背景技術(shù)：

企業(yè)不斷受到網(wǎng)絡(luò)攻擊或?qū)τ?jì)算資源和數(shù)據(jù)的電子攻擊(以下所有企業(yè)的計(jì)算資源和數(shù)據(jù)，不僅僅是連接資源，被稱為“網(wǎng)絡(luò)”)。從2011到2015年，在美國以及美國以外的許多其他企業(yè)和政府網(wǎng)絡(luò)上，至少有七百(700)件文件記錄在案的主要網(wǎng)絡(luò)攻擊事件。一些攻擊為了竊取數(shù)據(jù)。其他攻擊為了竊取金錢或獲取對(duì)金錢的電子訪問。而其攻擊則惡意破壞數(shù)據(jù)，或?qū)е戮芙^服務(wù)。這些攻擊不僅降低了受到攻擊的特定網(wǎng)絡(luò)的完整性，而且降低了用戶對(duì)所有網(wǎng)絡(luò)的信心。因此，網(wǎng)絡(luò)安全人員和負(fù)責(zé)計(jì)算機(jī)安全的其他人員一直面臨著為網(wǎng)絡(luò)防御網(wǎng)絡(luò)攻擊而提出的挑戰(zhàn)。

因此，網(wǎng)絡(luò)安全人員負(fù)責(zé)開發(fā)和維護(hù)用于其負(fù)責(zé)下的網(wǎng)絡(luò)的威脅模型。威脅模型識(shí)別這些網(wǎng)絡(luò)中的漏洞，并且理想地，識(shí)別或幫助識(shí)別技術(shù)以減輕任何識(shí)別到的相應(yīng)計(jì)算機(jī)安全風(fēng)險(xiǎn)。這些技術(shù)的應(yīng)用被稱為修復(fù)。

然而，目前針對(duì)企業(yè)和政府計(jì)算資源攻擊的規(guī)模、復(fù)雜程度和種類已經(jīng)增加到了威脅數(shù)據(jù)的分析至少從自動(dòng)化、第三方數(shù)據(jù)的利用和數(shù)據(jù)共享中受益的程度。

附圖說明

具體實(shí)施方式參照附圖進(jìn)行說明。

圖1是目前威脅空間的示圖。

圖2是顯示相同威脅矩陣中兩個(gè)威脅模型的交集的示圖。

圖3示出了威脅、攻擊向量(漏洞)和威脅模型的上下文。

圖4說明了威脅模型、威脅景觀和威脅矩陣之間的關(guān)系。

圖5是用于重組威脅模型和威脅矩陣的示例性硬件、軟件和網(wǎng)絡(luò)環(huán)境。

圖6是重組威脅模型和威脅矩陣的示例性框圖。

圖7是示例性圖形結(jié)構(gòu)。

具體實(shí)施方式

威脅模型的上下文和概述

計(jì)算機(jī)安全中的現(xiàn)有威脅環(huán)境

企業(yè)和政府實(shí)體面臨的威脅環(huán)境在過去幾年中，在貨幣流失、知識(shí)產(chǎn)權(quán)和數(shù)據(jù)二者方面，從簡單破壞服務(wù)(“黑客”)急劇變化到重大經(jīng)濟(jì)盜竊。公司采用的風(fēng)險(xiǎn)控制策略已被迫從基于策略和控制的策略變化到包括評(píng)估、測(cè)量和跟蹤漏洞的復(fù)雜的安全設(shè)備。大多數(shù)安全應(yīng)用都會(huì)監(jiān)測(cè)安全信息和事件管理日志(稱為“siem”)，并對(duì)發(fā)現(xiàn)的問題進(jìn)行評(píng)分，并且然后為修復(fù)制定緩解響應(yīng)。然而，隨著復(fù)雜的企業(yè)風(fēng)險(xiǎn)分析策略的發(fā)展，這些策略對(duì)更危險(xiǎn)的攻擊對(duì)手而言仍然是防御性的和反應(yīng)式的。

目前的企業(yè)和政府對(duì)信息基礎(chǔ)設(shè)施具有關(guān)鍵性的依賴，以推銷他們的產(chǎn)品和服務(wù)、與客戶溝通并輔助圖形分布式工作場(chǎng)所、員工和數(shù)據(jù)中心之間的通信。這些接入點(diǎn)中的每一個(gè)都具有由其配置和已知漏洞定義的攻擊表面。成功攻擊的特征是通用漏洞和暴露(cve)、計(jì)算機(jī)應(yīng)急響應(yīng)小組(cert)以及來自安全研究人員的其他報(bào)告。然而，認(rèn)識(shí)到這些攻擊是基于對(duì)攻擊簽名本身的事實(shí)識(shí)別之后的。

驅(qū)動(dòng)和資助更復(fù)雜攻擊發(fā)展的經(jīng)濟(jì)激勵(lì)導(dǎo)致圖1中威脅金字塔100所示的威脅空間中的巨大差異。在檢測(cè)后組織和指導(dǎo)風(fēng)險(xiǎn)緩解和修復(fù)已經(jīng)不夠，因?yàn)樗腔谠诠舯砻嫔铣霈F(xiàn)的攻擊簽名。威脅金字塔100代表了對(duì)當(dāng)前狀況的更準(zhǔn)確的看法。

現(xiàn)有技術(shù)的風(fēng)險(xiǎn)管理工具通過安全策略、數(shù)據(jù)治理和安全設(shè)備將一級(jí)和二級(jí)威脅處理得很好。第六級(jí)攻擊本質(zhì)上對(duì)漏洞掃描工具是不可見的，因?yàn)槁┒蠢?exploit)創(chuàng)建了一個(gè)以前不存在的自定義漏洞，因此沒有任何簽名來檢測(cè)。第五級(jí)攻擊在很難檢測(cè)和修復(fù)方面相似。

漏洞、威脅、攻擊和攻擊表面

威脅可以被理解為具有使用不同攻擊過程來利用漏洞的能力和意愿的特定實(shí)體。例如，較早版本的windowsnttm服務(wù)器容易通過ping脆弱端口(稱為“死亡ping”)而崩潰。因此，nt死亡ping威脅是脆弱端口與對(duì)已知端口進(jìn)行ping的相關(guān)性。

這樣一來，漏洞就是網(wǎng)絡(luò)防御的弱點(diǎn)，通常被稱為攻擊向量。攻擊是對(duì)該漏洞的利用。威脅是可能執(zhí)行或正在執(zhí)行特定攻擊的一方或?qū)嶓w。網(wǎng)絡(luò)特定部分的一組漏洞或攻擊向量被稱為網(wǎng)絡(luò)部分的攻擊表面。

重要的是要指出，威脅不需要利用本質(zhì)上為技術(shù)性的漏洞，而可能是非技術(shù)性的(例如來自受損工人或不滿工人的威脅)。這在圖2中示出，其中威脅模型包含外部攻擊表面(其包括攻擊向量(諸如nt死亡ping)的)和內(nèi)部攻擊表面(諸如不滿的雇員)。

攻擊樹

攻擊表面通常用攻擊樹來表示。攻擊樹是計(jì)算機(jī)安全結(jié)構(gòu)，其用于存儲(chǔ)計(jì)算機(jī)網(wǎng)絡(luò)中漏洞的先決條件和前提。通常，樹將由父節(jié)點(diǎn)組成，每個(gè)父節(jié)點(diǎn)都有一組子節(jié)點(diǎn)。樹內(nèi)部的子節(jié)點(diǎn)將具有各自相應(yīng)的子節(jié)點(diǎn)(父節(jié)點(diǎn)的孫子節(jié)點(diǎn))。沒有自己的子節(jié)點(diǎn)的子節(jié)點(diǎn)是葉節(jié)點(diǎn)。每個(gè)父節(jié)點(diǎn)都存儲(chǔ)網(wǎng)絡(luò)的潛在漏洞。該父節(jié)點(diǎn)的子節(jié)點(diǎn)是利用存儲(chǔ)在父節(jié)點(diǎn)中的漏洞的潛在向量。例如，父節(jié)點(diǎn)可以存儲(chǔ)病毒可能感染文件的概念。父節(jié)點(diǎn)可以具有第一子節(jié)點(diǎn)(其存儲(chǔ)作為管理員執(zhí)行的病毒向量)和第二子節(jié)點(diǎn)(其存儲(chǔ)作為非管理員權(quán)限執(zhí)行的病毒向量)。存儲(chǔ)作為管理員執(zhí)行的病毒向量的子節(jié)點(diǎn)可以依次具有其各自相應(yīng)的子節(jié)點(diǎn)，其存儲(chǔ)利用根漏洞的病毒的概念和利用受損管理帳戶運(yùn)行的病毒的概念。

因?yàn)楣魳浯鎯?chǔ)攻擊向量，所以攻擊樹被用來開發(fā)威脅矩陣。威脅矩陣是對(duì)網(wǎng)絡(luò)所有威脅的主列表，其被交叉引用至潛在的修復(fù)響應(yīng)。然而，由于攻擊樹不存儲(chǔ)明確的響應(yīng)，因此它們不提供修復(fù)信息以開發(fā)完整的威脅矩陣。此外，用于開發(fā)攻擊樹的現(xiàn)有技術(shù)本質(zhì)上是人工的。因此，開發(fā)和維護(hù)攻擊樹是復(fù)雜和耗時(shí)的。具體來說，現(xiàn)有技術(shù)的攻擊樹技術(shù)不具備動(dòng)態(tài)生成攻擊樹的能力。

可以針對(duì)特定類別的漏洞開發(fā)攻擊樹。例如，第一攻擊樹可能存儲(chǔ)來自技術(shù)攻擊的漏洞，第二攻擊樹可能會(huì)存儲(chǔ)來自社交攻擊的漏洞。這兩個(gè)攻擊樹也可以組合成單一的威脅矩陣。

然而，利用現(xiàn)有技術(shù)，存儲(chǔ)在兩個(gè)攻擊樹中的攻擊先決條件不會(huì)相關(guān)，盡管其處于相同的威脅矩陣中。具體來說，現(xiàn)有技術(shù)并不考慮一個(gè)攻擊樹中的子節(jié)點(diǎn)是潛在先決條件并且因此是第二攻擊樹中的潛在子節(jié)點(diǎn)。

