具有自适应机器学习特征的网络安全系统的制作方法

本公开涉及网络安全领域，并且具体来说，涉及网络安全方面的机器学习。

背景技术：

由于日常商业活动中使用的网络连接装置的激增，导致大型组织的网络安全风险日益复杂。终端用户装置(如雇员的智能电话)可能会因为有针对性的网络威胁或物理失窃的装置而暴露用户或组织的敏感信息。跟踪和防范此类威胁的常规方法不能提供足够的信息来有效检测、解决并了解整个大型组织中装置漏洞的影响。

技术实现要素：

为具有自适应机器学习特征的网络安全系统而提供所述实施方式。由信息技术(it)系统管理的终端用户装置配备有本地机器学习功能。该机器学习功能建立用户签名，该用户签名对于随着时间的推移监测用户装置的使用而学习的特定行为模式而言是独特的。机器学习功能使用该用户签名来定义并检测用户装置的异常使用事件(如暗示用户装置被盗用的使用)、被未经授权用户使用、或者受到恶意软件危害。在检测到这样的事件之后，该机器学习功能会触发一系列自动操作来响应该安全威胁。所采取的特定动作或动作序列可以随着时间的推移随着机器学习功能而自适应，以有效地挖掘针对所怀疑威胁事件的数据，包括询问不良行动者网络和装置，以及尝试访问用户装置上的特定信息或资源。所挖掘的数据可以被发送至也配备有机器学习功能的中央或远程管理服务器，以标识攻击模式并向用户装置提供用于响应该安全威胁的特定指令或数据(例如，提供给访问请求的假信息)。

一个实施方式是一种系统，该系统包括：被配置成通过网络来管理多个用户装置的服务器，和包括接口和处理器的用户装置。所述接口被配置成，通过所述网络与所述服务器通信，并且所述处理器实现机器学习功能，该机器学习功能被配置成随着时间监测与所述用户装置的用户交互以建立使用简档，基于来自所述使用简档的变化检测所述用户装置的异常使用，确定所述异常使用是否表示安全威胁，并且指令所述用户执行一个或更多个自动动作，以响应所述安全威胁。

另一实施方式是，一种装置，该装置包括处理器，该处理器被配置成，基于用户装置的历史使用来检测该用户装置的异常使用，将所述异常使用的信息输入到机器学习功能中，并且根据所机器学习功能的输出来确定网络威胁的特征。所述处理器还被配置成，基于所述网络威胁的所述特征，为所述用户装置确定要执行的自动动作，并且指令所述用户装置执行所述自动动作，以响应所述网络威胁。

其它示例性实施方式(例如，涉及前述实施方式的方法和计算机可读介质)可以在下面进行描述。已经讨论的特征、功能以及优点可以在不同实施方式中独立实现，或者可以在其它实施方式中组合，其进一步细节可以参照下列描述和附图而了解。

附图说明

下面，仅通过示例的方式并且参照附图，对本公开的一些实施方式进行描述。相同标号表示所有图中的相同部件或相同类型的部件。

图1例示了示例性实施方式中的企业网络环境。

图2是示例性实施方式中的自适应安全系统的框图。

图3是在示例性实施方式中利用自适应安全系统增强的用户装置的框图。

图4是在示例性实施方式中利用自适应安全系统增强的远程服务器的框图。

图5是在示例性实施方式中利用自适应安全系统增强的管理服务器的框图。

图6是例示在示例性实施方式中检测和响应安全威胁的方法的流程图。

图7-图10是例示在示例性实施方式中用于自动响应安全威胁的方法的流程图。

图11是例示在示例性实施方式中用于确定异常是否指示安全威胁的方法的流程图。

图12是例示在示例性实施方式中用于导出图形入侵事件序列的方法的流程图。

图13是例示在示例性实施方式中用于更新企业网络环境的安全策略的方法的流程图。

具体实施方式

附图和以下描述例示了本公开的具体示例性实施方式。因此，应当清楚，尽管这里未明确描述或示出，但本领域技术人员能够设计出具体实施本公开的原理，并且被包括在本公开的范围内的各种排布结构。而且，本文所述任何示例都旨在帮助理解本公开的原理，并且应被解释为不限于这种具体陈述的示例和条件。结果，本公开不限于下述具体实施方式或示例，而是通过权利要求书及其等同物来进行限制。

图1例示了示例性实施方式中的企业网络环境100。企业网络环境100包括：具有管理大型组织或企业的计算机安全的管理系统110的企业网络102。该企业网络102还包括：由边缘装置1081、2、…、n形成的入侵检测系统106，如服务器、网关、防火墙、路由器；以及监测企业网络102与外部网络124之间的业务并报告/阻止可疑业务的其它网络部件。企业网络102支持由相应用户1521、2、…、n操作的用户设备(ue)1501、2、…、n执行各种计算机任务。ue150例如可以包括个人计算机、膝上型电脑、智能电话等。ue150可以由企业的雇员或客户操作。

如图1所示，ue150可以经由一个或更多个外部网络124直接(例如，在其中操作)或者间接(例如，在其外部操作)与企业网络102连接。在任何情况下，ue150可以通过诸如因特网之类的外部网络124来访问诸如网站、数据库以及服务器这样的外部资源126。一些外部资源126，或外部网络124上的恶意行动者128，可能对ue150造成安全威胁。安全威胁可以包括：尝试经由ue150访问与企业有关的敏感或有价值信息的手动或自动攻击。

许多现代安全威胁包括复杂的技术，随着时间的推移自动演化该威胁，以逃避现有检测/响应机制。此外，敏感或有价值的企业信息越来越易受到企业网络102外部的、在以后时间可能在企业网络102内部可能被利用的目标装置(例如，移动装置)的攻击。在以前的系统中，难以检测涉及与企业有关的网络连接装置的利用或物理盗窃的攻击，并且安全人员通常无法收集与攻击来源有关的、可能以其它方式用于标识和修复企业的安全漏洞的信息。

因此，为了改进企业网络环境100的计算机安全性，管理系统110、远程服务器130、以及ue150可以利用自适应安全系统170来增强。对于ue150，自适应安全系统170可以基于对特定装置而言是独特的行为简档，来检测安全威胁并对其进行响应。也就是说，每个ue150可以以不同的能力、在不同的环境中以及由不同的用户152进行操作，并且自适应安全系统170可以根据每个ue150的本地使用和设定来控制自动安全动作。对于远程服务器130来说，自适应安全系统170可以向ue150提供针对正在进行的安全威胁的支持功能。对于管理系统110来说，自适应安全系统170可以提供系统范围安全威胁模式的分析，以建立攻击者简档和安全规则。应当清楚，企业网络环境100是用于讨论目的的示例性环境，并且本文所述的自适应安全系统170的特征可以在另选环境和应用中采用。下面，对自适应安全系统170关于管理系统110的、远程服务器130以及ue的操作的例示性示例和细节进行讨论。

图2是示例性实施方式中的自适应安全系统170的框图。该自适应安全系统170包括接口组件202，一个或更多个处理器204，以及存储器206。接口组件202可以包括：如下硬件组件或装置(例如，收发器、天线等)，其被配置成通过诸如外部网络124和/或企业网络102这样的网络进行通信，以与ue150、远程服务器130、或管理系统110交换消息。处理器204表示提供自适应安全系统170的功能的内部电路、逻辑、硬件等。存储器206是用于数据、指令、应用等的计算机可读存储介质(例如，只读存储器(rom)或闪存)，并且可通过处理器204存取。自适应安全系统170可以包括图2中未具体例示的各种其它组件。

处理器204实现机器学习功能(mlf：machinelearningfunction)210。mlf210可以按可操作以实现机器学习技术的硬件、固件和/或软件的任何组合来实现。机器学习通常是指，一种能够解析输入数据、从数据中学习、然后基于其学习自适应其输出的自动化处理。这与传统的计算机处理不同，在传统的计算机处理中，指令或编程是预定义的和明确的，以使在相同入下重复相同的步骤。也就是说，不是预先已经定义了活动，而是可以在不需要明确的手写编程或用户干预/指令的情况下训练mlf210以观察数据中的模式，并自适应地调整动作或步骤来接管(takeover)时间。

图3是在示例性实施方式中利用自适应安全系统170增强的ue150的框图。ue150可以包括：诸如膝上型电脑或智能电话这样的用户装置，诸如路由器或网络部件这样的边缘装置108，或者由企业网络102的管理系统110管理的任何其它装置。ue150包括：一个或更多个处理器302，其被配置成处理计算机可执行指令以控制ue150的操作，并且实施本文所述的实施方式。处理器302与包括硬件304的ue150的各种子系统交互。硬件304包括存储器306、嵌入式邮件组件330、处理输入组件335以及网络组件340。在该示例中，硬件组件330包括：可操作来接收触摸屏输入的显示器331，可操作以拍摄图像和视频的摄像机332，可操作以投放声音的扬声器333，以及可操作以捕获声音的麦克风334。处理输入组件335包括：诸如键盘和外部存储装置这样的输入/输出(i/o)外围装置336，一个或更多个处理器337，以及机存取存储器(ram)338。示例性网络组件340包括：用于蓝牙341、全球定位卫星(gps)342、wifi343以及无线电344的通信组件。

利用包括与模块360-365联接的mlf210的自适应安全系统170来增强ue150。更具体地说，自适应安全系统170包括：活动监测模块360、异常检测模块361、威胁响应模块362、初始化模块363、蜜罐(honeypot)模块364、以及报告模块365。模块360-365中的每一个都可以按硬件、固件以及软件的任意组合来实现，并且可以与mlf210连接或者在mlf210中实现，以执行用于检测和响应安全威胁的机器学习技术。自适应安全系统170和/或mlf210的组件可以在操作系统(os)310的部分、os310的内核312(例如，在os310的内核312之上的存储器306的受保护区域中)、硬件抽象层(hal)318内，在分离程序或应用中，在专用硬件缓冲器或处理器中，或其任何组合来实现。另外，可以设想，自适应安全系统170和/或mlf210的组件可以存储在存储器306中以供处理器302使用，或临时加载到ram338中以供处理器302使用。

一般来说，os310包括：可以包括本机和用户安装的应用的应用层305；可以包括服务、管理器以及运行时间环境的框架层307；以及可以包括系统库和其它用户库的库层308。用户可以通过接口303(如呈现菜单、按钮以及可选控制项的图形用户接口(gui))与os310交互，以控制和使用在os310上运行的应用。hal318是os310与硬件层之间的层，并且用于将os310调整成不同的处理器架构。os310可以在在内核312中包括hal318或者采用设备驱动器的形式，其为应用提供与和硬件外围装置进行交互的一致结构。另选或者另外地，hal318可协调ue150的各个级别处的应用编程接口(api)以监测/观察系统事件、状态变化等。这样，os310和/或hal318可以为ue150提供授权用于访问ue150的硬件或资源的应用或动作的各种安全设定。

模块360-365可以修改os310和/或hal318的操作，以适应ue150的安全设定。例如，活动监测模块360可监测在ue150上发生的os310的各种内部服务和活动，如针对存储器306的输入/输出(i/o)请求的类型的改变，对文件系统314的文件访问、修改、重命名多久一次的改变等。活动监测模块360可以检测经由内部数据路径上的系统服务316接收的通信请求中的变化，以记录经由os310和/或hal318与ue150的子系统发生的各种交换指令、消息或事件。活动监测模块360可以与mlf210交互以获得所学习的特征，确定是减少还是增加正被监测资源的数量，或者确定是否改变正被监测的资源。活动监测模块360还可以将所记录信息作为装置使用数据374存储在存储器306中。

异常检测模块361被配置成，确定ue装置150是否表现出异常行为。异常检测模块361可以与mlf210交互，以从异常使用信息(如威胁级别、类型、分类)获得安全威胁的特征。另选或者另外地，异常检测模块361可以生成攻击者数据376，该攻击者数据376标识或预测关于诸如攻击的标识或动作的安全威胁的信息。威胁响应模块362被配置成，选择针对特定类型的异常行为或安全威胁的动作计划。初始化模块363被配置成，应用安全设定370、参数371或作为用于执行与mlf210的操作的参数的其它策略、规则或用户设定。蜜罐模块364被配置成，防止或干扰用户请求或动作。蜜罐模块364可以使用hal318来实现被保护数据373，以隐藏敏感信息和/或生成/提供将针对数据的恶意请求转移到不正确数据集的不正确数据377。报告模块365可以实现机器对机器通信或自动消息交换，以针对有关安全威胁的外部监测/响应，将装置使用数据374和/或攻击者数据376发送给远程服务器130、管理系统110或对等ue150。下面，讨论模块360-365的、用于执行为ue150定制的机器学习技术的附加操作细节，以检测安全威胁并触发自动的动作系列。

图4是在示例性实施方式中利用自适应安全系统170增强的远程服务器130的框图。远程服务器130包括接口组件402，该接口组件402被配置成，通过一个或更多个外部网络124、一个或更多个控制器404、以及存储器406与ue150和/或管理系统110进行通信。控制器404表示提供远程服务器130的功能的内部电路、逻辑、硬件等。存储器406是用于数据、指令、应用等的计算机可读存储介质，并且可通过控制器404存取。远程服务器130可以包括图4中未具体例示的各种其它组件。

控制器404实现包括mlf210和假信息模块414的自适应安全系统170。假信息模块414按硬件、固件以及软件的任意组合来实现，并且可以与mlf210连接或者在mlf210中实现，以执行用于检测和/或响应安全威胁的机器学习技术。控制器404还实现装置子组管理器420，该装置子组管理器420被配置成，通过外部网络124来远程管理针对根据诸如与企业相关联的位置、区域、网络、部门、用户组或工作地点这样的共同特征分组的一个或更多个ue150的安全特征。ue150的子组还可以基于通用类型的装置、模型、平台、硬件、安全属性或常用的用途。装置子组管理器420可以将来自ue150的装置行为信息输入到mlf210中，以在模式数据库422中建立来自ue150的群体的异常装置使用数据和其它安全事件数据。模式数据库422可以被用于训练mlf210，以针对特定类型的安全威胁标识模式并使适应关于ue150的控制的建议。例如，根据模式数据库422中的模式，假信息模块414可以使用mlf210来向ue150提供不正确数据377。另外，自适应安全系统170适于执行代表管理系统110和/或ue150之一的功能。例如，区域安全管理者可以认证ue150的用户，并发出撤销特权、终止应用、或以其它方式禁用ue150上已经受危害或被盗的功能的命令。因此，在远程服务器130中，自适应安全系统170可以基于ue150的子组特征，来改变其在数据中寻找的特征或模式，和/或其如何对输入进行分类/响应。

图5是在示例性实施方式中利用自适应安全系统170增强的管理系统110的框图。管理系统110包括接口组件502，该接口组件502被配置成，通过诸如企业网络102这样的一个或多个内部网络和/或一个或更多个外部网络124与ue150和/或管理系统110进行通信。管理系统110还包括被配置成显示入侵事件序列的图形用户接口(gui)508。管理系统110还包括：一个或更多个控制器504，和存储器506。控制器504表示提供管理系统110的功能的内部电路、逻辑、硬件等。存储器506是用于数据、指令、应用等的计算机可读存储介质，并且可通过控制器504存取。管理系统110可以包括图5中未具体例示的各种其它组件。

控制器504实现：包括mlf210的自适应安全系统170；以及包括活动监测模块560、异常检测模块561、威胁响应模块562、以及显示模块563的一个或更多个模块560-563。模块560-563中的每一个都可以按硬件、固件以及软件的任意组合来实现，并且可以与mlf210连接或者在mlf210中实现，以执行用于检测和响应安全威胁的机器学习技术。控制器504还实现全局装置管理器520，该全局装置管理器520管理用于在企业网络102内操作或与企业网络102交互的装置(如边缘装置108和ue150)的系统范围安全策略。此外，管理系统110可以包括装置数据库522或与该装置数据库522联接，该装置数据库522维护针对ue150的用户、装置以及模式信息，其可以由经授权ue150或远程服务器130部署/检索，并且应用于机器学习，以针对ue150或企业的终端用户的特定需求来定制企业网络环境100的安全性。

管理系统110还包括网络业务管理器530，该网络业务管理器530被配置成，将在边缘装置108处检测到的异常业务路由至mlf210，以在业务数据库532中建立业务模式。从边缘装置108获得的异常业务信息和从ue150获得的异常装置使用信息可以在管理系统110处被聚合，并且被应用于mlf210，以检测企业的脆弱点并且改进全局安全管理器114的策略。管理系统110、远程服务器130以及ue150的许多配置都是可行的。例如，管理系统110和/或远程服务器130可以独立地或协作地实现云功能，或者实现执行所描述的相同或类似功能集合，但是采用分布方式的服务器/计算机集群。另外，尽管通过模块(例如，ue的模块360-365、远程服务器的假信息模块414以及管理系统110的模块560-563)被描述为执行各种操作，但这样的模块只是例子，并且相同或相似功能可以由更多或更少数量的模块来执行，并且可以被实现成在如下所述的各种平台上执行类似功能(例如，对等ue150、远程服务器130、管理系统110等)。

图6是例示在示例性实施方式中检测和响应安全威胁的方法的流程图。将参照图1的企业网络环境100，对方法600进行描述，但本领域技术人员认识到，可以通过未示出的其它装置或系统来执行本文所述的方法。方法600的步骤可以由ue150，远程服务器130中的一个或更多个，管理系统110，或其一些组合中的一个或更多个来执行。本文所述的方法的步骤并非全部包括在内，而是可以包括未示出的其它步骤。所述步骤话可以按另选次序执行。

最初，管理系统110可以定义安全策略，以在其域下部署至远程服务器130和ue150。管理系统110的安全人员或ue150的用户可以提供定制的安全策略以把ue150、用户、威胁类型、机器响应等中的特定的一个或一组作为目标。

在步骤602中，处理器(例如，ue150的处理器302、远程服务器130的控制器404、和/或管理系统110的控制器504)实施mlf210。即，mlf210可以被用于执行本文所述任何步骤/流程图中的机器学习技术。尽管这里的流程图的步骤通常是指自适应安全系统170，但应当明白，自适应安全系统170和mlf210可以以各种组合在ue150、远程服务器130、和/或管理系统110处执行动作。即，机器学习可以在一方法的每个步骤中应用，并以如下进一步详细描述的各种组合，由ue150、远程服务器130、和/或管理系统110来执行。

mlf210可以实施任何数量的合适机器学习过程、算法或技术，包括异常检测、naivebayes分类器、支持矢量机、决策树学习、神经网络学习、强化学习等。机器学习过程可以利用由设计选择(例如，用于支持矢量机的内核类型、用于决策树的树的数目等)而定的机器学习参数来定制。mlf210可以变换输入值以确定模式、相关性、特征、统计、预测或分类。

在步骤604中，自适应安全系统170随着时间监测伴随ue150的用户动作以建立使用简档。在ue150处，活动监测模块260可以监测ue150并将装置使用数据374记录在存储器306中。例如，ue150可以监测和/或记录用户行为(例如，击键、手势、语音、运动、位置等)、系统操作(例如，通知警报、对系统资源的应用请求、处理器中断等)、用户152的个人信息(例如，联系人信息、日历信息等)、从另一个源(例如，电话呼叫、下载、网站访问等)接收的内容、和/或存储在ue150上的数据(例如，从麦克风334捕获的音频数据、从摄像机332捕获的图像或视频数据)。

响应于被远程服务器130和/或管理系统110远程触发，和/或响应于被响应于企业网络环境100中检测到的事件所触发，报告模块365可以以特定间隔向远程服务器130和/或管理系统110发送装置使用数据374。与ue150相关联的历史使用模式可以存储在ue150、远程服务器130、和/或管理系统110处。

而且，ue150可以存储触发ue150记录与使用ue150有关的数据的预定义特征和/或所学习特征(例如，在存储器306中)，或与其相关联(例如，在管理系统110的装置数据库522中)。即，预定义特征和/或所学习特征可以标识：ue150可能为了精确监测和/或记录装置使用数据而经历异常使用的事件、数据类型、位置或特定时间点的组合。示例性触发包括ue150的位置或行进方向(例如，相对于从日历信息或外部数据源获得的已知或预计位置)、用户152用于使用ue150的特定数据或特征(例如，关于用户经授权的时间或工作项目)的权限、或者用户152在一段时间内的行为(例如，有关在相似时段、一天中的时间等期间与所建立行为模式不同的超出域值)。这种触发策略信息可以由管理系统110和/或远程服务器130提供给ue150。

在步骤606中，自适应安全系统170基于来自使用简档的变化，来检测ue150的异常使用。该异常使用可以通过ue150、远程服务器130和/或管理系统110中的任何一个上的mlf210来分析，以检测异常使用。该分析可以实时发生或者可以在稍后的时间点(例如，按预定时段、在ue150返回到范围内或者重新连接至兼容装置/系统之后等)发生。如上所述，mlf210可以在没有预定义指令的情况下随着时间演化/更新。因此，异常使用的检测可以是ue150相对于其装置签名或者与ue150相关联的使用简档是特定的。

在步骤608中，自适应安全系统170确定异常使用是否代表安全威胁。自适应安全系统170可以根据mlf210的输出确定网络威胁的特征。即，在随着时间的推移使用异常使用信息来训练一个或个更多个mlf210之后，输出的机器学习结果例如可以被用于分类网络威胁的类型，预测未来网络威胁动作的可能性，或者确定数据中的阈值变化率与ue150的特定类型的安全脆弱性相关。在一些实施方式中，mlf210输出可以预测或暴露先前未被查明的与异常使用有关的细节数据，如攻击者所使用的战术、技术或程序。此外，mlf210可以标识或预测由于网络攻击而留下的指示符或数据资源，如为编排攻击或攻击中使用的文件散列值或注册表键而使用的服务器的因特网协议(ip)地址。

在步骤610中，自适应安全系统170指令ue150执行一个或更多个自动动作来响应于安全威胁。即，威胁响应模块362可以经由来自mlf210的输出来选择执行一个或更多个动作。另选或者另外地，ue150可以接收来自mlf210的输出或来自远程服务器130和/或管理系统110的指令，作为自动可执行指令。下面，将对该自动动作进行更详细描述。

图7–图10是例示在示例性实施方式中用于自动响应安全威胁的方法的流程图。将参照图1的企业网络环境100，对这些进行描述，但本领域技术人员认识到，可以通过未示出的其它装置或系统来执行本文所述方法。这些方法的步骤可以由ue150，远程服务器130中的一个或更多个，管理系统110，或其一些组合中的一个或更多个来执行。本文所述方法的步骤并非全部包括在内，而是可以包括未示出的其它步骤。所述步骤话可以按另选次序执行。

图7例示了用于确定执行用于响应安全威胁的自动动作的方法700。方法700的步骤可以作为上述步骤610的一部分来执行。在步骤702中，自适应安全系统170将安全威胁分类。安全威胁的分类可以触发ue150执行一序列动作，所述一序列动作作为取证(forensic)动作计划704、防御动作计划706、和/或进攻动作计划708的一部分。例如，在特定时间的可疑事件的轨迹。对于特定装置/用户/工作地点或特定类型来说可以触发特定的动作序列。此外，由自适应安全系统170的mlf210所确定的动作可可以针对某个ue150、其参数、安全设定、学习特征等是特定的。

取证动作计划704可以包括：监测ue150的目标资源(如特定应用、文件或硬件组件)，和/或使用预定义或所学习特征来认证ue150。防御动作计划706可以包括：隐藏敏感数据或文件，限制应用或用户的访问或许可，以及收集正在进行的攻击的附加信息以标识攻击者或建立攻击者标识简档。进攻动作计划708可以包括：销毁敏感数据或文件，响应于请求访问敏感文件据而提供假信息或不正确的数据集，欺骗利用热点来从范围内的装置挖掘数据的无线网络，干扰无线和蜂窝信号，以及针对正在进行的攻击限制执行或者限制ue150的使得可以挖掘更大量数据(例如，日志击键、摄像机图像/视频、麦克风音频等)的能力。

图8例示了用于实现示例性取证动作计划704的方法800。在步骤802中，自适应安全系统170检测到ue150受到安全威胁的危害。管理系统110可以经由其自己的mlf210或者响应于从ue150和/或远程服务器130的mlf210中继的消息，而检测到ue150受到安全威胁的危害。在步骤804中，自适应安全系统170延迟使ue150对企业网络102的访问无效达一时段。在步骤806中，自适应安全系统170指令用户装置记录该安全威胁的行为。在步骤808中，ue150将该安全威胁的行为报告给管理系统110。因此，如果ue150受到危害或者被盗，则管理系统110可以使用ue150来收集关于其攻击者的信息，而不是将其排除为企业的一部分。

ue150可以监测和/或记录攻击者行为(例如，击键、手势、语音、运动、位置等)、系统操作(例如，通知警报、对系统资源的应用请求、处理器中断等)、个人信息资源(例如，联系人信息、日历信息等)、从另一个源(例如，电话呼叫、下载、网站访问等)接收的内容、和/或存储在ue150上的数据(例如，从麦克风334捕获的音频数据、从摄像机332捕获的图像或视频数据等)。在一个实施方式中，自适应安全系统170指令ue150启用硬件组件330中的至少一个(例如，麦克风334，摄像机332，网络组件340之一等)，并且通过监测硬件组件330来记录该安全威胁的行为。管理系统110可以接收并分析该安全威胁的行为，以便为在其管理下的ue150描绘攻击模式，如下进一步详细讨论的。

图9例示了用于实现示例性进攻动作计划706的方法900。在步骤902中，自适应安全系统170检测到ue150受到安全威胁的危害。在步骤904中，自适应安全系统170标识可经由ue150访问的敏感信息。例如，可以从管理系统110向ue150提供标识敏感信息的策略信息或规则，并将其作为受保护数据373存储在ue150的存储器306中。在步骤906中，自适应安全系统170基于该安全威胁的特征来标识要提供的针对ue150设定的不正确数据。例如，ue150的蜜罐模块364和/或远程服务器130的假信息模块414可以与mlf210交互以生成、选择和/或将错误数据377提供给ue150的存储器306。接着，在步骤908中，ue150响应于请求访问敏感信息而提供不正确数据377。

图10例示了用于实现另一示例性进攻动作计划708的方法1000。在步骤1002中，自适应安全系统170检测到ue150受到安全威胁的危害。在步骤1004中，自适应安全系统170指令ue150启用硬件组件，以发现附近的装置。例如，mlf210可以向ue150输出指令来启用wifi343以欺骗利用热点的无线网络，或者启用bluetooth341以发现或连接附近的装置。在步骤1006中，活动监测模块360/560可以监测并记录与该硬件组件的消息交换有关的数据，以收集附近装置的信息。在步骤1008中，ue150将所收集的附近装置的信息报告给管理系统110(例如，包括全局装置管理器520的管理服务器)。

图11是例示在示例性实施方式中用于确定异常是否指示安全威胁的方法1100的流程图。在步骤1102中，自适应安全系统170检测到ue150与异常使用相关联。在一个实施方式中，对异常使用的检测可以发生在ue150、ue150的对等体(例如，由管理系统110管理的另一用户装置)、远程服务器130或管理系统110处。

在步骤1104中，自适应安全系统170参考ue150的使用简档，来标识与ue150相关联的对等体ue150。在步骤1106中，自适应安全系统170启动与该另一装置的自动通信交换，以确认ue150的使用。例如，远程服务器130或管理系统110可以通过这样的方式来认证移动装置的用户，即，向该用户的膝上型电脑(或智能可佩戴装置、智能汽车系统等)发出命令以接通其麦克风、确认该用户的声音、并报告确认结果。在这种情况下，远程服务器130或管理系统110可以参考多个ue150的学习特征(例如，在存储器306中作为装置使用数据374，在管理系统110的装置数据库522中等)，所述多个ue与同一用户相关联和/或彼此共同连接，或者处于如通过所学习的装置使用而建立的连接、扬声器33的声音、摄像机332的视野等的范围内。所学习的特征还可以包括与装置接近度相关联的定时信息，使得远程服务器130或管理系统110可以及时发出命令，以经由ue150的对等体准确地查明该ue150的状态。因此，ue150可以与其对等体ue150、远程服务器130、和/或管理系统110协作，以实现对安全威胁的准确检测和精确响应。接着，在步骤1108中，自适应安全系统170将异常使用分类，以确定它是否是安全威胁。如果是，则远程服务器130或管理系统110可以参考装置数据库522，来标识可以通知响应该安全威胁的动作决策的特征。如果没有，则自适应安全系统170可授权使用并将其用作自适应mlf210和异常检测模块361/561的训练例子。

图12是例示在示例性实施方式中用于导出图形入侵事件序列的方法1200的流程图。在步骤1202中，管理系统110的网络业务管理器530与mlf210交互，以建立通过网络装置(例如，边缘装置108)经由网络接口接收的通信模式。在一个实施方式中，该边缘装置108的活动监测模块360可以检测该模式/提供该模式给网络业务管理器530。在步骤1204中，自适应安全系统170经由mlf210检测通信模式中的入侵事件序列。例如，mlf210可以在企业网络102的服务器处分析包首部、帧、ip地址、转发表、或包之间的发送路由(跳跃数)，并确定过去的活动(建立为正常活动)是否与当前活动不同。在步骤1206中，自适应安全系统170生成入侵事件序列的图形模拟。例如，显示模块563可以导出针对一个或多个ue150的入侵事件序列，根据入侵模式、用户、位置等过滤事件，并且向gui508提供入侵事件的逐步回放。

图13是例示在示例性实施方式中用于更新企业网络环境100的安全策略的方法的流程图1300。在步骤1302中，自适应安全系统170聚合多个模式。网络业务管理器530可以将业务模式转发至业务数据库532，并且全局装置管理器520可以将装置使用模式转发至装置数据库522。在步骤1304中，自适应安全系统170基于所述模式构建攻击者简档。接着，在步骤1306中，自适应安全系统170更新针对企业网络102的策略规则。例如，如果发现以企业网络102的特定区域为目标的攻击，则该特定区域可以成为活动监测模块560进行更密集/频繁监测的高优先级检查点。

而且，本公开包括根据下列条款的实施方式：

条款1：一种系统，该系统包括：服务器，该服务器被配置成，通过网络管理多个用户装置；和用户装置，该用户装置包括：接口组件，该接口组件被配置成，通过所述网络与所述服务器通信；和处理器，该处理器实现机器学习功能，该机器学习功能被配置成，随着时间监测与所述用户装置的用户交互以建立使用简档，基于来自所述使用简档的变化来检测所述用户装置的异常使用，确定所述异常使用是否表示安全威胁，以及指令所述用户执行一个或更多个自动动作，以响应所述安全威胁。

条款2：根据条款1所述的系统，其中：所述服务器被配置成，检测所述用户装置受到所述安全威胁危害，并且延迟使所述用户装置对所述网络的访问无效达一时段；并且所述机器学习功能被配置成，指令所述用户装置记录所述安全威胁的行为，以及在所述时段期间，经由所述接口组件，通过所述网络向所述服务器报告所述安全威胁的行为。

条款3：根据条款2所述的系统，其中：所述安全威胁的所述行为包括击键数据、音频数据、图像数据、应用数据、或文件访问请求数据中的一个或更多个；并且所述服务器被配置成，分析所述安全威胁的所述行为，以描绘通过所述网络针对所述用户装置的攻击模式。

条款4：根据条款2所述的系统，其中：所述机器学习功能被配置成，限制所述用户装置的功能，以使能够实现与所述安全威胁的所述行为有关的增加量的数据收集。

条款5：根据条款2所述的系统，其中：所述机器学习功能被配置成，指令所述用户装置启用包括麦克风、摄像机以及网络接口组件之一的至少一个硬件组件，并且通过检测所述至少一个硬件组件来记录所述安全威胁的所述行为。

条款6：根据条款1所述的系统，其中：所述用户装置包括无线接口组件；并且所述机器学习功能被配置成，指令所述用户装置启用所述无线接口组件以欺骗无线网络，收集连接至所述无线网络的无线装置的信息，以及通过所述网络向所述服务器报告所述无线装置的所述信息。

条款7：根据条款1所述的系统，其中：所述机器学习功能被配置成，标识存储在所述用户装置的存储器中的、易受所述安全威胁的敏感信息，标识所述用户装置的所述存储器中的与所述敏感信息相关联的不正确数据集，以及响应于请求访问所述敏感信息来提供所不正确数据集。

条款8：根据条款1所述的系统，所述系统还包括：远程服务器，该远程服务器实现机器学习系统，该机器学习系统被配置成，接收与所述安全威胁的行为有关的信息，以及基于所述安全威胁的特征来提供针对所述用户装置的不正确数据集。

条款9：根据条款1所述的系统，所述系统还包括：由所述服务器管理的与所述用户装置相关联的另一用户装置；并且其中，所述机器学习功能被配置成，基于发送至所述另一用户装置的指令来确定所述异常使用是否代表所述安全威胁，以确认经授权用户接近所述另一用户装置。

条款10：根据条款1所述的系统，其中：所述处理器在所述用户装置的操作系统内核之上的受保护存储器或所述用户装置的硬件抽象层之一中实现所述机器学习功能。

条款11：一种方法，该方法包括以下步骤：经由用户装置的接口组件与通过网络管理多个用户装置的服务器通信；利用所述用户装置的处理器实现机器学习功能；随着时间监测与所述用户装置的用户交互，以建立使用简档；基于来自所述使用简档的变化检测所述用户装置的异常使用；确定所述异常使用是否表示安全威胁；以及指令所述用户装置执行从所述机器学习功能获得的一个或更多个自动动作，以响应所述安全威胁。

条款12：根据条款11所述的方法，所述方法还包括以下步骤：响应于检测到所述用户装置受到所述安全威胁的危害，在所述服务器处延迟使所述用户装置对所述网络的访问无效达一时段；指令所述用户装置记录所述安全威胁的行为；以及在所述时段期间，经由所述接口组件，通过所述网络向所述服务器报告所述安全威胁的所述行为。

条款13：根据条款12所述的方法，所述方法还包括以下步骤：分析所述安全威胁的所述行为，以描绘通过所述网络针对所述用户装置的攻击模式；并且其中，所述安全威胁的所述行为包括击键数据、音频数据、图像数据、应用数据、或文件访问请求数据中的一个或更多个。

条款14：根据条款12所述的方法，其中，所述一个或更多个自动动作包括：标识存储在所述用户装置的存储器中的、易受所述安全威胁的敏感信息；标识所述用户装置的所述存储器中的与所述敏感信息相关联的不正确数据集；以及响应于请求访问所述敏感信息来提供所不正确数据集。

条款15：一种非暂时性计算机可读介质，该非暂时性计算机可读介质具体实施通过处理器执行的编程指令，其中，所述指令指导所述处理器进行如下操作：经由用户装置的接口组件与通过网络管理多个用户装置的服务器通信；利用所述用户装置实现机器学习功能；随着时间监测与所述用户装置的用户交互，以建立使用简档；基于来自所述使用简档的变化来检测所述用户装置的异常使用；确定所述异常使用是否表示安全威胁；以及指令所述用户装置执行从所述机器学习功能获得的一个或更多个自动动作，以响应所述安全威胁。

条款16：根据条款15所述的计算机可读介质，其中，所述指令还指导所述处理器进行如下操作：响应于检测到所述用户装置受到所述安全威胁的危害，在所述服务器处延迟使所述用户装置对所述网络的访问无效达一时段；指令所述用户装置记录所述安全威胁的行为；以及在所述时段期间，经由所述接口组件，通过所述网络向所述服务器报告所述安全威胁的所述行为。

条款17：根据条款16所述的计算机可读介质，其中，所述指令还指导所述处理器进行如下操作：分析所述安全威胁的所述行为，以描绘通过所述网络针对所述用户装置的攻击模式；并且其中，所述安全威胁的所述行为包括击键数据、音频数据、图像数据、应用数据、或文件访问请求数据中的一个或更多个。

条款18：根据条款15所述的计算机可读介质，其中，所述指令还指导所述处理器进行如下操作：标识存储在所述用户装置的存储器中的、易受所述安全威胁的敏感信息；标识所述用户装置的所述存储器中的与所述敏感信息相关联的不正确数据集；并且响应于请求访问所述敏感信息来提供所不正确数据集。

条款19：根据条款15所述的计算机可读介质，其中，所述指令还指导所述处理器进行如下操作：标识由所述服务器管理的与所述用户装置相关联的另一用户装置；并且基于发送至所述另一用户装置的指令来确定所述异常使用是否代表所述安全威胁，以确认经授权用户接近所述另一用户装置。

条款20：一种装置，该装置包括：处理器，该处理器被配置成，基于用户装置的历史使用来检测该用户装置的异常使用，将所述异常使用的信息输入到机器学习功能中，根据所机器学习功能的输出，确定网络威胁的特征，基于所述网络威胁的所述特征，为所述用户装置确定执行的自动动作，并且指令所述用户装置执行所述自动动作，以响应所述网络威胁。

条款21：根据条款20所述的装置，其中：该处理器被配置成，响应于确定所述网络威胁的所述特征包括经由所述用户装置访问一类数据的威胁，指令所述用户装置提供假信息，来响应请求访问该类数据。

条款22：根据条款20所述的装置，其中：该处理器被配置成，响应于所述网络威胁的所述特征包括针对存储在所述用户装置的存储器中的数据的信息泄露的威胁，指令所述用户装置擦除所述数据。

条款23：根据条款20所述的装置，其中：所述处理器在远离所述用户装置的服务器中实现所述机器学习功能。

条款24：一种方法，该方法包括以下步骤：基于用户装置的历史使用来检测该装置的异常使用；将所述异常使用的信息输入到机器学习功能中；根据所机器学习功能的输出，确定网络威胁的特征；基于所述网络威胁的所述特征，为所述装置确定要执行的自动动作；并且指令所述装置执行所述自动动作，以响应所述网络威胁。

条款25：根据条款24所述的方法，所述方法还包括以下步骤：利用所述机器学习功能，通过网络接口建立由所述装置接收的通信模式；利用所述机器学习功能检测所述通信模式中的入侵事件序列；以及生成所述入侵事件序列的图形模拟。

图中所示或本文所述各种控制部件(例如，电气或电子组件)中的任一个可以被实现为硬件，实现软件的处理器，实现固件的处理器，或者这些的某一组合。例如，一部件可以被实现为专用硬件。专用硬件部件可以被称为“处理器”、“控制器”或某一类似术语。在通过处理器提供时，这些功能可以通过单个专用处理器、通过单个共享处理器、或者通过多个单独处理器来提供，其中一些可以共享。此外，明确使用的术语“处理器”或“控制器”不应被解释成专指能够执行软件的硬件，而是可以隐含地包括而不限于，数字信号处理器(dsp)硬件、网络处理器、专用集成电路(asic)或其它电路、现场可编程门阵列(fpga)、用于存储软件的只读存储器(rom)、随机存取存储器(ram)、非易失性存储部、逻辑、或某一其它物理硬件组件或模块。

而且，控制部件可以被实现为可通过处理器或计算机执行的指令，以执行该部件的功能。指令的一些例子是软件、程序代码以及固件。该指令可在通过处理器执行时操作，以指导该处理器执行所述部件的功能。该指令可以存储在可通过处理器读取的存储装置上。存储装置的一些例子是数字或固态存储器、诸如磁盘和磁带的磁存储介质、硬盘或光学可读数字数据存储介质。

尽管在此对具体实施方式进行了描述，但本公开的范围并不受限于那些具体实施方式。本公开的范围通过所附权利要求书及其任何等同物来限定。