具体实施方式

在本说明书的上下文中，可以使用以下惯例、术语和/或表达式：

术语”安全威胁”可以表示可能利用漏洞来破坏信息技术系统的安全并且因此引起可能的伤害的可能危险。该术语涉及计算机安全的技术领域并且描述由入侵者或入侵者系统对计算机或存储系统中的数据的潜在攻击、不允许访问或潜在破坏或操纵，或者接管对计算机、存储或通信系统的控制。安全线程通常源自网络攻击。

术语”网络攻击链”可以表示对计算机或类似系统的子攻击的序列。序列的每个阶段建立在前一个阶段上。存在具有七个并且还具有18个级别的网络攻击序列或链的理论模型。在本文档的过程中，术语“部分网络攻击的序列”、“网络攻击链”可以同义地使用。

术语”安全事件序列”可以表示每个部分网络攻击序列可以建立安全措施的违反，这些安全措施大部分在简单网络攻击防御系统的雷达下运行。第一组经常未检测到的攻击是可操作的以调查潜在目标，以便仅在最后阶段接管对被攻击系统的控制。

术语”第一网络攻击模式”可以表示在部分网络攻击序列中的第一攻击动作。在网络攻击链的七层模型中，这可能涉及侦查阶段或时期。

术语”相关性引擎”可以表示能够将事件与预定义模式相关联的系统，即，其是用于感测大量事件并准确指出在该大量信息中真正重要的少数事件的技术。这通过寻找并分析事件与预定义模式之间的关系来实现。可能需要一系列动作来检测相关性，如过滤、聚合、分析、掩蔽等。关联引擎用于执行关联机制。

术语”组预定义规则”在本文档的上下文中可以表示一组规则，IT环境中的安全系统的日志事件利用该组规则尝试检测网络攻击。

术语”危害指示符”(IoC)可以在计算机取证和IT安全性中指示在网络上或在操作系统中观察到的具有高置信度的指示计算机入侵的伪像(artifact)。典型的IoC是病毒签名和IP地址、恶意软件文件的MD5散列或僵尸网络命令和控制服务器的URL或域名。在事件响应和计算机取证的过程中已经识别了IoC之后，它们可以用于使用入侵检测系统和防病毒软件的未来攻击尝试的早期检测。已知的指示器通常在行业内交换。

术语”下游”可以表示在当前的部分网络攻击之后的部分网络攻击。例如，如果当前的部分网络攻击是期望的行或序列中的第二个，则下游的部分网络攻击是在第二个之后的部分网络攻击，即，第三个、第四个、第五个等等。

术语”恶意软件属性枚举和表征”(MAEC)(被发音为“mike”)是一种社区开发的结构化语言，用于基于属性(如行为、伪像和恶意软件样本之间的关系)编码和共享关于恶意软件的高保真度信息。通过消除恶意软件描述中当前存在的模糊性和不准确性并且通过减少对签名的依赖，MAEC旨在：(i)实现相关、集成和自动化；(ii)改进关于恶意软件的人与人、人与工具、工具与工具和工具与人的通信；(iii)通过启用利用对先前观察到的恶意软件实例的响应的能力来允许对策的更快发展；以及，(iv)减少研究者对恶意软件分析工作的潜在重复。

术语”结构化威胁信息表达式”(STIX)可以表示网络安全相关表达式的收集的表达式的储存库。STIX是定义和开发结构化语言以表示网络威胁信息的协作、社区驱动的努力。STIX语言传达潜在网络威胁信息的全部范围，并且努力是完全表现性的、灵活的、可扩展的、可自动的以及尽可能人类可读的。所有感兴趣方都欢迎参与作为其开放、协作社区的一部分的演化STIX。STIX用例包括(i)分析网络威胁；(ii)指定网络威胁的指示符模式；(iii)管理网络威胁预防和响应活动；(iv)共享网络威胁信息。

在下文中，将给出附图的详细描述。附图中的所有说明都是示意性的。首先，给出了用于动态地识别安全威胁的本发明的计算机实现的方法的实施例的框图，该安全威胁包括由攻击模式表示的部分网络攻击序列组成的网络攻击链。之后，将描述另外的实施例，以及用于动态地识别包括网络攻击链的安全威胁的安全信息和事件监视系统的实施例。

