[发明专利]包括安全规则评估的保护系统

说明书

本公开涉及一种包括安全规则评估的保护系统。设备可以包括保护模块，所述保护模块用于标识对所述设备或包括所述设备的网络中的至少一者的威胁。所述保护模块可以包括例如规则评估器(RE)模块，所述RE模块用于：评估提议的安全规则，所述提议的安全规则用于基于至少一个基础事实场景来标识所述威胁；以及判定是否将所述提议的安全规则提升为所述新的安全规则。可以由所述保护模块生成所述提议的安全规则，或者可以从所述网络中的其他设备或其他网络接收所述提议的安全规则。可以与所述其他设备和/或网络共享新的安全规则。所述RE模块可以进一步触发对所述提议的安全规则的独立评估，当判定是否将所述提议的安全规则添加至所述设备中的活跃规则集时，也可以考虑所述独立评估。

技术领域

本公开涉及保护系统，并且更具体地涉及能够评估提议的安全规则的设备和/或网络威胁监测系统。

背景技术

在现代社会中，计算设备正在从仅是便利品变为必需品。在全球规模上，通信正在变得电子占主导，并且这些通信经常包括敏感或机密信息的传输。例如，用户经由电子通信可以传输个人标识信息，可以进行金融交易，可以接收医疗数据，等等。在更大的规模上，小型的商业、公司、教育机构、政府机构可以全都利用电子通信来进行业务处理、执行机密文档等。驻留在电子设备上或通过电子设备来传送的这种数据的全部对于希望利用它来实现其他们自身的利益的未授权方可能具有吸引力。因此，设备级别和/或网络级别保护系统(包括但不限于，病毒和恶意软件保护软件、未授权访问防护(例如，网络安全监视器和入侵检测/防护系统等)已经变成必要的应用。

现有的设备保护系统典型地是集中式管理的。例如，保护客户机通常安装在将利用用于保护客户机的软件更新而受保护的设备上，其中从网络管理员或安全提供商(例如，提供安全装备和/或软件的全球公司)向外推送所述用于保护客户机的软件更新。软件更新可以例如包括用于标识对设备和/或包括设备的网络的威胁(例如，病毒、蠕虫、入侵、由人类或恶意软件在端点设备内、在网络中或者在这两者中进行的任何可疑的或恶意的活动等)的经更新的规则、定义，等等。尽管这种保护模型在过去是有效的，但是未授权方捕捉和/或拦截敏感和/或机密数据的增长的兴趣已经使对设备和/或网络保护的“全体适用”方式不足够。这种改变是网络尺寸、参数和配置的巨大的可变性的结果。当保护一致的端点(例如，全部基于Windows、全部基于安卓，等等)时，传统的集中式安全方式工作相当好，但是创建集中式规则来保护众多的不同的设备和/或网络具有大得多的挑战性。不同的操作环境可以包括对设备和/或网络的多种唯一的威胁，这些威胁中的一些威胁对于环境外部的集中式管理员或安全提供商可能不是显而易见的。考虑到这些挑战，生成满足整个网络的所有需要的有效安全策略变得非常困难。此外，尽管在网络环境中操作的设备可以具有关于可能的安全配置的输入，但是不存在集中式管理员有效地处理此信息的方式。

附图说明

随着以下具体实施方式进行并且在参考附图后，要求保护的主题的各实施例的特征和优点将变得明显，其中相似的参考号指示相似的部件，并且在附图中：

图1示出根据本公开的至少一个实施例的包括安全规则评估的示例保护系统；

图2示出根据本公开的至少一个实施例的用于设备的示例配置；以及

图3示出根据本公开的至少一个实施例的用于包括安全规则评估的保护系统的示例操作。

尽管以下具体实施方式将通过参考说明性实施例进行，但是其许多替代、修改和变型对本领域技术人员将是明显的。

具体实施方式