申请/专利权人：比特梵德知识产权管理有限公司

申请日：2019-12-10

公开（公告）日：2024-04-23

公开（公告）号：CN113168468B

主分类号：G06F21/55

分类号：G06F21/55;H04L9/40

优先权：["20181210 US 16/215,214"]

专利状态码：有效-授权

法律状态：2024.04.23#授权;2021.10.29#实质审查的生效;2021.07.23#公开

摘要：在一些实施例中，一种行为计算机安全系统保护客户端及网络使其免受例如恶意软件及入侵等的威胁。根据在客户端上发生的事件的训练语料库构建一组客户端配置文件，其中每一客户端配置文件表示受保护机器的子集，且每一客户端配置文件指示使用指派到所述客户端相应配置文件的所述机器的正常或基线模式。客户端配置文件可将具有类似事件统计的机器分组在一起。在训练之后，对照与客户端相关联的客户端配置文件选择性地分析在所述相应客户端上检测到的事件，以检测异常行为。在一些实施例中，在其它事件的上下文中使用多维事件嵌入空间分析个别事件。

主权项：1.一种包括至少一个硬件处理器的计算机系统，所述至少一个硬件处理器经配置以：响应于接收到指示多个客户端系统到多个客户端集群中的分组的集群成员资格指示符，从所述多个客户端集群选择客户端集群，其中所述分组是通过分析已经发生于所述多个客户端系统的成员上的事件集合以识别具有相似行为的客户端系统来确定的；响应于选择所述客户端集群，训练行为模型以编码共同表征所述所选择的客户端集群的成员的基线行为，其中：所述行为模型包括事件编码器，所述事件编码器经配置以根据所选择的事件在事件序列内的位置且进一步根据所述事件序列中的至少另一个事件来确定所述事件序列中的所述所选择的事件的嵌入向量，所述事件序列仅由已经发生于所述所选择的客户端集群的成员上的事件组成且根据每个事件的发生时间排序，和其中训练所述行为模型包括根据所述嵌入向量预测所述事件序列中的另一个事件且根据所述预测调整所述事件编码器的参数；以及响应于训练所述行为模型，将所述参数的经调整值发射到异常检测器，所述异常检测器经配置以采用经训练的行为模型来确定在目标客户端系统上发生的目标事件是否指示计算机安全威胁。

全文数据：

权利要求：

百度查询： 比特梵德知识产权管理有限公司 用于行为威胁检测的系统及方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD