The invention discloses a system and method for cloud detection, investigation and elimination of target attack. In an exemplary aspect, the system includes a computer protection module configured to collect information about objects in computers in the network, to store security notifications with the objects in the object database in the network, and to prevent target attacks, which is configured to search in a threat database in the network. The object; when the object is found in the threat database, one or more tags are added to the object, and the corresponding relationship between the records in the object database and the threat database is added; and when the one or more tags correspond to the signature in the computer attack database, it is determined that a computer attack has occurred.
【技术实现步骤摘要】
目标攻击的云检测、调查以及消除的系统和方法
本专利技术总体涉及计算机安全领域,并且特别涉及用于目标攻击的云检测、调查以及消除的系统和方法。
技术介绍
目前,计算机攻击以及传统的恶意软件(诸如病毒、网络网路蠕虫、键盘记录器、加密器等)已经变得普遍,特别是针对信息系统(计算设备以及用于将它们连接在一起的通信的总和,信息系统也被称为公司基础设施)的目标攻击(“TA”)和高级持续性威胁(“APT”)。黑客可能有从简单盗用员工的个人数据到工业间谍活动的多种目标。通常,黑客掌握有关于企业网络的架构、内部文档流程的原则、用于保护网络和计算机设备的手段的信息或针对信息系统的任何其它信息。该信息可让黑客绕开现有的防御手段,这些防御手段常常在它们的设置中不具备灵活性以满足信息系统的所有需求。用于防御恶意软件和计算机威胁的现有技术,诸如签名分析、启发式分析、仿真等,有一些阻止它们提供对目标攻击和其它计算机攻击的适当级别的保护的缺陷。例如,现有技术无法检测和调查先前未知的威胁、没有使用恶意软件的计算机攻击、复杂的攻击(使用技术绕开防御手段)以及长时间攻击(从几天到几年),其中,仅在一段时...
【技术保护点】
1.一种用于检测计算机攻击的方法,包括:使用硬件处理器收集关于网络中的计算机中的对象的信息;将具有所述对象的安全通知保存在所述网络中的对象数据库中;在所述网络中的威胁数据库中搜索所述对象;当在所述威胁数据库中发现所述对象时,则将一个或多个标签添加到所述对象,并添加所述对象数据库中的记录与所述威胁数据库之间的对应关系;以及当所述一个或多个标签对应于计算机攻击数据库中的签名时,则确定已经发生了计算机攻击。
【技术特征摘要】
2017.09.29 RU 2017133842;2017.10.18 US 62/573,830;1.一种用于检测计算机攻击的方法,包括:使用硬件处理器收集关于网络中的计算机中的对象的信息;将具有所述对象的安全通知保存在所述网络中的对象数据库中;在所述网络中的威胁数据库中搜索所述对象;当在所述威胁数据库中发现所述对象时,则将一个或多个标签添加到所述对象,并添加所述对象数据库中的记录与所述威胁数据库之间的对应关系;以及当所述一个或多个标签对应于计算机攻击数据库中的签名时,则确定已经发生了计算机攻击。2.根据权利要求1所述的方法,还包括:基于所述一个或多个标签在可疑活动数据库中搜索可疑活动;当在所述可疑活动数据库中发现可疑活动的标志时,则将第二标签添加到所述安全通知;以及当在计算机攻击数据库中发现所述对象、第一标签、第二标签时,则确定已经发生了计算机攻击。3.根据权利要求2所述的方法,其中,如果在所述计算机上已经发生预定事件或者已经执行了作为可疑活动的标志的预定动作,则仅添加所述第二标签。4.根据权利要求2所述的方法,还包括:当不确定所述计算机攻击的所述确定时,则执行以下操作中的一个操作:所述计算机的存储器转储以确认所述计算机攻击的所述确定和记录检测所述攻击的步骤。5.根据权利要求1所述的方法,其中,关于对象的所述信息包括所述对象的行为、所述计算机的操作系统中的事件、所述对象在网络之间交互的信息、攻击指标以及所述对象的元数据中的一者或多者。6.根据权利要求1所述的方法,其中,通过所述威胁数据库中的所述对象的校验和与所述对象数据库中所述对象的校验和之间的一致来定义所述对应关系。7.根据权利要求1所述的方法,其中,所述标签是与所述对象有关的特征或与由所述对象执行的事件有关的特征或与在所述对象上执行的事件有关的特征。8.根据权利要求1所述的方法,其中,所述对象包括文件、所述文件的哈希、进程、URL地址、IP地址、证书和文件执行日志中的一者或多者。9.根据权利要求1所述的方法,其中,所述安全通知包括收集的关于所述对象的信息。10.根据权利要求1所述的方法,其中,所述安全通知包括时间戳。11.一种用于检测计算机攻击的系统,包括:在硬件处理器上执行的计算机保护模块,所述计算机保护模块被配置用于:收集关于网络中的计算机中的对象的信息;以及将具有所述对象的安全通知保存在所述网络中的对象数据库中;在硬件处理器上执行的用于防止目标攻击的模块,所述防止目标攻击的模块被配置用于:在所述网络中的威胁数据库中搜索所述对象;当在所述威胁数据库中发现所述...
【专利技术属性】
技术研发人员:谢尔盖·V·戈尔德契克,康斯坦丁·V·萨普罗诺夫,尤里·G·帕尔辛,泰穆尔·S·凯尔哈巴罗夫,谢尔盖·V·索尔达托夫,
申请(专利权)人:卡巴斯基实验室股份制公司,
类型:发明
国别省市:俄罗斯,RU
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。