安全信息和事件管理的製作方法

2023-05-07 17:16:22

相關申請的交叉引用

本申請要求2014年12月2日提交的美國專利申請14/557,545號的優先權，該申請的全部內容包含於此。

本創造性的配置涉及安全信息和事件管理(securityinformationandeventmanagement，「siem」)。更具體地，本創造性的配置涉及使用一種新型普遍攔截管理器(universalinterceptionmanager，「uim」)在計算系統中實現對事件的普遍攔截的系統和方法。

背景技術：

各種siem系統被用於促進對計算設備的保護以防惡意軟體威脅。這些siem系統包括用於檢測網絡節點中事件發生的多個siem傳感器。數據記錄器被提供用於記錄所檢測到的與各個網絡節點中發生的事件中的每個事件相關聯的信息。集中式數據處理器周期性地訪問該數據記錄並從中檢索信息。檢索到的來自多個源的信息被匯集，使得可以監視整個系統的操作。這些源包括服務、資料庫和應用程式。然後可以對所述信息進行後續處理以：識別事件的共同屬性；根據事件的共同屬性來關聯所述信息；根據相關信息發出報警；和/或生成具有事件數據的圖表，使得可以檢測系統內的活動模式。

技術實現要素：

本發明涉及在計算系統中實現對事件的普遍攔截的系統和方法。這些方法包括攔截由作業系統(operatingsystem，「os」)對象管理器執行的多個功能，這些功能指定在其中發生的物理事件。每個物理事件包括在運行時間內的任何時刻在os中發生的實時事件。獲取物理事件信息，所述物理事件信息表明哪些物理事件被所攔截的由os對象管理器執行的功能指定。

然後分析所述物理事件信息以識別與每個物理事件相關聯的多個虛擬事件。特別地，在某些情況下，所述物理事件信息的不同部分在任何給定時間被至少兩個事件處理程序同時、同步或異步地分析。每個虛擬事件包括當os子系統執行多個操作中的促進相應的物理事件的發生一個操作時發生的事件。

然後過濾虛擬事件信息以生成僅指定所述虛擬事件中的選擇的虛擬事件的過濾信息。所述虛擬事件信息指定(1)被識別為與物理事件相關聯的虛擬事件，和/或(2)表徵在os的運行時間內由用戶模式程序或內核模式程序請求的至少一個操作的特定背景的至少一個屬性。在某些情況下，基於事先指定的物理事件類型或虛擬事件類型的安全關聯性，對所述虛擬事件信息進行過濾。

然後將過濾信息序列化，使得所述信息以由所述物理事件中對應的物理事件發生的時間限定的順序識別虛擬事件。序列化的過濾信息被置於隊列中，用於後續處理以檢測對計算設備的惡意軟體威脅。此後，所述過濾信息被分派到數據記錄器軟體程序、惡意軟體檢測軟體程序或入侵檢測軟體程序。

在一些情況下，計算系統可以是基於安全信息和事件管理(「siem」)的網絡的一部分。這樣，所述方法可以進一步包括：將所述過濾信息記錄在至少一個記錄文件中；並且提供遠程集中式數據處理器對所述記錄文件的訪問。然後由遠程集中式數據處理器執行操作以匯集來自多個網絡節點的過濾信息。可以分析所匯集的過濾信息以檢測所述惡意軟體威脅。

附圖說明

將參考以下附圖描述實施例，其中在所有附圖中相同的附圖標記表示相同的項目，並且其中：

圖1是對於理解本發明有用的系統的示例性架構的示意圖。

圖2是圖1所示的客戶端計算機的示例性架構的示意圖。

圖3是用於理解圖1所示的並由圖1和圖2的客戶端計算機實現的普遍攔截管理器的操作的示意圖。

圖4是用於檢測計算系統內的事件的示例性方法的流程圖。

具體實施方式

將容易理解，在此一般地描述並在附圖中示出的實施例的各部分可以以各種不同配置進行布置和設計。因此，以下對附圖所示的各種實施例的更詳細的描述並不旨在限制本公開的範圍，而僅是各種實施例的代表。儘管在附圖中示出了實施例的各個方面，但是除非特別指出，附圖不一定按比例繪製。

在不脫離本發明的精神或本質特徵的情況下，本發明可以以其他具體形式實施。所描述的實施例在所有方面僅被認為是說明性的而不是限制性的。因此，本發明的範圍由所附權利要求而不是由本詳細描述來限定。在權利要求的等同物的含義和範圍內的所有變化都將包括在其範圍內。

在整個說明書中對特徵、優點或類似語言的引用並不意味著可以通過本發明實現的所有特徵和優點都應當在或在本發明的任何單個實施例中。相反，涉及特徵和優點的語言應被理解為意味著結合實施例描述的特定特徵、優點或特點包括在本發明的至少一個實施例中。因此，整個說明書中的特徵和優點以及相似的語言的討論可以但不一定是指相同的實施例。

此外，本發明的所描述的特徵、優點和特點可以以任何合適的方式組合在一個或多個實施例中。根據本文的描述，相關領域的技術人員將認識到，可以在沒有特定實施例的一個或多個具體特徵或優點的情況下實踐本發明。在其他情況下，附加特徵和優點可能在某些實施例中被確認，而可能不存在於本發明的所有實施例中。

在本說明書中對「一個實施例」，「實施例」或類似語言的引用意味著結合所指實施例描述的特定特徵、結構或特點包括在本發明的至少一個實施例中。因此，在整個說明書中短語「在一個實施例中」、「在實施例中」和類似的語言可以但不一定都指代相同的實施例。

如本文中所使用的，除非上下文另有明確規定，單數形式「一」、「一個」和「該」包括多個。除非另有定義，本文使用的所有技術和科學術語具有與本領域普通技術人員通常理解的相同的含義。如本文中所使用的，術語「包括」是指「包括但不限於」。

本發明一般涉及使用一種新型普遍攔截管理器(「uim」)在計算系統中普遍攔截事件的系統和方法。uim是一種系統級傳感器，其能夠以非常高的粒度攔截和處理幾乎無限數量的異步事件，並且以最小的性能退化影響與作業系統(「os」)對象管理器同時運行。隨著討論的進行，uim的操作將會變得明顯。特別地，uim可以在硬體、軟體和/或兩者中實現。此外，os對象管理器(例如，windows對象管理器)在本領域中是眾所周知的，因此這裡將不再贅述。

現在參考圖1，圖1提供了對於理解本發明有用的系統100的示例性架構的示意圖。系統100一般地配置為識別並響應對它的安全威脅。特別地，系統100的響應時間比傳統的基於siem的系統(例如本文背景技術中所公開的)更快。在這方面，系統100實現了本文討論的用於每個網絡節點內的事件檢測的新型uim技術。

如圖1所示，系統100包括客戶端計算機102、伺服器計算機106和集中式數據處理器(centralizeddataprocessor,「cdp」)108。計算機102、106、108中的每一個可以作為單個獨立設備操作或可以連接(例如，使用網絡104)到其他計算設備以分布式方式執行各種任務。計算機102、106、108中的每一個可以包括各種類型的計算系統和設備，包括個人計算機(「pc」)、平板電腦、膝上型計算機、臺式計算機或能夠執行一組指令(順序或其他)的任何其他設備，該組指令指定該設備要採取的動作。應當理解，本公開的設備還包括提供語音、視頻或數據通信的任何電子設備。此外，雖然圖1中示出了單個客戶端計算機102，但是短語「客戶端計算機」和「計算機系統」應被理解為包括單獨或共同執行一組(或多組)指令以執行本文中的任何一種或多種方法的計算設備的任何集合。

計算機102、106、108通過與網絡104的相應連接彼此通信地耦合。網絡104包括網際網路、區域網(lan)、廣域網(wan)或用於連接計算機的任何其他合適的網絡。這樣，可以在計算機102、106、108之間傳送數據。

在一些情況下，系統100是基於siem的系統。這樣，計算機102、106、108實現siem技術。更具體地，計算機102、106實現本發明的新型uim技術和數據記錄技術。該uim技術通過uim112或116軟體程序來實現。該數據記錄技術通過數據記錄器118或120軟體程序來實現。特別地，該uim技術可以由運行作業系統(「os」)的任何網絡節點使用。因此，系統100可以包括其上安裝有uim軟體的任何數量的計算機。因此，本發明不限於圖1所示的特定系統架構。

每個計算機102、106包括用於記錄與在其中發生的事件有關的信息(在本文中稱為「事件相關數據」)的數據記錄器118、120。事件指定由os110或114的對象管理器(例如，windowsos)正在執行的操作。這樣的信息由在計算機102、106上運行的uim112或116獲取。然後使這些記錄可被cdp108訪問。

cdp是本領域公知的，因此本文將不贅述。然而，應當理解，cdp108執行數據匯集操作、數據關聯操作、報警操作和/或儀錶板操作。數據匯集操作一般包括匯集來自多個源，如來自客戶端計算機102和伺服器計算機106的事件相關數據。關聯操作包括識別多個事件的共同屬性並根據它們的共同屬性將事件連結成組。報警操作包括對關聯事件執行自動分析，並產生報警，該報警指定哪些事件需要先於其他事件被調查。儀錶板操作包括生成並呈現顯示事件相關數據中的模式的圖表。

現在參考圖2，圖2提供了圖1所示的客戶端計算機102的示例性架構的示意圖。伺服器計算機106與客戶端計算機102相同或類似。因此，以下對伺服器計算機102的討論足以理解伺服器計算機106。

如圖1所示，客戶端計算機102包括系統接口214、用戶接口202、中央處理單元(「cpu」)、系統總線208、通過系統總線208連接到客戶端計算機102的其他部分並且可由其訪問的存儲器210、以及連接到系統總線208的硬體實體212。硬體實體212中的至少一些執行包括對存儲器210的訪問和使用的動作，其可以是隨機訪問存儲器(「ram」)、磁碟驅動器和/或壓縮盤只讀存儲器(「cd-rom」)。

用戶接口202包括輸入設備、輸出設備和配置為允許用戶與安裝在客戶端計算機102上的軟體應用程式交互並控制該軟體應用程式的軟體例程。這樣的輸入和輸出設備包括但不限於顯示器屏幕(未示出)、揚聲器(未示出)、鍵盤(未示出)、方向墊(未示出)、方向旋鈕(未示出)和麥克風(未示出)。這樣，用戶接口202可以促進用於啟動安裝在客戶端計算機102上的軟體應用程式(例如，web瀏覽器)的用戶-軟體交互。

系統接口214允許客戶端計算機102直接或間接地與其他遠程位置的計算機(例如，圖1的伺服器106和/或cdp108)通信。如果客戶端計算機102正在間接地與遠程計算機通信，則客戶端計算機102通過公共通信網絡(例如，圖1的網絡104)發送和接收信息。

硬體實體212可以包括微處理器、專用集成電路(「asic」)和其他硬體。硬體實體可以包括被編程用於提供siem相關功能，更具體地說是uim功能的微處理器。在這方面，應當理解，該微處理器可以訪問和運行安裝在客戶端計算機102上的uim112軟體程序。或者，該微處理器可以在其上安裝有uim軟體程序。下面將關於圖3描述uim112。

如圖2所示，硬體實體212可以包括磁碟驅動器單元224，磁碟驅動器單元224包括計算機可讀存儲介質226，其上存儲有一組或多組指令220(例如，軟體代碼)，用於實現本文描述的方法、過程或功能中的一個或多個。在由客戶端計算機102執行期間，指令220還可以完全地或至少部分地駐留在存儲器210內和/或cpu206內。存儲器210和cpu206也可以構成機器可讀介質。

雖然在示例性實施例中將計算機可讀存儲介質226示為單個存儲介質，但術語「計算機可讀存儲介質」應當被視為包括單個介質或多個介質(例如，集中式或分布式資料庫和/或相關聯的高速緩存和伺服器)，其存儲所述一組或多組指令。術語「計算機可讀存儲介質」還應被視為包括能夠存儲，編碼或攜帶一組指令以供機器執並且使機器執行本公開的任一種或多種方法的任何介質。

因此，術語「計算機可讀存儲介質」應被視為包括但不限於固態存儲器，如：存儲卡或包含一個或多個只讀(非易失性)存儲器的其他封裝、ram或其他可重寫(易失性)存儲器；磁光或光介質，如盤或磁帶；載波信號，如在傳輸介質中體現計算機指令的信號；和/或電子郵件的或被認為是與有形存儲介質相當的分配介質的其他自包含信息歸檔或一組歸檔的數字文件附件。因此，本公開被認為包括本文列出的任何一種或多種計算機可讀介質或分發介質，並且包括其中存儲本文中的軟體實現的公認的等同物和後繼介質。

現在參考圖3，圖3提供了對於理解圖1和圖2所示的uim112的操作有用的示意圖。圖1的uim116與uim112相同或類似。因此，以下對uim112的討論就足以理解uim116。

通常，uim112被配置為檢測由os對象管理器302正在執行的操作，並將關於檢測到的操作的信息提供給uim客戶端314(例如，圖1的數據記錄器118或120、入侵防禦系統和/或反木馬(anti-rootkit)防禦系統)。os對象管理器在本領域中是公知的，因此在此不再贅述。但應當理解，os對象管理器302是os110的集中式資源代理，其保持對分配給進程的資源的跟蹤。

在某些情況下，os對象管理器302包括windows對象管理器。windows對象管理器是作為管理windows資源的windowsexecutive(即低級內核模式軟體程序)的一部分實現的子系統。表現為邏輯對象的每個資源駐留在用於分類的命名空間中。資源可以包括但不限於物理設備、文件、文件夾、註冊表項和正在運行的進程。表示資源的所有對象都有一個對象類型屬性和有關該資源的其他元數據。windows對象管理器是一個共享資源，並且處理資源的所有子系統都必須通過os對象管理器。這些子系統包括緩存管理器、配置管理器、輸入/輸出(「i/o」)管理器、本地過程召用、存儲器管理器以及進程結構和安全參考監視器。所有這些列出的子系統和os對象管理器都包括windowsexecutive的服務。

os對象管理器302被實現為底層os的內核模式組件。本文中使用的短語「內核模式」是指進程運行內核代碼(例如，設備驅動程序代碼、平臺服務代碼和允許完全訪問客戶端計算機102的其他內核代碼)的狀態。os對象管理器302提供實現不同類型的過濾器的不同服務。特別地，os的核心是基於面向對象的模型。因此，os對象管理器302是用於對被表示為對象的資源進行連貫和統一管理的os中的全系統架構融合點。例如，在windowsos應用程式中，os對象管理器302通過以下方式來管理os中的對象：提供用於管理和使用系統資源的共同的統一機制；提供用於管理系統對象的創建和銷毀的共同的統一機制；提供用於建立和使用系統對象的共同的統一的可擴展的基於方法的模型；支持對系統對象的基於句柄(handle-based)的訪問；根據引用計數執行存儲器管理；保留用於跟蹤對象信息的對象命名空間資料庫；保持對分配給每個進程的資源的跟蹤；提供共同的統一的集中的安全模式；以及跟蹤特定對象的訪問權限以提供安全性。

os的各種標準工具創建它們自己的唯一對象類型以表示其內部數據並提供與每個單獨對象類型相關聯的多組服務。唯一對象類型描述系統範圍內這類對象的所有實例的共同性質。例如，windows對象管理器的i/o工具創建文件對象類型，其包括打開的文件的所有副本或打開的i/o設備的所有副本。換句話說，os內的對象是需要os的多個應用程式、組件、模塊和系統服務進行共享訪問的特定的內核模式數據結構。在不包含該os管理器工具的情況下，在os內幾乎不會發生有意義或有用的事情。

對於os110中的每種類型的對象，存在與其相關聯的os服務和數據結構。這樣的os服務和數據結構可以通過指定的os應用程式編程接口(「api」)功能以編程方式訪問，這些功能是每個獨立的os對象管理器工具所特有的。例如，為了創建文件，os110導出作為特定os工具(例如，windows用戶模式win32工具)的一部分的系統功能(例如，createfile功能)。該功能調用適當的os服務(例如，windows內核模式executive工具)，創建和表示一個打開的文件。在windows應用程式中，executive工具(作為處理整個createfile請求的完整部分)內部調用適當的windows對象管理器方法，該方法本身將創建特定文件類型的系統複合對象。

os對象管理器302也可以被視為實現普遍服務和方法的專用調度器，這些普遍服務和方法本身管理摘要類型的一些共享資源的壽命。如上所述，os110是邏輯匯聚點，所有os服務在該處提供對表示為對象的os中的共享資源的一致、統一和安全的訪問。為了訪問對象的特定實例，用戶模式應用程式、系統服務和/或內核模式驅動程序調用打開的操作，在其間檢查訪問權限並且創建特殊描述符。這裡使用的短語「用戶模式」是指進程運行應用程式代碼(例如最終用戶應用程式代碼)而不是內核代碼(例如，設備驅動程序代碼和平臺服務代碼)的狀態。

由os對象管理器實現的一組對象類型取決於客戶端計算機102採用的os的版本。下面的列表給出可以通過osapi獲得的os對象管理器302的一些基本對象：適配器；回調(callback)；控制器；調試對象(debugobject)；桌面；設備；目錄；驅動程序；事件；事件對；文件；函數指針(iocompletion)；工作；鍵；鍵入的事件；突變體；埠；進程；簡檔；部分；信號量；符號連結；線程；定時器；令牌；類型；可等待埠；窗口站；和wmiguide。這些列出的對象中的每一個在本領域中都是公知的，因此在此不再贅述。

再次參考圖3，uim102與os對象管理器302通信地集成，使得其可以過濾對os系統服務的召用並將過濾後的召用分派給uim客戶端314。在這點上，uim102包括事件處理程序304-308、事件過濾器310和虛擬事件調度器(virtualeventsdispatcher，「ved」)312。事件處理程序304-308通常被配置為檢測和攔截由os對象管理器302執行的指定在其中發生的物理事件的功能。

在某些情況下，事件處理程序304-308實現了在kouznetsov的美國專利no.7,765,558(558專利)中描述的用於檢測和攔截計算系統中的事件的技術。558專利通過引用併入本文。

這裡使用的術語「物理事件」是指在運行時間中的任何特定時刻在os110中發生的實時事件。例如，物理事件可以包括對os系統服務的召用、對象的創建或關閉、或對象狀態的修改。物理事件的發生是異步的，獨立的並且與uim的啟用或禁用無關。

事件處理程序304-308還被配置為識別與每個物理事件相關聯的多個虛擬事件(換句話說，將每個物理事件映射到多個虛擬事件)；並且將信息352發送到事件過濾器310，信息352指定識別出的每個物理事件的虛擬事件以及在隨後的串行化處理期間放置虛擬事件的順序。這裡使用的術語「虛擬事件」是指當os子系統執行多個操作中的促進相應的物理事件發生的一個操作時發生的事件。因此，物理事件可以導致根據預先存儲的查找表(「lut」)的內容識別和選擇各種和多個虛擬事件。例如，作業系統使用相同的系統服務來創建以下三種不同類型的對象：文件；命名管道；和信箱。新創建的對象的物理本質由對該特定系統服務的召用的參數確定。從邏輯觀點來看，對系統服務的召用可以由若干不同的操作組成，每個操作本身可以映射到多個不同的虛擬事件中的對應的一個。

每個虛擬事件可以與表徵被請求的操作的特定背景的一組屬性相關聯。該組屬性由每個單獨的事件處理程序304-308根據其處理物理事件的內部邏輯來限定。在這方面，每個事件處理程序304-308可以訪問包含虛擬事件的唯一標識符和指定虛擬事件的至少一個屬性的信息的數據結構。該數據結構可以包括但不限於lut。虛擬事件的屬性可以包括但不限於回溯(back-trace)功能，該功能被表示為，為了處理虛擬事件(以及與所討論的虛擬事件相關聯的其他任意數據，如召用線程、進程等的標識符)而被os110調用的各種功能的回調狀態。

在一些情況下，事件處理程序304-308被配置為處理與多個物理事件中的相應物理事件相關聯的信息350。因此，事件處理程序不處理相同的物理事件信息。因此，這些事件處理程序可以在任何時間同步、同時、異步地處理不同的物理事件信息。這個概念非常重要，因為它允許最小化多個uim客戶端314可能引起的不必要的全系統性能降級影響。

每個事件處理程序304-308的細節和內部實現的邏輯取決於分配給事件處理程序的物理事件的具體類型以及如何和為何使用該物理事件的背景和目標。事件處理程序304-308的總體目標是(a)將每個物理事件實時轉換(或映射)到虛擬事件，以及(b)使虛擬事件可用於由多個異步並同時運行的uim客戶端314進一步處理。這種實時轉換(或映射)意味著僅獲得在每個單獨的物理事件發生時可用的背景信息，同時將關於它的信息打包成摘要和與背景無關的數據流。這樣的信息可以通過lut被事件處理程序304-308獲得。

一些類型的事件處理程序可以包括但不限於執行事件處理程序(executiveeventhandlers，「eeh」)和對象事件處理程序(objecteventhandlers，「oeh」)。eeh處理與os內核的高級系統服務相關聯的信息。相比之下，oeh處理與os對象管理器302生成的私密事件相關聯的信息。

當正在調用os系統服務來管理駐留在os對象管理器302的內核級別(例如，windowsexecutive工具)的對象時，由oeh生成虛擬事件。oeh攔截物理事件，同時向多個uim客戶端314提供以下功能和特徵：對發送到類型對象的方法(本文中也稱為「對象類型方法」)的召用進行低級過濾；對os對象管理器提供的基本服務的召用進行高級過濾；以及獲取與給定物理事件相關聯的背景相關信息。對象類型方法在對象實例的生命周期的各個階段被異步調用。所述階段包括但不限於：打開(創建對象的描述符)；關閉(關閉對象的描述符)；刪除(刪除對象)；查詢名稱(查詢二級命名空間中對象的名稱)；解析(在二級命名空間中查找對象的名稱)；和安全性(讀取或修改對象的安全屬性和設置)。所述基本服務包括但不限於：按名稱打開(以其名稱打開對象)；按名稱引用(按其名稱搜索對象)；創建對象(創建可在os對象管理器中訪問的對象的實例)；創建對象類型(創建特定類型的新對象)；查找句柄(搜索以前打開的對象的描述符)；以及插入對象(插入某種類型的對象，使對象可通過其句柄或名稱訪問)。使用以下服務獲取背景相關信息：召用方id(在其背景中沒發生物理事件的進程和線程的唯一標識符)；在其背景中沒發生物理事件的進程的主模塊的名稱和地址；以及在處理物理事件期間調用的召用的基於堆棧的回溯。鑑於前述，oeh充當虛擬事件的提供方，允許對訪問，操縱和使用os對象管理器已知的對象的每個和每次嘗試進行跟蹤。

再次參考圖3，事件處理程序304-206將指定虛擬事件的虛擬事件信息352傳送給事件過濾器310。特別地，在運行時間期間，響應由用戶模式程序或內核模式程序發出的特定請求，在os110中發生物理事件。這種物理事件必須以最小的延遲被處理，以避免出現明顯不必要的全系統性能下降影響。某些類型的物理事件可能相當密集地產生，因此這樣的物理事件可能導致事件處理程序304-308產生巨量的必須在uim112內序列化的虛擬事件數據。虛擬事件數據的這種序列化由事件過濾器310執行。在所述序列化之後，事件過濾器310動態過濾實時虛擬事件，使得與選擇的物理事件相關聯的虛擬事件信息被傳遞到ved312。在這點上，虛擬事件信息352基於先前指定的各種虛擬事件類型的安全相關性、事先指定的物理事件類型的安全關聯性和/或uim客戶端314涉及的物理事件的類型，由事件過濾器310動態過濾。例如，某些uim客戶端314關注於僅過濾和監視選擇的物理事件，其背景涉及特定文件組的文件、特定分支的註冊表或這種分支的組、特定進程或進程組、特定線程或線程組等的事件的打開。

作為由事件過濾器310執行的動態過濾的結果，生成了過濾後的虛擬事件信息354。過濾後的虛擬事件信息354包括指定事件發生的信息，該事件與保護計算系統以防惡意軟體威脅相關。然後將這樣的信息354轉發到ved312，它被臨時按隊列存儲在其中。該隊列可以包括預定長度的循環緩衝器。ved312將信息354分派到uim客戶端314(例如，圖1的數據記錄器118)以進一步處理(例如，數據記錄)。基於先入先出(「fifo」)方法從該隊列輸出信息354。特別地，ved312提供的功能可用於內核模式組件和用戶模式組件二者。

圖4是在計算系統(例如，圖1的計算機102或106)中普遍攔截事件的示例性方法400的流程圖。方法400從步驟402開始，並繼續步驟404。步驟404包括攔截由os對象管理器(例如，圖3的os對象管理器302)正在執行的指定在其中發生的物理事件的多個功能。每個物理事件包括在運行時間內的任何時刻在os中發生的實時事件。在步驟406中獲得物理事件信息，該物理事件信息表明哪些物理事件被所攔截的由os對象管理器正在執行的功能指定。

然後在步驟408中分析物理事件信息，以識別與每個所述物理事件相關聯的多個虛擬事件。特別地，在某些情況下，物理事件信息的不同部分在任何給定時間被至少兩個事件處理程序(例如，圖3的事件處理程序304-308)同步、同時或異步地分析。每個虛擬事件包括當os子系統執行多個操作中的促進相應物理事件發生的一個操作時發生的事件。

然後在步驟410中對虛擬事件信息進行過濾，以生成僅指定虛擬事件中的選擇的虛擬事件的過濾信息。虛擬事件信息指定(1)被識別為與物理事件相關聯的虛擬事件，和/或(2)表徵在os運行時間期間由用戶模式程序或內核模式程序請求的至少一個操作的具體背景的至少一個屬性。在某些情況下，根據事先指定的物理事件類型或虛擬事件類型的安全關聯性過濾虛擬事件信息。

然後在步驟412中將該過濾信息序列化，使得該信息以由發生對應的物理事件的時間限定的順序標識虛擬事件。序列化的過濾信息被置於隊列中用於後續處理以檢測對計算設備的惡意軟體威脅，如步驟414所示。此後，執行步驟416，其中過濾信息被分派到數據記錄器軟體程序或惡意軟體檢測軟體程序。此後，執行步驟418，其中方法400結束或執行其他處理。

在某些情況下，計算系統可以是基於安全信息和事件管理(「siem」)的網絡的一部分。這樣，所述方法還可以包括：將過濾信息記錄在至少一個記錄文件中；以及提供遠程集中式數據處理器對該記錄文件的訪問。然後由遠程集中式數據處理器執行操作以匯集來自多個網絡節點的過濾信息。可以分析所匯集的過濾信息以檢測所述惡意軟體威脅。

特別地，windows對象管理器工具提供的服務和方法不易被其他惡意軟體檢測或siem傳感器解決方案(及類似物)所使用和依賴的由windows提供的任何標準過濾和事件管理機制用來攔截和監視。換句話說(非正式地)，與所提出的高解析度siem傳感器的方法相比，「其他」解決方案是「盲目的低解析度」。因此，這樣的其他傳統解決方案實際上錯失了在os中實時發生的許多對安全敏的感甚至對安全關鍵的事件和活動。因此，這些傳統的設計方案是不充分的，並且註定要大大降低/阻礙隨後的安全相關決策產生過程的質量，如檢測隱身惡意軟體等。例如，作為其他惡意軟體檢測或siem傳感器解決方案開始具有的所述盲目/低解析度的直接結果，很多惡意軟體、攻擊和異常情況根本沒有被檢測到(一個人不能打擊看不到的威脅，並且如果通過設計，開始具有低分辨能力，那麼永遠不能通過清晰度看到足夠好)。

本文公開和要求保護的所有裝置、方法和算法可以根據本公開，在沒有過度實驗的情況下進行和執行。雖然已經根據優選實施例描述了本發明，但是對於本領域技術人員顯而易見的是，在不脫離本發明的概念、精神和範圍的情況下，可以對裝置、方法和方法的步驟順序進行改變。更具體來說，顯而易見的是，可以針對本文描述的組件，添加，組合或替換某些組件，同時獲得相同或相似的結果。對於本領域技術人員顯而易見的所有這樣的類似替換和修改被認為在所限定的本發明的精神、範圍和概念之內。