CN111183620B - 入侵调查 - Google Patents

入侵调查 Download PDF

Info

Publication number
CN111183620B
CN111183620B CN201880064421.7A CN201880064421A CN111183620B CN 111183620 B CN111183620 B CN 111183620B CN 201880064421 A CN201880064421 A CN 201880064421A CN 111183620 B CN111183620 B CN 111183620B
Authority
CN
China
Prior art keywords
facts
fact
forensics
forensic
suspicious
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201880064421.7A
Other languages
English (en)
Other versions
CN111183620A (zh
Inventor
M·劳特比
J·F·小冈萨雷斯
M·佩纳多
M·H·贾库博斯基
S·盖沃朗斯基
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Technology Licensing LLC
Original Assignee
Microsoft Technology Licensing LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Technology Licensing LLC filed Critical Microsoft Technology Licensing LLC
Publication of CN111183620A publication Critical patent/CN111183620A/zh
Application granted granted Critical
Publication of CN111183620B publication Critical patent/CN111183620B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/61Time-dependent

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)

Abstract

公开了一种利用调查***来调查入侵的过程。该过程从***或网络上的一组取证事件中接收取证事实。从取证事实中标识可疑事实。基于可疑事实从取证事实中标识相关事实。

Description

入侵调查
背景技术
信息安全服务和数字取证服务涉及对数字入侵的调查和预防,诸如对计算机***和网络的破坏和利用,并且可以包括入侵调查***。入侵调查***是一种工具,诸如设备或软件应用,其可以监测网络或***是否存在恶意活动或者违反政策的行为,并且收集表明所关注的***或网络的安全性已经被破坏的证据。在一些示例中,入侵调查***可以尝试从所收集的证据中重构入侵或攻击。入侵调查***的范围可能很大,从简单的工具和库到详细检查整个网络的分层***。在一些示例中,入侵调查***还可以包括入侵预防机制。
发明内容
提供本“发明内容”以便以简化的形式介绍将在下面的“说明书”中进一步描述的概念的选择。本“发明内容”既不旨在标识所要求保护的主题的关键特征或必要特征,也不旨在用于限制所要求保护的主题的范围。
本公开的数字入侵调查***将所关注的***或网络上的不同取证事件链接在一起以帮助调查人员重构入侵(compromise)或破坏及其后果。调查***从所关注的***或网络上的一组取证事件中接收一组取证事实。从取证事实中标识可疑事实。该***基于可疑事实从取证事实中标识相关事实。在一个示例中,相关事实变为另一可疑事实,并且包括在迭代过程中基于另一可疑事实标识另一相关事实。调查***可以及时地(诸如沿着可视化中的时间线)来回重构相关取证事实的链,并且测量这样的关系的概率。调查***还可以向可以编辑或修改输出的调查人员突出显示该链。
附图说明
附图被包括以提供对实施例的进一步理解,并且被并入本公开中并且构成本公开的一部分。附图示出了实施例,并且与说明书一起用于解释实施例的原理。其他实施例和实施例的很多预期优点将很容易理解,因为通过参考以下描述将能够更好地理解它们。附图的元素不必相对于彼此成比例。相同的附图标记表示对应的相似的部分。
图1是示出计算设备的示例的框图。
图2是示出示例入侵调查***的示意图。
图3是示出图2的入侵调查***的示例方法的框图。
图4是示出图3的示例方法的示例方法的框图。
具体实施方式
在下面的“说明书”中,参考附图,附图形成“说明书”的一部分并且在附图中通过图示的方式示出了可以在其中实践本发明的特定实施例。应当理解,在不脱离本发明的范围的情况下,可以利用其他实施例并且可以进行结构或逻辑上的改变。因此,以下描述不应当在限制意义上进行。应当理解,除非另外特别指出,否则本文中描述的各种示例性实施例的特征可以彼此组合。
图1示出了示例性计算机***,该示例性计算机***可以在操作环境中使用并且用于托管或运行被包括在存储有用于控制计算机***(诸如计算设备)的计算机可执行指令的一个或多个计算机可读存储介质上的计算机应用以执行诸如入侵调查***中的调查方法等过程。
示例性计算机***包括计算设备,诸如计算设备100。计算设备100可以采用几种形式中的一种或多种。这样的形式包括平板电脑、个人计算机、工作站、服务器、手持设备、消费类电子设备(诸如视频游戏机或数字视频录像机)等,并且可以是独立设备或被配置为计算机网络的一部分。
在基本硬件配置中,计算设备100通常包括具有一个或多个处理单元(即,处理器102和存储器104)的处理器***。作为示例,处理单元可以包括在芯片上的两个或更多个处理核心、或者两个或更多个处理器芯片。在一些示例中,计算设备还可以具有一个或多个附加处理或专用处理器(未示出)(诸如用于在图形处理器单元上进行通用计算的图形处理器),以执行从处理器102卸载的处理功能。存储器104可以按层次被布置,并且可以包括一个或多个高速缓存级别。取决于计算设备的配置和类型,存储器104可以是易失性的(诸如随机存取存储器(RAM))、非易失性的(诸如只读存储器(ROM)、闪存等)或其某种组合。
计算设备100还可以具有附加特征或功能。例如,计算设备100还可以包括附加的存储装置。这样的存储装置可以是可移动或不可移动的,并且可以包括磁盘或光盘、固态存储器或闪存设备,诸如可移动存储装置108和不可移动存储装置110。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据等信息的任何合适的方法或技术实现的易失性和非易失性的可移动和不可移动的介质。存储器104、可移动存储装置108和不可移动存储装置110都是计算机存储介质的示例。计算机存储介质包括RAM、ROM、EEPROM、闪存或其他存储技术、CD-ROM、数字多功能光盘(DVD)或其他光学存储装置、磁盒、磁带、磁盘存储或其他磁性存储设备、通用串行总线(USB)闪存驱动器、闪存卡或其他闪存存储设备、或者可以用于存储期望信息并且可以由计算设备100访问的任何其他存储介质。因此,传播信号本身没有资格作为存储介质。任何这样的计算机存储介质都可以是计算设备100的一部分。
计算设备100通常包括用于连接到各种设备以向计算设备提供输入和输出的一个或多个输入和/或输出连接,诸如USB连接、显示端口、专有连接等。输入设备112可以包括诸如键盘、指示设备(例如,鼠标、触控板)、手写笔、语音输入设备、触摸输入设备(例如,触摸屏)等设备。输出设备111可以包括诸如显示器、扬声器、打印机等设备。
计算设备100通常包括允许计算设备100与其他计算机/应用115通信的一个或多个通信连接114。示例通信连接可以包括以太网接口、无线接口、总线接口、存储区域网络接口和专有接口。通信连接可以用于将计算设备100耦合到计算机网络,该计算机网络可以根据诸如拓扑、连接方法和规模等多种特性来分类。网络是通过通信信道互连的计算设备和可能的其他设备的集合,这些通信通道有助于通信并且允许在互连设备之间共享资源和信息。计算机网络的示例包括局域网、广域网、互联网或其他网络。
数字取证调查是耗时的工作,其依赖于合格的调查人员。在典型的调查期间,调查人员可以处理来自所关注的计算机***或网络上的若干数字伪像(artifact)的数百万条记录。调查人员经常尝试链接来自取证数据的相关事件以重构入侵及其后果。
在数字取证调查期间,调查人员经常寻求提取入侵指标。入侵指标(缩写为IOC)在取证领域中经常被描述为计算设备上表明所关注的***或网络的安全性已经被破坏的证据。调查人员通常在收到可疑事件的通知之后有计划地或者在从所关注的***或网络中发现异常调出之后收集入侵指标。典型的入侵指标包括文件名、文件散列(诸如MD5散列或SHA256散列)、注册表项、地址(诸如命令和控制域或硬编码的IP地址)、用户名、证书以及很多其他数据。在理想情况下,收集该信息以用于检测类似的入侵***或者创建“更智能”的工具,诸如入侵检测***,这些工具将来可以检测和隔离可疑文件。
在数字取证调查中使用入侵指标可能包括几个缺点。很多入侵指标可能在调查范围内是相关的,但在其他方面却是嘈杂的或不相关的。例如,如果一台入侵机器被重新设计为执行点击欺诈,则入侵行为者会下载和使用常见和流行类型的浏览器插件以生成欺诈性业务。尽管在数字取证调查的上下文中,入侵指标可能包括浏览器插件的文件名,但是由于误报率很高,因此无法将文件名用作入侵的常规检测。同样,即使在恶意行为的情况下,入侵指标也可能缺乏上下文。同样,入侵指标通常基于签名,并且不能抗混淆。例如,添加到恶意文件中的几个字节可能会改变文件散列,这可能会使恶意文件的先前收集的文件散列对基于入侵指标或基于攻击指标的调查中的入侵检测***变得混乱或甚至无效。
为了解决一些限制,数字取证调查可以针对攻击指标或IOA。IOA专注于检测攻击者试图完成什么的意图,而与攻击中使用的恶意软件或开发无关。成功的网络钓鱼电子邮件会试图说服目标用户选择链接或打开将感染计算设备的文档。一旦受到入侵,攻击者将秘密地执行另一进程,隐藏在存储器中,并且在***重新启动后保持持久性。下一步是与C2服务器联系并且等待进一步的指令。IOA关心这些步骤的执行,包括攻击者的意图,而不是专注于攻击者的特定工具。但是,在很多情况下,针对IOA的入侵调查或检测解决方案仍然基于签名,并且被视为入侵指标。因此,基于IOA的方法可以减少但不能消除基于入侵指标的解决方案的局限性。
