CN117355831A - 使用风险得分滚动集合的条件性安全措施 - Google Patents
使用风险得分滚动集合的条件性安全措施 Download PDFInfo
- Publication number
- CN117355831A CN117355831A CN202280036519.8A CN202280036519A CN117355831A CN 117355831 A CN117355831 A CN 117355831A CN 202280036519 A CN202280036519 A CN 202280036519A CN 117355831 A CN117355831 A CN 117355831A
- Authority
- CN
- China
- Prior art keywords
- risk score
- risk
- time series
- rolling
- computing system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000005096 rolling process Methods 0.000 title claims abstract description 43
- 230000004044 response Effects 0.000 claims abstract description 8
- 238000001514 detection method Methods 0.000 claims description 29
- 238000000034 method Methods 0.000 claims description 28
- 230000002159 abnormal effect Effects 0.000 claims description 15
- 230000003993 interaction Effects 0.000 claims description 7
- 230000005856 abnormality Effects 0.000 claims description 3
- 230000000977 initiatory effect Effects 0.000 claims description 3
- 230000035515 penetration Effects 0.000 abstract description 3
- 238000013349 risk mitigation Methods 0.000 description 10
- 230000007246 mechanism Effects 0.000 description 8
- 230000008901 benefit Effects 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 238000012545 processing Methods 0.000 description 5
- 230000009471 action Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 3
- 239000003795 chemical substances by application Substances 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000003190 augmentative effect Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 239000011521 glass Substances 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 241000364483 Lipeurus epsilon Species 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- YHXISWVBGDMDLQ-UHFFFAOYSA-N moclobemide Chemical compound C1=CC(Cl)=CC=C1C(=O)NCCN1CCOCC1 YHXISWVBGDMDLQ-UHFFFAOYSA-N 0.000 description 1
- 239000003607 modifier Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 229920001690 polydopamine Polymers 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Debugging And Monitoring (AREA)
- Telephonic Communication Services (AREA)
Abstract
