通過在公司的計算機(jī)網(wǎng)絡(luò)中安插惡意軟件，公司秘密的竊取往往不被注意地執(zhí)行。這種類型的攻擊有時利用為特定使用個體調(diào)節(jié)的自主開發(fā)的惡意程序，其不由市售的殺毒軟件產(chǎn)品檢測到或者直至很晚才被檢測到。公司有可能為成為數(shù)字間諜攻擊的潛在受害者做好準(zhǔn)備，但是準(zhǔn)確的情形(諸如場所、時間、和配置)往往是未知的。為了檢測和抵擋這種類型的攻擊，被攻擊的公司可能有時面臨將來自不同安全性和操作系統(tǒng)的大量異構(gòu)協(xié)議數(shù)據(jù)進(jìn)行結(jié)合以形成有意義且信息豐富的場景的挑戰(zhàn)。

本發(fā)明的任務(wù)在于，檢測計算機(jī)網(wǎng)絡(luò)中的攻擊。

該任務(wù)是通過獨(dú)立權(quán)利要求的特征來解決的。有利的改進(jìn)是從屬權(quán)利要求的主題。

以下闡述的方法和系統(tǒng)可基于來自SIEM(安全性信息和事件管理)系統(tǒng)的記錄數(shù)據(jù)?！癝IEM系統(tǒng)”是針對將安全性信息管理(SIM)與安全性事件管理(SEM)組合的軟件和產(chǎn)品服務(wù)的術(shù)語。SIEM技術(shù)提供安全性警報的實(shí)時分析，其可以由網(wǎng)絡(luò)硬件和網(wǎng)絡(luò)應(yīng)用來生成。SIEM可以以軟件、應(yīng)用或相關(guān)服務(wù)的形式來銷售，并且還可以用于記錄安全性相關(guān)的數(shù)據(jù)以及生成對于合規(guī)應(yīng)用的報告。

以下闡述的方法和系統(tǒng)可以使用C2(命令和控制)服務(wù)器來對計算機(jī)系統(tǒng)的攻擊提供指示符或警報信號。命令和控制服務(wù)器是能夠發(fā)送命令并且從作為僵尸網(wǎng)絡(luò)的一部分的機(jī)器或者計算機(jī)獲得響應(yīng)的集中式機(jī)器或計算機(jī)服務(wù)器。在任何時間，想要發(fā)起DDoS(分布式服務(wù)拒絕)攻擊的攻擊者可以向它們的僵尸網(wǎng)絡(luò)的C2服務(wù)器發(fā)送包括攻擊特定目標(biāo)計算機(jī)的指令的特殊命令，并且每個與所聯(lián)系的C2服務(wù)器處于通信的被感染的機(jī)器將相應(yīng)地發(fā)起對該目標(biāo)計算機(jī)的協(xié)調(diào)式攻擊。

以下闡述的方法和系統(tǒng)可以用于保護(hù)計算機(jī)網(wǎng)絡(luò)不受來自僵尸網(wǎng)絡(luò)的攻擊，具體而言，來自DDoS攻擊、垃圾郵件攻擊、數(shù)據(jù)盜竊攻擊、網(wǎng)絡(luò)釣魚攻擊、惡意軟件傳播、按鍵記錄、不期望的軟件安裝、身份竊取、計算機(jī)網(wǎng)絡(luò)的操縱。

以下闡述的方法和系統(tǒng)可被用于信息技術(shù)(IT)領(lǐng)域中。信息技術(shù)是關(guān)于信息和數(shù)據(jù)處理以及因此所需要的硬件和軟件的涵蓋性術(shù)語。公司的信息技術(shù)包括用于生成、處理和傳遞信息的所有技術(shù)設(shè)備。

為了詳細(xì)描述本發(fā)明，使用以下縮寫和術(shù)語：

IT:信息技術(shù)

SIEM 安全性信息和事件管理

SIM:安全性信息管理

SEM:安全性事件管理

C2服務(wù)器：命令和控制服務(wù)器

本發(fā)明的一個方面涉及一種用于檢測包括多個計算機(jī)的計算機(jī)網(wǎng)絡(luò)中的攻擊的方法，包括以下步驟：接收來自計算機(jī)的多個警報消息，該警報消息基于計算機(jī)網(wǎng)絡(luò)中的不同類型的異常；將來自所接收到的多個警報消息的警報消息的數(shù)目與預(yù)定的事件閾值進(jìn)行比較，該警報消息的數(shù)目基于計算機(jī)網(wǎng)絡(luò)中的相同類型的異常；以及如果基于計算機(jī)網(wǎng)絡(luò)中的相同類型的異常的警報消息的數(shù)目下降到該事件閾值以下，則輸出警報信號。

這種類型的方法的優(yōu)點(diǎn)在于，該方法在對計算機(jī)網(wǎng)絡(luò)即將發(fā)生攻擊的情況下，能快速可靠地觸發(fā)警報信號。計算機(jī)網(wǎng)絡(luò)中的計算機(jī)總是生成大量的警告消息，例如，在非功能性的軟件更新的情況下、在處理器過載時、在軟件的更新還未被執(zhí)行時、在口令已經(jīng)被錯誤地輸入時、在因特網(wǎng)訪問暫時不可用時、在不可能訪問特定數(shù)據(jù)時等。這些警告消息是由于計算機(jī)網(wǎng)絡(luò)中在操作期間較頻繁或者較不頻繁地發(fā)生的特定異常造成的，并且這些特定異常通常需要用戶的交互以消除它們。計算機(jī)系統(tǒng)中的非關(guān)鍵或者輕微異常(諸如還未被執(zhí)行的軟件更新或者處理器的過載)很頻繁地發(fā)生并且容易消除。相反，關(guān)鍵異常(諸如系統(tǒng)的特定組件的非預(yù)期故障或者失去訪問很少使用的系統(tǒng)資源的能力)僅很少地發(fā)生，并且因此相關(guān)警報消息也僅很少地發(fā)生。

該方法基于網(wǎng)絡(luò)中的這些關(guān)鍵異常來檢測對計算機(jī)網(wǎng)絡(luò)或者計算機(jī)系統(tǒng)的可能或即將發(fā)生的攻擊。出于此目的，有可能將發(fā)生警報消息的數(shù)目指派給計算機(jī)網(wǎng)絡(luò)中的可能異常并且對它們進(jìn)行計數(shù)。如果基于計算機(jī)網(wǎng)絡(luò)中的相同類型的異常的警報消息的數(shù)目下降到事件閾值以下，則通過觸發(fā)警報來警告計算機(jī)網(wǎng)絡(luò)的用戶可能的攻擊即將發(fā)生或者已經(jīng)發(fā)生。

由此在對計算機(jī)網(wǎng)絡(luò)有可能攻擊的情況下，可能以靈活、快速且精確的方式來輸出警報信號。作為該方法的模塊化構(gòu)建的結(jié)果，個體方法步驟可以在不同的軟件或硬件組件上靈活地實(shí)現(xiàn)，例如，在計算機(jī)網(wǎng)絡(luò)內(nèi)的組件上或者在計算機(jī)網(wǎng)絡(luò)外的外部組件上。

在一實(shí)施例中，該方法包括在預(yù)定的時間區(qū)間里接收多個警報消息。

這具有的優(yōu)點(diǎn)是：基于計算機(jī)網(wǎng)絡(luò)中的不同類型的異常的警報消息可以在相同時間段上被測量，以使得事件閾值對于不同類型的警報消息而言總是與相同時間段相關(guān)。以此方式，可能可靠地標(biāo)識很少發(fā)生的發(fā)信號通知對計算機(jī)網(wǎng)絡(luò)的可能攻擊或者已經(jīng)發(fā)生的攻擊的異常。該方法由此非常精確且可靠地操作。

在一實(shí)施例中，該方法包括通過由相應(yīng)的警報消息指示的異常的類型來將該多個警報消息進(jìn)行分類。

這具有的優(yōu)點(diǎn)是：發(fā)信號通知計算機(jī)網(wǎng)絡(luò)中的關(guān)鍵異常的相關(guān)警報消息可以快速地從大量傳入的警報消息中被濾出。

在一實(shí)施例中，該方法包括基于該警報消息的內(nèi)容來確定由警報消息指示的異常的類型。

這具有的優(yōu)點(diǎn)是：異常的類型可以被容易地確定，例如，通過查詢警報消息內(nèi)的特定數(shù)據(jù)字段或標(biāo)志，其可以舉例而言是以包括報頭和有效載荷的數(shù)據(jù)分組的形式。如果可以基于該警報消息的內(nèi)容來確定異常，則不需要進(jìn)一步的信息來確定該異常，并且這使得該方法簡單可靠。

在一實(shí)施例中，該方法包括在預(yù)定的時間區(qū)間里對所接收到的被分類為相同類型的警報消息進(jìn)行計數(shù)，以便確定數(shù)目，以及如果在預(yù)定的時間區(qū)間里所計數(shù)的被分類為相同類型的警報消息的數(shù)目下降到事件閾值以下，則輸出警報信號。

這具有的優(yōu)點(diǎn)是：該方法執(zhí)行起來很簡單，例如，使用一開關(guān)、多個計數(shù)器以及一定時器或時鐘?；谟删瘓笙l(fā)信號通知的異常的類型，該開關(guān)可以向相應(yīng)的計數(shù)器提供警報消息，該計數(shù)器對提供至其的警報消息的數(shù)目進(jìn)行計數(shù)。一旦由定時器指示的特定時間已經(jīng)流逝，該計數(shù)器值就可以被讀取。一旦被讀取的計數(shù)器值之一已經(jīng)下降到事件閾值以下，警報就可以被觸發(fā)。該方法可由此使用簡單的邏輯電路(例如，在IC或芯片上)來實(shí)現(xiàn)。

在一實(shí)施例中，該方法包括基于下降到事件閾值以下的警報消息的數(shù)目來確定對計算機(jī)網(wǎng)絡(luò)的攻擊出現(xiàn)的概率。

這具有的優(yōu)點(diǎn)是：警報能使用該概率值來分級。警報甚至可以按低的攻擊概率來被觸發(fā)，概率值發(fā)信號通知攻擊的嚴(yán)重性。例如，低概率值可被指示為綠色警報燈，中等概率值由黃色警報燈指示且高概率值由紅色警報燈指示。藉由概率值，用戶獲得更多關(guān)于可能或即將發(fā)生的攻擊的特性或嚴(yán)重性的信息。

在一實(shí)施例中，該方法包括進(jìn)一步基于以下預(yù)定的參數(shù)中的至少一者來確定對計算機(jī)網(wǎng)絡(luò)的攻擊出現(xiàn)的概率值：黑名單、白名單、閾值、事件相關(guān)、以及計算機(jī)網(wǎng)絡(luò)的個體用戶群的威脅潛在性的定義。

