[发明专利]改变预处理器或解析程序的部署状态

说明书

本发明涉及一种改变预处理器或解析程序的部署状态。示例实施方式涉及改变部署状态。示例实施方式包括更新包含可用数据源的描述符的数据源数据存储器、包含可用预处理器的描述符的预处理器数据存储器、或包含可用解析程序的描述符的解析程序数据存储器。响应于数据源数据、预处理器数据或解析程序数据的变化可以发起变更请求，并且响应于该变更请求可以改变预处理器或解析程序的部署状态。

背景技术

威胁检测系统旨在通过监测数据来检测企业系统上的诸如恶意软件等的威胁。恶意的机器可读指令可以被部署到通过网络进行通信的设备中，并可能利用设备的漏洞或设备网络的漏洞。如果不被发现，则恶意软件可能会收集敏感信息、破坏设备的常规操作、进入私人电脑系统、对设备上进行不期望的操作等。威胁检测系统用来在执行恶意机器可读指令操作之前检测恶意机器可读指令或者减轻由执行了恶意机器可读指令操作而生成的损坏。

附图说明

参考附图下面将描述各种示例。在整个说明书中，相同的附图标记指的是相同的部件。

图1是图示根据一些示例的系统的框图。

图2是图示根据一些示例的方法的流程图。

图3是图示根据一些示例的非瞬态计算机可读存储介质的框图。

图4是图示根据一些示例的用于改变预处理器或解析程序的部署状态的一个系统的框图。

图5是图示根据一些示例的用于改变预处理器或解析程序的部署状态的另一个系统的框图。

图6是图示根据一些示例的用于改变预处理器或解析程序的部署状态的另一个系统的框图。

具体实施方式

威胁检测系统可以使用预处理器和解析程序来检测系统内的威胁。具体而言，遍布网络或系统的探测器可以从各种数据源收集数据。预处理器可以是软件和/或硬件的任意组合，并且可以预处理来自数据源的数据。在一个示例中，预处理的数据可以存储在数据存储器中。解析程序可以是软件和/或硬件的任意组合，并且可以分析例如来自数据存储器的预处理的数据，以便检测潜在的威胁。如果解析程序检测到威胁，则可以生成警报。

当新的数据源或数据类型对系统可用时，可以使用额外的预处理器或解析程序。此外，威胁检测系统通过实施效率较低的预处理器或解析程序或通过因为威胁检测系统不再使用的预处理器或解析程序而浪费处理能力和存储器。数据源也可以是特定类型的或格式的，并且配置为从特定类型或格式摄取数据的预处理器或解析程序可以与不同类型或格式的数据源不兼容。因此，通过自适应地改变预处理器或解析程序的部署状态，威胁检测系统可以更有效或更有力地发挥作用。描述了用于自适应改变预处理器或解析程序的部署状态的示例实施方式。

可以改变预处理器或解析程序的部署状态，以便在威胁检测管线中激活预处理器或解析程序，或从威胁检测管线停用。威胁检测管线(例如数据处理管线)可以是资源空间，例如内存中的专用空间，或专用的计算资源，用于预处理和分析用于威胁检测的数据。威胁检测管线可以包括经受威胁检测的任意数量的数据源，并且可以从威胁检测管线动态地添加或去除数据源。

任意数量的预处理器可以在威胁检测管线中处于激活状态。当在威胁检测管线中处于激活时，预处理器可以预处理准备用于威胁检测解析程序的数据。例如，预处理器可以解析、重新格式化，或者另外清理数据，使得数据可以被正确格式化或组织以便用于解析程序来摄取。在一个示例中，数据存储器在威胁检测管线中处于激活状态以便用于存储预处理的数据。任何数量的解析程序在威胁检测管线中也可以处于激活。当在威胁检测管线中处于激活时，解析程序可以分析预处理的数据以检测威胁或威胁的征兆，和/或发出响应于所检测到的潜在威胁的警报。当数据存储器在威胁检测管线中可用时，解析程序可以从数据存储器中检索数据以摄取数据。因此，资源空间可以专门用于激活在威胁检测管线内的预处理器和在威胁检测管线中的解析程序，并且激活的预处理器和解析程序可用于预处理和分析来自管线中可用的数据源的数据。