[发明专利]包括机器学习快照评估的保护系统

权利要求书

1.一种配置成用于机器学习快照评估的设备，包括：

通信模块，所述通信模块用于至少与远程资源交互；

存储器模块，所述存储器模块用于至少存储学习到的用户行为；以及

机器学习引擎，所述机器学习引擎用于：

接收与所述设备的用户相关联的用户数据；

生成设备操作的快照，所述快照用于标识生成所述快照时所述设备中的至少一个活跃操作和生成所述快照时所述设备中的至少一个计划操作；

基于对所述快照与所述学习到的用户行为的比较来判定不寻常的用户行为是否已发生；

响应于确定了不寻常的用户行为已发生，使得所述通信模块将所述快照和所述用户数据传输到所述远程资源；

经由所述通信模块从所述远程资源接收威胁分析，所述威胁分析是响应于所述快照的所述传输而接收的；以及

至少基于所述威胁分析来判定是否存在对所述设备的潜在威胁。

2.如权利要求1所述的设备，其中，所述机器学习引擎进一步用于：

判定所述设备是否是新的；以及

如果确定了所述设备是新的，则至少将所述快照和所述用户数据传输到所述远程资源。

3.如权利要求1所述的设备，其中，所述机器学习引擎进一步用于：基于经由所述通信模块而从所述远程资源接收到的验证的结果来判定所述设备中是否需要校正动作。

4.如权利要求1所述的设备，其中，所述不寻常的用户行为包括常见的活跃操作或计划操作的缺失、或者新的活跃操作或计划操作的发生。

5.如权利要求1所述的设备，其中，所述机器学习引擎进一步用于：验证与在所述快照中标识的所述至少一个活跃操作或计划操作相关联的软件模块的签名。

6.如权利要求1所述的设备，其中，所述机器学习引擎进一步用于基于以下比较来学习用户行为：将在所述快照中标识的所述至少一个活跃操作或计划操作与存储在所述存储器模块中的至少一个先前的快照中标识的至少一个活跃操作或计划操作比较。

7.如权利要求1所述的设备，其中，所述机器学习引擎用于判定不寻常的用户行为是否已发生包括：所述机器学习引擎用于基于所述学习到的用户行为来判定所述至少一个活跃操作或计划操作是否是未预期到的。

8.一种用于机器学习快照评估的方法，包括以下步骤：

接收与设备的用户相关联的用户数据；

生成所述设备中的至少一个计划操作和至少一个活跃操作的快照；

基于对所述快照与存储在所述设备中的学习到的用户行为的比较来判定不寻常的用户行为是否已发生；

响应于确定了不寻常的用户行为已发生，使得所述快照和所述用户数据被传输到远程资源；

响应于所述快照的所述传输而从所述远程资源接收威胁分析；以及

至少基于所述威胁分析来判定是否存在对所述设备的潜在威胁。

9.如权利要求8所述的方法，进一步包括以下步骤：

判定所述设备是否是新的；以及

如果确定了所述设备是新的，则至少将所述快照和所述用户数据传输到所述远程资源。

10.如权利要求8所述的方法，进一步包括以下步骤：

基于从所述远程资源接收到的验证的结果来判定在所述设备中是否需要校正动作。

11.如权利要求8所述的方法，其中，所述不寻常的用户行为包括常见的活跃操作或计划操作的缺失、或者新的活跃操作或计划操作的发生。

12.如权利要求8所述的方法，进一步包括以下步骤：

验证与在所述快照中标识的所述至少一个活跃操作或计划操作相关联的软件模块的签名。