处理网络威胁制造技术

示例涉及处理网络威胁。在一个示例中，计算设备可以：从威胁检测器接收与多个网络设备中所包括的特定网络设备相关联的威胁数据；基于威胁数据来识别用于帮助补救与威胁数据相关联的威胁的特定分析操作；基于威胁数据来识别用于执行特定分析操作的附加数据；使多个网络设备中的至少一个网络设备的重新配置，该重新配置使重新配置的网络设备中的每个网络设备：i)收集附加数据，以及ii)向分析设备提供附加数据；以及从分析设备接收特定分析操作的特定分析结果。

Dealing with network threats

The example involves dealing with network threats. In one example, the computing device may receive threat data associated with a specific network device included in multiple network devices from a threat detector; identify specific analysis operations to help remediate threats associated with the threat data based on threat data, and identify the use of the threat data to perform specific points. Analysis of additional data for operations; reconfiguring at least one network device in multiple network devices, reconfiguring each network device in the reconfigured network device: I) to collect additional data, and II) to provide additional data to the analytical device; and a specific analysis node that receives specific analysis operations from the analytical device. Fruit.

【技术实现步骤摘要】
【国外来华专利技术】处理网络威胁
技术介绍
计算机网络和在计算机网络上操作的设备常常由于各种各样的原因而经历问题，例如，由于错配置、软件错误，以及恶意网络和计算设备攻击。在网络服务行业中，例如，在服务提供商提供在专用网络上操作的计算资源以供各种用户使用的情况下，专用网络的规模和复杂度可能使得检测和处理网络的问题较困难。损害的计算设备例如可能在恶意活动能够被识别和处理之前在专用网络内长时间以恶意方式操作。附图说明以下详细描述参考附图，其中：图1是用于处理网络威胁的示例计算设备的框图。图2是用于处理网络威胁的示例数据流。图3是用于处理网络威胁的示例方法的流程图。具体实施方式可以以各种方式检测出现在网络设备上的潜在问题网络活动。例如，可以在网络通信中识别恶意代码的签名、可以识别和确定网络数据包的源或目的地发源于已知是恶意的设备或去往已知是恶意的设备，和/或可以检测到指示恶意活动的网络业务中的模式。当识别到潜在的威胁时，可以向威胁处理设备提供与威胁有关的信息，可以以被设计为确保网络的安全的方式来处理威胁。威胁处理机可以基于向其提供的信息来确定一个或多个类型的分析，该分析要被执行以确定关于威胁的更多信息和/或为了确定如何补救威胁。在一些实施方式中，威胁处理机可以使用预先配置的指南(playbooks)(例如，预先配置的指令)以确定针对特定威胁信息威胁处理机如何进行。指南包括使威胁与可以用于分析和/或补救威胁的一个或多个分析操作和用于执行分析操作的一个或多个类型的信息相关联的数据。可以例如在编目表等等，或包括关联的数据的其他数据结构、用于执行分析以及获取用于执行分析的信息的可执行的指令，或包括关联的数据的规范文件中实施指南。威胁处理机例如可以使各种网络设备收集能够用于执行特定分析的数据，其结果可以用于识别特定威胁出现在网络上。在识别特定威胁之后，威胁处理机可以例如使用指南来确定威胁应当如何被补救,例如通过向网络控制器提供停止运转受影响的设备的指令。作为示例，DNS分析设备可以识别由网络上的特定计算设备发送的DNS业务中的异常。可以将可以包含关于异常的信息的警告发送到威胁处理机。威胁处理机可以使用指南来确定特定分析应当被执行以获取关于威胁的更多信息。特定分析可以利用当前在网络内没有被收集或评审的附加信息，诸如web代理日志、用户活动日志，和/或TCP/IP网络样本和计数器。