有条件地启动安全措施,响应于与计算网络的特定用户相关的施加的风险的评估增加。使用滚动时间窗口来确定风险。因此,风险的突然增加被快速地检测,允许在该计算网络内快速地采取安全措施。因此,到计算网络的不适当的渗透不太可能升级或横向移动到计算网络内的其他用户或资源。此外,可以使用实体预先配置的设置来自动地启动安全措施。因此,安全措施不会超出实体指示的范围,从而最小化了安全措施过度的风险。
Description
背景技术
风险得分是一种基于用户相关警报和异常活动的方法,这些警报和异常活动由各种因素给出得分,总结为用户风险得分。例如,当通过执行可能的更敏感的活动使得用户的活动开始偏离用户的正常历史活动时,用户风险可能会增加。安全分析师可以查看风险得分,以尝试确定用户风险开始倾斜的时间点。在用户风险增加的时刻实时地执行是特别困难的。
这里要求保计的主题不限于解决任何缺点或仅在诸如上述那些环境中操作的实施例,相反,提供该背景仅用于说明可以实践本文描述的一些实施例的一个示例性技术领域。
发明内容
本发明内容旨在以简化的形式介绍下面在详细描述中进一步描述的一些概念。本发明内容不旨在确定所要求保护的主题的关键特征或基本特征,也不旨在用作确定所要求保护的主题范围的辅助工具。
本文描述的原则允许响应于与计算网络的特定用户相关的施加的风险的评估的增加而有条件地启动安全措施。使用滚动时间窗口来确定风险。因此,风险的突然增加被快速地检测,允许在该计算网络内快速地采取安全措施。因此,到计算网络的不适当的渗透不太可能升级或横向移动到计算网络内的其他用户或资源。
实体的代理可以已经预先配置了在检测到风险的突然增加时采取的安全措施。在滚动窗口内为实体的多个相关用户确定风险得分,以生成风险得分的滚动集合。然后可以针对相对于风险得分的滚动集合(即,相对于多个相关用户)评估每个用户的潜在风险。特别地,对于特定用户,系统生成相对于得分的滚动集合的相对风险得分的时间序列。然后,在所生成的时间序列上执行异常检测。如果检测到风险得分的异常增加,则自动地采取预先配置的安全措施。例如,可以撤销或暂停特定用户的安全凭证,在适当的安全认证时向用户颁发新凭证。
因此,由于滚动窗口用于实时快速地确定风险的增加,并且由于可以立即发布安全补救,因此可以补救安全漏洞造成的损害。此外,拥有计算网络的实体保留对采取哪些安全措施的控制。因此,实体的利益得到保护,最小化了过度使用安全措施的风险。
附加的特征和优点将在下面的描述中阐述,并且部分地将从描述中显而易见,或者可以通过本文教导的实践来学习。本发明的特征和优点可以通过附加权利要求中特别指出的手段和组合来实现和获得。本发明的特征将从下面的描述和附加权利要求中变得更加明显,或者可以通过下文所述的本发明的实践来学习。
附图说明
为了描述可以获得上述和其他优点和特征的方式,将通过参考附图中示出的具体实施例来呈现对上述简要描述的主题的更具体的描述。理解到这些附图仅描绘了典型的实施例,因此不被认为是限制范围的,将通过使用附图来描述和解释实施例,其中:
图1描述了一个根据本文所描述的原理的环境,该环境包括由风险缓解服务所服务的多个网络。
图2描述了一种根据本文所述原则有条件地启动安全措施的方法的流程图。
图3描述了在图1的时间序列上执行异常检测的示例方法的流程图。
图4描述了在图1的方法中执行的预配置安全措施的示例方法的流程图
图5图示了可以采用本文描述的原理的示例计算系统。
具体实施方式
这里描述的原理允许响应于与计算网络的特定用户相关的施加的风险的评估增加而有条件地启动安全措施。使用滚动时间窗口来确定风险。因此,风险的突然增加被快速地检测,允许在该计算网络内快速地采取安全措施。因此,到计算网络的不适当的渗透不太可能升级或横向移动到计算网络内的其他用户或资源。
实体的代理可以已经预先配置了在检测到风险的突然增加时采取的安全措施。在滚动窗口内为实体的多个相关用户确定风险得分,以生成风险得分的滚动集合。然后可以针对相对于风险得分的滚动集合(即,相对于多个相关用户)评估每个用户的潜在风险。特别地,对于特定用户,系统生成相对于得分的滚动集合的相对风险得分的时间序列。然后,在所生成的时间序列上执行异常检测。如果检测到风险得分的异常增加,则自动地采取预先配置的安全措施。例如,可以撤销或暂停特定用户的安全凭证,在适当的安全认证时向用户颁发新凭证。
因此,由于滚动窗口用于实时地快速确定风险的增加,并且由于可以立即发布安全补救,因此可以补救安全漏洞造成的损害。此外,拥有计算网络的实体保留对采取哪些安全措施的控制。因此,实体的利益得到保护,最小化了过度使用安全措施的风险。
图1示出了包括由风险缓解服务120提供服务的多个网络110的环境100。网络110中的每一个网络由相应的实体使用,例如风险缓解服务120的租户。因此,网络110中的每一个都可以被视为风险缓解服务120的租户。因此,在这个意义上的网络可以是包含资源并且实现用于控制对这些资源的访问的过程的任何系统。风险缓解服务120可以被实现为一个或多个可执行组件,例如下面关于图5描述的可执行组件506。
在所示示例中,网络110包括网络111、网络112和网络113。然而,风险缓解服务120可以服务于由省略号114表示的任意数量的网络。作为示例,如果风险缓解服务120在私有云中或针对单个实体运行,则可能只有单个租户,因此可能只有单个网络112。在另一个极端,网络110可以包括无数网络。在这种情况下,可以在公共云中提供风险缓解服务120。