這具有的優(yōu)點(diǎn)是：實(shí)際上可與系統(tǒng)的正常狀態(tài)相關(guān)聯(lián)的計算機(jī)網(wǎng)絡(luò)中很少發(fā)生的事件或異常可以更好地從與對計算機(jī)網(wǎng)絡(luò)有威脅相關(guān)聯(lián)的很少發(fā)生的事件劃清界限。藉由這些參數(shù)，計算機(jī)網(wǎng)絡(luò)的用戶的知識庫也可被引入該檢測。由此，具體而言，來自過去的威脅(例如，閾值、事件相關(guān))和當(dāng)前現(xiàn)有的威脅(例如，黑名單、白名單、個體人群的威脅潛在性)的情境可被納入考慮。

在一實(shí)施例中，該方法包括進(jìn)一步基于到計算機(jī)網(wǎng)絡(luò)的訪問者的數(shù)目(尤其是到計算機(jī)網(wǎng)絡(luò)的網(wǎng)頁的訪問者的數(shù)目)來確定對計算機(jī)網(wǎng)絡(luò)的攻擊出現(xiàn)的概率值。

這具有的優(yōu)點(diǎn)是：攻擊能可靠地藉由用戶的數(shù)目來檢測。如果網(wǎng)頁正由許多不同用戶訪問，則這可表示正常狀態(tài)。如果網(wǎng)頁僅由少數(shù)用戶訪問，則可能存在對網(wǎng)頁的攻擊。來自用戶的數(shù)據(jù)也可被包括在分析中，例如，它們的IP地址、域名、服務(wù)器、訪問的時間和歷時、或它們所基于的地理位置。例如，如果來自不同地理位置的許多用戶正在訪問網(wǎng)頁或者如果在夜間觀察到增大的訪問發(fā)生，則這可以是顯而易見的。如果使用了這種類型的信息，則檢測攻擊的可靠性甚至可進(jìn)一步增大。

在一實(shí)施例中，該方法包括進(jìn)一步基于計算機(jī)網(wǎng)絡(luò)中很少執(zhí)行的進(jìn)程的頻率來確定對計算機(jī)網(wǎng)絡(luò)的攻擊出現(xiàn)的概率值。

在正常狀態(tài)中的計算機(jī)網(wǎng)絡(luò)一般使用相同的進(jìn)程來操作。很少執(zhí)行的進(jìn)程可由此以簡單的方式提供對異常的指示并且因此提供對可能的威脅的指示。

在一實(shí)施例中，該方法包括進(jìn)一步基于在計算機(jī)網(wǎng)絡(luò)中預(yù)定的一群多個計算機(jī)上正被執(zhí)行的程序的頻率(尤其是基于自預(yù)定時間起，僅在該預(yù)定的一群計算機(jī)上執(zhí)行的程序的頻率)來確定對計算機(jī)網(wǎng)絡(luò)的攻擊出現(xiàn)的概率值。

這具有的優(yōu)點(diǎn)是：藉由這種類型的評估，該方法能簡單可靠地檢測正在諸個人電腦或小型計算機(jī)群上執(zhí)行的可能的病毒程序或惡意軟件。

在一實(shí)施例中，該方法包括使用多個計算機(jī)中的至少一個計算機(jī)的以下系統(tǒng)中的一者或多者來生成警報消息：病毒掃描儀、代理服務(wù)器、IDS(入侵檢測系統(tǒng))、防火墻、操作系統(tǒng)、日志管理系統(tǒng)、安全性信息和事件管理系統(tǒng)。

這種類型的方法的優(yōu)點(diǎn)在于，所述系統(tǒng)可被用于確定系統(tǒng)的各種特性并且藉由警報消息來傳遞它們。通過分析大量的協(xié)議數(shù)據(jù)，該方法有可能比通過考慮當(dāng)前的網(wǎng)絡(luò)指示符更早地檢測到奇特性或異常。

由此，為了生成警報消息，有可能回退到預(yù)先存在的架構(gòu)上，例如，先前安裝的記錄相關(guān)數(shù)據(jù)的協(xié)議數(shù)據(jù)系統(tǒng)。可以通過各種分析方法來執(zhí)行分析(例如，通過人工智能方法或使用神經(jīng)網(wǎng)絡(luò))，并且提供可靠的分析結(jié)果，這可以按事件的形式來準(zhǔn)備。分析能將計算機(jī)中的大量數(shù)據(jù)劃定到相關(guān)方面或提供可隨后被進(jìn)一步限制的數(shù)個相關(guān)事件。

在一實(shí)施例中，該方法包括基于下降到事件閾值以下的警報消息的數(shù)目來調(diào)節(jié)事件閾值。

這具有的優(yōu)點(diǎn)是，關(guān)于計算機(jī)網(wǎng)絡(luò)的發(fā)現(xiàn)可影響事件閾值，例如，藉由網(wǎng)絡(luò)的架構(gòu)和個體組件。指示符可由此被靈活地調(diào)節(jié)以改變環(huán)境影響，例如，計算機(jī)網(wǎng)絡(luò)中的附加的軟件或硬件組件。

在一實(shí)施例中，該方法包括根據(jù)以下事件中的至少一者來對事件閾值進(jìn)行自適應(yīng)調(diào)節(jié)：用戶反饋、計算機(jī)網(wǎng)絡(luò)的網(wǎng)絡(luò)架構(gòu)的變化、計算機(jī)網(wǎng)絡(luò)中的計算機(jī)的數(shù)目的變化。

這種類型的方法具有的優(yōu)點(diǎn)是，它可靈活地匹配經(jīng)改變的架構(gòu)，并且用戶的知識也能影響決策制定。

本發(fā)明的一方面涉及一種用于檢測包括多個計算機(jī)的計算機(jī)網(wǎng)絡(luò)中的攻擊的分析系統(tǒng)，包括：配置成接收來自計算機(jī)的多個警報消息的接收模塊，該警報消息基于計算機(jī)網(wǎng)絡(luò)中的不同類型的異常；配置成將來自所接收到的多個警報消息的警報消息的數(shù)目與預(yù)定的事件閾值進(jìn)行比較的比較模塊，該警報消息的數(shù)目基于計算機(jī)網(wǎng)絡(luò)中的相同類型的異常；以及配置成如果基于計算機(jī)網(wǎng)絡(luò)中的相同類型的異常的警報消息的數(shù)目下降到該事件閾值以下，則輸出警報信號的輸出模塊。

這種類型的分析系統(tǒng)的優(yōu)點(diǎn)在于，該系統(tǒng)在對計算機(jī)網(wǎng)絡(luò)即將發(fā)生攻擊的情況下，能快速可靠地觸發(fā)警報信號。該分析系統(tǒng)能基于網(wǎng)絡(luò)中由警報消息指示的關(guān)鍵異常來可靠地檢測對計算機(jī)網(wǎng)絡(luò)或者計算機(jī)系統(tǒng)的可能或即將發(fā)生的攻擊。該系統(tǒng)可將發(fā)生的警報消息的數(shù)目指派給計算機(jī)網(wǎng)絡(luò)中的可能異常并且對它們進(jìn)行計數(shù)。如果特定異常的數(shù)目較大，換言之超過特定閾值，則呈現(xiàn)計算機(jī)網(wǎng)絡(luò)中頻繁發(fā)生的異常(其因此被分類為非關(guān)鍵)。相反，如果特定異常的數(shù)目較低，換言之下降到事件閾值以下，則呈現(xiàn)計算機(jī)網(wǎng)絡(luò)中很少發(fā)生的異常(其因此被分類為關(guān)鍵)。在下降到事件閾值以下的情況下，輸出模塊能輸出警報信號以警告計算機(jī)網(wǎng)絡(luò)的用戶可能的攻擊即將發(fā)生或已經(jīng)發(fā)生。

由此在對計算機(jī)網(wǎng)絡(luò)有可能攻擊的情況下，可能以靈活、快速且精確的方式來輸出警報信號。作為該分析系統(tǒng)的模塊化構(gòu)建的結(jié)果，個體模塊可以在不同的軟件或硬件組件上靈活地實(shí)現(xiàn)，例如，在計算機(jī)網(wǎng)絡(luò)內(nèi)的組件上或者在計算機(jī)網(wǎng)絡(luò)外的外部組件上。

在一實(shí)施例中，該分析系統(tǒng)包括配置成通過由相應(yīng)的警報消息指示的異常的類型來分類該多個警報消息的分類模塊。

該分類模塊的優(yōu)點(diǎn)是：它可以快速地從大量傳入的警報消息中濾出發(fā)信號通知計算機(jī)網(wǎng)絡(luò)中的關(guān)鍵異常的相關(guān)警報消息。

在一實(shí)施例中，該分析系統(tǒng)包括配置成基于下降到事件閾值以下的警報消息的數(shù)目來調(diào)節(jié)事件閾值的調(diào)節(jié)模塊。

這具有的優(yōu)點(diǎn)是：調(diào)節(jié)模塊能基于關(guān)于計算機(jī)網(wǎng)絡(luò)的發(fā)現(xiàn)來調(diào)節(jié)事件閾值，例如，以自適應(yīng)的方式。該調(diào)節(jié)可例如根據(jù)網(wǎng)絡(luò)的架構(gòu)和個體組件來發(fā)生。警報信號的觸發(fā)可由此被靈活地調(diào)節(jié)以改變環(huán)境影響，例如，計算機(jī)網(wǎng)絡(luò)中附加的軟件或硬件組件。

其他實(shí)施例參照附圖來被描述。

圖1是將警報消息分類100成不同類型的異常的實(shí)施例的示意圖；

圖2是用于檢測對計算機(jī)網(wǎng)絡(luò)的攻擊的分析系統(tǒng)200的實(shí)施例的示意圖；

圖3是用于檢測對計算機(jī)網(wǎng)絡(luò)的攻擊的分析系統(tǒng)300的另一實(shí)施例的示意圖；

圖4是對計算機(jī)網(wǎng)絡(luò)410的因特網(wǎng)網(wǎng)頁411的攻擊的場景400的示意圖，其中根據(jù)一實(shí)施例的分析系統(tǒng)200、300檢測該攻擊；

圖5是對公司內(nèi)部的計算機(jī)網(wǎng)絡(luò)510中的一群經(jīng)聯(lián)網(wǎng)的計算機(jī)的病毒攻擊的場景500的示意圖，其中根據(jù)一實(shí)施例的分析系統(tǒng)200、300檢測該攻擊；

圖6是根據(jù)一實(shí)施例的用于檢測對計算機(jī)網(wǎng)絡(luò)的攻擊的方法600的示意圖。

圖1是將警報消息分類100成不同類型的異常的實(shí)施例的示意圖。為了分類，從計算機(jī)接收攜帶警報的不同類型或特性的警報消息102。警報消息的總量110或全部或總數(shù)目包含基于計算機(jī)網(wǎng)絡(luò)中的不同異常的不同類型的警報。計算機(jī)網(wǎng)絡(luò)中的異常意味著計算機(jī)網(wǎng)絡(luò)中的不規(guī)則性或奇特性，或者脫離標(biāo)準(zhǔn)的模式，例如，作為故障的結(jié)果。異?？捎纱吮徽J(rèn)為是計算機(jī)的狀態(tài)不同于所期望的狀態(tài)。

圖1示出將警報消息分類成第一類型的異常111、第二類型的異常112、第三類型的異常113以及第四類型的異常114。然而，可發(fā)生任何其他數(shù)目的類型的異常。在圖1中，第一類型的異常111的警報消息最頻繁地發(fā)生，隨后第二類型的異常112的警報消息，隨后第三類型的異常113的警報消息，以及隨后第四類型的異常114的警報消息最少發(fā)生。

從相應(yīng)類型的警報消息的數(shù)目，可決定計算機(jī)系統(tǒng)是否處于關(guān)鍵狀態(tài)，換言之，對計算機(jī)系統(tǒng)的攻擊是否即將發(fā)生或已經(jīng)發(fā)生。如果基于特定時間段，一種類型的異常(在此情形中為第四類型114)的警報消息的數(shù)目下降到特定閾值(也稱為事件閾值)以下，則存在關(guān)鍵狀態(tài)且警報信號108被觸發(fā)。

以下描述的方法和分析系統(tǒng)可基于如圖1描述的分類。

圖2是用于檢測包括多個計算機(jī)的計算機(jī)網(wǎng)絡(luò)中的攻擊的分析系統(tǒng)200的實(shí)施例的示意圖。分析系統(tǒng)100包括接收模塊201、比較模塊203以及輸出模塊205。

通過使用接收模塊201，從計算機(jī)接收多個警報消息102，該警報消息基于圖1的解說中的計算機(jī)網(wǎng)絡(luò)中的不同類型的異常。

通過使用比較模塊203，將來自所接收到的多個警報消息的警報消息204的數(shù)目或部分與預(yù)定的事件閾值進(jìn)行比較，該警報消息204的數(shù)目或部分基于計算機(jī)網(wǎng)絡(luò)中的相同類型(例如，如圖1中示出的第四類型114)的異常。

通過使用輸出模塊205，如果基于計算機(jī)網(wǎng)絡(luò)中的相同類型的異常的警報消息的數(shù)目(換言之，比較模塊203的結(jié)果206)下降到事件閾值以下，則輸出警報信號108。

在以下更詳細(xì)地描述經(jīng)模塊化構(gòu)建的分析系統(tǒng)200。分析系統(tǒng)200可自動地將大量接收到的警報消息進(jìn)行相關(guān)，并且分析它們以發(fā)現(xiàn)存在異常以及由此可能的對攻擊的指示符。例如，可使用有意選擇的日志數(shù)據(jù)或替換地先前安裝的SIEM系統(tǒng)作為數(shù)據(jù)源。分析的目的是，通過特定的分析方法來減小可用數(shù)據(jù)量并且將其以事件的形式來準(zhǔn)備，以使得專業(yè)人員能夠基于所分析的日志數(shù)據(jù)來檢測潛在攻擊。以下的自動分析方法是基于搜索不熟悉和很少發(fā)生的事件的。特定時間段中的特定(或相當(dāng))事件的發(fā)生頻率與其“熟悉性”是直接相關(guān)的。頻繁發(fā)生的事件由此趨于被分類為熟悉并且因此不相關(guān)。相反，很少發(fā)生的事件由此趨于不熟悉并且由此潛在地更加相關(guān)。

在此基礎(chǔ)上，攻擊出現(xiàn)的概率值連同要被個體地設(shè)置的參數(shù)(諸如黑名單、白名單、閾值、事件相關(guān)以及個體人群的威脅潛在性的定義)一起被計算，以及在超出特定閾值的情況下與事件相關(guān)并且準(zhǔn)備好以供進(jìn)行分析。實(shí)質(zhì)上，由此這是基于特定時間段的事件的頻率分析。對于主動異常檢測而言最終也是決定性的參數(shù)調(diào)節(jié)能由分析系統(tǒng)200半自動地執(zhí)行。來自人工智能領(lǐng)域的方法可被用于這一目的，分析系統(tǒng)200能夠向用戶/分析者做出具體建議，例如，以供調(diào)節(jié)特定閾值。可以尤其是基于用戶反饋和變化約束(諸如網(wǎng)絡(luò)架構(gòu)中所建立的變化或者活躍的網(wǎng)絡(luò)訂戶的數(shù)目的可預(yù)測變化(例如在假期時間期間))來做出建議。由用戶或分析者對所提供的建議做出的決定可進(jìn)而影響未來建議。

圖3是用于檢測包括多個計算機(jī)的計算機(jī)網(wǎng)絡(luò)中的攻擊的分析系統(tǒng)300的又一實(shí)施例的示意圖。分析系統(tǒng)300包括接收模塊301、分類模塊309、比較模塊305以及輸出模塊307。

通過使用接收模塊301，從計算機(jī)接收多個警報消息102，該警報消息基于根據(jù)圖1中解說的計算機(jī)網(wǎng)絡(luò)中的不同類型的異常。

可以在預(yù)定的時間區(qū)間(例如，1秒、1分鐘、5分鐘、30分鐘、或1小時)里接收到多個警報消息。

為了生成警報消息，例如，可以使用以下系統(tǒng)中的一者或多者，這些系統(tǒng)舉例而言可被安裝在計算機(jī)網(wǎng)絡(luò)中的一個或多個計算機(jī)上：病毒掃描儀、代理服務(wù)器、IDS(入侵檢測系統(tǒng))、防火墻、操作系統(tǒng)、日志管理系統(tǒng)、SIEM系統(tǒng)(安全性信息和事件管理系統(tǒng))。

通過使用分類模塊309，多個警報消息通過由相應(yīng)的警報消息指示的異常的類型310來被分類。警報消息304被劃分為不同的類別，其與計算機(jī)網(wǎng)絡(luò)中的異常的類型310相關(guān)聯(lián)并且被傳遞至比較模塊305。

多個警報消息可由此通過由相應(yīng)的警報消息指示的異常的類型來分類。由警報消息指示的異常的類型可例如基于警報消息的內(nèi)容(例如，通過評估諸如警報消息中的報頭或有效載荷之類的數(shù)據(jù)字段)來確定。

通過使用比較模塊305，將來自所接收到的多個警報消息的警報消息的數(shù)目或部分與預(yù)定的事件閾值進(jìn)行比較，該警報消息的數(shù)目或部分基于計算機(jī)網(wǎng)絡(luò)中的相同類型(例如，如圖1中示出的第四類型114)的異常。在圖3中，警報消息的相應(yīng)數(shù)目或部分對應(yīng)于警報消息由分類模塊309所分類到的類別。比較模塊可以例如在預(yù)定的時間區(qū)間里執(zhí)行比較以便具有參考。

該比較可以例如通過對所接收到的被分類為相同類型的警告消息進(jìn)行計數(shù)(例如，通過在預(yù)定時間區(qū)間內(nèi)進(jìn)行計數(shù))來執(zhí)行。如果由此在預(yù)定時間區(qū)間內(nèi)所計數(shù)的警報消息下降到事件閾值以下，則輸出模塊307可被構(gòu)建成輸出警報信號108，例如藉由比較的結(jié)果306。

通過使用輸出模塊307，如果基于計算機(jī)網(wǎng)絡(luò)中的異常的相同類型310的警報消息的數(shù)目(換言之，指派給特定類別的警報消息的數(shù)目)下降到事件閾值以下，則輸出警報信號108。

除了輸出該警報信號之外，輸出模塊307可確定對計算機(jī)網(wǎng)絡(luò)的攻擊出現(xiàn)的概率值，例如，基于對下降到事件閾值以下的警報消息的數(shù)目或部分的分析。概率值可進(jìn)一步基于以下預(yù)定參數(shù)中的一者或多者來確定：黑名單、白名單、閾值、事件相關(guān)、以及計算機(jī)網(wǎng)絡(luò)的個體用戶群的威脅潛在性的定義。對計算機(jī)網(wǎng)絡(luò)的攻擊出現(xiàn)的概率值可進(jìn)一步基于到計算機(jī)網(wǎng)絡(luò)的訪問者的數(shù)目(尤其是到計算機(jī)網(wǎng)絡(luò)的網(wǎng)頁的訪問者的數(shù)目)來確定，如以下關(guān)于圖4更詳細(xì)地描述的。對計算機(jī)網(wǎng)絡(luò)的攻擊出現(xiàn)的概率值可進(jìn)一步基于計算機(jī)網(wǎng)絡(luò)中很少執(zhí)行的進(jìn)程的頻率來確定，如以下關(guān)于圖5更詳細(xì)地描述的。對計算機(jī)網(wǎng)絡(luò)的攻擊出現(xiàn)的概率值可進(jìn)一步基于在計算機(jī)網(wǎng)絡(luò)中預(yù)定的一群多個計算機(jī)上執(zhí)行的程序的頻率(尤其是基于自預(yù)定時間起，僅在該預(yù)定的一群計算機(jī)上執(zhí)行的程序的頻率)來確定，如以下關(guān)于圖5更詳細(xì)地描述的。

分析系統(tǒng)300可進(jìn)一步包括調(diào)節(jié)模塊(圖3中未示出)，事件閾值可藉由該調(diào)節(jié)模塊基于警報消息的數(shù)目下降到事件閾值以下的警報消息部分來被調(diào)節(jié)。為此目的，例如，可做出調(diào)節(jié)事件閾值的建議，其可以是基于下降到事件閾值以下的警報消息的數(shù)目的?？蛇M(jìn)一步基于用戶反饋和/或計算機(jī)網(wǎng)絡(luò)的網(wǎng)絡(luò)架構(gòu)的變化(尤其是計算機(jī)網(wǎng)絡(luò)中計算機(jī)的數(shù)目的變化)來做出建議。事件閾值可被自適應(yīng)地調(diào)節(jié)，例如根據(jù)以下事件中的至少一者：用戶反饋、計算機(jī)網(wǎng)絡(luò)的網(wǎng)絡(luò)架構(gòu)的變化、計算機(jī)網(wǎng)絡(luò)中的計算機(jī)的數(shù)目的變化。

圖4是對計算機(jī)網(wǎng)絡(luò)410的因特網(wǎng)網(wǎng)頁411的攻擊的場景400的示意圖，其中分析系統(tǒng)200、300檢測該攻擊。該攻擊源自到因特網(wǎng)網(wǎng)頁411的一小群訪問者420。分析系統(tǒng)200、300可對應(yīng)于圖2或圖3中描述的系統(tǒng)。

分析系統(tǒng)200可包括接收模塊201、比較模塊203以及輸出模塊205。通過使用接收模塊201，多個警報消息102由計算機(jī)來接收，該警報消息基于根據(jù)圖1中解說的計算機(jī)網(wǎng)絡(luò)中的不同類型的異常。通過使用比較模塊203，將來自所接收到的多個警報消息的警報消息的數(shù)目或部分與預(yù)定的事件閾值進(jìn)行比較，該警報消息的數(shù)目或部分基于計算機(jī)網(wǎng)絡(luò)中的相同類型的異常。通過使用輸出模塊205，如果基于計算機(jī)網(wǎng)絡(luò)中的相同類型的異常的警報消息的數(shù)目下降到事件閾值以下，則生成警報信號108。