一般來說，現(xiàn)有技術(shù)的威脅建模技術(shù)遭受具有單一威脅行為人的目標(biāo)。具體來說，用于開發(fā)威脅模型的現(xiàn)有技術(shù)的過程本質(zhì)上是線性的，即使真實(shí)世界的攻擊可以是側(cè)向的，即最初存儲(chǔ)在一個(gè)攻擊樹中的攻擊最終演變成存儲(chǔ)在另一個(gè)攻擊樹中的攻擊。例如，社交模型下(即存儲(chǔ)在由社交和/或人為因素?cái)?shù)據(jù)構(gòu)成的攻擊樹中)的攻擊的指示符不被用作指示技術(shù)威脅的指示符(即存儲(chǔ)在由技術(shù)攻擊數(shù)據(jù)組成的攻擊樹中)。例如，過去三個(gè)評(píng)審中員工被忽略加薪的知識(shí)可能不會(huì)觸發(fā)檢查員工是否是it人員并可能嘗試對(duì)服務(wù)器進(jìn)行技術(shù)攻擊的響應(yīng)。

攻擊樹適合于將許多數(shù)據(jù)源(組織的內(nèi)部和外部)的數(shù)據(jù)合并到組織中。然而在實(shí)踐中，威脅矩陣通常僅用作內(nèi)部開發(fā)的威脅模型的輸入。通常情況下，威脅矩陣不會(huì)被其他安裝中沒有由公司安全主管負(fù)責(zé)的安裝事件更新。這通常不僅不能訪問第三方數(shù)據(jù)，而且現(xiàn)有技術(shù)已經(jīng)是時(shí)間密集的以便單獨(dú)從內(nèi)部數(shù)據(jù)開發(fā)攻擊樹。

重組威脅模型

威脅模型、威脅景觀(landscape)、威脅矩陣

在這里，我們描述了開發(fā)稱為重組威脅模型的威脅模型的新技術(shù)，它識(shí)別威脅空間的差異化。重組威脅模型映射威脅及其相應(yīng)的攻擊向量。重組威脅模型可以組合成一系列重疊的“威脅景觀”。然后威脅景觀可以組合成最終的“威脅矩陣”，以用于安裝。由于本文所述的性質(zhì)，重組威脅模型可能是相互關(guān)的，并且可以使用第三方數(shù)據(jù)進(jìn)行擴(kuò)展。

“攻擊表面”一般是在一系列潛在威脅的上下文中提出的，稱為威脅模型。例如，一個(gè)攻擊表面可能由弱加密的威脅組成。另一個(gè)攻擊表面可能包含來自服務(wù)器中無意暴露點(diǎn)的威脅。另一個(gè)攻擊表面可能包括來自人為因素的威脅(例如不滿的雇員、受損員工、人為錯(cuò)誤)。

重組威脅模型可以被構(gòu)建為攻擊表面陣列，其相應(yīng)的攻擊向量對(duì)應(yīng)于一個(gè)或多個(gè)資產(chǎn)(asset)(見圖3)。攻擊表面由與描述相應(yīng)漏洞的一個(gè)或多個(gè)屬性相關(guān)聯(lián)的漏洞組成。表面區(qū)域可能具有一個(gè)或多個(gè)“攻擊向量”，并且威脅通過利用攻擊向量訪問攻擊面。攻擊表面可以由各種屬性建模。例如，攻擊表面可以是一組技術(shù)向量或非技術(shù)性向量。屬性可以是自動(dòng)的(通過計(jì)算機(jī)自動(dòng)化導(dǎo)出或推斷)，攝入的(輸入到威脅模型)或觀察到的屬性。例如，資產(chǎn)的攻擊歷史可以被輸入(被攝入)，然后憑借具有攻擊歷史的相應(yīng)資產(chǎn)，被標(biāo)記為具有更多風(fēng)險(xiǎn)(自動(dòng)/派生)的攻擊表面的一部分?？商鎿Q地，安全小組可能會(huì)觀察到正在進(jìn)行的攻擊。

“威脅矩陣”由一組“威脅景觀”組成，并且威脅景觀由一組重組威脅模型組成(見圖4)。重組威脅模型可能在威脅景觀下獨(dú)立存在。可替換地，多個(gè)重組威脅模型可以互聯(lián)在一起。威脅景觀表示對(duì)資產(chǎn)進(jìn)行邏輯分組的計(jì)算機(jī)安全威脅，諸如提供功能的一組服務(wù)器和/或終端用戶計(jì)算機(jī)。由威脅景觀所覆蓋的資產(chǎn)的一些例子包括零售中心、數(shù)據(jù)中心，類似服務(wù)器類型的分組，執(zhí)行管理組以及其他等。一組威脅景觀又構(gòu)成了威脅矩陣，其代表企業(yè)、政府或一般組織面臨的所有威脅。

指示符和響應(yīng)

重組威脅模型不僅識(shí)別潛在攻擊向量和相關(guān)聯(lián)的響應(yīng)，還可以識(shí)別“威脅指示符”。一個(gè)威脅指示符是一些可能是微妙或明顯的可檢測(cè)到的事件，其暗示漏洞可能被威脅所利用。因此，威脅指示符將觸發(fā)響應(yīng)，以防止、遏制或消除正在進(jìn)行的攻擊。因此，通過對(duì)威脅執(zhí)行一個(gè)或多個(gè)響應(yīng)來實(shí)現(xiàn)修復(fù)。

對(duì)于每個(gè)攻擊向量，公司安全人員或其他責(zé)任方理想地將識(shí)別響應(yīng)。通過防止攻擊或消除漏洞，響應(yīng)理想地是主動(dòng)的。例如，威脅可能來自不滿的工人。開除和移除工人可能會(huì)阻止攻擊?？商鎿Q地，可以通過將所有nt服務(wù)器升級(jí)到更高版本或關(guān)閉易受攻擊的端口來消除nt死亡ping。有時(shí)，響應(yīng)可能是反應(yīng)性的，其中在停止攻擊之前損傷受到限制并被遏制。反應(yīng)性響應(yīng)通常本質(zhì)上是動(dòng)態(tài)的，并且在檢測(cè)到威脅指示符時(shí)被觸發(fā)。

因此，由重組威脅模型組成的威脅矩陣不僅由分組到攻擊表面的攻擊向量填充，它將被交叉引用到對(duì)應(yīng)于相應(yīng)攻擊向量的響應(yīng)，并且將被交叉引用到威脅指示符，該指示符如果被檢測(cè)到，則指示相應(yīng)的攻擊向量即將發(fā)生的可能性。

攻擊歷史和評(píng)估

在攻擊表面中指示的攻擊向量不一定是正在進(jìn)行的實(shí)際攻擊，而是代表潛在的攻擊。因此，并不是攻擊表面中所表示的所有攻擊向量都將被威脅所利用。事實(shí)上，理想地沒有一個(gè)攻擊向量一開始就會(huì)被利用，并且所有的響應(yīng)將是主動(dòng)的。然而，實(shí)際上組織是遭到攻擊的。威脅矩陣不僅可以存儲(chǔ)響應(yīng)，還可以存儲(chǔ)利用攻擊向量的威脅，并且還可以存儲(chǔ)響應(yīng)的有效性。以這種方式，威脅矩陣可以跟蹤響應(yīng)的效力。

在實(shí)踐中，一些響應(yīng)是有效的，但不幸的是有些響應(yīng)不是。公司安全人員或其他責(zé)任方隨后可以通過改進(jìn)的響應(yīng)來更新威脅矩陣，從而消除作為風(fēng)險(xiǎn)的以前被利用的威脅。

示例性硬件、軟件和通信環(huán)境

圖5是用于重組威脅模型和威脅矩陣的示例性硬件、軟件和通信環(huán)境的圖500。

可以從客戶端機(jī)器502執(zhí)行對(duì)重組威脅模型基礎(chǔ)設(shè)施的請(qǐng)求?？蛻舳藱C(jī)器502可以是具有處理器504、存儲(chǔ)器506和足以直接地或經(jīng)由互聯(lián)網(wǎng)連接到云服務(wù)器的網(wǎng)絡(luò)接口508的任何設(shè)備。通常，存在駐留在存儲(chǔ)器506中的操作系統(tǒng)510和一個(gè)或多個(gè)應(yīng)用512。典型配置是中央處理單元、ram和wi-fi或以太網(wǎng)連接。存儲(chǔ)器506將是計(jì)算機(jī)可讀介質(zhì)和/或?qū)⒕哂袑?duì)其他計(jì)算機(jī)可讀介質(zhì)的訪問，并且將運(yùn)行包括駐留在存儲(chǔ)器和/或其他計(jì)算機(jī)可讀介質(zhì)中的計(jì)算機(jī)可執(zhí)行代碼的客戶端應(yīng)用512?？蛻舳?02可以訪問諸如本地網(wǎng)絡(luò)上的網(wǎng)絡(luò)感知存儲(chǔ)器(nas)516之類的遠(yuǎn)程存儲(chǔ)器514。

類似地，托管重組威脅模型基礎(chǔ)設(shè)施的服務(wù)器側(cè)的服務(wù)器516或云服務(wù)器518可以是具有處理器520、存儲(chǔ)器522和足以直接地或經(jīng)由互聯(lián)網(wǎng)連接到客戶端機(jī)器的網(wǎng)絡(luò)接口524的設(shè)備。與客戶端機(jī)器一樣，通常會(huì)有一個(gè)操作系統(tǒng)。典型配置是中央處理單元、ram、wi-fi或以太網(wǎng)連接。存儲(chǔ)器將是計(jì)算機(jī)可讀介質(zhì)和/或具有對(duì)其它計(jì)算機(jī)可讀介質(zhì)的訪問，并且將運(yùn)行包含駐留在存儲(chǔ)器和/或其他計(jì)算機(jī)可讀介質(zhì)中的計(jì)算機(jī)可執(zhí)行代碼的應(yīng)用526和操作系統(tǒng)528。服務(wù)器可以訪問本地或在其本地網(wǎng)絡(luò)上具有的數(shù)據(jù)庫或數(shù)據(jù)存儲(chǔ)器530。

云服務(wù)器532通?？梢赃\(yùn)行可以創(chuàng)建虛擬機(jī)的虛擬化環(huán)境534。在每個(gè)虛擬機(jī)中，可能存在操作系統(tǒng)或系統(tǒng)級(jí)環(huán)境。每個(gè)虛擬機(jī)可能會(huì)生成進(jìn)程，每個(gè)進(jìn)程可以生成線程諸如java虛擬機(jī)或.net運(yùn)行時(shí)間之類的執(zhí)行環(huán)境可以在虛擬機(jī)中執(zhí)行，并管理進(jìn)程和線程。服務(wù)器532也可以數(shù)據(jù)庫服務(wù)器536的形式出現(xiàn)。

