设置31的示例包括诸如代理信息、互联网连接信息、以及映射之类的事情。应用配置设置35包括针对具体的企业或用户来定制应用的设置。通信配置设置41提供用于与其他计算机进行通信的参数,并包括诸如GPRS参数、SMS参数、连接用户名和密码之类的项目。
[0059] 应用33可以是先前已经存储在设备16上的应用,或者在使用期间安装的应用,尽管这些应用也可以是操作系统29的一部分,或者托管在设备16外部。
[0060] 图5示出了在其中设备16是平板计算机600的一个示例。在图5中,计算机600被示为具有用户接口显示屏602。屏幕602可以是触摸屏(因此可以使用来自用户的手指的触摸手势来与应用进行交互),或者是从笔或者触摸笔接收输入的支持笔的接口。其也可以使用屏上虚拟键盘。当然,也可以通过合适的附接机制(例如,无线链路或者USB端口)来附接至键盘或者其他用户输入设备。计算机600也可以说明性地接收语音输入。
[0061] 图6示出了所述设备可以是智能电话71。智能电话71具有显示图标或图块(tile)或者其他用户输入机制75的触摸感应显示器73。用户可以使用机制75来运行应用、进行通话、执行数据传输操作等。通常而言,智能电话71构建在移动操作系统上,并且提供比特征电话更先进的计算能力和连通性。
[0062] 应当注意的是,其他形式的设备16是可能的。
[0063] 图7是其中可以部署架构100或其部分的计算环境的一个示例。参考图7,用于实现一些实施例的示例系统包括以计算机810为形式的通用计算设备。计算机810的组件可以包括但不限于:处理单元820(其可以包括来自先前附图的处理器或服务器)、系统存储器830、以及将包括系统存储器的各种系统组件耦合至处理单元820的系统总线821。系统总线821可以是几种类型的总线结构中的任何一种,包括使用多种总线架构中的任何一种的存储器总线或存储器控制器、外围总线、以及本地总线。作为示例而非限制,这样的架构包括工业标准结构(ISA)总线、微通道架构(MCA)总线、增强型ISA(EISA)总线、视频电子标准关联(VESA)本地总线、以及外围组件互连(PCI)总线(也被称为Mezzanine总线)。关于图1所描述的存储器和程序可以被部署在图7的对应的部分中。
[0064] 计算机810通常包括宽泛的多种计算机可读介质。计算机可读介质可以是能够由计算机810来访问的任何可用的介质,并且包括易失性介质和非易失性介质两者、可移动介质和不可以移动介质两者。作为示例而非限制,计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质不同于并且不包括经调制的数据信号或载波。计算机存储介质包括硬件存储介质,所述硬件存储介质包括以用于存储信息(例如,计算机可读指令、数据结构、程序模块、或其他数据)的任何方法或技术来实现的易失性和非易失性的、可以移动和不可移动的介质。计算机存储介质包括但不限于:RAM、ROM、EEPROM、闪速存储器或其他存储器技术、CD-ROM、数字通用盘(DVD)或者其他光盘存储、盒式磁带、磁带、磁盘存储或其他磁存储设备、或者可以用于存储期望的信息并且能够由计算机810来访问的任何其他介质。通常而言,通信介质实施计算机可读指令、数据结构、程序模块、或传输机制中的其他数据,并且包括任何信息传递介质。术语“经调制的数据信号”是指具有以关于将信息编码在信号中的方式设置或改变的一个或多个特性的信号。作为示例而非限制,通信介质包括诸如有线网络或直接有线连接之类的有线介质,以及诸如声学、RF、红外、和其他无线介质之类的无线介质。任何上述的组合也应当被包括在计算机可读介质的范围内。
[0065] 系统存储器830包括以易失性存储器和/或非易失性存储器为形式的计算机存储介质,例如只读存储器(ROM)831和随机存取存储器(RAM)832。通常将基本输入/输出系统833(BIOS)(其包括有助于例如在启动期间,在计算机810中的元件之间传输信息的基本例程)存储在ROM 831中。RAM 832通常包括可以由处理单元820立即访问和/或目前由处理单元820操作的数据和/或程序模块。作为示例而非限制,图7示出了操作系统834、应用程序
835、其他程序模块836、以及程序数据837。
835、其他程序模块836、以及程序数据837。
