【技术实现步骤摘要】
【国外来华专利技术】用于检测横向运动和数据泄漏的系统和方法
本专利技术的实施例涉及保护计算机和网络免受恶意软件和活动的影响。具体地,本专利技术的实施例涉及用于检测横向移动和数据渗出的系统和方法。
技术介绍
随着计算机网络的增长以及存储在由这些网络互连的计算机和数据库上的数据量的增长,获取对这些计算机和数据库的未授权访问的尝试也增长。这样的获取对计算机和数据库的未授权访问的尝试可以包括对潜在受害者进行有系统的侦察以标识流量模式和现有防止措施。用于获取对计算机和数据库的未授权访问的技术包括将恶意的软件或恶意软件加载到计算机上。这样的恶意软件被设计为破坏计算机操作,收集敏感信息,或向未授权的个体授予对计算机的访问。随着恶意软件的认知的增加,用于将恶意软件加载到计算机上的技术(也称为恶意软件感染)已经变得更加复杂。因此,使用结构化过程(例如签名和试探法匹配)或分析隔离上下文中的代理行为的传统安全解决方案无法检测到威胁活动,包括但不限于加载恶意软件、横向移动、数据泄露、欺诈事务和内部攻击。未能在计算机或网络上检测到这些类型的威胁活动可能导致高价值数据的丢失、受感染计算机和/或网络的停机时间或破坏、丢失生产力、以及恢复和修复受感染计算机和/或网络的高成本。此外,专注于检测感染或渗透目标系统的威胁行为的当前安全解决方案无法检测在当前系统中使用的复杂业务应用上和网络技术中的日益复杂的恶意软件,因为复杂的应用和协议允许威胁行为更容易隐藏以逃避检测。此外,当前安全解决方案无法检测到由恶意软件造成的数据泄露,其阻止企业正确评估和控制恶意软件感染系统造成的任何损害。这些类型的检测安全解决方案无法检测 ...
【技术保护点】
1.一种被配置为检测网络上的威胁活动的系统,包括:数字设备,被配置为:检测网络上的危害的一阶指示符;检测所述网络上的危害的二阶指示符;基于将所述网络上的所述危害的一阶指示符与所述网络上的所述危害的二阶指示符关联来生成风险得分;基于将所述风险得分与阈值相比较来生成至少一个事件警告。
【技术特征摘要】
【国外来华专利技术】2015.11.09 US 14/936,6121.一种被配置为检测网络上的威胁活动的系统,包括:数字设备,被配置为:检测网络上的危害的一阶指示符;检测所述网络上的危害的二阶指示符;基于将所述网络上的所述危害的一阶指示符与所述网络上的所述危害的二阶指示符关联来生成风险得分;基于将所述风险得分与阈值相比较来生成至少一个事件警告。2.根据权利要求1所述的系统,还被配置为为至少一个网络设备生成行为简档。3.根据权利要求2所述的系统,其中所述系统被配置为基于处于多个级别的一个或多个活动来生成所述行为简档。4.根据权利要求2所述的系统,其中所述系统被配置为基于一个或多个试探法来生成所述行为简档。5.根据权利要求2所述的系统,其中所述系统被配置为基于机器学习来生成所述行为简档。6.根据权利要求3所述的系统,其中处于多个级别的所述一个或多个活动包括跨协议栈的网络流量模式。7.根据权利要求3所述的系统,其中处于多个级别的所述一个或多个活动包括两个或更多个网络设备之间的网络流量模式。8.根据权利要求3所述的系统,其中处于多个级别的所述一个或多个活动包括基于应用的网络流量模式。9.根据权利要求2所述的系统,其中所述系统被配置为基于至少一个端点设备的一个或多个行为模式来生成所述行为简档。10.根据权利要求2所述的系统,其中所述系统被配置为基于至少一个端点设备的一个或多个行为模式来生成所述行为简档。11.根据权利要求2所述的系统,其中所述系统被配置为基于终端用户设备的一个或多个行为模式来生成所述行为简档。12.根据权利要求2所述的系统,还包括被配置为进行以下操作的所述系统:检测所述网络上的所述至少一个网络设备的实时观察,将所述实时观察与所述网络上的所述至少一个网络设备的所述行为简档相比较,以及基于所述实时观察与所述网络上的所述至少一个网络设备的所述行为简档的所述比较来生成一个或多个异常。13.根据权利要求1所述的系统,还包括被配置为检测受危害设备的指示符的所述系统,并且其中被配置为生成所述风险得分的所述数字设备进一步基于将所述受危害设备的指示符与所述网络上的所述危害的一阶指示符和所述网络上的所述危害的二阶指示符关联。14.一种被配置为检测威胁活动的系统,包括:存储器;一个或多个处理器;以及被存储在存储器中并且被配置用于由所述一个或多个处理器执行的一个或多个模块,所述模块包括:收集模块,被配置为:检测网络上的危害的一阶指示符;检测所述网络上的危害的二阶指示符;数据标记模...
【专利技术属性】
技术研发人员:F·宫,A·伯特,F·加斯,
申请(专利权)人:西普霍特公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。