[发明专利]基于症状时长以及端点在环境中的重要性的端点的动态排名和呈现

权利要求书

1.一种用于确定端点设备的怀疑分数的方法，所述方法包括：

识别连接到网络的所述端点设备；

通过将与所述端点设备的操作系统的名称相关联的散列值和与在所述端点设备上运行的一或多个应用程序的名称相关联的散列值求和，以基于指示在所述端点设备上运行的所述一或多个应用程序的经接收的输入参数来确定针对所述端点设备的端点重要性权重；

确定所述端点设备上的一个或多个症状；

识别关联于所述一个或多个症状的一个或多个症状类型以及所述一个或多个症状类型的一个或多个相应的症状重要性权重；

识别在一个或多个相应时间戳处在所述端点设备处发生的一个或多个事件，其中所述一个或多个事件与所述一个或多个症状类型相关联；

确定所述一个或多个事件中的至少一个事件是所述端点设备内部的事件，其中所述端点设备内部的所述事件关联于内部症状类型；

基于所述端点重要性权重、基于所述一个或多个事件的相应贡献以及基于所述端点设备内部的所述事件来计算所述端点设备的所述怀疑分数，其中事件对所述怀疑分数的贡献基于自所述事件发生的时间戳以来经过的时间量而减小，并且其中基于与所述事件相关联的症状类型的症状重要性权重来缩放所述事件的所述贡献；以及

基于所述怀疑分数阻止所述端点设备执行动作。

2.根据权利要求1所述的方法，其中计算所述端点设备的所述怀疑分数包括基于自所述事件发生的所述时间戳以来经过的所述时间量并且基于与和所述事件相关联的所述症状类型相关联的衰减速率来使所述事件的贡献以指数方式衰减。

3.根据权利要求1所述的方法，其中计算所述端点设备的所述怀疑分数包括：

计算事件贡献的总和；以及

使用所述症状重要性权重的总和来使事件贡献的所述总和归一化。

4.根据前述权利要求1所述的方法，还包括：

计算针对所述网络上的多个端点设备的怀疑分数；以及

基于所述怀疑分数对所述网络上的所述多个端点设备进行排名。

5.根据前述权利要求1所述的方法，还包括：

在显示器上呈现所述怀疑分数作为所述网络上端点设备的怀疑分数的列表的一部分。

6.根据权利要求1所述的方法，还包括：

经由输入设备接收所述端点重要性权重或所述一个或多个相应的症状重要性权重。

7.一种非暂时性计算机可读存储介质，其包含指令，当所述指令被一或多个处理器执行时进行用于确定针对端点设备的怀疑分数的操作，所述操作包括：

识别连接到网络的所述端点设备；

通过将与所述端点设备的操作系统的名称相关联的散列值和与在所述端点设备上运行的一或多个应用程序的名称相关联的散列值求和，以基于指示在所述端点设备上运行的所述一或多个应用程序的经接收的输入参数来确定针对所述端点设备的端点重要性权重；

确定所述端点设备上的一个或多个症状；

识别关联于所述一个或多个症状的一个或多个症状类型以及所述一个或多个症状类型的一个或多个相应的症状重要性权重；

识别在一个或多个相应时间戳处在所述端点设备处发生的一个或多个事件，其中所述一个或多个事件与所述一个或多个症状类型相关联；

确定所述一个或多个事件中的至少一个事件是所述端点设备内部的事件，其中所述端点设备内部的所述事件关联于内部症状类型；

基于所述端点重要性权重、基于所述一个或多个事件的相应贡献以及基于所述端点设备内部的所述事件来计算所述端点设备的所述怀疑分数，其中事件对所述怀疑分数的贡献基于自所述事件发生的时间戳以来经过的时间量而减小，并且其中基于与所述事件相关联的症状类型的症状重要性权重来缩放所述事件的所述贡献；以及

基于所述怀疑分数阻止所述端点设备执行动作。

8.根据权利要求7所述的非暂时性计算机可读存储介质，其中计算所述端点设备的所述怀疑分数包括基于自所述事件发生的所述时间戳以来经过的所述时间量并且基于与和所述事件相关联的所述症状类型相关联的衰减速率来使所述事件的贡献以指数方式衰减。