威胁处理机可以通知诸如软件定义的网络(SDN)控制器之类的网络设备控制器来指示诸如SDN路由器和交换机之类的一个或多个网络设备收集附加信息。威胁处理机也可以指示分析设备执行特定分析。当分析设备从重新配置的网络设备接收附加信息时，可以随着将结果提供给威胁处理机执行特定分析。基于特定分析的结果，威胁处理机可以确定为了解决特定威胁要执行的另外的分析和/或要采取的补救措施。例如，威胁处理机可以基于特定分析的结果来确定网络上的计算设备感染了恶意软件，并且可以进一步确定到和来自受影响的计算设备的网络通信应当被阻止，直到恶意软件能够被去除。通过以上描述的方式处理网络威胁的能力可以促进对网络威胁的相对高效的识别和补救。例如，响应于识别出可以使用相对地轻量级的收集和分析识别的特定潜在的威胁，可以保留使用资源密集的数据收集和分析。另外，用于确定分析和补救措施的各种指南可以允许以各种方式处理潜在的威胁，并且创建新的指南或改变现存的指南的能力可以允许网络管理员适于新的威胁并且管理在网络中的单个点的许多威胁处理过程。在下述的段落中更加详尽地描述可以处理网络威胁的方式。现在参考附图，图1是用于处理网络威胁的计算设备100的示例的框图。计算设备100例如可以是服务器计算机、个人计算机、移动计算设备，或适于处理网络通信数据的任何其他电子设备。在图1的实施例中，计算设备100包括硬件处理器110和机器可读存储介质120。硬件处理器110可以是一个或多个中央处理单元(CPU)、基于半导体的微处理器，和/或适于读取和执行存储在机器可读存储介质120中的指令的其他硬件设备。硬件处理器110可以读取、解码，以及执行诸如122-130之类的指令，以控制用于处理网络威胁的进程。作为对读取和执行指令的替代或补充，硬件处理器110可以包括一个或多个电子电路，该电子电路包括用于执行一个或多个指令的功能的电子组件。在一些实施方式中，关于指令122-130在本文描述的功能可以被实施为包括硬件或硬件和编程的组合的引擎以实施引擎的功能。诸如120之类的机器可读存储介质可以是任何电子、磁性、光学，或包含或存储可执行指令的其他物理存储设备。因此，机器可读存储介质120例如可以是随机存取存储器(RAM)、电可擦可编程只读存储器(EEPRO)、存储驱动、光盘，等等。在一些实施方式中，存储介质120可以是非暂时性存储介质，其中术语“非暂时性”不包含暂时的传播信号。如以下详细描述的，可以利用用于处理网络威胁的一系列可执行指令：122-128，来对机器可读存储介质120进行编码。图1中所描绘的示例环境还包括威胁检测器140、网络设备150，以及分析设备160。威胁检测器140是向计算设备100提供威胁数据142的计算设备。威胁检测器例如可以是对网络通信或其他信息执行分析以确定潜在的威胁是否存在于网络内的分析设备。另一个示例威胁检测器140是网络路由器，该网络路由器包括用于识别特定威胁并且在识别出特定威胁时向计算设备100发送威胁数据的逻辑。在一些实施方式中，相同或不同类型的各种威胁检测器可以用于识别对网络和/或在网络上操作的设备的潜在的威胁。图1中所描绘的网络设备150可以包括能够直接地或间接地从计算设备100接收指令152的任何数量的网络设备。例如，网络设备150可以包括多个SDN交换机和路由器，其能够被配置为在网络数据包遍历网络设备150时收集和发送来自网络数据包的特定信息。其他类型的网络设备150例如可以包括诸如内容服务器和用户设备、分析设备、事件控制设备、网络分流器设备之类的端点设备，和能够与计算设备100进行通信的其他设备。分析设备160可以是被设计为向计算设备100提供分析结果162的一个或多个计算设备。分析可以例如用于识别和传送可以指示恶意或可能恶意的活动的在输入数据内发现的模式。网络可以包括多个分析设备，每个分析设备均能够执行其自己的分析操作和/或与其他分析设备一起工作以执行一个分析操作。由分析设备160执行的分析可以改变；例如，可以通过计算设备100来配置所执行的特定分析操作。如图1所示，计算设备100执行指令(122)以从威胁检测器140接收与多个网络设备中所包括的特定网络设备相关联的威胁数据142。例如，威胁检测器140可以是网络数据包捕捉设备，其在诸如服务器计算机之类的特定端点计算设备在特定时间段上载网络外的阈值量的数据时发送警告。可以将例如所传递的数据量的警告与包括关于潜在的威胁的一些信息的威胁数据142一起发送到计算设备100。在一些实施方式中，各种威胁检测器可以用于向计算设备提供各种不同类型的威胁数据。计算设备100执行指令(124)以基于威胁数据142来识别用于帮助补救与威胁数据142相关联的威胁的特定分析操作。使用上述示例，潜在的威胁可以是恶意实体使存储在端点设备上的敏感数据被上载到恶意实体。本文档来自技高网...