图2示出了用于调查所关注的***或网络中的诸如黑客或攻击者的入侵或破坏等入侵的示例入侵调查***200。入侵调查***200包括或接收指定为取证事实202的一组基于动作的取证数据,该取证数据是从所关注的***或网络的数字伪像上的一组一般取证数据(这里称为取证事件)中所提取的。取证事实202可以用作入侵指标、和攻击指标的一部分,以使***200能够更抗混淆并且提供更可靠的调查。在一个示例中,入侵检测***200执行从一般取证事件中提取取证事实202。调查人员或***200指定该组取证事实202中的取证事实作为可疑取证事实204。在一个示例中,调查人员或***200可以指定一个或多个可疑取证事实204。***200构建与可疑取证事实204相关的一组取证事实,该取证事实被指定为相关取证事实206。在一个示例中,相关取证事实206沿着时间线208被呈现。在生成相关取证事实206时,***200可以分配与可疑取证事实204的关系的概率,并且为调查人员突出显示沿着时间线208的事件链。***200可以基于先前发现的相关取证事实204和分析者反馈来迭代地计算概率并且发现相关取证事实206。
入侵调查***200可以以多种形式实现以在诸如计算设备100等计算设备上执行以检测所关注的***或网络上的其他入侵。在一个示例中,入侵调查***200可以被实现为独立的应用或设备,其可以由计算机安全人员或选定的所关注的***或网络上的其他人使用。在另一示例中,入侵调查***200可以被实现为云环境中的安全服务的一部分以作为平台即服务的一部分来保护和保全网络用户(诸如云租户)的基于云的资产和资源免受恶意通信或其他入侵的攻击。在又一示例中,入侵调查***200可以被实现为作为软件即服务被提供给订户的服务。在又一示例中,入侵调查***200可以被实现为可以用于开发其他安全应用的库或资源。还设想其他实现。
数字伪像是存在于所关注的***或网络上或其他地方的数据源,其提供所关注的***或网络上的活动数据。例如,数字伪像可以跟踪***或网络活动或者在所关注的***或网络上执行的活动。示例数字伪像包括主文件表、包括关于在文件***上进行的任何转换的信息的更改日志、事件日志、注册表项和其他来源。数字伪像可以包括事件或取证事件的记录。取证事实202是作为取证事件的子集的基于动作的可观察物(observable)或基于动作的取证事件。例如,取证事实可以用作类型动作的入侵指标。入侵调查***200将取证事实202应用于攻击的目标行为模式而不是静态模式。由取证事实202构建的攻击指标将更能抵抗混淆,因为它可以将动态类型用作属性值。
取证事实202中的每个取证事实可以包括一个或多个属性。这些属性可以被存储为具有在对所关注的***或网络的调查中开发的一组取证事实202中的特定取证事实的记录的字段。作为示例,该组取证事实202中的特定取证事实可以包括“文件x1被替换为文件x2”。特定取证事实可以包括多个属性,诸如正在替换的文件(x1)的名称、***的文件(x2)的文件名、和时间戳。另外,取证事实202中的特定取证事实可以包括若干其他属性,诸如文件x2的散列、文件x2的散列、用户名、工作站名称和其他信息。在其中文件x2是恶意文件并且攻击者已经向文件x2添加了若干字节的数据以改变文件散列的示例中,只有一个属性(即,文件x2的散列)将发生改变,因此特定取证事实可以保持相关性。可以在记录中包括附加字段以基于相对于另一取证事实已经改变的属性的数量和这样的属性的权重来指示与另一取证事实的相关性的置信度。
取证事实202中的取证事实的另一示例包括来自主文件表数字伪像的记录。在该示例中,主文件表的记录可以包括具有以下各项的结构:文件类型、参考编号、文件名、文件创建时间、文件访问时间、修改时间、更新时间、文件大小、用户标识符和组标识符。由于取证事实202包括动作,因此每条记录可以提取至少四个不同的取证事实,包括文件被创建(包括文件类型、文件名、时间戳、文件大小、用户标识符、组标识符的属性)、文件被修改、文件被访问、以及文件被更新。
图3示出了可以用调查检测***200来实现的示例方法300。在302处,从所关注的***或网络中提取取证事实202。在304处,将可疑事实204标识为所提取的取证事实202的子集。在306处,对于每个可疑事实,***200从取证事实202中找到相关事实。在该示例中,相关事实变为可疑事实,并且在306处,***200可以再次从取证事实202中找到其他相关事实。另外,在306处,可以向所发现的相关事实添加重要性权重。在306处,***200可以继续从可疑事实中发现相关事实,直到预先选择的标准或条件满足。
取证事实202可以用作入侵指标,并且攻击指标可以由取证事实202构造。取证事实202如时间戳或其他时间跟踪机制所确定的那样被排序。入侵检测***还可以应用取证事实202以查找由顺序确定的类似的取证事件链以检测其他***或网络上的入侵。
图4示出了可以被实现以在302处从所关注的***或网络中提取取证事实202的示例方法400。在402处,从数字伪像接收取证事件,并且从取证事件中提取基于动作的取证事件。在404处,将基于动作的取证事件标准化为模式以将包括记录作为具有一组属性的取证事实。一个以上的伪像可以跟踪相同的取证事实,因此,在406处,对所提取的取证事实去重。另外,在408处,可以通过时间戳对具有相似性质的经去重的取证事实进行汇总和排序。可以将经过汇总和排序的取证事实作为数据结构存储在数据库或文件中,并且作为取证事实202呈现给***200。
用于在404处收集属性的模式可以是所有***和网络通用的,是特定于所关注的***和网络中的伪像的,或者其组合。该模式可以包括为每个伪像而收集的一组属性。在一个示例中,所关注的***和网络上的伪像可以包括主文件表、更改日志、最近使用的日志、Amcache、成功登录、和事件。可以为每个伪像包括事件标识符属性。可以为事件伪像而不为其他伪像包括帐户过期、算法名称和认证包名称属性。可以设想这些属性以及与一个或多个伪像相对应的属性的其他示例。
由于所关注的***或网络中的每个动作都可能在多个伪像中留下痕迹,因此有可能多个伪像会道出相同的取证事件。另外,相同或相似的动作可以呈现为伪像中的不同动作。例如,在***或网络上创建用户可以包括:创建来自主文件表伪像的取证事实作为NTUSER.DAT、创建用户/文档/文件夹、创建用户/收藏夹文件夹、更新注册表文件、以及来自伪像的其他动作以及其他伪像(诸如注册表项、事件日志和更改日志)中的其他动作。
在406处,对多个取证事实去重。对取证事实去重的一个示例包括:比较取证事件的时间或取证事实的属性以确定取证事件是否是重复的。一个示例考虑取证事件的时间戳属性以确定取证事件是否同时发生,并且还考虑取证事件的属性以确定事件是否相同或相似。在一个示例中,如果以下三个条件中的至少两个满足,则对取证事实进行去重:所比较的取证事件的时间戳的差异未超过选定阈值、相似属性的数量或比率超过选定阈值、以及属性的值在选定阈值之上不会相互矛盾。取决于伪像,相同的取证事实可以包括不同的属性。在406处对取证事实进行重复数据删除的一个示例中,每组属性可以被保留在记录中。
返回图3,分析人员可以在304处选择用于从其开始调查的一个或多个可疑事实。可以在304处标识可疑事实之前或之后在302处提取取证事实202。在一个示例中,从一组取证事实202中选择一个或多个可疑事实。
在306处,基于所标识的可疑事实从一组取证事实202中得出相关事实。在一个示例中,如果两个或更多个取证事实具有相似的属性或值,则它们是相关的。另外,可以向相关事实分配关系的程度或量,其包括与第一取证事实的值,该值指示与第二取证事实的关系的量。一旦确定取证事实与可疑事实相关,就将相关取证事实添加到该组可疑事实中,并且可以重复在306处标识相关事实的过程。可以重复标识相关事实的过程,直到选定条件满足。在一个示例中,用于停止在306处查找相关事实的过程的条件可以包括:调查人员对结果感到满意,或者对所得到的可疑和相关事实的数量感到满意,在306处从该组可疑事实中不再能够得到相关事实,或者在306处新得到的相关事实的关系的权重或程度低于选定阈值。
可以使用若干示例标准或过程来确定在306处得到的相关取证事实的加权关系。在一个示例中,两个取证事实之间的权重W由下式确定:
W=(w1p1+w2p2+...+wnpn)hi
其中
Figure BDA0002435965020000091
是分配给取证事实的给定属性的权重(例如,分配给文件散列属性的权重可以大于分配给文件名属性的权重);如果两个取证事实中只有一个包括该属性,则pj为0;如果两个取证事实都包括该属性并且该属性相同或基本相似,则pj为1;如果两个取证事实都包括该属性并且该属性不相同或基本不相似,则pj为-1;hi是与306处的迭代次数相关联的权重(例如,306的更多迭代或重复可以减少分配给hi的权重)。除了或代替相关取证事实之间的加权关系的基于属性的分配,可以应用基于规则的关系,该基于规则的关系基于预定义的知识库来分配权重。
一旦确定了相关事实,***200就可以诸如在显示器上的可视化中的时间线上呈现取证事实以及相关联的权重。
在一个示例中,调查人员已经发现了一种病毒,诸如MassSender病毒,它是一种旨在删除或破坏或窃取所关注的计算机上的数据的恶意软件。研究者可以从ams.zip文件中标识MassSender的解压缩动作。***200可以应用方法300和方法400以包括时间线,该时间线具有相关取证事实的时间(未示出)和相应权重(从0.0到1.0),诸如:
创建新用户TEMP,0.85;
由用户TEMP创建ams.zip,1.0;
从ams.zip中解压缩MassSender,(最初标识的可疑事实);
将MassSender安装到ProgramFiles,1.0;
由用户TEMP创建NiceHashMiner,0.7;
执行MassSender.exe,1.0;
由用户TEMP将NWXODq8f.exe下载到Appdata\Temp,0.7;以及
将winlogon.exe替换为NWXODq8f.exe,0.7。
应用方法300、方法400的***200可以大幅度减少调查人员审查的取证事件的数量,并且提供与似乎不相关的取证事实的连接(诸如用特洛伊木马替换***文件(NWXODq8f.exe)与从ams.zip中解压缩MassSender之间的关系)。调查人员可以包括或排除取证事实,并且重复306以获取一组重新考虑的结果。
示例入侵调查***200和方法300、方法400可以被实现为包括用于控制诸如具有处理器和存储器的计算***等***执行方法300、方法400以发现所关注的***或网络上的其他入侵实例的一个或多个硬件设备和计算机程序的组合。例如,入侵调查***200和方法300、方法400可以被实现为具有用于控制处理器执行方法300、方法400的可执行指令集的计算机可读介质或计算机可读设备。
尽管本文中已经示出和描述了特定实施例,但是本领域普通技术人员将理解,在不脱离本发明的范围的情况下,各种替代和/或等效的实现可以代替所示出和描述的特定实施例。本申请旨在覆盖本文中讨论的特定实施例的任何改编或变型。

