收集攻陷指示器用于安全威胁检测制造技术

本说明书的主题总体涉及计算机安全。在一些实施方式中，一种方法包括从多个安全数据提供者接收攻陷指示器。每个攻陷指示器可以包括指定一个或多个计算机安全威胁的一个或多个特性的数据。每个攻陷指示器可以被配置为在由计算机处理时使计算机检测一个或多个计算机安全威胁的指定的一个或多个特性的存在。可以接收用户的计算系统的遥测数据。遥测数据可以包括描述在计算系统处检测的至少一个事件的数据。做出给定用户的遥测数据包括由给定攻陷指示器指定的一个或多个特性的确定。

Collect intrusion indicators for security threat detection

The topic of this manual is generally related to computer security. In some embodiments, a method includes receiving an attack indicator from a plurality of security data providers. Each intrusion indicator can include data that specifies one or more characteristics of one or more computer security threats. Each intrusion indicator may be configured to cause the computer to detect the presence of one or more specified characteristics of one or more computer security threats when processed by the computer. It can receive telemetry data of user's computing system. The telemetry data may include data describing at least one event detected at the computing system. Making telemetry data for a given user includes the determination of one or more characteristics specified by a given intrusion indicator.

【技术实现步骤摘要】
【国外来华专利技术】收集攻陷指示器用于安全威胁检测
本公开总体涉及计算机和网络安全。
技术介绍
计算机和数据通信网络经常遭受入侵攻击。入侵攻击可以采取多种形式，诸如蠕虫、病毒、网络钓鱼、间谍软件等。通常，所有这样的攻击都是由某种形式的恶意软件促成的。这种软件通常被称为恶意软件(malware)。恶意软件攻击可能会破坏计算机的操作和/或窃取敏感数据。为了保护计算机免受这样的攻击，网络管理员可以安装检测恶意软件并防止或减轻恶意软件攻击的影响的安全系统，诸如防病毒软件和/或防火墙。
技术实现思路
本说明书描述了用于收集攻陷指示器并使用攻陷指示器检测计算机系统的遥测数据中安全威胁的存在的系统、方法、设备和其他技术。总体上，本说明书中描述的主题的一个创新方面可以在一种方法中实现，所述方法包括从多个安全数据提供者接收攻陷指示器。每个攻陷指示器可以包括指定一个或多个计算机安全威胁的一个或多个特性的数据。每个攻陷指示器可以被配置为在由计算机处理时使计算机检测一个或多个计算机安全威胁的指定的一个或多个特性的存在。该方法可以包括从多个用户中的每个用户接收用户的计算系统的遥测数据。所述遥测数据可以包括描述在计算系统处检测的至少一个事件的数据。为给定用户做出给定用户的遥测数据包括由给定攻陷指示器指定的一个或多个特性的确定。该方面的其他实施例包括对应的系统、装置和编码在计算机存储设备上的计算机程序，其被配置为执行方法的动作。这些和其他实施方式可以可选地包括以下特征中的一个或多个。一些方面可以包括识别由给定攻陷指示器指示的安全威胁的类型，并且基于由给定攻陷指示器指示的安全威胁的类型从一组动作中选择要执行的动作。该一组动作可以包括以下各项中的一个或多个：(i)从给定用户的计算系统中移除由给定攻陷指示器指示的安全威胁、(ii)启动对用户的计算系统的取证调查以及(iii)生成向用户通知由给定攻陷指示器指示的安全威胁的警报。一些方面可以包括确定每个攻陷指示器的性能分数。攻陷指示器的性能分数可以至少部分地基于在用户的遥测数据中已经检测到由所述攻陷指示器指定的一个或多个特性的次数。可以基于至少一个攻陷指示器的性能分数从对于其监视用户的遥测数据的一组攻陷指示器中移除至少一个攻陷指示器。一些方面可以包括基于由给定安全数据提供者提供的每个攻陷指示器的性能分数来补偿所述给定安全数据提供者金额(amount)。每个攻陷指示器的性能分数可以基于(i)在用户的遥测数据中由攻陷指示器指定的一个或多个特性的真检测的数量和(ii)在用户的遥测数据中由攻陷指示器指定的一个或多个特性的假检测的数量之间的差。所述金额可以基于以下各项中的至少一个：所述攻陷指示器的相关性或用于识别在用户的遥测数据中由攻陷指示器指定的一个或多个特性的数据处理搜索成本。一些方面可以包括基于每个攻陷指示器的成本和由用户指定的预算，为给定用户识别所述一组攻陷指示器的适当子组。可以仅针对由攻陷指示器的所述适当子组指定的一个或多个特性来监视给定用户的遥测数据。一些方面可以包括为给定用户识别给定用户已订阅的一组攻陷指示器的适当子组。可以仅针对由攻陷指示器的所述适当子组指定的一个或多个特性来监视给定用户的遥测数据。一些方面可以包括更新至少一个用户的计算系统以提供与由接收的攻陷指示器指定的给定特性有关的数据。至少一个攻陷指示器可以包括用于评估用户的遥测数据的一组规则。在一些方面，由特定攻陷指示器指定的一个或多个安全威胁可以包括全部都属于同一类别的安全威胁的多个安全威胁。由特定攻陷指示器指定的一个或多个安全威胁可以包括作为彼此的变体的多个安全威胁。可以实现本说明书中描述的主题的特定实施例，以便实现以下优点中的一个或多个。通过评价攻陷指示器的性能，系统可以过滤掉具有低性能(例如，小于阈值性能分数)的攻陷指示器。这种过滤导致系统用于识别遥测数据中的安全威胁的攻陷指示器的数量的减少，这反过来导致系统在检测安全威胁时消耗的计算资源量的减少。通过减少检测安全威胁时消耗的计算资源量，系统可以更快且更有效地识别安全威胁并对其进行响应，这可以减少由安全威胁造成的损害。此外，更多计算资源可用于执行其他任务，诸如评价攻陷指示器的性能、接收新的攻陷指示器等。通过基于质量和/或性能来补偿攻陷指示器的提供者，提供者被鼓励更快地提供更高质量和更相关的攻陷指示器。此外，使攻陷指示器的性能基于与在遥测数据中检测攻陷指示器相关联的数据处理成本，提供者被鼓励以提供更有效的攻陷指示器。允许诸如研究人员、事件响应者和信息技术专业人员的用户上传包括用户已检测到或反向工程的安全威胁的特性的攻陷指示器，使先前不可用的安全威胁数据可供其他人使用。例如，已识别安全威胁的用户可以上传指定安全威胁的特性的攻陷指示器，而不是生成和销售防止或纠正威胁的软件。识别和收集未利用的安全威胁数据使威胁检测更稳健，并能够更快地检测更多安全威胁和新安全威胁。以下参考附图描述前述主题的各种特征和优点。根据本文描述的主题和权利要求，其他特性和优点是显而易见的。附图说明图1描绘了示例环境，其中安全情报系统接收攻陷指示器并使用攻陷指示器来检测安全威胁。图2描绘了用于评价攻陷指示器的性能并从对于其监视用户的遥测数据的一组攻陷指示器中移除低性能攻陷指示器的示例过程的流程图。图3是用于响应于确定计算系统被攻陷识别要执行的动作并执行所述动作的示例过程的流程图。图4是用于补偿攻陷指示器提供者的示例过程的流程图。具体实施方式总体上，本公开描述了用于收集攻陷指示器(indicatorofcompromise,“IOC”)并使用IOC来识别已经例如被恶意软件或黑客攻击攻陷的计算系统的系统、方法、设备和其他技术。系统可以使诸如研究人员、事件响应者、信息技术专业人员的用户和其他用户能够上传和共享可用于识别被攻陷的计算系统的IOC。IOC可以指定计算机安全威胁的一个或多个特性。例如，用户可以对新僵尸网络(botnet)进行逆向工程并生成指定该新僵尸网络的特性的IOC。系统可以评价IOC的性能并滤除低性能IOC或阻挡低性能IOC的提供者。因此，该系统使得能够快速评估多个不同的IOC。此外，相对于其他IOC最有效的IOC基于其性能而浮现。这有助于安全检测和缓解的
，因为该系统能够快速且可靠地评估各种竞争IOC并识别最佳性能IOC。可以激励上传IOC的用户以构建与实际安全威胁相关的高性能IOC。例如，“排行榜”可以列出设计高性能IOC并且同意被包括在排行榜中的用户。甚至可以因高性能IOC(例如，因已经被用于检测计算系统中至少阈值数量的安全威胁的IOC)而补偿用户。可以进一步评估这样的高性能IOC以披露针对IOC设计的“最佳做法”，从而有助于安全检测和缓解的
订户可以仅订阅某些IOC或订阅所有IOC。然后，系统可以使用订户已订阅的IOC来监视描述已经在订户的计算系统处发生的事件的数据，例如，从计算系统接收的遥测数据。提供了这些IOC的用户可以基于IOC的性本文档来自技高网...