【技术保护点】
1.一种非暂时性机器可读存储介质，所述机器可读存储介质编码有由计算设备的硬件处理器可执行以用于处理网络威胁的指令，所述机器可读存储介质包括使所述硬件处理器进行以下操作的指令：从威胁检测器接收与多个网络设备中所包括的特定网络设备相关联的威胁数据；基于所述威胁数据，识别用于帮助补救与所述威胁数据相关联的威胁的特定分析操作；基于所述威胁数据，识别用于执行所述特定分析操作的附加数据；使所述多个网络设备中的至少一个网络设备重新配置，所述重新配置使重新配置的网络设备中的每个网络设备：i)收集所述附加数据，以及ii)向分析设备提供所述附加数据；以及从所述分析设备接收所述特定分析操作的特定分析结果。

【技术特征摘要】
【国外来华专利技术】1.一种非暂时性机器可读存储介质，所述机器可读存储介质编码有由计算设备的硬件处理器可执行以用于处理网络威胁的指令，所述机器可读存储介质包括使所述硬件处理器进行以下操作的指令：从威胁检测器接收与多个网络设备中所包括的特定网络设备相关联的威胁数据；基于所述威胁数据，识别用于帮助补救与所述威胁数据相关联的威胁的特定分析操作；基于所述威胁数据，识别用于执行所述特定分析操作的附加数据；使所述多个网络设备中的至少一个网络设备重新配置，所述重新配置使重新配置的网络设备中的每个网络设备：i)收集所述附加数据，以及ii)向分析设备提供所述附加数据；以及从所述分析设备接收所述特定分析操作的特定分析结果。2.根据权利要求1所述的机器可读存储介质，其中，所述指令进一步使所述硬件处理器用于：基于所述威胁数据从多个预定义的指南中识别响应指南，所述多个预定义的指南中的每个指南包括用于处理威胁数据的指令。3.根据权利要求2所述的机器可读存储介质，其中：所述特定分析操作被包括在所述响应指南中；并且所述附加数据被包括在所述响应指南中。4.根据权利要求2所述的机器可读存储介质，其中，所述指令进一步使所述硬件处理器用于：基于所述特定分析结果从所述多个预定义的指南中识别第二指南，所述第二指南不同于所述响应指南；使所述多个网络设备中的至少一个网络设备重新配置，所述重新配置使重新配置的网络设备中的每个网络设备：i)收集由所述第二指南指定的辅助数据，以及ii)向所述分析设备提供所述辅助数据；并且从所述分析设备接收第二分析结果。5.根据权利要求1所述的机器可读存储介质，其中，所述重新配置的网络设备中的每个网络设备是软件定义的网络设备。6.一种用于处理网络威胁的计算设备，所述计算设备包括：硬件处理器；以及数据存储设备，存储当由所述硬件处理器执行时使所述硬件处理器进行以下操作的指令：从威胁检测器接收与在网络上操作的多个客户端设备中所包括的特定客户端设备相关联的威胁数据；基于所述威胁数据，识别用于帮助补救与所述威胁数据相关联的威胁的特定分析操作；基于所述威胁数据，识别用于执行所述特定分析操作的附加数据；向收集设备提供使所述网络中所包括的多个软件定义的网络设备中的至少一个网络设备重新配置的指令，所述重新配置使重新配置的设备中的每个设备：i)收集所述附加数据，以及ii)向分析设备提供所述附加数据；以及从所述分析设备接收来自所述特定分析操作的特定分析结果。7.根据权利要求6所述的计算设备，其中，所...

【专利技术属性】
技术研发人员：西蒙·伊恩·阿内尔，马科·卡萨萨·蒙特，约朗塔·贝雷斯纳，特奥夫拉斯托·库卢里斯，乔恩·波特，
申请(专利权)人：慧与发展有限责任合伙企业，
类型：发明
国别省市：美国,US