本公開總體上涉及用于使用數(shù)據(jù)交換層系統(tǒng)的事件響應(yīng)工具的系統(tǒng)和方法。

背景技術(shù)：

人們和公司對計算機系統(tǒng)和設(shè)備的依賴突出了計算機安全的日益重要。計算機安全可以包含通過其防止數(shù)字設(shè)備、信息和服務(wù)被意外或未經(jīng)授權(quán)的訪問的過程和機制。諸如計算機、筆記本電腦、智能手機、平板電腦、可穿戴式計算機等的用戶設(shè)備可能需要專門的工具來識別問題。可以使用專門的工具來檢測和響應(yīng)可能影響用戶設(shè)備的性能或安全性的事件。不幸的是，在速度和連通性被高度重視的世界中，目前可用的工具可能需要大量的時間來識別和隔離用戶設(shè)備上的問題。

附圖說明

具體實施方式參照附圖進行說明。使用相同的附圖標(biāo)記表示相似或相同的組件或元件；然而，也可以使用不同的附圖標(biāo)記來表示可能相似或相同的組件或元件。本公開的各種實施方式可以利用除了附圖中所例示的元件和/或組件之外的元件和/或組件，并且在各種實施方式中可以不存在某些元件和/或組件。根據(jù)上下文，用于描述元件或組件的單數(shù)(singular)術(shù)語可以包含復(fù)數(shù)(pluralnumber)個這樣的元件或組件，反之亦然。

圖1描繪了根據(jù)本公開的一個或更多個實施方式的使用數(shù)據(jù)交換層系統(tǒng)的事件響應(yīng)工具的示例性系統(tǒng)架構(gòu)的各種組件之間的示例性數(shù)據(jù)流。

圖2是根據(jù)本公開的一個或更多個實施方式的包括圖1所描繪的示例性系統(tǒng)架構(gòu)的各種硬件和軟件組件的框圖。

圖3是根據(jù)本公開的一個或更多個實施方式的用于與示例性系統(tǒng)架構(gòu)中的各種組件進行通信的數(shù)據(jù)交換層系統(tǒng)中的事件響應(yīng)工具的示例性方法的過程流程圖。

圖4是根據(jù)本公開的一個或更多個實施方式的用于數(shù)據(jù)交換層系統(tǒng)中的事件響應(yīng)工具中的主動陷阱(proactivetrap)的示例性方法的過程流程圖。

圖5是根據(jù)本公開的一個或更多個實施方式的用于數(shù)據(jù)交換層系統(tǒng)中的事件響應(yīng)工具中的本地歷史高速緩存的示例性方法的過程流程圖。

圖6是根據(jù)本公開的一個或更多個實施方式的用于數(shù)據(jù)交換層系統(tǒng)中的事件響應(yīng)工具中的基線(baseline)的示例性方法的過程流程圖。

具體實施方式

本公開尤其涉及用于數(shù)據(jù)交換層系統(tǒng)中的事件響應(yīng)工具的系統(tǒng)、方法、計算機可讀介質(zhì)、技術(shù)和方法。數(shù)據(jù)交換層系統(tǒng)可以是用于自適應(yīng)安全性的開放環(huán)境或架構(gòu)，其提供設(shè)備之間的實時、雙向通信，以在減少的操作開銷下實現(xiàn)數(shù)據(jù)的有效和快速的交換。事件響應(yīng)工具可以利用數(shù)據(jù)交換層系統(tǒng)的消息傳送(messaging)系統(tǒng)以低延遲有效地與用戶設(shè)備和代理服務(wù)器(brokerserver)進行通信。通過利用數(shù)據(jù)交換層系統(tǒng)，事件響應(yīng)工具可以大大減少從位于數(shù)據(jù)交換層系統(tǒng)內(nèi)任何地方的用戶設(shè)備獲得數(shù)據(jù)(例如，診斷數(shù)據(jù))所需的時間。數(shù)據(jù)交換層系統(tǒng)允許將事件響應(yīng)工具擴展到數(shù)十萬或數(shù)百萬個用戶設(shè)備。

事件響應(yīng)工具可以利用被推送到用戶設(shè)備的主動事件響應(yīng)陷阱來通過恒定監(jiān)視確定用戶設(shè)備的當(dāng)前狀態(tài)，并且當(dāng)陷阱被觸發(fā)時被通知。在一些實施方式中，事件響應(yīng)工具通過生成和維護本地高速緩存或歷史來促進在用戶設(shè)備上的本地活動的流視圖(streamingview)。該流視圖可以包括可調(diào)整的保留周期，其可以允許事件響應(yīng)器搜索用戶設(shè)備的歷史記錄以識別跨大組系統(tǒng)的活動，而無需與數(shù)據(jù)交換層系統(tǒng)內(nèi)部的每個用戶設(shè)備相關(guān)聯(lián)的數(shù)據(jù)的中央處理的開銷。在一些實施方式中，事件響應(yīng)工具可以生成基線以建立用戶設(shè)備或一組用戶設(shè)備的常態(tài)。可以基于通過用戶設(shè)備的本地高速緩存或歷史從用戶設(shè)備收集的數(shù)據(jù)或通過用戶設(shè)備的一個或更多個收集器獲得的數(shù)據(jù)來生成基線。基線可以是非確定性的，并且用于識別異常的設(shè)備或用戶行為。一旦識別了異常行為，就可以基于其它相關(guān)數(shù)據(jù)來采取進一步的步驟。

以上已經(jīng)討論了各種示例性實施方式。在下文中將通過參照附圖更詳細地描述本公開的這些和其它示例實施方式。附圖和相應(yīng)的描述僅僅是為了例示而提供的，并不意圖以任何方式限制本公開。應(yīng)當(dāng)理解，許多其它實施方式、變型等等都在本公開的范圍內(nèi)。

示例性使用案例和系統(tǒng)架構(gòu)

圖1描繪了根據(jù)本公開的一個或更多個實施方式的用于使用數(shù)據(jù)交換層系統(tǒng)的事件響應(yīng)工具的系統(tǒng)的各種組件的示例性架構(gòu)100。在圖1中示意性地描繪了在一個或更多個網(wǎng)絡(luò)110上通信的一個或更多個用戶設(shè)備104、一個或更多個代理服務(wù)器106以及一個或更多個事件響應(yīng)服務(wù)器108。在一些實施方式中，數(shù)據(jù)交換層系統(tǒng)可以是用于自適應(yīng)安全性的開放環(huán)境或架構(gòu)，其提供設(shè)備之間的實時、雙向通信，以在減少的操作開銷下實現(xiàn)數(shù)據(jù)的有效和快速的交換。例如，數(shù)據(jù)交換層系統(tǒng)可以提供連接的消息傳送系統(tǒng)，其允許用戶設(shè)備104、代理服務(wù)器106和/或事件響應(yīng)服務(wù)器108以低延遲有效地進行通信。在圖1中所描繪的示例性架構(gòu)100中，事件響應(yīng)服務(wù)器108可以與代理服務(wù)器106a-106e(統(tǒng)稱為106)通信。代理中的每一個都可以與多個用戶設(shè)備104相關(guān)聯(lián)。多組用戶設(shè)備104與代理服務(wù)器106的關(guān)聯(lián)以及多個代理服務(wù)器106與事件響應(yīng)服務(wù)器108的關(guān)聯(lián)使得能夠?qū)崿F(xiàn)用于由系統(tǒng)對用戶設(shè)備104進行連續(xù)監(jiān)視的更有效的機制。事件響應(yīng)服務(wù)器108可以利用數(shù)據(jù)交換層系統(tǒng)的消息傳送能力來監(jiān)視用戶設(shè)備的活動并且主動檢測使用若干不同特征的任何事件，諸如，本文中更詳細地描述的主動事件響應(yīng)陷阱、用戶設(shè)備活動的本地高速緩存、以及用戶設(shè)備基線。

用戶設(shè)備104可以包括能夠進行wifi和非wifi訪問的任何合適的處理器驅(qū)動的計算設(shè)備，包括但不限于平板計算設(shè)備、電子書(e-book)閱讀器、上網(wǎng)本、筆記本電腦、便攜式計算機、超極本^tm計算機、個人數(shù)字助理(pda)、智能手機、網(wǎng)絡(luò)電視、視頻游戲機、機頂盒(stb)、數(shù)字視頻錄像機(dvr)系統(tǒng)，或它們的組合等。為了便于說明，用戶設(shè)備104在本文可能以單數(shù)形式描述；然而，應(yīng)當(dāng)理解，可以提供多個用戶設(shè)備104。

代理服務(wù)器106可以包括任何合適的處理器驅(qū)動的計算設(shè)備，包括但不限于臺式計算設(shè)備、膝上型計算設(shè)備、服務(wù)器、智能電話、平板電腦等。為了便于說明，代理服務(wù)器106在本文中可能以單數(shù)形式描述；然而，應(yīng)當(dāng)理解，可以提供多個代理服務(wù)器106。

事件響應(yīng)服務(wù)器108可以包括任何合適的處理器驅(qū)動的計算設(shè)備，包括但不限于臺式計算設(shè)備、膝上型計算設(shè)備、服務(wù)器、智能電話、平板電腦等。為了便于說明，事件響應(yīng)服務(wù)器108在本文中可能以單數(shù)形式描述；然而，應(yīng)當(dāng)理解，可以提供多個事件響應(yīng)服務(wù)器108。

圖2是根據(jù)本公開的一個或更多個實施方式的包括圖1所描繪的示例性系統(tǒng)架構(gòu)的各種硬件和軟件組件的框圖。示例性架構(gòu)200可以包括多個用戶設(shè)備104、一個或更多個代理服務(wù)器106和/或一個或更多個事件響應(yīng)服務(wù)器108。用戶設(shè)備104、代理服務(wù)器106和/或事件響應(yīng)服務(wù)器108可以包括參照圖1描述的任何類型的設(shè)備。

用戶設(shè)備104、一個或更多個代理服務(wù)器106和/或一個或更多個事件響應(yīng)服務(wù)器108中的任何一個都可以被配置為經(jīng)由一個或更多個網(wǎng)絡(luò)110彼此之間以及與架構(gòu)200的任何其它組件進行通信。網(wǎng)絡(luò)110可以包括但不限于不同類型的合適的通信網(wǎng)絡(luò)(諸如，有線網(wǎng)絡(luò)、公共網(wǎng)絡(luò)(例如，因特網(wǎng))、專用網(wǎng)絡(luò)、無線網(wǎng)絡(luò)、蜂窩網(wǎng)絡(luò)或任何其它合適的專用和/或公共網(wǎng)絡(luò))中的任何一個或組合。此外，網(wǎng)絡(luò)110可以具有與之相關(guān)聯(lián)的任何合適的通信范圍，并且可以包括例如全球網(wǎng)絡(luò)(例如，因特網(wǎng))、城域網(wǎng)(man)、廣域網(wǎng)(wan)、局域網(wǎng)(lan)、無線個人區(qū)域網(wǎng)絡(luò)(wpan)或個人區(qū)域網(wǎng)絡(luò)(pan)。另外，網(wǎng)絡(luò)110可以包括通過其可以攜帶網(wǎng)絡(luò)業(yè)務(wù)的任何類型的介質(zhì)，包括但不限于同軸電纜、雙絞線、光纖、混合光纖同軸(hfc)介質(zhì)、微波地面收發(fā)器、射頻通信介質(zhì)、衛(wèi)星通信介質(zhì)、或它們的任何組合。

用戶設(shè)備104、一個或更多個代理服務(wù)器106和/或一個或更多個事件響應(yīng)服務(wù)器108中的任何一個都可以包括一個或更多個通信天線(未示出)。通信天線可以是與由用戶設(shè)備104、一個或更多個代理服務(wù)器106和/或一個或更多個事件響應(yīng)服務(wù)器108所使用的通信協(xié)議相對應(yīng)的任何合適類型的天線。合適的通信天線的一些非限制性示例包括wi-fi天線、ieee802.11系列的標(biāo)準(zhǔn)兼容天線、定向天線、非定向天線、偶極天線、折疊偶極天線、貼片天線、多輸入多輸出(mimo)天線等。通信天線可以通信地聯(lián)接到無線電組件以發(fā)送和/或接收信號，諸如，到用戶設(shè)備104和/或來自用戶設(shè)備104的通信信號。

用戶設(shè)備104、一個或更多個代理服務(wù)器106和/或一個或更多個事件響應(yīng)服務(wù)器108中的任何一個都可以包括發(fā)送/接收組件(收發(fā)器)或無線電組件，其可以包括任何用于在與由用戶設(shè)備104、一個或更多個代理服務(wù)器106和/或一個或更多個事件響應(yīng)服務(wù)器108中的任何一個所使用用于彼此通信的通信協(xié)議相對應(yīng)的帶寬和/或信道中發(fā)送和/或接收射頻(rf)信號的任何合適的無線電和/或收發(fā)器。無線電組件可以包括根據(jù)預(yù)先建立的傳輸協(xié)議來調(diào)制和/或解調(diào)通信信號的硬件和/或軟件。無線電組件還可以具有硬件和/或軟件指令用以經(jīng)由如通過電氣和電子工程師協(xié)會(ieee)802.11標(biāo)準(zhǔn)標(biāo)準(zhǔn)化的一個或更多個wi-fi和/或wi-fi直接協(xié)議進行通信。在某些示例實施方式中，與通信天線協(xié)作的無線電組件可以被配置為經(jīng)由2.4ghz信道(例如，802.11b、802.11g、802.11n)、5ghz信道(例如，802.11n、802.11ac)或60ghz信道(例如802.11ad)進行通信。在一些實施方式中，非wi-fi協(xié)議可以用于設(shè)備之間的通信，諸如，藍牙、專用短距離通信(dsrc)或其它分組化無線電通信。無線電組件可以包括適于經(jīng)由通信協(xié)議進行通信的任何已知的接收器和基帶。無線電組件還可以包括低噪聲放大器(lna)、附加信號放大器、模數(shù)(a/d)轉(zhuǎn)換器、一個或更多個緩沖器以及數(shù)字基帶。

用戶設(shè)備104可以包括一個或更多個處理器232以及一個或更多個存儲器(memory)236(本文中統(tǒng)稱為存儲器236)。處理器232可以包括能夠接收數(shù)字數(shù)據(jù)作為輸入、基于存儲的計算機可執(zhí)行指令來處理輸入數(shù)據(jù)、以及生成輸出數(shù)據(jù)的任何合適的處理單元。計算機可執(zhí)行指令可以例如存儲在數(shù)據(jù)儲存器(storage)234中，并且尤其可以包括操作系統(tǒng)軟件和應(yīng)用軟件?？梢詮臄?shù)據(jù)儲存器234檢索計算機可執(zhí)行指令，并根據(jù)需要加載到存儲器236中以供執(zhí)行。處理器232可以被配置為執(zhí)行計算機可執(zhí)行指令以導(dǎo)致執(zhí)行各種操作。處理器232可以包括任何類型的處理單元，包括但不限于，中央處理單元、微處理器、微控制器、精簡指令集計算機(risc)微處理器、復(fù)合指令集計算機(cisc)微處理器、專用集成電路(asic)、片上系統(tǒng)(soc)、現(xiàn)場可編程門陣列(fpga)等。

