一种用于在计算机化环境中检测当前攻击的方法由计算机化环境中的一个或多个计算机化主机(50)自动执行。该方法包括基于活动的历史数据(20,21)生成特定于计算机化环境中的一种类型的活动的签名(22),该签名(22)指定活动在多个反复出现的时间帧的每个时间帧中的平均归一化出现次数。该方法还包括基于活动的历史数据和统计度量确定活动的阈值。该方法还包括监视计算机化环境中的活动的当前数据,并基于确定活动的当前数据超过针对当前时间帧的阈值而生成攻击检测警报。阈值而生成攻击检测警报。阈值而生成攻击检测警报。
【技术实现步骤摘要】
【国外来华专利技术】在计算机化环境中基于签名生成技术检测当前攻击
[0001]本机制总地涉及信息技术安全,更具体地涉及在计算机化环境中检测当前攻击。
技术介绍
[0002]已知的是,入侵者可以攻击计算机化环境以窃取数据和/或非法访问服务。这经常伴随着计算机化环境中的活动。传统上,可以通过分析记录此类活动发生的日志文件来追溯检测攻击。希望尽早检测攻击,特别是在攻击仍在发生时。
技术实现思路
[0003]本机制由独立权利要求限定。
[0004]根据第一方面,一种用于在计算机化环境中检测当前攻击的方法由计算机化环境中的一个或多个计算机化主机自动执行。该方法包括基于活动的历史数据生成特定于计算机化环境中的一种类型的活动的签名,该签名指定活动在多个反复出现的时间帧的每个时间帧中的平均归一化出现次数。该方法还包括基于活动的历史数据和统计度量确定活动的一个或多个阈值。该方法还包括监视计算机化环境中的活动的当前数据。该方法还进一步包括基于确定活动的当前数据超过针对当前时间帧的一个或多个阈值中的一个或多个而生成攻击检测警报。
[0005]另一方面涉及被配置为执行用于在计算机化环境中检测当前攻击的此类方法的设备。
[0006]另一方面涉及被配置为根据这样的方法在计算机化环境中检测当前攻击的计算机程序。
[0007]进一步的方面由从属权利要求阐述。
附图说明
[0008]图1是用于在计算机化环境中检测当前攻击的示例方法的流程图。
[0009]图2示意性地示出了示例签名。
[0010]图3A和图3B示意性地示出了活动的受监视的当前数据和示例签名。
[0011]图4示意性地示出了进一步的示例签名。
[0012]图5是示出示例计算机化主机和示例计算机程序产品的框图。
具体实施方式
[0013]用于在计算机化环境中检测当前攻击的方法由该计算机化环境中的一个或多个计算机化主机自动执行。该方法包括基于活动的历史数据生成特定于计算机化环境中的一种类型的活动的签名,该签名指定活动在多个反复出现的时间帧的每个时间帧中的平均归一化出现次数。该方法还包括基于活动的历史数据和统计度量确定活动的一个或多个阈值。该方法还包括监视计算机化环境中的活动的当前数据。该方法还进一步包括基于确定
活动的当前数据超过针对当前时间帧的一个或多个阈值中的一个或多个而生成攻击检测警报。这允许早期指示可能的当前攻击,诸如异常或与通常系统行为的显著偏差。例如,这还允许通过执行不符合计算机化环境的一般用法的动作来早期检测外部攻击以及用户滥用计算机化环境。
[0014]签名可以理解为针对特定活动的指纹。由于签名基于活动的平均归一化(normalize)出现次数,签名是统一的表示,并为特定活动提供了可比的配置文件。这使得能够在不同的实体之间例如在不同的计算机化主机之间共享签名,和/或用于在不同的计算机化主机中检测当前攻击。
[0015]以下描述是与阈值相关地制定的,但要理解为是指一个或多个阈值,除非另有明确说明。活动的阈值基于活动的历史数据。例如,这允许该方法从历史中自动学习。它还允许该方法独立地适应定期的长期发展,例如,如果当在大时间尺度上观察时活动越来越频繁地或越来越不频繁地发生。由于阈值的确定还基于统计度量,即使存在稀疏数据基础,例如因为受监视的活动在过去的时间帧中自然地不那么频繁地发生,该方法也可以检测攻击。这也允许在特定活动的频率本身受到波动的影响的情况下更可靠地检测攻击。
[0016]简言之,该方法使得能够基于在计算机化环境的正常操作中定期发生的此类活动来检测攻击。另外,由于基于活动的历史数据生成时间帧签名并基于历史数据和统计度量确定阈值的上述特征的协同效应,该方法使得能够检测正在进行的攻击,特别是当稀疏数据可用时。这有助于减少由攻击造成的损害,特别是与检测攻击的传统方法相比,这些传统方法例如基于对日志文件的追溯评估或基于是攻击的典型特征但是计算机化环境的正常操作的非典型特征的某些活动。
[0017]在一些实施例中,活动的类型是CPU使用率、存储器使用率、应用程序启动、服务请求、接口访问、数据库事务、登录尝试、防火墙事件和/或网络流量。例如,活动的类型是传感器输入和/或致动器输出,例如水位传感器输入、按键按下输入、或电机启动或停止命令输出。在一些实施例中,监视计算机化环境中的活动的当前数据包括确定相应类型的活动的频率。例如,当前数据是一种类型的活动在一监视时间间隔内发生的次数。例如,活动是可测量且可量化的活动。
[0018]在一些实施例中,监视活动的当前数据包括应用过滤器来仅对一种类型的活动的某些实例计数。例如,在监视活动的当前数据时,某些应用程序的启动被监视,但其他应用程序的启动被忽略,即被从监视中过滤掉。在一些实施例中,经过适当修改,这适用于所监视的一些或所有的其他活动类型,例如服务请求、接口访问、数据库事务、登录尝试、防火墙事件和/或网络流量。
[0019]在一些实施例中,时间帧具有一天、一周、一个月或一年的长度。例如,时间帧与一周中的一天、一年中的一周、一年中的一个月、一个季节和/或一个周末相符。这通过例如能够考虑计算环境中的活动频率的季节性变化来防止假警报。将季节性理解为是指基于每天、每周、每月、每年、每季节或每周末。
[0020]在一些实施例中,时间帧包括多个子帧,其中生成签名包括生成每子帧的平均归一化次数。例如,子帧可以对应于一个小时。这通过例如能够考虑计算环境中的活动频率的季节性变化来防止假警报,其中“季节性变化”在高时间分辨率下是可能的,例如基于每小时。例如,可以考虑在早晨、中午、下午、晚上和/或夜间之间的定期变化。
[0021]优选地,多个反复出现的时间帧被选择为既不太大也不太小,以便不抑制方法的自学习性质并且尽管如此尽可能地补偿历史统计波动。在一些实施例中,多个反复出现的时间帧由最近的两个、三个、四个、五个、六个、十二个、二十四个、三十个、三十六个、四十八个、五十二个、七十二个或三百五十六个过去时间帧形成。
[0022]在一些实施例中,统计度量是签名的3
‑
sigma值。这允许阈值补偿如下事实,即活动的频率受到从帧到帧的统计变化的影响。最终,这例如可以减少假警报。
[0023]在一些实施例中,该方法还包括针对每个时间帧更新签名和/或阈值。这意味着签名和/或阈值各自在一段时间帧过去之后被更新。
[0024]在一些实施例中,一旦新的、当前的时间帧进入历史数据,就针对来自历史数据中所考虑的最旧时间帧的贡献调整历史数据。
[0025]在一些实施例中,确定活动的当前数据超过针对当前时间帧的阈值是基于在监视间隔(例如滑动窗口)内监视的当前数据。监视间隔指定活动的当前发生对当前数据做贡献的持续时间。如果监控间隔被选择得太大,则攻击可能被忽略;如果它被选择得太小,则一些群集活动可能会触发假警报。因此,在一些实施例中,监视间隔对应于子帧的持续时间和/或在该持续时间的两倍、一半或四分之一的范围内。在一本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用于在计算机化环境中检测当前攻击的方法,所述方法由所述计算机化环境中的一个或多个计算机化主机(50)自动执行并且包括:
‑
基于活动的历史数据(20,21)生成特定于所述计算机化环境中的一种类型的活动的签名(22),所述签名(22)指定所述活动在多个反复出现的时间帧的每个时间帧中的平均归一化出现次数,
‑
基于所述活动的历史数据和统计度量确定所述活动的阈值,
‑
监视所述计算机化环境中的所述活动的当前数据,以及
‑
基于确定所述活动的当前数据超过针对当前时间帧的阈值而生成攻击检测警报。2.如权利要求1所述的方法,其中,所述活动的类型是应用程序启动、服务请求、接口访问、数据库事务、登录尝试、防火墙事件和网络流量中的至少一个。3.如权利要求1或2所述的方法,其中,所述时间帧具有一天、一周、一个月或一年的长度。4.如权利要求1至2所述的方法,其中,所述时间帧是以下各项之一:一周中的一天、一年中的一周、一年中的一个月、一个季节或一个周末。5.如前述权利要求中任一项所述的方法,其中,所述时间帧包括多个子帧,其中生成所述签名(22)包括生成每个子...
【专利技术属性】
技术研发人员:A,
申请(专利权)人:艾玛迪斯简易股份公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。