注意，計(jì)算機(jī)可讀介質(zhì)至少包括兩種類型的計(jì)算機(jī)可讀介質(zhì)，即計(jì)算機(jī)存儲(chǔ)介質(zhì)和通信介質(zhì)。計(jì)算機(jī)存儲(chǔ)介質(zhì)包括用于存儲(chǔ)諸如計(jì)算機(jī)可讀指令，數(shù)據(jù)結(jié)構(gòu)，程序模塊或其他數(shù)據(jù)的信息的任何方法或技術(shù)實(shí)現(xiàn)的易失性和非易失性、可移動(dòng)和不可移動(dòng)介質(zhì)。計(jì)算機(jī)存儲(chǔ)介質(zhì)包括但不限于ram、rom、eeprom、閃速存儲(chǔ)器或其他存儲(chǔ)器技術(shù)、cd-rom、數(shù)字通用盤(dvd)或其他光學(xué)存儲(chǔ)器、磁帶盒、磁帶、磁盤存儲(chǔ)器或其他磁存儲(chǔ)設(shè)備或可用于存儲(chǔ)用于由計(jì)算設(shè)備訪問的信息的任何其它非傳輸介質(zhì)。相比之下，通信介質(zhì)可以體現(xiàn)計(jì)算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊或以調(diào)制數(shù)據(jù)信號(hào)形式存在的其他數(shù)據(jù)，諸如載波或其他傳輸機(jī)制。如本文所定義的，計(jì)算機(jī)存儲(chǔ)介質(zhì)不包括通信介質(zhì)。

圖6是用于支持重組威脅模型的示例性系統(tǒng)配置的示圖600。該配置包括具有處理器604的主控計(jì)算機(jī)系統(tǒng)602、計(jì)算機(jī)可讀存儲(chǔ)器606和計(jì)算機(jī)可讀介質(zhì)608。存儲(chǔ)器604可以是ram，并且計(jì)算機(jī)可讀介質(zhì)606可以是持久的，諸如磁盤存儲(chǔ)器。計(jì)算機(jī)可讀介質(zhì)可以存儲(chǔ)用于重組威脅模型和威脅矩陣的數(shù)據(jù)結(jié)構(gòu)存儲(chǔ)器610。數(shù)據(jù)結(jié)構(gòu)存儲(chǔ)器610是軟件數(shù)據(jù)結(jié)構(gòu)，諸如用于存儲(chǔ)重組威脅模型數(shù)據(jù)的圖表或一組表格。計(jì)算機(jī)可讀介質(zhì)608可以與處理器604和存儲(chǔ)器606分離，并且可以在網(wǎng)絡(luò)上、互聯(lián)網(wǎng)上或云服務(wù)器上的網(wǎng)絡(luò)感知存儲(chǔ)器或數(shù)據(jù)庫服務(wù)器上執(zhí)行。

在存儲(chǔ)器606中是軟件查詢組件612、軟件相似度組件614，軟件數(shù)據(jù)饋送組件616和軟件審核組件618。

軟件查詢組件612被配置為接收查詢數(shù)據(jù)。典型的查詢數(shù)據(jù)是以觀察事件的形式存在。觀察到的事件可以用一個(gè)或多個(gè)屬性描述。軟件查詢組件也可以接收過濾器指示符。當(dāng)執(zhí)行查詢時(shí)，軟件查詢組件612與軟件相似度得分組件614進(jìn)行通信，該件相似度得分組件614提供實(shí)體之間的相似度得分。實(shí)體由一組屬性組成，并且關(guān)于下面的數(shù)據(jù)結(jié)構(gòu)存儲(chǔ)器610的討論進(jìn)一步被描述。

軟件相似度組件614可以在兩個(gè)實(shí)體之間應(yīng)用相似度得分。在一個(gè)實(shí)施例中，軟件相似度組件614可以枚舉第一實(shí)體的至少一些屬性(有時(shí)稱為字段)，并且枚舉第二實(shí)體的至少一些屬性。首先，通過名稱和類型的相似度來對(duì)齊字段名稱和類型。然后對(duì)這些字段的值進(jìn)行相似度評(píng)分。兩個(gè)實(shí)體之間的相似度可以是組成成對(duì)屬性相似度的歸一化之和。以這種方式，具有不同屬性的實(shí)體可針對(duì)相似性被評(píng)分為。注意，軟件相似度組件614實(shí)際上并不聲明實(shí)體實(shí)際上是相似的。相反，它只是產(chǎn)生一個(gè)得分。相似度得分與預(yù)定閾值結(jié)合使用，如果超過，則指示足夠的相似度。

軟件相似度組件614還可以與軟件數(shù)據(jù)饋送組件616一起使用。軟件數(shù)據(jù)饋送組件616是接收攻擊向量、攻擊表面和威脅模型數(shù)據(jù)的加載器。軟件數(shù)據(jù)饋送組件616將攻擊向量、攻擊表面和威脅模型數(shù)據(jù)加載到相應(yīng)的實(shí)例中。然而，軟件數(shù)據(jù)饋送組件616可以使用軟件相似度組件614來創(chuàng)建或推斷威脅模型和攻擊表面之間的關(guān)聯(lián)。這是可能的，因?yàn)檐浖嗨贫冉M件614執(zhí)行成對(duì)屬性比較。

