用戶行為風險評估的制作方法
【專利摘要】識別與計算系統(tǒng)的至少一個特定用戶相關(guān)聯(lián)的預定的特定行為簡檔���,所述特定行為簡檔標識所述至少一個用戶在所述計算系統(tǒng)內(nèi)的預期行為���。識別與所述特定用戶對所述計算系統(tǒng)的使用相關(guān)聯(lián)的活動,并確定所識別的活動是否與所述特定行為簡檔有關(guān)����。識別出與所述特定行為簡檔偏離超出特定閾值的活動,觸發(fā)與所述特定用戶有關(guān)的風險事件���。
【專利說明】用戶行為風險評估
[0001]本申請依據(jù)35U.S.C.§ 120要求享有于2011年10月18日提交的���、名稱為“USERBEHAVIORAL RISK ASSESSMENT”的美國臨時專利申請序列號61/548,276以及于2011年10月18日提交的����、名稱為“USER BEHAVIORAL RISK ASSESSMENT”的美國臨時專利申請序列號61/548�����,292的優(yōu)先權(quán)權(quán)益����,這兩個臨時申請中的每一個均通過引用的方式整個地并入本文���。
【技術(shù)領(lǐng)域】
[0002]本公開內(nèi)容一般涉及計算機安全領(lǐng)域��,并且更具體地,涉及計算系統(tǒng)的風險評估���?����!颈尘凹夹g(shù)】
[0003]互聯(lián)網(wǎng)已經(jīng)使得全世界范圍的不同計算機網(wǎng)絡能夠互連����。然而�,有效地保護并維持穩(wěn)定的計算機和系統(tǒng)的能力給組件制造商、系統(tǒng)設計者���、計算機和網(wǎng)絡操作員呈現(xiàn)了嚴重的障礙���。由于惡意軟件編寫者利用的不斷演進的一些列手段以及易于受到這樣的威脅和其它威脅的攻擊的新計算設備和軟件的從未停止的開發(fā)����,使得這種障礙變得甚至更加復雜��?�?梢詾橛嬎阍O備和環(huán)境評估風險���,并且風險可以基于相應計算設備上所呈現(xiàn)的漏洞以及計算設備所遭受的風險�。管理員可以利用為他們的系統(tǒng)���、環(huán)境以及利用這些環(huán)境和系統(tǒng)的那些人所計算的風險分數(shù)���,來理解何種安全弱點和風險擺在系統(tǒng)面前以及風險的量和系統(tǒng)內(nèi)最受風險影響的設備。通常是人類的活動給計算機和網(wǎng)絡系統(tǒng)創(chuàng)造了風險���。
【專利附圖】
【附圖說明】
[0004]圖1是根據(jù)一個實施例的包括一個或多個風險評估工具的示例性計算系統(tǒng)的簡化示意圖��;
[0005]圖2是根據(jù)一個實施例的包括示例性的行為風險評估模塊的示例性系統(tǒng)的簡化框圖��;
[0006]圖3A-3C表示根據(jù)至少一些實施例使用示例性的行為風險評估工具對行為風險事件的示例性識別��;
[0007]圖4A-4C示出了根據(jù)至少一些實施例相對于示例性風險基準線來評估行為風險的例子;
[0008]圖5A-5B表示根據(jù)至少一些實施例由示例性的基于客戶端的行為風險代理執(zhí)行的示例性任務;
[0009]圖6表示根據(jù)至少一些實施例考慮了系統(tǒng)內(nèi)的行為風險的組合風險評估���;以及
[0010]圖7A-7C是示出了與系統(tǒng)的至少一些實施例相關(guān)聯(lián)的示例性操作的簡化流程圖。
[0011]在各附圖中類似的 參考數(shù)字和符號表示類似的元件�。
【具體實施方式】
[0012]MM[0013]通常,本說明書中描述的主題的一個方案可以體現(xiàn)在方法中�,所述方法包括以下動作:識別與計算系統(tǒng)的至少一個特定用戶相關(guān)聯(lián)的預定的特定行為簡檔,所述特定行為簡檔標識所述至少一個用戶在所述計算系統(tǒng)內(nèi)的預期行為��;識別與所述特定用戶對所述計算系統(tǒng)的使用相關(guān)聯(lián)的活動�;以及確定所識別的活動是否與所述特定行為簡檔有關(guān)��。識別出與所述特定行為簡檔偏離超出特定閾值的活動可以觸發(fā)與所述特定用戶有關(guān)的風險事件���。
[0014]此外��,在另一通用方案中�,可以提供一種系統(tǒng)�����,其包括至少一個處理器設備、至少一個存儲器元件和用戶行為風險分析引擎����。所述用戶行為風險分析引擎在被處理器執(zhí)行時可以:識別與計算系統(tǒng)的至少一個特定用戶相關(guān)聯(lián)的預定的特定行為簡檔,所述特定行為簡檔標識所述至少一個用戶在所述計算系統(tǒng)內(nèi)的預期行為��;識別與所述特定用戶對所述計算系統(tǒng)的使用相關(guān)聯(lián)的特定活動���;以及確定所述特定的所識別的活動是否與所述特定行為簡檔偏離超出特定閾值�����。
[0015]這些以及其它實施例均可以可選地包括以下特征中的一個或多個�。沒有偏離超過特定閾值的活動可以充分被認為與特定行為簡檔一致���,并且不觸發(fā)風險事件���。至少一個特定的所識別的活動可以被識別為偏離特定行為風險簡檔但是處于特定閾值內(nèi),并且可以至少部分地基于該至少一個特定的所識別的活動來修改特定行為簡檔����。特定行為簡檔可以是基于用戶的行為簡檔,其基于多個輸入�����,所述多個輸入描述特定用戶在計算系統(tǒng)中的之前活動����。可以識別與計算系統(tǒng)的第二用戶相關(guān)聯(lián)的第二基于用戶的行為簡檔��,可以識別與第二用戶對計算系統(tǒng)的使用相關(guān)聯(lián)的活動�,并且可以確定第二用戶的所識別的活動是否與第二基于用戶的行為簡檔有關(guān),并且偏離第二行為簡檔超出特定閾值的活動可以觸發(fā)與第二用戶有關(guān)的風險事件�����。第一和第二可以包括在計算機系統(tǒng)內(nèi)的多個用戶中�����,并且多個用戶中的每個用戶可以具有至少一個相應的基于用戶的行為簡檔���。可以至少部分地基于多個用戶的基于用戶的行為簡檔來為計算系統(tǒng)確定聚合的風險簡檔��。為計算系統(tǒng)確定聚合的風險簡檔可以包括:識別計算系統(tǒng)中的特定計算設備與特定用戶之間的關(guān)聯(lián)��;確定該特定計算設備的設備風險簡檔;以及至少部分地基于特定計算設備的設備風險簡檔和該特定計算設備的特定用戶的特定行為簡檔來確定與該特定計算設備相關(guān)聯(lián)的組合風險�。確定組合風險可以包括:從特定行為簡檔中識別特定用戶的行為趨勢,其與從特定計算設備的設備風險簡檔中識別的特定計算設備的特定漏洞相對應�����。
[0016]此外����,實施例可以包括附加的以下特征中的一個或多個。特定行為簡檔可以是基于組的行為簡檔�����,其基于來自計算系統(tǒng)的一組用戶中的多個用戶的多個輸入����,所述多個輸入描述所述一組用戶在計算系統(tǒng)中的之前活動。所述一組用戶可以是商業(yè)單元���、特定地理位置中的用戶�、具有特定雇傭狀態(tài)的用戶�、一個組織的特定部門中的用戶、計算系統(tǒng)的全部識別的用戶的集合以及其它例子。特定行為簡檔可以基于多個輸入���,所述多個輸入是從計算系統(tǒng)內(nèi)的用于提供安全服務的多個安全工具接收到的���。響應于確定出特定用戶的特定活動偏離特定行為簡檔超出特定閾值,可以發(fā)起對策的部署��,所述對策與該特定活動所觸發(fā)的特定風險事件相對應����。可以使用多個安全工具中的至少一個來部署對策�。多個安全工具可以包括防火墻、網(wǎng)頁網(wǎng)關(guān)�、郵件網(wǎng)關(guān)、主機入侵保護(HIP)工具���、網(wǎng)絡入侵保護(NIP)工具����、反惡意軟件工具���、數(shù)據(jù)丟失保護(DLP)工具、系統(tǒng)漏洞管理器�����、系統(tǒng)策略服從管理器、資產(chǎn)臨界工具和/或安全信息管理(SIM)工具以及其它例子中的兩個或全部��。至少一個輸入可以源自基于主機的安全工具���,其操作在計算系統(tǒng)中的被識別為由特定用戶使用的至少一個終端用戶計算設備上��,基于主機的安全工具可以用于監(jiān)測終端用戶計算設備的用戶在終端用戶計算設備處的行為���,以用戶檢測對計算系統(tǒng)的用戶行為規(guī)則的違背?��?梢允褂脧幕谥鳈C的安全工具對終端用戶計算設備的監(jiān)測中檢測到的對用戶行為規(guī)則的違背����,來證實所確定的與特定行為簡檔的偏離�。特定行為簡檔可以包括特定用戶的多個分類風險簡檔,每個分類風險簡檔描述特定用戶關(guān)于系統(tǒng)使用的相應類別的所確定的趨勢�。
[0017]一些或全部特征可以是計算機實現(xiàn)的方法,或者進一步包括在用于執(zhí)行這種描述的功能的相應系統(tǒng)或其它設備中��。在附圖和以下描述中給出本公開內(nèi)容的這些以及其它特征、方面和實現(xiàn)的細節(jié)��。根據(jù)描述和附圖以及根據(jù)權(quán)利要求�����,本公開內(nèi)容的其它特征��、目的和優(yōu)點將是顯而易見的���。
[0018]示例件實施例
[0019]圖1是示出了計算系統(tǒng)100的示例性實現(xiàn)的簡化框圖��,計算系統(tǒng)100包括供與一個組織相關(guān)聯(lián)的多個用戶(例如130�����、135)中的任何一個使用的多個終端用戶計算設備(例如����,105���、110�����、115���、120、125)�。所述組織或企業(yè)可以包括企業(yè)計算系統(tǒng)140,其使用企業(yè)計算網(wǎng)絡145��,例如企業(yè)計算系統(tǒng)145所使用的局域網(wǎng)(LAN)��、虛擬專用網(wǎng)(VPN)��、無線局域網(wǎng)(WiLAN)等�����。終端用戶計算設備(105��、110���、115�����、120���、125)可以用在企業(yè)計算系統(tǒng)140和企業(yè)網(wǎng)絡145中(下文統(tǒng)稱為企業(yè)系統(tǒng)140)���,并且可以訪問、修改��、創(chuàng)建���、運行����、刪除或者以其他方式使用企業(yè)系統(tǒng)140的資源�����。此外����,在一些實例中,一些設備(例如115)可以被一個組織內(nèi)的多個用戶訪問和使用�,例如作為各個用戶130、135可以登陸并使用的共享機器���。
[0020]此外�,終端用戶設備105、110�、115、120�、125還可以用于通過公共網(wǎng)絡(例如互聯(lián)網(wǎng))或不與企業(yè)系統(tǒng)140相關(guān)聯(lián)的其它專用網(wǎng)來訪問遠離企業(yè)系統(tǒng)140并且與企業(yè)系統(tǒng)140未關(guān)聯(lián)的其它資源,包括服務器150��、155����、160�、165所擁有基于網(wǎng)頁的應用以及資源和服務。例如����,在一些例子中,企業(yè)系統(tǒng)140內(nèi)的用戶在連接到企業(yè)系統(tǒng)140及其網(wǎng)絡145時����,可以通過企業(yè)網(wǎng)絡145訪問互聯(lián)網(wǎng)170和基于網(wǎng)頁的資源。此外����,在使用移動計算設備(例如膝上型計算機、平板電腦和智能電話計算設備)的現(xiàn)代企業(yè)中����,用戶130�����、135在不同的環(huán)境中以及離開(物理地以及邏輯地)企業(yè)系統(tǒng)140使用他們的設備105�����、110�����、115�、120����、125并不是不常見的。例如�����,可以給用戶130�、135分配工作分發(fā)膝上型計算機(例如110、125)以供在企業(yè)系統(tǒng)140內(nèi)使用�。然而�����,在工作日結(jié)束時�����,被分發(fā)的用戶130��、135可能能夠?qū)⒃O備帶回家���,連接到私有家庭網(wǎng)絡���、WiFi熱點����、移動寬帶網(wǎng)絡等����,并經(jīng)由例如VPN連接來訪問企業(yè)系統(tǒng)140,以及將該設備(例如105����、110�、120�����、125)用于私有使用�,例如網(wǎng)上沖浪。
[0021]通常��,包括在系統(tǒng)100中使用的設備在內(nèi)的“服務器”���、“客戶端”以及“計算設備”可以包括電子計算設備���,用于接收、發(fā)送�、處理、存儲或管理與系統(tǒng)100相關(guān)聯(lián)的數(shù)據(jù)和信息���。如本文檔中所使用的��,術(shù)語“計算機”�、“計算設備”�����、“處理器”或“處理設備”旨在涵蓋任何適當?shù)奶幚碓O備。例如�����,可以使用除了服務器(包括服務器池)以外的計算機來實現(xiàn)系統(tǒng)100����。此外,計算設備中的任何一個�����、全部或一些可以用于執(zhí)行任意操作系統(tǒng)(包括Linux�、UNIX、Windows Server等)以及用于對特定操作系統(tǒng)(包括定制的和專屬的操作系統(tǒng))的執(zhí)行進行虛擬化的虛擬機器�����。
