用于管理安全事件的方法和装置制造方法及图纸

本发明专利技术名称为“用于管理安全事件的方法和装置”。用于管理安全事件的方法和装置包括在移动计算装置上建立安全事件管理器。安全事件管理器可实施为软件和/或硬件组件。安全事件管理器从移动计算装置的多个安全事件源接收安全事件数据，并基于安全策略来关联安全事件数据以确定是否已经发生安全事件。安全事件管理器基于安全策略来响应安全事件。

【技术实现步骤摘要】

本专利技术涉及用于管理安全事件的方法和装置。
技术介绍
安全事件管理(SEM)和安全信息管理(SIM)系统通常是配置成从多个安全事件源 收集、聚集、及关联安全事件数据的企业级服务器。在标准的SEM/SIM系统中，用户的客户 端计算机配置成定期向SEM/SIM服务器传送报告、日志、及其他安全有关的数据。SEM/SIM 服务器聚集和关联从客户端计算机和其他企业装置及源(例如网络路由器、防火墙、和服 务)收到的安全数据以生成安全事件报告。通常，SEM/SIM服务器是被动式的，并且不自动 响应安全事件。相反，安全人员能查看安全事件报告并采取适当的动作。历史上，企业的安全防线关联于该企业的物理防线(例如，企业位于其中的建 筑)，因为大部分的计算装置是固定的。然而，随着计算装置不断变得更加移动，企业安全防 线正在扩展或者在某些情况下正完全消失。因此，处于中心的安全系统，例如传统的SEM/ SIM服务器，尽力维护企业作为整体之上的安全并且尤其是大量的移动计算装置之上的安 全。
技术实现思路
本专利技术提供一种方法，包括在移动计算装置上建立安全事件管理器；用所述安 全事件管理器检索安全策略数据，所述安全策略数据定义用于确定安全事件的发生的安全 事件规则的集合；用所述安全事件管理器检索安全事件数据，所述安全事件数据从所述移 动计算装置的至少一个安全事件源生成；基于所述安全事件数据和所述安全策略数据，用 所述安全事件管理器来确定安全事件的发生；以及用所述安全事件管理器来响应所述安全 事件。本专利技术还提供一种移动计算装置，包括安全事件管理器；处理器；以及存储器装 置，其中已存储多个指令，所述指令在由所述处理器执行时，使所述安全事件管理器接收 从所述移动计算装置的多个安全事件源生成的安全事件数据；基于安全策略来关联所述安 全事件数据以确定安全事件的发生，所述安全策略存储于所述移动计算装置上并定义用于 确定安全事件的发生的安全事件规则的集合；并且基于所述安全策略来响应所述安全事 件。本专利技术还提供一种有形的机器可读媒体，包括多个指令，所述指令响应于被执行 而导致计算装置建立安全事件管理器；用所述安全事件管理器来接收安全事件数据，所 述安全事件数据从所述计算装置的多个安全事件源来生成；使用所述安全事件管理器来规 范所述安全事件数据，以生成规范的安全事件数据，所规范的安全事件数据具有预定数据 格式；使用所述安全事件管理器来聚集所规范的安全事件数据，以生成聚集的安全事件数 据，所聚集的安全事件数据汇总所规范的安全事件数据；并且使用所述安全事件管理器，基 于预定的安全策略来关联所聚集的安全事件数据，以确定是否已经发生安全事件。附图说明本文所述的本专利技术作为示例而非作为附图中的限制而示出。为了图示的简明和清 晰，图中示出的要素不一定按比例绘制。例如，为了清晰，某些要素的尺寸可能相对其他要 素被夸大。此外，在认为合适之处，引用标号已经在图之间重复以指示对应或类似的要素。图1是用于管理移动计算装置上生成的安全事件的移动计算装置的一个实施例 的简化框图；图2是图1的移动计算装置的软件环境的简化框图；图3是图1的移动计算装置执行的用于管理安全事件的方法的一个实施例的简化 流程图；以及图4是图3的方法中使用的用于分析安全事件数据的方法的一个实施例的简化流 程图。具体实施例方式虽然本公开的概念易于想到各种修改和备用形式，但其具体示范实施例已通过图 中示例来示出并且将在本文详细描述。然而，应该理解，无意将本公开的概念限制为公开的 的特定形式，正相反，本专利技术要涵盖落入如所附权利要求所定义的本专利技术精神和范围内的 所有的修改、等同和备选。在下面的描述中，为提供本公开的更透彻理解，可能陈述大量具体细节，例如逻辑 实现、操作码、指定操作数的部件、资源分区/共享/复制实现、系统组件的类型和相互关 系、逻辑分区/集成选择。然而，将领会到，没有此类具体细节，本公开的实施例也可以由本 领域技术人员来实行。在其他情况下，控制结构，门级电路和完整的软件指令序列未详细示 出，以免混淆本公开。本领域普通技术人员通过包括的描述将能够实现适当的功能性而无 需不恰当的实验。说明书中对“一个实施例”、“一实施例”、“一示范实施例”等等的引述指示所述实 施例可包括特定特征、结构或特性，但每个实施例可能不一定包括该特定特征、结构或特 性。而且，此类短语不一定指相同实施例。此外，当特定特征、结构或特性与连同某个实施 例来描述时，认为连同不论是否明确描述的其他实施例来实现此类特征、结构或特性是在 本领域技术人员的认知内。本公开的一些实施例可实现在硬件、固件、微码、中央处理单元(CPU)指令、软件、 或它们的任何组合中。实现在计算机系统中的本公开实施例可包括组件之间一个或多个基 于总线的互连和/或组件之间一个或多个点到点互连。本专利技术的实施例也可以实现为存储 在机器可读的有形媒体上的指令，其可由一个或多个处理器来读取并执行。机器可读的有 形媒体可包括用于在机器(例如，计算装置)可读的形式中存储或传送信息的任何有形机 制。例如，机器可读的有形媒体可包括只读存储器(ROM)、随机存取存储器(RAM)、磁盘存储 媒体、光存储媒体、闪速存储器装置和其他有形媒体。现在参考图1，移动计算装置100配置成管理装置100上生成的安全事件，装置 100包括安全事件管理器(SEM) 102、处理器104、芯片组106和存储器108。计算装置100 可实施为能够执行本文所述功能的任何类型的便携式计算装置。例如，在一些实施例中，计算装置100实施为蜂窝电话、个人数据助理、手持式计算机、膝上型计算机、移动因特网装 置(MID)或其他基于计算机的移动装置。安全事件管理器102可实施为多个组件，包括硬件组件、固件组件、和软件组件， 它们在操作上交互以收集、规范、聚集、关联、并响应移动计算装置100上生成的安全事件， 如本文更详细讨论的。因此，安全事件管理器102可包括专用的硬件处理器和/或与装置 100的处理器104分离的其他电路。另外，安全事件管理器102可包括配置成在安全环境中 初始化或以其他方式“引导”安全事件管理器102的固件指令。在一些实施例中，安全事件 管理器102可包括或以其他方式在通信上耦合到与主存储器108分离的存储器(未显示)， 以用于增加的安全性。处理器104说明性地实施为具有处理器核110的单核处理器。然而，在其他实施 例中，处理器104可实施为具有多个处理器核110的多核处理器。另外，计算装置110可包 括具有一个或多个处理器核110的附加处理器104。处理器104经由多个信号路径112在 通信上耦合到芯片组106。信号路径112可实施为能够促进处理器104和芯片组106之间 通信的任何类型的信号路径。例如，信号路径112可实施为任何数量的导线、印刷电路板迹 线、过孔、总线、介入装置(interveningdevice)和/或诸如此类。存储器108可实施为一个或多个存储器装置或者数据存储位置，包括例如动态随 机存取存储器装置(DRAM)、同步动态随机存取存储器装置(SDRAM)、双倍数据速率同步动 态随机存取存储器装置(DDR SDRAM)和/或其他易失性存储器装置。另外，虽然图1中仅 示出单个存储本文档来自技高网...

【技术保护点】
１．一种方法，包括：在移动计算装置上建立安全事件管理器；用所述安全事件管理器检索安全策略数据，所述安全策略数据定义用于确定安全事件的发生的安全事件规则的集合；用所述安全事件管理器检索安全事件数据，所述安全事件数据从所述移动计算装置的至少一个安全事件源生成；基于所述安全事件数据和所述安全策略数据，用所述安全事件管理器来确定安全事件的发生；以及用所述安全事件管理器来响应所述安全事件。

【技术特征摘要】
2009.12.26 US 12/6474471.一种方法，包括在移动计算装置上建立安全事件管理器；用所述安全事件管理器检索安全策略数据，所述安全策略数据定义用于确定安全事件 的发生的安全事件规则的集合；用所述安全事件管理器检索安全事件数据，所述安全事件数据从所述移动计算装置的 至少一个安全事件源生成；基于所述安全事件数据和所述安全策略数据，用所述安全事件管理器来确定安全事件 的发生；以及用所述安全事件管理器来响应所述安全事件。2.根据权利要求1所述的方法，其中建立所述安全事件管理器包括在安全引导环境中 建立所述安全事件管理器。3.根据权利要求1所述的方法，其中接收安全事件数据包括接收从所述移动计算装置 的多个安全事件源所生成的安全事件数据。4.根据权利要求1所述的方法，其中接收所述安全事件数据包括接收从所述移动计算 装置的固件、所述移动计算装置的操作系统、及所述移动计算装置上执行的软件应用的至 少一个所生成的安全事件数据。5.根据权利要求1所述的方法，其中确定所述安全事件的发生包括将所述安全事件数 据规范为预定数据格式。6.根据权利要求1所述的方法，其中确定所述安全事件的发生包括聚集所述安全事件 数据以汇总所述安全事件数据。7.根据权利要求1所述的方法，其中确定所述安全事件的发生包括关联所述安全事件 数据以基于所述安全策略数据来确定安全事件的发生。8.根据权利要求7所述的方法，其中确定所述安全事件的发生包括关联所述安全事件 数据以基于所述安全策略和基于与所述移动计算装置关联的上下文数据来确定安全事件 的发生。9.根据权利要求8所述的方法，其中所述上下文数据包括指示所述移动计算装置的用 户的位置、所述用户的活动、所述用户位于其中的环境的方面、与所述用户有关的生物计量 数据的至少一个的数据。10.根据权利要求1所述的方法，其中确定所述安全事件的发生包括规范所述安全事件数据以生成规范的安全事件数据，所规范的安全事件数据具有预定 数据格式；聚集所规范的安全事件数据以生成聚集的安全事件数据，所聚集的安全事件数据汇总 所规范的安全事件数据；并且关联所聚集的安全事件数据以基于所述安全策略数据来确定安全事件的发生。11.根据权利要求1所述的方法，进一步包括用所述安全事件管理器从所述移动计算装置上存储的上下文数据库来检索上下文数据，其中确定所述安全事件的发生包括基于所述安全事件数据和所述上下文数据来确定 安全事件的发生。12.根据权利要求1所述的方法，其中响应所述安全事件包括在所述移动计算装置上 执行至少一个以下动作改变所述移动计算装置的连接性状态、修改对所述移动计算装置 上软件应用的访问、修改所述安全事件管理器的事件数据过滤器、拒绝对数据的访问、重新 引导所述移动计算装置、修改所述移动计算装置的功率状态以及隔离所述移动计算装置上 执行的软件应用或服务。13.根据权利要求1所述的方法，进一步包括接收从所述移动计算装置的传感器生成的传感器数据；并且 用所述传感器数据来更新存储在所...

【专利技术属性】
技术研发人员：S·P·珀塞尔，A·D·罗斯，J·S·巴卡，S·艾西，T·M·科伦伯格，D·M·摩根，
申请(专利权)人：英特尔公司，
类型：发明
国别省市：US