恶意指标的自动提取和分类制造技术

公开了用于生成可操作的损害指标

【技术实现步骤摘要】
【国外来华专利技术】恶意指标的自动提取和分类

技术介绍

[0001]不道德的个人试图以各种方式损害计算机系统
。
作为一个示例，这样的个人可以在电子邮件附件中嵌入或以其他方式包括恶意的软件
(“恶意软件”)
，并且传送
(
或使恶意软件被传送
)
给没有疑心的用户
。
当被执行时，恶意软件损害受害者的计算机
。
某些类型的恶意软件会指令受损害的计算机与远程主机通信
。
例如，恶意软件可以将受损害的计算机变成“僵尸网络”中的“僵尸程序”，在不道德的个人的控制下从命令和控制
(C&C)
服务器接收指令和
/
或向命令和控制
(C&C)
服务器报告数据
。
减轻由恶意软件造成的危害的一种方法是安全公司
(
或其他适当的实体
)
尝试标识恶意软件并防止它到达终端用户计算机
/
在终端用户计算机上执行
。
另一种方法是试图阻止受损害的计算机与
C&C
服务器通信
。
不幸的是，恶意软件作者正在使用越来越复杂的技术来混淆他们软件的工作方式
。
因此，存在对检测恶意软件并防止其伤害的改进技术的持续存在的需要
。
附图说明
[0002]在以下具体实施方式和所附附图中公开了本专利技术的各种实施例
。
[0003]图1示出了实施策略的环境的示例
。
[0004]图
2A
示出了数据设备的实施例
。
[0005]图
2B
示出了数据设备的实施例的逻辑组件
。
[0006]图
2C
示出了数据设备的实施例
。
[0007]图3示出了自动损害指标提取系统的实施例
。
[0008]图4示出了用于生成可操作的损害指标的过程的实施例
。
[0009]图
5A
示出了用户可见文本的一部分
。
[0010]图
5B
示出了与图
5A
中所示文本相对应的源代码
。
具体实施方式
[0011]本专利技术可以以多种方式实现，包括作为一种过程；一种设备；一种系统；一种物质组合物；一种在计算机可读存储介质上体现的计算机程序产品；和
/
或一种处理器，诸如被配置成执行存储在耦合到处理器的存储器上和
/
或由耦合到处理器的存储器提供的指令的处理器
。
在本说明书中，这些实施方式或者本专利技术可以采取的任何其他形式都可以被称为技术
。
通常，在本专利技术的范围内，可以改变所公开的过程步骤的顺序
。
除非另外陈述，否则被描述为被配置成执行任务的诸如处理器或存储器的组件可以被实现为临时被配置成在给定时间执行任务的通用组件或被制造成执行任务的特定组件
。
如本文所使用的，术语“处理器”是指被配置成处理诸如计算机程序指令之类数据的一个或多个装置
、
电路和
/
或处理核
。
[0012]下面提供本专利技术的一个或多个实施例的详细描述以及示出本专利技术原理的附图
。
结合这样的实施例描述本专利技术，但本专利技术并不局限于任何实施例
。
本专利技术的范围仅由权利要求来限定，并且本专利技术包含许多替代
、
修改和等效物
。
在以下描述中阐述了许多具体细节，
以便提供对本专利技术的透彻理解
。
这些细节是出于示例的目的而提供的，并且本专利技术可以根据权利要求在不需要这些具体细节中的一些或全部的情况下来实践
。
为了清楚起见，没有详细描述与本专利技术相关的
中已知的技术材料，使得不会不必要地模糊了本专利技术
。
[0013]I.
概述
[0014]防火墙一般保护网络不受未授权的访问，同时允许授权的通信通过防火墙
。
防火墙通常是为网络访问提供防火墙功能的一个装置
、
一组装置
、
或在装置上执行的软件
。
例如，防火墙可以集成到装置
(
例如，计算机
、
智能电话
、
或其他类型的具有网络通信能力的装置
)
的操作系统中
。
防火墙还可以被集成到各种类型的装置中或作为一个或多个软件应用在各种类型的装置上执行，所述装置诸如是计算机服务器
、
网关
、
网络
/
路由装置
(
例如，网络路由器
)
和数据设备
(
例如，安全设备或其他类型的专用装置
)
，并且在各种实施方式中，某些操作可以在专用硬件上实现，诸如在
ASIC
或
FPGA
上实现
。
[0015]防火墙通常基于规则集来拒绝或允许网络传送
。
这些规则集通常被称为策略
(
例如，网络策略或网络安全策略
)。
例如，防火墙可以通过应用规则集或策略来过滤入站业务，以防止不想要的外部业务到达受保护装置
。
防火墙还可以通过应用规则集或策略
(
例如，可以在防火墙规则或防火墙策略中指定允许
、
阻止
、
监测
、
通知或记录和
/
或其他动作，其可以基于诸如本文所描述的各种标准来触发
)
来过滤出站业务
。
防火墙还可以通过类似地应用规则集或策略来过滤本地网络
(
例如，内联网
)
业务
。
[0016]安全装置
(
例如，安全设备
、
安全网关
、
安全服务和
/
或其他安全装置
)
可以包括各种安全功能
(
例如，防火墙
、
反恶意软件
、
入侵预防
/
检测
、
数据丢失预防
(DLP)
和
/
或其他安全功能
)、
联网功能
(
例如，路由
、
服务质量
(QoS)、
网络相关资源的工作负荷平衡和
/
或其他联网功能
)
和
/
或其他功能
。
例如，路由功能可以基于源信息
(
例如，
IP
地址和端口
)本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.
一种系统，包括：处理器，所述处理器被配置成：接收损害指标
(IOC)
潜在源的集合；从所述潜在源的集合中包括的至少一个源中提取一个或多个候选
IOC
；从所述一个或多个候选
IOC
中自动标识可操作的
IOC
；和向安全实施服务提供所述可操作的
IOC
；以及存储器，所述存储器耦合到所述处理器并被配置成向所述处理器提供指令
。2.
根据权利要求1所述的系统，其中所述处理器还被配置成标识新的潜在源以添加到所述潜在源的集合
。3.
根据权利要求1所述的系统，其中提取所述一个或多个候选
IOC
包括确定
URL
是否被无效化
。4.
根据权利要求3所述的系统，其中提供所述可操作的
IOC
包括撤销无效化
URL。5.
根据权利要求1所述的系统，其中提取所述一个或多个候选
IOC
包括对图像执行光学字符识别
。6.
根据权利要求1所述的系统，其中所述处理器被配置成周期性地爬取所述潜在源的集合
。7.
根据权利要求1所述的系统，其中自动标识所述可操作的
IOC
包括使用基于规则的分类来分析所述一个或多个候选
IOC。8.
根据权利要求1所述的系统，其中自动标识所述可操作的
IOC
包括使用基于机器学习的分类来分析所述一个或多个候选
IOC。9.
根据权利要求1所述的系统，其中自动标识所述可操作的
IOC
包括将列入白名单的域排除作为候选
IOC。10.
根据权利要求9所述的系统，其中至少部分基于流行度度量将所述域列入白名单
...

【专利技术属性】
技术研发人员：J，
申请(专利权)人：帕洛阿尔托网络公司，
类型：发明
国别省市：