数据处理中的入侵检测和缓解制造技术

安全管理器，被配置为生成多个学习的安全策略，并向客户端机器提供至少一个学习的安全策略和安全代理，以便由所述安全代理在所述客户端机器上执行所述至少一个学习的安全策略。安全管理器被配置为从安全代理接收指示客户端机器上的异常行为的警报。

Intrusion detection and mitigation in data processing

【技术实现步骤摘要】
【国外来华专利技术】数据处理中的入侵检测和缓解
本专利技术涉及计算机安全，尤其涉及入侵检测系统。
技术介绍
计算机安全系统保护存储在计算机系统中、在计算机系统上执行和/或在计算机系统之间传送的数据的机密性(例如，保护免受隐私破坏)、数据的完整性(例如，保护免受数据破坏)以及数据的可用性(例如，保护免受功能中断)。然而，对计算机系统的未授权入侵可能导致数据泄露和/或功能受限。未授权入侵可以利用各种攻击向量，诸如但不限于工作站侵扰、证书盗窃、利用(exploitation)(例如，缓冲区溢出、堆栈溢出等)、漏洞(例如，利用应用、内核等的编码弱点)以及逃脱到主机的攻击(escape-to-hostattacks)。传统的入侵检测系统可能遭受许多挑战，诸如生成过多数量的警报、需要重要的专业知识(例如，配置/维护入侵检测系统，以及解释来自入侵检测系统的输出)、以及具有过于严格的规则(例如，不允许授权的更新发生)或过于灵活的规则(例如，无法识别新的恶意攻击简档)。一些示例保护系统是防病毒工具、rootkit检测器和/或高级持久威胁(APT)工具，这些工具被配置为防止计算机感染，或针对已感染的计算机消除现有威胁。不利地，这些工具给使用它们的机器带来了巨大的资源负担(例如，运行时开销)。例如，这些工具可能需要检查每个传入的网络通信。另一个示例保护系统是执行策略配置，借此用户定义计算机系统的预期行为，以防止执行任何其他操作(例如，恶意代码)。不利的是，执行策略可能过于严格。例如，在使用执行策略时，操作系统更新和/或手动管理会话可能不切实际。另一个示例保护系统是白名单，其中具有未知或恶意内容的文件被阻止执行。但是，白名单可能无法阻止使用安全执行环境中常用的知名工具(例如，nmap或tcpdump)的攻击。另一示例保护系统是基于网络的入侵检测系统(NIDS)。不利的是，很难或不可能在网络级别检测到众多的攻击。另一个示例保护系统是基于主机的入侵检测系统(HIDS)，该系统通过检查与底层操作系统的交互来监视主机上应用程序的行为。但是，传统的HIDS无法监视在可能执行数百个不同容器和/或虚拟机的网络环境中进行的大量调用。现有技术解决方案包括2016年7月27日在IBM研究与发展杂志第60卷第4期第12:1-12:10页发表的作者为S.Barlev,Z.Basil,S.Kohanim,R.Peleg,S.Regev,A.Shulman-Peleg的“安全但可用–保护服务器和Linux容器”(“SecureYetUsable–ProtectingServersandLinuxContainers”,S.Barlev,Z.Basil,S.Kohanim,R.Peleg,S.Regev,A.Shulman-Peleg,27July2016,IBMJournalofResearchandDevelopment,Vol.60,Issue4,pgs.12:1-12:10)。因此，本领域中需要解决上述问题。
技术实现思路
从第一方面来看，本专利技术提供了一种用于管理入侵检测系统的计算机实现的方法，该方法包括：由客户端机器的安全代理拦截由利用所述客户端机器的第一执行环境生成的多个事件的第一子集，其中所述多个事件的所述第一子集根据第一学习的安全策略被拦截，其中所述第一学习的安全策略基于观察所述第一执行环境的操作而被学习，其中所述第一子集包括所述多个事件中的少于一半的事件，并且其中所述事件的第一子集中的至少一个事件是与恶意代码简档相关联的事件的类型；由所述安全代理基于针对所述第一执行环境的所述第一学习的安全策略，基于将至少一个拦截的事件与所述第一学习的安全策略的至少一个规则进行比较，来识别异常；以及响应于识别出异常，由所述安全代理执行缓解动作。从另一方面来看，本专利技术提供了一种用于管理入侵检测系统的计算机实现的方法，该方法包括：基于与合成的第一执行环境相关联的事件的子集，生成包含第一学习的安全策略的多个安全策略，其中与所述第一学习的安全策略相关联的至少一个规则是基于与恶意代码简档相关联的事件的类型；将所述多个安全策略存储在安全策略数据库中；向多个客户端提供至少所述第一学习的安全策略，其中所述第一学习的安全策略与由所述多个客户端部署的第一执行环境相关，其中所述多个客户端被配置为实施所述第一学习的安全策略；以及从第一客户端接收基于由部署在第一客户端上的第一执行环境生成的并且由第一客户端根据所述第一学习的安全策略拦截的至少一个拦截事件来识别异常的警报。从另一方面来看，本专利技术提供了一种用于管理入侵检测系统的计算机系统，该系统包括：处理器；有形计算机可读存储器，用于存储程序指令，当所述程序指令由所述处理器执行时，执行以下步骤：拦截由利用客户端机器的第一执行环境生成的多个事件的第一子集，其中所述多个事件的所述第一子集由第一学习的安全策略定义，其中所述第一学习的安全策略基于观察所述第一执行环境的操作而被学习，其中所述第一子集包括所述多个事件的少于一半的事件，并且其中所述事件的所述第一子集中的至少一个事件是与恶意代码简档相关联的事件的类型；基于针对所述第一执行环境的所述第一学习的安全策略，基于将至少一个拦截的事件与所述第一学习的安全策略的至少一个规则进行比较，来识别异常；以及响应于识别出异常而执行缓解动作。从另一方面来看，本专利技术提供了一种用于管理入侵检测系统的系统，包括：安全管理器，其包括处理器、存储处理器可执行指令的存储器、安全策略数据库和接口，其中所述安全管理器通信地耦合到多个节点；其中，所述安全管理器被配置为：基于与合成的第一执行环境相关联的少数事件而生成包含第一学习的安全策略的多个安全策略，其中与所述第一学习的安全策略相关联的至少一个规则是基于与恶意代码简档相关联的事件的类型；将所述多个安全策略存储在所述安全策略数据库中；向所述多个节点的子集提供相应的安全代理和至少所述第一学习的安全策略，其中所述节点的子集被配置为托管所述第一执行环境，其中相应的安全代理被配置为在所述节点的子集的相应节点上实施至少所述第一学习的安全策略；以及从提供给第一节点的第一安全代理接收基于由利用第一节点的第一执行环境生成的并且由第一安全代理根据第一学习的安全策略拦截的至少一个拦截事件来识别异常的警报。从另一方面来看，本专利技术提供了一种用于管理入侵检测系统的计算机程序产品，该计算机程序产品包括计算机可读存储介质，该计算机可读存储介质可由处理电路读取并且存储由处理电路执行以实现用于执行本专利技术的步骤的方法的指令。从另一方面来看，本专利技术提供了一种存储在计算机可读介质上并且可加载到数字计算机的内部存储器中的计算机程序，其包括软件代码部分，当所述程序在计算机上运行时，用于执行本专利技术的步骤。本公开的各方面涉及一种计算机实现的方法，包括由客户端机器的安全代理拦截由利用客户端机器的第一执行环境生成的多个事件的第一子集。可以根据第一学习的安全策略来拦截多个事件的第一子集。可以基于观察第一执行环境的操作来学习第一学习的安全策略。第一子集可以包括多个本文档来自技高网...

【技术保护点】
1.一种用于管理入侵检测系统的计算机实现的方法，该方法包括：/n由客户端机器的安全代理拦截由利用所述客户端机器的第一执行环境生成的多个事件的第一子集，其中所述多个事件的所述第一子集根据第一学习的安全策略被拦截，其中所述第一学习的安全策略基于观察所述第一执行环境的操作而被学习，其中所述第一子集包括所述多个事件中的少于一半的事件，并且其中所述事件的第一子集中的至少一个事件是与恶意代码简档相关联的事件的类型；/n由所述安全代理基于针对所述第一执行环境的所述第一学习的安全策略，基于将至少一个拦截的事件与所述第一学习的安全策略的至少一个规则进行比较，来识别异常；以及/n响应于识别出所述异常，由所述安全代理执行缓解动作。/n

【技术特征摘要】
【国外来华专利技术】20170726 US 15/660,0161.一种用于管理入侵检测系统的计算机实现的方法，该方法包括：
由客户端机器的安全代理拦截由利用所述客户端机器的第一执行环境生成的多个事件的第一子集，其中所述多个事件的所述第一子集根据第一学习的安全策略被拦截，其中所述第一学习的安全策略基于观察所述第一执行环境的操作而被学习，其中所述第一子集包括所述多个事件中的少于一半的事件，并且其中所述事件的第一子集中的至少一个事件是与恶意代码简档相关联的事件的类型；
由所述安全代理基于针对所述第一执行环境的所述第一学习的安全策略，基于将至少一个拦截的事件与所述第一学习的安全策略的至少一个规则进行比较，来识别异常；以及
响应于识别出所述异常，由所述安全代理执行缓解动作。


