CN110366727A - 用于受损范围识别的多信号分析 - Google Patents
用于受损范围识别的多信号分析 Download PDFInfo
- Publication number
- CN110366727A CN110366727A CN201880011573.0A CN201880011573A CN110366727A CN 110366727 A CN110366727 A CN 110366727A CN 201880011573 A CN201880011573 A CN 201880011573A CN 110366727 A CN110366727 A CN 110366727A
- Authority
- CN
- China
- Prior art keywords
- testing result
- range
- online service
- given
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N7/00—Computing arrangements based on specific mathematical models
- G06N7/01—Probabilistic graphical models, e.g. probabilistic networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/121—Timestamp
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Mathematical Physics (AREA)
- Evolutionary Computation (AREA)
- Data Mining & Analysis (AREA)
- Artificial Intelligence (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Medical Informatics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Computational Mathematics (AREA)
- Probability & Statistics with Applications (AREA)
- Algebra (AREA)
- Mathematical Optimization (AREA)
- Mathematical Analysis (AREA)
- Pure & Applied Mathematics (AREA)
- Debugging And Monitoring (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Measurement Of Resistance Or Impedance (AREA)
- Medical Treatment And Welfare Office Work (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Measurement Of Current Or Voltage (AREA)
- Time-Division Multiplex Systems (AREA)
- Storage Device Security (AREA)
Abstract
经由多信号分析来检测在线服务内的受损设备和用户账户允许更少的误报并且因此允许更准确地分配计算资源和人类分析员资源。指定与设备、账户或过程相关的各个分析范围并在一时间段上分析多个行为,以检测持久(并且缓慢起作用的)威胁以及暴力(并且快速起作用的)威胁。向分析员警告疑似受损的各个受影响范围并且分析员可以相应地解决。
Description
背景技术
在线服务几乎面临来自恶意方的持续风险,这些恶意方试图损害这些在线服务内的设备以破坏其功能或损害存储在这些服务中的敏感数据。受损设备可能有数据被泄露至外部设备,或者可能被恶意方命令例如作为僵尸网络的一部分来执行各种动作。识别在线服务内已被损害的各个主机可能是资源和时间密集型操作,尽管在在线服务中部署了对策,这也会使恶意方在长时间段内控制一个或多个设备。当前的安全信息和事件管理(SIEM)系统可能错过一些受损设备或将安全设备错误识别为受损,这延长了恶意方保持控制的时间量并增加了重新保护在线服务所需要的处理资源。
发明内容
提供本发明内容以用简化形式引入一些概念,这些概念以下在详细描述部分中进一步描述。本发明内容并非旨在标识所要求保护的主题内容的所有关键特征或必要特征,也并非旨在帮助确定所要求保护的主题内容的范围。
本文提供了包含用于检测受损主机的处理器可执行指令的系统、方法和计算机可读存储设备。由信号异常分析器接收安全信号,以确定被保护的在线服务中给定动作的异常程度。在大型在线服务中,预期设备组在正常操作时表现相同,并且因此不普遍的行为会受到更大的怀疑。根据不同群体的设备或子行为对经评分的检测结果进行聚合,并将异常分数传递给多信号分析器,该分析器在滚动时间窗口上收集检测结果,并基于设备将它们划分到各种范围中以供分析以确定是否应该生成给定设备受损的警告。
通过使用对范围的加窗分析,本公开内容以增强的可靠性解决了检测对在线服务的慢速移动、高级持久性威胁以及集中快速移动攻击的以计算机为中心的问题。从而改善了计算机托管数据的安全性,在线服务的处理资源被更有效地分配给合法过程(与代表恶意方执行的过程相对),以及将分析员用户的注意力更有效地分配至涉嫌违规。
示例被实现为计算机过程、计算系统、或者诸如设备、计算机程序产品或计算机可读介质之类的制品。根据一方面,计算机程序产品是计算机系统可读的计算机存储介质,并且编码包括用于执行计算机过程的指令的计算机程序。
在附图和以下描述中阐述了一个或多个方面的细节。通过阅读以下详细描述和对相关附图的查阅,其它特征和优点将是显而易见的。要理解,以下详细描述仅是解释性的而不是对权利要求的限制。
附图说明
包含在本公开内容中并构成本公开内容的一部分的附图示出了各个方面。在附图中:
图1示出了其中可以实践本公开内容的示例性环境;
图2示出了签名异常评分器的细节;
图3是对事件进行加窗和加范围以供多信号分析的框图;
图4示出了多信号检测器的细节;
图5是示出了用于检测在线服务中的受损主机范围的示例性方法中所涉及的一般阶段的流程图;
图6是示出了用于基于异常对检测结果进行评分的示例性方法中所涉及的一般阶段的流程图;
图7是示出了用于对受损范围进行多信号检测的示例性方法中所涉及的一般阶段的流程图;
图8是示出了计算设备的示例性物理组件的框图;
图9A和图9B是移动计算设备的框图。
具体实施方式
以下具体实施方式参考附图。只要有可能,在附图和以下描述中使用相同的附图标记来指代相同或相似的元素。虽然可能描述了示例,但修改、适配和其它实现方式也是可能的。例如,可以对附图中所示出的元素做出替换、添加或修改,并且本文所描述的方法可以通过对所公开的方法进行替换、重排序、或添加阶段来修改。因此,以下详细描述不是限制性的,相反,适当的范围由所附权利要求来限定。各示例可以采用硬件实现方式、或者完全软件实现方式、或者组合软件和硬件方面的实现方式的形式。因此,以下详细描述不应被视为具有限制意义。
图1示出了其中可以实践本公开内容的示例性环境100。如所示出的,在线服务110将事件签名传送到事件检测器120,该事件检测器120使用各种检测逻辑集以向签名异常评分器130提供指示在线服务110中出现的行为的检测结果。签名异常评分器130确定给定行为对于在线服务110的常见或罕见程度,并将计数和检测结果分别存储在信号聚合高速缓存140和检测结果高速缓存150中。
多信号检测器160接受来自签名异常评分器130和检测结果高速缓存150(分别为新的和先前观察到的)的异常分数和检测结果,以预测性地确定观察到的行为指示在线服务110中的恶意还是良性活动。预测性确定存储在多信号结果高速缓存170中,并且当它们指示恶意行为时可以发送到警告生成器180。从警告生成器180向分析员或管理用户发送警告,并且该分析员或管理用户可以访问在检测结果高速缓存150和多信号结果高速缓存170中高速缓存的结果以进行额外查看。
在各个方面中,签名异常评分器130和多信号检测器160统称为异常检测器190。异常检测器190可以作为专用设备或分布式设备集被托管在在线服务110内,或者可以是外部的一个设备或一组设备。另外,事件检测器120可以是在线服务110、异常检测器190、第三方服务及其组合的一部分。类似地,异常检测器所使用的高速缓存可以是异常检测器190、在线服务110或外部存储设备的一部分。
在线服务110、事件检测器120、高速缓存、警告生成器180和异常检测器190示出了多个计算系统,包括但不限于台式计算机系统、有线和无线计算系统、移动计算系统(例如,移动电话、上网本、平板或平板型计算机、笔记本计算机、以及膝上型计算机)、手持设备、多处理器系统、基于微处理器或可编程的消费电子产品、小型计算机、打印机以及大型计算机。关于图8、图9A和图9B更详细讨论了这些计算系统的硬件。
虽然出于说明性目的而将在线服务110、事件检测器120、高速缓存、警告生成器180和异常检测器190示为彼此远程,但应该注意,这些设备中的一个或多个设备的若干配置在本地托管到另一所示出的设备是可能的,并且每个所示出的设备可以表示该设备的多个实例。本领域普通技术人员熟悉的各种服务器和中间装置可以位于图1中所示出的各组件系统之间,以在这些系统之间路由通信,这些系统未示出以免从本公开内容的新颖方面分散注意力。
在线服务110表示联网的一组计算设备,例如向各种用户提供“云”服务的云数据中心,包括但不限于:基础设施即服务(IaaS),其中用户提供在在线服务110的设备上运行的操作系统和软件;平台即服务(PaaS),其中用户提供软件并且在线服务110提供操作系统和设备;或软件即服务(SaaS),其中在线服务110提供操作系统和软件两者以在用户的设备上运行。
在在线服务110内的设备上生成各种审计事件,并且这些审计事件由在安全信息和事件管理(SIEM)内运行检测逻辑的各种事件检测器120以及从其它系统和服务提供外部审计结果的外部检测系统来处理。各种审计事件包括但不限于:网络通信追踪、错误日志、事件日志、系统命令等等。
关于在线服务110,与未授权用户或程序(例如,病毒)相关联的行为被分类为恶意,而与授权用户或程序相关联的行为被分类为良性。为了对这些行为进行分类,将检测结果从事件检测器传递到异常检测器190,该异常检测器190将其结果存储在信号聚合高速缓存140、检测结果高速缓存150和多信号结果高速缓存170中。
异常检测器190使用各种机器学习方法来开发模型,通过该模型在一时间段内评估多个信号以确定给定行为是恶意的还是良性的。关于图2和图4更详细地讨论了异常检测器的签名异常评分器130和多信号检测器160的操作。
响应于确定给定行为是恶意的,异常检测器190将其确定传递给警告生成器180。警告生成器180可以用各种格式向分析员用户发送和呈现警告,包括但不限于:应用消息(例如,在SIEM应用内)、电子邮件(到电子邮件账户)、文本或多媒体消息(到小区或互联网协议语音(VOIP)账户)、页面(到寻呼机号码)等等。几乎实时地(例如,考虑处理和传输时间)提供针对使得将行为分类为恶意的警告,但是也可以存储警告以供稍后查找和查看。
图2示出了签名异常评分器130的细节。签名异常评分器130接受来自各种事件检测器120的原始检测结果,并将聚合的异常计数输出到信号聚合高速缓存140,该信号聚合高速缓存140用于对签名异常评分器130如何将经评分的检测结果输出到多信号检测器160进行更新。签名异常评分器130区分给定行为是新的还是之前已被观察到、以及之前观察到的程度。
原始检测结果由标识符识别器210接收,该标识符识别器210确定将与检测结果结合使用的标识符。将来自原始检测结果的各种字段值进行组合以形成标识符,该标识符可以包括以下各项中的一项或多项:从中观察到行为的设备的角色、从中观察到行为的设备的用户、行为类、行为请求方(用户或过程)、行为对象(用户或过程)、时间戳、或事件信号中存在的其它字段。例如,用户A在时间D向用户B授权对类型C的设备的管理许可的行为可以得到ABCD的标识符。在各个方面中,标识符是基于字段值来产生的,但不包括那些字段的明文值。例如,在形成标识符时,将散列或加密算法/函数应用于字段值。
群体聚合器220从信号聚合高速缓存140中查找特定标识符的历史计数,并相应地对计数进行更新。根据给定行为类型的先前观察到的检测总数的群体计数并根据共享给定标识符的先前观察到的检测总数的子群体计数来聚合历史计数。
检测结果评分器230基于观察到的行为的历史计数将至少一个异常分数添加到检测结果。异常分数基于给定行为的子群体计数与群体计数之间的比率,以使得随着子群体变成群体的更大部分,行为的异常性降低。例如,异常分数可以使用公式1中所示出的格式,其中x、y和z在不同方面变化以影响为异常分数提供的值。如将意识到的,给出公式1作为如何为异常分配分数的非限制性示例。
公式1:分数=x-((y·子群体)÷(z·群体))
可以根据群体范围的不同计数来计算分数,其中这些计数使用对于与给定行为匹配的所有事件使用原始计数、或者在呈现给定行为的在线服务110中的各个设备(主机)或请求观察到的行为的用户的范围化计数。为了说明,考虑在在线服务110的设备D1和D2上发生的事件E1和E2,其中已经观察到E1三次(在D1上观察到两次,并在D2上观察到一次),并在D2上观察到E2一次。在所示出的示例中的原始群体计数为4,因为E1在在线服务110中发生三次并且E2发生一次,并且子群体计数对于E1和E2分别为3和1。使用公式1,在x、y和z中的每一者值为1的情况下得到E1的异常分数0.25[1-(1·3)÷(1·4)]以及E2的异常分数0.75[1-(1·1)÷(1·4)]。
然而,取决于针对群体选择的范围,示例性范围化异常分数可能得到与原始计数不同的结果。使用设备计数的范围,在当前图示中范围化设备群体计数将是2,因为在所示出的示例中在线服务110中存在两个不同的设备(D1和D2)。由于已在两个设备上观察到E1,因此其子群体计数是2,而仅在D2上观察到E2,因此其子群体计数是1。使用不同设备的范围和公式1,在x、y和z中的每一者值为1的情况下得到E1的异常分数0[1-(1·2)÷(1·2)]以及E2的异常分数0.5[1-(1·1)÷(1·2)]。
为了防止新事件或低群体事件提供虚假异常分数,在一些方面中使用阈值滤波器以从检查中排除非常低频率的事件(至少暂时地)。在一个示例中,最近的事件被“去抖动(debounced)”,以使得对行为的第一次观察不进行评分,直到给予时间观察该行为的其它实例。在第二示例中,设置群体阈值,以使得如果事件群体太小以至于无法提供可靠结果(例如,在异常检测器190的启动期间),则分配零概率。在第三示例中,设置子群体阈值,以使得(取决于系统选项)如果行为子群体太小以至于无法在估计观察到该行为的概率时提供可靠结果(例如,对于要观察的新分配的子群体),则分配最大或最小异常分数。
在各个方面中,根据滚动时间窗口来设置观察到的行为,以使得被认为是群体或子群体的一部分的事件(及其相关联的计数)基于它们何时发生。例如,只有在过去d天中观察到的行为可以是滚动时间窗口的一部分,并且因此用于确定异常分数的群体和子群体计数可以基于最近的行为而不是针对在线服务110观察到的所有行为。用于信号异常分数的滚动窗口提供在线服务110中的“正常”操作所呈现出的基线(例如,上个月的使用模式是什么)。
另外,通过观察一时间段内的行为,可以观察到在线服务110上的否则可能会错过的慢速移动攻击。滚动多信号窗口通过收集在在线服务110中的给定设备上发生的所有事件以确定是否存在恶意的行为模式,来确保观察到低群体或慢速移动行为,例如高级持久威胁(APT)。
图3是对事件进行加窗和加范围以供多信号分析的框图300。如所示出的,在第一组织状态302和第二组织状态302中示出了表示观察到的行为及其相关联的标识符、分数、特征向量、时间戳等的若干事件块310(分别为310a-n)。范围安排器320被配置为:将事件块310从第一组织状态310加窗并加范围到第二组织状态302,该第二组织状态302包括被馈送到多信号检测器160以供分析的若干范围块330(分别为330a-n)。向多信号检测器160馈送在每个范围中关联的事件以确定范围是否与恶意活动相关联(例如,受损设备、访问受限文件的用户账户、向可疑目的地发送大量数据的用户账户、运作不稳定的过程等等)。
第一组织状态301可以是检测结果高速缓存150或其它存储设备、或者来自签名异常评分器130的事件流所使用的状态。各个事件可以包括落在先前时间窗口内的那些事件(例如,具有最近d天内的时间戳的那些事件),例如所示出的示例中的事件块310a-h,以及当前时间窗口(例如,最后m分钟)内的那些事件,例如所示出的示例中的事件块310g-n。在当前时间窗口之外的事件包括已经存储的时间长于分析窗口的那些事件,这些事件未被包括在第二组织状态302中以供进一步分析。
分析员或其他管理用户设置分析窗口的长度以及将哪些属性用作为第二组织状态302的范围。例如,可以使用设备标识符、设备类型或请求的用户来将各个事件块310分开到不同的范围块330中以供分析。被指定用于进一步分析的各个单独事件块310(滚动分析窗口内的那些事件块)基于由范围安排器320指定的范围特征被安排到范围块330中。
例如,当针对不同的设备定义范围时,第一范围块330a可以对应于在线服务110中的第一设备,并且包括与第一设备相关联并且已被指定用于进一步分析的事件块310(事件块310a、310d和310e)。类似地,第二范围块330b和第n范围块330n将分别对应于来自在线服务110的第二和第n设备,并且包括与第二或第n设备相关联并且已被指定用于进一步分析的事件块310(事件块310b、310i、310g和310h;以及事件块310c、310f和310n)。
在所示出的事件块310中,事件块310j未被分配给任何所示出的范围块330。在各个方面中,当事件块310落在滚动分析窗口之外时,当事件块310缺失数据(通过该数据将事件分配给不同范围)时(例如,事件块310j中不包括设备标识符),或者范围被配置为排除给定事件块310的检测结果类型(例如,范围被定义为仅包括某些潜在行为),该事件块310可以保持未被分配给范围块330。
图4示出了多信号检测器160的细节。多信号检测器160在逐个范围的基础上接收(例如,在每个设备、每个用户或每个过程基础上的经评分检测结果)一个或多个经评分检测结果的范围化组。特征提取器410接收针对要分析的范围的经评分检测结果的集合,并且被配置为:从经评分检测结果中提取各种特性以产生特征向量以供预测模型420用于确定给定范围是否正在产生恶意行为。
特征提取器410被配置为从经评分检测结果中识别特性,例如:所使用的端口、所连接到的IP地址、设备身份/类型、用户身份、过程身份、所采取的动作、时间戳、异常分数等等。将特性转换为数值(即,特征)以用作为预测模型420的特征向量。预测模型420是根据用于给定特征向量的机器学习技术训练的算法,以提供从中该提取特征向量的范围是否表现出恶意行为的置信度分数。
可以根据各种机器学习技术中的一种连续地重新训练预测模型420。本领域普通技术人员将熟悉可以结合本公开内容采用的各种机器学习技术,这些机器学习技术包括监督、半监督和无监督学习会话。在各个方面中,多个预测模型420可以是可用的,多信号检测器160(或分析员或管理用户)可以从中选择一个或多个预测模型,以便基于其准确度,根据评估数据集、在精度和召回曲线下的区域、或其它度量来分析给定范围以及与其它预测模型420进行比较。
由预测模型420产生的置信度分数存储在多信号结果高速缓存170中,以供分析员或管理用户查看和/或用于模型训练目的。另外,警告逻辑用于确定是否应将与检测结果相关的警告发送给分析员或管理用户。当由预测模型420产生的置信度分数满足给定范围的特征向量指示该范围表现出恶意行为的置信度阈值时,将向警告生成器180传送该确定和必要的细节以生成详细描述恶意行为的警告。
图5是示出了用于检测在线服务110中的受损主机范围的示例性方法500中所涉及的一般阶段的流程图。方法500开始于操作510,在操作510处接收事件的检测结果。根据识别在线服务110中的各种行为的检测逻辑来接收检测结果,并且这些检测结果包括在一个或多个信号或文件中提供的信息,包括但不限于:网络通信追踪、错误日志、事件日志、系统命令等等。
方法500行进至操作520,在操作520处根据检测结果所表示的行为在滚动时间窗口内的异常程度来对检测结果进行评分。在各个方面中,来自滚动时间窗口之外的行为被包括在检测事件的异常分数中,以包括由分析员或其他管理用户指定的假设或历史行为(统称为历史行为)以供进一步分析。
在操作530处,通过各种范围来组织经评分的检测结果。范围包括基于由分析员或其他管理用户选择的一个或多个特性对检测结果的划分,以用于将在线服务110划分为各组成部分以分析是否能够将恶意活动隔离到给定部分。示例性范围包括但不限于:在线服务110内的各个设备/主机、用户账户、以及过程/应用。未落入给定范围的事件以及没有超过阈值量的事件的范围可以从当前轮次的分析中排除。
行进至操作540,将多信号检测逻辑应用于经评分和范围化检测结果,以确定给定范围是否已受损的置信度。使用各种经训练的机器学习模型(其可以基于传入的检测信号连续地重新训练和更新)以基于在范围中提交的经评分检测结果来预测性地确定给定设备(或用户或过程)的行为是否恶意。将范围中提供的检测结果的各种特性转换为特征(各种特性的数字表示),并且将特征馈送到预测模型420中以产生关于行为是否是恶意的置信度分数。
在判定550处,将置信度分数与置信度阈值进行比较,以确定是否向分析员或其他管理用户警告恶意行为。响应于置信度分数满足置信度阈值,确定要警告分析员或其他管理用户,并且方法500行进至操作560。否则,响应于置信度分数不满足置信度阈值,方法500可以结束,但是可以响应于接收到后续检测结果而从操作510重复。
在操作560处,生成并发送警告。在各个方面中,警告标识触发该警告的行为和检测结果以及被分析以触发该警告的范围。例如,警告可以声明在时间t,用户A授权用户B在设备C(范围)上的管理许可(行为)。可以根据多种格式来生成并发送警告,包括但不限于:应用消息(例如,在SIEM应用内)、电子邮件(到电子邮件账户)、文本或多媒体消息(到小区或互联网协议语音(VOIP)账户)、页面(到寻呼机号码)等等。随后方法500可以结束,但是可以响应于接收到后续检测结果而从操作510重复。
图6是示出了用于基于异常对检测结果进行评分的示例性方法600中所涉及的一般阶段的流程图。方法600是图5的操作520的子步骤的一个示例。方法600开始于操作610,在操作610处针对检测结果计算标识符。在各个方面中,使用来自检测结果的不同字段值(例如,源设备名称、目的地IP地址、用户、动作类型、动作效果、时间戳)来创建标识符。标识符可以使用字段值本身(具有或不具有字段名称)或一个或多个字段值的派生值(例如字段值的加密散列)作为观察到的行为的标识符。
在操作620处,从信号聚合高速缓存140中取回标识符的聚合计数。可以基于滚动时间窗口来取回所观察到的行为群体和给定行为的特定子群体的聚合计数,以使得计数基于从当前时间起的给定时间段内(例如,在最后d天内)发生的行为。在一些方面中,由分析员用户定义的历史观察行为被包括在群体计数中,而不管他们是否在滚动时间窗口中观察到。
方法600行进至操作630,在操作630处在信号聚合高速缓存140中对聚合计数进行更新。在各个方面中,各种群体和子群体(例如,设备A、用户B、过程C及其组合的行为)的计数响应于观察到特定行为或一组行为而增加。只要使得增加特定账户的行为被指定为滚动分析窗口的一部分,这些增加就会影响聚合计数;除非行为被指定用作为历史行为,否则行为将会老化并且计数将相应地减少。
在操作640处,计算检测结果的异常分数。在各个方面中,分析员或管理用户可以选择一个或多个公式(例如上面给出的公式1)。在各个方面中,在给定分析窗口内在在线服务110中观察到的所有事件的原始计数被提供为群体计数,而在其它方面中,在在线服务110中观察到的符合分析员定义的在线服务110的范围的事件的范围化计数被提供为群体计数。另外,相对于原始群体和范围化群体(如果定义的话)提供了共享在操作610中计算的标识符的行为的先前观察数量的子群体计数。
异常分数提供了对先前已经观察到给定行为的程度的表示。在群体计数(原始或范围化)低于群体阈值的方面,可以基于分析员偏好来分配异常分数的默认值(例如,100%异常,0%异常)。类似地,当子群体计数低于子群体阈值时,可以分配异常分数的默认值(例如,100%异常,0%异常)或者可以对行为“去抖动”以等待并允许子群体在分配群体分数之前潜在地增长。
这些异常分数、群体计数和子群体计数中的一个或多个被保持为它们所基于的检测结果的新属性,并且在操作650处被发送给多信号检测器160。方法600可以在操作650之后结束,并且可以响应于接收到后续检测结果而从操作610重复。
图7是示出了用于对受损范围进行多信号检测的示例性方法700中所涉及的一般阶段的流程图。方法700是图5的操作540的子步骤的一个示例。方法700开始于操作710,在操作719处选择一个或多个预测模型420。基于多种原因来选择预测模型420,包括但不限于:可用于分析的特征集;与其它模型相比的准确度或预测精度;要分析的期望行为;可用处理资源;模型是被部署用于生产、训练还是评估;等等。可以针对正被分析的给定范围选择一个或多个预测模型420,这些预测模型对应于分析员或其他管理用户希望在在线服务110内查找的各种行为。
在操作720处,从与所选择的预测模型420的特征集相对应的经评分检测结果中提取特性。基于来自检测结果的特性来训练每个预测模型420以识别在线服务中的各种行为,并且每个预测模型420可以与用数字格式表示一个或多个特性的给定特征向量(例如,作为数字数组)相关联。由于特性可以包括数值(例如,异常分数、群体计数)、文本值(例如,用户名、动作名称、过程名称)、以及伪数值(例如,IP地址、时间戳),因此在操作730处对特性进行评分以供转换为特征。本领域普通技术人员将熟悉各种操作,通过这些操作将非数值转换为数值以用作为特征。在各个方面中,压缩或格式化操作(例如,sigmoid挤压函数)被应用于特性的数值转换(以及原始数字)以格式化特征值以供预测模型420消耗。
行进至操作740,向所选择的预测模型420传递特征向量以生成关于检测结果的行为是恶意的还是良性的置信度分数。预测模型420是接受一个或多个特征向量(并且在一些方面中,其它预测模型420的输出)作为输入以产生置信度分数作为输出的算法。置信度分数是指示关于由输入表示的行为可被分类为恶意还是良性的确定性水平的预测。在各个方面中,预测模型420在连续机器学习过程的许多时期开发,以预测给定行为应该被视为恶意还是良性,并且可以随着时间推移在连续学习阶段上基于从分析员或其他管理用户和其它模型接收到的反馈来调整其预测。
一旦生成置信度分数,就在操作750处存储该分数存储以供传输或稍后使用。例如,置信度分数可以存储在多信号结果高速缓存170中以供在训练集中使用以在机器学习过程的下一学习阶段中迭代地改善预测模型420。在另一示例中,存储置信度分数以便传输到警告生成器180,其中可以基于置信度分数和警告逻辑来确定是否生成针对观察到的行为的警告。随后方法700可以结束,并且可以响应于接收到要分析的另一检测结果范围而从操作710重复。
虽然已经在结合在计算机上的操作系统上运行的应用程序来执行的程序模块的一般上下文中描述了实现方式,但是本领域技术人员将认识到,各方面也可以与其它程序模块相组合地实现。通常,程序模块包括例程、程序、组件、数据结构、以及执行特定任务或实现特定抽象数据类型的其它类型的结构。
本文所描述的方面和功能可以经由多种计算系统来操作,包括但不限于台式计算机系统,有线和无线计算系统,移动计算系统(例如,移动电话、上网本、平板或平板型计算机、笔记本计算机和膝上型计算机),手持设备,多处理器系统,基于微处理器或可编程的消费者电子产品,小型计算机和大型计算机。
另外,根据一方面,本文所描述的方面和功能在分布式系统(例如,基于云的计算系统)上操作,其中应用功能、存储器、数据存储和取回以及各种处理功能通过分布式计算网络(例如互联网或内联网)彼此远程操作。根据一方面,经由机载计算设备显示器或经由与一个或多个计算设备相关联的远程显示单元来显示各种类型的用户界面和信息。例如,在各种类型的用户界面和信息被投影到的墙壁表面上显示各种类型的用户界面和信息并与其交互。与实践实现方式的多个计算系统的交互包括击键输入、触摸屏输入、语音或其它音频输入、手势输入,其中相关联的计算设备装备有用于捕获和解释用户手势的检测(例如,相机)功能以用于控制计算设备的功能等等。
