CN110383789A - 对可疑的出站业务的接近实时的检测 - Google Patents

对可疑的出站业务的接近实时的检测 Download PDF

Info

Publication number
CN110383789A
CN110383789A CN201880011161.7A CN201880011161A CN110383789A CN 110383789 A CN110383789 A CN 110383789A CN 201880011161 A CN201880011161 A CN 201880011161A CN 110383789 A CN110383789 A CN 110383789A
Authority
CN
China
Prior art keywords
feature
score
accident
data
abnormality score
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201880011161.7A
Other languages
English (en)
Other versions
CN110383789B (zh
Inventor
骆鹏程
R·H·布里格斯
B·R·杰弗里
M·迪普拉西多
N·艾哈迈德
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Technology Licensing LLC
Original Assignee
Microsoft Technology Licensing LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Technology Licensing LLC filed Critical Microsoft Technology Licensing LLC
Publication of CN110383789A publication Critical patent/CN110383789A/zh
Application granted granted Critical
Publication of CN110383789B publication Critical patent/CN110383789B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)

Abstract

更快且更准确地检测计算机网络中的突发的异常行为允许网络针对恶意方的安全性得到改进。为了检测异常行为,将检查来自网络中多个设备和过程的出站业务,以识别与很少执行的过程相关联的很少与之通信的目的地。当随着时间的推移,网络越来越频繁地使用给定的目的地和过程,与该目的地和过程相关的可疑程度就会降低,这是因为当大量设备正常操作时并且不受恶意方控制时,预期它们表现相同。分析人员接近实时地被警报至与被认为最可疑的活动相关联的目的地。

Description

对可疑的出站业务的接近实时的检测
背景技术
计算机网络受到来自恶意方的几乎不断的攻击。一旦这些恶意方获得对网络的访问权,它们就将生成出于各种目的而向受威胁的网络之外进行通信的出站业务,例如当向命令和控制中心发送通信或者向该网络之外的另一设备泄漏数据时。对已知的命令和控制中心的通信可能被黑名单拦截(或者限于白名单的出站通信),但识别新的命令和控制中心是困难且耗时的,这允许恶意方无束缚地访问网络中的受威胁的设备直到利用或入侵被识别,因此其出站目的地可以添加至黑名单为止。
发明内容
提供了该发明内容以用简化形式引入对在以下的具体实施方式中进一步描述的概念的选择。该发明内容不旨在标识所要求保护的主题的关键特征或必要特征,也不旨在用来限制所要求保护的主题的范围。
在本文中提供了对用于对可疑的出站业务的接近实时的检测的处理器可执行指令进行实施的系统、方法、和计算机可读存储设备。网络流和过程信号是从在线服务内的设备收集的,该在线服务内的设备连接至在线服务外的设备的以识别异常的出站业务。个体的连接和目的地相对于它们在管线中的异常程度而被评分。在不使用黑名单的情况下,突发的异常行为被检测,并且接近实时地引起在线服务的安全分析人员的注意。另外地,突发的异常行为与广泛存在的行为是有差别的,因此降低了与在检测恶意出站业务时处理假阳性相关联的用户疲劳的普遍性。
示例被实现为计算机过程、计算系统、或者作为制品,例如设备、计算机程序产品、或计算机可读介质。根据一个方面,所述计算机程序产品是由计算机系统可读并且对包括用于执行计算机过程的指令进行编码的计算机存储介质。
在附图和以下的描述中阐述了一个或多个方面的细节。通过对以下的详细描述的阅读以及对相关联的附图的浏览,其他的特征和优点将是显而易见的。应当理解的是,以下的详细描述对权利要求仅仅是解释性的而非限制性的。
附图说明
被并入该公开并且构成该公开的一部分的附图示出了各种方面。在附图中:
图1示出了在其中可以实践本公开的示例环境;
图2是流程图,其示出了在用于检测计算机网络中的突发的异常行为的示例方法中所涉及的一般阶段。
图3是示出了计算设备的示例物理组件的框图;以及
图4是移动计算设备的框图。
具体实施方式
以下的详细描述对附图进行了参考。在可能的情况下,在附图和以下的描述中使用相同的附图标记来指代相同或类似的元素。尽管描述了多个示例,但修改、改编、和其他实现是可能的。例如,可以对在附图中所示出的元素进行替代、增加、或修改,并且可以通过对所公开的方法进行替代、重排序、或者增加步骤来修改在本文中所描述的方法。由此,以下详细描述是非限制性的,但替代地,合适的范围是由所附权利要求定义的。示例可以采取硬件实现的形式、或者完全软件实现的形式、或者结合了软件和硬件方面的实现的形式。因此,以下的详细描述不被理解为是限制性意义。
当计算机网络中出现异常行为时对该异常行为的检测允许网络更快且更高效地免受恶意方的危害,因此解决了以网络安全性的计算机中心化问题,并且改进网络内的设备的功能。为了检测异常行为,跨网络中的几个设备和过程来检查出站业务,以识别与很少执行的过程相关联的很少与之通信的目的地,并且接近实时地向分析人员发出对与被认为最可疑的活动相关联的设备的警报。当在网络中观察到突发的异常行为时,受影响的设备可以被隔离,被观察以了解关于恶意方的更多信息,或者被修复以恢复正常功能。当随着时间的推移,网络越来越频繁地使用给定的目的地和过程时,与该目的地和过程相关联的可疑等级被降低,这是因为当大量设备正常操作时(即,当他们不受恶意方控制时),预期它们表现相同。
在本公开中给出的示例可以指用于表示给定动作有多“可疑”的值,其指示特定动作是恶意的确定的可能性。尽管在本公开中,较可疑的动作的值通常被描述为“高”于较不可疑的动作的值,但本领域技术人员将理解的是,在其他方面中,可以使用可疑性值的相反极性,其中,“较低的”值被认为更可疑。
图1图示了其中可以实践本公开的示例环境100。在线服务110由多个源设备105(例如,第一源设备105a、第二源设备105b、…、第n源设备105n)组成,所述源设备105与在线服务110外部的各种目的地设备115(例如,第一目的地设备115a、第二个目的地设备115b、…、第n目的地设备115n)进行通信。与出站通信相关的网络跟踪信息和过程事件信息被提供至检测模型120,该检测模型120基于对目的地设备115的滚动窗口分析以及在线服务110的过程来对所述出站通信进行评分。所述分数被组合和聚合以用作聚合的异常分数(被存储在聚合的异常分数缓存130中),所述聚合的异常分数由检测模型120在分析未来的出站通信时被使用,并且作为安全事故(被存储在安全事故缓存140中)被提供以供一个或多个分析人员用户使用。在各种方面中,检测模型120、聚合的异常分数缓存130、和安全事件缓存140被统称为异常检测系统150。
源设备105、在线服务110、目的地设备115、和异常检测系统150示出了许多计算系统,其包括但不限于:台式计算机系统、有线和无线计算系统、移动计算系统(例如,移动电话、上网本、平板或板式计算机、笔记本计算机、和膝上型计算机)、手持式设备、多处理器系统、基于微处理器或可编程的消费型电子产品、小型计算机、打印机、和大型计算机。关于图3-图4B详细讨论了这些计算系统的硬件。
尽管源设备105、在线服务110、目的地设备115、和异常检测系统150出于说明的目的而被彼此远离地被示出,但应当注意的是,这些设备中的一个或多个设备本地托管至所示出的另一个设备的几个配置是可能的,并且每个所示出的设备可以表示该设备的多个实例。在图1中所示出的组件系统之间可以存在本领域技术人员熟悉的各种服务器和中介,以路由这些系统之间的通信,它们没有被示出以便不分散对本公开的新颖方面的注意力。
在线服务110表示计算源设备105的网络化集合(例如,云数据中心),其为各种用户提供“云”服务,所述云服务包括但不限于:基础设施即服务(IaaS),其中,用户提供了在在线服务110的源设备105上运行的操作系统和软件;平台即服务(PaaS),其中,用户提供软件,而在线服务110提供操作系统和源设备105;或者软件即服务(SaaS),其中,在线服务110运行操作系统和被提供给用户的软件两者。试图访问在线服务110的用户可以是合法用户或者恶意方,所述恶意方利用安全性漏洞入侵在线服务110以在没有合法授权的情况下运行未经授权的过程和/或从在线服务110获取数据。
为了让恶意方利用未经授权的访问,在线服务110中的受威胁的源设备105将生成定向到各个目的地设备115的出站消息。目的地设备115可以经由将通信向其路由的Internet协议(IP)地址、域名(其可以与域名系统(DNS)相结合地使用以产生IP地址)、或其他寻址方案而被标识。当检测到去往目的地设备115的出站信号时,将生成连接事件以供检测模型120消费。所述连接包括来自网络跟踪的事件信息,以及与源设备105和在出站通信时在源设备105上运行的过程相关的信息。例如,连接事件可以包括但不限于:源设备105的标识符、源设备105的类型或角色、源设备105的用户、生成出站通信的过程、生成出站通信的时间、目的地设备105的IP地址、目的地设备115的端口、目的地设备115的主机、出站通信的协议、出站通信的字节大小,等等。
检测模型120接收事件信息,并且概率性地确定该事件是否表示在线服务110的异常行为。由于在线服务110可以包含参与出站通信的大量机器,因此预期在正常运行过程中从这些大量机器中看到类似的行为,而不同的或一次性的行为(即非正常或异常行为)因此值得更大的关注,以确定所述异常行为本质上是恶意的还是良性的(尽管不常见)。
检测模型120检查各种特征对的概率以确定事件是否是异常的。事件在给定观察到特征B的情况下包括特征A的概率被用于基于其被观察到的频率来为每个事件类型生成异常性分数。在各种方面中,使用阈值过滤器来从检查中排除非常低频率的事件(至少暂时地),以使得不对它们的概率进行不准确的估计。在一个示例中,新近的事件被“去抖(debounced)”,以使得如果观察到随着时间的推移将最终变得更加常见的事件类型的第一事件(在第一时间来自第一源设备105a),则在检查第一事件之前给另外的源设备105更多时间来产生类似的事件。在第二示例中,为建模的概率设置了群体(population)阈值,以使得如果事件的群体太小而无法提供可靠的结果,则分配零的概率。在第三示例中,为建模的概率设置了子群体阈值,以使得如果事件的子群体(例如,共享给定的特征对的那些事件)太小而无法在估计该子群体的概率时提供可靠的结果,则分配零的概率。
检测模型120检查的特征对的示例包括但不限于:目的地设备115与生成出站通信的过程、所述过程与源设备105的角色、目的地主机与源设备105的角色、目的地主机与所述过程、以及目的地主机与源设备105的角色。
在上述示例中,从其生成出站通信的源设备105的角色定义了源设备105在在线服务110内的类型和功能(例如,目录服务器、客户端应用前端服务器)。在各种方面中,生成出站通信的过程可以是请求出站通信、用户/程序对、或者代表用户处理请求的源设备105的服务的程序或子应用。
包括特征“目的地主机”的特征对将经由反向DNS查找而将出站通信的目的地IP地址解析成主机名。在IP地址解析成多个目的地主机(例如,IP地址aaa.bbb.ccc.ddd可以解析成www.example.com、mail.example.com、cloud.example.com等)的方面中,基于先前的配对而具有最高概率的目的地主机将被选择为目的地主机。例如,如果主机A和主机B是经由针对与特征X的组合的反向DNS查询而被返回的域主机,则将检查针对[主机A|X]和[主机B|X]的概率,并且来自如由检测模型120所确定的具有较高概率的特征对的主机名将选择其目的地主机。
由检测模型120所生成的异常分数是从事件的所有被检查的特征对的概率分数生成的。例如,从给定事件中看到特征对或者[A|B]、[B|C]、[B|D]和[D|A]的概率被组合以产生给定事件的异常分数。在各种方面中,向组合的概率应用S形挤压函数(sigmoidsquashing function),以确保异常分数的有界范围。
异常分数根据目的地设备115(例如,按IP地址、主机标识符、或MAC地址)而被聚合,以供之后分析以及更新检测模型120。聚合的异常分数被缓存在聚合的异常分数缓存130中的数据库或列表结构中。在各种方面中,将聚合的异常分数反馈到检测模型120中,以基于先前看到的行为(即,在线服务110中的行为的历史“传播性”)来对异常进行确定,并且根据最近观察到的行为来更新检测模型120。在一些方面中,在聚合的异常分数缓存130中聚合的异常分数被存储,并且根据滚动的时间窗口定期超期到存储之外,以便从聚合的分数的考虑中移除较旧的观察。
使用第二组特性(例如,传播特征)来检查聚合的异常分数,从而确定提高哪一项以供安全分析人员或其他管理用户进行分析。传播特征包括以下中的一个或多个:用于连接至给定目的地IP地址的独特端口的数量、与给定目的地IP地址进行通信的独特源设备105的数量,以及与给定目的地IP地址进行通信的独特过程的数量。
所述传播特征根据各种公式与针对已知IP地址的观察到的最大的聚合的异常分数进行组合以提供事故分数,将该事故分数与事故阈值进行比较以确定当事件分数满足事故阈值时是否对该行为进行检查。该公式按照以下方式被设置:当一个行为变得更加普遍时,事故分数较不可能满足事故分数。较高的观察到的最大的聚合的异常分数支持满足事故阈值,而较高的传播特征分数则抑制满足事故阈值。在各种方面中,事故阈值是事故分数要满足的预先设置的值,而在其他方面中,其是百分数值,这使得至少有n%的观察到的事件将满足事故分数。
从安全事件缓存140中将被确定为满足事故阈值的行为作为安全事件的各种警报而提供给安全分析人员。安全事件被存储在安全事件缓存140中的数据库或列表结构中,以供分析人员和其他管理用户进行分析和修复。在各种方面中,警报被生成并且被发送给分析人员,以详细说明为什么将给定的行为分类为安全事件,影响在线服务110中的机器和过程、目的地设备115等。警报可以被发送至SIEM(安全信息和事件管理)系统(作为应用程序消息)、电子邮件帐户(作为电子邮件)、蜂窝电话(作为文本或多媒体消息)、寻呼机(作为寻呼)等。警报以接近实时的方式(例如,考虑处理和传输时间)被提供至出站通信,所述出站通信是被观察的行为的一部分。
可以响应于以下操作而从存储设备中清除安全事故:生成警报以及分析人员确认/接受警报、分析人员针对相关联的行为采取修复步骤、分析人员指示该安全事故是假阳性(即,该行为是良性的但是被提升了)、检测模型120记录了该行为在一段时间内变得更加常见、或者该行为在一段时间内没有再次被看见并且安全事故过期。
图2是流程图,其示出了在用于检测计算机网络(例如,在线服务110)中的突发的异常行为的示例方法200中所涉及的一般阶段。方法200以操作210开始,其中,识别出站通信。在各种方面中,分组嗅探器(sniffer)可以基于目的地字段中的IP地址不与关联于源设备105的IP地址相关联而将入站通信和内部通信与出站通信区分开来。在其他方面中,出站通信在离开计算机网络之前被路由通过组件或系统(例如,防火墙),并且由异常检测系统150镜像以供识别或收集。
进行至操作220,方法200收集事件数据,所述事件数据包括与在源设备105上生成出站通信的过程相关的信息,以及通信信号的跟踪数据。所述过程数据包括但不限于以下中的一个或多个:源设备105的用户的标识符、源设备的角色、源设备105的名称或其他标识符、源设备105的活动过程的标识符、以及与源设备105相关并且发起出站通信的其他信息。所述跟踪数据包括但不限于以下中的一个或多个:出站通信的传输时间、目的地设备115的IP地址、出站通信指向其的目的地设备115上的端口、源设备105的标识符、以及与出站通信相关的其他信息。
在操作230处,事件信息被馈送到检测模型120中以计算出站通信的异常分数。将来自先前观察到的出站通信的群体的特征与当前的出站通信的特征对比使用,以确定在当前的出站通信中看到给定的特征对的概率。被检查的群体可以被定义为与当前的出站通信共享给定的特征的先前观察到的出站通信,以确定该群体中有多少百分比也与该出站通信共享第二特征。例如,在当前的出站通信包括特征A、B、和C时,包括特征A、B或C的先前观察到的出站通信的群体可以被检查以确定多少百分比具有与当前的出站通信共享的另外的特征(例如,n%的群体[A]也包括特征[B])。如将理解的是,可以基于另外的特征将群体分成多个子群体(例如,群体[A]包括子群体[A,C])以供进一步分析。
方法200进行至操作240,其中,将所述出站通信的异常分数与指向同一目的地设备115(例如,基于IP地址)的其他出站通信的异常分数相聚合。聚合的异常分数将指向同一设备的多个出站信号的异常分数和特征分组在一起。在一些方面中,先前观察到的异常分数和相关联的事件数据被存储在滚动时间窗口中,以使得较早的事件及其分数超期在滚动窗口之外。将这些分数和各种事件的群体被馈送到检测模型120中以更新和发展出在线服务110中频繁出现的行为的视图,以使得可以识别异常行为。滚动窗口允许检测模型120使用在从当前时间开始的设定时间段内发生的事件来通知其对在线服务110中当前观察到的事件和行为的观点。
在操作250处,计算出站通信的行为的事故分数。所述事故分数是以先前聚合的异常分数和之前的事件数据为基础来计算的,以使得与给定的目的地设备115进行通信的最高的聚合的异常分数被用作基线并且由与出站通信相关的行为的各种传播性(spreadness)特征来修改,从而指示给定的行为针对计算机网络的有多普遍。由于大量设备预期在正常操作时类似地表现,并且在受到恶意方控制时行为异常,因此传播性特征的较大值与传播性特征的较小值相比,将更强地抑制事故分数满足事故阈值。
从之前的事件数据中识别的传播性特征的示例包括但不限于:观察到与目的地设备115进行通信的端口的数量、观察到与目的地设备115进行通信的独特的设备105的数量、以及观察到与目的地设备115进行通信的独特过程的数量。在一个方面中,被提升至传播因子的负指数的常数(例如,e-(传播因子))被加到最高的聚合的异常分数上,以使得随着传播因子的值的增加(指示更加普遍的行为),其对事故分数的影响降低。
接着,方法200进行至操作260,其中,将在操作250中计算的事故分数与事故阈值进行比较。当事故分数满足事故阈值时,警报针对出站通信的行为被生成并且被提供给分析人员或其他管理用户。在各种方面中,所述警报作为文本消息(短消息服务或多媒体消息服务)、电子邮件消息、页面、SIEM应用中的应用消息、或者以其他格式被发送。接着,方法200可以结束,或者接近实时地将与出站通信相关联的行为继续识别和分类为异常或正常。
尽管已经于结合在计算机的操作系统上运行的应用程序而执行的程序模块的一般性的上下文中描述了实现,但本领域技术人将理解的是,也可以结合其他程序模块来实现多个方面。通常而言,程序模块包括例程、程序、组件、数据结构、以及执行特定任务或实现特定抽象数据类型的其他类型的结构。大量设备被期待在正确地操作时表现相同,并且不受恶意方的控制。
在本文中所描述的方面和功能可以经由多种计算系统来操作,所述多种计算系统包括但不限于:台式计算机系统、有线和无线计算系统、移动计算系统(例如,移动电话、上网本、平板或板式计算机、笔记本计算机、以及膝上型计算机)、手持式设备、多处理器系统、基于微处理器的或可编程的消费型电子产品、小型计算机、以及大型计算机。
另外,根据一个方面,在本文中所描述的方面和功能在分布式系统(例如,基于云的计算系统)上操作,其中应用功能、存储器、数据存储和获取、以及各种处理功能可以通过分布式计算网络(例如,互联网或内联网)彼此远程地进行操作。根据一个方面,可以经由板载计算设备显示器或者经由与一个或多个计算设备相关联的远程显示单元来显示各种类型的用户界面和信息。例如,各种类型的用户界面和信息是在各种类型的用户界面和信息所投射到的墙面上显示的并且在这样的墙面进行交互。与实现利用其实践的多种计算系统的交互包括:键击输入、触摸屏输入、语音或其他音频输入、手势输入,其中相关联的计算设备装备有用于捕获和解译用户手势的检测(例如,相机)功能,以用于控制计算设备的功能等。
图3-4B和相关联的描述提供了对示例可以在其中实践的多种操作环境的讨论。然而,参考图3-4B示出和讨论的设备和系统是出于示例和说明的目的,并且不对用于实践在本文中所描述的方面的大量计算设备配置进行限制。
图3是示出了利用其可以实践本公开的示例的计算设备300的物理组件(即,硬件)的框图。在基本配置中,计算设备300包括至少一个处理单元302和系统存储器304。根据一个方面,取决于计算设备的配置和类型,系统存储器304包括但不限于易失性存储单元(例如,随机存取存储器)、非易失性存储单元(例如,只读存储器)、闪速存储器、或者这样的存储器的任何组合。根据一个方面,系统存储器304包括操作系统305以及适合于运行软件应用350的一个或多个程序模块306。根据一个方面,系统存储器304包括异常检测系统150。例如,操作系统305可以适合于控制计算设备300的操作。此外,多个方面可以结合图形库、其他操作系统、或任何其他应用程序来实践,并且不限于任何特定的应用或系统。在图3中由虚线308内的那些组件示出了该基本配置。根据一个方面,计算设备300可以具有另外的特征或功能。例如,根据一个方面,计算设备300包括另外的(可移动的和/或不可移动的)数据存储设备,例如磁盘、光盘、或磁带。在图3中由可移动存储设备309和不可移动存储设备310示出了这样另外的存储单元。
如在上文中所述,根据一个方面,可以将多个程序模块和数据文件存储在系统存储器304中。当在处理单元302上执行时,程序模块306(例如,异常检测系统150)执行过程,包括但不限于在图2中分别示出的方法200的阶段中的一个或多个。根据一个方面,其他程序模块是根据示例使用的,并且包括以下应用,例如电子邮件和联系人应用、文字处理应用、电子表格应用、数据库应用、幻灯片演示应用、绘图或计算机辅助应用程序等。
根据一个方面,计算设备300具有一个或多个输入设备312,例如键盘、鼠标、笔、声音输入设备、触摸输入设备等。根据一个方面,还包括诸如显示器、扬声器、打印机等之类的输出设备314。前述设备是示例,并且可以使用其他设备。根据一个方面,计算设备300包括允许与其他计算设备318的通信的一个或多个通信连接316。合适的通信连接316的示例包括但不限于射频(RF)发射机、接收机、和/或收发机电路;通用串行总线(USB)、并行、和/或串行端口。
如在本文中所用的术语计算机可读介质包括计算机存储介质。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块之类的信息的任何方法或技术来实现的易失性和非易失性、可移动和不可移动的介质。系统存储器304、可移动存储设备309、和不可移动存储设备310全都是计算机存储介质的示例(即,存储器存储单元)。根据一个方面,计算机存储介质包括:RAM、ROM、电可擦除可编程只读存储器(EEPROM)、闪速存储器或其他存储器技术、CD-ROM、数字通用盘(DVD)或其他光存储、盒式磁带、磁带、磁盘存储器或其他磁存储设备、或者可以用于存储信息并且可以由计算设备300访问的任何其他制品。根据一个方面,任何这样的计算机存储介质都是计算设备300的一部分。计算机存储介质不包括载波或其他传播的数据信号。
根据一个方面,通信介质是由计算机可读指令、数据结构、程序模块、或者经调制的数据信号(例如,载波或其他传输机制)中的其他数据来实施的,并且包括任何信息传递介质。根据一个方面,术语“经调制的数据信号”描述具有以关于将信息在信号中进行编码的方式设置或改变的一个或多个特性的信号。作为示例而非限制,通信介质包括有线介质(例如,有线网络或直接有线连接)以及无线介质(例如,声学、射频(RF)、红外、和其他无线介质)。
图4A和4B示出了利用其可以实践多个方面的移动计算设备400,例如,移动电话、智能电话、平板个人计算机、膝上型计算机等。参考图4A,示出了用于实现多个方面的移动计算设备400的示例。在基本配置中,移动计算设备400是具有输入元件和输出元件两者的手持式计算机。移动计算设备400通常包括显示器405以及允许用户向移动计算设备400中输入信息的一个或多个输入按钮410。根据一个方面,移动计算设备400的显示器405充当输入设备(例如,触摸屏显示器)。如果被包括在内,则可选的侧输入元件415允许进一步的用户输入。根据一个方面,侧输入元件415是旋转开关、按钮、或任何其他类型的手动输入元件。在可替代的示例中,移动计算设备400包含更多或更少的输入元件。例如,在一些示例中,显示器405可以不是触摸屏。在可替代的示例中,移动计算设备400是便携式电话系统,例如蜂窝电话。根据一个方面,移动计算设备400包括可选的小键盘435。根据一个方面,可选的小键盘435是物理小键盘。根据另一方面,可选的小键盘435是在触摸屏显示器上生成的“软”小键盘。在各种方面中,输出元件包括用于示出图形用户界面(GUI)的显示器405、视觉指示器420(例如,发光二极管)、和/或音频换能器425(例如,扬声器)。在一些示例中,移动计算设备400包含用于给用户提供触觉反馈的振动换能器。在另一个示例中,移动计算设备400包含用于向外部设备发送信号或者从外部设备接收信号的输入和/或输出端口,例如音频输入(例如,麦克风插孔)、音频输出(例如,耳机插孔)、和视频输出(例如,HDMI端口)。在另一个示例中,移动计算设备400包含用于向外部设备发送信号或者从外部设备接收信号的外围设备端口440,例如音频输入(例如,麦克风插孔)、音频输出(例如,耳机插孔)、和视频输出(例如,HDMI端口)。
图4B是示出了移动计算设备的一个方面的架构的框图。也就是说,移动计算设备400包含用于实现一些示例的系统(即,架构)402。在一个示例中,系统402被实现为能够运行一个或多个应用(例如,浏览器、电子邮件、日历、联系人管理器、消息传送客户端、游戏、和媒体客户端/播放器)的“智能电话”。在一些示例中,系统402被集成为计算设备,例如集成的个人数字助理(PDA)和无线电话。
根据一个方面,一个或多个应用程序450被加载到存储器462中并且在操作系统464上运行或者与操作系统464相关联地运行。应用程序的示例包括电话拨号器程序、电子邮件程序、个人信息管理(PIM)程序、文字处理程序、电子表格程序、互联网浏览器程序、消息传送程序等。根据一个方面,异常检测系统150被加载到存储器462中。系统402还包括存储器462内的非易失性存储区域468。非易失性存储区域468用于存储如果系统402断电而不应丢失的持续信息。应用450可以在非易失性存储区域468中使用并存储信息,例如电子邮件或者由电子邮件应用使用的其他消息等。同步应用(未示出)也驻留在系统402上,并且被编程为与驻留在主计算机上的对应的同步应用进行交互,从而将存储在非易失性存储区域468中的信息与存储在主计算机上的对应的信息保持同步。应当理解的是,其他应用可以被加载到存储器462中并且在移动计算设备400上运行。
根据一个方面,系统402具有电源470,其被实现为一个或多个电池。根据一个方面,电源470还包括外部电源,例如AC适配器或给电池供电或充电的加电对接托架。
根据一个方面,系统402包括执行发送和接收无线电频率通信的功能的无线电设备472。无线电设备472经由通信载波或服务提供商来促成系统402与“外部世界”之间的无线连通性。去往或来自无线电设备472的传输是在操作系统464的控制下进行的。换句话说,可以将由无线电设备472所接收的通信经由操作系统464散播至应用程序450,并且反之亦然。
根据一个方面,视觉指示器420用于提供视觉通知,和/或音频接口474用于经由音频换能器425产生可听见的通知。在图示的示例中,视觉指示器420是发光二极管(LED),而音频换能器425是扬声器。这些设备可以直接地耦合至电源470,以便当被激活时,即使处理器460和其他组件可以关闭以节省电池电量,这些设备也能保持通电并持续由通知机制所指示的一段时间。LED可以被编程为无限期地保持通电,直到用户采取动作来指示设备的通电状态为止。音频接口474用于向用户提供可听见的信号并从用户接收可听见的信号。例如,除了耦合到音频换能器425之外,音频接口474还可以被耦合至麦克风以接收可听见的输入,例如,以促进电话会话。根据一个方面,系统402还包括视频接口476,其使得板载相机430的操作能够记录静止图像、视频流等。
根据一个方面,实现系统402的移动计算设备400具有另外的特征或功能。例如,移动计算设备400包括(可移动的和/或不可移动的)另外的数据存储设备,例如磁盘、光盘、或磁带。在图4B中由非易失性存储区域468示出了这样另外的存储设备。
根据一个方面,如在上文中所描述的,将由移动计算设备400所生成或捕获的以及经由系统402所存储的数据/信息本地地存储在移动计算设备400上。根据另一方面,将数据存储在可以经由无线电设备472或经由移动计算设备400和与移动计算设备400相关联的单独的计算设备(例如,分布式计算网络(例如,互联网)中的服务器计算机)之间的有线连接由设备来访问的任何数量的存储介质上。应当理解的是,可以经由移动计算设备400、经由无线电设备472、或经由分布式计算网络来访问这样的数据/信息。类似地,根据一个方面,根据公知的数据/信息传输和存储方式(包括电子邮件和协同数据/信息共享系统),这样的数据/信息可以容易地在计算设备之间传输以供存储和使用。
例如,在上文中参考方法、系统、和计算机程序产品的框图和/或操作图而描述了根据多个方面的实现。在方框中所记录的功能/操作可以以不同于在任何流程图中所示出的顺序来进行。例如,取决于所涉及的功能/操作,连续地示出的两个方框可以实际大体上同时执行,或者方框可以有时以相反的顺序执行。
在该申请中所提供的一个或多个示例的描述和说明不旨在以任何方式限制或约束所要求保护的范围。在该公开中所提供的方面、示例、和细节被认为足以传达所有权,并且使得本领域技术人能够制造并使用最优模式。实现不应该被解释为限于在该申请中所提供的任何方面、示例、或细节。无论是组合地还是单独地示出和描述,(结构上和方法上两者的)各种特征旨在被择性地包括或省略,以产生具有特定组的特征的示例。在已经提供了本申请的描述和说明之后,本领域技术人可以预想落入在该申请中所实施的一般的发明概念的更宽泛的方面的精神内的变型、修改和替代示例,而不脱离更宽泛的范围。

Claims (15)

1.一种用于检测计算机网络中的突发的异常行为的方法,包括:
识别从所述计算机网络的源设备去往所述计算机网络外部的目的地设备的出站通信;
作为事件数据,收集来自所述出站通信的跟踪数据以及来自所述源设备的过程数据;
基于所述跟踪数据和所述过程数据来计算所述出站通信的异常分数;
将所述出站通信的所述异常分数与来自去往所述目的地设备的先前的出站通信的先前的异常分数进行聚合,以产生围绕所述出站通信的行为的聚合的异常分数;
基于所述行为在所述计算机网络内有多普遍来与所述行为的所述聚合的异常分数相关联地计算事故分数;
将所述事故分数与事故阈值进行比较;以及
响应于所述事故分数满足所述事故阈值,提供与所述出站通信相关的安全警报。
2.根据权利要求1所述的方法,其中,所述安全警报是与所述出站通信接近实时地被提供的。
3.根据权利要求1所述的方法,其中,所述安全警报是在安全信息和事件管理(SIEM)应用中被提供的。
4.根据权利要求1所述的方法,其中,计算所述异常分数还包括:
从所述跟踪数据和所述过程数据中选择至少两个特征对,每个特征对包括第一特征和第二特征;
针对每个特征对,基于所述先前的出站通信来确定当所述第二特征在所述出站通信中出现时看到所述第一特征的概率;以及
聚合针对每个特征对所确定的所述概率以产生所述异常分数。
5.根据权利要求4所述的方法,其中,所述第一特征和所述第二特征包括以下中的至少一个:
生成所述出站通信的过程;
所述目的地设备的互联网协议地址;
所述目的地设备的主机;或者
所述源设备在所述计算机网络中的角色。
6.根据权利要求1所述的方法,其中,计算所述事故分数还包括:
存储先前聚合的异常分数以及之前的事件数据;
针对所述目的地设备从所述先前聚合的异常分数来确定最高的聚合的异常分数;
从所述之前的事件数据识别传播性特征,所述传播性特征包括以下中的至少一个:
观察到与所述目的地设备进行通信的独特端口的数量;
观察到与所述目的地设备进行通信的独特源设备的数量;以及
观察到与所述目的地设备进行通信的独特过程的数量;以及
将所述传播性特征与针对所述给定的目的地设备的所述最高的聚合的异常分数进行组合以产生所述事故分数,以使得所述传播性特征的较高的值抑制所述事故分数满足所述事故阈值。
7.根据权利要求6所述的方法,其中,所述先前聚合的异常分数和所述之前的事件数据被存储在滚动时间窗口中,其中,基于与所述先前聚合的异常分数和所述之前的事件数据被观察到的时间相比的当前时间和定义所述滚动时间窗口的最早时间,所述先前聚合的异常分数和所述之前的事件数据被超期在所述滚动窗口之外。
8.根据权利要求1所述的方法,其中,所述事故阈值是百分数,以使得所观察到的行为的与所述百分数相对应的部分被报告为安全事故。
9.根据权利要求1所述的方法,其中,所述跟踪数据包括:
所述出站通信的传输时间;
所述目的地设备的互联网协议地址;
所述目的地设备的主机信息;
所述出站通信所指向的所述目的地设备的端口;以及
所述源设备的标识符。
10.一种用于检测在线服务中的突发的异常行为的系统,包括处理器以及包括指令的存储器存储设备,所述指令当由所述处理器执行时,提供:
检测模型,其被配置为:
从所述在线服务接收与出站信号相关的事件信息;
基于与先前观察到的特征对相比的所述事件信息中的特征对来确定所述出站信号针对所述在线服务是否是异常的概率;以及
基于所述概率来产生异常分数;
聚合的异常分数缓存,其被配置为:
聚合寻址到共享的目的地的多个出站信号的异常分数;并且
基于聚合的异常分数来更新所述检测模型;以及
安全事故缓存,其被配置为:
针对所述在线服务中的给定行为,确定所述聚合的异常分数缓存中的最大的聚合的异常分数;
识别所述给定行为的传播性特征;
将所述最大的聚合的异常分数与所述传播性特征进行组合以产生所述给定行为的事故分数;
将所述事故分数与事故阈值进行比较;以及
响应于所述事故分数满足所述事故阈值,提供与所述出站通信相关的警报。
11.根据权利要求10所述的系统,其中,用于基于与所述先前观察到的特征对相比的所述事件信息中的所述特征对来确定所述出站信号针对所述在线服务是否是异常的所述概率的所述检测模型还被配置为:
识别所述先前观察到的特征对中包括针对所述出站信号所观察到的第一特征的群体;以及
识别所述群体中包括针对所述出站信号所观察到的第二特征的先前观察到的特征对的数量。
12.根据权利要求11所述的系统,其中,响应于所述群体中的所述先前观察到的特征对的数量落到群体阈值以下,将所述概率设置为零。
13.根据权利要求11所述的系统,其中,响应于所述出站信号定义了所述群体的第一成员,对所述出站信号进行去抖。
14.根据权利要求10所述的系统,其中,所述传播性特征指示所述给定行为针对所述在线服务有多普遍,并且当与所述最大的聚合的异常分数相结合时,所述传播性特征的较大值与传播性特征的较小值相比更多地抑制所述事故分数满足所述事故阈值。
15.一种计算机可读存储设备,其包括用于检测计算机网络中的突发的异常行为的处理器可执行执令,所述处理器可执行指令包括:
识别从所述计算机网络的源设备去往所述计算机网络外部的目的地设备的出站通信;
作为事件数据,收集来自所述出站通信的跟踪数据以及来自所述源设备的过程数据;
基于所述跟踪数据和所述过程数据来计算所述出站通信的异常分数;
将所述出站通信的所述异常分数与来自去往所述目的地设备的先前的出站通信的先前的异常分数进行聚合,以产生围绕所述出站通信的行为的聚合的异常分数;
基于所述行为在所述计算机网络内有多普遍来与所述行为的所述聚合的异常分数相关联地计算事故分数;
将所述事故分数与事故阈值进行比较;以及
响应于所述事故分数满足所述事故阈值,提供与所述出站通信相关的安全警报。
CN201880011161.7A 2017-02-09 2018-02-02 对可疑的出站业务的接近实时的检测 Active CN110383789B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/428,810 US10992693B2 (en) 2017-02-09 2017-02-09 Near real-time detection of suspicious outbound traffic
US15/428,810 2017-02-09
PCT/US2018/016535 WO2018148104A1 (en) 2017-02-09 2018-02-02 Near real-time detection of suspicious outbound traffic

Publications (2)

Publication Number Publication Date
CN110383789A true CN110383789A (zh) 2019-10-25
CN110383789B CN110383789B (zh) 2022-01-07

Family

ID=61249712

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201880011161.7A Active CN110383789B (zh) 2017-02-09 2018-02-02 对可疑的出站业务的接近实时的检测

Country Status (4)

Country Link
US (1) US10992693B2 (zh)
EP (1) EP3552363B1 (zh)
CN (1) CN110383789B (zh)
WO (1) WO2018148104A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115004651A (zh) * 2020-01-09 2022-09-02 微软技术许可有限责任公司 基于相关性的网络安全

Families Citing this family (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10992693B2 (en) * 2017-02-09 2021-04-27 Microsoft Technology Licensing, Llc Near real-time detection of suspicious outbound traffic
US10476673B2 (en) 2017-03-22 2019-11-12 Extrahop Networks, Inc. Managing session secrets for continuous packet capture systems
US9967292B1 (en) 2017-10-25 2018-05-08 Extrahop Networks, Inc. Inline secret sharing
US11050780B2 (en) * 2017-12-06 2021-06-29 International Business Machines Corporation Methods and systems for managing security in computing networks
US10389574B1 (en) 2018-02-07 2019-08-20 Extrahop Networks, Inc. Ranking alerts based on network monitoring
US10270794B1 (en) 2018-02-09 2019-04-23 Extrahop Networks, Inc. Detection of denial of service attacks
US11146577B2 (en) * 2018-05-25 2021-10-12 Oracle International Corporation Methods, systems, and computer readable media for detecting and mitigating effects of abnormal behavior of a machine type communication (MTC) device
US10411978B1 (en) 2018-08-09 2019-09-10 Extrahop Networks, Inc. Correlating causes and effects associated with network activity
US10972508B1 (en) * 2018-11-30 2021-04-06 Juniper Networks, Inc. Generating a network security policy based on behavior detected after identification of malicious behavior
GB2581996B (en) * 2019-03-07 2021-10-20 F Secure Corp Method of threat detection in a computer network security system
US10965702B2 (en) * 2019-05-28 2021-03-30 Extrahop Networks, Inc. Detecting injection attacks using passive network monitoring
US11792210B2 (en) 2019-08-02 2023-10-17 Crowdstrike, Inc. Mapping unbounded incident scores to a fixed range
US11582246B2 (en) 2019-08-02 2023-02-14 Crowd Strike, Inc. Advanced incident scoring
US11516237B2 (en) 2019-08-02 2022-11-29 Crowdstrike, Inc. Visualization and control of remotely monitored hosts
US11588832B2 (en) 2019-08-02 2023-02-21 Crowdstrike, Inc. Malicious incident visualization
US11388072B2 (en) 2019-08-05 2022-07-12 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US10742530B1 (en) 2019-08-05 2020-08-11 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US10742677B1 (en) 2019-09-04 2020-08-11 Extrahop Networks, Inc. Automatic determination of user roles and asset types based on network monitoring
US11381955B2 (en) 2020-07-17 2022-07-05 Oracle International Corporation Methods, systems, and computer readable media for monitoring machine type communications (MTC) device related information
US11310256B2 (en) 2020-09-23 2022-04-19 Extrahop Networks, Inc. Monitoring encrypted network traffic
US11463466B2 (en) 2020-09-23 2022-10-04 Extrahop Networks, Inc. Monitoring encrypted network traffic
US20230027733A1 (en) * 2021-01-06 2023-01-26 ARETE SECURITY INC. dba DRUVSTAR Systems, devices, and methods for observing and/or performing data access compliance to a computer network
WO2022150513A1 (en) * 2021-01-06 2022-07-14 ARETE SECURITY INC. dba DRUVSTAR Systems, devices, and methods for observing and/or securing data access to a computer network
US11689545B2 (en) * 2021-01-16 2023-06-27 Vmware, Inc. Performing cybersecurity operations based on impact scores of computing events over a rolling time interval
US11700510B2 (en) 2021-02-12 2023-07-11 Oracle International Corporation Methods, systems, and computer readable media for short message delivery status report validation
US11349861B1 (en) 2021-06-18 2022-05-31 Extrahop Networks, Inc. Identifying network entities based on beaconing activity
US11296967B1 (en) 2021-09-23 2022-04-05 Extrahop Networks, Inc. Combining passive network analysis and active probing
US11843606B2 (en) 2022-03-30 2023-12-12 Extrahop Networks, Inc. Detecting abnormal data access based on data similarity
US20240195827A1 (en) * 2022-12-09 2024-06-13 Vectra Ai, Inc. Method, product, and system for automatically isolating malicious security alerts from benign alerts using an ensemble model of pattern recognition techniques
CN117978836A (zh) * 2024-03-05 2024-05-03 安徽中杰信息科技有限公司 应用于云监控服务平台的大屏态势感知系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106101145A (zh) * 2016-08-10 2016-11-09 北京神州绿盟信息安全科技股份有限公司 一种网站漏洞检测方法及装置
CN106104496A (zh) * 2014-03-18 2016-11-09 微软技术许可有限责任公司 用于任意时序的不受监督的异常检测
EP3090375A1 (en) * 2013-12-30 2016-11-09 Nokia Technologies Oy Method and apparatus for malware detection
WO2017015462A1 (en) * 2015-07-22 2017-01-26 Dynamic Network Services, Inc. Methods, systems, and apparatus to generate information transmission performance alerts

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7512980B2 (en) * 2001-11-30 2009-03-31 Lancope, Inc. Packet sampling flow-based detection of network intrusions
US7984493B2 (en) 2005-07-22 2011-07-19 Alcatel-Lucent DNS based enforcement for confinement and detection of network malicious activities
US8079080B2 (en) 2005-10-21 2011-12-13 Mathew R. Syrowik Method, system and computer program product for detecting security threats in a computer network
US8117657B1 (en) 2007-06-20 2012-02-14 Extreme Networks, Inc. Detection and mitigation of rapidly propagating threats from P2P, IRC and gaming
US8499348B1 (en) 2010-12-28 2013-07-30 Amazon Technologies, Inc. Detection of and responses to network attacks
CN103988534B (zh) 2011-12-12 2018-09-11 瑞典爱立信有限公司 用于检测网络节点上的持续恶意软件的方法
US9049221B1 (en) 2013-11-12 2015-06-02 Emc Corporation Detecting suspicious web traffic from an enterprise network
US9088598B1 (en) 2013-11-14 2015-07-21 Narus, Inc. Systematic mining of associated server herds for uncovering malware and attack campaigns
US9876806B2 (en) 2014-09-25 2018-01-23 Mcafee, Llc Behavioral detection of malware agents
US9483742B1 (en) 2014-10-27 2016-11-01 Amazon Technologies, Inc. Intelligent traffic analysis to detect malicious activity
US9699205B2 (en) 2015-08-31 2017-07-04 Splunk Inc. Network security system
CA3028296C (en) * 2016-02-25 2019-04-23 Sas Institute Inc. Cybersecurity system
US10084822B2 (en) * 2016-05-19 2018-09-25 Nec Corporation Intrusion detection and prevention system and method for generating detection rules and taking countermeasures
US10270788B2 (en) * 2016-06-06 2019-04-23 Netskope, Inc. Machine learning based anomaly detection
US10291637B1 (en) * 2016-07-05 2019-05-14 Palantir Technologies Inc. Network anomaly detection and profiling
US10992693B2 (en) * 2017-02-09 2021-04-27 Microsoft Technology Licensing, Llc Near real-time detection of suspicious outbound traffic

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3090375A1 (en) * 2013-12-30 2016-11-09 Nokia Technologies Oy Method and apparatus for malware detection
CN106104496A (zh) * 2014-03-18 2016-11-09 微软技术许可有限责任公司 用于任意时序的不受监督的异常检测
WO2017015462A1 (en) * 2015-07-22 2017-01-26 Dynamic Network Services, Inc. Methods, systems, and apparatus to generate information transmission performance alerts
CN106101145A (zh) * 2016-08-10 2016-11-09 北京神州绿盟信息安全科技股份有限公司 一种网站漏洞检测方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
MIRCO MARCHETTI等: "Analysis of high volumes of network traffic for Advanced Persistent Threat detection", 《COMPUTER NETWORKS》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115004651A (zh) * 2020-01-09 2022-09-02 微软技术许可有限责任公司 基于相关性的网络安全

Also Published As

Publication number Publication date
US10992693B2 (en) 2021-04-27
EP3552363A1 (en) 2019-10-16
CN110383789B (zh) 2022-01-07
WO2018148104A1 (en) 2018-08-16
EP3552363B1 (en) 2021-04-28
US20180227322A1 (en) 2018-08-09

Similar Documents

Publication Publication Date Title
CN110383789A (zh) 对可疑的出站业务的接近实时的检测
CN110366727A (zh) 用于受损范围识别的多信号分析
CN105191257B (zh) 用于检测多阶段事件的方法和装置
CN104796275B (zh) 异常状态处理方法、系统及装置
CN107211011A (zh) 用于恶意代码检测的系统及方法
CN109034661A (zh) 用户识别方法、装置、服务器以及存储介质
CN103294939B (zh) 用于虚拟化身认证的方法和系统
CN103136255B (zh) 信息管理的方法和装置
CN109313689A (zh) 检测容量耗尽攻击
CN106888087A (zh) 一种管理证书的方法和装置
CN107040494A (zh) 用户账号异常防范方法和系统
CN113242267A (zh) 一种基于类脑计算的态势感知方法
US20100269053A1 (en) Method for security and market surveillance of a virtual world asset through interactions with a real world monitoring center
CN105868625B (zh) 一种拦截文件被重启删除的方法及装置
CN116545678A (zh) 网络安全防护方法、装置、计算机设备和存储介质
US20170302516A1 (en) Entity embedding-based anomaly detection for heterogeneous categorical events
US20210328975A1 (en) System and method for encrypting a data alert
US20190087905A1 (en) Remote processing of anomalous property sensor data
CN106127034A (zh) 一种防止系统被恶意关闭的方法、装置及电子设备
CN109921920A (zh) 一种故障信息处理方法与相关装置
Dorigo Security information and event management
Ma et al. Robot location privacy protection based on Q-learning particle swarm optimization algorithm in mobile crowdsensing
CN113518152B (zh) 电话号码的识别方法、系统及电子设备
CN106127051A (zh) 一种防止鼠标被恶意捕获的方法、装置及电子设备
CN108287860A (zh) 模型生成方法、垃圾文件识别方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant