[发明专利]用户行为风险评估

权利要求书

1.一种方法，包括：

识别与计算系统的至少一个特定用户相关联的预定的特定行为简档，所述特定行为简档标识所述至少一个用户在所述计算系统内的预期行为；

使用至少一个计算机处理设备来识别与所述特定用户对所述计算系统的使用相关联的活动；以及

确定所识别的活动是否与所述特定行为简档有关，其中，识别出与所述特定行为简档偏离超过特定阈值的活动触发与所述特定用户有关的风险事件。

2.如权利要求1所述的方法，其中，没有偏离超过特定阈值的活动被认为是充分地符合所述特定行为简档，并且不触发风险事件。

3.如权利要求2所述的方法，其中，至少一个特定的所识别的活动被识别为与所述特定行为简档偏离但处于所述特定阈值内，所述方法还包括：

至少部分地基于所述至少一个特定的所识别的活动来修改所述特定行为简档。

4.如权利要求1所述的方法，其中，所述特定行为简档是基于用户的行为简档，所述基于用户的行为简档基于描述所述特定用户在所述计算系统中的之前活动的多个输入。

5.如权利要求4所述的方法，还包括：

识别与所述计算系统的第二用户相关联的第二基于用户的行为简档；

识别与所述第二用户对所述计算系统的使用相关联的活动；以及

确定所述第二用户的所识别的活动是否与所述第二基于用户的行为简档有关，其中，识别出与所述第二行为简档偏离超过所述特定阈值的活动触发与所述第二用户有关的风险事件。

6.如权利要求4所述的方法，其中，所述第一用户和所述第二用户包括在所述计算系统内的多个用户中，并且所述多个用户中的每个用户都具有至少一个相应的基于用户的行为简档。

7.如权利要求6所述的方法，还包括：至少部分地基于所述多个用户的基于用户的行为简档来确定所述计算系统的聚合的风险简档。

8.如权利要求7所述的方法，其中，确定所述计算系统的聚合的风险简档包括：

识别所述计算系统中的特定计算设备与所述特定用户之间的关联；

确定所述特定计算设备的设备风险简档；以及

至少部分地基于所述特定计算设备的设备风险简档和所述特定计算设备的所述特定用户的特定行为简档来确定与所述特定计算设备相关联的组合风险。

9.如权利要求8所述的方法，其中，确定所述组合风险包括：根据所述特定行为简档识别所述特定用户的行为趋势，所述行为趋势与所述特定计算设备的特定漏洞相对应，所述特定漏洞是根据所述特定计算设备的设备风险简档识别的。

10.如权利要求1所述的方法，其中，所述特定行为简档是基于组的行为简档，所述基于组的行为简档基于来自所述计算系统的用户组中的多个用户的多个输入，所述多个输入描述所述用户组在所述计算系统中的之前活动。

11.如权利要求10所述的方法，其中，所述用户组是下述中的至少一个：商业单元、特定地理位置中的用户、具有特定雇佣状态的用户、一组织的特定部门中的用户以及所述计算系统的全部识别的用户的集合。

12.如权利要求1所述的方法，其中，所述特定行为简档基于从多个安全工具接收到的多个输入，所述多个安全工具在所述计算系统内提供安全服务。

13.如权利要求12所述的方法，还包括：响应于确定出所述特定用户的特定活动与所述特定行为简档偏离超过所述特定阈值而发起对策的部署，其中，所述对策与所述特定活动所触发的特定风险事件相对应。

14.如权利要求13所述的方法，其中，所述对策是使用所述多个安全工具中的至少一个来部署的。

15.如权利要求14所述的方法，其中，所述多个安全工具包括下述中的至少两个：防火墙、网页网关、邮件网关、主机入侵保护(HIP)工具、网络入侵保护(NIP)工具、反恶意软件工具、数据丢失预防(DLP)工具、系统漏洞管理器、系统策略服从管理器、资产临界工具以及安全信息管理(SIM)工具。