[发明专利]用于检测安全威胁的系统和方法

权利要求书

1.一种用于检测安全威胁的计算机实现的方法，所述方法的至少一部分由包括至少一个处理器的计算设备来执行，所述方法包括：

通过软件安全程序检测客户端设备处的安全事故，使得所述软件安全程序生成签名报告以识别所述安全事故；

用所述签名报告查询关联数据库，以推断出不同软件安全程序在所述客户端设备处将可预测地生成的另一个签名报告，在检测到所述安全事故时，所述不同软件安全程序在所述客户端设备处不可用；

基于通过查询所述关联数据库推断出的其他签名报告，执行至少一个保护动作以保护所述客户端设备免受与所述安全事故相关联的安全威胁；

其中：

所述保护动作包括：

修订安全事故报告，以包括有关所述其他签名报告的信息作为幻像事件，以提供所述安全事故的上下文；以及

提示用户执行针对所述其他签名报告定制的动作，所述动作包括以下至少一项：

更新防病毒签名集；

执行接种脚本；

启用安全设置；和

禁用硬件、虚拟和/或网络计算资源；以及和

所述其他签名报告满足与实际生成的所述签名报告相关的统计阈值，

其中推断另一个签名报告包括推断至少两个签名报告，

其中推断另一个签名报告还包括基于确定所述至少一个签名报告指示安全损害来过滤所述至少两个签名报告中的至少一个签名报告，以及

其中所述确定所述至少一个签名报告指示安全损害包括根据统计测量确定所述签名报告与安全损害情况不成比例地相关联。

2.根据权利要求1所述的计算机实现的方法，其中所述关联数据库根据关联规则挖掘算法来构建。

3.根据权利要求2所述的计算机实现的方法，其中所述关联规则挖掘算法识别一起出现超过阈值频率的一组至少两个签名报告。

4.根据权利要求1所述的计算机实现的方法，其中所述确定所述至少一个签名报告指示安全损害包括确定指示安全损害的所述签名报告中的置信度的自动测量满足置信度阈值。

5.根据权利要求1所述的计算机实现的方法，其中推断另一个签名报告包括推测所述安全事故的属性。

6.根据权利要求5所述的计算机实现的方法，其中所述属性包括以下各项中的至少一者：

导致所述安全事故的文件的文件标识符；

导致所述安全事故的web位置的统一资源定位符；

导致所述安全事故的web位置的互联网协议地址。

7.根据权利要求5所述的计算机实现的方法，还包括：

测量所述属性的所述推测是正确的置信度；

确定所述测量的置信度满足置信度阈值。