包括安全規(guī)則評(píng)估的保護(hù)系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本公開(kāi)設(shè)及保護(hù)系統(tǒng)�����,并且更具體地設(shè)及能夠評(píng)估提議的安全規(guī)則的設(shè)備和/或 網(wǎng)絡(luò)威脅監(jiān)測(cè)系統(tǒng)�����。
【背景技術(shù)】
[0002] 在現(xiàn)代社會(huì)中����,計(jì)算設(shè)備正在從僅是便利品變?yōu)楸匦杵贰T谌蛞?guī)模上��,通信正在 變得電子占主導(dǎo)�����,并且運(yùn)些通信經(jīng)常包括敏感或機(jī)密信息的傳輸。例如�,用戶(hù)經(jīng)由電子通信 可W傳輸個(gè)人標(biāo)識(shí)信息,可W進(jìn)行金融交易�����,可W接收醫(yī)療數(shù)據(jù)�����,等等��。在更大的規(guī)模上�����,小 型的商業(yè)���、公司、教育機(jī)構(gòu)����、政府機(jī)構(gòu)可W全都利用電子通信來(lái)進(jìn)行業(yè)務(wù)處理、執(zhí)行機(jī)密文 檔等��。駐留在電子設(shè)備上或通過(guò)電子設(shè)備來(lái)傳送的運(yùn)種數(shù)據(jù)的全部對(duì)于希望利用它來(lái)實(shí)現(xiàn) 其他們自身的利益的未授權(quán)方可能具有吸引力。因此�����,設(shè)備級(jí)別和/或網(wǎng)絡(luò)級(jí)別保護(hù)系統(tǒng) (包括但不限于��,病毒和惡意軟件保護(hù)軟件�����、未授權(quán)訪(fǎng)問(wèn)防護(hù)(例如���,網(wǎng)絡(luò)安全監(jiān)視器和入侵 檢測(cè)/防護(hù)系統(tǒng)等)已經(jīng)變成必要的應(yīng)用���。
[0003] 現(xiàn)有的設(shè)備保護(hù)系統(tǒng)典型地是集中式管理的。例如�����,保護(hù)客戶(hù)機(jī)通常安裝在將利 用用于保護(hù)客戶(hù)機(jī)的軟件更新而受保護(hù)的設(shè)備上��,其中從網(wǎng)絡(luò)管理員或安全提供商(例如���, 提供安全裝備和/或軟件的全球公司)向外推送所述用于保護(hù)客戶(hù)機(jī)的軟件更新��。軟件更新 可W例如包括用于標(biāo)識(shí)對(duì)設(shè)備和/或包括設(shè)備的網(wǎng)絡(luò)的威脅(例如�,病毒、蠕蟲(chóng)�、入侵、由人 類(lèi)或惡意軟件在端點(diǎn)設(shè)備內(nèi)�����、在網(wǎng)絡(luò)中或者在運(yùn)兩者中進(jìn)行的任何可疑的或惡意的活動(dòng) 等)的經(jīng)更新的規(guī)則���、定義���,等等。盡管運(yùn)種保護(hù)模型在過(guò)去是有效的����,但是未授權(quán)方捕捉 和/或攔截敏感和/或機(jī)密數(shù)據(jù)的增長(zhǎng)的興趣已經(jīng)使對(duì)設(shè)備和/或網(wǎng)絡(luò)保護(hù)的"全體適用"方 式不足夠。運(yùn)種改變是網(wǎng)絡(luò)尺寸�����、參數(shù)和配置的巨大的可變性的結(jié)果����。當(dāng)保護(hù)一致的端點(diǎn) (例如,全部基于Windows��、全部基于安卓��,等等)時(shí)��,傳統(tǒng)的集中式安全方式工作相當(dāng)好�����,但 是創(chuàng)建集中式規(guī)則來(lái)保護(hù)眾多的不同的設(shè)備和/或網(wǎng)絡(luò)具有大得多的挑戰(zhàn)性��。不同的操作 環(huán)境可W包括對(duì)設(shè)備和/或網(wǎng)絡(luò)的多種唯一的威脅����,運(yùn)些威脅中的一些威脅對(duì)于環(huán)境外部 的集中式管理員或安全提供商可能不是顯而易見(jiàn)的??紤]到運(yùn)些挑戰(zhàn),生成滿(mǎn)足整個(gè)網(wǎng)絡(luò) 的所有需要的有效安全策略變得非常困難���。此外�����,盡管在網(wǎng)絡(luò)環(huán)境中操作的設(shè)備可W具有 關(guān)于可能的安全配置的輸入��,但是不存在集中式管理員有效地處理此信息的方式��。