2.根据权利要求1所述的方法，还包括：
响应于识别出利用客户端机器的第一执行环境，由所述客户端机器的安全代理从安全策略数据库检索第一学习的安全策略；
其中，所述安全策略数据库包括多个学习的安全策略，其中，每个安全策略包括至少一个安全规则，并且其中，每个安全规则包括至少一个条件。


3.根据权利要求2所述的方法，其中，所述安全策略数据库包括安全规则表、安全策略表以及客户端机器表，其中，多个安全规则与至少一个安全策略相关联，其中，多个安全策略与至少一个安全规则相关联，其中，多个客户端机器与至少一个安全策略相关联，并且其中，多个安全策略与至少一个客户端机器相关联。


4.根据权利要求3所述的方法，还包括：
响应于确定所述客户端机器与所述安全策略数据库中的所述第一学习的安全策略和所述第二学习的安全策略相关联，由所述安全代理从所述安全策略数据库检索至少第二学习的安全策略。


5.根据前述权利要求中任一项所述的方法，其中，通过拦截由所述第一执行环境的仿真生成的仿真事件的子集并且基于所拦截的仿真事件的子集生成多个规则来学习所述第一学习的安全策略。


6.一种用于管理入侵检测系统的计算机实现的方法，该方法包括：
基于与合成的第一执行环境相关联的事件的子集，生成包含第一学习的安全策略的多个安全策略，其中与所述第一学习的安全策略相关联的至少一个规则是基于与恶意代码简档相关联的事件的类型；
将所述多个安全策略存储在安全策略数据库中；
向多个客户端提供至少所述第一学习的安全策略，其中所述第一学习的安全策略与由所述多个客户端部署的第一执行环境相关，其中所述多个客户端被配置为实施所述第一学习的安全策略；以及
从第一客户端接收基于由部署在所述第一客户端上的第一执行环境生成的并且由所述第一客户端根据所述第一学习的安全策略拦截的至少一个拦截的事件来识别异常的警报。


7.根据权利要求6所述的方法，其中所述多个安全策略被存储在有向无环图(DAG)中，所述有向无环图具有包括规则的安全策略作为节点，并且具有指示节点之间的关系的所述安全策略之间的连接作为边。


8.根据权利要求7所述的方法，其中提供所述第一学习的安全策略还包括：
响应于确定与第二学习的安全策略相对应的第二节点与与所述第一学习的安全策略相对应的第一节点共享所述DAG中的边，提供所述第二学习的安全策略。


9.根据权利要求6至8中任一项所述的方法，其中，生成多个安全策略还包括：
在第一时间间隔内拦截来自所述合成的第一执行环境的事件的第一子集；
基于来自所述合成的第一执行环境的所述事件的第一子集生成定义正常和异常行为的多个规则，其中相应规则与一个或多个条件相关联；
将所述多个规则作为用于所述第一执行环境的所述第一学习的安全策略存储在所述安全策略数据库中；以及
将所述第一学习的安全策略与所述多个客户端相关联。


10.根据权利要求6至9中任一项所述的方法，其中，所述第一学习的安全策略被配置为由所述多个客户端中的每个客户端基于与部署在每个客户端上的相应的第一执行环境相关联的相应参数来动态地改变。


11.一种用于管理入侵检测系统的计算机系统，该系统包括：
处理器；
有形的计算机可读存储器，用于存储程序指令，当所述程序指令由所述处理器执行时，执行以下步骤：
拦截由利用客户端机器的第一执行环境生成的多个事件的第一子集，其中所述多个事件的所述第一子集由第一学习的安全策略定义，其中所述第一学习的安全策略基于观察所述第一执行环境的操作而被学习，其中所述第一子集包括所述多个事件的少于一半的事件，并且其中所述事件的所述第一子集中的至少一个事件是与恶意代码简档相关联的事件的类型；
基于针对...

【专利技术属性】
技术研发人员：A·舒尔曼佩莱格，S·瑞格维，S·考哈尼曼，R·佩莱格，Z·巴瑟尔，
申请(专利权)人：国际商业机器公司，
类型：发明
国别省市：美国;US