用於利用用戶交互來管理對計算系統的安全威脅的技術的製作方法

2023-07-19 08:18:36

對相關美國專利申請的交叉引用

本申請要求2014年12月27日遞交的、題為「technologiesformanagingsecuritythreatstoacomputingsystemutilizinguserinteractions(用於利用用戶交互來管理對計算系統的安全威脅的技術)」的美國專利申請no.14/583,692的優先權。

背景技術：

用於計算系統的傳統的安全軟體和技術通常試圖通過在任何潛在的威脅感染計算系統之前避開或減少這些威脅來使系統保持完全受保護。由於計算系統與其他計算設備變得更加互聯並且甚至更多的設備變得「智能化」且能夠進行通信，因此保持計算系統完全擺脫所有威脅的現實概率降低了。無論如何，典型的安全系統運行在總能得到這樣的能力或狀態的範式上。儘管可以採取大量措施來確保或幾乎確保計算系統的安全性(例如，將計算系統從通信網絡中移除)，但是這些措施過度地限制了對計算系統的使用並且降低了其對用戶的價值。

此外，許多典型的安全軟體和技術試圖在不與用戶交互的情況下對付潛在的威脅或修復活躍的威脅。也就是說，典型的安全技術試圖自動保護計算系統，以免打擾用戶。雖然這樣的安全範式對於用戶來說可能是有用的，但是用戶可能沒有被教授良好的安全習慣以及用戶可用來進一步減輕安全威脅的響應。

附圖說明

在附圖中通過示例的方式而非限制的方式示出了本文所述的概念。為說明的簡單和清楚起見，圖中示出的元件不一定是按比例繪製的。當給以適當的考慮時，在各圖間重複參考標號以指示相應的或類似的元件。

圖1是用於利用用戶交互來管理對計算系統的威脅的系統的至少一個實施例的簡化框圖；

圖2是可由圖1的系統的計算系統建立的環境的至少一個實施例的簡化框圖；

圖3是可由圖1和圖2的計算系統執行的用於管理威脅的方法的至少一個實施例的簡化流程圖；

圖4是可由圖1和圖2的計算系統利用的各種抑制(mitigation)方案和相關聯的抑制動作的簡化時序圖；以及

圖5是使用戶習慣於執行各種威脅抑制動作的方法的至少一個實施例的簡化流程圖。

具體實施方式

雖然本公開的概念容許各種修改和替代形式，但是已經在附圖中以示例的方式示出了本公開的概念的具體實施例並將在本文中進行更詳細地描述。但是，應當理解，並不意圖將本公開的概念限制到所公開的特定形式，而是相反地，意圖是涵蓋符合本公開以及所附權利要求的全部修改、等同及替代。

在說明書中提及「一個實施例」、「實施例」、「說明性實施例」等表明所描述的實施例可以包括特定特徵、結構或特性，但是每個實施例可以包括或可以不必包括特定特徵、結構或特性。而且，這樣的短語不一定指代同一實施例。此外，當結合實施例描述特定特徵、結構或特性時，主張本領域技術人員能夠認識到結合無論是否明確描述的其他實施例來實現這樣的特徵、結構或特性。另外，應當認識到，採用「a、b、和c中的至少一個」形式的列表中所包括的項可以表示(a)；(b)；(c)：(a和b)；(b和c)；(a和c)；或(a，b，和c)。類似地，以「a、b、或c中的至少一個」形式列出的項可以表示(a)；(b)；(c)：(a和b)；(b和c)；(a或c)；或(a，b，和c)。

在一些情形下，可以在硬體、固件、軟體、或其任意組合中實現所公開的實施例。所公開的實施例還可以被實現為由一個或多個暫態或非暫態機器可讀(例如，計算機可讀)存儲介質攜帶或存儲於其上的指令，這些指令可以被一個或多個處理器讀取並執行。機器可讀存儲介質可以實現為用於存儲或傳輸採用機器可讀的形式的信息的任意存儲設備、機構、或其他物理結構(例如，易失性或非易失性存儲器、介質盤或其他介質設備)。

在附圖中，可以以具體的安排和/或排序示出一些結構特徵或方法特徵。然而，應當認識到，這樣的具體的安排和/或排序可能不是必需的。而是，在一些實施例中，可以與不同於說明性圖示中所示的那些的方式和/或順序來安排這樣的特徵。另外，特定圖中包括結構特徵或方法特徵並不意圖暗示所有實施例中都需要這樣的特徵，並且在一些實施例中，可以不包括這樣的特徵，或者這樣的特徵可以與其他特徵進行組合。

現在參考圖1，用於利用用戶交互來管理對計算系統的安全威脅的系統100包括可以計算系統102，該計算系統102通過網絡108與一個或多個遠程計算系統104和/或可信計算系統106通信。如下面更詳細地討論的，計算系統102在使用時被配置為監測計算系統102上出現的安全威脅，並且生成多個抑制和/或檢測方案(scenario)以響應檢測到的單個安全威脅。每個抑制方案可以包括由計算系統102的不同威脅響應系統在不同的時間尺度上所執行的不同的抑制動作。如下面更詳細地討論的，通過針對單個威脅實施多個抑制方案，計算系統102能夠在不同的時間尺度上監測每個抑制方案的有效性和/或結果，以確定「最佳案例」抑制方案，這被驗證並保存以用於以後對抗重複的相同類型的安全威脅。應當理解，與試圖避免感染計算系統的典型安全方法不同，計算系統102假設安全威脅已經感染了計算系統102，並且在一些實施例中可以讓它這麼做。通過這種方式，使用不具有完全不受攻擊的計算機系統的假設，計算系統102集中於抑制動作以糾正或抑制由安全威脅(例如，惡意軟體)引起的威脅或動作。

除了確定最佳抑制方案以對給定的安全威脅進行響應之外，計算系統102還在抑制技術中使計算系統102的用戶養成習慣或訓練計算系統102的用戶。為此，計算系統102可以實施可以是重複的或實際的威脅的威脅方案，並且實施先前被驗證的抑制方案以響應安全威脅。為此，計算系統102請求來自用戶的威脅抑制用戶交互以幫助抑制安全威脅。在一些實施例中，計算系統102可以就恰當的威脅抑制用戶交互來獎勵用戶，以更好地訓練用戶或使用戶習慣於良好的安全習慣。通過這種方式，計算系統102再次在安全威脅會發生的假設下訓練用戶如何響應安全威脅。

計算系統102可以被實現為能夠使用多個抑制方案來響應安全威脅以及執行本文所述的其他功能的任何類型的計算機系統。例如，計算系統102可以被實現為伺服器、計算機、多處理器系統、基於處理器的系統、臺式計算機、平板計算機、筆記本電腦、膝上型計算機或任何其他能夠生成如本文所述的威脅評估的計算設備。儘管計算系統102在圖1中被示意性地示出為是單個計算設備，但應當理解計算系統102可以被實現為分布式計算系統、虛擬計算系統、雲服務、計算機或計算系統的集合、或以其他方式具有分布式架構。

如圖1所示，計算系統102包括處理器120、i/o子系統122、存儲器124、數據存儲裝置126、顯示器128和通信電路130。當然，在其他實施例中，計算系統102可以包括其他或附加的組件，例如通常存在於計算機中的組件(例如，各種輸入/輸出設備)。另外，在一些實施例中，一個或多個說明性組件可以被包含在另一組件中、或者可以以其他方式形成另一組件的一部分。例如，在一些實施例中，存儲器124或其一部分可以被包含在處理器120中。

處理器120可以被實現為能夠執行本文所描述的功能的任何類型的處理器。例如，處理器120可以被實現為(一個或多個)單核或多核處理器、單插槽或多插槽處理器、數位訊號處理器、微控制器或其他處理器或處理/控制電路。類似地，存儲器124可以被實現為能夠執行本文所描述的功能的任何類型的易失性或非易失性存儲器或數據存儲裝置。在操作中，存儲器124可以存儲在計算系統102的操作期間使用的各種數據和軟體，例如，作業系統、應用、程序、庫和驅動器。存儲器124經由i/o子系統122被通信地耦合到處理器120，i/o子系統122可被實現為促進處理器120、存儲器124和計算系統102的其他組件的輸入/輸出操作的電路和/或組件。例如，i/o子系統122可以被實現為或以其他方式包括存儲器控制器集線器、輸入/輸出控制集線器、固件設備、通信鏈路(即，點到點鏈路、總線鏈路、電線、電纜、導光板、印刷電路板走線等)和/或其他組件和子系統以促進輸入/輸出操作。在一些實施例中，i/o子系統122可以形成片上系統(soc)的一部分並且與處理器120、存儲器124和計算系統102的其他組件一起包含在單個集成電路晶片上。

數據存儲裝置126可以被實現為被配置用於數據的短期或長期存儲的任何類型的一個或多個設備。例如，數據存儲裝置126可以包括任何一個或多個存儲器設備和電路、存儲卡、硬碟驅動、固態驅動或其他數據存儲設備。在一些實施例中，如下文所討論的，數據存儲裝置126可以存儲各種資料庫，其中資料庫包括威脅抑制動作資料庫250、威脅響應系統資料庫252和經驗證的抑制方案資料庫254(參見圖2)。

顯示器128可以被實現為能夠向用戶顯示圖像、數據和/或其他信息的任何類型的顯示器，包括但不限於液晶顯示器(lcd)、發光二極體(led)、等離子體顯示器、陰極射線管(crt)或其他類型的顯示設備。在一些實施例中，顯示器128可以包括觸控螢幕以促進用戶交互。

通信電路130可以被實現為能夠實現計算系統102與遠程計算系統104和可信計算系統106之間的通信的任何類型的通信電路、設備或它們的集合。為此，通信電路130可以被配置為使用任何一種或多種通信技術和相關聯的協議(例如，乙太網、wimax等)來實現這種通信。

在一些實施例中，計算系統102還可以包括一個或多個外圍設備132。這樣的外圍設備132可以包括通常存在於伺服器或計算機設備中的任何類型的外圍設備，例如，硬體鍵盤、輸入/輸出設備、外圍通信設備和/或其他外圍設備。

各個遠程計算系統104可被實現為可周期性地與計算系統102通信的任何類型的計算機或計算機系統。在說明性實施例中，一個或多個遠程計算系統104在交互期間是不可信賴的並且向計算系統102傳送安全威脅。例如，被感染的遠程計算系統104可以用利用惡意軟體感染計算系統102，計算系統102將惡意軟體視為安全威脅並實施下文所討論的多個抑制方案。

(一個或多個)可信計算系統106還可以被實現為能夠通過網絡108與計算系統102通信的任何類型的計算機或計算機系統。如下面更詳細地討論的，計算系統102可以將一個或多個可信計算系統106用作作為抑制方案的一部分的威脅響應系統，以處理出現在計算系統102上的安全威脅。因此，(一個或多個)可信計算系統106可以被配置為直接響應安全威脅、在響應於安全威脅時向計算系統102提供幫助(例如，執行惡意軟體分析)和/或以其他方式參與抑制方案以抑制在計算系統102上出現的安全威脅。

現在參考圖2，計算系統102在使用時可以建立環境200。說明性環境200包括威脅檢測模塊202、威脅抑制分析模塊204和用戶習慣化模塊206。這些模塊中的每個模塊和環境200中的其他組件可以被實現為固件、軟體、硬體或它們的組合。例如，環境200中的各種模塊、邏輯和其他組件可以形成處理器120、i/o子系統122、soc或計算系統102的其他硬體組件的一部分，或通過其他方式由處理器120、i/o子系統122、soc或計算系統102的其他硬體組件建立。因此，在一些實施例中，環境200中的任何一個或多個模塊可以被實現為電路或電子設備的集合(例如，威脅檢測電路、威脅抑制分析電路和用戶習慣化電路等)。

威脅檢測模塊202被配置為檢測計算系統102上的安全威脅的存在。為此，威脅檢測模塊202可以利用任何合適的算法或方法以檢測包括例如病毒籤名、行為分析和/或其他方法的安全威脅。

威脅抑制分析模塊204被配置為在計算系統102上構建多個威脅抑制方案以對抗安全威脅、實施抑制方案、並評估各個抑制方案的結果。為此，威脅抑制分析模塊204包括威脅抑制方案生成器210。如上文所討論的，每個抑制方案包括由一個或多個響應系統在不同時間尺度上執行的一個或多個抑制動作。根據計算系統102的實現方式和處理能力，威脅抑制方案生成器210可以被配置為生成少量到大量的抑制方案。例如，在說明性實施例中，其中計算系統102被實現為具有大規模處理能力的緊急計算系統(其可以是分布式的)，並且產生數千個或數百萬個威脅抑制方案以響應於給定的安全威脅。

如圖2所示，威脅抑制方案生成器210包括威脅抑制動作選擇模塊220。威脅抑制動作選擇模塊220針對每個抑制方案選擇一個或多個抑制動作。說明性地，用於每個抑制方案的抑制動作集合在這些抑制方案中是獨一無二的。每個抑制動作可以被實現為可以由威脅響應系統執行的任何類型的動作，威脅響應系統可以位於計算系統102上或在計算系統102的遠程(例如，可信計算系統106)上。例如，抑制動作可以被實現為傳統的安全功能，例如備份數據、重裝應用程式、重啟、恢復到安全點、數據日誌記錄、安全威脅的社會共享、安全威脅的公共指責、完美的前向保密、和/或其他安全功能或威脅抑制功能(或其組合)。此外，每個抑制功能可以被實現為可以在給定時間上被執行、被周期性地執行、被重複執行等等的單個動作或多個動作。

在一些實施例中，可用的抑制動作可以被預先定義並被存儲在威脅抑制動作資料庫250中。在這樣的實施例中，威脅抑制動作選擇模塊220可以從威脅抑制動作資料庫250中選擇用於每個抑制方案的威脅抑制動作。例如，威脅抑制動作選擇模塊220可以隨機地選擇和分配抑制動作或者根據某些標準或選擇算法來選擇抑制動作。

威脅抑制方案生成器210還包括威脅響應系統選擇模塊222。威脅響應系統選擇模塊222針對每個抑制方案選擇一個或多個威脅響應系統。同樣，在說明性實施例中，用於每個抑制方案的威脅響應系統集合在抑制方案中是獨一無二的。每個威脅響應系統可以被實現為計算系統102可用於響應和/或抑制安全威脅的任何硬體、軟體、固件或其組合系統。此外，威脅響應系統可以來自計算系統102的任何架構層，並且可以或可以不專用於安全功能。例如，一個威脅響應系統可以被實現為計算系統102可用於執行某種類型的威脅抑制動作的應用，而另一個威脅響應系統可以被實現為可用於執行某種類型的威脅抑制動作的內核進程，並且又一個威脅響應系統可以被實現為能夠執行某種類型的威脅抑制動作的硬體組件。

在一些實施例中，可用的威脅響應系統可以被預先定義並且被存儲在威脅響應系統資料庫252中。在這樣的實施例中，威脅響應系統選擇模塊222可以從威脅響應系統資料庫252中選擇用於每個抑制方案的威脅響應系統。例如，威脅響應系統選擇模塊222可以隨機地選擇和分配威脅響應系統或者根據某些標準或選擇算法選擇威脅響應系統。

如下面更詳細地討論的，威脅抑制方案生成器210實施所生成的抑制方案。在這樣做時，可以在不同的時間尺度上執行每個抑制方案的每個抑制動作，如下文關於圖4所討論的。如上文所述，計算系統102監測各種抑制方案在抑制安全威脅方面的有效性。為此，威脅抑制分析模塊204包括評估模塊212，該評估模塊212被配置為評估各個抑制方案在響應於安全威脅時其單獨的有效性。評估模塊212可以使用任何合適的測量標準(例如，解析度、數據丟失量、威脅消除的徹底性等)。評估模塊212被配置為選擇一個抑制方案作為最佳或優選的抑制方案以作為響應特定安全威脅的經驗證的抑制方案。評估模塊212隨後將經驗證的抑制方案存儲在經驗證的抑制方案資料庫254中。

在一些實施例中，威脅抑制分析模塊204還可以包括威脅抑制共享模塊214。威脅抑制共享模塊214被配置為與其他可信計算系統106共享經驗證的抑制方案，其中可信計算系統106可以利用抑制方案來對安全威脅進行響應。

如上文所討論的，計算系統102還被配置為訓練用戶使之具有或使用戶習慣於符合經驗證的抑制方案的良好的響應動作和/或安全習慣。為此，計算系統102可以實施可以複製安全威脅或向計算系統引入實際的安全威脅的威脅方案。為此，用戶習慣化模塊206包括威脅生成模塊230，該威脅生成模塊230被配置為基於被存儲在經驗證的抑制方案資料庫254中的可用的經驗證的抑制方案來生成安全威脅。也就是說，威脅生成模塊230選擇先前已被成功解決的安全威脅。如上文所討論的，威脅生成模塊230可以實施作為被複製的訓練對象的安全威脅，或者可以將實際安全威脅重新引入計算系統102(例如，將惡意軟體重新引入系統)。

用戶習慣化模塊還包括用戶交互模塊232，用戶交互模塊232被配置為在執行用於響應所生成的安全威脅的抑制方案期間提示用戶進行交互。用戶交互模塊232可以通過任何方式(例如，經由建議、請求、命令等)來提示用戶。所請求的用戶交互可以被實現為能夠抑制或幫助抑制安全威脅的任何類型的用戶動作。在一些實施例中，用戶交互模塊232還被配置為對用戶的成功交互進行獎勵。通過這種方式，用戶交互模塊232可以創建類似遊戲的環境，在該環境中在有幫助的抑制任務中訓練用戶。

現在參考圖3，計算系統102在使用時可以執行用於管理安全威脅的方法300。方法300從框302開始，其中計算系統102對安全威脅的存在進行監測。如上文所討論的，計算系統102可以利用任何合適的方法來監測安全威脅(例如，病毒籤名、行為分析等)。如果在框302中檢測到安全威脅，則方法300前進到框304，其中計算系統102確定被應用於響應安全威脅的抑制方案。如上文所討論的，計算系統102可以基於計算系統102的處理能力和/或其他標準來實現任意數量的抑制方案。另外，每個抑制方案包括由不同的威脅響應系統在不同時間執行的多個抑制動作。因此，在框306中，計算系統102選擇用於每個抑制方案的一個或多個威脅抑制動作。另外，在框308中，計算系統102選擇威脅響應系統以執行每個抑制方案的每個抑制動作。如上文所討論的，威脅響應系統可以是來自計算系統102的不同架構層和/或位於計算系統102的遠程處。

在框310中，計算系統102確定所選擇的抑制方案的時間順序，以針對各種抑制方案建立不同的時間尺度。例如，如圖4所示，說明性抑制策略400包括五個不同的抑制方案(msi-ms5)，每個抑制方案具有不同的抑制動作集合(ma1-ma8)。此外，每個抑制動作可以相對於來自其他抑制方案的抑制動作在不同的時間尺度上被採用。例如，每個抑制動作可以具有不同的開始時間。特別地，在兩種不同的抑制方案中，相同的抑制動作可能具有不同的開始時間。應當理解，抑制方案之間的時間尺度的差異可以被表示為或可以不被表示為絕對時間。例如，時間調整可以通過調整執行特定抑制方案的計算系統或組件上的時鐘速度來實現。

返回參考圖3，在框304中確定了抑制方案之後，計算系統102在框312中啟動所確定的抑制方案。在執行抑制方案期間，計算系統102可以請求來自用戶的威脅抑制交互，這可以成為經驗證的抑制方案的一部分。

隨後，在框316中，計算系統102記錄針對每個抑制方案的抑制性能數據。抑制性能數據可以被實現為指示相應抑制方案抑制特定安全威脅的有效性的任何類型的數據。在框318中，計算系統102確定所有抑制方案是否都已完成。如果沒有，則方法300前進到框320，在框320中，計算系統102繼續剩餘的抑制方案，並且在框316中繼續記錄抑制性能數據。

然而，如果所有的抑制方案已經完成，則方法300前進到框322，在框322中，計算系統102評估每個抑制方案的結果。如上文所討論的，計算系統102可以使用任何合適的標準來評估每個抑制方案的有效性。在這樣做時，計算系統102選擇一個抑制方案作為用於響應該特定威脅的經驗證的抑制方案，並將經驗證的抑制方案存儲在經驗證的抑制方案資料庫254中。

現在參考圖5，計算系統102在使用時還可以執行用於使用戶習慣於執行各種威脅抑制動作的方法500。方法500從框502開始，在框502中，計算系統102確定是否對用戶激活威脅抑制訓練。如果是，則方法500前進到框504，在框504中，計算系統102識別針對用戶威脅抑制習慣所需的安全威脅。如上文所討論的，計算系統102可以選擇先前已經確定經驗證的抑制方案所針對的任何安全威脅。

在選擇了安全威脅之後，方法500前進到框506，在框506中，計算系統102啟動安全威脅方案。如上文所討論的，安全威脅方案可以是安全威脅的複製方案，或可以是計算系統102實際感染的安全威脅。不論如何，在框508中，計算系統102從經驗證的抑制方案資料庫254獲得用於所選擇的安全威脅的經驗證的抑制方案，並在框510中啟動經驗證的抑制方案。

在執行經驗證的抑制方案期間，計算設備在框512中請求來自用戶的威脅抑制交互。計算系統102可以隨機地、周期性地或響應於抑制方案的動作來請求這樣的交互。例如，在一些實施例中，可以請求用戶執行計算系統102先前自動執行的、作為抑制方案的一部分的動作。

在框514中，計算系統102響應於該請求而接收用戶交互。如上文所討論的，計算系統102可以在框516中針對成功交互而獎勵用戶。隨後，在框518中，計算系統102確定威脅是否已被抑制。如果沒有，則方法500前進到框520，在框520中，計算系統102繼續抑制方案，這包括在框512中請求用戶交互。然而，如果威脅已被抑制，則方法500前進到框522，在框522中，計算系統102評估用戶對威脅抑制交互的請求進行響應的性能，並在框524中相應地獎勵用戶。通過這種方式，計算系統102訓練用戶或使用戶習慣於執行有用的抑制動作以抑制針對計算系統102的真實世界的安全威脅。隨著時間的推移，用戶的習慣性抑制動作可以改善計算系統102的整體安全性。

示例

下面提供本文公開的設備、系統和方法的說明性示例。設備、系統和方法的實施例可以包括下述示例中的一個或多個或其任意組合。

示例1包括一種用於管理安全威脅的計算系統，該計算系統包括：威脅檢測模塊，用於檢測針對計算系統的安全威脅的存在性；威脅抑制分析模塊，用於確定用來抑制安全威脅的多個抑制方案並且在計算設備上實施多個抑制方案中的每個抑制方案以抑制安全威脅，其中，每個抑制方案包括：(i)將由計算系統執行的一個或多個威脅抑制動作，(ii)將被用於執行所選擇的威脅抑制動作的計算系統的一個或多個威脅響應系統，以及(iii)所確定的抑制動作的時間順序；以及評估模塊，用於評估每個抑制方案的威脅抑制結果並且基於對威脅抑制結果的評估從多個抑制方案中選擇一個抑制方案來對未來的安全威脅進行響應。

示例2包括示例1的主題，並且其中，評估模塊還將所選擇的威脅抑制方案存儲為用於對安全威脅進行響應的經驗證的威脅抑制方案。

示例3包括示例1和2中任意項的主題，並且還包括：用戶習慣化模塊，用於在計算系統上實施威脅方案以複製所述安全威脅，其中，威脅抑制分析模塊接收經驗證的威脅抑制方案並且實施經驗證的威脅抑制方案以抑制威脅方案，並且其中，用戶習慣化模塊還請求來自用戶的與計算系統的至少一個威脅抑制用戶交互，以使用戶習慣於對安全威脅進行響應。

示例4包括示例1-3中任意項的主題，並且其中，用戶習慣化模塊還基於威脅抑制用戶交互獎勵用戶。

示例5包括示例1-4中任意項的主題，並且其中，用戶習慣化模塊進一步：確定威脅方案是否已經被經驗證的威脅抑制方案所抑制；以及基於威脅抑制用戶交互評估用戶抑制威脅方案的性能。

示例6包括示例1-5中任意項的主題，並且其中，一個或多個威脅響應系統包括：不專用於計算系統的安全性的計算系統的一個或多個系統。

示例7包括示例1-6中任意項的主題，並且其中，一個或多個威脅響應系統包括：位於計算系統的遠程的響應系統。

示例8包括示例1-7中任意項的主題，並且其中，確定一個或多個威脅響應系統包括：確定多個響應系統，其中，多個響應系統中的各個響應系統是來自計算系統的不同架構層。

示例9包括示例1-8中任意項的主題，並且其中，確定一個或多個威脅響應系統包括：確定來自計算系統的硬體層的響應系統，並且確定來自計算系統的應用層的響應系統。

示例10包括示例1-9中任意項的主題，並且其中，確定所確定的抑制動作的時間順序包括：針對每個抑制方案的每個抑制動作確定相關聯的抑制動作的開始時間。

示例11包括示例1-10中任意項的主題，並且其中，每個抑制動作的開始時間不同於另外的抑制動作的開始時間。

示例12包括示例1-11中任意項的主題，並且其中，實施多個抑制方案中的每個抑制方案包括：根據相關聯的時間順序使用相關聯的響應系統實施每個抑制方案的每個抑制動作。

示例13包括示例1-12中任意項的主題，並且其中，實施多個抑制方案中的每個抑制方案包括：在多個抑制方案中的至少一個抑制方案的實施期間請求由用戶執行的威脅抑制用戶交互。

示例14包括示例1-13中任意項的主題，並且其中，評估每個抑制方案的威脅抑制結果包括：確定每個抑制方案在抑制安全威脅對計算系統的影響方面的有效性。

示例15包括示例1-14中任意項的主題，並且其中，檢測安全威脅的存在性包括：檢測計算系統上的惡意軟體的存在性。

示例16包括示例1-15中任意項的主題，並且其中，一個或多個威脅抑制動作包括：可由計算系統實施以對所檢測到的安全威脅進行響應的安全動作。

示例17包括示例1-16中任意項的主題，並且其中，一個或多個威脅抑制動作包括：數據備份動作、數據恢復動作、數據日誌動作、社會共享動作、公眾指責動作或完美的前向保密動作。

示例18包括一種用於管理計算系統上的安全威脅的方法，該方法包括：由計算系統檢測針對計算系統的安全威脅的存在性；由計算系統確定用來抑制安全威脅的多個抑制方案，其中，確定多個抑制方案包括：針對每個方案確定(i)將由計算系統執行的一個或多個威脅抑制動作，(ii)將被用於執行所選擇的威脅抑制動作的計算系統的一個或多個威脅響應系統，以及(iii)所確定的抑制動作的時間順序；由計算系統實施多個抑制方案中的每個抑制方案以抑制安全威脅；由計算系統評估每個抑制方案的威脅抑制結果；以及由計算系統基於對威脅抑制結果的評估從多個抑制方案中選擇一個抑制方案來對未來的安全威脅進行響應。

示例19包括示例18的主題，並且還包括：由計算系統將所選擇的威脅抑制方案存儲為用於對安全威脅進行響應的經驗證的威脅抑制方案。

示例20包括示例18和19中任意項的主題，並且還包括：由計算系統在計算系統上實施威脅方案以複製安全威脅；獲取經驗證的威脅抑制方案；實施經驗證的威脅抑制方案以抑制威脅方案；以及由計算系統並且向用戶請求與計算系統的至少一個威脅抑制用戶交互，以使用戶習慣於對安全威脅進行響應。

示例21包括示例18-20中任意項的主題，並且還包括：由計算系統基於威脅抑制用戶交互獎勵所述用戶。

示例22包括示例18-21中任意項的主題，並且還包括：由計算系統確定威脅方案是否已經被經驗證的威脅抑制方案所抑制；以及基於威脅抑制用戶交互評估用戶抑制威脅方案的性能。

示例23包括示例18-22中任意項的主題，並且其中，確定一個或多個威脅響應系統包括：確定不專用於計算系統的安全性的計算系統的一個或多個系統。

示例24包括示例18-23中任意項的主題，並且其中，確定一個或多個威脅響應系統包括：確定位於計算系統的遠程的響應系統。

示例25包括示例18-24中任意項的主題，並且其中，確定一個或多個威脅響應系統包括：確定多個響應系統，其中，多個響應系統中的每個響應系統是來自計算系統的不同架構層。

示例26包括示例18-25中任意項的主題，並且其中，確定一個或多個威脅響應系統包括：確定來自計算系統的硬體層的響應系統，並且確定來自計算系統的應用層的響應系統。

示例27包括示例18-26中任意項的主題，並且其中，確定所確定的抑制動作的時間順序包括：針對每個抑制方案的每個抑制動作確定相關聯的抑制動作的開始時間。

示例28包括示例18-27中任意項的主題，並且其中，每個抑制動作的開始時間不同於另外的抑制動作的開始時間。

示例29包括示例18-28中任意項的主題，並且其中，實施多個抑制方案中的每個抑制方案包括：根據相關聯的時間順序使用相關聯的響應系統實施每個抑制方案的每個抑制動作。

示例30包括示例18-29中任意項的主題，並且其中，實施多個抑制方案中的每個抑制方案包括：在多個抑制方案中的至少一個抑制方案的實施期間請求由用戶執行的威脅抑制用戶交互。

示例31包括示例18-30中任意項的主題，並且其中評估每個抑制方案的威脅抑制結果包括：確定每個抑制方案在抑制安全威脅對計算系統的影響方面的有效性。

示例32包括示例18-31中任意項的主題，並且其中，檢測安全威脅的存在性包括：檢測計算系統上的惡意軟體的存在性。

示例33包括示例18-32中任意項的主題，並且其中，確定一個或多個威脅抑制動作包括：確定可由計算系統實施以對所檢測到的安全威脅進行響應的安全動作。

示例34包括示例18-33中任意項的主題，並且其中，確定一個或多個威脅抑制動作包括：確定數據備份動作、數據恢復動作、數據日誌動作、社會共享動作、公眾指責動作或完美的前向保密動作。

示例35包括一種或多種計算機可讀存儲介質，包括存儲在上面的多個指令，所述多個指令響應於被執行使得計算設備執行如示例18-34中任意項所述的方法。

示例36包括一種用於管理安全威脅的計算系統，該計算系統包括用於執行如示例18-34中任意項所述的方法的裝置。