[发明专利]端点检测和响应系统事件特征数据传输

权利要求书

1.一种计算机实现的方法，包括：

由端点计算机系统监测与在所述端点计算机系统的操作环境内发生的多个事件相关的数据，所述监测包括：使用在所述端点计算机系统上执行的一个或多个传感器来接收和/或推断所述数据；

对于所述端点计算机系统，将与所述多个事件结合使用的伪像存储在这样的端点计算机系统上维护的保管库中；

由所述端点计算机系统响应于触发而从所述保管库标识和获取表征与所述触发相关联的伪像的元数据；以及

由所述端点计算机系统向远程服务器提供所标识和所获取的所述元数据。

2.根据权利要求1所述的方法，其中所述触发在定时器到期之后发生。

3.根据前述权利要求中任一项所述的方法，其中所述触发在预定时间量到期之后发生。

4.根据前述权利要求中任一项所述的方法，其中所述触发响应于在所述端点计算机系统上确定文件或对象包括恶意软件而发生。

5.根据前述权利要求中任一项所述的方法，其中所述触发响应于接收到来自远程计算系统的查询而发生。

6.根据前述权利要求中任一项所述的方法，还包括：

由所述端点计算机系统向远程服务器提供相应的保管库中的、与所述触发相关联的所述伪像和/或所述事件的至少一部分。

7.根据前述权利要求中任一项所述的方法，还包括：

由所述端点计算机系统在所标识的所述元数据被提供给所述服务器之前，对所标识的所述元数据的至少一部分进行编校。

8.根据权利要求7所述的方法，其中经编校的所标识的所述元数据包括以下中的至少一项：用户名、IP地址、文件名、进程命令行、URL、注册表键、注册表名称、注册表内容、进程名称或DNS信息。

9.根据前述权利要求中任一项所述的方法，其中所标识的所述元数据以空间有效的数据结构而被提供。

10.根据权利要求9所述的方法，其中所述空间有效的数据结构是Bloom过滤器、HyperLogLog数据结构、Count-Min草图、MinHash数据结构或T-Digest数据结构。

11.根据前述权利要求中任一项所述的方法，其中所述伪像是感兴趣的数字项，包括以下中的一项或多项：文件、程序、网络连接、注册表键和值、DNS连接、用户代理字符串、URL、驱动程序、服务、用户或系统特性。

12.根据前述权利要求中任一项所述的方法，其中所述监测还包括：使用在所述端点计算机系统外部生成、并且由所述端点计算机系统通过通信接口接收的附加数据，来接收和/或推断所述数据中的至少一些数据。

13.根据前述权利要求中任一项所述的方法，其中所述数据在所述保管库中的所述存储还包括：基于一个或多个准则，来确定在每个保管库中保留较有可能相关的所述数据的第一子集，并且从相应的所述保管库中排除较有可能不相关的所述数据的第二子集。

14.根据前述权利要求中任一项所述的方法，其中所述事件包括在所述端点计算机系统上发生、并且涉及所述端点计算机系统上的一个或多个伪像的动作，并且/或者其中所述事件包括在与所述至少一个伪像相关的特定时间点发生了什么的捕获。