用于自动入侵检测的系统和方法
背景技术
敌对网络入侵(也称为网络攻击)通常始于恶意方使用敌对基础设施(例如,在恶意方的控制下的一个或多个计算设备)扫描可访问互联网的网络系统的漏洞。网络攻击的这种侦察阶段通常触发入侵检测系统(IDS)警报。侦察阶段通常跟随的是某种攻击阶段(例如,发送恶意电子邮件、执行命令和控制操作或其他敌对网络流量),这些攻击阶段也源自相同的敌对基础设施。
现有技术基于IDS警报中呈现的特定模式(例如,指示特定的已知类型的可能的网络攻击的字符序列)仅防止特定的扫描或敌对流量。这种防止手段无法将基础设施识别为敌对的。因此,来自敌对基础设施的后续流量不能诸如通过基于始发点的入侵防御系统(IPS)被系统地阻止。取而代之的是,操作人员必须手动查看选择性的IDS命中,对历史上下文执行查找,并且然后触发阻止动作和监视动作。由于每单位时间收到的IDS警报数量过多,尤其是在高流量环境中,因此手动查找通常很难或不可能。在这样的环境中工作的操作员缺乏资源和能力来维持使这种基于上下文的决策自动化所需的更长期的历史。
因此,常规系统通常限于抑制(例如,在大量网络攻击期间暂时阻止)攻击者。但是,因为IP地址容易伪造,仅基于单个签名匹配阻止来自互联网协议(IP)地址的所有流量带来很大的风险。使用伪造的IP地址的攻击者能够通过发起攻击造成网络中断,该攻击似乎来自通常用于在网络上进行常规业务操作的IP地址。
发明内容
一些实施方式提供了一种用于基于自动入侵警报列入黑名单的设备。该设备包括通信接口和处理器,该通信接口被配置为接收指示检测到的对网络的威胁的网络威胁报告。该处理器被配置为:确定与所检测到的对网络的威胁有关的互联网协议(IP)地址;访问上下文信息数据库以确定与网络通信有关的IP地址的历史上下文信息;将历史上下文信息与一个或多个阻止阈值进行比较;并且如果该IP地址的历史上下文信息超过一个或多个阻止阈值,则将该IP地址输出到指示符管理系统。该指示符管理系统维持网络的外围系统的阻止列表,并且将IP地址添加到阻止列表。
其他实施方式提供了一种用于基于自动入侵警报列入黑名单的方法。该方法包括使用通信接口接收网络威胁报告,该网络威胁报告指示检测到的对网络的威胁;使用处理器确定与检测到的网络威胁有关的IP地址;访问上下文信息数据库以确定与网络通信有关的IP地址的历史上下文信息;将历史上下文信息与一个或多个阻止阈值进行比较;并且如果该IP地址的历史上下文信息超过一个或多个阻止阈值,则将该IP地址输出到指示符管理系统(154)。指示符管理系统维持网络的外围系统的阻止列表,并且将IP地址添加到阻止列表。
还有其他实施方式提供了一种或多种非暂时性计算机可读介质,其上存储有用于基于自动化入侵警报列入黑名单的计算机可执行指令,其在由计算机实施时使计算机执行操作。操作包括:使用通信接口接收指示检测到的对网络的威胁的网络威胁报告;使用处理器确定与检测到的网络威胁有关的IP地址;访问上下文信息数据库以确定与网络通信有关的IP地址的历史上下文信息;将历史上下文信息与一个或多个阻止阈值进行比较;并且如果该IP地址的历史上下文信息超过一个或多个阻止阈值,则将该IP地址输出到指示符管理系统。指示符管理系统维持网络的外围系统的阻止列表,并且将IP地址添加到阻止列表。
提供本发明内容从而以简化形式介绍一些概念,这些概念将在下面的具体实施方式中进一步描述。当结合附图阅读时,将更好地理解前述发明内容以及某些实施方式的以下具体实施方式。本发明内容既不旨在确认所要求保护的主题的关键特征或必要特征,也不旨在用于帮助确定所要求保护的主题的范围。
附图说明
当参考附图阅读以下具体实施方式时,将更好地理解本公开的这些和其他特征、方面和优点,其中:
图1是示出根据实施方式的用于基于自动入侵警报列入黑名单的设备的实施方式的框图。
图2是示出根据实施方式的与敌对基础设施相关联的互联网协议(IP)地址的历史上下文信息的样本数据库记录的表格图。
图3是示出根据实施方式的用于与常规业务基础结构相关联的IP地址的历史上下文信息的样本数据库记录的表格图。
图4是示出内部网络上基于自动入侵警报列入黑名单的实施方式的流程图。
图5是示出根据实施方式的用于基于自动入侵警报列入黑名单的方法的流程图。
图6是示出根据实施方式的使用与检测到的威胁有关的入侵检测系统(IDS)警报的基于自动入侵警报列入黑名单的方法的流程图,其中检测到的威胁包括作为触发的高可信度签名。
图7是示出根据实施方式的用于基于自动入侵警报列入黑名单的方法的流程图,该方法进一步包括使用上下文系统以确定用于与网络通信有关的IP地址的历史上下文信息。
图8是示出根据实施方式的操作环境的示例框图。
在所有附图中,相应的附图标记指示相应的部分。
具体实施方式
参照附图,本公开的实施方式包括用于基于自动入侵警报列入黑名单的系统和方法,其保护可访问互联网的网络系统免受诸如侦察阶段扫描和随后的(一个或多个)攻击阶段的恶意活动。当这种敌对基础设施试图扫描漏洞或以其他方式与可访问互联网的网络系统进行交互时,该系统和方法在恶意方的控制下自动识别敌对基础设施。在某些实施方式中,这种尝试的侦察生成(一个或多个)入侵检测系统(IDS)警报,该警报包含有关始发的敌对基础设施的信息。
本公开使用(一个或多个)IDS警报以基于敌对流量的始发点(例如,通过互联网协议(IP)地址)识别敌对基础设施和来自该敌对基础设施的所有后续流量。各种实施方式可以自动查看每个IDS警报,针对历史上下文执行查找,并且然后触发任何必要的阻止动作和监视动作。这种自动查看具有可扩展性以适应在高流量可访问互联网的网络系统上每单位时间接收到的大量IDS警报。考虑到这种自动化的更高效率,在实施本公开的环境中工作的当代操作员具有足够的资源和能力以维持使这种基于上下文的决策自动化所需的更长期历史上下文信息,从而也改善了用户体验。
本公开不限于自动抑制攻击者。仅基于单个签名匹配阻止来自IP地址的所有流量会带来极大的风险会阻止恶意方为避免识别而伪造的IP用于在网络上进行常规业务操作。此外,实际上,阻止伪造的IP地址导致对位于被阻止的IP地址的实际设备或服务的拒绝服务攻击,这些设备或服务现在无法与可访问互联网的网络系统进行交互。在这种情况下,意图故意阻止对可访问互联网的网络系统外部的关键基础设施(例如,公共网站、域名服务器等)的访问的恶意方可以轻松实现上述操作。即使在不考虑伪造的情况下,仅基于单个签名匹配就无差别地阻止来自IP地址的所有流量也会(例如,通过引起存储器、内存、处理能力等的过度使用)给互联网可访问的网络系统的资源造成不必要的压力。
因此,在一些实施方式中,本公开因此针对每个遇到的IP地址维持先前是否已经建立有效的传输控制协议(TCP)/IP连接(其需要有效的识别TCP三向握手)的记录。如果先前已经建立了这样的有效连接,则表明该IP地址是有效的并且未被伪造。在这些实施方式中,有效的TCP/IP连接的要求消除了与使用不提供任何握手机制的用户数据报协议(UDP)连接相关联的伪造的风险。在一些这样的实施方式中,历史上下文数据部分地而不是全部地包括过去是否已经建立了有效的TCP/IP连接的记录。
用于完全可扩展的基于自动入侵警报列入黑名单的系统和方法被公开,该系统和方法自动阻止敌对的基础设施,使得不影响常规的业务操作。与现有的当代IPS和/或不可扩展的手动列入黑名单技术相比,所公开的自动化系统和方法提供了巨大的成本节约;释放了原本需要人工处理的资源和人员;并且通过将以IDS警报或检测到的威胁为代表的更大量已知侦察和攻击尝试列入黑名单来实现自动网络防御,从而提高整体网络保护。
本文在各种实施方式中描述的元件以非常规的方式操作,从而通过识别由恶意方在侦察阶段扫描中使用的IP地址很可能被同一恶意方的其他媒介(例如,电子邮件、数据库访问、安全漏洞利用等)再次用于攻击,从而提供基于自动入侵警报列入黑名单。在一些实施方式中,IDS警报向本公开提供具有高保真度的签名以触发列入黑名单,确保零概率、极低概率或非常低概率的假阳性识别,从而导致对常规业务操作流量的自动列入黑名单。以这种方式,当对处理器进行编程以执行本文中描述的操作时,处理器被以非常规的方式使用,并且允许更可靠地识别和警告恶意网络活动。
作为防止意外中断的常规业务操作流量的附加保护层,本公开的一些实施方式已经通过IP地址识别出潜在的敌对基础设施,对上下文系统执行查找以确定与本地网络环境中的IP地址相关联的历史上下文。如果内部网络环境中与IP地址关联的常规业务操作流量与恶意流量的数量过多,则本公开不会将IP地址列入黑名单。但是,如果来自特定IP地址的大多数连接都是恶意的,则本公开将敌对基础设施的IP地址列入黑名单,同时该敌对基础设施仍处于侦查阶段,从而可以防止以后的潜在破坏性攻击阶段。
因此,本公开比非自动化的替代方案更有效,并且实施起来更经济。本公开以完全可扩展的基于自动入侵警报列入黑名单的形式提供网络保护,同时还对常规业务操作流量造成最小的中断。
参照图1,框图示出了用于基于自动入侵警报列入黑名单的设备100的实施方式。在一些实施方式中,设备100是计算机、服务器、分布式系统、网页服务器、数据库、移动设备、通信设备、台式计算机、膝上型计算机、平板计算机或其组合。设备100包括通信接口112和处理器102,该通信接口112被配置为接收指示对网络110的检测到的威胁150的网络威胁报告106。网络102包括有线网络、无线网络或两者。通信接口112是被配置为启用设备100与经由网络110可访问的任何其他部件之间的双向通信的任何部件。
在一些实施方式中,处理器102进一步被配置为使用与检测到的威胁150有关的入侵检测系统(IDS)警报160作为触发。IDS警报160是可通过网络110传送到被配置为匹配(并且因此识别)独特的攻击条件的设备100的一条数据。独特的攻击条件包括敌对基础设施用于穿透或破坏目标的特定工具(例如,特定的已知木马、病毒、蠕虫、有害的HTTP POST请求或其他恶意代码)。在这样的实施方式中,检测到的威胁150包括作为威胁的高置信度签名154。因此,高置信度签名154可以直接链接到特定的、可识别的攻击类型,从而允许设备100以最合适的方式做出反应。在一些这样的实施方式中,高置信度签名154以零概率、低概率或非常低概率的假阳性识别中的至少一个识别威胁。在其他实施方式中,设备100使用可用的高置信度签名154作为基于启发式或模式匹配的潜在威胁分析的基础,对于这些威胁而言,精确的签名不可用。
在其他这样的实施方式中,从至少一个源170检索高置信度签名154。源170是设备100可访问的任何存储库,其包含如本文所描述的设备100可用的至少一个高置信度签名154。在以源170为特征的一些实施方式中,源170位于设备100或网络110中的至少一个上。源包括但不限于特定网站、特定组织或其组合。在一些这样的实施方式中,源170分布在网络110上的多个存储设备上,该多个存储设备包括或不包括设备100。在以源170为特征的其他实施方式中,源170是受信任的第三方。作为说明,在某些行业中,竞争者汇集网络安全资源以创建受信任的第三方源170,该第三方源170结合了竞争者已知的所有高置信度签名,然后共享该源,以在竞争对手共享的整个基础设施(例如全球互联网)中促进提高并且不断改进网络安全性。
处理器102被配置为确定与网络110的检测到的威胁150有关的IP地址152,并且访问上下文信息数据库104以确定与网络110通信有关的IP地址152的历史上下文信息120。历史上下文信息120在本文的图2和图3的讨论中被更详细地描述(除其他外)。
在一些实施方式中,历史上下文信息120被存储在上下文系统114内的上下文信息数据库104中。上下文系统114使用上下文信息数据库104以配置、调整和维持阻止阈值108。在一些这样的实施方式中,上下文信息数据库104是摘要数据库,其包含关于在网络110上检测到的所有IP地址152的历史信息124。在其他这样的实施方式中,历史上下文信息120包括针对每个IP地址152的第一已见日期(seen date)122、最后已见日期124和内部点击计数126。但是,在某些实施方式中,可以维持其他上下文或历史数据。在其他这样的实施方式中,历史上下文信息120包括应用层数据130。应用层数据130包括但不限于记录的交易数据,该记录的交易数据包括关于历史上与IP地址152相关联的特定识别的应用或通信协议类型的信息。在本文其他地方描述了记录的交易数据的来源。因此,在包括应用层数据130的实施方式中,应用数据130包括但不限于与电子邮件历史、代理连接历史、网页服务器连接历史或与IP地址152相关联的任何其他记录的交易数据有关的记录的交易数据中的至少一个。在包括应用层数据130的某些实施方式中,应用层数据130用于区分常规业务操作流量和敌对基础设施流量。常规业务操作流量生成可识别和允许的应用层数据130,而敌对基础设施流量不生成可识别和允许的应用层数据130。
第一已见日期122是设备100从IP地址152接收到连接请求的最早日期。最后已见日期124是设备从IP地址152接收到连接请求的最后日期。在一些实施方式中,第一已见日期122和最后已见日期124都被存储为包括以小时、分钟和秒测量的日历日期和时间中的至少一个的时间戳。在一些实施方式中,按照ISO8601存储第一已见日期122和最后已见日期124。内部点击计数126是设备100从第一已见日期122开始到最后已见日期124结束从IP地址152接收到的连接请求的数量。
在其他这样的实施方式中,历史上下文信息120包括用于每个IP地址152的先前的TCP/IP连接建立指示符128。在包括针对每个IP地址152的先前的TCP/IP连接建立指示符128的实施方式中,先前的TCP/IP连接建立指示符128指示设备100是否先前已经与每个IP地址152建立了TCP/IP连接。如果设备100先前已经与每个IP地址152建立了TCP/IP连接,则每个IP地址152有效并且未被伪造。
处理器102进一步被配置为将历史上下文信息120与一个或多个阻止阈值108进行比较。在一些实施方式中,一个或多个阻止阈值108是基于源自IP地址152的常规业务连接请求数或基于源自IP地址152的敌对连接请求数而指示IP地址152是否与一个或多个阻止阈值108中的一个相关联的数字值。在某些这样的实施方式中,优先考虑允许可能的最多数量的常规业务连接请求,如果历史上下文信息120内存在源自IP地址152的常规业务连接请求的任何历史,则一个或多个阻止阈值108被配置为允许所有流量通过该IP地址152。在被配置为对未知IP地址152尽可能谨慎的其他实施方式中,一个或多个阻止阈值108被配置为阻止源自尚未在历史上下文信息120内的任何IP地址152的所有连接请求。根据本公开的特定应用的需求和要求,阻止阈值108可以被配置为允许源自与常规业务操作相关联或不相关联的IP地址152的连接请求的变化的数量。在任何实施方式中,一旦超过一个或多个阻止阈值108,设备将如本文进一步描述的将关联的IP地址152列入黑名单。
处理器102进一步被配置为在针对IP地址152的历史上下文信息120超过一个或多个阻止阈值108的情况下将IP地址152输出到指示符管理系统180。指示符管理系统180被配置为禁止通过由处理器102输出到指示符管理系统180的任何IP地址152对网络110进行所有潜在的敌对访问。指示符管理系统180维持网络110的外围系统190的阻止列表182,并且将IP地址152添加到阻止列表182。外围系统190是各个防御系统的完整集合,各个防御系统配置为保护代表网络110的外部边缘的网络外围网关系统(未显示)免受源自网络110外部的敌对基础设施和活动的侵害。在一些实施方式中,网络外围包括但不限于网络的私有和本地管理与拥有侧(例如,业务实体的内部网络)与网络的公共和通常供应商管理侧(例如,公共互联网)之间的边界。在一些实施方式中,外围系统190被配置为记录包括应用层数据130的交易数据。
这种敌对的基础设施和活动包括但不限于电子邮件筛选、防火墙渗透、监视系统的数据包嗅探(packet sniffing)、反向代理运用或任何其他漏洞运用允许未经授权的访问。更一般地,外围系统意图防止任何和所有外围攻击。外围攻击包括但不限于意图运用网络边缘漏洞的任何入侵或其他攻击,该漏洞使外部方能够访问以上载恶意的有效载荷。这样的外围攻击包括但不限于运用网关系统中的不当安全端口以允许外部方上载特洛伊木马、病毒、后门、外壳或提供外部方命令和控制或数据渗透能力的任何其他类似程序中的至少一个。网关系统是网络110与网络110外部的每个其他实体之间的所有通信入口/出口点,该实体以通信方式耦合到网络110。
图2和图3共同是用于IP地址(例如,IP地址152)的历史上下文信息(例如,图1的历史上下文信息122)的样本数据库记录200,300的表格图。历史上下文信息的数据库记录200,300中的每个至少包含:第一已见日期212,312(例如,图1的第一已见日期122);最后已见日期214,314(例如,图1的最后已见日期124);内部点击计数216,316(例如,图1的内部点击计数126);先前的TCP/IP连接建立指示符218,318(例如,图1的先前的TCP/IP连接建立指示符128);以及应用数据层信息220,320(例如,图1的应用数据层130)。在一些实施方式中,历史上下文信息的样本数据库记录200超过一个或多个阻止阈值(例如,图1中的一个或多个阻止阈值108)。在一些实施方式中,历史上下文信息的样本数据库记录300不超过一个或多个阻止阈值。
图2示出了与敌对基础设施相关联的IP地址(例如,IP地址154)的历史上下文信息的样本数据库记录200。第一已见日期212和最后已见日期214之间的差异指示历史上下文信息的样本数据库记录200包含覆盖十分钟时间段的数据。在此时间段内,根据内部点击计数216,与敌对基础设施关联的IP地址进行了5000次尝试以访问网络(例如,图1的网络110)。先前的TCP/IP连接建立指示符218指示先前没有使用该IP地址建立经过完全认证的TCP/IP连接。应用数据层信息220指示IP地址正在请求打开与未经授权的远程访问协议(例如,与MICROSOFT
图3示出了与常规业务基础设施相关联的IP地址的历史上下文信息的样本数据库记录300。第一已见日期312和最后已见日期314之间的差异指示历史上下文信息的样本数据库记录300包含覆盖两个月时间段的数据。在该时间段期间,根据内部点击次数316,与常规业务基础设施相关联的IP地址进行了50次尝试以访问网络(例如,图1的网络110)。先前的TCP/IP连接建立指示符318指示先前已经使用此IP地址建立了经过完全认证的TCP/IP连接。应用数据层信息320指示IP地址正在请求打开与受信任的虚拟专用网络(VPN)解决方案相关联的端口上的连接。因此,在各种实施方式中,常规的电子商务活动被自动识别并且与特定的IP地址相关联。也就是说,阈值用于将历史数据识别为合法业务通信并且与常规业务基础设施相关联。
应当注意,在不同的应用、设置、商业环境、网络结构等中,与敌对基础设施相关联并且与常规商业基础设施相关联的这些值可以是不同的。仅举例说明这些值。
图4是示出内部网络上基于自动入侵警报列入黑名单的实施方式400的流程图。在入侵尝试402期间,外围入侵检测系统(IDS)、防火墙和DMZ外围420(统称为例如图1的外围系统190)外部的攻击者试图测试或运用网络(例如,图1的网络110)的漏洞。IDS检测到入侵尝试402,并且在操作404发送针对高置信度签名的IDS警报。在406,攻击者的IP地址被添加到指示符管理系统(例如,图1的指示符管理系统180)。在408,指示符管理系统通过与上下文系统(例如,图1的上下文系统114)的通信确定IP地址是否先前已经在网络上被看到,在410,指示符管理系统从上下文系统接收是响应或否响应(例如,真响应或假响应)。在412,如果上下文系统向指示符管理系统发送否响应,则IP地址被添加到阻止列表(例如,用于服务网关和防火墙的图1的阻止列表182,包括外围入侵检测系统(IDS)、防火墙和DMZ外围420),以防止未来与IP地址的敌对基础设施进行通信。
图5是示出用于基于自动入侵警报列入黑名单的方法500的流程图。在一些实施方式中,图5中所示的方法由诸如图1中的设备100的设备执行。方法500包括:在502,使用通信接口接收网络威胁报告,该网络威胁报告指示检测到的对网络的威胁;在504,使用处理器确定与检测到的对网络的威胁有关的互联网协议(IP)地址;在506,访问上下文信息的数据库以确定与该网络通信有关的IP地址的历史上下文信息;在508,将历史上下文信息与一个或多个阻止阈值进行比较;并且在510、512,如果该IP地址的历史上下文信息超过一个或多个阻止阈值,则将IP地址输出到指示符管理系统。指示符管理系统维持该网络外围系统的阻止列表,并且在512,如果IP地址输出到指示符管理系统,则在514,将IP地址添加到阻止列表。此后,该过程完成。图5中所示的操作是由设备执行的,但是本公开的多个方面考虑了由其他实体执行该操作。在一些实施方式中,云服务执行一个或多个操作。此外,这些步骤由本文所述的一个或多个实施方式执行。
图6是示出用于使用与检测到的威胁有关的IDS警报的基于自动入侵警报列入黑名单的方法600的流程图,其中检测到的威胁包括作为触发的高置信度签名。在一些实施方式中,图6中所示的方法由诸如图1中的设备100的设备执行。操作602类似于图5中描绘的方法500的操作502,因此将不再重复描述。在604,处理器进一步被配置为将与检测到的威胁有关的入侵检测系统(IDS)警报用作触发,其中检测到的威胁包括作为威胁的高置信度签名。在一些实施方式中,高置信度签名以零概率、低概率或非常低概率的假阳性识别中的至少一个识别威胁。在一些其他实施方式中,从至少一个源检索高置信度签名。在一些这样的实施方式中,至少一个源位于设备或网络中的至少一个上。在其他这样的实施方式中,至少一个源是受信任的第三方。操作606、操作608、操作610、操作612、操作614和操作616类似于图5中描绘的方法500的操作504、操作506、操作508、操作510、操作512和操作514,因此将不再重复描述。此后,该过程完成。虽然图6中所示的操作由设备(例如,图1的设备100)执行,但是本公开的多个方面考虑了由其他实体执行该操作。在一些实施方式中,云服务执行一个或多个操作。
图7是示出用于基于自动入侵警报列入黑名单的方法700的流程图,该方法进一步包括使用上下文系统以确定与网络通信有关的IP地址的历史上下文信息。在一些实施方式中,图7中所示的方法由诸如图1中的设备100的设备执行。操作702和操作704类似于图5中描绘的方法500的操作502和操作504,因此将不再重复描述。在706,历史上下文信息被存储在上下文系统内的上下文信息的数据库中,上下文信息的数据库是包含网络上检测到的所有IP地址的历史信息的摘要数据库。
在一些实施方式中,历史上下文信息包括每个IP地址的第一已见日期、最后已见日期、内部点击计数以及应用层数据。在一些这样的实施方式中,历史上下文信息包括用于每个IP地址的先前的TCP/IP连接建立指示符。每个IP地址的先前TCP/IP连接建立指示符指示设备先前是否已经与每个IP地址建立了TCP/IP连接。如果设备先前已经与每个IP地址建立了TCP/IP连接,则每个IP地址的先前TCP/IP连接建立指示符指示每个IP地址都是有效的并且未被伪造。在一些实施方式中,历史上下文信息包括应用层数据。应用层数据包括但不限于记录的交易数据,该记录的交易数据包括关于与IP地址在历史上相关联的特定识别的应用类型或通信协议的信息。因此,在包括应用层数据的实施方式中,应用数据包括但不限于关于电子邮件历史、代理连接历史、网页服务器连接历史或与IP地址相关联的任何其他记录的交易数据的记录的交易数据中的至少一个。
操作708、操作710、操作712和操作714类似于图5中描绘的方法500的操作508、操作510、操作512和操作514,因此将不再重复描述。此后,该过程完成。虽然图7所示的操作是由(诸如图1的设备100)的设备执行,但是本公开的多个方面考虑了由其他实体执行该操作。在一些实施方式中,云服务执行一个或多个操作。
在设备100和方法500、方法600和方法700的一些替代实施方式中,如在图4的说明和本文的实施方式400中详细讨论的,在入侵尝试(例如,图4的入侵尝试402)期间,紧接在确定IP地址之后并且在访问上下文信息数据库之前,攻击者的IP地址(例如,图1的IP地址152)被添加到指示符管理系统(例如,图1的指示符管理系统180)。与本文讨论的设备100和方法500、方法600和方法700的性能相比,这样的替代实施方式使得能够在指示符管理系统中记录每次入侵尝试。这包括与IP地址相关联的入侵尝试,其历史上下文信息未超过阻止阈值,并且其因此未被添加到阻止列表。
在设备100的这样的替代实施方式中,处理器102被配置为采取动作,包括:确定与检测到的对网络110的威胁150有关的互联网协议(IP)地址152;将IP地址152输出到指示符管理系统180;访问上下文信息数据库104以确定与网络110的通信有关的IP地址152的历史上下文信息120;将历史上下文信息120与一个或多个阻止阈值108进行比较;并且如果IP地址152的历史上下文信息120超过一个或多个阻止阈值108,则将IP地址152添加到由指示符管理系统180维持的网络110的外围系统190的阻止列表182。
方法500的这种替代实施方式(未示出)包括按以下顺序发生的操作:操作502、操作504、操作512、操作506、操作508、操作510和操作514。方法600的这种替代实施方式(未示出)包括按以下顺序发生的操作:操作602、操作604、操作606、操作614、操作608、操作610、操作612和操作616。方法700的这种替代实施方式(未示出)包括按以下顺序发生的操作:操作702、操作704、操作712、操作706、操作708、操作710和操作714。方法500、方法600和方法700的这种替代实施方式否则以如本文先前所公开的那样操作。
附加示例
本公开针对基于自动入侵警报列入黑名单。基于自动入侵警报列入黑名单的一些实施方式包括但不限于使用通信接口接收网络威胁报告,该网络威胁报告指示检测到的对网络的威胁;使用处理器确定与检测到的对网络的威胁有关的互联网协议(IP)地址;访问上下文信息的数据库以确定与网络通信有关的IP地址的历史上下文信息;将历史上下文信息与一个或多个阻止阈值进行比较;并且,如果该IP地址的历史上下文信息超过一个或多个阻止阈值,则将该IP地址输出到指示符管理系统。指示符管理系统维持网络的外围系统的阻止列表,并且将IP地址添加到阻止列表。
在一些实施方式中,图中各个元件的功能的至少一部分由图中其他元件和/或图中未示出的实体(例如,计算机)执行。
在一些实施方式中,图5、图6和图7中示出的操作由单个人、一组人、用于基于自动入侵警报列入黑名单的完全或部分自动化设备或前述的任意组合执行。作为说明,在某些实施方式中,基于自动入侵警报列入黑名单的设备、指示符管理系统和外围系统分别由不同的供应商提供给完全独立的组装商,该组装商将用于基于自动入侵警报列入黑名单的设备、指示符管理系统和外围系统耦接在一起。
如本文所使用的,“基础设施”或“网络基础设施”包括但不限于整个网络的硬件和软件资源,从而实现网络连接、通信、操作和管理。该基础设施提供了用户、进程、应用程序、服务和外部网络之间的通信路径和服务。在一些实施方式中,内部专用网络和公共网络(例如,公共互联网)具有独立但可通信连接的基础设施。当本文的公开提及“敌对基础设施”时,这种敌对基础设施应理解为是指在所公开的用于基于自动入侵检测警报列入黑名单的系统和方法的保护下通信地连接到网络的任何基础设施。
如本文中所使用的,互联网协议(IP)地址(例如,图1中的IP地址152)是分配给使用该互联网协议连接到网络以便于通信的每个设备的数字标签。在本公开的上下文中,IP地址可以容易地替换为能够支持本公开的全部功能的任何替代网络寻址协议(例如,媒体访问控制(MAC)地址等)。TCP与互联网协议结合工作,以在通过IP地址映射的网络进行通信的设备上运行的应用程序之间提供可靠、有序和错误校验的octet(因特网标准使用八位组)流(例如,数据字节)的传输。
UDP利用了极简的无连接通信模型。UDP使用校验和以确保数据完整性,并且使用端口编号以寻址数据报的源和目标处的不同功能。UDP缺少握手,将流量暴露给基础网络的任何网络不可靠性;无法保证交付或订购;并且不能提供重复保护。
要注意的是,在公共互联网上正在进行互联网协议版本4(IPv4)和互联网协议版本6(IPv6)之间的转换。IPv4为公共互联网上的设备提供了多达4,294,967,296个IP地址。IPv6在公共互联网上提供至少3.4 x 1038个IP地址。无论公共互联网使用的是IPv4、IPv6还是其某种组合,可用的IP地址都是如此之多,以至于主要依赖于IDS签名或类似的威胁指示符以识别和响应攻击比尝试建立主要依赖于将IP地址列入白名单或列入黑名单的网络安全模型更高效和更可行。但是,如本文其他地方所讨论的,使用TCP/IP硬件握手身份验证记录作为安全性的第二层提供了有意义的好处。
在一些实施方式中,高置信度签名至少部分地包括与用于对网络的入侵进行建模的信息安全的杀链模型(kill chain model)(例如,洛克希德·马丁公司的CYBER KILL
在一些实施方式中,检测到的威胁(例如,图1的检测到的威胁150)或高置信度签名(例如,图1的高置信度签名154)包括至少一个妥协指示符(IOC)。至少一个IOC包括指示网络威胁(例如,计算机入侵)的伪像(即,可观察的特征)。在一些这样的实施方式中,至少一个IOC包括但不限于IP地址、病毒签名、电子邮件地址、电子邮件主题、域名、统一资源标识符(URI)、统一资源定位符(URL)、文件名、消息摘要算法5(MD5)散列、任何其他类型的散列、文件路径或其组合。在一些这样的实施方式中,阻止阈值(例如,图1的阻止阈值108)的严格度可配置为根据至少一个检测到的IOC而变化。在其他这样的实施方式中,IOC是杀链中特定阶段的指示符。
在一些实施方式中,本公开在检测到高置信度签名时(例如,经由IDS警报)基于上下文确定是否阻止原始IP地址。具体地,通过确定每单位时间的原始IP地址的点击次数提供上下文。在这样的实施方式中,如果每单位时间的点击次数超过了适用的阻止阈值,除非上下文信息将IP地址与先前或同时发生的常规业务操作相关联,否则该IP地址被阻止。
如本文所公开的,阻止阈值可配置为满足任何特定环境或应用的需要或要求。在利用阻止阈值的本公开的所有实施方式中,在没有禁止这种阻止或列入黑名单的例外的情况下,阻止阈值确定来自特定原始IP地址的流量是否应被阻止或列入黑名单。在一些实施方式中,这样的例外包括与原始IP地址关联的网络上最小数量的常规业务操作流量的历史。在一些实施方式中,这种最小量的常规业务操作流量的历史包括任何非零数量的常规业务操作流量。
本公开的实施方式可用于任何环境中或使用容易由敌对基础设施访问的网络的任何应用中。这样的网络包括但不限于在所有类型的航空航天应用中使用的通信网络;地面应用;物理设备服务或维持应用;或其任何组合。
作为示例,基于自动入侵检测警报列入黑名单的实施方式接收与表1中的活动相关联的以下IDS警报:
“alert tcp$EXTERNAL_NET any->$HOME_NET$HTTP_PORTS(msg:"MALWARE-CNCWin.Backdoor.Chopper web shell connection";flow:to_server,established;
content:"=@eval(get_magic_quotes_gpc()?stripslashes($_POST[";fast_pattern:only;http_client_body;metadata:impact_flag red,policy balanced-ipsdrop,policy security-ips drop,ruleset community,service http;reference:url,www.fireeye.com/blog/threat-research/2013/08/breaking-down-the-chin a-chopper-web-shell-part-ii.html;classtype:trojan-activity;sid:42836;rev:2;gid:1;)”
表1
在上面的示例中,根据IDS警报和表1,源IP地址试图将China Chopper web-shell加载到网络的外围系统中。China Chopper web-shell的IDS是高保真签名,其查找非常具体的条件,并且出于此假设的目的,具有已证明的没有返回假阳性标识的历史。传统的当代入侵检测系统在遇到这些尝试的入侵后将仅阻止匹配此精确IDS(例如,IDS警报的精确字符序列和条件)的攻击。持久的或复杂的攻击者仅通过更改攻击类型同时仍使用相同的源IP地址(例如,钓鱼电子邮件或命令和控制操作,而不是试图将恶意代码注入网站中)便能够阻止这种受限的传统当代方法。如本文所述的本公开通过识别与恶意攻击相关联的IP地址将整个敌对基础设施列入黑名单,从而克服了传统当代方法的这种限制。
另一示例涉及一种场景,在该场景中,从最近一次连接尝试之前的7天首次遇到原始IP地址。总共发生34次连接尝试。关联的IDS警报中高置信度签名的存在验证了原始IP地址处的基础设施已经尝试攻击。本文公开的一种实施方式将IP地址输出到指示符管理系统,该实施方式已经以高保真签名的形式验证了通过IDS警报的尝试攻击,并且还验证了满足适用的阻止阈值(例如,阻止IP地址将增加网络安全性,同时不影响基于历史上下文的常规业务操作)。
在另一假设情况下,信誉良好的大型在线服务提供商(例如Google)拥有的IP地址触发IDS警报,表明通过高置信度签名验证了攻击。本文的公开内容检测到通过尝试的攻击满足阻止阈值。但是,与IP地址关联的历史上下文表明,过去两年中有50亿个源自IP地址的常规业务操作连接的历史。在这种假设的情况下,本公开的实施方式不将IP地址输出到指示符管理系统,因为这样做将不允许地影响常规业务操作。
尽管已经根据各种实施方式及其相关联的操作描述了本公开的各方面,但是本领域技术人员将理解,来自许多不同实施方式的操作的组合也在本公开的各方面的范围内。
虽然本公开的各方面没有追踪个人可识别信息,但是已经参考从用户监视和/或收集的数据描述了实施方式。在一些实施方式中,向用户提供数据收集的通知(例如,经由对话框或偏好设置),并且给予用户机会以给予或拒绝同意监视和/或收集。同意有时采取选择加入同意或选择退出同意的形式。
示例性操作环境
本公开可以在多种环境中用于多种应用。仅出于说明性目的,并且无意限制本公开的实施操作的可能操作环境,给出以下示例操作环境。
本公开可以与根据图8中的功能框图800的实施方式的计算装置一起操作。在这样的实施方式中,根据本说明书中描述的一个或多个实施方式,计算装置818的部件可以被实施为电子设备的一部分。计算装置818包括一个或多个处理器819,其可以是微处理器、控制器或用于处理计算机可执行指令以控制电子设备的操作的任何其他合适类型的处理器。可以在装置818上提供包括操作系统820的平台软件或任何其他合适的平台软件,以使应用软件821能够在设备上执行。根据实施方式,本文所述的基于自动入侵检测警报列入黑名单可以通过软件实现。
可以使用计算装置818可访问的任何计算机可读介质来提供计算机可执行指令。计算机可读介质可以包括但不限于诸如存储器822和通信介质的计算机存储介质。诸如存储器822的计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块等的信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括但不限于RAM、ROM、EPROM、EEPROM、闪存或其他存储技术、CD-ROM、数字多功能磁盘(DVD)或其他光学存储器、盒式磁带、磁带、磁盘存储器或其他磁性存储设备,或可用于存储信息以供计算设备访问的任何其他非传输介质。相反,通信介质可以在诸如载波的调制的数据信号或其他传输机制中实现计算机可读指令、数据结构、程序模块等。如本文所定义的,计算机存储介质不包括通信介质。因此,计算机存储介质本身不应被解释为传播信号。经传播的信号本身不是计算机存储介质的示例。尽管计算机存储介质(存储器822)被示出在计算装置818内,但是本领域技术人员将理解,该存储器可以被远程地分布或定位并且可以经由网络或其他通信链路(例如,使用通信接口823)访问。
计算装置818可以包括输入/输出控制器824,其被配置为将信息输出到一个或多个输出设备825,在一些实施方式中,输出设备是显示器或扬声器,其可以与电子设备分离或集成到电子设备。输入/输出控制器824还可以被配置为从一个或多个输入设备826(在一些实施方式中为键盘、麦克风或触摸板)接收和处理输入。在一个实施方式中,输出设备825还可以充当输入设备。触敏显示器就是这样一种设备。输入/输出控制器824还可以将数据输出到除输出设备以外的设备,例如本地连接的打印设备。在一些实施方式中,用户可以将输入提供到(一个或多个)输入设备826和/或从(一个或多个)输出设备825接收输出。
本文描述的功能至少部分地由一个或多个硬件逻辑部件执行。根据一个实施方式,计算装置818在由处理器819执行时通过程序代码配置为执行所描述的操作和功能的实施方式。可替代地或另外地,本文描述的功能至少部分地由一个或多个硬件逻辑部件执行。在没有限制的情况下,可用的说明性类型的硬件逻辑部件包括现场可编程门阵列(FPGA)、专用集成电路(ASIC)、特定程序标准产品(ASSP)、片上系统(SOC)、复杂的可编程逻辑器件(CPLD)、图形处理单元(GPU)。
因此,各种实施方式包括用于使用通信接口接收网络威胁报告的系统和方法,该网络威胁报告指示检测到的对网络的威胁;使用处理器确定与检测到的网络威胁有关的IP地址;访问上下文信息的数据库以确定与网络通信有关的IP地址的历史上下文信息;将历史上下文信息与一个或多个阻止阈值进行比较;并且如果该IP地址的历史上下文信息超过一个或多个阻止阈值,则将该IP地址输出到指示符管理系统。指示符管理系统维持网络的外围系统的阻止列表,并且将IP地址添加到阻止列表。
如本文所述,本公开提供了用于基于自动入侵警报列入黑名单的系统和方法。本文的系统和方法在适合于在多个网络环境中使用的基于自动入侵警报列入黑名单内有效且高效地构造和部署,该多个网络环境包括但不限于以上示例操作环境。
尽管各种空间和方向术语,例如顶部、底部、下部、中部、侧向、水平、垂直、前面等可以用来描述本公开,但是应当理解,这些术语仅是相对于附图中所示的取向使用。取向可以被反转、旋转或以其他方式改变,使得上部是下部,并且反之亦然,水平变为垂直,等等。
如本文所使用的,被“配置为”执行任务或操作的结构、限制或元件特别地以与任务或操作相应的方式在结构上被形成、构造或适配。为了清楚和避免疑问,仅能够被修改以执行任务或操作的对象未被“配置为”执行本文所使用的任务或操作。
对本领域技术人员显而易见的是,本文给出的任何范围或值都是可扩展或可改变的,而不会失去所寻求的效果。本文给出的任何时间段或时间范围可以覆盖其他时间段或时间范围。
尽管已经用专用于结构特征和/或方法动作的语言描述了主题,但是应该理解,所附权利要求书中定义的主题不必限于上述特定特征或动作。而是,上述特定特征和动作被公开为实施权利要求的示例形式。
应当理解,上述益处和优点可以涉及一种实施方式或可以涉及若干实施方式。这些实施方式不限于解决本文背景技术中讨论的每个问题的实施方式或者具有任何或所有所述益处和优点的实施方式。
本文中图示和描述的实施方式以及本文中未具体描述但是在权利要求的多个方面的范围内的实施方式构成用于基于自动入侵警报列入黑名单的示例装置。
除非另有说明,否则在本文中图示和描述的本公开的实施方式中,执行或实施操作的顺序不是必需的。也就是说,除非另有说明,否则可以按任何顺序执行操作,并且本公开的示例可以包括比本文公开的操作更多或更少的操作。作为说明,预期在另一操作之前、同时或之后执行或实施特定操作在本公开的多个方面的范围内。
当介绍本公开的各方面或其实施方式的要素时,冠词“一”、“一个”、“该”和“所述”旨在表示存在一个或多个要素。术语“包括”、“包含”和“具有”旨在是包括性的,并且意味着除所列要素之外可能还有其他要素。术语“示例性”旨在表示“……的示例”。短语“以下中的一个或多个:A、B和C”意味着“至少一个A和/或至少一个B和/或至少一个C”。
已经详细描述了本公开的各方面,显然的是,在不脱离所附权利要求书所限定的本公开的各方面的范围的情况下,可以进行修改和变化。由于可以在不脱离本公开的多个方面的范围的情况下对以上构造、产品和方法进行各种改变,因此以上描述中所包含的以及附图中示出的所有内容应被解释为说明性的,而非限制性的。
应当理解,以上说明意图是说明性的,而非限制性的。作为说明,上述实施方式(和/或其方面)可以彼此组合使用。另外,在不脱离其范围的情况下,许多修改是可行的,以使特定情况或材料适应本公开的各种实施方式的教导。尽管本文描述的材料的尺寸和类型旨在定义本公开的各种实施方式的参数,但是这些实施方式绝不是限制性的,而是示例性的实施方式。在回顾以上描述之后,许多其他实施方式对于本领域普通技术人员将是显而易见的。因此,应当参考所附权利要求以及这些权利要求所享有的等价物的全部范围以确定本公开的各种实施方式的范围。在所附权利要求中,术语“包括”和“其中”被用作相应术语“包括”和“其中”的普通英语等效词。此外,术语“第一”、“第二”和“第三”等仅用作标签,并不旨在对其对象施加数字要求。此外,以下权利要求的限制不是以装置加功能的格式写的,也不意图基于35U.S.C§112(f)进行解释,除非且直至此类权利要求限定明确使用了“用于……的装置”一词,然后是功能声明,不再是进一步的结构。
该书面说明使用示例来公开本公开的各种实施方式,包括最佳模式,并且还使本领域的任何普通技术人员能够实践本公开的各种实施方式,包括制造和使用任何设备或系统以及执行任何合并的方法。本公开的各种实施方式的可授予专利的范围由权利要求书限定,并且包括本领域普通技术人员想到的其他示例。如果这些示例具有与权利要求的字面语言没有不同的结构元素,或者如果这些示例包括与权利要求的字面语言没有实质性差异的等效结构元素,则此类其他示例意图在权利要求的范围内。
条款
以下条款描述了更多方面:
条款集A:
A1.一种用于基于自动入侵警报列入黑名单的设备,其包括:
通信接口,其被配置为接收指示检测到的对网络的威胁的网络威胁报告;和
处理器,其被配置为:
确定与所述检测到的对网络的威胁有关的互联网协议(IP)地址;
访问上下文信息的数据库以确定与网络通信有关的所述IP地址的历史上下文信息;
将所述历史上下文信息与一个或多个阻止阈值进行比较;并且
如果所述IP地址的所述历史上下文信息超过所述一个或多个阻止阈值,则将所述IP地址输出到指示符管理系统;
从而所述指示符管理系统维持所述网络的外围系统的阻止列表,并且将所述IP地址添加到所述阻止列表。
A2.根据前述条款中任一项所述的设备,其中所述处理器进一步被配置为将与所述检测到的威胁有关的入侵检测系统(IDS)警报用作触发,其中所述检测到的威胁包括作为威胁的高置信度签名。
A3.根据前述条款中任一项所述的设备,其中所述高置信度签名以零概率、低概率或非常低概率的假阳性识别中的至少一个识别所述威胁。
A4.根据前述条款中任一项所述的设备,其中所述高置信度签名是从至少一个源中检索到的。
A5.根据前述条款中任一项所述的设备,其中所述至少一个源位于所述设备或所述网络中的至少一个上。
A6.根据前述条款中任一项所述的设备,其中所述至少一个源是受信任的第三方。
A7.根据前述条款中任一项所述的设备,其中所述历史上下文信息被存储在上下文系统内的所述上下文信息的数据库中,所述上下文信息的数据库是摘要数据库,其包含针对在所述网络上检测到的所有IP地址的历史信息。
A8.根据前述条款中任一项所述的设备,其中所述历史上下文信息包括每个IP地址的第一已见日期、最后已见日期、内部点击计数以及应用层数据。
A9.根据前述条款中的任一项所述的设备,其中所述历史上下文信息包括针对每个所述IP地址的先前的TCP/IP连接建立指示符;
使得每个所述IP地址的所述先前的TCP/IP连接建立指示符指示所述设备先前是否已经与每个IP地址建立了TCP/IP连接;
从而先前已经与每个所述IP地址建立了TCP/IP连接的所述设备指示每个所述IP地址都是有效的并且未被伪造。
条款集B:
B1.一种用于基于自动入侵警报列入黑名单的方法,其包括:
使用通信接口接收指示检测到的对网络的威胁的网络威胁报告;
使用处理器确定与所述检测到的对网络的威胁有关的互联网协议(IP)地址;
访问上下文信息的数据库以确定与所述网络通信有关的所述IP地址的历史上下文信息;
将所述历史上下文信息与一个或多个阻止阈值进行比较;并且
如果所述IP地址的所述历史上下文信息超过所述一个或多个阻止阈值,则将所述IP地址输出到指示符管理系统;
从而所述指示符管理系统维持所述网络的外围系统的阻止列表并且将所述IP地址添加到所述阻止列表。
B2.根据前述条款中任一项所述的方法,其中所述处理器进一步被配置为将与所述检测到的威胁有关的入侵检测系统(IDS)警报用作触发,其中所述检测到的威胁包括作为威胁的高置信度签名。
B3.根据前述条款中任一项所述的方法,其中所述高置信度签名以零概率、低概率或非常低概率的假阳性识别中的至少一个识别所述威胁。
B4.根据前述条款中任一项所述的方法,其中所述高置信度签名是从至少一个源中检索到的。
B5.根据前述条款中任一项所述的方法,其中所述至少一个源位于所述设备或所述网络中的至少一个上。
B6.根据前述条款中任一项所述的方法,其中所述至少一个源是受信任的第三方。
B7.根据前述条款中任一项所述的方法,其中所述历史上下文信息被存储在上下文系统内的所述上下文信息的数据库中,所述上下文信息的数据库是摘要数据库,其包含针对在所述网络上检测到的所有IP地址的历史信息。
B8.根据前述条款中任一项所述的方法,其中所述历史上下文信息包括每个IP地址的第一已见日期、最后已见日期、内部点击计数以及应用层数据。
B9.根据前述条款中的任一项所述的方法,其中所述历史上下文信息包括针对每个所述IP地址的先前的TCP/IP连接建立指示符;
使得每个所述IP地址的所述先前的TCP/IP连接建立指示符指示所述设备先前是否已经与每个IP地址建立了TCP/IP连接;
从而先前已经与每个所述IP地址建立了TCP/IP连接的所述设备指示每个所述IP地址都是有效的并且未被伪造。
条款集C:
C1.一种或多种非暂时性计算机可读介质,其上存储有用于基于自动入侵警报列入黑名单的计算机可执行指令,这些指令在由计算机执行时使所述计算机执行以下操作,所述操作包括:
使用通信接口接收指示检测到的对网络的威胁的网络威胁报告;
使用处理器确定与所述检测到的对网络的威胁有关的互联网协议(IP)地址;
访问上下文信息的数据库以确定与所述网络通信有关的所述IP地址的历史上下文信息;
将所述历史上下文信息与一个或多个阻止阈值进行比较;并且
如果所述IP地址的所述历史上下文信息超过所述一个或多个阻止阈值,则将所述IP地址输出到指示符管理系统;
从而所述指示符管理系统维持所述网络的外围系统的阻止列表并且将所述IP地址添加到所述阻止列表。
C2.根据任一前述条款所述的一种或多种非暂时性计算机可读介质,其中处理器进一步被配置为将与所述检测到的威胁有关的入侵检测系统(IDS)警报用作触发,其中所述检测到的威胁包括作为威胁的高置信度签名。
