(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN108027856A(43)申请公布日2018.05.11(21)申请号201680039535.7(74)专利代理机构上海专利商标事务所有限公司31(22)申请日2016.04.05100代理人张欣黄嵩泉(30)优先权数据14/704,5102015.05.05US(51)Int.Cl.G06F21/44(2006.01)(85)PCT国际申请进入国家阶段日H04L9/32(2006.01)2018.01.03H04L9/08(2006.01)(86)PCT国际申请的申请数据PCT/US2016/0260132016.04.05(87)PCT国际申请的公布数据WO2016/178767EN2016.11.10(71)申请人迈克菲有限公司地址美国加利福尼亚州(72)发明人B·辛格P·蒙辛德M·沙尔玛R·C·卡里权利要求书3页说明书12页附图10页(54)发明名称使用可信平台模块来建立攻击信息的实时指示器(57)摘要包含用于提供可信环境的可信平台模块(TPM)的被管理设备在初始化所述TPM时生成设备证书，并且向管理控制台发送所述设备证书以便存储在证书数据库中。在检测到感兴趣文件时，所述TPM对所述文件进行签名，从而添加至由先前被管理设备所创建的签名列表。所述签名列表可以用于分析所述文件跨被管理设备系统的扩散，包括：跟踪所述文件至第一被管理设备以使得已具有副本，而无需在所述文件的扩散期间对所述被管理设备进行实时访问。在一些实施例中，可以响应于确定所述第一被管理设备以及所述文件跨所述被管理设备系统所采取的路径来采取附加安全措施。CN108027856ACN108027856A权利要求书1/3页1.一种机器可读介质，在其上存储有指令，所述指令包括当被执行时使机器执行以下操作的指令：在所述机器的可信环境中生成设备证书；向管理控制台发送所述设备证书；检测在所述机器上文件的创建；在所述可信环境中使用所述设备证书对所述文件进行签名；以及将经签名文件存储在所述机器上。2.如权利要求1所述的机器可读介质，其中，当被执行时使所述机器向管理控制台发送所述设备证书的所述指令包括当被执行时使所述机器执行以下操作的指令：建立所述可信环境与所述管理控制台之间的连接；经由所述连接从所述管理控制台接收对所述设备证书的请求；以及响应于所述请求而经由所述连接向所述管理控制台发送所述设备证书。3.如权利要求1至2中任一项所述的机器可读介质，其中，当被执行时使所述机器在所述机器的可信环境中生成设备证书的所述指令包括当被执行时使所述机器执行以下操作的指令：使用所述可信环境的私钥来生成所述设备证书。4.如权利要求1至2中任一项所述的机器可读介质，其中，当被执行时使所述机器检测在所述机器上文件的创建的所述指令包括当被执行时使所述机器执行以下操作的指令：在感兴趣文件列表中标识所述文件。5.如权利要求1至2中任一项所述的机器可读介质，其中，所述指令进一步包括当被执行时使所述机器执行以下操作的指令：响应于来自所述管理控制台的请求而对所述机器执行安全检查。6.如权利要求1至2中任一项所述的机器可读介质，其中，当被执行时使所述机器在所述可信环境中使用所述设备证书对所述文件进行签名的所述指令包括当被执行时使所述机器执行以下操作的指令：保留来自存在于所述文件中的其他签名设备的证书链。7.一种机器可读介质，在其上存储有指令，所述指令包括当被执行时使所述机器执行以下操作的指令：标识多个被管理设备；从所述多个被管理设备中的每个被管理设备中的可信环境接收设备证书；将所述设备证书存储在证书数据库中；以及评估感兴趣文件中的签名链，所述指令包括当被执行时使所述机器执行以下操作的指令：确定所述多个被管理设备中的其中已经使用所述签名链和从所述证书数据库获得的设备证书呈现了所述文件的一组被管理设备；以及标识所述一组被管理设备中的最初被管理设备。8.如权利要求7所述的机器可读介质，其中，所述指令进一步包括当被执行时使所述机器执行以下操作的指令：在所述一组被管理设备中的每个被管理设备上发起安全检查。2CN108027856A权利要求书2/3页9.如权利要求7所述的机器可读介质，其中，所述指令进一步包括当被执行时使所述机器执行以下操作的指令：在所述一组被管理设备中的所述最初被管理设备上发起安全检查。10.如权利要求7至9中任一项所述的机器可读介质，其中，所述指令进一步包括当被执行时使所述机器执行以下操作的指令：保留所述文件和签名链作为安全事件的取证证据。11.一种确定多个被管理设备中的感染源的方法，所述方法包括：从所述多个被管理设备中的每个被管理设备的可信环境收集设备证书；将所述设备证书存储在证书数据库中；分析受感染文件，包括：从所述证书