不熟悉威胁场景的实时缓解制造技术

一种计算系统通过标识针对先前未经历过威胁场景并且补救过程未知的客户端系统的特定威胁场景来执行针对不熟悉威胁场景的实时缓解。计算系统通过生成并且向客户端系统提供包括预测性缓解过程集的缓解文件以用于响应于威胁场景来响应于未知威胁场景。缓解文件通过首先生成标识针对特定威胁场景的多个不同威胁场景特性的威胁向量而被生成。然后，分类模型被应用于威胁向量，以标识被确定为最适合威胁向量并且被包括在缓解文件中的预测性缓解过程集。

【技术实现步骤摘要】
【国外来华专利技术】不熟悉威胁场景的实时缓解
技术介绍
计算机和计算系统几乎影响了现代生活的各个方面。计算机通常涉及工作、娱乐、保健、运输、娱乐、家庭管理等。某种计算机功能可以通过计算系统经由网络连接而互连到其他计算系统的能力来增强。网络连接可以包括但不限于经由有线或无线以太网进行的连接、蜂窝连接、或甚至通过串行、并行、USB或其他连接而进行的计算机到计算机连接。这些连接允许计算系统访问其他计算系统处的服务并且快速且有效地从其他计算系统接收应用数据。计算系统的互连促进了分布式计算系统，诸如所谓的“云”计算系统。在该描述中，“云计算”可以是用于使得能够对可以通过减少的管理工作或服务提供商交互来供应和发布的可配置计算资源(例如，网络、服务器、存储、应用、服务等)的共享池进行普遍、方便、按需网络访问的系统或资源。云模型可以包括各种特性(例如，按需自助服务、广泛的网络访问、资源池、快速弹性、可衡量的服务等)、服务模型(例如，软件即服务(“SaaS”)、平台即服务(“PaaS”)、基础设施即服务(“IaaS”)和部署模型(例如，私有云、社区云、公共云、混合云等)。基于云和远程的服务应用是普遍的。这样的应用托管在公共和私有远程系统(诸如云)上，并且通常提供一组基于网络的服务来与客户端进行来回通信。不幸的是，计算系统的云和互连使计算系统暴露于来自恶意方的漏洞和威胁。例如，恶意方可以将恶意软件代码传输给毫无戒心的计算系统，或者创建由计算机系统已知执行的应用，但是这些应用包含对计算系统执行不良操作的隐藏的恶意软件。恶意方也有可能在计算系统上发起暴力攻击或DDoS(分布式拒绝服务)攻击。为了解决和防止如上所述的威胁场景，很多组织雇用信息技术(IT)专家来监测其计算机系统的运行状况，标识与威胁场景相关联的警报，以及管理和更新防病毒和反恶意软件以缓解新近开发和发现的威胁。但是，这种类型的监测和更新非常昂贵且耗时。此外，很多组织没有配备相同的监测软件和/或无法聘请了解针对新近开发和发现的威胁可用的所有可能的补救动作的专职专家。不同的补救方案也不总是适用于所有组织，这使事情变得更加复杂。因此，IT专家经常依靠自己的设备在互联网上搜索可能适用于解决威胁场景的解决方案。但是，这是一个非常低效的过程。在很多情况中，由于存在各种计算系统并且各种类型的可能的解决方案可用于实现以解决不同的威胁场景，因此IT专家甚至确定要针对它们的(多个)计算系统执行的最佳补救流程也是完全不切实际或不可能的。当出现新的未知威胁场景时，上述问题甚至更加明显，任何人都尚未针对其建立补救协议。特别地，IT专业人员可以搜索补救协议，但找不到任何协议。在这种情况中，为IT专业人员和受威胁系统提供一种了解如何应对未知威胁场景的方法将很有帮助。因此，对标识和提供用于标识和应用补救过程以解决威胁场景、尤其是新的和未知的威胁场景的补救技术存在持续的需求和期望。本文中要求保护的主题不限于解决任何缺点或仅在诸如上述环境中操作的实施例。而是，仅提供该背景以说明可以在其中实践本文中描述的一些实施例的一个示例性

技术实现思路
公开的实施例涉及被配置为促进针对未知威胁场景的实时缓解的系统、方法和存储设备。在一些实施例中，一种计算系统通过标识针对先前未经历过威胁场景并且补救过程未知的客户端系统的特定威胁场景来执行针对不熟悉威胁场景的实时缓解。计算系统通过生成并且向客户端系统提供包括预测性缓解过程集的缓解文件以用于响应于威胁场景来响应于未知威胁场景。缓解文件通过首先生成标识针对特定威胁场景的多个不同威胁场景特性的威胁向量而被生成。然后，将分类模型应用于威胁向量，以标识被确定为最适合威胁向量并且被动态添加到缓解文件中的预测性缓解过程集。在一些情况中，分类模型包括与关联于不同威胁场景的不同类型的警报对应的多个不同客户端补救过程集，不同威胁场景中的至少一些威胁场景与特定未知威胁场景相关，并且使得缓解文件包括被标识为与被确定为与特定威胁场景相关的警报类型对应的补救过程。在一些情况中，通过针对每个标识的警报执行以下来针对不同类型的警报中的每种类型的警报生成多个不同客户端补救过程集：标识由对应的多个不同客户端系统执行的多个过程，多个过程在接近标识的警报的预定时间和/或过程内被执行；基于多个过程与标识的警报的相关性向量来确定多个过程中的哪些过程与标识的警报相关；以及针对多个不同客户端系统的每个客户端，创建客户端补救过程集，客户端补救过程集包括被确定为与标识的警报相关并且由客户端在接近标识的警报的预定时间段和/或过程内执行的过程。在一些实施例中，缓解文件包括用于解决威胁场景的补救动作的不可执行列表。在替代实施例或附加实施例中，缓解文件包括可执行文件，该可执行文件具有与补救过程集对应的可执行指令，该可执行指令用于响应于在客户端系统处运行缓解文件而自动地执行补救动作。提供本“
技术实现思路
”以便以简化的形式介绍一些概念，这些概念将在下面的“具体实施方式”中进一步描述。本“
技术实现思路
”既不旨在标识所要求保护的主题的关键特征或必要特征，也不旨在用于帮助确定所要求保护的主题的范围。附加的特征和优点将在下面的描述中阐述，并且部分地将从描述变得很清楚，或者可以通过本文中的教导的实践而获知。本专利技术的特征和优点可以通过所附权利要求中特别指出的手段和组合而被实现和获取。本专利技术的特征根据以下描述和所附权利要求书将变得更加完全明显，或者可以通过以下所述的本专利技术的实施而获知。附图说明为了描述获取上述和其他优点和特征的方式，将通过参考在附图中示出的特定实施例来对以上简要描述的主题进行更具体的描述。应当理解，这些附图仅描绘典型实施例，并且因此不应当被视为对范围的限制，实施例将通过使用附图以附加特性和细节来描述和解释，在附图中：图1示出了与所公开的方法相关联的动作的流程图，该方法用于通过众包安全解决方案来执行威胁补救的自动生成；图2示出了包括计算系统的示例性计算环境，该计算系统被配置为实现和/或包括所公开的实施例；图3示出了用于多个过程的相关性向量及其与警报的相关性的表示；图4示出了从图3所示的相关性向量得出的补救过程集的表示；图5示出了与特定警报相关联的不同客户端的补救过程集的集群的表示；图6示出了复合补救文件的各种表示，诸如可以从补救过程集的集群得出的表示；图7示出了与所公开的方法相关联的动作的流程图，该方法用于促进针对未知威胁场景的实时缓解；图8示出了可以用于标识不同类型的威胁/警报的威胁向量的表示；以及图9示出了不同威胁分类文件或分组的表示，其包括基于威胁/警报的类型而分组的不同威胁/警报。具体实施方式所公开的实施例总体上涉及被配置为基于众包安全解决方案来促进对威胁场景的自动缓解和补救的系统、方法和存储设备。在一些实施例中，一种计算系统通过标识针对先前未经历过威胁场景并且补救过程未知的客户端系统的特定威胁场景来执行针对不熟悉威胁场景的实时缓解。计算系统通本文档来自技高网...

【技术保护点】
1.一种计算系统，包括一个或多个处理器和存储有计算机可执行指令的一个或多个硬件存储设备，所述计算机可执行指令由所述一个或多个处理器可执行以用于实现用于执行针对不熟悉威胁场景的实时缓解的方法，其中所述方法包括所述计算系统执行以下：/n标识针对先前未经历过所述威胁场景并且补救过程未知的客户端系统的特定威胁场景；/n生成标识针对所述特定威胁场景的多个不同威胁场景特性的威胁向量；/n将分类模型应用于所述威胁向量，以标识被确定为最适合所述威胁向量的预测性缓解过程集；以及/n向所述客户端系统提供包括所述预测性缓解过程集的缓解文件以用于响应于所述特定威胁场景。/n

【技术特征摘要】
【国外来华专利技术】20180806 US 16/056,0521.一种计算系统，包括一个或多个处理器和存储有计算机可执行指令的一个或多个硬件存储设备，所述计算机可执行指令由所述一个或多个处理器可执行以用于实现用于执行针对不熟悉威胁场景的实时缓解的方法，其中所述方法包括所述计算系统执行以下：
标识针对先前未经历过所述威胁场景并且补救过程未知的客户端系统的特定威胁场景；
生成标识针对所述特定威胁场景的多个不同威胁场景特性的威胁向量；
将分类模型应用于所述威胁向量，以标识被确定为最适合所述威胁向量的预测性缓解过程集；以及
向所述客户端系统提供包括所述预测性缓解过程集的缓解文件以用于响应于所述特定威胁场景。


2.根据权利要求1所述的计算系统，其中所述分类模型包括与关联于不同威胁场景的不同类型的警报对应的多个不同客户端补救过程集，所述不同威胁场景中的至少一些威胁场景与所述特定威胁场景相关。


3.根据权利要求2所述的计算系统，其中所述方法还包括通过针对每个标识的警报执行以下来针对所述不同类型的警报中的每种类型的警报生成所述多个不同客户端补救过程集：
标识由对应的多个不同客户端系统执行的多个过程，所述多个过程在接近所述标识的警报的预定时间和/或过程内被执行；
基于所述多个过程与所述标识的警报的相关性向量来确定所述多个过程中的哪些过程与所述标识的警报相关；以及
针对所述多个不同客户端系统的每个客户端，创建客户端补救过程集，所述客户端补救过程集包括被确定为与所述标识的警报相关并且由所述客户端在接近所述标识的警报的所述预定时间段和/或过程内执行的过程。


4.根据权利要求3所述的计算系统，其中所述缓解文件包括被包括在所述多个不同客户端补救过程集中的、被标识为与被确定为与所述特定威胁场景相关的警报类型对应的补救过程。


5.根据权利要求1所述的计算系统，其中所述缓解文件包括具有可执行指令的可执行文件，所述可执行指令用于响应于在所述客户端系统处运行所述缓解文件而自动地执行补救动作。


6.根据权利要求1所述的计算系统，其中所述缓解文件包括不可执行文件，所述不可执行文件包括用于解决所述威胁场景的推荐补救动作的列表。


7.一种用于执行针对不熟悉威胁场景的实时缓解的方法，所述方法包括：
标识针对先前未经历过所述威胁场景并且补救过程未知的客户端系统的特定威胁场景；
生成标识针对所述特定威胁场景的多个不同威胁场景特性的威胁向量；
将分类模型应用于所述威胁向量，以标识被确定为最适合所述威胁向量的预测性缓解过程集；以及
向所述客户端系统提供包括所述预测性缓解过程集的缓解文件以用于响应于所述特定威胁场景。


8.根据权利要求7所述的方法，其中所述分类模型包括与关联于不同威胁场景的不同类型的警报对应的多个不同客户端补救过程...

【专利技术属性】
技术研发人员：B·克利格尔，M·伊斯雷尔，D·帕特里奇，M·Z·巴格利，
申请(专利权)人：微软技术许可有限责任公司，
类型：发明
国别省市：美国;US