[发明专利]用于检测安全威胁的系统和方法

说明书

本发明公开了用于检测安全威胁的计算机实现的方法，所述方法可包括(1)通过软件安全程序检测客户端设备处的安全事故，使得所述软件安全程序生成签名报告以识别所述安全事故；(2)用所述签名报告查询关联数据库，以推断出不同软件安全程序在所述客户端设备处将可预测地生成的另一个签名报告，在检测到所述安全事故时，所述不同软件安全程序在所述客户端设备处不可用；以及(3)基于通过查询所述关联数据库推断出的其他签名报告，执行至少一个保护动作以保护所述客户端设备免受与所述安全事故相关联的安全威胁。本发明还公开了各种其他方法、系统和计算机可读介质。

背景技术

个人和组织通常寻求保护其计算资源免受安全威胁和对应攻击者的攻击。因此，企业组织可采用常规安全产品解决方案，诸如端点防病毒产品和网络防火墙产品。在一些示例中，充当受管理的安全服务提供者的安全供应商可有效地管理客户端的安全服务捆绑。更具体地讲，在一些示例中，受管理的安全服务提供者可聚集和标准化来自各种端点安全产品和软件安全代理的安全事故签名，从而提供计算资源安全和相关安全事故的更全面和信息性的概述。

然而，尽管客户端计算资源可从多个端点安全产品中受益，但是出于各种原因(包括成本和有限的资源分配)，企业组织可能无法在每个单个客户端计算资源上实现这些产品中的一个或多个。因此，这些客户端计算资源(其仅包括可在其他客户端机器上可用的端点安全产品的较小子集)将不会被最佳地保护以免受对应安全威胁。因此，本公开标识出对用于检测安全威胁的改进的系统和方法的需求。

发明内容

如下文将更详细地描述，本公开描述了用于通过以下方式来检测安全威胁的各种系统和方法：例如维护记录来自一个安全产品的安全事故签名与来自另一个不同安全产品的安全事故签名之间的统计相关性的数据库。即使安全产品在客户端设备处不可用，基于与在客户端设备上可用并且确实触发了安全事故签名的另一个安全产品的统计相关性，统计相关性的数据库可使安全供应商能够推断出安全产品会触发安全事故签名，如下文进一步讨论的。在一个示例中，用于检测安全威胁的计算机实现的方法可包括(1)通过软件安全程序检测客户端设备处的安全事故，使得软件安全程序生成签名报告以识别安全事故；(2)用签名报告查询关联数据库，以推断出不同软件安全程序在客户端设备处将可预测地生成的另一个签名报告，在检测到安全事故时，不同软件安全程序在客户端设备处不可用；以及(3)基于通过查询关联数据库推断出的其他签名报告，执行至少一个保护动作以保护客户端设备免受与安全事故相关联的安全威胁。

在一些示例中，关联数据库可根据关联规则挖掘算法来构建。关联规则挖掘算法可识别一起出现超过阈值频率的一组至少两个签名报告。在另外的示例中，推断另一个签名报告可包括推断至少两个签名报告。在另外的示例中，该方法可包括基于确定至少一个签名报告指示安全损害来过滤至少两个签名报告中的至少一个签名报告。确定至少一个签名报告指示安全损害可包括根据统计测量确定签名报告与安全损害情况不成比例地相关联。确定至少一个签名报告指示安全损害还可包括确定指示安全损害的签名报告中的置信度的自动测量满足置信度阈值。

在一些示例中，推断另一个签名报告可包括推测安全事故的属性。属性可包括以下各项中的至少一者：(1)导致安全事故的文件的文件标识符，(2)导致安全事故的web位置的统一资源定位符，以及(3)导致安全事故的web位置的互联网协议地址。另外，该方法还可包括测量属性的推测是正确的置信度，以及然后确定测量的置信度满足置信度阈值。

在一个实施方案中，用于实现上述方法的系统可包括：(1)存储在存储器中的检测模块，作为软件安全程序的一部分，该检测模块检测客户端设备处的安全事故，使得软件安全程序生成签名报告以识别安全事故；(2)存储在存储器中的查询模块，该查询模块用签名报告查询关联数据库，以推断出不同软件安全程序在客户端设备处将可预测地生成的另一个签名报告，在检测到安全事故时，不同软件安全程序在客户端设备处不可用；(3)存储在存储器中的执行模块，该执行模块基于通过查询关联数据库推断出的其他签名报告，执行至少一个保护动作以保护客户端设备免受与安全事故相关联的安全威胁；以及(4)至少一个物理处理器，该物理处理器被配置为执行检测模块、查询模块和执行模块。