【技术保护点】
1.一种用于收集和检测攻陷指示器的方法，所述方法包括：/n从多个安全数据提供者接收攻陷指示器，每个攻陷指示器包括指定一个或多个计算机安全威胁的一个或多个特性的数据，每个攻陷指示器被配置为在由计算机处理时使计算机检测一个或多个计算机安全威胁的指定的一个或多个特性的存在；/n从多个用户中的每个用户接收用户的计算系统的遥测数据，所述遥测数据包括描述在所述计算系统处检测的至少一个事件的数据；以及/n为给定用户确定所述给定用户的遥测数据包括由给定攻陷指示器指定的一个或多个特性。/n

【技术特征摘要】
【国外来华专利技术】20161229 US 15/394,3771.一种用于收集和检测攻陷指示器的方法，所述方法包括：
从多个安全数据提供者接收攻陷指示器，每个攻陷指示器包括指定一个或多个计算机安全威胁的一个或多个特性的数据，每个攻陷指示器被配置为在由计算机处理时使计算机检测一个或多个计算机安全威胁的指定的一个或多个特性的存在；
从多个用户中的每个用户接收用户的计算系统的遥测数据，所述遥测数据包括描述在所述计算系统处检测的至少一个事件的数据；以及
为给定用户确定所述给定用户的遥测数据包括由给定攻陷指示器指定的一个或多个特性。


2.根据权利要求1所述的方法，还包括：
识别由所述给定攻陷指示器指示的安全威胁的类型；以及
基于由所述给定攻陷指示器指示的安全威胁的类型从一组动作中选择要执行的动作。


3.根据权利要求2所述的方法，其中，所述一组动作包括以下各项中的一个或多个：(i)从所述给定用户的计算系统中移除由所述给定攻陷指示器指示的安全威胁、(ii)启动对用户的计算系统的取证调查以及(iii)生成向用户通知由所述给定攻陷指示器指示的安全威胁的警报。


4.根据权利要求1所述的方法，还包括：
确定每个攻陷指示器的性能分数，攻陷指示器的性能分数至少部分地基于在用户的遥测数据中已经检测到由所述攻陷指示器指定的一个或多个特性的次数；以及
基于至少一个攻陷指示器的性能分数从对于其监视用户的遥测数据的一组攻陷指示器中移除至少一个攻陷指示器。


5.根据权利要求4所述的方法，还包括基于由给定安全数据提供者提供的每个攻陷指示器的性能分数来补偿所述给定安全数据提供者金额。


6.根据权利要求5所述的方法，其中，每个攻陷指示器的性能分数基于(i)在用户的遥测数据中由攻陷指示器指定的一个或多个特性的真检测的数量和(ii)在用户的遥测数据中由攻陷指示器指定的一个或多个特性的假检测的数量之间的差。


7.根据权利要求5所述的方法，其中，所述金额基于以下各项中的至少一个：所述攻陷指示器的相关性或用于识别在用户的遥测数据中由攻陷指示器指定的一个或多个特性的数据处理搜索成本。


8.根据权利要求4所述的方法，还包括：
基于每个攻陷指示器的成本和由用户指定的预算，为给定用户识别所述一组攻陷指示器的适当子组；以及
仅针对由攻陷指示器的所述适当子组指定的一个或多个特性来监视给定用户的遥测数据。


9.根据权利要求4所述的方法，还包括：
为给定用户识别给定用户已订阅的一组攻陷指示器的适当子组；以及
仅针对由攻陷指示器的所述适当子组指定的一个或多个特性来监视给定用户的遥测数据。


10.根据权利要求1所述的方法，还包括更新至少一个用户的计算系统以提供与由接收的攻陷指示器指定的给定特性有关的数据。


11.根据权利要求1所述的方法，其中，至少一个攻陷指示器包括用于评估用户的遥测数据的一组规则。


12.根据权利要求1所述的方法，其中...

【专利技术属性】
技术研发人员：CS纳钦伯格，M拉莫思布拉萨德，S纳吉布扎德，
申请(专利权)人：编年史有限责任公司，
类型：发明
国别省市：美国;US