[发明专利]端点检测和响应系统事件特征数据传输

说明书

端点计算机系统监测与在端点计算机系统的操作环境内发生的多个事件相关的数据。监测可以包括使用在端点计算机系统上执行的一个或多个传感器来接收和/或推断数据。端点计算机系统可以将与多个事件结合使用的伪像被存储在这样的端点计算机系统上维护的保管库中。端点计算机系统响应于触发而从保管库标识和获取表征与触发相关联的伪像的元数据。这样的所标识和所获取的元数据然后由端点计算机系统提供给远程服务器。

相关申请的交叉引用

本申请要求均于2017年4月26日提交的美国专利申请序列号为62/490,467和第62/490,480的优先权；这两者的内容通过引用被完全结合于此。

技术领域

本文中描述的主题涉及用于保持和提供对表征在端点计算机上的计算环境中发生的事件的数据的访问的方法。

背景技术

对软件执行环境(例如，计算机、服务器、移动设备等)中的潜在危险代码对象(诸如，恶意软件、病毒和其他不需要的或不可信的对象、可执行文件等)的检测和/或阻止(例如，防止对执行或计算环境(诸如，主存储器、本地或网络存储、操作系统等)的不安全部分的执行、下载、打开等，或者限制对执行或计算环境的不安全部分的访问权限)可以作为网络安全和威胁检测、预防和/或评估策略的一部分。例如，可以记录和/或分析由计算机执行的动作或与计算机相关的事件，以提供对影响安全执行、下载等的因素的可见性，以及表征在计算机上运行的应用的性能等等。

保留表征端点计算机(例如，台式机或膝上型计算机、诸如电话或平板计算机等移动设备、或执行软件的任何其他类型的计算机设备)的操作环境的历史的数据(包括但不限于威胁、攻击之前和/或期间的时间，小于最佳执行性能的时间段，或者有关事件的数据在端点计算机的计算环境内或与之相关地发生的任何其他时间)可以有助于诊断恶意代码和/或其他形式的威胁或网络攻击的来源、责任方、潜在威胁的严重程度等中的一个或多个，并且还可以帮助提高检测和预防工作的有效性，另外提供了可以有助于标识和/或修复受威胁影响的软件组件和/或数据的记录。此外，对这样的数据的保留可以有助于支持对端点计算机上或与之相关的任何类型的潜在感兴趣事件或事件序列的调查，而不必限于威胁或恶意代码。

保留这样的数据的努力可以是计算机取证的重要部分，其可以包括检查系统以查找执行可能会影响计算机、计算机组、网络等的有害操作或其他破坏性操作的恶意攻击或其他秘密活动(例如，线程、进程、可执行文件等)的恶意代码和/或残余的进程。

发明内容

在第一方面，端点计算机系统监测与在端点计算机系统的操作环境内发生的多个事件相关的数据。监测可以包括使用在端点计算机系统上执行的一个或多个传感器来接收和/或推断数据。端点计算机系统可以将与多个事件结合使用的伪像存储在这样的端点计算机系统上维护的保管库中。端点计算机系统响应于触发而从保管库标识和获取表征与触发相关联的伪像的元数据。这样的所标识和所获取的元数据然后由端点计算机系统提供给远程服务器。

触发可以在一种或多种类型的条件之后发生。例如，触发可以在定时器到期之后和/或在预定时间量到期之后发生。触发可以响应于在端点计算机系统上确定文件或对象包括恶意软件而发生。触发可以响应于接收到来自远程计算系统的查询而发生。

除了元数据，端点计算机系统可以向远程服务器提供相应的保管库中的、与触发相关联的伪像和/或事件的至少一部分。

在一些变型中，端点计算机系统可以在所标识的元数据被提供给服务器之前对所标识的元数据的至少一部分进行编校。例如，要编校的信息可以包括以下中的至少一项：用户名、IP地址、文件名、进程命令行、URL、注册表键、注册表名称、注册表内容、进程名称或DNS信息。

所标识的元数据可以以空间有效的数据结构而被提供。示例空间有效的数据结构可以包括例如Bloom过滤器、HyperLogLog数据结构、Count-Min草图、MinHash数据结构或T-Digest数据结构。