描述了用于恶意软件威胁情报系统中的威胁传感器部署和管理的设备和方法的各种实施例。在一些实施例中,所述系统包括多个威胁传感器,它们部署在不同网络地址处且物理地位于提供商网络中的不同地理区域,用于检测来自来源的交互。在一些实施例中,威胁传感器部署和管理服务确定所述多个威胁传感器的部署计划,包含每个威胁传感器相关联的威胁数据收集器的部署计划。所述威胁数据收集器可以是不同的类型,例如使用不同的通信协议或端口,或提供不同类型的针对入站通信的响应。不同的威胁传感器可具有不同的寿命。服务基于所述计划部署所述威胁传感器,从已部署威胁传感器收集数据,基于收集到的数据和威胁传感器寿命调整所述部署计划,然后执行所述调整。然后执行所述调整。然后执行所述调整。
【技术实现步骤摘要】
【国外来华专利技术】威胁传感器部署和管理
技术介绍
[0001]物联网(“IoT”)是一个短语,用于在现有互联网基础设施内连接分散在全球各地的计算装置。IoT装置可嵌入在多种产品中,如家用电器、制造装置、打印机、汽车、恒温器、智能交通灯、摄像机等。
[0002]大多数IoT装置的功能都不足以实现稳健的恶意软件感染检测。然而,即使对于能够实现恶意软件感染检测的IoT装置,此类检测的可靠性也可能不如更强大的计算装置上更大的恶意软件感染检测服务的可靠性。例如,由服务提供商网络或服务器计算机实现的恶意软件感染检测服务可能使用数亿个参数,而在IoT装置上运行的恶意软件感染检测可能只使用少数参数。此外,给定IoT装置上恶意软件感染检测接收的数据量和类型可能会随着时间而变化。随着时间的推移,恶意软件感染检测可能会失去准确性,变得不那么有用。
[0003]为了获得更多的威胁情报,各组织实施了蜜罐(honeypots)来吸引恶意参与者。蜜罐是一种计算机安全机制,被设置用于检测、转移或以某种方式抵制未经授权使用信息系统的企图。通常,蜜罐由看似是站点合法部分的数据(例如,网络站点中的数据)组成,这些数据似乎含有信息或对攻击者有价值的资源,但实际上是被隔离和监测的,能够阻止或分析攻击者。各组织实施了不同类型的蜜罐。纯蜜罐是成熟的生产系统,攻击者的活动通过在蜜罐与网络的链接上安装的窃听器(bug tap)进行监测。高交互蜜罐模拟承载各种服务的生产系统的活动,因此,攻击者可能会被允许使用大量服务来浪费他们的时间。高交互蜜罐由于难以检测而提供了更高的安全性,但维护很昂贵。低交互蜜罐仅模拟攻击者频繁请求的服务。因为它们消耗的资源相对较少,所以复杂性有所降低。
附图说明
[0004]图1示出根据一些实施例的提供商网络中的威胁情报系统的实例系统环境,所述威胁情报系统包括威胁传感器部署和管理服务、分布式威胁传感器数据聚合和数据导出服务及分布式威胁传感器分析和相关服务,在多个地理区域中部署多个威胁传感器且与客户端网络中的多个威胁传感器通信,其中威胁传感器中的一个或多个通过互联网与计算参与者交互。
[0005]图2示出根据一些实施例的威胁传感器部署和管理组件的实例系统的其它方面,其中威胁传感器部署和管理服务部署并配置多个威胁传感器,威胁传感器含有多个不同威胁数据收集器,其中威胁数据收集器从多个潜在恶意参与者接收入站通信。
[0006]图3示出根据一些实施例的分布式威胁传感器数据聚合和数据导出组件的实例系统的其它方面,其从数据流服务接收传感器日志流,所述数据流服务从多个威胁传感器接收数据,其中分布式威胁传感器数据聚合和数据导出组件将传感器日志聚合到表格中,然后计算与威胁传感器交互的各个来源的显著性得分。
[0007]图4示出根据一些实施例的分布式威胁传感器分析和相关组件的实例系统的其它方面,其接收与交互来源相关联的显著性得分,确定恶意参与者,然后使恶意参与者与网络中的已知装置相关以确定受感染的已知装置,接着关于受感染的已知装置的某种通知。
