用于自修復(fù)的代理存在的制作方法

本申請(qǐng)涉及計(jì)算機(jī)安全領(lǐng)域，并且更具體地涉及一種檢測(cè)用于自修復(fù)的代理存在的系統(tǒng)和方法。

背景技術(shù)：

企業(yè)中被感染的/發(fā)生故障的系統(tǒng)可能需要手動(dòng)輔助和故障排除以修正其問題。有時(shí)，如果系統(tǒng)感染了病毒或其他惡意應(yīng)用程序，它可能變成爆發(fā)的源或受害者。因此，可能需要手動(dòng)地補(bǔ)救所述系統(tǒng)，這可能是昂貴而耗時(shí)的。此外，在所述機(jī)器正在等待補(bǔ)救時(shí)，它可能感染其他機(jī)器。

附圖說(shuō)明

當(dāng)與附圖一起閱讀時(shí)，將從以下詳細(xì)描述中更好地理解本公開。強(qiáng)調(diào)的是，根據(jù)行業(yè)中的標(biāo)準(zhǔn)實(shí)踐，不同特征未按比例繪制，并且僅用于說(shuō)明性目的。實(shí)際上，為了討論的清晰起見，可以任意地放大或者減小各種特征的尺寸。

圖1是根據(jù)本說(shuō)明書的一個(gè)或多個(gè)示例的網(wǎng)絡(luò)的框圖。

圖2是根據(jù)本說(shuō)明書的一個(gè)或多個(gè)示例的客戶端設(shè)備的框圖。

圖3是根據(jù)本說(shuō)明書的一個(gè)或多個(gè)示例的服務(wù)器設(shè)備的框圖。

圖4是根據(jù)本說(shuō)明書的一個(gè)或多個(gè)示例的方法的流程圖。

具體實(shí)施方式

概述

在一個(gè)或多個(gè)示例中，公開了一種檢測(cè)用于自修復(fù)的代理存在的系統(tǒng)和方法。諸如amt等帶外監(jiān)視進(jìn)程或者在協(xié)處理器上執(zhí)行的固件中的任何進(jìn)程都可以監(jiān)視一個(gè)或多個(gè)進(jìn)程，以便確定某個(gè)進(jìn)程是否出故障或者以其他方式滿足安全準(zhǔn)則。可以將崩潰的進(jìn)程報(bào)告給企業(yè)安全控制器(esc)。esc可注意到受影響的機(jī)器的趨勢(shì)并指示所述機(jī)器采取適當(dāng)?shù)难a(bǔ)救動(dòng)作，比如從補(bǔ)救映像中進(jìn)行引導(dǎo)。

本公開的示例實(shí)施例

以下公開內(nèi)容提供了用于實(shí)施本公開的不同特征的許多不同實(shí)施例或示例。以下描述了部件和安排的具體示例以便簡(jiǎn)化本公開。當(dāng)然，這些僅是示例并且并不旨在是限制性的。另外，本公開在各種示例中可以重復(fù)參考標(biāo)號(hào)和/或字母。這種重復(fù)是出于簡(jiǎn)明性和清楚性的目的，并且本身并不決定所討論的各種實(shí)施例和/或配置之間的關(guān)系。

不同實(shí)施例可以具有不同優(yōu)點(diǎn)，并且不必需要任何實(shí)施例的特定優(yōu)點(diǎn)。

在一方面安全專家和終端用戶與另一方面惡意軟件作者之間不斷演化的軍備競(jìng)賽中，對(duì)于惡意行為者而言，有用的技術(shù)是在存儲(chǔ)器內(nèi)識(shí)別反病毒引擎、反惡意軟件引擎或其他系統(tǒng)管理代理，并且試圖禁用、卸載、損壞或以其他方式危害它。如果保護(hù)所述設(shè)備的軟件被禁用，則所述惡意軟件可以執(zhí)行而不受懲罰。在一些情況下，惡意軟件對(duì)象甚至可以啟動(dòng)監(jiān)視進(jìn)程，所述監(jiān)視進(jìn)程持續(xù)地監(jiān)視反病毒代理恢復(fù)，并且如果進(jìn)程恢復(fù)則再次終止所述進(jìn)程。它還可能盡力阻止反病毒更新，并且以其他方式干擾啟動(dòng)處理惡意軟件對(duì)象的補(bǔ)救進(jìn)程的任何嘗試。

當(dāng)用戶變得了解針對(duì)其機(jī)器的這種狡詐行為后，他僅有的實(shí)際資源可以通知企業(yè)安全人員，從而使得他們?nèi)缓罂梢允謩?dòng)地隔離所述機(jī)器并且進(jìn)行補(bǔ)救。這種進(jìn)程可能是昂貴而麻煩的。

然而，在本說(shuō)明書中認(rèn)識(shí)到，如果不是在個(gè)別情況中，至少是在若干機(jī)器的聚合中，干擾系統(tǒng)管理代理或其他關(guān)鍵進(jìn)程可以自身成為惡意軟件的存在的可靠指示符。因此，如果可以監(jiān)視所述系統(tǒng)，并且檢測(cè)禁用或以其他方式阻礙關(guān)鍵進(jìn)程的嘗試，則可以從服務(wù)器發(fā)起自動(dòng)補(bǔ)救。

然而，應(yīng)該注意的是，惡意軟件攻擊不是關(guān)鍵進(jìn)程可能遭遇錯(cuò)誤或問題的唯一原因。例如，關(guān)鍵應(yīng)用程序可能由于頁(yè)面錯(cuò)誤、存儲(chǔ)器錯(cuò)誤、硬件故障、普通缺陷或異常輸入(僅列出一些非限制性示例)而崩潰。因此，僅通過(guò)監(jiān)視關(guān)鍵進(jìn)程在單個(gè)機(jī)器上檢測(cè)惡意軟件可能是困難的。然而，如果esc監(jiān)視許多機(jī)器并且在短時(shí)間內(nèi)在若干機(jī)器上檢測(cè)相似故障，則這可以是某些東西出現(xiàn)差錯(cuò)的可靠標(biāo)識(shí)符。

根據(jù)本說(shuō)明書，安全管理員可以定義安全策略，包括定義應(yīng)該由帶外管理代理監(jiān)視的一個(gè)或多個(gè)關(guān)鍵應(yīng)用程序的列表。如果帶外管理代理檢測(cè)到與任何被監(jiān)視應(yīng)用程序相關(guān)的安全事件，則它可以將所述事件報(bào)告給esc。如果esc確定所述事件可能是由惡意軟件引起的，則它可以將指令提供給帶外管理代理，比如，指示它從網(wǎng)絡(luò)共享中檢索補(bǔ)救映像并且利用補(bǔ)救映像重新引導(dǎo)所述機(jī)器。補(bǔ)救映像可以包含最新的病毒定義，并且可以具有用于掃描硬盤并移除惡意軟件對(duì)象的實(shí)用程序。

在一個(gè)示例中，可以通過(guò)vpro^tm或相似的安全協(xié)處理器以及相關(guān)聯(lián)的固件來(lái)提供帶外監(jiān)視。貫穿本說(shuō)明書，帶外管理代理旨在包括vpro^tm協(xié)處理器或者能夠帶外監(jiān)視系統(tǒng)應(yīng)用程序的任何相似或等效的硬件、軟件和/或固件。在某些實(shí)施例中，帶外監(jiān)視可以發(fā)生在可信執(zhí)行環(huán)境(tee)內(nèi)。帶外管理引擎可以監(jiān)視已配置列表上的所有進(jìn)程，并且如果所述進(jìn)程中的任一進(jìn)程崩潰或以其他方式遭遇錯(cuò)誤，則立即報(bào)告給企業(yè)安全控制器。

盡管帶外管理引擎可能不能通過(guò)自身確定關(guān)鍵系統(tǒng)崩潰的原因，但企業(yè)安全控制器能夠聚合相關(guān)和有用信息以便確定例如惡意軟件爆發(fā)已經(jīng)發(fā)生。例如，如果大量主機(jī)突然并幾乎同時(shí)失去它們的反病毒代理，則企業(yè)安全控制器可以確定惡意軟件爆發(fā)可能在進(jìn)行中，并采取適當(dāng)?shù)难a(bǔ)救動(dòng)作。

可以通過(guò)檢測(cè)同一被監(jiān)視代理的幾乎同時(shí)崩潰的多個(gè)實(shí)例來(lái)簡(jiǎn)化企業(yè)安全控制器處的決策。例如，可以認(rèn)為單個(gè)機(jī)器上的反病毒代理由于某個(gè)錯(cuò)誤而偶爾崩潰是相對(duì)正常的。然而，兩個(gè)不同機(jī)器上的反病毒引擎的幾乎同時(shí)的崩潰應(yīng)當(dāng)罕見得多。三個(gè)或更多機(jī)器的幾乎同時(shí)的崩潰可以以高可信度來(lái)指示惡意軟件活動(dòng)正在進(jìn)行。

一旦以適當(dāng)級(jí)別的可信度確定一個(gè)或多個(gè)機(jī)器可能正在遭受惡意軟件爆發(fā)，則可以采取適當(dāng)?shù)难a(bǔ)救動(dòng)作。例如，所述機(jī)器可以被放置在系統(tǒng)防御模式中，其中，它們?cè)诰W(wǎng)絡(luò)上的活動(dòng)是極其有限的。它們還可以被短暫地放置在無(wú)法訪問企業(yè)計(jì)算資源的受保護(hù)子網(wǎng)絡(luò)中，從而可以迅速地防止所述爆發(fā)進(jìn)一步擴(kuò)散。一旦主機(jī)被放置在系統(tǒng)防御模式中，它可能被限制于只有少量活動(dòng)，比如，聯(lián)系補(bǔ)救服務(wù)器以下載補(bǔ)救映像。

在某些實(shí)施例中，vpro^tm提供(“開箱即用”)被稱為“代理存在”的特征，所述特征可以被配置成用于監(jiān)視特殊進(jìn)程，并且如果那個(gè)進(jìn)程出故障，則報(bào)告給企業(yè)安全控制器。

現(xiàn)在將具體地參照所附附圖來(lái)描述通過(guò)檢測(cè)代理存在而用于補(bǔ)救的系統(tǒng)和方法。

圖1是根據(jù)本說(shuō)明書的一個(gè)或多個(gè)示例的安全企業(yè)100的網(wǎng)絡(luò)層次圖。在圖1的示例中，多個(gè)用戶120操作多個(gè)客戶端設(shè)備110。具體地，用戶120-1操作臺(tái)式計(jì)算機(jī)110-1。用戶120-2操作膝上型計(jì)算機(jī)110-2。并且用戶120-3操作移動(dòng)設(shè)備110-3。

每臺(tái)計(jì)算設(shè)備可以包括適當(dāng)?shù)牟僮飨到y(tǒng)，比如微軟視窗操作系統(tǒng)、linux操作系統(tǒng)、安卓操作系統(tǒng)、macosx操作系統(tǒng)、蘋果ios操作系統(tǒng)、unix操作系統(tǒng)等。相比一種類型的設(shè)備，可能在另一種類型的設(shè)備上更經(jīng)常地使用前述項(xiàng)中的一些項(xiàng)。例如，臺(tái)式計(jì)算機(jī)110-1(其在一個(gè)實(shí)施例中可以是工程工作站)更有可能使用微軟視窗操作系統(tǒng)、linux操作系統(tǒng)、unix操作系統(tǒng)或macosx操作系統(tǒng)之一。膝上型計(jì)算機(jī)110-2(其通常為具有較少定制選項(xiàng)的便攜式現(xiàn)有設(shè)備)更有可能運(yùn)行微軟視窗操作系統(tǒng)或macosx操作系統(tǒng)。移動(dòng)設(shè)備110-3更有可能運(yùn)行安卓操作系統(tǒng)或ios操作系統(tǒng)。然而，這些示例并不旨在是限制性的。

客戶端設(shè)備110可以經(jīng)由企業(yè)網(wǎng)絡(luò)170而彼此通信地耦合以及耦合到其他網(wǎng)絡(luò)資源。企業(yè)網(wǎng)絡(luò)170可以是任何合適的網(wǎng)絡(luò)或在一個(gè)或多個(gè)網(wǎng)絡(luò)協(xié)議上操作的一個(gè)或多個(gè)網(wǎng)絡(luò)的組合，通過(guò)非限制性示例，包括例如，局域網(wǎng)、內(nèi)聯(lián)網(wǎng)、虛擬網(wǎng)、廣域網(wǎng)、無(wú)線網(wǎng)、蜂窩網(wǎng)或互聯(lián)網(wǎng)(經(jīng)由代理、虛擬機(jī)或其他相似安全機(jī)制可選擇地訪問)。企業(yè)網(wǎng)絡(luò)170還可以包括一個(gè)或多個(gè)服務(wù)器、防火墻、路由器、交換機(jī)、安全裝置、反病毒服務(wù)器或其他有用的網(wǎng)絡(luò)設(shè)備。在此展示中，為了簡(jiǎn)單企業(yè)網(wǎng)絡(luò)170被示為單一網(wǎng)絡(luò)，但在一些實(shí)施例中，企業(yè)網(wǎng)絡(luò)170可以包括大量網(wǎng)絡(luò)，比如，連接至互聯(lián)網(wǎng)的一個(gè)或多個(gè)企業(yè)內(nèi)聯(lián)網(wǎng)。企業(yè)網(wǎng)絡(luò)170還可以經(jīng)由外部網(wǎng)絡(luò)172提供對(duì)外部網(wǎng)絡(luò)(比如，互聯(lián)網(wǎng))的訪問。類似地，外部網(wǎng)絡(luò)172可以是任何合適類型的網(wǎng)絡(luò)。

配置為企業(yè)安全控制器(esc)140的一個(gè)或多個(gè)計(jì)算設(shè)備還可以在企業(yè)網(wǎng)絡(luò)170上操作。esc140可以為令人敬畏的安全管理員150提供用戶界面以定義企業(yè)安全策略，所述esc140可以實(shí)施企業(yè)網(wǎng)絡(luò)170并跨客戶端設(shè)備120。在一個(gè)非限制性示例中，esc140可以是或者可以包括e策略協(xié)調(diào)器(epo)安全裝置。

安全企業(yè)100可能在網(wǎng)絡(luò)上遭遇多種“安全對(duì)象”。安全對(duì)象可以是在企業(yè)網(wǎng)絡(luò)170上操作或與其交互的并且具有實(shí)際或潛在安全影響的任何對(duì)象。在一個(gè)示例中，對(duì)象可以被廣泛地分成硬件對(duì)象和軟件對(duì)象，所述硬件對(duì)象包括與網(wǎng)絡(luò)通信或經(jīng)由網(wǎng)絡(luò)操作的任何物理設(shè)備。軟件對(duì)象可以被進(jìn)一步再分為“可執(zhí)行對(duì)象”和“靜態(tài)對(duì)象”?？蓤?zhí)行對(duì)象包括可以主動(dòng)執(zhí)行代碼或自主操作的任何對(duì)象，通過(guò)非限制性示例，比如，應(yīng)用程序、驅(qū)動(dòng)程序、程序、可執(zhí)行文件、庫(kù)、進(jìn)程、運(yùn)行時(shí)、腳本、宏指令、二進(jìn)制文件、解釋器、解釋語(yǔ)言文件、帶有直接插入代碼的配置文件、嵌式代碼以及固件指令。靜態(tài)對(duì)象可以被廣泛地設(shè)計(jì)為不是可執(zhí)行對(duì)象或者不能執(zhí)行的任何對(duì)象，通過(guò)非限制性示例，比如，文檔、圖片、音樂文件、文本文件、不帶有直接插入代碼的配置文件、視頻以及圖。在一些情況下，還可以提供混合軟件對(duì)象，比如例如，帶有內(nèi)置式宏指令的字處理文檔或帶有直接插入代碼的動(dòng)畫。出于安全的目的，這些可以被認(rèn)為是單獨(dú)類別的軟件對(duì)象，或者可以簡(jiǎn)單地當(dāng)做可執(zhí)行對(duì)象。

通過(guò)非限制性示例，企業(yè)安全策略可以包括認(rèn)證策略、網(wǎng)絡(luò)使用策略、網(wǎng)絡(luò)資源配額、反病毒策略以及對(duì)客戶端設(shè)備110上的可執(zhí)行對(duì)象的限制。各種網(wǎng)絡(luò)服務(wù)器可以提供實(shí)質(zhì)性服務(wù)，比如，布線、聯(lián)網(wǎng)、企業(yè)數(shù)據(jù)服務(wù)以及企業(yè)應(yīng)用程序。

安全企業(yè)100可以利用外部網(wǎng)絡(luò)172跨企業(yè)邊界104進(jìn)行通信。企業(yè)邊界104可以表示物理、邏輯或其他邊界。外部網(wǎng)絡(luò)172可以包括，例如，網(wǎng)站、服務(wù)器、網(wǎng)絡(luò)協(xié)議以及其他基于網(wǎng)絡(luò)的服務(wù)。在一個(gè)示例中，應(yīng)用程序儲(chǔ)存庫(kù)160經(jīng)由外部網(wǎng)絡(luò)172是可用的，并且攻擊者180(或其他類似惡意的或疏忽的行為者)也連接至外部網(wǎng)絡(luò)172。

