在一些實(shí)施例中，一種行為計(jì)算機(jī)安全系統(tǒng)保護(hù)客戶端及網(wǎng)絡(luò)使其免受例如惡意軟件及入侵等的威脅。根據(jù)在客戶端上發(fā)生的事件的訓(xùn)練語(yǔ)料庫(kù)構(gòu)建一組客戶端配置文件，其中每一客戶端配置文件表示受保護(hù)機(jī)器的子集，且每一客戶端配置文件指示使用指派到所述客戶端相應(yīng)配置文件的所述機(jī)器的正常或基線模式。客戶端配置文件可將具有類似事件統(tǒng)計(jì)的機(jī)器分組在一起。在訓(xùn)練之后，對(duì)照與客戶端相關(guān)聯(lián)的客戶端配置文件選擇性地分析在所述相應(yīng)客戶端上檢測(cè)到的事件，以檢測(cè)異常行為。在一些實(shí)施例中，在其它事件的上下文中使用多維事件嵌入空間分析個(gè)別事件。

背景技術(shù)

本發(fā)明涉及計(jì)算機(jī)安全系統(tǒng)及方法，且特定來(lái)說(shuō)，涉及用于檢測(cè)惡意軟件及/或?qū)τ?jì)算機(jī)系統(tǒng)及/或通信網(wǎng)絡(luò)的入侵的系統(tǒng)及方法。

近年來(lái)，計(jì)算機(jī)及網(wǎng)絡(luò)安全對(duì)個(gè)人及公司兩者來(lái)說(shuō)都變得越來(lái)越重要。電子通信技術(shù)的快速發(fā)展，在日常活動(dòng)中對(duì)軟件日益增加的依賴性，及物聯(lián)網(wǎng)的出現(xiàn)使公司及個(gè)人容易失去隱私及遭受數(shù)據(jù)盜竊。

熟練的攻擊者可嘗試使用各種技術(shù)(例如，通過惡意軟件安裝在公司計(jì)算機(jī)上的后門)滲透到公司網(wǎng)絡(luò)中。接著，攻擊者可獲得、修改、或破壞敏感信息。其它示范性攻擊尤其包含停用物理安全系統(tǒng)(例如防竊警報(bào)器)或以其它方式使所述物理安全系統(tǒng)失去能力、安裝間諜軟件、及干擾控制商品及服務(wù)的制造或分配的自動(dòng)化系統(tǒng)(例如電力網(wǎng))。

在計(jì)算機(jī)系統(tǒng)上執(zhí)行的軟件可用于自動(dòng)檢測(cè)及/或防止未授權(quán)入侵及其它惡意活動(dòng)。通常稱為入侵檢測(cè)系統(tǒng)(IDS)的此軟件可監(jiān)測(cè)網(wǎng)絡(luò)及/或計(jì)算機(jī)活動(dòng)的異常事件或策略違規(guī)。典型的IDS記錄與觀測(cè)到的事件相關(guān)的信息、通知用戶或網(wǎng)絡(luò)管理員、且產(chǎn)生報(bào)告。一些IDS可例如通過響應(yīng)于檢測(cè)到入侵而改變安全設(shè)置(例如，重新配置防火墻)進(jìn)一步防止入侵者執(zhí)行惡意活動(dòng)。

然而，隨著軟件服務(wù)的逐步非定域化及在信息網(wǎng)絡(luò)上流動(dòng)的數(shù)據(jù)量的增加，使安全軟件篩選此大量信息以找到惡意活動(dòng)的指示符變得越來(lái)越不切實(shí)際。因此，開發(fā)更穩(wěn)健且可擴(kuò)展的入侵檢測(cè)系統(tǒng)及方法引起了人們的極大興趣。

發(fā)明內(nèi)容

根據(jù)一個(gè)方面，一種計(jì)算機(jī)系統(tǒng)包括至少一個(gè)硬件處理器，其經(jīng)配置以：響應(yīng)于接收到指示多個(gè)客戶端系統(tǒng)到多個(gè)客戶端集群中的分組的集群成員資格指示符，從所述多個(gè)客戶端集群選擇客戶端集群，所述所選擇的客戶端集群包括多個(gè)客戶端系統(tǒng)。所述至少一個(gè)硬件處理器進(jìn)一步經(jīng)配置以：響應(yīng)于選擇所述客戶端集群，根據(jù)所選擇的事件是否已經(jīng)發(fā)生于所述所選擇的客戶端集群的成員上從事件集合選擇事件的訓(xùn)練語(yǔ)料庫(kù)。所述至少一個(gè)硬件處理器進(jìn)一步經(jīng)配置以：響應(yīng)于選擇事件的所述訓(xùn)練語(yǔ)料庫(kù)，根據(jù)事件的所述訓(xùn)練語(yǔ)料庫(kù)訓(xùn)練行為模型以編碼所述所選擇的客戶端集群的成員的集體行為，所述行為模型具有一組可調(diào)整參數(shù)。所述至少一個(gè)硬件處理器進(jìn)一步經(jīng)配置以：響應(yīng)于訓(xùn)練所述行為模型，將所述可調(diào)整參數(shù)的一組值發(fā)射到異常檢測(cè)器，所述異常檢測(cè)器經(jīng)配置以確定在目標(biāo)客戶端系統(tǒng)上發(fā)生的目標(biāo)事件是否指示計(jì)算機(jī)安全威脅。所述行為模型經(jīng)配置以輸入事件序列的所選擇的事件且作為響應(yīng)確定指示所述事件序列的另一事件具有所選擇的事件類型的可能性的預(yù)測(cè)指示符。所述事件序列包括所述訓(xùn)練語(yǔ)料庫(kù)的多個(gè)事件，所述多個(gè)事件根據(jù)所述多個(gè)事件中的每一事件的發(fā)生時(shí)間進(jìn)行排序。訓(xùn)練所述行為模型包括根據(jù)所述預(yù)測(cè)指示符調(diào)整所述一組可配置參數(shù)。