用户行为风险评估制造技术

识别与计算系统的至少一个特定用户相关联的预定的特定行为简档，所述特定行为简档标识所述至少一个用户在所述计算系统内的预期行为。识别与所述特定用户对所述计算系统的使用相关联的活动，并确定所识别的活动是否与所述特定行为简档有关。识别出与所述特定行为简档偏离超出特定阈值的活动，触发与所述特定用户有关的风险事件。

【技术实现步骤摘要】
【国外来华专利技术】用于用户行为风险评估的方法和系统本申请依据35U.S.C.§120要求享有于2011年10月18日提交的、名称为“USERBEHAVIORALRISKASSESSMENT”的美国临时专利申请序列号61/548,276以及于2011年10月18日提交的、名称为“USERBEHAVIORALRISKASSESSMENT”的美国临时专利申请序列号61/548,292的优先权权益，这两个临时申请中的每一个均通过引用的方式整个地并入本文。
本公开内容一般涉及计算机安全领域，并且更具体地，涉及计算系统的风险评估。
技术介绍
互联网已经使得全世界范围的不同计算机网络能够互连。然而，有效地保护并维持稳定的计算机和系统的能力给组件制造商、系统设计者、计算机和网络操作员呈现了严重的障碍。由于恶意软件编写者利用的不断演进的一些列手段以及易于受到这样的威胁和其它威胁的攻击的新计算设备和软件的从未停止的开发，使得这种障碍变得甚至更加复杂。可以为计算设备和环境评估风险，并且风险可以基于相应计算设备上所呈现的漏洞以及计算设备所遭受的风险。管理员可以利用为他们的系统、环境以及利用这些环境和系统的那些人所计算的风险分数，来理解何种安全弱点和风险摆在系统面前以及风险的量和系统内最受风险影响的设备。通常是人类的活动给计算机和网络系统创造了风险。
技术实现思路
根据本专利技术的第一方面，提供一种用于提供计算安全的方法，所述方法包括：识别与计算系统的至少一个特定用户相关联的预定的特定行为简档，所述特定行为简档标识一个或多个用户的集合内的用户在所述计算系统内的预期行为，其中，所述特定行为简档是基于在所述集合内的至少一个用户的先前检测到的行为的，并且所述集合包括所述特定用户；使用至少一个计算机处理设备来识别与所述特定用户对所述计算系统的使用相关联的活动；以及对于所识别的活动中的每一个，确定所述活动是否与所述特定行为简档有关，其中，确定所述活动与所述特定行为简档偏离超过特定阈值触发与所述特定用户有关的风险事件，并且确定所述活动偏离所述特定行为简档在所述特定阈值之内使所述特定行为简档至少部分地基于特定活动而被修改。根据本专利技术的第二方面，提供一种包括用于执行根据本专利技术第一方面所述的方法的模块的系统。根据本专利技术的第三方面，提供一种用于提供计算安全的系统，所述系统包括：至少一个处理器设备；至少一个存储器元件；以及用户行为风险分析引擎，其在被所述至少一个处理器设备执行时用于：识别与计算系统的至少一个特定用户相关联的预定的特定行为简档，所述特定行为简档标识一个或多个用户的集合内的用户在所述计算系统内的预期行为，其中所述特定行为简档是基于所述集合中的至少一个用户的先前检测到的行为，并且所述集合包括所述特定用户；识别与所述特定用户对所述计算系统的使用相关联的特定活动；以及对于所识别的活动中的每一个，确定所述活动是否与所述特定行为简档有关，其中，确定所述活动与所述特定行为简档偏离超过特定阈值触发与所述特定用户有关的风险事件，并且确定所述活动偏离所述特定行为简档在所述特定阈值之内使所述特定行为简档至少部分地基于特定活动而被修改。附图说明图1是根据一个实施例的包括一个或多个风险评估工具的示例性计算系统的简化示意图；图2是根据一个实施例的包括示例性的行为风险评估模块的示例性系统的简化框图；图3A-3C表示根据至少一些实施例使用示例性的行为风险评估工具对行为风险事件的示例性识别；图4A-4C示出了根据至少一些实施例相对于示例性风险基准线来评估行为风险的例子；图5A-5B表示根据至少一些实施例由示例性的基于客户端的行为风险代理执行的示例性任务；图6表示根据至少一些实施例考虑了系统内的行为风险的组合风险评估；以及图7A-7C是示出了与系统的至少一些实施例相关联的示例性操作的简化流程图。在各附图中类似的参考数字和符号表示类似的元件。具体实施方式概述通常，本说明书中描述的主题的一个方案可以体现在方法中，所述方法包括以下动作：识别与计算系统的至少一个特定用户相关联的预定的特定行为简档，所述特定行为简档标识所述至少一个用户在所述计算系统内的预期行为；识别与所述特定用户对所述计算系统的使用相关联的活动；以及确定所识别的活动是否与所述特定行为简档有关。识别出与所述特定行为简档偏离超出特定阈值的活动可以触发与所述特定用户有关的风险事件。此外，在另一通用方案中，可以提供一种系统，其包括至少一个处理器设备、至少一个存储器元件和用户行为风险分析引擎。所述用户行为风险分析引擎在被处理器执行时可以：识别与计算系统的至少一个特定用户相关联的预定的特定行为简档，所述特定行为简档标识所述至少一个用户在所述计算系统内的预期行为；识别与所述特定用户对所述计算系统的使用相关联的特定活动；以及确定所述特定的所识别的活动是否与所述特定行为简档偏离超出特定阈值。这些以及其它实施例均可以可选地包括以下特征中的一个或多个。没有偏离超过特定阈值的活动可以充分被认为与特定行为简档一致，并且不触发风险事件。至少一个特定的所识别的活动可以被识别为偏离特定行为风险简档但是处于特定阈值内，并且可以至少部分地基于该至少一个特定的所识别的活动来修改特定行为简档。特定行为简档可以是基于用户的行为简档，其基于多个输入，所述多个输入描述特定用户在计算系统中的之前活动。可以识别与计算系统的第二用户相关联的第二基于用户的行为简档，可以识别与第二用户对计算系统的使用相关联的活动，并且可以确定第二用户的所识别的活动是否与第二基于用户的行为简档有关，并且偏离第二行为简档超出特定阈值的活动可以触发与第二用户有关的风险事件。第一和第二可以包括在计算机系统内的多个用户中，并且多个用户中的每个用户可以具有至少一个相应的基于用户的行为简档。可以至少部分地基于多个用户的基于用户的行为简档来为计算系统确定聚合的风险简档。为计算系统确定聚合的风险简档可以包括：识别计算系统中的特定计算设备与特定用户之间的关联；确定该特定计算设备的设备风险简档；以及至少部分地基于特定计算设备的设备风险简档和该特定计算设备的特定用户的特定行为简档来确定与该特定计算设备相关联的组合风险。确定组合风险可以包括：从特定行为简档中识别特定用户的行为趋势，其与从特定计算设备的设备风险简档中识别的特定计算设备的特定漏洞相对应。此外，实施例可以包括附加的以下特征中的一个或多个。特定行为简档可以是基于组的行为简档，其基于来自计算系统的一组用户中的多个用户的多个输入，所述多个输入描述所述一组用户在计算系统中的之前活动。所述一组用户可以是商业单元、特定地理位置中的用户、具有特定雇佣状态的用户、一个组织的特定部门中的用户、计算系统的全部识别的用户的集合以及其它例子。特定行为简档可以基于多个输入，所述多个输入是从计算系统内的用于提供安全服务的多个安全工具接收到的。响应于确定出特定用户的特定活动偏离特定行为简档超出特定阈值，可以发起对策的部署，所述对策与该特定活动所触发的特定风险事件相对应。可以使用多个安全工具中的至少一个来部署对策。多个安全工具可以包括防火墙、网页网关、邮件网关、主机入侵保护(HIP)工具、网络入侵保护(NIP)工具、反恶意软件工具、数据丢失保护(DLP)工具、系统漏洞管理器、系统策略服从管理本文档来自技高网...

【技术保护点】
一种方法，包括：识别与计算系统的至少一个特定用户相关联的预定的特定行为简档，所述特定行为简档标识所述至少一个用户在所述计算系统内的预期行为；使用至少一个计算机处理设备来识别与所述特定用户对所述计算系统的使用相关联的活动；以及确定所识别的活动是否与所述特定行为简档有关，其中，识别出与所述特定行为简档偏离超过特定阈值的活动触发与所述特定用户有关的风险事件。

【技术特征摘要】
【国外来华专利技术】2011.10.18 US 61/548,276;2011.10.18 US 61/548,292;1.一种用于提供计算安全的方法，所述方法包括：识别与计算系统的至少一个特定用户相关联的预定的特定行为简档，所述特定行为简档标识一个或多个用户的集合内的用户在所述计算系统内的预期行为，其中，所述特定行为简档是基于在所述集合内的至少一个用户的先前检测到的行为的，并且所述集合包括所述特定用户；使用至少一个计算机处理设备来识别与所述特定用户对所述计算系统的使用相关联的活动；以及对于所识别的活动中的每一个，确定所述活动是否与所述特定行为简档有关，其中，确定所述活动与所述特定行为简档偏离超过特定阈值触发与所述特定用户有关的风险事件，并且确定所述活动偏离所述特定行为简档在所述特定阈值之内使所述特定行为简档至少部分地基于特定活动而被修改。2.如权利要求1所述的方法，其中，没有偏离超过所述特定阈值的活动被认为是充分地符合所述特定行为简档，并且不触发风险事件。3.如权利要求1所述的方法，其中，所述特定行为简档是基于用户的行为简档，所述基于用户的行为简档基于描述所述特定用户在所述计算系统中的之前活动的多个输入。4.如权利要求3所述的方法，还包括：识别与所述计算系统的第二用户相关联的第二基于用户的行为简档；识别与所述第二用户对所述计算系统的使用相关联的活动；以及确定所述第二用户的所识别的活动是否与所述第二基于用户的行为简档有关，其中，识别出与所述第二基于用户的行为简档偏离超过所述特定阈值的活动触发与所述第二用户有关的风险事件。5.如权利要求4所述的方法，其中，所述特定用户和所述第二用户包括在所述计算系统内的多个用户中，并且所述多个用户中的每个用户都具有至少一个相应的基于用户的行为简档。6.如权利要求5所述的方法，还包括：至少部分地基于所述多个用户的基于用户的行为简档来确定所述计算系统的聚合的风险简档。7.如权利要求6所述的方法，其中，确定所述计算系统的聚合的风险简档包括：识别所述计算系统中的特定计算设备与所述特定用户之间的关联；确定所述特定计算设备的设备风险简档；以及至少部分地基于所述特定计算设备的设备风险简档和所述特定计算设备的所述特定用户的特定行为简档来确定与所述特定计算设备相关联的组合风险。8.如权利要求7所述的方法，其中，确定所述组合风险包括：根据所述特定行为简档识别所述特定用户的行为趋势，所述行为趋势与所述特定计算设备的特定漏洞相对应，所述特定漏洞是根据所述特定计算设备的设备风险简档识别的。9.如权利要求1所述的方法，其中，所述用户的集合包括多个用户，并且所述特定行为简档是基于组的行为简档，所述基于组的行为简档基于来自所述多个用户的多个输入，所述多个输入描述所述多个用户在所述计算系统中的之前活动。10.如权利要求9所述的方法，其中，所述用户的集合是下述中的至少一个：商业单元、特定地理位置中的用户、具有特定雇佣状态的用户、一组织的特定部门中的用户以及所述计算系统的全部识别的用户的集合。11.如权利要求1所述的方法，其中，所述特定行为简档基于从多个安全工具接收到的多个输入，所述多个安全工具在所述计算系统内提供安全服务。12.如权利要求11所述的方法，还包括：响应于确定出所述特定用户的特定活动与所述特定行为简档偏离超过所述特定阈值而发起对策的部署，其中，所述对策与所述特...

【专利技术属性】
技术研发人员：P·G·巴萨瓦帕特纳，M·M·莫伊尔，S·施雷克，
申请(专利权)人：迈克菲公司，
类型：发明
国别省市：美国;US