用戶120或安全企業(yè)100的目標(biāo)可能是在沒有來(lái)自攻擊者180或來(lái)自不想要的安全對(duì)象的干擾的情況下，成功地操作客戶端設(shè)備110。在一個(gè)示例中，攻擊者180是惡意軟件作者，其目標(biāo)或目的是制造惡意傷害或損害。惡意傷害或損害可以采取以下形式：在客戶端設(shè)備110上安裝rootkit或其他惡意軟件以便篡改系統(tǒng)、安裝間諜軟件或廣告軟件以便收集個(gè)人和商用數(shù)據(jù)、丑化網(wǎng)站、操作僵尸網(wǎng)絡(luò)(比如，垃圾郵件服務(wù)器)或者僅打攪和騷擾用戶120。因此，攻擊者180的一個(gè)目的可能是在一個(gè)或多個(gè)客戶端設(shè)備110上安裝其惡意軟件。如貫穿本說(shuō)明書所使用的，惡意軟件(“惡意軟件(malware)”)包括被配置成用于提供不想要的結(jié)果或不想做的工作的任何安全對(duì)象。在許多情況下，惡意軟件將會(huì)是可執(zhí)行對(duì)象，通過(guò)非限制性示例，包括被設(shè)計(jì)成用于采取潛在不想要的行動(dòng)的病毒、木馬、僵尸、rootkit、后門、蠕蟲、間諜軟件、廣告軟件、勒索軟件、撥號(hào)器、有效載荷、惡意瀏覽器輔助對(duì)象、追蹤cookie、登陸器或類似對(duì)象，通過(guò)非限制性示例包括數(shù)據(jù)銷毀、隱匿數(shù)據(jù)采集、瀏覽器劫持、網(wǎng)絡(luò)代理或重定向、隱匿追蹤、數(shù)據(jù)記錄、密鑰登陸、對(duì)移除的過(guò)度或蓄意阻礙、聯(lián)系收獲、以及未授權(quán)自傳播。

攻擊者180可能還想要針對(duì)安全企業(yè)100的產(chǎn)業(yè)或其他間諜行為，比如，竊取機(jī)密或?qū)Ｓ袛?shù)據(jù)、竊取身份或者獲得對(duì)企業(yè)資源的未授權(quán)訪問。因此，攻擊者180的策略還可以包括努力獲得對(duì)一個(gè)或多個(gè)客戶端設(shè)備110的物理訪問，并且在未授權(quán)的情況下對(duì)其進(jìn)行操作，從而使得有效安全策略還可以包括用于阻止這種訪問的規(guī)定。

在另一個(gè)示例中，軟件開發(fā)者可能不是明顯地具有惡意意圖，但可能開發(fā)造成安全風(fēng)險(xiǎn)的軟件。例如，眾所周知的并且經(jīng)常使用的安全缺陷是所謂的緩沖器溢出，其中，惡意用戶能夠?qū)⒊L(zhǎng)字符串輸入到輸入表中并且因此獲得執(zhí)行任意指令或者在計(jì)算設(shè)備200上使用升級(jí)特權(quán)操作的能力。緩沖器溢出可能是例如不良輸入驗(yàn)證或者使用不安全程序庫(kù)的結(jié)果，并且在許多情況下，出現(xiàn)在非顯而易見的上下文中。因此，盡管他本身不是惡意的，但將軟件貢獻(xiàn)到應(yīng)用程序儲(chǔ)存庫(kù)160的開發(fā)者可以無(wú)意地為攻擊者180提供攻擊向量。編寫差的應(yīng)用程序也可以引起固有問題，比如崩潰、數(shù)據(jù)丟失或者其他非期望的行為。因?yàn)檫@種軟件本身可能是期望的，所以開發(fā)者在漏洞變得已知時(shí)偶爾提供修復(fù)漏洞的更新或補(bǔ)丁是有益的。然而，從安全的角度來(lái)看，這些更新或補(bǔ)丁實(shí)質(zhì)上是新的。

應(yīng)用程序儲(chǔ)存庫(kù)160可以表示向用戶120提供交互地或自動(dòng)地下載應(yīng)用程序并將其安裝在客戶端設(shè)備110上的能力的視窗操作系統(tǒng)或蘋果操作系統(tǒng)的“app商店”、類unix操作系統(tǒng)程序庫(kù)或端口收集、或者其他網(wǎng)絡(luò)業(yè)務(wù)。如果應(yīng)用程序儲(chǔ)存庫(kù)160具有適當(dāng)?shù)厥构粽?80難以分散明顯惡意的軟件的安全措施，那么攻擊者180反而可以暗中將漏洞插入到顯然有益的應(yīng)用程序中。

在一些情況下，安全企業(yè)100可以提供對(duì)來(lái)自應(yīng)用程序儲(chǔ)存庫(kù)160的可以安裝的應(yīng)用程序的類型進(jìn)行限制的策略指示。因而，應(yīng)用程序儲(chǔ)存庫(kù)160可以包括并非無(wú)意被發(fā)開且并非惡意軟件，但雖然如此仍違反策略的軟件。例如，一些企業(yè)限制對(duì)娛樂軟件(如媒體播放器和游戲)的安裝。因此，甚至安全的媒體播放器或游戲也可能不適于企業(yè)計(jì)算機(jī)。安全管理員150可以負(fù)責(zé)分配與這種限制一致的計(jì)算策略并且將其在客戶端設(shè)備120上實(shí)施。

安全企業(yè)100還可以與安全服務(wù)提供商190簽訂合同或者訂閱安全服務(wù)提供商，所述安全服務(wù)提供商可以提供安全服務(wù)、更新、反病毒定義、補(bǔ)丁、產(chǎn)品和服務(wù)。公司是這種提供全面安全和反病毒解決方案的安全服務(wù)提供商的非限制性示例。在一些情況下，安全服務(wù)提供商190可以包括威脅情報(bào)能力，比如，由mcafee公司提供的全球威脅情報(bào)(gti^tm)數(shù)據(jù)庫(kù)。安全服務(wù)提供商190可以通過(guò)當(dāng)新的候選惡意對(duì)象出現(xiàn)在客戶端網(wǎng)絡(luò)上時(shí)對(duì)其進(jìn)行分析并且將它們表征為惡意的或良性的來(lái)更新其威脅情報(bào)數(shù)據(jù)庫(kù)。

在另一個(gè)示例中，安全企業(yè)100可以簡(jiǎn)單地為家庭，假設(shè)父母是安全管理員150的角色。父母可以希望保護(hù)他們的孩子不受非期望內(nèi)容(通過(guò)非限制性示例，比如，色情作品、廣告軟件、間諜軟件、不符合年齡的內(nèi)容、對(duì)某些政治、宗教或社會(huì)運(yùn)動(dòng)的倡導(dǎo)、用于討論非法或者危險(xiǎn)活動(dòng)的論壇)的影響。在這種情況下，父母可以執(zhí)行安全管理員150的一些或全部職責(zé)。

共同地，任何屬于或可以指定為屬于不期望對(duì)象的任何前述類別的對(duì)象可以被分類為惡意對(duì)象。當(dāng)在安全企業(yè)100內(nèi)遇到未知對(duì)象時(shí)，可以初始地將其分類為“候選惡意對(duì)象”。這一指定可以保證所述未知對(duì)象不被授予全部網(wǎng)絡(luò)特權(quán)，直到所述對(duì)象被進(jìn)一步分析。因此，用戶120和安全管理員150的目標(biāo)是配置并操作客戶端設(shè)備110和企業(yè)網(wǎng)絡(luò)170，從而排除所有惡意對(duì)象，并且及時(shí)并準(zhǔn)確地對(duì)候選惡意對(duì)象進(jìn)行分類。

當(dāng)企業(yè)安全服務(wù)器140檢測(cè)一個(gè)或多個(gè)客戶端設(shè)備110的潛在危害時(shí)，它可以采取適當(dāng)?shù)膭?dòng)作，比如補(bǔ)救。在一個(gè)示例中，補(bǔ)救包括指示帶外管理引擎從補(bǔ)救映像148引導(dǎo)客戶端設(shè)備110。補(bǔ)救映像148可以被儲(chǔ)存在nfs或unc服務(wù)器142上以提供網(wǎng)絡(luò)引導(dǎo)能力。補(bǔ)救映像148可以包括用于掃描和清潔系統(tǒng)的最新的病毒定義。在一些情況下，安全服務(wù)提供商190可以提供定期更新，并且企業(yè)安全控制器140可以保持補(bǔ)救映像148是最新的。在其他情況下，安全服務(wù)提供商190可以保持補(bǔ)救映像148是最新的，并且可以經(jīng)由外部網(wǎng)絡(luò)172按需傳遞最新補(bǔ)救映像的副本。在又另一個(gè)示例中，企業(yè)安全控制器140可以定期地將輕量型和最新的補(bǔ)救引擎?zhèn)鬟f到客戶端設(shè)備110的帶外管理引擎，并且基于來(lái)自企業(yè)安全控制器140的命令，客戶端設(shè)備110可以引導(dǎo)補(bǔ)救映像的本地副本。

在一個(gè)示例中，每個(gè)客戶端設(shè)備110包括帶外管理引擎，所述帶外管理引擎可以在固件中或在受保護(hù)的硬件空間中運(yùn)行，從而使它不能被puc損害。例如，如果一個(gè)或多個(gè)進(jìn)程突然崩潰，帶外管理引擎可以監(jiān)視一個(gè)或多個(gè)特定的進(jìn)程并進(jìn)行報(bào)告。由于單個(gè)進(jìn)程崩潰可能不足以使客戶端設(shè)備110認(rèn)為事件是可疑的，至少在某些實(shí)施例中，企業(yè)安全服務(wù)器140可以注意到對(duì)于大量客戶端設(shè)備110相同的進(jìn)程已經(jīng)在短時(shí)間段內(nèi)崩潰。這可以是可疑活動(dòng)的指示。然后，企業(yè)安全服務(wù)器140可以采取適當(dāng)?shù)膭?dòng)作，比如，隔離單獨(dú)的客戶端設(shè)備110，子網(wǎng)包含這些設(shè)備或整個(gè)網(wǎng)絡(luò)。在一個(gè)示例中，企業(yè)安全服務(wù)器140保持開放單個(gè)端口，從而使得它可以執(zhí)行補(bǔ)救動(dòng)作。

圖2是根據(jù)本說(shuō)明書的一個(gè)或多個(gè)示例的計(jì)算設(shè)備200的框圖。計(jì)算設(shè)備200可以是任何適當(dāng)?shù)挠?jì)算設(shè)備。在各種實(shí)施例中，通過(guò)非限制性示例，“計(jì)算設(shè)備”可以是或可以包括：計(jì)算機(jī)、工作站、服務(wù)器、主機(jī)、嵌入式計(jì)算機(jī)、嵌入式控制器、嵌入式傳感器、個(gè)人數(shù)字助理(pda)、膝上型計(jì)算機(jī)、蜂窩電話、ip電話、智能電話、平板計(jì)算機(jī)、可轉(zhuǎn)換平板計(jì)算機(jī)、計(jì)算裝置、網(wǎng)絡(luò)裝置、接收器、可穿戴計(jì)算機(jī)、手持式計(jì)算器或者用于處理和傳遞數(shù)據(jù)的任何其他電子、微電子或者微機(jī)電設(shè)備。

在某些實(shí)施例中，客戶端設(shè)備110可以均為計(jì)算設(shè)備200的示例。

計(jì)算設(shè)備200包括連接至存儲(chǔ)器220的處理器210，所述存儲(chǔ)器具有存儲(chǔ)在其中的用于提供操作系統(tǒng)222和管理代理224的至少軟件部分的可執(zhí)行指令。計(jì)算設(shè)備200的其他部件包括存儲(chǔ)設(shè)備250、網(wǎng)絡(luò)接口260以及外圍接口240。僅通過(guò)示例提供此架構(gòu)，并且旨在是非排他性的和非限制性的。此外，所公開的各個(gè)部分僅旨在成為邏輯劃分，并且不一定需要表示物理上分離的硬件和/或軟件部件。某些計(jì)算設(shè)備例如在單個(gè)物理存儲(chǔ)器設(shè)備中提供主存儲(chǔ)器220和存儲(chǔ)設(shè)備250，并且在其他情況下，存儲(chǔ)器220和/或存儲(chǔ)設(shè)備250在功能上被分布在許多物理設(shè)備上。在虛擬機(jī)或管理程序的情況下，可以采用在虛擬化層上運(yùn)行的軟件或固件的形式來(lái)提供全部或部分功能以便提供所公開的邏輯功能。在其他示例中，諸如網(wǎng)絡(luò)接口260的設(shè)備可以僅提供執(zhí)行其邏輯操作所必須的最小量硬件接口，并且可以依靠軟件驅(qū)動(dòng)程序來(lái)提供附加的必要邏輯。因此，本文所公開的每個(gè)邏輯塊旨在廣泛地包括被配置成并且可操作用于提供那個(gè)塊的所公開的邏輯操作的一個(gè)或多個(gè)邏輯元件。如貫穿本說(shuō)明書所使用的“邏輯元件”可以包括硬件、外部硬件(數(shù)字、模擬或混合信號(hào))、軟件、往復(fù)式軟件、服務(wù)、驅(qū)動(dòng)程序、接口、部件、模塊、算法、傳感器、部件、固件、微代碼、可編程邏輯或者可以協(xié)調(diào)以獲得邏輯操作的對(duì)象。

在示例中，盡管其他存儲(chǔ)器架構(gòu)(包括其中存儲(chǔ)器220經(jīng)由系統(tǒng)總線270-1或某條其他總線與處理器210通信的架構(gòu))是可能的，處理器210經(jīng)由存儲(chǔ)器總線270-3被通信地耦合至存儲(chǔ)器220，通過(guò)示例所述存儲(chǔ)器總線可以是例如直接存儲(chǔ)器訪問(dma)總線。處理器210可以經(jīng)由系統(tǒng)總線270-1被通信地耦合至其他設(shè)備。如貫穿本說(shuō)明書所使用的“總線”包括任何有線或者無(wú)線互連線、網(wǎng)絡(luò)、連接、線束、單條總線、多條總線、交叉式網(wǎng)絡(luò)、單級(jí)網(wǎng)絡(luò)、多級(jí)網(wǎng)絡(luò)或可操作用于在計(jì)算設(shè)備的部分之間或在計(jì)算設(shè)備之間承載數(shù)據(jù)、信號(hào)或電力的其他傳導(dǎo)介質(zhì)。應(yīng)當(dāng)注意的是，僅通過(guò)非限制性示例來(lái)公開這些用途，并且一些實(shí)施例可以省略前述總線中的一條或多條總線，而其他實(shí)施例可以采用附加或不同總線。

在各個(gè)示例中，“處理器”可以包括邏輯元件的任何組合，通過(guò)非限制性示例，包括微處理器、數(shù)字信號(hào)處理器、現(xiàn)場(chǎng)可編程門陣列、圖形處理單元、可編程邏輯陣列、專用集成電路或虛擬機(jī)處理器。在某些架構(gòu)中，可以提供多核處理器，在這種情況下，處理器210可以僅被當(dāng)做多核處理器中的一個(gè)核，或者可以視情況而被當(dāng)做整個(gè)多核處理器。在一些實(shí)施例中，還可以為專用或支持功能提供一個(gè)或多個(gè)協(xié)處理器。

處理器210可以經(jīng)由dma總線270-3連接至dma配置中的存儲(chǔ)器220。為了簡(jiǎn)化本公開，存儲(chǔ)器220被公開為單個(gè)邏輯塊，但是在物理實(shí)施例中可以包括任何合適的易失性或非易失性存儲(chǔ)器技術(shù)(或多項(xiàng)技術(shù))的一個(gè)或多個(gè)塊，包括例如ddrram、sram、dram、緩存、l1或l2存儲(chǔ)器、片上存儲(chǔ)器、寄存器、閃存、rom、光介質(zhì)、虛擬存儲(chǔ)器區(qū)域、磁或磁帶存儲(chǔ)器或類似的存儲(chǔ)設(shè)備。在某些實(shí)施例中，存儲(chǔ)器220可以包括相對(duì)低延遲易失性主存儲(chǔ)器，而存儲(chǔ)設(shè)備250可以包括相對(duì)較高延遲非易失性存儲(chǔ)器。然而，存儲(chǔ)器220和存儲(chǔ)設(shè)備250不需要是物理上獨(dú)立的設(shè)備，并且在一些示例中，可能僅表示功能的邏輯分離。還應(yīng)當(dāng)注意的是，盡管通過(guò)非限制性示例公開了dma，但是dma并不是與本說(shuō)明書一致的唯一協(xié)議，并且其他存儲(chǔ)器架構(gòu)是可用的。

存儲(chǔ)設(shè)備250可以是任何種類的存儲(chǔ)器220，或者可以是分離的設(shè)備。存儲(chǔ)設(shè)備250可以包括一個(gè)或多個(gè)非瞬態(tài)計(jì)算機(jī)可讀介質(zhì)，通過(guò)非限制性示例包括硬盤驅(qū)動(dòng)器、固態(tài)驅(qū)動(dòng)器、外部存儲(chǔ)設(shè)備、獨(dú)立磁盤冗余陣列(raid)、網(wǎng)絡(luò)附接存儲(chǔ)設(shè)備、光學(xué)存儲(chǔ)設(shè)備、磁帶驅(qū)動(dòng)器、備份系統(tǒng)、云存儲(chǔ)設(shè)備、或前述各項(xiàng)的任何組合。存儲(chǔ)設(shè)備250可以是或其中可以包括一個(gè)或多個(gè)數(shù)據(jù)庫(kù)或存儲(chǔ)在其他配置中的數(shù)據(jù)，并且可以包括操作軟件的存儲(chǔ)副本，比如操作系統(tǒng)222以及管理代理224的軟件部分。許多其他配置也是有可能的，并且旨在被包括在本說(shuō)明書的廣泛范圍內(nèi)。

可以提供網(wǎng)絡(luò)接口260來(lái)將計(jì)算設(shè)備200與有線或無(wú)線網(wǎng)絡(luò)通信地耦合。如貫穿本說(shuō)明書所使用的“網(wǎng)絡(luò)”可以包括可操作用于在計(jì)算設(shè)備內(nèi)或在計(jì)算設(shè)備之間交換數(shù)據(jù)或信息的任何通信平臺(tái)，通過(guò)非限制性示例包括自組織本地網(wǎng)、提供具有電交互能力的通信設(shè)備的互聯(lián)網(wǎng)架構(gòu)、簡(jiǎn)易老式電話系統(tǒng)(pots)(計(jì)算設(shè)備可以使用所述簡(jiǎn)易老式電話系統(tǒng)來(lái)執(zhí)行交易，在所述交易中它們可以由人類操作員來(lái)幫助或在所述交易中它們可以手動(dòng)地將數(shù)據(jù)鍵入到電話或其他合適的電子設(shè)備中)、提供通信接口或在系統(tǒng)中的任何兩個(gè)節(jié)點(diǎn)之間進(jìn)行交換的任何分組數(shù)據(jù)網(wǎng)絡(luò)(pdn)、或任何局域網(wǎng)(lan)、城域網(wǎng)(man)、廣域網(wǎng)(wan)、無(wú)線局域網(wǎng)(wlan)、虛擬專用網(wǎng)(vpn)、內(nèi)聯(lián)網(wǎng)、或促進(jìn)網(wǎng)絡(luò)或電話環(huán)境中的通信的任何其他適當(dāng)?shù)募軜?gòu)或系統(tǒng)。

在一個(gè)示例中，管理代理224可操作用于執(zhí)行如此發(fā)明書中所描述的計(jì)算機(jī)實(shí)現(xiàn)方法。管理代理224可以包括一種或多種非瞬態(tài)計(jì)算機(jī)可讀介質(zhì)，具有存儲(chǔ)在其上的可操作用于指示處理器提供安全引擎的可執(zhí)行指令。如貫穿本說(shuō)明書所使用的“引擎”包括相似或相異種類的一個(gè)或多個(gè)邏輯元件的任何組合，所述邏輯元件可操作用于并且被配置成用于執(zhí)行由管理代理224所提供的一種或多種方法。因此，管理代理224可以包括被配置成用于提供如在此說(shuō)明書中所描述的方法的一個(gè)或多個(gè)邏輯元件。在一些情況下，管理代理224可以包括被設(shè)計(jì)成用于執(zhí)行方法或方法的一部分的專用集成電路，并且還可以包括可操作用于指示處理器執(zhí)行所述方法的軟件指令。在一些情況下，管理代理224可以作為“守護(hù)進(jìn)程”而運(yùn)行?！笆刈o(hù)進(jìn)程”可以包括任何程序或一系列可執(zhí)行指令，無(wú)論在硬件、軟件、固件或其任何組合中實(shí)施與否，那些可執(zhí)行指令都作為后臺(tái)進(jìn)程、終止并駐留程序、服務(wù)、系統(tǒng)擴(kuò)展、控制面板、引導(dǎo)程序、bios子程序、或沒有直接用戶交互操作的任何類似程序的運(yùn)行。在某些實(shí)施例中，可以利用升級(jí)特權(quán)在“驅(qū)動(dòng)器空間”中或在保護(hù)環(huán)架構(gòu)中的環(huán)0、1或2中運(yùn)行守護(hù)進(jìn)程。還應(yīng)該注意的是，管理代理224還可以包括其他硬件和軟件，通過(guò)非限制性示例包括配置文件、注冊(cè)表項(xiàng)以及交互式或用戶模式軟件。

在一個(gè)示例中，管理代理224包括存儲(chǔ)在可操作用于執(zhí)行根據(jù)本說(shuō)明書的方法的非瞬態(tài)介質(zhì)上的可執(zhí)行指令。在適當(dāng)時(shí)間(比如，在引導(dǎo)計(jì)算設(shè)備200時(shí)或在收到來(lái)自操作系統(tǒng)222或用戶120的命令時(shí))，處理器210可以從存儲(chǔ)設(shè)備250中檢索管理代理224(或其軟件部分)的副本并將其加載到存儲(chǔ)器220中。然后，處理器210可以迭代地執(zhí)行管理代理224的指令以提供所期望的方法。

在一些情況下，帶有使管理代理224崩潰或以其他方式禁止管理代理的特定意圖的惡意軟件對(duì)象可以有意地并特別地將管理代理224作為目標(biāo)。因此，管理代理224的崩潰可以指示可能的感染。

可以在固件、協(xié)處理器、可信執(zhí)行環(huán)境(tee)或安全存儲(chǔ)器區(qū)域中提供帶外管理引擎212以針對(duì)惡意軟件對(duì)象的干擾而將其硬化。帶外管理引擎212可以被配置成用于監(jiān)視計(jì)算設(shè)備200并且將事件的某些類別報(bào)告給企業(yè)安全服務(wù)器140。在一個(gè)非限制性示例中，帶外管理引擎212可以是或可以包括vpro協(xié)處理器以及配設(shè)有主動(dòng)管理技術(shù)(amt)(包括“代理存在”特征)的固件。vpro代理存在特征是vpro可以監(jiān)視的常駐程序的可配置列表，并且如果發(fā)生進(jìn)程崩潰或停止工作中的任何一種，將通知esc140。

外圍設(shè)備接口240可以被配置成用于與連接至計(jì)算設(shè)備200的但不一定是計(jì)算設(shè)備200的核架構(gòu)的一部分的任何輔助設(shè)備接口連接。外圍設(shè)備可以可操作用于向計(jì)算設(shè)備200提供擴(kuò)展的功能，并且可以或可以不完全依賴于計(jì)算設(shè)備200。在一些情況下，外圍設(shè)備可以是計(jì)算設(shè)備本身。通過(guò)非限制性示例，外圍設(shè)備可以包括輸入和輸出設(shè)備，比如，顯示器、終端、打印機(jī)、鍵盤、鼠標(biāo)、調(diào)制解調(diào)器、網(wǎng)絡(luò)控制器、傳感器、換能器、致動(dòng)器、控制器、數(shù)據(jù)采集總線、照相機(jī)、麥克風(fēng)、揚(yáng)聲器或者外部存儲(chǔ)設(shè)備。

圖3是根據(jù)本說(shuō)明書的一個(gè)或多個(gè)示例的服務(wù)器140的框圖。服務(wù)器140可以是任何合適的計(jì)算設(shè)備，如結(jié)合圖2所描述的。通常，圖2的定義和示例可以被視為同等地適用于圖3，除非另外特別聲明。本文中單獨(dú)描述了服務(wù)器140以展示在某些實(shí)施例中，可以沿客戶端服務(wù)器模型將根據(jù)本說(shuō)明書的邏輯操作分開，其中，計(jì)算設(shè)備200提供某些局部化任務(wù)，而服務(wù)器140提供某些其他集中式任務(wù)。

服務(wù)器140包括連接至存儲(chǔ)器320的處理器310，所述存儲(chǔ)器具有存儲(chǔ)在其中的用于提供操作系統(tǒng)322和安全服務(wù)器引擎324的至少軟件部分的可執(zhí)行指令。服務(wù)器140的其他部件包括存儲(chǔ)設(shè)備350、網(wǎng)絡(luò)接口360以及外圍設(shè)備接口340。如圖2中所描述的，可以由一個(gè)或多個(gè)相似或相異的邏輯元件提供每個(gè)邏輯塊。

在示例中，處理器310經(jīng)由存儲(chǔ)器總線370-3被通信地耦合至存儲(chǔ)器320，所述存儲(chǔ)器總線可以是例如直接存儲(chǔ)器訪問(dma)總線。處理器310可以經(jīng)由系統(tǒng)總線370-1被通信地耦合至其他設(shè)備。

處理器310可以經(jīng)由dma總線370-3或者經(jīng)由任何其他合適的存儲(chǔ)器配置連接至dma配置中的存儲(chǔ)器320。如圖2中所討論的，存儲(chǔ)器320可以包括任何合適類型的一個(gè)或多個(gè)邏輯元件。