[0008]图5示出根据一些实施例的威胁情报系统的一部分的实例系统环境,其中多个威胁传感器将传感器日志提供到传感器日志获取/分析服务,所述传感器日志获取/分析服务将威胁情报表格提供到威胁情报导出服务,所述威胁情报导出服务将数据提供到威胁情报相关服务,其中实例系统包含多个其它组件和服务。
[0009]图6示出根据一些实施例的威胁情报系统的实例提供商网络环境,其中威胁情报系统由事件驱动计算服务、对象存储服务、数据库服务和数据流服务的部分实施,并且其中已部署威胁传感器和潜在恶意参与者由提供商网络的计算实例服务实施。
[0010]图7是根据一些实施例的可由威胁传感器部署和管理组件实施的说明性方法的流程图,其中威胁传感器部署和管理组件确定部署计划,部署多个威胁传感器,从已部署威胁传感器收集威胁数据,确定调整后的部署计划,并执行部署计划的调整。
[0011]图8是根据一些实施例的可由威胁传感器和所述威胁传感器的选定威胁数据收集器实施的说明性方法的流程图。
[0012]图9是根据一些实施例的可由分布式威胁传感器数据聚合和数据导出组件实施的说明性方法的流程图,其中分布式威胁传感器数据聚合和数据导出组件接收具有关于与威胁传感器之间的交互的信息的传感器日志流,按照交互来源聚合传感器日志中的信息,计算来源的显著性得分,并将显著性得分提供到其它目标,其中显著性得分包含来源参与威胁网络通信的可能性。
[0013]图10是根据一些实施例的可由分布式威胁传感器数据聚合和数据导出组件实施的说明性方法的更详细流程图,其中分布式威胁传感器数据聚合和数据导出组件接收具有关于与威胁传感器之间的交互的信息的传感器日志流,可访问其它信息以修改传感器日志,按照交互来源聚合传感器日志中的信息,访问历史数据,计算来源的显著性得分,并将显著性得分和/或传感器日志导出到一个或多个目标,其中显著性得分包含来源参与威胁网络通信的可能性。
[0014]图11是根据一些实施例的可由分布式威胁传感器数据聚合和数据导出组件或分布式威胁传感器分析和相关组件实施以计算与一个或多个威胁传感器交互的来源的显著性得分的说明性方法的流程图。
[0015]图12是根据一些实施例的可由分布式威胁传感器分析和相关组件实施的说明性方法的流程图,其中分布式威胁传感器分析和相关组件获得与威胁传感器交互的不同来源的显著性得分,基于显著性得分确定哪些来源是恶意参与者,接收已知参与者的标识符,例如提供商网络中的服务器、提供商网络中的计算实例、客户端网络中的客户端装置或远程网络中部署的IoT装置,并使恶意参与者与已知参与者相关,以识别哪些已知参与者可能受到恶意软件感染。
[0016]图13是根据一些实施例的含有多个不同威胁数据收集器的威胁传感器的逻辑图,其中威胁数据收集器从潜在恶意参与者接收入站通信,其中低交互威胁数据收集器设计成捕获通过TCP和UDP以及ICMP消息的服务端口上的交互,中等交互威胁数据收集器用于Telnet、SSH和SSDP/UPnP。
[0017]图14是根据一些实施例的逻辑图,示出了在数据存储区中检索和存储恶意软件样本以关于威胁传感器和/或威胁数据收集器与外部恶意软件分布点的交互进行进一步静态和动态分析,其中检索到的文件以递归方式获取和分析以供进一步的出站引用。
[0018]图15是根据一些实施例的例如IoT装置的边缘装置的框图,其可以是与潜在恶意装置匹配的一个已知装置。
[0019]图16是根据一些实施例的框图,示出了可用于威胁情报服务和/或威胁传感器部署和管理组件和/或分布式威胁传感器数据聚合和数据导出组件和/或分布式威胁传感器分析和相关组件的实例计算机系统。
[0020]尽管本文通过实例的方式针对若干实施例和说明性图式描述了实施例,但是所属领域技术人员将认识到,实施例不限于所描述的实施例或图式。应当理解,附图及其详细描述并不旨在将实施例限于所公开的特定形式,而是相反,本专利技术旨在覆盖落入由所附权利要求书限定的精本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种系统,其包括:多个计算装置,其物理地位于多个不同地理区域,并且具有相应的处理器和存储器用于执行多个威胁传感器;一个或多个计算机,其中一个或多个处理器和相关联存储器配置成实施提供商网络的威胁传感器部署和管理服务,其中所述威胁传感器部署和管理服务配置成:确定多个威胁传感器的部署计划,其中各个威胁传感器指定多个不同类型的威胁数据收集器中的一个或多个威胁数据收集器,其中所述不同类型的威胁数据收集器中的至少一些使用不同的通信协议或通信端口,或者提供不同的针对入站通信的响应,并且其中所述部署计划为威胁传感器指定不同寿命;在多个不同地理区域中的多个不同网络地址处部署所述多个威胁传感器,并根据所述部署计划进行配置;从已部署威胁传感器收集威胁数据;基于收集到的威胁数据和所述威胁传感器的所述不同寿命,确定调整后的部署计划,包括对所述部署计划的一个或多个调整;以及根据调整后的部署计划,在一个或多个所述地理区域中执行对所述威胁传感器的所述调整。2.根据权利要求1所述的系统,其中所述提供商网络提供多个服务,包含虚拟计算实例服务,并且其中所述威胁传感器部署和管理服务使用所述虚拟计算实例服务部署所述多个威胁传感器中的至少一些。3.根据权利要求2所述的系统,其中所述多个威胁传感器中不由所述虚拟计算实例服务实施的至少一特定威胁传感器部署在所述提供商网络外,并且其中为了从所述已部署威胁传感器收集威胁数据,所述威胁传感器部署和管理服务进一步配置成:从所述多个威胁传感器中部署在所述提供商网络外的至少所述特定威胁传感器收集数据。4.一种方法,其包括:通过威胁传感器部署和管理组件执行以下:确定多个威胁传感器的部署计划,其中各个威胁传感器指定多个不同类型的威胁数据收集器中的一个或多个威胁数据收集器,其中所述不同类型的威胁数据收集器中的至少一些使用不同的通信协议或通信端口,或者提供不同的针对入站通信的响应,并且其中所述部署计划为威胁传感器指定不同寿命;在多个不同地理区域中的多个不同网络地址处部署所述多个威胁传感器,并根据所述部署计划进行配置;从已部署威胁传感器收集威胁数据;基于收集到的威胁数据和所述威胁传感器的所述不同寿命,确定调整后的部署计划,包括对所述部署计划的一个或多个调整;以及根据调整后的部署计划,在一个或多个所述地理区域中执行对所述威胁传感器的所述调整。5.根据权利要求4所述的方法,其进一步包括:通过所述威胁传感器部署和管理组件在不同时间执行调整迭代,其中特定调整迭代包
括重复以下操作:从所述已部署威胁传感器收集所述威胁数据;确定所述调整后的部署计划;以及执行对所述威胁传感器的所述调整。6.根据权利要求4或5中任一项所述的方法,其中根据所述调整后的部署计划执行对所述威胁传感器的所述调整进一步包括以下一个或多个:终止威胁传感器,在不同于已部署所述多个威胁传感器的所述多个不同网络地址的新网络地址处部署至少一个新威胁传感器,或修改已部署威胁传感器的所述寿命。7.根据权利要求4至6中任一项所述的方法,其进一步包括:通过所述已部署威胁传感器中的对应威胁传感器的威胁数据收集器记录关于在所述已部署威胁传感器中的所述对应威胁传感器处接收到的入站通信的信息;以及通过所述已部署威胁传感器中的所述对应威胁传感器,从所述对应威胁数据收集器的记录动作生成威胁传感器日志。8....
【专利技术属性】
技术研发人员:N,
申请(专利权)人:亚马逊科技公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。