[发明专利]用于检测恶意计算事件的系统和方法

权利要求书

1.一种用于检测恶意计算事件的计算机实现的方法，所述方法的至少一部分由包括至少一个处理器的计算设备执行，所述方法包括：

针对在企业内检测到的多个计算事件中的每一个计算事件，基于当前可用的安全信息来确定指示所述计算事件是恶意的可能性的初始处置得分；

通过将每个计算事件的所述初始处置得分与表示指示恶意计算事件的最小处置得分的阈值处置得分进行比较来将每个计算事件的初始分类确定为恶意或非恶意；

在确定所述计算事件的所述初始处置得分之后，针对每个计算事件：

基于在确定所述初始处置得分时不可用的新的安全信息来确定更新的处置得分；以及

通过将所述更新的处置得分与所述阈值处置得分进行比较来确定更新的分类；

通过确定每个计算事件的所述初始分类与所述计算事件的所述更新的分类匹配的频率来计算所述阈值处置得分正确识别恶意计算事件的程度；以及

通过基于所述阈值处置得分正确识别恶意计算事件的所述程度调整所述阈值处置得分来保护所述企业免受安全威胁。

2.根据权利要求1所述的方法，其中所述多个计算事件包括以下中的至少一个：

将文件下载到所述企业内的端点设备上的尝试；

将敏感信息从所述企业内部分发到外部实体的尝试；以及

所述外部实体访问所述企业内的所述敏感信息的尝试。

3.根据权利要求1所述的方法，还包括在后端安全服务器处从安装在所述企业内的至少一个端点设备上的安全代理接收所述多个计算事件。

4.根据权利要求3所述的方法，其中：

接收在所述端点设备上检测到的至少一个计算事件还包括在检测到所述计算事件的时间点接收所述端点设备的配置的至少一部分；并且

确定所述计算事件的所述更新的处置得分包括使用所述新的安全信息重新分析所述端点设备的所述配置。

5.根据权利要求1所述的方法，其中确定每个计算事件的所述初始分类与所述计算事件的所述更新的分类匹配的所述频率包括：

通过计算具有初始恶意分类和更新的非恶意分类的计算事件的百分比来确定由所述阈值处置得分产生的假肯定率；以及

通过计算具有初始非恶意分类和更新的恶意分类的计算事件的百分比来确定由所述阈值处置得分产生的假否定率。

6.根据权利要求5所述的方法，其中计算所述阈值处置得分正确识别恶意计算事件的所述程度包括计算所述假肯定率与所述假否定率的比。

7.根据权利要求6所述的方法，其中调整所述阈值处置得分包括：

从所述企业接收对应于在所述企业内实施的安全服务的期望严格性的期望的假肯定与假否定比，高的假肯定与假否定比对应于严格的安全服务；以及

基于对所述多个计算事件的所述初始处置得分和所述更新的处置得分的回顾性分析，确定产生所述期望的假肯定与假否定比的最优阈值处置得分。

8.根据权利要求5所述的方法，还包括：

识别其初始处置得分为假肯定的计算事件；以及

将所述识别的计算事件添加到所述企业内的白名单，使得类似的计算事件被分类为非恶意。

9.根据权利要求8所述的方法，其中调整所述阈值处置得分包括在将所述识别的计算事件添加到所述白名单之后减小所述阈值处置得分。