CN106687977A - 下一代安全操作服务 - Google Patents
下一代安全操作服务 Download PDFInfo
- Publication number
- CN106687977A CN106687977A CN201580048570.0A CN201580048570A CN106687977A CN 106687977 A CN106687977 A CN 106687977A CN 201580048570 A CN201580048570 A CN 201580048570A CN 106687977 A CN106687977 A CN 106687977A
- Authority
- CN
- China
- Prior art keywords
- service
- security
- ordering
- safe condition
- program module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Debugging And Monitoring (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
描述了一种检测并处理在云环境中安全漏洞而并未关停整个服务的安全服务。可以通过定义必须追踪的不同对象类型、定义每个对象的安全状态、指定触发安全状态转变的模式、提供自动化方式以改变安全状态以及提供对检测到各个状态的自动化响应而产生用于特定服务的安全模型。可以将可疑对象从正常资源池移动至可疑资源池。机器学习技术可以用于从处理潜在和实际的安全漏洞学习以改进对于服务的安全性。
Description
背景技术
计算机的安全(网络安全)涉及试图保护基于计算机的设备、信息和服务免受非期望或未授权访问、改变或破坏(也即避免安全漏洞)的进程和机制。随着全球社会对于计算机***的依赖增大,网络安全性持续增长。面向云和服务的架构(SOA)的增殖增加了对于网络安全的需求而同时使其更难以实现。
发明内容
描述了一种安全服务,其处理潜在和实际的安全漏洞而并未关停订购服务。安全服务可以是基于被定制为订购了安全服务(订购服务)的特定服务的安全模型。用于订购安全服务的服务的安全模型可以包括关于与对象相关联的安全状态机的信息以及对象的定义。可以定义可以被追踪的对象的类型,可以确定被追踪对象的安全状态,可以定义触发了安全状态改变的事件的模式,可以提供用于影响安全状态转换的自动化方法,可以提供由安全状态改变所触发的自动化响应,以及可以将一个或多个可疑对象放置在为可疑对象保留的资源池中,而采用安全服务的剩余服务继续运行在“正常”(非可疑)资源池中。响应于确定可疑对象实际上是“有害的”(例如欺诈、未授权等),可以删除对象或者可以采取其他动作以抵消(neutralize)有害对象的影响。一旦确定可疑对象并非实际上“有害”,可以将对象返回至“正常”对象池。作为处理可疑对象的结果而获得的信息可以用于改进未来的安全性。
与一个或多个订购服务相关联的安全模型的集合可以连续地构建,并且一旦相关联的订购服务正在运行则对其改进。包括但不限于数据、软件和硬件(诸如计算机器、虚拟机、数据库、用户、管理员、业务处理程序、网络等)的类似对象可以由特定的运行服务或其一部分而交换进出使用。可以使用类似对象以检测与所观测图形相关联的特性以识别“有害”对象。测试对象可以与产品对象混合以使能“有害”对象的检测而隔离潜在或实际漏洞的影响。
提供该发明内容部分以简化形式介绍在以下详细说明书中进一步描述的概念的选集。该发明内容部分并非意在标识所请求保护主题的关键特征或必要特征,也并非意在用于限制所请求保护主题的范围。
附图说明
在附图中:
图1示出了根据在此描述的主题的一些方面的包括用于漏洞管理的安全服务的示例的***100的示例;
图2a示出了根据在此描述的主题的一些方面的包括管理安全漏洞方法的方法200的示例;
图2b示出了根据在此描述的主题的一些方面的包括定义安全模型方法的方法201的示例;以及
图3是根据在此描述的主题的一些方面的计算环境的示例的方框图。
具体实施方式
概述
在当今的世界,服务和企业环境频繁地受到攻击并在某种程度上受损。已知的***无法高效地解决该情况,因为它们通常依赖于特别的方法(诸如关停整个服务)以解决漏洞。通常在可以恢复正常操作之前,需要大量手动处理。相反地,根据在此描述的主题的方面,由安全服务将漏洞作为正常操作的一部分而处理。订购安全服务的服务的未受影响部分可以继续正常运行。安全服务的正常操作包括漏洞管理。可以基于所正在进行的而检测新的安全问题,使能连续的安全改进。可以动态地产生用于学习并区分地隔离可疑施动者的自动化。
可以通过定义以下内容而产生用于订购安全服务的服务(下文称“订购服务”)的安全模型:可以由安全服务追踪的对象的类型、与对象的每个类型相关联的安全状态机、用于改变对象的实例的安全状态的自动化方法、以及由至特定安全状态的转变所触发的自动化响应。与对象的安全状态转变至“可疑”相关联的自动化响应例如可以包括增加对象的监查或追踪。增加的监查可以包括从“正常”(非可疑)对象移除对象。增加的监查可以包括提高对可疑对象和/或与可疑对象相关联对象的监视等级。可以通过例如删除对象以及与可能受损的有害对象相关联的任何数据和对象而抵消待被确定为“证实违犯者”的对象。
假设,例如云服务供应商(CSV)将课件流传输至全世界的学生。流传输课件服务可以作为多租客服务主控,这意味着许多组织可以订购流传输课件服务。CSV可以自己订购服务(例如从其他服务提供商接收服务)。例如,CSV可以取决于由SaaS(作为服务的软件)供应商所提供的动态服务,以用于客户关系管理和/或与学校和学生协作。CSV可能需要保护,以防止尝试犯罪恶意黑客攻击或者尝试为了金钱利润而非法利用服务的那些人。CSV可以被帮助学生作弊和/或偷盗内容的当事人非法利用,或者可以被尝试颠覆服务等等的地下组织非法利用。
CSV可以订购安全服务。为了使用安全服务,CSV可以输入与CSV向其订购的服务(例如主机或其他服务提供商)的信息以及与订购其的组织或个人(例如学校、大学等)相关联的信息。根据在此所公开主题的一些方面,因此可以使得CSV的对象的全部或一些(例如服务部件)受到保护。受保护的对象是遵守由安全服务所设置的保护策略的对象。一些对象可以不受安全服务的直接控制。一些服务部件可以物理地或技术地无法遵照安全服务的策略。可以请求订购服务以对这些对象采取动作。例如假设对象a、b、c、d和e一起提供了服务。假设订购服务提供对于对象d和e的定义。订购服务可以具有检测并且对于对象d和e采取动作的能力。安全服务可以请求订购服务以采取动作,诸如例如将对象d和e移动至指定的资源池。在订购服务处产生的审核事件可以由安全服务中的审核服务收集。审核服务可以审核其所接收的事件。审核服务可以产生和/或审核其自己的审核事件。
可以开发用于订购服务的安全模型。开发用于订购服务的安全模型可以包括定义感兴趣的对象,指定在其中存在所定义的对象的安全状态,定义每个安全状态的含义或影响,定义在安全状态之间转变或者安全状态之间一系列转变的含义或影响。风险程度可以与特定安全状态、与从一个安全状态至另一安全状态的改变、或者与一系列安全状态改变相关联。开发安全模型可以包括:定义可以用于发现对象的一个或多个自动化方法,提供用于改变对象的安全状态的方法,提供用于检测对象的安全状态的改变的方法,一旦检测到安全状态改变则指定将要采取的动作或多个动作等等。安全状态改变可以由检测到特定事件模式而被触发。当检测到可疑模式时,有害对象的身份并非总是显现的。有害对象可以是订购服务、管理员、受损的***等。多个对象可以与特定可疑模式相关联。通过使能每个对象操作在分立环境中,可以通过确定哪些环境继续与可疑模式相关联而识别有害对象。已识别有害对象的安全状态可以改变为“证实违犯者”并且可以将其他对象返回至“正常”资源池。
响应于安全状态从正常改变至可疑,可以提升审核的等级。类似地,因为计算资源被视为可替代的,因此属于可疑订购服务的数据可以放置在为可疑服务所保留的资源池中。属于可疑订购服务的数据可以放置在为潜在地受损数据所保留的存储器中。属于可疑订购者的业务可以被发送至为可疑业务所保留的服务器的堆集(bank)。可以将可疑管理员指派至为可疑管理员所保留的池。此外,一个或多个测试对象可以通过将它们引入为可疑对象所保留的环境中并且将它们与可疑对象配对而与产品对象混合。可以对测试对象和其他对象的动作进行比较,以确定其他对象行为是否正常或者其行为是否可疑。
可以从现有模式的扩展而产生模式。可以从模式的模式而产生模式。模式可以演进。新的、复合并演进的模式的产生可以连续地改进正常、异常或者潜在或实际的有害模式的检测。从第一订购服务学习得到的模式可以用于第二订购服务。用于并非专用于实例的订购服务的安全模型的一部分可以应用于该服务类型的其他实例。一些模式可以是抽象的,从而应用于一种服务的模式可以被应用于另一种服务。例如,假设当试用周期结束接近以避免为服务支付时,伴随着从服务的一个实例移动资产(asset)至另一服务实例,检测到某一模式。捕捉该模式的普遍规则可以应用于具有试用周期的多个不同服务。因为可以从更简单模式构造复合模式,因此服务中的服务合适的模式可以替代在第二不同服务中检测到的另一模式。
可以定义对安全服务感兴趣的对象。可以定义用于发现对象所采用的自动化动作。感兴趣的对象可以分类为以下非限定性分类中的一个或多个:租客组织、订购项、订户、用户、管理员、服务部件、业务模式、配置模式等。拥有订购服务的公司可以例如电子地产生向学生提供的教育节目。订购服务可以订购除了安全服务之外的服务。订购服务所订购的服务在此称作订购项。该服务订购项的示例可以包括但不限于服务提供商,诸如云计算平台(例如微软的Azure、亚马逊网络服务等)。订购服务的租客组织可以是使用订购服务的组织。对于流传输课件服务的租客组织的示例可以包括例如大学和学校。对于订购服务的订户可以是租客组织的子单位。对于流传输课件服务而言,科学学院、工程学院等是可能的订户的示例。用户可以是由订购服务所提供服务的用户。例如,流传输课件服务的用户可以是学生。流传输课件提供商的用户可以是教师。管理员可以是管理由组织所利用技术的一些方面的订购服务的雇员。管理员可以是由管理由组织所利用的技术的一些方面的订购服务所雇佣的承包人。例如,管理员可以是管理软件调配和/或内容调配的组织的雇员或承包人。
服务部件可以是软件部件。服务部件可以是数据。服务部件可以是硬件部件或者硬件部件的群组,包括但不限于计算机或者其一部分、虚拟机、存储装置或其一部分等。例如,流传输课件CSV的服务部件可以是学生数据库。服务部件可以是视频的目录。业务签名可以是通常与订购服务的使用相关联的点击流。例如,用于流传输课件提供商的业务签名可以是与课程登记活动相关联的点击流,与***相关联的点击流,与正常课件更新相关联的点击流等。点击流是当使用软件应用程序时计算机用户点击在其屏幕上部件的记录。当用户点击网页或应用程序时,动作可以在客户端上或者在网络服务器或网络浏览器、路由器、代理服务或广告服务器内登录。配置签名可以是对于一个或多个对象的一系列预期值的集合。用于流传输课件服务的配置签名的示例可以是在特定大学的分部位置处班级大小在20和35之间。配置签名的其他示例是:对于课程的教授的数目是一或二,对于班级的技术助理的数目可以在一和六之间,对于班级的单个学生计算机的数目通常是30至35等。配置签名可以用于确定情况何时变为可疑。例如,如果通常的班级大小在20和35之间,以及数百学生开始登记在班级中,可以触发从“正常”至“可疑”的转变。