【附圖說(shuō)明】
[0004] 隨著W下【具體實(shí)施方式】進(jìn)行并且在參考附圖后���,要求保護(hù)的主題的各實(shí)施例的特 征和優(yōu)點(diǎn)將變得明顯,其中相似的參考號(hào)指示相似的部件���,并且在附圖中:
[0005] 圖1示出根據(jù)本公開(kāi)的至少一個(gè)實(shí)施例的包括安全規(guī)則評(píng)估的示例保護(hù)系統(tǒng)����;
[0006] 圖2示出根據(jù)本公開(kāi)的至少一個(gè)實(shí)施例的用于設(shè)備的示例配置;W及
[0007] 圖3示出根據(jù)本公開(kāi)的至少一個(gè)實(shí)施例的用于包括安全規(guī)則評(píng)估的保護(hù)系統(tǒng)的示 例操作��。
[000引盡管W下【具體實(shí)施方式】將通過(guò)參考說(shuō)明性實(shí)施例進(jìn)行�����,但是其許多替代��、修改和 變型對(duì)本領(lǐng)域技術(shù)人員將是明顯的�。
【具體實(shí)施方式】
[0009] 本公開(kāi)設(shè)及一種包括安全規(guī)則評(píng)估的保護(hù)系統(tǒng)。在一個(gè)實(shí)施例中��,設(shè)備可W包括 保護(hù)模塊���,所述保護(hù)模塊用于標(biāo)識(shí)對(duì)所述設(shè)備或包括所述設(shè)備的網(wǎng)絡(luò)中的至少一者的威 脅�����。所述保護(hù)模塊可W包括例如規(guī)則評(píng)估器(RE)模塊���,所述RE模塊用于:評(píng)估提議的安全規(guī) 貝1J,所述提議的安全規(guī)則用于基于至少一個(gè)基礎(chǔ)事實(shí)場(chǎng)景來(lái)標(biāo)識(shí)所述威脅��;W及至少基于 所述評(píng)估來(lái)判定是否將所述提議的安全規(guī)則提升(promote)為新的安全規(guī)則(例如�����,W便將 所述提議的安全規(guī)則合并到所述設(shè)備中的活躍的安全規(guī)則集中)���?��?蒞由所述保護(hù)模塊生 成所述提議的安全規(guī)則,或者可W從所述網(wǎng)絡(luò)中的其他設(shè)備或其他網(wǎng)絡(luò)接收所述提議的安 全規(guī)則����。可W與所述網(wǎng)絡(luò)中的其他設(shè)備中的至少一個(gè)或其他網(wǎng)絡(luò)共享新的安全規(guī)則�����。在傳 輸之前,必要的話(huà)��,可W規(guī)范化所述新的安全規(guī)則W促進(jìn)與所述其他設(shè)備和/或網(wǎng)絡(luò)的兼容 性�。在一個(gè)實(shí)施例中,所述RE模塊可W進(jìn)一步觸發(fā)對(duì)所述提議的安全規(guī)則的獨(dú)立評(píng)估����,當(dāng)判 定是否將所述提議的安全規(guī)則添加至所述設(shè)備中的所述活躍規(guī)則集時(shí),也可W考慮所述獨(dú) 立評(píng)估���。獨(dú)立評(píng)估可W包括例如由任何網(wǎng)絡(luò)�、互聯(lián)網(wǎng)或分布式服務(wù)執(zhí)行的手動(dòng)或自動(dòng)的代 碼回顧��、質(zhì)量檢查��,等等��。
[0010] 在一個(gè)實(shí)施例中���,設(shè)備可W至少包括例如保護(hù)模塊���。所述保護(hù)模塊可W用于標(biāo)識(shí) 對(duì)所述設(shè)備或包括所述設(shè)備的網(wǎng)絡(luò)中的至少一者的威脅���。所述保護(hù)模塊可W至少包括RE模 塊��,所述RE模塊用于:評(píng)估至少一個(gè)提議的安全規(guī)則����,所述至少一個(gè)提議的安全規(guī)則用于由 所述保護(hù)模炔基于至少一個(gè)基礎(chǔ)事實(shí)場(chǎng)景來(lái)標(biāo)識(shí)所述威脅;W及至少部分地基于所述評(píng)估 來(lái)判定是否允許所述至少一個(gè)提議的安全規(guī)則變?yōu)橹辽僖粋€(gè)新的安全規(guī)則����。如果確定了允 許所述至少一個(gè)提議的安全規(guī)則變?yōu)橹辽僖粋€(gè)新的安全規(guī)則,則所述RE模塊可W進(jìn)一步使 所述至少一個(gè)新的安全規(guī)則被添加到由所述保護(hù)模塊使用的活躍的安全規(guī)則集中�����。
[0011] 所述保護(hù)模塊可W進(jìn)一步基于機(jī)器學(xué)習(xí)算法來(lái)生成所述至少一個(gè)提議的安全規(guī) 貝1J��,所述機(jī)器學(xué)習(xí)算法用于確定對(duì)所述設(shè)備或包括所述設(shè)備的所述網(wǎng)絡(luò)中的至少一者的威 脅�。所述至少一個(gè)基礎(chǔ)事實(shí)場(chǎng)景可W包括例如,至少一個(gè)已知的良好操作場(chǎng)景或已知的不 良操作場(chǎng)景����。所述RE模塊模塊用于評(píng)估所述至少一個(gè)提議的安全規(guī)則隨后可W包括:所述 RE模塊用于判定由所述至少一個(gè)提議的安全規(guī)則生成的威脅標(biāo)識(shí)是否對(duì)應(yīng)于所述至少一 個(gè)已知的良好操作場(chǎng)景或已知的不良操作場(chǎng)景。在相同或不同的實(shí)施例中,所述RE模塊可 W進(jìn)一步用于判定是否致使執(zhí)行對(duì)所述至少一個(gè)提議的安全規(guī)則的獨(dú)立評(píng)估�����。在運(yùn)個(gè)實(shí)例 中�����,所述RE模塊可W進(jìn)一步用于:致使執(zhí)行對(duì)所述至少一個(gè)提議的安全規(guī)則的所述獨(dú)立評(píng) 估��;W及基于所述獨(dú)立評(píng)估來(lái)判定是否允許所述至少一個(gè)提議的安全規(guī)則變?yōu)樗鲋辽僖?個(gè)新的安全規(guī)則�。
[0012] 在一個(gè)實(shí)施例中,所述設(shè)備可W進(jìn)一步包括通信模塊���,所述通信模塊用于:從所述 網(wǎng)絡(luò)中的另一設(shè)備中的保護(hù)模塊或從至少一個(gè)其他網(wǎng)絡(luò)中的至少一者接收所述至少一個(gè) 提議的安全規(guī)則��。在運(yùn)個(gè)實(shí)例中��,所述RE模塊可W進(jìn)一步用于:使所述通信模塊將所述至少 一個(gè)新的安全規(guī)則傳輸?shù)剿鼍W(wǎng)絡(luò)中的所述另一設(shè)備或所述至少一個(gè)其他網(wǎng)絡(luò)中的至少 一者�����。所述RE模塊可W進(jìn)一步用于:判定在傳輸之前所述至少一個(gè)新的安全規(guī)則是否要求 規(guī)范化���;W及如果確定了所述至少一個(gè)新的安全規(guī)則要求規(guī)范化�����,則更改所述至少一個(gè)新 的安全規(guī)則W促進(jìn)與所述網(wǎng)絡(luò)中的所述另一設(shè)備或所述至少一個(gè)其他網(wǎng)絡(luò)中的至少一者 的兼容性��??蒞基于由所述RE模塊確定了所述至少一個(gè)新的安全規(guī)則適用于所述另一設(shè)備 或所述另一網(wǎng)絡(luò)而將所述至少一個(gè)新的安全規(guī)則傳輸?shù)剿鼍W(wǎng)絡(luò)中的所述另一設(shè)備或所 述另一網(wǎng)絡(luò)���。與本公開(kāi)一致的一種方法可W包括例如W下步驟:評(píng)估設(shè)備中的至少一個(gè)提 議的安全規(guī)則,所述至少一個(gè)提議的安全規(guī)則在所述設(shè)備中用于基于至少一個(gè)基礎(chǔ)事實(shí)場(chǎng) 景來(lái)標(biāo)識(shí)對(duì)所述設(shè)備或包括所述設(shè)備的網(wǎng)絡(luò)中的至少一者的威脅;至少基于所述評(píng)估來(lái)判 定是否允許所述至少一個(gè)提議的安全規(guī)則變?yōu)橹辽僖粋€(gè)新的安全規(guī)則���;W及如果確定了允 許所述至少一個(gè)提議的安全規(guī)則變?yōu)橹辽僖粋€(gè)新的安全規(guī)則����,則使所述至少一個(gè)新的安全 規(guī)則被添加到所述設(shè)備中的活躍的安全規(guī)則集中���。
[0013] 至少一種設(shè)備保護(hù)方式是采用標(biāo)識(shí)并報(bào)告可疑動(dòng)作的大型安全信息和事件管理 (SIEM)系統(tǒng)�。SIEM系統(tǒng)可W從眾多的網(wǎng)絡(luò)服務(wù)器和設(shè)備收集并處理表示數(shù)千個(gè)端點(diǎn)的活動(dòng) (例如��,"大數(shù)據(jù)")的龐大的數(shù)據(jù)量���。SIEM能W完全自動(dòng)的方式將一些活動(dòng)標(biāo)識(shí)為可疑的(例 如�����,威脅����、風(fēng)險(xiǎn)或安全事件)。由SKM執(zhí)行的標(biāo)識(shí)的質(zhì)量直接反映在SKM系統(tǒng)正在生成的警 告(例如�,尤其是也被稱(chēng)為誤報(bào)(FP)的不正確警告)的數(shù)量中。如果警告的數(shù)量過(guò)多���,則處理 所有運(yùn)些警告所需的資源量增加��,并且相反地�,威脅標(biāo)識(shí)的準(zhǔn)確性可能由于FP和漏報(bào)(FN) 的存在而下降�����。與本公開(kāi)一致的實(shí)施例可W能夠通過(guò)將規(guī)則生成分布至對(duì)等設(shè)備的網(wǎng)絡(luò)來(lái) 實(shí)現(xiàn)比SIEM系統(tǒng)顯著更好的性能�����,所述對(duì)等設(shè)備的網(wǎng)絡(luò)可W進(jìn)一步評(píng)估規(guī)則質(zhì)量并且將高 質(zhì)量規(guī)則傳播至其他設(shè)備或其他網(wǎng)絡(luò)���。
[0014] 圖1示出根據(jù)本公開(kāi)的至少一個(gè)實(shí)施例的包括安全規(guī)則評(píng)估的示例保護(hù)系統(tǒng)���。網(wǎng) 絡(luò)100可W是例如包括各種裝備(諸如�,設(shè)備102A����、設(shè)備102C...設(shè)備10化(統(tǒng)稱(chēng)為"設(shè)備 102A...n"))的局域網(wǎng)(LAN)或廣域網(wǎng)(WAN)��。網(wǎng)絡(luò)100可W包括可能要求保護(hù)(例如��,抵御威 脅�,諸如,未授權(quán)的入侵��、訪(fǎng)問(wèn)違反�����、數(shù)據(jù)泄露等)的任何數(shù)量的電子裝備��。設(shè)備102A. . .n的 示例可W包括但不限于移動(dòng)通信設(shè)備(諸如��,基于安廿彩0S����、iOS夠、Windows飯0S����、Mac膨 0S、Tizen 0S����、火狐(Firefox)OS、黑奪@0S���、化Im成0S����、塞班液OS等的蜂窩手機(jī)或智能電 話(huà))��、移動(dòng)計(jì)算設(shè)備(諸如�����,平板計(jì)算機(jī)�����,像jPad嚴(yán)���、Su計(jì)ace愈����、GalaxyTab@、Kindle閒'6? 等)�����、包括由英特爾公司制造的低功率忍片組的超極本⑩����、上網(wǎng)本計(jì)算機(jī)、筆記本計(jì)算機(jī)�����、膝 上型計(jì)算機(jī)���、掌上計(jì)算機(jī)等)、典型固定式計(jì)算設(shè)備(諸如���,臺(tái)式計(jì)算機(jī)�、服務(wù)器����、機(jī)頂盒���、智 能電視)、小形狀因數(shù)計(jì)算解決方案(例如����,用于空間受限的應(yīng)用、電視機(jī)頂盒等)(像來(lái)自英 特爾公司的下一代計(jì)算單元(NUC)平臺(tái)))��,等等�。
[0015] 在一個(gè)實(shí)施例中,設(shè)備102A可W包括保護(hù)模塊104A�,設(shè)備102B可W包括保護(hù)模塊 104B,設(shè)備102C可W包括保護(hù)模塊104C……設(shè)備10化可W包括保護(hù)