[發明專利]用于可信執行環境的數據挖掘算法有效

申請號：	201580045692.4	申請日：	2015-09-24
公開（公告）號：	CN106796639B	公開（公告）日：	2020-06-19
發明（設計）人：	Y·阿維丹;A·奈舒圖特;I·穆迪科;O·本-沙洛姆	申請（專利權）人：	邁克菲有限公司
主分類號：	G06F21/56	分類號：	G06F21/56
代理公司：	上海專利商標事務所有限公司 31100	代理人：	黃嵩泉
地址：	美國德***	國省代碼：	暫無信息
權利要求書：	查看更多	說明書：	查看更多
摘要：
搜索關鍵詞：	用于可信執行環境數據挖掘算法
鉆瓜網技術展會專利詞庫專利權人專利榜在售專利公布日期熱門專利

【權利要求書】：

1.一種存儲盤或存儲設備，包括指令，所述指令當被執行時使一個或多個服務器：

創建可執行指令，所述可執行指令與端點規則和端點本體模型相關聯，所述端點規則用于從多個端點的進程行為提取事件，所述可執行指令用于使第一端點：

通過將第一事件布置到第一事件序列中來生成所述第一事件序列，所述第一事件從由所述第一端點執行的第一進程行為提取，所述第一事件基于所述端點規則而被提取，所述第一事件中的至少一個第一事件與對操作系統的調用相對應；

通過嘗試將所述第一事件序列關聯至所述端點本體模型的所存儲的第二事件序列、通過將隱馬爾可夫模型應用于所述第一事件序列和所述端點本體模型的所述第二事件序列來生成第三事件序列以確定關聯擬合，所述第二事件序列與已知攻擊模式相對應，所述第三事件序列包括第二事件，所述第二事件中的一個或多個第二事件與所述第一事件中的一個或多個第一事件不同；

當所述關聯擬合滿足閾值時，生成第一安全警告；

基于安全事件數據來更新所述端點本體模型，所述安全事件數據基于與關聯于所述多個端點中的相應端點的安全警告相關聯，所述安全警告包括所述第一安全警告；以及

將經更新的端點本體模型傳輸至所述多個端點，以在所述多個端點中的一個或多個端點處標識未來的攻擊。

2.如權利要求1所述的存儲盤或存儲設備，其中，所述指令當被執行時使所述一個或多個服務器將所述經更新的端點本體模型傳輸到所述多個端點中的相應端點內的相應可信執行環境。

3.如權利要求1所述的存儲盤或存儲設備，其中，所述可執行指令與端點行為簡檔相關聯，所述端點行為簡檔包括以下至少一項：與所述第一端點相關聯的一個或多個設置參數、一個或多個配置、或者一個或多個期望行為。

4.如權利要求1所述的存儲盤或存儲設備，其中，所述安全事件數據對應于動態獲得的事件或靜態提取的特征。

5.如權利要求4所述的存儲盤或存儲設備，其中，所述動態獲得的事件是對所述操作系統的所述調用。

6.如權利要求4所述的存儲盤或存儲設備，其中，所述靜態提取的特征是對所述操作系統的所述調用在反編譯的應用程序中被發現了的指示。

7.如權利要求1所述的存儲盤或存儲設備，其中，所述端點本體模型包括身份、關系圖或活動中的至少一項。

8.如權利要求1所述的存儲盤或存儲設備，其中，所述端點本體模型包括受損端點的本體。

9.如權利要求8所述的存儲盤或存儲設備，其中，所述安全事件數據指示所述第一端點的行為與受損端點的本體的關聯。

10.一種存儲盤或存儲設備，包括指令，所述指令當被執行時使端點至少執行以下步驟：