[0066] 计算机810还可以包括其他可移动/不可移动的易失性/非易失性计算机存储介质。仅仅作为示例,图7示出了从不可移动、非易失性磁介质中读取信息或者向其写入信息的硬盘驱动器841,以及用于从可移动、非易失性光盘856(例如,CD ROM或其他光学介质)中读取信息或者向其写入信息的光盘驱动器855。可以在示例性操作环境中使用的其他可移动/不可移动、易失性/非易失性计算机存储介质包括但不限于:盒式磁带、闪速存储器卡、数字通用盘、数字视频带、固态RAM、固态ROM等。硬盘驱动器841通常通过不可移动存储器接口(例如,接口840)而连接至系统总线821,而光盘驱动器855通常通过可移动存储器接口(例如,接口850)连接至系统总线821。
[0067] 可替代地或另外地,在本文中所描述的功能可以至少部分地由一个或多个硬件逻辑组件来执行。例如而非限制,可以使用的说明性类型的硬件逻辑组件包括:现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑器件(CPLD)等。
[0068] 在上文中讨论并在图7中示出的驱动器及其相关联的计算机存储介质提供对计算机可读指令、数据结构、程序模块、和针对计算机810的其他数据的存储。例如,在图7中,硬盘驱动器841被示出为对操作系统844、应用程序845、其他程序模块846、以及程序数据847进行存储。应当注意的是,这些组件可以与操作系统834、应用835、其他程序模块836、以及程序数据837相同或不同。在这里,给操作系统844、应用845、其他程序模块846、以及程序数据847以不同的标号从而至少说明它们是不同的复本。
[0069] 用户可以通过诸如键盘862、麦克风863、以及指点设备861(例如,鼠标、轨迹球、或触摸板)之类的输入设备来向计算机810中输入命令和信息。其他输入设备(未示出)可以包括:操纵杆、游戏手柄、碟式卫星天线、扫描仪等。这些和其他输入设备通常通过耦合至系统总线的用户输入接口860而连接至处理单元820,但也可以通过诸如并行端口、游戏端口、或通用串行总线(USB)之类的其他接口和总线结构而连接。视觉显示器891或者其他类型的显示设备也经由诸如视频接口890之类的接口而连接至系统总线821。除了监视器之外,计算机还可以包括其他外围输出设备,例如扬声器897和打印机896,它们可以通过输出外围接口895被连接。
[0070] 使用至一个或多个远程计算机(例如,远程计算机880)的逻辑连接来在网络化环境下操作计算机810。远程计算机880可以是个人计算机、手持设备、服务器、路由器、网络PC、对等设备、或其他公共网络节点,并且通常包括在上文中相对于计算机810所描述的元件中的许多个或全部元件。在图7中所描绘的逻辑连接包括局域网(LAN)871和广域网(WAN)873,但也可以包括其他网络。这样的网络环境在办公室、企业范围的计算机网络、内联网、以及互联网中是常见的。
[0071] 当在LAN网络环境中使用时,将计算机810通过网络接口或者适配器870连接至LAN 871。当在WAN网络环境中被使用时,计算机810通常包括调制解调器872、或者用于通过WAN
873(例如,互联网)来建立通信的其他单元。可以将调制解调器872(其可以是内置的或者外置的)经由用户输入接口860或者其他合适的机制连接至系统总线821。在网络化环境中,可以将相对于计算机810或其一部分所描述的程序模块存储在远程存储器存储设备中。作为示例而非限制,图7将远程应用885示出为驻留在远程计算机880上。应当理解的是,所示出的网络连接是示例性的,并且也可以使用在计算机之间建立通信链路的其他方式。
873(例如,互联网)来建立通信的其他单元。可以将调制解调器872(其可以是内置的或者外置的)经由用户输入接口860或者其他合适的机制连接至系统总线821。在网络化环境中,可以将相对于计算机810或其一部分所描述的程序模块存储在远程存储器存储设备中。作为示例而非限制,图7将远程应用885示出为驻留在远程计算机880上。应当理解的是,所示出的网络连接是示例性的,并且也可以使用在计算机之间建立通信链路的其他方式。
[0072] 还应当注意的是,可以以不同的方式对在本文中所描述的不同的示例进行组合。即,可以将一个或多个实施例的部分与一个或多个其他实施例的部分进行组合。在本文中构想到所有这些组合。
[0073] 示例1是一种计算系统,包括:
[0074] 目标过滤逻辑单元,其接收指示被监视计算系统上的恶意活动的攻击数据并且对所述攻击数据应用目标过滤器以基于攻击目标对所述攻击数据进行聚类;
