[发明专利]用于检测恶意计算事件的系统和方法

说明书

本发明公开了用于检测恶意计算事件的计算机实现的方法，所述计算机实现的方法可包括：(i)针对在企业内检测到的多个计算事件，基于当前可用的安全信息确定每个计算事件的初始处置得分；(ii)通过将每个计算事件的所述初始处置得分与阈值处置得分进行比较来将每个计算事件的初始分类确定为恶意或非恶意；(iii)针对每个计算事件：(a)基于新的安全信息确定更新的处置得分；(b)确定更新的分类；(iv)通过确定每个计算事件的所述初始分类与所述计算事件的所述更新的分类匹配的频率来计算所述阈值处置得分正确识别恶意计算事件的程度；以及(v)基于所述阈值处置得分正确识别恶意计算事件的所述程度来调整所述阈值处置得分。

相关申请的交叉引用

本申请通过引用结合了于2017年2月14日提交的Pieter Viljoen的由代理人案卷号007160.1272U1标识并且标题为Systems and Methods for Evaluating SecurityServices的美国申请号15/432,905的全部内容。

背景技术

个体和组织经常使用各种软件安全系统来保护其计算设备免受异常和/或不想要的活动的影响。此类安全系统可以检测端点设备上的潜在恶意计算事件或行为，然后确定这些事件是否满足特定阈值或怀疑程度。可以将满足该阈值的计算事件分类为恶意的，并且安全系统可以阻止、移除或以其他方式防止这些事件中所涉及的文件或对象损坏端点设备。

遗憾的是，传统的安全服务可能无法准确地或有效地识别企业内的恶意计算事件。例如，如果常规的反恶意软件技术在企业首次看到文件时缺乏对文件信誉的知识，则反恶意软件技术可能无法检测到与文件相关联的安全威胁，即使信息指示文件信誉在稍后的时间点变得可用。另外，传统的安全系统可能不允许客户根据自己企业的需求定制恶意软件检测流程。例如，传统的安全系统可能会实施跨多个企业对恶意计算事件进行分类的标准或默认度量，而不管各个企业请求或要求的安全服务如何。因此，本公开识别并解决了对用于检测恶意计算事件的系统和方法的需求。

发明内容

如将在下文更详细地描述的，本公开描述了用于检测恶意计算事件的各种系统和方法。在一个示例中，用于检测恶意计算事件的方法可以包括：(i)针对在企业内检测到的多个计算事件，基于当前可用的安全信息来确定指示计算事件是恶意的可能性的每个计算事件的初始处置得分；(ii)通过将每个计算事件的初始处置得分与表示指示恶意计算事件的最小处置得分的阈值处置得分进行比较来将每个计算事件的初始分类确定为恶意或非恶意；(iii)在确定了计算事件的初始处置得分之后，针对每个计算事件：(a)基于在确定初始处置得分时不可用的新的安全信息来确定更新的处置得分，以及(b)通过将更新的处置得分与阈值处置得分进行比较来确定更新的分类；(iv)通过确定每个计算事件的初始分类与计算事件的更新的分类匹配的频率来计算阈值处置得分正确识别恶意计算事件的程度；以及(v)通过基于阈值处置得分正确识别恶意计算事件的程度调整阈值处置得分来保护企业免受安全威胁。

在一些示例中，计算事件可以包括将文件下载到企业内的端点设备上的尝试。除此之外或另选地，计算事件可以包括将敏感信息从企业内部分发到外部实体的尝试和/或外部实体访问敏感信息的尝试。

在一些实施方案中，该方法还可以包括在后端安全服务器处从安装在企业内的至少一个端点设备上的安全代理接收至少一个计算事件。在此类实施方案中，该方法还可以包括在检测到计算事件的时间点接收端点设备的配置的至少一部分。另外，在这些实施方案中，确定计算事件的更新的处置得分可以包括使用新的安全信息重新分析端点设备的配置。

在一些示例中，确定每个计算事件的初始分类与计算事件的更新的分类匹配的频率可以包括通过计算具有初始恶意分类和更新的非恶意分类的计算事件的百分比来确定由阈值处置得分产生的假肯定率。除此之外或另选地，确定频率可以包括通过计算具有初始非恶意分类和更新的恶意分类的计算事件的百分比来确定由阈值处置得分产生的假否定率。在这些示例中，计算阈值处置得分正确识别恶意计算事件的程度可以包括计算假肯定率与假否定率的比。