[发明专利]用于保护多个网络端点的双重存储器内省

权利要求书

1.一种客户端计算机系统，其包括经配置以执行管理程序、现场内省引擎及按需内省引擎的硬件处理器，其中：

所述管理程序经配置以暴露客户虚拟机及与所述客户虚拟机不同的安全虚拟机，其中所述按需内省引擎在所述安全虚拟机内执行，且其中所述现场内省引擎在所述客户虚拟机及安全虚拟机外部执行；

所述现场内省引擎经配置响应于检测到所述客户虚拟机内事件的发生通过通信网络将所述事件的指示符发射到远程服务器计算机系统；且

所述按需内省引擎经配置以：

响应于所述现场内省引擎将所述事件的所述指示符发射到所述远程服务器计算机系统，从所述远程服务器计算机系统接收分析请求，所述分析请求指示驻存于远程工具存储库中的安全工具，所述远程工具存储库经配置以将安全工具分布到包含所述客户端计算机系统的多个客户端，所述安全工具包括经配置以分析所述事件的所述发生的软件，所述安全工具由所述远程服务器计算机系统根据所述事件的事件类型选择，

响应于接收所述分析请求，根据所述分析请求识别所述安全工具，

响应于识别所述安全工具，从所述远程工具存储库选择性地检索所述安全工具，其中检索所述安全工具包括通过所述通信网络连接到所述远程工具存储库，

响应于选择性地检索所述安全工具，执行所述安全工具，及

响应于执行所述安全工具，将执行所述安全工具的结果发射到所述远程服务器计算机系统。

2.根据权利要求1所述的客户端计算机系统，其中所述远程服务器计算机系统进一步经配置以根据所述结果确定所述客户端计算机系统是否包括恶意软件。

3.根据权利要求1所述的客户端计算机系统，其中所述远程服务器计算机系统进一步经配置以根据所述结果检测所述客户端计算机系统的恶意入侵。

4.根据权利要求1所述的客户端计算机系统，其中所述按需内省引擎进一步经配置以：

响应于将所述结果发射到所述远程服务器计算机系统，从所述远程服务器计算机系统接收驻存于所述远程工具存储库中的消解工具的指示符，所述消解工具包括经配置以使在所述客户端计算机系统上执行的恶意软件无法使用的软件；及

响应于接收所述消解工具的所述指示符，检索并执行所述消解工具。

5.根据权利要求1所述的客户端计算机系统，其中所述现场内省引擎进一步经配置以：

响应于检测到所述事件的所述发生，根据所述事件的事件类型确定是否满足事件资格条件；及

作为响应，仅当满足所述事件资格条件时将所述事件的所述指示符发射到所述远程服务器计算机系统。

6.根据权利要求1所述的客户端计算机系统，其中从所述远程工具存储库检索所述安全工具包括将所述远程工具存储库安装到所述安全虚拟机的文件系统上。

7.根据权利要求1所述的客户端计算机系统，其中所述安全虚拟机进一步包括网络滤波器，且其中所述管理程序进一步经配置以经由所述网络滤波器在所述客户虚拟机与远程方之间路由网络业务。

8.根据权利要求7所述的客户端计算机系统，其中：

所述远程服务器计算机系统进一步经配置响应于确定所述客户端计算机系统是否包括恶意软件，当所述客户端计算机系统包括恶意软件时，将安全警示发送到所述客户端计算机系统；且

所述网络滤波器经配置响应于所述客户端计算机系统接收所述安全警示，限制所述客户虚拟机与所述远程方之间的网络业务。

9.根据权利要求1所述的客户端计算机系统，其中执行所述安全工具的所述结果包括由所述客户虚拟机使用的存储器区段的内容的副本。

10.根据权利要求1所述的客户端计算机系统，其中执行所述安全工具的所述结果包括在所述客户虚拟机内执行的软件实体列表。

11.根据权利要求1所述的客户端计算机系统，其中执行所述安全工具的所述结果包括所述客户端计算机系统的硬件配置的指示符。