[0075] 恶意活动安全系统,其在所述恶意活动优先攻击目标聚类的情况下将所述恶意活动识别为定向攻击,并且获得指示所述定向攻击的攻击特性和指示与所述定向攻击相对应的攻击方的身份的攻击方特性;以及
[0076] 控制信号生成器逻辑单元,其控制用户接口机制以生成所述定向攻击的交互式指示,所述交互式指示包括所述攻击特性和所述攻击方特性。
[0077] 示例2是根据之前任一个或全部示例的计算系统,并且还包括:
[0078] 信号丰富逻辑单元,其被配置为获得与所述攻击数据相对应的丰富属性,所述丰富属性指示所述攻击目标的特性,所述信号丰富逻辑单元被配置为将所述丰富属性添加至所述攻击数据,以使得所述目标过滤逻辑可以应用所述目标过滤器以基于所述攻击目标对所述攻击数据进行聚类。
[0079] 示例3是根据之前任一个或全部示例的计算系统,其中,所述信号丰富逻辑单元被配置为进一步获得指示所述恶意活动的特性的攻击特性作为与所述攻击数据相对应的所述丰富属性。
[0080] 示例4是根据之前任一个或全部示例的计算系统,其中,所述信号扩展逻辑单元被配置为进一步获得指示所述攻击方的身份的攻击方特性作为与所述攻击数据相对应的所述丰富属性。
[0081] 示例5是根据之前任一个或全部示例的计算系统,并且还包括:
[0082] 攻击方过滤逻辑单元,其接收包括所述攻击方特性的所述丰富属性并且对所述攻击数据和所述丰富属性应用攻击方过滤器以基于所述攻击方特性对所述攻击数据进行聚类。
[0083] 示例6是根据之前任一个或全部示例的计算系统,并且还包括:
[0084] 攻击过滤逻辑单元,其接收包括所述攻击特性的所述丰富属性并且对所述攻击数据和所述丰富属性应用攻击过滤器以基于所述攻击特性对所述攻击数据进行聚类。
[0085] 示例7是根据之前任一个或全部示例的计算系统,其中,所述恶意活动安全系统包括:
[0086] 流行度过滤逻辑单元,其被配置为对所述攻击数据和所述丰富属性应用流行度过滤器以确定所述恶意活动是否跨所述被监视计算系统的用户相对于其他恶意活动具有相对低的流行度,以及在目标聚类上相对于所述恶意活动的数量具有相对高的流行度,并且如果是,则将所述恶意活动识别为定向攻击。
[0087] 示例8是根据之前任一个或全部示例的计算系统,其中,所述信号丰富逻辑单元被配置为获得指示所述攻击目标所执行的功能的角色数据作为指示所述攻击目标的所述特性的所述丰富属性,所述目标过滤逻辑单元被配置为应用所述目标过滤器以基于与所述攻击目标相对应的所述角色数据来对所述攻击数据进行聚类。
[0088] 示例9是根据之前任一个或全部示例的计算系统,其中,所述信号丰富逻辑单元被配置为获得指示所述攻击目标的地理位置的地理位置数据作为指示所述攻击目标的所述特性的所述丰富属性,所述目标过滤逻辑单元被配置为应用所述目标过滤器以基于与所述攻击目标相对应的所述地理位置数据来对所述攻击数据进行聚类。
[0089] 示例10是根据之前任一个或全部示例的计算系统,其中,所述信号丰富逻辑单元被配置为获得指示所述攻击目标所在部门的部门数据作为指示所述攻击目标的所述特性的所述丰富属性,所述目标过滤逻辑单元被配置为应用所述目标过滤器以基于与所述攻击目标相对应的所述部门数据来对所述攻击数据进行聚类。
[0090] 示例11是一种计算机实现的方法,包括:
[0091] 接收指示被监视计算系统上的恶意活动的攻击数据;
[0092] 对所述攻击数据应用目标过滤器以基于攻击目标对所述攻击数据进行聚类;
[0093] 在所述恶意活动优先攻击目标聚类的情况下将所述恶意活动识别为定向攻击;
[0094] 如果所述恶意活动被识别为定向攻击,则获得指示所述定向攻击的攻击特性并且获得指示与所述定向攻击相对应的攻击方的身份的攻击方特性;以及
[0095] 控制用户接口机制以生成所述定向攻击的交互式指示,所述交互式指示包括所述攻击特性和所述攻击方特性。
[0096] 示例12是根据之前任一个或全部示例的计算机实现的方法,并且还包括:
[0097] 识别与所述攻击数据相对应的丰富属性,所述丰富属性指示所述攻击目标的特性;以及
[0098] 将所述丰富属性添加至所述攻击数据,以使得所述目标过滤器能够被应用以基于所述攻击目标对所述攻击数据进行聚类。
[0099] 示例13是根据之前任一个或全部示例的计算机实现的方法,并且还包括:
[0100] 识别指示所述恶意活动的特性的攻击特性作为与所述攻击数据相对应的所述丰富属性。
[0101] 示例14是根据之前任一个或全部示例的计算机实现的方法,并且还包括:
[0102] 识别指示所述攻击方的身份的攻击方特性作为与所述攻击数据相对应的所述丰富属性。
