The topic of this manual is generally related to computer security. In some embodiments, a method includes receiving an attack indicator from a plurality of security data providers. Each intrusion indicator can include data that specifies one or more characteristics of one or more computer security threats. Each intrusion indicator may be configured to cause the computer to detect the presence of one or more specified characteristics of one or more computer security threats when processed by the computer. It can receive telemetry data of user's computing system. The telemetry data may include data describing at least one event detected at the computing system. Making telemetry data for a given user includes the determination of one or more characteristics specified by a given intrusion indicator.
【技术实现步骤摘要】
【国外来华专利技术】收集攻陷指示器用于安全威胁检测
本公开总体涉及计算机和网络安全。
技术介绍
计算机和数据通信网络经常遭受入侵攻击。入侵攻击可以采取多种形式,诸如蠕虫、病毒、网络钓鱼、间谍软件等。通常,所有这样的攻击都是由某种形式的恶意软件促成的。这种软件通常被称为恶意软件(malware)。恶意软件攻击可能会破坏计算机的操作和/或窃取敏感数据。为了保护计算机免受这样的攻击,网络管理员可以安装检测恶意软件并防止或减轻恶意软件攻击的影响的安全系统,诸如防病毒软件和/或防火墙。
技术实现思路
本说明书描述了用于收集攻陷指示器并使用攻陷指示器检测计算机系统的遥测数据中安全威胁的存在的系统、方法、设备和其他技术。总体上,本说明书中描述的主题的一个创新方面可以在一种方法中实现,所述方法包括从多个安全数据提供者接收攻陷指示器。每个攻陷指示器可以包括指定一个或多个计算机安全威胁的一个或多个特性的数据。每个攻陷指示器可以被配置为在由计算机处理时使计算机检测一个或多个计算机安全威胁的指定的一个或多个特性的存在。该方法可以包括从多个用户中的每个用户接收用户的计算系统的遥测数据。所述遥测数据可以包括描述在计算系统处检测的至少一个事件的数据。为给定用户做出给定用户的遥测数据包括由给定攻陷指示器指定的一个或多个特性的确定。该方面的其他实施例包括对应的系统、装置和编码在计算机存储设备上的计算机程序,其被配置为执行方法的动作。这些和其他实施方式可以可选地包括以下特征中的一个或多个。一些方面可以包括识别由给定攻陷指示器指示的安全威 ...
【技术保护点】
1.一种用于收集和检测攻陷指示器的方法,所述方法包括:/n从多个安全数据提供者接收攻陷指示器,每个攻陷指示器包括指定一个或多个计算机安全威胁的一个或多个特性的数据,每个攻陷指示器被配置为在由计算机处理时使计算机检测一个或多个计算机安全威胁的指定的一个或多个特性的存在;/n从多个用户中的每个用户接收用户的计算系统的遥测数据,所述遥测数据包括描述在所述计算系统处检测的至少一个事件的数据;以及/n为给定用户确定所述给定用户的遥测数据包括由给定攻陷指示器指定的一个或多个特性。/n
【技术特征摘要】
【国外来华专利技术】20161229 US 15/394,3771.一种用于收集和检测攻陷指示器的方法,所述方法包括:
从多个安全数据提供者接收攻陷指示器,每个攻陷指示器包括指定一个或多个计算机安全威胁的一个或多个特性的数据,每个攻陷指示器被配置为在由计算机处理时使计算机检测一个或多个计算机安全威胁的指定的一个或多个特性的存在;
从多个用户中的每个用户接收用户的计算系统的遥测数据,所述遥测数据包括描述在所述计算系统处检测的至少一个事件的数据;以及
为给定用户确定所述给定用户的遥测数据包括由给定攻陷指示器指定的一个或多个特性。
2.根据权利要求1所述的方法,还包括:
识别由所述给定攻陷指示器指示的安全威胁的类型;以及
基于由所述给定攻陷指示器指示的安全威胁的类型从一组动作中选择要执行的动作。
3.根据权利要求2所述的方法,其中,所述一组动作包括以下各项中的一个或多个:(i)从所述给定用户的计算系统中移除由所述给定攻陷指示器指示的安全威胁、(ii)启动对用户的计算系统的取证调查以及(iii)生成向用户通知由所述给定攻陷指示器指示的安全威胁的警报。
4.根据权利要求1所述的方法,还包括:
确定每个攻陷指示器的性能分数,攻陷指示器的性能分数至少部分地基于在用户的遥测数据中已经检测到由所述攻陷指示器指定的一个或多个特性的次数;以及
基于至少一个攻陷指示器的性能分数从对于其监视用户的遥测数据的一组攻陷指示器中移除至少一个攻陷指示器。
5.根据权利要求4所述的方法,还包括基于由给定安全数据提供者提供的每个攻陷指示器的性能分数来补偿所述给定安全数据提供者金额。
6.根据权利要求5所述的方法,其中,每个攻陷指示器的性能分数基于(i)在用户的遥测数据中由攻陷指示器指定的一个或多个特性的真检测的数量和(ii)在用户的遥测数据中由攻陷指示器指定的一个或多个特性的假检测的数量之间的差。
7.根据权利要求5所述的方法,其中,所述金额基于以下各项中的至少一个:所述攻陷指示器的相关性或用于识别在用户的遥测数据中由攻陷指示器指定的一个或多个特性的数据处理搜索成本。
8.根据权利要求4所述的方法,还包括:
基于每个攻陷指示器的成本和由用户指定的预算,为给定用户识别所述一组攻陷指示器的适当子组;以及
仅针对由攻陷指示器的所述适当子组指定的一个或多个特性来监视给定用户的遥测数据。
9.根据权利要求4所述的方法,还包括:
为给定用户识别给定用户已订阅的一组攻陷指示器的适当子组;以及
仅针对由攻陷指示器的所述适当子组指定的一个或多个特性来监视给定用户的遥测数据。
10.根据权利要求1所述的方法,还包括更新至少一个用户的计算系统以提供与由接收的攻陷指示器指定的给定特性有关的数据。
11.根据权利要求1所述的方法,其中,至少一个攻陷指示器包括用于评估用户的遥测数据的一组规则。
12.根据权利要求1所述的方法,其中...
【专利技术属性】
技术研发人员:CS纳钦伯格,M拉莫思布拉萨德,S纳吉布扎德,
申请(专利权)人:编年史有限责任公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。