图1示出了用于动态地识别安全威胁的计算机实现的方法100的实施例的框图，安全威胁包括由攻击模式表示的部分网络攻击序列组成的网络攻击链。方法100包括接收102安全事件序列。可以从来自网络安全监视系统或SIEM系统的日志源接收安全事件。

作为第一步骤，方法100包括在所接收的安全事件序列中使用相关引擎通过应用一组预定义规则(具体为TTP规则，战术技术过程识别规则)的第一网络攻击模式，确定(104)用于检测所述网络攻击链的第一部分网络攻击的危害的指示符。由此第一部分网络攻击识别特定的网络攻击链。

此外，方法100包括确定(106)所识别的特定网络攻击链的第一部分网络攻击的模式中的类型和属性(那些集合中的至少一个)。由此，可能已经接收到活动的签名。

此外，方法100包括基于第一部分网络攻击的攻击模式中的类型和属性，为特定网络攻击链中的下游部分网络攻击配置(108)至少一个规则。由此，该方法准备SIEM系统以预期未来的部分网络攻击，使得与传统SIEM系统相比，可以用更少的资源并且更快地识别这些攻击。

最后但并非最不重要，方法100包括将至少一个配置的规则添加(110)到预定义规则的集合中以由关联引擎用于动态地识别对信息技术系统的安全威胁。

图2示出了网络攻击链的典型阶段的图200。已经证明，典型的网络安全攻击(如勒索马(ransomware)或木马(trojans))遵循彼此建立并使用来自之前步骤的信息的某个动作序列。典型的七步方法包括：

1侦察–入侵者选择目标，对其进行研究，并且尝试识别目标网络中的弱点。

2恶意设计–入侵者创建针对一个或多个弱点定制的远程访问恶意软件代理，如病毒或蠕虫。

3传送–入侵者将代理传输至目标(例如，经由电子邮件附件、网站或USB驱动器)。

4利用–恶意软件代理的程序代码触发，其在目标网络上采取行动来利用弱点。

5安装–恶意软件代理安装可由入侵者使用的接入点(例如，“后门”)。

6命令和控制–恶意软件使入侵者能够具有对目标网络的“键盘上的手”持久访问。

7目标动作–入侵者采取行动来实现其目标，如数据渗滤、数据破坏、或加密讨要赎金。

这种知识可以用于减少对抗网络安全链的努力。在传统方法中，来自n个不同源的每个安全事件–具体地，IP地址、电子邮件ID、文件散列、URL等–必须针对来自m个恶意软件活动的危害指示符的完整已知列表进行解析–在此还具体地，IP地址、电子邮件ID、文件散列、URL等。这必须乘以典型活动中涉及的步数；因此，必须做出7*n*m的不同确定，以便保护IT环境并且要求高系统资源利用率。

通过此处提出的概念，可以显著地减少这种努力：代替来自n个不同源的安全事件，仅必须搜索从n’个不同源的子集解析的安全事件以寻找IP地址、电子邮件ID文件散列、URL等。这必须与基于TTP的m’个恶意软件活动的一个子集的危害指示符的一个已知列表相乘：因此，7*n’*m’的乘积远小于上述7*n*m个不同确定的情况。因此，所提出的概念允许显著地降低系统资源利用以防止网络安全威胁。

总之，应用基于洞察的主动协调处理，而不是强力处理事件。通过优化的方法，可以在预定义的SIEM资源约束内实时完成足迹保护和网络攻击链的关联。

图3示出了传统事件检测和所提出的概念的基础的比较的框图300。可以注意到，时间箭头在顶部开始并且向下到达图的底部。该图的上半部示出了监控传入安全事件302的传统SIEM系统304。这些以传统方式进行管理，通常无需采用基于先前部分网络攻击的任何规则集。

因此，如果在“现在”时间接收到新事件306，则传统SIEM系统304以先前安全事件已经被处理的方式(即，根据或多或少的静态规则)来处理此新事件306。

在图3的下半部分中，描绘了根据所提出的概念的SIEM系统320。因为网络安全链根据具有部分网络攻击的某些阶段到来，这些部分网络攻击中的每一个可能不代表其自身中的威胁，所以新事件306可以由SIEM系统320识别为可以在“现在”时间之后接收的部分网络攻击的序列中的第一网络攻击。因此，未来事件308、...、318可以是完整网络攻击链的进一步阶段。现在，基于新事件306，在此提出的方法以及提出的SIEM系统320，通过配置规则以更容易地识别(在图3的情况下)已知属于所识别的网络安全链的未来事件308、312和318来准备其自身。这样，与传统方法相比，基于部分网络安全攻击链的网络安全攻击的检测、识别和确认可以被优化并且可以用更少的资源来执行。

图4示出了具有动态自适应和固定组件的规则集的结构的实施例的框图400。TTP识别规则402的集合中的每一个允许将n个事件属性与mn个损害指示符进行比较。活动特定规则404将仅一个或非常少的事件属性与危害指示符的短列表进行比较。因此，与通用规则引起的负载相比，来自活动特定规则404的负载是微小的。最后，通用规则406中的每一个与n个事件属性与mn危害指示符的比较有关。

网络安全攻击可以在网络安全攻击的不同阶段(具体地，阶段1至阶段7)作为一系列部分网络安全攻击而出现。在阶段P1至P7的每一个中可能存在部分网络安全攻击；然而，可能不需要在每个阶段执行单独的部分网络安全攻击。由此，仅活动3示出针对七个阶段中的每一个阶段的规则。其他活动(例如，活动1、2或c)仅示出了针对这些阶段的子集的规则。因为通常已知对于哪个阶段可以预期新的部分网络安全攻击，所以在处理这些特定阶段时可能仅需要配置和激活相关引擎的规则。

作为示例，考虑TTP数据库包括以下信息的勒索软件活动：

阶段1–重构：来自恶意IP地址a.b.c.d的网络扫描

阶段2–恶意设计：从域@benefit-city.com发送具有主题“你的邮件”或“你的照片”的电子邮件

阶段4–递送：具有散列密钥的恶意软件(反病毒签名4CB5F)

还未知的阶段4至7的细节

活动规则“中间件”包含触发违规的三个单独规则：

1.如果对于IP a.b.c.d“拒绝”防火墙事件的数量>100(通常，防火墙拒绝事件阈值的预定义值)，

2.如果电子邮件接收事件包括发件人＝“@benefit-city.com”并且(主题＝“mailfor you”或者主题＝“photo for you”)，或者

3.如果检测到具有散列密钥＝4CB5F的防病毒事件“存储在磁盘上的文件”。

此示例活动规则非常具体地检查几个针对几个已知的、恶意的值的属性；因此，它们仅引起规则引擎上的微小负载。还可注意，在图2的右侧，指示规则执行的假定次序408。

图5示出了使用主要构建块的所提出的概念的实施例的框图500。示出了两个主要构建块：相关引擎518和TTP特定规则集合识别符520。从事件收集器502接收安全事件，例如作为对一个或多个安全事件日志(未示出)的访问权限。关联引擎518访问TTP识别规则506，该规则506对照已知的危害指示符来匹配传入事件。已知的危害指示符触发TTP/MEAC识别符512以查询和映射关系并且识别来自TTP/MEAC储存库516的附加攻击模式。在冲突的匹配指示符已经识别了威胁性TTP(攻击模式)的情况下，规则开发引擎514将附加TTP转换成活动特定规则的小集合508并在相关引擎518中激活它。

规则执行器504还访问被实现为监视非网络攻击模式的通用规则510，例如，内部威胁(比较图4，408)。已知TTP/MEAC识别符的块512和网络攻击链的规则开发引擎514是TTP特定规则集合识别符520的主要构建块。

最后，在框504中执行的规则识别安全威胁的情况下，可触发警报生成器522。

图6示出从更详细的视角指示本发明构思的步骤的流程图600的框图。

本发明构思的方法包括以下步骤：使自适应相关能够支持针对相关规则的动态存储器分配，从而针对潜在安全事件检测全网络攻击链。

首先，安全事件602在经由一个或多个事件收集器从日志源收集之后被发送到事件预处理器。其次，安全事件由相关引擎队列管理器加载604和处理606，所述相关引擎队列管理器基于系统资源可用性来处理经过相关引擎的事件的数量。

