[发明专利]用于机器的应用许可列表的生成

说明书

提供了一种用于为机器生成应用的许可列表的计算系统。系统针对每个机器标识由该机器执行的执行应用的集合。然后，系统基于执行应用的集合之间的相似性来对机器进行聚类，使得具有相似集合的机器位于同一集群中。然后，系统针对每个机器集群为集群创建应用的许可列表，应用的许可列表包括集群的机器的执行应用的集合中的应用。集群的许可列表指示只有许可列表中的应用被允许由集群中的机器执行。然后，系统将集群的许可列表分发给该集群的机器，使得机器仅执行其集群的许可列表中的应用。

背景技术

网络攻击使公司和个人损失数十亿美元。2015年的一份报告估计，网络攻击每年使公司损失超过4000亿美元。除了财务成本之外，网络攻击还可能导致其他损害，诸如破坏有价值的信息，发布敏感信息等。如果没有有效的防御，成本和损害肯定会随时间增加。网络攻击通常依赖于被称为“恶意软件”的恶意的软件，该软件由作为攻击的目标的计算机安装和执行。执行的恶意软件协调攻击。例如，勒索软件攻击可以加密计算机上的所有数据，包括财务文档、家庭照片、电子邮件消息等的唯一副本。如果没有支付赎金，则这些数据可能会永远保持加密状态。即使支付了赎金，攻击者也可能不提供解密数据的密钥。由于网络攻击的高成本，公司和个人在开发和购买安全系统作为网络攻击的防御方面花费大量资源。这些安全系统包括防火墙系统、防病毒系统、验证系统、入侵防御系统、访问控制系统、应用阻止系统等。

恶意软件可以通过各种方式安装在计算机上。例如，勒索软件可能作为包含乱码内容和恶意宏的电子邮件附件到达。当用户打开附件时，附件请求用户在内容呈现为乱码时启用宏。当用户启用宏时，恶意宏将安装并且执行勒索软件。作为另一示例，公司的雇员可能在他们的计算机上安装未授权应用。通常，公司的信息技术组仅分析和授权符合公司的严格安全标准的那些应用。如果安装了未授权应用，它可能会使公司网络上的所有计算机暴露于漏洞，从而大大增加了对公司进行网络攻击的可能性。

组织可能拥有数千台服务器和数千台用户计算机(例如，台式计算机和笔记本计算机)连接到其网络。每个服务器可以是某种类型的服务器，诸如负载均衡服务器、防火墙服务器、数据库服务器、认证服务器、人员管理服务器、Web服务器、文件系统服务器等。另外，每个用户计算机可以是特定类型，诸如管理计算机、技术支持计算机、开发者计算机、秘书计算机等。每个服务器和用户计算机可以安装有支持计算机的功能所需要的各种应用。由于各种类型的服务器和用户计算机，这样的网络被称为“混合环境”。

确保每个计算机只能执行授权应用可能是一项艰巨的任务。如本文中使用的，术语“应用”是指可以单独标识和执行的任何软件，诸如应用程序、小应用、动态链接库、操作系统软件、脚本、加载项、操作系统驱动程序等。为了帮助支持这项艰巨的任务，可以在每个计算机上安装安全工具，以帮助确保只允许某些授权应用在每个计算机上执行。安全工具可以允许管理员为每个计算机生成列出被允许由该计算机执行的授权应用的许可列表。当在计算机上执行的操作系统接收到执行应用的请求时，操作系统询问安全工具是否允许执行。如果应用位于许可列表中，则安全工具指示允许执行。否则，安全工具指示要阻止执行。

维护大型组织中计算机的许可列表可能是一项艰巨的任务。除了许可列表的初始设置之外，随着组织需求的变化，随着新版本的应用的发布，随着新计算机的上线等，管理员还需要更新许可列表。此外，不正确地维护的许可列表可能将组织暴露于诸如网络攻击等漏洞。

发明内容

提供了一种用于为机器生成应用的许可列表的计算系统。系统针对每个机器标识由该机器执行的执行应用的集合。然后，系统基于执行应用的集合之间的相似性来对机器进行聚类，使得具有相似集合的机器位于同一集群中。然后，系统针对机器的每个集群创建集群的应用的许可列表，许可列表包括集群的机器的执行应用的集合中的应用。集群的许可列表指示只有许可列表中的应用被允许由集群中的机器执行。然后，系统将集群的许可列表分发给该集群的机器，使得机器仅执行其集群的许可列表中的应用。

提供本“发明内容”是为了以简化的形式介绍一些概念，这些概念将在下面的“具体实施方式”中进一步描述。本“发明内容”不旨在标识所要求保护的主题的关键特征或必要特征，也不旨在用于限制所要求保护的主题的范围。