可以定义采用以发现对象自动控制。例如,可以定义由此访问数据库以发现学生或学生组的过程、由此访问通讯录以发现员工的过程、和/或由此访问配置管理数据库以发现允许访问订购服务的计算机的过程。可以定义由此识别学生计算机的过程。可以定义由此发现用途类型的签名的过程。状态和状态的含义可以被指派给所发现的对象。用于指派状态的一些过程可以包括机器学习。可以定义与不同状态相关联的动作。动作可以包括但不限于审核登录的指定等级。可以产生出版和研究报告,可以产生警报,可以路由传输请求以排队等待人工做决定,可以路由传输可疑业务至隔离服务部件,可以使用模拟的(例如测试)业务测试可疑对象,可以在请求的来源处拒绝请求,可以隔离源IP(互联网协议)范围,可以通过将对象移动至另一小群而隔离对象,可以路由传输请求至取证器(forensics)等等。
资源池可以是服务部件、资源、资源群组等的全部或一部分。资源池可以是订购服务的全功能衡量单元,称作单元集(pod)。如在此所使用的术语,单元集是独立的,也即,并不取决于任何其他单元集。单元集可以使能缩放服务。单元集可以用于观测对象或者对象的组合而并未影响其他单元集。可以指派单元集以处理可疑对象。可以将可疑对象的不同等级指派至不同单元集。例如,第一单元集可以处理高度可疑的对象,第二单元集可以处理较小可疑的对象,并且第三单元集可以仅处理轻微可疑的对象。由单元集处理的对象可以包括来自一个或多个订购服务的对象。
因此,可以将特定订购服务或其一部分指派至特定的资源池,或许因为其是可疑的。例如,可以确定特定的租客组织为可疑或怀疑的,因为点击流模式符合被视作可疑的模式。测试通信量可疑路由传输至订购服务以确定可疑模式伴随什么对象。可以潜在地借由机器学习技术做出决定以改变订购服务或其一部分的安全状态。例如,可能一系列指派至订购服务的安全状态可以对于证实的违犯者是正常或可疑是未知的。响应于确定订购服务是被证实的违犯者,可以移除订购服务。可以移除与订购服务相关联的一些或全部数据。可能的状态系列的另一示例是未知、正常、可疑、证实正常。响应于确定订购服务的状态是“可疑的”,订购服务可疑移动至其自己的资源池或者处理其他“可疑的”对象的单元集。响应于确定订购服务的状态是“证实正常”,可疑将订购服务移出“可疑的”资源池并且返回至正常资源池。
当订购服务在安全服务之下执行时,机器学***。
在安全服务中,可以开始识别用户访问订购服务的模式。可以采用机器学习。对于流传输课件的示例,可以收集学生如何使用***、教授如何更新测试以及服务提供商如何更新资源的模式。可疑的欺诈(例如相同学生同时上大量课程或者用户被标识为已经共享或出售了他的订购标识符的人员)可以由安全服务识别并且可以报告至提供订购服务的组织。当安全服务和订购服务操作时,可以以学校登记学生的方式标记其他异常值(outlier)。例如,如果发生大量登记和课程改变,则相关的业务可以被发送至队列并且被标记。响应于确定了大量登记和课程改变的发生是合法的,可以降级或减小标志了与模式相关联风险程度的值。
随着时间变化,订购服务可以累积用户、服务提供商和访问行为的模式集合,这可以使得审核***检测正常、可疑和未授权活动并且当需要时可以使能执行抵消动作。例如,在对于学校检测到内容更新活动的可疑集合的事件中,学校及其所有用户可以迁移至为可疑对象保留的资源池。通过分析历史数据,可以确定学生已经能够更新课件,从而影响访问计算机的所有学生和/或教授的计算机。可以隔离对学校的损害。在配置服务软件的新版本的事件中,回归不是问题,因为安全服务和知识是分立分层的。在管理***中,可以与服务软件分立地维持安全模型。在管理***中,用于发现、分类和反应动作的自动控制可以与实际服务软件分立保持。因此,甚至在服务软件改变之后可以使用已知模式。
可以检测从不同来源发生的串联事件的模式。例如,如果欺诈的管理员设置扮演主机处节点的节点,则可以使用指派至审核事件的业务标志符而发现从该等级缺失的事件。累积的欺诈识别信息可以迁移至新服务提供商。
下一代安全操作服务
图1示出了根据在此描述主题的包括用于漏洞管理的安全服务的示例的***100的示例。***100的全部或一部分可以驻留在一个或多个计算机或计算装置上,诸如以下参照图3所述的计算机。***100或者其一部分可以被提供为独立***或被提供为插件或附加件。
***100或其一部分可以包括从服务(例如在云端)获得的信息,或者可以操作在云计算环境中。云计算环境可以是其中并未拥有但是依照需要而提供计算服务的环境。例如,信息可以驻留在联网云中的多个装置抵消/或数据可以存储在云内的多个装置上。
***100可以包括一个或多个计算装置,诸如计算装置102。构思的计算装置包括但不限于台式计算机、平板计算机、膝上型计算机、笔记本计算机、个人数字助理、智能电话、蜂窝电话、移动电话、服务器、虚拟机、包括数据库的装置、防火墙等等。诸如计算装置102之类的计算装置可以包括一个或多个处理器(诸如处理器142等)以及与一个或多个处理器通信的存储器,诸如存储器144。
***100可以包括程序模块中的任意一个或任意组合,包括:安全服务或操作中心,诸如安全服务106。***100也可以包括与一个或多个订购服务(例如订购服务108)相关联的一个或多个安全模型(例如安全模型110),一个或多个模式数据库(诸如模式存储器112),一个或多个策略数据存储(诸如策略存储器111),由正常资源池114等在图1中所表示的计算资源的一个或多个集合,以及由可疑资源池116等在图1中表示的可疑资源池的一个或多个集合。提供服务的组织可以订购安全服务106以利用由安全服务106所提供的功能。诸如订购服务108之类的订购服务可以是向用户提供功能的任何服务。可以由诸如订户118之类的一个或多个订户订购订购服务108。订购服务108可以订购一个或多个订购项,诸如订购项120,订购服务108可以由一个或多个用户(诸如用户122)使用、由一个或多个管理员(诸如管理员124)管理并且利用一个或多个服务部件,诸如服务部件126。在使用订购服务108的过程中,可以产生一个或多个业务,诸如业务128。
安全服务106可以包括以下任意一个或任意组合:策略服务,诸如策略服务106a;分析服务,诸如分析服务106b;警告服务,诸如警告服务106c;和/或审核服务,诸如审核服务106d。安全服务106可以监视并分析诸如订购服务108之类的一个或多个服务的行为。安全服务106可以根据在此描述的主题的一些特征而管理对表示用户、业务、服务部件、管理员和订购项等的对象的监督等级,以保护一个或多个订购服务。本文所用的术语“服务”指代可以为了不同目的而重复使用的相关软件功能的集合。
