[发明专利]不熟悉威胁场景的实时缓解

说明书

一种计算系统通过标识针对先前未经历过威胁场景并且补救过程未知的客户端系统的特定威胁场景来执行针对不熟悉威胁场景的实时缓解。计算系统通过生成并且向客户端系统提供包括预测性缓解过程集的缓解文件以用于响应于威胁场景来响应于未知威胁场景。缓解文件通过首先生成标识针对特定威胁场景的多个不同威胁场景特性的威胁向量而被生成。然后，分类模型被应用于威胁向量，以标识被确定为最适合威胁向量并且被包括在缓解文件中的预测性缓解过程集。

背景技术

计算机和计算系统几乎影响了现代生活的各个方面。计算机通常涉及工作、娱乐、保健、运输、娱乐、家庭管理等。

某种计算机功能可以通过计算系统经由网络连接而互连到其他计算系统的能力来增强。网络连接可以包括但不限于经由有线或无线以太网进行的连接、蜂窝连接、或甚至通过串行、并行、USB或其他连接而进行的计算机到计算机连接。这些连接允许计算系统访问其他计算系统处的服务并且快速且有效地从其他计算系统接收应用数据。

计算系统的互连促进了分布式计算系统，诸如所谓的“云”计算系统。在该描述中，“云计算”可以是用于使得能够对可以通过减少的管理工作或服务提供商交互来供应和发布的可配置计算资源(例如，网络、服务器、存储、应用、服务等)的共享池进行普遍、方便、按需网络访问的系统或资源。云模型可以包括各种特性(例如，按需自助服务、广泛的网络访问、资源池、快速弹性、可衡量的服务等)、服务模型(例如，软件即服务(“SaaS”)、平台即服务(“PaaS”)、基础设施即服务(“IaaS”)和部署模型(例如，私有云、社区云、公共云、混合云等)。

基于云和远程的服务应用是普遍的。这样的应用托管在公共和私有远程系统(诸如云)上，并且通常提供一组基于网络的服务来与客户端进行来回通信。

不幸的是，计算系统的云和互连使计算系统暴露于来自恶意方的漏洞和威胁。例如，恶意方可以将恶意软件代码传输给毫无戒心的计算系统，或者创建由计算机系统已知执行的应用，但是这些应用包含对计算系统执行不良操作的隐藏的恶意软件。恶意方也有可能在计算系统上发起暴力攻击或DDoS(分布式拒绝服务)攻击。

为了解决和防止如上所述的威胁场景，很多组织雇用信息技术(IT)专家来监测其计算机系统的运行状况，标识与威胁场景相关联的警报，以及管理和更新防病毒和反恶意软件以缓解新近开发和发现的威胁。但是，这种类型的监测和更新非常昂贵且耗时。此外，很多组织没有配备相同的监测软件和/或无法聘请了解针对新近开发和发现的威胁可用的所有可能的补救动作的专职专家。不同的补救方案也不总是适用于所有组织，这使事情变得更加复杂。因此，IT专家经常依靠自己的设备在互联网上搜索可能适用于解决威胁场景的解决方案。但是，这是一个非常低效的过程。在很多情况中，由于存在各种计算系统并且各种类型的可能的解决方案可用于实现以解决不同的威胁场景，因此IT专家甚至确定要针对它们的(多个)计算系统执行的最佳补救流程也是完全不切实际或不可能的。

当出现新的未知威胁场景时，上述问题甚至更加明显，任何人都尚未针对其建立补救协议。特别地，IT专业人员可以搜索补救协议，但找不到任何协议。在这种情况中，为IT专业人员和受威胁系统提供一种了解如何应对未知威胁场景的方法将很有帮助。

因此，对标识和提供用于标识和应用补救过程以解决威胁场景、尤其是新的和未知的威胁场景的补救技术存在持续的需求和期望。

本文中要求保护的主题不限于解决任何缺点或仅在诸如上述环境中操作的实施例。而是，仅提供该背景以说明可以在其中实践本文中描述的一些实施例的一个示例性技术领域。

发明内容

公开的实施例涉及被配置为促进针对未知威胁场景的实时缓解的系统、方法和存储设备。

在一些实施例中，一种计算系统通过标识针对先前未经历过威胁场景并且补救过程未知的客户端系统的特定威胁场景来执行针对不熟悉威胁场景的实时缓解。计算系统通过生成并且向客户端系统提供包括预测性缓解过程集的缓解文件以用于响应于威胁场景来响应于未知威胁场景。