缓解网络安全威胁的系统和方法技术方案

本发明专利技术提供一种使用风险因数缓解设备的网络安全威胁的系统和方法。该方法包括：基于网络活动指示的多个风险行为和设备的信息来确定设备的多个风险因数；基于多个风险因数和多个权重来确定设备的风险分数，其中，将多个权重中的每一个应用于多个风险因数中的一个；以及基于风险分数执行至少一项缓解操作。以及基于风险分数执行至少一项缓解操作。以及基于风险分数执行至少一项缓解操作。

【技术实现步骤摘要】
【国外来华专利技术】缓解网络安全威胁的系统和方法


[0001]本公开总体上涉及网络安全，更具体地说，涉及保护网络免受恶意设备构成的威胁。

技术介绍

[0002]每当有新设备连接到组织的网络或在靠近组织物理位置的位置被激活时，该新设备就有可能被恶意实体用来对组织、网络或两者造成损害。由于现在能够进行网络连接的新设备数量迅速增加，网络访问可能导致的潜在问题数量呈指数级增长。此外，这些新设备中的许多设备不仅能够连接到网络，而且还能够创建自己的网络或热点。
[0003]针对恶意设备保护组织计算基础架构的一些解决方案包括要求登录网络的新设备进行认证，并阻止未知设备访问网络。但是，尽管有认证协议，要求认证并不一定会阻止恶意实体获得必要的凭证并访问网络。此外，阻止所有未知设备可能会导致良性设备被阻止。此外，先前良性设备可能在受到恶意软件感染时变成恶意设备。因此，这种受恶意软件感染的设备可能会被允许进行网络访问，从而可能被用于恶意目的。
[0004]保护组织计算基础架构安全的其他解决方案包括监控网络活动以检测异常。但是，现有的检测工具可能无法检测到某些类型的异常行为，例如检测工具尚未识别的作为零日攻击一部分的新攻击模式。此外，不对网络构成直接威胁的设备(例如，不直接参与恶意行为但向其他恶意设备提供网络访问的设备)与参与更容易识别的恶意活动的设备相比，可能不会被检测为恶意，或者检测为恶意可能需要更长时间。
[0005]因此，提供一种能够克服上述挑战的解决方案将是有益的。

