通过众包安全性解决方案自动生成威胁修复步骤制造技术

计算系统利用众包来为经历警报情况的系统生成修复文件。在修复文件的生成期间，计算系统标识与多个不同客户端系统相关联的多个不同类型的警报。计算系统还基于过程临近度和时间与警报状况的相关性，为每种类型的警报生成多个不同客户端修复过程集，并且基于相关性矢量中的值确定多个过程中的哪些过程与所标识的警报有关。然后，基于多个不同客户端修复过程集之间存在的相关性，创建客户端修复过程集，以包括被确定为与所标识的警报有关并且被聚类在一起的过程，以为每种类型的警报标识要包括在所生成的复合修复文件中的过程。

【技术实现步骤摘要】
【国外来华专利技术】通过众包安全性解决方案自动生成威胁修复步骤
技术介绍
计算机和计算系统已经影响了现代生活的近乎每一个方面。计算机通常涉及工作、休闲、医疗保健、运输、娱乐、家政管理等。一些计算机功能还可以通过计算系统经由网络连接互连到其他计算系统的能力来增强。网络连接可以包括，但不仅限于，经由有线或无线以太网的连接，蜂窝式连接，或者甚至通过串行、并行、USB或其它连接的计算机到计算机的连接。这些连接允许计算系统访问其他计算系统上的服务，并且快速且有效地从其他计算系统接收应用数据。计算系统的互连已支持分布式计算系统，即所谓的“云”计算系统。在本说明书中，“云计算”可以是用于允许对可配置的计算资源(如网络、服务器、存储装置、应用、以及服务等)的共享池进行无处不在的、方便的、按需的网络访问的系统或资源，这些计算资源可以用减少的管理努力或服务提供者交互来快速地被供应和发行。云模型可由各种特性(如按需自服务、广泛网络访问、资源池、快速灵活性、测量服务等)、服务模型(如软件即服务(“Saas”)、平台即服务(“PaaS”)、基础结构即服务(“IaaS”))以及部署模型(如私有云、社区云、公用云、混合云等)组成。基于云和远程的服务应用是流行的。这种应用被托管在诸如云的公有和私有远程系统上，并且通常提供一组基于web的服务用于与客户端来回传送。不幸的是，计算系统的云和互连使计算系统暴露于来自恶意方的漏洞和威胁。例如，恶意方可以将恶意软件代码传送到毫无戒心的计算系统，或者创建已知由计算机系统执行、但是包含在计算系统上执行不期望行动的隐藏恶意软件的应用。恶意方也可能在计算系统上发起暴力攻击或DDoS(分布式拒绝服务)攻击。为了解决和防止如上所述的威胁场景，许多组织雇用信息技术(IT)专家来监控其计算机系统的健康状况，标识与威胁场景相关联的警报，以及管理和更新防病毒和反恶意软件的软件，来缓解新近开发和发现的威胁。然而，这种类型的监控和更新非常昂贵并且耗时。此外，许多组织没有配备相同的监控软件和/或无法雇用了解对新近开发和发现的威胁可用的所有可能的修复行动的全职专家。不同修复方案也不总是适用于所有组织，这使事情更加复杂。因此，IT专家经常顺其自然，以在因特网上搜索可能适用于解决威胁场景的可能解决方案。但是，这是一个非常低效的过程。在许多情况下，由于存在各种计算系统以及可用于被实施以解决不同威胁场景的各种类型的可能解决方案，因此IT专家甚至标识要对他们的(多个)计算系统执行的最佳修复过程也是完全不切实际的或不可能的。因此，持续存在着对标识和提供用于标识和应用修复过程以解决威胁场景的新技术的需求和期望。本文要求保护的主题不限于解决任何缺点或仅在诸如上述环境的那些环境中操作的实施例。相反，提供该
技术介绍
仅用于说明其中可以实践本文所述的一些实施例的一个示例性

技术实现思路
所公开的实施例针对被配置成基于众包安全性解决方案来支持对威胁场景的自动缓解和修复的系统、方法和存储设备。在一些实施例中，众包被用来生成修复文件，该修复文件被提供以用于缓解威胁场景。这些实施例包括标识多个不同类型的警报的计算系统，其中多个不同类型的警报中的每个标识的警报与对应的多个不同客户端系统相关联，每个客户端系统触发或检测标识的警报。接下来，为每种类型的警报生成多个不同客户端修复过程集。对于每个标识的警报，该过程包括：标识由对应的多个不同客户端系统在距标识的警报的预先确定时间内和/或过程临近度内执行的过程；基于多个过程与标识的警报的相关性矢量，确定多个过程中的哪些过程与标识的警报有关；以及对于多个不同客户端系统中的每个客户端，创建客户端修复过程集，客户端修复过程集包括被确定为与标识的警报有关、并且由客户端在距标识的警报的预先确定时间段内和/或过程临近度内执行的过程。接下来，计算系统通过包括满足多个不同客户端修复过程集之间的相关性阈值的一个或多个公用修复过程，并且同时从复合修复文件省略不满足不同客户端修复过程集之间的相关性阈值的一个或多个非公用修复过程，来基于多个不同客户端修复过程集之间存在的相关性，为每种类型的警报生成复合修复文件。最后，计算系统将(多个)复合修复文件提供给特定客户端系统，以响应于由特定客户端检测到并且与(多个)修复文件相对应的警报来执行修复/缓解。修复文件可以包括要被执行的过程的列表和/或响应于提供(多个)复合修复文件而自动触发和执行的可执行文件。提供本
技术实现思路
以便以简化形式介绍将在以下详细描述中进一步描述的一些概念。本
技术实现思路
不旨在标识出所要求保护的主题的关键特征或必要特征，也不旨在用于帮助确定所要求保护的主题的范围。附加特征和优点将在以下描述中提出，并且部分会从描述中显而易见，或者可以通过实践本文的教导来获悉。本专利技术的特征和优点可以通过在所附权利要求中特别指出的工具和组合来实现和获得。本专利技术的特征从以下描述和所附权利要求中将更完全显而易见，或者可以通过如下文所述实践本专利技术而获悉。附图说明为了描述可以获得以上记载的及其他优点和特征的方式，将参考具体实施例呈现以上简述的主题的更具体描述，具体实施例在附图中说明。理解这些附图仅描述典型的实施例，因此不应被视为范围的限制，实施例将通过使用附图以附加的具体性和细节来描述和解释，在附图中：图1图示了与公开的方法相关联的动作的流程图，该方法用于通过众包安全性解决方案执行威胁修复的自动生成；图2图示了包括计算系统的示例性计算环境，该计算系统被配置成实现和/或包括所公开的实施例；图3图示了多个过程的相关性矢量及其与警报的相关性的表示；图4图示了从图3中所示的相关性矢量得到的修复过程集的表示；图5图示了针对与特定警报相关联的不同客户端的修复过程集的集群的表示；以及图6图示了复合修复文件的各种表示形式，诸如可以从修复过程集的集群中得到的复合修复文件。具体实施方式所公开的实施例通常针对被配置成基于众包安全性解决方案来支持对威胁场景的自动缓解和修复的系统、方法和存储设备。在一些实施例中，通过相关性矢量处理、修复过程集生成和修复过程集集群处理，利用众包来生成修复文件。通过改进计算系统能够基于众包信息并且以对人类不实际的方式来自动标识修复步骤并且生成用于对应警报的复合修复文件的方式，所公开的实施例能够解决与威胁场景的修复相关联的技术和实际问题。图1图示了流程图100的各种动作，流程图100由计算系统(例如，图2中所示的计算系统200)执行，以通过众包安全性解决方案来执行修复步骤的自动生成。如所示的，计算系统标识多个不同类型的警报，其中多个不同类型的警报中的每个标识的警报与对应的多个不同客户端系统相关联，每个客户端系统触发或检测标识的警报(动作110)。警报的该标识可以是基于各种信息。例如，计算系统可以通过从应用或远程系统(例如，客户端270、272、274)接收/标识警报的定义来标识警报。计算系统还可以基于检测到与配置文件、日志文件或与计算机组件相关联的经测量的计算机健康度本文档来自技高网...

【技术保护点】
1.一种计算系统，包括一个或多个处理器和一个或多个硬件存储设备，所述一个或多个硬件存储设备存储有的计算机可执行指令，所述计算机可执行指令由所述一个或多个处理器可执行以用于实现用于利用众包来生成修复文件的方法，其中所述方法包括：所述计算系统执行以下：/n标识多个不同类型的警报，其中所述多个不同类型的警报中的每个标识的警报与对应的多个不同客户端系统相关联，每个客户端系统触发或检测所述标识的警报；/n通过为每个标识的警报执行以下，为每个类型的警报生成多个不同客户端修复过程集：/n标识由对应的多个不同客户端系统执行的多个过程，所述多个过程在距所述标识的警报的预先确定时间内和/或过程临近度内被执行；以及/n基于所述多个过程与所述标识的警报的相关性矢量，确定所述多个过程中的哪些过程与所述标识的警报有关；以及/n对于所述多个不同客户端系统中的每个客户端，创建客户端修复过程集，所述客户端修复过程集包括被确定为与所述标识的警报有关、并且由所述客户端在距所述标识的警报的所述预先确定时间段内和/或过程临近度内执行的所述过程；/n通过包括满足所述多个不同客户端修复过程集之间的相关性阈值的一个或多个公用修复过程，并且同时从复合修复文件省略未能满足所述不同客户端修复过程集之间的所述相关性阈值的一个或多个非公用修复过程，基于所述多个不同客户端修复过程集之间存在的相关性，为每个类型的警报生成所述复合修复文件；以及/n将所述复合修复文件提供给特定客户端系统，以用于响应于由所述特定客户端检测到并且与所述修复文件相对应的警报来执行修复。/n...

【技术特征摘要】
【国外来华专利技术】20180806 US 16/056,1571.一种计算系统，包括一个或多个处理器和一个或多个硬件存储设备，所述一个或多个硬件存储设备存储有的计算机可执行指令，所述计算机可执行指令由所述一个或多个处理器可执行以用于实现用于利用众包来生成修复文件的方法，其中所述方法包括：所述计算系统执行以下：
标识多个不同类型的警报，其中所述多个不同类型的警报中的每个标识的警报与对应的多个不同客户端系统相关联，每个客户端系统触发或检测所述标识的警报；
通过为每个标识的警报执行以下，为每个类型的警报生成多个不同客户端修复过程集：
标识由对应的多个不同客户端系统执行的多个过程，所述多个过程在距所述标识的警报的预先确定时间内和/或过程临近度内被执行；以及
基于所述多个过程与所述标识的警报的相关性矢量，确定所述多个过程中的哪些过程与所述标识的警报有关；以及
对于所述多个不同客户端系统中的每个客户端，创建客户端修复过程集，所述客户端修复过程集包括被确定为与所述标识的警报有关、并且由所述客户端在距所述标识的警报的所述预先确定时间段内和/或过程临近度内执行的所述过程；
通过包括满足所述多个不同客户端修复过程集之间的相关性阈值的一个或多个公用修复过程，并且同时从复合修复文件省略未能满足所述不同客户端修复过程集之间的所述相关性阈值的一个或多个非公用修复过程，基于所述多个不同客户端修复过程集之间存在的相关性，为每个类型的警报生成所述复合修复文件；以及
将所述复合修复文件提供给特定客户端系统，以用于响应于由所述特定客户端检测到并且与所述修复文件相对应的警报来执行修复。


2.根据权利要求1所述的计算系统，其中所述相关性阈值是所述一个或多个公用修复过程在大多数但不是全部所述不同客户端修复过程集中的出现。


3.根据权利要求1所述的计算系统，其中所述相关性阈值是所述一个或多个公用修复过程在全部所述不同客户端修复过程集中的出现。


4.根据权利要求1所述的计算系统，其中创建所述客户端修复过程集还包括：包括被确定为与所述标识的警报有关、并且由所述客户端在距所述标识的警报的所述预先确定时间段内和所述过程临近度内执行的所述过程。


5.根据权利要求1所述的计算系统，其中所述方法还包括：将所述多个不同客户端修复过程集过滤为客户端修复过程集的子集，所述客户端修复过程集的子集与多个不同客户端类型中的特定客户端类型相对应。


6.根据权利要求5所述的计算系统，其中所述方法还包括：为所述多个不同客户端类型中的每个客户端类型生成分离的复合修复文件。


7.根据权利要求1所述的计算系统，其中所述复合修复文件是具有可执行指令的可执行文件，以用于响应于运行所述复合修复文件而自动执行修复行动。

...

【专利技术属性】
技术研发人员：B·克利格尔，M·伊斯雷尔，D·帕特里奇，M·Z·巴格利，
申请(专利权)人：微软技术许可有限责任公司，
类型：发明
国别省市：美国;US