[0103] 示例15是根据之前任一个或全部示例的计算机实现的方法,并且还包括:
[0104] 对所述攻击数据和所述丰富属性应用攻击方过滤器以基于所述攻击方特性对所述攻击数据进行聚类;并且
[0105] 对所述攻击数据和所述丰富属性应用攻击过滤器以基于所述攻击特性对所述攻击数据进行聚类。
[0106] 示例16是根据之前任一个或全部示例的计算机实现的方法,其中将所述恶意活动识别为定向攻击包括:
[0107] 对所述攻击数据和所述丰富属性应用流行度过滤器以确定所述恶意活动是否跨所述被监视计算系统的用户相对于其他恶意活动具有相对低的流行度,以及在目标聚类上相对于所述恶意活动的数量具有相对高的流行度;并且
[0108] 如果是,则将所述恶意活动识别为定向攻击。
[0109] 示例17是根据之前任一个或全部示例的计算机实现的方法,其中识别丰富属性包括:
[0110] 识别指示所述攻击目标所执行的功能的角色数据作为指示所述攻击目标的所述特性的所述丰富属性,并且其中应用目标过滤器包括应用所述目标过滤器以基于与所述攻击目标相对应的所述角色数据来对所述攻击数据进行聚类。
[0111] 示例18是根据之前任一个或全部示例的计算机实现的方法,其中识别丰富属性包括:
[0112] 识别指示所述攻击目标的地理位置的地理位置数据作为指示所述攻击目标的所述特性的所述丰富属性,并且其中应用目标过滤器包括应用所述目标过滤器以基于与所述攻击目标相对应的所述地理位置数据来对所述攻击数据进行聚类。
[0113] 示例19是根据之前任一个或全部示例的计算机实现的方法,其中识别丰富属性包括:
[0114] 识别指示所述攻击目标所在部门的部门数据作为指示所述攻击目标的所述特性的所述丰富属性,并且其中应用目标过滤器包括应用所述目标过滤器以基于与所述攻击目标相对应的所述部门数据来对所述攻击数据进行聚类。
[0115] 示例20是一种计算系统,包括:
[0116] 信号丰富逻辑单元,其被配置为接收指示被监视计算系统上的恶意活动的攻击数据并且获得与所述攻击数据相对应的丰富属性,所述丰富属性指示攻击目标的特性,所述信号丰富逻辑单元被配置为将所述丰富属性添加至所述攻击数据;
[0117] 目标过滤逻辑单元,其对所述攻击数据和所述丰富属性应用目标过滤器以基于攻击目标对所述攻击数据进行聚类;
[0118] 恶意活动安全系统,其在所述恶意活动优先攻击目标聚类的情况下将所述恶意活动识别为定向攻击,并且获得指示所述定向攻击的攻击特性和指示与所述定向攻击相对应的攻击方的身份的攻击方特性;以及
[0119] 控制信号生成器逻辑单元,其控制用户接口机制以生成所述定向攻击的交互式指示,所述交互式指示包括所述攻击特性和所述攻击方特性。
[0120] 尽管已经用特定于结构特征和/或方法行为的语言描述了本主题,但应当理解的是,在所附权利要求中所定义的主题不一定限于在上文中所描述的具体的特征或行为。相反,在上文中所描述的具体的特征或行为是作为实现所述权利要求的示例形式而公开的。
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 基于对群组、团队和站点的分类的策略 | 2020-05-08 | 545 |
| 一种反应堆压力容器顶盖贯穿件定位方法 | 2020-05-08 | 712 |
| 一种浮球式ROV对接与释放装置 | 2020-05-11 | 522 |
| 用于电子设备的柔性热管道 | 2020-05-08 | 260 |
| 具有被配置成传送经同步的信号的多个操作部分的触控笔 | 2020-05-08 | 621 |
| 一种电力系统云服务的网络安全防护系统、装置及方法 | 2020-05-11 | 343 |
| 请求响应方法、装置、设备和存储介质 | 2020-05-11 | 868 |
| 一种含双吡唑环的化合物及其中间体的制备方法 | 2020-05-08 | 30 |
| 在支持免许可频带的无线通信系统中由基站发送下行链路信号的方法以及支持该方法的装置 | 2020-05-11 | 434 |
| 一种促伤口快速愈合的抗菌性医用敷料及其制备方法 | 2020-05-08 | 674 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
分析报告
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
QQ群二维码
意见反馈
意见反馈