网络110中的每一个都包含多个用户。为了示例的目的,网络112被示为包括用户112A到112H,省略号112I表示网络112可以包括任意数量的用户。其他网络110也可以包括任意数量的用户,尽管为不必要地使图1和本说明书复杂化而在图1中没有示出这些用户。
图2示出了用于有条件地启动安全措施的方法200的流程图。方法200可以在图1的环境100内执行。作为示例,方法200可以由风险缓解服务120来针对任意网络110来执行。因此,现在将针对图1的环境100来描述图2的方法200。特别地,尽管可以针对图1的任意网络110来执行图2的方法200,但将描述为针对图1的网络112来执行方法200。方法200相对于滚动时间窗口来执行。因此,频繁地执行方法200以考虑时间窗口的滚动。
方法200包括确定滚动窗口的实体的相关用户的风险得分,以生成风险得分的滚动集合(动作201)。该实体可以是云服务的租户。参考图1,该实体可以是网络112的所有者,使得所有用户112A到112I都是相关用户。存在用于计算风险得分的多种机制。这里描述的原理不限于任何特定机制。然而,通常基于涉及用户的行为和动作的多种因素来计算风险得分。
让我们举一个任意的例子,其中有10个用户A到J,风险得分可以从0到1000不等。此外,让我们从0开始测量时间,并单调递增。最后,让我们举一个例子,其中从时间0到时间5测量的用户得分集如下表1所示。
表1
现在假设时间窗口为4。在时间5,滚动风险集将包括时间2、3、4和5的所有10个用户的所有风险得分。因此,这将包括总共40个风险得分,对应于表1的右4列中的所有风险得分。风险得分的滚动集由变量S表示,每个风险得分由sxy定义,其中x表示用户A到J的字母,y表示时间。因此,用户C在时间4的风险得分将表示为sC4。
返回参考图2,对于每个用户,执行虚线框210的内容。为每个用户的相对风险得分生成时间序列。相对风险得分相对于风险得分的滚动集合。作为示例,假设相对风险得分是滚动窗口中小于原始得分的原始得分百分比的函数。现在假设每个相对风险得分将由Rxy表示,其中x表示用户A到J的字母,y表示时间。
考虑一个情况,即为用户A生成相对风险得分的时间序列。用户A在时间窗口内的第一个风险得分为sA2,即6。在风险得分滚动集中小于6的得分数量为17。由于在风险得分滚动集中有40个总风险得分,因此相对风险得分RA2为17/40或0.425。用户A在时间窗口内的第二个风险得分为sA3,即7。在风险得分滚动集中小于7的得分数量为22。因此,相对风险得分RA3为22/40或0.55。用户A在时间窗口内的第三个风险得分为RA4,即8。风险分滚动集中小于8的得分数量为26。所以,相对风险分RA4为26/40或0.65。用户A在时间窗口内的最终风险分sA4为14。风险得分滚动集中小于14的得分数量为38。因此,相对风险得分RA4为38/40或0.95。因此在本例中,用户A的相对风险得分的时间序列为0.425、0.55、0.65和0.95。
返回参考图2,服务对时间序列执行异常检测(动作212)。在该示例中,对序列0.425、0.55、0.65和0.95执行异常检测。有多种常规算法用于执行时间序列的异常检测。这里描述的原理不限于任何特定的时间序列异常检测功能。然而,在一个实施例中,使用ARIMA无监督时间序列异常检测算法。
参考图2,如果在时间序列中没有发现异常(判定框213),则此时不采取任何行动(动作214)。然而,如果在特定用户的相对风险得分的生成时间序列中发现异常增加(判定框213中的“是”),则服务自动执行由实体配置的安全措施(动作215)。
现在将描述检测相对风险得分时间序列增加的几个示例。在一个示例中,通过确定所生成的时间序列的最新风险得分高于滚动风险得分集的预定百分比来检测异常增加。例如,假设预定百分比为90%。在这种情况下,所生成的时间序列0.425、0.55、0.65和0.95将导致检测到异常,因为最终相对风险得分0.95高于90%。
百分比阈值可以自适应地改变。因此,阈值可以从90%变化,以避免不必要地触发安全措施,或者避免遗漏安全问题。如果实体希望限制检测风险得分的异常增加,则可以由实体的管理员调整阈值。
在另一个示例中,通过确定所生成的时间序列的最后一个风险得分高于滚动风险得分集的第一预定百分比,并且所生成的时间序列的倒数第二个风险得分低于滚动风险得分集的第二预定百分比来检测异常增加,第二预定百分比小于第一预定百分比。作为示例,假设第一阈值为90%,第二阈值为75%。所生成的时间序列0.425、0.55、0.65和0.95将导致检测到异常,因为最终相对风险得分0.95高于90%,并且因为倒数第二个风险得分0.65低于75%。
该技术的优点是避免过于频繁地发现特定用户通常具有较高风险得分的突然增加,因此可能会因频繁采取安全措施而不方便。例如,表1的用户G具有高风险得分。原始风险得分sG2到sG5为13、12、13和14,导致相对风险得分RG2到RG5为0.9、0.85、0.9和0.95。倒数第二个的相对风险得分为0.9,高于较低的阈值,因此即使最后的相对风险得分为0.95,高于较高的90%阈值,也不会检测到异常增加。因此,具有两个阈值的技术防止用户G在每次收集新的原始风险得分时采取安全措施。