技术实现思路

[0006]以下是本公开的几个示例实施例的概述。提供本概述是为了方便读者，提供对这些实施例的基本理解，并不完全限定本公开的范围。本概述不是所有预期实施例的广泛综述，并且既不旨在标识所有实施例的关键或重要元素，也不旨在描绘任何或所有方面的范围。其唯一目的是以简化形式呈现一个或多个实施例的一些概念，作为稍后呈现的更详细描述的序言。为了方便起见，术语“一些实施例”或“某些实施例”在本文可以用来指本公开的单个实施例或多个实施例。
[0007]本文公开的某些实施例包括一种使用风险因数缓解设备的网络安全威胁的方法。该方法包括：基于网络活动指示的多个风险行为和设备信息来确定设备的多个风险因数；基于所述多个风险因数和多个权重来确定所述设备的风险分数，其中将所述多个权重中的每一个应用于所述多个风险因数中的一个；以及基于风险分数执行至少一项缓解操作。
[0008]本文公开的某些实施例还包括其上存储有使处理电路执行过程的非暂时性计算机可读介质，该过程包括：基于网络活动指示的多个风险行为和设备信息来确定设备的多个风险因数；基于所述多个风险因数和多个权重来确定所述设备的风险分数，其中将所述多个权重中的每一个应用于所述多个风险因数中的一个；以及基于风险分数执行至少一项
缓解操作。
[0009]本文公开的某些实施例还包括一种使用风险因数缓解设备的网络安全威胁的系统。该系统包括：处理电路；以及存储器，所述存储器包含指令，当由处理电路执行时，所述指令将所述系统配置为：基于网络活动指示的多个风险行为和设备信息来确定设备的多个风险因数；基于所述多个风险因数和多个权重来确定所述设备的风险分数，其中将所述多个权重中的每一个应用于所述多个风险因数中的一个；以及基于风险分数执行至少一项缓解操作。
附图说明
[0010]本文公开的主题在说明书结尾的权利要求中特别指出并明确要求保护。从下面结合附图的详细描述中，所公开的实施例的前述和其他目的、特征和优点将变得显而易见。
[0011]图1是描述各种公开实施例的网络图。
[0012]图2是示出根据实施例的使用风险因数缓解设备的网络安全威胁的方法的流程图。
[0013]图3是示出根据实施例的威胁缓解器的示意图。
具体实施方式
[0014]重要的是要注意，本文公开的实施例仅仅是本文创新教导的许多有利用途的示例。总的来说，在本申请的说明书中做出的陈述不一定限制各种要求保护的实施例中的任何一个。此外，某些陈述可能适用于某些专利技术特征，但不适用于其他特征。一般来说，除非另有说明，单数元素可以是复数，反之亦然，不失一般性。在附图中，在几个视图中，相同的数字表示相同的部分。
[0015]已经确定，每当设备连接到网络或在网络基础架构附近打开，都应快速评估新设备，以确定新设备是否以及在多大程度上对组织构成威胁。对任何恶意实体的反应必须迅速，因为恶意设备访问网络的时间越长，造成的损害就越大。此外，应持续评估设备，以确保活动或操作组合的变化没有显示出潜在威胁。
[0016]然而，对潜在威胁的评估应当灵活，以便能够发现可能不构成直接、已知网络安全威胁的活动。例如，连接到网络的打印机可能会通过广播不受保护的Wi
‑
Fi信号来充当后门。打印机本身可能不存在网络威胁检测工具检测到的任何网络威胁，但可能允许其他恶意设备访问网络。又如，没有适当防病毒软件的智能电视或带有过时软件的智能手机可能会带来网络安全威胁，即使设备本身尚未开始恶意行为。
[0017]所公开的实施例允许快速检测和缓解设备的潜在网络安全威胁。与现有解决方案相比，根据所公开的实施例使用的风险因数提供了更灵活的方法来检测潜在的恶意设备，同时保持快速的反应时间。具体而言，风险因数允许在以下情况下检测潜在的恶意设备，例如但不限于，参与检测系统尚不知道的网络攻击的设备、参与攻击前阶段(例如，探索、感染或休眠阶段)活动的设备、不直接存在风险的设备(例如，提供对其他设备的后门网络访问的设备或可能容易被其他设备和系统利用的设备)以及还没有活动数据可用的完全未知的设备。
[0018]为此，各种公开的实施例包括一种使用风险因数缓解设备的网络安全威胁的方法
和系统。对待检查风险的设备进行检测。接受检测的设备可以是连接到网络的设备、物理上接近网络基础架构(例如，路由器)的设备或者网络以其他方式可见的设备。
[0019]根据风险相关行为(以下简称“风险行为”)确定设备的风险因数。基于一个或多个观察到的风险行为、一个或多个假设的风险行为或其组合来确定每个风险因数。观察到的风险行为是由从设备收集的数据(例如，设备配置数据、协议数据、信号强度数据等)指示的行为，由收集的关于设备在网络上的活动的数据指示的行为，或两者。基于与设备(诸如已经访问网络的其他设备)相关的上下文数据、公共信息(例如，关于制造或设计设备的公司的信息、与设备上安装的软件相关的信息等)，去往或来自设备的流量中的数据的熵，或其组合来推断假设的风险行为。
[0020]基于风险因数，确定设备的风险分数。风险分数可以是确定的风险因数的加权平均值。应用于每个风险因数的权重可以是预先确定的，并且可以基于被访问的网络部分、设备类型、具体设备等进一步变化。
[0021]根据风险分数，执行一项或多项缓解操作。在示例实现方式中，缓解操作包括当风险分数高于阈值时主动干扰连接到网络或在网络上操作的设备，以及当风险分数低于阈值时被动监控设备的活动。
[0本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种使用风险因数缓解设备的网络安全威胁的方法，包括：基于网络活动指示的多个风险行为和设备的信息，确定所述设备的多个风险因数；基于所述多个风险因数和多个权重来确定所述设备的风险分数，其中将所述多个权重中的每一个应用于所述多个风险因数中的一个；以及基于所述风险分数执行至少一项缓解操作。2.根据权利要求1所述的方法，其中，所述多个风险行为包括观察到的风险行为和假设的风险行为，其中，所述观察到的风险行为由与所述设备的网络活动相关的数据指示，其中，所述假设的风险行为是基于与所述设备相关的已知上下文信息推断的。3.根据权利要求1所述的方法，其中，当以下条件至少一个发生时，确定所述设备的所述多个风险因数：所述设备连接到网络，所述设备在物理上靠近网络的地方打开，并且所述设备在物理上靠近网络基础架构。4.根据权利要求1所述的方法，其中，所述多个风险行为包括观察到的风险行为，其中确定所述多个风险因数还包括：基于与以下中的至少一个相关的数据来确定所述观察到的风险行为：所述设备的配置、所述设备的网络活动、所述设备的地理移动、所述设备的信号强度和所述设备使用的协议。5.根据权利要求1所述的方法，其中，所述多个风险行为包括观察到的风险行为，其中，确定所述多个风险因数还包括：基于以下中的至少一个来确定所述假设的风险行为：制造商信誉信息、设备型号信誉信息、已知软件漏洞和已知操作系统漏洞。6.根据权利要求1所述的方法，其中，所述至少一项缓解操作包括当所述风险分数低于阈值时监控所述设备的网络活动，还包括：基于所述监控的网络活动更新所述风险分数；以及基于所述更新后的风险分数执行至少一项后续缓解操作。7.根据权利要求1所述的方法，其中，所述多个权重包括至少一个负权重。8.根据权利要求1所述的方法，其中，所述多个风险因数包括制造商信誉风险因数，其中，所述制造商信誉风险因数基于所述设备的制造商造成的常见漏洞和暴露的数量与所述设备的制造商的员工数量的商来确定。9.根据权利要求1所述的方法，其中，所述多个风险因数包括数据熵风险因数，其中，所述数据熵风险因数基于由所述设备接收的数据和由所述设备发送的数据中的至少一个的熵来确定。10.根据权利要求1所述的方法，其中，所述多个风险因数包括以下风险因数中的至少一个：攻击表面暴露风险因数、云同步风险因数、连接安全风险因数、边界规避风险因数、第三方应用商店风险因数、恶意域风险因数、漏洞历史风险因数、静态数据风险因数、外部连接风险因数、用户认证风险因数、软件版本风险因数、证书重复使用风险因数、制造商信誉风险因数和设备型号信誉风险因数。11.根据权利要求1所述的方法，其中，所述多个风险因数还基于多个已知设备行为来确定，其中，所述多个已知设备行为中的每一个与多个已知风险因数相关联，其中，所述多个已知风险因数中的每一个与至少一个风险行为相关联。
12.根据权利要求1所述的方法，其中，所述多个风险因数还基于至少一个其他设备的多个风险行为来确定。13.一种非暂时性计算机可读介质，其上存储有用于使处理电路执行过程的指令，所述过程包括：基于网络活动指示的多个风险行为和设备的信息，确定所述设备的多个风险因数；基于所述多个风险因数和多个权重来确定所述设备的风险分数，其中，将所述...

【专利技术属性】
技术研发人员：N，
申请(专利权)人：阿尔米斯安全有限公司，
类型：发明
国别省市：