模式合并以识别恶意行为的制作方法

模式合并以识别恶意行为的制作方法
【专利摘要】一种过程，包括分析由网络上的计算设备报告的事件，以识别发生在所述网络上的事件的模式，以及与社区共享关于检测到的模式的信息。所述过程还可以使用关于所述模式的合并信息，来选择所述模式中的一个或多个，以用于识别所选择的模式是否产生于恶意行为的分析。所述合并信息包括在所述网络上检测到的关于所述模式的信息和关于别处发生的事件的对应模式的信息。
【专利说明】模式合并以识别恶意行为

【背景技术】
[0001] 恶意软件经常被设计为延迟特定恶意效果。例如，许多蠕虫、病毒和特洛伊木马试 图"零日攻击"以在软件开发者意识到软件漏洞之前利用该漏洞。为了最大效果，零日攻击 可以在特定日期发动部分攻击，该特定日期可以在蠕虫、病毒或木马程序开始传播的日期 之后。这可以特别为在攻击的延迟部分具有能容易检测的效果时的情况，例如，特别有害效 果的情况。攻击的延迟可能致力于允许这种恶意软件在被注意之前传播并积聚感染设备的 临界质量。希望尽快检测并使这种恶意软件失效，并且特别是在攻击的更多有害部分开始 之前。然而，抗病毒软件解决方案通常使用已知的签名和探试程序来检测恶意软件，并且新 攻击中的许多不被抗病毒软件解决方案所识别，直到发生显著的损害之后。抗病毒解决方 案还可能需要时间来更新签名，从而这种解决方案可能仅能够在恶意软件的零日攻击开始 之后处理特定的恶意软件几天或几周。最终，可能发生大量损害。
[0002] 模式发现过程可以执行复变分析以检测另外可能隐藏在系统质量和用户行为中 的事件的模式。然而，分析在大型企业中产生的事件的企业系统管理（ESM)安装程序可以 检测相当多的模式以至于全部检测到的模式的安全分析可能是不现实的。

【专利附图】

【附图说明】
[0003] 图1为包括连接以与社区的其他成员共享事件模式的企业管理系统的系统的框 图。
[0004] 图2为通过检测并分析事件模式来检测恶意行为的过程的流程图。
[0005] 图3为使用检测到的模式的共享的标准形式来识别可能的恶意软件行为的发生 的过程的流程图。
[0006] 图4为能够共享检测到的模式的标准形式的管理器的框图。
[0007] 图5为使用共享模式信息的合并来选择用于分析的模式的过程的流程图。
[0008] 在不同的附图中使用的相同参考标记指示类似或相同的项目。

【具体实施方式】
[0009] 检测恶意软件的系统和过程可以检测单个ESM安装程序中事件的模式、生成在每 个安装程序中检测到的模式的标准形式、与社区共享关于标准形式的信息、以及合并多个 安装程序中的共享信息以识别模式中的哪一个存在最大威胁或恶意行为的可能。与新事件 的模式关联的威胁的水平可以基于发生的数目或速率以及事件的模式在ESM安装程序的 社区中传播有多广泛而评分。例如，模式的威胁评分可以基于在单个机构中模式的支持，例 如机器或呈现行为的用户账号的数目，和/或被模式影响的机构的数目。为了有利于这种 评估，使用公共或专用交换机，例如威胁交换机，模式的标准形式可以被合并和共享。模式 的标准形式还可以被安全分析师通过诸如即时消息、邮件、论坛或社交媒体的其他通信模 式而交换。分析师可以特别研宄最新出现的广泛传播的模式，以在零日攻击的更具毁灭性 的部分开始之前发现传播的恶意软件。
[0010] 图1为社区100的框图，社区100包括企业系统110,企业系统110包括网络安全， 例如ESM安装程序，其可以检测事件的模式并共享关于检测到的模式的信息。因此，系统 110中的信息可以与发生在别处的模式相对应的信息合并，并且该合并的信息可以被用于 在零日攻击中提早识别恶意软件行为。
[0011] 系统110包括网络115、一个或多个代理120和管理器130。在一些实施方式中， 代理、管理器和/或控制台中的一些或全部可以在单个计算平台中组合或者在两个或多个 物理平台中分配。网络115可以为传统局域网并且可以被采用为覆盖企业的全部或部分。 网络115的特定类型（例如，网络115的拓扑结构，不管网络115使用无线或有线通信以及 实施哪个特定协议）对于事件模式的检测和恶意行为的识别通常不是关键的，如这里进一 步描述的。通常，网络115可以包括诸如路由器和交换器的设备，以使诸如服务器、网络家 电和个人电脑的计算设备与诸如打印机和扫描仪的外部设备互连。网络115可以进一步包 括一个或多个网关112,以连接至包括诸如因特网的公共或广域网的其他网络165。覆盖企 业的其他部分的网络（未示出）可以由其他网络安全系统（未示出）服务。
[0012] 系统110中的代理120可以为执行模块，其捕获、过滤或聚合与网络115关联的多 个网络安全设备和/或应用程序中的本地事件数据。代理120可以随着事件的发生实时 (或接近于实时）处理事件或者可以定期访问可以被维持在特定设备中的事件的日志。安 全事件的一些典型源为常见的网络安全设备，诸如防火墙、指令检测系统和操作系统日志。 代理120可以，例如，收集来自产生事件日志或消息的任意源的事件，并且可以在诸如服务 器、网络家电、个人电脑或网关112的本地设备上操作、在网络115内的合并点上操作和/ 或通过简单网络管理协议（SNMP)陷阱操作。
[0013] 管理器130可以被部署在任意计算机硬件平台上，并且可以例如包括进一步合 并、过滤和交叉关联从代理120接收的事件的基于服务器的部件。管理器130的一个特定 角色为捕获和存储实时事件和历史事件的数据，以构建网络115上安全行为的表征。为此， 管理器130采用集中事件数据库140,其可以包括用于存储事件数据的事件表142。在一些 实施方式中，管理器130可以充当多个代理120的集中器，并且可以将包括事件数据的信息 转发至另一个管理器（未示出），其可以被部署在包括网络115的企业中的公司总部或别 处。
[0014] 控制台135可以采用应用程序用于允许安全专家访问管理器130并执行诸如事件 监控、规则设计、事故调查和报告的日常管理和操作任务。例如，控制台135可以采用浏览 器访问来自管理器130或社区100的其他部分的安全事件、知识库文件、报告和通知，社区 100的其他部分包括其他企业的管理器170、威胁交换机180、分析师资源190或其他当事 人。管理器130可以包括可经由托管在控制台135或代替控制台135并提供控制台135的 一些或全部功能的便携式计算机（未示出）上的网络浏览器访问的网络服务器部件（未示 出）。在安全专家不在直接连接至网络115的设备的物理位置上时，浏览器访问可能是特别 有用的。在将模式上的信息与威胁交换机180或分析师资源190共享时，浏览器访问也可 以是有用的。控制台135或远程设备和管理器130之间的通信可以为双向或加密的。访问 控制列表可以被用于允许多个安全专家使用相同的管理器130和数据库140。因此，单个管 理器130可以支持多个控制台135或远程设备。
[0015] 在图1的实施例中，管理器130包括与代理120通信以接收事件数据的事件管理 器132,以及实施事件数据库140的功能的数据库管理器134。管理器130和代理120之间 的通信可以为双向的，例如允许管理器130将命令发送至托管代理120的平台。如果使用 与代理120的双向通信，则事件管理器132可以将消息发送至代理120。如果代理-管理 器的通信采用加密，则事件管理器132可以将从代理120接收的消息解密，并且将发送至代 理120的任意消息加密。事件管理器132还可以负责产生一些事件数据消息，诸如关联事 件和审计事件，或可以执行这些功能的规则引擎136。事件管理器132可以将事件数据直接 或通过规则引擎136传递至数据库管理器134,并且数据库管理器134可以控制数据库140 中事件数据的存储和组织。数据库管理器134还可以执行搜索查询或其他指令，以检索数 据库140中的事件数据。
[0016] 在一个实施方式中，数据库管理器134使用通过事件管理器132从代理120接收 的事件数据在事件数据库140中构建事件表142。例如，代理120可以以单个事件的形式和 /或以聚合形式提供事件数据。事件的聚合形式可以为相同类型的多个事件的单个表征。 例如，代理120可以将表示550字节的事件信息从第一 IP地址发送至第二IP地址，而不是 将十个不同字节，例如10、20、30、40……100字节的事件，从第一 IP地址提供至第二IP地 址。在一个示例中，代理120给事件管理器132提供事件流。事件流为事件的连续流，其中 每个事件由一组数据区表示。事件管理器132可以将事件传递至规则引擎136以处理。可 替代地，事件或事件数据可以被聚合或产生在管理器130中，例如通过事件管理器132或规 则引擎136。数据库管理器134可以将从代理120接收或由管理器130产生的事件数据存 储在数据库140中的事件表142中。在一个实施方式中，事件表142可以具有对应于单个 事件的行和对应于事件字段的列。
[0017] 管理器130还包括模式处理能力，并且规则引擎136可以包括经由数据库管理器 134调用模式检测的规则，诸如描述何时进行模式检测或哪个用户可以看到模式检测结果 的规则。在示出的实施例中，管理器130包括处理事件数据以识别事件数据中的模式的模 式发现模块150。模式发现模块150可以经由事件管理器132从代理120接收事件数据、从 规则引擎136接收事件数据或直接或经由数据库管理器134从事件数据库140接收事件数 据。
[0018] 在一个实施方式中，模式发现模块150采用模式发现配置文件144,其可以被存储 在事件数据库140中。每个模式发现配置文件144指示确定一组事件是否符合与模式发现 配置文件144关联的模式的准则。在一个特定实施方式中，模式发现配置文件144可以为 定义用于发现模式的准则的资源，例如以XML的形式。模式发现配置文件144可以例如指 示要考虑的事件发生的时间段、事件的选择性过滤条件、一组包含诸如事件名称的相应值 的模式识别字段，诸如源地址和目标地址的模式处理字段、模式中不同行为的最小数目、以 及模式横跨不同事务重复次数的最小数目。模式发现模块150可以处理来自数据库140的 事件或事件数据，以自动产生配置文件144。配置文件144可以可替代地由其他源提供。例 如，模式发现模块150或控制台135的用户可以产生配置文件144,或者配置文件144可以 通过威胁交换机180或其他通信来共享。
[0019] 管理器130可以将事件表142中的事件与模式发现配置文件144中定义的准则相 比较，以识别对应于模式148匹配的事件组。例如，管理器130可以仅使用产生的模式发 现配置文件144或者使用事件数据库140中的任意之前存储的模式发现配置文件144。然 后，数据库管理器134可以执行SQL命令以将事件表142中的事件字段与模式发现配置文 件144中定义的准则相比较。匹配可以包括表示满足模式发现配置文件中定义的准则的一 系列行为的一组事件。匹配模式发现配置文件144的每个实例为模式148的发生。模式的 发生可以被用于产生与网络115上事件的模式148相应关联的统计值146,并且该具体发生 或统计值146可以被存储在数据库140中。可替代地，与特定配置文件144或模式148对 应的模式的每个检测可以被报告给社区100或与社区100分享。
[0020] 产生模式发现配置文件和检测事件数据中的模式的系统和方法进一步被描述在 美国专利No. 7509677 中，名称为"Pattern Discovery in a Network Security System(网 络安全系统中的模式发现）"，其整体通过引用被合并于此。
[0021] 通知者138可以定期或在检测到新模式时产生通知，例如消息、警告等。通知者 138可以例如将包含模式148的标准形式和关联模式统计值146 (若有的话）的消息发送至 威胁交换机180。同样，用于检测模式的事件数据可以例如通过针对用户/分析师的控制台 135来显示和/或在管理器130中分析。
[0022] 社区100,如上所指出，可以包括可以通过公共网络165互相连接并连接至系统 110的安装在其他企业中的管理器170、威胁交换机180和分析师资源190。每个管理器170 可以与网络管理器130相同，而且用以在作为不同机构和企业的一部分的不同网络（未示 出）上监控网络行为。因此，管理器170可以类似地共享关于检测到的发生在事件相应网 络上的事件模式的信息。
[0023] 威胁交换机180可以为实施在可以与ESM安装程序通信的服务器或其他硬件平台 上的服务，例如与管理器130和170以及分析师资源190通信。威胁交换机180的一个功 能是合并关于可以在多个企业中检测到的模式的信息。具体而言，威胁交换机180可以构 建包含会被报告给威胁交换机180的模式的标准形式的表182。表184可以包含合并的统 计值或包括与标准形式关联的入口的其他数据，包括，例如，报告模式检测的机构或企业的 总数目、被事件模式影响的机器或用户账号的总数目、以及指示事件的模式的风险或威胁 水平的评分。由合并的数据184估算或另外确定的评分可以被用于区分用于分析的模式的 优先次序并选择分析的模式。威胁交换机180还可以合并或收集在检测的模式中任一个上 共享的分析186。分析186可以指示检测的模式是否已经被分析并确定为恶意或善意的行 为。分析186还可以响应于检测模式而指示要采取的解决方案或动作。通信模块188可以 包括允许管理器130和170将标准形式、关联统计值或分析上载到威胁交换机180或下载 标准形式182、合并的数据184和分析186的网络服务器部件，例如，用于模式检测、分析和 校正动作。通信模块可以类似地允许分析师190上载或下载信息。
[0024] 分析师资源190可以是单独或与威胁交换机180相关联而提供以识别恶意行为或 推荐校正行为的服务。
[0025] 图2示出过程200,其使用在零日攻击期间并且可能地在攻击的延迟和特别有害 部分发生之前提早识别恶意行为的模式检测。为了说明，这里结合图1系统中的行为描述 过程200,尽管过程200可以在不同的系统中进行。
[0026] 过程200开始于检测和共享发生在被监控的网络中的事件的模式的框210。框210 可以特别地在诸如图1中示出的ESM安装程序中进行，其中管理器130可以实施模式检测 框212。框212检测在特定时间周期期间发生在被监控的网络中的事件的模式。框214产 生检测到的模式的一些或全部的标准形式，并且框216共享该模式中的一些或全部的标准 形式，框214针对该模式产生标准形式。通常，仅仅需要针对会被共享的模式而产生标准形 式。如果模式没有被检测系统分类，则过程200的一些实施方式仅可以产生标准形式（或 共享模式），检测系统例如为与善意或恶意行为相对应的管理器130或社区100。检测到的 模式可以被分类，例如，通过诸如下面进一步描述或通过历史描述的分析。例如，与新出现 的模式相比，已经发生了延长的时间周期，而不是有害的模式可以被认为不太可能是恶意 的。在一个实施方式中，如果对于安装程序来说模式是新的，即如果模式的第一发生小于某 个特定时间之前而发生，则ESM安装可以仅共享模式。
[0027] 框214可以由原始事件数据产生模式的标准形式，以移除或另外保护原始事件数 据中潜在的机密信息并且提供可以适用于许多网络系统的事件模式的格式。原始事件经 常包含日志线形式的信息。在系统110中，代理120可以解析事件或日志线，以识别字段， 例如事件名称、源地址、目标地址等，并且将一些或全部事件字段发送管理器130。管理器 130可以使用资产模型、用户模型和其他信息完善或增大事件数据。系统110中被识别的 事件模式148可以包括在模式的计算中使用的各个字段值的具体快照。这个信息经常是 机密的，并且因此不与其他当事人共享。在产生标准形式时的框214可以提取或更改包含 机密信息的字段，以使针对模式更改的事件数据可以与社区100共享或特别与威胁交换机 180共享。因此，一些字段值可以被转换为传送针对识别的模式要求的信息而不传送机密 信息的公认通用值。例如，事件的模式的标准形式可以为避免公开特定设备或系统细节并 且可以被一般地映射到网络上常见设备的模式的表征。在一个实施方式中，模式的标准形 式148可以为由模式发现配置文件144中的模式识别字段（例如，事件名称）表示的一系 列行为。模式的标准形式的一个特定实施方式可以进一步包括其中每个事件都可以包括行 为识别字段的一组事件。针对行为字段的不同值可以指示诸如TCP探测、端口扫描、shell 代码X86NOOP和成功登陆等的行为。连同模式的标准形式，模式的支持也可以被共享。该 支持为其中观察到模式的唯一的源-目标结合的数目。在一个实施方式中，源和目标识别 字段可以指示源或目标的地址和网络区。在不指示特定或保密值的情况下，源和目标字段 还可以指指示值类型的单个字段，例如用户ID或信用卡号。
[0028] 在具有或不具有诸如与检测到的模式关联的统计信息的辅助信息的情况下，框 216与社区共享检测到的标准形式的模式。如上所述，社区100可以包括其他ESM安装程序 的管理者，诸如管理器170、威胁交换机180、以及其他安全性专家或分析师资源190。社区 100可以特别包括管理器130的制造商作为服务提供给社区100的管理器130和分析师资 源190的特定类型或品牌的用户，社区100包括使用管理器130的企业。共享216可以包 括将新模式指派给管理器130的制造商可以维护的威胁交换机180。
[0029] 威胁交换机180可以合并来自许多安装程序的模式的报告并积聚关于每个模式 的信息，该信息诸如是已经报告模式的安装程序的数目和模式在全部安装程序上发生的数 目。作为合并的一部分，框220可以检查社区100中报告的匹配模式，并且可以产生指示模 式表示恶意行为的可能性的评分。威胁交换机108可以被配置为通过收集、登记和评价管 理器130和170共享的模式来实施框220。可替代地，管理器130可以针对匹配新模式的当 前报告的其他管理器170中之前的报告检查威胁交换机180的记录，并且管理器130可以 产生将模式代表的威胁水平建议给网络115的评分。在确定威胁评分过程中，模式可以呈 现更多的威胁，并且如果模式是新的、发生在许多采用威胁交换机180的不同安装程序中 并且大量发生，则具有更高的威胁评分。广泛传播并且在许多安装程序上具有很高的发生 率的新模式通常值得另外的调查。
[0030] 指示模式的威胁水平的评分可以使用根据举报方的声誉而加权的发生的报告之 和来确定。方程1，例如，示出其中评分为当事人的信誉的产物的所有部分或参与者和当事 人的安装程序处的模式支持之和的示例。在方程1中，当事人信誉为举报参与者的信誉，并 且模式支持为报告的统计值或数值，例如设备的数目或包含在模式中的用户账号、针对该 模式而报告的参与者。可替代的威胁评分可以为标准化评分，其中对于每个参与者，评分包 含作为参与者的IT系统中的百分比或标准化模式支持的贡献。例如，对于来自每个参与 者的评分的贡献可以等于例如模式支持除以IT系统的大小的测量的比率。这会使得较小 系统的贡献在整个威胁评分中更加重要，并且评分会受到被影响的每个参与者更平等的干 涉。该对于机构的大小的测量可以通过多种方式确定。例如，一个测量可以为参与者的系 统中服务器的数目。

【权利要求】
1. 一种过程，包括： 分析由网络上的多个计算设备报告的事件，以识别发生在所述网络上的事件的模式； 共享关于所检测到的模式的信息，其中所述信息与社区共享；并且 使用关于所述模式的合并信息，来选择所述模式中的一个或多个，以用于识别所选择 的模式是否产生于恶意行为的分析，其中 所述合并信息包括在所述网络上检测到的关于所述模式的信息和关于别处检测到的 事件的对应模式的信息。
2. 根据权利要求1所述的过程，其中共享所述信息包括： 产生识别的事件的模式中的每一个的标准形式；以及 将所述标准形式包括在与所述社区共享的信息中。
3. 根据权利要求2所述的过程，其中产生所述标准形式包括： 收集对应于所述模式的一组事件的事件数据； 将所述事件数据中的行为表征与执行行为的参与者的表征隔离；以及 不将所述行为表征与所述执行行为的参与者的表征共享，以由此避免共享所述事件数 据中的机密信息。
4. 根据权利要求1所述的过程，其中使用所述合并信息包括：以指示给分析师所述模 式的威胁的相应水平的顺序，区分所述模式的优先次序。
5. 根据权利要求1所述的过程，其中共享包括：提供关于所述模式的所述信息至在所 述社区中可访问的威胁交换机。
6. 根据权利要求1所述的过程，其中使用所述合并信息包括：确定事件的所述模式中 的一个发生在其上的网络的数目。
7. 根据权利要求1所述的过程，其中使用所述合并信息包括：确定被事件的所述模式 中的一个的发生影响的机器的数目。
8. 根据权利要求1所述的过程，进一步包括：分析所选择模式中的一个以检测引起该 模式的恶意软件，其中在所述恶意软件执行零日攻击的延迟部分之前，所述恶意软件被检 测。
9. 根据权利要求1所述的过程，其中使用针对模式的所述合并信息包括：确定该模式 的评分，其中所述评分为通过多个机构取决于该模式的相应报告的多个贡献之和。
10. 根据权利要求9所述的过程，其中所述贡献中的每一个根据与该贡献关联的机构 的声誉而加权。
11. 一种非临时性计算机可读媒体，包含在被计算系统执行时引起一过程的指令，所述 过程包括： 分析由网络上的多个计算设备报告的事件，以识别发生在所述网络上的事件的模式； 共享关于所检测到的模式的信息，其中所述信息与社区共享；并且 使用关于所述模式的合并信息，以选择所述模式中的一个或多个，以用于识别所选择 的模式是否产生于恶意行为的分析，其中 所述合并信息包括在所述网络上检测到的关于所述模式的信息和关于别处检测到的 事件的对应模式的信息。
12. -种系统，包括： 模式发现模块，被配置为在网络中检测事件的模式；以及 通知者，被配置为将检测到的模式的标准形式与社区共享，其中所述标准形式在与别 处检测到的关于模式的信息合并时指示产生于恶意行为的模式的威胁的相应水平。
13. 根据权利要求12所述的系统，进一步包括威胁交换机，所述威胁交换机与所述社 区通信，并且被配置为给所述社区提供与所述标准形式关联并且产生于多个所述模式发现 模块中的合并信息的信息。
14. 根据权利要求13所述的系统，其中所述威胁交换机可操作为针对所述模式确定评 分，其中所述评分为通过多个机构取决于该模式的相应报告的多个贡献之和。
15. 根据权利要求12所述的系统，其中所述标准形式包括从所述事件数据中提取的行 为表征，而不包括以标准形式执行行为的参与者的表征。
【文档编号】H04L12/26GK104509034SQ201280074998
【公开日】2015年4月8日 申请日期:2012年7月31日 优先权日:2012年7月31日
【发明者】阿努拉克·辛格拉, 苏兰让·普罗马尼克, 托马斯·桑德 申请人:惠普发展公司，有限责任合伙企业