[发明专利]收集攻陷指示器用于安全威胁检测

说明书

本说明书的主题总体涉及计算机安全。在一些实施方式中，一种方法包括从多个安全数据提供者接收攻陷指示器。每个攻陷指示器可以包括指定一个或多个计算机安全威胁的一个或多个特性的数据。每个攻陷指示器可以被配置为在由计算机处理时使计算机检测一个或多个计算机安全威胁的指定的一个或多个特性的存在。可以接收用户的计算系统的遥测数据。遥测数据可以包括描述在计算系统处检测的至少一个事件的数据。做出给定用户的遥测数据包括由给定攻陷指示器指定的一个或多个特性的确定。

技术领域

本公开总体涉及计算机和网络安全。

背景技术

计算机和数据通信网络经常遭受入侵攻击。入侵攻击可以采取多种形式，诸如蠕虫、病毒、网络钓鱼、间谍软件等。通常，所有这样的攻击都是由某种形式的恶意软件促成的。这种软件通常被称为恶意软件(malware)。恶意软件攻击可能会破坏计算机的操作和/或窃取敏感数据。为了保护计算机免受这样的攻击，网络管理员可以安装检测恶意软件并防止或减轻恶意软件攻击的影响的安全系统，诸如防病毒软件和/或防火墙。

发明内容

本说明书描述了用于收集攻陷指示器并使用攻陷指示器检测计算机系统的遥测数据中安全威胁的存在的系统、方法、设备和其他技术。

总体上，本说明书中描述的主题的一个创新方面可以在一种方法中实现，所述方法包括从多个安全数据提供者接收攻陷指示器。每个攻陷指示器可以包括指定一个或多个计算机安全威胁的一个或多个特性的数据。每个攻陷指示器可以被配置为在由计算机处理时使计算机检测一个或多个计算机安全威胁的指定的一个或多个特性的存在。该方法可以包括从多个用户中的每个用户接收用户的计算系统的遥测数据。所述遥测数据可以包括描述在计算系统处检测的至少一个事件的数据。为给定用户做出给定用户的遥测数据包括由给定攻陷指示器指定的一个或多个特性的确定。该方面的其他实施例包括对应的系统、装置和编码在计算机存储设备上的计算机程序，其被配置为执行方法的动作。

这些和其他实施方式可以可选地包括以下特征中的一个或多个。一些方面可以包括识别由给定攻陷指示器指示的安全威胁的类型，并且基于由给定攻陷指示器指示的安全威胁的类型从一组动作中选择要执行的动作。该一组动作可以包括以下各项中的一个或多个：(i)从给定用户的计算系统中移除由给定攻陷指示器指示的安全威胁、(ii)启动对用户的计算系统的取证调查以及(iii)生成向用户通知由给定攻陷指示器指示的安全威胁的警报。

一些方面可以包括确定每个攻陷指示器的性能分数。攻陷指示器的性能分数可以至少部分地基于在用户的遥测数据中已经检测到由所述攻陷指示器指定的一个或多个特性的次数。可以基于至少一个攻陷指示器的性能分数从对于其监视用户的遥测数据的一组攻陷指示器中移除至少一个攻陷指示器。

一些方面可以包括基于由给定安全数据提供者提供的每个攻陷指示器的性能分数来补偿所述给定安全数据提供者金额(amount)。每个攻陷指示器的性能分数可以基于(i)在用户的遥测数据中由攻陷指示器指定的一个或多个特性的真检测的数量和(ii)在用户的遥测数据中由攻陷指示器指定的一个或多个特性的假检测的数量之间的差。所述金额可以基于以下各项中的至少一个：所述攻陷指示器的相关性或用于识别在用户的遥测数据中由攻陷指示器指定的一个或多个特性的数据处理搜索成本。

一些方面可以包括基于每个攻陷指示器的成本和由用户指定的预算，为给定用户识别所述一组攻陷指示器的适当子组。可以仅针对由攻陷指示器的所述适当子组指定的一个或多个特性来监视给定用户的遥测数据。

一些方面可以包括为给定用户识别给定用户已订阅的一组攻陷指示器的适当子组。可以仅针对由攻陷指示器的所述适当子组指定的一个或多个特性来监视给定用户的遥测数据。

一些方面可以包括更新至少一个用户的计算系统以提供与由接收的攻陷指示器指定的给定特性有关的数据。至少一个攻陷指示器可以包括用于评估用户的遥测数据的一组规则。