【技术实现步骤摘要】
用于自动入侵检测的系统和方法
技术介绍
敌对网络入侵(也称为网络攻击)通常始于恶意方使用敌对基础设施(例如,在恶意方的控制下的一个或多个计算设备)扫描可访问互联网的网络系统的漏洞。网络攻击的这种侦察阶段通常触发入侵检测系统(IDS)警报。侦察阶段通常跟随的是某种攻击阶段(例如,发送恶意电子邮件、执行命令和控制操作或其他敌对网络流量),这些攻击阶段也源自相同的敌对基础设施。现有技术基于IDS警报中呈现的特定模式(例如,指示特定的已知类型的可能的网络攻击的字符序列)仅防止特定的扫描或敌对流量。这种防止手段无法将基础设施识别为敌对的。因此,来自敌对基础设施的后续流量不能诸如通过基于始发点的入侵防御系统(IPS)被系统地阻止。取而代之的是,操作人员必须手动查看选择性的IDS命中,对历史上下文执行查找,并且然后触发阻止动作和监视动作。由于每单位时间收到的IDS警报数量过多,尤其是在高流量环境中,因此手动查找通常很难或不可能。在这样的环境中工作的操作员缺乏资源和能力来维持使这种基于上下文的决策自动化所需的更长期的历史。因此,常规系统通常限于抑...
【技术保护点】
1.一种用于基于自动入侵警报列入黑名单的方法,所述方法包括:/n使用通信接口接收指示检测到的对网络的威胁的网络威胁报告;/n使用处理器确定与所述检测到的对网络的威胁有关的互联网协议地址即IP地址;/n访问上下文信息的数据库以确定与所述网络通信有关的所述IP地址的历史上下文信息;/n将所述历史上下文信息与一个或多个阻止阈值进行比较;并且/n如果所述IP地址的所述历史上下文信息超过所述一个或多个阻止阈值,则将所述IP地址输出到指示符管理系统;/n由此所述指示符管理系统维持所述网络的外围系统的阻止列表并且将所述IP地址添加到所述阻止列表。/n
【技术特征摘要】
20190510 US 16/409,7351.一种用于基于自动入侵警报列入黑名单的方法,所述方法包括:
使用通信接口接收指示检测到的对网络的威胁的网络威胁报告;
使用处理器确定与所述检测到的对网络的威胁有关的互联网协议地址即IP地址;
访问上下文信息的数据库以确定与所述网络通信有关的所述IP地址的历史上下文信息;
将所述历史上下文信息与一个或多个阻止阈值进行比较;并且
如果所述IP地址的所述历史上下文信息超过所述一个或多个阻止阈值,则将所述IP地址输出到指示符管理系统;
由此所述指示符管理系统维持所述网络的外围系统的阻止列表并且将所述IP地址添加到所述阻止列表。
2.根据权利要求1所述的方法,进一步包括使用与所述检测到的威胁有关的入侵检测系统警报即IDS警报作为触发,其中所述检测到的威胁包括作为威胁的高置信度签名。
3.根据权利要求2所述的方法,其中所述高置信度签名以零概率、低概率或非常低概率的假阳性识别中的至少一个识别所述威胁。
4.根据权利要求2所述的方法,其中所述高置信度签名是从至少一个源中检索到的。
5.根据权利要求4所述的方法,其中所述至少一个源位于所述设备或所述网络中的至少一个上。
6.根据权利要求4所述的方法,其中所述至少一个源是受信任的第三方。
7.根据权利要求1所述的方法,其中所述历史上下文信息被存储在上下文系统内的所述上下文信息的数据库中,所述上下文信息的数据库是摘要数据库,所述摘要数据库包含针对在所述网络上检测到的所有IP地址的历史信息。
8.根据权利要求7所述的方法,其中所述历史上下文信息包括针对每个所述IP地址的第一已见日期、最后已见日期、内部点击计数以及应用层数据。
9.根据权利要求7或8中的任一项所述的方法,其中所述历史上下文信息包括针对每个所述IP地址的先前的TCP/IP连接建立指示符;
使得针对每个所述IP地址的所述先前的TCP/IP连接建立指示符指示所述设备先前是否已经与每个IP地址建立了TCP/IP连接;
由此先前已经与每个所述IP地址建立了TCP/IP连接的所述设备指示每个所述IP地址都是有效的并且未被伪造。
10.一种用于基于自动入侵警报列入黑名单以执行如权利要求1-9中的任一项所述的方法的设备,所述设备包括:
通信接口,其被配置为接收指示检测到的对网络...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。