本公開涉及計算機安全領(lǐng)域，并且更具體地涉及使用端點可信執(zhí)行環(huán)境所采用的數(shù)據(jù)挖掘算法來檢測威脅和惡意活動的方法和系統(tǒng)。

背景技術(shù)：

互聯(lián)網(wǎng)已經(jīng)使得全世界不同計算機網(wǎng)絡(luò)能夠互連。然而，對部件制造商、系統(tǒng)設(shè)計者和網(wǎng)絡(luò)運營商來說，有效地保護和維護穩(wěn)定的計算機和系統(tǒng)的能力存在顯著的障礙。由于惡意軟件作者開發(fā)的不斷演進的一系列策略，這種障礙甚至變得更加復(fù)雜。惡意軟件作者創(chuàng)建惡意軟件(“malware”)來中斷或停止計算機操作、盜取信息、獲得對系統(tǒng)資源的未授權(quán)訪問、并進行其他未授權(quán)濫用的、敵對的、侵入的或令人厭煩的活動。由于每天開發(fā)可能暴露計算機和系統(tǒng)的新惡意軟件對象，惡意軟件持續(xù)演進。

除了其他計算機安全產(chǎn)品外，惡意軟件檢測和預(yù)防軟件已經(jīng)被開發(fā)用于使用計算機安全產(chǎn)品從系統(tǒng)中檢測、鎖定、禁用、隔離和刪除惡意軟件。攻擊者在使惡意代碼混亂方面變得更加有經(jīng)驗并且經(jīng)常運行他們自己的測試來模仿目標(biāo)網(wǎng)絡(luò)和計算機。攻擊者經(jīng)常把這種測試建立在攻擊之前獲得的內(nèi)部信息上(亦稱為偵查攻擊階段)。其結(jié)果是，惡意軟件變得更加定制化，使基于簽名的檢測逐漸變得不那么有效。因此，本領(lǐng)域需要用于檢測對網(wǎng)絡(luò)系統(tǒng)的威脅——特別是針對特定網(wǎng)絡(luò)所定制的威脅——的有效方法。

附圖說明

圖1展示了根據(jù)本文中所描述的實施例的用于威脅檢測的分布式架構(gòu)的實施例。

圖2展示了針對受損端點所計算的端點本體(ontology)。

圖3展示了與預(yù)定義的受損端點本體最佳擬合的所計算事件序列。

圖4是流程圖，展示了根據(jù)一個實施例的一種用于從服務(wù)器處接收本體模型的技術(shù)。

圖5是流程圖，展示了根據(jù)一個實施例的一種用于檢測事件以便由關(guān)聯(lián)引擎進行分析的技術(shù)。

圖6是流程圖，展示了根據(jù)一個實施例的一種用于生成安全警告的技術(shù)。

圖7是框圖，展示了根據(jù)一個實施例的可以實施端點的可編程設(shè)備的相關(guān)特征。

具體實施方式

在以下描述中，出于解釋的目的，闡述了許多具體的細節(jié)以便提供對本發(fā)明的徹底理解。然而，對于本領(lǐng)域技術(shù)人員而言，可以在不具有這些具體細節(jié)的情況下實踐本發(fā)明將是明顯的。在其他實例中，以框圖的形式示出了結(jié)構(gòu)和設(shè)備以避免使本發(fā)明模糊。對不帶下標(biāo)或后綴的數(shù)字的引用被理解為引用對應(yīng)于被引用數(shù)字的所有下標(biāo)和前綴的實例。此外，在本公開中使用的語言主要是為了可讀性和指導(dǎo)的目的而被選擇的，并且可能尚未被選擇為描繪或限制創(chuàng)造性主題，有必要借助權(quán)利要求書來確定這樣的創(chuàng)造性主題。在說明書中提及“一個實施例”或者“實施例”意味著結(jié)合實施例所描述的特定特征、結(jié)構(gòu)或特性被包括在本發(fā)明的至少一個實施例中，并且多次提及“一個實施例”或“實施例”不應(yīng)當(dāng)被理解為一定都是指相同的實施例。

如本文中所使用的，術(shù)語“可編程設(shè)備”可以指用于執(zhí)行被描述為在可編程設(shè)備上或由可編程設(shè)備執(zhí)行的功能的單臺可編程設(shè)備或一起工作的多臺可編程設(shè)備。類似地，“機器可讀介質(zhì)”可以指可以一起存儲被描述為存儲在機器可讀介質(zhì)上的材料的單個物理介質(zhì)或多個介質(zhì)。

如本文中所使用的，術(shù)語“惡意軟件”“惡意代碼”指用于中斷可編程設(shè)備的操作、收集敏感信息或獲得對私有系統(tǒng)或網(wǎng)絡(luò)的訪問的任何軟件。惡意軟件包括計算機病毒(包括蠕蟲、特洛伊木馬等)、勒索軟件、間諜軟件、廣告軟件、恐嚇軟件以及任何其他類型的惡意程序。

如本文中所使用的，術(shù)語“本體”指用于組織關(guān)于端點計算機系統(tǒng)的信息的結(jié)構(gòu)框架?？梢允褂萌魏纹谕挠糜趯嵤┍倔w的技術(shù)。

如以上所提及的，攻擊者通過收集關(guān)于目標(biāo)網(wǎng)絡(luò)的數(shù)據(jù)(偵察)、運行他們自己的測試來模仿目標(biāo)、并且開發(fā)為目標(biāo)定制的惡意軟件而在其對網(wǎng)絡(luò)系統(tǒng)的攻擊方面變得更加有經(jīng)驗。這種定制的攻擊難以基于傳統(tǒng)的基于簽名的標(biāo)識來檢測。此外，由于初始損害、偵查和滲漏之間的長延遲時間，這種攻擊可能緩慢地演進。如此，惡意軟件活動的證據(jù)隨時間演進而不是在攻擊開始后立即呈現(xiàn)。

已經(jīng)開發(fā)了基于規(guī)則和啟發(fā)方法的更加復(fù)雜的防御措施，以便嘗試阻止這種定制的攻擊。這種防御措施在由企業(yè)數(shù)據(jù)源、IT基礎(chǔ)架構(gòu)和端點設(shè)備所生成的事件上運行，并且使用大數(shù)據(jù)服務(wù)器進行處理。這種防御系統(tǒng)的示例是邁克菲的安全信息和事件管理(SIEM)系統(tǒng)。SIEM技術(shù)收集、分析并呈現(xiàn)來自網(wǎng)絡(luò)安全設(shè)備、身份和訪問管理應(yīng)用程序、漏洞管理和策略遵從工具、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用程序日志、以及外部威脅數(shù)據(jù)的信息。SIEM解決方案的一方面是在單個位置中對由各種安全資產(chǎn)收集的所有數(shù)據(jù)進行比較。

SIEM方法的缺點是收集日志、提取并批處理大量數(shù)據(jù)易于產(chǎn)生顯著延遲。由此，在對攻擊進行檢測時可能存在顯著滯后。此外，SIEM分析缺乏對端點的可見性，并且由此缺乏關(guān)于引起警告的事件的上下文信息。這種對可見性和上下文的缺乏可能會導(dǎo)致相對高水平的誤肯定警告，所述誤肯定警告必須被手動地分析。

一種解決方案是在端點中執(zhí)行行為檢測機器學(xué)習(xí)算法來改善反應(yīng)時間，并提供更豐富的本地上下文，由此減少誤肯定事件。不幸的是，在端點中分析事件可能會負面地影響端點設(shè)備的性能和電池壽命。而且，因為端點通常比更高價值的企業(yè)IT部件(如服務(wù)器)更少地受到保護，所以端點更經(jīng)常地被損壞。結(jié)果是，惡意軟件可能能夠篡改對本地端點分析的執(zhí)行并偽造結(jié)果。此外，運行端點的封閉式操作系統(tǒng)(如iOS、安卓、Windows RT等)越來越限制在端點中的事件收集能力，限制了可能的端點內(nèi)行為分析的范圍。

本文中所描述的方法和系統(tǒng)通過在專用分析服務(wù)器(用于繁重計算)與端點(具有“薄”客戶端)之間分配與事件收集和分析相關(guān)的操作來解決與上述基于服務(wù)器和基于端點的解決方案兩者相關(guān)聯(lián)的缺點。除了基于服務(wù)器的異常檢測，重載大數(shù)據(jù)分析(BDA)服務(wù)器處理從企業(yè)事件源和端點處收集的數(shù)據(jù)并針對每個端點(或相似端點組)產(chǎn)生行為簡檔模型。這些簡檔可以包括設(shè)置參數(shù)、配置、行為等。分析服務(wù)器還生成企業(yè)級端點本體，所述端點本體可以表示身份、關(guān)系圖、活動等形式。在一些實施例中，除了或替代企業(yè)范圍的本體，分析服務(wù)器可以針對企業(yè)部門、地理位置等生成本體。所述簡檔、模型和本體分析被提供給所述端點。因此，每個端點具有關(guān)于其他企業(yè)級本體的上下文信息。端點分析使用來自所述分析服務(wù)器的輸出來檢測從所述端點的行為簡檔的偏離。根據(jù)一些實施例，端點在可信執(zhí)行環(huán)境(TEE)內(nèi)執(zhí)行本地分析來避免惡意軟件干擾。而且，端點可以提取動態(tài)獲得的事件和靜態(tài)提取的特征兩者并將其提交給分析服務(wù)器。動態(tài)獲得的事件的示例是對OS的URLDownloadToFile()API的調(diào)用。靜態(tài)提取的特征的示例是表明在反編譯的應(yīng)用程序中發(fā)現(xiàn)了對OS的URLDownloadToFile()API的調(diào)用的指示。對分析服務(wù)器的這種反饋使上下文充實，并且還幫助緩解由封閉式OS強加的限制。這些事件和特征用于建立模型，因此可以被提供作為從端點103到BDA服務(wù)器102的持續(xù)饋送。

圖1展示了本文中所描述的分布式安全系統(tǒng)100的實施例。系統(tǒng)100包括SIEM服務(wù)器101和BDA服務(wù)器102。盡管服務(wù)器101和102在圖1中展示為獨立設(shè)備，但是相同的裝備可以共享SIEM功能和BDA功能兩者，或者那些功能中的任一者或兩者可以在多個設(shè)備之間分布。圖1還展示了一個示例端點103。BDA服務(wù)器102或SIEM服務(wù)器101通常支持多個端點103。

BDA服務(wù)器102創(chuàng)建并維護端點簡檔和企業(yè)本體模型，并且將那些模型推送給端點103?？梢远ㄆ诘?例如，每天)將端點簡檔和企業(yè)本體模型推送給端點103。根據(jù)某些實施例，所述模型被周期性地推送給端點103內(nèi)的TEE106。BDA服務(wù)器102還具有大量數(shù)據(jù)上的檢測功能。

端點103將其個人(或群組)端點簡檔107和企業(yè)本體模型108存儲在TEE本地存儲設(shè)備內(nèi)。端點103使用端點規(guī)則110和端點簡檔107提取由檢測引擎109引發(fā)的事件。那些事件被提取到事件倉儲111中。事件倉儲111包含在端點103內(nèi)，優(yōu)選地包含在TEE 106的受保護存儲設(shè)備中，然而，如圖1中所展示的，還可以使用操作系統(tǒng)可訪問的存儲設(shè)備。端點103通過在事件倉儲111和本地存儲的本體模型108上運行高級關(guān)聯(lián)引擎112來檢測可疑行為模式。將由高級關(guān)聯(lián)引擎112生成的事件發(fā)送至SIEM服務(wù)器101和BDA服務(wù)器102以供進一步機器學(xué)習(xí)和進一步關(guān)聯(lián)分析。數(shù)據(jù)提取代理113促進對事件的提取。數(shù)據(jù)提取代理113和事件倉儲111可以是端點操作系統(tǒng)114的部件。

可能通過例如使用魚叉式釣魚攻擊或水坑攻擊來獲得對所述基礎(chǔ)設(shè)施上的端點的訪問來發(fā)起針對目標(biāo)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊。如本領(lǐng)域中所使用的，術(shù)語“魚叉式釣魚”是指采用個性化電子郵件搜索信息形式的攻擊。術(shù)語“水坑”是指這樣的攻擊：在其中攻擊者修改客戶經(jīng)常光顧的網(wǎng)站，從而使得當(dāng)客戶訪問網(wǎng)站時，客戶受到損害。這些攻擊中的任何一種都導(dǎo)致在端點103處對文件的下載和安裝。一旦攻擊者獲得對端點103的訪問，攻擊者就使用所述端點103來進行關(guān)于網(wǎng)絡(luò)系統(tǒng)和資產(chǎn)的偵查，并且發(fā)起對系統(tǒng)的擴展攻擊。

如以上所提及的，BDA服務(wù)器102生成端點簡檔和企業(yè)本體。端點簡檔和企業(yè)本體可以包括受損端點103的事件序列和進程的圖形表示?；谠诒疚闹斜环Q為攻擊指示器(IOC)的安全事件，這種圖形表示是攻擊的企業(yè)級本體的一部分。安全事件是由端點操作系統(tǒng)114并且通過從端點簡檔107和端點規(guī)則110的實時偏離生成的。那些安全事件被存儲在端點事件倉儲111中。

表1概述了如可能由BDA服務(wù)器102計算的示例事件序列，表示受損端點103的本體。

圖2展示了由BDA服務(wù)器102基于表1中概述的序列所計算的端點本體200。本體200是對基于表1中概括的攻擊所計算的事件序列的圖形表示。在此示例中，事件E1發(fā)生在序列S1中，其后跟隨著發(fā)生在序列S2中的事件E2。如由循環(huán)回到序列S2的箭頭所指示的，可能發(fā)生多個序列S2。在序列S2之后，可能發(fā)生事件E3或E4，引起序列S3或S4。序列S4之后可能是序列S4的其他實例或者是序列S5(事件E5)。序列S5之后可能是序列S4和S6。所計算的本體200被周期性地推送給端點103，從而使得高級關(guān)聯(lián)引擎112可以將其用作參考。

高級關(guān)聯(lián)引擎112監(jiān)測端點103的進程和本體，以便檢測由BDA服務(wù)器102計算的它們與受損端點的本體108的關(guān)聯(lián)。根據(jù)某些實施例，所述算法基于與攻擊相關(guān)聯(lián)的端點狀態(tài)序列是馬爾可夫鏈的假設(shè)，意味著端點將占據(jù)所述序列中的給定狀態(tài)的概率僅取決于緊接在前的狀態(tài)。換言之，端點的未來狀態(tài)基于端點的當(dāng)前狀態(tài)而不是基于端點103如何達到其當(dāng)前狀態(tài)而概率地確定。

此外，端點103的實際進程和本體(即，由所述進程執(zhí)行的聚合任務(wù))不是直接可觀察的。僅輸出事件和進程行為(如發(fā)出的系統(tǒng)調(diào)用)是可觀察的。由此，高級關(guān)聯(lián)引擎112基于那些可觀察事件(本文中稱為“實際事件”)確定端點本體并對其建模。這種情況被稱為隱馬爾可夫模型(HMM)。高級關(guān)聯(lián)引擎112基于端點本體應(yīng)用分類序列標(biāo)記算法以便在實際事件序列中標(biāo)識針對性攻擊模式。序列標(biāo)記算法是概率性的，依賴于統(tǒng)計推斷來發(fā)現(xiàn)描述針對性攻擊的最佳擬合序列。每個狀態(tài)在可能輸出序列上具有概率分布。

使用HMM，高級關(guān)聯(lián)引擎112生成提供可能端點狀態(tài)的信息的事件序列，即，最佳擬合預(yù)定義的受損端點本體的事件序列。一旦根據(jù)所定義的閾值標(biāo)識了最佳擬合狀態(tài)，就生成安全警告，連同實際可疑狀態(tài)描述。HMM統(tǒng)計處理在現(xiàn)有技術(shù)中是已知的。

如以上所描述的，高級關(guān)聯(lián)引擎112基于所計算的端點本體將序列標(biāo)記算法應(yīng)用于攻擊。表2概述了對應(yīng)于針對性攻擊的實際事件序列。

圖3展示了由高級關(guān)聯(lián)引擎112計算的最佳擬合預(yù)定義的受損端點本體的事件序列。一旦根據(jù)所定義的閾值標(biāo)識了“最佳擬合”狀態(tài)，就生成安全警告，連同實際可疑狀態(tài)描述。將所述警告和描述提供給系統(tǒng)管理員。

應(yīng)當(dāng)注意的是，高級關(guān)聯(lián)引擎112可以使用不同于HMM或除其之外的方法來使實際事件與受損端點103的所計算本體相關(guān)聯(lián)。例如，其他機器學(xué)習(xí)算法(如期望最大化)可能是合適的。

圖4是流程圖，展示了根據(jù)一個實施例的一種用于從BDA服務(wù)器102處接收本體模型的技術(shù)。在框410中，端點103從BDA服務(wù)器102處接收本體模型。在一些實施例中，每個本體模型分別發(fā)送自BDA服務(wù)器102；其他實施例可以將多個本體模型打包成單次輸送。在框420中，端點103將(多個)本體模型存儲在本地存儲設(shè)備中，如用于圖1的本地本體模型108的本地存儲區(qū)域。本體模型可以通過網(wǎng)絡(luò)接口從BDA服務(wù)器102處接收，并且可以使用任何期望的協(xié)議被傳輸和接收。在一些實施例中，端點簡檔和端點規(guī)則可以與端點本體一起被包括。在其他實施例中，端點簡檔和端點規(guī)則可以從BDA服務(wù)器102處發(fā)送并由與本體分離的端點103接收。

圖5是流程圖，展示了一種用于檢測事件以便由高級關(guān)聯(lián)引擎112進行分析的技術(shù)。如圖1中所展示的，在可信執(zhí)行環(huán)境中實施檢測引擎109，以避免由端點103上的惡意軟件的可能感染。在框510中，檢測引擎109檢測事件。如上文所解釋的，這些事件可以包括可能具有安全影響的任何類型的事件，如下載、登錄和登錄嘗試、命令、遠程連接、賬戶創(chuàng)建和操縱、以及信標(biāo)活動。這些事件類型被展示并且僅通過示例的方式，并且可以提供其他類型的安全事件。檢測引擎109檢測事件，并且然后在框520中，可以采用數(shù)據(jù)提取代理113來提取與特定事件相關(guān)的數(shù)據(jù)并將事件數(shù)據(jù)存儲在如事件倉儲111中。

圖6是流程圖，展示了根據(jù)一個實施例的一種用于生成安全警告的技術(shù)。在框610中，高級關(guān)聯(lián)引擎112將事件倉儲111中的事件與本地存儲的本體模型108進行比較。如上所述，高級關(guān)聯(lián)引擎112可以使用HMM技術(shù)或任何其他期望的技術(shù)來確定實際端點本體并對其進行建模。在一個實施例中，分類序列標(biāo)記算法用于確定在事件確定的本體模型與所存儲的(多個)本體模型108之間的關(guān)聯(lián)，標(biāo)識實際事件序列中的針對性攻擊模式。通過生成事件序列(如表2中所展示的事件)，可以確定所述事件確定的本體模型與所述存儲的(多個)本體模型之間的關(guān)聯(lián)擬合。如果事件序列沒有與任何存儲的本體模型108相關(guān)聯(lián)(框620)，則所述技術(shù)可以嘗試另一個事件序列，返回至框610。如果多個事件序列擬合一個或多個本體模型，則在框630中確定最佳擬合。如在框640中所確定的，如果所述事件確定的本體模型是與所存儲的本體模型108的滿足預(yù)定關(guān)聯(lián)閾值的最佳擬合，則在框650中，高級關(guān)聯(lián)引擎112可以生成安全警告或者使一些其他模塊這樣做。最后，在框660中，如期望的，可以將安全警告發(fā)送給日志記錄系統(tǒng)、安全管理員、系統(tǒng)管理員等。

圖7是根據(jù)一個實施例的可以實施端點103的可編程設(shè)備700的相關(guān)特征的框圖。本領(lǐng)域技術(shù)人員將認識到，為了清楚起見，已經(jīng)省略了某些常見部件和特征，并且可以包括其他部件和特征。在此示例實施例中，處理器710可以提供用于一些上述技術(shù)的處理能力，所述處理器可以是任何期望類型的單核或多核處理器。系統(tǒng)存儲器720使用任何期望類型的互連(包括一個或多個總線或點對點鏈路)耦合至處理器710，數(shù)字顯示接口740可以提供用于連接用于顯示安全警告或任何其他期望的信息的顯示屏幕745以及用于提供用于配置和管理可編程設(shè)備700的用戶界面的接口?？删幊淘O(shè)備可以是任何類型的可編程設(shè)備，包括移動設(shè)備，如智能電話和平板計算機、膝上型計算機、臺式計算機、工作站等。盡管端點103在上文中相對于SIEM服務(wù)器101和BDA服務(wù)器102被描述為客戶端系統(tǒng)，但是其可以相對于其他計算機系統(tǒng)和可編程設(shè)備而充當(dāng)服務(wù)器系統(tǒng)(未示出)。盡管在圖7中僅展示了單個處理器710，但是也可以使用任何數(shù)量的處理器710。類似的，圖7的任何其他特征可以被實施為特征的多個實例，并且被展示為獨立單元的特征可以以任何期望或方便的方式組合。例如，圖7的一些或所有特征可以被實施為單個芯片或芯片組。

在說明性實施例中，使用任何類型的互連將平臺控制器中樞(PCH)750與處理器710互連。PCH 750提供其他設(shè)備由在處理器710上運行的軟件使用的能力，并且可以連接至接口單元以便與其他設(shè)備接口連接，如用于與如鍵盤或鼠標(biāo)735等設(shè)備進行通信的USB接口730、用于控制如數(shù)據(jù)存儲單元775等存儲單元的SATA接口770、用于與網(wǎng)絡(luò)765進行通信的集成LAN接口760、以及集成音頻接口780。數(shù)據(jù)存儲單元775可以是任何期望類型的數(shù)據(jù)存儲單元，包括硬件驅(qū)動器、光學(xué)驅(qū)動器、固態(tài)驅(qū)動器等，所述數(shù)據(jù)存儲單元具有可以存儲數(shù)據(jù)(如事件倉儲111或當(dāng)被執(zhí)行時使處理器710執(zhí)行本文中所描述的功能的指令777)的或固定或可移動的介質(zhì)。

可信程序模塊(TPM)790可以耦合至PCH 750或可編程設(shè)備700中的其他地方，以便提供TEE 106。

以下示例涉及另外的實施例。

示例1是一種在其上存儲有指令的機器可讀介質(zhì)，所述指令包括當(dāng)被執(zhí)行時使機器執(zhí)行以下各項的指令：為多個端點創(chuàng)建端點行為簡檔和端點本體模型；向所述多個端點中的端點傳輸所述端點行為簡檔和端點本體模型；從所述端點處接收安全事件數(shù)據(jù)；以及基于所接收的安全事件數(shù)據(jù)來更新所述端點本體模型。

在示例2中，如示例1所述的主題可以可選地包括：其中，當(dāng)被執(zhí)行時使所述機器向所述多個端點傳輸所述端點行為簡檔和端點本體模型的所述指令包括：當(dāng)被執(zhí)行時使所述機器向所述多個端點內(nèi)的可信執(zhí)行環(huán)境傳輸所述端點行為簡檔和端點本體模型的指令。

在示例3中，如示例1至2所述的主題可以可選地包括：其中，所述端點行為簡檔包括設(shè)置參數(shù)、配置和期望行為中的一項或多項。

在示例4中，如示例1至2所述的主題可以可選地包括：其中，所述安全事件數(shù)據(jù)對應(yīng)于動態(tài)獲得的事件或靜態(tài)提取的特征。

在示例5中，如示例4所述的主題可以可選地包括：其中，所述動態(tài)獲得的事件是對所述端點的操作系統(tǒng)的調(diào)用。

在示例6中，如示例4所述的主題可以可選地包括：其中，所述靜態(tài)提取的特征是對所述端點的操作系統(tǒng)的調(diào)用在反編譯的應(yīng)用程序中被發(fā)現(xiàn)的指示。

在示例7中，如示例1至2所述的主題可以可選地包括：其中，所述端點本體模型包括身份、關(guān)系圖和活動中的一項或多項。

在示例8中，如示例1至2所述的主題可以可選地包括：其中，所述端點本體模型包括受損端點的本體。

在示例9中，如示例8所述的主題可以可選地包括：其中，所述安全事件數(shù)據(jù)指示所述端點行為的行為與受損端點的所述本體的關(guān)聯(lián)。

示例10是一種在其上存儲有指令的機器可讀介質(zhì)，所述指令包括當(dāng)被執(zhí)行時使端點執(zhí)行以下各項的指令：接收并存儲來自服務(wù)器的端點行為簡檔和端點本體模型；基于所述端點從所述行為簡檔的偏離來生成安全事件；以及將所述安全事件存儲在事件倉儲中。

在示例11中，如示例10所述的主題可以可選地包括：其中，所述端點行為簡檔和端點本體模型存儲在所述端點的可信執(zhí)行環(huán)境中。

在示例12中，如示例10至11所述的主題可以可選地包括：其中，所述端點行為簡檔包括設(shè)置參數(shù)、配置和期望行為中的一項或多項。

在示例13中，如示例10至11所述的主題可以可選地包括：其中，所述端點本體模型包括受損端點的本體。

在示例14中，如示例13所述的主題可以可選地包括：其中，所述指令進一步包括當(dāng)被執(zhí)行時使所述端點將所述端點行為與受損端點的所述本體相關(guān)聯(lián)的指令。

在示例15中，如示例14所述的主題可以可選地包括：其中，所述關(guān)聯(lián)基于隱馬爾可夫模型。

示例16是一種用于檢測計算機網(wǎng)絡(luò)中的威脅的系統(tǒng)，所述系統(tǒng)包括：可編程控制單元；存儲設(shè)備，所述存儲設(shè)備用于存儲端點行為簡檔和端點本體模型；以及存儲器，所述存儲器耦合至所述可編程控制單元，在所述存儲器上存儲有指令，所述指令當(dāng)被執(zhí)行時使所述可編程控制單元：接收所述端點行為簡檔和所述端點本體模型；提取并存儲指示所述端點從所述端點行為簡檔的偏離的事件；以及基于所提取的事件來檢測可疑行為模式。

在示例17中，如示例16所述的主題可以可選地包括：其中，所述端點行為簡檔包括設(shè)置參數(shù)、配置和期望行為中的一項或多項。

在示例18中，如示例16至17所述的主題可以可選地包括：其中，用于存儲所述端點行為簡檔和所述端點本體模型的所述存儲設(shè)備在可信執(zhí)行環(huán)境中。

在示例19中，如示例16至17所述的主題可以可選地包括：其中，當(dāng)被執(zhí)行時使所述可編程控制單元檢測可疑行為模式的所述指令包括當(dāng)被執(zhí)行時使所述可編程控制單元將所述提取的事件與所述端點本體模型相關(guān)聯(lián)的指令。

在示例20中，如示例19所述的主題可以可選地包括：其中，當(dāng)被執(zhí)行時使所述可編程控制單元檢測可疑行為模式的所述指令包括當(dāng)被執(zhí)行時使所述可編程控制單元將所提取的事件與所述端點本體模型相關(guān)聯(lián)的指令。

在示例21中，如示例20所述的主題可以可選地包括：其中，當(dāng)被執(zhí)行時使所述端點將所提取的事件與所述端點本體模型相關(guān)聯(lián)的指令包括當(dāng)被執(zhí)行時使所述端點采用隱馬爾可夫模型的指令。

示例22是一種檢測計算機網(wǎng)絡(luò)中的威脅的方法，所述方法包括：由端點可編程設(shè)備接收端點行為簡檔和端點本體模型；將所述端點行為簡檔和所述端點本體模型存儲在所述端點的可信執(zhí)行環(huán)境中；檢測指示所述端點從所述端點行為簡檔的偏離的事件；將所檢測的事件存儲在事件倉儲中；將所檢測的事件與所述端點本體模型相關(guān)聯(lián)；以及響應(yīng)于滿足預(yù)定閾值的關(guān)聯(lián)而生成安全警告。

在示例23中，如示例22所述的主題可以可選地包括：其中，所述端點本體模型包括受損端點的端點本體模型。

在示例24中，如示例22至23所述的主題可以可選地包括：其中，關(guān)聯(lián)包括應(yīng)用隱馬爾可夫模型。

示例25是一種設(shè)備，包括用于執(zhí)行如示例22至24中任一項所述的方法的裝置。

示例26是一種服務(wù)器裝置，所述服務(wù)器裝置可以可選地包括：用于為多個端點創(chuàng)建端點行為簡檔和端點本體模型的邏輯；用于向所述多個端點中的端點傳輸所述端點行為簡檔和端點本體模型的邏輯；用于從所述端點處接收安全事件數(shù)據(jù)的邏輯；以及用于基于所接收的安全事件數(shù)據(jù)來更新所述端點本體模型的邏輯。

在示例27中，如示例26所述的主題可以可選地包括：用于向所述多個端點傳輸所述端點行為簡檔和端點本體模型的邏輯包括用于向所述多個端點內(nèi)的可信執(zhí)行環(huán)境傳輸所述端點行為簡檔和端點本體模型的邏輯。

在示例28中，如示例26至27所述的主題可以可選地包括：其中，所述端點行為簡檔包括設(shè)置參數(shù)、配置和期望行為中的一項或多項。

在示例29中，如示例26至27所述的主題可以可選地包括：其中，所述安全事件數(shù)據(jù)對應(yīng)于動態(tài)獲得的事件或靜態(tài)提取的特征。

在示例30中，如示例29所述的主題可以可選地包括：其中，所述動態(tài)獲得的事件是對所述端點的操作系統(tǒng)的調(diào)用。

在示例31中，如示例29所述的主題可以可選地包括：其中，所述靜態(tài)提取的特征是對所述端點的操作系統(tǒng)的調(diào)用在反編譯的應(yīng)用程序中被發(fā)現(xiàn)的指示。

在示例32中，如示例26至27所述的主題可以可選地包括：其中，所述端點本體模型包括身份、關(guān)系圖和活動中的一項或多項。

在示例33中，如示例26至27所述的主題可以可選地包括：其中，所述端點本體模型包括受損端點的本體。

在示例34中，如示例33所述的主題可以可選地包括：其中，所述安全事件數(shù)據(jù)指示所述端點行為的行為與受損端點的所述本體的關(guān)聯(lián)。

示例35是一種端點裝置，包括：接收并存儲來自服務(wù)器的端點行為簡檔和端點本體模型；基于所述端點從所述行為簡檔的偏離來生成安全事件；以及將所述安全事件存儲在事件倉儲中。

在示例36中，如示例35所述的主題可以可選地包括：其中，所述端點行為簡檔和端點本體模型存儲在所述端點的可信執(zhí)行環(huán)境中。

在示例37中，如示例35至36所述的主題可以可選地包括：其中，所述端點行為簡檔包括設(shè)置參數(shù)、配置和期望行為中的一項或多項。

在示例38中，如示例35至36所述的主題可以可選地包括：其中，所述端點本體模型包括受損端點的本體。

在示例39中，如示例38所述的主題可以可選地包括：進一步包括用于將所述端點行為與受損端點的所述本體相關(guān)聯(lián)的邏輯。

在示例40中，如示例39所述的主題可以可選地包括：其中，所述關(guān)聯(lián)基于隱馬爾可夫模型。

以上說明和示例旨在是說明性而非限制性的。例如，上述實施例可以彼此組合地使用。對本領(lǐng)域技術(shù)人員而言，在閱讀了上面的描述后，許多其他的實施例都將是明顯的。