Claims (20)

1.一种调查***或网络上的入侵的方法,所述方法包括:
从所述***或网络上的数字伪像数据源中的一组可观察的取证事件中接收取证事实,所述取证事实由基于动作的取证事件组成,所述取证事实在具有记录的模式中具有动态类型属性,所述模式中的所述动态类型属性的所述记录包括具有权重的多个属性,并且包括到另一取证事实的关联度属性的置信度,所述置信度基于所述记录中相对于所述另一取证事实已经发生改变的属性的数量以及这些属性的权重;
从所述取证事实中标识可疑事实,标识所述可疑事实包括发起调查;以及
基于所述可疑事实的所述动态类型属性来从所述取证事实中标识相关事实。
2.根据权利要求1所述的方法,其中所述相关事实变为另一可疑事实,并且所述方法包括:基于所述另一可疑事实来标识另一相关事实。
3.根据权利要求1所述的方法,其中标识所述可疑事实包括标识多个可疑事实。
4.根据权利要求1所述的方法,包括:
向所述相关事实添加重要性权重。
5.根据权利要求4所述的方法,其中重要性权重是基于所述可疑事实的属性。
6.根据权利要求5所述的方法,其中所述重要性权重基于所述可疑事实与所述相关事实之间的属性比较。
7.根据权利要求1所述的方法,其中所述取证事实是从所述***或网络的多个伪像中提取的。
8.根据权利要求7所述的方法,其中来自所述伪像的多个取证事件代表所述取证事实。
9.根据权利要求1所述的方法,其中接收所述取证事实包括:
从具有所述一组可观察的取证事件的所述***或网络的伪像中提取基于动作的取证事件;
将所述基于动作的取证事件的属性标准化为模式;
对所述基于动作的取证事件去重;以及
聚合经去重的所述基于动作的取证事件。
10.根据权利要求9所述的方法,其中对所述基于动作的取证事件去重包括在所述模式中维护所述基于动作的取证事实的属性。
11.一种用于存储计算机可执行指令的计算机可读存储设备,所述计算机可执行指令用于控制硬件处理器设备:
从***或网络上的数字伪像数据源中的一组可观察的取证事件中接收取证事实,所述取证事实由基于动作的取证事件组成,所述取证事实在具有记录的模式中具有动态类型属性,所述模式中的所述动态类型属性的所述记录包括具有权重的多个属性,并且包括到另一取证事实的关联度属性的置信度,所述置信度基于所述记录中相对于所述另一取证事实已经发生改变的属性的数量以及这些属性的权重;
从所述取证事实中标识可疑事实,标识所述可疑事实包括发起调查;以及
基于所述可疑事实的所述动态类型属性来从所述取证事实中标识相关事实。
12.根据权利要求11所述的计算机可读存储设备,计算机可执行指令用于控制所述硬件 处理器设备:
在可视化中的时间线上呈现所述可疑事实和所述相关事实。
13.根据权利要求12所述的计算机可读存储设备,其中所述相关事实包括相对于所述可疑事实的重要性权重。
14.根据权利要求11所述的计算机可读存储设备,其中所述取证事实是从所述***或网络上的伪像中提取的。
15.根据权利要求14所述的计算机可读存储设备,其中所述伪像包括主文件表、更改日志、注册表项和事件日志。
16.根据权利要求11所述的计算机可读存储设备,其中可疑事实和相关事实被应用作为入侵指标。
17.一种***,包括:
存储器设备,用于存储一组指令;以及
硬件处理器设备,用于执行所述一组指令以:
从***或网络上的数字伪像数据源中的一组可观察的取证事件中接收取证事实,所述取证事实由基于动作的取证事件组成,所述取证事实在具有记录的模式中具有动态类型属性,所述模式中的所述动态类型属性的所述记录包括具有权重的多个属性,并且包括到另一取证事实的关联度属性的置信度,所述置信度基于所述记录中相对于所述另一取证事实已经发生改变的属性的数量以及这些属性的权重;
从所述取证事实中标识可疑事实,标识所述可疑事实包括发起调查;以及
基于所述可疑事实的所述动态类型属性来从所述取证事实中标识相关事实。
18.根据权利要求17所述的***,其中所述相关事实包括相对于所述可疑事实的重要性权重。
19.根据权利要求17所述的***,其中接收取证事实包括:
从具有所述一组可观察的取证事件的所述***或网络的伪像中提取基于动作的取证事件;
将所述基于动作的取证事件的属性标准化为模式;
对所述基于动作的取证事件去重;以及
聚合经去重的所述基于动作的取证事件。
20.根据权利要求17所述的***,所述***被实现为云环境中的安全服务。
CN201880064421.7A 2017-10-03 2018-08-11 入侵调查 Active CN111183620B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/723,832 US10735457B2 (en) 2017-10-03 2017-10-03 Intrusion investigation
US15/723,832 2017-10-03
PCT/US2018/046386 WO2019070339A1 (en) 2017-10-03 2018-08-11 INTRUSION SURVEY

Publications (2)

Publication Number Publication Date
CN111183620A CN111183620A (zh) 2020-05-19
CN111183620B true CN111183620B (zh) 2022-05-13

Family

ID=63254806

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201880064421.7A Active CN111183620B (zh) 2017-10-03 2018-08-11 入侵调查

Country Status (4)

Country Link
US (1) US10735457B2 (zh)
EP (1) EP3692695B1 (zh)
CN (1) CN111183620B (zh)
WO (1) WO2019070339A1 (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10984099B2 (en) * 2017-08-29 2021-04-20 Micro Focus Llc Unauthorized authentication events
US11763004B1 (en) * 2018-09-27 2023-09-19 Fireeye Security Holdings Us Llc System and method for bootkit detection
US11757906B2 (en) * 2019-04-18 2023-09-12 Oracle International Corporation Detecting behavior anomalies of cloud users for outlier actions
US11627147B2 (en) * 2019-05-17 2023-04-11 Charter Communications Operating, Llc Botnet detection and mitigation

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6996843B1 (en) * 1999-08-30 2006-02-07 Symantec Corporation System and method for detecting computer intrusions
CN101473333B (zh) * 2006-06-21 2011-09-07 威步***股份公司 入侵检测的方法和***
US20080244742A1 (en) * 2007-04-02 2008-10-02 Microsoft Corporation Detecting adversaries by correlating detected malware with web access logs
US8312023B2 (en) 2007-12-21 2012-11-13 Georgetown University Automated forensic document signatures
US8793498B2 (en) * 2008-08-11 2014-07-29 Nbcuniversal Media, Llc System and method for forensic analysis of media works
US20100299430A1 (en) 2009-05-22 2010-11-25 Architecture Technology Corporation Automated acquisition of volatile forensic evidence from network devices
EP2946332B1 (en) 2013-01-16 2018-06-13 Palo Alto Networks (Israel Analytics) Ltd Automated forensics of computer systems using behavioral intelligence
GB2512340A (en) * 2013-03-27 2014-10-01 Riskpointer Oy Electronic arrangement and related method for automated fraud prevention in connection with digital transactions
CN103227798B (zh) * 2013-04-23 2016-09-14 西安电子科技大学 一种免疫网络***
US9367809B2 (en) 2013-10-11 2016-06-14 Accenture Global Services Limited Contextual graph matching based anomaly detection
US9699205B2 (en) * 2015-08-31 2017-07-04 Splunk Inc. Network security system
WO2017131963A1 (en) * 2016-01-29 2017-08-03 Acalvio Technologies, Inc. Using high-interaction networks for targeted threat intelligence
US10425442B2 (en) * 2016-09-26 2019-09-24 Splunk Inc. Correlating forensic data collected from endpoint devices with other non-forensic data

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
弱关联网络入侵的取证技术仿真分析;刘艳等;《计算机仿真》;20160415(第04期);全文 *

Also Published As

Publication number Publication date
US10735457B2 (en) 2020-08-04
CN111183620A (zh) 2020-05-19
EP3692695B1 (en) 2023-06-28
US20190104147A1 (en) 2019-04-04
WO2019070339A1 (en) 2019-04-11
EP3692695A1 (en) 2020-08-12

Similar Documents

Publication Publication Date Title
US11277423B2 (en) Anomaly-based malicious-behavior detection
US11244047B2 (en) Intelligent backup and versioning
Zipperle et al. Provenance-based intrusion detection systems: A survey
US9998484B1 (en) Classifying potentially malicious and benign software modules through similarity analysis
US10154066B1 (en) Context-aware compromise assessment
EP2939173B1 (en) Real-time representation of security-relevant system state
CN111183620B (zh) 入侵调查
US9300682B2 (en) Composite analysis of executable content across enterprise network
CN109074454B (zh) 基于赝象对恶意软件自动分组
US9584541B1 (en) Cyber threat identification and analytics apparatuses, methods and systems
EP3531329B1 (en) Anomaly-based-malicious-behavior detection
JP2010182019A (ja) 異常検知装置およびプログラム
US11824883B2 (en) Variable DCF security scores and data threat portfolio views
WO2016121348A1 (ja) マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体
US20230247043A1 (en) Techniques for detecting cybersecurity vulnerabilities in a cloud based computing environment based on forensic analysis of cloud logs
Melvin et al. Dynamic malware attack dataset leveraging virtual machine monitor audit data for the detection of intrusions in cloud
US11201875B2 (en) Web threat investigation using advanced web crawling
US20210112082A1 (en) Computer security system for ingesting and analyzing network traffic
EP3688950B1 (en) Intrusion detection
EP4020284A1 (en) Systems and methods for cross-referencing forensic snapshot over time for root-cause analysis
EP3705974B1 (en) Classification device, classification method, and classification program
JP6169497B2 (ja) 接続先情報判定装置、接続先情報判定方法、及びプログラム
WO2023124041A1 (zh) 一种勒索病毒检测方法以及相关***
Li et al. LogKernel: A threat hunting approach based on behaviour provenance graph and graph kernel clustering
GB2546135A (en) Robust computing device identification framework

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant