本申請涉及計算機安全領(lǐng)域，并且更具體地涉及一種檢測用于自修復的代理存在的系統(tǒng)和方法。

背景技術(shù)：

企業(yè)中被感染的/發(fā)生故障的系統(tǒng)可能需要手動輔助和故障排除以修正其問題。有時，如果系統(tǒng)感染了病毒或其他惡意應用程序，它可能變成爆發(fā)的源或受害者。因此，可能需要手動地補救所述系統(tǒng)，這可能是昂貴而耗時的。此外，在所述機器正在等待補救時，它可能感染其他機器。

附圖說明

當與附圖一起閱讀時，將從以下詳細描述中更好地理解本公開。強調(diào)的是，根據(jù)行業(yè)中的標準實踐，不同特征未按比例繪制，并且僅用于說明性目的。實際上，為了討論的清晰起見，可以任意地放大或者減小各種特征的尺寸。

圖1是根據(jù)本說明書的一個或多個示例的網(wǎng)絡的框圖。

圖2是根據(jù)本說明書的一個或多個示例的客戶端設備的框圖。

圖3是根據(jù)本說明書的一個或多個示例的服務器設備的框圖。

圖4是根據(jù)本說明書的一個或多個示例的方法的流程圖。

具體實施方式

概述

在一個或多個示例中，公開了一種檢測用于自修復的代理存在的系統(tǒng)和方法。諸如amt等帶外監(jiān)視進程或者在協(xié)處理器上執(zhí)行的固件中的任何進程都可以監(jiān)視一個或多個進程，以便確定某個進程是否出故障或者以其他方式滿足安全準則?？梢詫⒈罎⒌倪M程報告給企業(yè)安全控制器(esc)。esc可注意到受影響的機器的趨勢并指示所述機器采取適當?shù)难a救動作，比如從補救映像中進行引導。

本公開的示例實施例

以下公開內(nèi)容提供了用于實施本公開的不同特征的許多不同實施例或示例。以下描述了部件和安排的具體示例以便簡化本公開。當然，這些僅是示例并且并不旨在是限制性的。另外，本公開在各種示例中可以重復參考標號和/或字母。這種重復是出于簡明性和清楚性的目的，并且本身并不決定所討論的各種實施例和/或配置之間的關(guān)系。

不同實施例可以具有不同優(yōu)點，并且不必需要任何實施例的特定優(yōu)點。

在一方面安全專家和終端用戶與另一方面惡意軟件作者之間不斷演化的軍備競賽中，對于惡意行為者而言，有用的技術(shù)是在存儲器內(nèi)識別反病毒引擎、反惡意軟件引擎或其他系統(tǒng)管理代理，并且試圖禁用、卸載、損壞或以其他方式危害它。如果保護所述設備的軟件被禁用，則所述惡意軟件可以執(zhí)行而不受懲罰。在一些情況下，惡意軟件對象甚至可以啟動監(jiān)視進程，所述監(jiān)視進程持續(xù)地監(jiān)視反病毒代理恢復，并且如果進程恢復則再次終止所述進程。它還可能盡力阻止反病毒更新，并且以其他方式干擾啟動處理惡意軟件對象的補救進程的任何嘗試。

當用戶變得了解針對其機器的這種狡詐行為后，他僅有的實際資源可以通知企業(yè)安全人員，從而使得他們?nèi)缓罂梢允謩拥馗綦x所述機器并且進行補救。這種進程可能是昂貴而麻煩的。

然而，在本說明書中認識到，如果不是在個別情況中，至少是在若干機器的聚合中，干擾系統(tǒng)管理代理或其他關(guān)鍵進程可以自身成為惡意軟件的存在的可靠指示符。因此，如果可以監(jiān)視所述系統(tǒng)，并且檢測禁用或以其他方式阻礙關(guān)鍵進程的嘗試，則可以從服務器發(fā)起自動補救。

然而，應該注意的是，惡意軟件攻擊不是關(guān)鍵進程可能遭遇錯誤或問題的唯一原因。例如，關(guān)鍵應用程序可能由于頁面錯誤、存儲器錯誤、硬件故障、普通缺陷或異常輸入(僅列出一些非限制性示例)而崩潰。因此，僅通過監(jiān)視關(guān)鍵進程在單個機器上檢測惡意軟件可能是困難的。然而，如果esc監(jiān)視許多機器并且在短時間內(nèi)在若干機器上檢測相似故障，則這可以是某些東西出現(xiàn)差錯的可靠標識符。

根據(jù)本說明書，安全管理員可以定義安全策略，包括定義應該由帶外管理代理監(jiān)視的一個或多個關(guān)鍵應用程序的列表。如果帶外管理代理檢測到與任何被監(jiān)視應用程序相關(guān)的安全事件，則它可以將所述事件報告給esc。如果esc確定所述事件可能是由惡意軟件引起的，則它可以將指令提供給帶外管理代理，比如，指示它從網(wǎng)絡共享中檢索補救映像并且利用補救映像重新引導所述機器。補救映像可以包含最新的病毒定義，并且可以具有用于掃描硬盤并移除惡意軟件對象的實用程序。

在一個示例中，可以通過vpro^tm或相似的安全協(xié)處理器以及相關(guān)聯(lián)的固件來提供帶外監(jiān)視。貫穿本說明書，帶外管理代理旨在包括vpro^tm協(xié)處理器或者能夠帶外監(jiān)視系統(tǒng)應用程序的任何相似或等效的硬件、軟件和/或固件。在某些實施例中，帶外監(jiān)視可以發(fā)生在可信執(zhí)行環(huán)境(tee)內(nèi)。帶外管理引擎可以監(jiān)視已配置列表上的所有進程，并且如果所述進程中的任一進程崩潰或以其他方式遭遇錯誤，則立即報告給企業(yè)安全控制器。

盡管帶外管理引擎可能不能通過自身確定關(guān)鍵系統(tǒng)崩潰的原因，但企業(yè)安全控制器能夠聚合相關(guān)和有用信息以便確定例如惡意軟件爆發(fā)已經(jīng)發(fā)生。例如，如果大量主機突然并幾乎同時失去它們的反病毒代理，則企業(yè)安全控制器可以確定惡意軟件爆發(fā)可能在進行中，并采取適當?shù)难a救動作。

可以通過檢測同一被監(jiān)視代理的幾乎同時崩潰的多個實例來簡化企業(yè)安全控制器處的決策。例如，可以認為單個機器上的反病毒代理由于某個錯誤而偶爾崩潰是相對正常的。然而，兩個不同機器上的反病毒引擎的幾乎同時的崩潰應當罕見得多。三個或更多機器的幾乎同時的崩潰可以以高可信度來指示惡意軟件活動正在進行。

一旦以適當級別的可信度確定一個或多個機器可能正在遭受惡意軟件爆發(fā)，則可以采取適當?shù)难a救動作。例如，所述機器可以被放置在系統(tǒng)防御模式中，其中，它們在網(wǎng)絡上的活動是極其有限的。它們還可以被短暫地放置在無法訪問企業(yè)計算資源的受保護子網(wǎng)絡中，從而可以迅速地防止所述爆發(fā)進一步擴散。一旦主機被放置在系統(tǒng)防御模式中，它可能被限制于只有少量活動，比如，聯(lián)系補救服務器以下載補救映像。

在某些實施例中，vpro^tm提供(“開箱即用”)被稱為“代理存在”的特征，所述特征可以被配置成用于監(jiān)視特殊進程，并且如果那個進程出故障，則報告給企業(yè)安全控制器。

現(xiàn)在將具體地參照所附附圖來描述通過檢測代理存在而用于補救的系統(tǒng)和方法。

圖1是根據(jù)本說明書的一個或多個示例的安全企業(yè)100的網(wǎng)絡層次圖。在圖1的示例中，多個用戶120操作多個客戶端設備110。具體地，用戶120-1操作臺式計算機110-1。用戶120-2操作膝上型計算機110-2。并且用戶120-3操作移動設備110-3。

每臺計算設備可以包括適當?shù)牟僮飨到y(tǒng)，比如微軟視窗操作系統(tǒng)、linux操作系統(tǒng)、安卓操作系統(tǒng)、macosx操作系統(tǒng)、蘋果ios操作系統(tǒng)、unix操作系統(tǒng)等。相比一種類型的設備，可能在另一種類型的設備上更經(jīng)常地使用前述項中的一些項。例如，臺式計算機110-1(其在一個實施例中可以是工程工作站)更有可能使用微軟視窗操作系統(tǒng)、linux操作系統(tǒng)、unix操作系統(tǒng)或macosx操作系統(tǒng)之一。膝上型計算機110-2(其通常為具有較少定制選項的便攜式現(xiàn)有設備)更有可能運行微軟視窗操作系統(tǒng)或macosx操作系統(tǒng)。移動設備110-3更有可能運行安卓操作系統(tǒng)或ios操作系統(tǒng)。然而，這些示例并不旨在是限制性的。

客戶端設備110可以經(jīng)由企業(yè)網(wǎng)絡170而彼此通信地耦合以及耦合到其他網(wǎng)絡資源。企業(yè)網(wǎng)絡170可以是任何合適的網(wǎng)絡或在一個或多個網(wǎng)絡協(xié)議上操作的一個或多個網(wǎng)絡的組合，通過非限制性示例，包括例如，局域網(wǎng)、內(nèi)聯(lián)網(wǎng)、虛擬網(wǎng)、廣域網(wǎng)、無線網(wǎng)、蜂窩網(wǎng)或互聯(lián)網(wǎng)(經(jīng)由代理、虛擬機或其他相似安全機制可選擇地訪問)。企業(yè)網(wǎng)絡170還可以包括一個或多個服務器、防火墻、路由器、交換機、安全裝置、反病毒服務器或其他有用的網(wǎng)絡設備。在此展示中，為了簡單企業(yè)網(wǎng)絡170被示為單一網(wǎng)絡，但在一些實施例中，企業(yè)網(wǎng)絡170可以包括大量網(wǎng)絡，比如，連接至互聯(lián)網(wǎng)的一個或多個企業(yè)內(nèi)聯(lián)網(wǎng)。企業(yè)網(wǎng)絡170還可以經(jīng)由外部網(wǎng)絡172提供對外部網(wǎng)絡(比如，互聯(lián)網(wǎng))的訪問。類似地，外部網(wǎng)絡172可以是任何合適類型的網(wǎng)絡。

配置為企業(yè)安全控制器(esc)140的一個或多個計算設備還可以在企業(yè)網(wǎng)絡170上操作。esc140可以為令人敬畏的安全管理員150提供用戶界面以定義企業(yè)安全策略，所述esc140可以實施企業(yè)網(wǎng)絡170并跨客戶端設備120。在一個非限制性示例中，esc140可以是或者可以包括e策略協(xié)調(diào)器(epo)安全裝置。

安全企業(yè)100可能在網(wǎng)絡上遭遇多種“安全對象”。安全對象可以是在企業(yè)網(wǎng)絡170上操作或與其交互的并且具有實際或潛在安全影響的任何對象。在一個示例中，對象可以被廣泛地分成硬件對象和軟件對象，所述硬件對象包括與網(wǎng)絡通信或經(jīng)由網(wǎng)絡操作的任何物理設備。軟件對象可以被進一步再分為“可執(zhí)行對象”和“靜態(tài)對象”?？蓤?zhí)行對象包括可以主動執(zhí)行代碼或自主操作的任何對象，通過非限制性示例，比如，應用程序、驅(qū)動程序、程序、可執(zhí)行文件、庫、進程、運行時、腳本、宏指令、二進制文件、解釋器、解釋語言文件、帶有直接插入代碼的配置文件、嵌式代碼以及固件指令。靜態(tài)對象可以被廣泛地設計為不是可執(zhí)行對象或者不能執(zhí)行的任何對象，通過非限制性示例，比如，文檔、圖片、音樂文件、文本文件、不帶有直接插入代碼的配置文件、視頻以及圖。在一些情況下，還可以提供混合軟件對象，比如例如，帶有內(nèi)置式宏指令的字處理文檔或帶有直接插入代碼的動畫。出于安全的目的，這些可以被認為是單獨類別的軟件對象，或者可以簡單地當做可執(zhí)行對象。

通過非限制性示例，企業(yè)安全策略可以包括認證策略、網(wǎng)絡使用策略、網(wǎng)絡資源配額、反病毒策略以及對客戶端設備110上的可執(zhí)行對象的限制。各種網(wǎng)絡服務器可以提供實質(zhì)性服務，比如，布線、聯(lián)網(wǎng)、企業(yè)數(shù)據(jù)服務以及企業(yè)應用程序。

安全企業(yè)100可以利用外部網(wǎng)絡172跨企業(yè)邊界104進行通信。企業(yè)邊界104可以表示物理、邏輯或其他邊界。外部網(wǎng)絡172可以包括，例如，網(wǎng)站、服務器、網(wǎng)絡協(xié)議以及其他基于網(wǎng)絡的服務。在一個示例中，應用程序儲存庫160經(jīng)由外部網(wǎng)絡172是可用的，并且攻擊者180(或其他類似惡意的或疏忽的行為者)也連接至外部網(wǎng)絡172。

用戶120或安全企業(yè)100的目標可能是在沒有來自攻擊者180或來自不想要的安全對象的干擾的情況下，成功地操作客戶端設備110。在一個示例中，攻擊者180是惡意軟件作者，其目標或目的是制造惡意傷害或損害。惡意傷害或損害可以采取以下形式：在客戶端設備110上安裝rootkit或其他惡意軟件以便篡改系統(tǒng)、安裝間諜軟件或廣告軟件以便收集個人和商用數(shù)據(jù)、丑化網(wǎng)站、操作僵尸網(wǎng)絡(比如，垃圾郵件服務器)或者僅打攪和騷擾用戶120。因此，攻擊者180的一個目的可能是在一個或多個客戶端設備110上安裝其惡意軟件。如貫穿本說明書所使用的，惡意軟件(“惡意軟件(malware)”)包括被配置成用于提供不想要的結(jié)果或不想做的工作的任何安全對象。在許多情況下，惡意軟件將會是可執(zhí)行對象，通過非限制性示例，包括被設計成用于采取潛在不想要的行動的病毒、木馬、僵尸、rootkit、后門、蠕蟲、間諜軟件、廣告軟件、勒索軟件、撥號器、有效載荷、惡意瀏覽器輔助對象、追蹤cookie、登陸器或類似對象，通過非限制性示例包括數(shù)據(jù)銷毀、隱匿數(shù)據(jù)采集、瀏覽器劫持、網(wǎng)絡代理或重定向、隱匿追蹤、數(shù)據(jù)記錄、密鑰登陸、對移除的過度或蓄意阻礙、聯(lián)系收獲、以及未授權(quán)自傳播。

攻擊者180可能還想要針對安全企業(yè)100的產(chǎn)業(yè)或其他間諜行為，比如，竊取機密或?qū)Ｓ袛?shù)據(jù)、竊取身份或者獲得對企業(yè)資源的未授權(quán)訪問。因此，攻擊者180的策略還可以包括努力獲得對一個或多個客戶端設備110的物理訪問，并且在未授權(quán)的情況下對其進行操作，從而使得有效安全策略還可以包括用于阻止這種訪問的規(guī)定。

在另一個示例中，軟件開發(fā)者可能不是明顯地具有惡意意圖，但可能開發(fā)造成安全風險的軟件。例如，眾所周知的并且經(jīng)常使用的安全缺陷是所謂的緩沖器溢出，其中，惡意用戶能夠?qū)⒊L字符串輸入到輸入表中并且因此獲得執(zhí)行任意指令或者在計算設備200上使用升級特權(quán)操作的能力。緩沖器溢出可能是例如不良輸入驗證或者使用不安全程序庫的結(jié)果，并且在許多情況下，出現(xiàn)在非顯而易見的上下文中。因此，盡管他本身不是惡意的，但將軟件貢獻到應用程序儲存庫160的開發(fā)者可以無意地為攻擊者180提供攻擊向量。編寫差的應用程序也可以引起固有問題，比如崩潰、數(shù)據(jù)丟失或者其他非期望的行為。因為這種軟件本身可能是期望的，所以開發(fā)者在漏洞變得已知時偶爾提供修復漏洞的更新或補丁是有益的。然而，從安全的角度來看，這些更新或補丁實質(zhì)上是新的。

應用程序儲存庫160可以表示向用戶120提供交互地或自動地下載應用程序并將其安裝在客戶端設備110上的能力的視窗操作系統(tǒng)或蘋果操作系統(tǒng)的“app商店”、類unix操作系統(tǒng)程序庫或端口收集、或者其他網(wǎng)絡業(yè)務。如果應用程序儲存庫160具有適當?shù)厥构粽?80難以分散明顯惡意的軟件的安全措施，那么攻擊者180反而可以暗中將漏洞插入到顯然有益的應用程序中。

在一些情況下，安全企業(yè)100可以提供對來自應用程序儲存庫160的可以安裝的應用程序的類型進行限制的策略指示。因而，應用程序儲存庫160可以包括并非無意被發(fā)開且并非惡意軟件，但雖然如此仍違反策略的軟件。例如，一些企業(yè)限制對娛樂軟件(如媒體播放器和游戲)的安裝。因此，甚至安全的媒體播放器或游戲也可能不適于企業(yè)計算機。安全管理員150可以負責分配與這種限制一致的計算策略并且將其在客戶端設備120上實施。

安全企業(yè)100還可以與安全服務提供商190簽訂合同或者訂閱安全服務提供商，所述安全服務提供商可以提供安全服務、更新、反病毒定義、補丁、產(chǎn)品和服務。公司是這種提供全面安全和反病毒解決方案的安全服務提供商的非限制性示例。在一些情況下，安全服務提供商190可以包括威脅情報能力，比如，由mcafee公司提供的全球威脅情報(gti^tm)數(shù)據(jù)庫。安全服務提供商190可以通過當新的候選惡意對象出現(xiàn)在客戶端網(wǎng)絡上時對其進行分析并且將它們表征為惡意的或良性的來更新其威脅情報數(shù)據(jù)庫。

在另一個示例中，安全企業(yè)100可以簡單地為家庭，假設父母是安全管理員150的角色。父母可以希望保護他們的孩子不受非期望內(nèi)容(通過非限制性示例，比如，色情作品、廣告軟件、間諜軟件、不符合年齡的內(nèi)容、對某些政治、宗教或社會運動的倡導、用于討論非法或者危險活動的論壇)的影響。在這種情況下，父母可以執(zhí)行安全管理員150的一些或全部職責。

共同地，任何屬于或可以指定為屬于不期望對象的任何前述類別的對象可以被分類為惡意對象。當在安全企業(yè)100內(nèi)遇到未知對象時，可以初始地將其分類為“候選惡意對象”。這一指定可以保證所述未知對象不被授予全部網(wǎng)絡特權(quán)，直到所述對象被進一步分析。因此，用戶120和安全管理員150的目標是配置并操作客戶端設備110和企業(yè)網(wǎng)絡170，從而排除所有惡意對象，并且及時并準確地對候選惡意對象進行分類。

當企業(yè)安全服務器140檢測一個或多個客戶端設備110的潛在危害時，它可以采取適當?shù)膭幼?，比如補救。在一個示例中，補救包括指示帶外管理引擎從補救映像148引導客戶端設備110。補救映像148可以被儲存在nfs或unc服務器142上以提供網(wǎng)絡引導能力。補救映像148可以包括用于掃描和清潔系統(tǒng)的最新的病毒定義。在一些情況下，安全服務提供商190可以提供定期更新，并且企業(yè)安全控制器140可以保持補救映像148是最新的。在其他情況下，安全服務提供商190可以保持補救映像148是最新的，并且可以經(jīng)由外部網(wǎng)絡172按需傳遞最新補救映像的副本。在又另一個示例中，企業(yè)安全控制器140可以定期地將輕量型和最新的補救引擎?zhèn)鬟f到客戶端設備110的帶外管理引擎，并且基于來自企業(yè)安全控制器140的命令，客戶端設備110可以引導補救映像的本地副本。

在一個示例中，每個客戶端設備110包括帶外管理引擎，所述帶外管理引擎可以在固件中或在受保護的硬件空間中運行，從而使它不能被puc損害。例如，如果一個或多個進程突然崩潰，帶外管理引擎可以監(jiān)視一個或多個特定的進程并進行報告。由于單個進程崩潰可能不足以使客戶端設備110認為事件是可疑的，至少在某些實施例中，企業(yè)安全服務器140可以注意到對于大量客戶端設備110相同的進程已經(jīng)在短時間段內(nèi)崩潰。這可以是可疑活動的指示。然后，企業(yè)安全服務器140可以采取適當?shù)膭幼?，比如，隔離單獨的客戶端設備110，子網(wǎng)包含這些設備或整個網(wǎng)絡。在一個示例中，企業(yè)安全服務器140保持開放單個端口，從而使得它可以執(zhí)行補救動作。

圖2是根據(jù)本說明書的一個或多個示例的計算設備200的框圖。計算設備200可以是任何適當?shù)挠嬎阍O備。在各種實施例中，通過非限制性示例，“計算設備”可以是或可以包括：計算機、工作站、服務器、主機、嵌入式計算機、嵌入式控制器、嵌入式傳感器、個人數(shù)字助理(pda)、膝上型計算機、蜂窩電話、ip電話、智能電話、平板計算機、可轉(zhuǎn)換平板計算機、計算裝置、網(wǎng)絡裝置、接收器、可穿戴計算機、手持式計算器或者用于處理和傳遞數(shù)據(jù)的任何其他電子、微電子或者微機電設備。

在某些實施例中，客戶端設備110可以均為計算設備200的示例。

計算設備200包括連接至存儲器220的處理器210，所述存儲器具有存儲在其中的用于提供操作系統(tǒng)222和管理代理224的至少軟件部分的可執(zhí)行指令。計算設備200的其他部件包括存儲設備250、網(wǎng)絡接口260以及外圍接口240。僅通過示例提供此架構(gòu)，并且旨在是非排他性的和非限制性的。此外，所公開的各個部分僅旨在成為邏輯劃分，并且不一定需要表示物理上分離的硬件和/或軟件部件。某些計算設備例如在單個物理存儲器設備中提供主存儲器220和存儲設備250，并且在其他情況下，存儲器220和/或存儲設備250在功能上被分布在許多物理設備上。在虛擬機或管理程序的情況下，可以采用在虛擬化層上運行的軟件或固件的形式來提供全部或部分功能以便提供所公開的邏輯功能。在其他示例中，諸如網(wǎng)絡接口260的設備可以僅提供執(zhí)行其邏輯操作所必須的最小量硬件接口，并且可以依靠軟件驅(qū)動程序來提供附加的必要邏輯。因此，本文所公開的每個邏輯塊旨在廣泛地包括被配置成并且可操作用于提供那個塊的所公開的邏輯操作的一個或多個邏輯元件。如貫穿本說明書所使用的“邏輯元件”可以包括硬件、外部硬件(數(shù)字、模擬或混合信號)、軟件、往復式軟件、服務、驅(qū)動程序、接口、部件、模塊、算法、傳感器、部件、固件、微代碼、可編程邏輯或者可以協(xié)調(diào)以獲得邏輯操作的對象。

在示例中，盡管其他存儲器架構(gòu)(包括其中存儲器220經(jīng)由系統(tǒng)總線270-1或某條其他總線與處理器210通信的架構(gòu))是可能的，處理器210經(jīng)由存儲器總線270-3被通信地耦合至存儲器220，通過示例所述存儲器總線可以是例如直接存儲器訪問(dma)總線。處理器210可以經(jīng)由系統(tǒng)總線270-1被通信地耦合至其他設備。如貫穿本說明書所使用的“總線”包括任何有線或者無線互連線、網(wǎng)絡、連接、線束、單條總線、多條總線、交叉式網(wǎng)絡、單級網(wǎng)絡、多級網(wǎng)絡或可操作用于在計算設備的部分之間或在計算設備之間承載數(shù)據(jù)、信號或電力的其他傳導介質(zhì)。應當注意的是，僅通過非限制性示例來公開這些用途，并且一些實施例可以省略前述總線中的一條或多條總線，而其他實施例可以采用附加或不同總線。

在各個示例中，“處理器”可以包括邏輯元件的任何組合，通過非限制性示例，包括微處理器、數(shù)字信號處理器、現(xiàn)場可編程門陣列、圖形處理單元、可編程邏輯陣列、專用集成電路或虛擬機處理器。在某些架構(gòu)中，可以提供多核處理器，在這種情況下，處理器210可以僅被當做多核處理器中的一個核，或者可以視情況而被當做整個多核處理器。在一些實施例中，還可以為專用或支持功能提供一個或多個協(xié)處理器。

處理器210可以經(jīng)由dma總線270-3連接至dma配置中的存儲器220。為了簡化本公開，存儲器220被公開為單個邏輯塊，但是在物理實施例中可以包括任何合適的易失性或非易失性存儲器技術(shù)(或多項技術(shù))的一個或多個塊，包括例如ddrram、sram、dram、緩存、l1或l2存儲器、片上存儲器、寄存器、閃存、rom、光介質(zhì)、虛擬存儲器區(qū)域、磁或磁帶存儲器或類似的存儲設備。在某些實施例中，存儲器220可以包括相對低延遲易失性主存儲器，而存儲設備250可以包括相對較高延遲非易失性存儲器。然而，存儲器220和存儲設備250不需要是物理上獨立的設備，并且在一些示例中，可能僅表示功能的邏輯分離。還應當注意的是，盡管通過非限制性示例公開了dma，但是dma并不是與本說明書一致的唯一協(xié)議，并且其他存儲器架構(gòu)是可用的。

存儲設備250可以是任何種類的存儲器220，或者可以是分離的設備。存儲設備250可以包括一個或多個非瞬態(tài)計算機可讀介質(zhì)，通過非限制性示例包括硬盤驅(qū)動器、固態(tài)驅(qū)動器、外部存儲設備、獨立磁盤冗余陣列(raid)、網(wǎng)絡附接存儲設備、光學存儲設備、磁帶驅(qū)動器、備份系統(tǒng)、云存儲設備、或前述各項的任何組合。存儲設備250可以是或其中可以包括一個或多個數(shù)據(jù)庫或存儲在其他配置中的數(shù)據(jù)，并且可以包括操作軟件的存儲副本，比如操作系統(tǒng)222以及管理代理224的軟件部分。許多其他配置也是有可能的，并且旨在被包括在本說明書的廣泛范圍內(nèi)。

可以提供網(wǎng)絡接口260來將計算設備200與有線或無線網(wǎng)絡通信地耦合。如貫穿本說明書所使用的“網(wǎng)絡”可以包括可操作用于在計算設備內(nèi)或在計算設備之間交換數(shù)據(jù)或信息的任何通信平臺，通過非限制性示例包括自組織本地網(wǎng)、提供具有電交互能力的通信設備的互聯(lián)網(wǎng)架構(gòu)、簡易老式電話系統(tǒng)(pots)(計算設備可以使用所述簡易老式電話系統(tǒng)來執(zhí)行交易，在所述交易中它們可以由人類操作員來幫助或在所述交易中它們可以手動地將數(shù)據(jù)鍵入到電話或其他合適的電子設備中)、提供通信接口或在系統(tǒng)中的任何兩個節(jié)點之間進行交換的任何分組數(shù)據(jù)網(wǎng)絡(pdn)、或任何局域網(wǎng)(lan)、城域網(wǎng)(man)、廣域網(wǎng)(wan)、無線局域網(wǎng)(wlan)、虛擬專用網(wǎng)(vpn)、內(nèi)聯(lián)網(wǎng)、或促進網(wǎng)絡或電話環(huán)境中的通信的任何其他適當?shù)募軜?gòu)或系統(tǒng)。

在一個示例中，管理代理224可操作用于執(zhí)行如此發(fā)明書中所描述的計算機實現(xiàn)方法。管理代理224可以包括一種或多種非瞬態(tài)計算機可讀介質(zhì)，具有存儲在其上的可操作用于指示處理器提供安全引擎的可執(zhí)行指令。如貫穿本說明書所使用的“引擎”包括相似或相異種類的一個或多個邏輯元件的任何組合，所述邏輯元件可操作用于并且被配置成用于執(zhí)行由管理代理224所提供的一種或多種方法。因此，管理代理224可以包括被配置成用于提供如在此說明書中所描述的方法的一個或多個邏輯元件。在一些情況下，管理代理224可以包括被設計成用于執(zhí)行方法或方法的一部分的專用集成電路，并且還可以包括可操作用于指示處理器執(zhí)行所述方法的軟件指令。在一些情況下，管理代理224可以作為“守護進程”而運行。“守護進程”可以包括任何程序或一系列可執(zhí)行指令，無論在硬件、軟件、固件或其任何組合中實施與否，那些可執(zhí)行指令都作為后臺進程、終止并駐留程序、服務、系統(tǒng)擴展、控制面板、引導程序、bios子程序、或沒有直接用戶交互操作的任何類似程序的運行。在某些實施例中，可以利用升級特權(quán)在“驅(qū)動器空間”中或在保護環(huán)架構(gòu)中的環(huán)0、1或2中運行守護進程。還應該注意的是，管理代理224還可以包括其他硬件和軟件，通過非限制性示例包括配置文件、注冊表項以及交互式或用戶模式軟件。

在一個示例中，管理代理224包括存儲在可操作用于執(zhí)行根據(jù)本說明書的方法的非瞬態(tài)介質(zhì)上的可執(zhí)行指令。在適當時間(比如，在引導計算設備200時或在收到來自操作系統(tǒng)222或用戶120的命令時)，處理器210可以從存儲設備250中檢索管理代理224(或其軟件部分)的副本并將其加載到存儲器220中。然后，處理器210可以迭代地執(zhí)行管理代理224的指令以提供所期望的方法。

在一些情況下，帶有使管理代理224崩潰或以其他方式禁止管理代理的特定意圖的惡意軟件對象可以有意地并特別地將管理代理224作為目標。因此，管理代理224的崩潰可以指示可能的感染。

可以在固件、協(xié)處理器、可信執(zhí)行環(huán)境(tee)或安全存儲器區(qū)域中提供帶外管理引擎212以針對惡意軟件對象的干擾而將其硬化。帶外管理引擎212可以被配置成用于監(jiān)視計算設備200并且將事件的某些類別報告給企業(yè)安全服務器140。在一個非限制性示例中，帶外管理引擎212可以是或可以包括vpro協(xié)處理器以及配設有主動管理技術(shù)(amt)(包括“代理存在”特征)的固件。vpro代理存在特征是vpro可以監(jiān)視的常駐程序的可配置列表，并且如果發(fā)生進程崩潰或停止工作中的任何一種，將通知esc140。

外圍設備接口240可以被配置成用于與連接至計算設備200的但不一定是計算設備200的核架構(gòu)的一部分的任何輔助設備接口連接。外圍設備可以可操作用于向計算設備200提供擴展的功能，并且可以或可以不完全依賴于計算設備200。在一些情況下，外圍設備可以是計算設備本身。通過非限制性示例，外圍設備可以包括輸入和輸出設備，比如，顯示器、終端、打印機、鍵盤、鼠標、調(diào)制解調(diào)器、網(wǎng)絡控制器、傳感器、換能器、致動器、控制器、數(shù)據(jù)采集總線、照相機、麥克風、揚聲器或者外部存儲設備。

圖3是根據(jù)本說明書的一個或多個示例的服務器140的框圖。服務器140可以是任何合適的計算設備，如結(jié)合圖2所描述的。通常，圖2的定義和示例可以被視為同等地適用于圖3，除非另外特別聲明。本文中單獨描述了服務器140以展示在某些實施例中，可以沿客戶端服務器模型將根據(jù)本說明書的邏輯操作分開，其中，計算設備200提供某些局部化任務，而服務器140提供某些其他集中式任務。

服務器140包括連接至存儲器320的處理器310，所述存儲器具有存儲在其中的用于提供操作系統(tǒng)322和安全服務器引擎324的至少軟件部分的可執(zhí)行指令。服務器140的其他部件包括存儲設備350、網(wǎng)絡接口360以及外圍設備接口340。如圖2中所描述的，可以由一個或多個相似或相異的邏輯元件提供每個邏輯塊。

在示例中，處理器310經(jīng)由存儲器總線370-3被通信地耦合至存儲器320，所述存儲器總線可以是例如直接存儲器訪問(dma)總線。處理器310可以經(jīng)由系統(tǒng)總線370-1被通信地耦合至其他設備。

處理器310可以經(jīng)由dma總線370-3或者經(jīng)由任何其他合適的存儲器配置連接至dma配置中的存儲器320。如圖2中所討論的，存儲器320可以包括任何合適類型的一個或多個邏輯元件。

存儲設備350可以是任何種類的存儲器220，或者可以是分離的設備，如結(jié)合圖2的存儲設備250所描述的。存儲設備350可以是或其中可以包括一個或多個數(shù)據(jù)庫或存儲在其他配置中的數(shù)據(jù)，并且可以包括操作軟件的存儲副本，比如操作系統(tǒng)322以及安全服務器引擎324的軟件部分。

可以提供網(wǎng)絡接口360以將服務器140通信地耦合到有線或無線網(wǎng)絡。并且可以包括如圖2中所描述的一個或多個邏輯元件。

安全服務器引擎324是如圖2中所描述的引擎，并且在一個示例中包括可操作用于執(zhí)行如本說明書中所描述的計算機實現(xiàn)方法的一個或多個邏輯元件。安全服務器引擎324的軟件部分可以作為守護進程而運行。

安全服務器引擎324可以包括一種或多種非瞬態(tài)計算機可讀介質(zhì)，具有存儲在其上的可操作用于指示處理器提供安全引擎的可執(zhí)行指令。在適當時間上(如根據(jù)引導服務器140或根據(jù)來自操作系統(tǒng)222或用戶120或安全管理員150的命令)，處理器310可以從存儲設備350中檢索安全服務器引擎324(或其軟件部分)的副本并將其加載到存儲器320中。然后，處理器310可以迭代的執(zhí)行安全服務器引擎324的指令以提供所期望的方法。

外圍接口340可以被配置成用于與連接至服務器140但不一定是服務器140的核架構(gòu)的一部分的任何輔助設備接口連接。外圍設備可以可操作用于向服務器140提供擴展功能，并且可以或可以不完全依賴于服務器140。通過非限制性示例，外圍設備可以包括圖2中所公開的外圍設備中的任何外圍設備。

在一個示例中，安全服務器引擎324包括存儲在可操作用于執(zhí)行根據(jù)本說明書的方法的非瞬態(tài)介質(zhì)上的可執(zhí)行指令。在適當時間上(如根據(jù)引導服務器140或根據(jù)來自操作系統(tǒng)322或用戶120的命令)，處理器310可以從存儲設備350中檢索安全服務器引擎324(或其軟件部分)的副本并將其加載到存儲器320中。然后，處理器310可以迭代的執(zhí)行安全服務器引擎324的指令。

機器學習引擎326還可以被配置成用于提供機器學習算法，從而使得服務器140可以適應于不斷變化的安全場景。具體地，機器學習引擎326可以接收來自所謂的安全事件的反饋，以判定它們是否是合法的安全事件。例如，如果安全事件使大量機器經(jīng)受補救，并且未發(fā)現(xiàn)它們中存在惡意軟件，則可以分析所述事件以確定是否存在一些其他的激發(fā)原因。然后，機器學習引擎326可以存儲這種情況以便進一步參考，從而使得可以避免假肯定。相反，如果發(fā)生似乎是良性的安全事件，但隨后證明是病毒爆發(fā)的癥狀，則機器學習引擎326可以利用相關(guān)信息進行更新以更好地捕捉進一步的爆發(fā)。

外圍設備接口340可以被配置成用于與連接至服務器140但不一定是服務器140的核架構(gòu)的一部分的任何輔助設備接口連接。外圍設備可以可操作用于向服務器140提供擴展功能，并且可以或可以不完全依賴于服務器140。在一些情況下，外圍設備可以是計算設備本身。通過非限制性示例，外圍設備可以包括結(jié)合圖2的外圍設備接口240所討論的設備中的任何設備。

示例方法400包括以下操作，如圖4中所展示的。

在框410中，可以提供接口以登記用于進行監(jiān)視的適當?shù)倪M程。例如，vpro^tm“代理存在”特征可以用于登記用于監(jiān)視的一個或多個應用程序。

在某些實施例中，這些數(shù)據(jù)可以通知安全事件，并且向機器學習引擎326提供反饋。這可以幫助減少假肯定?？梢岳眠b測術(shù)、產(chǎn)品事件以及產(chǎn)品使用模式以規(guī)則的間隔在組織內(nèi)進行數(shù)據(jù)收集。自學習引擎326還可以為每個被監(jiān)視系統(tǒng)建立應用程序模式，并且在無監(jiān)督自學習模式中周期性地對應用程序行為進行比較。

在框420中，帶外管理引擎可以監(jiān)視在框410中登記的關(guān)鍵進程。這可以進一步包括收集有關(guān)每個進程資源消耗的數(shù)據(jù)、專用于特定任務的數(shù)據(jù)、任務調(diào)度、用戶使用模式監(jiān)視，并且監(jiān)視其他進程的與帶外管理代理212的交互。帶外管理代理212可以收集專用于任務的數(shù)據(jù)、任務調(diào)度、用戶使用模式或者其他進程的與監(jiān)視的交互。這些數(shù)據(jù)可以是針對自學習引擎326的輸入。

在框430中，當任何被監(jiān)視進程出現(xiàn)故障或者被用戶或惡意應用(可選地如由esc140確定)強制關(guān)閉時，可以采取補救動作。在某些實施例中：

a.服務器端邏輯建立應用程序使用模式并確定它們是否表示正常的消耗。

b.esc140可以取環(huán)境的增量并設法判定安全事件的原因是否與環(huán)境中的任何特定變化(比如，新產(chǎn)品安裝、更新等)有關(guān)。

c.如果消耗是合法的，則基于先前的啟發(fā)法允許所述進程運行特定持續(xù)時間。esc140還可以為終端用戶120生成系統(tǒng)通知，被監(jiān)視進程忙于特定任務，并且應該在特定時間幀內(nèi)釋放資源。

d.如果被監(jiān)視進程消耗定義閾值以上的資源，則執(zhí)行預定補救動作。

e.如果被監(jiān)視進程仍不穩(wěn)定，則應用補救動作，包括例如重新啟動進程或者在客戶端上應用系統(tǒng)防御策略。

在框450中，如果帶外管理代理212不能恢復所述事件(比如，通過重新啟動進程)，則系統(tǒng)防御狀態(tài)可以觸發(fā)以保障系統(tǒng)免受爆發(fā)。這可以包括在框460中使得所述系統(tǒng)可遠程管理并且隔離受影響的系統(tǒng)以及限制與例如nfs/unc服務器142進行通信，從而使得它可以檢索并引導補救映像148。

如果所述系統(tǒng)是虛擬機，則將會發(fā)生硬件監(jiān)視但是代理進程監(jiān)視服務可以仍然監(jiān)視并回報數(shù)據(jù)。

在框480中，在接收對安全事件的適當反饋后，自學習引擎326可以進入無監(jiān)督自學習模式。

在一個或多個實施例中，通過非限制性示例，觸發(fā)補救進程的標準可以包括：

a.與預定消耗或先前使用模式相比，對高系統(tǒng)資源的使用。

b.對進程標識符的改變以便持續(xù)運行進程。

c.在不將進程監(jiān)視從服務器移除的情況下，對應用程序的移除/卸載。

d.來自被監(jiān)視進程的中斷和錯誤。

e.從被監(jiān)視進程泄露的任何系統(tǒng)資源。

f.監(jiān)視進程停止或者未將心跳發(fā)送到代理存在監(jiān)視器。

在一個或多個實施例中，通過非限制性示例，補救動作可以包括以下各項：

a.重新安裝所述應用程序(如果被移除或損壞)。

b.重新啟動所述進程。

c.運行來自服務器的診斷命令以檢索所有事件。

d.針對帶有關(guān)鍵使命服務的問題通知安全管理員150。

e.如果系統(tǒng)被感染，則利用預定清潔器/使用集成驅(qū)動電路(ide)重定向(ider)的救援映像來補救所述系統(tǒng)。

前述內(nèi)容概述了若干實施例的特征，從而使得本領(lǐng)域的技術(shù)人員可以更好地理解本公開的方面。本領(lǐng)域的技術(shù)人員應該認識到，他們可以容易地將本公開用作設計或修改其他進程以及結(jié)構(gòu)的基礎(chǔ)，以便于實施相同的目的和/或?qū)崿F(xiàn)在此介紹的實施例的相同優(yōu)點。本領(lǐng)域技術(shù)人員還應意識到，所述等同構(gòu)造沒有背離本公開的精神和范圍，并且在不背離本公開的精神和范圍的情況下，可做出各種改變、替換和替代。

本公開的特定實施例可以容易地包括片上系統(tǒng)(soc)中央處理單元(cpu)封裝體。soc表示將計算機或其他電子系統(tǒng)的部件整合到單個芯片中的集成電路(ic)。其可以包含數(shù)字、模擬、混合信號、以及射頻功能，所有所述功能可以在單個芯片基底上提供。其他實施例可以包括多芯片模塊(mcm)，多個芯片位于單個電子封裝件內(nèi)并且被配置成用于通過電子封裝體彼此密切交互。在各個其他實施例中，數(shù)字信號處理功能可以在專用集成電路(asic)、現(xiàn)場可編程門陣列(fpga)和其他半導體芯片中的一個或多個硅核中實施。

在示例實施方式中，在此概述的處理活動的至少一些部分也可以在軟件中實施。在一些實施例中，這些特征中的一個或多個特征可以在所公開的附圖的元件外部提供的或者采用任何適當方式合并的硬件中實施，以便實現(xiàn)預期功能。各種部件可以包括可以協(xié)調(diào)以便實現(xiàn)如在此所概述的操作的軟件(或者往復式軟件)。在仍其他實施例中，這些元件可以包括促進其操作的任何適當?shù)乃惴?、硬件、軟件、部件、模塊、接口或者對象。

此外，可以移除或以其他方式合并與所描述的微處理器相關(guān)聯(lián)的部件中的一些部件。在一般意義上，在附圖中所描繪的安排可以在其表示上更合邏輯，而物理架構(gòu)可以包括這些元件的各種排列、組合和/或混合。必須注意，可以使用無數(shù)可能的設計配置來實現(xiàn)在此所概述的操作目標。相應地，相關(guān)聯(lián)的基礎(chǔ)設施具有大量替代安排、設計選擇、設備可能性、硬件配置、軟件實施方式、設備選項等。

任何適當配置的處理器部件可以執(zhí)行與數(shù)據(jù)相關(guān)聯(lián)的任何類型的指令以便實現(xiàn)在此詳細說明的操作。在此公開的任何處理器可以將元件或者物品(例如數(shù)據(jù))從一種狀態(tài)或一種東西轉(zhuǎn)換為另一種狀態(tài)或者另一種東西。在另一個示例中，在此概述的一些活動可以使用固定邏輯或者可編程邏輯(例如，由處理器執(zhí)行的軟件和/或計算機指令)實施，并且在此標識的元件可以是某種類型的可編程處理器、可編程數(shù)字邏輯(例如，現(xiàn)場可編程門陣列(fpga)、可擦除可編程只讀存儲器(eprom)、電可擦除可編程只讀存儲器(eeprom))、包括數(shù)字邏輯、軟件、代碼、電子指令、閃速存儲器、光盤、cd-rom、dvdrom、磁性或者光學卡、適合于存儲電子指令的其他類型的機器可讀介質(zhì)的asic、或者其任何適當?shù)慕M合。在操作中，處理器可以將信息存儲在任何適當類型的非瞬態(tài)存儲介質(zhì)(例如，隨機存取存儲器(ram)、只讀存儲器(rom)、現(xiàn)場可編程門陣列(fpga)、可擦除可編程只讀存儲器(eprom)、電可擦除可編程rom(eeprom)等)、軟件、硬件中或者在適當況下并基于特定需要存儲在任何其他適當部件、設備、元件或者物體中。進一步地，可以在任何數(shù)據(jù)庫、寄存器、表格、緩存、隊列、控制列表或者存儲結(jié)構(gòu)(所有這些可以在任何適當?shù)臅r間幀被引用)中基于特定需要和實施方式提供在處理器中被跟蹤、發(fā)送、接收或者存儲的信息。在此所討論的存儲器項中的任何存儲器項應當被理解為包括在寬泛術(shù)語‘存儲器’內(nèi)。類似地，在此所描述的可能的處理元件、模塊以及機器中的任何一者應當被理解為包括在寬泛術(shù)語‘微處理器’或者‘處理器’內(nèi)。

采用各種形式來具體化實施在此描述的功能中的所有或部分功能的計算機程序邏輯，包括但決不限于源代碼形式、計算機可執(zhí)行的形式、以及各種中間形式(例如，由匯編器、編輯器、鏈接器或定位器生成的形式)。在示例中，源代碼包括以各種編程語言實施的一系列計算機程序指令，如目標代碼、匯編語言、或高級語言(比如，與各種操作系統(tǒng)或操作環(huán)境一起使用的opencl、fortran、c、c++、java或html)。源代碼可以限定并使用各種數(shù)據(jù)結(jié)構(gòu)和通信消息。源代碼可以采用計算機可執(zhí)行的形式(例如，經(jīng)由解釋器)，或者源代碼可以被轉(zhuǎn)換(例如，經(jīng)由轉(zhuǎn)換器、匯編器、或編譯器)成計算機可執(zhí)行的形式。

在對以上實施例的討論中，可以容易地替換、替代或以其他方式修改電容器、緩沖器、圖形元件、互連板、時鐘、ddr、相機傳感器、除法器、電感器、電阻器、放大器、開關(guān)、數(shù)字核、晶體管和/或其他部件，以便滿足特定電路需要。此外，應當注意的是，對互補電子設備、硬件、非瞬態(tài)軟件等的使用提供了同等可行的選項，以便實施本公開的教導。

在一個示例實施例中，可以在相關(guān)聯(lián)的電子設備的板上實施附圖的任何數(shù)量的電路。所述板可以是可以容納電子設備的內(nèi)部電子系統(tǒng)的各種部件并且進一步為其他外圍設備提供連接器的一般電路板。更具體地，所述板可以提供電連接，系統(tǒng)的其他部件可以通過所述電子連接來進行電通信?？梢曰谔囟ㄅ渲眯枰?、處理需求、計算機設計等來將任何適當?shù)奶幚砥?包括數(shù)字信號處理器、微處理器、支持芯片組等)、存儲器元件等耦合至所述板。如外部存儲設備、附加傳感器、用于音頻/視頻顯示的控制器、以及外圍設備等其他部件可以作為插入卡而經(jīng)由線纜附接至所述板，或者整合到所述板本身中。在另一個示例實施例中，附圖的電路可以被實施為獨立的模塊(例如，具有相關(guān)聯(lián)的部件的設備和被配置成用于執(zhí)行特定應用程序或功能的電路)，或者被實施為到電子設備的專用硬件的插入模塊。

注意，使用在此所提供的許多示例，可以關(guān)于兩個、三個、四個或更多個電氣部件來對交互進行描述。然而，這樣做只是出于清楚和示例的目的。應理解的是，可以采用任何適當方式來合并所述系統(tǒng)。根據(jù)類似的設計替代方案，可以在各個可能的配置中組合附圖中所展示的部件、模塊和元件中的任一者，所有這些配置在本說明書的廣泛范圍內(nèi)。在某些情況下，通過僅參照有限數(shù)量的電氣元件，可能更容易描述一組給定流程的功能中的一項或多項功能。應當理解的是，附圖的電路及其教導是可容易擴展的，并且可以容納大量部件以及更復雜/成熟的安排和配置。相應地，所提供的示例不應限制如潛在地應用到無數(shù)其他架構(gòu)上的電路的范圍或抑制其寬泛教導。

許多其他的改變、替代、變更、改變、和修改對本領(lǐng)域技術(shù)人員來說是確定的，并且旨在本公開包含了落在所附權(quán)利要求書的范圍內(nèi)的所有的改變、替代、變更、改變、和修改。為了幫助美國專利及商標局(uspto)以及另外本申請發(fā)布的任何專利的任何讀者理解本申請所附權(quán)利要求書，申請人希望注意本申請人：(a)并不旨在所附權(quán)利要求中的任一項因為在本申請的申請日存在而援引35u.s.c.第112章第(6)段，除非在特定權(quán)利要求中確切地使用了字詞“用于……的裝置”或“用于……的步驟”；并且(b)并不旨在通過本說明書中未在所附權(quán)利要求書中反映出的任何陳述以任何方式限制本公開。

示例實施方式

在示例中公開了一種企業(yè)安全控制器，所述企業(yè)安全控制器包括：網(wǎng)絡接口；以及一個或多個邏輯元件，所述邏輯元件包括安全引擎，所述安全引擎可操作用于：經(jīng)由所述網(wǎng)絡接口從客戶端設備的帶外管理代理接收安全事件的報告；并且指示所述帶外管理引擎采取補救動作。

進一步公開了示例，其中，所述安全事件包括被監(jiān)視進程的崩潰。

進一步公開了示例，其中，所述安全事件包括被監(jiān)視進程中的錯誤。

進一步公開了示例，其中，所述安全事件包括檢測到被監(jiān)視進程使用過量系統(tǒng)資源。

進一步公開了示例，其中，所述安全事件包括檢測到被監(jiān)視進程的進程標識符的變化。

進一步公開了示例，其中，所述安全事件包括檢測到被監(jiān)視應用程序的移除或卸載。

進一步公開了示例，其中，所述安全事件包括檢測到被監(jiān)視進程中的錯誤。

進一步公開了示例，其中，所述安全事件包括檢測到來自被監(jiān)視進程的系統(tǒng)資源泄露。

進一步公開了示例，其中，所述補救動作包括使得所述帶外管理代理從補救映像引導所述客戶端設備。

進一步公開了示例，其中，所述補救動作包括使得所述帶外管理代理重新安裝被監(jiān)視應用程序。

進一步公開了示例，其中，所述補救動作包括使得所述帶外管理代理重新啟動被監(jiān)視進程。

進一步公開了示例，其中，所述補救動作包括使得所述帶外管理代理運行診斷命令。

進一步公開了示例，其中，所述補救動作包括使得所述帶外管理代理使用清潔操作系統(tǒng)映像對所述客戶端設備進行重新映像。

在示例中進一步公開了一種或多種計算機可讀介質(zhì)，具有存儲在其上的可執(zhí)行指令，所述可執(zhí)行指令用于指示處理器提供安全服務器引擎，所述安全服務器引擎可操作用于：經(jīng)由所述網(wǎng)絡接口從客戶端設備的帶外管理代理接收安全事件的報告；并且指示所述帶外管理引擎采取補救動作。

進一步公開了示例，其中，所述安全事件包括被監(jiān)視進程的崩潰。

進一步公開了示例，其中，所述安全事件包括被監(jiān)視進程中的錯誤。

進一步公開了示例，其中，所述安全事件包括檢測到被監(jiān)視進程使用過量系統(tǒng)資源。

進一步公開了示例，其中，所述安全事件包括檢測到被監(jiān)視進程的進程標識符的變化。

進一步公開了示例，其中，所述安全事件包括檢測到被監(jiān)視應用程序的移除或卸載。

進一步公開了示例，其中，所述安全事件包括檢測到被監(jiān)視進程中的錯誤。

進一步公開了示例，其中，所述安全事件包括檢測到來自被監(jiān)視進程的系統(tǒng)資源泄露。

進一步公開了示例，其中，所述補救動作包括使得所述帶外管理代理從補救映像引導所述客戶端設備。

進一步公開了示例，其中，所述補救動作包括使得所述帶外管理代理重新安裝被監(jiān)視應用程序。

在示例中進一步公開了一種計算裝置，所述計算裝置包括：存儲器，所述存儲器包括待監(jiān)視應用程序；以及帶外管理引擎，所述帶外管理引擎可操作用于：監(jiān)視所述待監(jiān)視應用程序；將與所述待監(jiān)視應用程序相關(guān)的安全事件報告給安全控制器裝置；接收采取安全動作的指令；以及使得所述計算裝置采取所述安全動作。

進一步公開了示例，其中，所述帶外管理引擎包括安全協(xié)處理器。