提供了用于在计算环境中对事故进行聚类的系统、方法、和装置。与计算环境中的事件(例如可能的网络威胁或任何其他警报)相关的事故通知被接收,并且特征集可以基于事故通知来生成。特征集可以作为输入被提供给机器学习引擎,以在计算环境中标识相似事故通知。相似事故通知可以包括已解析事故通知或未解析事故通知。解析事故通知的动作可以被接收,从而接收到的动作可以被执行。在一些实现中,除了解析接收到的事故通知之外,动作可以被执行以解析由机器学习引擎标识的相似的未解析事故通知。知。知。
【技术实现步骤摘要】
【国外来华专利技术】用于聚类和加速多个事故调查的基于相似性的方法
技术介绍
[0001]事故(incident)管理系统为行业专业人员提供了查看和响应事故报告的能力,诸如通过调查报告是由于良性还是恶意活动来生成的。例如,在信息技术(IT)设置中,安全分析人员可以接收事故报告,该事故报告与在云计算网络上连接的各种系统上发生的各种活动相对应。按照适时方式分析每个事故报告是期望的,因为某些事故可能包括对一个或多个系统的潜在网络威胁。与网络威胁相关的事故报告通常是作为独立情况来分析的,而不使它们与其他潜在的网络威胁相关。结果,对这种事故报告的解析可能不正确或不一致地被处置,导致处置潜在网络威胁的整体质量和准确性下降。
[0002]虽然相同类型的事故可以被分组(group),但是基于相同事故类型的这种分组通常不包括准确地对事故进行分组。在事故没有被适当地分组的情况下,负责处置事故的安全分析人员可能会误解或无意地忽视网络上的网络威胁。另外,即使在相同类型的不同事故可以被分组的系统中,安全分析人员仍然必须单独地查看和解析每个事故报告,从而潜在地导致不一致和不正确的处置。
[0003]在另一技术中,事故报告可以基于报告被生成的组织的重要性而被优先化,这可以使得安全分析人员能够将他或她的注意力集中在被认为相对重要的事故上。然而,以准确的方式为不同的事故分配优先级通常会失败,例如在优先化算法包括不正确的假设的情况下。另外,如上面所讨论的,即使在优先化技术被实现的情况下,每个事故仍然被单独处置。
技术实现思路
[0004]该
技术实现思路
被提供来以简化的形式介绍对于下面在详细描述中进一步描述的概念的选择。该
技术实现思路
不旨在标识所要求保护的主题的关键特征或者必要特征,也不旨在被用于限制所要求保护的主题的范围。
[0005]提供了用于在计算环境中对事故进行聚类的系统、方法和计算机程序产品。与计算环境中的事件(例如潜在的网络威胁或任何其他警报)相关的事故通知被接收。特征集可以基于接收到的事故通知而被生成。特征集可以作为输入被提供给机器学习引擎,该机器学习引擎应用基于机器学习的模型以在计算环境中标识相似事故通知。相似事故通知可以包括多种类型的通知,包括相似的已解析事故通知或相似的未解析事故通知。解析事故通知的动作可以被接收,从而接收到的动作可以被执行。在一些实现中,除了解析接收到的事故通知之外,动作可以被执行以解析由机器学习引擎标识并且通过用户界面选择的相似的未解析事故通知。
[0006]通过这种方式,基于机器学习的模型可以自动地标识已解析或未解析的一个或多个附加事故通知,其可以类似于安全分析人员当前正在查看的事故通知。例如,在处置事故通知时,安全分析人员可以被使得能够轻易地查看与相似的已解析事故通知相对应的信息,诸如相似事故通知的标识、指示事故通知与相似事故通知之间的相似性或差异的原因、以及先前被执行以解析相似事故通知的动作。在其他实现中,基于机器学习的模型可以被
配置为标识一个或多个相似的未解析事故通知(例如队列中待定的通知),从而使得安全分析人员能够选择以与事故通知相同的方式处置的这种未解析事故通知。结果,事故通知(和相似事故通知)的处置可以以准确、一致和有效的方式被执行。
[0007]其他特征和优点以及各种示例实施例的结构和操作在下面参照附图被详细描述。注意,示例实现不限于本文描述的特定实施例。这种示例实施例仅出于说明性目的而在本文中被呈现。基于本文包含的教导,附加实现对于(多个)相关领域的技术人员将是明显的。
附图说明
[0008]被包含在本文中并且形成说明书的一部分的附图图示了本申请的示例实施例,并且连同本描述,还用于解释示例实施例的原理并且使得相关领域的技术人员能够制造和使用示例实施例。
[0009]图1示出了根据示例实现的用于在计算环境中对事故通知进行聚类的系统的框图。
[0010]图2示出了根据示例实施例的用于在计算环境中对事故通知进行聚类的方法的流程图。
[0011]图3示出了根据示例实施例的事故聚类系统的框图。
[0012]图4示出了根据示例实施例的用于基于相似性度量来标识相似事故通知的方法的流程图。
[0013]图5示出了根据示例实施例的用于标识相似的未解析事故通知的方法的流程图。
[0014]图6示出了根据示例实施例的用于标识相似的已解析事故通知的方法的流程图。
[0015]图7示出了根据示例实施例的说明性事故解析器图形用户界面。
[0016]图8是可以被用于实现各种示例实施例的基于示例处理器的计算机系统的框图。
[0017]当结合附图时,通过下面陈述的详细描述,本文描述的实现的特征和优点将变得更加明显,其中相同的附图标记始终标识对应的元件。在附图中,相同的附图标记通常指示相同的、功能相似和/或结构相似的元件。元件首次出现的附图由对应附图标记中的(多个)最左数字指示。
具体实施方式
[0018]I.介绍
[0019]本说明书和附图公开了许多示例实现。本申请的范围不限于所公开的实现,而是还涵盖所公开的实现的组合以及对所公开的实现的修改。说明书中对“一个实现”、“实现”、示例实施例”、“示例实现”等的引用指示所描述的实现可以包括特定特征、结构或特性,但是每个实现可能不一定包括该特定特征、结构或特性。而且,这种短语不一定指的是相同实现。进一步地,当特定特征、结构或特性是结合实现描述时,无论是否被明确描述,主张的是结合其他实现来实现这种特征、结构或特性在(多个)相关领域的技术人员的知识范围内。
[0020]在讨论中,除非另外声明,否则修饰本公开的实现的一个或多个特征的条件或关系特性的诸如“基本上”和“大约”等形容词应该被理解为意指该条件或特性被定义为在预期的应用的实现操作可接受的公差范围内。
[0021]此外,应该被理解的是,本文使用的空间描述(例如“在
…
上方”、“在
…
下方”、“上
边”、“左侧”、“右侧”、“下边”、“顶部”、“底部”、“垂直的”、“水平的”等)仅出于说明的目的,并且本文描述的结构的实际实现可以以任何定向或方式在空间上被布置。
[0022]许多示例实施例被描述如下。要注意的是,本文提供的任何章节/小章节标题都不旨在是限制性的。实现在该文档中被描述,并且任何类型的实现可以被包括在任何章节/小章节下。此外,在任何章节/小章节中公开的实现可以以任何方式与在相同的章节/小章节和/或不同的章节/小章节中描述的任何其他实现组合。
[0023]II.示例实现
[0024]如上面的
技术介绍
章节中提到的,事故管理系统为行业专业人员提供了查看和响应事故报告的能力,诸如通过调查报告是由于良性还是恶意活动而被生成的。例如,在信息技术(IT)设置中,安全分析人员可以接收事故报告,该事故报告与在云计算网络上连接的各种系统上发生的各种活动相对应。按照适时方式分析每个事故报告是期望的,因为某些事故可能包括对一个或多个系统的潜在网络威胁。与网络威胁相关的事故报告通常是作本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用于对事故进行聚类的系统,包括:至少一个处理器电路;以及存储程序代码的存储器,所述程序代码被配置为由所述至少一个处理器电路执行,所述程序代码包括:特征器,被配置为:接收事故通知,所述事故通知与计算环境中发生的事件相关;以及基于所述事故通知来生成特征集;机器学习引擎,被配置为应用基于机器学习的模型以基于所述特征集来标识所述计算环境中的相似事故通知;以及动作解析器,被配置为:接收解析以下至少一项的动作:所述事故通知和所述相似事故通知;以及执行所述动作。2.根据权利要求1所述的系统,其中所述基于机器学习的模型被配置为:基于所述事故通知的所述特征集与对应于所述相似事故通知的特征集之间的相似性度量,来标识所述相似事故通知。3.根据权利要求1所述的系统,其中所述相似事故通知包括相似的已解析事故通知。4.根据权利要求3所述的系统,其中所述机器学习引擎被配置为:标识先前被执行以解析所述相似的已解析事故通知的对应动作。5.根据权利要求1所述的系统,其中所述相似事故通知包括相似的未解析事故通知。6.根据权利要求5所述的系统,其中所述动作解析器被配置为:接收所述相似的未解析事故通知应该与所述事故通知一起被解析的指示;以及执行解析所述事故通知和相似的未解析事故通知的所述动作。7.根据权利要求1所述的系统,其中所述特征集包括多个特征,所述多个特征包括:从所述事故通知提取的特征;以及从数据馈送提取的特征,所述数据馈送与所述事故通知分离并且与以下至少一项相关联:所述计算环境的过程创建、遥测、网络、硬件配置、或者地理定位。8.一种用于解析事故的方法,所述方法包括:接收事故通知,所述事故通知与计算环境中发生的事件相关;基于所述事故通知来生成特征集;将所述特征集作为输入提供给...
【专利技术属性】
技术研发人员:Y,
申请(专利权)人:微软技术许可有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。