[发明专利]用于管理安全事件的方法和装置

说明书

技术领域

本发明涉及用于管理安全事件的方法和装置。

背景技术

安全事件管理(SEM)和安全信息管理(SIM)系统通常是配置成从多个安全事件源收集、聚集、及关联安全事件数据的企业级服务器。在标准的SEM/SIM系统中，用户的客户端计算机配置成定期向SEM/SIM服务器传送报告、日志、及其他安全有关的数据。SEM/SIM服务器聚集和关联从客户端计算机和其他企业装置及源(例如网络路由器、防火墙、和服务)收到的安全数据以生成安全事件报告。通常，SEM/SIM服务器是被动式的，并且不自动响应安全事件。相反，安全人员能查看安全事件报告并采取适当的动作。

历史上，企业的安全防线关联于该企业的物理防线(例如，企业位于其中的建筑)，因为大部分的计算装置是固定的。然而，随着计算装置不断变得更加移动，企业安全防线正在扩展或者在某些情况下正完全消失。因此，处于中心的安全系统，例如传统的SEM/SIM服务器，尽力维护企业作为整体之上的安全并且尤其是大量的移动计算装置之上的安全。

发明内容

本发明提供一种方法，包括：在移动计算装置上建立安全事件管理器；用所述安全事件管理器检索安全策略数据，所述安全策略数据定义用于确定安全事件的发生的安全事件规则的集合；用所述安全事件管理器检索安全事件数据，所述安全事件数据从所述移动计算装置的至少一个安全事件源生成；基于所述安全事件数据和所述安全策略数据，用所述安全事件管理器来确定安全事件的发生；以及用所述安全事件管理器来响应所述安全事件。

本发明还提供一种移动计算装置，包括：安全事件管理器；处理器；以及存储器装置，其中已存储多个指令，所述指令在由所述处理器执行时，使所述安全事件管理器：接收从所述移动计算装置的多个安全事件源生成的安全事件数据；基于安全策略来关联所述安全事件数据以确定安全事件的发生，所述安全策略存储于所述移动计算装置上并定义用于确定安全事件的发生的安全事件规则的集合；并且基于所述安全策略来响应所述安全事件。

本发明还提供一种有形的机器可读媒体，包括多个指令，所述指令响应于被执行而导致计算装置：建立安全事件管理器；用所述安全事件管理器来接收安全事件数据，所述安全事件数据从所述计算装置的多个安全事件源来生成；使用所述安全事件管理器来规范所述安全事件数据，以生成规范的安全事件数据，所规范的安全事件数据具有预定数据格式；使用所述安全事件管理器来聚集所规范的安全事件数据，以生成聚集的安全事件数据，所聚集的安全事件数据汇总所规范的安全事件数据；并且使用所述安全事件管理器，基于预定的安全策略来关联所聚集的安全事件数据，以确定是否已经发生安全事件。

附图说明

本文所述的本发明作为示例而非作为附图中的限制而示出。为了图示的简明和清晰，图中示出的要素不一定按比例绘制。例如，为了清晰，某些要素的尺寸可能相对其他要素被夸大。此外，在认为合适之处，引用标号已经在图之间重复以指示对应或类似的要素。

图1是用于管理移动计算装置上生成的安全事件的移动计算装置的一个实施例的简化框图；

图2是图1的移动计算装置的软件环境的简化框图；

图3是图1的移动计算装置执行的用于管理安全事件的方法的一个实施例的简化流程图；以及

图4是图3的方法中使用的用于分析安全事件数据的方法的一个实施例的简化流程图。

具体实施方式

虽然本公开的概念易于想到各种修改和备用形式，但其具体示范实施例已通过图中示例来示出并且将在本文详细描述。然而，应该理解，无意将本公开的概念限制为公开的的特定形式，正相反，本发明要涵盖落入如所附权利要求所定义的本发明精神和范围内的所有的修改、等同和备选。

在下面的描述中，为提供本公开的更透彻理解，可能陈述大量具体细节，例如逻辑实现、操作码、指定操作数的部件、资源分区/共享/复制实现、系统组件的类型和相互关系、逻辑分区/集成选择。然而，将领会到，没有此类具体细节，本公开的实施例也可以由本领域技术人员来实行。在其他情况下，控制结构，门级电路和完整的软件指令序列未详细示出，以免混淆本公开。本领域普通技术人员通过包括的描述将能够实现适当的功能性而无需不恰当的实验。

说明书中对“一个实施例”、“一实施例”、“一示范实施例”等等的引述指示所述实施例可包括特定特征、结构或特性，但每个实施例可能不一定包括该特定特征、结构或特性。而且，此类短语不一定指相同实施例。此外，当特定特征、结构或特性与连同某个实施例来描述时，认为连同不论是否明确描述的其他实施例来实现此类特征、结构或特性是在本领域技术人员的认知内。