一种对网络可访问存储装置处的网络可访问存储事务进行分类的计算机化方法。该方法包括获得用于异常或者故障检测的客户端预测安全模型,客户端预测安全模型通过对用于访问被存储在客户端计算设备中的目标数据的多个客户端事务的分析而被动态地创建,监视在副本被存储在网络可访问存储装置中时用于访问目标数据的副本的多个网络可访问存储事务,以及基于客户端预测安全模型对多个网络可访问存储事务中的至少一些网络可访问存储事务进行分类。
【技术实现步骤摘要】
【国外来华专利技术】对网络可访问存储装置处的事务进行分类
技术介绍
远端(off-premises)存储装置(例如在云存储上)用于存储从本地存储装置复制的原始数据和旧工作数据集。远端存储装置还用作使用本地(on-premises)和远端资源二者的混合云存储的一部分。远端存储装置还用于存储来自客户端机器、日志和事务集合的更新。出于安全性目的分析访问模式通常地包括创建安全模型(例如,基线),并且测量与基线的偏差,要么基于手工制作的规则要么从监视的动作和/或改变提取的自动学习的模式(例如,使用机器学习和/或数据挖掘技术)。大于和/或小于阈值的偏差(例如,具有低发生概率的偏差)被标记为异常并且通常被忽略。
技术实现思路
根据在此描述的一些示例,提供了用于基于从与被存储在本地设备(诸如客户终端)的本地存储装置中的目标数据相关联的事务数据学习到的安全模型来对在远端存储装置(例如云存储)处监视的远端事务进行分类的方法和系统。安全模型可选地基于在远端存储装置上检测的活动(还被称为行为)而被适配并且被用于检测与被存储在远端存储装置中的目标数据的副本相关联的事务中的异常。可选地,安全模型(在此被称为本地预测安全模型或者客户端预测安全模型)基于用于检测异常的(一个或多个)基线和/或用于基于对在本地存储装置处监视的本地事务的分析而确定的有监督学习的标签。除非另外定义,否则在此使用的所有技术和/或科学术语具有与由本领域的普通技术人员通常理解的相同的意义。类似或者等同于与在此所描述的那些方法和材料可以被使用在本公开的示例的实践或者测试中,下文描述了示例性方法和/或材料。在冲突的情况下,包括定义的专利说明书将进行控制。另外,材料、方法和示例仅是说明性的并且不旨在是必然地限制性的。附图说明本公开的一些示例在此参考附图仅以示例的方式来描述。现在对附图进行详细特定参考,应当强调,所示的细节以示例的方式并且出于本公开的示例的说明性讨论的目的而被示出。在该方面中,利用附图进行的描述使本公开的示例可以如何被实践对于本领域的技术人员明显。在附图中:图1是根据本专利技术的一些示例的用于基于本地设备的事务数据学习到的安全模型来对在远端存储装置处监视的远端事务进行分类的过程的流程图的示图;图2是根据本专利技术的一些示例的用于基于从本地设备的事务数据学习到的安全模型对在远端存储装置处监视的远端事务进行分类的系统(例如通过实现图1)的示意图;以及图3是根据本专利技术的一些示例的用于基于从本地设备的事务数据学习到的安全模型对在远端存储装置处监视的远端事务进行分类(例如使用如在图2中所描绘的系统)的系统中的数据流的示意图。具体实施方式针对远端存储装置(诸如云存储装置)的数据源的非均匀性使其对于创建用于异常和/或故障检测的足够的基线非常复杂。对旧工作集的访问通常稀有并且可以被标记为具有高假肯定率。假肯定率可以引导操作者(例如系统管理员)忽略通知和/或关闭警报选项。通过忽略或者关闭警报或者通知,很少访问的账户可以保持在受保护且易受许多类型的攻击。根据在此所描述的一些示例,提供了基于来自用于异常或者故障检测的安全模型的数据来对网络可访问存储事务进行分类的方法和系统。安全模型通过对被存储在对用于访问某个存储设备中的目标数据的事务的分析而被动态地创建,并且来自安全模型的数据用于对在目标数据的副本被存储在另一存储设备中时用于访问副本的事务进行分类。根据在此描述的一些示例,提供了用于基于从与被存储在本地设备(诸如客户终端)的本地存储装置中的目标数据相关联的事务数据学习到的安全模型来对在远端存储装置(例如云存储)处监视的远端事务进行分类的方法和系统。安全模型可选地基于在远端存储装置上检测的活动(还被称为行为)而被适配并且被用于检测与被存储在远端存储装置中的目标数据的副本相关联的事务中的异常。在不要求大量的投资的情况下,在此概述和下文描述的方法和系统为异常和/或故障检测提供高效的学习模型。通过使用该学习模型,异常的假肯定检测减少并且因此检测警报的可信性增加,如下文所描述的。专利技术人不知道特别地针对数据(在没有上下文的情况下)定制的假肯定减少的方案,诸如被存储用于远端存储系统(例如云存储)处的备份和/或计算效率的工作数据集的副本。在此所描述的方案不要求在大量的实际存储账户上要求昂贵的复杂模型并且要求较少的实现努力。在详细解释示例性示例的至少一个示例之前,将理解到,本公开不必在其应用中限于在以下描述中所阐述和/或在附图和/或示例中所图示的部件和/或方法的构建和布置的细节。本公开能够具有其他实施例或者以各种方式实践或者执行。现在对图1进行参考,其图示了根据本专利技术的一些示例的用于基于本地设备的事务数据学习到的安全模型对在远端存储装置处监视的远端事务进行分类的过程的流程图的示图。过程允许基于根据正常流量活动建立的基线数据和在本地存储装置中监视的标准配置来应用远端存储装置中的异常和/或故障检测方案。