在查詢時(shí)間期間由軟件查詢組件612在實(shí)體之間推斷的關(guān)聯(lián)，以及在加載時(shí)間的軟件數(shù)據(jù)饋送組件616可能是不正確的。因此，對(duì)經(jīng)推斷的關(guān)聯(lián)的任何使用或創(chuàng)建由軟件審核組件618存儲(chǔ)。

數(shù)據(jù)結(jié)構(gòu)存儲(chǔ)610存儲(chǔ)可具有不同屬性的實(shí)體。實(shí)體包括攻擊向量620、攻擊表面622、威脅模型624以及攻擊表面和威脅模型626的關(guān)聯(lián)。每個(gè)實(shí)體的記錄稱為實(shí)例。注意，數(shù)據(jù)結(jié)構(gòu)存儲(chǔ)器不需要實(shí)現(xiàn)為關(guān)系數(shù)據(jù)庫。每個(gè)實(shí)體可能被指定為抽象基類，從而從抽象基類派生的實(shí)例可能具有不同的屬性。例如，攻擊表面實(shí)例可以具有與第二攻擊表面實(shí)例不同的屬性。

攻擊向量620和攻擊表面實(shí)體622不僅分別與漏洞和攻擊表面相關(guān)聯(lián)，而且還可以與指示符數(shù)據(jù)628和響應(yīng)數(shù)據(jù)630相關(guān)聯(lián)。指示符數(shù)據(jù)628描述如果觀察到改變相應(yīng)的攻擊向量和攻擊表面將發(fā)生的可能性的事件。典型地，指示符示出可能性在增加，并且應(yīng)當(dāng)主動(dòng)采取響應(yīng)以進(jìn)行修復(fù)。

相關(guān)聯(lián)的響應(yīng)數(shù)據(jù)630存儲(chǔ)用于相應(yīng)的攻擊向量和攻擊表面的推薦修復(fù)過程。響應(yīng)數(shù)據(jù)630還可以存儲(chǔ)響應(yīng)無效的指示符，諸如字段或標(biāo)志。該效力數(shù)據(jù)可用于改變?cè)诓樵兤陂g返回的響應(yīng)的優(yōu)先級(jí)。

威脅模型方法

威脅模型方法的概述

本文描述了開發(fā)重組威脅模型的技術(shù)。重組威脅模型將存儲(chǔ)關(guān)于(a)攻擊表面及其相關(guān)攻擊向量、(b)這些攻擊向量所針對(duì)的網(wǎng)絡(luò)資產(chǎn)、(c)以指示符形式存在的威脅簡檔、(d)攻擊歷史、以及(e)對(duì)攻擊的歷史響應(yīng)的信息。重組威脅模型可以組合成統(tǒng)一的威脅矩陣。存儲(chǔ)的信息不限于特定的公司或安裝，但是需要包括公開信息。威脅矩陣將用于使來自不同重組威脅模型的威脅相關(guān)，并快速地自動(dòng)更新存儲(chǔ)在威脅矩陣中的響應(yīng)。

威脅模型的初始填充

提出的威脅矩陣的輸入包括被收集到一個(gè)或多個(gè)攻擊表面的攻擊向量、攻擊歷史和歷史響應(yīng)。攻擊表面的來源可能包括組織在現(xiàn)有攻擊樹中的內(nèi)部數(shù)據(jù)。其他來源可能包括第三方來源，諸如經(jīng)由國家標(biāo)準(zhǔn)與技術(shù)研究所的來自聯(lián)邦政府的數(shù)據(jù)。

攻擊向量也可能與威脅簡檔和其他來源的指標(biāo)相關(guān)?？梢酝ㄟ^檢查攻擊歷史(例如來自siem)和歷史響應(yīng)來收集指示符。歷史響應(yīng)的收集可以經(jīng)由rss饋送、外部費(fèi)用或被編程為爬蟲以用于網(wǎng)絡(luò)攻擊的爬行互聯(lián)網(wǎng)搜索。

以這種方式，由重組威脅模型組成的威脅矩陣將更加完整，并且將利用來自不同威脅模型的交叉相關(guān)信息，從而產(chǎn)生更強(qiáng)大的方式來檢測(cè)攻擊和產(chǎn)生響應(yīng)方式。通過使用機(jī)器學(xué)習(xí)和模式匹配功能分析威脅矩陣，公司安全人員將能夠從側(cè)面角度解決威脅情報(bào)，為公司安全人員提供一個(gè)比威脅景觀更準(zhǔn)確的威脅圖，從而更準(zhǔn)確地評(píng)估組織風(fēng)險(xiǎn)。

威脅矩陣和重組威脅模型的基礎(chǔ)數(shù)據(jù)結(jié)構(gòu)可以是有向圖數(shù)據(jù)結(jié)構(gòu)(以下稱為“圖形”)的形式。(參見圖7的示例性有向圖)。

表示技術(shù)和非技術(shù)數(shù)據(jù)點(diǎn)的數(shù)據(jù)將作為一系列圖形節(jié)點(diǎn)被攝入到圖形數(shù)據(jù)結(jié)構(gòu)中。

每個(gè)節(jié)點(diǎn)表示威脅矩陣內(nèi)的實(shí)體，并且可以表示威脅行為人、威脅簡檔、漏洞、攻擊歷史、響應(yīng)或類似物等。節(jié)點(diǎn)可能有多個(gè)屬性和標(biāo)簽。

節(jié)點(diǎn)與其他節(jié)點(diǎn)有關(guān)系(邊緣)，其他節(jié)點(diǎn)也可以包含屬性。使用節(jié)點(diǎn)和關(guān)系來開發(fā)威脅模型。

圖中的關(guān)系決定了表面區(qū)域或模型節(jié)點(diǎn)的開發(fā)方式。威脅模型中的關(guān)系表示從表面區(qū)域到另一個(gè)表面區(qū)域的向量。

注意，由于所有節(jié)點(diǎn)都在同一個(gè)圖中，所以一個(gè)威脅模型中的節(jié)點(diǎn)可能會(huì)被連接，并且因此與來自不同威脅模型的節(jié)點(diǎn)相關(guān)。

另外注意，由于歷史響應(yīng)包括來自蜘蛛(spider)的輸入，這種方法可以自動(dòng)從組織外部添加第三方威脅信息。

節(jié)點(diǎn)本身的結(jié)構(gòu)可以是抽象類的形式，其中記錄被表示為對(duì)象實(shí)例。一個(gè)提出的模型可能針對(duì)每個(gè)用于攻擊向量抽象類、用于重組威脅模型的都具有抽象類，并且將威脅模型實(shí)例存儲(chǔ)在由威脅模型和攻擊向量實(shí)例的圖形組成的威脅矩陣中。攻擊向量實(shí)例可以分組在一起以包含攻擊表面。

威脅矩陣可以作為威脅模型抽象類的圖形來實(shí)現(xiàn)。實(shí)際上，威脅矩陣成為威脅模型實(shí)例的映射。這允許任意的威脅模型實(shí)例，任意屬性都是威脅矩陣圖的一部分。

攻擊表面(稱為s)可存儲(chǔ)受損員工的人為因素漏洞的特定屬性，如下所示：

員工任期＝否

最后審查＝壞

工資＝文職范圍

重組威脅模型(稱為m)可具有特定屬性，也可具有以下人為因素漏洞：

期限長短＝1年

工作表現(xiàn)＝2/5

賠償金＝$30,000

為了確定威脅模型是否應(yīng)該與攻擊向量相關(guān)聯(lián)，匹配/相似度算法可以將表面s與模型m相匹配。注意，屬性可能具有不同的名稱，并且可能具有不同的值類型。首先，匹配/相似度算法可以確定s中的“最后審查”屬性映射到m中的“工作表現(xiàn)”屬性。然后，匹配/相似度算法可以確定s中的二進(jìn)制壞/好的“最后審查”屬性與m中的2/5標(biāo)量“工作表現(xiàn)”屬性值相似，并且因此匹配。可以應(yīng)用各種已知的相似度評(píng)分和模糊邏輯評(píng)分算法。

相似度的預(yù)定閾值可以應(yīng)用于匹配/相似度算法。具體來說，匹配/相似度算法采用威脅模型實(shí)例，并枚舉威脅模型實(shí)例的屬性。然后，其選擇候選攻擊表面實(shí)例以與威脅模型相關(guān)聯(lián)，并枚舉攻擊表面的屬性。其成對(duì)地計(jì)算威脅模型實(shí)例屬性與攻擊表面實(shí)例屬性的相似度。然后，其計(jì)算威脅模型實(shí)例與攻擊表面實(shí)例的相關(guān)性得分。如果相關(guān)性得分超過預(yù)定閾值，則威脅模型實(shí)例和攻擊面實(shí)例將被關(guān)聯(lián)在一起。

對(duì)攻擊指示符的響應(yīng)

填充“威脅矩陣”后，響應(yīng)可按如下被確定：

首先，系統(tǒng)接收觀察到的事件。觀察到的事件包括一組屬性，該組屬性與指示符數(shù)據(jù)相當(dāng)，該指示符數(shù)據(jù)相當(dāng)與攻擊向量實(shí)例和攻擊表面相關(guān)聯(lián)。

然后系統(tǒng)在圖表中搜索與觀察到的事件相似的指示符。如果觀察到的事件的屬性與要分析的指示符不同，則軟件相似度組件可以執(zhí)行屬性比較。在發(fā)現(xiàn)指示符超過相似度的預(yù)定閾值的情況下，檢索相關(guān)聯(lián)的攻擊向量實(shí)例和相關(guān)聯(lián)的攻擊表面實(shí)例。

注意，數(shù)據(jù)結(jié)構(gòu)存儲(chǔ)器中的任何實(shí)體可以與其與指示符相關(guān)聯(lián)，該指示符與過濾器相關(guān)聯(lián)，諸如標(biāo)志或字段。如果軟件查詢組件被配置為通過過濾器來運(yùn)行查詢，即快速查詢模式，則軟件查詢組件將僅在具有適當(dāng)?shù)倪^濾器指示符集合的節(jié)點(diǎn)上執(zhí)行相似度搜索。由于比較字段比執(zhí)行相似度搜索更快，所以快速查詢模式通常將比僅執(zhí)行相似度搜索的查詢更快。

與檢索到的攻擊向量實(shí)例和攻擊表面實(shí)例相關(guān)聯(lián)的響應(yīng)由系統(tǒng)報(bào)告。至少有一些響應(yīng)是為了修復(fù)而被執(zhí)行的。

回想一下，重組威脅模型的一個(gè)特征是提供來自多于一個(gè)模型的數(shù)據(jù)。系統(tǒng)可以識(shí)別與返回的攻擊表面實(shí)例相關(guān)聯(lián)的第一組威脅模型。因此，軟件相似度組件還可以在用戶的引導(dǎo)下創(chuàng)建與第一組威脅模型中的威脅模型類似的第二組威脅模型和攻擊表面。注意，軟件相似度組件不僅可以將威脅模型與威脅模型進(jìn)行比較，還可以將威脅模型與攻擊表面進(jìn)行比較。

該第二組又向用戶提供另一組潛在的修復(fù)方法。具體來說，與返回的攻擊表面相關(guān)聯(lián)的攻擊表面和攻擊向量與響應(yīng)數(shù)據(jù)相關(guān)聯(lián)。用戶還可以執(zhí)行響應(yīng)數(shù)據(jù)中描述的至少一些修復(fù)過程。

重組威脅模型的另一個(gè)特點(diǎn)是減少修復(fù)中誤報(bào)的可能性。具體來說，應(yīng)該向用戶呈現(xiàn)最有可能解決攻擊的修復(fù)響應(yīng)，而不會(huì)用潛在的響應(yīng)量來壓倒用戶。

在發(fā)現(xiàn)響應(yīng)無效或不相關(guān)的情況下，該圖可以確定如果使用了不同相似度的預(yù)定閾值，哪些響應(yīng)將不被檢索。具體來說，收集無效或不相關(guān)的響應(yīng)(誤報(bào))，并檢查其相應(yīng)的攻擊表面和威脅模型。如果大多數(shù)誤報(bào)來自第二組檢索的威脅模型和攻擊表面，則建議使用較高的預(yù)定閾值。

更新重組威脅模型

威脅矩陣和基礎(chǔ)的威脅模型理想地被不時(shí)更新。一些威脅或攻擊到期。新的響應(yīng)技術(shù)被開發(fā)。自動(dòng)生成的相關(guān)性可能不正確。隨著威脅矩陣尺寸的增長，可能會(huì)增加性能優(yōu)化。

一個(gè)優(yōu)化是從基礎(chǔ)圖形中刪除過期的威脅和攻擊。在威脅的情況下，事件發(fā)生表明一方不再是威脅。例如，長時(shí)間的黑客被捕。在這種情況下，圖形可能會(huì)被搜索與該威脅相關(guān)的所有攻擊。僅與該威脅相關(guān)的數(shù)據(jù)可能會(huì)從圖形中刪除并被存檔。重要的是不刪除與其他威脅實(shí)體相關(guān)聯(lián)的攻擊數(shù)據(jù)，因?yàn)檫@些攻擊仍可能被啟動(dòng)，盡管是另一個(gè)威脅實(shí)體。

在過期攻擊的情況下，會(huì)發(fā)生事件，指示攻擊向量不再是漏洞。例如，可能存在已經(jīng)從網(wǎng)絡(luò)中移除的攻擊的路由器。由于路由器不再在網(wǎng)絡(luò)中，所以不再是漏洞。因此，可能會(huì)移除特定于該路由器的攻擊。

替代移除，與過期的威脅或攻擊相關(guān)聯(lián)的數(shù)據(jù)可能只是被標(biāo)記為低優(yōu)先級(jí)，以便跳過快速圖形遍歷。具體來說，當(dāng)圖形被遍歷時(shí)，如果用戶或機(jī)器搜索圖形如此指示，則搜索將跳過標(biāo)記為低優(yōu)先級(jí)的節(jié)點(diǎn)，從而節(jié)省了用以比較較低優(yōu)先級(jí)節(jié)點(diǎn)的處理時(shí)間。

一般來說，該圖形可能會(huì)受到不同過濾器的影響。由于隨著時(shí)間的推移，圖形將會(huì)變得相當(dāng)大，屬于常用遍歷子集的節(jié)點(diǎn)可能會(huì)存儲(chǔ)標(biāo)志或字段值，該值表示其屬于特定子集。然后，經(jīng)受子集上的過濾器的影響的遍歷將僅檢查具有相應(yīng)標(biāo)志或字段值集合的節(jié)點(diǎn)。

共同訪問的節(jié)點(diǎn)也可能被緩存。具體來說，一些圖形查詢被共同被執(zhí)行。因此，在預(yù)期數(shù)據(jù)是靜態(tài)的情況下，可以緩存那些節(jié)點(diǎn)以加速檢索。

結(jié)論

雖然已經(jīng)以特定于結(jié)構(gòu)特征和/或方法動(dòng)作的語言對(duì)主題進(jìn)行了描述，但是應(yīng)當(dāng)理解，所附權(quán)利要求中限定的主題不不必限于以上描述的具體特征或動(dòng)作。相反，以上描述的具體特征和動(dòng)作被公開為實(shí)現(xiàn)權(quán)利要求的示例形式。