CN114073041B - 使用分组活动确定可疑用户事件 - Google Patents
使用分组活动确定可疑用户事件 Download PDFInfo
- Publication number
- CN114073041B CN114073041B CN202080048583.9A CN202080048583A CN114073041B CN 114073041 B CN114073041 B CN 114073041B CN 202080048583 A CN202080048583 A CN 202080048583A CN 114073041 B CN114073041 B CN 114073041B
- Authority
- CN
- China
- Prior art keywords
- user
- activities
- processor
- event
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/535—Tracking the activity of the user
Abstract
根据示例,一种装置可以包括处理器和计算机可读介质,该计算机可读介质上存储有机器可读指令,该机器可读指令可以使处理器基于对应于活动对的公共用户标识符,将用户活动数据中的活动分配到多个组中。该指令还可以使处理器确定用户事件与多个组之间的相关性,基于所确定的相关性确定用户事件是否可疑,以及基于确定出用户事件可疑,输出用户事件可疑的指示。
Description
背景技术
应用(诸如基于云的应用)的用户可以在应用上执行各种类型的活动。举例来说,用户可以从应用下载信息,可以将信息上传到应用或者以其他方式与应用进行交互。在许多情况下,例如,在工作场所环境中,用户可能会被分配关于应用的不同角色。举例来说,一些用户可能被分配到第一组,而其他用户可能被分配到第二组,其中第一组中的用户通常在应用上执行第一组活动,而第二特定组中的用户通常可以在应用上执行第二组活动。
附图说明
本公开的特征通过示例的方式说明而非限制在以下(多个)附图中,其中相同的数字表示相同的元件,其中:
图1描绘了根据本公开的实施例的可以确定用户事件,例如关于应用的用户事件是否可疑的装置的框图;
图2示出了根据本公开的实施例的系统的框图,图1中描绘的装置可以被实施在其中以确定用户事件是否可疑;
图3示出了根据本公开的实施例的系统的框图,其中图1中描绘的装置可以被实施在其中以将多个活动分为多个组;
图4和图5分别描绘了根据本公开的实施例的用于确定用户事件是否异常的方法的流程图;以及
图6描绘了根据本公开的实施例的其上有存储机器可读指令的计算机可读介质的框图,该机器可读指令在由处理器执行时可使得处理器确定用户事件是否异常。
具体实施方式
为了简单和说明的目的,主要通过参考其实施例和示例来描述本公开的原理。在以下描述中,阐述了许多具体细节以提供对实施例和示例的理解。然而,对于本领域的普通技术人员来说将显而易见的是,实施例和示例可以在不限于这些具体细节的情况下被实践。在一些情况下,没有详细描述众所周知的方法和/或结构,以免不必要地混淆实施例和示例的描述。此外,实施例和示例可以各种组合一起使用。
贯穿本公开,术语“一”和“一个”旨在表示特定元素中的至少一个元素。如本文所使用的,术语“包括(includes)”意味包括但不限于,术语“包含(including)”意味包含但不限于。术语“基于”意味至少部分基于。
本文公开了可以确定关于应用的用户事件是否可疑的装置、方法和计算机可读介质。特别地,如本文所公开的处理器可以基于例如活动之间的关系强度,将由多个用户先前关于应用执行的活动分配到多个组中。关系的强度可以基于用户执行的活动对的次数。因此,例如,处理器可以将具有最强关系的活动一起分组到相应的活动组中。此外,处理器可以基于例如用户的先前活动与包括在组中的活动的比较,来确定用户事件的用户(或者等效地,用户标识符)属于哪个组。举例来说,如果用户的先前活动与包括在组中的活动的预定阈值数目相匹配,那么处理器可以确定用户属于该组。
处理器可以确定用户事件是否落入用户被确定所属于的组内。举例来说,处理器可以确定用户事件是否与用户所属于的组中所包括的活动中的任何活动相匹配。基于确定出用户事件与组中所包括的活动相匹配,处理器可以确定用户事件属于该组。即使匹配活动可能不是包括在用户的先前活动中的活动,处理器也可以做出这种确定。因此,例如,如果用户事件与用户的先前活动不匹配,那么处理器可能不会自动地确定用户事件是可疑的,这可能导致较少数目的用户事件被视为可疑。
然而,如果用户事件与组中所包括的活动中的任何活动都不匹配,那么处理器可以确定用户事件不属于用户所属于的组。换句话说,处理器可以确定用户事件在执行与用户通常执行的活动类似的活动的用户的活动的规范之外。因此,处理器可以输出用户事件可疑的指示,使得例如可以建议执行对用户事件的进一步审查。处理器可以执行附加的动作,例如在用户事件被认为可疑的情况下限制或拒绝由用户访问应用。
与确定用户事件是否可疑相关联的技术问题可能是用户事件被频繁地确定是可疑的,这可能导致大量的误报输出。即,例如,作为他们在组织内的功能的一部分,用户可能经常执行用户之前没有执行的活动。简单地将所有此类活动归类为可疑,可能会导致对可疑活动的大量不恰当或不必要的确定。当这种可疑活动没有发生时,这可能导致大量不恰当或不必要的指示的输出,该指示表明已检测到可疑活动。由于输出通常可以由计算机产生并且通过网络进行通信,因此不恰当或不必要的输出可能导致浪费计算机和/或网络利用率以及浪费管理员可能不得不审查输出并且对其采取行动的时间。
通过实施本文公开的装置、方法和计算机可读介质,可以细化用于确定用户事件是否可疑的标准。即,用户事件可能不会自动被确定为可疑,因为用户事件对应于用户的新活动。相反,如果用户事件未落入用户事件的用户所属于的活动组内,那么用户事件可以被确定是可疑的。具体地,如果与用户相似的组中的用户执行与用户事件相匹配的活动,那么用户事件可以被确定为不可疑。作为结果,如果用户事件与用户的先前活动不匹配,那么用户事件可能不会自动地被确定为可疑,这可能导致较少数目的用户事件被视为可疑。因此,可以减少或消除关于潜在可疑活动的不恰当或不必要输出的数目,这可以减小浪费的计算机和/或网络利用率。
首先参考图1和图2。图1示出了根据本公开的实施例的装置100的框图,该装置可以确定用户事件,例如关于应用的用户事件是否可疑。图2示出了根据本公开的实施例的系统200的框图,其中图1中描绘的装置100在该系统中可被实施来确定用户事件是否可疑。应当理解,图1中描绘的装置100和/或图2中描绘的系统200可以包含附加的特征,并且在不脱离装置100和/或系统200的范围的情况下,可以移除和/或修改本文所描述的特征中的一些特征。
装置100可以是服务器、网络中的节点(诸如数据中心)、个人计算机、膝上型计算机、平板计算机、智能电话、网络网关、网络路由器、物联网(IoT)设备和/或类似物。如图2中所示出的,装置100可以接收用户事件202并且可以与数据库210通信以访问信息,装置100可以使用该信息来确定用户事件202是否可疑,异常等同地被称为异常、不恰当、意外等。数据库210可以是可以多种不同方式中的任何方式组织并且可以存储在存储器(未示出)中的数据集合。存储器可以是物理存储装置驱动器或多个存储装置驱动器,其可以在存储装置阵列、服务器等中。在一些示例中,数据库210可以包括于装置100中。
如所示出的,数据库210可以包括用户标识符212-1至212-n、活动214-1至214-n和活动时间216-1至216-n,这些可以统称为用户活动数据,并且其中变量“n”可以表示大于一的值。第一用户标识符212-1可以对应于第一活动214-1和第一活动时间216-1。即,第一活动214-1可能已经由在第一活动时间216-1处与第一用户标识符212-1相关联的用户执行。类似地,第二用户标识符212-2可以对应于第二活动214-2和第二活动时间216-2。用户标识符212-3到212-n、活动214-3到214-n和活动时间216-1至216-n中的剩余集合可以具有类似的相应的对应关系。用户标识符212-1至212-n中的一些用户标识符可以是相同的,使得相同用户标识符可以对应于多个活动214-1至214-n。同样,活动214-1至214-n中的一些活动可以是相同的,使得相同活动可以对应于多个用户标识符。
根据示例,用户活动数据可以对应于应用上的用户活动,应用诸如基于网络的应用、云应用等。举例来说,应用可以这样的应用:不同用户可以关于该应用执行各种类型的活动。举例来说,应用可以是业务管理软件,其中第一组用户可以执行联系人操作,第二组用户可以执行与领导相关的操作,第三组用户可以执行与管理用户权限相关的操作,以及其他组用户可以执行关于应用的其他操作。在其他示例中,应用可以是其他类型的软件,例如电子邮件软件、数据管理软件,等等。应用也可以等效地称为软件、服务、程序,等等。
用户活动数据可以被收集并且可以存储在数据库210中。应用或另一应用可以收集关于应用的用户活动数据,并且可以将收集到的用户活动数据通信给服务器或其他设备,以便将用户活动数据存储在数据库210中。在这些示例中,数据库210可以与应用分开存储。根据示例,与管理和/或操作应用的实体分开的实体可以管理数据库210。附加地或备选地,用户活动数据可以包括可能已经在特定时间段(例如一周、一个月、六个月等)内收集的数据。在这方面,用户活动数据可以随着时间更新,这可能导致用户标识符212-1至212-n与活动214-1至214-n之间的对应关系发生变化。
如图1和图2中所示出的,装置100可以包括处理器102和计算机可读介质110。处理器102可以是基于半导体的微处理器、中央处理单元(CPU)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)和/或其他硬件设备。尽管装置100被描绘为具有单个处理器102,但是应理解,在不脱离装置100的范围的情况下,装置100可以包含附加的处理器和/或核。在这方面,对单个处理器102以及对单个机器可读介质110的提及可以被理解为附加地或备选地涉及多个处理器102和多个计算机可读介质110。
计算机可读介质110可以是例如随机存取存储器(RAM)、电可擦除可编程只读存储器(EEPROM)、存储设备、光盘等。计算机可读介质110,也可以被称为机器可读存储介质,可以是非暂态计算机可读存储介质,其中术语“非暂态”不涵盖暂态传播信号。在任何方面,计算机可读介质110可以在其上存储机器可读指令112-122。
处理器102可以获取、解码和执行指令112以访问标识活动214-1至214-n和对应于活动214-1至214-n的用户标识符212-1至212-n的用户活动数据。处理器102可以访问存储在数据库210中的用户活动数据。
处理器102可以获取、解码和执行指令114以标识对应于用户活动数据中的公共用户标识符212-1至212-n的活动214-1至214-n的相应的对。处理器102可以利用访问的用户活动数据来标识用户标识符212-1所对应的活动214-1至214-n的对。即,处理器102可以标识用户标识符212-1至212-n中的每个用户标识符所对应的活动214-1至214-n中的每个活动,并且可以标识用户执行的相应活动对。
举例来说,处理器102可以确定第一用户标识符212-1对应于第一活动214-1、第二活动214-2和第三活动214-3。处理器102还可以确定第二用户标识符212-2对应于第一活动214-1和第二活动214-2。在这个示例中,处理器102可以确定第一活动214-1和第二活动214-2对(pair)对应于第一用户标识符212-1以及第二用户标识符212-2。处理器102还可以确定第一活动214-1和第三活动214-3对与第一用户标识符212-1相对应但不对应于第二用户标识符212-2。同样地,处理器102可以确定第二活动214-2和第三活动214-3对与第一用户标识符212-1相对应但不对应于第二用户标识符212-2。
根据示例,处理器102可以针对活动214-1至214-n的相应对中的每个对确定对应于活动214-1至214的对的用户标识符212-1至212-n的数目。在上文提供的示例中,第一活动214-1和第二活动214-2对与第一用户标识符212-1和第二用户标识符212-2相对应,并且因此对应于两个用户标识符。第一活动214-1和第三活动214-3对与第一用户标识符212-1相对应,并且因此对应于一个用户标识符。第二活动214-2和第三活动214-3对与第一用户标识符212-1相对应,并且因此对应于一个用户标识符。
处理器102可以基于对应于活动214-1至214-n的对的公共用户标识符212-1至212-n来获取、解码和执行指令116以将活动214-1至214-n分配到多个组220。举例来说,处理器102可以基于活动214-1至214-n与用户标识符212-1至212-n之间的对应关系的相应强度来分配活动214-1至214-n。举例来说,对应于预定数目和/或百分比的公共用户标识符的活动214-1至214-n的对可以被分组在一起。
与上面讨论的示例保持一致,第一活动214-1和第二活动214-2可以一起被分组到第一组中并且第一活动214-1和第三活动214-3可以一起被分组到第二组中。虽然本文提供了一个简单示例,但是应理解,组220可以包括活动214-1至214-n的多个对。根据示例,处理器102可以运行聚类算法以将活动214-1至214-n分组到多个组220中。附加地或备选地,活动214-1至214-n中的每个活动可以被分配给组220中的一组,例如活动214-1不可被分配给多个组。
处理器102可以获取、解码和执行指令118以确定用户事件202与多个组220之间的相关性。处理器102可以从用户与之交互的应用或另一应用接收用户事件202,并且用户事件202可以是用户在应用上执行的活动。根据示例,处理器102可以标识用户事件202的用户标识符212-1,例如对应于用户事件202的用户标识符212-1。另外,处理器102可以例如根据包括在数据库210中的用户活动数据来确定对应于标识的用户标识符的先前用户活动。
处理器102还可基于所确定的先前用户活动来确定所标识的用户标识符属于群组220中的哪个组。举例来说,处理器102可以将确定的先前用户活动与包括在组220中的每个组中的活动进行比较,并且基于比较,可以确定用户事件202的用户标识符属于组220中的哪个组。根据示例,处理器102可以基于至少对应于包括在组220中的活动214-1至214-n的预定数目的用户标识符,来确定用户事件202的用户标识符属于组220。活动的预定数目可以基于历史数据、用户定义等等来确定。由于用户事件202的用户标识符可以至少对应于包括在多个组220中的活动214-1至214-n的预定数目,因此用户标识符可以被确定属于多个组220。
处理器102可以获取、解码和执行指令120以基于确定的相关性来确定用户事件202是否可疑。举例来说,处理器102可以确定用户事件202未落入用户标识符所属于的组220内。即,处理器102可以确定用户事件202是否与组220中的活动214-1至214-n中的任何活动相匹配。基于确定出用户事件202与用户标识符所属于的组220中的活动214-1至214-n中的任何活动不匹配,处理器102可以确定用户事件202不属于用户标识所属于的组220。另外,基于确定出用户事件202不属于用户标识符所属于的组220,处理器102可以确定用户事件202可疑。
处理器102可以获取、解码和执行指令122,以基于确定出用户事件202可疑,输出230用户事件202可疑的指示。举例来说,处理器102可以输出230包括该指示的消息,使得管理员或其他人员可以被告知可疑事件并且可以确定是否要采取行动。附加地或备选地,处理器102可以输出230指令以限制和/或拒绝由用户对应用的访问。
然而,基于确定出用户事件202与用户标识符所属于的组220中的活动214-1至214-n中的活动相匹配,处理器102可以确定用户事件202落入组220内。即使在先前用户活动中没有先前用户活动与用户标识符所属于的组220中的活动214-1至214-n中的任何活动相匹配的情况下,处理器102也可以做出这一确定。即,处理器102可以确定用户事件202属于组220,即使用户可能没有执行组220中的活动214-1至214-n中的任何活动。以这样,即使用户可能没有执行组220中的活动214-1至214-n中的任何活动,处理器102也可能不确定由用户对用户事件202的执行是可疑的。
代替机器可读指令112-122,装置100可以包括可以执行类似于指令112-122的功能的硬件逻辑块。在其他示例中,装置100可以包括指令和硬件逻辑块的组合以实施或执行对应于指令112-122的功能。在这些示例中的任何示例中,处理器102可以实施硬件逻辑块和/或执行指令112-122。如本文所讨论的,装置100还可以包含附加的指令和/或硬件逻辑块,使得处理器102可以执行附加于或者替代于上文关于图1所讨论的那些操作的操作。
现在转向图3,其示出了根据本公开的实施例的系统300的框图,图1中描绘的装置100可以被实施在其中,以将多个活动214-1至214-n分配到多个组220中。应理解,图3中描绘的系统300可以包括附加的特征并且在不脱离系统300的范围的情况下,本文描述的特征中的一些特征可以被移除和/或修改。
如图3中所示出的,处理器102可以产生描绘了节点312-1至312-6以及边314-1至314-4的图表310。节点312-1至312-6可以各自表示包括在数据库210和/或处理器102用来确定用户事件202是否可疑的活动214-1至214-2。边314-1至314-4可以各自表示对应于边314-1至314-4连接的节点312-1至312-6对(pair)的用户标识符212-1至212-n的数目,如根据数据库210和/或处理器102所标识的,该数目用来确定用户事件202是否可疑。
应理解,出于说明的简单性且不限制的目的,图3中描绘了相对小数目的节点312-1至312-6以及边314-1至314-4。因此,应当理解,处理器102可以创建图表310以包括任意数目的节点312-1至312-6以及边314-1至314-4,例如其中数目可以取决于用户处理器102用来创建图表310的活动数据。举例来说,节点312-1至312-6的数目可以对应于数据库210中独特活动214-1至214-n的数目,和/或处理器102可以使用其来确定用户事件202是否可疑的。同样,边314-1至314-4的数目可以对应于用户标识符212-1至212-n共同对应的节点312-1至312-6的对的数目。
根据示例,处理器102可以针对活动214-1至214-n的相应对中的每个活动对,确定对应于活动214-1至214-n的对的用户标识符212-1至212-n的数目。另外,处理器102可以将活动214-1至214-n中的每个活动分配为图表310中的相应节点312-1至312-6。处理器102还可以将边314-1至314-n分配于各个节点312-1至312-6的对之间,其中边314-1至314-n中的每个边的属性对应于针对边所连接的各个节点对的用户标识符212-1至212-n的所确定的数目。处理器102可以通过遍历用户活动数据集以确定独特活动来确定节点312-1至312-6,并且可以通过分析活动214-1至214-n与用户标识符212-1至212-n之间的对应性来确定边314-1至314-4。