诸如策略服务106a之类的策略服务可以是确保订购服务根据策略集合(例如存储在策略存储111中)而操作的服务。策略服务106a可以被实施为多租客SaaS(作为服务的软件)。分析服务106b和/或警告服务106c可以是实时地和/或以批处理模式分析数据的服务,其中通过检查从所审核(追踪)对象收集审核数据而自动地发现模式。警告服务106b可以被实施为多租客SaaS(作为服务的软件)。警告服务106b可以是当违反一个或多个策略时警告策略服务106a的服务。审核服务106d可以接收审核事件和/或可以产生审核事件。
订购服务108可以是订购安全服务106的任何服务。订购服务108可以包括一个或多个服务部件,诸如服务部件126。服务部件可以是用于装配整体服务的任何资源。服务部件的示例包括但不限于:虚拟机、虚拟机堆叠、网络角色(WebRole)、存储装置、存储***、数据库等。订购服务可以由组织所拥有。服务可以运行在云或主机中。服务部件可以是受保护的服务部件。受保护服务部件是遵照由安全服务106设置的保护策略的部件。一些服务部件可以脱离安全服务的控制:这些服务部件的类型称作无保护服务部件。一些服务部件可以在技术上无法遵循由安全服务106强迫的策略并且称作无保护服务部件。服务部件可以是已审核的服务部件。已审核服务部件可以基于审核事件策略而递送审核事件。无保护服务部件可以是已审核服务部件。例如,服务与安全服务之间的对比可以规定由特定的无保护服务部件产生审核事件。服务部件可以是诱骗和/或隔离服务部件。可疑的请求可以发送至保持队列。可疑的通信量可以发送至可疑资源池以用于隔离、排队或观察目的。
在安全***运行之前,可以定义安全模型,诸如安全模型110。诸如安全模型110之类的安全模型可以是识别和/或限定以下项中一个或任意组合的模型:可以由安全服务106发现并追踪的对象的类型、其中可以存在的每类对象的不同安全状态、可以检测不同安全状态的方式、以及响应于从一个状态转变至另一状态而对于每个不同对象的待颁布的策略或待采取的动作。在配置安全模型110之后,安全服务可以运行以用于订购服务108。当安全服务运行时,可以发现不同类型对象的实例,可以监视事件,以及可以识别与一个或多个对象相关联事件的模式。可以产生实例模型(例如实例模型113)、操作订购服务的动态表示。可以根据安全模型的策略更新对象实例的安全状态,并且可以执行对于状态转变指定的动作。
对象的示例包括但不限于订户、订购项、用户、管理员、服务部件、业务模式、配置模式等等。服务部件可以包括但不限于一个或多个服务器部件或者服务器部件的堆集。与对象的不同可能安全状态相关联的值包括但不限于“未知”、“正常”、“可疑”和“证实的违犯者”。每个值可以具有子分类和/或与风险程度相关联。可以由安全服务监视或追踪对象的安全状态。例如,对象的安全状态可以基于在观察下采取对于对象的安全状态的值定义的动作的结果的评估而从“正常”前进至“可疑”再至“正常”。指派至对象的安全状态可以是基于模式的检测(例如业务模式、配置模式等)。模式可以由其他模式构成。模式可以是通过机器学习开发的模式。当安全***执行时,模式可以随时间变化而改变、增长或扩展。例如,假设安全服务检测到一系列业务和订购服务的使用模式匹配,该订购服务的使用模式与指示了该模式是“可疑的”元数据相关联。对象的状态可以改变为可疑的。
图2a示出了根据在此描述的主题的一些方面的用于执行安全漏洞管理的方法200的示例。图2a中所述的方法可以由***(诸如但不限于参照图1所述的***)而实施。尽管方法200描述了顺序执行的一系列操作。应该理解,方法200不限于所示序列的顺序。例如,一些操作可以以不同于所述的顺序而发生。此外,一个操作可以与另一操作同时地发生。在一些情形中,并不执行所有所述操作。
在操作202处,安全服务可以连续地发现在用于订购服务的安全模型中所定义的对象。发现对象可以包括找到新对象、移除已删除对象、找到在对象之间的关系和关系改变、以及在可以用于安全状态指派的实例模型中记录该信息。在操作204处,如果检测到新对象或对象之间的新关系,则可以在操作208处更新安全模型的实例。在操作206处,可以监视当安全***在运行时发生的事件。在操作210处,可以识别已知事件模式。在操作216处,响应于识别已知模式的发生,可以根据状态改变策略而改变对象的安全状态。响应于检测到安全状态转变,可以在操作218处执行对于安全状态转变指定的动作。动作可以包括但不限于:提高对象的监视等级、将对象从正常资源池移动至可疑资源池、将对象从可疑资源池移动至正常资源池、移除对象等。例如,假设在主机上检测到活动的可疑模式。如果运行在主机上的访客或者主机是可疑的施动者,这可能不是明显的。为了隔离可疑的施动者,可以将访客与其他测试访客现场迁移至主机上和/或可以在可疑的主机上放置测试访客。可以允许安全服务运行一段时间以查看活动的可疑模式何处再现,因此使其能够隔离有害的施动者。类似地,与可疑的客户或租客相关联的业务可以被路由传输至另一处理池(例如至特定的服务器群组,例如),或者租客的状态(数据)可以被路由传输至为可疑的施动者的数据所保留的共享资源(数据库的分区)。处理可以在操作202处继续。
图2b示出了根据在此描述的主题的一些方面的用于开发和/或维护安全模型的方法201的示例。图2b中所述的方法可以由***诸如但不限于参照图1所述***实施。尽管方法201描述了顺序执行的一系列操作,应该理解,方法201不限于所示序列的顺序。例如,一些操作可以以不同于所述顺序而发生。此外,一个操作可以与另一操作同时地发生。在一些情形中,并不执行所有操作。方法201或其一部分可以在用于订购服务的安全服务就位之前执行。方法201或者其一部分可以在安全服务就位之后但是当安全服务和/或订购服务离线时而执行。方法201或者其一部分可以在安全服务就位之后、当安全服务和/或订购服务正操作时而执行。在操作203处,可以定义可以由安全服务追踪的对象的类型。对于对象的每个不同类型而言,在操作205处,可以定义对于对象类型的不同安全状态。在操作207处,含义可以与对于该对象类型的每个不同状态相关联。在操作209处,可以提供用于指示的每个不同含义的严重性的指示。在操作211处,可以定义对于对象或对象群组触发了状态改变的模式。方法包括但不限于:如何找到对象的每个类型,如何改变对象的状态,可以提供一旦检测到状态改变或一系列状态改变等将采取的动作。该操作可以包括为可疑业务提供业务签名或模式。该操作可以包括为可疑配置提供配置签名或模式。操作205至211可以对于每个对象重复。操作203、205、207、209和211可以包括在运行安全***之前产生(创作)安全模型的操作。在操作215处,可以监视或回顾当安全***在操作中时所记录的事件。在操作217处,可以分析事件(例如使用机器学习技术)以发现新模式。在操作219处响应于确定了模式是新的,可以在操作221处在报告中放置事件序列。在操作213处,在安全***运行之后在操作221处产生的报告可以用于更新具有新模式的状态改变策略。当安全***在运行时或者当操作***离线时操作203、205、207、209、211和213可以发生。
合适的计算环境的示例
为了为在此所公开主题的各个方面提供上下文,图3和以下讨论意在提供其中可以实施在此所公开主题的各个实施例的合适计算环境510的简要一般描述。尽管在计算机可执行指令的一般上下文中描述了在此所公开的主题,诸如由一个或多个计算机或其他计算装置所执行的程序模块,本领域技术人员将认识到在此所公开的主题的部分也可以实施在其他程序模块的组合和/或硬件与软件的组合中。通常,程序模块包括执行特定任务或实施特定数据类型的例行程序、程序、对象、物理产物、数据结构等。通常,程序模块的功能可以在各个实施例中如所需的而组合或分布。计算环境510仅是合适的操作环境的一个示例并且并非意在限制在此所公开主题的用途或功能的范围。
参照图3,描述了形式为计算机512的计算装置。计算机512可以包括至少一个处理单元514、***存储器516和***总线518。至少一个处理单元514可以执行存储在存储器诸如但不限于***存储器516中的指令。处理单元514可以是任意各种可应用的处理器。例如,处理单元514可以是图形处理单元(GPU)。指令可以是用于实施由上述一个或多个部件或模块所执行的功能的指令,或者用于实施上述一个或多个方法的指令。双微处理器和其他多处理器架构也可以用作处理单元514。计算机512可以用于支持在显示屏上渲染绘制图形的***。在另一示例中,计算装置的至少一部分可以用于包括图形处理单元的***中。***存储器516可以包括易失性存储器520和非易失性存储器522。非易失性存储器522可以包括只读存储器(ROM)、可编程ROM(PROM)、电可擦除ROM(EPROM)或快闪存储器。易失性存储器520可以包括可以用作外部高速缓存的随机访问存储器(RAM)。***总线518将包括***存储器516的***物理产品耦合至处理单元514。***总线518可以是任意数个类型,包括存储器总线、存储器控制器、***总线、外部总线或本地总线,并且可以使用任意各种可应用总线架构。计算机512可以包括可由处理单元514借由***总线518而可访问的数据存储。数据存储可以包括用于图形渲染绘制的可执行的指令、3D模型、材料、纹理结构等等。
计算机512通常包括各种计算机可读媒介,诸如易失性和非易失性媒介、可移除和非可移除媒介。计算机可读媒介可以以任意方法或技术而实施以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据的信息。计算机可读媒介包括计算机可读存储媒介(也称作计算机存储媒介)和通信媒介。计算机存储媒介包括可以存储所需数据并且可以由计算机512访问的物理(有形)媒介,诸如但不限于RAM、ROM、EEPROM、快闪存储器或其他存储器技术,CDROM、数字通用盘(DVD)或其他光盘存储,磁卡盒、磁带、磁盘存储或其他磁性存储装置。通信媒介包括媒介诸如但不限于可以用于通信发送所需信息并且可以由计算机512访问的通信信号、已调制载波或者任何其他有形媒介。
应该知晓的是图3描述了可以在用户和计算机资源之间用作媒介的软件。该软件可以包括操作***528,其可以存储在盘存储524上,并且可以指派计算机512的资源。盘存储524可以是通过非可移除存储器接口诸如接口526而连接至***总线518的硬盘驱动。***应用程序530利用由操作***528通过存储在***存储器516中或盘存储524上的程序模块532和程序数据534而管理资源。应该知晓的是计算机可以采用各种操作***或者操作***的组合而实施。
用户可以通过输入装置536将命令或信息输入至计算机512中。输入装置536包括但不限于指示装置诸如鼠标、轨迹球、输入笔、触摸垫、键盘、话筒、语音识别和姿势识别***等等。这些和其他输入装置通过***总线518经由接口端口538而连接至处理单元514。接口端口538可以表示串行端口、并行端口、通用串行总线(USB)等等。输出装置540可以使用与输入装置相同类型的端口。提供输出适配器542以示出存在一些要求特定适配器的输出装置540类似监视器、扬声器和打印机。输出适配器542包括但不限于视频和声音卡,其在输出装置540和***总线518之间提供连接。其他装置和/或***或者诸如远程计算机544的装置可以均提供输入和输出能力。
计算机512操作在使用至一个或多个远程计算机诸如远程计算机544的逻辑连接的联网环境中。远程计算机544可以是个人计算机、服务器、路由器、网络PC、对等装置或其他普通网络节点,并且通常包括相对于计算机512如上所述的元件的许多或全部,尽管仅在图3中示出了存储器存储装置546。远程计算机544可以经由通信连接550而逻辑地连接。网络接口548包括通信网络诸如局域网(LANs)和广域网(WANs),但是也可以包括其他网络。通信连接550涉及用于将网络接口548连接至总线518的硬件/软件。通信连接550可以在计算机512内部或外部,并且包括内部和外部技术诸如调制解调器(电话、电缆、DSL和无线)和ISDN适配器、以太网卡等等。
应该知晓的是所示的网络连接仅是示例并且可以使用在部件之间建立通信链路的其他装置。本领域普通技术人员可以知晓,计算机512或其他客户端装置可以配置作为计算机网络的一部分。在这点上,在此所公开的主题可以属于具有任意数目存储器或存储单元的任意计算机***,以及跨越任意数目存储单元或卷册发生的任意数目的应用和进程。在此所公开的主题的方面可以适用于具有在网络环境中配置的服务器计算机和客户端计算机的环境,具有远程或本地存储。在此所公开主题的方面也可以适用于独立计算装置,具有编程语言功能、译码和执行的能力。
在此所述的各个技术可以结合硬件或软件、或者合适地结合两者而实施。因此,在此所述的方法和设备或者其某些方面或一部分可以采取具体化在有形媒介中的程序代码的形式(也即指令),有形媒介诸如软盘、CD-ROM、硬盘驱动或者任何其他机器可读存储媒介,其中当程序代码被载入机器诸如计算机并且由其执行时,机器成为用于实施在此所公开主题的方面的设备。如在此使用的,术语“机器可读存储媒介”应该排除提供(也即存储和/或发送)任何形式传播信号的任何机制。在可编程计算机上执行程序代码的情形中,计算装置将通常包括处理器、由存储器可读的存储媒介(包括易失性和非易失性存储器和/或存储元件),至少一个输入装置,以及至少一个输出装置。可以例如通过使用数据处理API等利用特殊领域编程模型方面的产生和/或实施的一个或多个程序可以实施在高级程序或面向对象编程语言中以与计算机***通信。然而,如果需要的话,可以以汇编或机器语言实施程序。在任何情形中,语言可以是已编译或已翻译的语言,并且与硬件实施方式组合。
尽管以特定于结构特征和/或方法动作的语言描述了主题,应该理解的是在所附权利要求中限定的主题不必限定于如上所述的具体特征或动作。相反,上述具体特征和动作公开作为实施权利要求的示例性形式。
Claims (10)
1.一种***,包括:
至少一个处理器;
存储器,耦合至所述至少一个处理器;以及
安全服务,包括:
至少一个程序模块,被加载至所述存储器中,所述至少一个程序模块监视订购所述安全服务的服务中的对象的安全状态转变,所述安全服务处理所述订购服务的安全漏洞而并不关停所述订购服务;以及
至少一个程序模块,被加载至所述存储器中,所述至少一个程序模块响应于检测到指示潜在漏洞的安全状态转变,将所述对象从为非可疑对象保留的第一资源池移动至为可疑对象保留的第二资源池。
2.根据权利要求1所述的***,进一步包括至少一个程序模块,所述至少一个程序模块分析其中使用从已审核服务部件以及与所述订购服务相关联的服务提供商收集到的审核数据自动地发现模式的数据。
3.根据权利要求1所述的***,进一步包括至少一个程序模块,所述至少一个程序模块响应于证实可疑对象是可疑的,采取行动以抵消所述可疑对象的影响。
4.根据权利要求1所述的***,进一步包括至少一个程序模块,所述至少一个程序模块在所述订购服务正在运行时基于从处理所述对象学习到的信息来更新转变模式的数据存储。
5.根据权利要求1所述的***,其中,通过以下方式来产生用于所述订购服务的安全模型:定义在所述订购服务中的对象的类型、定义对于每个对象类型的安全状态、指定可以如何发现每个对象类型、以及指定当检测到所述对象的安全状态转变时将采取的动作。
6.一种方法,包括:
由计算装置的处理器监视执行服务,所述执行服务订购安全服务,所述安全服务基于为所述执行服务定制的安全模型来处理安全漏洞而并不关停订购所述安全服务的所述服务;以及
响应于在所述执行服务中检测到对象的安全状态转变,所述安全状态转变指示可能的漏洞,将所述对象从正常资源池移动至可疑资源池。
7.根据权利要求6所述的方法,进一步包括:
响应于接收订购所述安全服务的服务的订购项,监视所述订购项。
8.根据权利要求6所述的方法,进一步包括:
接收为订购所述安全服务的服务定制的安全模型,所述安全模型:
定义在订购所述安全服务的服务中的对象的类型,
定义对于每个对象的类型的安全状态,
指定可以如何找到每个对象类型,
指定触发状态改变的模式;以及
指定当检测到对于所述对象的安全状态转变时将要采取的动作。
9.根据权利要求6所述的方法,进一步包括:
使用机器学习技术来确定在订购所述安全服务的服务中与安全漏洞相关联的模式。
10.根据权利要求9所述的方法,进一步包括:
使用通过处理在订购所述安全服务的服务中的潜在安全漏洞而发现的模式来改进所述安全模型。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/482,011 US20160070908A1 (en) | 2014-09-10 | 2014-09-10 | Next generation of security operations service |
| US14/482,011 | 2014-09-10 | ||
| PCT/US2015/049495 WO2016040685A1 (en) | 2014-09-10 | 2015-09-10 | Next generation of security operations service |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106687977A true CN106687977A (zh) | 2017-05-17 |
Family
ID=54207749
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580048570.0A Pending CN106687977A (zh) | 2014-09-10 | 2015-09-10 | 下一代安全操作服务 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20160070908A1 (zh) |
| EP (1) | EP3191999A1 (zh) |
| CN (1) | CN106687977A (zh) |
| WO (1) | WO2016040685A1 (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9807118B2 (en) * | 2014-10-26 | 2017-10-31 | Mcafee, Inc. | Security orchestration framework |
| US9881516B1 (en) * | 2015-07-15 | 2018-01-30 | Honorlock, Llc | System and method for detecting cheating while administering online assessments |
| US10445839B2 (en) | 2016-04-29 | 2019-10-15 | Intuit Inc. | Propensity model for determining a future financial requirement |
| US10373267B2 (en) * | 2016-04-29 | 2019-08-06 | Intuit Inc. | User data augmented propensity model for determining a future financial requirement |
| US11107027B1 (en) | 2016-05-31 | 2021-08-31 | Intuit Inc. | Externally augmented propensity model for determining a future financial requirement |
| US10671952B1 (en) | 2016-06-01 | 2020-06-02 | Intuit Inc. | Transmission of a message based on the occurrence of a workflow event and the output of an externally augmented propensity model identifying a future financial requirement |
| US11677789B2 (en) * | 2020-12-11 | 2023-06-13 | Amazon Technologies, Inc. | Intent-based governance |
| US12047400B2 (en) * | 2022-05-31 | 2024-07-23 | As0001, Inc. | Adaptive security architecture based on state of posture |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6609205B1 (en) * | 1999-03-18 | 2003-08-19 | Cisco Technology, Inc. | Network intrusion detection signature analysis using decision graphs |
| JP5217961B2 (ja) * | 2008-11-26 | 2013-06-19 | 株式会社リコー | 電子機器、メモリデバイス判定システム、及びその制御方法 |
| US8819816B2 (en) * | 2010-11-15 | 2014-08-26 | Facebook, Inc. | Differentiating between good and bad content in a user-provided content system |
| JP5697206B2 (ja) * | 2011-03-31 | 2015-04-08 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 不正アクセスに対する防御をするシステム、方法およびプログラム |
| US8947198B2 (en) * | 2012-02-15 | 2015-02-03 | Honeywell International Inc. | Bootstrapping access models in the absence of training data |
| US9183379B2 (en) * | 2013-03-12 | 2015-11-10 | Intel Corporation | Preventing malicious instruction execution |
-
2014
- 2014-09-10 US US14/482,011 patent/US20160070908A1/en not_active Abandoned
-
2015
- 2015-09-10 CN CN201580048570.0A patent/CN106687977A/zh active Pending
- 2015-09-10 WO PCT/US2015/049495 patent/WO2016040685A1/en active Application Filing
- 2015-09-10 EP EP15771827.1A patent/EP3191999A1/en not_active Withdrawn
Also Published As
| Publication number | Publication date |
|---|---|
| EP3191999A1 (en) | 2017-07-19 |
| WO2016040685A1 (en) | 2016-03-17 |
| US20160070908A1 (en) | 2016-03-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106687977A (zh) | 下一代安全操作服务 | |
| Alazab et al. | Federated learning for cybersecurity: Concepts, challenges, and future directions | |
| Ghazal et al. | DDoS Intrusion Detection with Ensemble Stream Mining for IoT Smart Sensing Devices | |
| Akhgar et al. | Cyber crime and cyber terrorism investigator's handbook | |
| CN107835982A (zh) | 用于在计算机网络中管理安全性的方法和设备 | |
| CN107251513A (zh) | 用于恶意代码检测的准确保证的***及方法 | |
| CN109155774A (zh) | 用于检测安全威胁的***和方法 | |
| CN113642023A (zh) | 数据安全检测模型训练、数据安全检测方法、装置及设备 | |
| Ajdani et al. | Introduced a new method for enhancement of intrusion detection with random forest and PSO algorithm | |
| Gapsalamov et al. | Approaches to information security in educational processes in the context of digitalization | |
| Tundis et al. | Challenges and available solutions against organized cyber-crime and terrorist networks | |
| Mirza et al. | Tactics, Threats & Targets: Modeling Disinformation and its Mitigation. | |
| Alqudhaibi et al. | Cybersecurity 4.0: safeguarding trust and production in the digital food industry era | |
| Al-Sanjary et al. | Challenges on digital cyber-security and network forensics: a survey | |
| Bhavsar et al. | An insider cyber threat prediction mechanism based on behavioral analysis | |
| US20210209067A1 (en) | Network activity identification and characterization based on characteristic active directory (ad) event segments | |
| Awajan et al. | Machine learning techniques for automated policy violation reporting | |
| Stahl et al. | Intelligence Techniques in Computer Security and Forensics: at the boundaries of ethics and law | |
| Framis et al. | Static and dynamic approaches of a drug trafficking network | |
| De Faveri et al. | Deception planning models for Cyber Security | |
| Petrenko et al. | Judicial technical expertise methods for investigation of cybercrimes | |
| Hollywood et al. | Addressing Emerging Trends to Support the Future of Criminal Justice | |
| Benedik et al. | Digital citizens in a smart city: The impact and security challenges of IoT on citizen’s data privacy | |
| Boddy et al. | Data Analysis Techniques to Visualise Accesses to Patient Records in Healthcare Infrastructures | |
| Baig et al. | Assessing current and emerging challenges in the field of digital forensics |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20170517 |
|
| WD01 | Invention patent application deemed withdrawn after publication |