存儲(chǔ)設(shè)備350可以是任何種類的存儲(chǔ)器220，或者可以是分離的設(shè)備，如結(jié)合圖2的存儲(chǔ)設(shè)備250所描述的。存儲(chǔ)設(shè)備350可以是或其中可以包括一個(gè)或多個(gè)數(shù)據(jù)庫(kù)或存儲(chǔ)在其他配置中的數(shù)據(jù)，并且可以包括操作軟件的存儲(chǔ)副本，比如操作系統(tǒng)322以及安全服務(wù)器引擎324的軟件部分。

可以提供網(wǎng)絡(luò)接口360以將服務(wù)器140通信地耦合到有線或無(wú)線網(wǎng)絡(luò)。并且可以包括如圖2中所描述的一個(gè)或多個(gè)邏輯元件。

安全服務(wù)器引擎324是如圖2中所描述的引擎，并且在一個(gè)示例中包括可操作用于執(zhí)行如本說(shuō)明書中所描述的計(jì)算機(jī)實(shí)現(xiàn)方法的一個(gè)或多個(gè)邏輯元件。安全服務(wù)器引擎324的軟件部分可以作為守護(hù)進(jìn)程而運(yùn)行。

安全服務(wù)器引擎324可以包括一種或多種非瞬態(tài)計(jì)算機(jī)可讀介質(zhì)，具有存儲(chǔ)在其上的可操作用于指示處理器提供安全引擎的可執(zhí)行指令。在適當(dāng)時(shí)間上(如根據(jù)引導(dǎo)服務(wù)器140或根據(jù)來(lái)自操作系統(tǒng)222或用戶120或安全管理員150的命令)，處理器310可以從存儲(chǔ)設(shè)備350中檢索安全服務(wù)器引擎324(或其軟件部分)的副本并將其加載到存儲(chǔ)器320中。然后，處理器310可以迭代的執(zhí)行安全服務(wù)器引擎324的指令以提供所期望的方法。

外圍接口340可以被配置成用于與連接至服務(wù)器140但不一定是服務(wù)器140的核架構(gòu)的一部分的任何輔助設(shè)備接口連接。外圍設(shè)備可以可操作用于向服務(wù)器140提供擴(kuò)展功能，并且可以或可以不完全依賴于服務(wù)器140。通過(guò)非限制性示例，外圍設(shè)備可以包括圖2中所公開的外圍設(shè)備中的任何外圍設(shè)備。

在一個(gè)示例中，安全服務(wù)器引擎324包括存儲(chǔ)在可操作用于執(zhí)行根據(jù)本說(shuō)明書的方法的非瞬態(tài)介質(zhì)上的可執(zhí)行指令。在適當(dāng)時(shí)間上(如根據(jù)引導(dǎo)服務(wù)器140或根據(jù)來(lái)自操作系統(tǒng)322或用戶120的命令)，處理器310可以從存儲(chǔ)設(shè)備350中檢索安全服務(wù)器引擎324(或其軟件部分)的副本并將其加載到存儲(chǔ)器320中。然后，處理器310可以迭代的執(zhí)行安全服務(wù)器引擎324的指令。

機(jī)器學(xué)習(xí)引擎326還可以被配置成用于提供機(jī)器學(xué)習(xí)算法，從而使得服務(wù)器140可以適應(yīng)于不斷變化的安全場(chǎng)景。具體地，機(jī)器學(xué)習(xí)引擎326可以接收來(lái)自所謂的安全事件的反饋，以判定它們是否是合法的安全事件。例如，如果安全事件使大量機(jī)器經(jīng)受補(bǔ)救，并且未發(fā)現(xiàn)它們中存在惡意軟件，則可以分析所述事件以確定是否存在一些其他的激發(fā)原因。然后，機(jī)器學(xué)習(xí)引擎326可以存儲(chǔ)這種情況以便進(jìn)一步參考，從而使得可以避免假肯定。相反，如果發(fā)生似乎是良性的安全事件，但隨后證明是病毒爆發(fā)的癥狀，則機(jī)器學(xué)習(xí)引擎326可以利用相關(guān)信息進(jìn)行更新以更好地捕捉進(jìn)一步的爆發(fā)。

外圍設(shè)備接口340可以被配置成用于與連接至服務(wù)器140但不一定是服務(wù)器140的核架構(gòu)的一部分的任何輔助設(shè)備接口連接。外圍設(shè)備可以可操作用于向服務(wù)器140提供擴(kuò)展功能，并且可以或可以不完全依賴于服務(wù)器140。在一些情況下，外圍設(shè)備可以是計(jì)算設(shè)備本身。通過(guò)非限制性示例，外圍設(shè)備可以包括結(jié)合圖2的外圍設(shè)備接口240所討論的設(shè)備中的任何設(shè)備。

示例方法400包括以下操作，如圖4中所展示的。

在框410中，可以提供接口以登記用于進(jìn)行監(jiān)視的適當(dāng)?shù)倪M(jìn)程。例如，vpro^tm“代理存在”特征可以用于登記用于監(jiān)視的一個(gè)或多個(gè)應(yīng)用程序。

在某些實(shí)施例中，這些數(shù)據(jù)可以通知安全事件，并且向機(jī)器學(xué)習(xí)引擎326提供反饋。這可以幫助減少假肯定?？梢岳眠b測(cè)術(shù)、產(chǎn)品事件以及產(chǎn)品使用模式以規(guī)則的間隔在組織內(nèi)進(jìn)行數(shù)據(jù)收集。自學(xué)習(xí)引擎326還可以為每個(gè)被監(jiān)視系統(tǒng)建立應(yīng)用程序模式，并且在無(wú)監(jiān)督自學(xué)習(xí)模式中周期性地對(duì)應(yīng)用程序行為進(jìn)行比較。

在框420中，帶外管理引擎可以監(jiān)視在框410中登記的關(guān)鍵進(jìn)程。這可以進(jìn)一步包括收集有關(guān)每個(gè)進(jìn)程資源消耗的數(shù)據(jù)、專用于特定任務(wù)的數(shù)據(jù)、任務(wù)調(diào)度、用戶使用模式監(jiān)視，并且監(jiān)視其他進(jìn)程的與帶外管理代理212的交互。帶外管理代理212可以收集專用于任務(wù)的數(shù)據(jù)、任務(wù)調(diào)度、用戶使用模式或者其他進(jìn)程的與監(jiān)視的交互。這些數(shù)據(jù)可以是針對(duì)自學(xué)習(xí)引擎326的輸入。

在框430中，當(dāng)任何被監(jiān)視進(jìn)程出現(xiàn)故障或者被用戶或惡意應(yīng)用(可選地如由esc140確定)強(qiáng)制關(guān)閉時(shí)，可以采取補(bǔ)救動(dòng)作。在某些實(shí)施例中：

a.服務(wù)器端邏輯建立應(yīng)用程序使用模式并確定它們是否表示正常的消耗。

b.esc140可以取環(huán)境的增量并設(shè)法判定安全事件的原因是否與環(huán)境中的任何特定變化(比如，新產(chǎn)品安裝、更新等)有關(guān)。

c.如果消耗是合法的，則基于先前的啟發(fā)法允許所述進(jìn)程運(yùn)行特定持續(xù)時(shí)間。esc140還可以為終端用戶120生成系統(tǒng)通知，被監(jiān)視進(jìn)程忙于特定任務(wù)，并且應(yīng)該在特定時(shí)間幀內(nèi)釋放資源。

d.如果被監(jiān)視進(jìn)程消耗定義閾值以上的資源，則執(zhí)行預(yù)定補(bǔ)救動(dòng)作。

e.如果被監(jiān)視進(jìn)程仍不穩(wěn)定，則應(yīng)用補(bǔ)救動(dòng)作，包括例如重新啟動(dòng)進(jìn)程或者在客戶端上應(yīng)用系統(tǒng)防御策略。

在框450中，如果帶外管理代理212不能恢復(fù)所述事件(比如，通過(guò)重新啟動(dòng)進(jìn)程)，則系統(tǒng)防御狀態(tài)可以觸發(fā)以保障系統(tǒng)免受爆發(fā)。這可以包括在框460中使得所述系統(tǒng)可遠(yuǎn)程管理并且隔離受影響的系統(tǒng)以及限制與例如nfs/unc服務(wù)器142進(jìn)行通信，從而使得它可以檢索并引導(dǎo)補(bǔ)救映像148。

如果所述系統(tǒng)是虛擬機(jī)，則將會(huì)發(fā)生硬件監(jiān)視但是代理進(jìn)程監(jiān)視服務(wù)可以仍然監(jiān)視并回報(bào)數(shù)據(jù)。

在框480中，在接收對(duì)安全事件的適當(dāng)反饋后，自學(xué)習(xí)引擎326可以進(jìn)入無(wú)監(jiān)督自學(xué)習(xí)模式。

在一個(gè)或多個(gè)實(shí)施例中，通過(guò)非限制性示例，觸發(fā)補(bǔ)救進(jìn)程的標(biāo)準(zhǔn)可以包括：

a.與預(yù)定消耗或先前使用模式相比，對(duì)高系統(tǒng)資源的使用。

b.對(duì)進(jìn)程標(biāo)識(shí)符的改變以便持續(xù)運(yùn)行進(jìn)程。

c.在不將進(jìn)程監(jiān)視從服務(wù)器移除的情況下，對(duì)應(yīng)用程序的移除/卸載。

d.來(lái)自被監(jiān)視進(jìn)程的中斷和錯(cuò)誤。

e.從被監(jiān)視進(jìn)程泄露的任何系統(tǒng)資源。

f.監(jiān)視進(jìn)程停止或者未將心跳發(fā)送到代理存在監(jiān)視器。

在一個(gè)或多個(gè)實(shí)施例中，通過(guò)非限制性示例，補(bǔ)救動(dòng)作可以包括以下各項(xiàng)：

a.重新安裝所述應(yīng)用程序(如果被移除或損壞)。

b.重新啟動(dòng)所述進(jìn)程。

c.運(yùn)行來(lái)自服務(wù)器的診斷命令以檢索所有事件。

d.針對(duì)帶有關(guān)鍵使命服務(wù)的問題通知安全管理員150。

e.如果系統(tǒng)被感染，則利用預(yù)定清潔器/使用集成驅(qū)動(dòng)電路(ide)重定向(ider)的救援映像來(lái)補(bǔ)救所述系統(tǒng)。

前述內(nèi)容概述了若干實(shí)施例的特征，從而使得本領(lǐng)域的技術(shù)人員可以更好地理解本公開的方面。本領(lǐng)域的技術(shù)人員應(yīng)該認(rèn)識(shí)到，他們可以容易地將本公開用作設(shè)計(jì)或修改其他進(jìn)程以及結(jié)構(gòu)的基礎(chǔ)，以便于實(shí)施相同的目的和/或?qū)崿F(xiàn)在此介紹的實(shí)施例的相同優(yōu)點(diǎn)。本領(lǐng)域技術(shù)人員還應(yīng)意識(shí)到，所述等同構(gòu)造沒有背離本公開的精神和范圍，并且在不背離本公開的精神和范圍的情況下，可做出各種改變、替換和替代。

本公開的特定實(shí)施例可以容易地包括片上系統(tǒng)(soc)中央處理單元(cpu)封裝體。soc表示將計(jì)算機(jī)或其他電子系統(tǒng)的部件整合到單個(gè)芯片中的集成電路(ic)。其可以包含數(shù)字、模擬、混合信號(hào)、以及射頻功能，所有所述功能可以在單個(gè)芯片基底上提供。其他實(shí)施例可以包括多芯片模塊(mcm)，多個(gè)芯片位于單個(gè)電子封裝件內(nèi)并且被配置成用于通過(guò)電子封裝體彼此密切交互。在各個(gè)其他實(shí)施例中，數(shù)字信號(hào)處理功能可以在專用集成電路(asic)、現(xiàn)場(chǎng)可編程門陣列(fpga)和其他半導(dǎo)體芯片中的一個(gè)或多個(gè)硅核中實(shí)施。

在示例實(shí)施方式中，在此概述的處理活動(dòng)的至少一些部分也可以在軟件中實(shí)施。在一些實(shí)施例中，這些特征中的一個(gè)或多個(gè)特征可以在所公開的附圖的元件外部提供的或者采用任何適當(dāng)方式合并的硬件中實(shí)施，以便實(shí)現(xiàn)預(yù)期功能。各種部件可以包括可以協(xié)調(diào)以便實(shí)現(xiàn)如在此所概述的操作的軟件(或者往復(fù)式軟件)。在仍其他實(shí)施例中，這些元件可以包括促進(jìn)其操作的任何適當(dāng)?shù)乃惴ā⒂布④浖?、部件、模塊、接口或者對(duì)象。

此外，可以移除或以其他方式合并與所描述的微處理器相關(guān)聯(lián)的部件中的一些部件。在一般意義上，在附圖中所描繪的安排可以在其表示上更合邏輯，而物理架構(gòu)可以包括這些元件的各種排列、組合和/或混合。必須注意，可以使用無(wú)數(shù)可能的設(shè)計(jì)配置來(lái)實(shí)現(xiàn)在此所概述的操作目標(biāo)。相應(yīng)地，相關(guān)聯(lián)的基礎(chǔ)設(shè)施具有大量替代安排、設(shè)計(jì)選擇、設(shè)備可能性、硬件配置、軟件實(shí)施方式、設(shè)備選項(xiàng)等。

任何適當(dāng)配置的處理器部件可以執(zhí)行與數(shù)據(jù)相關(guān)聯(lián)的任何類型的指令以便實(shí)現(xiàn)在此詳細(xì)說(shuō)明的操作。在此公開的任何處理器可以將元件或者物品(例如數(shù)據(jù))從一種狀態(tài)或一種東西轉(zhuǎn)換為另一種狀態(tài)或者另一種東西。在另一個(gè)示例中，在此概述的一些活動(dòng)可以使用固定邏輯或者可編程邏輯(例如，由處理器執(zhí)行的軟件和/或計(jì)算機(jī)指令)實(shí)施，并且在此標(biāo)識(shí)的元件可以是某種類型的可編程處理器、可編程數(shù)字邏輯(例如，現(xiàn)場(chǎng)可編程門陣列(fpga)、可擦除可編程只讀存儲(chǔ)器(eprom)、電可擦除可編程只讀存儲(chǔ)器(eeprom))、包括數(shù)字邏輯、軟件、代碼、電子指令、閃速存儲(chǔ)器、光盤、cd-rom、dvdrom、磁性或者光學(xué)卡、適合于存儲(chǔ)電子指令的其他類型的機(jī)器可讀介質(zhì)的asic、或者其任何適當(dāng)?shù)慕M合。在操作中，處理器可以將信息存儲(chǔ)在任何適當(dāng)類型的非瞬態(tài)存儲(chǔ)介質(zhì)(例如，隨機(jī)存取存儲(chǔ)器(ram)、只讀存儲(chǔ)器(rom)、現(xiàn)場(chǎng)可編程門陣列(fpga)、可擦除可編程只讀存儲(chǔ)器(eprom)、電可擦除可編程rom(eeprom)等)、軟件、硬件中或者在適當(dāng)況下并基于特定需要存儲(chǔ)在任何其他適當(dāng)部件、設(shè)備、元件或者物體中。進(jìn)一步地，可以在任何數(shù)據(jù)庫(kù)、寄存器、表格、緩存、隊(duì)列、控制列表或者存儲(chǔ)結(jié)構(gòu)(所有這些可以在任何適當(dāng)?shù)臅r(shí)間幀被引用)中基于特定需要和實(shí)施方式提供在處理器中被跟蹤、發(fā)送、接收或者存儲(chǔ)的信息。在此所討論的存儲(chǔ)器項(xiàng)中的任何存儲(chǔ)器項(xiàng)應(yīng)當(dāng)被理解為包括在寬泛術(shù)語(yǔ)‘存儲(chǔ)器’內(nèi)。類似地，在此所描述的可能的處理元件、模塊以及機(jī)器中的任何一者應(yīng)當(dāng)被理解為包括在寬泛術(shù)語(yǔ)‘微處理器’或者‘處理器’內(nèi)。

采用各種形式來(lái)具體化實(shí)施在此描述的功能中的所有或部分功能的計(jì)算機(jī)程序邏輯，包括但決不限于源代碼形式、計(jì)算機(jī)可執(zhí)行的形式、以及各種中間形式(例如，由匯編器、編輯器、鏈接器或定位器生成的形式)。在示例中，源代碼包括以各種編程語(yǔ)言實(shí)施的一系列計(jì)算機(jī)程序指令，如目標(biāo)代碼、匯編語(yǔ)言、或高級(jí)語(yǔ)言(比如，與各種操作系統(tǒng)或操作環(huán)境一起使用的opencl、fortran、c、c++、java或html)。源代碼可以限定并使用各種數(shù)據(jù)結(jié)構(gòu)和通信消息。源代碼可以采用計(jì)算機(jī)可執(zhí)行的形式(例如，經(jīng)由解釋器)，或者源代碼可以被轉(zhuǎn)換(例如，經(jīng)由轉(zhuǎn)換器、匯編器、或編譯器)成計(jì)算機(jī)可執(zhí)行的形式。

在對(duì)以上實(shí)施例的討論中，可以容易地替換、替代或以其他方式修改電容器、緩沖器、圖形元件、互連板、時(shí)鐘、ddr、相機(jī)傳感器、除法器、電感器、電阻器、放大器、開關(guān)、數(shù)字核、晶體管和/或其他部件，以便滿足特定電路需要。此外，應(yīng)當(dāng)注意的是，對(duì)互補(bǔ)電子設(shè)備、硬件、非瞬態(tài)軟件等的使用提供了同等可行的選項(xiàng)，以便實(shí)施本公開的教導(dǎo)。

在一個(gè)示例實(shí)施例中，可以在相關(guān)聯(lián)的電子設(shè)備的板上實(shí)施附圖的任何數(shù)量的電路。所述板可以是可以容納電子設(shè)備的內(nèi)部電子系統(tǒng)的各種部件并且進(jìn)一步為其他外圍設(shè)備提供連接器的一般電路板。更具體地，所述板可以提供電連接，系統(tǒng)的其他部件可以通過(guò)所述電子連接來(lái)進(jìn)行電通信?？梢曰谔囟ㄅ渲眯枰⑻幚硇枨?、計(jì)算機(jī)設(shè)計(jì)等來(lái)將任何適當(dāng)?shù)奶幚砥?包括數(shù)字信號(hào)處理器、微處理器、支持芯片組等)、存儲(chǔ)器元件等耦合至所述板。如外部存儲(chǔ)設(shè)備、附加傳感器、用于音頻/視頻顯示的控制器、以及外圍設(shè)備等其他部件可以作為插入卡而經(jīng)由線纜附接至所述板，或者整合到所述板本身中。在另一個(gè)示例實(shí)施例中，附圖的電路可以被實(shí)施為獨(dú)立的模塊(例如，具有相關(guān)聯(lián)的部件的設(shè)備和被配置成用于執(zhí)行特定應(yīng)用程序或功能的電路)，或者被實(shí)施為到電子設(shè)備的專用硬件的插入模塊。

注意，使用在此所提供的許多示例，可以關(guān)于兩個(gè)、三個(gè)、四個(gè)或更多個(gè)電氣部件來(lái)對(duì)交互進(jìn)行描述。然而，這樣做只是出于清楚和示例的目的。應(yīng)理解的是，可以采用任何適當(dāng)方式來(lái)合并所述系統(tǒng)。根據(jù)類似的設(shè)計(jì)替代方案，可以在各個(gè)可能的配置中組合附圖中所展示的部件、模塊和元件中的任一者，所有這些配置在本說(shuō)明書的廣泛范圍內(nèi)。在某些情況下，通過(guò)僅參照有限數(shù)量的電氣元件，可能更容易描述一組給定流程的功能中的一項(xiàng)或多項(xiàng)功能。應(yīng)當(dāng)理解的是，附圖的電路及其教導(dǎo)是可容易擴(kuò)展的，并且可以容納大量部件以及更復(fù)雜/成熟的安排和配置。相應(yīng)地，所提供的示例不應(yīng)限制如潛在地應(yīng)用到無(wú)數(shù)其他架構(gòu)上的電路的范圍或抑制其寬泛教導(dǎo)。

許多其他的改變、替代、變更、改變、和修改對(duì)本領(lǐng)域技術(shù)人員來(lái)說(shuō)是確定的，并且旨在本公開包含了落在所附權(quán)利要求書的范圍內(nèi)的所有的改變、替代、變更、改變、和修改。為了幫助美國(guó)專利及商標(biāo)局(uspto)以及另外本申請(qǐng)發(fā)布的任何專利的任何讀者理解本申請(qǐng)所附權(quán)利要求書，申請(qǐng)人希望注意本申請(qǐng)人：(a)并不旨在所附權(quán)利要求中的任一項(xiàng)因?yàn)樵诒旧暾?qǐng)的申請(qǐng)日存在而援引35u.s.c.第112章第(6)段，除非在特定權(quán)利要求中確切地使用了字詞“用于……的裝置”或“用于……的步驟”；并且(b)并不旨在通過(guò)本說(shuō)明書中未在所附權(quán)利要求書中反映出的任何陳述以任何方式限制本公開。

示例實(shí)施方式

在示例中公開了一種企業(yè)安全控制器，所述企業(yè)安全控制器包括：網(wǎng)絡(luò)接口；以及一個(gè)或多個(gè)邏輯元件，所述邏輯元件包括安全引擎，所述安全引擎可操作用于：經(jīng)由所述網(wǎng)絡(luò)接口從客戶端設(shè)備的帶外管理代理接收安全事件的報(bào)告；并且指示所述帶外管理引擎采取補(bǔ)救動(dòng)作。

進(jìn)一步公開了示例，其中，所述安全事件包括被監(jiān)視進(jìn)程的崩潰。

進(jìn)一步公開了示例，其中，所述安全事件包括被監(jiān)視進(jìn)程中的錯(cuò)誤。

進(jìn)一步公開了示例，其中，所述安全事件包括檢測(cè)到被監(jiān)視進(jìn)程使用過(guò)量系統(tǒng)資源。

進(jìn)一步公開了示例，其中，所述安全事件包括檢測(cè)到被監(jiān)視進(jìn)程的進(jìn)程標(biāo)識(shí)符的變化。

進(jìn)一步公開了示例，其中，所述安全事件包括檢測(cè)到被監(jiān)視應(yīng)用程序的移除或卸載。

進(jìn)一步公開了示例，其中，所述安全事件包括檢測(cè)到被監(jiān)視進(jìn)程中的錯(cuò)誤。

進(jìn)一步公開了示例，其中，所述安全事件包括檢測(cè)到來(lái)自被監(jiān)視進(jìn)程的系統(tǒng)資源泄露。

進(jìn)一步公開了示例，其中，所述補(bǔ)救動(dòng)作包括使得所述帶外管理代理從補(bǔ)救映像引導(dǎo)所述客戶端設(shè)備。

進(jìn)一步公開了示例，其中，所述補(bǔ)救動(dòng)作包括使得所述帶外管理代理重新安裝被監(jiān)視應(yīng)用程序。

進(jìn)一步公開了示例，其中，所述補(bǔ)救動(dòng)作包括使得所述帶外管理代理重新啟動(dòng)被監(jiān)視進(jìn)程。

進(jìn)一步公開了示例，其中，所述補(bǔ)救動(dòng)作包括使得所述帶外管理代理運(yùn)行診斷命令。

進(jìn)一步公開了示例，其中，所述補(bǔ)救動(dòng)作包括使得所述帶外管理代理使用清潔操作系統(tǒng)映像對(duì)所述客戶端設(shè)備進(jìn)行重新映像。

在示例中進(jìn)一步公開了一種或多種計(jì)算機(jī)可讀介質(zhì)，具有存儲(chǔ)在其上的可執(zhí)行指令，所述可執(zhí)行指令用于指示處理器提供安全服務(wù)器引擎，所述安全服務(wù)器引擎可操作用于：經(jīng)由所述網(wǎng)絡(luò)接口從客戶端設(shè)備的帶外管理代理接收安全事件的報(bào)告；并且指示所述帶外管理引擎采取補(bǔ)救動(dòng)作。

進(jìn)一步公開了示例，其中，所述安全事件包括被監(jiān)視進(jìn)程的崩潰。

進(jìn)一步公開了示例，其中，所述安全事件包括被監(jiān)視進(jìn)程中的錯(cuò)誤。

進(jìn)一步公開了示例，其中，所述安全事件包括檢測(cè)到被監(jiān)視進(jìn)程使用過(guò)量系統(tǒng)資源。

進(jìn)一步公開了示例，其中，所述安全事件包括檢測(cè)到被監(jiān)視進(jìn)程的進(jìn)程標(biāo)識(shí)符的變化。

進(jìn)一步公開了示例，其中，所述安全事件包括檢測(cè)到被監(jiān)視應(yīng)用程序的移除或卸載。

進(jìn)一步公開了示例，其中，所述安全事件包括檢測(cè)到被監(jiān)視進(jìn)程中的錯(cuò)誤。

進(jìn)一步公開了示例，其中，所述安全事件包括檢測(cè)到來(lái)自被監(jiān)視進(jìn)程的系統(tǒng)資源泄露。

進(jìn)一步公開了示例，其中，所述補(bǔ)救動(dòng)作包括使得所述帶外管理代理從補(bǔ)救映像引導(dǎo)所述客戶端設(shè)備。

進(jìn)一步公開了示例，其中，所述補(bǔ)救動(dòng)作包括使得所述帶外管理代理重新安裝被監(jiān)視應(yīng)用程序。

在示例中進(jìn)一步公開了一種計(jì)算裝置，所述計(jì)算裝置包括：存儲(chǔ)器，所述存儲(chǔ)器包括待監(jiān)視應(yīng)用程序；以及帶外管理引擎，所述帶外管理引擎可操作用于：監(jiān)視所述待監(jiān)視應(yīng)用程序；將與所述待監(jiān)視應(yīng)用程序相關(guān)的安全事件報(bào)告給安全控制器裝置；接收采取安全動(dòng)作的指令；以及使得所述計(jì)算裝置采取所述安全動(dòng)作。

進(jìn)一步公開了示例，其中，所述帶外管理引擎包括安全協(xié)處理器。