在以下更詳細(xì)地描述了分析系統(tǒng)200、300的操作模式。如果許多不同的訪問者訪問了因特網(wǎng)上的特定系統(tǒng)(例如，網(wǎng)頁411)，則這一過程被假定為非關(guān)鍵。然而，如果系統(tǒng)僅由一小群用戶420尋址，則C2服務(wù)器可被潛在地涉及。另外，如果這些相關(guān)用戶是特定的一群具有增大的威脅潛在性的人，則分析系統(tǒng)200、300生成可隨后由專業(yè)人員分析的事件或警報信號108。

圖5是對公司內(nèi)部的計算機(jī)網(wǎng)絡(luò)510中的一群經(jīng)聯(lián)網(wǎng)的計算機(jī)的病毒攻擊的場景500的示意圖，分析系統(tǒng)200、300檢測該攻擊。分析系統(tǒng)200、300可對應(yīng)于圖2或圖3中描述的系統(tǒng)。

分析系統(tǒng)200可包括接收模塊201、比較模塊203以及輸出模塊205。通過使用接收模塊201，從計算機(jī)接收多個警報消息102，該警報消息基于根據(jù)圖1中解說的計算機(jī)網(wǎng)絡(luò)中的不同類型的異常。通過使用比較模塊203，將來自所接收到的多個警報消息的警報消息的數(shù)目或部分與預(yù)定的事件閾值進(jìn)行比較，該警報消息的數(shù)目或部分基于計算機(jī)網(wǎng)絡(luò)中的相同類型的異常。通過使用輸出模塊205，如果基于計算機(jī)網(wǎng)絡(luò)中的相同類型的異常的警報消息的數(shù)目下降到事件閾值以下，則輸出警報信號108。

在以下更詳細(xì)地描述了分析系統(tǒng)200、300的操作模式。假定相對較大的公司中的大多數(shù)辦公室PC 511、513、515被同等地配置，并且絕大部分辦公室PC 511、513、515使用了相同的軟件P₁、P₂、P₃，則對大量進(jìn)程列表512、514、516的比較可標(biāo)識很少執(zhí)行的程序P_病毒。舉例而言僅在一小群計算機(jī)515上執(zhí)行并且僅被執(zhí)行達(dá)較短時間的程序P_病毒可以是對最新近安裝的惡意軟件P_病毒的指示。分析系統(tǒng)200、300因此無須搜索特定進(jìn)程，但是可以通過消除熟悉或頻繁發(fā)生的進(jìn)程P₁、P₂、P₃來標(biāo)識不熟悉的進(jìn)程P_病毒。在評估其他參數(shù)之后，該事件可被概括為相關(guān)事件或警報信號108，并且呈現(xiàn)給用戶或分析者以供進(jìn)一步檢查。

圖6是根據(jù)一實(shí)施例的用于檢測對計算機(jī)網(wǎng)絡(luò)的攻擊的方法600的示意圖。方法600包括從計算機(jī)接收(601)多個警報消息，該警報消息基于計算機(jī)網(wǎng)絡(luò)中的各種類型的異常。方法600包括將來自所接收到的多個警報消息的警報消息的數(shù)目或部分與預(yù)定的事件閾值進(jìn)行比較(603)，該警報消息的數(shù)目或部分基于計算機(jī)網(wǎng)絡(luò)中的相同類型的異常。方法600包括如果基于計算機(jī)網(wǎng)絡(luò)中的相同類型的異常的警報消息的數(shù)目下降到事件閾值以下，則輸出(605)警報信號。

在一實(shí)施例中，方法600可包括在預(yù)定的時間區(qū)間里接收多個警報消息。在一實(shí)施例中，方法600可包括通過由相應(yīng)的警報消息指示的異常的類型來將該多個警報消息進(jìn)行分類。在一實(shí)施例中，方法600可包括基于該警報消息的內(nèi)容來確定由警報消息指示的異常的類型。在一實(shí)施例中，方法600可包括在預(yù)定的時間區(qū)間里對所接收到的被分類為相同類型的警報消息進(jìn)行計數(shù)；以及如果在預(yù)定的時間區(qū)間里所計數(shù)的警報消息的數(shù)目下降到事件閾值以下，則輸出警報信號。在一實(shí)施例中，方法600可包括基于下降到事件閾值以下的警報消息的數(shù)目來確定對計算機(jī)網(wǎng)絡(luò)的攻擊出現(xiàn)的概率值。

在一實(shí)施例中，方法600可包括進(jìn)一步基于以下預(yù)定參數(shù)中的至少一者來確定對計算機(jī)網(wǎng)絡(luò)的攻擊出現(xiàn)的概率值：黑名單、白名單、閾值、事件相關(guān)、以及計算機(jī)網(wǎng)絡(luò)的個體用戶群的威脅潛在性的定義。在一實(shí)施例中，方法600可包括進(jìn)一步基于到計算機(jī)網(wǎng)絡(luò)的訪問者的數(shù)目(尤其是到計算機(jī)網(wǎng)絡(luò)的網(wǎng)頁的訪問者的數(shù)目)來確定對計算機(jī)網(wǎng)絡(luò)的攻擊出現(xiàn)的概率值。在一實(shí)施例中，方法600可包括進(jìn)一步基于計算機(jī)網(wǎng)絡(luò)中很少執(zhí)行的進(jìn)程的頻率來確定對計算機(jī)網(wǎng)絡(luò)的攻擊出現(xiàn)的概率值。

在一實(shí)施例中，方法600可包括進(jìn)一步基于在計算機(jī)網(wǎng)絡(luò)中預(yù)定的一群多個計算機(jī)上正被執(zhí)行的程序的頻率(尤其是基于自預(yù)定時間起，僅在預(yù)定的一群計算機(jī)上執(zhí)行的程序的頻率)來確定對計算機(jī)網(wǎng)絡(luò)的攻擊出現(xiàn)的概率值。

在一實(shí)施例中，方法600可包括使用多個計算機(jī)中的至少一個計算機(jī)上的以下一個或多個系統(tǒng)來生成警報消息：病毒掃描儀、代理服務(wù)器、IDS(入侵檢測系統(tǒng))、防火墻、操作系統(tǒng)、日志管理系統(tǒng)、SIEM系統(tǒng)(安全性信息和事件管理系統(tǒng))。在一實(shí)施例中，方法600可包括基于下降到事件閾值以下的警報消息的數(shù)目來調(diào)節(jié)事件閾值。在一實(shí)施例中，方法600可包括基于下降到事件閾值以下的警報消息的數(shù)目以及進(jìn)一步基于用戶反饋和/或計算機(jī)網(wǎng)絡(luò)的網(wǎng)絡(luò)架構(gòu)中的變化(尤其是計算機(jī)網(wǎng)絡(luò)中的計算機(jī)的數(shù)目的變化)來做出調(diào)節(jié)事件閾值的建議。在一實(shí)施例中，方法600可包括自適應(yīng)地調(diào)節(jié)事件閾值，例如根據(jù)以下事件中的至少一者：用戶反饋、計算機(jī)網(wǎng)絡(luò)的網(wǎng)絡(luò)架構(gòu)的變化、計算機(jī)網(wǎng)絡(luò)中的計算機(jī)的數(shù)目的變化。

本發(fā)明的一方面還包括計算機(jī)程序產(chǎn)品，其可被直接加載到數(shù)字計算機(jī)的內(nèi)部存儲器上并且其包括軟件代碼部分，借助該軟件代碼部分，關(guān)于圖6描述的方法600可以在該產(chǎn)品在計算機(jī)上運(yùn)行時被執(zhí)行。該計算機(jī)程序產(chǎn)品可被存儲在計算機(jī)兼容的介質(zhì)上并且包括以下方面：計算機(jī)可讀程序介質(zhì)使得計算機(jī)：接收(601)來自計算機(jī)的多個警報消息，該警報消息基于計算機(jī)網(wǎng)絡(luò)中的不同類型的異常；將來自所接收到的多個警報消息的警報消息的數(shù)目與預(yù)定的事件閾值進(jìn)行比較(603)，該警報消息的數(shù)目基于計算機(jī)網(wǎng)絡(luò)中的相同類型的異常；以及如果基于計算機(jī)網(wǎng)絡(luò)中的相同類型的異常的警報消息的數(shù)目下降到該事件閾值以下，則輸出(605)警報信號。計算機(jī)可以是PC，例如計算機(jī)網(wǎng)絡(luò)中的PC。計算機(jī)可被實(shí)現(xiàn)為芯片、ASIC、微處理器、或者信號處理器，并且被安排在計算機(jī)網(wǎng)絡(luò)中，例如，如圖4或5中描述的計算機(jī)網(wǎng)絡(luò)中。

毋庸置疑，藉由示例，本文描述的各種實(shí)施例的特征可以彼此組合，除非特別另外聲明。如說明書和附圖中描繪的，被描繪為已連接的個體元件不需要直接互連；可以在所連接的元件之間提供中間元件。此外，毋庸置疑，本發(fā)明的諸實(shí)施例可在個體電路、部分集成電路或完全集成電路或者編程介質(zhì)中實(shí)現(xiàn)。術(shù)語“例如”僅表示示例，且不是最佳或最優(yōu)示例。特定實(shí)施例已經(jīng)在本文中解說和描述，但是對本領(lǐng)域技術(shù)人員顯而易見的是眾多的替換方案和/或等效實(shí)現(xiàn)可以替代所示出和所描述的實(shí)施例來被實(shí)現(xiàn)，而不脫離本發(fā)明的思想。

附圖標(biāo)記列表

100:分類警報消息

102:警報消息

110:警報消息的總量

111:第一類型的異常

112:第二類型的異常

113:第三類型的異常

114:第四類型的異常

108:警報信號

200:分析系統(tǒng)

201:接收模塊

203:比較模塊

205:輸出模塊

204:警報消息

206:比較結(jié)果

300:分析系統(tǒng)

301:接收模塊

307:分類模塊

303:比較模塊

305:輸出模塊

304:警報消息

310:異常的類型

306:比較結(jié)果

108:對計算機(jī)網(wǎng)絡(luò)的攻擊的警報信號或指示符

400:對計算機(jī)網(wǎng)絡(luò)的因特網(wǎng)網(wǎng)頁的攻擊的場景

410:計算機(jī)網(wǎng)絡(luò)

411:因特網(wǎng)網(wǎng)頁

420:一小群用戶

500:對公司內(nèi)部計算機(jī)網(wǎng)絡(luò)的一群經(jīng)聯(lián)網(wǎng)的計算機(jī)的病毒攻擊的場景

510:公司內(nèi)部的計算機(jī)網(wǎng)絡(luò)

511、513、515:計算機(jī)網(wǎng)絡(luò)中的計算機(jī)

512、514、516:計算機(jī)上的進(jìn)程列表

P₁、P₂、P₃:計算機(jī)上運(yùn)行的進(jìn)程

P_病毒:計算機(jī)上的惡意軟件

600:用于確定對計算機(jī)網(wǎng)絡(luò)的攻擊的指示符的方法

601:第一方法步驟：接收

603:第二方法步驟：比較

605:第三方法步驟：輸出