[发明专利]收集攻陷指示器用于安全威胁检测

权利要求书

1.一种用于收集和检测攻陷指示器的方法，所述方法包括：

由安全威胁情报系统的攻陷指示器计算机从多个安全数据提供者接收攻陷指示器，每个攻陷指示器包括指定一个或多个计算机安全威胁的一个或多个特性的数据，每个攻陷指示器被配置为在由计算机处理时使所述计算机检测所述一个或多个计算机安全威胁的指定的一个或多个特性的存在；

由安全威胁情报系统的遥测数据组件并且从多个用户中的每个用户接收用户的计算系统的遥测数据，所述遥测数据包括描述在所述计算系统处检测的至少一个事件的数据；

由安全威胁情报系统的威胁检测组件为给定用户确定所述给定用户的遥测数据包括由给定攻陷指示器指定的一个或多个特性；

由安全威胁情报系统的攻陷指示器组件并且为每个攻陷指示器确定性能分数，所述性能分数至少部分地基于在用户的遥测数据中已经检测到由所述攻陷指示器指定的所述一个或多个特性的次数；以及

向给定安全数据提供者提供基于由所述给定安全数据提供者提供的每个攻陷指示器的性能分数的奖励金额。

2.根据权利要求1所述的方法，还包括：

识别由所述给定攻陷指示器指示的安全威胁的类型；以及

基于由所述给定攻陷指示器指示的安全威胁的类型从一组动作中选择要执行的动作。

3.根据权利要求1所述的方法，还包括：

基于至少一个攻陷指示器的性能分数从对于其监视用户的遥测数据的一组攻陷指示器中移除至少一个攻陷指示器。

4.根据权利要求1所述的方法，其中，每个攻陷指示器的性能分数基于(i)在用户的遥测数据中由攻陷指示器指定的一个或多个特性的真检测的数量和(ii)在用户的遥测数据中由攻陷指示器指定的一个或多个特性的假检测的数量之间的差。

5.根据权利要求1所述的方法，还包括更新至少一个用户的计算系统以提供与由接收的攻陷指示器指定的给定特性有关的数据。

6.根据权利要求1所述的方法，其中，至少一个攻陷指示器包括用于评估用户的遥测数据的一组规则。

7.根据权利要求1所述的方法，其中，由特定攻陷指示器指定的一个或多个安全威胁包括全部都属于同一类别的安全威胁的多个安全威胁。

8.根据权利要求1所述的方法，其中，由特定攻陷指示器指定的一个或多个安全威胁包括作为彼此的变体的多个安全威胁。

9.根据权利要求2所述的方法，其中，所述一组动作包括以下各项中的一个或多个：(i)从所述给定用户的计算系统中移除由所述给定攻陷指示器指示的安全威胁、(ii)启动对用户的计算系统的取证调查以及(iii)生成向用户通知由所述给定攻陷指示器指示的安全威胁的警报。

10.根据权利要求3所述的方法，其中，向给定安全数据提供者提供基于由所述给定安全数据提供者提供的每个攻陷指示器的性能分数的奖励金额包括补偿所述给定安全数据提供者所述奖励金额。

11.根据权利要求3所述的方法，还包括：

基于每个攻陷指示器的成本和由用户指定的预算，为给定用户识别所述一组攻陷指示器的适当子组；以及

仅针对由攻陷指示器的所述适当子组指定的一个或多个特性来监视给定用户的遥测数据。

12.根据权利要求3所述的方法，还包括：

为给定用户识别所述给定用户已订阅的一组攻陷指示器的适当子组；以及

仅针对由攻陷指示器的所述适当子组指定的一个或多个特性来监视给定用户的遥测数据。

13.根据权利要求10所述的方法，其中，所述奖励金额基于以下各项中的至少一个：所述攻陷指示器的相关性或用于识别在用户的遥测数据中由攻陷指示器指定的一个或多个特性的数据处理搜索成本。