申请/专利权人：比特梵德知识产权管理有限公司

申请日：2019-12-10

公开（公告）日：2024-04-23

公开（公告）号：CN113168469B

主分类号：H04L9/40

分类号：H04L9/40;G06F21/55

优先权：["20181210 US 16/215,251"]

专利状态码：有效-授权

法律状态：2024.04.23#授权;2021.09.03#实质审查的生效;2021.07.23#公开

摘要：在一些实施例中，一种行为计算机安全系统保护客户端及网络使其免受例如恶意软件及入侵等的威胁。根据在客户端上发生的事件的训练语料库构建一组客户端配置文件，其中每一客户端配置文件表示受保护机器的子集，且每一客户端配置文件指示使用指派到所述客户端相应配置文件的所述机器的正常或基线模式。客户端配置文件可将具有类似事件统计的机器分组在一起。在训练之后，对照与客户端相关联的客户端配置文件选择性地分析在所述相应客户端上检测到的事件，以检测异常行为。在一些实施例中，在其它事件的上下文中使用多维事件嵌入空间分析个别事件。

主权项：1.一种包括至少一个硬件处理器的服务器计算机系统，所述至少一个硬件处理器经配置以：响应于目标事件在目标客户端系统上发生，所述目标事件选自由进程的发起和试图存取文件组成的群组，根据所述目标事件确定所述目标客户端系统是否包括恶意软件；以及响应于确定所述目标客户端系统包括恶意软件，执行安全动作以保护所述目标客户端系统；其中确定所述目标客户端系统是否包括恶意软件包括：确定所述目标事件的事件上下文，所述事件上下文包括在所述目标事件之前在所述目标客户端系统上发生的一组事件以及在所述目标事件之后在所述客户端系统上发生的另一组事件，根据所述目标事件从多个预定客户端配置文件中选择客户端配置文件，所选择的客户端配置文件表征所选择的客户端系统集群的基线行为，响应于选择所述客户端配置文件，采用特定于所选择的客户端配置文件的行为模型来根据所述事件上下文确定多个预测分数，所述多个预测分数中的每个分数是针对不同事件类型而确定的并指示所述不同事件类型的事件发生于所选择的客户端配置文件的所述事件上下文中的可能性，以及从所述多个预测分数中选择针对所述目标事件的事件类型确定的分数，以及将所选择的分数与预定阈值进行比较；且其中通过分析在多个客户端系统上发生的事件集合来确定所选择的客户端系统集群的组成以确定所述多个客户端系统中的哪些客户端系统表现出相似行为。

全文数据：

权利要求：

百度查询： 比特梵德知识产权管理有限公司 用于行为威胁检测的系统及方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD