[发明专利]基于非典型用户行为来保护设备

权利要求书

1.一种用于保护设备的系统，包括：

a.行为模块，用于确定第一事件是否是安全事件，并且用于批 准事件、更新规则数据和保护设备，其中安全事件要求认证而非安全 事件不要求认证，并且其中所述规则数据包括以下各项中的至少一 项：哪些事件已经被认证、事件发生的次数、设备是否与对接站相连 接以及计时器信息；和

b.认证模块，响应于第一事件是安全事件，结合应用规则和规 则数据来确定第一事件是否被认证，所述规则定义事件被认证的方 式；

c.响应于第一事件被认证，指令行为模块批准第一事件并更新 规则数据；

d.响应于第一事件未被认证，确定认证是否有效；

e.响应于认证有效，指令行为模块批准第一事件并更新规则数 据；

f.响应于认证无效，指令行为模块保护设备；

g.响应于第一事件不是安全事件，指令行为模块批准第一事件 并更新规则数据；以及

h.响应于第一事件认证有效，指令行为模块确定第一事件是否 是静态事件，其中行为模块响应于第一事件不是静态事件，批准第一 事件并更新规则数据。

2.按照权利要求1所述的系统，其中行为模块响应于第一事件 是非安全事件，通过把第一事件转换成安全事件来更新规则数据。

3.按照权利要求1所述的系统，其中第一事件是安全事件，其 中行为模块还适合于把第一事件转换成非安全事件。

4.按照权利要求1所述的系统，其中认证模块适合于根据第一 事件的在先认证，或者根据相关事件的在先认证，来确定认证是否有 效。

5.一种用于保护设备的方法，包括：

a.确定第一事件是否是安全事件，其中安全事件要求认证而非安 全事件不要求认证；

b.响应于确定第一事件是安全事件，结合应用规则和规则数据 来确定第一事件是否被认证，所述规则定义事件被认证的方式，所述 规则数据包括以下各项中的至少一项：哪些事件已经被认证、事件发 生的次数、设备是否与对接站相连接以及计时器信息；

c.响应于确定第一事件被认证，批准第一事件，并更新规则数 据；

d.响应于确定第一事件未被认证，确定认证是否有效；

e.响应于确定认证有效，确定第一事件是否是静态事件，以及 响应于第一事件不是静态事件，批准第一事件，并更新规则数据；

f.响应于确定认证无效，保护设备；以及

g.响应于确定第一事件不是安全事件，批准第一事件，并更新 规则数据。

6.按照权利要求5所述的方法，还包括：响应于第一事件是非 安全事件，通过把第一事件转换成安全事件来更新规则数据。

7.按照权利要求5所述的方法，其中第一事件是安全事件，其 中更新规则数据还包括把第一事件转换成非安全事件。

8.按照权利要求5所述的方法，其中确定认证是否有效是基于 第一事件的在先认证，或者基于相关事件的在先认证。