技術(shù)特征:1.一種機(jī)器可讀介質(zhì)���,其上存儲有指令��,所述指令包括當(dāng)被執(zhí)行時(shí)使機(jī)器執(zhí)行以下各項(xiàng)的指令:
為多個端點(diǎn)創(chuàng)建端點(diǎn)行為簡檔和端點(diǎn)本體模型�;
向所述多個端點(diǎn)中的端點(diǎn)傳輸所述端點(diǎn)行為簡檔和端點(diǎn)本體模型�����;
從所述端點(diǎn)處接收安全事件數(shù)據(jù)��;以及
基于所接收的安全事件數(shù)據(jù)來更新所述端點(diǎn)本體模型。
2.如權(quán)利要求1所述的機(jī)器可讀介質(zhì)���,其中��,當(dāng)被執(zhí)行時(shí)使所述機(jī)器向所述多個端點(diǎn)傳輸所述端點(diǎn)行為簡檔和端點(diǎn)本體模型的所述指令包括當(dāng)被執(zhí)行時(shí)使所述機(jī)器向所述多個端點(diǎn)內(nèi)的可信執(zhí)行環(huán)境傳輸所述端點(diǎn)行為簡檔和端點(diǎn)本體模型的指令���。
3.如權(quán)利要求1至2中任一項(xiàng)所述的機(jī)器可讀介質(zhì),其中����,所述端點(diǎn)行為簡檔包括設(shè)置參數(shù)、配置和期望行為中的一項(xiàng)或多項(xiàng)�。
4.如權(quán)利要求1至2中任一項(xiàng)所述的機(jī)器可讀介質(zhì),其中�,所述安全事件數(shù)據(jù)對應(yīng)于動態(tài)獲得的事件或靜態(tài)提取的特征。
5.如權(quán)利要求4所述的機(jī)器可讀介質(zhì)���,其中�,所述動態(tài)獲得的事件是對所述端點(diǎn)的操作系統(tǒng)的調(diào)用�。
6.如權(quán)利要求4所述的機(jī)器可讀介質(zhì),其中�,所述靜態(tài)提取的特征是對所述端點(diǎn)的操作系統(tǒng)的調(diào)用在反編譯的應(yīng)用程序中被發(fā)現(xiàn)了的指示。
7.如權(quán)利要求1至2中任一項(xiàng)所述的機(jī)器可讀介質(zhì)�����,其中��,所述端點(diǎn)本體模型包括身份��、關(guān)系圖和活動中的一項(xiàng)或多項(xiàng)��。
8.如權(quán)利要求1至2中任一項(xiàng)所述的機(jī)器可讀介質(zhì)�,其中,所述端點(diǎn)本體模型包括受損端點(diǎn)的本體��。
9.如權(quán)利要求8所述的機(jī)器可讀介質(zhì)���,其中�,所述安全事件數(shù)據(jù)指示所述端點(diǎn)行為的行為與受損端點(diǎn)的所述本體的關(guān)聯(lián)���。
10.一種機(jī)器可讀介質(zhì)��,其上存儲由指令�,所述指令包括當(dāng)被執(zhí)行時(shí)使端點(diǎn)執(zhí)行以下各項(xiàng)的指令:
接收并存儲來自服務(wù)器的端點(diǎn)行為簡檔和端點(diǎn)本體模型���;
基于所述端點(diǎn)從所述行為簡檔的偏離來生成安全事件���;以及
將所述安全事件存儲在事件倉儲中�����。
11.如權(quán)利要求10所述的機(jī)器可讀介質(zhì)��,其中�,所述端點(diǎn)行為簡檔和端點(diǎn)本體模型存儲在所述端點(diǎn)的可信執(zhí)行環(huán)境中�����。
12.如權(quán)利要求10至11中任一項(xiàng)所述的機(jī)器可讀介質(zhì)�,其中,所述端點(diǎn)行為簡檔包括設(shè)置參數(shù)�、配置或期望行為中的一項(xiàng)或多項(xiàng)。
13.如權(quán)利要求10至11中任一項(xiàng)所述的機(jī)器可讀介質(zhì)�,其中,所述端點(diǎn)本體模型包括受損端點(diǎn)的本體���。
14.如權(quán)利要求13所述的機(jī)器可讀介質(zhì)��,其中�,所述指令進(jìn)一步包括當(dāng)被執(zhí)行時(shí)使所述端點(diǎn)將所述端點(diǎn)行為與受損端點(diǎn)的所述本體相關(guān)聯(lián)的指令�����。
15.如權(quán)利要求14所述的計(jì)算機(jī)可讀介質(zhì),其中�,所述關(guān)聯(lián)基于隱馬爾可夫模型。
16.一種用于檢測計(jì)算機(jī)網(wǎng)絡(luò)中的威脅的系統(tǒng)�,所述系統(tǒng)包括:
可編程控制單元�����;
存儲設(shè)備�,所述存儲設(shè)備用于存儲端點(diǎn)行為簡檔和端點(diǎn)本體模型;以及
存儲器��,所述存儲器耦合至所述可編程控制單元�����,在所述存儲器上存儲有指令�,所述指令當(dāng)被執(zhí)行時(shí)使所述可編程控制單元:
接收所述端點(diǎn)行為簡檔和所述端點(diǎn)本體模型;
提取并存儲指示所述端點(diǎn)從所述端點(diǎn)行為簡檔的偏離的事件����;以及
基于所提取的事件來檢測可疑行為模式。
17.如權(quán)利要求16所述的系統(tǒng)��,其中,所述端點(diǎn)行為簡檔包括設(shè)置參數(shù)���、配置或期望行為中的一項(xiàng)或多項(xiàng)�。
18.如權(quán)利要求16至17所述的系統(tǒng)����,其中,用于存儲所述端點(diǎn)行為簡檔和所述端點(diǎn)本體模型的所述存儲設(shè)備在可信執(zhí)行環(huán)境中��。
19.如權(quán)利要求16至17所述的系統(tǒng)���,其中���,所述端點(diǎn)本體模型是受損端點(diǎn)的本體模型。
20.如權(quán)利要求19所述的系統(tǒng)��,其中�����,當(dāng)被執(zhí)行時(shí)使所述可編程控制單元檢測可疑行為模式的所述指令包括當(dāng)被執(zhí)行時(shí)使所述可編程控制單元將所提取的事件與所述端點(diǎn)本體模型相關(guān)聯(lián)的指令�����。
21.如權(quán)利要求20所述的系統(tǒng),其中�����,當(dāng)被執(zhí)行時(shí)使所述可編程控制單元將所提取的事件與所述端點(diǎn)本體模型相關(guān)聯(lián)的所述指令包括當(dāng)被執(zhí)行時(shí)使所述可編程控制單元采用隱馬爾可夫模型的指令���。
22.一種檢測計(jì)算機(jī)網(wǎng)絡(luò)中的威脅的方法��,所述方法包括:
由端點(diǎn)可編程設(shè)備接收端點(diǎn)行為簡檔和端點(diǎn)本體模型;
將所述端點(diǎn)行為簡檔和所述端點(diǎn)本體模型存儲在所述端點(diǎn)的可信執(zhí)行環(huán)境中��;
檢測指示所述端點(diǎn)從所述端點(diǎn)行為簡檔的偏離的事件�����;
將所檢測的事件存儲在事件倉儲中�;
將所檢測的事件與所述端點(diǎn)本體模型相關(guān)聯(lián);以及
響應(yīng)于滿足預(yù)定閾值的關(guān)聯(lián)而生成安全警告����。
23.如權(quán)利要求22所述的方法,其中����,所述端點(diǎn)本體模型包括受損端點(diǎn)的端點(diǎn)本體模型����。
24.如權(quán)利要求22至23中任一項(xiàng)所述的方法�,其中,關(guān)聯(lián)包括應(yīng)用隱馬爾可夫模型�����。
25.一種設(shè)備�����,包括用于執(zhí)行如權(quán)利要求22至24中任一項(xiàng)所述的方法的裝置���。