CN118523922A - 网络损害活动监控系统及其使用的网络设备损害活动分析器、用于监控网络设备损害活动的计算机实施方法及其非暂时的计算机可读媒体 - Google Patents

Abstract

一种网络损害活动监控系统及其使用的网络设备损害活动分析器、用于监控网络设备损害活动的计算机实施方法及其非暂时的计算机可读媒体，一个网络损害(network compromise)活动监控系统包括一个网络连接器、一个损害活动分析器和一个损害防御器。网络连接器拥有一个公共网络端口、至少一个私有网络端口、以及关于网络连接器数据封包流量的一相关网络连接器流量记录(Traffic log)。损害活动分析器能够触及(access)可疑目标元数据、出口流量元数据和网络设备元数据，并且能够确定与至少一个私有网络端口耦接的一个或多个设备的一损害活动级别。损害防御器对于确定的一个或多个设备的损害活动级别做出回应，并且能够根据至少一个规则进行包括阻止、警报和通知中至少一种操作。

Description

网络损害活动监控系统及其使用的网络设备损害活动分析 器、用于监控网络设备损害活动的计算机实施方法及其非暂 时的计算机可读媒体

技术领域

本发明是有关于网络安全的技术，特别是有关于网络损害活动监控系统及其使用的网络设备损害活动分析器、用于监控网络设备损害活动的计算机实施方法及其非暂时的计算机可读媒体。

背景技术

计算机和计算机网络正受到越来越复杂的攻击，这些攻击来自实体(通常被称为“黑客”)，他们未经授权地触及(access)计算机和/或网络设备。更具体而言，黑客未经授权地触及设备，如计算机、智能手机、平板计算机和网络设备，通常是为了造成损害、损坏系统、窃取数据、勒索数据，或以其他方式限制被授权用户对这些设备的触及。黑客的工具、战术、技术和程序正迅速增长，使得从最初的入侵、命令和控制、持久性到数据外泄等活动，进而能够在不被网络安全和IT团队以及他们使用的传统工具注意到的情况下进行。黑客善于创建攻击向量(attack vector)，以欺骗员工和个人用户打开恶意附件或链接，并自愿提供敏感个人或公司数据或用户凭据(user credentials)。攻击向量包括分享恶意软件和病毒、恶意电子邮件附件和网页链接、钓鱼攻击、弹出窗口、短信和实时信息。

恶意软件是一种有意设计来对计算机、服务器、客户端或计算机网络造成损害、泄露私人信息、未经授权触及信息或系统、剥夺触及信息，或者未知地干扰用户计算机安全和隐私的软件。恶意软件的类型包括计算机病毒、寄生体、特洛伊木马、勒索软件、间谍软件、广告软件、流氓软件、擦除程序和键盘记录器。

针对黑客和恶意软件的传统防御策略包括使用网络防火墙、检测恶意软件和病毒的端点代理(end point agent)、以及收集记录数据(log data)进行汇总至安全信息和事件管理(SIEM)等工具。防病毒和防恶意软件试图识别病毒或恶意软件，通常是通过已知的井号(hash tag)或签名，旨在检测与黑客行为相关的行为。然而，这些软件依赖于维护和不断更新检测能力的数据库，因为恶意软件越来越复杂，使得这些软件的使用受到限制，因为黑客能够使用相同的工具来测试他们的恶意代码，以确定它是否能够逃避检测。相比之下，防火墙是一种安全系统，基于预定的安全规则监控和控制入站(入境)和出站(出境)的网络流量。一些防火墙还具有分析网络流量，以识别恶意文件或未经授权用户活动能力。然而，这些方法通常需要经过良好培训的安全团队来审查和处理警报，以区分真正的攻击和虚假阳性(false positives)。防火墙在可信任(私有)设备或设备网络和不受信任的(公共)网络(即如互联网)之间建立了安全屏障。然而，由于黑客越来越多地使用加密的信道，这些通道在没有更高级的流量检测能力的情况是无法下进行分析，防火墙无法阻止所有有企图的黑客。

有各种用于收集和分析网络活动数据的网络监控工具，其中包括“Syslog”和“NetFlow”。虽然这些工具有相似的目的，但它们之间存在一些关键差异。Syslog是一种用于将系统记录信息从一个设备转发到另一个设备的标准协议。它主要用于收集来自各种网络设备(如路由器、交换机和服务器)的记录数据，Syslog信息包含有关设备上发生的事件的信息，包括安全警报、系统错误和其他信息。数据储存在文本文件(text files)中，可以使用各种工具进行分析。

另一方面，NetFlow是Cisco开发的一种网络协议，用于使用分析和网络监控，它收集并记录有关网络流量流的信息，包括来源地址和目标地址、流量类型以及传输的数据量。NetFlow用于识别网络使用模式、监控网络性能并检测安全威胁。

在相似之处方面，Syslog和NetFlow都用于收集和分析有关网络活动的数据，两者在网络监控和管理中得到广泛应用。它们为网络性能、安全性和使用模式提供了有价值的洞察(insights)。然而，两者之间的主要区别在于Syslog侧重于收集记录数据，而NetFlow则专注于网络使用分析。Syslog和NetFlow都是网络监控和管理的重要工具，但它们有不同的用途。Syslog用于从网络设备收集记录数据，而NetFlow用于分析网络流量流。

对于网络监控和管理，除了Syslog和NetFlow尚有许多替代方案，每种方案都有其优势和劣势。这些替代包括sFlow、简单网络管理协议(SNMP)、ELK Stack、Graylog和Wireshark。工具的选择将取决于组织的特定需求、被监控的网络类型以及分析所需的细节层级。

“初始触及”(Initial access)一词指的是当黑客(又称入侵者、威胁行为者等)绕过网络防御措施触及计算机网络或计算机系统时。初始触及也可以通过将恶意软件植入计算机(例如通过随身盘或随身盘)而实现。有些被开发出来的工具，试图基于网络活动(包括入侵检测工具和防火墙(IDS)、入侵防止工具和防火墙(IPS)、恶意软件防御(例如反恶意软件、防病毒)、端点检测和响应(EDR)、管理检测和响应(MDR)等)来检测、防止和/或阻止触及。这些保护措施通常集中在网络或周边端，可能不足以检测、防止或处理初始触及。成功实现对计算机网络和/或计算机系统的初始触及的黑客被视为入侵者或威胁行为者。越来越多的行业组织和专家认为，现有技术工具的保护措施(网络或边界等措施)不足以确保专用网的安全性。

美国国防部(DOD)于2022年11月7日批准发布一份文件，涉及其“零信任策略”，该策略假设“威胁行为者”可能已经触及网络系统、计算机或设备。美国国防部零信任策略，2022年10月21日批准，于2022年11月7日公开发布，成立预公开和安全审查办公室(Officeof Prepublication and Security Review)，这表明需要全套新解决体系来了解和应对入侵者。

多年来，包括IBM/Ponemon Institute在内的许多组织都对数据侵害进行了研究。在IBM公司一份名为“数据侵害成本报告2022”的报告中，2022年7月，IBM/PonemonInstitute指出检测数据侵害的平均时间为207天。他们指出，在评估数据侵害造成的损害时，还必须考虑数据侵害的持续时间。不幸的是，在现有技术中，提供数据侵害或其他网络系统损害的早期检测的有效解决方案仍然难以实现。

通过以下描述并研究若干附图后，熟悉此技艺的人士将能明显知道这些先前技术的其他限制。

发明内容

一个网络损害活动监控系统包括一个网络连接器、一个损害活动分析器和一个损害防御器。该网络连接器具有一个公共网络端口、至少一个私有网络端口、以及关于网络连接器数据封包流量的相关网络连接器流量记录，其中流向至少一个私有网络端口的数据封包和从公共网络端口流出的数据封包为出口流量，流向公共网络端口的数据封包和从至少一个私有网络端口流出的数据封包为入口流量。损害活动分析器能够触及(Access)可疑目标元数据、出口流量元数据和网络设备元数据，并且损害活动分析器能够根据至少部分地基于可疑目标元数据、出口流量元数据和网络设备元数据，确定与至少一个私有网络端口耦接(coupled)的一个或多个设备的损害活动级别。损害防御器对于一个或多个设备确定的损害活动级别做出反应，并且能够根据至少一个规则之一进行至少一种操作，其操作包括阻止、警报和通知。

网络设备损害活动分析器包括：一个处理器；以及与处理器耦接的内存，其具有可在处理器上执行的代码段(code segments)，用于(a)提取防火墙流量元数据，其中包括至少带有防火墙出口流量的起源(origination)因特网协议(IP)地址和目标(destination)IP地址的流量元数据；(b)将出口流量元数据的起源IP地址与网络设备元数据进行匹配，以识别至少一个出口数据封包的来源设备；(c)将出口流量元数据的目标IP地址与可疑目标元数据进行匹配，以识别出口数据封包的可疑目标；(d)根据出口流量元数据、网络设备元数据和可疑目标元数据，确定与至少一个来源设备相关的损害活动级别；以及(e)根据至少一个规则对确定的损害活动级别进行操作。

一种用于监控网络设备损害活动的计算机实施方法包括：向包括数字处理器和内存的损害活动分析器提供防火墙流量元数据，其中防火墙流量元数据封包括至少带有防火墙出口流量的起源因特网协议(IP)地址和防火墙出口流量的目标IP地址；将防火墙出口流量元数据的起源IP地址与网络设备元数据进行匹配，以识别至少一个防火墙出口数据封包的来源设备；将防火墙出口流量元数据的目标IP地址与可疑目标元数据进行匹配；根据防火墙出口流量元数据、网络设备元数据和可疑目标元数据，确定至少一个来源设备的损害活动级别；并根据至少一个规则对确定的损害活动级别进行操作。

一种非暂时性的计算机可读媒体(media)，包括可在数字处理器上执行的代码段，用于监控网络设备的损害活动，其中该代码段包括：提供防火墙流量元数据的代码段，该防火墙流量元数据封包括至少具有防火墙出口流量的起源因特网协议(IP)地址和防火墙出口流量的目标IP地址；将防火墙出口流量元数据的起源IP地址与网络设备元数据进行匹配的代码段，以识别至少一个防火墙出口数据封包的来源设备；基于防火墙出口流量元数据和网络设备元数据，确定至少一个来源设备的损害活动级别的代码段；以及根据至少一个规则对确定的损害活动级别进行操作的代码段。

本案实施例的优点是：通过检查通过网络连接器(防火墙即为一例)传输的流量，可以及时检测到网络设备(如服务器和计算机)的损害。

通过阅读以下描述并研究附图的多个图形后，这些以及其他实施例、特征和优点将对该领域的技术人员更能清楚了解。

附图说明

现将举例说明几种实施例，并参照附图，其中相似的组件具有相似的参考编号。这些实施例旨在进行说明，而非用以限制本发明。附图包括以下图形：

图1是具有网络损害活动分析系统的第一个示例公共/私有网络系统的方块图；

图2是网络损害活动分析系统的示例计算机平台的方块图；

图3是包括多个网络损害活动分析系统的第二个示例公共/私有网络系统的方块图；

图4是示例基于云端的网络损害活动分析系统的示例方块图；

图5是图4中的示例损害防御器的方块图；

图6是由损害活动分析器实施的示例过程的流程图；

图7是提供防火墙流量元数据的示例过程的流程图；

图8是示例防火墙流量记录文件和防火墙流量元数据表的附图；

图9是匹配出口流量元数据的起源IP地址与网络设备元数据的示例过程的流程图；

图10是示例网络设备元数据表的附图；

图11是匹配目标IP地址与可疑目标元数据的示例过程的流程图；

图12是示例可疑目标列表和可疑目标元数据表的附图；

图13是确定损害活动级别的示例方法的附图；

图14是网络端口元数据表的附图；

图15是具有斐波那契(Fibonacci)数列及相关计数和体积调整值的表格图；以及

图16是根据至少一个规则对确定的损害活动级别进行操作的示例过程的流程图。

【符号说明】

10～网络系统；12～私有网络；14～公共网络；16～网络损害活动分析系统；18～防火墙；20～损害活动分析器；22～路由器；24～集线器交换机；26～打印机；28A-28N～服务器；30～交换机：32A-32N～工作站；34～WiFi路由器；36～计算机；38～平板；40～手机；42～公共网络端口；44～私有网络端口；46～本地总线；48～中央处理单元；50～高速SRAM高速缓存；52～DRAM主存储器；53～内容寻址的内存；54～基本输入/输出系统；56～电源开启重置；58～非挥发性内存；60～网络接口；62～输入/输出；10'～网络系统；64A、64B～私有网络；66～服务提供商网络；68A～网络连接器；69A～私有网络端口；69B～公共网络端口；70～损害分析器；71A～私有网络端口；71B～公共网络端口；76～损害分析器；77A～私有网络端口；77B～公共网络端口；78～虚拟网络连接器；79～移动设备；16'～网络损害活动分析系统；74B～连接器；82～出口流量数据；84～损害转换表(CTT)(设备元数据)模块；86～外部数据和指针模块；88～探索式和统计分析的内部自动分析模块；90～机器学习模块；92～损害防御模块；94～自动和手动整合模块；96～目标系统的查找关系模块；98分～析流量模块；100～提取元数据模块；102～确定严重性影响模块；104～开发损害风险评级模块；106～确定是否采取行动模块；108～识别潜在威胁行为模块；110～识别异常活动模块；112～确定损害概率模块；114～损害防御引擎模块；116～确定是否需要对CTT模块进行更新的模块；118～其他自动和手动整合互动的模块；120～警报和通知引擎模块；122～执行通知模块；124～维护和更新警报模块；126～创建/更新报告模块；128～分发报告模块；130～阻止引擎模块；132～隔离端点模块；134～向执法机构报告的模块；136～自动鉴识数据分析模块；138～缓解引擎；140～监控活动损害模块；142～修补端点模块；144～触发鉴识数据收集模块；146-158～流程；150’、160-176～流程；178～防火墙流量记录文件；180～列表；182～防火墙流量元数据文件；184～表格；186-192～流程；194～网络设备元数据文件结构；154’、196-202～流程；204～可疑目标文件；206～可疑IP地址的列表；208～可疑目标元数据文件；210～表格；212～主机敏感性乘数表；214～目标主机分数因子表；216～端口重要性因子表；218～关注通讯表；220～因子/值/结果表；222～示例分数参数；224～调整的损害关注计算；226～网络端口元数据文件；228～私有网络端口的元数据的表格；230～带有斐波那契(Fibonacci)数列和相关计数调整和数据量调整列表；以及，158’、232-238～流程。

具体实施方式

在图1中，示例网络系统10包括一个私有网络12、一个公共网络14和一个网络损害活动分析系统16。在此示例中，私有网络12是一个局域网络(LAN)，例如属于私营企业，而公共网络14是一个广域网(WAN)，例如互联网。公共网络14可以提供多种云端服务，如云端防火墙、虚拟专用网(VPN)、云端计算、软件即服务(SaaS)、云端数据储存等。网络损害活动分析系统16在此示例中还包括防火墙18、损害活动分析器20和集成的损害防御器模块(CDM)。在其他实施例中，CDM可以与损害活动分析器20分开，例如，作为互联网14上以软件即服务(SaaS)形式提供。

网络系统10的设备之间的通讯包括具有标头(有时还有尾部和/或底部)的数字数据封包，该标头提供有关数据封包内容、起源和目标的信息。例如，互联网协议(IP)封包具有一个标头，其中包含有关封包来自何处(其起源IP地址)、封包去哪里(目标IP地址)、封包有多大，以及网络路由器应在放弃封包之前继续转发封包的时间等信息。它还可以指示封包是否可以被分段，并包含有关重新组装分段封包的信息。

在此非限定示例中，私有网络(LAN)12包括多个设备，包括一个路由器22、一个集线器交换机24、一台打印机26、多台服务器28A-28N、一个交换机30、多台工作站32A-32N、一个WiFi路由器34以及三个示例的WiFi启用设备，如计算机36、平板38和手机40。私有网络12的每个设备都被分配了一个互联网协议(IP)地址，其中一些可能是静态的，而一些可能是动态的。例如，与WiFi路由器34连接的设备(如计算机36、平板38和手机40)，可能在连接到WiFi路由器34时被分配一个动态IP地址，而服务器28A-28N则可能被分配静态IP地址。私有网络12的各种设备通常可以在私有网络内自由通讯，并可以通过防火墙18与公共网络14通讯。

在这个例子中，防火墙18是来自多个制造商，包括Cisco Systems、WatchGuard、Fortinet和Barracuda Networks等的商业硬件防火墙。在替代实施例中，防火墙18可以通过在服务器、计算机或云端上运行的软件实现(例如，在互联网14上的云端防火墙中)。防火墙18包括多个模块，包括一个封包阻止(PB)模块，用于阻止某些数据封包；一个防火墙逻辑(FL)模块，用于控制PB模块；一个防火墙规则(FR)模块，被FL模块使用；一个屏蔽(MA)模块，用于遮蔽连接到私有LAN 12的设备的IP地址；以及防火墙流量记录(FT)模块。在其他例子中，防火墙可以包括具有公共网络端口和至少一个私有网络端口的任何硬件或虚拟网络设备。

防火墙18的一个重要目的是防止私有LAN 12和公共WAN 14之间的恶意代码或未经授权的数据传输。它们会以多种方式实现这一目的。首先，MA模块可以通过通常使用称为网络地址转换(NAT)的过程，将LAN 12的设备的IP地址遮蔽成对公共网络不可见，这个过程使得LAN上的设备被分配私有IP地址，而不是公开可寻址的IP地址。此举通常对安全分析工具构成挑战，因为相同的私有IP地址可能被全球数百万台设备使用。此外，FL模块检查数据封包的起源和目标IP地址、端口号、类型等，并使用FR模块的一组规则，通过PB模块阻止从WAN到LAN传输的某些数据封包，可能反之亦然。

图1中的示例防火墙18显示有一个与WAN 14连接的公共网络端口42，以及一个与LAN 12连接的私有网络端口44。公共网络端口42和私有网络端口44通常是符合IEEE 802.3标准的输入/输出(I/O)端口，通常称为以太网端口。其他防火墙具有不同配置的I/O端口，例如，许多硬件防火墙具有多个私有网络端口，以补充或取代路由器22的需求。正如所述，不是从WAN 14发送到公共网络端口42的每个数据封包都允许通过防火墙18触及LAN 12。此外，在某些情况下，不是从LAN 12发送到网络端口44的每个数据封包都允许通过防火墙18触及WAN 14。FR模块通常包括一个规则表，该表规定了允许数据封包通过防火墙的条件以及应该被阻止的封包。

正如上面所述，防火墙18包括一个FT模块，至少暂时储存有关数据封包流量的记录数据，这里称为“防火墙流量”或“FT”，即如图1所示，以促进LAN 12设备和WAN 14设备之间的持续交换。离开端口42前往WAN 14的数据封包在此称为“出口数据封包”或类似的名称，并在图1上标有“E”，离开端口44前往LAN 12的数据封包在此称为“入口数据封包”或类似的名称，并在图1上标有“I”。出口数据封包将具有封包的起源的LAN设备IP地址的屏蔽版本，以及它正在传送到的WAN 14上的设备的IP地址。相反，入口数据封包将具有WAN 14上的设备的IP地址作为其起源，以及它正在传送到的LAN设备的IP地址的屏蔽版本。

损害活动分析器20是一个数字逻辑系统，包括在本例中，一个处理器和内存，具有防火墙流量元数据(FTM)模块、网络设备元数据(NDM)模块，损害活动分析(CAA)模块，损害防御模块(CDM)模块和可疑目标元数据(SDM)模块。FTM模块从防火墙18的FT模块获取其数据，可以通过与防火墙18的直接通讯(例如，通过以乙网连接)或间接通讯(例如，通过WAN14)来实现，如虚线所示。NDM模块可以将网络设备元数据选择性地储存为内容可寻址(content-addressable)的格式，例如内容可寻址的内存(CAM)，以便可以通过设备的IP地址提取该设备的元数据。CAA模块使用来自FTM模块和NDM模块的元数据，将设备损害指数(DCI)分配给私有网络12的各种服务器、计算机和其他设备。CDM模块使用网络设备的DCI来采取适当的行动来应对系统威胁。虽然CDM模块在本实施例中形成损害活动分析器20的一部分，但它也可以是与损害活动分析器通讯的独立模块。SDM模块包括可疑目标的IP地址，以及包括威胁级别、威胁类型等元数据。SDM元数据可以从多种来源进行补充，包括提供在公共网络14中的数据库。

需要注意的是，损害活动分析器20使用来自多个来源的元数据，包括出口流量元数据、网络设备元数据和可疑目标元数据。如熟悉此技艺人士所知，元数据(metadata)是描述其他数据形式的数据，例如描述数据封包、设备、网络端点等的起源、结构和特征(characteristics)的数据。元数据的形式可以有所不同，虽然它通常以文件、数组(array)、表格或列表列表的形式存在。例如，出口流量元数据可以从出口流量的包头中获得，例如源IP地址、目标IP地址、封包重要性、封包大小、端口号等。网络设备数据方便地被创建为一个表，有时在本文中被称为损害转换表(CTT)，包括IP地址、MAC地址、私有端口号、设备名称、功能、漏洞、用户、群组等字段(fields)。可疑目标元数据也可以被配置为一个表格，其中包括已知不良行为者的IP地址、与IP地址相关的威胁类型、威胁的严重性等。各种元数据结构可以方便地储存在可内容寻址的内存(CAM)中，各种元数据结构可以方便地储存在可内容寻址的内存(CAM)，例如图2中的CAM 53。例如，通过在CAM中储存可疑目标元数据，出口流量的每个目标地址可以快速搜寻可疑目标元数据(其中可能包括数千个IP地址)以进行匹配。其他搜寻和元数据结构对于熟悉此技艺人员而言是众所周知的。

在图2中，损害活动分析器20的另一实施例，仅举例而非限制，包括一个本地总线46和一个中央处理单元(CPU)48，由高速静态随机存取内存(SRAM)高速缓存50与本地总线46相连。动态随机存取内存(DRAM)主要或“主”内存52连接到高速缓存50和总线46。在某些实施例中，也可以提供可内容寻址的内存(CAM)53或其他可内容搜寻的数据储存。基本输入/输出系统(BIOS)54与总线46相连，并且可以通过开启重置(power-on reset)56来重置。损害活动分析器20还包括非挥发性内存58，例如“快闪”内存或硬盘、网络接口(interface)60和其他输入/输出(I/O)接口(interface)62。需要注意，这仅仅是损害活动分析器的一种适用架构。例如，损害活动分析器20可以整合到防火墙18中、实现在服务器上。或者通过在互联网14上的云端计算提供。

图3显示了一个包括多个私有网络64A、64B和66的示例网络系统10'，以及一个公共网络(例如，互联网)14。在这个例子中，私有网络64A和64B是公司内部网络或类似的网络，而网络66则是一个服务提供商网络，为客户提供软件即服务(SaaS)。例如，服务提供商网络66可以为与公司网络64B相关联的公司(即客户)和在公共网络14上的私有虚拟网络提供网络进行损害活动监控。

在这个例子中，网络通过网络连接器或简称为“连接器”相互连接。网络连接器的定义特征是它具有一个或多个私有网络端口、一个公共网络端口，并且能够提供连接器流量记录(CTL)的数据。例如，网络连接器可以提供被收集在Syslog数据结构中的Syslog(记录协议)信息。此外，也可以使用Netflow数据。

有许多类型的连接器适用于网络系统10'的使用方式。上述防火墙是网络连接器的例子，其中防火墙(连接器)流量记录信息被储存在Syslog、Netflow或其他数据结构中，以提供作为防火墙(连接器)流量元数据的基础。连接器的另一个例子是具有公共网络端口和一个或多个私有网络端口的网络路由器，具有路由器流量元数据收集功能。因此，如本文所使用，“网络连接器”或简称“连接器”，被定义为具有公共网络端口、一个或多个私有网络端口、并且能够提供连接器流量信息或记录(CTL)的网络设备。

在这个例子中，私有网络64A包括一个网络连接器68A(包括一个CTL模块)，具有一个或多个私有网络端口69A，连接到网络64A的设备；以及一个公共网络端口69B，连接到损害分析器70和公共网络14。这种配置与图1中所示类似，其中损害分析器70(包括CTM模块)可以实体上位于靠近在网络连接器68A或其内部、或者可以远程放置，例如，作为公共网络14上的实体或虚拟设备。

同样，在这个例子中，私有网络64B包括一个网络连接器68B(包括一个CTL模块)，具有一个或多个私有网络端口71A，连接到私有网络64B的设备；以及一个公共网络端口71B，连接到公共网络14和服务提供商网络66的损害分析器76(包括CTM模块)。同样，连接到损害分析器78的是虚拟网络连接器78(包括CTL模块)的公共网络端口77B，该虚拟网络连接器具有私有网络端口77A。在这个非限制性的例子中，私有网络端口77A与可以由损害分析器76监控的移动设备79相连。

这里描述的示例网络损害活动监控系统中，在实际入侵私有网络系统可能发生前，即具有检测损害活动的优势。一个重要的信息来源是出口流量元数据，通常反映在互联网数据封包的“第3层”(Layer 3)或网络层。具体而言，第3层负责中间路由器之间的所有数据封包转发。虽然仅从出口流量元数据中可以找到有关损害活动中非常有用的信息，但将其与网络设备元数据(例如，前面提到的CTT表)，以及可疑目标元数据相结合，可以显著增强检测过程。

损害活动的检测和分析可以监控潜在的入侵指标，包括：

-新的通讯模式

-与已知威胁主机的通讯

-指引(beaconing)或回拨(call-back)类型的活动

-到系统异常数据的流入或流出

-在非标准端口上的通讯

-与新的SaaS或应用程序服务器(application)的互动

-指挥和控制活动

-与数据上传/储存主机新的或异常的储存的互动

-与用于下载恶意软件或下载更多恶意软件(bootstrapping Malware)的外部服务器的通讯(有时称为“回拨系统”)

-与进行监视以确定网络和系统基础设施的威胁行为者的通讯，同时寻找敏感内容(有时称为与“指挥和控制”系统(服务器或使用笔记本电脑或桌面系统的人)的通讯)

-植入可能提供持续监视活动的代码或恶意软件(按键记录器(keyloggers)、远程触及特洛伊木马(RAT)等)

-数据的破坏、数据的加密、数据的盗窃或渗透。

黑客拥有各种动机，从相对无害的(满足自我、好奇心)到更邪恶的皆有之。通过检测损害活动模式早期检测出黑客行动，可以有助于防止商业损害活动，例如：

-潜在的“勒索软件”活动

-潜在的数据侵害活动：在某些情况下与勒索软件一起使用

-潜在的数据损失：例如敏感的商业数据或敏感的政府数据(机密分类、CUI、FCI)，在某些情况下会与勒索软件一起使用

-潜在的数据加密：在某些情况下与勒索软件一起使用

-潜在的数据或系统破坏(“黑客活动者”或国家对国防或关键基础设施系统的攻击)。

举例来说，可以通过一段时间内检测异常通讯来检测与“正常”不同的变化。例如，一个设备展示出新的通讯模式或突然增加的通讯次数。当通讯量与外部主机突然增加时，可以检测到大数据量。例如，当通讯偏离过往常态时(诸如：通过两个标准偏差异检测到损害活动)。对可疑的私有网络端口进行监控，例如用于远程桌面控制的3389端口，可以提供有用的损害活动信息。指引(Beaconing)指的是内部主机和外部主机之间的定期例行通讯，有时被视为损害活动的标志。

图4是一个示例基于云端的网络损害活动分析系统16'的方块图，包括连接器74B和损害活动分析器76。在此示例中，来自连接器74B的出口流量数据82输入到损害活动分析器76中，并经过处理以确定客户私有网络上一个或多个设备的损害活动级别。为了完成这个任务，损害活动分析器76连接到多个模块，包括损害转换表(CTT)模块84，其中包含网络设备元数据、包含可疑目标元数据的外部数据和指针模块86、包含探索式(heuristic)和统计分析的内部自动分析模块88、以及包含专家系统和/或神经网络分析的机器学习模块90。图4还显示了一个损害防御模块(CDM)92，该模块连接到损害活动分析器76和连接器74B，CDM 92也连接至自动和手动(manual)整合模块94。CDM 92在此实施例中与损害活动分析器76分开。

继续参考图4的，示例的损害活动分析器76包括一个与目标系统的查找关系模块96、一个分析流量模块98和一个提取元数据模块100。这三个模块分析从连接器74B发出的出口流量82，并生成用于进一步分析的出口流量元数据。示例的损害活动分析器76还包括一个确定严重性影响模块102，一个开发损害风险评级模块104和一个确定是否采取行动模块106。这三个模块基于至少部分来自CTT模块84的设备元数据，用以分析潜在的损害活动，估算损害活动的风险，并根据预定的探索方式(heuristics)确定是否需要采取任何遏制措施。正如后面将更详细地解释的，如果模块106确定需要采取行动，损害防御模块92可能会发挥作用。最后，示例的损害活动分析器76还包括一个识别潜在威胁行为模块108、一个识别异常活动模块110和一个确定损害概率模块112。这些模块与模块86-90通讯，并为模块104提供输入，以开发损害风险评级。

图5是图4中的示例损害防御模块(CDM)92的方块图。正如先前提到的，损害防御模块92与连接器74B、损害活动分析器76和自动和手动整合模块94相连。在此示例中，损害防御模块92包括一个损害防御引擎模块114，一个确定是否需要对CTT模块进行更新的模块116，以及一个与其他自动和手动整合互动的模块118。这三个模块共同协作，以协调对检测到的损害活动的响应，并在需要时更新设备元数据(CTT)。损害防御引擎模块114还可以选择性地启动警报和通知引擎模块120，该模块可以选择性地启动执行通知模块122，而模块122可以选择性地启动维护和更新警报模块124。这三个模块向系统管理员、设备管理员、信息技术(IT)等部门提供警报和通知。损害防御引擎模块114还可以选择性地启动创建/更新报告模块126，该模块可以选择性地启动分发报告模块128。损害防御引擎模块114还可以选择性地启动阻止引擎模块130，该模块可以选择性地启动隔离端点模块132，而模块132可以选择性地启动向执法机构报告的模块134，模块可以选择性地启动自动鉴识(forensics)数据分析模块136。这些模块对网络设备(端点)的严重侵害作出响应，例如通过将端点与攻击隔离。根据受侵害的端点的敏感性(例如包含机密信息的服务器)，可能会自动向执法机构报告侵害。损害防御引擎模块114还可以选择性地启动缓解引擎138，该引擎可以选择性地启动监控活动损害模块140，而模块140可以选择性地启动修补端点模块142和触发鉴识数据收集模块144，后者可以选择性地启动自动鉴识数据分析模块136。在这种情况下，受到可疑损害活动威胁的网络设备(端点)可以被“修补”，例如重新分配新的IP地址，以缓解问题。

图6是由运行在例如图2的损害活动分析器20上的代码段实现的示例过程146。过程146从步骤148处开始，在操作150中，损害活动分析器20通过防火墙出口流量的起始互联网协议(IP)地址和目标IP地址接收包括至少流量元数据。防火墙流量元数据可以从防火墙接收、可以通过检查防火墙的出口流量、抑或是通过任何其他合适的方法为之。接下来，在操作152中，损害活动分析器20将出口流量元数据的原始IP地址与网络设备元数据进行匹配，以识别至少一个出口数据封包的来源设备。网络设备元数据可以通过自动化网络映像来衍生，或者可以是由网络管理员提供的表格形式。在操作154中，损害活动分析器20将出口流量元数据的目标IP地址与可疑目标元数据进行匹配，以识别出口数据封包的可疑目标。可疑目标元数据可以随时间演变，或者可以从第三方组织获取。接下来，在操作156中，损害活动分析器20基于出口流量元数据、网络设备元数据和可疑目标元数据，确定与至少一个来源设备相关的损害活动级别。损害活动级别可以评级(scaled)，例如在1-10的等级上，或者可以标记为低、中和高为之。最后，在操作158中，损害活动分析器20根据至少一个规则对确定的损害活动级别采取行动，例如，可以忽略低损害活动级别，中损害活动级别可以报告给网络设备的管理员，高活动水平可能会导致对实时威胁的自动应答。各种示例行动可包括阻止、警报和通知。

图7是接收包括至少图6防火墙流量元数据的示例过程150'的流程图。在此示例中，过程150'在160处开始，在操作162中，判断是否存在当前的防火墙流量元数据文件，如果是，则在操作164中提取防火墙流量元数据文件；如果不是，在操作166中创建新的防火墙流量元数据文件。接下来，操作168确定是否有新的防火墙流量记录数据，如果是，则在操作170中更新防火墙流量元数据文件；如果不是，或在操作170之后，过程继续进行操作172，该操作确定防火墙流量元数据是否包括出口流量元数据。如果不是，过程控制返回到操作168以等待新的防火墙流量记录数据。如果是，操作174提供防火墙流量元数据，过程150'在176处结束。

图8是示例防火墙流量记录文件178的附图，包括一个列表180和一个示例防火墙流量元数据文件182，而防火墙流量元数据文件182包括一个表格184。在此非限定性示例中，防火墙流量记录列表180可以是从防火墙生成的系统记录协议(Syslog)信息中而得。Syslog信息包括时间戳、严重性评级、设备ID(包括IP地址)和特定事件的信息。Syslog信息通常通过用户数据封包协议(UDP)端口514发送。UDP被认为是一种无连接的协议，其中信息不被确认或保证到达。Syslog信息通常以人类可读的格式呈现，但不需要如此。在其标头中，每条Syslog信息都有一个优先级级别，该级别是创建信息的设备的进程的代码和严重性级别的组合。

继续参照图8，示例防火墙流量元数据文件从储存在防火墙流量记录180中的大量Syslog数据中提取元数据。例如，表格184的行(rows)可以表示公共网络上的设备(具有公共IP地址)与私有网络上的设备(具有私有IP地址)之间的通讯。表格184的列(column)可以包括源和目标IP地址、私有网络设备的端口信息、公共网络设备的端口信息、时间戳、出口流量和入口流量的旗标(flags)，以及在此非限定性示例中的其他相关因素。应该注意，出口流量元数据和入口流量元数据可以是防火墙流量元数据文件182的子集合(subsets)。或者，出口流量元数据和入口流量元数据可以包括它们自己的数据结构。

图9是显示了将出口流量元数据的源IP地址与网络设备元数据进行匹配图6操作152的示例流程图152'，的过程。示例过程152'在186处开始，在操作188中，从防火墙流量元数据中提取了自防火墙来的出口流量的源IP地址。接下来，在操作190中，将提取的源IP地址与网络设备元数据进行匹配，以识别来源设备。然后过程152'在192处结束。

图10是一个示例的网络设备元数据文件结构194，后文称为损害转换表(CTT)194。在这个非限制性的示例中，CTT 194是一个表格，其中有各种私有网络设备的行(row)以及这些私有网络设备的各种属性的列(column)。私有网络设备的示例包括服务器、计算机、路由器、外围设备等。在这个示例中，CTT的列提供的网络设备的属性包括IP地址、媒体访问控制(MAC)地址、可读的名称、功能、漏洞(vulnerabilities)、用户、群组以及网络设备的其他属性。CTT 194可以部分自动产生(populated)，例如，使用网络映像工具；但最好通过私有网络的系统管理员手动增加，通过适当的用户接口完成。

图11是显示图6中通过出口流量元数据的目标IP地址与可疑目标元数据进行匹配辨识出口数据封包可疑目标的过程154一个示例的流程图154'。示例过程154'开始于196，在操作198中，从防火墙流量元数据中提取了出口流量的目标IP地址。接下来，在操作200中，提取的目标IP地址与可疑目标元数据进行匹配，以识别出口数据封包的可疑目标。过程154'然后在202结束。

图12是一个示例可疑目标文件204的附图，包括可疑IP地址的列表206、以及一个示例可疑目标元数据文件208，文件208包括一个表格210。可疑目标文件的列表206可以是静态或动态的，可以由商业上可用的手动方式或启发方式等产生的列表。在这个非限定性的示例中，可疑目标元数据文件208的表210可以至少部分地从可疑目标列表206中产生，并增加包括IP范围、威胁类型、严重性等的额外的元数据。

图13是图6用于确定损害活动级别的操作156的示例方法156'的附图。方法156'包括主机敏感性乘数表212、目标主机分数因子表214、端口重要性因子表216、关注通讯表218、因子/值/结果表220、示例分数参数222和示例调整的损害关注计算224。在这个例子中，示例分数参数的最小分数为23.75，最大分数为123.75，然后将其常态化为1到100的比例。调整的损害关注计算224针对斐波那契(Fibonacci)数列使用两个尺度(scale)，确定通讯计数和数据量(data volume)的调整。计数调整和数据量调整的最大值再与加权平均一起用来计算1到100之间的损害关注值(CCV)。也可以使用一个或多个规则从CCV中获得损害活动水平(CAL)。例如，对于1≤CCV<20，可以为CAL分配值LOW，对于20≤CCV<80，可以为MEDIUM，对于80≤CCV≤100，可以为HIGH。

图14是一个网络端口元数据文件226，其包括一个包含有关防火墙的一个或多个私有网络端口的元数据的表格228。值得注意的是，图13的方法包括一个端口重要性因子216。源自私有网络端口3389、1433、1521、1531、1541、3306等的对可疑目标的出口流量都会影响到损害活动级别的关注。例如，私有网络端口3389用于Windows RDP等的远程触及及其他，因此，可以在这个示例中看到，网络端口元数据文件226有一个端口表228，其中包含端口号、共同端口使用(例如：远程触及、数据库触及等)和重要性等项目。

图15是一个带有斐波那契(Fibonacci)数列和相关计数调整和数据量调整的列表230。在这个非限制性的示例中，针对斐波那契(Fibonacci)数列的每个数字，计数调整每增加5，数据量调整每增加2，。在斐波那契(Fibonacci)数列第6,765个数字时，计数调整固定在100，而在斐波那契(Fibonacci)数第12,586,269,025个数字时，数据量调整固定在100。

进一步参考图13-15，确定损害关注分数的通用方法如下：

1.以50为默认分数的来源点。

2.使用主机敏感性乘数以25％或50％将分数调整。

3.使用目标主机威胁分数将数字上调或下调50％。

4.根据端口的关键性施加一个因子。

5.在这个示例中，这将导致一个在23.75到123.75之间的数字。将数字常态化为1到100的范围。

6.使用通讯计数和通讯量，来调整分数的加权平均值，方法如下：

a.使用斐波那契(Fibonacci)数列对加权计数和数据量进行加权，如图15所示，针对该数列，计数调整每增加5，数据量调整每增加2；

b.使用这些分数的最大值，通过对常态化分数进行2×加权平均，据以计算损害关注分数(CCS)。

图16是图6根据至少一规则对确认的损害活动级别进行操作的过程158的示例流程图158'。流程158'在过程232中空闲(idles)，直到接收到损害关注分数(CCS)。如果CCS为LOW，过程234在返回到过程232之前报告一个或多个潜在的系统损害。由于CCS为LOW，报告可以是定期的、计划好的报告，例如发送给系统管理员。如果CCS为MEDIUM，过程236将发送一个或多个警报。这些警报具有更高的紧急性，可以立即发送给一个或多个系统经理，例如数据库服务器经理或群组经理。然后，流程控制可以进入操作234以进行更广泛的报告，或者可以直接返回到空闲过程232。如果CCS为HIGH，过程238可以自动阻止被损害的活动，例如在防火墙上阻止公共网络上的恶意设备或隔离私有网络上感染了恶意软件的设备。然后，流程控制可以进入过程236以发送一个或多个警报，并进入过程234以发送一个或多个报告，或者可以直接返回到空闲过程232。将会理解到，所采取的行动受到一条或多条规则的约束，例如总是通知、有时提醒、或在极端威胁条件下仅能阻拦。

尽管使用了具体的术语和设备来描述各种实施例，但此描述仅用于说明目的。所使用的词汇属于描述性词汇，而非限制性词汇。应当理解，可以在不偏离所支持的发明的真实精神或范围的情况下，此技术领域的通常技术人员进行改变和变化。此外，应当理解，各种其他实施例的各个方面可以整体或部分地交换。因此，本发明的申请专利范围应按照真实的发明精神和范围进行解释，而不受限制或禁止。

Claims (29)

1.一种网络损害活动监控系统，其特征在于，包括：

一硬件或虚拟网络连接器，包括一数字处理器，上述网络连接器具有一个公共网络端口、至少一个私有网络端口、以及关于上述网络连接器的数据封包流量的一相关网络连接器流量记录，其包括至少出口流量元数据，上述出口流量元数据报括出口流量的起源IP地址，其中流向上述至少一个私有网络端口并从上述公共网络端口流出的数据封是出口流量，而流向上述公共网络端口并从上述至少一个私有网络端口流出的数据封包是入口流量；

一数字逻辑损害活动分析器，包括一处理器和一内存，上述数字逻辑损害活动分析器接收上述网络连接器流量记录的上述出口流量元数据，并触及可疑目标元数据和包括一损害转换表(CTT)的网络设备元数据；上述数字逻辑损害活动分析器至少部分地根据上述可疑目标元数据、上述出口流量元数据和上述网络设备元数据，确定耦接到上述至少一个私有网络端口的一个或多个设备的一损害活动级别，包括从出口流量元数据中提取上述起源IP地址，并将提取的上述起源IP地址与上述CTT匹配，以识别至少部分的起源网络装置，以确定耦接到上述至少一个私有网络端口的上述一个或多个设备的上述损害活动级别；以及

一数字逻辑损害防御模块，包括一处理器和内存，响应上述一个或多个设备的上述确定的损害活动级别，根据至少一规则，执行阻止、警报和通知等的一者。

2.根据权利要求1所述的网络损害活动监控系统，其特征在于，上述数字逻辑损害活动分析器还能够触及入口流量元数据，据此至少部分上述入口流量元数据用于确定上述一个或多个设备的上述损害活动级别。

3.根据权利要求2所述的网络损害活动监控系统，其特征在于，上述出口流量元数据和上述入口流量元数据是来自上述网络连接器流量记录。

4.根据权利要求3所述的网络损害活动监控系统，其特征在于，上述数字逻辑损害活动分析器还能够触及有关上述至少一个私有网络端口的私有网络端口元数据，据此至少部分上述私有网络端口元数据用于确定上述至少一个或多个设备的上述损害活动级别。

5.根据权利要求3所述的网络损害活动监控系统，其特征在于，上述损害防御模块是上述数字逻辑损害活动分析器的一部分。

6.根据权利要求5所述的网络损害活动监控系统，其特征在于，上述数字逻辑损害活动分析器是上述网络连接器的一部分。

7.根据权利要求3所述的网络损害活动监控系统，其特征在于，上述网络连接器是防火墙和路由器的一者。

8.一种网络设备损害活动分析器，其特征在于，包括：

一处理器；

与上述处理器耦接的一内存，包括可在处理器上执行的代码段，上述处理器用于：

(a)提取防火墙流量元数据，至少包括一防火墙的出口流量元数据的起源IP地址和目标IP地址；

(b)将上述出口流量元数据的上述起源IP地址与网络设备元数据匹配，上述网络设备元数据报括一损害转换表(CTT)，以识别上述出口数据封包的至少一个起源设备；

(c)将上述出口流量元数据的上述目标IP地址与可疑目标元数据匹配，以识别上述出口数据封包的可疑目标；

(d)根据上述出口流量元数据、上述网络设备元数据和上述可疑目标元数据，确定与上述至少一个起源设备相关的一损害活动级别；以及

(e)根据至少一条规则，基于上述确定的损害活动级别采取行动。

9.根据权利要求8所述的网络设备损害活动分析器，其特征在于，尚根据私有网络端口元数据确定一损害活动级别。

10.根据权利要求9所述的网络设备损害活动分析器，其特征在于，上述私有网络端口元数据关于上述防火墙的一个或多个私有端口。

11.根据权利要求8所述的网络设备损害活动分析器，其特征在于，(e)中所提到上述行动包括阻止、警报和通知等的至少一者。

12.根据权利要求8所述的网络设备损害活动分析器，其特征在于，针对每个设备，上述网络设备元数据报括一个IP地址和一个设备类型。

13.根据权利要求12所述的网络设备损害活动分析器，其特征在于，上述网络设备元数据尚包括一个或多个MAC地址、一技术名称、一组织名称和一部门名称中的一个或多个。

14.根据权利要求8所述的网络设备损害活动分析器，其特征在于，(b)包括：

创建上述出口流量元数据的一个或多个起源IP地址的一列表；以及

使用一个或多个起源IP地址的上述列表来搜寻CTT。

15.根据权利要求8所述的网络设备损害活动分析器，其特征在于，上述可疑目标元数据以一可内容检索的格式储存。

16.根据权利要求8所述的网络设备损害活动分析器，其特征在于，(c)包括：

创建上述出口流量元数据的一个或多个目标IP地址的一列表；以及

使用一个或多个目标IP地址的上述列表，质疑上述可疑目标元数据为可疑威胁元数据。

17.根据权利要求8所述的网络设备损害活动分析器，其特征在于，对上述出口流量元数据进行分析，以确定至一目标IP地址的出口流量的数据速率。

18.根据权利要求8所述的网络设备损害活动分析器，其特征在于，对上述出口流量元数据进行分析，通过一目标IP地址确定对一设备IP地址的联系或回拨活动。

19.根据权利要求18所述的网络设备损害活动分析器，其特征在于，对上述出口流量元数据进行分析，通过一目标IP地址确定对多个设备IP地址的联系或回拨活动。

20.一种用于监控网络设备损害活动的计算机实施方法，其特征在于，包括以下步骤：

向包括一数字处理器和内存的一损害活动分析器提供防火墙流量元数据，其中上述防火墙流量元数据至少包括具有上述防火墙出口流量的起源IP地址和目标IP地址的出口流量元数据；

将上述出口流量元数据的起源IP地址与包括一损害转换表(CTT)的网络设备元数据匹配，以识别上述出口数据封包的至少一个起源设备；

将上述出口流量元数据的目标IP地址与可疑目标元数据匹配；

根据上述出口流量元数据、上述网络设备元数据和上述可疑目标元数据，确定上述至少一个起源设备的一损害活动级别；以及

根据至少一规则，基于上述确定的损害活动级别采取行动。

21.根据权利要求20所述的计算机实施方法，其特征在于，包括对上述出口流量元数据进行分析，以确定高于一既定阀值的数据速率。

22.根据权利要求20所述的计算机实施方法，其特征在于，对上述出口流量元数据进行分析，以确定出口流量的频率和出口流量的模式中的至少一者。

23.根据权利要求20所述的计算机实施方法，其特征在于，对上述网络设备元数据进行分析，以确定设备的重要性。

24.根据权利要求20所述的计算机实施方法，其特征在于，对上述可疑目标元数据进行分析，以确定威胁严重程度。

25.一种非暂时的计算机可读媒体，其特征在于，包括在一数字处理器上可执行的代码段，用于监控网络设备损害活动，包括：

提供防火墙流量元数据的代码段，上述防火墙流量元数据至少包括出口流量源数据，其具有一防火墙的出口流量的起源IP地址和目标IP地址；

将上述出口流量元数据的起源IP地址与包括一损害转换表(CTT)的网络设备元数据匹配的代码段，以识别上述出口数据封包的至少一个起源设备；

根据上述出口流量元数据和上述网络设备元数据，确定至少一个起源设备的一损害活动级别的代码段；以及

根据至少一规则，以上述确定的损害活动级别采取行动的代码段。

26.根据权利要求25所述的非暂时性计算机可读媒体，其特征在于，对上述出口流量元数据进行分析，以确定高于一既定阀值的数据速率。

27.根据权利要求25所述的非暂时性计算机可读媒体，其特征在于，对上述出口流量元数据进行分析，以确定出口流量的频率和出口流量模式中的一者。

28.根据权利要求25所述的非暂时性计算机可读媒体，其特征在于，对上述网络设备元数据进行分析，以确定设备的重要性。

29.根据权利要求25所述的非暂时性计算机可读媒体，其特征在于，对上述可疑目标元数据进行分析，以确定威胁的严重程度。