【技术实现步骤摘要】
本专利技术涉及基础设施的安全管理领域,例如自动化系统及工业生产系统。特别是,本专利技术涉及一种从多个来源自动生成签名的方法。
技术介绍
1、已知类型的安全产品可以检测到恶意攻击,有时还能够采取行动来防止它们。大多数入侵预防系统利用基于签名、基于统计异常及有状态协议分析之间的一种检测方法。基于签名的入侵检测系统(intrusion-detection system,ids)监测网络中的数据包,并与预先配置及预先确定且称为签名的攻击模式进行比较。基于异常的入侵检测系统将监测网络流量,并将其与既定的基线进行比较。所述基线将确定所述网络的正常情况。最后,有状态的协议分析检测通过将观察到的事件与普遍接受的良性活动定义的预先确定的配置文件进行比较,确定协议状态的偏差。
2、签名(也简单地称为“规则”)被用于上述方法中的第一种,其中每一种方法都有优点及缺点。行为规则允许一装置被保护免受新的及以前未知的攻击。然而,行为系统的覆盖面是有限的,许多攻击没有被覆盖,系统产生更多的假阳性。
3、签名实际上是一给定攻击的指纹。所述签名捕获了行动,这些行动对一给定的攻击是独特的。这种务实的方法专注于特定的攻击,在降低假阳性率方面非常准确。
4、安全产品通常以定期更新的与恶意活动或不安全系统状态相关的模式的知识库来运送。这些模式作为所谓的规则或签名的一部分被运送。一旦规则模式与端点或网络上的活动相匹配,客户就会以某种警报的形式意识到它,以便采取行动。
5、每天都有越来越多的规则可用,多个系统能够从多个及不同的来
6、因此,希望能基于此类样本发出自动检测。
技术实现思路
1、本专利技术的目的是提供一种从多个来源自动生成签名的方法,能够最大限度地减少上述缺点。特别是,希望能有一种方法能够允许基于新出现的威胁进行主动的自动检测。
2、因此,根据本专利技术,描述了一种根据所附权利要求从多个来源自动生成签名的方法。
3、所述方法包括:
4、定义多个样本提供者的多个已识别来源;
5、通过一计算机化数据处理单元收集来自所述多个样本提供者的多个输入样本;
6、通过所述计算机化数据处理单元验证所述多个输入样本并定义多个已验证输入样本;
7、通过所述计算机化数据处理单元从所述多个已验证输入样本生成多个已验证签名;
8、在与所述计算机化数据处理单元操作地连接的一已验证签名数据库中存储所述多个已验证签名;
9、其中,所述收集包括从所述多个输入样本中提取多个原始妥协指标;
10、其中,所述验证包括根据预先定义的多个信誉规则评估每一个所述原始妥协指标的信誉,并比较每一个所述原始妥协指标与操作地连接到所述计算机化数据处理单元的一现有签名数据库,以定义多个可允许原始妥协指标;以及
11、其中,所述生成包括从对应于所述多个可允许原始妥协指标的所述多个已验证输入样本创建所述多个已验证签名。
本文档来自技高网...【技术保护点】
1.一种从多个来源自动生成签名的方法,其特征在于,包括步骤:
2.如权利要求1所述的从多个来源自动生成签名的方法,其特征在于:所述多个已验证签名是一结构化威胁信息表达格式的。
3.如权利要求1所述的从多个来源自动生成签名的方法,其特征在于:所述多个输入样本包括多个输入妥协指标及多个输入签名。
4.如权利要求1所述的从多个来源自动生成签名的方法,其特征在于:所述多个已验证签名是将所述多个可允许原始妥协指标插入到与关联的元数据相联系的一预定义结构中而创建。
5.如权利要求4所述的从多个来源自动生成签名的方法,其特征在于:所述预定义结构是一XML结构或一JSON结构。
6.如权利要求4所述的从多个来源自动生成签名的方法,其特征在于:所述元数据包括与创建日期、创建时间、恶意软件类别有关的一个或多个信息。
7.如权利要求1所述的从多个来源自动生成签名的方法,其特征在于:所述方法还包括在收集(21)所述多个输入样本后过滤(61)所述多个输入样本;
8.如权利要求1所述的从多个来源自动生成签名的方法,其特征在于
...【技术特征摘要】
1.一种从多个来源自动生成签名的方法,其特征在于,包括步骤:
2.如权利要求1所述的从多个来源自动生成签名的方法,其特征在于:所述多个已验证签名是一结构化威胁信息表达格式的。
3.如权利要求1所述的从多个来源自动生成签名的方法,其特征在于:所述多个输入样本包括多个输入妥协指标及多个输入签名。
4.如权利要求1所述的从多个来源自动生成签名的方法,其特征在于:所述多个已验证签名是将所述多个可允许原始妥协指标插入到与关联的元数据相联系的一预定义结构中而创建。
5.如权利要求4所述的从...
【专利技术属性】
技术研发人员:阿列克谢·克列门诺夫,莫雷诺·卡鲁洛,安德里亚·卡卡诺,
申请(专利权)人:诺佐米网络公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。