以这样的方式,克服从被加载到远端存储装置(诸如云存储)的数据源的非均匀性出现的障碍。此外,这允许减少对很少访问的旧工作集的访问的假肯定检测。还对图2进行参考,其是根据本专利技术的一些示例的用于基于从本地设备202的事务数据学习到的本地预测安全模型对在远端存储系统201的远端存储装置处的远端事务(还被称为网络可访问存储事务)进行分类的系统200的示意图。远端存储系统201(例如云存储服务器或者在一个或多个服务器上执行的虚拟机)和本地设备202(例如客户终端(诸如个人计算机、智能电话和/或类似物))有线和/或无线被连接到网络205(诸如广域网(WAN)和/或一个或多个局域网(LAN))。系统200包括远端存储建模器203和远端检测模块204,例如被存储在远端存储系统201的存储器206中并且由远端存储系统201的(一个或多个)处理器219执行的软件组件。系统200可选地包括或者与本地存储建模器207和本地检测模块208通信,例如被存储在本地存储设备202的存储器220中并且由本地存储设备202的(一个或多个)处理器209执行的软件组件。在使用中,本地存储建模器207通过对用于访问目标数据210的多个本地事务(还被称为客户端事务,诸如(一个或多个)工作集(例如,驻留在物理存储器中的过程的虚拟地址空间中的e个页面))的分析动态地创建本地安全模型,同时目标数据210被存储在客户端计算设备中。本地安全模型还可以基于从多个本地事务的分析创建的异常基线来训练。本地安全模型可以由用于本地异常和/或故障检测的检测模块208来使用,例如用于检测与指示威胁(诸如对于访问或者操纵数据和/或任何恶意软件活动和/或系统故障的未授权试验)的基线的偏差。可选地,如在101处所示,本地存储建模器207可选地收集(一个或多个)访问日志、(一个或多个)维护日志、(一个或多个)部署日志和/或与目标数据210相关联的(一个或多个)配置(config)日志。可选地,相关数据(诸如由本地设备202存储或者先前使用的旧工作集的快照)也被存储和/或映射。如在102处所示,这允许根据从所收集的日志和/或相关数据所提取的特征来计算本地预测安全模型212(还被称为客户端预测安全模型)。特征可以是数据量访问、读取事务数据、写入事务数据、被用于登录动作的源因特网协议(IP)、登录动作的时本文档来自技高网...
【技术保护点】
1.一种对网络可访问存储装置处的网络可访问存储事务进行分类的计算机化方法,包括:获得用于异常或者故障检测的客户端预测安全模型,所述客户端预测安全模型通过对用于访问被存储在客户端计算设备中的目标数据的多个客户端事务的分析而被动态地创建;监视在所述目标数据的副本被存储在网络可访问存储装置中时用于访问所述副本的多个网络可访问存储事务;以及基于所述客户端预测安全模型,对所述多个网络可访问存储事务中的至少一些网络可访问存储事务进行分类。
【技术特征摘要】
【国外来华专利技术】2016.05.29 US 15/168,0591.一种对网络可访问存储装置处的网络可访问存储事务进行分类的计算机化方法,包括:获得用于异常或者故障检测的客户端预测安全模型,所述客户端预测安全模型通过对用于访问被存储在客户端计算设备中的目标数据的多个客户端事务的分析而被动态地创建;监视在所述目标数据的副本被存储在网络可访问存储装置中时用于访问所述副本的多个网络可访问存储事务;以及基于所述客户端预测安全模型,对所述多个网络可访问存储事务中的至少一些网络可访问存储事务进行分类。2.根据权利要求1所述的计算机化方法,其中所述客户端预测安全模型包括使用用于对安全事件进行分类的标记数据而计算出的分类器。3.根据前述权利要求中的任一项所述的计算机化方法,其中所述客户端预测安全模型包括用于异常或者故障检测的至少一个基线,或者基于所述至少一个基线而被创建。4.根据前述权利要求中的任一项所述的计算机化方法,还包括基于对所述目标数据的多个特征的分析来对所述副本进行分类;其中所述客户端预测安全模型被选自根据对多个客户端事务的所述分析创建的多个客户端预测安全模型。5.根据前述权利要求中的任一项所述的计算机化方法,还包括基于无监督学习技术将来自所述目标数据的多个数据集聚类到多个数据集群集中,并且相应地对所述副本进行分类。6.根据前述权利要求中的任一项所述的计算机化方法,还包括通过根据对所述多个网络可访问存储事务的分析对所述客户端预测安全模型进行适配来创建网络可访问存储数据模型。7.根据权利要求6所述的计算机化方法,其中所述分类包括:基于异常检测规则,选择多个客户端预测安全模型、所述网络可访问存储数据模型、以及所述客户端预测安全模型和所述网络可访问存储数据模型的组合中的一个。8.根据权利要求6和7中的任一项所述的计算机化方法,其中所述分类包括:基于所述客户端预测安全模型、所述网络可访问存储数据模型、以及所述客户端预测安全模型和所述网络可访问存储数据模型的组合的历史性能,选择所述客户端预测安全模型、所述网络可访问存储数据模型、以及所述组合中的一个。9.一种系统,包括:至少一个处理器;以及存储器...
【专利技术属性】
技术研发人员:R·罗南,胡佩珩,L·莫尔,
申请(专利权)人:微软技术许可有限责任公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。