然后，通过相关队列被处理的事件606经过相关规则执行器(比较506)，相关规则执行器将TTP识别规则集合加载到相关执行器。通过相关规则执行器中的规则检查来自队列的事件。一旦存在与事件和TTP识别相关规则匹配—情况“是”—规则引擎将分析(616)TTP以创建和/或修改用于完整链的规则。

另外，规则引擎将不断地检查TTP/MEAC储存库618以基于TTP/MAEC动态地开发适用于新的恶意软件活动的规则。使用关于TTP攻击模式和危害指示符的最新更新，周期性地更新激活的活动特定规则。

基于此，向规则执行器分别添加或加载(620)附加网络攻击序列规则，以便沿着整个网络攻击链监控附加的部分网络安全攻击。

如果在确定608期间(未发现匹配-情况“否”)。在610，通过活动特定规则(比较图4，404)和另外通用规则(比较图4，408)处理所接收的事件，并且在614，基于规则的肯定结果/确定(612)，警报将与所确定的网络攻击链级别一起被激活。

还可以注意的是，在确定608的“是”的情况下，还遵循流程图的分支“是，未来相关”。即，额外的网络攻击链规则被加载622到规则执行器，以沿着整个网络攻击链监视额外的网络安全攻击。然后，规则将应用于关于特定网络攻击链的置信度水平的映射(比较624)，并且基于规则的结果，警报将与所确定的网络攻击链水平一起被激活(614)。

出于完整性原因，图7示出了用于动态地识别安全威胁的安全信息和事件监视系统700的框图，安全威胁包括由攻击模式表示的部分网络攻击序列组成的网络攻击链。系统700包括适于接收安全事件序列的接收单元702和适于在所接收的安全事件序列中，通过应用一组预定义规则来检测所述网络攻击链的第一部分网络攻击的危害指示符，确定使用相关引擎的第一网络攻击模式，从而识别特定的网络攻击链的确定单元704。确定单元704还适于确定所识别的特定网络攻击链的第一部分网络攻击的模式中的类型和属性。

此外，系统700还包括配置单元706和添加模块708，配置单元706适于基于第一局部网络攻击的攻击模式中的类型和属性来配置用于特定网络攻击链中的下游部分网络攻击的至少一个规则，添加模块708适于将至少一个配置的规则添加到由相关性引擎用来动态地识别对信息技术系统的安全威胁的预定义规则集中。

本发明的实施例可以与几乎任何类型的计算机一起实现，而不管平台适于存储和/或执行程序代码。图8作为实例示出适于执行与所提出的方法相关的程序代码的计算系统800。

计算系统800仅是合适的计算机系统的一个实例，并且不旨在对在此描述的本发明的实施例的用途或功能的范围提出任何限制，而不管计算机系统800是否能够被实现和/或执行上文阐述的任何功能。在计算机系统800中，存在可与许多其他通用或专用计算系统环境或配置一起操作的组件。可以适合于与计算机系统/服务器800一起使用的众所周知的计算系统、环境和/或配置的示例包括，但不限于个人计算机系统、服务器计算机系统、瘦客户机、厚客户机，手持式或膝上型设备、多处理器系统、基于微处理器的系统、机顶盒、可编程消费电子产品，网络PC、小型计算机系统、大型计算机系统和包括任何上述系统或设备的分布式云计算环境，等等。计算机系统/服务器800可以在由计算机系统700执行的计算机系统可执行指令(诸如程序模块)的一般上下文中描述。一般而言，程序模块可包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、逻辑、数据结构等。计算机系统/服务器800可以在分布式云计算环境中实践，其中任务由通过通信网络链接的远程处理设备来执行。在分布式云计算环境中，程序模块可位于本地和远程计算机系统存储介质(包括存储器存储设备)两者中。

如图所示，计算机系统/服务器800以通用计算设备的形式示出。计算机系统/服务器800的组件可包含(但不限于)一或多个处理器或处理单元802、系统存储器804和将包含系统存储器804的不同系统组件耦合到处理器802的总线806。总线806表示若干类型的总线结构中的任一种总线结构中的一种或多种，包括存储器总线或存储器控制器、外围总线、加速图形端口、以及使用各种总线架构中的任一种的处理器或局部总线。作为示例而非限制，此类架构包括工业标准架构(ISA)总线、微通道架构(MCA)总线、增强型ISA(EISA)总线、视频电子标准协会(VESA)局部总线和外围组件互连(PCI)总线。计算机系统/服务器800通常包括各种计算机系统可读介质。这样的介质可以是可由计算机系统/服务器800访问的任何可用介质，并且它包括易失性和非易失性介质、可移动和不可移动介质两者。

系统存储器804可包含呈易失性存储器形式的计算机系统可读介质，例如随机存取存储器(RAM)808和/或高速缓冲存储器810。计算机系统/服务器800还可以包括其他可移动/不可移动、易失性/非易失性计算机系统存储介质。仅作为示例，存储系统812可被提供用于从不可移动、非易失性磁介质(未示出，并且通常被称为”硬盘驱动器”)读取和向其写入。虽然未示出，但是可以提供用于从可移除非易失性磁盘(例如，”软盘”)读取和向可移除非易失性磁盘写入的磁盘驱动器，以及用于从可移除非易失性光盘(诸如CD-ROM、DVD-ROM或其他光学介质)读取或向可移除非易失性光盘写入的光盘驱动器。在这样的实例中，每一个都可以通过一个或多个数据介质接口连接到总线806。如下面将进一步描绘和描述的，存储器804可以包括具有被配置为执行本发明的实施例的功能的一组(例如，至少一个)程序模块的至少一个程序产品。

具有一组(至少一个)程序模块816的程序/实用程序、以及操作系统、以及一个或多个应用程序、其他程序模块和程序数据可以存储在存储器804中，作为实例而非限制。操作系统、一个或多个应用程序、其他程序模块和程序数据中的每一者或其某一组合可包含联网环境的实施例。程序模块816通常执行本发明的实施例的功能和/或方法，如本文所述。

计算机系统/服务器800还可以与一个或多个外部设备818通信，诸如键盘、定点设备、显示器820等；使得用户能够与计算机系统/服务器800交互的一个或多个设备；和/或使计算机系统/服务器800能够与一个或多个其他计算设备通信的任何设备(例如，网卡、调制解调器等)。这样的通信可以经由输入/输出(I/O)接口814发生。再者，计算机系统/服务器800可以经由网络适配器822与诸如局域网(LAN)、通用广域网(WAN)和/或公共网络(例如，互联网)之类的一个或多个网络通信。如所描绘的，网络适配器822可以经由总线806与计算机系统/服务器800的其他部件通信。应当理解，尽管未示出，其他硬件和/或软件组件可以与计算机系统/服务器800结合使用。示例包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动器阵列、RAID系统、磁带驱动器和数据归档存储系统等。

此外，用于动态地识别包括网络攻击链的安全威胁的安全信息和事件监视系统700可以附接到总线系统806。

已经出于说明的目的呈现了本发明的不同实施例的描述，但不旨在是穷尽性的或局限于所披露的实施例。在不背离所描述的实施例的范围和精神的情况下，许多修改和变化对本领域的普通技术人员而言将是显而易见的。这里使用的术语被选择以最佳地解释实施例的原理、实际应用或对市场上存在的技术的技术改进，或者使得本领域普通技术人员能够理解这里公开的实施例。

本发明可以体现为系统、方法和/或计算机程序产品。所述计算机程序产品可包含上面具有计算机可读程序指令的计算机可读存储介质(或多个介质)，所述计算机可读程序指令用于致使处理器执行本发明的各方面。

该介质可以是用于传播介质的电子、磁性、光学、电磁、红外或半导体系统。计算机可读介质的示例可包括半导体或固态存储器、磁带、可移动计算机磁盘、随机存取存储器(RAM)、只读存储器(ROM)、刚性磁盘和光盘。光盘的当前示例包括致密盘只读存储器(CD-ROM)、致密盘读/写(CD-R/W)、DVD和蓝光盘。

计算机可读存储介质可以是可以保留和存储指令以供指令执行设备使用的有形设备。计算机可读存储介质可以是例如但不限于电子存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或前述各项的任何合适的组合。计算机可读存储介质的更具体例子的非穷举列表包括以下：便携式计算机盘，硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪存)，静态随机存取存储器(SRAM)、便携式致密盘只读存储器(CD-ROM)，数字通用盘(DVD)、记忆棒、软盘、机械编码设备(诸如穿孔卡片或具有记录在其上的指令的凹槽中的凸起结构)，以及上述的任意合适的组合。如本文中所使用的计算机可读存储介质不应被解释为瞬态信号本身，诸如无线电波或其他自由传播的电磁波、通过波导或其他传输介质传播的电磁波(例如，通过光纤电缆的光脉冲)、或通过导线传输的电信号。

本文描述的计算机可读程序指令可以从计算机可读存储介质下载到相应的计算/处理设备或经由网络(例如，互联网、局域网、广域网和/或无线网络)下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光传输光纤、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配器卡或网络接口从网络接收计算机可读程序指令，并转发计算机可读程序指令以存储在相应计算/处理设备内的计算机可读存储介质中。

用于执行本发明的操作的计算机可读程序指令可以是汇编程序指令，指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据，或者以一种或多种编程语言的任意组合编写的源代码或目标代码，包括面向对象的Smalltalk、C++等编程语言，以及常规的过程式编程语言，例如“C”编程语言或类似的编程语言。计算机可读程序指令可以完全地在用户的计算机上执行、部分地作为独立软件包在用户的计算机上执行、部分地在用户的计算机上部分在远程计算机上执行、或者完全地在远程计算机或服务器上执行。在后一种情形中，远程计算机可以通过任何类型的网络(包括局域网(LAN)或广域网(WAN))连接到用户的计算机，或者可以连接到外部计算机(例如，通过使用互联网服务提供商的互联网)。在一些实施例中，电子电路(包括例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA))可以通过利用计算机可读程序指令的状态信息来执行计算机可读程序指令以使电子电路个性化，以便执行本发明的各方面。

本文中参考根据本发明的实施例的方法、设备(系统)和计算机程序产品的流程图说明和/或框图描述本发明的方面。应当理解，流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合，都可以由计算机可读程序指令来实现。

这些计算机可读程序指令可以被提供给通用计算机的处理器，专用计算机或其他可编程数据处理装置，以产生机器，其通过计算机或其他可编程数据处理装置的处理器执行，创建用于实现在流程图和/或方框图的一个或多个方框中指定的功能/动作的装置。这些计算机可读程序指令还可存储在可指导计算机的计算机可读存储介质、可编程数据处理装置、和/或以特定方式起作用的其他设备中，使得具有存储在其中的指令的计算机可读存储介质包括制品，该制品包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各方面的指令。

计算机可读程序指令还可加载到计算机、其他可编程数据处理设备上，或者使得在计算机上执行一系列操作步骤的另一设备，其他可编程装置或其他设备，以产生计算机实现的过程，使得在计算机上执行的指令，其他可编程装置或另一设备实现流程图和/或框图中的一个或多个方框中规定的功能/动作。

附图中的流程图和/或框图示出了根据本发明的不同实施例的系统、方法和计算机程序产品的可能实现方式的架构、功能和操作。对此，流程图或框图中的每个方框可以代表模块、段或指令的一部分，其包括用于实现规定的逻辑功能的一个或多个可执行指令。在一些替代实现方式中，框中所标注的功能可以不以图中所标注的顺序发生。例如，取决于所涉及的功能，连续示出的两个框实际上可以基本上同时执行，或者这些框有时可以以相反的顺序执行。还将注意的是，框图和/或流程图中的每个框、以及框图和/或流程图中的框的组合可以由基于专用硬件的系统来实现，所述基于专用硬件的系统执行指定的功能或动作或执行专用硬件与计算机指令的组合。

在此所使用的术语仅用于描述具体实施例的目的并且不旨在限制本发明。如在此使用的，单数形式“一个”、“一种”和“该”旨在也包括复数形式，除非上下文另外清楚地指示。将进一步理解的是，当在本说明书中使用术语“包括(comprises)”和/或“包括(comprising)”时，其指定所陈述的特征、整体、步骤、操作、元件和/或组件的存在，但是不排除一个或多个其他特征、整体、步骤、操作、元件、组件和/或其组的存在或添加。

以下权利要求书中的所有装置或步骤加上功能元件的对应结构、材料、动作和等效物旨在包括用于结合其他要求保护的元件(如具体要求保护的)来执行功能的任何结构、材料或动作。本发明的描述是出于说明和描述的目的而呈现的，但不旨在是穷尽性的或局限于所披露的形式的本发明。在不脱离本发明的范围和精神的情况下，许多修改和变化对本领域的普通技术人员将是显而易见的。选择和描述这些实施例是为了最好地解释本发明的原理和实际应用，并且使得本领域的普通技术人员能够针对适合于所考虑的具体用途的具有不同修改的不同实施例理解本发明。

总之，已经讨论了在以下编号的方案中指定的不同实施例：

1.一种用于动态地识别安全威胁的计算机实现的方法，所述安全威胁包括由由攻击模式表示的部分网络攻击序列组成的网络攻击链，所述方法包括：

-接收安全事件序列，

-在所接收的安全事件序列中，通过应用用于检测网络攻击链的第一部分网络攻击的危害指示符的预定规则集合，使用关联引擎确定第一网络攻击模式，从而识别特定的网络攻击链，

-确定所述识别的特定网络攻击链的所述第一部分网络攻击的模式中的类型和属性，

-基于所述第一部分网络攻击的攻击模式中的所述类型和所述属性，为所述特定网络攻击链中的下游部分网络攻击配置至少一个规则，

-将所述至少一个配置的规则添加到要由所述关联引擎用于动态地识别对信息技术系统的安全威胁的所述预定义规则集合。

2.如方案1所述的方法，进一步包括：

-通过应用所述配置的至少一个规则来检测所述网络攻击链的所述第二网络攻击中的第二危害指示符，使用所述关联引擎在所述接收的安全事件序列中确定第二网络攻击模式。

3.如方案1或2所述的方法，其中，所述规则集合使用关于恶意软件属性枚举和表征的信息以及结构化威胁信息表达式的信息。

4.如方案3所述的方法，进一步包括：

-通过添加新的危害指示符来连续地更新所述预定义规则集合。

5.如前述方案中任一项所述的方法，其中所述将所述至少一个配置的规则添加到所述规则集合是通过以下操作执行的：

-选择性地配置和/或激活相关规则，

-对所述规则分组，和/或

-相对于通用规则对所述配置和添加的至少一个规则进行优先级排序。

6.如前述方案中任一项所述的方法，其中，所述配置用于下游部分网络攻击的所述至少一个规则包括：

-使用关于识别来自储存库的规则、恶意软件属性枚举和表征以及结构化威胁信息表达式的策略技术过程的数据。

7.如前述方案中任一项所述的方法，所述配置用于下游部分网络攻击的所述至少一个规则进一步包括：

-在所述识别的特定网络攻击链的所述第一部分网络攻击的所述模式中配置涉及与所述确定的类型和属性有关的网络攻击链的典型下游部分网络攻击的附加规则。

8.如方案1所述的方法，进一步包括：

-在确定了对应于一个网络攻击链的预定义数量的后续部分安全攻击之后，触发警报信号。

9.如前述方案中任一项所述的方法，进一步包括：

-如果确定所述特定网络攻击链的风险值降低到预定风险阈值以下，则移除用于所述规则集合中的所述特定网络攻击链中的下游部分网络攻击的所述至少一个配置的规则。

10.如方案9所述的方法，进一步包括：

-如果使用所述至少一个配置的规则的关联引擎在预定义时间内没有确定下游网络攻击模式，则移除用于所述特定网络攻击链中的下游部分网络攻击的所述至少一个配置的规则。

11.如方案9所述的方法，其中，包括：

-从所述恶意软件属性枚举和表征和结构威胁信息表达式的储存库中移除与用于所述规则集中的所述特定网络攻击链中的下游部分网络攻击的至少一个配置的规则相关的规则。

12.一种用于动态识别安全威胁的安全信息和事件监测系统，所述安全威胁包括由由攻击模式表示的部分网络攻击序列组成的网络攻击链，所述系统包括：

-接收单元，被适配成用于接收安全事件序列，

-确定单元，被适配成用于在所接收的安全事件序列中，通过应用用于检测网络攻击链的第一部分网络攻击的危害指示符的预定规则集合，使用关联引擎确定第一网络攻击模式，从而识别特定的网络攻击链，

-其中，所述确定单元还被适配成用于确定所述识别的特定网络攻击链的所述第一部分网络攻击的模式中的类型和属性，

-配置单元，被适配成用于基于所述第一部分网络攻击的攻击模式中的所述类型和所述属性，为所述特定网络攻击链中的下游部分网络攻击配置至少一个规则，

-添加模块，被适配成用于将所述至少一个配置的规则添加到要由所述关联引擎用于动态地识别对信息技术系统的安全威胁的所述预定义规则集合。

13.如方案12所述的系统，其中所述确定单元还适于：

-通过应用所述配置的至少一个规则来检测所述网络攻击链的所述第二网络攻击中的第二危害指示符，使用所述关联引擎在所述接收的安全事件序列中确定第二网络攻击模式。

14.如方案12或13所述的系统，其中所述规则集合适于：

-使用关于恶意软件属性枚举和表征的信息以及结构化威胁信息表达式的信息。

15.如方案14所述的系统，其还包括：

-更新单元，该更新单元被适配成用于通过添加新的危害指示符来连续地更新所述预定义规则集合。

16.如方案13至15中任一项所述的系统，其中所述添加模块还适于：

-选择性地配置和/或激活相关规则，

-对所述规则分组，和/或

-相对于通用规则对所述配置和添加的至少一个规则进行优先级排序。

17.如前述方案13至17中任一项所述的系统，进一步包括：

-储存库，用于存储将由所述指令用于配置的关于识别规则、恶意软件属性枚举和表征和结构化威胁信息表达式的策略技术过程的数据。

18.如前述方案13至18中任一项所述的系统，其中，所述配置单元在配置用于下游部分网络攻击的所述至少一个规则时还适于：

-在所述识别的特定网络攻击链的所述第一部分网络攻击的所述模式中配置涉及与所述确定的类型和属性有关的网络攻击链的典型下游部分网络攻击的附加规则。

19.如以上方案13至18中任一项所述的系统，进一步包括：

-报警单元，该报警单元被适配成用于在确定了对应于一个网络攻击链的预定义数量的后续部分安全攻击之后，触发警报信号。

20.如前述方案13至19中任一项所述的系统，进一步包括：

-移除模块，适于如果确定所述特定网络攻击链的风险值降低到预定风险阈值以下，则移除用于所述规则集合中的所述特定网络攻击链中的下游部分网络攻击的所述至少一个配置的规则。

21.如方案20所述的系统，其中所述移除模块还适于：

-如果确定使用所述至少一个配置的规则的所述关联引擎在预定义时间内没有确定下游网络攻击模式，移除用于所述特定网络攻击链中的下游部分网络攻击的所述至少一个配置的规则。

22.如方案20所述的系统，其中所述移除模块还适于：

-将与至少一个配置的规则相关的规则从预定义规则集合中移除。

23.一种用于动态地识别安全威胁的计算机程序产品，所述安全威胁包括由由攻击模式表示的部分网络攻击序列组成的网络攻击链，所述计算机程序产品包括计算机可读存储介质，所述计算机可读存储介质具有随其体现的程序指令，所述程序指令可由一个或多个计算系统或控制器执行以使得所述一个或者多个计算系统：

-接收安全事件序列，

-在所接收的安全事件序列中，通过应用用于检测网络攻击链的第一部分网络攻击的危害指示符的预定规则集合，使用关联引擎确定第一网络攻击模式，从而识别特定的网络攻击链，

-确定所述识别的特定网络攻击链的所述第一部分网络攻击的模式中的类型和属性，

-基于所述第一部分网络攻击的攻击模式中的所述类型和所述属性，为所述特定网络攻击链中的下游部分网络攻击配置至少一个规则，

-将所述至少一个配置的规则添加到要由所述关联引擎用于动态地识别对信息技术系统的安全威胁的所述预定义规则集合。