用于检测针对基于云的机器的特定集合的定向网络攻击的系统和方法技术方案

提供了一种用于检测第二机器上由第一机器的引导定向攻击的系统。该系统包括应用，该应用包括用于以下各项的指令：根据第一参数，对针对攻击机器的警告进行分组；每组警告对应于由攻击机器中的相应机器执行的攻击；并且警告中的每个警告指示由攻击机器中的一个执行的可能的攻击；根据第二参数，对与实现云应用的受攻击机器相对应的元数据进行分组；基于与第二机器相对应的元数据组和一个或多个辅因子，评估相对于以下项的、与在第二机器上由第一机器执行的攻击相对应的一个或多个警告：与在其他机器上由第一机器执行的攻击或由攻击机器执行的攻击相关联的警告；向第二机器警告定向攻击。

Systems and methods for detecting directed network attacks against specific collections of cloud based machines

A system for detecting a directed attack directed by a first machine on a second machine is provided. The system includes an application, which includes instructions for: grouping the warnings against the attacking machine according to the first parameter; each group of warnings corresponds to an attack executed by the corresponding machine in the attacking machine; and each warning in the warning indicates a possible attack executed by one of the attacking machines; and according to the second parameter, the attack against and implementation of the cloud application The metadata corresponding to the attacking machine is grouped; based on the metadata group corresponding to the second machine and one or more cofactors, one or more warnings corresponding to the attack performed by the first machine on the second machine are evaluated: warnings related to the attack performed by the first machine on other machines or the attack performed by the attacking machine; warnings related to the second machine are evaluated 2. Machine warning directed attack.

【技术实现步骤摘要】
【国外来华专利技术】用于检测针对基于云的机器的特定集合的定向网络攻击的系统和方法
本公开涉及安全应用，并且更具体地涉及检测针对基于云的机器的特定集合的定向网络攻击。
技术介绍
本文提供的
技术介绍
描述是为了总体上呈现本公开的上下文。目前命名的专利技术人的工作，在本
技术介绍
部分描述的工作范围内，以及在提交时可能不具备其他资格作为现有技术的描述的方面，既不明确也不暗示地被承认为相对于本公开的现有技术。基于云的网络允许计算机处理和存储需要从本地网络移动到混合云或完全基于云的网络，同时满足数据安全访问要求。基于云的网络可以包括物理机(PM)和虚拟机(VM)。云应用可以经由PM和/或VM实现。可以从远程位置的组织的客户站访问云应用。
技术实现思路
在其他特征中，提供了一种用于检测第二机器上由第一机器的引导定向攻击的系统。第二机器在服务提供商的服务器计算机中被实现。该系统包括应用，该应用包括指令，被配置为根据第一一个或多个参数，对针对攻击机器的警告进行分组，其中：攻击机器包括第一机器；每组警告对应于由攻击机器中的相应一个攻击机器执行的攻击；并且警告中的每个警告指示由攻击机器中的一个攻击机器执行的可能的攻击。所述指令还被配置为：根据第二一个或多个参数，对与实现云应用的受攻击机器相对应的元数据进行分组，其中受攻击机器包括第二机器；并且基于与第二机器相对应的元数据组和一个或多个辅因子，评估相对于以下项中的至少一项的、与在第二机器上由第一机器执行的攻击相对应的一个或多个警告：(i)与在除了第二机器以外的机器上由第一机器执行的攻击相关联的警告，或(ii)与由攻击机器执行的攻击相关联的警告。指令还被配置为基于评估的结果向第二机器警告引导定向攻击。在其他特征中，一种用于检测在第二机器集合上由第一机器集合的引导定向攻击的系统，其中第二机器集合在服务提供商的基于云的网络中实现。该系统包括处理器、存储器和应用。应用被存储在存储器中并包括指令，指令可由处理器执行并且被配置为：根据第一一个或多个参数，对针地攻击机器的警告进行分组，其中攻击机器包括第一机器集合，其中每组警告对应于由第一机器中的对应机器执行的攻击，并且其中警告中的每个警告指示由攻击机器中的一个攻击机器执行的可能的攻击；并且根据第二一个或多个参数，对与实现云应用的受攻击机器相对应的元数据进行分组，其中受攻击机器包括第二机器集合。指令还被配置为：基于与第二机器集合相对应的元数据组以及一个或多个辅因子，评估相对于以下项中的至少一项的、与在第二机器集合上由第一机器集合执行的攻击相对应的一个或多个警告：(i)与在除了第二机器集合以外的机器上由第一机器执行的攻击相关联的警告，或(ii)与由攻击机器执行的攻击相关联的警告；并且基于评估结果向与第二机器集合相关联的客户警告引导定向攻击。在其他特征中，提供了一种非暂时性有形计算机可读介质，其存储可由处理器执行的指令，用于检测在第二机器上由第一机器的引导定向攻击。第二机器在服务器计算机中实现，服务器计算机在服务提供商的基于云的网络中实现。指令用于：根据第一一个或多个参数，对攻击机器的警告进行分组，其中攻击机器包括第一机器，其中每组警告对应于由攻击机器中的相应的一个攻击机器执行的攻击，并且其中警告中的每个警告指示由攻击机器中的一个攻击机器执行的可能攻击；并且根据第二一个或多个参数，对与实现云应用的受攻击机器相对应的元数据进行分组，其中受攻击机器包括第二机器。所述指令还被配置为：基于与所述第二机器相对应的元数据组和一个或多个辅因子，评估相对于以下项中的至少一项的、与在第二机器上由第一机器执行的攻击相对应的一个或多个警告：(i)与在除了第二机器以外的机器上由第一机器执行的攻击相关联的警告，或(ii)与由攻击机器执行的攻击相关联的警告；基于评估结果向第二机器警告引导定向攻击。根据具体实施方式、权利要求和附图，本公开的其他应用领域将变得显而易见。具体实施方式和具体示例仅用于说明的目的，并不旨在限制本公开的范围。附图说明图1是根据本公开的实施例的包括安全应用的安全系统的示例的功能框图。图2是根据本公开的实施例的定向检测系统的示例的功能框图。图3是根据本公开的实施例的客户端计算机的示例的功能框图。图4是根据本公开的实施例的包含应用的服务器计算机的示例的功能框图。图5示出了根据本公开的实施例的定向检测方法。在附图中，可以重复使用附图标记来标识相似和/或相同的元件。具体实施方式基于云的网络的安全应用可以监视例如去往和来自基于云的网络的PM和VM的业务。这可能包括监视组织的客户端计算机与PM和VM实现的访问应用之间的业务。安全应用检测业务模式中的异常并生成警告，警告可以被提供给安全管理员。安全管理员可能会收到许多警告。因此，安全管理员可以优先考虑警告的重要性并调查具有高优先级的警告。优先级可以基于警告的严重性。严重性是指与攻击相关的潜在负面影响的等级。严重性等级可以指示例如个人数据是否可能已经被访问，恶意代码是否已经被安装，软件和/或数据是否已被泄露，信息是否被窃取等。具有高严重性等级的警告可以被报告给客户。具有低严重性等级的警告可以被忽略，并且通常不会报告给客户。如本文所公开的并且除了在高严重性警告中报告的信息之外，在低严重性警告中报告的信息也可以用作定向攻击的指示符。定向攻击(本文中也称为“引导定向攻击”)是指引导到特定实体或实体组的攻击，其中实体是指PM或VM。例如定向攻击可以被引导到用户设备、一组用户设备、特定租户(例如客户和/或企业)、订阅的VM和/或PM、执行特定云应用的VM和/或PM、行业的VM和/或PM、地理区域(例如城市、州或国家)中的VM和/或PM等。订阅可以指例如一个或多个资源、容器、机器集合、企业机器的逻辑子集和/或业务单元。业务单元包括租户的PM和/或VM的集合。云服务提供商经由基于云的网络来供应资源(诸如具有对应可执行代码的软件应用、服务器计算机处理时间和/或存储)。云服务提供商使用VM或容器来实现基础架构即服务(IaaS)和平台即服务(PaaS)。容器包括处理、存储和应用资源。数据中心可以包括托管VM或容器的服务器计算机。每个服务器可以托管许多VM和/或容器。VM在客户操作系统上运行，并与管理程序对接，管理程序共享和管理服务器硬件并隔离VM。与VM不同，容器不需要安装完整的OS或主机服务器硬件的虚拟副本。容器可能包括一些软件模块和库，并且需要操作系统的某些部分的使用。由于占用空间减少，与虚拟机相比，可以在服务器上部署更多容器。定向攻击不是指由攻击机器执行的网络攻击(或非定向攻击)，该攻击机器在因特网上搜索攻击机器可以获得访问和控制的任意机器。这种类型的攻击通常包括攻击机器探测因特网以获得对任意机器的访问和控制。攻击机器通常具有攻击模式，使用相同的密码库，在一天中的某些时间执行攻击，以周期性模式执行攻击等。通常，非定向攻击连续发生在可以经由因特网访问的大多数(如果不是所有机器)机器上。如果受攻击的计算机具有安装的适当的基本安全软件，则这些类型的攻击本文档来自技高网...

【技术保护点】
1.一种用于检测第二机器上由第一机器的引导定向攻击的系统，其中所述第二机器在服务提供商的服务器计算机中被实现，所述系统包括：/n处理器；/n存储器；以及/n应用，被存储在所述存储器中并且包括指令，所述指令由所述处理器可执行并且被配置为：/n根据第一一个或多个参数，对针对第一多个机器的警告进行分组，其中所述第一多个机器包括所述第一机器，其中每组警告对应于由所述第一多个机器中的相应一个机器执行的攻击，并且其中所述警告中的每个警告指示由所述第一多个机器其中一个机器执行的可能的攻击，/n根据第二一个或多个参数，对与实现云应用的第二多个机器相对应的元数据进行分组，其中所述第二多个机器包括所述第二机器，/n基于与所述第二机器相对应的元数据组和一个或多个辅因子，评估相对于以下项中的至少一项的、与在所述第二机器上由所述第一机器执行的攻击相对应的一个或多个警告：(i)与在除了所述第二机器以外的机器上由所述第一机器执行的攻击相关联的警告，或者(ii)与由所述第一多个机器执行的攻击相关联的警告，/n基于所述评估的结果来向所述第二机器警告所述引导定向攻击。/n

【技术特征摘要】
【国外来华专利技术】20170406 US 15/481,1591.一种用于检测第二机器上由第一机器的引导定向攻击的系统，其中所述第二机器在服务提供商的服务器计算机中被实现，所述系统包括：
处理器；
存储器；以及
应用，被存储在所述存储器中并且包括指令，所述指令由所述处理器可执行并且被配置为：
根据第一一个或多个参数，对针对第一多个机器的警告进行分组，其中所述第一多个机器包括所述第一机器，其中每组警告对应于由所述第一多个机器中的相应一个机器执行的攻击，并且其中所述警告中的每个警告指示由所述第一多个机器其中一个机器执行的可能的攻击，
根据第二一个或多个参数，对与实现云应用的第二多个机器相对应的元数据进行分组，其中所述第二多个机器包括所述第二机器，
基于与所述第二机器相对应的元数据组和一个或多个辅因子，评估相对于以下项中的至少一项的、与在所述第二机器上由所述第一机器执行的攻击相对应的一个或多个警告：(i)与在除了所述第二机器以外的机器上由所述第一机器执行的攻击相关联的警告，或者(ii)与由所述第一多个机器执行的攻击相关联的警告，
基于所述评估的结果来向所述第二机器警告所述引导定向攻击。


2.根据权利要求1所述的系统，其中与在所述第二机器上由所述第一机器执行的所述攻击相对应的所述一个或多个警告是相对于在所述第二多个机器中的其他机器上由所述第一机器执行的攻击而被评估的，其中所述第二多个机器中的所述其他机器不包括所述第二机器。


3.根据权利要求1所述的系统，其中与在所述第二机器上由所述第一机器执行的所述攻击相对应的所述一个或多个警告是相对于在所述第二机器或所述第二多个机器中的其他机器中的至少一个上由所述第一多个机器中的其他机器执行的攻击而被评估的，其中所述第一多个机器中的所述其他机器不包括所述第一机器，并且其中所述第二多个机器中的所述其他机器不包括所述第二机器。


4.根据权利要求1所述的系统，其中：
评估与在所述第二机器上由所述第一机器执行的所述攻击相对...

【专利技术属性】
技术研发人员：J·加兹特，M·伊斯雷尔，H·H·纽沃思，
申请(专利权)人：微软技术许可有限责任公司，
类型：发明
国别省市：美国;US