數(shù)據(jù)儲存器234可以存儲可由處理器232加載和執(zhí)行的程序指令，以及在執(zhí)行程序指令期間由處理器232操縱和生成的數(shù)據(jù)。程序指令可以根據(jù)需要被加載到存儲器236中以供執(zhí)行。根據(jù)用戶設(shè)備104的配置和實現(xiàn)，存儲器236可以是易失性存儲器(未被配置為在未被供電時保留存儲的信息的存儲器)，例如，隨機存取存儲器(ram)和/或非易失性存儲器(被配置為即使在未被供電時也保留存儲的信息的存儲器)，例如，只讀存儲器(rom)、閃存等。在各種實現(xiàn)中，存儲器236可以包括多種不同類型的存儲器，諸如，各種形式的靜態(tài)隨機存取存儲器(sram)、各種形式的動態(tài)隨機存取存儲器(dram)、不可更改的(unalterable)rom和/或rom的可寫變型(諸如，電可擦除可編程只讀存儲器(eeprom)、閃存等)。

用戶設(shè)備104還可以包括附加數(shù)據(jù)儲存器234，諸如，可拆卸儲存器和/或不可拆卸儲存器，包括但不限于，磁儲存器、光盤儲存器和/或磁帶儲存器。數(shù)據(jù)儲存器234可以提供計算機可執(zhí)行指令和其它數(shù)據(jù)的非易失性存儲。存儲器236和/或數(shù)據(jù)儲存器234(可拆卸和/或不可拆卸)是計算機可讀存儲介質(zhì)(crsm)的示例。

用戶設(shè)備104還可以包括有助于示例性系統(tǒng)架構(gòu)200的用戶設(shè)備104與其它設(shè)備或應(yīng)用軟件之間經(jīng)由網(wǎng)絡(luò)110的通信的網(wǎng)絡(luò)接口240。用戶設(shè)備104還可以包括可以支持用戶與各種i/o設(shè)備(諸如，鍵盤、鼠標(biāo)、筆、指示設(shè)備、語音輸入設(shè)備、觸摸輸入設(shè)備、顯示器、揚聲器、照相機、麥克風(fēng)、打印機等)之間的交互的一個或更多個輸入/輸出(i/o)接口238(以及可選地相關(guān)聯(lián)的軟件組件，諸如設(shè)備驅(qū)動器)。

再次參照數(shù)據(jù)儲存器234，其中可以存儲各種程序模塊、應(yīng)用等，其可以包括當(dāng)其由處理器232執(zhí)行時導(dǎo)致執(zhí)行各種操作的計算機可執(zhí)行指令。存儲器236可以從數(shù)據(jù)儲存器234加載一個或更多個操作系統(tǒng)(o/s)242，其可以提供在用戶設(shè)備104上執(zhí)行的其它應(yīng)用軟件(例如，專用應(yīng)用、瀏覽器應(yīng)用、基于網(wǎng)絡(luò)的應(yīng)用、分布式客戶端服務(wù)器應(yīng)用等)與用戶設(shè)備104的硬件資源之間的接口。更具體地說，o/s242可以包括用于管理用戶設(shè)備104的硬件資源并且用于向其它應(yīng)用程序提供共同服務(wù)(例如，管理各種應(yīng)用程序之間的存儲器分配)的一組計算機可執(zhí)行指令。o/s242可以包括現(xiàn)在已知的或可能在將來開發(fā)出的任何操作系統(tǒng)，包括但不限于，任何移動操作系統(tǒng)、臺式或膝上型操作系統(tǒng)、大型機操作系統(tǒng)或任何其它專用或開源操作系統(tǒng)。

數(shù)據(jù)儲存器234還可以包括用于訪問、檢索、存儲和/或操縱存儲在一個或更多個數(shù)據(jù)存儲區(qū)(datastore)250中的數(shù)據(jù)的一個或更多個數(shù)據(jù)庫管理系統(tǒng)(dbms)244。dbms244可以使用各種數(shù)據(jù)庫模型(例如，關(guān)系模型、對象模型等)中的任何一種，并且可以支持各種查詢語言中的任何一種。一個或更多個數(shù)據(jù)存儲區(qū)250可以存儲由一個或更多個收集器246收集的數(shù)據(jù)和/或由事件響應(yīng)客戶端248生成的數(shù)據(jù)(例如，本地高速緩存數(shù)據(jù)、基線數(shù)據(jù)等)。

數(shù)據(jù)儲存器234還可以包括可以包括用于支持各種相關(guān)的功能的計算機可執(zhí)行指令的各種其它程序模塊。例如，數(shù)據(jù)儲存器234可以包括一個或更多個收集器246和/或一個或更多個事件響應(yīng)模塊248。

收集器246可以包括計算機可執(zhí)行指令，其響應(yīng)于處理器232的執(zhí)行而導(dǎo)致執(zhí)行操作，包括收集與用戶設(shè)備上的不同類型的活動相關(guān)聯(lián)的數(shù)據(jù)。在一些實施方式中，收集器246可以是由事件響應(yīng)服務(wù)器108處的系統(tǒng)的管理員配置并且然后被推送到用戶設(shè)備104的用戶配置的收集器246。用戶配置的收集器246可以直接收集用戶設(shè)備104上的數(shù)據(jù)或測量活動。在一些實施方式中，收集器246可以包括持續(xù)收集器104，其可以監(jiān)視用戶設(shè)備104的文件、過程、注冊表和/或網(wǎng)絡(luò)活動。持續(xù)收集器246可以通過直接測量用戶設(shè)備104的活動來獲得數(shù)據(jù)，或者可以從其它收集器246獲得數(shù)據(jù)。持續(xù)收集器246可以在用戶設(shè)備104上連續(xù)地收集數(shù)據(jù)，而無需任何用戶干預(yù)。

事件響應(yīng)客戶端248可以包括響應(yīng)于處理器232的執(zhí)行而導(dǎo)致執(zhí)行操作(包括與一個或更多個收集器246通信、生成用戶設(shè)備104上的活動的本地高速緩存、分析由收集器246測量的或直接來自用戶設(shè)備104的任何數(shù)據(jù)、與相關(guān)聯(lián)的一個或更多個代理服務(wù)器106進行通信等)的計算機可執(zhí)行指令。

在數(shù)據(jù)儲存器234內(nèi)，可以存儲一個或更多個模塊。如本文所使用的，術(shù)語模塊可以指代可由一個或更多個處理器232執(zhí)行的指令的功能集合。為了便于描述，而不是限制，描述了單獨的模塊。然而，應(yīng)當(dāng)理解，在一些實現(xiàn)中，由模塊提供的各種功能可以被合并、分離等等。此外，模塊可以相互通信或以其它方式相互作用，使得一個模塊的條件影響另一個模塊的操作。

代理服務(wù)器106可以包括一個或更多個處理器252以及一個或更多個存儲器256(本文中統(tǒng)稱為存儲器256)。處理器252可以包括能夠接收數(shù)字數(shù)據(jù)作為輸入、基于存儲的計算機可執(zhí)行指令來處理輸入數(shù)據(jù)、以及生成輸出數(shù)據(jù)的任何合適的處理單元。計算機可執(zhí)行指令可以例如存儲在數(shù)據(jù)儲存器254中，并且尤其可以包括操作系統(tǒng)軟件和應(yīng)用軟件。可以從數(shù)據(jù)儲存器254檢索計算機可執(zhí)行指令，并根據(jù)需要加載到存儲器256中以供執(zhí)行。處理器252可以被配置為執(zhí)行計算機可執(zhí)行指令以導(dǎo)致執(zhí)行各種操作。處理器252可以包括任何類型的處理單元，包括但不限于，中央處理單元、微處理器、微控制器、精簡指令集計算機(risc)微處理器、復(fù)合指令集計算機(cisc)微處理器、專用集成電路(asic)、片上系統(tǒng)(soc)、現(xiàn)場可編程門陣列(fpga)等。

數(shù)據(jù)儲存器254可以存儲可由處理器252加載和執(zhí)行的程序指令，以及在執(zhí)行程序指令期間由處理器252操縱和生成的數(shù)據(jù)。程序指令可以根據(jù)需要被加載到存儲器256中以供執(zhí)行。根據(jù)代理服務(wù)器106的配置和實現(xiàn)，存儲器256可以是易失性存儲器(未被配置為在未被供電時保留存儲的信息的存儲器)，例如，隨機存取存儲器(ram)和/或非易失性存儲器(被配置為即使在未被供電時也保留存儲的信息的存儲器)，例如，只讀存儲器(rom)、閃存等。在各種實現(xiàn)中，存儲器256可以包括多種不同類型的存儲器，諸如，各種形式的靜態(tài)隨機存取存儲器(sram)、各種形式的動態(tài)隨機存取存儲器(dram)、不可更改的rom和/或rom的可寫變型(諸如，電可擦除可編程只讀存儲器(eeprom)、閃存等)。

代理服務(wù)器106還可以包括附加數(shù)據(jù)儲存器254，諸如，可移動(removable)儲存器和/或不可移動儲存器，包括但不限于，磁儲存器、光盤儲存器和/或磁帶儲存器。數(shù)據(jù)儲存器254可以提供計算機可執(zhí)行指令和其它數(shù)據(jù)的非易失性存儲。存儲器256和/或數(shù)據(jù)儲存器254(可移動和/或不可移動)是計算機可讀存儲介質(zhì)(crsm)的示例。

代理服務(wù)器106還可以包括促使代理服務(wù)器106與示例性系統(tǒng)架構(gòu)200的其它設(shè)備(例如，用戶設(shè)備104等)或應(yīng)用軟件之間通過網(wǎng)絡(luò)110進行通信的網(wǎng)絡(luò)接口260。代理服務(wù)器106還可以包括可以支持用戶與各種i/o設(shè)備(諸如，鍵盤、鼠標(biāo)、筆、指示設(shè)備、語音輸入設(shè)備、觸摸輸入設(shè)備、顯示器、揚聲器、照相機、麥克風(fēng)、打印機等)之間的交互的一個或更多個輸入/輸出(i/o)接口258(以及可選地相關(guān)聯(lián)的軟件組件，諸如設(shè)備驅(qū)動器)。

再次參照數(shù)據(jù)儲存器254，其中可以存儲各種程序模塊、應(yīng)用等，其可以包括當(dāng)其由處理器252執(zhí)行時導(dǎo)致執(zhí)行各種操作的計算機可執(zhí)行指令。存儲器256可以從數(shù)據(jù)儲存器254加載一個或更多個操作系統(tǒng)(o/s)262，其可以提供在代理服務(wù)器106上執(zhí)行的其它應(yīng)用軟件(例如，專用應(yīng)用、瀏覽器應(yīng)用、基于網(wǎng)絡(luò)的應(yīng)用、分布式客戶端-服務(wù)器應(yīng)用等)與代理服務(wù)器106的硬件資源之間的接口。更具體地說，o/s262可以包括用于管理代理服務(wù)器106的硬件資源并且用于向其它應(yīng)用程序提供共同服務(wù)(例如，管理各種應(yīng)用程序之間的存儲器分配)的一組計算機可執(zhí)行指令。o/s262可以包括現(xiàn)在已知的或可能在將來開發(fā)出的任何操作系統(tǒng)，包括但不限于，任何移動操作系統(tǒng)、臺式或膝上型操作系統(tǒng)、大型機操作系統(tǒng)或任何其它專用或開源操作系統(tǒng)。

數(shù)據(jù)儲存器254還可以包括用于訪問、檢索、存儲和/或操縱存儲在一個或更多個數(shù)據(jù)存儲區(qū)中的數(shù)據(jù)的一個或更多個數(shù)據(jù)庫管理系統(tǒng)(dbms)264。dbms264可以使用各種數(shù)據(jù)庫模型(例如，關(guān)系模型、對象模型、非sql、文檔模型等)中的任何一種，并且可以支持各種查詢語言中的任何一種。

數(shù)據(jù)儲存器254還可以包括可以包括用于支持各種相關(guān)功能的計算機可執(zhí)行指令的各種其它程序模塊。例如，數(shù)據(jù)儲存器254可以包括一個或更多個事件響應(yīng)模塊266。

事件響應(yīng)模塊266可以包括計算機可執(zhí)行指令，其響應(yīng)于處理器252的執(zhí)行導(dǎo)致執(zhí)行操作，所述操作包括與一個或更多個相關(guān)聯(lián)的用戶設(shè)備104、一個或更多個其它代理服務(wù)器106和/或一個或更多個事件響應(yīng)服務(wù)器108進行通信。在一些實施方式中，事件響應(yīng)模塊266可以從一個或更多個用戶設(shè)備104接收數(shù)據(jù)，并且可以處理數(shù)據(jù)(例如，分析來自多個用戶設(shè)備104的數(shù)據(jù)并生成要發(fā)送到事件響應(yīng)服務(wù)器108的消息、減少事件響應(yīng)服務(wù)器108接收到的消息的數(shù)量)。在一些實施方式中，事件響應(yīng)模塊266可以從一個或更多個事件響應(yīng)服務(wù)器108接收請求信息的消息。事件響應(yīng)模塊266可以將對信息的請求發(fā)送到一個或更多個用戶設(shè)備104，諸如可能與所請求的信息更相關(guān)的相關(guān)聯(lián)的用戶設(shè)備104的子集，諸如利用代理服務(wù)器106訂閱某些主題的那些用戶設(shè)備104。例如，對信息的請求可以用于識別下載移動應(yīng)用的用戶設(shè)備104。事件響應(yīng)模塊266可以確定相關(guān)用戶設(shè)備將是移動設(shè)備104，諸如，筆記本電腦、智能電話、平板電腦和/或其它可穿戴式計算機。事件響應(yīng)模塊266可以向訂閱用于移動設(shè)備的主題的用戶設(shè)備104發(fā)送用于所請求的信息的消息，并且可以從用戶設(shè)備104的子集接收數(shù)據(jù)。

在數(shù)據(jù)儲存器254內(nèi)，可以存儲一個或更多個模塊。如本文所使用的，術(shù)語模塊可以指代可由一個或更多個處理器252執(zhí)行的指令的功能集合。為了便于描述，而不是限制，描述了單獨的模塊。然而，應(yīng)當(dāng)理解，在一些實現(xiàn)中，由模塊提供的各種功能可以被合并、分離等等。此外，模塊可以相互通信或以其它方式相互作用，使得一個模塊的情況影響另一個模塊的操作。

事件響應(yīng)服務(wù)器108可以包括一個或更多個處理器272以及一個或更多個存儲器276(本文中統(tǒng)稱為存儲器276)。處理器272可以包括能夠接收數(shù)字數(shù)據(jù)作為輸入、基于存儲的計算機可執(zhí)行指令來處理輸入數(shù)據(jù)、以及生成輸出數(shù)據(jù)的任何合適的處理單元。計算機可執(zhí)行指令可以例如存儲在數(shù)據(jù)儲存器274中，并且尤其可以包括操作系統(tǒng)軟件和應(yīng)用軟件?？梢詮臄?shù)據(jù)儲存器274檢索計算機可執(zhí)行指令，并根據(jù)需要加載到存儲器276中以供執(zhí)行。處理器272可以被配置為執(zhí)行計算機可執(zhí)行指令以導(dǎo)致執(zhí)行各種操作。處理器272可以包括任何類型的處理單元，包括但不限于，中央處理單元、微處理器、微控制器、精簡指令集計算機(risc)微處理器、復(fù)合指令集計算機(cisc)微處理器、專用集成電路(asic)、片上系統(tǒng)(soc)、現(xiàn)場可編程門陣列(fpga)等。

數(shù)據(jù)儲存器274可以存儲可由處理器272加載和執(zhí)行的程序指令，以及在執(zhí)行程序指令期間由處理器272操縱和生成的數(shù)據(jù)。程序指令可以根據(jù)需要被加載到存儲器276中以供執(zhí)行。根據(jù)事件響應(yīng)服務(wù)器108的配置和實現(xiàn)，存儲器276可以是易失性存儲器(未被配置為在未被供電時保留存儲的信息的存儲器)，例如，隨機存取存儲器(ram)和/或非易失性存儲器(被配置為即使在未被供電時也保留存儲的信息的存儲器)，例如，只讀存儲器(rom)、閃存等。在各種實現(xiàn)中，存儲器276可以包括多種不同類型的存儲器，諸如，各種形式的靜態(tài)隨機存取存儲器(sram)、各種形式的動態(tài)隨機存取存儲器(dram)、不可更改的rom，和/或rom的可寫變型(諸如，電可擦除可編程只讀存儲器(eeprom)、閃存等)。

事件響應(yīng)服務(wù)器108還可以包括附加數(shù)據(jù)儲存器274，諸如，可移動儲存器和/或不可移動儲存器，包括但不限于，磁儲存器、光盤儲存器和/或磁帶儲存器。數(shù)據(jù)儲存器274可以提供計算機可執(zhí)行指令和其它數(shù)據(jù)的非易失性存儲。存儲器276和/或數(shù)據(jù)儲存器274(可移動和/或不可移動)是計算機可讀存儲介質(zhì)(crsm)的示例。

事件響應(yīng)服務(wù)器108還可以包括促使事件響應(yīng)服務(wù)器108與示例性系統(tǒng)架構(gòu)200的其它設(shè)備或應(yīng)用軟件之間經(jīng)由網(wǎng)絡(luò)110的通信的網(wǎng)絡(luò)接口280。事件響應(yīng)服務(wù)器108還可以包括可以支持用戶與各種i/o設(shè)備(諸如，鍵盤、鼠標(biāo)、筆、指示設(shè)備、語音輸入設(shè)備、觸摸輸入設(shè)備、顯示器、揚聲器、照相機、麥克風(fēng)、打印機等)之間的交互的一個或更多個輸入/輸出(i/o)接口278(以及可選地相關(guān)聯(lián)的軟件組件，諸如設(shè)備驅(qū)動器)。

再次參照數(shù)據(jù)儲存器274，其中可以存儲各種程序模塊、應(yīng)用等，其可以包括當(dāng)其由處理器272執(zhí)行時導(dǎo)致執(zhí)行各種操作的計算機可執(zhí)行指令。存儲器276可以從數(shù)據(jù)儲存器274加載一個或更多個操作系統(tǒng)(o/s)282，其可以提供在事件響應(yīng)服務(wù)器108上執(zhí)行的其它應(yīng)用軟件(例如，專用應(yīng)用、瀏覽器應(yīng)用、基于網(wǎng)絡(luò)的應(yīng)用、分布式客戶端服務(wù)器應(yīng)用等)與事件響應(yīng)服務(wù)器108的硬件資源之間的接口。更具體地說，o/s282可以包括用于管理事件響應(yīng)服務(wù)器108的硬件資源并且用于向其它應(yīng)用程序提供共同服務(wù)(例如，管理各種應(yīng)用程序之間的存儲器分配)的一組計算機可執(zhí)行指令。o/s282可以包括現(xiàn)在已知的或可能在將來開發(fā)出的任何操作系統(tǒng)，包括但不限于，任何移動操作系統(tǒng)、臺式或膝上型操作系統(tǒng)、大型機操作系統(tǒng)或任何其它專用或開源操作系統(tǒng)。

數(shù)據(jù)儲存器274還可以包括用于訪問、檢索、存儲和/或操縱存儲在一個或更多個數(shù)據(jù)存儲區(qū)(例如，事件響應(yīng)數(shù)據(jù)存儲區(qū)288)(其可以存儲由事件響應(yīng)模塊286生成的數(shù)據(jù)(例如，報告、基線、主動陷阱、反應(yīng)等))中的數(shù)據(jù)的一個或更多個數(shù)據(jù)庫管理系統(tǒng)(dbms)284。dbms284可以使用各種數(shù)據(jù)庫模型(例如，關(guān)系模型、對象模型等)中的任何一種，并且可以支持各種查詢語言中的任何一種。

數(shù)據(jù)儲存器274還可以包括可以包括用于支持各種相關(guān)功能的計算機可執(zhí)行指令的各種其它程序模塊。例如，數(shù)據(jù)儲存器274可以包括一個或更多個事件響應(yīng)模塊286。

事件響應(yīng)模塊286可以包括計算機可執(zhí)行指令，其響應(yīng)于處理器272的執(zhí)行導(dǎo)致執(zhí)行操作，所述操作包括配置收集器246以傳播到用戶設(shè)備104；配置主動事件響應(yīng)陷阱及相關(guān)聯(lián)的反應(yīng)(在本文中將進一步描述)以傳播到用戶設(shè)備104；發(fā)起關(guān)于用戶設(shè)備104的狀態(tài)信息的查詢；從代理服務(wù)器106接收數(shù)據(jù)；分析數(shù)據(jù)；為一組用戶設(shè)備104生成組基線；生成一個或更多個報告等。

在數(shù)據(jù)儲存器274內(nèi)，可以存儲一個或更多個模塊。如本文所使用的，術(shù)語模塊可以指代可由一個或更多個處理器272執(zhí)行的指令的功能集合。為了便于描述，而不是限制，描述了單獨的模塊。然而，應(yīng)當(dāng)理解，在一些實現(xiàn)中，由模塊提供的各種功能可以被合并、分離等等。此外，模塊可以相互通信或以其它方式相互作用，使得一個模塊的情況影響另一個模塊的操作。

本領(lǐng)域普通技術(shù)人員將理解，在不脫離本公開的范圍的情況下，架構(gòu)200的任何組件都可以包括超出所描述或描繪的另選和/或附加硬件、軟件或固件組件。更具體地，應(yīng)當(dāng)理解，描繪或描述為形成框架200的示例性組件中的任何一個的一部分的軟件、固件或硬件組件以及這些組件支持的相關(guān)功能只是示例性的，并且某些組件可能不存在或附加組件可以在各種實施例中提供。雖然已經(jīng)針對架構(gòu)200的各種示例性組件描繪和描述了各種程序模塊，但是應(yīng)當(dāng)理解，被描述為由程序模塊支持的功能可以通過硬件、軟件和/或固件的任何組合來實現(xiàn)。還應(yīng)當(dāng)理解，在各種實施方式中，上述模塊中的每一個可以表示所支持的功能的邏輯劃分。為了便于功能的說明，描述了這種邏輯劃分，并且該邏輯劃分可能不代表用于實現(xiàn)所述功能的軟件、固件和/或硬件的結(jié)構(gòu)。因此，應(yīng)當(dāng)理解，在各種實施方式中，被描述為由特定模塊提供的功能可以至少部分地由一個或更多個其它模塊提供。此外，在某些實施方式中，一個或更多個所描繪的模塊可能不存在，而在其它實施方式中，可能存在未描繪的附加模塊并且這些模塊可以支持所描述的功能和/或附加功能的至少一部分。此外，雖然某些模塊可能被描繪和描述為另一模塊的子模塊，但是在某些實施方式中，這樣的模塊可以作為獨立模塊提供。

本領(lǐng)域普通技術(shù)人員將理解，示例性網(wǎng)絡(luò)架構(gòu)200僅作為示例提供。許多其它操作環(huán)境、系統(tǒng)架構(gòu)和設(shè)備配置都在本公開的范圍內(nèi)。本公開的其它實施方式可以包括更少或更多數(shù)量的組件和/或設(shè)備，并且可以包括針對示例性架構(gòu)200描述的功能的一些或全部，或者附加的功能。

示例性過程

圖3是根據(jù)本公開的一個或更多個實施方式的用于與示例性系統(tǒng)架構(gòu)中的各種組件進行通信的數(shù)據(jù)交換層中的事件響應(yīng)工具的示例性方法300的過程流程圖。在一些實施方式中，數(shù)據(jù)交換層系統(tǒng)有助于將與用戶設(shè)備104進行通信以及從用戶設(shè)備104獲得數(shù)據(jù)的能力擴展到數(shù)十萬或數(shù)百萬個收集的設(shè)備(例如，用戶設(shè)備104、代理服務(wù)器106、事件響應(yīng)服務(wù)器108等)。事件響應(yīng)工具可以通過擴展代理服務(wù)器106以允許插件系統(tǒng)來利用可選的聚合特征，其中代理服務(wù)器106可以從用戶設(shè)備104收集和聚合消息，從而防止事件響應(yīng)服務(wù)器108被來自用戶設(shè)備104的消息掩蓋和淹沒。另外，可以通過使用戶設(shè)備104分析收集的數(shù)據(jù)并然后將結(jié)果發(fā)送到代理服務(wù)器106和事件響應(yīng)服務(wù)器108來利用分布式計算，從而提高系統(tǒng)的效率。

在框305，事件響應(yīng)服務(wù)器的事件響應(yīng)模塊286可以發(fā)起對數(shù)據(jù)的請求并將請求發(fā)送至一個或更多個代理服務(wù)器106。在一些實施方式中，利用數(shù)據(jù)交換層系統(tǒng)可以生成和發(fā)送請求。例如，數(shù)據(jù)交換層系統(tǒng)可以將請求快速傳播到與該數(shù)據(jù)交換層系統(tǒng)連接或關(guān)聯(lián)的設(shè)備。在一些實施方式中，源自事件響應(yīng)服務(wù)器108的消息可以被發(fā)送到一個或更多個代理服務(wù)器106以分發(fā)給用戶設(shè)備104。代理服務(wù)器106可以將接收到的消息發(fā)送到其它代理服務(wù)器106和/或任何相關(guān)聯(lián)的用戶設(shè)備104。接收消息的每個代理服務(wù)器106可以將消息發(fā)送到與相應(yīng)的(respective)代理服務(wù)器106相關(guān)聯(lián)的用戶設(shè)備104。該請求可以包括用于如由發(fā)起請求的管理員指定的數(shù)據(jù)的一個或更多個參數(shù)。例如，參數(shù)可以包括用戶設(shè)備104的特性(例如，設(shè)備的類型)、用戶設(shè)備104的用戶的特性(例如，組中的成員身份、用戶的角色等)等。在一些實施方式中，事件響應(yīng)服務(wù)器可以向多個代理發(fā)送對數(shù)據(jù)的請求。

在框310，代理服務(wù)器106的事件響應(yīng)模塊266可以從事件響應(yīng)服務(wù)器108接收請求，并將該請求傳達給與代理服務(wù)器106相關(guān)聯(lián)的一個或更多個用戶設(shè)備104以獲得所請求的數(shù)據(jù)。在一些實施方式中，事件響應(yīng)模塊266可以處理請求并識別在請求中指定的一個或更多個參數(shù)。在一些實施方式中，事件響應(yīng)模塊266可以標(biāo)識與所識別的參數(shù)相關(guān)聯(lián)的一個或更多個主題，并將該請求發(fā)送到訂閱該主題的用戶設(shè)備104。用戶設(shè)備104可以基于由系統(tǒng)的管理員設(shè)置的配置或至少部分地基于在進行配置時用戶設(shè)備104或用戶的特性來訂閱主題，以在數(shù)據(jù)交換層系統(tǒng)內(nèi)操作。

在框315，事件響應(yīng)模塊266可以從與代理服務(wù)器106相關(guān)聯(lián)的一個或更多個用戶設(shè)備104接收數(shù)據(jù)并且處理所獲得的數(shù)據(jù)。在一些實施方式中，處理所獲得的數(shù)據(jù)可以包括聚合來自多個用戶設(shè)備104的包含所請求的數(shù)據(jù)的多個消息，并且將包含來自用戶設(shè)備104的消息和/或數(shù)據(jù)的聚合的單個消息發(fā)送到事件響應(yīng)服務(wù)器108。

在框320，事件響應(yīng)模塊286可以接收由一個或更多個代理服務(wù)器106的事件響應(yīng)模塊266處理的數(shù)據(jù)。事件響應(yīng)模塊286可以從多個代理服務(wù)器106接收數(shù)據(jù)，并且可以響應(yīng)于對信息的請求對所接收到的所有數(shù)據(jù)進行處理。在一些實施方式中，對數(shù)據(jù)的請求可能與管理員正在調(diào)查的單個事件有關(guān)。在其它實施方式中，對數(shù)據(jù)的請求可能與用戶設(shè)備104的子集的獨立基線和/或組基線的生成有關(guān)。在一些實施方式中，事件響應(yīng)模塊286可以分析數(shù)據(jù)并生成報告。在一些實施方式中，事件響應(yīng)模塊286可以將經(jīng)處理的數(shù)據(jù)呈現(xiàn)給管理員，管理員可以至少部分地基于經(jīng)處理的數(shù)據(jù)采取進一步的動作。

圖4是根據(jù)本公開的一個或更多個實施方式的用于數(shù)據(jù)交換層中的事件響應(yīng)工具中的主動陷阱的示例性方法400的過程流程圖。在一些實施方式中，系統(tǒng)可以僅周期性地查詢用戶設(shè)備104的狀態(tài)，其中用戶設(shè)備104在所述查詢之間可能發(fā)生改變，從而導(dǎo)致關(guān)鍵信息的潛在丟失。因此，可以使用主動事件響應(yīng)陷阱來監(jiān)視用戶設(shè)備104的狀態(tài)，而不用擔(dān)心丟失信息。當(dāng)陷阱條件或條件集觸發(fā)時，事件響應(yīng)陷阱可以生成主動通知。事件響應(yīng)陷阱可以用于監(jiān)視用戶設(shè)備104上的不同類型的活動，包括但不限于，監(jiān)視文件、網(wǎng)絡(luò)、過程和注冊表活動。

