本發(fā)明總體上涉及計(jì)算機(jī)領(lǐng)域。具體地，涉及安全應(yīng)用的動(dòng)態(tài)優(yōu)化。

背景技術(shù)：

安全設(shè)備可以位于用戶設(shè)備與服務(wù)器設(shè)備(例如，與網(wǎng)站相關(guān)聯(lián)的服務(wù)器設(shè)備)之間。安全設(shè)備可以被配置設(shè)備以檢測(例如，使用統(tǒng)一資源定位器(URL)信譽(yù)、黑名單、防病毒掃描、防惡意軟件技術(shù)等)由服務(wù)器設(shè)備提供的惡意對象(例如，特洛伊木馬、蠕蟲、間諜程序等)，和/或可以被配置以防止惡意對象被用戶設(shè)備接收。

技術(shù)實(shí)現(xiàn)要素：

根據(jù)一些可能的實(shí)施方式，安全設(shè)備可以包括一個(gè)或多個(gè)處理器用以：接收未知對象；標(biāo)識(shí)與未知對象相關(guān)聯(lián)的特征的集合；基于輸入威脅預(yù)測模型的特征的集合，確定預(yù)測威脅得分的集合，其中威脅預(yù)測模型可以與安全函數(shù)的集合相關(guān)聯(lián)，以及其中預(yù)測威脅得分的集合中的預(yù)測威脅得分可以對應(yīng)于安全函數(shù)的集合中的安全函數(shù)；基于預(yù)測威脅得分的集合，確定預(yù)測實(shí)用價(jià)值的集合，其中預(yù)測實(shí)用價(jià)值的集合中的預(yù)測實(shí)用價(jià)值可以對應(yīng)于安全函數(shù)的集合中的安全函數(shù)；確定對應(yīng)于安全函數(shù)的集合的成本的集合；基于預(yù)測實(shí)用價(jià)值的集合和成本的集合確定與安全函數(shù)的集合相關(guān)聯(lián)的預(yù)測效率的集合；基于預(yù)測效率的集合，標(biāo)識(shí)將要對未知對象執(zhí)行的安全函數(shù)的集合的特定安全函數(shù)；使得對未知對象執(zhí)行特定安全函數(shù)以便確定與未知對象相關(guān)聯(lián)的當(dāng)前威脅得分；以及基于當(dāng)前威脅 得分，確定是否將要對未知對象執(zhí)行安全函數(shù)的集合中的另一安全函數(shù)。

根據(jù)一些可能的實(shí)施方式，計(jì)算機(jī)可讀媒介可以存儲(chǔ)一個(gè)或多個(gè)指令，當(dāng)由一個(gè)或多個(gè)處理器執(zhí)行指令時(shí)使得一個(gè)或多個(gè)處理器：獲取未知對象；標(biāo)識(shí)與未知對象相關(guān)聯(lián)的特征的集合；基于提供特征集合作為對威脅預(yù)測模型的輸入，確定預(yù)測威脅得分的集合以及預(yù)測實(shí)用價(jià)值的集合，其中威脅預(yù)測模型可以與安全函數(shù)的集合相關(guān)聯(lián)，以及其中預(yù)測威脅得分的集合中的預(yù)測威脅得分可以對應(yīng)于安全函數(shù)的集合中的安全函數(shù)；基于預(yù)測威脅得分的集合，標(biāo)識(shí)預(yù)測實(shí)用價(jià)值的集合，其中預(yù)測實(shí)用價(jià)值的集合中的預(yù)測實(shí)用價(jià)值可以對應(yīng)于安全函數(shù)的集合中的安全函數(shù)；確定對應(yīng)于安全函數(shù)的集合的成本的集合；基于預(yù)測實(shí)用價(jià)值的集合和成本的集合，確定預(yù)測效率的集合，其中預(yù)測效率的集合中的預(yù)測效率可以對應(yīng)于安全函數(shù)的集合中的安全函數(shù)；基于預(yù)測效率的集合，標(biāo)識(shí)將要對未知對象執(zhí)行的安全函數(shù)的集合中的特定安全函數(shù)；使得將要對未知對象執(zhí)行特定安全函數(shù)；基于使得將要對未知對象執(zhí)行特定安全函數(shù)，確定與未知對象相關(guān)聯(lián)的當(dāng)前威脅得分；以及基于當(dāng)前威脅得分，確定未知對象是否是惡意對象。

根據(jù)一些可能的實(shí)施方式，方法可以包括：由設(shè)備接收未知對象；由設(shè)備標(biāo)識(shí)與未知對象相關(guān)聯(lián)的特征；由設(shè)備提供與作為向與安全函數(shù)的集合相關(guān)聯(lián)模型的輸入的特征相關(guān)聯(lián)的信息；由設(shè)備接收預(yù)測實(shí)用價(jià)值的集合并且作為模型的輸出，其中預(yù)測實(shí)用價(jià)值集合的預(yù)測實(shí)用價(jià)值可以對應(yīng)于安全函數(shù)集合的安全函數(shù)；由設(shè)備確定對應(yīng)于安全函數(shù)集合的成本的集合；由設(shè)備基于預(yù)測實(shí)用價(jià)值集合和成本集合確定與安全函數(shù)集合相關(guān)聯(lián)的預(yù)測效率的集合；由設(shè)備基于預(yù)測效率集合標(biāo)識(shí)將要對未知對象執(zhí)行的安全函數(shù)集合的特定安全函數(shù)；由設(shè)備對未知對象上執(zhí)行特定安全函數(shù)以便確定與對象相關(guān)聯(lián)的修訂威脅得分；以及由設(shè)備基于修訂威脅得分確定是否將要對未知對象執(zhí)行安全函數(shù)集合的另一安全函數(shù)。

附圖說明

圖1A至圖1D是在此所述示例性實(shí)施方式的概述的示意圖；

圖2是其中可以實(shí)施在此所述系統(tǒng)和/或方法的示例性環(huán)境的示意圖；

圖3是圖2的一個(gè)或多個(gè)設(shè)備的示例性部件的示意圖；

圖4是用于基于與訓(xùn)練對象相關(guān)聯(lián)的特征集合、威脅得分集合以及實(shí)用價(jià)值集合而更新威脅預(yù)測模型的示例性方法的流程圖；

圖5A和圖5B是涉及圖4中所示示例性方法的示例性實(shí)施方式的示意圖；

圖6A和圖6B是用于基于與威脅預(yù)測模型中所包括的安全函數(shù)集合相關(guān)聯(lián)的預(yù)測效率集合而標(biāo)識(shí)將要對未知對象執(zhí)行的特定安全函數(shù)、以及使得將要對未知對象執(zhí)行特定安全函數(shù)以確定與未知對象相關(guān)聯(lián)的威脅得分的示例性方法的流程圖；以及

圖7A至圖7C是涉及圖6A和圖6B中所示示例性方法的示例性實(shí)施方式的示意圖。

具體實(shí)施方式

示例性實(shí)施方式的以下詳細(xì)描述涉及附圖。不同附圖中相同附圖標(biāo)記可以標(biāo)識(shí)相同或相似的元件。

安全設(shè)備可以托管或訪問與確定對象(例如，可執(zhí)行對象、網(wǎng)頁對象、文本對象、圖像對象、頁面對象、壓縮對象等)是否是惡意對象相關(guān)聯(lián)的安全函數(shù)的集合。例如，安全設(shè)備可以托管或訪問防病毒掃描函數(shù)、靜態(tài)分析函數(shù)、代碼仿真器函數(shù)、虛擬沙盒函數(shù)、和/或另一類型安全函數(shù)。在一些實(shí)施方式中，安全設(shè)備可以接收對象，并且可以對對象執(zhí)行一個(gè)或多個(gè)安全函數(shù)以便確定對象是否是惡意對象。然而，當(dāng)對對象執(zhí)行特定安全函數(shù)和/或相對少量安全函數(shù)可以足以確定對象是否是惡意對象時(shí)，對對象執(zhí)行大量和/或所有可應(yīng)用的安全函數(shù)可以導(dǎo)致計(jì)算資源(例如，中央處理單元(CPU) 時(shí)間、金錢等)浪費(fèi)。

在此所述的實(shí)施方式可以提供具有可以用于標(biāo)識(shí)安全函數(shù)集合的安全函數(shù)子集的威脅預(yù)測模型的安全設(shè)備，當(dāng)對未知對象執(zhí)行時(shí)可以提供對未知對象是否是惡意對象的確定而同時(shí)有效地使用計(jì)算資源。

圖1A至圖1D是在此所述示例性實(shí)施方式100的概述的示意圖。對于示例性實(shí)施方式100的目的，假設(shè)安全設(shè)備托管了與確定未知對象(例如，將要提供至客戶端設(shè)備，由客戶端設(shè)備接收，存儲(chǔ)在客戶端設(shè)備上，將要提供至服務(wù)器設(shè)備，由服務(wù)器設(shè)備接收，存儲(chǔ)在服務(wù)器設(shè)備上等)是否是惡意對象相關(guān)聯(lián)的安全函數(shù)的集合(例如，安全函數(shù)1(SF1)至安全函數(shù)X(SFX))。此外，假設(shè)安全設(shè)備管理了與預(yù)測對未知對象執(zhí)行安全函數(shù)(例如，SF1至SFX)的結(jié)果相關(guān)聯(lián)的威脅預(yù)測模型(并不對未知對象執(zhí)行SF1至SFX)。

如圖1A以及由附圖標(biāo)記105所示，安全設(shè)備可以接收與更新威脅預(yù)測模型相關(guān)聯(lián)的第一訓(xùn)練對象(例如，訓(xùn)練對象A)。如附圖標(biāo)記110所示，安全設(shè)備可以確定與訓(xùn)練對象A相關(guān)聯(lián)的特征的集合(例如，基于檢查訓(xùn)練對象A，分析訓(xùn)練對象A等)。如附圖標(biāo)記115所示，安全設(shè)備可以確定訓(xùn)練對象A并非惡意對象(例如，基于訓(xùn)練對象A中包括的信息)。如附圖標(biāo)記120所示，安全設(shè)備可以對訓(xùn)練對象執(zhí)行每個(gè)安全函數(shù)(例如，SF1至SFX)，以便確定與SF1至SFX相關(guān)聯(lián)的威脅得分的集合(例如，SF1威脅得分至SFX威脅得分)。

如附圖標(biāo)記125所示，安全設(shè)備可以隨后基于威脅得分的集合以及指示了訓(xùn)練對象A并非惡意對象的信息確定與SF1至SFX相關(guān)聯(lián)的實(shí)用價(jià)值的集合(例如，SF1實(shí)用程序至SFX實(shí)用程序)。在一些實(shí)施方式中，對應(yīng)于安全函數(shù)的實(shí)用價(jià)值可以包括指示了安全函數(shù)如何有助于確定對象(例如，具有特定的特征集合)是否是惡意的信息。

如圖1B以及由附圖標(biāo)記130所示，安全設(shè)備可以對于額外的訓(xùn) 練對象(例如，訓(xùn)練對象B至訓(xùn)練對象Z)重復(fù)該方法。通過此方式，安全設(shè)備可以基于具有各種特征集合的多個(gè)訓(xùn)練對象而確定與SF1至SFX相關(guān)聯(lián)的使用程序數(shù)值。如附圖標(biāo)記130所示，安全設(shè)備可以基于與每個(gè)訓(xùn)練對象相關(guān)聯(lián)的特征集合、威脅得分集合以及使用程序數(shù)值集合而更新威脅預(yù)測模型。以此方式，安全設(shè)備可以訓(xùn)練威脅預(yù)測模型以用于確定未知對象是否是惡意對象(例如，基于與未知對象相關(guān)聯(lián)的特征集合)。

如圖1C以及由附圖標(biāo)記135所示，服務(wù)器設(shè)備可以向安全設(shè)備提供未知對象(例如，基于來自由安全設(shè)備所保護(hù)的客戶端設(shè)備的請求)。如附圖標(biāo)記140所示，安全設(shè)備可以確定與未知對象相關(guān)聯(lián)的特征集合。如附圖標(biāo)記145所示，安全設(shè)備可以基于向威脅預(yù)測模型提供與特征集合相關(guān)聯(lián)的信息作為輸入而對于SF1至SFX確定預(yù)測威脅得分的集合。如附圖標(biāo)記150所示，基于預(yù)測威脅得分集合以及當(dāng)前威脅得分(例如，默認(rèn)威脅得分，因?yàn)樯形磳ξ粗獙ο髨?zhí)行安全函數(shù))，安全設(shè)備可以確定對應(yīng)于SF1至SFX的預(yù)測實(shí)用價(jià)值的集合。如附圖標(biāo)記155所示，安全設(shè)備也可以確定對應(yīng)于SF1至SFX的函數(shù)成本的集合(例如，執(zhí)行每個(gè)安全函數(shù)所需的時(shí)間長度，執(zhí)行每個(gè)安全函數(shù)所需的計(jì)算資源的量等)。

如圖1D以及由附圖標(biāo)記160所示，并且基于實(shí)用價(jià)值集合和函數(shù)成本集合，安全設(shè)備可以確定對應(yīng)于SF1至SFX的預(yù)測效率的集合。通過此方式，當(dāng)標(biāo)識(shí)將要對未知對象執(zhí)行的特定安全函數(shù)時(shí)，可以考慮成本。如附圖標(biāo)記165所示，安全設(shè)備可以標(biāo)識(shí)SF1作為具有最大預(yù)測效率的安全函數(shù)，并且可以對未知對象執(zhí)行SF1。如由附圖標(biāo)記170所示，安全設(shè)備可以對未知對象執(zhí)行SF1并且確定修訂的當(dāng)前威脅得分(例如，對未知對象執(zhí)行SF1的結(jié)果M)。如附圖標(biāo)記175所示，安全設(shè)備可以確定是否將要對未知對象執(zhí)行另一安全函數(shù)(例如，基于修訂的當(dāng)前威脅得分)。如所示，如果安全設(shè)備確定將要對未知對象執(zhí)行另一安全函數(shù)，隨后安全設(shè)備可以基于修訂的當(dāng)前威脅得分(例如，以及與對未知對象執(zhí)行SF1相關(guān) 聯(lián)的其他信息)重復(fù)以上方法。然而，如果安全設(shè)備確定并非將要對未知對象執(zhí)行另一安全函數(shù)，隨后安全設(shè)備可以基于修訂的當(dāng)前威脅得分而對未知對象分類和/或可以采取另一類型動(dòng)作(例如，提供修訂的當(dāng)前威脅得分，存儲(chǔ)修訂的當(dāng)前威脅得分等)。此外，安全設(shè)備可以進(jìn)一步基于特征集合、修訂的當(dāng)前威脅得分和/或由如上所述安全設(shè)備確定的其他信息而更新威脅預(yù)測模型。以該方式，安全設(shè)備可以動(dòng)態(tài)地更新威脅預(yù)測模型。

以通過此方式，安全設(shè)備可以管理和/或使用威脅預(yù)測模型以標(biāo)識(shí)安全函數(shù)集合的安全函數(shù)子集，當(dāng)對未知對象執(zhí)行時(shí)可以提供對未知對象是否是惡意對象的確定而同時(shí)有效地使用計(jì)算資源。

圖2是其中可以實(shí)施在此所述系統(tǒng)和/或方法的示例性環(huán)境200的示意圖。如圖2所示，環(huán)境200可以包括一個(gè)或多個(gè)客戶端設(shè)備210-1至210-N(N≥1)(下文中共同地稱作客戶端設(shè)備210，以及單獨(dú)地稱作客戶端設(shè)備210)，客戶端網(wǎng)絡(luò)220，安全設(shè)備230，服務(wù)器設(shè)備240，以及網(wǎng)絡(luò)250。環(huán)境200的設(shè)備可以經(jīng)由有線連接、無線連接、或者有線和無線連接的組合而互連。

客戶端設(shè)備210可以包括能夠經(jīng)由網(wǎng)絡(luò)(例如，客戶端網(wǎng)絡(luò)220、網(wǎng)絡(luò)250等)與其他設(shè)備(例如，其他客戶端設(shè)備210、安全設(shè)備230、服務(wù)器設(shè)備240等)通信的一個(gè)或多個(gè)設(shè)備。例如，客戶端設(shè)備210可以包括計(jì)算設(shè)備，諸如膝上型計(jì)算機(jī)、平板計(jì)算機(jī)、手持計(jì)算機(jī)、臺(tái)式計(jì)算機(jī)、移動(dòng)電話(例如，智能電話、無線電話等)、個(gè)人數(shù)字助理、或類似設(shè)備。在一些實(shí)施方式中，客戶端設(shè)備210可以包括在客戶端網(wǎng)絡(luò)220中。

客戶端網(wǎng)絡(luò)220可以包括與客戶端設(shè)備210的群組相聯(lián)接的一個(gè)或多個(gè)有線和/或無線網(wǎng)絡(luò)。例如，客戶端網(wǎng)絡(luò)220可以包括有線局域網(wǎng)(WLAN)、局域網(wǎng)(LAN)、廣域網(wǎng)(WAN)、城域網(wǎng)(MAN)、電話網(wǎng)(例如，公用交換電話網(wǎng)(PSTN))、蜂窩網(wǎng)、公用國土移動(dòng)網(wǎng)(PLMN)、專用網(wǎng)、內(nèi)聯(lián)網(wǎng)、互聯(lián)網(wǎng)、基于光纖的網(wǎng)路、云計(jì)算網(wǎng)絡(luò)和/或這些或其他類型網(wǎng)絡(luò)的組合。在一些實(shí)施方式中，客戶 端網(wǎng)絡(luò)220可以包括一個(gè)或多個(gè)客戶端設(shè)備210和/或一個(gè)或多個(gè)安全設(shè)備230。在一些實(shí)施方式中，客戶端網(wǎng)絡(luò)210可以是與商行、企業(yè)、服務(wù)提供商的客戶等相關(guān)聯(lián)的私用網(wǎng)絡(luò)。

安全設(shè)備230可以包括能夠接收、產(chǎn)生、確定、提供和/或存儲(chǔ)與威脅預(yù)測模型相關(guān)聯(lián)的信息、諸如與未知對象相關(guān)聯(lián)的預(yù)測威脅得分的一個(gè)或多個(gè)設(shè)備。例如，安全設(shè)備230可以包括計(jì)算設(shè)備，諸如服務(wù)器設(shè)備或者服務(wù)器設(shè)備的群組。附加地或者備選地，安全設(shè)備230可以使用一個(gè)或多個(gè)虛擬機(jī)實(shí)施在云計(jì)算網(wǎng)絡(luò)內(nèi)。在一些實(shí)施方式中，安全設(shè)備230可以托管與確定對于未知對象的威脅得分相關(guān)聯(lián)的安全函數(shù)的集合。在一些實(shí)施方式中，由安全設(shè)備230托管的一個(gè)或多個(gè)安全函數(shù)可以涉及云服務(wù)(例如，散列查找服務(wù)、云掃描服務(wù)等)和/或由另一設(shè)備(例如，額外的現(xiàn)場設(shè)備)提供的服務(wù)。

在一些實(shí)施方式中，安全設(shè)備230可以包括能夠處理和/或轉(zhuǎn)移與包括在客戶端網(wǎng)絡(luò)220中的客戶端設(shè)備210相關(guān)聯(lián)的通信量的一個(gè)或多個(gè)設(shè)備。例如，安全設(shè)備230可以包括網(wǎng)絡(luò)設(shè)備，諸如反向代理服務(wù)器、服務(wù)器(例如，代理服務(wù)器)、通信量轉(zhuǎn)移設(shè)備、防火墻、路由器、負(fù)載平衡器等。

在一些實(shí)施方式中，安全設(shè)備230可以能夠管理、更新、存儲(chǔ)和/或提供與威脅預(yù)測模型相關(guān)聯(lián)的信息。附加地或者備選地，安全設(shè)備230可以能夠基于與威脅預(yù)測模型相關(guān)聯(lián)的訓(xùn)練對象而訓(xùn)練威脅預(yù)測模型。附加地或者備選地，安全設(shè)備230可以能夠基于威脅預(yù)測模型而確定與未知對象相關(guān)聯(lián)的預(yù)測威脅得分。附加地或者備選地，安全設(shè)備230可以能夠應(yīng)用機(jī)器學(xué)習(xí)技術(shù)至威脅預(yù)測模型(例如，基于與未知對象相關(guān)聯(lián)的預(yù)測威脅得分，基于與訓(xùn)練對象相關(guān)聯(lián)的威脅得分等)以便動(dòng)態(tài)地更新威脅預(yù)測模型、管理威脅預(yù)測模型等。

安全設(shè)備230可以用于與單個(gè)客戶端網(wǎng)絡(luò)220或者客戶端網(wǎng)絡(luò)220的群組連接?？梢酝ㄟ^安全設(shè)備230而布線通信以到達(dá)一個(gè)或多 個(gè)客戶端設(shè)備210。例如，安全設(shè)備230可以位于網(wǎng)絡(luò)內(nèi)作為至包括一個(gè)或多個(gè)客戶端設(shè)備210的客戶端網(wǎng)絡(luò)220的網(wǎng)關(guān)。附加地或者備選地，安全設(shè)備230可以用于與單個(gè)服務(wù)器設(shè)備240或者服務(wù)器設(shè)備240的群組(例如，數(shù)據(jù)中心)連接。可以通過安全設(shè)備230布線通信以到達(dá)一個(gè)或多個(gè)服務(wù)器設(shè)備240。例如，安全設(shè)備230可以位于網(wǎng)絡(luò)內(nèi)作為至包括一個(gè)或多個(gè)服務(wù)器設(shè)備240的私用網(wǎng)絡(luò)的網(wǎng)關(guān)。

服務(wù)器設(shè)備240可以包括能夠接收、產(chǎn)生、存儲(chǔ)和/或提供未知對象至安全設(shè)備230和/或客戶端設(shè)備210的一個(gè)或多個(gè)設(shè)備。例如，服務(wù)器設(shè)備240可以包括計(jì)算設(shè)備，諸如服務(wù)器(例如，應(yīng)用服務(wù)器、內(nèi)容服務(wù)器、主服務(wù)器、網(wǎng)頁服務(wù)器等)或者服務(wù)器的集群。

網(wǎng)絡(luò)250可以包括一個(gè)或多個(gè)有線和/或無線網(wǎng)絡(luò)。例如，網(wǎng)絡(luò)250可以包括WLAN、LAN、WAN、MAN、電話網(wǎng)、蜂窩網(wǎng)、PLMN、專用網(wǎng)、內(nèi)聯(lián)網(wǎng)、互聯(lián)網(wǎng)、基于光纖的網(wǎng)路、云計(jì)算網(wǎng)絡(luò)和/或這些或其他類型網(wǎng)絡(luò)的組合。在一些實(shí)施方式中，網(wǎng)絡(luò)250可以允許設(shè)備之間的通信，設(shè)備諸如客戶端設(shè)備210、安全設(shè)備230和/或服務(wù)器設(shè)備240。

提供圖2中所示設(shè)備和網(wǎng)絡(luò)的數(shù)目以及設(shè)置作為示例。實(shí)際中，可以有額外的設(shè)備和/或網(wǎng)絡(luò)，更少的設(shè)備和/或網(wǎng)絡(luò)，不同的設(shè)備和/或網(wǎng)絡(luò)，或者與圖2中所示不同設(shè)置的設(shè)備和/或網(wǎng)絡(luò)。此外，圖2中所示兩個(gè)或更多設(shè)備可以實(shí)施在單個(gè)設(shè)備內(nèi)，或者圖2中所示單個(gè)設(shè)備可以實(shí)施作為多個(gè)分布式設(shè)備。附加地或者備選地，環(huán)境200的設(shè)備的集合(例如，一個(gè)或多個(gè)設(shè)備)可以執(zhí)行描述作為由環(huán)境200的另一設(shè)備集合所執(zhí)行的一個(gè)或多個(gè)函數(shù)。

圖3是設(shè)備300的示例性部件的示意圖。設(shè)備300可以對應(yīng)于客戶端設(shè)備210、安全設(shè)備230和/或服務(wù)器設(shè)備240。在一些實(shí)施方式中，客戶端設(shè)備210、安全設(shè)備230和/或服務(wù)器設(shè)備240可以包括一個(gè)或多個(gè)設(shè)備300和/或設(shè)備300的一個(gè)或多個(gè)部件。如圖3中所示，設(shè)備300可以包括總線310、處理器320、存儲(chǔ)器330、存儲(chǔ) 部件340、輸入部件350、輸出部件360以及通信接口370。

總線310可以包括允許在設(shè)備300的部件之間通信的部件。處理器320可以包括處理器(例如，中央處理單元(CPU)、圖像處理單元(GPU)、加速處理單元(APU)等)，微處理器，和/或解釋和/或執(zhí)行指令的任何處理部件(例如，現(xiàn)場可編程門陣列(FPGA)、專用集成電路(ASIC)等)。存儲(chǔ)器330可以包括隨機(jī)訪問存儲(chǔ)器(RAM)、只讀存儲(chǔ)器(ROM)和/或存儲(chǔ)了由處理器330使用的信息和/或指令的另一類型動(dòng)態(tài)或靜態(tài)存儲(chǔ)設(shè)備(例如，閃存、磁存儲(chǔ)器、光學(xué)存儲(chǔ)器等)。

存儲(chǔ)部件340可以存儲(chǔ)與設(shè)備300的操作和使用相關(guān)聯(lián)的信息和/或軟件。例如，存儲(chǔ)部件340可以包括硬盤(例如，磁盤、光盤、磁-光盤、固態(tài)硬盤等)，小型盤(CD)，數(shù)字通用盤(DVD)，軟盤，盒式磁帶，磁帶，和/或另一類型計(jì)算機(jī)可讀媒介，以及對應(yīng)的驅(qū)動(dòng)器。

輸入部件350可以包括允許設(shè)備300諸如經(jīng)由用戶輸入而接收信息的部件(例如，觸摸屏顯示器、鍵盤、小鍵盤、鼠標(biāo)、按鈕、開關(guān)、麥克風(fēng)等)。附加地或者備選地，輸入部件350可以包括用于感測信息的傳感器(例如，全球定位系統(tǒng)(GPS)部件，加速度計(jì)，陀螺儀，促動(dòng)器等)。輸出部件360可以包括提供來自設(shè)備300的輸出信息的部件(例如，顯示器、揚(yáng)聲器、一個(gè)或多個(gè)發(fā)光二極管(LED)等)。

通信接口370可以包括使得設(shè)備300與其他設(shè)備通信的類似收發(fā)機(jī)的部件(例如，收發(fā)機(jī)，分立的接收器和發(fā)射器等)，諸如經(jīng)由有線連接、無線連接、或者有線和無線連接的組合。通信接口370可以允許設(shè)備300從另一設(shè)備接收信息和/或向另一設(shè)備提供信息。例如，通信接口370可以包括以太網(wǎng)接口、光學(xué)接口、同軸接口、紅外接口、射頻(RF)接口、通用串行總線(USB)接口、Wi-Fi接口、蜂窩網(wǎng)絡(luò)接口等。

設(shè)備300可以執(zhí)行在此所述的一個(gè)或多個(gè)方法。設(shè)備300可以 響應(yīng)于處理器320執(zhí)行由諸如存儲(chǔ)器330和/或存儲(chǔ)部件340的計(jì)算機(jī)可讀媒介所存儲(chǔ)的軟件指令而執(zhí)行這些方法。計(jì)算機(jī)可讀媒介在此限定為非臨時(shí)性存儲(chǔ)設(shè)備。存儲(chǔ)設(shè)備包括在單個(gè)物理存儲(chǔ)設(shè)備內(nèi)的存儲(chǔ)空間或者分布在多個(gè)物理存儲(chǔ)設(shè)備之間的存儲(chǔ)空間。

軟件指令可以經(jīng)由通信接口370從另一計(jì)算機(jī)可讀媒介或者從另一設(shè)備而讀入存儲(chǔ)器330和/或存儲(chǔ)部件340中。當(dāng)執(zhí)行時(shí)，存儲(chǔ)器330和/或存儲(chǔ)部件340中存儲(chǔ)的軟件指令可以使得處理器320執(zhí)行在此所述的一個(gè)或多個(gè)方法。附加地或者備選地，硬連線的電路可以替代或者與軟件指令組合使用以執(zhí)行在此所述的一個(gè)或多個(gè)方法。因此，在此所述的實(shí)施方式不限于硬件電路和軟件的任何具體組合。

圖3中所示部件的數(shù)目和設(shè)置提供作為示例。實(shí)際中，設(shè)備300可以包括額外的部件、更少的部件、不同的部件、或者與圖3中所示不同設(shè)置的部件。附加地或者備選地，設(shè)備300的部件的集合(例如，一個(gè)或多個(gè)部件)可以執(zhí)行描述作為設(shè)備300的另一部件集合所執(zhí)行的一個(gè)或多個(gè)函數(shù)。

圖4是示例性方法400的流程圖，用于基于與訓(xùn)練對象相關(guān)聯(lián)的特征集合、威脅得分集合以及實(shí)用價(jià)值集合而更新威脅預(yù)測模型。在一些實(shí)施方式中，圖4的一個(gè)或多個(gè)方法框可以由安全設(shè)備230執(zhí)行。在一些實(shí)施方式中，圖4的一個(gè)或多個(gè)方法框可以由另一設(shè)備或者與安全設(shè)備230分離或者包括安全設(shè)備230的設(shè)備群組執(zhí)行，諸如客戶端設(shè)備210或操作用于訓(xùn)練威脅預(yù)測模型以由安全設(shè)備230使用的另一設(shè)備。

如圖4所示，方法400可以包括接收與威脅預(yù)測模型相關(guān)聯(lián)的訓(xùn)練對象(框405)。例如，安全設(shè)備230可以接收與威脅預(yù)測模型相關(guān)聯(lián)的訓(xùn)練對象。在一些實(shí)施方式中，安全設(shè)備230可以從另一設(shè)備(例如，與產(chǎn)生訓(xùn)練對象相關(guān)聯(lián)的設(shè)備)接收訓(xùn)練對象。在一些實(shí)施方式中，安全設(shè)備230可以基于用戶輸入(例如，當(dāng)安全設(shè)備230的用戶產(chǎn)生訓(xùn)練對象時(shí))而接收訓(xùn)練對象。

訓(xùn)練對象可以包括與訓(xùn)練威脅預(yù)測模型相關(guān)聯(lián)的對象。例如，訓(xùn)練對象可以包括可執(zhí)行對象(例如，Windows可執(zhí)行文件(EXE)、Windows腳本文件(WSF)等)，網(wǎng)頁對象(例如超文本標(biāo)示語言(HTML)文檔等)，文本對象(例如，微軟Word文檔(DOC)，純文本文件(TXT))，頁面對象(例如，可移植文件格式文件(PDF)，圖畫文件(PCT))，圖像對象(例如，聯(lián)合攝像專家組(JEPG)文件，標(biāo)簽圖像文件格式(TIFF)文件等)，壓縮對象(例如，壓縮文件(ZIP)，WinRAR壓縮檔案(RAR)等)，或者另一類型對象。在一些實(shí)施方式中，訓(xùn)練對象可以由特征的集合(例如，大小、簽名、類型、源、平臺(tái)等)描述。在一些實(shí)施方式中，訓(xùn)練對象可以是已知的惡意對象類型的惡意對象(例如，特洛伊木馬、蠕蟲、間諜軟件、惡意軟件、敲詐軟件等)。附加地或者備選地，訓(xùn)練對象可以是非惡意的惡意對象。在一些實(shí)施方式中，訓(xùn)練對象可以包括指示了訓(xùn)練對象是惡意對象或非惡意對象(例如，良性對象)的信息。在一些實(shí)施方式中，安全設(shè)備230可以使用訓(xùn)練對象以訓(xùn)練(例如，更新、管理、調(diào)整等)由安全設(shè)備230存儲(chǔ)或者可訪問的威脅預(yù)測模型。在一些實(shí)施方式中，安全設(shè)備230可以接收多個(gè)訓(xùn)練對象以便訓(xùn)練威脅預(yù)測模型。

威脅預(yù)測模型可以包括設(shè)計(jì)用于預(yù)測與對未知對象執(zhí)行安全函數(shù)集合的一個(gè)或多個(gè)安全函數(shù)相關(guān)聯(lián)的威脅得分(例如，惡意病毒的概率，惡意病毒的可能性等)的模型。例如，在一些實(shí)施方式中，威脅預(yù)測模型可以包括機(jī)器學(xué)習(xí)模型，諸如支持程序向量機(jī)。附加地或備選地，威脅預(yù)測模型可以包括另一類型模型。在一些實(shí)施方式中，安全設(shè)備230可以存儲(chǔ)與威脅預(yù)測模型相關(guān)聯(lián)的信息。附加地或者備選地，安全設(shè)備230可以向另一設(shè)備(例如，客戶端設(shè)備210)提供與威脅預(yù)測模型相關(guān)聯(lián)的信息以使得威脅預(yù)測模型可以用于預(yù)測與對由客戶端設(shè)備210接收的未知對象執(zhí)行安全函數(shù)相關(guān)聯(lián)的威脅得分。

在一些實(shí)施方式中，威脅預(yù)測模型可以使用與描述了未知對象 的特征集合相關(guān)聯(lián)的信息作為輸入，并且可以提供與對未知對象執(zhí)行一個(gè)或多個(gè)安全函數(shù)相關(guān)聯(lián)的預(yù)測威脅得分作為輸出(例如，不對未知對象實(shí)際執(zhí)行一個(gè)或多個(gè)安全函數(shù))。附加地或者備選地，威脅預(yù)測模型可以使用與對對象執(zhí)行第一安全函數(shù)相關(guān)聯(lián)的第一威脅得分作為輸入，并且可以提供與對對象執(zhí)行第二安全函數(shù)相關(guān)聯(lián)的預(yù)測威脅得分作為輸出(例如，不對未知對象執(zhí)行第二安全函數(shù))。附加地或者備選地，威脅預(yù)測模型提供與對未知對象執(zhí)行安全函數(shù)相關(guān)聯(lián)的預(yù)測實(shí)用價(jià)值作為輸出。以下描述與威脅預(yù)測模型相關(guān)聯(lián)的額外細(xì)節(jié)，諸如訓(xùn)練威脅預(yù)測模型、管理威脅預(yù)測模型、使用威脅預(yù)測模型。

如圖4進(jìn)一步所示，方法400可以包括標(biāo)識(shí)與訓(xùn)練對象相關(guān)聯(lián)的特征的集合(框410)。例如，安全設(shè)備230可以標(biāo)識(shí)與訓(xùn)練對象相關(guān)聯(lián)的特征集合。在一些實(shí)施方式中，安全設(shè)備230可以在安全設(shè)備230接收了訓(xùn)練對象之后標(biāo)識(shí)與訓(xùn)練對象相關(guān)聯(lián)的特征集合。附加地或者備選地，當(dāng)安全設(shè)備230接收了指示安全設(shè)備230將要標(biāo)識(shí)與訓(xùn)練對象相關(guān)聯(lián)的特征集合的信息時(shí)，安全設(shè)備230可以標(biāo)識(shí)與訓(xùn)練對象相關(guān)聯(lián)的特征集合。

如上所述，特征集合可以包括與訓(xùn)練對象的大小(例如，訓(xùn)練對象的總大校，訓(xùn)練對象區(qū)段的大小等)相關(guān)的信息，與訓(xùn)練對象相關(guān)聯(lián)的簽名(例如，與驗(yàn)證訓(xùn)練對象相關(guān)聯(lián)的信息)，訓(xùn)練對象的類型(例如，EXE、TIFF、PDF等)，訓(xùn)練對象的來源(例如地理位置、互聯(lián)網(wǎng)協(xié)議(IP)地址、標(biāo)識(shí)了源網(wǎng)絡(luò)的信息等)，與訓(xùn)練對象相關(guān)聯(lián)的平臺(tái)(例如，標(biāo)識(shí)了操作系統(tǒng)的信息，標(biāo)識(shí)了操作系統(tǒng)版本的信息等)，與訓(xùn)練對象相關(guān)聯(lián)的惡意信息(例如，對象是否包括惡意軟件，對象中包括的惡意軟件類型等)，與訓(xùn)練對象相關(guān)聯(lián)的元數(shù)據(jù)信息和/或另一類型信息。

在一些實(shí)施方式中，安全設(shè)備230可以基于分析訓(xùn)練對象、審查訓(xùn)練對象、檢查訓(xùn)練對象等而標(biāo)識(shí)特征集合。附加地或者備選地，安全設(shè)備230可以基于接收到標(biāo)識(shí)了特征集合的信息而標(biāo)識(shí)特征集 合(例如，當(dāng)安全設(shè)備230接收到標(biāo)識(shí)了特征集合與訓(xùn)練對象的信息時(shí))。

如圖4進(jìn)一步所示，方法400可以包括確定與訓(xùn)練對象相關(guān)聯(lián)并且對應(yīng)于與威脅預(yù)測模型相關(guān)聯(lián)的安全函數(shù)集合的威脅得分的集合(框415)。例如，安全設(shè)備230可以確定與訓(xùn)練對象相關(guān)聯(lián)并且對應(yīng)于與威脅預(yù)測模型相關(guān)聯(lián)的安全函數(shù)集合的威脅得分的集合。在一些實(shí)施方式中，安全設(shè)備230可以在安全設(shè)備230接收訓(xùn)練對象之后確定威脅得分的集合。附加地或者備選地，當(dāng)安全設(shè)備230標(biāo)識(shí)了與訓(xùn)練對象相關(guān)聯(lián)的特征集合時(shí)(例如，在安全設(shè)備230標(biāo)識(shí)與訓(xùn)練對象相關(guān)聯(lián)的特征集合之前，在安全設(shè)備230標(biāo)識(shí)與訓(xùn)練對象相關(guān)聯(lián)的特征集合之后，與安全設(shè)備230標(biāo)識(shí)與訓(xùn)練對象相關(guān)聯(lián)的特征集合同時(shí))，安全設(shè)備230可以確定威脅得分的集合。附加地或者備選地，當(dāng)安全設(shè)備230接收到指示了安全設(shè)備230將要確定威脅得分的集合的信息時(shí)，安全設(shè)備230可以確定威脅得分的集合。

威脅得分可以包括與對對象(例如，訓(xùn)練對象或未知對象)執(zhí)行安全函數(shù)相關(guān)聯(lián)的結(jié)果。例如，威脅得分可以包括指示了安全函數(shù)是否將對象標(biāo)識(shí)為惡意對象或良性對象的信息。作為另一示例，威脅得分可以包括由安全函數(shù)確定的標(biāo)識(shí)了對象是惡意對象的可能性的數(shù)值(例如，從0至1，從0至100等)。作為又一示例，威脅得分可以包括由安全函數(shù)確定的惡意等級(jí)(例如，其中0的威脅得分可以指示對象是非惡意的，1的威脅得分可以指示對象是惡意的)。附加地或者備選地，威脅得分可以包括由安全函數(shù)確定的其他信息，諸如與對象相關(guān)聯(lián)的惡意類型(例如，對象是否包括惡意軟件、病毒、特洛伊木馬、間諜軟件、敲詐軟件等)。在一些實(shí)施方式中，威脅得分可以用于將對象分類為惡意軟件，如以下進(jìn)一步詳述。

在一些實(shí)施方式中，安全設(shè)備230可以通過使得將要對訓(xùn)練對象執(zhí)行安全函數(shù)集合而確定威脅得分集合。例如，安全設(shè)備230可以托管或者訪問防病毒掃描函數(shù)，靜態(tài)分析函數(shù)，代碼仿真器函數(shù)， 虛擬沙盒函數(shù)，惡意軟件檢測函數(shù)，間諜軟件檢測函數(shù)，敲詐軟件檢測函數(shù)，和/或另一類型安全函數(shù)。在該示例中，安全設(shè)備230可以使得將要對訓(xùn)練對象執(zhí)行安全函數(shù)集合的每個(gè)安全函數(shù)，并且可以確定與安全函數(shù)集合的各自安全函數(shù)相關(guān)聯(lián)的威脅得分。在一些實(shí)施方式中，安全設(shè)備230可以對訓(xùn)練對象執(zhí)行安全函數(shù)集合的一個(gè)或多個(gè)(例如，當(dāng)安全設(shè)備230托管了安全函數(shù)時(shí))。附加地或者備選地，安全設(shè)備230可以使得由另一設(shè)備或設(shè)備集合將要對對象執(zhí)行安全函數(shù)集合的一個(gè)或多個(gè)，并且可以基于從其他設(shè)備接收的信息而確定威脅得分。在一些實(shí)施方式中，安全設(shè)備230可以確定與安全函數(shù)相關(guān)聯(lián)的成本(例如，對訓(xùn)練對象執(zhí)行安全函數(shù)所需的時(shí)間長度，對訓(xùn)練對象執(zhí)行安全函數(shù)所需的CPU時(shí)間量，對訓(xùn)練對象執(zhí)行安全函數(shù)所需的存儲(chǔ)器量等)。在一些實(shí)施方式中，安全設(shè)備230也可以對于每個(gè)安全函數(shù)確定與威脅得分集合相關(guān)聯(lián)的準(zhǔn)確度(例如，基于威脅得分集合，每個(gè)安全函數(shù)是否正確地將訓(xùn)練對象標(biāo)識(shí)為惡意對象)。

如圖4進(jìn)一步所示，方法400可以包括基于威脅得分集合而確定與安全函數(shù)集合相關(guān)聯(lián)的實(shí)用價(jià)值的集合(框420)。例如，安全設(shè)備230可以基于威脅得分集合而確定與安全函數(shù)集合相關(guān)聯(lián)的實(shí)用價(jià)值的集合。在一些實(shí)施方式中，安全設(shè)備230可以在安全設(shè)備230確定了威脅得分集合之后確定實(shí)用價(jià)值的集合。附加地或者備選地，當(dāng)安全設(shè)備230接收到指示了安全設(shè)備將要確定實(shí)用價(jià)值集合的信息時(shí)，安全設(shè)備230可以確定實(shí)用價(jià)值的集合。

實(shí)用價(jià)值可以包括標(biāo)識(shí)了對于與對象相關(guān)聯(lián)并且由安全函數(shù)確定的威脅得分的有用程度的信息。例如，實(shí)用價(jià)值可以包括指示了當(dāng)對對象執(zhí)行時(shí)安全函數(shù)是否正確和/或準(zhǔn)確地確定了指示惡意對象是惡意對象的威脅得分、不正確和/或不準(zhǔn)確地確定指示惡意對象是良性對象的威脅得分、正確地和/或準(zhǔn)確地確定指示良性對象是良性對象的威脅得分、不正確和/或不準(zhǔn)確地確定指示良性對象是惡意對象的威脅得分等的信息(例如，在0與1之間的數(shù)值，在0與100 之間的數(shù)值等)。

在一些實(shí)施方式中，實(shí)用價(jià)值可以基于安全函數(shù)是否確定指示了惡意對象是惡意對象的威脅得分。例如，對于由第一安全函數(shù)確定的第一威脅得分、指示了惡意對象是惡意對象的實(shí)用價(jià)值可以比對于由第二安全函數(shù)確定的第二威脅得分、指示了惡意對象是良性對象的實(shí)用價(jià)值更高。在一些實(shí)施方式中，實(shí)用價(jià)值可以基于安全函數(shù)是否確定了指示良性對象是良性對象的威脅得分。例如，對于由第一安全函數(shù)確定的第一威脅得分、指示了良性對象是良性對象的實(shí)用價(jià)值可以比對于由第二安全函數(shù)確定的第二威脅得分、指示了良性對象是惡意對象的實(shí)用價(jià)值更高。

在一些實(shí)施方式中，安全設(shè)備230可以基于威脅得分集合以及指示了訓(xùn)練對象是否是惡意對象的信息而確定實(shí)用價(jià)值。例如，安全設(shè)備230可以對于確定正確地標(biāo)識(shí)惡意對象為惡意對象的威脅得分的安全函數(shù)而確定高的實(shí)用價(jià)值(例如，1.0，100等)。作為另一示例，安全設(shè)備230可以對于確定了不正確地將惡意對象標(biāo)識(shí)為良性對象的威脅得分的安全函數(shù)而確定低的實(shí)用價(jià)值(例如，0)。作為又一示例，安全設(shè)備230可以對于正確地標(biāo)識(shí)良性對象為良性對象的安全函數(shù)而確定中間的實(shí)用價(jià)值(例如，0.1，0.5等)。在一些實(shí)施方式中，安全設(shè)備230可以基于由安全設(shè)備230存儲(chǔ)的信息而確定該實(shí)用價(jià)值(例如，靜態(tài)實(shí)用價(jià)值的集合，實(shí)用價(jià)值函數(shù)等)。

如圖4中進(jìn)一步所示，方法400可以包括基于特征集合、威脅得分集合以及實(shí)用價(jià)值集合而更新威脅預(yù)測模型(框425)。例如，安全設(shè)備230可以基于特征集合、威脅得分集合以及實(shí)用價(jià)值集合而更新威脅預(yù)測模型。在一些實(shí)施方式中，安全設(shè)備230可以在安全設(shè)備230計(jì)算了實(shí)用價(jià)值集合之后更新威脅預(yù)測模型。附加地或者備選地，當(dāng)安全設(shè)備230接收到指示了安全設(shè)備230將要更新威脅預(yù)測模型的信息時(shí)，安全設(shè)備230可以更新威脅預(yù)測模型。

在一些實(shí)施方式中，安全設(shè)備230可以基于特征集合、威脅得分集合和/或安全函數(shù)集合而更新威脅預(yù)測模型。例如，安全設(shè)備230 可以標(biāo)識(shí)與訓(xùn)練對象相關(guān)聯(lián)的特征集合，確定與訓(xùn)練對象相關(guān)聯(lián)的威脅得分集合，以及確定與訓(xùn)練對象相關(guān)聯(lián)的實(shí)用價(jià)值集合，并且可以基于特征集合而更新威脅預(yù)測模型(例如，當(dāng)未知對象包括與訓(xùn)練對象相關(guān)聯(lián)的特征集合類似的特征時(shí)，以使得威脅預(yù)測模型更可能確定近似等于威脅得分集合的預(yù)測威脅得分集合，以及近似等于實(shí)用價(jià)值集合的預(yù)測實(shí)用價(jià)值集合)。

在一些實(shí)施方式中，安全設(shè)備230也可以基于與未知對象相關(guān)聯(lián)的信息而更新威脅預(yù)測模型。例如，如下所述，安全設(shè)備230可以確定預(yù)測威脅得分集合和/或預(yù)測實(shí)用價(jià)值集合(例如，基于向威脅預(yù)測模型提供與特征集合相關(guān)聯(lián)的信息作為輸入)，可以標(biāo)識(shí)將要對未知對象執(zhí)行的一個(gè)或多個(gè)安全函數(shù)，以及可以確定與安全函數(shù)集合相關(guān)聯(lián)的威脅得分集合和/或?qū)嵱脙r(jià)值集合(例如，基于對未知對象執(zhí)行一個(gè)或多個(gè)安全函數(shù))。在該示例中，安全設(shè)備230可以基于與未知對象相關(guān)聯(lián)的特征集合、威脅得分集合以及實(shí)用價(jià)值集合而更新威脅預(yù)測模型。

在一些實(shí)施方式中，安全設(shè)備230也可以存儲(chǔ)和/或更新與威脅預(yù)測模型相關(guān)聯(lián)的準(zhǔn)確信息。例如，安全設(shè)備230可以確定與每個(gè)安全函數(shù)是否將訓(xùn)練對象分類為惡意對象相關(guān)聯(lián)的準(zhǔn)確信息，并且可以因此存儲(chǔ)準(zhǔn)確信息。在一些實(shí)施方式中，準(zhǔn)確信息可以應(yīng)用于與安全函數(shù)相關(guān)聯(lián)的實(shí)用價(jià)值，如以下所述。

以通過此方式，安全設(shè)備230可以接收訓(xùn)練對象，可以標(biāo)識(shí)與訓(xùn)練對象相關(guān)聯(lián)的特征集合，可以確定威脅得分集合，并且可以確定與訓(xùn)練對象相關(guān)聯(lián)的實(shí)用價(jià)值集合。安全設(shè)備230可以基于與訓(xùn)練對象相關(guān)聯(lián)的特征集合、威脅得分集合和/或?qū)嵱脙r(jià)值集合而訓(xùn)練(例如，更新、修改、調(diào)整等)威脅預(yù)測模型(例如，設(shè)計(jì)用以預(yù)測與未知對象相關(guān)聯(lián)的威脅得分的模型)。安全設(shè)備230可以接收任意數(shù)目訓(xùn)練對象以便改進(jìn)威脅預(yù)測模型的性能和/或準(zhǔn)確度。

盡管圖4示出了方法400的示例性框，在一些實(shí)施方式中，方法400可以包括額外的框、更少的框、不同的框、或者與圖4中所 示不同設(shè)置的框。附加地或者備選地，可以并行執(zhí)行方法400的兩個(gè)或更多框。

圖5A和圖5B是關(guān)于圖4中所示示例性方法400的示例性實(shí)施方式500的示意圖。對于示例性實(shí)施方式500的目的，假設(shè)安全設(shè)備(例如，SD1)托管了與確定未知對象(例如，將要提供至客戶端設(shè)備210，由客戶端設(shè)備210接收等)是否是惡意對象相關(guān)聯(lián)的安全函數(shù)的集合(例如，防病毒掃描函數(shù)，靜態(tài)分析函數(shù)以及沙盒)。此外，假設(shè)SD1管理了威脅預(yù)測模型，與預(yù)測對未知對象執(zhí)行安全函數(shù)(例如，防病毒掃描函數(shù)，靜態(tài)分析函數(shù)和/或沙盒)的結(jié)果相關(guān)聯(lián)。

如圖5A以及由附圖標(biāo)記505所示，SD1可以接收與更新威脅預(yù)測模型相關(guān)聯(lián)的訓(xùn)練對象(例如，訓(xùn)練對象A)。如附圖標(biāo)記510所示，SD1可以確定(例如，基于檢查訓(xùn)練對象A，分析訓(xùn)練對象A等)與訓(xùn)練對象A相關(guān)聯(lián)的特征集合(例如，大?。?.4兆字節(jié)(Mb)，類型：EXE，平臺(tái)：Win 7，源位置：俄羅斯，惡意＝是)。如附圖標(biāo)記515所示，SD1可以對訓(xùn)練對象A執(zhí)行每個(gè)安全函數(shù)(例如，防病毒掃描函數(shù)，靜態(tài)分析函數(shù)和/或沙盒函數(shù))以便確定與防病毒掃描函數(shù)、靜態(tài)分析函數(shù)和沙盒函數(shù)相關(guān)聯(lián)的威脅得分的集合。對于示例性實(shí)施方式500的目的，假設(shè)配置每個(gè)安全函數(shù)以確定實(shí)質(zhì)了對象是否是惡意對象或良性對象(例如，是或否)的威脅得分。如所示，威脅得分的集合可以包括指示了防病毒掃描函數(shù)將訓(xùn)練對象A標(biāo)識(shí)為惡意對象的威脅得分(例如，是)，指示了靜態(tài)分析函數(shù)將訓(xùn)練對象A標(biāo)識(shí)為惡意對象的威脅得分(例如，是)，指示了沙盒函數(shù)并不將訓(xùn)練對象A標(biāo)識(shí)為惡意對象的威脅得分(例如，否)。

如所示，SD1可以基于威脅得分集合而確定與防病毒掃描函數(shù)、靜態(tài)分析函數(shù)和沙盒函數(shù)相關(guān)聯(lián)的實(shí)用價(jià)值集合。如所示，SD1可以確定對于防病毒掃描函數(shù)1.0的實(shí)用價(jià)值(例如，因?yàn)榉啦《緬呙韬瘮?shù)正確地標(biāo)識(shí)了訓(xùn)練對象A為惡意對象)，對于靜態(tài)分析函數(shù)的1.0的實(shí)用價(jià)值(例如，因?yàn)殪o態(tài)分析函數(shù)正確地標(biāo)識(shí)訓(xùn)練對象A為 惡意對象)，以及對于沙盒函數(shù)0.0的實(shí)用價(jià)值(例如，因?yàn)樯澈泻瘮?shù)不正確地標(biāo)識(shí)訓(xùn)練對象A為良性對象)。如附圖標(biāo)記520所示，SD1可以基于特征集合、威脅得分集合和實(shí)用價(jià)值而更新威脅預(yù)測模型。

如圖5B以及由附圖標(biāo)記525所示，SD1可以接收與更新威脅預(yù)測模型相關(guān)聯(lián)的另一訓(xùn)練對象(例如，訓(xùn)練對象B)。如附圖標(biāo)記530所示，SD1可以確定(例如，基于檢查訓(xùn)練對象B，分析訓(xùn)練對象B等)與訓(xùn)練對象B相關(guān)的特征集合(例如，大?。?.5Mb，類型：.EXE，平臺(tái)：Win 8，源位置：英國，惡意＝否)。如附圖標(biāo)記535所示，SD1可以對訓(xùn)練對象B執(zhí)行每個(gè)安全函數(shù)(例如防病毒掃描函數(shù)，靜態(tài)分析函數(shù)和/或沙盒函數(shù))以便確定與防病毒掃描函數(shù)、靜態(tài)分析函數(shù)和沙盒函數(shù)相關(guān)聯(lián)的威脅得分的集合。如所示，威脅得分集合可以包括指示了防病毒掃描函數(shù)將訓(xùn)練對象B標(biāo)識(shí)為惡意對象的威脅得分(例如，是)，指示了靜態(tài)分析函數(shù)并不標(biāo)識(shí)訓(xùn)練對象B為惡意對象的威脅得分(例如，否)，以及指示了沙盒函數(shù)并不標(biāo)識(shí)訓(xùn)練對象B為惡意對象的威脅得分(例如，否)。

如所示，SD1可以基于威脅得分集合而確定與防病毒掃描函數(shù)、靜態(tài)分析函數(shù)和沙盒函數(shù)相關(guān)聯(lián)的實(shí)用價(jià)值集合。在該示例中，假設(shè)正確地標(biāo)識(shí)惡意對象為惡意對象比正確地標(biāo)識(shí)良性對象為良性對象更有價(jià)值。如所示，SD1可以確定對于防病毒掃描函數(shù)0.0的實(shí)用價(jià)值(例如，因?yàn)榉啦《緬呙韬瘮?shù)不正確地標(biāo)識(shí)訓(xùn)練對象A為惡意對象)，對于靜態(tài)分析函數(shù)0.1的實(shí)用價(jià)值(例如，因?yàn)殪o態(tài)分析函數(shù)正確地標(biāo)識(shí)訓(xùn)練對象A為良性對象)，以及對于沙盒函數(shù)0.1的實(shí)用價(jià)值(例如，因?yàn)樯澈泻瘮?shù)正確地標(biāo)識(shí)訓(xùn)練對象A為良性對象)。如附圖標(biāo)記540所示，SD1可以基于特征集合、威脅得分集合和實(shí)用價(jià)值而再次更新威脅預(yù)測模型。

以通過此方式，SD1可以訓(xùn)練威脅預(yù)測模型以用于確定未知對象是否是惡意對象，如以下所述。

如上所示，圖5A和圖5B僅提供作為示例。其他示例是可能的 并且可以不同于參照圖5A和圖5B所述。

圖6A和圖6B是示例性方法600的流程圖，用于基于與包括在威脅預(yù)測模型中安全函數(shù)集合相關(guān)聯(lián)的預(yù)測效率集合而標(biāo)識(shí)將要對未知對象執(zhí)行的特定安全函數(shù)，以及使得將要對未知對象執(zhí)行特定安全函數(shù)以確定與未知對象相關(guān)聯(lián)的威脅得分。在一些實(shí)施方式中，圖6A和圖6B的一個(gè)或多個(gè)方法框可以由安全設(shè)備230執(zhí)行。在一些實(shí)施例中，圖6A和圖6B的一個(gè)或多個(gè)方法框可以由與安全設(shè)備230分離或者包括安全設(shè)備230的另一設(shè)備或者設(shè)備群組執(zhí)行，諸如客戶端設(shè)備210。

如圖6A中所示，方法600可以包括接收未知對象(框605)。例如，安全設(shè)備230可以接收未知對象。在一些實(shí)施方式中，當(dāng)服務(wù)器設(shè)備240向客戶端設(shè)備210提供未知對象時(shí)(例如，當(dāng)定位安全設(shè)備230以接收向客戶端設(shè)備210提供的對象時(shí))，安全設(shè)備230可以接收未知對象。附加地或者備選地，當(dāng)另一設(shè)備向安全設(shè)備230、諸如客戶端設(shè)備210或網(wǎng)絡(luò)250中包括的設(shè)備提供未知對象時(shí)，安全設(shè)備230可以接收未知對象。

未知對象可以包括其惡意信息是未知的對象。在一些實(shí)施方式中，安全設(shè)備230可以基于由客戶端設(shè)備210提供的請求而接收未知對象。例如，客戶端設(shè)備210的用戶可以提供(例如，經(jīng)由客戶端設(shè)備210的輸入機(jī)制)指示了客戶端設(shè)備210將要接收未知對象的信息，并且客戶端設(shè)備210可以向服務(wù)器設(shè)備240發(fā)送請求(例如，當(dāng)服務(wù)器設(shè)備240存儲(chǔ)了未知對象時(shí))。在該示例中，服務(wù)器設(shè)備240可以接收請求，并且可以向安全設(shè)備230提供未知對象(例如，當(dāng)定位安全設(shè)備230以在未知對象發(fā)送至客戶端設(shè)備210之前接收未知對象時(shí))。在一些實(shí)施方式中，用戶可以并不察覺客戶端設(shè)備210已經(jīng)發(fā)送了對于未知對象的請求(例如，當(dāng)配置運(yùn)行在客戶端設(shè)備210上的程序以自動(dòng)地使得客戶端設(shè)備210請求對象時(shí)等)。在一些實(shí)施方式中，安全設(shè)備230可以基于由服務(wù)器設(shè)備240提供的未知對象而接收未知對象。例如，服務(wù)器設(shè)備240可以向客 戶端設(shè)備210發(fā)送未知對象(例如，客戶端設(shè)備210并不請求未知對象)，并且安全設(shè)備230可以從服務(wù)器設(shè)備240接收未知對象。

附加地或者備選地，安全設(shè)備230可以從客戶端設(shè)備210接收未知對象。例如，客戶端設(shè)備210可以從服務(wù)器設(shè)備240接收未知對象。在該示例中，客戶端設(shè)備210可以向安全設(shè)備210提供未知對象(例如，以便允許安全設(shè)備230以對未知對象執(zhí)行一個(gè)或多個(gè)安全函數(shù))。

如圖6A中進(jìn)一步所示，方法600可以包括標(biāo)識(shí)與未知對象相關(guān)聯(lián)的特征集合(框610)。例如，安全設(shè)備230可以標(biāo)識(shí)與未知對象相關(guān)聯(lián)的特征集合。在一些實(shí)施方式中，安全設(shè)備230可以在安全設(shè)備230接收未知對象之后標(biāo)識(shí)與未知對象相關(guān)聯(lián)的特征集合。附加地或者備選地，當(dāng)安全設(shè)備230接收到指示了安全設(shè)備230將要標(biāo)識(shí)與未知對象相關(guān)聯(lián)的特征集合的信息時(shí)，安全設(shè)備230可以標(biāo)識(shí)與未知對象相關(guān)聯(lián)的特征集合。

與未知對象相關(guān)聯(lián)的特征集合可以包括與未知對象的大小相關(guān)聯(lián)的信息(例如，未知對象的總大小，未知對象的區(qū)段大小等)，與未知對象相關(guān)聯(lián)的簽名(例如，與驗(yàn)證未知對象相關(guān)聯(lián)的信息)，未知對象的類型(例如，EXE、TIFF、PDF等)，未知對象的源(例如，地理位置、互聯(lián)網(wǎng)協(xié)議(IP)地址、標(biāo)識(shí)了源網(wǎng)絡(luò)的信息等)，與未知對象相關(guān)聯(lián)的平臺(tái)(例如，標(biāo)識(shí)了操作系統(tǒng)的信息，標(biāo)識(shí)了操作系統(tǒng)版本的信息等)，與未知對象相關(guān)聯(lián)的元數(shù)據(jù)信息，和/或另一類型信息。

在一些實(shí)施方式中，安全設(shè)備230可以基于分析未知對象、審查未知對象、檢查未知對象等而標(biāo)識(shí)特征集合。附加地或者備選地，安全設(shè)備230可以基于接收標(biāo)識(shí)了特征集合的信息而標(biāo)識(shí)特征集合(例如，當(dāng)安全設(shè)備230接收到標(biāo)識(shí)了特征集合以及未知對象的信息時(shí))。

如圖6A中進(jìn)一步所示，方法600可以包括基于特征集合和當(dāng)前威脅得分而確定對應(yīng)于與威脅預(yù)測模型相關(guān)聯(lián)的安全函數(shù)集合的預(yù) 測威脅得分的集合(框615)。例如，安全設(shè)備230可以基于特征集合和當(dāng)前威脅得分而確定對應(yīng)于與威脅預(yù)測模型相關(guān)聯(lián)的安全函數(shù)集合的預(yù)測威脅得分的集合。在一些實(shí)施方式中，安全設(shè)備230可以在安全設(shè)備230標(biāo)識(shí)了與未知對象相關(guān)聯(lián)的特征集合之后確定預(yù)測威脅得分的集合。附加地或者備選地，當(dāng)安全設(shè)備230接收到指示了安全設(shè)備230將要確定威脅得分集合的信息時(shí)，安全設(shè)備230可以確定威脅得分的集合。

在一些實(shí)施方式中，安全設(shè)備230可以基于特征集合而確定預(yù)測威脅得分的集合。例如，安全設(shè)備230可以向威脅預(yù)測模型提供與特征集合相關(guān)聯(lián)的信息作為輸入(例如，由安全設(shè)備230存儲(chǔ)或者可訪問)，并且可以接收與對應(yīng)于安全函數(shù)集合的預(yù)測威脅得分集合相關(guān)聯(lián)的信息作為輸出。

附加地或者備選地，安全設(shè)備230可以基于當(dāng)前威脅得分確定預(yù)測威脅得分的集合。在一些實(shí)施方式中，當(dāng)前威脅得分可以包括默認(rèn)的威脅得分。例如，安全設(shè)備230可以在對未知對象執(zhí)行任何安全函數(shù)之前存儲(chǔ)和/或訪問標(biāo)識(shí)了默認(rèn)威脅得分、將要向威脅預(yù)測模型提供作為輸入的信息。附加地或者備選地，當(dāng)前威脅得分可以包括與對未知對象執(zhí)行一個(gè)或多個(gè)安全函數(shù)相關(guān)聯(lián)的威脅得分。例如，安全設(shè)備230可以向威脅預(yù)測模型提供與特征集合相關(guān)聯(lián)的信息以及與當(dāng)前威脅(例如，默認(rèn)威脅得分)得分相關(guān)聯(lián)的信息作為輸入，可以確定對應(yīng)于安全函數(shù)集合的預(yù)測效率的第一集合(例如，如以下所述)，并且可以使得將要對未知對象執(zhí)行第一安全函數(shù)以便確定修訂的當(dāng)前威脅得分。在該示例中，假設(shè)安全設(shè)備230確定了將要對未知對象執(zhí)行另一安全函數(shù)。安全設(shè)備230隨后可以向威脅預(yù)測模型提供與特征集合相關(guān)聯(lián)的信息以及與修訂的當(dāng)前威脅得分相關(guān)聯(lián)的信息作為輸入，可以確定對應(yīng)于安全函數(shù)集合的預(yù)測效率的第二集合，并且可以使得將要對未知對象執(zhí)行第二安全函數(shù)以便確定另一修訂的當(dāng)前威脅得分。

如圖6A中進(jìn)一步所示，方法600可以包括基于預(yù)測威脅得分集 合和當(dāng)前威脅得分而確定與安全函數(shù)集合相關(guān)聯(lián)的預(yù)測實(shí)用價(jià)值的集合(框620)。例如，安全設(shè)備230可以基于預(yù)測威脅得分集合和當(dāng)前威脅得分而確定與安全函數(shù)集合相關(guān)聯(lián)的預(yù)測實(shí)用價(jià)值的集合。在一些實(shí)施方式中，安全設(shè)備230可以在安全設(shè)備230確定了預(yù)測威脅得分集合之后確定預(yù)測實(shí)用價(jià)值的集合。附加地或者備選地，當(dāng)安全設(shè)備230接收到指示了安全設(shè)備230將要確定預(yù)測實(shí)用價(jià)值集合的信息時(shí)，安全設(shè)備230可以確定預(yù)測實(shí)用價(jià)值的集合。

預(yù)測實(shí)用價(jià)值可以包括標(biāo)識(shí)了對于與未知對象和安全函數(shù)相關(guān)聯(lián)的預(yù)測威脅得分的預(yù)測有用程度的信息。例如，預(yù)測實(shí)用價(jià)值可以包括指示了當(dāng)對對象執(zhí)行時(shí)安全函數(shù)是否可以正確地和/或準(zhǔn)確地確定指示了惡意對象是惡意對象的威脅得分、不正確地和/或不準(zhǔn)確地確定指示了惡意對象是良性對象的威脅得分、正確地和/或準(zhǔn)確地確定指示了良性對象是良性對象的威脅得分、不正確地和/或不準(zhǔn)確地確定良性對象是惡意對象的威脅得分等的預(yù)測數(shù)值(例如，在0與1之間的數(shù)值，在0與100之間的數(shù)值等)。在一些實(shí)施方式中，安全設(shè)備230可以基于威脅預(yù)測模型而確定預(yù)測實(shí)用價(jià)值的集合。例如，安全設(shè)備230可以向威脅預(yù)測模型提供與未知對象相關(guān)聯(lián)的特征集合相關(guān)聯(lián)的信息作為輸入，并且可以接收對應(yīng)于安全函數(shù)集合的預(yù)測實(shí)用價(jià)值集合作為輸出。

如圖6A中進(jìn)一步所示，方法600可以包括確定與安全函數(shù)相關(guān)聯(lián)的成本的集合(框625)。例如，安全設(shè)備230可以確定與安全函數(shù)集合相關(guān)聯(lián)的成本集合。在一些實(shí)施方式中，當(dāng)安全設(shè)備230計(jì)算了與安全函數(shù)集合相關(guān)聯(lián)的預(yù)測實(shí)用價(jià)值的集合時(shí)，安全設(shè)備230可以確定成本的集合。附加地或者備選地，當(dāng)安全設(shè)備230接收到指示了安全設(shè)備230將要確定成本集合的信息時(shí)，安全設(shè)備230可以確定成本的集合。

與安全函數(shù)相關(guān)聯(lián)的可以包括標(biāo)識(shí)了與對未知對象執(zhí)行安全函數(shù)相關(guān)聯(lián)的資源量的信息。例如，成本可以標(biāo)識(shí)計(jì)算資源的量(例如，CPU時(shí)間量、存儲(chǔ)器量等)，時(shí)間長度(例如，與對應(yīng)于安全 函數(shù)的隊(duì)列相關(guān)聯(lián)的時(shí)間長度，由安全函數(shù)對未知對象執(zhí)行安全函數(shù)所需的時(shí)間長度等)。

在一些實(shí)施方式中，安全設(shè)備230可以基于由安全設(shè)備230存儲(chǔ)并且可訪問的信息而確定成本的集合(例如，當(dāng)與安全函數(shù)相關(guān)聯(lián)的成本是已知的和/或恒定成本時(shí))。附加地或者備選地，安全設(shè)備230可以基于與安全函數(shù)集合相關(guān)聯(lián)的信息確定成本的集合。例如，安全設(shè)備230可以確定與安全函數(shù)相關(guān)聯(lián)的序列長度相關(guān)聯(lián)的信息，并且可以基于與隊(duì)列長度相關(guān)聯(lián)的信息確定與安全函數(shù)相關(guān)聯(lián)的成本。附加地或者備選地，安全設(shè)備230可以基于與威脅預(yù)測模型相關(guān)聯(lián)的信息而確定成本的集合(例如，當(dāng)安全設(shè)備230更新威脅預(yù)測模型以在訓(xùn)練期間包括與安全函數(shù)成本相關(guān)聯(lián)的信息時(shí))。

如圖6B中進(jìn)一步所示，方法600可以包括基于預(yù)測實(shí)用價(jià)值集合與成本集合而確定與安全函數(shù)集合相關(guān)聯(lián)的預(yù)測效率的集合(框630)。例如，安全設(shè)備230可以基于預(yù)測實(shí)用價(jià)值集合和成本集合而確定與安全函數(shù)集合相關(guān)聯(lián)的預(yù)測效率集合。在一些實(shí)施方式中，安全設(shè)備230可以在安全設(shè)備230確定了預(yù)測實(shí)用價(jià)值集合之后確定預(yù)測效率的集合。附加地或者備選地，安全設(shè)備230可以在安全設(shè)備230確定了成本集合之后確定預(yù)測效率集合。附加地或者備選地，當(dāng)安全設(shè)備230接收到指示了安全設(shè)備230將要確定預(yù)測效率集合的信息時(shí)，安全設(shè)備230可以確定預(yù)測效率集合。

預(yù)測效率可以包括相對于與對未知對象執(zhí)行安全函數(shù)相關(guān)聯(lián)的成本、標(biāo)識(shí)了與對未知對象執(zhí)行安全函數(shù)相關(guān)聯(lián)的預(yù)測實(shí)用價(jià)值的信息。換言之，預(yù)測效率可以指示考慮了執(zhí)行安全函數(shù)的成本而對未知對象執(zhí)行安全函數(shù)的增值價(jià)值(例如，以使得資源可以有效地使用以便最大化實(shí)用價(jià)值-成本的比值)。

在一些實(shí)施方式中，安全設(shè)備230可以基于預(yù)測實(shí)用價(jià)值集合和成本集合而確定預(yù)測效率的集合。例如，假設(shè)安全設(shè)備230已經(jīng)確定了預(yù)測實(shí)用價(jià)值集合和成本集合，如上所述。在該示例中，安全設(shè)備230可以通過將每個(gè)預(yù)測實(shí)用價(jià)值除以對應(yīng)的成本而確定預(yù) 測效率的集合。在一些實(shí)施方式中，安全設(shè)備230可以應(yīng)用不同技術(shù)以便基于預(yù)測實(shí)用價(jià)值集合和成本集合而確定預(yù)測效率的集合。

如圖6B中進(jìn)一步所示，方法600可以包括基于預(yù)測效率集合而標(biāo)識(shí)將要對未知對象執(zhí)行的特定安全函數(shù)(框635)。例如，安全設(shè)備230基于預(yù)測效率的集合而標(biāo)識(shí)將要對未知對象執(zhí)行的特定安全函數(shù)。在一些實(shí)施方式中，安全設(shè)備230可以在安全設(shè)備230確定了預(yù)測效率集合之后標(biāo)識(shí)特定的安全函數(shù)。

在一些實(shí)施方式中，安全設(shè)備230可以基于預(yù)測效率集合而標(biāo)識(shí)特定安全函數(shù)。例如，安全設(shè)備230可用標(biāo)識(shí)特定安全函數(shù)作為對應(yīng)于預(yù)測效率集合的最大預(yù)測效率的安全函數(shù)。附加地或者備選地，安全函數(shù)230可以基于效率閾值標(biāo)識(shí)特定安全函數(shù)。例如，安全設(shè)備230可以存儲(chǔ)和/或訪問標(biāo)識(shí)了效率閾值的信息，并且可以標(biāo)識(shí)滿足效率閾值的預(yù)測效率的群組。在此，安全設(shè)備230可以標(biāo)識(shí)特定安全函數(shù)作為安全函數(shù)群組之一(例如，安全函數(shù)群組的具有最低成本的安全函數(shù)等)。在一些實(shí)施方式中，安全設(shè)備230可以標(biāo)識(shí)多個(gè)特定安全函數(shù)(例如，安全函數(shù)群組的具有最低成本的安全函數(shù)等)。附加地或者備選，安全設(shè)備230可以以另一方式標(biāo)識(shí)特定安全函數(shù)。

如圖6B中進(jìn)一步所示，方法600可以包括使得將要對未知對象執(zhí)行特定安全函數(shù)以便確定與未知對象相關(guān)聯(lián)的修訂當(dāng)前威脅得分(框640)。例如，安全設(shè)備230可以使得將要對未知對象執(zhí)行特定安全函數(shù)。在一些實(shí)施方式中，安全設(shè)備230可以在安全設(shè)備230標(biāo)識(shí)了特定安全函數(shù)之后使得將要對未知對象執(zhí)行特定安全函數(shù)。附加地或者備選地，當(dāng)安全設(shè)備230接收到指示了安全設(shè)備230將要使得對于未知對象執(zhí)行特定安全函數(shù)的信息時(shí)，安全設(shè)備230可以使得將要對未知對象執(zhí)行特定安全函數(shù)。

在一些實(shí)施方式中，安全設(shè)備230可以通過對未知對象執(zhí)行特定安全函數(shù)而使得將要對未知對象執(zhí)行特定安全函數(shù)(例如，當(dāng)安全設(shè)備230托管了特定安全函數(shù)時(shí))。附加地或者備選，安全設(shè)備 230可以通過向另一設(shè)備提供未知對象而使得將要對未知對象執(zhí)行特定安全函數(shù)(例如，當(dāng)其他設(shè)備托管安全函數(shù)時(shí))。

在一些實(shí)施方式中，安全設(shè)備230可以使得并行或者串行地對未知對象執(zhí)行多個(gè)特定安全函數(shù)。

附加地或者備選地，安全設(shè)備230可以將未知對象放置在與特定安全函數(shù)相關(guān)聯(lián)的優(yōu)先隊(duì)列中(例如，與在對未知對象執(zhí)行以較低效率執(zhí)行安全函數(shù)之前對未知對象以較高效率執(zhí)行安全函數(shù)相關(guān)聯(lián)的隊(duì)列)，并且當(dāng)未知對象到達(dá)優(yōu)先隊(duì)列的前端時(shí)可以對未知對象執(zhí)行安全函數(shù)。備選地，未知對象可以以閾值時(shí)間量而保留在優(yōu)先隊(duì)列中(例如，此后未知對象返回至安全設(shè)備230和/或提供至客戶端設(shè)備210)。

在一些實(shí)施方式中，安全設(shè)備230可以確定修訂的當(dāng)前威脅得分作為使得將要對未知對象執(zhí)行特定安全函數(shù)的結(jié)果。例如，假設(shè)與未知對象相關(guān)聯(lián)的當(dāng)前威脅得分是默認(rèn)威脅得分(例如，當(dāng)尚未對未知對象執(zhí)行安全函數(shù)時(shí))。在此，安全設(shè)備230可以接收與對未知對象執(zhí)行特定安全函數(shù)相關(guān)聯(lián)的威脅得分作為使得將要對未知對象執(zhí)行特定安全函數(shù)的結(jié)果。在該示例中，安全設(shè)備230可以確定修訂的當(dāng)前威脅得分作為與對未知對象執(zhí)行特定安全函數(shù)相關(guān)聯(lián)的威脅得分(例如，替代了默認(rèn)威脅得分)。

在一些實(shí)施方式中，安全設(shè)備230可以基于之前修訂的當(dāng)前威脅得分而確定修訂的當(dāng)前威脅得分。例如，安全設(shè)備230可以確定與對未知對象執(zhí)行第一安全函數(shù)相關(guān)聯(lián)的第一修訂當(dāng)前威脅得分。在此，安全設(shè)備230可以使得將要對未知對象執(zhí)行第二安全函數(shù)，并且可以基于第一修訂當(dāng)前威脅得分和基于第二安全函數(shù)確定的威脅得分而確定第二修訂當(dāng)前威脅得分(例如，第一修訂當(dāng)前威脅得分和基于第二安全函數(shù)確定的威脅得分的平均值，第一修訂當(dāng)前威脅得分和基于第二安全函數(shù)確定的威脅得分的最高威脅得分，等)。

如圖6B中進(jìn)一步所示，方法600可以包括確定是否將要對未知對象執(zhí)行另一安全函數(shù)(框645)。例如，安全設(shè)備230可以確定是 否要對未知對象執(zhí)行另一安全函數(shù)。在一些實(shí)施方式中，安全設(shè)備230可以在安全設(shè)備230使得將要對未知對象執(zhí)行特定安全函數(shù)之后確定是否要對未知對象執(zhí)行另一安全函數(shù)。附加地或者備選地，安全設(shè)備230可以在安全設(shè)備230確定了與未知對象相關(guān)聯(lián)的修訂當(dāng)前威脅得分之后確定是否要對對象執(zhí)行另一安全函數(shù)。

在一些實(shí)施方式中，安全設(shè)備230可以基于閾值確定是否要對未知對象執(zhí)行另一安全函數(shù)。例如，安全設(shè)備230可以存儲(chǔ)和/或訪問威脅得分閾值，并且安全設(shè)備230可以基于威脅得分閾值確定是否要對未知對象執(zhí)行另一安全函數(shù)(例如，如果修訂的當(dāng)前威脅得分并不滿足威脅得分閾值，則安全設(shè)備230可以確定將要對未知對象執(zhí)行另一安全函數(shù)，如果修訂的當(dāng)前威脅得分滿足了威脅得分閾值，則安全設(shè)備230可以確定不會(huì)對未知對象執(zhí)行另一安全函數(shù))。作為另一示例，安全設(shè)備230可以基于安全函數(shù)閾值(例如，指示了將要對未知對象執(zhí)行韓全函數(shù)的閾值量的閾值)確定是否要對未知對象執(zhí)行另一安全函數(shù)。作為又一示例，安全設(shè)備230可以基于實(shí)用價(jià)值閾值確定是否要對未知對象執(zhí)行另一安全函數(shù)(例如，滿足了指示與特定安全函數(shù)相關(guān)聯(lián)并且基于威脅預(yù)測模型確定的實(shí)用價(jià)值的閾值)。在一些實(shí)施方式中，安全設(shè)備230可以確定是否以另一方式執(zhí)行另一安全函數(shù)。

附加地或者備選地，安全設(shè)備230可以基于安全函數(shù)集合而確定是否要對未知對象執(zhí)行另一安全函數(shù)。例如，如果已經(jīng)對未知對象執(zhí)行了包括在安全函數(shù)集合中的所有安全函數(shù)，則安全設(shè)備230可以確定不會(huì)對未知對象執(zhí)行另一安全函數(shù)。

如圖6B中進(jìn)一步所示，如果將要對未知對象執(zhí)行另一安全函數(shù)(框645－是)，則方法600可以包括返回至圖6A的框615。例如，安全設(shè)備230可以確定將要對未知對象執(zhí)行另一安全函數(shù)，并且安全設(shè)備230可以基于特征集合和修訂的當(dāng)前威脅得分而確定對應(yīng)于與威脅預(yù)測模型相關(guān)聯(lián)的安全函數(shù)的另一集合(例如，并不包括已經(jīng)對未知對象執(zhí)行的特定安全函數(shù)的安全函數(shù)集合)的預(yù)測威脅得 分的另一集合。

在一些實(shí)施方式中，安全設(shè)備230可以重復(fù)方法600直至安全設(shè)備230確定不會(huì)對未知對象執(zhí)行另一安全函數(shù)，如上所述。

如圖6B中進(jìn)一步所示，如果不會(huì)對未知對象執(zhí)行另一安全函數(shù)(框645－是)，則方法600可以包括基于修訂的當(dāng)前威脅得分而對對象分類(框650)。例如，安全設(shè)備230可以確定不會(huì)對未知對象執(zhí)行另一安全函數(shù)，并且安全設(shè)備230可以基于修訂的當(dāng)前威脅得分對對象分類。

在一些實(shí)施方式中，安全設(shè)備230可以基于修訂的當(dāng)前威脅得分將未知對象分類為惡意對象。例如，安全設(shè)備230可以基于將修訂的當(dāng)前威脅得分與由安全設(shè)備230存儲(chǔ)和/或可訪問的威脅得分閾值作比較而將未知對象分類為惡意對象。備選地，安全設(shè)備230可以基于修訂的當(dāng)前威脅得分(例如，當(dāng)修訂的當(dāng)前威脅得分滿足威脅得分閾值時(shí))將未知對象分類為良性對象。例如，安全設(shè)備230可以基于將修訂的當(dāng)前威脅得分與由安全設(shè)備230存儲(chǔ)和/或可訪問的威脅得分閾值作比較而將未知對象分類為非惡意對象(例如，當(dāng)修訂的當(dāng)前威脅得分并不滿足威脅得分閾值時(shí)安全設(shè)備230可以將未知對象分類為非惡意對象)。附加地或者備選地，安全設(shè)備230可以以另一和/或通過向另一設(shè)備提供修訂的當(dāng)前威脅得分而對對象分類。

在一些實(shí)施方式中，安全設(shè)備230可以(例如，向客戶端設(shè)備210，向服務(wù)器設(shè)備240等)提供與對未知對象分類相關(guān)聯(lián)的信息(例如，關(guān)于未知對象是否分類為惡意對象和非惡意對象的指示信息)。附加地或者備選地，安全設(shè)備230可以向客戶端設(shè)備提供對象(例如，當(dāng)未知對象分類為非惡意對象時(shí))。

在一些實(shí)施方式中，安全設(shè)備230可以基于特征集合、修訂的當(dāng)前威脅得分、和/或與未知對象相關(guān)聯(lián)的其他信息而更新威脅預(yù)測模型，如上所述。

盡管圖6A和圖6B示出了方法600的示例性框，在一些實(shí)施方 式中，方法600可以包括額外的框、更少的框、不同的框、或者與圖6A和圖6B中所示不同設(shè)置的框。附加地或者備選地，可以并行執(zhí)行方法600的兩個(gè)和更多框。

圖7A至圖7C是關(guān)于圖6A和圖6B中所示示例性方法600的示例性實(shí)施方式700的示意圖。為了示例性實(shí)施方式700的目的，假設(shè)安全設(shè)備(例如，SD1)托管了與確定未知對象(例如，將要提供至客戶端設(shè)備210，由客戶端設(shè)備210接收等)是否是惡意對象相關(guān)聯(lián)的安全函數(shù)的集合(例如，防病毒掃描函數(shù)，靜態(tài)分析函數(shù)，和沙盒)。此外，假設(shè)SD1管理了與預(yù)測對未知對象執(zhí)行一個(gè)或多個(gè)安全函數(shù)(例如，防病毒掃描函數(shù)、靜態(tài)分析函數(shù)、和/或沙盒)的結(jié)果相關(guān)聯(lián)的威脅預(yù)測模型。

如圖7A中以及由附圖標(biāo)記702所示，服務(wù)器設(shè)備240(例如，站點(diǎn)X服務(wù)器)可以向SD1提供未知對象(例如，基于來自由SD1保護(hù)的客戶端設(shè)備210的請求)。如附圖標(biāo)記704所示，SD1可以確定(例如，基于檢查未知對象，分析未知對象等)與未知對象相關(guān)聯(lián)的特征集合(例如大小：2.6Mb，類型：.exe，平臺(tái)：Win 8，源位置：俄羅斯)。如附圖標(biāo)記706所示，SD1可以向威脅預(yù)測模型提供與特征集合相關(guān)聯(lián)的信息(例如，以及與默認(rèn)威脅得分相關(guān)聯(lián)的信息)作為輸入，并且可以接收與未知對象相關(guān)聯(lián)的預(yù)測威脅得分的第一集合作為來自威脅預(yù)測模型的輸出。為了示例性實(shí)施方式700的目的，假設(shè)配置每個(gè)安全函數(shù)以確定指示了對象是否是惡意對象或良性對象的威脅得分(例如，是或否)。如所示，預(yù)測威脅得分的集合可以包括用于防病毒掃描函數(shù)的預(yù)測威脅得分(例如，是)，用于靜態(tài)分析函數(shù)的預(yù)測威脅得分(例如，是)，以及用于沙盒函數(shù)的預(yù)測威脅得分(例如，否)。

如所示，SD1也可以基于威脅預(yù)測模型的輸出而確定與防病毒掃描函數(shù)、靜態(tài)分析函數(shù)和沙盒函數(shù)相關(guān)聯(lián)的預(yù)測實(shí)用價(jià)值的第一集合。如所示，預(yù)測實(shí)用價(jià)值的第一集合可以包括0.75的對未知對象執(zhí)行防病毒掃描函數(shù)的預(yù)測實(shí)用價(jià)值，0.80的對未知對象執(zhí)行靜 態(tài)分析函數(shù)的預(yù)測實(shí)用價(jià)值，以及0.20的對未知對象執(zhí)行沙盒函數(shù)的預(yù)測實(shí)用價(jià)值。如附圖標(biāo)記710所示，SD1可以確定與防病毒掃描函數(shù)、靜態(tài)分析函數(shù)和沙盒函數(shù)相關(guān)聯(lián)的成本的集合(例如，基于由SD1儲(chǔ)存和/或可訪問的信息)。如所示，成本集合可以包括指示了對未知對象執(zhí)行防病毒掃描函數(shù)具有0.5分鐘成本、對未知對象執(zhí)行靜態(tài)分析函數(shù)具有1.0分鐘的成本、以及對未知對象執(zhí)行沙盒函數(shù)具有5.0分鐘成本的信息。

如圖7B中以及由附圖標(biāo)記712所示，SD1可以基于預(yù)測實(shí)用價(jià)值的第一集合和成本集合而確定與防病毒掃描函數(shù)、靜態(tài)分析函數(shù)以及沙盒函數(shù)相關(guān)聯(lián)的預(yù)測效率的第一集合。如所示，預(yù)測效率的第一集合可以包括指示了對未知對象執(zhí)行防病毒掃描函數(shù)的預(yù)測效率是1.50(例如，0.75/0.5＝1.50)、對未知對象執(zhí)行靜態(tài)分析函數(shù)的預(yù)測效率是0.80(例如，0.80/1.0＝0.80)、以及對未知對象執(zhí)行沙盒函數(shù)的預(yù)測效率是0.04(例如，0.20/5.0＝0.04)的信息。

如附圖標(biāo)記714所示，SD1可以基于預(yù)測效率的第一集合而將防病毒掃描函數(shù)標(biāo)識(shí)作為具有最大預(yù)測效率(例如，1.50>0.80，1.50>0.04)的安全函數(shù)，并且可以對未知對象執(zhí)行防病毒掃描函數(shù)。如所示，假設(shè)對未知對象執(zhí)行防病毒掃描函數(shù)導(dǎo)致防病毒掃描函數(shù)將未知對象標(biāo)識(shí)為惡意對象。如所示，SD1可以因此修訂當(dāng)前威脅得分。如附圖標(biāo)記716所示，SD1可以確定(例如，基于由SD1存儲(chǔ)或者可訪問的信息)與確定是否將要對未知對象執(zhí)行另一安全函數(shù)相關(guān)聯(lián)的閾值信息。如所示，當(dāng)修訂的當(dāng)前威脅將對象標(biāo)識(shí)為惡意的時(shí)、以及當(dāng)最近預(yù)測威脅得分的預(yù)測實(shí)用價(jià)值大于0.90時(shí)，閾值信息可以指示不會(huì)對未知對象執(zhí)行另一安全函數(shù)。如附圖標(biāo)記718所示，SD1可以確定將要對未知對象執(zhí)行另一安全函數(shù)(例如，因?yàn)椴⒉粷M足閾值)。

如圖7C中以及由附圖標(biāo)記720所示，SD1可以向威脅預(yù)測模型提供與由防病毒掃描函數(shù)所確定的修訂當(dāng)前威脅得分(例如，AV＝惡意)以及特征集合相關(guān)聯(lián)、與未知對象相關(guān)聯(lián)的信息作為輸入， 并且如附圖標(biāo)記722所示，可以接收與未知對象相關(guān)聯(lián)的預(yù)測威脅得分的第二集合作為威脅預(yù)測模型的輸出。如所示，預(yù)測威脅得分的第二集合可以包括與靜態(tài)分析函數(shù)相關(guān)聯(lián)的預(yù)測威脅得分(例如，是)，以及與沙盒函數(shù)相關(guān)聯(lián)的預(yù)測威脅得分(例如，是)。

如所示，SD1也可以基于預(yù)測威脅模型的輸出而確定與靜態(tài)分析函數(shù)和沙盒函數(shù)相關(guān)聯(lián)的預(yù)測實(shí)用價(jià)值的第二集合。如所示，預(yù)測實(shí)用價(jià)值的第二集合可以包括0.97的對未知對象執(zhí)行靜態(tài)分析函數(shù)的預(yù)測實(shí)用價(jià)值，以及0.72的對未知對象執(zhí)行沙盒函數(shù)的預(yù)測實(shí)用價(jià)值。如附圖標(biāo)記724所示，SD1可以確定與靜態(tài)分析函數(shù)和沙盒函數(shù)相關(guān)聯(lián)的成本集合。如所示，成本集合可以包括指示了對未知對象執(zhí)行靜態(tài)分析函數(shù)具有1.0分鐘成本、以及對未知對象執(zhí)行沙盒函數(shù)具有5.0分鐘成本的信息。

如附圖標(biāo)記726所示，SD1可以基于預(yù)測實(shí)用價(jià)值的第二集合和成本集合而確定與靜態(tài)分析函數(shù)和沙盒函數(shù)相關(guān)聯(lián)的預(yù)測效率的第二集合。如所示，預(yù)測效率的第二集合可以包括指示了對未知執(zhí)行靜態(tài)分析函數(shù)的預(yù)測效率是0.97(例如，0.97/1.0＝0.97)、以及對未知對象執(zhí)行沙盒函數(shù)的預(yù)測效率是0.14(例如，0.72/5.0＝0.14)的信息。

如附圖標(biāo)記728所示，SD1可以基于預(yù)測效率的第二集合而將靜態(tài)分析函數(shù)標(biāo)識(shí)作為具有最大預(yù)測效率(例如，0.97>0.14)的安全函數(shù)，并且可以對未知對象執(zhí)行靜態(tài)分析函數(shù)。如所示，假設(shè)對未知對象執(zhí)行靜態(tài)分析函數(shù)，靜態(tài)分析函數(shù)也將對象標(biāo)識(shí)作為惡意對象，以及SD1因此確定了另一修訂的當(dāng)前威脅得分。如附圖標(biāo)記730所示，SD1可以確定與是否將要對未知對象執(zhí)行另一安全函數(shù)相關(guān)聯(lián)的閾值信息。如附圖標(biāo)記732所示，因?yàn)樾抻喌漠?dāng)前威脅得分指示了對象是惡意對象，并且因?yàn)樽罱A(yù)測實(shí)用價(jià)值(例如，與靜態(tài)分析函數(shù)相關(guān)聯(lián))是0.97(例如，因?yàn)?.97>0.90)，SD1可以確定不會(huì)對未知對象執(zhí)行另一安全函數(shù)。

SD1可以隨后將未知對象分類作為惡意的(例如，基于修訂的 當(dāng)前威脅得分)和/或可以提供(例如，向站點(diǎn)X服務(wù)器，向客戶端設(shè)備210)指示了未知對象是惡意對象的信息。附加地，SD1可以進(jìn)一步基于特征集合、修訂的當(dāng)前威脅得分和/或由SD1如上所述確定的其他信息而更新威脅預(yù)測模型。

如上所示，圖7A至圖7C僅提供作為示例。其他示例是可能的并且可以不同于參照圖7A至圖7C所述。

在此所述的實(shí)施方式可以提供具有威脅預(yù)測模型的安全設(shè)備，其可以用于標(biāo)識(shí)安全函數(shù)集合的安全函數(shù)子集，當(dāng)對未知對象執(zhí)行安全函數(shù)時(shí)可以提供對于未知對象是否是惡意對象的確定而同時(shí)有效地使用計(jì)算機(jī)資源。

前述公開提供了示意和說明，但是并非意在窮舉或者將實(shí)施方式限制于所述的精確形式。修改和變形在以上公開的教導(dǎo)下是可能的，或者可以從實(shí)施方式的實(shí)踐而獲取。

如在此使用的，術(shù)語部件意在廣泛地構(gòu)造為硬件、固件、和/或硬件和軟件的組合。

一些實(shí)施方式在此結(jié)合閾值而描述。如在此使用的，滿足閾值可以涉及數(shù)值大于閾值、多于閾值、高于閾值、大于或等于閾值、小于閾值、少于閾值、低于閾值、小于或等于閾值、等于閾值等。

容易理解，在此所述的系統(tǒng)和/或方法可以以不同形式硬件、固件、或者硬件和軟件的組合而實(shí)施。用于實(shí)施這些系統(tǒng)和/或方法的真實(shí)專用控制硬件或軟件代碼不限于實(shí)施方式。因此，在此描述系統(tǒng)和/或方法的操作和行為而并不參照具體軟件代碼－應(yīng)該理解的是可以設(shè)計(jì)軟件和硬件以實(shí)施基于此處說明書的系統(tǒng)和/或方法。

即使在權(quán)利要求中引用和/或在說明書中公開了特征的特定組合，這些組合并非意在限定可能實(shí)施方式的公開。實(shí)際上，這些特征的許多可以以權(quán)利要求中并不具體引述和/或說明書中并不公開的方式而組合。盡管以下所列的每個(gè)從屬權(quán)利要求可以僅直接從屬于一個(gè)權(quán)利要求，可能的實(shí)施方式的公開包括與權(quán)利要求集合中所有其他權(quán)利要求組合的每個(gè)從屬權(quán)利要求。

在此使用的元件、動(dòng)作或指令不應(yīng)構(gòu)造為關(guān)鍵的或者必需的，除非明確給出此種指示。此外，如在此使用的，冠詞“一”和“該”意在包括一個(gè)或多個(gè)項(xiàng)目，并且可以與“一個(gè)或更多”可交換的使用。此外，如在此使用的，術(shù)語“集合”意在包括一個(gè)或多個(gè)項(xiàng)目，并且可以與“一個(gè)或多個(gè)”可交換地使用。當(dāng)意在僅一個(gè)項(xiàng)目時(shí)，使用術(shù)語“一個(gè)”或類似語言。此外，如在此使用的，術(shù)語“具有”等意在為開放式術(shù)語。此外，短語“基于”意在意味著“至少部分地基于”，除非明確給出相反指示。