【技术实现步骤摘要】
【国外来华专利技术】数据处理中的入侵检测和缓解
本专利技术涉及计算机安全,尤其涉及入侵检测系统。
技术介绍
计算机安全系统保护存储在计算机系统中、在计算机系统上执行和/或在计算机系统之间传送的数据的机密性(例如,保护免受隐私破坏)、数据的完整性(例如,保护免受数据破坏)以及数据的可用性(例如,保护免受功能中断)。然而,对计算机系统的未授权入侵可能导致数据泄露和/或功能受限。未授权入侵可以利用各种攻击向量,诸如但不限于工作站侵扰、证书盗窃、利用(exploitation)(例如,缓冲区溢出、堆栈溢出等)、漏洞(例如,利用应用、内核等的编码弱点)以及逃脱到主机的攻击(escape-to-hostattacks)。传统的入侵检测系统可能遭受许多挑战,诸如生成过多数量的警报、需要重要的专业知识(例如,配置/维护入侵检测系统,以及解释来自入侵检测系统的输出)、以及具有过于严格的规则(例如,不允许授权的更新发生)或过于灵活的规则(例如,无法识别新的恶意攻击简档)。一些示例保护系统是防病毒工具、rootkit检测器和/或高级持久威胁(APT)工具,这些工具被配置为防止计算机感染,或针对已感染的计算机消除现有威胁。不利地,这些工具给使用它们的机器带来了巨大的资源负担(例如,运行时开销)。例如,这些工具可能需要检查每个传入的网络通信。另一个示例保护系统是执行策略配置,借此用户定义计算机系统的预期行为,以防止执行任何其他操作(例如,恶意代码)。不利的是,执行策略可能过于严格。例如,在使用执行策略时,操作系统更新和/或手动管理 ...
【技术保护点】
1.一种用于管理入侵检测系统的计算机实现的方法,该方法包括:/n由客户端机器的安全代理拦截由利用所述客户端机器的第一执行环境生成的多个事件的第一子集,其中所述多个事件的所述第一子集根据第一学习的安全策略被拦截,其中所述第一学习的安全策略基于观察所述第一执行环境的操作而被学习,其中所述第一子集包括所述多个事件中的少于一半的事件,并且其中所述事件的第一子集中的至少一个事件是与恶意代码简档相关联的事件的类型;/n由所述安全代理基于针对所述第一执行环境的所述第一学习的安全策略,基于将至少一个拦截的事件与所述第一学习的安全策略的至少一个规则进行比较,来识别异常;以及/n响应于识别出所述异常,由所述安全代理执行缓解动作。/n
【技术特征摘要】
【国外来华专利技术】20170726 US 15/660,0161.一种用于管理入侵检测系统的计算机实现的方法,该方法包括:
由客户端机器的安全代理拦截由利用所述客户端机器的第一执行环境生成的多个事件的第一子集,其中所述多个事件的所述第一子集根据第一学习的安全策略被拦截,其中所述第一学习的安全策略基于观察所述第一执行环境的操作而被学习,其中所述第一子集包括所述多个事件中的少于一半的事件,并且其中所述事件的第一子集中的至少一个事件是与恶意代码简档相关联的事件的类型;
由所述安全代理基于针对所述第一执行环境的所述第一学习的安全策略,基于将至少一个拦截的事件与所述第一学习的安全策略的至少一个规则进行比较,来识别异常;以及
响应于识别出所述异常,由所述安全代理执行缓解动作。
2.根据权利要求1所述的方法,还包括:
响应于识别出利用客户端机器的第一执行环境,由所述客户端机器的安全代理从安全策略数据库检索第一学习的安全策略;
其中,所述安全策略数据库包括多个学习的安全策略,其中,每个安全策略包括至少一个安全规则,并且其中,每个安全规则包括至少一个条件。
3.根据权利要求2所述的方法,其中,所述安全策略数据库包括安全规则表、安全策略表以及客户端机器表,其中,多个安全规则与至少一个安全策略相关联,其中,多个安全策略与至少一个安全规则相关联,其中,多个客户端机器与至少一个安全策略相关联,并且其中,多个安全策略与至少一个客户端机器相关联。
4.根据权利要求3所述的方法,还包括:
响应于确定所述客户端机器与所述安全策略数据库中的所述第一学习的安全策略和所述第二学习的安全策略相关联,由所述安全代理从所述安全策略数据库检索至少第二学习的安全策略。
5.根据前述权利要求中任一项所述的方法,其中,通过拦截由所述第一执行环境的仿真生成的仿真事件的子集并且基于所拦截的仿真事件的子集生成多个规则来学习所述第一学习的安全策略。
6.一种用于管理入侵检测系统的计算机实现的方法,该方法包括:
基于与合成的第一执行环境相关联的事件的子集,生成包含第一学习的安全策略的多个安全策略,其中与所述第一学习的安全策略相关联的至少一个规则是基于与恶意代码简档相关联的事件的类型;
将所述多个安全策略存储在安全策略数据库中;
向多个客户端提供至少所述第一学习的安全策略,其中所述第一学习的安全策略与由所述多个客户端部署的第一执行环境相关,其中所述多个客户端被配置为实施所述第一学习的安全策略;以及
从第一客户端接收基于由部署在所述第一客户端上的第一执行环境生成的并且由所述第一客户端根据所述第一学习的安全策略拦截的至少一个拦截的事件来识别异常的警报。
7.根据权利要求6所述的方法,其中所述多个安全策略被存储在有向无环图(DAG)中,所述有向无环图具有包括规则的安全策略作为节点,并且具有指示节点之间的关系的所述安全策略之间的连接作为边。
8.根据权利要求7所述的方法,其中提供所述第一学习的安全策略还包括:
响应于确定与第二学习的安全策略相对应的第二节点与与所述第一学习的安全策略相对应的第一节点共享所述DAG中的边,提供所述第二学习的安全策略。
9.根据权利要求6至8中任一项所述的方法,其中,生成多个安全策略还包括:
在第一时间间隔内拦截来自所述合成的第一执行环境的事件的第一子集;
基于来自所述合成的第一执行环境的所述事件的第一子集生成定义正常和异常行为的多个规则,其中相应规则与一个或多个条件相关联;
将所述多个规则作为用于所述第一执行环境的所述第一学习的安全策略存储在所述安全策略数据库中;以及
将所述第一学习的安全策略与所述多个客户端相关联。
10.根据权利要求6至9中任一项所述的方法,其中,所述第一学习的安全策略被配置为由所述多个客户端中的每个客户端基于与部署在每个客户端上的相应的第一执行环境相关联的相应参数来动态地改变。
11.一种用于管理入侵检测系统的计算机系统,该系统包括:
处理器;
有形的计算机可读存储器,用于存储程序指令,当所述程序指令由所述处理器执行时,执行以下步骤:
拦截由利用客户端机器的第一执行环境生成的多个事件的第一子集,其中所述多个事件的所述第一子集由第一学习的安全策略定义,其中所述第一学习的安全策略基于观察所述第一执行环境的操作而被学习,其中所述第一子集包括所述多个事件的少于一半的事件,并且其中所述事件的所述第一子集中的至少一个事件是与恶意代码简档相关联的事件的类型;
基于针对...
【专利技术属性】
技术研发人员:A·舒尔曼佩莱格,S·瑞格维,S·考哈尼曼,R·佩莱格,Z·巴瑟尔,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。