[0022]服務器���、客戶端和計算設備(例如,105��、110、115��、120���、125�、140��、150����、155、160�����、165)均可以包括一個或多個處理器�����、計算機可讀存儲器以及一個或多個接口以及其它特征和硬件�����。計算設備105�����、110、115���、120�����、125��、140�����、150��、155��、160�、165可以包括任意適當?shù)能浖?br>
組件或模塊或者能夠支持����、服務����、訪問或以其他方式使用軟件應用和服務(包括本地安裝的��、基于網(wǎng)頁的����、分布式的����、企業(yè)的和/或基于云的軟件應用)的計算設備。例如�����,服務器(例如����,140)可以被配置為支持、服務或以其他方式管理網(wǎng)頁服務或應用��,例如基于SOA的服務或企業(yè)網(wǎng)頁服務�����、或者與其它企業(yè)服務交互���、協(xié)調(diào)或取決于其它企業(yè)服務的應用(包括集中于安全的應用)��。在一些實例中�,服務器、系統(tǒng)���、子系統(tǒng)或計算設備可以被實現(xiàn)成計算設備的某種組合����,其可以宿主在例如公共計算系統(tǒng)�、服務器、服務器池或云計算元件中�,并且共享計算資源(包括共享的存儲器、處理器和接口)����。
[0023]終端用戶設備105、110�����、115��、120��、125可以包括臺式計算機����、膝上型計算機和平板計算設備以及其它計算設備,例如智能電話�、個人數(shù)字助理、視頻游戲控制機����、支持互聯(lián)網(wǎng)的電視機以及通過一種或多種無線技術(shù)和協(xié)議能夠無線地連接到至少部分有線的網(wǎng)絡的其它設備。終端設備105�、110、115����、120、125的屬性可以隨著設備廣泛地不同����,包括操作系統(tǒng)和所加載、安裝�����、運行�、操作或以其他方式供設備訪問的軟件程序的集合���。設備的程序集合可以包括操作系統(tǒng)、應用�����、插件��、小應用程序�、虛擬機、機器映像��、驅(qū)動程序����、可執(zhí)行文件以及能夠被相應設備(例如,105����、110、115�、120、125)運行��、執(zhí)行或以其他方式使用的其它基于軟件的程序��。其它設備屬性還可以包括連接到設備或以其他方式對于設備是可訪問的外圍設備以及設備適合于的網(wǎng)絡技術(shù)的類型���。
[0024]每個終端設備可以包括至少一個圖形顯示設備以及用戶接口,其允許用戶觀看以及與系統(tǒng)100中提供的應用和其它程序的圖形用戶界面進行交互���。通常��,終端設備可以包括電子計算設備����,用于接收、發(fā)送、處理并存儲與圖1的軟件環(huán)境相關(guān)聯(lián)的任意適當數(shù)據(jù)�。將理解的是�����,可能存在任意數(shù)量的與系統(tǒng)100相關(guān)聯(lián)的終端設備以及任意數(shù)量的位于系統(tǒng)100之外的終端設備��。此外����,術(shù)語“客戶端”、“終端設備”和“用戶”在適當時可以相交換地使用�����,而不脫離本公開內(nèi)容的范圍�。此外,雖然可以在被一個用戶使用的方面來描述每個終端設備���,但是本公開內(nèi)容可以預料到多個用戶可以使用一個計算機或者一個用戶可以使用多個計算機�����。
[0025]雖然圖1被描述成包含多個元件或者與多個元件相關(guān)聯(lián)��,但是并不是圖1的系統(tǒng)100內(nèi)所示出的所有元件都可能用在本公開內(nèi)容的每個替換實現(xiàn)中����。此外��,本文中描述的元件中的一個或多個可以位于系統(tǒng)100的外部���,而在其它實例中����,某些元件可以包括在其它描述的元件以及所示實現(xiàn)中沒有描述的其它元件中的一個或多個內(nèi),或者作為其一部分����。此外,圖1中所示的某些元件可以與其它組件組合����,以及除了本文中描述的那些目的之外還可以用于替換的或另外的目的����。
[0026]不同的用戶130、135可以不同地使用分發(fā)給用戶或以其他方式與用戶相關(guān)聯(lián)的各種設備105���、110�����、115�、120�����、125。例如�����,用戶可以維持不同的使用習慣����,例如特定的網(wǎng)頁瀏覽和電子通信習慣以及與在設備上支持安全策略(例如,有助于掃描惡意軟件和漏洞����、維持強大的設備密碼等)和使當?shù)馗略O備(用最近的補丁、更新��、服務包等進行更新)有關(guān)的習慣��。此外����,雖然一些用戶在企業(yè)系統(tǒng)140內(nèi)部以及企業(yè)系統(tǒng)140外部(B卩,在其它系統(tǒng)內(nèi))都可以使用設備105�、110、115�����、120、125�����,但是其它用戶可以將特定設備專用于企業(yè)系統(tǒng)140用途�,而將其它設備專用于私有用途。簡而言之�����,終端用戶行為可以隨著用戶廣泛變化���,甚至可以包括與特定企業(yè)策略相反的行為。此外�,類似多樣的一批設備105、110�、115、120�、125可以與企業(yè)系統(tǒng)140結(jié)合使用,并且這些設備105�����、110、115�、120�、125可以呈現(xiàn)它們自己的獨特屬性、漏洞和功能���,其可能影響企業(yè)內(nèi)的安全或風險���,尤其是在與不同用戶的使用行為組合時更是如此。
[0027]鑒于上述內(nèi)容��,結(jié)合企業(yè)系統(tǒng)140或其它計算系統(tǒng)(包括系統(tǒng)140內(nèi)的用戶使用的設備105����、110、115����、120、125)的用戶(例如130���、135)行為一般可能影響用戶的設備和系統(tǒng)(例如140)所面臨的安全漏洞���、威脅和總體風險����。在傳統(tǒng)系統(tǒng)中��,系統(tǒng)內(nèi)的風險評估通常開啟對系統(tǒng)內(nèi)的各種設備和組件的漏洞的分析���。然而����,這樣的漏洞可以基于系統(tǒng)的特定用戶被增強����、源自系統(tǒng)的特定用戶或者甚至基于系統(tǒng)的特定用戶被減輕。相應地���,在一些實現(xiàn)中,可以考慮用戶行為并將其包括在使用安全工具(例如圖2的例子中所示出的那些)的計算系統(tǒng)的風險評估中���。
[0028]轉(zhuǎn)到圖2��,示出了示例性系統(tǒng)的簡化框圖200�,示例性系統(tǒng)包括安全和其它系統(tǒng)以及用戶評估工具(例如����,205����、208�����、210����、215、220)的示例性實現(xiàn)�,所述用戶評估工具用于計算或評估與用戶行為相關(guān)聯(lián)的風險。在一些實現(xiàn)中����,可以結(jié)合更大的計算機安全系統(tǒng)、套件或工具(例如安全工具部署210或評估系統(tǒng)225)來提供這樣的工具����,或?qū)⑦@樣的工具集成在更大的計算機安全系統(tǒng)、套件或工具中�����。在其它實例中,可以通過或結(jié)合企業(yè)計算環(huán)境240來提供安全工具和系統(tǒng)���,并且可以部署安全工具和系統(tǒng)來監(jiān)測環(huán)境240中的安全��、事件和相關(guān)風險��。其它安全和事件檢測工具可以整個地或部分地運行在終端計算設備上�����,例如在設備系統(tǒng)(例如�����,企業(yè)軟件環(huán)境240)中使用的終端用戶設備230�、235��。
[0029]可以提供評估系統(tǒng)225����,其包括結(jié)合行為風險引擎205��、事件檢測系統(tǒng)208和安全工具部署245 —起使用的一個或多個處理設備242和一個或多個存儲器設備244����。安全工具部署245可以表示單獨的并且并行運作的安全工具或安全工具套件��,包括其組合���。例如,在一些實例中��,安全工具部署245可以包括一個或多個防火墻246����、網(wǎng)頁網(wǎng)關(guān)248、郵件網(wǎng)關(guān)250��、基于客戶端的用戶風險評估引擎252����、主機入侵保護(HIP)工具254、網(wǎng)絡入侵保護(NIP)工具255�、抗病毒和抗惡意軟件工具256、基于主機的和/或基于網(wǎng)絡的數(shù)據(jù)丟失保護(DLP)工具258���、漏洞管理器260��、系統(tǒng)策略服從管理器262��、資產(chǎn)臨界工具264��、安全信息管理(SM)產(chǎn)品以及其它安全工具中的每一個�。安全工具(例如246-266)可以監(jiān)測、掃描以及收集與企業(yè)系統(tǒng)240交換的數(shù)據(jù)�、來自企業(yè)系統(tǒng)240的數(shù)據(jù)、去往企業(yè)系統(tǒng)240的數(shù)據(jù)或者企業(yè)系統(tǒng)240內(nèi)的數(shù)據(jù)���,所述企業(yè)系統(tǒng)240包括結(jié)合企業(yè)系統(tǒng)240操作的設備����、程序和工具�����?�?梢詫娘L險和安全掃描���、評估���、數(shù)據(jù)收集、數(shù)據(jù)相互關(guān)系、分析和其它任務中收集的這種數(shù)據(jù)作為評估記錄268存儲在由評估系統(tǒng)225維護的一個或多個數(shù)據(jù)結(jié)構(gòu)270中�。此外����,還可以檢測與用戶行為有關(guān)的但不是直接關(guān)系到系統(tǒng)內(nèi)的安全管理或檢測的其它事件,并(例如使用事件檢測系統(tǒng)208)生成評估記錄268�,以與從安全工具部署210接收到的數(shù)據(jù)一起考慮,并用于評估與系統(tǒng)內(nèi)的用戶行為相關(guān)聯(lián)的風險��。
[0030]包括使用事件檢測工具208�、安全工具246-266收集的數(shù)據(jù)或基于所述數(shù)據(jù)的評估記錄268可以與企業(yè)系統(tǒng)240的一個或多個用戶關(guān)聯(lián),以開發(fā)用戶行為的風險評估���。例如���,可以識別與特定設備的動作有關(guān)的或影響特定系統(tǒng)資源的與用戶相關(guān)聯(lián)的用戶注冊或其它認證數(shù)據(jù)。此外����,在一些實現(xiàn)中,用戶標識(ID)可以與設備標識符(例如����,系統(tǒng)240中的設備所使用的MAC或IP地址)相關(guān)聯(lián),并且用戶的動作可以基于該動作中使用的特定設備的標識來識別。實際上����,可以從多個工具(例如,工具208����、246-266)獲得數(shù)據(jù),并且所述數(shù)據(jù)用于開發(fā)風險/安全(“行為”)簡檔或特定用戶的系統(tǒng)使用方面的評估�。作為示例性例子,網(wǎng)頁網(wǎng)關(guān)248和防火墻246在它們在企業(yè)系統(tǒng)240中的相應操作期間均可以收集與特定用戶使用企業(yè)網(wǎng)絡元件或分配給企業(yè)系統(tǒng)240�、注冊在企業(yè)系統(tǒng)240上或以其他方式在企業(yè)系統(tǒng)240中使用的設備對互聯(lián)網(wǎng)進行的使用有關(guān)的數(shù)據(jù)。例如����,從網(wǎng)頁網(wǎng)關(guān)248和防火墻246收集的這種數(shù)據(jù)可以描述用戶嘗試訪問“紅”或“黃”網(wǎng)站(或者已知的造成特定安全威脅或者與特定系統(tǒng)或企業(yè)的策略違背相關(guān)聯(lián)的站點),并且至少部分地用作系統(tǒng)240上的用戶行為的風險評估的基礎(chǔ)(例如��,與使用系統(tǒng)基礎(chǔ)設施或設備的用戶風險互聯(lián)網(wǎng)有關(guān))�。
[0031]在一些實現(xiàn)中���,行為風險引擎205可以包括在評估系統(tǒng)225中或者以其他方式結(jié)合評估系統(tǒng)225而操作�,例如,結(jié)合評估記錄268的調(diào)查和分析����,所述評估記錄268是由在評估系統(tǒng)225上執(zhí)行安全任務和評估的多個安全工具246-266以及其它模塊生成的,其它模塊包括計數(shù)器測量引擎267�、風險計算器278和其它模塊和功能����。在一個特定的示例性實現(xiàn)中��,行為風險引擎250可以包括安全統(tǒng)計管理器272、安全工具協(xié)調(diào)器274�、行為風險事件檢測器275以及其它模塊和功能。安全工具協(xié)調(diào)器274可以用于協(xié)調(diào)來自多個安全工具246-266的數(shù)據(jù)集合�����,包括在評估記錄268中識別從安全工具246-266收集的安全數(shù)據(jù)��。此夕卜�����,安全工具協(xié)調(diào)器274可以與對策引擎276協(xié)同地運作���,以響應于檢測到與特定用戶行為有關(guān)的事件而啟動并考慮使用安全工具246-266實現(xiàn)的對策���。
[0032]實際上�,行為風險引擎250還可以包括安全統(tǒng)計管理器272���,其用于分析來自多個安全工具246-266的之前收集的或之前產(chǎn)生的數(shù)據(jù)�,執(zhí)行對特定用戶的統(tǒng)計風險評估�。例如,使用評估數(shù)據(jù)268�,安全統(tǒng)計管理器272可以基于描述用戶在系統(tǒng)中的之前行為的方面的數(shù)據(jù)集合,來開發(fā)一個或多個行為簡檔�����,其表征用戶在系統(tǒng)內(nèi)的典型的或預期的行為或者趨勢����。此外,在一些例子中����,用戶的行為風險簡檔可以包括分類行為簡檔,或者可以基于所開發(fā)的表征用戶在系統(tǒng)240內(nèi)的行為的類型或類別的分離的行為簡檔�,例如電子郵件行為、網(wǎng)絡使用��、企業(yè)擁有的資源(例如企業(yè)的機密內(nèi)容或數(shù)據(jù))的訪問和使用���、使用系統(tǒng)關(guān)聯(lián)設備的互聯(lián)網(wǎng)使用���、密碼保護、策略服從等等�����。此外,可以基于特定于使用或特定于類型的用戶簡檔的聚合來為用戶生成或計算組合風險簡檔或分數(shù)(例如���,結(jié)合風險計算器278來計算的)��。此外�����,可以識別用戶組����,例如特定地理位置��、辦公室����、商業(yè)單元、人群等等內(nèi)的用戶��,并且可以基于相應組內(nèi)的用戶的風險分數(shù)或簡檔的聚合來計算基于組的風險簡檔����。在每個實例中����,可以基于用戶與相關(guān)聯(lián)的���、統(tǒng)計上預測到的行為簡檔(針對用戶、用戶所屬的組����、或者全部用戶)的偏離來檢測事件和違背(例如,行為構(gòu)成了該用戶通常不做的事情���,像該用戶之類的用戶通常不做的事情���,或者任何用戶通常所做的事情等)。
[0033]例如��,可以使用風險事件檢測器275來檢測用戶事件或者在終端用戶設備處檢測到的事件或涉及終端用戶設備的事件�,其證明安全事件、威脅或?qū)ο到y(tǒng)240上經(jīng)歷的風險有貢獻或增強系統(tǒng)240上經(jīng)歷的風險的其它事件(統(tǒng)稱為風險事件)����。在一些實現(xiàn)中,風險事件檢測器275可以評估或檢測證明與所建立的風險簡檔的偏離的事件��,所述風險簡檔是使用風險統(tǒng)計管理器272來為特定用戶(或用戶組)計算或以其他方式確定的??梢詮乃鶛z測到的事件和活動以及從在安全工具部署210中的各種工具208、246-266處收集的數(shù)據(jù)來進一步檢測風險事件����。從工具208、246-266收集的事件和數(shù)據(jù)可以被合成或以其他方式被處理(例如�����,通過創(chuàng)建相應的評估記錄268)��,并且與相應的用戶風險簡檔進行比較���,以確定所檢測到事件是否上升到風險事件的級別�����。
[0034]例如使用風險事件檢測器275對風險事件的檢測可以促進用戶風險簡檔(例如��,使用風險統(tǒng)計管理器272)�����、用戶風險分數(shù)(甚至是與相關(guān)聯(lián)的設備或系統(tǒng)240本身相對應的風險分數(shù))(例如使用風險分數(shù)計算器278)的改變和/或發(fā)起一個或多個對策以嘗試糾正或減輕所檢測到的事件(例如��,使用對策引擎276)��。
[0035]基于設備或基于主機的安全工具(例如�����,215���、220)還可以部署在系統(tǒng)240中所使用的設備(例如,230����、235)上,以用于檢測并評估特定用戶(即���,相應設備230�、235的用戶)的行為所貢獻的系統(tǒng)風險��。在一些實現(xiàn)中����,行為風險代理215、220可以包括諸如行為監(jiān)測器293a-b���、規(guī)則評估引擎294a-b����、規(guī)則管理器295a-b、用戶管理器296a-b�����、對策引擎298a-b以及其它例子之類的模塊��。此外���,行為風險代理215�����、220可以與后端安全系統(tǒng)(例如評估系統(tǒng)225)中的一個或多個工具進行通信并結(jié)合所述一個或多個工具進行運作����,以執(zhí)行用戶所使用的設備處的用戶行為的安全和風險評估���。
[0036]除了支持行為風險代理215的至少一部分之外���,終端用戶設備230�、235還可以包括一個或多個處理設備(例如280�����、284)和一個或多個存儲器設備或元件(282����、285),用于在操作系統(tǒng)(例如286��、288)上執(zhí)行一個或多個程序(例如290���、292)。行為風險代理215�、220還可以在設備上執(zhí)行,并且可以是例如結(jié)合行為風險評估用于監(jiān)測設備230��、235上的活動的軟件程序����。一個或多個用戶可以登陸設備230、235或者以其他方式與設備230����、235進行關(guān)聯(lián)���,例如關(guān)聯(lián)是使用用戶管理器296a-b來識別的?���;谟脩舻臉俗R(例如,使用用戶管理器296a-b識別的)����,可以例如使用規(guī)則管理器295a-b,來針對正被行為風險代理215監(jiān)測的所標識的用戶和/或特定設備���,來識別一組規(guī)則����。在一些實現(xiàn)中��,可以由后端安全工具(例如基于客戶端的風險評估后端252)來維護規(guī)則管理器295a-b的至少一部分����。例如,可以使用基于客戶端的用戶風險評估后端252來維護基于規(guī)則的�����、啟發(fā)式和/或行為安全違背或風險事件的數(shù)據(jù)庫。一組規(guī)則��、潛在安全違背或風險事件可以基于用戶的標識�����,并且例如取決于用戶標識�����,包括用戶的過去使用歷史(例如由安全統(tǒng)計管理器272計算的)��、用戶在企業(yè)內(nèi)的職責或責任���、用戶的位置等。此外�,規(guī)則、違背和事件還可以基于用戶和系統(tǒng)資產(chǎn)的特定組合�。例如,可以基于用戶�����、系統(tǒng)(例如計算設備)和網(wǎng)絡連接以及其它例子的特定組合來定義各種規(guī)則、標準�、分數(shù)和事件觸發(fā)器。
[0037]在一些實例中��,可以為系統(tǒng)240中的一些用戶維持規(guī)則�,所述規(guī)則約束對某些企業(yè)資源、操作(例如��,創(chuàng)建進入企業(yè)網(wǎng)絡的隧道��,訪問某些商業(yè)秘密��、人力資源(HR)記錄��、客戶列表���、電子郵件附件大小約束等)的訪問或特權(quán)�,所述規(guī)則可能并不希望施加到其它用戶���,例如執(zhí)行官���、IT人員、HR人員等����。實際上����,在一些實例中��,可以例如基于定義的用戶組的地理位置��、商業(yè)單元�、頭銜、薪金等級����、在組織中的任期或資歷、風險簡檔或名譽等等來將規(guī)則集合應用于定義的用戶組����,以便不允許應用于一個組的規(guī)則干擾其它定義的組中的人員對系統(tǒng)的預期合法使用。此外����,可以使用用戶管理器296a-b���,例如自動地從HR記錄數(shù)據(jù)或響應于用戶更新請求而檢測用戶簡檔的改變����,以便也自動地更新應用于特定用戶的一組規(guī)則。
[0038]行為監(jiān)測器293a_b可以監(jiān)測與特定用戶相關(guān)聯(lián)的設備(例如�����,230���、235)上的活動����,并收集數(shù)據(jù)�,以用于確定所監(jiān)測的活動是否違背為特定用戶確定的特定規(guī)則。如上面提到的���,從不可接受使用方面來描繪用戶對系統(tǒng)的可接受使用的規(guī)則可以至少部分地取決于所檢測到的設備用戶的標識��。在一些實現(xiàn)中���,行為監(jiān)測器293a-b可以意識到可應用于特定用戶(例如登陸到設備)的規(guī)則,并監(jiān)測用戶與設備的交互��,以檢測與為特定用戶識別的規(guī)則有關(guān)的活動�����。在一些實例中,可以將與用戶(和設備)相對應的一組規(guī)則本地加載到支持相應行為風險代理215的設備上��,例如以供行為監(jiān)測器293a-b訪問和使用���。在其它實例中�����,可以遠離設備地維持特定用戶和/或設備的一組規(guī)則���。例如,并不是向終端用戶設備230���、235提供相應的規(guī)則集合本身����,而是可以(例如����,通過規(guī)則管理器295a-b)提供一組任務、度量����、事件或指令,以供行為監(jiān)測器293a-b用于結(jié)合相應規(guī)則集合的潛在違背的檢測�����,來識別要被監(jiān)測的用戶和設備事件�����、任務和活動的類型�����。
[0039]為了解釋以上一些原理��,在一個特定例子中�����,包括在特定規(guī)則集合中的規(guī)則可以指定每天可以從設備上載到可移動存儲介質(zhì)(例如�,外部硬盤驅(qū)動器、⑶���、DVD����、藍光光盤、拇指驅(qū)動器等)上的數(shù)據(jù)的量(即�����,以保護數(shù)據(jù)盜竊)��。在一些實現(xiàn)中����,可以在行為風險代理215、220處(例如通過規(guī)則評估引擎294a-b)提供邏輯��,以允許行為風險代理215 (例如���,使用行為監(jiān)測器293a-b)監(jiān)測設備處的活動����、(例如��,使用規(guī)則管理器295a-b和用戶管理器296a-b)識別可應用于設備及其特定用戶的規(guī)則�����、以及(例如,使用規(guī)則評估引擎294a-b)評估所監(jiān)測的動作(以及相應的收集的數(shù)據(jù))是否違背所識別的規(guī)則之一�����。在一個示例性例子中�����,可以使用各種工具(例如�,208����、246-266)來檢測特定用戶已經(jīng)使用了它們的計算設備在連接到企業(yè)網(wǎng)絡的同時消耗了二十個CD量的數(shù)據(jù)?��?梢曰谠谠O備(例如��,230)處檢測到這種行為而觸發(fā)事件����。檢測到這種活動可能導致在設備230處(例如使用行為風險代理215)或在接收報告該活動的數(shù)據(jù)的評估系統(tǒng)225處��,例如基于這種特定行為違反了預定規(guī)則或閾值,偏離了特定用戶�����、特定設備的任意用戶或者系統(tǒng)中的任意用戶的統(tǒng)計上預期的行為以及其它例子���,來確定或觸發(fā)違背����、風險事件或其它事件����。
[0040]如上面例子中所暗示的,在一些實現(xiàn)中����,用戶管理器296a_b可以識別設備的用戶,并且規(guī)則管理器295a-b可以查詢后端支持(例如�,基于客戶端的用戶風險評估后端252或工具協(xié)調(diào)器274)來獲得設備、用戶或特定設備-用戶組合的規(guī)則集合數(shù)據(jù)��。這樣的規(guī)則集合數(shù)據(jù)并不包括規(guī)則本身��,而是可以包括與行為風險代理215���、220的邏輯相應的數(shù)據(jù)����,例如,對(例如使用行為監(jiān)測器293a-b)要被監(jiān)測的任務�、功能和數(shù)據(jù)的類型進行定義的數(shù)據(jù)。在一些實現(xiàn)中��,行為監(jiān)測器293a-b可以監(jiān)測事件���、數(shù)據(jù)和用戶動作,并將這些動作報告給后端模塊(例如����,基于客戶端的用戶行為評估后端252),以及允許后端模塊確定所監(jiān)測的行為的重要性�。在其它實例中,可以例如通過規(guī)則評估引擎294a-b在設備230�、235處提供邏輯的測量,從而允許行為風險代理215結(jié)合確定所監(jiān)測的行為是否違背為設備及其用戶識別的特定規(guī)則���,而至少部分地分析行為監(jiān)測器293a-b所捕獲的數(shù)據(jù)和事件���。簡而言之,結(jié)合行為風險代理215所描述的功能可以被模塊化,并且可以在行為風險代理的組件當中進行分布���,以及在終端用戶設備230�����、235處本地操作的工具與遠程后端安全工具(例如�,結(jié)合評估系統(tǒng)225運行的)之間進行分布��。在一些實例中��,可能有優(yōu)勢的是:從行為風險代理215向后端安全工具提供至少一些報告��,從而允許對所報告的用戶行為規(guī)則違背進行報告���,以包括在用戶����、設備和系統(tǒng)的風險評估生成中�,并且允許結(jié)合風險事件的識別(例如,使用事件檢測器275檢測到的)來提供額外的智能�����。
[0041]在一些實例中,行為風險代理215所使用的規(guī)則數(shù)據(jù)可以例如結(jié)合為所注冊的設備用戶編目的用戶簡檔數(shù)據(jù)而本地地存儲在設備處���。在其它實例中�,可以在每次不同的用戶登陸到設備時例如�,通過規(guī)則管理器295a-b)自動地加載規(guī)則數(shù)據(jù)(。實際上���,在設備本地(即通過行為風險代理的特定安裝)提供的功能的數(shù)量可以基于特定設備的能力(例如�,處理速度�����、網(wǎng)絡計算速度����、存儲器等)��。此外���,為特定設備的特定用戶維持的規(guī)則集合可以被自動更新(例如����,使用規(guī)則管理器295a-b進行更新��,例如�����,諸如通過基于客戶端的用戶風險評估后端252從后端服務拉動更新或接收推動的更新)。例如��,可以檢測設備的改變����,從而觸發(fā)設備的可應用規(guī)則和事件觸發(fā)器的更新,例如操作系統(tǒng)或應用更新����、安裝在設備上的應用或程序的改變、特定對策的出現(xiàn)以及其它例子��。激勵某些規(guī)則的創(chuàng)建的威脅也可能演進����,從而促進規(guī)則集合的改變。此外����,用戶可以有機地(隨著他們的行為的成熟或自然地改變)或結(jié)合用戶狀態(tài)的改變(例如�,諸如提升�、部門的改變、職業(yè)狀態(tài)的改變(例如從臨時到永久或者從有效到離開等)等)而改變����。這樣的改變也可以被檢測到,并促進與用戶和設備的屬性相對應的規(guī)則集合的動態(tài)更新以及通過規(guī)則數(shù)據(jù)將這些更新傳遞到相應的行為風險代理215���、220���。
[0042]除了例如基于所監(jiān)測設備或用戶行為簡檔的檢測到的改變來動態(tài)地改變、增加和更新系統(tǒng)使用規(guī)則和事件觸發(fā)器(本文中使用的)之外���,還可以基于例如來自系統(tǒng)管理員的用戶輸入和請求來進行其它改變���。實際上�,系統(tǒng)內(nèi)的可用規(guī)則和觸發(fā)器集合(例如,基于檢測到的超過特定閾值的行為反?�;蛴|發(fā)器)以及可應用于特定設備和/或用戶的特定規(guī)則子集可以是可擴展的集合��。隨著計算系統(tǒng)所面臨的漏洞和威脅的類型和數(shù)量的增長�����,可以向集合增加規(guī)則和觸發(fā)器,以用于識別這樣的漏洞以及系統(tǒng)中的用于觸發(fā)�����、增強這樣的漏洞的或以其他方式與這樣的漏洞有關(guān)的風險的用戶活動��。實際上��,結(jié)合系統(tǒng)管理員已知的系統(tǒng)特定威脅或漏洞的檢測�,系統(tǒng)的用戶可以定義定制的規(guī)則和觸發(fā)器。相應地��,隨著新規(guī)則和觸發(fā)器的增加�,在一些情況中,可以響應于相應規(guī)則集合中的檢測到的更新而動態(tài)地對行為風險代理215的功能(以及由一些實現(xiàn)維持的規(guī)則和觸發(fā)器集合)進行類似的擴展和修改�。
[0043]使用以終端用戶設備級別操作的行為風險代理215、220來檢測使用違背和風險事件�����,可以用于制定風險簡檔��、分數(shù)或其它用戶名譽分數(shù)。例如�����,用戶可以被識別為在由行為風險代理215�����、220監(jiān)測的一個或多個設備處(例如��,在臺式或膝上型計算站處和在支持電子郵件的智能電話設備處)違背了多個與郵件有關(guān)的規(guī)則��,并且作為結(jié)果可以使用戶的風險或名譽分數(shù)降級��。在一些實例中�,可以向評估系統(tǒng)225報告以設備級別使用行為風險代理215、220識別的使用事件和違背����,以在生成用戶的風險評估或分數(shù)時考慮。此外����,可以根據(jù)使用行為風險代理215�、220在設備230、235處檢測到的事件對用戶的風險分數(shù)或名譽進行分類��,其中,在各種類別的每一個類別中生成不同的分數(shù)��,例如不同的分數(shù)傳遞用戶在電子郵件使用���、互聯(lián)網(wǎng)使用�����、策略服從�����、認證努力(例如密碼強度)等方面的行為名譽����。
[0044]在與特定用戶(和/或終端用戶設備)對應的終端用戶設備處檢測到的規(guī)則違背和事件觸發(fā)器還可以觸發(fā)系統(tǒng)(240)或網(wǎng)絡級別以及終端用戶設備級別的對策的發(fā)起����。例如,對策引擎298a-b可以用于使能��、安裝或以其他方式觸發(fā)終端用戶設備230���、235處的對策��。為了簡便起見���,返回到與對可以從機器上載的數(shù)據(jù)量進行限制的規(guī)則有關(guān)的監(jiān)測的例子���,在一個特定例子中,基于行為監(jiān)測器293a-b進行的監(jiān)測對規(guī)則違背的識別可以被傳遞到對策引擎298a-b�����,并且使得相應的對策被應用�。例如,在一個例子中�,數(shù)據(jù)上載限制規(guī)則(或者測量檢測到的行為異常的基于閾值的觸發(fā)器)的違背可以促進對策引擎298a-b在設備處使得磁盤驅(qū)動器或USB端口被臨時禁用(例如24個小時),以及被設計用于減慢或停止向可移動存儲介質(zhì)上載數(shù)據(jù)的其它潛在對策��。在終端用戶設備處可以啟動其它對策����,例如防火墻、禁用一個或多個網(wǎng)絡連接�、鎖定設備、要求用戶對設備進行重新認證等等����。
[0045]不管是否是通過風險事件檢測器275,基于檢測到的與統(tǒng)計簡檔或預期用戶行為的背離����,或者基于用戶行為規(guī)則違背(基于行為風險代理215進行的基于規(guī)則的監(jiān)測)而對風險事件的檢測,可以觸發(fā)對策來抵抗風險事件����。雖然在這兩種方法中不同地檢測風險事件(即,一個基于統(tǒng)計上與預期規(guī)范的嚴重偏離�,而其它基于顯式規(guī)則違背或顯式規(guī)則違背系列),但是檢測到的風險事件可以一起用于增強行為風險工具的有效性����、智能和精度。例如����,可以識別特定用戶的行為簡檔,并且可以基于以統(tǒng)計上嚴重的方式偏離行為簡檔(例如超過特定閾值)的后續(xù)用戶行為來檢測風險事件�。概括地說,偏離預期的行為可能引起關(guān)于某物出錯的警告信號��。然而��,基于用戶行為的統(tǒng)計異常可能無法證明真正的安全或風險事件�。然而,除了識別與特定用戶的所建立的行為簡檔的統(tǒng)計偏離之外����,行為風險代理215,220還可以識別涉及同一用戶并和與用戶行為簡檔的所識別的偏離相對應的規(guī)則違背。相應地����,在一些實例中,檢測到的與所建立的用戶行為的偏離可以與基于行為風險代理215���、220的監(jiān)測而檢測到的規(guī)則違背有關(guān)或者使用所述檢測到的規(guī)則違背來證實��。這樣���,基于用相應的檢測到的行為規(guī)則違背對與行為簡檔的偏離的證實,可以以更高的置信度和精度來做出對策�����、對行為簡檔的調(diào)整以及從檢測到的安全事件觸發(fā)的其它動作��。類似地�����,基于響應于所識別的與行為簡檔的偏離而檢測到的證實風險事件,可以結(jié)合檢測到的規(guī)則違背來提供額外的智能���。
[0046]此外,這種檢測到的事件以及與所述事件有關(guān)的環(huán)境和屬性可以對啟發(fā)式建模和分析進行補充�����,以潛在地識別特定的檢測到的事件的理由或原因�����。例如�,例如結(jié)合用戶對特定系統(tǒng)資源的訪問,可以檢測與用戶行為簡檔的偏離��。然而����,基于為用戶定義的規(guī)則(例如,基于用戶的安全調(diào)查或在企業(yè)中的位置)���,可以總結(jié)或預測對資源的訪問是合法的����,即使這些動作在統(tǒng)計上對于該用戶而言是異常的也是如此。由于可以基于檢測到的安全威脅或風險事件來觸發(fā)對策(包括嚴厲和激烈的對策)�,所以可能重要的是:識別所識別的風險事件或安全威脅的環(huán)境,以適當?shù)卦u估風險事件的嚴峻性或真實性�����,并觸發(fā)相稱的對策��。實際上��,使得不相稱地嚴厲的對策被觸發(fā)(例如�,基于觸發(fā)風險事件的不完整狀況),例如�����,阻止特定設備所訪問的網(wǎng)絡流量或?qū)υO備的訪問��、或者封閉機器以及若干其它例子����,在一些情況下對于企業(yè)來說可能像感知的威脅一樣麻煩。類似的�,嚴重的安全威脅和風險事件需要被精確地檢測并相應地被處理�。結(jié)果是�����,在開發(fā)與涉及特定用戶的計算設備處的特定事件相對應的魯棒的并被證實的信息集方面��,提供統(tǒng)計的以及基于規(guī)則的行為風險評估可能是特別有價值的���。
[0047]圖3A-3C是在計算系統(tǒng)302中使用示例性行為風險評估工具(例如結(jié)合圖2所示出并描述的那些工具)對行為風險事件的示例性識別的表示300a-c。現(xiàn)在轉(zhuǎn)到圖3A����,所示的方框圖300a示出了用于針對特定計算系統(tǒng)302評估風險并執(zhí)行安全任務的多個安全工具 305、310�、315、320��、325�����、330����?����?梢栽诿總€安全工具 305��、310��、315���、320、325�、330 處收集或生成評估數(shù)據(jù)335、340�����、345�、350、355�����、360�,并將評估數(shù)據(jù)傳遞給行為風險分析工具365。此外,可以用評估數(shù)據(jù)335���、340����、345��、350�、355、360結(jié)合評估數(shù)據(jù)335�����、340���、345、350����、355、360報告的事件����,來識別系統(tǒng)302的用戶。例如,可以識別與評估數(shù)據(jù)335�����、340�����、345����、350、355,360中報告的事件相對應的特定用戶對系統(tǒng)內(nèi)的一個或多個計算設備375�、380、385的使用����。相應地,可以基于從多個安全工具305�����、310���、315����、320、325���、330收集的評估數(shù)據(jù)335����、340�、345、350����、355、360的聚合�����,來生成用于描述用戶在系統(tǒng)302內(nèi)的行為的統(tǒng)計趨勢的行為簡檔370����。
[0048]轉(zhuǎn)到圖3B��,在生成一個或多個行為簡檔370之后�����,安全工具305、310���、315���、320、325����、330可以繼續(xù)監(jiān)測系統(tǒng)302上的事件,包括涉及或以其他方式與用戶對系統(tǒng)302的使用相對應的事件��。例如�,用戶使用特定系統(tǒng)設備(例如380)與系統(tǒng)資源的交互或?qū)ο到y(tǒng)資源的使用(例如,在388處)可以被系統(tǒng)302中的一個或多個安全工具(例如���,305)檢測到�����,或者可以觸發(fā)所述一個或多個安全工具的參與�����?�?梢越Y(jié)合檢測到的事件生成評估數(shù)據(jù)(例如�����,基于用戶388)��,并且評估數(shù)據(jù)可以用于將底層檢測到的使用或活動與用戶的建立的行為簡檔370進行比較390�����,以及在一些實例中用于基于這種最近檢測到的涉及用戶的活動來更新或以其他方式修改行為簡檔370����。對與(例如系統(tǒng)設備380的)特定的識別的用戶有關(guān)的數(shù)據(jù)進行比較,可以用于(例如�����,基于行為簡檔370)查看檢測到的使用388是否指示與用戶的預期行為偏離��。
[0049]轉(zhuǎn)到圖3C���,在所示的例子中�����,第一安全工具305將與特定用戶在設備380處的動作有關(guān)的評估數(shù)據(jù)392傳遞給行為風險分析工具365�����。行為風險分析工具365可以相對于與所述特定用戶相對應的一個或多個行為簡檔370來分析所述評估數(shù)據(jù)392����,并確定可能已經(jīng)發(fā)生了風險事件��。根據(jù)一個或多個安全工具(例如305)所提供的信息來對風險事件進行確定���,可以用于觸發(fā)抵抗或減輕風險事件的對策�。在一些實例中���,可以使用提供了導致觸發(fā)所述對策的評估數(shù)據(jù)392的同一安全工具(例如����,305)���、安全系統(tǒng)內(nèi)的不同安全工具或者安全系統(tǒng)內(nèi)的安全工具的組合�����,來加強或?qū)崿F(xiàn)所述對策��。在圖3C的例子中���,識別與特定風險事件相稱的并適合于解決特定風險事件的對策�����。此外�����,可以確定另一安全工具320處理用于實現(xiàn)所識別的對策的功能中的至少一些��。相應地���,行為風險分析工具365可以請求396或傳遞使用安全工具320來實現(xiàn)特定對策。請求可以包括指示應當如何��、在哪里�����、何時以及在什么樣的額外條件下來實現(xiàn)所述對策的參數(shù)。例如�����,對策可以在一臨時的時間段上實現(xiàn)����,被實現(xiàn)以集中于特定用戶行為或特定設備380�,以及其它例子。相應地�����,安全工具320可以相對于特定用戶對系統(tǒng)的使用而應用398對策����。雖然圖3C的示意圖300c將對策的實現(xiàn)表示為具體針對設備380,但是應當理解的是�����,該箭頭只是表示相對于或者響應于用戶對設備380的使用而應用對策����,并且對策取決于其特性和功能���,可以邏輯地或物理地實現(xiàn)在系統(tǒng)的其它組件處,包括遠離促進對策的設備380的組件�����,例如系統(tǒng)的網(wǎng)絡元件���。
[0050]如上面提到的�,寬泛的以及持續(xù)演進的風險事件集合可能是存在的�,并且可由諸如行為風險分析工具365之類的行為分析工具來檢測。相應地���,可以識別并啟動類似不同的以及擴展的對策集合�,以抵抗所識別的風險事件����。在一些實例中,可用的對策可以取決于可用的或者被安全系統(tǒng)使用的安全工具集合以及由行為風險分析工具監(jiān)測的系統(tǒng)服務的設備�����、組件、軟件和硬件的各個功能���。作為另一個示例性例子�����,與通過訪問名聲可疑的特定網(wǎng)站(例如被識別為潛在有風險的站點)或者作為已知的惡意軟件源的特定網(wǎng)站濫用系統(tǒng)資源有關(guān)的風險事件�,可以觸發(fā)一系列不同的對策�����。例如��,路由器��、互聯(lián)網(wǎng)網(wǎng)關(guān)�、反惡意軟件工具���、認證引擎以及其它工具和組件可以具有用于過濾���、調(diào)整網(wǎng)絡流量、約束或阻止網(wǎng)絡訪問���、強加頻繁的重認證以及其它對策的功能�,包括改變其程度。[0051]在一些實例中���,一系列對策可以用于特定類型的風險事件��,然而��,可能期望基于風險事件的確定的嚴重程度或者基于潛在地減輕用戶動作的風險或明顯惡意的特定條件��,來調(diào)整或均衡應用在檢測到的風險事件的對策�����。例如�,如果識別出證明了特定用戶嘗試訪問紅色站點的與行為簡檔(例如370)的偏離���,那么首先可以在取得風險事件資格方面給檢測到的活動賦予寬容度����,并且例如可以通過要求更頻繁的對于網(wǎng)絡的認證(例如�,以驗證用戶實際上是與行為簡檔相對應的用戶)來僅僅輕微地阻止檢測到的活動。在可疑行為繼續(xù)得越長則該行為實際上就越有可能有風險或者可能惡意的假設下���,如果可疑行為趨勢繼續(xù)����,那么可以發(fā)起更加積極主動的對策。如果中等的以及不斷嚴厲的對策(例如減慢用戶網(wǎng)絡連接的流量調(diào)整或者更頻繁的對網(wǎng)絡的重新認證)并沒有推動用戶停止系統(tǒng)上的行為�,那么最終可以應用更苛刻的對策(例如,作為最后的手段)�����,例如完全終止用戶連接�、將用戶鎖定在網(wǎng)絡外持續(xù)一個設定的時間段���、或者向IT人員發(fā)送數(shù)字警報以進行人為干預。在另一例子中����,可以基于檢測到的事件本身的嚴重程度來應用一系列對策。例如�,可以允許(特定類別的用戶系統(tǒng)行為內(nèi)的)一些活動具有更多的余地,而更過分的違背或行為被所部署的對策控制并反擊得如此緊�,以至于用戶實際上被鎖定在系統(tǒng)之外。實際上�,可以應用與檢測到的行為的嚴厲程度(或風險程度)相稱的對策。
[0052]轉(zhuǎn)到圖4A-4C�,所示的方框圖400a_c表示根據(jù)為特定用戶或用戶組開發(fā)的行為簡檔或基準對風險事件的識別。例如�,在圖4A中,例如可以通過對系統(tǒng)的設備���、事務和其它方面進行監(jiān)測的安全工具所識別和收集的與用戶410在一段時間內(nèi)對系統(tǒng)的使用有關(guān)的多個數(shù)據(jù)和事件���,來為特定系統(tǒng)內(nèi)所識別的特定用戶410識別聚合行為405。相應地�,為用戶410識別的聚合行為405可以用于生成用戶410的一個或多個行為簡檔(例如415)。作為例子�����,用戶通過系統(tǒng)的郵件服務器所發(fā)送的電子郵件的數(shù)量和頻率可以被監(jiān)測并被編目,以識別用戶電子郵件行為的趨勢和模式����。此外��,在所生成的用戶行為簡檔(例如415)中����,越近期識別的用戶活動在識別和表征用戶410的預期使用趨勢方面可能被加權(quán)得越重。
[0053]與特定的建立的行為簡檔415有關(guān)的用戶活動420可以被監(jiān)測并與行為簡檔415進行比較��,以識別用戶410當前對系統(tǒng)的使用是否與對于用戶所預期的那樣保持一致���。結(jié)合看起來是用戶的異常行為或者是除了特定用戶之外的用戶(例如�,偽裝成所述特定用戶的未授權(quán)用戶)的行為的東西����,識別用戶行為的異常可以用作用于預測安全或風險事件正在發(fā)生或者處于發(fā)生的危險之中的基礎(chǔ)��。用戶行為可以自然地一天一天地偏離對用戶預期的并且定義在用戶的行為簡檔數(shù)據(jù)415中的基準行為特性��。相應地���,可以容忍與預期行為簡檔415偏離的某種程度����,使得允許人類用戶行為的有機波動���。可以定義用于確定用戶行為是否以有意義的或潛在威脅的方式偏離用戶410的行為簡檔415的閾值��。例如�,可以識別并處理用戶在系統(tǒng)內(nèi)的動作420,以檢測動作420的特性在統(tǒng)計上變化或偏離預期標準超過某個容忍的閾值(例如��,與行為簡檔415的多個標準偏差或百分偏差)�����。例如,在圖4A的例子中���,可以對從所監(jiān)測的動作420中識別的用戶行為425進行分析�����,以識別兩個尖峰(例如����,430a、430b)或與行為簡檔415的偏離�,所述偏離超過這些偏離的預定的容忍的閾值。在偏離超過容忍的閾值的實例中�����,基于檢測到的偏差(例如430a����、430b),可以觸發(fā)對用戶�、相應設備和活動的增強監(jiān)測以及觸發(fā)對策。
[0054]在一個示例性例子中����,可以監(jiān)測用戶410的互聯(lián)網(wǎng)用戶行為(例如405)�,以在行為簡檔415中識別用戶的預期互聯(lián)網(wǎng)使用行為����。例如�,可以開發(fā)行為簡檔(例如,415)�����,其顯示在一段時間內(nèi)(例如����,一般的每日或每月使用等)在企業(yè)系統(tǒng)設施上用戶的互聯(lián)網(wǎng)使用趨勢。與預期行為簡檔415嚴重偏離(例如430a�、430b)的后續(xù)用戶行為(例如420)可以被識別,并用作對用戶的互聯(lián)網(wǎng)使用進行增強監(jiān)測或者對影響企業(yè)系統(tǒng)和已知用于訪問企業(yè)系統(tǒng)的設備上的用戶互聯(lián)網(wǎng)使用的對策進行觸發(fā)的基礎(chǔ)�。
[0055]如圖4B中所示的,可以將為系統(tǒng)的用戶410識別的其它動作435與相應的行為簡檔數(shù)據(jù)415(包括被識別為與所識別的動作類型相對應或相關(guān)的行為簡檔)進行比較�����,以基于行為簡檔415確定用戶的行為落入與對用戶410所期望的相對應的行為的容忍內(nèi)��。在一些實例中�����,識別出用戶動作435 —般地符合用戶410的行為簡檔數(shù)據(jù)415,可以不促進系統(tǒng)以及相應的行為風險分析工具采取動作���。在其它實例中�����,識別用戶動作435可以導致行為簡檔415的精細調(diào)節(jié)���、修改或調(diào)整(即450)。例如���,與系統(tǒng)的一個或多個用戶交互435可以被識別����,并支持基于新接收的交互改變之前確定的(用戶或用戶組的)行為簡檔的確定����。換句話說,當系統(tǒng)檢測到與之前生成的行為簡檔415有關(guān)的額外用戶行為時��,可以改變行為簡檔以反映這種額外的智能����。
[0056]在圖4B的例子中,識別系統(tǒng)中的用戶動作435��,并將其與用戶的行為簡檔(例如415)進行比較���?����?梢愿鶕?jù)所述比較來確定用戶的即刻行為(例如440)與行為簡檔415偏離(例如��,445a_b處)����,但是處于系統(tǒng)所允許的閾值容忍內(nèi)���。此外,基于偏離445a_b (或者這些偏離445a-b的再發(fā)模式)的檢測���,可以修改、更新或調(diào)整450(例如在460�����、465處)行為簡檔415本身,以反映在行為440中所反映的用戶趨勢���。
[0057]轉(zhuǎn)到圖4C�����,如上面提到的��,可以為用戶組(例如��,410���、471_474),例如根據(jù)對所述組中的用戶的動作470進行的聚合監(jiān)測����,來生成行為簡檔。例如��,組可以包括商業(yè)單元或部門���、地理位置(例如按照國家)����、雇傭狀態(tài)以及其它可預料到的人們在系統(tǒng)的組織內(nèi)部的分組。實際上���,在一些實例中����,組可以包括系統(tǒng)中注冊的或已知的所有用戶���。在其它例子中,組可以包括非注冊的系統(tǒng)用戶���,例如系統(tǒng)的訪客用戶���。在(例如,在監(jiān)測系統(tǒng)的一個或多個安全工具處)監(jiān)測系統(tǒng)上的動作的同時�����,在監(jiān)測期間檢測到的動作可以與特定的用戶相關(guān)聯(lián)���,用戶的標識允許動作進一步與包括所述用戶的組相關(guān)聯(lián)����。相應地,多個檢測到的動作可以與組相關(guān)聯(lián)�����,并且用于根據(jù)所收集的動作(例如�,470)生成基于組的行為簡檔480。
[0058]如圖4A中的例子���,可以識別在組中所識別的特定用戶(例如410)的特定動作420 (或動作集合)��,以例證偏離(在485a�、485b處)所述組的行為簡檔480的行為425�。實際上,用戶的行為425可以被識別為偏離超過與行為簡檔480的偏差的指定閾值��。此外,可以將特定的用戶活動420識別為違背或偏離多個不同的行為簡檔(例如����,415和480),包括多個基于用戶的行為簡檔(例如�,415)、多個不同的基于組的行為簡檔(例如����,480)或者基于用戶和基于組的行為簡檔的組合��。此外�����,在用戶動作(例如420)和行為(例如425���,至少部分地基于動作420)偏離多個行為簡檔的情況下,行為可以以不同的方式并因為不同的原因而偏離相應的不同的行為簡檔�。此外��,用戶行為425的風險性和嚴重性以及系統(tǒng)對所檢測到的偏離(例如����,430a、430b�����、485a�、485b)的響應,例如����,響應于行為425而啟動的對策的類型和嚴重程度���,可以基于特定行為(例如425)違背了多個不同的行為簡檔(例如415、480)這一事實���。在其它實例中��,安全系統(tǒng)可以獨立地處理與多個不同的行為簡檔的偏離���。
[0059]雖然圖4A-4C的例子使用圖415、455�����、480來表示行為簡檔��,但是應當理解的是����,這些圖僅僅是作為解釋性的例子而提供的,并且未必表示行為簡檔的實際實施例�。此外,圖4A-4C的例子應當被一般地理解成非限制性的���、解釋性的例子�����。雖然上面的例子描述了對用戶(或用戶組)在給定時間段內(nèi)的趨勢(在一天或一周期間平均的觀測到的涉及用戶的電子郵件或互聯(lián)網(wǎng)流量的模式)進行跟蹤的示例性行為簡檔���,但是�,可以為系統(tǒng)的用戶生成并維護各種不同的行為簡檔�����,包括適于給定系統(tǒng)的特定安全風險和關(guān)注的定制的行為簡檔(例如���,由系統(tǒng)的管理員定義的)。作為例子�����,行為簡檔可以描述通常被用戶訪問的站點的類型或標識�����、用戶所發(fā)送(或下載)的電子郵件附件大小的平均范圍�����、通常被用戶或用戶組訪問的系統(tǒng)資源(例如,共享的驅(qū)動器����、文件、數(shù)據(jù)庫等)���、以及潛在無限制的額外例子���。
[0060]現(xiàn)在轉(zhuǎn)到圖5A-5B,所示的示意性表示500a_b結(jié)合在特定用戶所使用的主機設備或終端用戶設備處對用戶行為的監(jiān)測��,示出了系統(tǒng)組件的交互����。例如,在圖5A中��,終端用戶設備505在系統(tǒng)510上��。終端用戶設備505可以包括加載����、安裝或以其他方式可用于終端用戶設備505的行為風險代理515。行為風險代理515可以結(jié)合一個或多個后端服務或組件(例如用戶風險評估后端520)進行操作。風險事件向系統(tǒng)警告在多個終端用戶設備(包括終端用戶設備505)的任意一個處檢測到的特定風險行為����,風險事件可以基于例如在一個或多個數(shù)據(jù)結(jié)構(gòu)或數(shù)據(jù)存儲(例如530)中維護的預定的用戶行為規(guī)則525?;诋斍笆褂迷O備的用戶的檢測到的標識,可以將用戶行為規(guī)則的子集應用于特定設備(例如505)��。例如��,可以基于以下來識別行為規(guī)則的子集:例如基于用戶的角色�����、訪問權(quán)限�、行為簡檔(例如生成的與圖4A和4C中的例子相一致的行為簡檔)確定某些規(guī)則與特定用戶有關(guān)或應用于特定用戶?����?梢赃M一步基于行為規(guī)則對給定設備的可應用性來識別并確定應用于特定設備(和用戶)的用戶規(guī)則子集�。例如��,在互聯(lián)網(wǎng)連接不可用或禁用的情況下���,在監(jiān)測設備的過程中��,可以不考慮與用戶互聯(lián)網(wǎng)訪問和使用有關(guān)的使用行為規(guī)則����。
[0061]在圖5A的例子中,行為風險代理515可以例如根據(jù)為用戶識別的規(guī)則525監(jiān)測并檢測在設備505處某些用戶發(fā)起的活動����,并將對活動的檢測傳遞545給用戶風險評估后端520。在一些實現(xiàn)中����,可以向行為風險代理515提供以下邏輯,所述邏輯用于將活動與可應用的規(guī)則525進行比較550���,并基于在行為風險代理515處識別的活動來至少初步確定規(guī)則(例如來自525)可能已經(jīng)被違背��。實際上�����,在這樣的實例中�����,行為風險代理515可以簡單地將檢測到的規(guī)則違背傳遞(例如在545處)給用戶風險評估后端520��,以供用戶風險評估后端520用于觸發(fā)相應的對策或者定義或更新設備的(即505)用戶的風險簡檔�����、分數(shù)或名譽�����。在其它實例中����,用戶風險評估后端520可以處理對所識別的活動的傳遞545,并至少執(zhí)行相對于規(guī)則525對檢測到的活動進行的檢查550的一部分�,以識別、證實或確認對規(guī)則525的違背�����。實際上�,在任意實現(xiàn)中,用戶風險評估后端520都可以基于所識別的規(guī)則違背來生成或更新用戶風險簡檔�、分數(shù)或名譽����。
[0062]除了識別違背規(guī)則525的活動以及規(guī)則違背本身以外���,行為風險代理515還可以識別并報告在設備505處識別的貌似良性的用戶活動。例如���,這樣的信息還可以用于提供用戶對規(guī)則的違背的頻率的上下文��。例如��,對良性的用戶活動進行報告可以傳遞在檢測到的規(guī)則違背之間發(fā)生了多少用戶活動的指示��。例如���,可以至少部分地基于用戶的風險事件或行為規(guī)則違背的頻率來確定用戶的名譽或風險分數(shù)。
[0063]轉(zhuǎn)到圖5B�����,結(jié)合使用行為風險代理515在終端用戶設備505處檢測到的事件和活動��,用戶風險評估后端520可以與一個或多個其它安全工具通信或與之協(xié)同地操作����。例如��,在一些實現(xiàn)中�����,響應于接收到檢測到的規(guī)則違背(或被確定違背一個或多個規(guī)則525的活動)的傳遞(例如545)��,用戶風險評估后端520可以向風險評估引擎(例如535)傳遞555規(guī)則違背的出現(xiàn)��,風險評估引擎可以使用來自多個安全工具(包括用戶風險評估后端520)的反饋數(shù)據(jù)來確定特定用戶的組合風險分數(shù)或評估�����。在一些實例中����,用戶風險評估后端520可以(即����,基于來自行為風險代理(例如515)的反饋)生成用戶的名譽分數(shù),所述名譽分數(shù)與基于來自多個安全工具(例如540)的數(shù)據(jù)生成的組合風險評估不同����,所述多個安全工具包括遠離系統(tǒng)510的用戶實際使用的終端用戶設備505進行操作的和/或監(jiān)測遠離所述終端用戶設備505的系統(tǒng)組件的安全工具(例如,圖2的安全工具部署210中的)�。實際上���,根據(jù)從行為風險代理接收到的反饋為用戶生成的名譽分數(shù)可以計入為用戶生成的組合風險評估中����。
[0064]在其它實現(xiàn)中,風險評估引擎535還可以基于來自在系統(tǒng)510上的終端用戶設備(例如505)上操作的行為風險代理(例如515)的反饋生成風險分數(shù)�����。實際上��,在一些可替換的實現(xiàn)中���,結(jié)合生成用戶的風險分數(shù)以及響應于檢測到的規(guī)則違背而啟動對策��,行為風險代理(例如515)可以直接與風險評估引擎535進行通信(即�����,在行為風險代理515配備有以下邏輯的實現(xiàn)中��,所述邏輯不僅允許檢測終端用戶設備上的活動還允許確定檢測到的活動是否違背一個或多個規(guī)則525)�����。
[0065]結(jié)合對規(guī)則違背的識別��,風險評估引擎可以基于行為風險代理(例如����,515)識別的設備活動來確定要啟動的用于抵抗檢測到的違背的一個或多個對策(例如565)。在一些實例中�,可以由安全工具(例如遠離終端用戶設備505的540)提供被確定用于響應于所識別的規(guī)則違背的對策565。在一些實現(xiàn)中����,協(xié)調(diào)系統(tǒng)510內(nèi)的多個安全工具的中心化風險評估引擎(例如535)可以操縱基于使用行為風險代理所識別的事件而對對策的觸發(fā)。在其它實現(xiàn)中���,使用具有更魯棒邏輯和特征集的行為風險代理515��,行為風險代理515可以參與響應于所識別的規(guī)則違背而對對策的觸發(fā)����。這可以包括:使用行為風險代理515與其它安全工具(例如565)進行通信以及在終端設備505本身上啟動對策���。例如�,與用戶超過預定數(shù)量的對可移動存儲介質(zhì)(例如CD�����、拇指驅(qū)動器等)進行的上載有關(guān)的規(guī)則違背,可以通過行為風險代理515觸發(fā)禁止使用設備505上的⑶驅(qū)動器�、USB驅(qū)動器等的對策來抵抗。
[0066]風險評估引擎535還可以被配備為對標識終端用戶設備505處的行為的數(shù)據(jù)進行處理�����,以基于多個用戶在系統(tǒng)上的聚合行為來開發(fā)��、精細調(diào)節(jié)或以其它方式管理規(guī)則����、觸發(fā)器和統(tǒng)計基準(例如�,如結(jié)合圖4C所描述的)。從終端用戶設備(例如505)(例如經(jīng)由用戶風險評估后端520)傳遞的數(shù)據(jù)可以應用于并影響現(xiàn)有規(guī)則��、觸發(fā)器以及其它統(tǒng)計測量�,從而影響將對所報告的行為以及后續(xù)檢測到并報告的行為(例如在終端用戶設備505或其它系統(tǒng)(例如,安全工具540)處)進行處理的方式��。
[0067]圖6包括考慮系統(tǒng)內(nèi)的行為風險的組合風險評估的表示600��。如上面提到的�,可以為系統(tǒng)上的多個用戶(例如605�、610����、615)中的每一個生成風險分數(shù)。用戶的分數(shù)可以基于用戶605��、610��、615對系統(tǒng)上的設備620�、625����、630的相應使用。此外��,如上面提到的,可以為系統(tǒng)上的每個設備(例如���,620�、625、630)生成或計算風險分數(shù)����。可以基于用戶與系統(tǒng)中的設備之間的識別的關(guān)聯(lián)來生成組合風險分數(shù)635�����、640����、645����。例如�,可以識別出具有第一設備風險分數(shù)的特定設備(例如620)被具有第一用戶風險分數(shù)的特定用戶605分配或使用??梢曰谔囟ㄓ脩?05對特定設備620的使用而為用戶(605)-設備(620)的組合生成組合風險分數(shù)635。例如��,設備620的風險簡檔可以基于在設備620處檢測到的特定漏洞�����。特定用戶對設備620的使用可能增強系統(tǒng)內(nèi)的設備620的使用的風險。實際上�����,取決于一個用戶相對于另一個用戶的行為趨勢����,所述一個用戶對特定設備的使用可能比所述另一個用戶對同一設備的使用更加有風險(例如對系統(tǒng)而言)。例如�,特定用戶的風險簡檔可以指示他們可能以這樣一種方式使用設備620:與由另一用戶或甚至平均的假設用戶使用期間相t匕,所述方式使得威脅的引入或者設備620的漏洞的利用更加可能��。例如��,可以識別對設備620的風險分數(shù)有貢獻的因素與對用戶605的風險分數(shù)有貢獻的因素之間的相互關(guān)系����。這種所識別的相互關(guān)系可以用于確定特定的設備-用戶組合增強了設備(或用戶)的風險,或者在一些實例中�,甚至減少了設備或用戶的風險。例如���,在用戶605正在使用具有特定功能���、工具或采用對用戶605的風險行為進行抵抗的對策的設備時,可以確定用戶605不太有風險,其中用戶605的風險分數(shù)基于用戶605使用平均假設設備參與有風險的在線活動的感知的傾向的影響��??商鎿Q地,具有相對較低的防火墻或惡意軟件保護的設備的系統(tǒng)的風險可能在被具有參與有風險的在線活動傾向的用戶使用時增加��。實際上�����,在為設備確定的風險分數(shù)或簡檔中�,可以考慮設備(例如620、625����、630)上的特定安全工具或?qū)Σ叩牟渴稹?br>
[0068]繼續(xù)描述圖6的表示600中所示的原理�,可以為系統(tǒng)上發(fā)現(xiàn)的每個設備-用戶組合生成組合風險簡檔635、640���、645���。應當注意的是,用戶可以與多個不同的設備相關(guān)聯(lián)�,并且設備可以與多個用戶相關(guān)聯(lián),在各種設備-用戶組合的所生成的組合風險簡檔中也反映這種多對多的關(guān)系。此外�����,系統(tǒng)或子系統(tǒng)的組合分數(shù)650可以基于考慮了多個設備-用戶組合分數(shù)(例如�����,635�、640、645)的聚合或計算來生成��。與如果基于用戶行為簡檔而獨立于設備風險來評估風險相比�����,通過基于設備的相應用戶的相對風險合并設備的風險評估�,為一組設備或整個系統(tǒng)確定的總風險簡檔650會更加精確地反映存在于系統(tǒng)上的風險。
[0069]圖7A的簡化流程圖700a示出了用于識別與系統(tǒng)的用戶的行為簡檔的偏離的示例性技術(shù)����。可以識別705應用于系統(tǒng)的特定用戶的現(xiàn)有行為簡檔��。行為簡檔可以與作為單獨用戶的特定用戶相對應或者與特定用戶所屬的系統(tǒng)用戶組相對應����。行為簡檔可以是基于從監(jiān)測系統(tǒng)的安全條件的多個遠程安全工具接收到的評估數(shù)據(jù)生成的����,并且適用于識別與特定用戶在系統(tǒng)上的之前活動有關(guān)的數(shù)據(jù)�。此外,例如��,可以由這些相同的安全工具來識別710用戶的活動����,并且可以將所識別的活動識別710為與所識別的行為簡檔有關(guān)??梢源_定715所識別的用戶活動是否與行為簡檔偏離超過這些偏離的特定的容忍閾值。如果確定715所識別的活動與行為簡檔偏離超過容忍閾值���,那么可以觸發(fā)720與偏離有關(guān)的風險事件����。此外�,在一些實例中��,可以觸發(fā)725用于抵抗檢測到的風險事件(例如在720處)的對策��。在活動被確定715為與行為簡檔偏離極小或處于容忍閾值的情況下,可以忽略所述活動�。在一些實例中,可以基于所識別的與行為簡檔的偏離來修改730行為簡檔��。實際上���,超過所識別行為簡檔的容忍閾值的偏離還可能導致行為簡檔的修改�����,以更好地反映用戶的最近行為�。
[0070]圖7B的簡化流程圖700b示出了用于檢測終端用戶設備處與系統(tǒng)的特定用戶相關(guān)聯(lián)的系統(tǒng)使用違背的示例性技術(shù)�����。特定用戶在終端用戶設備上執(zhí)行的活動可以通過安裝在終端用戶設備上的并且監(jiān)測終端用戶設備上的活動的代理來檢測(例如�����,結(jié)合與設備和/或特定用戶相對應的一組系統(tǒng)使用規(guī)則)��。例如��,可以通過代理本身或者通過遠程和/或后端支持組件來識別735這樣的事件的檢測�����,其中,遠程和/或后端支持組件從代理接收檢測到的活動的識別���?��?梢允褂么砗秃蠖酥С纸M件中的一個或兩個來確定740檢測到的活動作為預定的使用違背是否合格。如果確定740檢測到的活動作為預定使用違背是合格的�����,那么例如由于特定系統(tǒng)使用規(guī)則的檢測到的活動的違背����,可以觸發(fā)750風險事件。如在圖7A中的例子�����,在一些情況中�,風險事件的識別(例如750處)可以觸發(fā)755用于抵抗風險事件的對策。在確定(或更新)760用戶的行為風險分數(shù)的過程中也可以考慮風險事件的識別(例如750處)�����?�?商鎿Q地����,如果確定檢測到的活動作為使用違背是不合格的,那么在一些情況下可以忽略該活動��,而在其它情況下可以在確定(或更新)用戶的行為風險分數(shù)的過程中使用該活動�����。
[0071]如上面提到的�����,包括在流程圖700a和700b中所示的技術(shù)中的任務可以至少部分地組合���,例如以證實檢測到的風險事件�。例如�,如圖7C的流程圖700c中所示的,可以識別(例如在710�、735處)用戶活動,并將其與所建立的與用戶相對應的行為簡檔或者與一組系統(tǒng)使用規(guī)則或預定系統(tǒng)使用違背(例如740處)進行比較(例如715)�。此外����,對所識別的活動(例如�,在遠離或處于用戶的終端用戶設備下游的安全工具監(jiān)測處檢測到的活動)偏離行為簡檔的確定,可以與基于在終端用戶設備處由安裝在終端用戶設備上的代理檢測到的活動而識別的使用違背進行比較765�����。如果識別了(例如在765處)所識別的與行為簡檔的偏離與終端用戶設備處檢測到的使用違背之間的相互關(guān)系���,那么可以把額外的置信歸因于對檢測到的活動與實質(zhì)的風險或安全事件相對應的確定��,從而觸發(fā)770對相應風險事件的識別或確定�。如在之前的例子中��,在一些實例中�,基于相互關(guān)系對風險事件的確定(例如在770處),還可以導致用于抵抗所確定的風險事件的對策的觸發(fā)775��。
[0072]繼續(xù)圖7C的例子�,未能識別(例如在765處)出所識別的與行為簡檔的偏離與在終端用戶設備處檢測到的使用違背之間的相互關(guān)系,仍然可能導致對一個或多個風險事件的確定(例如���,與圖7A和圖7B的例子中的風險事件的觸發(fā)720����、755相一致)���。實際上�,可以生成與所識別的與行為簡檔的偏離和檢測到的使用違背中的每一個相對應的單獨的風險事件��。在一些實例中����,與應用于根據(jù)基本類似的與行為簡檔的偏離或檢測到的使用違背所確定的風險事件的對策(即,在該情況下沒有確定765相互關(guān)系�,并且存在較少的置信來判斷對策)相比,用于補救基于所識別的與行為簡檔的偏離與檢測到的使用違背之間的所識別的相互關(guān)系而確定的風險的對策(例如�����,在755處)可以是不同的(例如�����,更強的目的性����、更積極主動或嚴厲等)�。
[0073]雖然已經(jīng)在某些實現(xiàn)以及一般關(guān)聯(lián)的方法方面描述了本公開內(nèi)容��,但是這些實現(xiàn)和方法的改變和置換對于本領(lǐng)域技術(shù)人員將是顯而易見的�。例如,本文中所描述的動作可以以與所描述的順序不同的順序執(zhí)行����,并且仍達到期望的結(jié)果。作為一個例子����,附圖中描繪的過程未必要求所示的特定順序或次序順序來實現(xiàn)期望的結(jié)果。在某些實現(xiàn)中���,多任務和并行處理可能是有優(yōu)勢的���。此外,可以支持多樣的用戶接口布局和功能��。此外����,雖然上面的描述集中于將上面的原理應用于定制的白名單的生成���,但是類似的原理也可以應用于生成在安全任務中使用的其它這樣的列表,包括定做的黑名單���。其它變型在以下權(quán)利要求的范圍內(nèi)����。
[0074]本說明書中描述的主題和操作的實施例可以用數(shù)字電子電路或者用計算機軟件�、固件或硬件(包括本說明書中所公開的結(jié)構(gòu)及其結(jié)構(gòu)等價形式)或者用它們中的一個或多個的組合來實現(xiàn)�。本說明書中描述的主題的實施例可以被實現(xiàn)成一個或多個計算機程序,即���,編碼在計算機存儲介質(zhì)上的計算機程序指令的一個或多個模塊�����,以供數(shù)據(jù)處理裝置執(zhí)行或控制數(shù)據(jù)處理裝置的操作�?����?商鎿Q地或此外��,程序指令可以編碼在人為生成的傳播信號上,例如機器生成的電��、光或電磁信號�����,所述信號被生成以對信息進行編碼以傳輸?shù)竭m當?shù)慕邮諜C裝置�,以供數(shù)據(jù)處理裝置執(zhí)行。計算機存儲介質(zhì)可以是計算機可讀存儲設備�、計算機可讀存儲基質(zhì)、隨機或序列訪問存儲器陣列或設備或者它們中的一個或多個的組合�,或者可以包括在它們中。此外�����,雖然計算機存儲介質(zhì)本身不是傳播信號�,但是計算機存儲介質(zhì)可以是用人為生成的傳播信號進行編碼的計算機程序指令的源或目的地。計算機存儲介質(zhì)還可以是一個或多個單獨的物理組件或介質(zhì)(例如多個CD�����、磁盤或其它存儲設備)�,或者包括在它們之中,包括分布式軟件環(huán)境或云計算環(huán)境�。
[0075]本說明書中所描述的操作可以被實現(xiàn)成數(shù)據(jù)處理裝置對存儲在一個或多個計算機可讀存儲設備上的或者從其它源接收到的數(shù)據(jù)執(zhí)行的操作���。術(shù)語“數(shù)據(jù)處理裝置”、“處理器”�����、“處理設備”以及“計算設備”可以涵蓋用于處理數(shù)據(jù)的各種裝置�、設備和機器,舉例來說包括可編程處理器���、計算機����、片上系統(tǒng)或者以上中的多個或組合��。裝置可以包括通用或?qū)S眠壿嬰娐?���,例如中央處理單?CPU)����、刀片、專用集成電路(ASIC)或者現(xiàn)場可編程門陣列(FPGA)以及其它適當?shù)倪x項����。雖然一些處理器和計算設備已經(jīng)被描述和/或示為單個處理器��,但是根據(jù)相關(guān)聯(lián)服務器的特定需求也可以使用多個處理器�。對單個處理器的提及在適當?shù)那闆r下是指包括多個處理器�。一般地,處理器執(zhí)行指令并操作數(shù)據(jù)以執(zhí)行某些操作�。除了硬件之外,裝置還可以包括創(chuàng)建關(guān)注的計算機程序的執(zhí)行環(huán)境的代碼���,例如��,構(gòu)成處理器固件���、協(xié)議棧���、數(shù)據(jù)庫管理系統(tǒng)���、操作系統(tǒng)����、跨平臺運行時環(huán)境��、虛擬機或者它們中的一個或多個的組合的代碼。裝置和執(zhí)行環(huán)境可以實現(xiàn)各種不同的計算模型設施�,例如網(wǎng)頁服務、分布式計算和網(wǎng)格計算設施����。
[0076]可以用任意形式的編程語言(包括編譯或解釋語言、聲明或過程語言)來編寫計算機程序(也稱為程序���、軟件��、軟件應用�����、腳本、模塊、(軟件)工具、(軟件)引擎或代碼)��,并且可以以任意形式部署計算機程序�,包括作為單獨的程序或作為模塊��、組件��、子歷程�����、對象或其它適用于計算環(huán)境的單元�。例如,計算機程序可以包括有形介質(zhì)上的計算機可讀指令�、固件�、有線或編程硬件或者其任意組合��,在被執(zhí)行時可操作以至少執(zhí)行本文中描述的過程和操作�����。計算機程序可以但不需要與文件系統(tǒng)中的文件相對應��。程序可以存儲在保存其它程序或數(shù)據(jù)的文件(例如以標記語言文檔中存儲的一個或多個腳本)的一部分中�����、專用于關(guān)注的程序的單個文件中���、或者多個協(xié)調(diào)的文件(例如,存儲一個或多個模塊���、子程序或代碼的多個部分的文件)中���。計算機程序可以被部署以在一個計算機上或在多個計算機上執(zhí)行���,所述多個計算機位于一個站點處或分布在多個站點上并通過通信網(wǎng)絡互連。
[0077]程序可以被實現(xiàn)成單獨的模塊(單獨的模塊通過各種對象����、方法或其它過程來實現(xiàn)各種特征和功能),或者適當?shù)那闆r下可以反過來包括多個子模塊�����、第三方服務��、組件���、庫��、諸如此類��。因此�����,在適當?shù)那闆r下��,各種組件的特征和功能可以組合成單個組件����。在某些情況中,程序和軟件系統(tǒng)可以被實現(xiàn)為組合的宿主應用����。例如��,組合應用的部分可以被實現(xiàn)成企業(yè)Java Beans(EJB)���,或者設計時組件可以具有將運行時實現(xiàn)生成為不同的平臺的能力�����,例如J2EE (Java2平臺��,企業(yè)版),ABAP (高級商業(yè)應用編程)對象或者Microsoft’ s.NET等�����。此外,應用可以表示經(jīng)由網(wǎng)絡(例如通過互聯(lián)網(wǎng))訪問并執(zhí)行的基于網(wǎng)頁的應用����。此夕卜���,與特定宿主應用或服務相關(guān)聯(lián)的一個或多個過程可以遠程地存儲、參考或執(zhí)行��。例如����,特定宿主應用或服務的一部分可以是與遠程調(diào)用的程序相關(guān)聯(lián)的網(wǎng)頁服務,而宿主應用的另一部分可以是捆綁的用于在遠程客戶端進行處理的接口對象或代理��。此外��,宿主應用和軟件服務中的任何一個或全部可以是另一軟件模塊或企業(yè)應用(未示出)的孩子模塊或子模塊���,而不脫離本公開內(nèi)容的范圍����。此外�,宿主應用的多個部分可以由直接在保存該應用的服務器處以及在客戶端處遠程地工作的用戶來執(zhí)行。
[0078]本說明書中描述的過程和邏輯流程可以由一個或多個可編程處理器來執(zhí)行���,所述一個或多個可編程處理器執(zhí)行一個或多個計算機程序以便通過在輸入數(shù)據(jù)上進行操作并生成輸出來執(zhí)行操作���。過程和邏輯流程還可以由專用邏輯電路(例如FPGA(現(xiàn)場可編程門陣列)或ASIC(專用集成電路))來執(zhí)行����,并且裝置也可以實現(xiàn)成專用邏輯電路���。
[0079]舉例來說�,適于執(zhí)行計算機程序的處理器包括通用和專用微處理器兩者以及任意一種數(shù)字計算機的任意一個或多個處理器�����。通常�����,處理器將接收來自只讀存儲器或隨機存取存儲器或者兩者的指令和數(shù)據(jù)���。計算機的基本元件是用于根據(jù)指令執(zhí)行動作的處理器以及用于存儲指令和數(shù)據(jù)的一個或多個存儲器設備。通常���,計算機還將包括一個或多個用于存儲數(shù)據(jù)的大容量存儲設備�,例如磁盤�����、磁光盤或光盤,或者可操作地耦合以從大容量存儲設備接收數(shù)據(jù)或向大容量存儲設備傳輸數(shù)據(jù)�����,或者兩者�。然而,計算機并不需要具有這些設備�。此外,計算機可以嵌入在另一設備中����,僅僅舉幾個例子,例如移動電話��、個人數(shù)字助理(PDA)���、平板電腦�、移動音頻或視頻播放器�、游戲控制機、全球定位系統(tǒng)(GPS)接收機或者便攜式存儲設備(例如����,通用串行總線(USB)閃存驅(qū)動器)。適于存儲計算機程序指令和數(shù)據(jù)的設備包括所有形式的非易失性存儲器、介質(zhì)和存儲器設備����,舉例來說包括:半導體存儲器設備,例如�����,EPROM����、EEPROM和閃存設備;磁盤����,例如內(nèi)部硬盤或可移動盤�;磁光盤;以及⑶-ROM和DVD-ROM盤�。處理器和存儲器可以由專用邏輯電路來補充或者并入到專用邏輯電路中。
[0080]為了提供與用戶的交互����,本說明書中描述的主題的實施例可以實現(xiàn)在具有用于向用戶顯示信息的顯示設備(例如,CTR(陰極射線管)或LCD (液晶顯示器)監(jiān)視器)以及用戶可以向計算機提供輸入的鍵盤和指點設備(例如鼠標或跟蹤球)的計算機上�����。其它種類的設備也可以用于提供與用戶的交互;例如�����,提供給用戶的反饋可以是任意形式的感測反饋�,例如視覺反饋、聽覺反饋或觸覺反饋���;并且來自用戶的輸入可以以任意形式被接收��,包括聲輸入����、語音輸入或觸覺輸入��。此外��,計算機可以通過向用戶所使用的設備發(fā)送文檔以及從所述設備接收文檔來與用戶進行交互����,所述設備包括遠程設備。
[0081]本說明書中描述的主題的實施例可以實現(xiàn)在計算系統(tǒng)中�����,所述計算系統(tǒng)包括后端組件,例如作為服務器����,或者包括中間件組件,例如應用服務器����,或者包括前端組件,例如具有圖形用戶界面或網(wǎng)頁瀏覽器的客戶端計算機����,通過所述圖形用戶界面或網(wǎng)頁瀏覽器用戶可以與本說明書中描述的主題的實現(xiàn)進行交互,或者一個或多個這樣的后端����、中間件或前端組件的任意組合。系統(tǒng)的組件可以通過任意形式的數(shù)字數(shù)據(jù)通信或數(shù)字數(shù)據(jù)通信介質(zhì)(例如通信網(wǎng)絡)互連���。通信網(wǎng)絡的例子包括用于有助于系統(tǒng)中的各個計算組件之間的通信的任意內(nèi)部或外部網(wǎng)絡、網(wǎng)絡�����、子網(wǎng)或其組合。例如����,網(wǎng)絡可以在網(wǎng)絡地址之間傳遞互聯(lián)網(wǎng)協(xié)議(IP)分組、幀中繼幀��、異步傳輸模式(ATM)單元����、語音、視頻���、數(shù)據(jù)和其它適當?shù)男畔?。網(wǎng)絡還可以包括一個或多個局域網(wǎng)(LAN)�����、無線接入網(wǎng)(RAN)���、城域網(wǎng)(MAN)��、廣域網(wǎng)(WAN)����、互聯(lián)網(wǎng)的全部或一部分、對等網(wǎng)絡(例如��,自組織對等網(wǎng)絡)和/或任意其它通信系統(tǒng)或一個或多個位置處的系統(tǒng)���。[0082]計算系統(tǒng)可以包括客戶端和服務器���。客戶端和服務器通常彼此遠離�,并且通常通過通信網(wǎng)絡進行交互?����?蛻舳撕头掌髦g的關(guān)系通過運行在相應計算機上并彼此具有客戶端-服務器關(guān)系的計算機程序而引起���。在一些實現(xiàn)中�,服務器向客戶端設備發(fā)送數(shù)據(jù)(例如�����,HTML頁面)(例如為了向與客戶端設備交互的用戶顯示數(shù)據(jù)以及從所述用戶接收用戶輸入的目的)����。可以在服務器處從客戶端設備接收在客戶端設備處生成的數(shù)據(jù)(例如����,用戶交互的結(jié)果)。
[0083]雖然本說明書包含許多特定實現(xiàn)細節(jié)�����,但是這些細節(jié)不應當被解釋為是對任意發(fā)明或可能要求保護的范圍進行限制��,而是描述特定于特定發(fā)明的特定實施例的特征�����。在本說明書中在單獨實施例的上下文中描述的某些特征還可以組合地實現(xiàn)在單個實施例中�。因此,在單個實施例的上下文中描述的各個特征還可以分離地或以任意適當?shù)淖咏M合實現(xiàn)在多個實施例中��。此外�����,雖然在上面將特征描述為以某些組合進行動作并且甚至最初這樣要求保護�����,但是在一些情況下,來自要求保護的組合的一個或多個特征可以從所述組合中分離出來�����,并且要求保護的組合可以針對子組合或子組合的變形�����。
[0084]類似地���,雖然在附圖中以特定順序描述了操作���,但是這不應當被理解為要求這樣的操作以所示的特定順序或以連續(xù)順序被執(zhí)行,或者所有示出的操作都被執(zhí)行以實現(xiàn)期望結(jié)果�。在某些情況下,多任務和并行處理可能是有優(yōu)勢的�����。此外��,上面描述的實施例中的各個系統(tǒng)組件的分離不應當被理解為在所有實施例中都要求這樣的分離����,并且應當理解的是��,所描述的程序組件和系統(tǒng)通常可以一起集成在單個軟件產(chǎn)品中或封裝在多個軟件產(chǎn)品中�。
[0085]因此,已經(jīng)描述了主題的特定實施例���。其它實施例在以下權(quán)利要求的范圍內(nèi)���。在一些情況中,記載在權(quán)利要求中的動作可以以不同的順序執(zhí)行����,并且仍然實現(xiàn)期望的結(jié)果。此外�����,附圖中描述的過程未必要求所示的特定順序或連續(xù)順序來實現(xiàn)期望的結(jié)果���。
【權(quán)利要求】
1.一種方法�,包括: 識別與計算系統(tǒng)的至少一個特定用戶相關(guān)聯(lián)的預定的特定行為簡檔�����,所述特定行為簡檔標識所述至少一個用戶在所述計算系統(tǒng)內(nèi)的預期行為; 使用至少一個計算機處理設備來識別與所述特定用戶對所述計算系統(tǒng)的使用相關(guān)聯(lián)的活動���;以及 確定所識別的活動是否與所述特定行為簡檔有關(guān)�,其中���,識別出與所述特定行為簡檔偏離超過特定閾值的活動觸發(fā)與所述特定用戶有關(guān)的風險事件��。
2.如權(quán)利要求1所述的方法��,其中���,沒有偏離超過特定閾值的活動被認為是充分地符合所述特定行為簡檔,并且不觸發(fā)風險事件�����。
3.如權(quán)利要求2所述的方法��,其中,至少一個特定的所識別的活動被識別為與所述特定行為簡檔偏離但處于所述特定閾值內(nèi)���,所述方法還包括: 至少部分地基于所述至少一個特定的所識別的活動來修改所述特定行為簡檔���。
4.如權(quán)利要求1所述的方法,其中�����,所述特定行為簡檔是基于用戶的行為簡檔,所述基于用戶的行為簡檔基于描述所述特定用戶在所述計算系統(tǒng)中的之前活動的多個輸入�。
5.如權(quán)利要求4所述的方法,還包括: 識別與所述計算系統(tǒng)的第二用戶相關(guān)聯(lián)的第二基于用戶的行為簡檔�; 識別與所述第二用戶對所述計算系統(tǒng)的使用相關(guān)聯(lián)的活動���;以及 確定所述第二用戶的所識別的活動是否與所述第二基于用戶的行為簡檔有關(guān),其中���,識別出與所述第二行為簡檔偏離超過所述特定閾值的活動觸發(fā)與所述第二用戶有關(guān)的風險事件�。
6.如權(quán)利要求4所述的方法,其中�,所述第一用戶和所述第二用戶包括在所述計算系統(tǒng)內(nèi)的多個用戶中�,并且所述多個用戶中的每個用戶都具有至少一個相應的基于用戶的行為簡檔�����。
7.如權(quán)利要求6所述的方法,還包括:至少部分地基于所述多個用戶的基于用戶的行為簡檔來確定所述計算系統(tǒng)的聚合的風險簡檔。
8.如權(quán)利要求7所述的方法��,其中�,確定所述計算系統(tǒng)的聚合的風險簡檔包括: 識別所述計算系統(tǒng)中的特定計算設備與所述特定用戶之間的關(guān)聯(lián)���; 確定所述特定計算設備的設備風險簡檔����;以及 至少部分地基于所述特定計算設備的設備風險簡檔和所述特定計算設備的所述特定用戶的特定行為簡檔來確定與所述特定計算設備相關(guān)聯(lián)的組合風險��。
9.如權(quán)利要求8所述的方法����,其中��,確定所述組合風險包括:根據(jù)所述特定行為簡檔識別所述特定用戶的行為趨勢����,所述行為趨勢與所述特定計算設備的特定漏洞相對應,所述特定漏洞是根據(jù)所述特定計算設備的設備風險簡檔識別的�����。
10.如權(quán)利要求1所述的方法�,其中,所述特定行為簡檔是基于組的行為簡檔,所述基于組的行為簡檔基于來自所述計算系統(tǒng)的用戶組中的多個用戶的多個輸入,所述多個輸入描述所述用戶組在所述計算系統(tǒng)中的之前活動�。
11.如權(quán)利要求10所述的方法,其中����,所述用戶組是下述中的至少一個:商業(yè)單元、特定地理位置中的用戶�、具有特定雇傭狀態(tài)的用戶���、一組織的特定部門中的用戶以及所述計算系統(tǒng)的全部識別的用戶的集合�。
12.如權(quán)利要求1所述的方法,其中�����,所述特定行為簡檔基于從多個安全工具接收到的多個輸入��,所述多個安全工具在所述計算系統(tǒng)內(nèi)提供安全服務。
13.如權(quán)利要求12所述的方法,還包括:響應于確定出所述特定用戶的特定活動與所述特定行為簡檔偏離超過所述特定閾值而發(fā)起對策的部署���,其中,所述對策與所述特定活動所觸發(fā)的特定風險事件相對應。
14.如權(quán)利要求13所述的方法���,其中���,所述對策是使用所述多個安全工具中的至少一個來部署的��。
15.如權(quán)利要求14所述的方法��,其中�,所述多個安全工具包括下述中的至少兩個:防火墻、網(wǎng)頁網(wǎng)關(guān)����、郵件網(wǎng)關(guān)�����、主機入侵保護(HIP)工具����、網(wǎng)絡入侵保護(NIP)工具、反惡意軟件工具����、數(shù)據(jù)丟失預防(DLP)工具、系統(tǒng)漏洞管理器�、系統(tǒng)策略服從管理器、資產(chǎn)臨界工具以及安全信息管理(SM)工具��。
16.如權(quán)利要求14所述的方法��,其中�����,所述多個安全工具包括防火墻、網(wǎng)頁網(wǎng)關(guān)��、郵件網(wǎng)關(guān)�����、主機入侵保護(HIP)工具�、網(wǎng)絡入侵保護(NIP)工具、反惡意軟件工具����、數(shù)據(jù)丟失預防(DLP)工具、系統(tǒng)漏洞管理器�、系統(tǒng)策略服從管理器、資產(chǎn)臨界工具以及安全信息管理(SIM)工具�。
17.如權(quán)利要求12所述的方法,其中��,所述輸入中的至少一個源自于基于主機的安全工具�����,所述基于主機的安全工具在所述計算系統(tǒng)中的被識別為由所述特定用戶使用的至少一個終端用戶計算設備上運行�����,所述基于主機的安全工具用于監(jiān)測所述終端用戶計算設備的用戶在所述終端用戶計算設備處的行為,以用于檢測對所述計算系統(tǒng)的用戶行為規(guī)則的違背���。
18.如權(quán)利要求17所述的方法��,還包括:用對用戶行為規(guī)則的特定違背來證實所確定的與所述特定行為簡檔的偏離,所述對用戶行為規(guī)則的特定違背是從所述基于主機的安全工具對所述終端用戶計算設備的監(jiān)測中而檢測到的��。
19.如權(quán)利要求1所述的方法,其中�,所述特定行為簡檔包括所述特定用戶的多個分類風險簡檔����,每個分類風險簡檔描述所述特定用戶關(guān)于相應類別的系統(tǒng)使用的所確定的趨勢。
20.編碼在非暫時性介質(zhì)中的邏輯�,所述邏輯包括用于執(zhí)行的代碼,并且在被處理器執(zhí)行時用于執(zhí)行包括以下的操作: 識別與計算系統(tǒng)的至少一個特定用戶相關(guān)聯(lián)的預定的特定行為簡檔�����,所述特定行為簡檔標識所述至少一個用戶在所述計算系統(tǒng)內(nèi)的預期行為�����; 識別與所述特定用戶對所述計算系統(tǒng)的使用相關(guān)聯(lián)的活動;以及 確定所識別的活動是否與所述特定行為簡檔有關(guān)���,其中����,識別出與所述特定行為簡檔偏離超過特定閾值的活動觸發(fā)與所述特定用戶有關(guān)的風險事件�。
21.—種系統(tǒng),包括: 至少一個處理器設備; 至少一個存儲器元件��;以及 用戶行為風險分析引擎����,其在被所述至少一個處理器設備執(zhí)行時用于: 識別與計算系統(tǒng)的至少一個特定用戶相關(guān)聯(lián)的預定的特定行為簡檔,所述特定行為簡檔標識所述至少一個用戶在所述計算系統(tǒng)內(nèi)的預期行為��;識別與所述特定用戶對所述計算系統(tǒng)的使用相關(guān)聯(lián)的特定活動�����;以及 確定所識別的所述特定活動是否與所述特定行為簡檔偏離超過預定閾值����。
22.如權(quán)利要求21所述的系統(tǒng),還包括來自一集合中的至少兩個安全工具���,所述集合包括防火墻���、網(wǎng)頁網(wǎng)關(guān)��、郵件網(wǎng)關(guān)�、主機入侵保護(HIP)工具����、網(wǎng)絡入侵保護(NIP)工具、反惡意軟件工具��、數(shù)據(jù)丟失預防(DLP)工具���、系統(tǒng)漏洞管理器、系統(tǒng)策略服從管理器�、資產(chǎn)臨界工具以及安全信息管理(SIM)工具,其中���,與所述計算系統(tǒng)的使用相關(guān)聯(lián)的用戶活動是由所述至少兩個安全工具中的每一個來識別的���。
23.如權(quán)利要求21所述的系統(tǒng),其中����,所述用戶行為風險分析引擎在被執(zhí)行時還用于: 通過所述特定用戶在所述計算系統(tǒng)內(nèi)對特定計算設備的使用�����,識別所述特定用戶對多個系統(tǒng)使用規(guī)則中的特定系統(tǒng)使用規(guī)則的檢測到的違背��,其中�,所述檢測到的違背基于安裝在所述特定計算設備上的安全工具對所述特定計算設備的監(jiān)測��;以及 用所述特定用戶對所述特定系統(tǒng)使用規(guī)則的檢測到的違背�����,來證實所確定的與所述特定行為簡檔的偏離 ����。
【文檔編號】G06F21/55GK104011731SQ201280053565
【公開日】2014年8月27日 申請日期:2012年10月17日 優(yōu)先權(quán)日:2011年10月18日
【發(fā)明者】P·G·巴薩瓦帕特納, M·M·莫伊爾, S·施雷克 申請人:邁克菲公司