[发明专利]增强网络安全的监视

权利要求书

1.一种用于检测与企业的潜在安全漏洞相关联的行为的系统，所述系统包括：

计算设备；

与所述计算设备通信的网络；

与所述网络通信的基线生成和监视系统；

与所述网络通信的相关性/警报生成器；以及

存储指令的存储器，当所述指令被执行时，促使所述基线生成和监视系统执行以下操作：

识别所述企业中表现出加剧所述潜在安全漏洞的风险的雇员，其中，所述计算设备与所述雇员相关联；

存储指示所述潜在安全漏洞的预定行为的列表；

确定所述计算设备行为的基线；

监视与所识别的雇员相关联的计算设备是否发生超出所述基线的行为；

监视所述计算设备的行为中是否发生与所述第一行为有关的第二行为；以及

如果所述第一行为和所述第二行为都发生，则使用所述相关性和警报生成器生成警报。

2.根据权利要求1所述的系统，其中，所述加剧安全风险是基于以下中的至少一项来确定的：

雇员的关键性、

组织外威胁情报、或

来自所述雇员作为成员的组织的输入。

3.根据权利要求1所述的系统，还包括：

存储计算设备活动的历史的事件日志。

4.根据权利要求3所述的系统，还包括在被执行时促使所述基线生成和监视系统执行以下操作的指令：

规范化存储在所述事件日志中的所述计算设备活动；以及

根据所述规范化的计算设备活动生成活动白名单。

5.根据权利要求4所述的系统，还包括促使所述基线生成和监视系统执行以下操作的指令：

分析包括资产清单信息的数据馈送以识别新资产；以及

将与部署所述新资产有关的活动添加到所述活动白名单中。

6.根据权利要求1所述的系统，其中，所述用户活动的基线是针对以下中的至少一项确定的：

电子邮件活动、

处理活动、

安装、

注册修改、

新代理连接、

新用户代理、

新用户连接、

新源授权、

新尝试的访问、或

新传出数据连接。

7.一种用于检测与企业的潜在安全漏洞相关联的行为的方法，所述方法包括：

识别所述企业中表现出加剧所述潜在安全漏洞的风险的雇员；

提供指示所述潜在安全漏洞的预定行为的列表；

确定所述行为的基线；

监视与所述雇员相关联的网络活动中是否发生任一超出所述基线的行为；以及

如果从所述网络活动中检测到至少一个所述行为，则生成警报。

8.根据权利要求7所述的方法，还包括：

将与所述雇员相关联的网络活动存储在事件日志中。

9.根据权利要求8所述的方法，还包括以下步骤：

规范化存储在所述事件日志中的、与指示所述潜在安全漏洞的行为有关的网络活动；以及

根据所述规范化的网络活动生成网络活动白名单。

10.根据权利要求9所述的方法，其中，监视与所述雇员相关联的网络活动中是否发生任一所述行为的步骤包括：

监视所述网络活动；以及

检测未包括在所述活动白名单中的、与指示所述潜在安全漏洞的行为有关的活动。

11.根据权利要求9所述的方法，其中，

分析包括资产清单信息的数据馈送，以识别新资产，并

将预测与部署所述新资产有关的网络活动添加到所述活动白名单中。

12.根据权利要求7所述的方法，其中，所述雇员是基于以下中的至少一项来识别的：

所述雇员的关键性、

组织外威胁情报、或

来自所述雇员作为成员的组织的输入。