在框405，事件響應(yīng)服務(wù)器108的事件響應(yīng)模塊286可以創(chuàng)建并配置事件響應(yīng)陷阱。事件響應(yīng)陷阱可以包括用于監(jiān)視用戶設(shè)備104上的活動的一個或更多個條件語句。

在框410，事件響應(yīng)模塊286可以將一個或更多個反應(yīng)與所述事件響應(yīng)陷阱相關(guān)聯(lián)。反應(yīng)可以是可以鏈接到事件響應(yīng)陷阱或以其它方式與事件響應(yīng)陷阱相關(guān)聯(lián)的任何動作，其中一旦陷阱被觸發(fā)(例如，已經(jīng)滿足條件語句)，就可以采取指定的動作。例如，可以配置事件響應(yīng)陷阱，使得當(dāng)用戶設(shè)備104嘗試接觸被指定為不可信的網(wǎng)站時，發(fā)生反應(yīng)。反應(yīng)可以是終止嘗試訪問網(wǎng)站的過程。

在框415，事件響應(yīng)模塊286可以發(fā)起事件響應(yīng)陷阱以及相關(guān)聯(lián)的反應(yīng)經(jīng)由數(shù)據(jù)交換層系統(tǒng)的代理服務(wù)器106至用戶設(shè)備的傳播。事件響應(yīng)陷阱以及相關(guān)聯(lián)的反應(yīng)可以通過將事件響應(yīng)陷阱以及相關(guān)聯(lián)的反應(yīng)發(fā)送到一個或更多個代理服務(wù)器106來推送到數(shù)據(jù)交換層系統(tǒng)中的用戶設(shè)備104，所述代理服務(wù)器106進而可以將事件響應(yīng)陷阱以及相關(guān)聯(lián)的反應(yīng)發(fā)送到與代理服務(wù)器106相關(guān)聯(lián)的一個或更多個用戶設(shè)備104。

在框420，當(dāng)事件響應(yīng)陷阱被觸發(fā)時，事件響應(yīng)模塊286可以接收通知。在一些實施方式中，該通知可以指示與事件響應(yīng)陷阱相關(guān)聯(lián)的歷史(例如，觸發(fā)陷阱的先前事件)、與事件響應(yīng)陷阱的觸發(fā)相關(guān)聯(lián)的數(shù)據(jù)(例如，觸發(fā)陷阱的日期、時間、事件)。在一些實施方式中，管理員可以響應(yīng)于該通知而采取進一步的動作，諸如增加其上觸發(fā)了事件響應(yīng)陷阱的用戶設(shè)備104的監(jiān)視功能等。

圖5是根據(jù)本公開的一個或更多個實施方式的、用于數(shù)據(jù)交換層中的事件響應(yīng)工具中的本地歷史高速緩存的示例性方法500的過程流程圖。在一些實施方式中，事件響應(yīng)器可能需要最近的用戶設(shè)備104的歷史來準(zhǔn)確地識別和評估問題。用戶設(shè)備104上的本地高速緩存或歷史可以允許連續(xù)跟蹤和記錄本地關(guān)鍵活動，這可以有助于對用戶設(shè)備104上的問題的更快速且更準(zhǔn)確的診斷。例如，如果網(wǎng)絡(luò)流數(shù)據(jù)被本地記錄在用戶設(shè)備104上，則事件響應(yīng)器可以查詢數(shù)據(jù)交換層系統(tǒng)以確定哪一個設(shè)備在最近一周接觸到特定的ip地址并且快速獲得信息，因為信息已經(jīng)本地高速緩存在用戶設(shè)備上，并且僅需要檢索這樣的數(shù)據(jù)，需要進一步處理以獲得這樣的數(shù)據(jù)。

在另一示例中，事件響應(yīng)器可能希望在500,000個節(jié)點環(huán)境中確定文件系統(tǒng)上存在特定文件。用戶設(shè)備104可以具有一個或更多個持續(xù)(persistent)收集器，其可以將文件系統(tǒng)上的所有文件進行散列(hash)(例如，使用md5、sha1或sha2算法來散列文件)并將數(shù)據(jù)存儲在用戶設(shè)備104的本地高速緩存或歷史中。持續(xù)收集器可以是在它們與數(shù)據(jù)交換層系統(tǒng)相關(guān)聯(lián)時被推送到用戶設(shè)備104上的收集器246，并且持續(xù)收集器可以連續(xù)監(jiān)視用戶設(shè)備104上的數(shù)據(jù)，諸如監(jiān)視文件、過程、注冊表和/或網(wǎng)絡(luò)活動。持續(xù)收集器246可以通過直接測量用戶設(shè)備104的活動來獲得數(shù)據(jù)，或者可以從其它收集器246獲得數(shù)據(jù)。持續(xù)收集器246可以在用戶設(shè)備104上連續(xù)地收集數(shù)據(jù)，而無需任何用戶干預(yù)。事件響應(yīng)器然后可以發(fā)起用于確定數(shù)據(jù)交換層系統(tǒng)中的用戶設(shè)備中的任何一個上的特定文件的請求。因為文件已經(jīng)被用戶設(shè)備上的持續(xù)收集器散列，所以事件響應(yīng)器可以立即獲得所請求的數(shù)據(jù)，而不是必需等待用戶設(shè)備104對其系統(tǒng)中的所有文件進行散列并且然后確定所請求的文件是否存在于用戶設(shè)備104上。

在框505，事件響應(yīng)服務(wù)器108的事件響應(yīng)模塊286可以創(chuàng)建和配置一個或更多個收集器246，并將收集器246的副本推送到一個或更多個用戶設(shè)備104。在一些實施方式中，管理員可以指定要收集的數(shù)據(jù)的類型、數(shù)據(jù)的收集的持續(xù)時間、用于刪除所收集的數(shù)據(jù)的規(guī)則等。在一些實施方式中，收集器246可以被指定為持續(xù)收集器，其可以收集與監(jiān)視用戶設(shè)備104的文件、過程、注冊表和/或網(wǎng)絡(luò)活動相關(guān)聯(lián)的所有數(shù)據(jù)。持續(xù)收集器可以從其它收集器246獲得數(shù)據(jù)或者直接從用戶設(shè)備104獲得數(shù)據(jù)。事件響應(yīng)模塊286可以有助于將配置的收集器246推送到數(shù)據(jù)交換層系統(tǒng)中的用戶設(shè)備中的一些或全部。因此，事件響應(yīng)模塊286可以將收集器246的副本發(fā)送至一個或更多個代理服務(wù)器106，然后，所述一個或更多個代理服務(wù)器106可以將收集器246的副本發(fā)送到一個或更多個與該代理服務(wù)器106相關(guān)聯(lián)的用戶設(shè)備104。

在框510，用戶設(shè)備104的收集器246可以收集用戶設(shè)備上的數(shù)據(jù)并將其存儲在本地高速緩存或歷史中，而事件響應(yīng)客戶端248可以接收來自事件響應(yīng)服務(wù)器108的請求并通過從本地高速緩存或歷史中檢索數(shù)據(jù)、分析本地高速緩存或歷史以及識別與該請求相關(guān)的數(shù)據(jù)對其做出響應(yīng)。

在框515，事件響應(yīng)模塊286可以向一個或更多個代理服務(wù)器106發(fā)送對數(shù)據(jù)的請求。對數(shù)據(jù)的請求可以由一個或更多個代理服務(wù)器106中的每一個接收，并被處理以識別在請求中指定的任何參數(shù)。例如，請求可以指示應(yīng)該從智能電話或平板電腦獲得數(shù)據(jù)。一個或更多個代理服務(wù)器106中的每一個上的事件響應(yīng)模塊266可以確定所識別出的來自請求的參數(shù)對應(yīng)于與代理服務(wù)器106相關(guān)聯(lián)的用戶設(shè)備104訂閱的一個或更多個主題。事件響應(yīng)模塊266然后可以將數(shù)據(jù)請求發(fā)送到訂閱所識別出的主題的一個或更多個用戶設(shè)備104，并且可以接收由用戶設(shè)備104的事件響應(yīng)客戶端248從用戶設(shè)備104的本地高速緩存或歷史檢索并分析的數(shù)據(jù)。事件響應(yīng)模塊266然后可以聚合從一個或更多個用戶設(shè)備104接收到的數(shù)據(jù)，并將單個消息發(fā)送到事件響應(yīng)服務(wù)器108。

在框520，事件響應(yīng)模塊286可以從一個或更多個代理服務(wù)器106接收所請求的數(shù)據(jù)。事件響應(yīng)模塊286可以處理從代理服務(wù)器106中的每一個接收到的數(shù)據(jù)，并且可以使用從用戶設(shè)備104獲得的數(shù)據(jù)用于不同的目的，諸如，識別關(guān)于隔離問題的細節(jié)、生成基線等。

圖6是根據(jù)本公開的一個或更多個實施方式的用于數(shù)據(jù)交換層中的事件響應(yīng)工具中的基線的示例性方法600的過程流程圖。在一些實施方式中，基線是可以用于在系統(tǒng)(例如，用戶設(shè)備104)內(nèi)建立常態(tài)并且可以用于識別異常行為的非確定性工具?；€可以從存儲在用戶設(shè)備104的由一個或更多個收集器246生成并維護的本地高速緩存或歷史中的數(shù)據(jù)生成。在一些實施方式中，可以生成基線并利用其來識別各個系統(tǒng)(例如，用戶設(shè)備104)或用戶上的模式對比(patterncontrast)。例如，如果分析了兩個用戶及他們各自的系統(tǒng)，則每個用戶和系統(tǒng)將具有與應(yīng)用使用、瀏覽活動、交互式登錄時間、位置和/或軟件安裝相關(guān)聯(lián)的唯一模式。兩個用戶及他們的系統(tǒng)的模式可能會有所不同，但是作為獨立用戶，隨著時間的推移，行為模式將會被開發(fā)(例如，用戶可能每天瀏覽網(wǎng)站多次、在一天中的某些時段變得不活躍等)。通過在用戶登錄系統(tǒng)時以及當(dāng)他們不與系統(tǒng)交互時監(jiān)視用戶活動，可以導(dǎo)出模式，并且可以生成基線。根據(jù)這些基線可以評估模式用于與這些數(shù)據(jù)的對比。

在框605，事件響應(yīng)服務(wù)器108的事件響應(yīng)模塊286可以發(fā)起對數(shù)據(jù)的請求并且將請求發(fā)送到一個或更多個代理服務(wù)器106。在一些實施方式中，對數(shù)據(jù)的請求可以是針對用戶設(shè)備104的子集，諸如，與用戶的特定組、用戶設(shè)備104的類型等相關(guān)聯(lián)的那些用戶設(shè)備104。請求可以通過數(shù)據(jù)交換層系統(tǒng)發(fā)送，其中該請求被發(fā)送到一個或更多個代理服務(wù)器106，該代理服務(wù)器106然后可以將消息發(fā)送到與代理服務(wù)器106相關(guān)聯(lián)的一個或更多個用戶設(shè)備104。

在框610，事件響應(yīng)模塊286可以從一個或更多個代理服務(wù)器106接收從一個或更多個用戶設(shè)備104收集的所請求的數(shù)據(jù)。在一些實施方式中，代理服務(wù)器106可能已經(jīng)向訂閱被確定為與所請求的信息相關(guān)聯(lián)或相關(guān)的主題的用戶設(shè)備104發(fā)送了該請求。在一些實施方式中，代理服務(wù)器106可以充當(dāng)數(shù)據(jù)交換層系統(tǒng)內(nèi)的中介，其中代理服務(wù)器106可以從多個相關(guān)聯(lián)的用戶設(shè)備104接收消息、處理從用戶設(shè)備104接收到的消息、以及從多個用戶設(shè)備104生成與所接收到的消息相關(guān)聯(lián)的單個消息并將包含所請求的數(shù)據(jù)的消息從用戶設(shè)備104發(fā)送到事件響應(yīng)服務(wù)器108，從而減少系統(tǒng)內(nèi)的網(wǎng)絡(luò)流量。

在框615，事件響應(yīng)模塊286可以基于所接收到的數(shù)據(jù)生成用于一組用戶設(shè)備的基線。在一些實施方式中，從代理服務(wù)器106接收的數(shù)據(jù)可以是與它們各自的用戶設(shè)備104相關(guān)聯(lián)的獨立基線。事件響應(yīng)模塊286可以生成與從其接收數(shù)據(jù)的用戶設(shè)備104的子集或組相關(guān)聯(lián)的一個或更多個基線。在一些實施方式中，所接收到的數(shù)據(jù)可以是針對用戶設(shè)備104的各自的本地高速緩存或歷史從用戶設(shè)備104獲得的數(shù)據(jù)。事件響應(yīng)模塊286可以針對相應(yīng)的用戶設(shè)備104生成獨立(individual)基線和/或與從其接收數(shù)據(jù)的用戶設(shè)備104的集合相關(guān)聯(lián)的一個或更多個組基線。

在一些實施方式中，基線可以是計算的基線，其中可以處理從用戶設(shè)備104接收到的數(shù)據(jù)，并且可以通過針對不同類型的活動計算值來生成基線。例如，針對網(wǎng)絡(luò)活動的計算的基線可以周期性地計算基于協(xié)議的連接的數(shù)量和連接的類型。可以映射出所計算的數(shù)據(jù)，并且可以基于所計算的值來生成基線。

在框620，事件響應(yīng)模塊286可以配置與所生成的基線相關(guān)聯(lián)的一個或更多個閾值。例如，閾值可以指示用于確定給定活動是否異常的偏差范圍。例如，如果基線指示用戶在上午9:00至10:00之間的登錄活動，則該閾值可以指示基線的正或負三十分鐘的范圍，在此時間期間活動仍將被視為正常。然而，如果登錄活動發(fā)生在閾值之外(例如，上午3:00)，那么由于這種行為超過了配置的閾值，所以這種行為可被認為是異常行為。

在框625，事件響應(yīng)模塊286可以監(jiān)視用戶設(shè)備104并將用戶設(shè)備104上的數(shù)據(jù)與基線進行比較。在一些實施方式中，事件響應(yīng)模塊286可以通過使用(例如，如結(jié)合圖4所描述的)主動事件響應(yīng)陷阱來監(jiān)視用戶設(shè)備104，其中基線(例如，獨立基線或組基線)可用于主動事件響應(yīng)陷阱的條件語句中，以識別異常行為。在一些實施方式中，管理員可以將用戶設(shè)備104上識別的活動或事件與獨立基線或組基線進行比較，以確定活動或事件是否異常。

在框630，當(dāng)來自用戶設(shè)備104的數(shù)據(jù)偏離所生成的基線并且超過一個或更多個閾值時，事件響應(yīng)模塊286可以接收通知。在一些實施方式中，通知可以與主動事件響應(yīng)陷阱相關(guān)聯(lián)地從用戶設(shè)備104(經(jīng)由代理服務(wù)器106)被接收，或者可以響應(yīng)于用戶設(shè)備104確定活動或事件偏離與用戶設(shè)備104相關(guān)聯(lián)的獨立基線并且超過在框620配置的一個或更多個閾值而被接收。管理員可以選擇通過請求進一步的數(shù)據(jù)來進一步監(jiān)視用戶設(shè)備104，或者可以基于用戶設(shè)備104上的活動或事件異常的確定來采取主動措施。

在一個實施方式中，計算機可讀介質(zhì)可以存儲計算機可執(zhí)行指令，其在由處理器執(zhí)行時使得處理器執(zhí)行操作，該操作包括：由事件響應(yīng)服務(wù)器配置數(shù)據(jù)收集器，該數(shù)據(jù)收集器將收集存儲數(shù)據(jù)收集器的用戶設(shè)備上的數(shù)據(jù)；由事件響應(yīng)服務(wù)器通過數(shù)據(jù)交換層系統(tǒng)將數(shù)據(jù)收集器的副本發(fā)送至多個用戶設(shè)備，其中數(shù)據(jù)交換層系統(tǒng)包括多個代理服務(wù)器，每個代理服務(wù)器與多個用戶設(shè)備的相應(yīng)部分相關(guān)聯(lián)；由事件響應(yīng)服務(wù)器從數(shù)據(jù)交換層系統(tǒng)發(fā)送對一組數(shù)據(jù)的請求；以及由事件響應(yīng)服務(wù)器從多個代理服務(wù)器的至少一個子集接收該組數(shù)據(jù)，其中該組數(shù)據(jù)從與所述多個代理服務(wù)器的子集相關(guān)聯(lián)的用戶設(shè)備的子集的數(shù)據(jù)收集器的相應(yīng)的副本獲得。

在實施方式的一個方面，所述操作還可以包括由事件響應(yīng)服務(wù)器基于所接收到的數(shù)據(jù)生成與一組用戶設(shè)備相關(guān)聯(lián)的組基線；以及由事件響應(yīng)服務(wù)器配置與所述組基線相關(guān)聯(lián)的閾值。在實施方式的一個方面，所述操作還可以包括由事件響應(yīng)服務(wù)器接收來自第二用戶設(shè)備的第二組數(shù)據(jù)；由事件響應(yīng)服務(wù)器處理所述第二組數(shù)據(jù)來識別動作；由事件響應(yīng)服務(wù)器確定所述動作超過與所述組基線相關(guān)聯(lián)的閾值；由事件響應(yīng)服務(wù)器生成包括與所述動作、所述閾值以及所述組基線相關(guān)聯(lián)的信息的通知；以及由事件響應(yīng)服務(wù)器促使向數(shù)據(jù)交換層系統(tǒng)的管理員呈現(xiàn)所述通知。在實施方式的一個方面，配置將收集在存儲數(shù)據(jù)收集器的用戶設(shè)備上執(zhí)行的數(shù)據(jù)的該數(shù)據(jù)收集器還可以包括由事件響應(yīng)服務(wù)器將數(shù)據(jù)收集器配置為基于由數(shù)據(jù)收集器收集并存儲在其上存儲有數(shù)據(jù)收集器的用戶設(shè)備上的數(shù)據(jù)生成數(shù)據(jù)的本地高速緩存。在實施方式的一個方面，來自至少用戶設(shè)備的子集的一組數(shù)據(jù)可以包括來自用戶設(shè)備的子集中的每一個并由多個代理服務(wù)器聚合的信息。在實施方式的一個方面，所述操作還可以包括由事件響應(yīng)服務(wù)器從數(shù)據(jù)交換層生成對一組數(shù)據(jù)的請求，其中在所述請求中包括與用戶設(shè)備的子集相關(guān)聯(lián)的主題的規(guī)范(specification)。在實施方式的一個方面，該主題可以是用戶設(shè)備通過其被分組或識別的類別或參數(shù)。

在一個實施方式中，系統(tǒng)可以包括存儲計算機可執(zhí)行指令的至少一個存儲器；以及至少一個處理器，其中，所述至少一個處理器被配置為訪問所述至少一個存儲器并且執(zhí)行所述計算機可執(zhí)行指令以配置包括一個或更多個條件語句的事件響應(yīng)陷阱；將事件響應(yīng)陷阱與一個或更多個反應(yīng)相關(guān)聯(lián)；促使經(jīng)由包括多個代理服務(wù)器的數(shù)據(jù)交換層系統(tǒng)將事件響應(yīng)陷阱傳播至用戶設(shè)備，每個代理服務(wù)器與多個用戶設(shè)備相關(guān)聯(lián)；響應(yīng)于事件響應(yīng)陷阱被觸發(fā)以及在所述至少一個用戶設(shè)備上執(zhí)行的所述一個或更多個反應(yīng)中的至少一個，接收來自所述多個用戶設(shè)備中的至少一個用戶設(shè)備的通知，其中所述通知包括與所述事件響應(yīng)陷阱以及所執(zhí)行的一個或更多個反應(yīng)相關(guān)聯(lián)的第一數(shù)據(jù)；以及促使向數(shù)據(jù)交換層系統(tǒng)的管理員呈現(xiàn)所述通知。

在實施方式的一個方面，所述至少一個處理器還可以被配置為執(zhí)行計算機可執(zhí)行指令以配置將收集存儲數(shù)據(jù)收集器的用戶設(shè)備上的數(shù)據(jù)的數(shù)據(jù)收集器；并通過數(shù)據(jù)交換層系統(tǒng)將數(shù)據(jù)收集器的副本發(fā)送至用戶設(shè)備。在實施方式的一個方面，所述至少一個處理器還可以被配置為執(zhí)行計算機可執(zhí)行指令以接收由用戶設(shè)備的子集收集的數(shù)據(jù)，其中，所述用戶設(shè)備的子集中的每一個執(zhí)行所述數(shù)據(jù)收集器的相應(yīng)的副本并生成相應(yīng)的本地高速緩存。在實施方式的一個方面，所述至少一個處理器還可以被配置為執(zhí)行計算機可執(zhí)行指令，以由所述事件響應(yīng)服務(wù)器基于由所述用戶設(shè)備的子集收集的數(shù)據(jù)生成組基線。在實施方式的一個方面，事件響應(yīng)陷阱的一個或更多個條件語句可以與用戶設(shè)備中的至少一個用戶設(shè)備的文件、網(wǎng)絡(luò)、進程(process)或注冊表活動相關(guān)聯(lián)。在實施方式的一個方面，所述至少一個處理器還可以被配置為執(zhí)行計算機可執(zhí)行指令以通過所述數(shù)據(jù)交換層系統(tǒng)發(fā)起對一組數(shù)據(jù)的請求；以及通過所述數(shù)據(jù)交換層系統(tǒng)從用戶設(shè)備的子集接收所述一組數(shù)據(jù)，其中，所述用戶設(shè)備的子集由主題與所述用戶設(shè)備子集的關(guān)聯(lián)來確定。在實施方式的一個方面，所述至少一個處理器還可以被配置為執(zhí)行計算機可執(zhí)行指令以至少部分地基于從所述用戶設(shè)備的子集接收到的數(shù)據(jù)來生成報告。在實施方式的一個方面，該主題可以是用戶設(shè)備通過其被分組或識別的類別或參數(shù)。

在一個實施方式中，方法可以包括由事件響應(yīng)服務(wù)器配置數(shù)據(jù)收集器，該數(shù)據(jù)收集器將收集存儲數(shù)據(jù)收集器的用戶設(shè)備上的數(shù)據(jù)；由事件響應(yīng)服務(wù)器通過數(shù)據(jù)交換層系統(tǒng)將數(shù)據(jù)收集器的副本發(fā)送至與組相關(guān)聯(lián)的多個用戶設(shè)備，其中，數(shù)據(jù)交換層系統(tǒng)包括多個代理服務(wù)器，每個代理服務(wù)器與多個用戶設(shè)備的相應(yīng)的部分相關(guān)聯(lián)；由事件響應(yīng)服務(wù)器通過數(shù)據(jù)交換層系統(tǒng)經(jīng)由所述多個代理服務(wù)器的子集接收來自所述多個用戶設(shè)備中的每一個的一組數(shù)據(jù)，其中，所述一組數(shù)據(jù)從所述多個用戶設(shè)備的每一個的數(shù)據(jù)收集器的相應(yīng)的副本獲得；由事件響應(yīng)服務(wù)器基于來自所述多個用戶設(shè)備中的每一個的所述一組數(shù)據(jù)生成與所述組相關(guān)聯(lián)的組基線；以及由事件響應(yīng)服務(wù)器配置與所述組基線相關(guān)聯(lián)的閾值。

在實施方式的一個方面，該方法還可以包括由事件響應(yīng)服務(wù)器配置包括條件語句和一個或更多個反應(yīng)的事件響應(yīng)陷阱，其中，條件語句指示當(dāng)用戶動作超過與組基線相關(guān)聯(lián)的閾值時，發(fā)起一個或更多個反應(yīng)。在實施方式的一個方面，該方法還可以包括由事件響應(yīng)服務(wù)器接收來自第二用戶設(shè)備的第二組數(shù)據(jù)；由事件響應(yīng)服務(wù)器處理所述第二組數(shù)據(jù)來識別動作；以及由事件響應(yīng)服務(wù)器確定事件響應(yīng)陷阱在所述動作超過與所述組基線相關(guān)聯(lián)的閾值時被觸發(fā)，其中，發(fā)起一個或更多個反應(yīng)。在實施方式的一個方面，該方法還可以包括由事件響應(yīng)服務(wù)器生成包括與動作、閾值和組基線相關(guān)聯(lián)的信息的通知；以及由事件響應(yīng)服務(wù)器促使向數(shù)據(jù)交換層系統(tǒng)的管理員呈現(xiàn)所述通知。在實施方式的一個方面，來自多個用戶設(shè)備中的每一個的一組數(shù)據(jù)可以被多個代理服務(wù)器聚合。

在另一實施方式中，該方法可以包括由事件響應(yīng)服務(wù)器配置數(shù)據(jù)收集器，該數(shù)據(jù)收集器將收集存儲數(shù)據(jù)收集器的用戶設(shè)備上的數(shù)據(jù)；由事件響應(yīng)服務(wù)器通過數(shù)據(jù)交換層系統(tǒng)將數(shù)據(jù)收集器的副本發(fā)送至多個用戶設(shè)備，其中數(shù)據(jù)交換層系統(tǒng)包括多個代理服務(wù)器，每個代理服務(wù)器與多個用戶設(shè)備的相應(yīng)部分相關(guān)聯(lián)；由事件響應(yīng)服務(wù)器從數(shù)據(jù)交換層系統(tǒng)發(fā)送對一組數(shù)據(jù)的請求；以及由事件響應(yīng)服務(wù)器從多個代理服務(wù)器的至少一個子集接收該組數(shù)據(jù)，其中該組數(shù)據(jù)從與所述多個代理服務(wù)器的子集相關(guān)聯(lián)的用戶設(shè)備的子集的數(shù)據(jù)收集器的相應(yīng)的副本獲得。

在實施方式的一個方面，該方法還可以包括由事件響應(yīng)服務(wù)器基于所接收到的數(shù)據(jù)生成與一組用戶設(shè)備相關(guān)聯(lián)的組基線；以及由事件響應(yīng)服務(wù)器配置與所述組基線相關(guān)聯(lián)的閾值。在實施方式的一個方面，該方法還可以包括由事件響應(yīng)服務(wù)器接收來自第二用戶設(shè)備的第二組數(shù)據(jù)；由事件響應(yīng)服務(wù)器處理所述第二組數(shù)據(jù)來識別動作；由事件響應(yīng)服務(wù)器確定所述動作超過與所述組基線相關(guān)聯(lián)的閾值；由事件響應(yīng)服務(wù)器生成包括與所述動作、所述閾值以及所述組基線相關(guān)聯(lián)的信息的通知；以及由事件響應(yīng)服務(wù)器促使向數(shù)據(jù)交換層系統(tǒng)的管理員呈現(xiàn)所述通知。在實施方式的一個方面，配置將收集在存儲數(shù)據(jù)收集器的用戶設(shè)備上執(zhí)行的數(shù)據(jù)的數(shù)據(jù)收集器還可以包括由事件響應(yīng)服務(wù)器將數(shù)據(jù)收集器配置為基于由數(shù)據(jù)收集器收集并存儲在其上存儲有數(shù)據(jù)收集器的用戶設(shè)備上的數(shù)據(jù)來生成數(shù)據(jù)的本地高速緩存。在實施方式的一個方面，來自至少用戶設(shè)備的子集的一組數(shù)據(jù)可以包括來自用戶設(shè)備的子集的每一個并由多個代理服務(wù)器聚合的信息。在實施方式的一個方面，該方法還可以包括由事件響應(yīng)服務(wù)器從數(shù)據(jù)交換層生成對一組數(shù)據(jù)的請求，其中在所述請求中包括與用戶設(shè)備的子集相關(guān)聯(lián)的主題的規(guī)范。在實施方式的一個方面，該主題是用戶設(shè)備通過其被分組或識別的類別或參數(shù)。

在實施方式中，系統(tǒng)可以包括存儲計算機可執(zhí)行指令的至少一個存儲器；以及至少一個處理器，其中，所述至少一個處理器被配置為訪問所述至少一個存儲器并且執(zhí)行所述計算機可執(zhí)行指令，以配置將收集存儲數(shù)據(jù)收集器的用戶設(shè)備上的數(shù)據(jù)的數(shù)據(jù)收集器；通過數(shù)據(jù)交換層系統(tǒng)將數(shù)據(jù)收集器的副本發(fā)送到多個用戶設(shè)備，其中，數(shù)據(jù)交換層系統(tǒng)包括多個代理服務(wù)器，每個代理服務(wù)器與多個用戶設(shè)備的相應(yīng)部分相關(guān)聯(lián)；從數(shù)據(jù)交換層系統(tǒng)發(fā)送對一組數(shù)據(jù)的請求；以及從所述多個代理服務(wù)器的至少一個子集接收所述一組數(shù)據(jù)，其中，所述一組數(shù)據(jù)從與所述多個代理服務(wù)器的子集相關(guān)聯(lián)的用戶設(shè)備的子集的數(shù)據(jù)收集器的相應(yīng)的副本獲得。

在實施方式的一個方面，所述至少一個處理器還可以被配置為基于所接收到的數(shù)據(jù)來生成與一組用戶設(shè)備相關(guān)聯(lián)的組基線；并配置與所述組基線相關(guān)聯(lián)的閾值。在實施方式的一個方面，所述至少一個處理器還可以被配置為接收來自第二用戶設(shè)備的第二組數(shù)據(jù)；處理所述第二組數(shù)據(jù)以識別動作；確定該動作超過與組基線相關(guān)聯(lián)的閾值；生成包括與動作、閾值和組基線相關(guān)聯(lián)的信息的通知；并且促使向數(shù)據(jù)交換層系統(tǒng)的管理員呈現(xiàn)所述通知。在實施方式的一個方面，為了配置將收集在其被存儲的用戶設(shè)備上執(zhí)行的數(shù)據(jù)的數(shù)據(jù)收集器，所述至少一個處理器還可以被配置為配置數(shù)據(jù)收集器，以基于由數(shù)據(jù)收集器收集并存儲在其上存儲數(shù)據(jù)收集器的用戶設(shè)備上的數(shù)據(jù)來生成數(shù)據(jù)的本地高速緩存。在實施方式的一個方面，來自至少用戶設(shè)備的子集的一組數(shù)據(jù)可以包括來自用戶設(shè)備的子集中的每一個并由多個代理服務(wù)器聚合的信息。在實施方式的一個方面，所述至少一個處理器還可以被配置為從所述數(shù)據(jù)交換層生成對所述一組數(shù)據(jù)的請求，其中，在所述請求中包括與用戶設(shè)備的子集相關(guān)聯(lián)的主題的規(guī)范。在實施方式的一個方面，該主題可以是用戶設(shè)備通過其被分組或識別的類別或參數(shù)。

在一個實施方式中，服務(wù)器可以包括存儲計算機可執(zhí)行指令的至少一個存儲器；以及至少一個處理器，其中，所述至少一個處理器被配置為訪問所述至少一個存儲器并且執(zhí)行所述計算機可執(zhí)行指令，以配置將收集存儲數(shù)據(jù)收集器的用戶設(shè)備上的數(shù)據(jù)的數(shù)據(jù)收集器；通過數(shù)據(jù)交換層系統(tǒng)將數(shù)據(jù)收集器的副本發(fā)送到多個用戶設(shè)備，其中，數(shù)據(jù)交換層系統(tǒng)包括多個代理服務(wù)器，每個代理服務(wù)器與多個用戶設(shè)備的相應(yīng)部分相關(guān)聯(lián)；從數(shù)據(jù)交換層系統(tǒng)發(fā)送對一組數(shù)據(jù)的請求；以及從所述多個代理服務(wù)器的至少一個子集接收所述一組數(shù)據(jù)，其中，所述一組數(shù)據(jù)從與所述多個代理服務(wù)器的子集相關(guān)聯(lián)的用戶設(shè)備的子集的數(shù)據(jù)收集器的相應(yīng)的副本獲得。

在實施方式的一個方面，所述至少一個處理器還可以被配置為基于所接收到的數(shù)據(jù)來生成與一組用戶設(shè)備相關(guān)聯(lián)的組基線；并配置與所述組基線相關(guān)聯(lián)的閾值。在實施方式的一個方面，所述至少一個處理器還可以被配置為接收來自第二用戶設(shè)備的第二組數(shù)據(jù)；處理所述第二組數(shù)據(jù)以識別動作；確定該動作超過與組基線相關(guān)聯(lián)的閾值；生成包括與動作、閾值和組基線相關(guān)聯(lián)的信息的通知；并且促使向數(shù)據(jù)交換層系統(tǒng)的管理員呈現(xiàn)所述通知。在實施方式的一個方面，為了配置將收集在其被存儲的用戶設(shè)備上執(zhí)行的數(shù)據(jù)的數(shù)據(jù)收集器，所述至少一個處理器還可以被配置為配置數(shù)據(jù)收集器，以基于由數(shù)據(jù)收集器收集并存儲在其上存儲數(shù)據(jù)收集器的用戶設(shè)備上的數(shù)據(jù)來生成數(shù)據(jù)的本地高速緩存。在實施方式的一個方面，來自至少用戶設(shè)備的子集的一組數(shù)據(jù)可以包括來自用戶設(shè)備的子集中的每一個并由多個代理服務(wù)器聚合的信息。在實施方式的一個方面，所述至少一個處理器還可以被配置為從所述數(shù)據(jù)交換層生成對所述一組數(shù)據(jù)的請求，其中，在所述請求中包括與用戶設(shè)備的子集相關(guān)聯(lián)的主題的規(guī)范。在實施方式的一個方面，該主題可以是用戶設(shè)備通過其被分組或識別的類別或參數(shù)。

在一個實施方式中，系統(tǒng)可以包括用于配置將收集存儲數(shù)據(jù)收集器的用戶設(shè)備上的數(shù)據(jù)的數(shù)據(jù)收集器的裝置；用于通過數(shù)據(jù)交換層系統(tǒng)將數(shù)據(jù)收集器的副本發(fā)送到多個用戶設(shè)備的裝置，其中，所述數(shù)據(jù)交換層系統(tǒng)包括多個代理服務(wù)器，每個代理服務(wù)器與多個用戶設(shè)備的相應(yīng)部分相關(guān)聯(lián)；用于從數(shù)據(jù)交換層系統(tǒng)發(fā)送對一組數(shù)據(jù)的請求的裝置；以及用于從所述多個代理服務(wù)器的至少一個子集接收所述一組數(shù)據(jù)的裝置，其中，所述一組數(shù)據(jù)從與所述多個代理服務(wù)器的子集相關(guān)聯(lián)的用戶設(shè)備的子集的數(shù)據(jù)收集器的相應(yīng)的副本獲得。

在實施方式的一個方面，該系統(tǒng)還可以包括用于基于所接收到的數(shù)據(jù)生成與一組用戶設(shè)備相關(guān)聯(lián)的組基線的裝置；以及用于配置與所述組基線相關(guān)聯(lián)的閾值的裝置。在實施方式的一個方面，該系統(tǒng)還可以包括用于接收來自第二用戶設(shè)備的第二組數(shù)據(jù)的裝置；用于處理所述第二組數(shù)據(jù)以識別動作的裝置；用于確定所述動作超過與所述組基線相關(guān)聯(lián)的閾值的裝置；用于生成包括與所述動作、所述閾值和所述組基線相關(guān)聯(lián)的信息的通知的裝置；以及用于促使向數(shù)據(jù)交換層系統(tǒng)的管理員呈現(xiàn)所述通知的裝置。在實施方式的一個方面，配置將收集在其被存儲的用戶設(shè)備上執(zhí)行的數(shù)據(jù)的數(shù)據(jù)收集器還可以包括用于配置數(shù)據(jù)收集器以基于由數(shù)據(jù)收集器收集并存儲在其上存儲有數(shù)據(jù)收集器的用戶設(shè)備上的數(shù)據(jù)來生成數(shù)據(jù)的本地高速緩存的裝置。在實施方式的一個方面，來自至少用戶設(shè)備的子集的一組數(shù)據(jù)可以包括來自用戶設(shè)備的子集中的每一個并由多個代理服務(wù)器聚合的信息。在實施方式的一個方面，該系統(tǒng)還可以包括用于從數(shù)據(jù)交換層生成對一組數(shù)據(jù)的請求的裝置，其中在所述請求中包括與用戶設(shè)備的子集相關(guān)聯(lián)的主題的規(guī)范。在實施方式的一個方面，該主題可以是用戶設(shè)備通過其被分組或識別的類別或參數(shù)。

在一個實施方式中，計算機可讀介質(zhì)可以存儲計算機可執(zhí)行指令，當(dāng)其由處理器執(zhí)行時，使得處理器執(zhí)行操作，該操作包括：由事件響應(yīng)服務(wù)器配置包括一個或更多個條件語句的事件響應(yīng)陷阱；由事件響應(yīng)服務(wù)器將事件響應(yīng)陷阱與一個或更多個反應(yīng)相關(guān)聯(lián)；由事件響應(yīng)服務(wù)器促使經(jīng)由包括多個代理服務(wù)器的數(shù)據(jù)交換層系統(tǒng)將事件響應(yīng)陷阱傳播到用戶設(shè)備，每個代理服務(wù)器與多個用戶設(shè)備相關(guān)聯(lián)；響應(yīng)于所述事件響應(yīng)陷阱被觸發(fā)以及在所述至少一個用戶設(shè)備上執(zhí)行的一個或更多個反應(yīng)中的至少一個，由事件響應(yīng)服務(wù)器接收來自所述多個用戶設(shè)備中的至少一個用戶設(shè)備的通知，其中所述通知包括與所述事件響應(yīng)陷阱相關(guān)聯(lián)的第一數(shù)據(jù)以及所述一個或更多個反應(yīng)中的所執(zhí)行的至少一個；以及由事件響應(yīng)服務(wù)器促使向數(shù)據(jù)交換層系統(tǒng)的管理員呈現(xiàn)所述通知。

在實施方式的一個方面，所述操作還可以包括由事件響應(yīng)服務(wù)器配置將收集存儲數(shù)據(jù)收集器的用戶設(shè)備上的數(shù)據(jù)的數(shù)據(jù)收集器；以及通過數(shù)據(jù)交換層系統(tǒng)由事件響應(yīng)服務(wù)器將數(shù)據(jù)收集器的副本發(fā)送至用戶設(shè)備。在實施方式的一個方面，所述操作還可以包括由事件響應(yīng)服務(wù)器接收由用戶設(shè)備的子集收集的數(shù)據(jù)，其中，所述用戶設(shè)備的子集中的每一個執(zhí)行所述數(shù)據(jù)收集器的相應(yīng)的副本并生成相應(yīng)的本地高速緩存。在實施方式的一個方面，所述操作還可以包括由事件響應(yīng)服務(wù)器基于由用戶設(shè)備的子集收集的數(shù)據(jù)生成組基線。在實施方式的一個方面，事件響應(yīng)陷阱的一個或更多個條件語句可以與用戶設(shè)備中的至少一個的文件、網(wǎng)絡(luò)、進程或注冊表活動相關(guān)聯(lián)。在實施方式的一個方面，所述操作還可以包括由事件響應(yīng)服務(wù)器通過數(shù)據(jù)交換層系統(tǒng)發(fā)起對一組數(shù)據(jù)的請求；以及由事件響應(yīng)服務(wù)器通過數(shù)據(jù)交換層系統(tǒng)從用戶設(shè)備的子集接收所述一組數(shù)據(jù)，其中，所述用戶設(shè)備的子集由主題與所述用戶設(shè)備子集的關(guān)聯(lián)來確定。在實施方式的一個方面，所述操作還可以包括由事件響應(yīng)服務(wù)器至少部分地基于從用戶設(shè)備的子集接收到的數(shù)據(jù)來生成報告。在實施方式的一個方面，該主題可以是用戶設(shè)備通過其被分組或識別的類別或參數(shù)。

在一個實施方式中，方法可以包括：由事件響應(yīng)服務(wù)器配置包括一個或更多個條件語句的事件響應(yīng)陷阱；由事件響應(yīng)服務(wù)器將事件響應(yīng)陷阱與一個或更多個反應(yīng)相關(guān)聯(lián)；由事件響應(yīng)服務(wù)器促使經(jīng)由包括多個代理服務(wù)器的數(shù)據(jù)交換層系統(tǒng)將事件響應(yīng)陷阱傳播到用戶設(shè)備，每個代理服務(wù)器與多個用戶設(shè)備相關(guān)聯(lián)；由事件響應(yīng)服務(wù)器響應(yīng)于所述事件響應(yīng)陷阱被觸發(fā)以及在所述至少一個用戶設(shè)備上執(zhí)行的一個或更多個反應(yīng)中的至少一個，接收來自所述多個用戶設(shè)備中的至少一個用戶設(shè)備的通知，其中所述通知包括與所述事件響應(yīng)陷阱相關(guān)聯(lián)的第一數(shù)據(jù)以及所述一個或更多個反應(yīng)中的所執(zhí)行的至少一個；以及由事件響應(yīng)服務(wù)器促使向數(shù)據(jù)交換層系統(tǒng)的管理員呈現(xiàn)所述通知。

在實施方式的一個方面，該方法還可以包括由事件響應(yīng)服務(wù)器配置將收集存儲數(shù)據(jù)收集器的用戶設(shè)備上的數(shù)據(jù)的數(shù)據(jù)收集器；以及通過數(shù)據(jù)交換層系統(tǒng)由事件響應(yīng)服務(wù)器將數(shù)據(jù)收集器的副本發(fā)送至用戶設(shè)備。在實施方式的一個方面，該方法還可以包括由事件響應(yīng)服務(wù)器接收由用戶設(shè)備的子集收集的數(shù)據(jù)，其中，所述用戶設(shè)備的子集中的每一個執(zhí)行所述數(shù)據(jù)收集器的相應(yīng)的副本并生成相應(yīng)的本地高速緩存。在實施方式的一個方面，該方法還可以包括由事件響應(yīng)服務(wù)器基于由用戶設(shè)備的子集收集的數(shù)據(jù)來生成組基線。在實施方式的一個方面，事件響應(yīng)陷阱的一個或更多個條件語句可以與用戶設(shè)備中的至少一個的文件、網(wǎng)絡(luò)、進程或注冊表活動相關(guān)聯(lián)。在實施方式的一個方面，該方法還可以包括由事件響應(yīng)服務(wù)器通過數(shù)據(jù)交換層系統(tǒng)發(fā)起對一組數(shù)據(jù)的請求；以及由事件響應(yīng)服務(wù)器通過數(shù)據(jù)交換層系統(tǒng)從用戶設(shè)備的子集接收所述一組數(shù)據(jù)，其中，所述用戶設(shè)備的子集由主題與所述用戶設(shè)備子集的關(guān)聯(lián)來確定。在實施方式的一個方面，該方法還可以包括由事件響應(yīng)服務(wù)器至少部分地基于從用戶設(shè)備的子集接收到的數(shù)據(jù)來生成報告。在實施方式的一個方面，該主題可以是用戶設(shè)備通過其被分組或識別的類別或參數(shù)。

