[发明专利]用于检测横向运动和数据泄漏的系统和方法

说明书

一种被配置为检测网络上的威胁活动的系统。该系统包括数字设备，该数字设备被配置为检测网络上的危害的一阶指示符，检测网络上的危害的二阶指示符，基于将网络上的上述危害的一阶指示符与上述网络上的危害的二阶指示符关联来生成风险得分，并且基于将风险得分与阈值相比较来生成至少一个事件警告。

技术领域

本发明的实施例涉及保护计算机和网络免受恶意软件和活动的影响。具体地，本发明的实施例涉及用于检测横向移动和数据渗出的系统和方法。

背景技术

随着计算机网络的增长以及存储在由这些网络互连的计算机和数据库上的数据量的增长，获取对这些计算机和数据库的未授权访问的尝试也增长。这样的获取对计算机和数据库的未授权访问的尝试可以包括对潜在受害者进行有系统的侦察以标识流量模式和现有防止措施。用于获取对计算机和数据库的未授权访问的技术包括将恶意的软件或恶意软件加载到计算机上。这样的恶意软件被设计为破坏计算机操作，收集敏感信息，或向未授权的个体授予对计算机的访问。

随着恶意软件的认知的增加，用于将恶意软件加载到计算机上的技术(也称为恶意软件感染)已经变得更加复杂。因此，使用结构化过程(例如签名和试探法匹配)或分析隔离上下文中的代理行为的传统安全解决方案无法检测到威胁活动，包括但不限于加载恶意软件、横向移动、数据泄露、欺诈事务和内部攻击。

未能在计算机或网络上检测到这些类型的威胁活动可能导致高价值数据的丢失、受感染计算机和/或网络的停机时间或破坏、丢失生产力、以及恢复和修复受感染计算机和/或网络的高成本。此外，专注于检测感染或渗透目标系统的威胁行为的当前安全解决方案无法检测在当前系统中使用的复杂业务应用上和网络技术中的日益复杂的恶意软件，因为复杂的应用和协议允许威胁行为更容易隐藏以逃避检测。此外，当前安全解决方案无法检测到由恶意软件造成的数据泄露，其阻止企业正确评估和控制恶意软件感染系统造成的任何损害。这些类型的检测安全解决方案无法检测到对员工的社会工程攻击以及由流氓或心存不满的员工造成的恶意软件感染。

发明内容

一种被配置为检测网络上的威胁活动的系统。该系统包括数字设备，该数字设备被配置为检测网络上的一个或多个危害的一阶指示符，检测网络上的一个或多个危害的二阶指示符，基于将网络上的上述危害的一阶指示符与上述网络上的危害的二阶指示符关联来生成风险得分，并且基于将风险得分与阈值相比较来生成至少一个事件警告。

从附图和随后的详细描述中，实施例的其他特征和优点将很清楚。

附图说明

在附图中通过示例而非限制的方式示出实施例，其中相同的附图标记表示相似的元件，并且在附图中：

图1示出了根据一个实施例的包括被配置为检测威胁活动的系统的网络环境的框图；

图2示出了根据一个实施例的用于检测网络上的威胁活动的方法的流程图；

图3示出了根据一个实施例的用于检测一个或多个危害的二阶指示符的方法的框图；

图4示出了根据一个实施例的客户端、终端用户设备或数字设备的实施例；以及

图5示出了根据一个实施例的用于检测威胁活动的系统的实施例。

具体实施方式

用于检测威胁活动的系统的实施例被配置为在威胁杀伤链的高级阶段检测一个或多个威胁活动，包括网络和企业内的恶意软件对象的横向移动、数据收集和出口、以及受危害或欺诈性业务事务。该系统被配置为将保护范围扩展到完整的杀伤链。