在一个实施例中,所述异常增加是相对于所生成的时间序列中较晚的相对风险得分的滚动风险得分集而相对于所生成的时间序列中较早的相对风险得分的增加。设成在风险得分可比较的任何上下文中在得分期间接收到的得分集,例如来自同一组织或同一地理区域的用户的风险得分。请注意,风险得分集可以包括风险得分,而不需要同时为所有用户计算风险得分,如表1的情况。设成按此顺序接收的被测试用户的风险得分。设x0,x1∈S是按此顺序收到的测试用户的风险评分设h∈(0,1)是排名靠前的风险得分的下界。设l∈(0,1)是排名靠后的风险得分的上界,使得h>l。
上述的排名风险的下限和上限h和l可以是常量值。例如,l可以等于0.75标记底部百分比,h可以等于0.9标记顶部百分比。边界还可以根据上下文进行自适应,并可以在不同上下文之间转移或共享。如果以下情况为真,则被测用户的风险得分从x0到x1的突然增加存在:
图3示出了用于对时间序列执行异常检测的方法300的流程图,并且表示图2的方法200的动作212的示例。方法300包括使用异常检测算法来生成时间序列中的异常的初始正向检测(动作301)。然后可以应用虚假的正向检测逻辑(动作302)来评估初始正向检测是否是虚假的正向(动作303)。如果正向检测被评估为虚假的正向(动作303中的“是”),则忽略初始正向检测(动作304)。另一方面,如果初始正向检测被评估为不是虚假的正向(动作303中的“否”),则输出正向检测(动作305)。参考图2,这将导致检测到异常(决策框213中的“是”)。
假正向的一个例子可能是,如果风险得分样本的数量太小(例如,低于10个风险得分),以至于不能作为可靠的标准,用户风险得分可以与之比较以检测真实的风险行为。虚假的正向的另一个例子可能是,与所有实体的行为(例如,跨越所有网络110)相比,风险得分本身(尽管相对于滚动的风险得分集相对较高)仍然很好地处于安全范围内。
如前所述,由服务执行的安全措施可以由实体本身配置。图4示出了用于预先配置安全措施的方法400的流程图。该方法400可以由图1的风险缓解服务120执行。该服务使用用户界面显示给该实体的管理员(动作401)。此后,该服务检测到该实体管理员的用户交互(动作402)。该服务然后响应于管理员利用用户界面的交互来设置安全措施(动作403)。该配置是在针对该实体的用户执行方法200之前执行的。
配置可以指定每当在所有用户中检测到增加时应用放入固定的安全措施。备选地,安全措施可以取决于用户或用户的角色。备选地或附加地,安全措施可以取决于增加的严重程度。实体管理员可以设置的示例安全措施包括以电子方式通知实体的管理员,暂停特定用户的凭据,撤销或暂停特定用户访问实体的至少一部分计算资源的授权。另一种选择是自动与特定用户建立安全会话,并通过安全会话与特定用户建立新的凭据。
因此,这里描述的原则可以快速确定实体内特定用户是否存在突然增加的风险,从而允许在违规造成进一步损害之前更快速地解决潜在的安全漏洞。此外,实体对安全措施有发言权,允许潜在地立即自动采取安全措施,而不会剥夺实体对其自身安全的控制。因为这里描述的原则是在计算系统的上下文中执行的,所以将参考图5描述计算系统的一些介绍性讨论。
计算系统现在越来越多地采取各种各样的形式。计算系统可以例如是手持设备、电器、膝上型计算机、台式计算机、大型机、分布式计算系统、数据中心,或者甚至传统上没有被认为是计算系统的设备,例如可穿戴设备(例如眼镜)。在本说明书和权利要求中,术语“计算系统”被广义地定义为包括任何设备或系统(或其组合),所述设备或系统包括至少一个物理和有形处理器,以及能够在其上具有可由处理器执行的计算机可执行指令的物理和有形存储器。存储器可以采取任何形式并且可以取决于计算系统的性质和形式。计算系统可以分布在网络环境上并且可以包括多个组成计算系统。
如图5所示,在其最基本的配置中,计算系统500包括至少一个硬件处理单元502和存储器504。处理单元502包括通用处理器。虽然不是必需的,但处理单元502还可以包括现场可编程门阵列(FPGA)、专用集成电路(ASIC)或任何其他专用电路。在一个实施例中,存储器504包括物理系统存储器。该物理系统存储器可以是易失性的、非易失性的或两者的某种组合。在第二实施例中,存储器是非易失性大容量存储器,例如物理存储介质。如果计算系统是分布式的,则处理、存储器和/或存储能力也可以是分布式的。
计算系统500还在其上具有通常被称为“可执行组件”的多个结构。例如,计算系统500的存储器504被示为包括可执行组件506。术语“可执行组件”是计算领域的普通技术人员很好地理解的如下结构的名称:可以是软件、硬件或其组合的结构。例如,当以软件实现时,本领域的普通技术人员将理解可执行组件的结构可以包括可以在计算系统上执行的软件对象、例程、方法(等等)。这样的可执行组件存在于计算系统的堆中、计算机可读存储介质中或其组合中。
本领域普通技术人员将认识到,可执行组件的结构存在于计算机可读介质上,使得当由计算系统的一个或多个处理器(例如,由处理器线程)解释时,使计算系统执行功能。这种结构可以由处理器直接计算机可读(如如果可执行组件是二进制的情况)。备选地,该结构可以被结构化为可解释的和/或编译的(无论是在单个阶段还是在多个阶段),以便生成可由处理器直接解释的这种二进制。当使用术语“可执行组件”时,对可执行组件的示例结构的这种理解完全在计算领域普通技术人员的理解范围内。