在一個實施方式中，服務(wù)器可以包括存儲計算機可執(zhí)行指令的至少一個存儲器；以及至少一個處理器，其中所述至少一個處理器被配置為訪問所述至少一個存儲器并且執(zhí)行所述計算機可執(zhí)行指令以配置包括一個或更多個條件語句的事件響應(yīng)陷阱；將事件響應(yīng)陷阱與一個或更多個反應(yīng)相關(guān)聯(lián)；促使經(jīng)由包括多個代理服務(wù)器的數(shù)據(jù)交換層系統(tǒng)將事件響應(yīng)陷阱傳播至用戶設(shè)備，每個代理服務(wù)器與多個用戶設(shè)備相關(guān)聯(lián)；響應(yīng)于事件響應(yīng)陷阱被觸發(fā)以及在所述至少一個用戶設(shè)備上執(zhí)行的所述一個或更多個反應(yīng)中的至少一個，接收來自所述多個用戶設(shè)備中的至少一個用戶設(shè)備的通知，其中所述通知包括與所述事件響應(yīng)陷阱以及所述一個或更多個反應(yīng)中的所執(zhí)行的至少一個反應(yīng)相關(guān)聯(lián)的第一數(shù)據(jù)；以及促使向數(shù)據(jù)交換層系統(tǒng)的管理員呈現(xiàn)所述通知。

在實施方式的一個方面，所述至少一個處理器還可以被配置為執(zhí)行計算機可執(zhí)行指令以配置數(shù)據(jù)收集器，該數(shù)據(jù)收集器將收集存儲數(shù)據(jù)收集器的用戶設(shè)備上的數(shù)據(jù)；并通過數(shù)據(jù)交換層系統(tǒng)將數(shù)據(jù)收集器的副本發(fā)送至用戶設(shè)備。在實施方式的一個方面，所述至少一個處理器還可以被配置為執(zhí)行計算機可執(zhí)行指令以配置接收由用戶設(shè)備的子集收集的數(shù)據(jù)，其中，所述用戶設(shè)備的子集中的每一個執(zhí)行所述數(shù)據(jù)收集器的相應(yīng)的副本并生成相應(yīng)的本地高速緩存。在實施方式的一個方面，所述至少一個處理器還可以被配置為執(zhí)行計算機可執(zhí)行指令，以配置由所述事件響應(yīng)服務(wù)器基于由所述用戶設(shè)備的子集收集的數(shù)據(jù)來生成組基線。在實施方式的一個方面，事件響應(yīng)陷阱的一個或更多個條件語句可以與用戶設(shè)備中的至少一個的文件、網(wǎng)絡(luò)、進程或注冊表活動相關(guān)聯(lián)。在實施方式的一個方面，所述至少一個處理器還可以被配置為執(zhí)行計算機可執(zhí)行指令以通過所述數(shù)據(jù)交換層系統(tǒng)發(fā)起對一組數(shù)據(jù)的請求；以及通過所述數(shù)據(jù)交換層系統(tǒng)從用戶設(shè)備的子集接收所述一組數(shù)據(jù)，其中，所述用戶設(shè)備的子集由主題與所述用戶設(shè)備子集的關(guān)聯(lián)來確定。在實施方式的一個方面，所述至少一個處理器還可以被配置為執(zhí)行計算機可執(zhí)行指令以至少部分地基于從所述用戶設(shè)備的子集接收到的數(shù)據(jù)來生成報告。在實施方式的一個方面，該主題可以是用戶設(shè)備通過其被分組或識別的類別或參數(shù)。

在一個實施方式中，系統(tǒng)可以包括：用于配置包括一個或更多個條件語句的事件響應(yīng)陷阱的裝置；用于由事件響應(yīng)服務(wù)器將事件響應(yīng)陷阱與一個或更多個反應(yīng)相關(guān)聯(lián)的裝置；用于促使經(jīng)由包括多個代理服務(wù)器的數(shù)據(jù)交換層系統(tǒng)將事件響應(yīng)陷阱傳播到用戶設(shè)備的裝置，每個代理服務(wù)器與多個用戶設(shè)備相關(guān)聯(lián)；用于響應(yīng)于所述事件響應(yīng)陷阱被觸發(fā)以及在所述至少一個用戶設(shè)備上執(zhí)行的一個或更多個反應(yīng)中的至少一個接收來自所述多個用戶設(shè)備中的至少一個用戶設(shè)備的通知的裝置，其中所述通知包括與所述事件響應(yīng)陷阱相關(guān)聯(lián)的第一數(shù)據(jù)以及所述一個或更多個反應(yīng)中的所執(zhí)行的至少一個反應(yīng)；以及用于促使向數(shù)據(jù)交換層系統(tǒng)的管理員呈現(xiàn)所述通知的裝置。

在實施方式的一個方面，該系統(tǒng)還可以包括：用于配置將收集存儲數(shù)據(jù)收集器的用戶設(shè)備上的數(shù)據(jù)的數(shù)據(jù)收集器的裝置；以及用于通過數(shù)據(jù)交換層系統(tǒng)將數(shù)據(jù)收集器的副本發(fā)送至用戶設(shè)備的裝置。在實施方式的一個方面，該系統(tǒng)還可以包括用于接收由用戶設(shè)備的子集收集的數(shù)據(jù)的裝置，其中，所述用戶設(shè)備的子集中的每一個執(zhí)行所述數(shù)據(jù)收集器的相應(yīng)的副本并生成相應(yīng)的本地高速緩存。在實施方式的一個方面，該系統(tǒng)還可以包括用于基于由用戶設(shè)備的子集收集的數(shù)據(jù)來生成組基線的裝置。在實施方式的一個方面，事件響應(yīng)陷阱的一個或更多個條件語句可以與用戶設(shè)備中的至少一個的文件、網(wǎng)絡(luò)、進程或注冊表活動相關(guān)聯(lián)。在實施方式的一個方面，該系統(tǒng)還可以包括：用于通過數(shù)據(jù)交換層系統(tǒng)發(fā)起對一組數(shù)據(jù)的請求的裝置；以及用于通過數(shù)據(jù)交換層系統(tǒng)從用戶設(shè)備的子集接收所述一組數(shù)據(jù)的裝置，其中，所述用戶設(shè)備的子集由主題與所述用戶設(shè)備子集的關(guān)聯(lián)來確定。在實施方式的一個方面，該系統(tǒng)還可以包括用于至少部分地基于從用戶設(shè)備的子集接收到的數(shù)據(jù)來生成報告的裝置。在實施方式的一個方面，該主題可以是用戶設(shè)備通過其被分組或識別的類別或參數(shù)。

在一個實施方式中，計算機可讀介質(zhì)可以存儲計算機可執(zhí)行指令，當(dāng)其被處理器執(zhí)行時，使得處理器執(zhí)行操作，該操作包括：由事件響應(yīng)服務(wù)器配置數(shù)據(jù)收集器，該數(shù)據(jù)收集器將收集存儲數(shù)據(jù)收集器的用戶設(shè)備上的數(shù)據(jù)；由事件響應(yīng)服務(wù)器通過數(shù)據(jù)交換層系統(tǒng)將數(shù)據(jù)收集器的副本發(fā)送至與組相關(guān)聯(lián)的多個用戶設(shè)備，其中，數(shù)據(jù)交換層系統(tǒng)包括多個代理服務(wù)器，每個代理服務(wù)器與多個用戶設(shè)備的相應(yīng)的部分相關(guān)聯(lián)；由事件響應(yīng)服務(wù)器通過數(shù)據(jù)交換層系統(tǒng)經(jīng)由所述多個代理服務(wù)器的子集接收來自所述多個用戶設(shè)備中的每一個的一組數(shù)據(jù)，其中，所述一組數(shù)據(jù)從所述多個用戶設(shè)備中的每一個的數(shù)據(jù)收集器的相應(yīng)的副本獲得；由事件響應(yīng)服務(wù)器基于來自所述多個用戶設(shè)備中的每一個的所述一組數(shù)據(jù)來生成與所述組相關(guān)聯(lián)的組基線；以及由事件響應(yīng)服務(wù)器配置與所述組基線相關(guān)聯(lián)的閾值。

在實施方式的一個方面，該操作還可以包括由事件響應(yīng)服務(wù)器配置包括條件語句和一個或更多個反應(yīng)的事件響應(yīng)陷阱，其中，條件語句指示當(dāng)用戶動作超過與組基線相關(guān)聯(lián)的閾值時，發(fā)起一個或更多個反應(yīng)。在實施方式的一個方面，該操作還可以包括由事件響應(yīng)服務(wù)器接收來自第二用戶設(shè)備的第二組數(shù)據(jù)；由事件響應(yīng)服務(wù)器處理所述第二組數(shù)據(jù)來識別動作；以及由事件響應(yīng)服務(wù)器確定事件響應(yīng)陷阱在所述動作超過與所述組基線相關(guān)聯(lián)的閾值時被觸發(fā)，其中，發(fā)起一個或更多個反應(yīng)。在實施方式的一個方面，該操作還可以包括由事件響應(yīng)服務(wù)器生成包括與動作、閾值和組基線相關(guān)聯(lián)的信息的通知；以及由事件響應(yīng)服務(wù)器促使向數(shù)據(jù)交換層系統(tǒng)的管理員呈現(xiàn)所述通知。在實施方式的一個方面，來自多個用戶設(shè)備中的每一個的一組數(shù)據(jù)可以被多個代理服務(wù)器聚合。

在一個實施方式中，系統(tǒng)可以包括：用于配置數(shù)據(jù)收集器的裝置，該數(shù)據(jù)收集器將收集存儲數(shù)據(jù)收集器的用戶設(shè)備上的數(shù)據(jù)；用于通過數(shù)據(jù)交換層系統(tǒng)將數(shù)據(jù)收集器的副本發(fā)送至與組相關(guān)聯(lián)的多個用戶設(shè)備的裝置，其中，數(shù)據(jù)交換層系統(tǒng)包括多個代理服務(wù)器，每個代理服務(wù)器與多個用戶設(shè)備的相應(yīng)的部分相關(guān)聯(lián)；用于通過數(shù)據(jù)交換層系統(tǒng)經(jīng)由所述多個代理服務(wù)器的子集接收來自所述多個用戶設(shè)備中的每一個的一組數(shù)據(jù)的裝置，其中，所述一組數(shù)據(jù)從所述多個用戶設(shè)備的每一個的數(shù)據(jù)收集器的相應(yīng)的副本獲得；用于基于來自所述多個用戶設(shè)備中的每一個的所述一組數(shù)據(jù)來生成與所述組相關(guān)聯(lián)的組基線的裝置；以及用于配置與所述組基線相關(guān)聯(lián)的閾值的裝置。

在實施方式的一個方面，該系統(tǒng)還可以包括用于配置包括條件語句和一個或更多個反應(yīng)的事件響應(yīng)陷阱的裝置，其中，條件語句指示當(dāng)用戶動作超過與組基線相關(guān)聯(lián)的閾值時，發(fā)起一個或更多個反應(yīng)。在實施方式的一個方面，該系統(tǒng)還可以包括：用于接收來自第二用戶設(shè)備的第二組數(shù)據(jù)的裝置；用于處理所述第二組數(shù)據(jù)來識別動作的裝置；以及用于確定事件響應(yīng)陷阱在所述動作超過與所述組基線相關(guān)聯(lián)的閾值時被觸發(fā)的裝置，其中，發(fā)起一個或更多個反應(yīng)。在實施方式的一個方面，該系統(tǒng)還可以包括：用于生成包括與動作、閾值和組基線相關(guān)聯(lián)的信息的通知的裝置；以及用于促使向數(shù)據(jù)交換層系統(tǒng)的管理員呈現(xiàn)所述通知的裝置。在實施方式的一個方面，來自多個用戶設(shè)備中的每一個的一組數(shù)據(jù)可以被多個代理服務(wù)器聚合。

在一個實施方式中，系統(tǒng)可以包括：至少一個存儲器，所述至少一個存儲器存儲計算機可執(zhí)行指令；以及至少一個處理器，其中，所述至少一個處理器被配置為：訪問所述至少一個存儲器并且執(zhí)行所述計算機可執(zhí)行指令，以配置將收集存儲數(shù)據(jù)收集器的用戶設(shè)備上的數(shù)據(jù)的數(shù)據(jù)收集器；通過數(shù)據(jù)交換層系統(tǒng)將數(shù)據(jù)收集器的副本發(fā)送至與組相關(guān)聯(lián)的多個用戶設(shè)備，其中，數(shù)據(jù)交換層系統(tǒng)包括多個代理服務(wù)器，每個代理服務(wù)器與多個用戶設(shè)備的相應(yīng)的部分相關(guān)聯(lián)；通過數(shù)據(jù)交換層系統(tǒng)經(jīng)由所述多個代理服務(wù)器的子集接收來自所述多個用戶設(shè)備中的每一個的一組數(shù)據(jù)，其中，所述一組數(shù)據(jù)從所述多個用戶設(shè)備中的每一個的數(shù)據(jù)收集器的相應(yīng)的副本獲得；基于來自所述多個用戶設(shè)備中的每一個的所述一組數(shù)據(jù)來生成與所述組相關(guān)聯(lián)的組基線；以及配置與所述組基線相關(guān)聯(lián)的閾值。

在實施方式的一個方面，所述至少一個處理器還可以被配置為執(zhí)行計算機可執(zhí)行指令，以配置包括條件語句和一個或更多個反應(yīng)的事件響應(yīng)陷阱，其中，條件語句指示當(dāng)用戶動作超過與組基線相關(guān)聯(lián)的閾值時，發(fā)起一個或更多個反應(yīng)。在實施方式的一個方面，所述至少一個處理器還可以被配置為執(zhí)行計算機可執(zhí)行指令以：接收來自第二用戶設(shè)備的第二組數(shù)據(jù)；處理所述第二組數(shù)據(jù)以識別動作；以及確定所述事件響應(yīng)陷阱在所述動作超過與所述組基線相關(guān)聯(lián)的閾值時被觸發(fā)，其中，發(fā)起一個或更多個反應(yīng)。在實施方式的一個方面，所述至少一個處理器還可以被配置為執(zhí)行計算機可執(zhí)行指令以：生成包括與動作、閾值和組基線相關(guān)聯(lián)的信息的通知；以及促使向數(shù)據(jù)交換層系統(tǒng)的管理員呈現(xiàn)所述通知。在實施方式的一個方面，來自多個用戶設(shè)備中的每一個的一組數(shù)據(jù)可以被多個代理服務(wù)器聚合。

在一個實施方式中，服務(wù)器可以包括：至少一個存儲器，所述至少一個存儲器存儲計算機可讀指令；以及至少一個處理器，其中，所述至少一個處理器被配置為：訪問所述至少一個存儲器并且執(zhí)行所述計算機可執(zhí)行指令，以配置將收集存儲數(shù)據(jù)收集器的用戶設(shè)備上的數(shù)據(jù)的數(shù)據(jù)收集器；通過數(shù)據(jù)交換層系統(tǒng)將數(shù)據(jù)收集器的副本發(fā)送至與組相關(guān)聯(lián)的多個用戶設(shè)備，其中，數(shù)據(jù)交換層系統(tǒng)包括多個代理服務(wù)器，每個代理服務(wù)器與多個用戶設(shè)備的相應(yīng)的部分相關(guān)聯(lián)；通過數(shù)據(jù)交換層系統(tǒng)經(jīng)由所述多個代理服務(wù)器的子集接收來自所述多個用戶設(shè)備中的每一個的一組數(shù)據(jù)，其中，所述一組數(shù)據(jù)從所述多個用戶設(shè)備的每一個的數(shù)據(jù)收集器的相應(yīng)的副本獲得；基于來自所述多個用戶設(shè)備中的每一個的所述一組數(shù)據(jù)來生成與所述組相關(guān)聯(lián)的組基線；以及配置與所述組基線相關(guān)聯(lián)的閾值。

在實施方式的一個方面，所述至少一個處理器還可以被配置為執(zhí)行計算機可執(zhí)行指令，以配置包括條件語句和一個或更多個反應(yīng)的事件響應(yīng)陷阱，其中，條件語句指示當(dāng)用戶動作超過與組基線相關(guān)聯(lián)的閾值時，發(fā)起一個或更多個反應(yīng)。在實施方式的一個方面，所述至少一個處理器還可以被配置為執(zhí)行計算機可執(zhí)行指令以：接收來自第二用戶設(shè)備的第二組數(shù)據(jù)；處理所述第二組數(shù)據(jù)以識別動作；以及確定所述事件響應(yīng)陷阱在所述動作超過與所述組基線相關(guān)聯(lián)的閾值時被觸發(fā)，其中，發(fā)起一個或更多個反應(yīng)。在實施方式的一個方面，所述至少一個處理器還可以被配置為執(zhí)行計算機可執(zhí)行指令以：生成包括與動作、閾值和組基線相關(guān)聯(lián)的信息的通知；以及促使向數(shù)據(jù)交換層系統(tǒng)的管理員呈現(xiàn)所述通知。在實施方式的一個方面，來自多個用戶設(shè)備中的每一個的一組數(shù)據(jù)可以被多個代理服務(wù)器聚合。

結(jié)論

應(yīng)當(dāng)理解，在本公開中被描繪為存儲在數(shù)據(jù)儲存器中的程序模塊、應(yīng)用、計算機可執(zhí)行指令、代碼等僅僅是示例性的而不是窮盡的，并且被描述為被任何特定的模塊支持的處理可以另選地分布在多個模塊上或由不同的模塊執(zhí)行。另外，可以提供各種程序模塊、腳本、插件、應(yīng)用編程接口(api)或者設(shè)備(例如，用戶設(shè)備104、代理106、事件響應(yīng)服務(wù)器108)上本地托管的和/或可經(jīng)由一個或更多個網(wǎng)絡(luò)訪問的其它計算設(shè)備上托管的任何其它合適的計算機可執(zhí)行代碼，以支持由本文所描繪的程序模塊、應(yīng)用或計算機可執(zhí)行代碼提供的功能和/或附加的或另選的功能。此外，功能可以被不同地模塊化，使得被描述為由本文所描述的程序模塊的集合共同支持的處理可以通過更少或更多數(shù)量的模塊來執(zhí)行，或者被描述為被任何特定模塊支持的功能可以由另一模塊至少部分地支持。另外，支持本文所描述的功能的程序模塊可以根據(jù)任何合適的計算模型(諸如，客戶端-服務(wù)器模型、對等模型等)形成可跨任何數(shù)量的系統(tǒng)或設(shè)備執(zhí)行的一個或更多個應(yīng)用的一部分。另外，被描述為由本文所描述的程序模塊中的任何一個支持的功能中的任何一個都可以至少部分地以硬件和/或固件的形式跨任何數(shù)量的設(shè)備實現(xiàn)。

應(yīng)當(dāng)進一步理解，在不脫離本公開的范圍的情況下，設(shè)備(例如，用戶設(shè)備104、代理106、事件響應(yīng)服務(wù)器108等)可以包括超出所描述或描繪的硬件、軟件或固件組件的另選的和/或附加的硬件、軟件或固件組件。更具體地，應(yīng)當(dāng)理解，被描繪為形成設(shè)備(例如，用戶設(shè)備104、代理106、事件響應(yīng)服務(wù)器108等)的一部分的軟件、固件或硬件組件只是示例性的，并且某些組件可能不是可以在各種實施方式中提供的現(xiàn)有的或附加的組件。雖然已經(jīng)將各種示例性程序模塊描繪和描述為存儲在數(shù)據(jù)儲存器中的軟件模塊，但是應(yīng)當(dāng)理解，被描述為被程序模塊支持的功能可以由硬件、軟件和/或固件的任何組合來實現(xiàn)。還應(yīng)當(dāng)理解，在各種實施方式中，上述模塊中的每一個可以表示所支持的功能的邏輯劃分。為了便于說明功能，描述了這種邏輯劃分，并且該邏輯劃分可能不代表用于實現(xiàn)功能的軟件、硬件和/或固件的結(jié)構(gòu)。因此，應(yīng)當(dāng)理解，在各種實施方式中，被描述為由特定模塊提供的功能可以至少部分地由一個或更多個其它模塊來提供。此外，在某些實施方式中，一個或更多個所描繪的模塊可能不存在，而在其它實施方式中，可能存在未描繪的附加模塊并且這些模塊可以支持所描述的功能和/或附加功能的至少一部分。此外，雖然某些模塊可能被描繪和描述為另一模塊的子模塊，但是在某些實施方式中，這樣的模塊可以作為獨立的模塊或作為其它模塊的子模塊被提供。

以上可能已經(jīng)將方法300-600的一個或更多個操作描述為由設(shè)備的一個或更多個組件來執(zhí)行，或者更具體地，由在這樣的設(shè)備上執(zhí)行的一個或更多個程序模塊來執(zhí)行。然而，應(yīng)當(dāng)理解，方法300-600的操作中的任何一個可以至少部分地由一個或更多個其它設(shè)備或系統(tǒng)(或者更具體地，由在這樣的設(shè)備上執(zhí)行的一個或更多個程序模塊、應(yīng)用等)以分布的方式執(zhí)行。另外，應(yīng)當(dāng)理解，響應(yīng)于作為應(yīng)用、程序模塊等的一部分提供的計算機可執(zhí)行指令的執(zhí)行而執(zhí)行的處理在本文中可以互換地描述為由應(yīng)用或程序模塊本身來執(zhí)行，或者由在其上執(zhí)行應(yīng)用、程序模塊等的設(shè)備來執(zhí)行。雖然可以在示例性用戶設(shè)備600的背景下描述方法300的任何一個的操作，但是應(yīng)當(dāng)理解，這樣的操作可以結(jié)合許多其它系統(tǒng)配置來實現(xiàn)。

在圖3至圖6的示例性方法中描述和描繪的操作可以按照本公開的各種示例實施方式中所需的任何合適的順序來實施或執(zhí)行。另外，在某些示例實施方式中，操作的至少一部分可以并行實施。此外，在某些示例實施方式中，可以執(zhí)行相比圖3至圖6中所描繪的操作更少、更多或不同的操作。

盡管已經(jīng)描述了本公開的具體實施方式，但是本領(lǐng)域普通技術(shù)人員將認識到，許多其它修改和另選實施方式在本公開的范圍內(nèi)。例如，相對于特定設(shè)備或組件描述的功能和/或處理能力中的任何一個都可以由任何其它設(shè)備或組件來執(zhí)行。此外，雖然已經(jīng)根據(jù)本公開的實施方式描述了各種示例性實現(xiàn)和架構(gòu)，但是本領(lǐng)域普通技術(shù)人員將會理解，對本文所描述的示例性實現(xiàn)和架構(gòu)的許多其它修改也在本公開的范圍內(nèi)。

以上參照根據(jù)示例實施方式的系統(tǒng)、方法、裝置和/或計算機程序產(chǎn)品的框圖和流程圖描述了本公開的某些方面。應(yīng)當(dāng)理解，框圖和流程圖的一個或更多個框以及分別在框圖和流程圖中的框的組合可以通過執(zhí)行計算機可執(zhí)行程序指令來實現(xiàn)。同樣，根據(jù)一些實施方式，框圖和流程圖的一些框可以不必以所呈現(xiàn)的順序執(zhí)行，或者可能不一定需要執(zhí)行。此外，在某些實施方式中可以存在除框圖和/或流程圖中的框中所描繪的組件和/或操作之外的附加的組件和/或操作。

因此，框圖和流程圖的框支持用于執(zhí)行指定功能的裝置的組合、用于執(zhí)行指定功能的元件或步驟的組合、以及用于執(zhí)行指定功能的程序指令裝置。還將理解，框圖和流程圖的每個框以及框圖和流程圖中的框的組合可以通過執(zhí)行指定的功能、元件或步驟或者專用硬件和計算機指令的組合的專用的、基于硬件的計算機系統(tǒng)來實現(xiàn)。

本文所公開的程序模塊、應(yīng)用等可以包括一個或更多個軟件組件，包括例如軟件對象、方法、數(shù)據(jù)結(jié)構(gòu)等。每個這樣的軟件組件可以包括計算機可執(zhí)行指令，其響應(yīng)于執(zhí)行而導(dǎo)致執(zhí)行本文所描述的功能的至少一部分(例如，本文所描述的示例性方法的一個或更多個操作)。

軟件組件可以以各種編程語言中的任何一種進行編碼。示例性的編程語言可以是較低級的編程語言，諸如與特定硬件架構(gòu)和/或操作系統(tǒng)平臺相關(guān)聯(lián)的匯編語言。包括匯編語言指令的軟件組件可能需要在由硬件架構(gòu)和/或平臺執(zhí)行之前由匯編器轉(zhuǎn)換成可執(zhí)行的機器代碼。

另一示例編程語言可以是可以跨多個架構(gòu)可移植的較高級的編程語言。包括較高級的編程語言指令的軟件組件可能需要在執(zhí)行之前由解釋器或編譯器轉(zhuǎn)換成中間表示。

編程語言的其它示例包括但不限于宏語言、外殼(shell)或命令語言、作業(yè)控制語言、腳本語言、數(shù)據(jù)庫查詢或搜索語言、或報告寫入語言。在一個或更多個示例實施方式中，包括編程語言的前述示例的一個中的指令的軟件組件可以由操作系統(tǒng)或其它軟件組件直接執(zhí)行，而不必首先被轉(zhuǎn)換成另一形式。

可以將軟件組件存儲為文件或其它數(shù)據(jù)存儲結(jié)構(gòu)。相似類型或功能相關(guān)的軟件組件可以存儲在一起，例如，存儲在特定目錄、文件夾或庫中。軟件組件可以是靜態(tài)的(例如，預(yù)先建立或固定的)或動態(tài)的(例如，在執(zhí)行時創(chuàng)建或修改的)。

軟件組件可以通過各種機制中的任何一種來調(diào)用其它軟件組件或被其它軟件組件調(diào)用。被調(diào)用或調(diào)用的軟件組件可以包括其它定制開發(fā)的應(yīng)用軟件、操作系統(tǒng)功能(例如，設(shè)備驅(qū)動器、數(shù)據(jù)存儲(例如，文件管理)例程、其它公共例程和服務(wù)等)或第三方軟件組件(例如，中間件、加密或其它安全軟件、數(shù)據(jù)庫管理軟件、文件傳輸或其它網(wǎng)絡(luò)通信軟件、數(shù)學(xué)或統(tǒng)計軟件、圖像處理軟件以及格式轉(zhuǎn)換軟件)。

與特定解決方案或系統(tǒng)相關(guān)聯(lián)的軟件組件可以駐留在單個平臺上并在其上執(zhí)行，或者可以跨多個平臺分布。所述多個平臺可以與多于一個的硬件供應(yīng)商、底層芯片技術(shù)或操作系統(tǒng)相關(guān)聯(lián)。此外，與特定解決方案或系統(tǒng)相關(guān)聯(lián)的軟件組件可以最初以一種或更多種編程語言編寫，但可以調(diào)用以另一編程語言編寫的軟件組件。

計算機可執(zhí)行程序指令可以被加載到專用計算機或其它特定機器、處理器或其它可編程數(shù)據(jù)處理裝置上，以產(chǎn)生特定機器，使得在計算機、處理器、或其它可編程數(shù)據(jù)處理裝置上的指令的執(zhí)行導(dǎo)致執(zhí)行流程圖中指定的一個或更多個功能或操作。這些計算機程序指令還可以存儲在計算機可讀存儲介質(zhì)(crsm)中，其在執(zhí)行時可以指示計算機或其它可編程數(shù)據(jù)處理裝置以特定方式工作，使得存儲在計算機可讀存儲介質(zhì)中的指令產(chǎn)生包括執(zhí)行流程圖中指定的一個或更多個功能或操作的指令裝置的制品。計算機程序指令還可以被加載到計算機或其它可編程數(shù)據(jù)處理裝置上，以使得在計算機或其它可編程裝置上執(zhí)行一系列操作元件或步驟，以產(chǎn)生計算機實現(xiàn)的過程。

可存在于本文所描述的設(shè)備的任何一個中的其它類型的crsm可以包括但不限于可編程隨機存取存儲器(pram)、sram、dram、ram、rom、電可擦除可編程只讀存儲器(eeprom)、閃存或其它存儲器技術(shù)、光盤只讀存儲器(cd-rom)、數(shù)字通用盤(dvd)或其它光學(xué)儲存器、磁帶盒、磁帶、磁盤儲存器或其它磁存儲設(shè)備、或可用于存儲信息并且可以被訪問的任何其它介質(zhì)。上述任何一種的組合也包括在crsm的范圍內(nèi)。另選地，計算機可讀通信介質(zhì)(crcm)可以包括計算機可讀指令、程序模塊或在諸如載波或其它傳輸?shù)臄?shù)據(jù)信號內(nèi)發(fā)送的其它數(shù)據(jù)。然而，如本文所使用的，crsm不包括crcm。

雖然已經(jīng)以對結(jié)構(gòu)特征和/或方法動作特有的語言描述了實施方式，但是應(yīng)當(dāng)理解，本公開不一定限于所描述的特定特征或動作。相反，特定特征和動作被公開為實現(xiàn)實施方式的示例性形式。除非另有明確說明或在所使用的上下文中以其它方式理解，否則條件語言，諸如，尤其是“能夠(can)”、“可(could)”、“可能(might)”或“可以(may)”通常旨在表示某些實施方式可包括而其它實施方式不包括某些特征、元件和/或步驟。因此，這種條件語言通常不旨在暗示特征、元件和/或步驟以任何方式對于一個或更多個實施方式是必需的，或者，一個或更多個實施方式必然包括用于在有或者沒有用戶輸入或提示的情況下決定是否在任何具體實施方式中包括這些特征、元件和/或步驟，或者將執(zhí)行這些特征、元件和/或步驟的邏輯。