举例来说,第一节点312-1可以对应于第一活动214-1,第二节点312-2可以对应于第二活动214-2,第三节点312-3可以对应于第三活动214-3,第四节点312-4可以对应于第四活动214-4,第五节点312-5可以对应于第五活动214-5,并且第六节点312-6可以对应于第六活动214-6。另外,单个用户标识符可以对应于第一对节点312-1和312-2,多个用户标识符可以对应于第二对节点312-2和312-3,多个用户标识符对应于第三对节点312-1和312-4,并且多个用户标识符可以对应于第四对节点312-2和312-5。此外,第六节点312-6可以不与另一节点配对,因为例如用户标识符中没有用户标识符对应于第六节点312-6和另一节点两者。
在所示出的示例中,边314-1至314-4可以被描绘为具有对应于针对边所连接的各个节点312-1至312-6的对的用户标识符的所确定的数目的属性。属性可以是例如颜色、宽度、透明度级别,等等。在任何方面,边314-1至314-4可以表示由边所连接的节点表示的两个活动之间的关系的强度。
在任何方面,处理器102可以基于各个节点312-1至312-6的对之间的边314-1至314-4的属性将活动214-1至214-n分配到多个组320、322中。根据示例,处理器102可以采用社区检测算法来将节点312-1至312-6分组到组320、322中。如图3中所示出的,处理器102可以将第一节点312-1和第四节点312-4分组到第一组320中,因为图表310指示第一节点312-1与第四节点312-4之间的关系强度可能超过预定阈值,例如至少一定数目的用户标识符对应于第一节点312-1和第四节点312-4的对。另外,出于类似的原因,处理器102可以将第二节点312-2、第三节点312-3和第五节点312-5分组到第二组322中。还如所示出的,处理器102可以不将第一节点312-1分组到第二组322中,因为例如对应于第一节点312-1和第三节点312-3的对的用户标识符的数目没有超过预定阈值。另外,第六节点312-6可以不被分配给组320、322中的任一组。在一些示例中,处理器102还可以根据其中组合有节点312-1至312-6的组320、322,将区别特性应用于节点312-1至312-6。举例来说,处理器102可以使特定组320中的节点具有相同颜色和/或其他特征。
处理器102可以将组320、322存储在数据存储库(未示出)中。即,处理器102可以存储包括在组320、322中的每个组中的活动214-1至214-n的标识。如本文所讨论,处理器102可以使用所确定的组320、322和包括在组320、322中的活动214-1至214-n来确定用户事件202是否可疑。另外,处理器102可以在特定事件之后,响应于确定组和/或类似的指令,在设定时间段(例如,每周一次、每月一次等)确定活动组,使得例如组可以随着用户活动数据的变化而动态地确定和/或更新。
装置100的处理器102可以操作的各种方式参考分别在图4和5中描绘的方法400和500被更详细地讨论。特别地,图4和5分别描绘了根据本公开的实施例的用于确定用户事件是否异常的方法400和500的流程图。应理解,图4和5中描绘的方法400和500可以包括附加的操作,并且在不脱离方法400和500的范围的情况下,本文描述的操作中的一些操作可以被移除和/或修改。为了说明的目的,方法400和500的描述是参考图1-图3中描绘的特征进行的。
在框402处,处理器102可以访问涉及应用的用户活动数据。如本文所讨论的,用户活动数据可以包括活动214-1至214-n和对应于活动214-1至214-n的用户标识符212-1至212-n。另外,处理器102可以从数据库210访问用户活动数据。
在框404处,处理器102可以针对多个活动214-1至214-n的对中的每个活动对标识对应于活动214-1至214-n的对的用户标识符212-1至212-n的数目。处理器102可以利用包括在数据库210中的信息标识用户标识符212-1至212-n的数目。
在框406处,处理器102可以基于对应于活动214-1至214-n的用户标识符212-1至212-n的所标识的数目,将活动214-1至214-n中的每个活动聚集(assemble)到多个组220中的一个组中。处理器102可以本文讨论的方式中的任何方式将活动214-1至214-n聚集到组220中。举例来说,处理器102可以产生图表310并且可以基于图表310中描绘的信息将活动214-1至214-n聚集到组220中。
在框408处,处理器102可以确定用户事件202的用户标识符属于多个组220中的哪个组。处理器102可以基于用户标识符所对应的先前活动以及那些先前活动如何匹配本文讨论的组220中的活动来做出这一确定。
在框410处,处理器102可以基于确定的用户事件202的用户标识符所属于的组220,确定用户事件是否异常。举例来说,处理器102可以基于确定出用户事件未落入组220内,例如与用户标识符所属于的组220中的活动中的任何活动不匹配,来确定用户事件202异常。
在框412处,处理器102可以基于确定出用户事件202异常,输出230用户事件202异常的指示。处理器102还可以输出230指令以限制或拒绝由与用户事件202相关联的用户标识符对应用的访问。
现在转向图5,在框502处,处理器102可以将关于应用的用户的活动214-1至214-n聚集到如本文所讨论的组220中。另外,在框504处,处理器102可以确定对应于用户事件202的用户标识符的先前用户活动。举例来说,处理器102可以根据包括在数据库210中的用户活动数据确定先前用户活动。在框506处,处理器102可以确定用户事件202的用户标识符属于组220中的哪个组。在框508处,处理器102可以确定用户事件202是否属于用户事件202的用户标识符被分组到的组220内。基于确定出用户事件202落入用户事件202的用户标识符被分组到的组220内,在框510处,处理器102可以确定用户事件202正常。因此,例如即使在其中用户事件202与用户标识符所属于的组220中包括的活动中的任何活动都不匹配的情况下,处理器102也可以确定用户事件202正常。
然而,基于确定出用户事件202未落入用户事件202的用户标识符被分组到的组220内,在框512处,处理器102可以确定用户事件202异常。另外,在框514处,处理器102可以输出用户事件202异常的指示。处理器102还可以输出230指令以限制或拒绝由与用户事件202相关联的用户标识符对应用的访问。
