[发明专利]威胁检测的企业图形方法

说明书

提供了用于分析企业内的安全警报的系统和方法。企业图形基于诸如关于企业的操作智能的信息而被生成。企业图形标识企业的实体之间的关系，并且多个安全警报由企业的多个安全组件产生。基于企业图形中所标识的关系的强度，标识多个安全警报中的两个或更多个安全警报之间的一个或多个重要关系。重要关系被用来标识安全警报中的两个或更多个安全警报之间的潜在安全事故。

背景技术

云计算和存储方案给企业提供存储和处理数据的各种能力。然而，存在与云计算和企业网络相关联的安全问题。必须适当地配置、管理和保证基础设施，并且还必须保护数据和应用。高效的安全架构应当识别并且解决出现的问题，但是情况不总是那样。虽然每天检测到的安全攻击的数目已经随着安全信息和事件管理(SIEM)软件工具和服务的使用而增加，但是任何一个攻击的重要性不容易被辨别。攻击的泛滥独自地常常阻止IT职业确定哪些攻击是最重要的。而且，经由SIEM出于安全目的记录的安全日志、警报和其他虚拟机(VM)和网络数据常常失去其关于哪些机器或电器产生他们的功能上下文，其进一步模糊攻击中的许多攻击的重要性。

发明内容

提供本发明内容以引入以在下面的详细描述章节中被进一步描述的简化形式的概念的选择。本发明内容不旨在标识所要求保护的主题内容的关键特征或基本特征，其也不旨在辅助确定所要求保护的主题内容的范围。

根据本文所公开的一个方面，呈现了一种用于分析安全警报的方法。本文所公开的方法包括基于与企业相关联的信息生成企业图形。企业图形被用来标识企业的计算机之间的关系。在接收到由企业的安全组件产生的多个安全警报时，基于企业图形中所标识的关系的强度，标识安全警报中的两个或更多个安全警报之间的至少一个重要关系。方法然后包括基于多个安全警报中的两个或更多个安全警报之间的至少一个重要关系，标识至少一个潜在安全事故。方法还可以包括检查与至少一个潜在安全事故相关联的安全警报以标识攻击的至少一个已知部分。

根据本文所公开的另一方面，呈现了一种用于分析安全警报的系统。本文所公开的系统包括用于基于与企业相关联的信息生成企业图形的企业图形服务，该信息用于标识企业的计算机之间的关系。多个安全组件生成关于企业的多个安全警报，并且然后融合服务标识安全警报之间的重要关系，其中每个重要关系被标识在企业图形中并且符合至少两个或更多个安全警报。系统还包括用于基于安全警报中的两个或更多个安全警报之间的重要关系标识潜在安全事故的杀伤链解译器。系统还可以包括优先化符合杀伤链解译器所标识的潜在安全事故的安全警报的列表，以及以下推荐：潜在安全事故中的一个或多个安全事故的安全警报被给予高于不与任何其他所标识的潜在安全事故相关联的其他安全警报的优先级。

根据本文所公开的又一方面，呈现了一种包括用于分析安全警报的指令的计算机可读存储介质。由处理器执行的指令包括：基于与企业相关联的信息来生成企业图像；利用企业图形标识企业的计算机之间的关系；以及接收由企业的多个安全组件产生的多个安全警报。指令还包括：基于企业图形中所标识的关系的强度，标识安全警报中的两个或更多个安全警报之间的至少一个重要关系；以及基于安全警报中的两个或更多个安全警报之间的至少一个重要关系，标识包含企业的两个或更多个实体的潜在安全事故，其中潜在安全事故符合恶意可执行代码的已知片段的至少一部分。指令然后还包括指示潜在安全事故的多个安全警报具有高于不与所标识的潜在安全事故相关联的其他安全警报的优先级，以及推断潜在安全事故是实际攻击。

示例被实现为计算机过程、计算系统或用于一个或多个计算机的计算机程序产品。根据方面，计算机程序产品是具有包括用于执行计算机过程的指令的计算机程序的计算机系统的服务器。

在以下附图和描述中阐述一个或多个方面的细节。其他特征和优点从以下详细描述的阅读和相关联的附图的回顾将是明显的。将理解到，以下详细描述仅是解释性的并且不是对权利要求的限制。

附图说明

并入在本公开中并且构成其一部分的附图图示了各方面。在附图中：

图1图示了具有各方面中被利用的企业网络的示例环境；