[发明专利]一种用于执行威胁检测的方法及计算机可读介质

说明书

由下游客户端操作的安全监测系统连续地采集事件信息，该事件信息指示在下游客户端的计算环境内已经发生的事件。监测系统使用由威胁分析系统所提供的软件来将事件信息聚合到安全且空间有效的数据结构中。监测系统将存储聚合事件信息的数据结构传输到威胁分析系统以用于进一步处理。威胁分析系统还从智能馈送数据源接收威胁指示符。威胁分析系统将从每个安全监测系统接收到的事件信息与从智能馈送数据源采集的威胁指示符相比较，以标识红旗事件。威胁分析系统处理事件信息以合成与红旗事件有关的所有信息并，且将红旗事件报告给下游客户端。

相关申请的交叉引用

本申请要求于2015年1月30日提交的美国临时申请序列号第 62/109,862号和于2016年1月26日提交的美国申请第15/007,131号的权利和优先权，其整体内容通过引用并入本文。

技术领域

本公开总体上涉及网络威胁检测的领域。

背景技术

网络威胁检测是在线系统的安全基础设施的组成部分。典型的威胁检测系统的关键部分是威胁智能馈送(feed)-指示与可疑行为相关联的实体的馈送。来自威胁智能馈送的信息然后与从在线系统所采集的事件信息相比较，以确定事件中的任一个事件是否可以与网络威胁相关联。在一些情况下，威胁智能馈送可以包括引起对不正确地被标记为网络威胁的事件的信息。由于起源于不正确信息的假肯定或假否定，因而这对在线系统的操作者造成不必要的调查负担。

附图说明

所公开的实施例具有从详细描述、所附的权利要求和附图(或图) 将更容易明显的优点和特征。下文是附图的简单介绍。

图1图示了被配置用于威胁检测的计算环境。

图2图示了图1中的威胁检测引擎的详细示图。

图3图示了用于存储从安全监测系统接收到的聚合事件数据的布隆过滤器的层次结构。

图4图示了由针对给定安全监测系统的威胁报告模块生成的示例性威胁报告接口。

图5图示了由威胁检测引擎生成的示例性取证接口。

图6图示了由威胁检测引擎生成的示例性存储接口。

图7图示了用于基于从安全监测系统接收到的聚合事件数据来检测威胁的示例流程图。

图8是图示被配置为从机器可读介质读取指令并且执行处理器 (或控制器)中的指令的示例机器的组件的块图。

具体实施方式

附图(图)和以下描述仅以图示的方式涉及优选的实施例。应当注意，根据以下讨论，本文所公开的结构和方法的备选实施例将容易地识别为在不脱离权利要求书的原理的情况下可以采用的可行的备选方案。

现在将对其示例在附图中被图示的若干实施例进行详细参考。应当注意，无论何处可行的类似或者相同的参考数字可以使用在附图中并且可以指示类似或相同的功能。仅出于图示的目的，附图描绘了所公开的系统(或方法)的实施例。本领域的技术人员将容易地从以下描述识别：在不脱离本文所描述的原理的情况下，可以采用本文所图示的结构和方法的备选实施例。

配置概述