图8、图9A和图9B以及相关联的描述提供了对其中实践示例的各种操作环境的讨论。然而,针对图8、图9A和图9B所示出和讨论的设备和系统是出于示例和说明的目的,而不是对用于实践本文所描述的方面的大量计算设备配置进行限制。
图8是示出了计算设备800的物理组件(即,硬件)的框图,利用该计算设备800可以实践本公开内容的各示例。在基本配置中,计算设备800包括至少一个处理单元802和系统存储器804。根据一方面,取决于计算设备的配置和类型,系统存储器804包括但不限于易失性存储器(例如,随机存取存储器)、非易失性存储器(例如,只读存储器)、闪存或这些存储器的任何组合。根据一方面,系统存储器804包括操作系统805和适合于运行软件应用850的一个或多个程序模块806。根据一方面,系统存储器804包括异常检测器190。例如,操作系统805适合于控制计算设备800的操作。此外,结合图形库、其它操作系统或任何其它应用来实践各方面,并且不限于任何特定应用或系统。在图8中用虚线808内的那些组件来示出该基本配置。根据一方面,计算设备800具有另外的特征或功能。例如,根据一方面,计算设备800包括另外的数据存储设备(可移动和/或不可移动),例如磁盘、光盘或磁带。这种另外的存储在图8中用可移动存储设备809和不可移动存储设备810示出。
如上面提到的,根据一方面,多个程序模块和数据文件存储在系统存储器804中。当在处理单元802上执行时,程序模块806(例如,异常检测器190)执行包括但不限于图5、图6和图7中所示出的方法500、600和700的一个或多个阶段的过程。根据一方面,根据各示例使用其它程序模块,并且包括诸如电子邮件和联系人应用、文字处理应用、电子表格应用、数据库应用、幻灯片演示应用、绘图或计算机辅助应用等应用。
根据一方面,计算设备800具有一个或多个输入设备812,例如键盘、鼠标、笔、声音输入设备、触摸输入设备等等。根据一方面,还包括输出设备814,例如显示器、扬声器、打印机等等。前述设备是示例,并且可以使用其它设备。根据一方面,计算设备800包括允许与其它计算设备818通信的一个或多个通信连接816。合适的通信连接816的示例包括但不限于射频(RF)发射机、接收机和/或收发机电路;通用串行总线(USB)、并行和/或串行端口。
如本文使用的术语计算机可读介质包括计算机存储介质。计算机存储介质包括以用于存储信息(例如计算机可读指令、数据结构或程序模块)的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。系统存储器804、可移动存储设备809和不可移动存储设备810都是计算机存储介质示例(即,存储器存储)。根据一方面,计算机存储介质包括RAM、ROM、电可擦除可编程只读存储器(EEPROM)、闪存或其它存储器技术、CD-ROM、数字多功能光盘(DVD)或其它光学存储、盒式磁带、磁带、磁盘存储或其它磁存储设备,或可用于存储信息并且可由计算设备800访问的任何其它制品。根据一方面,任何这样的计算机存储介质是计算设备800的一部分。计算机存储介质不包括载波或其它传播的数据信号。
根据一方面,通信介质由计算机可读指令、数据结构、程序模块或经调制数据信号中的其它数据(诸如载波或其它传输机制)来体现,并且包括任何信息传递介质。根据一方面,术语“经调制数据信号”描述了如下信号,该信号以使得将信息编码到该信号中的方式来设置或改变该信号的一个或多个特性。举例而言而非限制,通信介质包括有线介质(例如,有线网络或直接有线连接)和无线介质(例如,声学、射频(RF)、红外和其它无线介质)。
图9A和图9B示出了移动计算设备900,例如,移动电话、智能电话、平板个人计算机、膝上型计算机等等,利用这些设备可以实践各方面。参考图9A,示出了用于实现各方面的移动计算设备900的示例。在基本配置中,移动计算设备900是具有输入元件和输出元件两者的手持计算机。移动计算设备900通常包括显示器905和允许用户将信息输入到移动计算设备900中的一个或多个输入按钮910。根据一方面,移动计算设备900的显示器905用作输入设备(例如,触摸屏显示器)。如果包括可选的侧输入元件915,则侧输入元件915允许进一步的用户输入。根据一方面,侧输入元件915是旋转开关、按钮或任何其它类型的手动输入元件。在替代示例中,移动计算设备900包含更多或更少的输入元件。例如,在一些示例中,显示器905可以不是触摸屏。在替代示例中,移动计算设备900是便携式电话系统,诸如蜂窝电话。根据一方面,移动计算设备900包括可选的键盘935。根据一方面,可选的键盘935是物理键盘。根据另一方面,可选的键盘935是在触摸屏显示器上生成的“软”键盘。在各个方面中,输出元件包括用于示出图形用户界面(GUI)的显示器905、视觉指示器920(例如,发光二极管)和/或音频换能器925(例如,扬声器)。在一些示例中,移动计算设备900包含振动换能器以用于向用户提供触觉反馈。在又一示例中,移动计算设备900包含输入和/或输出端口,诸如音频输入(例如,麦克风插孔)、音频输出(例如,耳机插孔)和视频输出(例如,HDMI端口)以用于向外部设备发送信号或从外部设备接收信号。在又一示例中,移动计算设备900包含外围设备端口940,诸如音频输入(例如,麦克风插孔)、音频输出(例如,耳机插孔)和视频输出(例如,HDMI端口)以用于向外部设备发送信号或从外部设备接收信号。
图9B是示出了移动计算设备的一个示例的架构的框图。即,移动计算设备900包含系统(即,架构)902以实现一些示例。在一个示例中,系统902被实现为能够运行一个或多个应用(例如,浏览器、电子邮件、日程安排、联系人管理器、消息传送客户端、游戏、以及媒体客户端/播放器)的“智能电话”。在一些示例中,系统902被集成为计算设备,例如集成的个人数字助理(PDA)和无线电话。
根据一方面,一个或多个应用950被加载到存储器962中并在操作系统964上或与其相关联地运行。应用程序的示例包括电话拨号程序、电子邮件程序、个人信息管理(PIM)程序、文字处理程序、电子表格程序、互连网浏览器程序、消息传送程序等等。根据一方面,异常检测器190被加载到存储器962中。系统902还包括存储器962内的非易失性存储区域968。非易失性存储区域968用于存储在系统902断电的情况下不应丢失的持久性信息。应用程序950可以使用并在非易失性存储区域968中存储信息,例如由电子邮件应用使用的电子邮件或其它消息等等。同步应用(未示出)也驻留在系统902上,并被编程为与驻留在主机计算机上的相应同步应用交互,以使存储在非易失性存储区域968中的信息与存储在主机计算机处的相应信息保持同步。应当意识到,可以将其它应用加载到存储器962中并在移动计算设备900上运行。
根据一方面,系统902具有电源970,其被实现为一个或多个电池。根据一方面,电源970还包括外部电源,例如AC适配器或补充电池或对电池重新充电的加电对接托架。
根据一方面,系统902包括执行发送和接收射频通信的功能的无线电装置972。无线电装置972经由通信运营商或服务提供商来促进系统902与“外部世界”之间的无线连接。在操作系统972的控制下进行去往和来自无线电装置964的传输。换言之,由无线电装置972接收的通信可以经由操作系统964传播到应用950,反之亦然。
根据一方面,视觉指示器920用于提供视觉通知和/或音频接口974用于经由音频换能器925来产生可听通知。在所示出的示例中,视觉指示器920是发光二极管(LED)并且音频换能器925是扬声器。这些设备可以直接耦合到电源970,以使得当被激活时,它们在由通知机制指示的持续时间内保持开启,即使处理器960和其它组件可能关闭以节省电池功率。LED可以被编程为无限地保持开启,直到用户采取行动来指示设备的通电状态为止。音频接口974用于向用户提供可听信号并从用户接收可听信号。例如,除了耦合到音频换能器925之外,音频接口974还可以耦合到麦克风以接收可听输入,例如以促进电话交谈。根据一方面,系统902还包括视频接口976,其实现机载相机930的操作以记录静止图像、视频流等等。
根据一方面,实现系统902的移动计算设备900具有另外的特征或功能。例如,移动计算设备900包括另外的数据存储设备(可移动和/或不可移动),例如磁盘、光盘或磁带。图9B中用非易失性存储区域968来示出这种另外的存储。
根据一方面,由移动计算设备900生成或捕获并经由系统902存储的数据/信息本地存储在移动计算设备900上,如上所述。根据另一方面,数据存储在可由设备经由无线电装置972或经由移动计算设备900与关联于移动计算设备900的单独计算设备(例如,在分布式计算网络(例如互联网)中的服务器计算机)之间的有线连接可访问的任何数量的存储介质上。如应该意识到的,这种数据/信息可通过移动计算设备900经由无线电装置972或经由分布式计算网络来访问。类似地,根据一方面,根据众所周知的数据/信息传输和存储装置(包括电子邮件和协作数据/信息共享系统),这些数据/信息在计算设备之间容易地传输以用于存储和使用。
例如,上面参考根据各方面的方法、系统和计算机程序产品的框图和/或操作图示来描述了各实现方式。框中记录的功能/动作可以不按任何流程图所示的顺序发生。例如,连续示出的两个框实际上可以基本上同时执行,或者这些框有时可以以相反的顺序执行,这取决于所涉及的功能/动作。
本申请中提供的一个或多个示例的描述和说明并非旨在以任何方式限制或制约所要求保护的范围。本申请中提供的方面、示例和细节被认为足以传达所有权并使得其他人能够制作和使用最佳模式。实现方式不应被解释为受限于本申请中提供的任何方面、示例或细节。无论是组合地还是单独地示出和描述,各种特征(在结构和方法两者上)旨在被选择性地包括或省略以产生具有特定特征集的示例。已经提供了本申请的描述和说明,本领域技术人员可以设想落入本申请中体现的总体发明构思的更广泛方面的精神内的变型、修改和替代示例,这些变型、修改和替代示例不脱离更广泛的范围。