在方法400和500中阐述的操作中的一些操作或所有操作可以作为实用程序、程序或子程序被包含在任何期望的计算机可存取介质中。另外,方法400和500可以由计算机程序来体现,计算机程序可以以活动的和非活动的两者的各种形式存在。举例来说,计算机程序可能作为机器可读指令存在,包含源代码、目标代码、可执行代码或其他格式。上述程序中的任何程序都可以体现在非暂态计算机可读存储介质上。
非暂态计算机可读存储介质的示例包含计算机系统RAM、ROM、EPROM、EEPROM和磁盘或光盘或磁带。因此应理解,能够执行上述功能的任何电子设备都可以执行上面列举的那些功能。
现在转向图6,示出了根据本公开的实施例的可在其上存储机器可读指令的计算机可读介质600的框图,该机器可读指令在由处理器执行时可以使处理器确定用户事件是否异常。应理解,图6中描绘的计算机可读介质600可以包含附加的指令,并且在不脱离本文公开的计算机可读介质600的范围的情况下,本文描述的指令中的一些指令可以被移除和/或修改。计算机可读介质600可以是非暂态计算机可读介质。术语“非暂态”不涵盖暂态传播信号。
计算机可读介质600可以在其上存储机器可读指令602-610,处理器(诸如图1和2中描绘的处理器102)可以执行该机器可读指令。计算机可读介质600可以是含有或存储可执行指令的电子、磁性、光学或其他物理存储设备。计算机可读介质600可以是例如随机存取存储器(RAM)、电可擦除可编程只读存储器(EEPROM)、存储设备、光盘等。
处理器可以获取、解码和执行指令602以将活动214-1至214-n聚集到多个组220中。处理器可以以本文所讨论的方式中的任何方式将活动214-1至214-n聚集到多个组220中。举例来说,处理器可以标识用户(例如与用户标识符212-1至212-n相关联的用户)与应用上的活动214-1至214-n之间的相关性,并且可以基于标识的相关性将活动214-1至214-n聚集到多个组220中。作为另一示例,处理器可以将多个活动中的活动214-1至214-n中的每个活动分配为图表310中的相应节点312-1至312-6,并且可以将边314-1至314-4分配到相应节点312-1至312-6的对之间,其中边314-1至314-4中的每个边的属性可以对应于针对边314-1至314-4连接到的相应节点312-1至312-6的对的用户标识符的确定的数目。处理器还可以根据节点312-1至312-6被聚集在其中的组320、322,将区别特性应用于节点312-1至312-6。在任何方面,处理器可以基于相应节点312-1至312-n的对之间的边314-1至314-4的属性将活动214-1至214-n中的每个活动聚集到多个组220中的一个组中。
处理器可以获取、解码和执行指令604,以基于用户的先前用户活动来确定用户被分类到多个活动组220中的哪个组。处理器可以以类似于上文关于确定用户的用户标识符被分类到的组所讨论的那些方式来做出这一确定。处理器可以获取、解码和执行指令606以确定用户的用户事件202是否与用户被分类到的组220中的活动相匹配。
处理器可以获取、解码和执行指令608,以基于确定出用户事件202与用户被分类到的组220中的活动相匹配,确定用户事件202正常。
处理器可以获取、解码和执行指令610,以基于确定出用户事件202与用户被分类到的组220中的活动不匹配,确定用户事件异常并且输出230用户事件202异常的指示。处理器还可以输出230指令以限制或拒绝由与用户事件202相关联的用户标识符对应用的访问。
尽管在整个本公开中进行了具体描述,但本公开的代表性示例在广泛的应用范围内具有效用,并且上述讨论并非旨在也不应被解释为限制性的,而是作为对本公开的方面的说明性讨论所提供的。
本文已经描述和说明了本公开的示例以及其变体中的一些。本文使用的术语、描述和图式仅通过说明的方式阐述,且并不意味着限制性的。许多变化在本公开的精神和范围内是可能的,本公开旨在由以下权利要求-及其等效物限定-其中除非另有说明,否则所有术语均以其最广泛的合理意义表示。
Claims (18)
1.一种用于确定可疑用户事件的装置,包括:
处理器;以及
计算机可读介质,其上存储有机器可读指令,所述机器可读指令使所述处理器:
访问用户活动数据,所述用户活动数据标识活动以及对应于所述活动的用户标识符;
标识对应于所述用户活动数据中的第一组公共用户标识符的第一对活动;
标识对应于所述用户活动数据中的第二组公共用户标识符的第二对活动;
确定多少用户标识符对应于所述第一对活动;
确定多少用户标识符对应于所述第二对活动;
基于多少用户标识符对应于所述第一对活动和所述第二对活动中的每一对活动,将所述活动分配到多个组中;
确定用户事件与所述多个组之间的相关性;
基于所确定的所述相关性,确定所述用户事件是否可疑;以及
基于确定出所述用户事件可疑,输出所述用户事件可疑的指示。
2.根据权利要求1所述的装置,其中所述指令还使所述处理器:
将所述活动中的每个活动分配为图中的节点;
在相应节点对之间分配边,其中所述边中的每个边的属性对应于针对所述边连接的所述相应节点对的所确定的所述用户标识符的数目;以及
基于所述相应节点对之间的所述边的所述属性,将所述活动分配到多个组中。
3.根据权利要求2所述的装置,其中所述指令还使所述处理器:
根据所述节点被分配到其中的所述组,将区别特性应用于所述节点。
4.根据权利要求1所述的装置,其中为了确定所述用户事件与所述多个组之间的所述相关性,所述指令还使所述处理器:
标识所述用户事件的用户标识符;
确定对应于标识的所述用户标识符的先前用户活动;以及
基于所确定的所述先前用户活动,确定标识的所述用户标识符属于所述多个组中的哪个组。
5.根据权利要求4所述的装置,其中为了确定所述用户事件是否可疑,所述指令还使所述处理器:
确定所述用户事件未落入所述用户标识符所属于的组内;以及
基于确定出所述用户事件未落入所述用户标识符所属于的组内,确定所述用户事件可疑。
6.根据权利要求4所述的装置,其中所述指令还使所述处理器:
基于确定出所述用户事件可疑,输出对应于标识的所述用户标识符的所确定的所述先前用户活动。
7.根据权利要求4所述的装置,其中为了确定所述用户事件是否可疑,所述指令还使所述处理器:
确定所述用户事件落入所述用户标识符所属于的组内;以及
基于确定出所述用户事件落入所述用户标识符所属于的组内,确定所述用户事件不可疑。
8.根据权利要求1所述的装置,其中所述指令还使所述处理器:
基于确定出所述用户事件可疑,输出指令以限制或拒绝与所述用户事件相关联的用户标识符对应用的访问。
9.一种用于确定可疑用户事件的方法,包括:
由处理器访问属于应用的用户活动数据,所述用户活动数据包括活动和对应于所述活动的用户标识符;
由所述处理器标识对应于所述用户活动数据中的第一组公共用户标识符的第一对活动;
由所述处理器标识对应于所述用户活动数据中的第二组公共用户标识符的第二对活动;
由所述处理器确定多少用户标识符对应于所述第一对活动;
由所述处理器确定多少用户标识符对应于所述第二对活动;
由所述处理器基于多少用户标识符对应于所述第一对活动和所述第二对活动中的每一对活动,将所述活动中的每个活动聚集到多个组中的每个组;
标识用户事件;
由所述处理器确定所述用户事件的用户标识符属于所述多个组中的哪个组;
由所述处理器基于所确定的所述用户事件的所述用户标识符所属于的组,确定所述用户事件是否异常;以及
由所述处理器基于确定出所述用户事件异常,输出所述用户事件异常的指示。
10.根据权利要求9所述的方法,还包括:
确定对应于所述用户事件的所述用户标识符的先前用户活动;以及
基于所确定的所述先前用户活动,确定所述用户事件的所述用户标识符属于所述多个组中的哪个组。
11.根据权利要求10所述的方法,还包括:
确定所述用户事件未落入所确定的所述用户事件的所述用户标识符所属于的组内;以及
基于确定出所述用户事件未落入所述用户标识符所属于的组内,确定所述用户事件异常。
12.根据权利要求11所述的方法,还包括:
基于确定出所述用户事件异常,输出对应于所述用户事件的所述用户标识符的所确定的所述用户活动。
13.根据权利要求10所述的方法,还包括:
确定所述用户事件与对应于所述用户事件的所述用户标识符的所确定的所述先前用户活动中的任何先前用户活动都不匹配,并且所述用户事件落入到所确定的所述用户事件的所述用户标识符所属于的组;以及
基于确定出所述用户事件与对应于所述用户事件的所述用户标识符的所确定的所述先前用户活动中的任何先前用户活动都不匹配并且所述用户事件落入到所确定的所述用户事件的所述用户标识符所属于的组,确定所述用户事件正常。
14.根据权利要求9所述的方法,还包括:
将所述活动中的每个活动分配为图中的相应节点;
在相应节点对之间分配边,其中所述边中的每个边的属性对应于针对所述边所连接的所述相应节点对的所确定的所述用户标识符的数目;以及
其中聚集所述活动中的每个活动还包括:基于所述相应节点对之间的所述边的所述属性,将所述活动中的每个活动聚集到所述多个组中的一个组中。
15.根据权利要求14所述的方法,还包括:
根据所述节点被聚集到的所述组,将区别特性应用于所述节点。
16.一种计算机可读介质,其上存储机器可读指令,所述机器可读指令由处理器执行时,使所述处理器:
标识对应于第一组公共用户的第一对活动;
标识对应于第二组公共用户的第二对活动;
确定多少用户对应于所述第一对活动;
确定多少用户对应于所述第二对活动;
基于多少用户对应于所述第一对活动和所述第二对活动中的每一对活动,将所述活动分配到多个组中;
基于用户的先前用户活动,确定所述用户被分类到活动的所述多个组中的哪个组;
确定所述用户的用户事件是否与所述用户被分类到的组中的活动相匹配;
基于确定出所述用户事件与所述用户被分类到的组中的活动相匹配,确定所述用户事件正常;以及
基于确定出所述用户事件与所述用户被分类到的组中的活动不匹配,
确定所述用户事件异常;以及
输出所述用户事件异常的指示。
17.根据权利要求16所述的计算机可读介质,其中所述指令还使所述处理器:
标识用户与应用上的活动之间的相关性;以及
基于标识的所述相关性,将所述活动聚集到所述多个组中。
18.根据权利要求16所述的计算机可读介质,其中所述指令还使所述处理器:
确定所述用户事件与所述先前用户活动中的任何先前用户活动都不匹配,并且所述用户事件落入到所述用户被分类到的组内;以及
基于确定出所述用户事件与所述用户的所述用户活动中的任何用户活动都不匹配并且所述用户事件落入到所述用户被分类到的组内,确定所述用户事件正常。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US16/503,247 | 2019-07-03 | ||
US16/503,247 US11297075B2 (en) | 2019-07-03 | 2019-07-03 | Determine suspicious user events using grouped activities |
PCT/US2020/032548 WO2021002944A1 (en) | 2019-07-03 | 2020-05-12 | Determine suspicious user events using grouped activities |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114073041A CN114073041A (zh) | 2022-02-18 |
CN114073041B true CN114073041B (zh) | 2023-08-29 |
Family
ID=70919188
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202080048583.9A Active CN114073041B (zh) | 2019-07-03 | 2020-05-12 | 使用分组活动确定可疑用户事件 |
Country Status (4)
Country | Link |
---|---|
US (1) | US11297075B2 (zh) |
EP (1) | EP3994860A1 (zh) |
CN (1) | CN114073041B (zh) |
WO (1) | WO2021002944A1 (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20230388313A1 (en) * | 2022-05-31 | 2023-11-30 | Acronis International Gmbh | Automatic User Group Manager |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105357054A (zh) * | 2015-11-26 | 2016-02-24 | 上海晶赞科技发展有限公司 | 网站流量分析方法、装置和电子设备 |
US9407652B1 (en) * | 2015-06-26 | 2016-08-02 | Palantir Technologies Inc. | Network anomaly detection |
WO2017035706A1 (zh) * | 2015-08-28 | 2017-03-09 | 华为技术有限公司 | 一种用户数据处理装置、方法及系统 |
CN106778260A (zh) * | 2016-12-31 | 2017-05-31 | 网易无尾熊(杭州)科技有限公司 | 攻击检测方法和装置 |
CN107404494A (zh) * | 2017-08-21 | 2017-11-28 | 北京奇安信科技有限公司 | 异常事件信息处理方法及装置 |
CN107548500A (zh) * | 2015-04-29 | 2018-01-05 | 微软技术许可有限责任公司 | 基于用户例程模型的事件异常 |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2004096049A2 (en) * | 2003-04-28 | 2004-11-11 | Board Of Regents, The University Of Texas System | Catheter imaging probe and method |
US20090158252A1 (en) * | 2005-11-30 | 2009-06-18 | France Telecom | Method for Creating an Approximation Graph Relating to the Behavior of the Man-Machine Interface of an Application |
CA2531410A1 (en) | 2005-12-23 | 2007-06-23 | Snipe Network Security Corporation | Behavioural-based network anomaly detection based on user and group profiling |
US10290053B2 (en) * | 2009-06-12 | 2019-05-14 | Guardian Analytics, Inc. | Fraud detection and analysis |
US8280844B2 (en) * | 2010-02-15 | 2012-10-02 | Bank Of America Corporation | Anomalous activity detection |
US9058486B2 (en) * | 2011-10-18 | 2015-06-16 | Mcafee, Inc. | User behavioral risk assessment |
US9659085B2 (en) * | 2012-12-28 | 2017-05-23 | Microsoft Technology Licensing, Llc | Detecting anomalies in behavioral network with contextual side information |
US9692789B2 (en) * | 2013-12-13 | 2017-06-27 | Oracle International Corporation | Techniques for cloud security monitoring and threat intelligence |
US10412106B2 (en) * | 2015-03-02 | 2019-09-10 | Verizon Patent And Licensing Inc. | Network threat detection and management system based on user behavior information |
US20170206462A1 (en) * | 2016-01-14 | 2017-07-20 | International Business Machines Corporation | Method and apparatus for detecting abnormal contention on a computer system |
US10212184B2 (en) * | 2016-10-27 | 2019-02-19 | Opaq Networks, Inc. | Method for the continuous calculation of a cyber security risk index |
US20180198812A1 (en) | 2017-01-11 | 2018-07-12 | Qualcomm Incorporated | Context-Based Detection of Anomalous Behavior in Network Traffic Patterns |
US20180365696A1 (en) * | 2017-06-19 | 2018-12-20 | Nec Laboratories America, Inc. | Financial fraud detection using user group behavior analysis |
-
2019
- 2019-07-03 US US16/503,247 patent/US11297075B2/en active Active
-
2020
- 2020-05-12 WO PCT/US2020/032548 patent/WO2021002944A1/en unknown
- 2020-05-12 EP EP20729499.2A patent/EP3994860A1/en active Pending
- 2020-05-12 CN CN202080048583.9A patent/CN114073041B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107548500A (zh) * | 2015-04-29 | 2018-01-05 | 微软技术许可有限责任公司 | 基于用户例程模型的事件异常 |
US9407652B1 (en) * | 2015-06-26 | 2016-08-02 | Palantir Technologies Inc. | Network anomaly detection |
WO2017035706A1 (zh) * | 2015-08-28 | 2017-03-09 | 华为技术有限公司 | 一种用户数据处理装置、方法及系统 |
CN105357054A (zh) * | 2015-11-26 | 2016-02-24 | 上海晶赞科技发展有限公司 | 网站流量分析方法、装置和电子设备 |
CN106778260A (zh) * | 2016-12-31 | 2017-05-31 | 网易无尾熊(杭州)科技有限公司 | 攻击检测方法和装置 |
CN107404494A (zh) * | 2017-08-21 | 2017-11-28 | 北京奇安信科技有限公司 | 异常事件信息处理方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN114073041A (zh) | 2022-02-18 |
US20210006572A1 (en) | 2021-01-07 |
EP3994860A1 (en) | 2022-05-11 |
WO2021002944A1 (en) | 2021-01-07 |
US11297075B2 (en) | 2022-04-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11558388B2 (en) | Provisional computing resource policy evaluation | |
US11734636B2 (en) | System and method for assessing, measuring, managing, and/or optimizing cyber risk | |
US10860622B1 (en) | Scalable recursive computation for pattern identification across distributed data processing nodes | |
US20190028371A1 (en) | Identifying multiple devices belonging to a single user | |
US9413773B2 (en) | Method and apparatus for classifying and combining computer attack information | |
US9256657B1 (en) | Tracking data communicated between services | |
US11086648B1 (en) | Trust-based resource allocation | |
US9601000B1 (en) | Data-driven alert prioritization | |
US20200403991A1 (en) | Security for network environment using trust scoring based on power consumption of devices within network | |
US10044729B1 (en) | Analyzing requests to an online service | |
US11120154B2 (en) | Large-scale authorization data collection and aggregation | |
US10579814B2 (en) | Monitoring and preventing unauthorized data access | |
TW202123118A (zh) | 基於隱私保護的關係網路構建方法及裝置 | |
US11374950B2 (en) | Anomaly detection in complex systems | |
US11061930B1 (en) | Dynamic management of storage object partitioning | |
US10560338B2 (en) | Event-based data path detection | |
US20230089783A1 (en) | Generating scalability scores for tenants using performance metrics | |
WO2021262294A1 (en) | Modify assigned privilege levels and limit access to resources | |
CN114073041B (zh) | 使用分组活动确定可疑用户事件 | |
US11936655B2 (en) | Identification of permutations of permission groups having lowest scores | |
US11210352B2 (en) | Automatic check of search configuration changes | |
US20230004842A1 (en) | Hybrid clustered prediction computer modeling | |
US20230297439A1 (en) | Mapping logical partitions for event data to a plurality of queues | |
US20230239348A1 (en) | Decentralized information management database system | |
US10742667B1 (en) | System and method for dynamical modeling multi-dimensional security event data into a graph representation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |