用于检测横向运动和数据泄漏的系统和方法技术方案

一种被配置为检测网络上的威胁活动的系统。该系统包括数字设备，该数字设备被配置为检测网络上的危害的一阶指示符，检测网络上的危害的二阶指示符，基于将网络上的上述危害的一阶指示符与上述网络上的危害的二阶指示符关联来生成风险得分，并且基于将风险得分与阈值相比较来生成至少一个事件警告。

【技术实现步骤摘要】
【国外来华专利技术】用于检测横向运动和数据泄漏的系统和方法
本专利技术的实施例涉及保护计算机和网络免受恶意软件和活动的影响。具体地，本专利技术的实施例涉及用于检测横向移动和数据渗出的系统和方法。
技术介绍
随着计算机网络的增长以及存储在由这些网络互连的计算机和数据库上的数据量的增长，获取对这些计算机和数据库的未授权访问的尝试也增长。这样的获取对计算机和数据库的未授权访问的尝试可以包括对潜在受害者进行有系统的侦察以标识流量模式和现有防止措施。用于获取对计算机和数据库的未授权访问的技术包括将恶意的软件或恶意软件加载到计算机上。这样的恶意软件被设计为破坏计算机操作，收集敏感信息，或向未授权的个体授予对计算机的访问。随着恶意软件的认知的增加，用于将恶意软件加载到计算机上的技术(也称为恶意软件感染)已经变得更加复杂。因此，使用结构化过程(例如签名和试探法匹配)或分析隔离上下文中的代理行为的传统安全解决方案无法检测到威胁活动，包括但不限于加载恶意软件、横向移动、数据泄露、欺诈事务和内部攻击。未能在计算机或网络上检测到这些类型的威胁活动可能导致高价值数据的丢失、受感染计算机和/或网络的停机时间或破坏、丢失生产力、以及恢复和修复受感染计算机和/或网络的高成本。此外，专注于检测感染或渗透目标系统的威胁行为的当前安全解决方案无法检测在当前系统中使用的复杂业务应用上和网络技术中的日益复杂的恶意软件，因为复杂的应用和协议允许威胁行为更容易隐藏以逃避检测。此外，当前安全解决方案无法检测到由恶意软件造成的数据泄露，其阻止企业正确评估和控制恶意软件感染系统造成的任何损害。这些类型的检测安全解决方案无法检测到对员工的社会工程攻击以及由流氓或心存不满的员工造成的恶意软件感染。
技术实现思路
一种被配置为检测网络上的威胁活动的系统。该系统包括数字设备，该数字设备被配置为检测网络上的一个或多个危害的一阶指示符，检测网络上的一个或多个危害的二阶指示符，基于将网络上的上述危害的一阶指示符与上述网络上的危害的二阶指示符关联来生成风险得分，并且基于将风险得分与阈值相比较来生成至少一个事件警告。从附图和随后的详细描述中，实施例的其他特征和优点将很清楚。附图说明在附图中通过示例而非限制的方式示出实施例，其中相同的附图标记表示相似的元件，并且在附图中：图1示出了根据一个实施例的包括被配置为检测威胁活动的系统的网络环境的框图；图2示出了根据一个实施例的用于检测网络上的威胁活动的方法的流程图；图3示出了根据一个实施例的用于检测一个或多个危害的二阶指示符的方法的框图；图4示出了根据一个实施例的客户端、终端用户设备或数字设备的实施例；以及图5示出了根据一个实施例的用于检测威胁活动的系统的实施例。具体实施方式用于检测威胁活动的系统的实施例被配置为在威胁杀伤链的高级阶段检测一个或多个威胁活动，包括网络和企业内的恶意软件对象的横向移动、数据收集和出口、以及受危害或欺诈性业务事务。该系统被配置为将保护范围扩展到完整的杀伤链。根据一个实施例，一种系统被配置为同时监测南北流量和东西流量。这样的系统配置有多个收集器，用于监测南北流量和东西流量。南北流量监测将检测内部(例如，公司网络或LAN)设备与外部(例如，外联网或因特网)设备(包括但不限于web服务器)之间的威胁活动。东西流量监测将检测内部设备(包括非军事区(DMZ)(也称为外围网络)中的设备)之中的威胁活动。东西流量可以包含在南北边界上看到的相同的一组网络协议、以及用于内部访问和数据共享的网络协议。东西协议的示例包括但不限于用于远程访问Windows计算机、活动目录服务和服务器消息块(“SMB”)用于文件共享的可靠的用户数据报协议(“RDP”)。部署收集器以监测南北和东西流量、并且通过一阶和二阶指示符提取来分析它们、并且在作为单个虚拟管理平台(asinglepaneofglass)的集中位置和界面中将它们关联的系统的实施例提供了无论威胁处于杀伤链中的哪个阶段、或者无论威胁是外部攻击还是内部攻击、或者无论威胁是否为渗透的横向移动都能检测威胁的好处。图1示出了根据一个实施例的包括被配置为检测威胁活动的系统的网络环境100的框图。在网络环境100中实施的系统和方法可以检测威胁活动、恶意活动，标识恶意软件，标识利用(exploit)，采取预防动作，生成签名，生成报告，确定恶意行为，确定目标信息，推荐用于防止攻击的步骤，和/或提供用于改进安全性的推荐。网络环境100包括通过通信网络106进行通信的数据中心网络102和生产网络104。数据中心网络102包括安全服务器108。生产网络104包括多个终端用户设备110。安全服务器108和终端用户设备110可以包括数字设备。数字设备是具有一个或多个处理单元和存储器的任何设备。图4和5示出了数字设备的实施例。安全服务器108是被配置为检测威胁活动的数字设备。对于一个实施例，安全服务器108从一个或多个数据收集器接收可疑数据。数据收集器可以驻留在网络设备内或者与网络设备通信，网络设备诸如入侵防止系统(“IPS”)收集器112a和112b、防火墙114a和114b、ICAP/WCCP收集器116、Milter邮件插件收集器118、交换机收集器120和/或接入点124。本领域技术人员将认识到，收集器和网络设备可以是两个单独的数字设备(例如，参见F/W收集器和IDS收集器)。对于一个实施例，数据收集器可以位于通信网络106内的一个或多个位置处。例如，可以包括分路器(tap)或跨接(span)端口(例如，交换机120处的跨接端口IDS收集器)的数据收集器被配置为拦截来自网络的网络数据。数据收集器可以被配置为检测可疑数据。可疑数据是由数据收集器收集的已经被数据收集器标记为可疑的任何数据和/或将在虚拟化环境内进一步处理的任何数据。在将数据标记为可疑和/或将所收集的数据提供给安全服务器108之前，数据收集器可以过滤数据。例如，数据收集器可以滤除纯文本但是收集可执行文件或批处理文件。此外，根据一个实施例，数据收集器可以执行智能收集。例如，数据可以被散列并且与白名单相比较。白名单可以标识安全的数据。在一个示例中，白名单可以将由可信实体数字签名的数据或从已知可信源接收的数据标识为安全。此外，白名单可以标识先前接收的已经被确定为安全的信息。如果数据先前被接收到，在环境内被测试并且被确定为足够可信，则数据收集器可以允许数据继续通过网络。本领域技术人员将认识到，可以由安全服务器108更新数据收集器(或与数据收集器相关联的代理)，以帮助数据收集器识别足够可信的数据并且在识别出不可信数据的情况下采取校正动作(例如，隔离并且警告管理员)。对于一个实施例，如果数据未被标识为安全，则数据收集器可以将数据标记为可疑用于进一步评定。本领域技术人员将认识到，一个或多个代理或其他模块可以监测网络流量的常见行为，并且可以配置数据收集器以当数据以落在正常参数之外的方式被引导时收集数据。例如，代理可以确定或被配置为检测计算机已经被停用，特定计算机通常不接收任何数据，由特定计算机接收的数据通常来自有限数目的来源，或者特定计算机通常不向某些目的地发送给定模式的数据。如果数据以不典型的方式被引导到数字设备，则数据收集器可以将这样的数据标记为可疑并且将可疑数据提供给本文档来自技高网...

【技术保护点】
1.一种被配置为检测网络上的威胁活动的系统，包括：数字设备，被配置为：检测网络上的危害的一阶指示符；检测所述网络上的危害的二阶指示符；基于将所述网络上的所述危害的一阶指示符与所述网络上的所述危害的二阶指示符关联来生成风险得分；基于将所述风险得分与阈值相比较来生成至少一个事件警告。

【技术特征摘要】
【国外来华专利技术】2015.11.09 US 14/936,6121.一种被配置为检测网络上的威胁活动的系统，包括：数字设备，被配置为：检测网络上的危害的一阶指示符；检测所述网络上的危害的二阶指示符；基于将所述网络上的所述危害的一阶指示符与所述网络上的所述危害的二阶指示符关联来生成风险得分；基于将所述风险得分与阈值相比较来生成至少一个事件警告。2.根据权利要求1所述的系统，还被配置为为至少一个网络设备生成行为简档。3.根据权利要求2所述的系统，其中所述系统被配置为基于处于多个级别的一个或多个活动来生成所述行为简档。4.根据权利要求2所述的系统，其中所述系统被配置为基于一个或多个试探法来生成所述行为简档。5.根据权利要求2所述的系统，其中所述系统被配置为基于机器学习来生成所述行为简档。6.根据权利要求3所述的系统，其中处于多个级别的所述一个或多个活动包括跨协议栈的网络流量模式。7.根据权利要求3所述的系统，其中处于多个级别的所述一个或多个活动包括两个或更多个网络设备之间的网络流量模式。8.根据权利要求3所述的系统，其中处于多个级别的所述一个或多个活动包括基于应用的网络流量模式。9.根据权利要求2所述的系统，其中所述系统被配置为基于至少一个端点设备的一个或多个行为模式来生成所述行为简档。10.根据权利要求2所述的系统，其中所述系统被配置为基于至少一个端点设备的一个或多个行为模式来生成所述行为简档。11.根据权利要求2所述的系统，其中所述系统被配置为基于终端用户设备的一个或多个行为模式来生成所述行为简档。12.根据权利要求2所述的系统，还包括被配置为进行以下操作的所述系统：检测所述网络上的所述至少一个网络设备的实时观察，将所述实时观察与所述网络上的所述至少一个网络设备的所述行为简档相比较，以及基于所述实时观察与所述网络上的所述至少一个网络设备的所述行为简档的所述比较来生成一个或多个异常。13.根据权利要求1所述的系统，还包括被配置为检测受危害设备的指示符的所述系统，并且其中被配置为生成所述风险得分的所述数字设备进一步基于将所述受危害设备的指示符与所述网络上的所述危害的一阶指示符和所述网络上的所述危害的二阶指示符关联。14.一种被配置为检测威胁活动的系统，包括：存储器；一个或多个处理器；以及被存储在存储器中并且被配置用于由所述一个或多个处理器执行的一个或多个模块，所述模块包括：收集模块，被配置为：检测网络上的危害的一阶指示符；检测所述网络上的危害的二阶指示符；数据标记模...

【专利技术属性】
技术研发人员：F·宫，A·伯特，F·加斯，
申请(专利权)人：西普霍特公司，
类型：发明
国别省市：美国,US