术语“可执行组件”也被本领域普通技术人员很好地理解为包括结构,例如硬编码或硬连线逻辑门,这些结构排他地或近排他地在硬件中实现,例如在现场可编程门阵列(FPGA)、专用集成电路(ASIC)或任何其他专用电路中。因此,术语“可执行组件”是用于计算领域普通技术人员很好地理解的结构的术语,无论是以软件、硬件还是组合实现。在本说明书中,还可以使用术语“组件”、“代理”、“管理器”、“服务”、“引擎”、“模块”、“虚拟机”等。如在本说明书和情况中使用的,这些术语(无论是否用修饰从句表示)它们也旨在与“可执行组件”一词同义,因此也具有计算领域普通技术人员所理解的结构。
在接下来的描述中,参考由一个或多个计算系统执行的动作来描述实施例。如果这些动作以软件实现,则(执行该动作的相关联的计算系统的)一个或多个处理器响应于已经执行了构成可执行组件的计算机可执行指令来指导计算系统的操作。例如,这样的计算机可执行指令可以体现在形成计算机程序产品的一个或多个计算机可读介质上。这样的操作的示例涉及对数据的操作。如果这样的动作被排他地或接近排他地在硬件中实现,例如在FPGA或ASIC中,则计算机可执行指令可以是硬编码或硬连线逻辑门。计算机可执行指令(和被操纵的数据)计算系统500还可以包含允许计算系统500通过例如网络510与其他计算系统通信的通信信道508。
虽然并非所有计算系统都需要用户交互界面,但在一些实施例中,计算系统500包括用于与用户交互界面的用户交互界面系统512。用户交互界面系统512可以包括输出机制512A以及输入机制512B。这里描述的原理不限于精确的输出机制512A或输入机制512B这样将取决于设备的性质。然而,输出机制512A可以包括例如扬声器、显示器、触觉输出、虚拟或增强现实、全息图等等。输入机制的示例512B可以包括例如麦克风、触摸屏、虚拟或增强现实、全息图、照相机、键盘、鼠标或其他指针输入、任何类型的传感器等等。
本文所述的实施例可以包括或利用包括计算机硬件的专用或通用计算系统,例如,一个或多个处理器和系统存储器,如下文更详细地讨论。本文所述的实施例还包括用于携带或存储计算机可执行指令和/或数据结构的物理和其他计算机可读介质。这样的计算机可读介质可以是通用或专用计算系统可以访问的任何可用介质。存储计算机可执行指令的计算机可读介质是物理存储介质。携带计算机可执行指令的计算机可读介质是传输介质。因此,作为示例而非限制,本发明的实施例可以包括至少两种明显不同种类的计算机可读介质:存储介质和传输介质。
计算机可读存储介质包括RAM、ROM、EEPROM、CD-ROM或其他光盘存储、磁盘存储或其他磁存储设备,或任何其他物理和有形存储介质,其可用于存储计算机可执行指令或数据结构形式的所需程序代码装置,并可由通用或专用计算系统访问。
“网络”被定义为使得能够在计算系统和/或模块和/或其他电子设备之间传输电子数据的一个或多个数据链路。当信息通过网络或另一个通信连接(硬连线、无线或硬连线或无线的组合)传输或提供到计算系统时,计算系统适当地将该连接视为传输介质。传输介质可以包括网络和/或数据链路,该网络和/或数据链路可以用于以计算机可执行指令或数据结构的形式携带期望的程序代码手段,并且可以被通用或专用计算系统访问。上述的组合也应该包括在计算机可读介质的范围内。
此外,在到达各种计算系统组件时,计算机可执行指令或数据结构形式的程序代码装置可以自动地从传输介质传送到存储介质(或反之亦然)。例如,通过网络或数据链路接收的计算机可执行指令或数据结构可以缓冲在网络接口模块(例如,“NIC”)内的RAM中,然后最终传送到计算系统RAM和/或传送到计算系统处的较不易失性存储介质。因此,应当理解,存储介质可以包括在也(甚至主要)利用传输介质的计算系统组件中。
计算机可执行指令包括,例如,当在处理器处执行时,使通用计算系统、专用计算系统或专用处理设备执行特定功能或功能组的指令和数据。备选地或附加地,计算机可执行指令可以配置计算系统以执行特定功能或功能组。计算机可执行指令可以是,例如,二进制文件或甚至在由处理器直接执行之前经历一些翻译(例如编译)的指令,例如,诸如汇编语言之类的中间格式指令,或者甚至是源代码。
尽管已经用特定于结构特征和/或方法动作的语言描述了该主题,但是应当理解,在所附权利要求中定义的主题不一定限于上述描述的特征或动作,相反,所描述的特征和动作被公开为实现权利要求的示例形式。
本领域技术人员将理解,本发明可以在具有许多类型的计算系统配置的网络计算环境中实践,包括,个人计算机、台式计算机、膝上型计算机、消息处理器、手持设备、多处理器系统、基于微处理器的或可编程消费电子产品、网络PC、小型计算机、大型计算机、移动电话、PDA、寻呼机、路由器、交换机、数据中心、可穿戴设备(例如眼镜)等。本发明还可以在分布式系统环境中实践,其中通过网络链接(无论是通过硬连线数据链路、无线数据链路,还是通过硬连线和无线数据链路的组合)的本地和远程计算系统都执行任务。在分布式系统环境中,程序模块可以位于本地和远程存储器存储设备中。
本领域技术人员还将理解,本发明可以在云计算环境中实施。云计算环境可以是分布式的,尽管这不是必需的。当分布式时,云计算环境可以在组织内国际分布和/或具有跨多个组织拥有的组件。在本说明书和以下权利要求中,“云计算”被定义为用于实现对可配置计算资源池(例如,网络、服务器、存储、应用和服务)的共享池的按需网络访问的模型。“云计算”的定义不限于当适当部署时可以从这样的模型获得的任何其他众多优点。
此外,所概述的操作仅作为示例提供,一些操作可以是可选的,组合成更少的步骤和操作,以进一步的操作作为补充,或者扩展成另外的操作,而不减损所公开实施例的本质。
本发明可以在不脱离其精神或特征的情况下以其它具体形式实施,所描述的实施例在所有方面都被认为只是说明性的而不是限制性的,因此本发明的范围由所附权利要求书而不是前面的描述来指示,所有在权利要求书等效性的含义和范围内的变化都应包含在它们的范围内。
Claims (10)
1.一种计算系统,包括:
一个或多个处理器;以及
一个或多个计算机可读介质,其上具有计算机可执行指令,所述计算机可执行指令被结构化以使得,如果由所述一个或多个处理器执行,则使所述计算系统通过如下操作来条件地启动安全措施:
为实体的多个相关用户确定在滚动时间窗口内的风险得分,以生成滚动风险得分集;
生成特定用户的相对风险得分的时间序列,所述相对风险得分是相对于所述滚动风险得分集而言的,所述特定用户是所述多个风险得分中的一个风险得分;
对所述时间序列执行异常检测;以及
如果所述异常检测在生成的所述特定用户的相对风险得分的时间序列中检测到异常增加,则自动地执行由实体配置的安全措施。
2.根据权利要求1所述的计算系统,所述计算机可执行指令被结构化以使得,如果由所述一个或多个处理器执行,与所述生成的时间序列中的较早的相对风险得分相比,所述异常增加是相对于所述生成的时间序列中的较晚的相对风险得分的滚动风险得分集的增加。
3.根据权利要求1所述的计算系统,所述计算机可执行指令的被结构化以使得,如果由所述一个或多个处理器执行,则通过确定所述生成的时间序列的最近风险得分高于所述滚动风险得分集的预定百分比来检测所述异常增加。
4.根据权利要求1所述的计算系统,所述计算机可执行指令被结构以使得,如果由所述一个或多个处理器执行,则通过以下方式来检测所述异常增加:
确定百分比阈值;以及
确定所述生成的时间序列的最近风险得分高于上述确定的百分比阈值。
5.根据权利要求1所述的计算系统,所述计算机可执行指令被结构以使得,如果由所述一个或多个处理器执行,则通过如下来检测所述异常增加:
确定所述生成的时间序列的最后一个风险得分高于所述滚动风险得分集的第一预定百分比,以及所述生成的时间序列的倒数第二个风险得分低于所述滚动风险得分集的第二预定百分比,所述第二预定百分比小于所述第一预定百分比。
6.根据权利要求1所述的计算系统,所述计算机可执行指令被结构以使得,如果由所述一个或多个处理器执行,则对所述时间序列的所述异常检测的执行包括:
使用异常检测算法生成所述时间序列中的异常的初始正向检测;
应用正向虚假的正向检测逻辑来评估初始正向检测是否为虚假的正向;以及
如果初始正向检测未被虚假的正向检测逻辑确定为虚假的正向,则输出正向检测。
7.根据权利要求1所述的计算系统,所述计算机可执行指令被结构化以使得,如果由所述一个或多个处理器执行,则所述计算系统使用户界面被显示给所述实体的管理员,并且响应于通过所述用户界面的管理员交互来设置所述安全措施。
8.一种用于响应于与计算网络的特定用户相关的施加的风险的评估的增加而有条件地启动安全措施的方法,该方法由计算网络执行,包括:
为实体的多个相关用户确定在滚动时间窗口内的风险得分,以生成滚动风险得分集;
生成特定用户的相对风险得分的时间序列,所述相对风险得分相对于所述滚动风险得分集,所述特定用户是所述多个风险得分中的一个风险得分;
对时间序列进行异常检测;以及
响应于执行异常检测,自动地执行由实体配置的安全措施。
9.根据权利要求8所述的方法,与所述生成的时间序列中的较早的相对风险得分相比,所述异常增加是相对于所述生成的时间序列中的较晚的相对风险得分的滚动风险得分集的增加。
10.根据权利要求8所述的方法,通过确定所述生成的时间序列的最近风险得分高于所述滚动风险得分集的预定百分比来检测所述异常增加。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US17/332,721 US11811807B2 (en) | 2021-05-27 | 2021-05-27 | Conditional security measures using rolling set of risk scores |
US17/332,721 | 2021-05-27 | ||
PCT/US2022/027753 WO2022250917A1 (en) | 2021-05-27 | 2022-05-05 | Conditional security measures using rolling set of risk scores |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117355831A true CN117355831A (zh) | 2024-01-05 |
Family
ID=81841929
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202280036519.8A Pending CN117355831A (zh) | 2021-05-27 | 2022-05-05 | 使用风险得分滚动集合的条件性安全措施 |
Country Status (4)
Country | Link |
---|---|
US (1) | US11811807B2 (zh) |
EP (1) | EP4348464A1 (zh) |
CN (1) | CN117355831A (zh) |
WO (1) | WO2022250917A1 (zh) |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5345595A (en) | 1992-11-12 | 1994-09-06 | Coral Systems, Inc. | Apparatus and method for detecting fraudulent telecommunication activity |
US8473318B2 (en) | 2011-07-19 | 2013-06-25 | Bank Of America Corporation | Risk score determination |
US9218570B2 (en) * | 2013-05-29 | 2015-12-22 | International Business Machines Corporation | Determining an anomalous state of a system at a future point in time |
US9372994B1 (en) * | 2014-12-13 | 2016-06-21 | Security Scorecard, Inc. | Entity IP mapping |
KR101621019B1 (ko) * | 2015-01-28 | 2016-05-13 | 한국인터넷진흥원 | 시계열 통계 기반 공격의심 이상징후를 탐지하기 위한 방법 |
US10701094B2 (en) * | 2017-06-22 | 2020-06-30 | Oracle International Corporation | Techniques for monitoring privileged users and detecting anomalous activities in a computing environment |
US10318729B2 (en) * | 2017-07-26 | 2019-06-11 | Forcepoint, LLC | Privacy protection during insider threat monitoring |
US11423143B1 (en) * | 2017-12-21 | 2022-08-23 | Exabeam, Inc. | Anomaly detection based on processes executed within a network |
US11126746B2 (en) * | 2019-03-28 | 2021-09-21 | The Toronto-Dominion Bank | Dynamic security controls for data sharing between systems |
US20200382534A1 (en) * | 2019-05-30 | 2020-12-03 | Entit Software Llc | Visualizations representing points corresponding to events |
US10623446B1 (en) * | 2019-09-09 | 2020-04-14 | Cyberark Software Ltd. | Multi-factor authentication for applications and virtual instance identities |
US11443205B2 (en) * | 2019-12-13 | 2022-09-13 | Salesforce.Com, Inc. | Self-managing database system using machine learning |
US11586609B2 (en) * | 2020-09-15 | 2023-02-21 | International Business Machines Corporation | Abnormal event analysis |
US11552974B1 (en) * | 2020-10-30 | 2023-01-10 | Splunk Inc. | Cybersecurity risk analysis and mitigation |
-
2021
- 2021-05-27 US US17/332,721 patent/US11811807B2/en active Active
-
2022
- 2022-05-05 WO PCT/US2022/027753 patent/WO2022250917A1/en active Application Filing
- 2022-05-05 EP EP22725339.0A patent/EP4348464A1/en active Pending
- 2022-05-05 CN CN202280036519.8A patent/CN117355831A/zh active Pending
Also Published As
Publication number | Publication date |
---|---|
EP4348464A1 (en) | 2024-04-10 |
US20220385681A1 (en) | 2022-12-01 |
WO2022250917A1 (en) | 2022-12-01 |
US11811807B2 (en) | 2023-11-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10735448B2 (en) | Network anomaly detection | |
US10248910B2 (en) | Detection mitigation and remediation of cyberattacks employing an advanced cyber-decision platform | |
US10250631B2 (en) | Risk modeling | |
US9800598B2 (en) | Detecting shared or compromised credentials through analysis of simultaneous actions | |
US10542021B1 (en) | Automated extraction of behavioral profile features | |
EP3834392B1 (en) | Malicious cloud-based resource allocation detection | |
US10534908B2 (en) | Alerts based on entities in security information and event management products | |
JP6859512B2 (ja) | 認証されたログインのための方法およびデバイス | |
US8762724B2 (en) | Website authentication | |
US11756404B2 (en) | Adaptive severity functions for alerts | |
US20150095981A1 (en) | Blocking via an unsolvable captcha | |
US11997140B2 (en) | Ordering security incidents using alert diversity | |
US20220255926A1 (en) | Event-triggered reauthentication of at-risk and compromised systems and accounts | |
EP3816829B1 (en) | Detection device and detection method | |
US20150220850A1 (en) | System and Method for Generation of a Heuristic | |
US10891361B2 (en) | Device with a camera for real-time risk detection of password leakage | |
US20190026448A1 (en) | Cognitive behavioral security controls | |
JP6893534B2 (ja) | コンピュータシステム内の悪意のあるアクティビティの源を検出するシステムおよび方法 | |
KR101716690B1 (ko) | 데이터 무단 엑세스 차단 방법 및 그 기능이 구비된 컴퓨팅 장치 | |
CN117355831A (zh) | 使用风险得分滚动集合的条件性安全措施 | |
US20220360596A1 (en) | Classification scheme for detecting illegitimate account creation | |
CN111566642A (zh) | 通过监视客户端侧存储器堆栈来检测恶意软件 | |
US20240089273A1 (en) | Systems, methods, and devices for risk aware and adaptive endpoint security controls | |
US11586771B2 (en) | Integrated visualization of multiple app data | |
US20220269785A1 (en) | Enhanced cybersecurity analysis for malicious files detected at the endpoint level |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |