在一些實施例中，一種行為計算機安全系統保護客戶端及網絡使其免受例如惡意軟件及入侵等的威脅。根據在客戶端上發生的事件的訓練語料庫構建一組客戶端配置文件，其中每一客戶端配置文件表示受保護機器的子集，且每一客戶端配置文件指示使用指派到所述客戶端相應配置文件的所述機器的正常或基線模式。客戶端配置文件可將具有類似事件統計的機器分組在一起。在訓練之后，對照與客戶端相關聯的客戶端配置文件選擇性地分析在所述相應客戶端上檢測到的事件，以檢測異常行為。在一些實施例中，在其它事件的上下文中使用多維事件嵌入空間分析個別事件。

背景技術

本發明涉及計算機安全系統及方法，且特定來說，涉及用于檢測惡意軟件及/或對計算機系統及/或通信網絡的入侵的系統及方法。

近年來，計算機及網絡安全對個人及公司兩者來說都變得越來越重要。電子通信技術的快速發展，在日常活動中對軟件日益增加的依賴性，及物聯網的出現使公司及個人容易失去隱私及遭受數據盜竊。

熟練的攻擊者可嘗試使用各種技術(例如，通過惡意軟件安裝在公司計算機上的后門)滲透到公司網絡中。接著，攻擊者可獲得、修改、或破壞敏感信息。其它示范性攻擊尤其包含停用物理安全系統(例如防竊警報器)或以其它方式使所述物理安全系統失去能力、安裝間諜軟件、及干擾控制商品及服務的制造或分配的自動化系統(例如電力網)。

在計算機系統上執行的軟件可用于自動檢測及/或防止未授權入侵及其它惡意活動。通常稱為入侵檢測系統(IDS)的此軟件可監測網絡及/或計算機活動的異常事件或策略違規。典型的IDS記錄與觀測到的事件相關的信息、通知用戶或網絡管理員、且產生報告。一些IDS可例如通過響應于檢測到入侵而改變安全設置(例如，重新配置防火墻)進一步防止入侵者執行惡意活動。

然而，隨著軟件服務的逐步非定域化及在信息網絡上流動的數據量的增加，使安全軟件篩選此大量信息以找到惡意活動的指示符變得越來越不切實際。因此，開發更穩健且可擴展的入侵檢測系統及方法引起了人們的極大興趣。

發明內容

根據一個方面，一種服務器計算機系統包括至少一個硬件處理器，其經配置以：響應于接收到目標事件在目標客戶端系統上發生的指示，組裝包含所述目標事件的事件序列，所述事件序列中的所有事件都已發生于所述目標客戶端系統上，其中所述事件序列的成員根據所述事件序列中的每一事件的發生時間布置。所述至少一個硬件處理器進一步經配置：響應于接收到所述指示，根據所述目標客戶端系統從多個參數值選擇參數值；及使用所述參數值實例化行為模型，所述行為模型經配置以輸入所述事件序列的所選擇的事件且作為響應產生指示所述事件序列包含所述目標事件的可能性的預測指示符。所述至少一個硬件處理器進一步經配置：響應于實例化所述行為模型，根據所述預測指示符確定所述目標事件是否指示計算機安全威脅。所述多個參數值根據已經發生于分組到多個客戶端集群中的多個客戶端系統上的事件的訓練語料庫進行確定。所述多個參數值中的每一者根據所述訓練語料庫的相異子集進行確定，每一相異子集已經發生于多個客戶端集群的相異集群的成員上。選擇所述參數值包括根據所述目標客戶端系統從所述多個客戶端集群選擇目標集群，及根據所述目標集群選擇所述參數值。