Claims (15)
1.一种用于检测在线服务中的受损范围的方法,包括:
接收在所述在线服务内的设备上出现的行为的检测结果;
基于相关联的行为在所述在线服务内的异常程度来对所述检测结果评分;
根据范围来组织经评分的检测结果;
将多信号检测逻辑应用于给定范围以产生指示所述给定范围是否受损的置信度分数;
基于将所述置信度分数与警告阈值进行比较来确定是否要呈现对所述给定范围受损的警告;以及
响应于确定要呈现对所述给定范围受损的警告,生成并发送所述警告。
2.根据权利要求1所述的方法,其中,所述给定范围与所述在线服务内的给定设备或给定用户账户相关联。
3.根据权利要求1所述的方法,其中,对所述检测结果进行评分还包括:
计算给定检测结果的标识符;
取回针对所述给定检测结果的聚合计数;
针对所述给定检测结果增加聚合群体计数;
基于所述聚合群体计数来计算所述给定检测结果的异常分数;以及
将所述异常分数与所述给定检测结果进行关联以产生经评分的检测结果。
4.根据权利要求3所述的方法,其中,所述聚合群体计数包括:
针对每个观察到的检测结果增加的原始群体计数;以及
针对每个观察到的包括定义检测结果的子群体的特性的检测结果增加的至少一个子群体计数。
5.根据权利要求1所述的方法,其中,根据所述范围来组织所述经评分的检测结果还包括:
接收范围定义,所述范围定义标识用以划分所述检测结果的特性;
接收从所述当前时间开始的时间窗口,要被分析的所述检测结果是从所述时间窗口中被观察到的;以及
根据所述检测结果中所包括的经标识特性的值来将在所述时间窗口内观察到的所述检测结果划分到所述范围中。
6.根据权利要求1所述的方法,其中,来自包括几分钟检测结果的较小时间窗口、以及来自包括几天检测结果的较大时间窗口的检测结果被包括在所述范围中。
7.根据权利要求1所述的方法,其中,将所述多信号检测逻辑应用于所述给定范围以产生所述置信度分数还包括:
选择预测模型;
从所述检测结果中提取特性;
存储所述特性以供转换成数值特征;以及
将所述特征提供给所述预测模型以生成所述置信度分数。
8.根据权利要求7所述的方法,其中,所述预测模型是基于连续机器学习过程来生成和选择的。
9.一种系统,包括处理器和存储指令的存储器存储设备,所述指令在由所述处理器执行时提供检测在线服务中的受损范围,所述系统包括:
签名异常评分器,其被配置为:
接收在所述在线服务中出现的观察到的事件的给定检测结果;
确定与所述给定检测结果相关联的行为先前已被观察到在所述在线服务中出现的程度;以及
基于所述行为先前已被观察到的程度来产生将与所述给定检测结果相关联的异常分数;以及
与所述签名异常评分器相通信的多信号检测器,其被配置为:
接收与所述给定检测结果共享所述在线服务中的范围的一个或多个检测结果;
从所述签名异常评分器接收与所述检测结果相关联的所述异常分数;
从所述范围的所述检测结果中提取特征,所述特征包括所述异常分数;以及
基于所提取的特征来生成针对所述范围是否受损的置信度分数。
10.根据权利要求9所述的系统,其中,与所述给定检测结果共享所述在线服务中的所述范围的所述一个或多个检测结果是在时间窗口内被观察到的。
11.根据权利要求10所述的系统,其中,与所述给定检测结果相关联的所述行为先前已被观察到在所述在线服务中出现的程度基于在所述时间窗口期间的出现。
12.根据权利要求9所述的系统,其中,与所述给定检测结果相关联的所述行为先前已被观察到在所述在线服务中出现的程度基于:
在所述在线服务中出现的事件的原始群体计数;以及
所述行为在所述在线服务中的出现次数的原始子群体计数。
13.根据权利要求9所述的系统,其中,与所述给定检测结果相关联的所述行为先前已被观察到在所述在线服务中出现的程度基于:
包括所述在线服务的范围的多个实体的范围化群体计数;以及
在与所述行为相关联的所述范围中的多个实体的范围化子群体计数。
14.根据权利要求13所述的系统,其中,包括所述范围的所述实体由分析员定义为所述在线服务内的设备或所述在线服务的用户账户中的一个。
15.一种计算机可读存储设备,包括用于检测在线服务中的受损范围的处理器可执行指令,所述指令包括:
接收在所述在线服务内的设备上出现的行为的检测结果;
基于相关联的行为在所述在线服务内的异常程度来对所述检测结果进行评分;
根据范围来组织经评分的检测结果,其中,给定范围与所述在线服务内的给定设备或给定用户账户相关联;
将多信号检测逻辑应用于所述给定范围以产生指示所述给定范围是否受损的置信度分数;
基于将所述置信度分数与警告阈值进行比较来确定是否向分析员警告所述给定范围受损;以及
响应于确定要向所述分析员警告所述给定范围受损,生成并发送警告。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/431,391 US10491616B2 (en) | 2017-02-13 | 2017-02-13 | Multi-signal analysis for compromised scope identification |
| US15/431,391 | 2017-02-13 | ||
| PCT/US2018/017817 WO2018148657A1 (en) | 2017-02-13 | 2018-02-12 | Multi-signal analysis for compromised scope identification |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110366727A true CN110366727A (zh) | 2019-10-22 |
| CN110366727B CN110366727B (zh) | 2023-09-19 |
Family
ID=61386917
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880011573.0A Active CN110366727B (zh) | 2017-02-13 | 2018-02-12 | 用于受损范围识别的多信号分析 |
Country Status (18)
| Country | Link |
|---|---|
| US (2) | US10491616B2 (zh) |
| EP (1) | EP3552138B1 (zh) |
| JP (1) | JP7108365B2 (zh) |
| KR (1) | KR102433425B1 (zh) |
| CN (1) | CN110366727B (zh) |
| AU (1) | AU2018219369B2 (zh) |
| BR (1) | BR112019014366A2 (zh) |
| CA (1) | CA3050321A1 (zh) |
| CL (1) | CL2019002189A1 (zh) |
| CO (1) | CO2019008341A2 (zh) |
| IL (1) | IL268231B (zh) |
| MX (1) | MX2019009505A (zh) |
| NZ (1) | NZ755115A (zh) |
| PH (1) | PH12019550134A1 (zh) |
| RU (1) | RU2768562C2 (zh) |
| SG (1) | SG11201907140UA (zh) |
| WO (1) | WO2018148657A1 (zh) |
| ZA (1) | ZA201904963B (zh) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10943069B1 (en) | 2017-02-17 | 2021-03-09 | Narrative Science Inc. | Applied artificial intelligence technology for narrative generation based on a conditional outcome framework |
| US10755053B1 (en) | 2017-02-17 | 2020-08-25 | Narrative Science Inc. | Applied artificial intelligence technology for story outline formation using composable communication goals to support natural language generation (NLG) |
| US20190038934A1 (en) * | 2017-08-03 | 2019-02-07 | International Business Machines Corporation | Cognitive advisory system of structured assessments through iot sensors |
| US11232270B1 (en) * | 2018-06-28 | 2022-01-25 | Narrative Science Inc. | Applied artificial intelligence technology for using natural language processing to train a natural language generation system with respect to numeric style features |
| US11012421B2 (en) | 2018-08-28 | 2021-05-18 | Box, Inc. | Predicting user-file interactions |
| KR102049829B1 (ko) * | 2018-12-05 | 2019-11-28 | 주식회사 뷰노 | 피검체의 위험도를 평가하여 상기 위험도에 따라 상기 피검체를 분류하는 방법 및 이를 이용한 장치 |
| US11487873B2 (en) * | 2019-01-22 | 2022-11-01 | EMC IP Holding Company LLC | Risk score generation utilizing monitored behavior and predicted impact of compromise |
| WO2020223247A1 (en) * | 2019-04-29 | 2020-11-05 | Jpmorgan Chase Bank, N.A. | Systems and methods for data-driven infrastructure controls |
| US11799890B2 (en) * | 2019-10-01 | 2023-10-24 | Box, Inc. | Detecting anomalous downloads |
| US11449548B2 (en) | 2019-11-27 | 2022-09-20 | Elasticsearch B.V. | Systems and methods for enriching documents for indexing |
| US11768945B2 (en) * | 2020-04-07 | 2023-09-26 | Allstate Insurance Company | Machine learning system for determining a security vulnerability in computer software |
| US12041094B2 (en) | 2020-05-01 | 2024-07-16 | Amazon Technologies, Inc. | Threat sensor deployment and management |
| US12058148B2 (en) * | 2020-05-01 | 2024-08-06 | Amazon Technologies, Inc. | Distributed threat sensor analysis and correlation |
| US11704185B2 (en) * | 2020-07-14 | 2023-07-18 | Microsoft Technology Licensing, Llc | Machine learning-based techniques for providing focus to problematic compute resources represented via a dependency graph |
| CN112700060B (zh) * | 2021-01-08 | 2023-06-13 | 佳源科技股份有限公司 | 站所终端负荷预测方法和预测装置 |
| US11902330B1 (en) * | 2021-06-16 | 2024-02-13 | Juniper Networks, Inc. | Generating a network security policy based on a user identity associated with malicious behavior |
| JPWO2022269786A1 (zh) * | 2021-06-23 | 2022-12-29 | ||
| US20230099241A1 (en) * | 2021-09-27 | 2023-03-30 | Bank Of America Corporation | Systems and methods for identifying malicious events using deviations in user activity for enhanced network and data security |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070294187A1 (en) * | 2006-06-08 | 2007-12-20 | Chad Scherrer | System and method for anomaly detection |
| CN101547129A (zh) * | 2009-05-05 | 2009-09-30 | 中国科学院计算技术研究所 | 分布式拒绝服务攻击的检测方法及系统 |
| US8122122B1 (en) * | 2005-11-08 | 2012-02-21 | Raytheon Oakley Systems, Inc. | Event monitoring and collection |
| US20130111019A1 (en) * | 2011-10-28 | 2013-05-02 | Electronic Arts Inc. | User behavior analyzer |
| CN103797468A (zh) * | 2011-09-21 | 2014-05-14 | 惠普发展公司,有限责任合伙企业 | 系统异常的自动化检测 |
| CN103853841A (zh) * | 2014-03-19 | 2014-06-11 | 北京邮电大学 | 一种社交网用户异常行为的分析方法 |
| CN104424354A (zh) * | 2013-08-27 | 2015-03-18 | 国际商业机器公司 | 使用用户操作生成模型检测异常用户行为的方法和系统 |
| EP2908495A1 (en) * | 2014-02-18 | 2015-08-19 | Palo Alto Research Center Incorporated | System and method for modeling behavior change and consistency to detect malicious insiders |
| CN105378790A (zh) * | 2013-03-15 | 2016-03-02 | 索库里公司 | 使用社交联网数据的风险评估 |
| US20160142435A1 (en) * | 2014-11-13 | 2016-05-19 | Cyber-Ark Software Ltd. | Systems and methods for detection of anomalous network behavior |
| WO2016177437A1 (en) * | 2015-05-05 | 2016-11-10 | Balabit S.A. | Computer-implemented method for determining computer system security threats, security operations center system and computer program product |
| US9516053B1 (en) * | 2015-08-31 | 2016-12-06 | Splunk Inc. | Network security threat detection by user/user-entity behavioral analysis |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ATE374493T1 (de) * | 2002-03-29 | 2007-10-15 | Global Dataguard Inc | Adaptive verhaltensbezogene eindringdetektion |
| US7784099B2 (en) * | 2005-02-18 | 2010-08-24 | Pace University | System for intrusion detection and vulnerability assessment in a computer network using simulation and machine learning |
| US8490194B2 (en) * | 2006-01-31 | 2013-07-16 | Robert Moskovitch | Method and system for detecting malicious behavioral patterns in a computer, using machine learning |
| US7908660B2 (en) * | 2007-02-06 | 2011-03-15 | Microsoft Corporation | Dynamic risk management |
| US20080295172A1 (en) * | 2007-05-22 | 2008-11-27 | Khushboo Bohacek | Method, system and computer-readable media for reducing undesired intrusion alarms in electronic communications systems and networks |
| JP5046836B2 (ja) | 2007-10-02 | 2012-10-10 | Kddi株式会社 | 不正検知装置、プログラム、および記録媒体 |
| US8321938B2 (en) | 2009-02-12 | 2012-11-27 | Raytheon Bbn Technologies Corp. | Multi-tiered scalable network monitoring |
| US20100293103A1 (en) | 2009-05-12 | 2010-11-18 | Microsoft Corporation | Interaction model to migrate states and data |
| US8793151B2 (en) * | 2009-08-28 | 2014-07-29 | Src, Inc. | System and method for organizational risk analysis and reporting by mapping detected risk patterns onto a risk ontology |
| US8712596B2 (en) * | 2010-05-20 | 2014-04-29 | Accenture Global Services Limited | Malicious attack detection and analysis |
| CN104820804A (zh) * | 2010-12-30 | 2015-08-05 | 艾新顿公司 | 在线隐私管理 |
| US9117076B2 (en) * | 2012-03-14 | 2015-08-25 | Wintermute, Llc | System and method for detecting potential threats by monitoring user and system behavior associated with computer and network activity |
| US9832211B2 (en) | 2012-03-19 | 2017-11-28 | Qualcomm, Incorporated | Computing device to detect malware |
| US9338187B1 (en) * | 2013-11-12 | 2016-05-10 | Emc Corporation | Modeling user working time using authentication events within an enterprise network |
| US9690933B1 (en) * | 2014-12-22 | 2017-06-27 | Fireeye, Inc. | Framework for classifying an object as malicious with machine learning for deploying updated predictive models |
| US9654485B1 (en) * | 2015-04-13 | 2017-05-16 | Fireeye, Inc. | Analytics-based security monitoring system and method |
| US20160308725A1 (en) | 2015-04-16 | 2016-10-20 | Nec Laboratories America, Inc. | Integrated Community And Role Discovery In Enterprise Networks |
| US9888024B2 (en) * | 2015-09-30 | 2018-02-06 | Symantec Corporation | Detection of security incidents with low confidence security events |
| MA44828A (fr) | 2016-02-16 | 2018-12-26 | Morpho Bv | Procédé, système, dispositif, et produit-programme informatique, destinés à l'autorisation à distance d'un utilisateur de services numériques |
| US10372910B2 (en) * | 2016-06-20 | 2019-08-06 | Jask Labs Inc. | Method for predicting and characterizing cyber attacks |
-
2017
- 2017-02-13 US US15/431,391 patent/US10491616B2/en active Active
-
2018
- 2018-02-12 JP JP2019543201A patent/JP7108365B2/ja active Active
- 2018-02-12 AU AU2018219369A patent/AU2018219369B2/en active Active
- 2018-02-12 CN CN201880011573.0A patent/CN110366727B/zh active Active
- 2018-02-12 SG SG11201907140UA patent/SG11201907140UA/en unknown
- 2018-02-12 CA CA3050321A patent/CA3050321A1/en active Pending
- 2018-02-12 BR BR112019014366-1A patent/BR112019014366A2/pt unknown
- 2018-02-12 WO PCT/US2018/017817 patent/WO2018148657A1/en unknown
- 2018-02-12 KR KR1020197023658A patent/KR102433425B1/ko active IP Right Grant
- 2018-02-12 MX MX2019009505A patent/MX2019009505A/es unknown
- 2018-02-12 RU RU2019127797A patent/RU2768562C2/ru active
- 2018-02-12 EP EP18707813.4A patent/EP3552138B1/en active Active
- 2018-02-12 NZ NZ755115A patent/NZ755115A/en unknown
-
2019
- 2019-07-22 PH PH12019550134A patent/PH12019550134A1/en unknown
- 2019-07-23 IL IL268231A patent/IL268231B/en unknown
- 2019-07-29 ZA ZA2019/04963A patent/ZA201904963B/en unknown
- 2019-07-30 CO CONC2019/0008341A patent/CO2019008341A2/es unknown
- 2019-08-02 CL CL2019002189A patent/CL2019002189A1/es unknown
- 2019-11-21 US US16/690,982 patent/US11233810B2/en active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8122122B1 (en) * | 2005-11-08 | 2012-02-21 | Raytheon Oakley Systems, Inc. | Event monitoring and collection |
| US20070294187A1 (en) * | 2006-06-08 | 2007-12-20 | Chad Scherrer | System and method for anomaly detection |
| CN101547129A (zh) * | 2009-05-05 | 2009-09-30 | 中国科学院计算技术研究所 | 分布式拒绝服务攻击的检测方法及系统 |
| CN103797468A (zh) * | 2011-09-21 | 2014-05-14 | 惠普发展公司,有限责任合伙企业 | 系统异常的自动化检测 |
| US20130111019A1 (en) * | 2011-10-28 | 2013-05-02 | Electronic Arts Inc. | User behavior analyzer |
| CN105378790A (zh) * | 2013-03-15 | 2016-03-02 | 索库里公司 | 使用社交联网数据的风险评估 |
| CN104424354A (zh) * | 2013-08-27 | 2015-03-18 | 国际商业机器公司 | 使用用户操作生成模型检测异常用户行为的方法和系统 |
| EP2908495A1 (en) * | 2014-02-18 | 2015-08-19 | Palo Alto Research Center Incorporated | System and method for modeling behavior change and consistency to detect malicious insiders |
| US20150235152A1 (en) * | 2014-02-18 | 2015-08-20 | Palo Alto Research Center Incorporated | System and method for modeling behavior change and consistency to detect malicious insiders |
| CN103853841A (zh) * | 2014-03-19 | 2014-06-11 | 北京邮电大学 | 一种社交网用户异常行为的分析方法 |
| US20160142435A1 (en) * | 2014-11-13 | 2016-05-19 | Cyber-Ark Software Ltd. | Systems and methods for detection of anomalous network behavior |
| WO2016177437A1 (en) * | 2015-05-05 | 2016-11-10 | Balabit S.A. | Computer-implemented method for determining computer system security threats, security operations center system and computer program product |
| US9516053B1 (en) * | 2015-08-31 | 2016-12-06 | Splunk Inc. | Network security threat detection by user/user-entity behavioral analysis |
Also Published As
| Publication number | Publication date |
|---|---|
| KR102433425B1 (ko) | 2022-08-17 |
| PH12019550134A1 (en) | 2020-06-01 |
| JP7108365B2 (ja) | 2022-07-28 |
| KR20190117526A (ko) | 2019-10-16 |
| CA3050321A1 (en) | 2018-08-16 |
| US20180234442A1 (en) | 2018-08-16 |
| US11233810B2 (en) | 2022-01-25 |
| ZA201904963B (en) | 2020-11-25 |
| WO2018148657A1 (en) | 2018-08-16 |
| AU2018219369B2 (en) | 2022-01-06 |
| US20200092318A1 (en) | 2020-03-19 |
| IL268231A (en) | 2019-09-26 |
| BR112019014366A2 (pt) | 2020-02-27 |
| AU2018219369A1 (en) | 2019-07-25 |
| EP3552138A1 (en) | 2019-10-16 |
| JP2020509478A (ja) | 2020-03-26 |
| CL2019002189A1 (es) | 2019-12-27 |
| CN110366727B (zh) | 2023-09-19 |
| EP3552138B1 (en) | 2023-07-12 |
| RU2019127797A3 (zh) | 2021-07-05 |
| RU2768562C2 (ru) | 2022-03-24 |
| US10491616B2 (en) | 2019-11-26 |
| SG11201907140UA (en) | 2019-09-27 |
| IL268231B (en) | 2022-05-01 |
| MX2019009505A (es) | 2019-10-02 |
| NZ755115A (en) | 2023-06-30 |
| RU2019127797A (ru) | 2021-03-15 |
| CO2019008341A2 (es) | 2019-08-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110366727A (zh) | 用于受损范围识别的多信号分析 | |
| CN110383789A (zh) | 对可疑的出站业务的接近实时的检测 | |
| US10679135B2 (en) | Periodicity analysis on heterogeneous logs | |
| CN104102687B (zh) | 加密网络隧道内的Web业务的标识和分类的方法和系统 | |
| CN105556526B (zh) | 提供分层威胁智能的非暂时性机器可读介质、系统和方法 | |
| Le et al. | Exploring anomalous behaviour detection and classification for insider threat identification | |
| CN104750768B (zh) | 用于从社交媒体中识别、监控和排名事件的方法和系统 | |
| WO2016097998A1 (en) | System for and method for detection of insider threats | |
| US11159564B2 (en) | Detecting zero-day attacks with unknown signatures via mining correlation in behavioral change of entities over time | |
| Shezan et al. | Read between the lines: An empirical measurement of sensitive applications of voice personal assistant systems | |
| US20240244063A1 (en) | Proactive suspicious activity monitoring for a software application framework | |
| CN109804602A (zh) | 联系人可用性预测 | |
| US10291483B2 (en) | Entity embedding-based anomaly detection for heterogeneous categorical events | |
| Oppenheimer | How the process of discovering cyberattacks biases our understanding of cybersecurity | |
| CN115801366A (zh) | 攻击检测的方法、装置、电子设备及计算机可读存储介质 | |
| CN110392064A (zh) | 风险识别方法、装置、计算设备以及计算机可读存储介质 | |
| US11763033B2 (en) | Leveraging entity dark web chatter using slope of vendor identifier appearances as a search proxy | |
| US20220215118A1 (en) | Leveraging entity dark web chatter using vendor population as a search proxy | |
| US20240323227A1 (en) | Systems and methods for blocking spoofed communications with identity mapping to safeguard recipient privacy and prevent fraud | |
| Heya et al. | Secure Audio Classification for Voice Assistants: A Multi-Party Homomorphic Approach | |
| Zou et al. | Research on Situation Awareness of Universities’ Network Information Security in the Big Data Environment | |
| CN118014632A (zh) | 一种针对宽带倒卖风险行为的预测方法和装置 | |
| CN117495325A (zh) | 一种邮件泄密的预测方法、装置、存储介质及电子设备 | |
| Kumar | Advances in intrusion detection systems with applications to data mining |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40015206 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |