利用警报置信度分配来增强网络安全和操作监控制造技术

描述了用于对安全和操作警报进行自动分诊的工具和技术。通过基于机器学习的分类，从与警报相关联的原始事件数据提取的见解实例被聚合、向量化和分配置信度得分。置信度评分使得重负载的管理员和控件能够将注意力和资源集中在他们最有可能保护或提高被监控系统的功能性的位置。即使在接收事件数据之前不知道实例值的数目，特征向量也会通过聚合在底层实例值中接收广泛的基础。对置信度评分过程的可见性可以被提供，以允许调整或通知分类器模型的进一步训练。性能指标被定义，并且生产水平的性能可以被实现。

【技术实现步骤摘要】
【国外来华专利技术】利用警报置信度分配来增强网络安全和操作监控
技术介绍
网络安全试图减少或防止破坏数据和计算资源的期望质量(诸如，机密性、可用性、完整性和隐私性)的攻击。有时，网络攻击专注于特定质量，例如，分布式拒绝服务攻击通常专注于侵蚀或消除数据和事务服务的可用性。在其他时候，攻击针对多种质量，例如，中间人攻击会降低机密性和隐私性，但它也可能引入虚假数据或经修改的数据，从而攻击数据完整性。网络攻击采取多种形式，包括：诸如网络钓鱼(phishing)的社会工程工作，诸如对密码的蛮力攻击的计算密集型攻击，诸如广告软件和勒索软件的开放式攻击，诸如rootkit和数据泄漏的隐蔽攻击，专注于诸如计算能力(创建僵尸机器人大军)或存储(劫持web服务器存储以保持非法材料)的特定资源的攻击，针对特定种类数据(例如病史、信用卡数据)的攻击，以及许多其他形式的攻击。这些工具或技术中的一些在事件发生时或通过稍后检查事件日志来自动监控计算技术系统中的事件。一些工具或技术仅记录或报告事件，而其他工具或技术可能会发出警报，以便将注意力转移到被认为可疑或以其他方式被认为对确保计算技术的正常操作更重要的特定事件。本文档来自技高网...

【技术保护点】
1.一种被配置成执行警报置信度评分的监控计算系统，所述系统包括：/n一个或多个处理器；/n存储器，与至少一个处理器可操作地通信；/n聚合器，其在用至少一个处理器执行时，接收见解实例，每个见解实例具有见解值和见解类型，每个见解实例与警报标识符相关联，所述警报标识符标识先前通过对被监控系统的监控而从监控器生成的警报，所述聚合器被配置成聚合具有相同见解类型的接收实例的见解值；/n向量化器，其在用至少一个处理器执行时，创建包含特征值的特征向量，所述特征值对应于见解类型，所述特征向量包含至少一个特征值，所述至少一个特征值是由所述聚合器从多个见解值产生的聚合见解值，所述特征向量与所述警报相关联；/n分类器...

【技术特征摘要】
【国外来华专利技术】20180820 US 16/105,5001.一种被配置成执行警报置信度评分的监控计算系统，所述系统包括：
一个或多个处理器；
存储器，与至少一个处理器可操作地通信；
聚合器，其在用至少一个处理器执行时，接收见解实例，每个见解实例具有见解值和见解类型，每个见解实例与警报标识符相关联，所述警报标识符标识先前通过对被监控系统的监控而从监控器生成的警报，所述聚合器被配置成聚合具有相同见解类型的接收实例的见解值；
向量化器，其在用至少一个处理器执行时，创建包含特征值的特征向量，所述特征值对应于见解类型，所述特征向量包含至少一个特征值，所述至少一个特征值是由所述聚合器从多个见解值产生的聚合见解值，所述特征向量与所述警报相关联；
分类器，其在用至少一个处理器执行时，接受所述特征向量，所述分类器被配置成至少部分地基于所述特征向量向所述警报分配置信度得分，所述置信度得分指示所述警报表示对所述被监控系统的一个或多个操作的威胁的置信度的程度；以及
输出设备，通过所述置信度得分被配置。


2.根据权利要求1所述的监控计算系统，其中所述监控计算系统被配置成用于企业生产部署，其中从所述聚合器已经接收到所述见解实例时的开始点，直到并且包括所述输出设备通过所述置信度得分被配置时的结束点的总经过时钟时间小于一秒。


3.根据权利要求1所述的监控计算系统，其中所述聚合器被配置成通过应用以下聚合函数中的至少一个来聚合见解值：求和、最小值、最大值、计数、非重复计数、x-百分位数、众数、平均值或中位数。


4.根据权利要求1所述的监控计算系统，其中：
所述聚合器被配置成通过将至少两个聚合函数应用于所述多个见解值来聚合所述多个见解值至少两次，所述至少两个聚合函数在这里被表示为函数A和函数B；
所述向量化器被配置成创建在这里被表示为向量A的特征向量，所述向量A包含在这里被表示为值A的特征值，所述值A是由所述聚合器的、将函数A向所述多个见解值的应用而产生的聚合见解值；
所述向量化器被配置成创建在这里被表示为向量B的特征向量，所述向量B包含在这里被表示为值B的特征值，所述值B是由所述聚合器的、将函数B向所述多个见解值的应用而产生的聚合见解值，值B与值A不同；
所述分类器被配置成至少部分地基于向量A，将在这里被表示为得分A的置信度得分分配给所述警报；
所述分类器被配置成至少部分地基于向量B，将在这里被表示为得分B的置信度得分分配给所述警报；以及
所述输出设备通过以下至少一项被配置：得分A、得分B、或者至少基于得分A和得分B的组合置信度得分。


5.根据权利要求1所述的监控计算系统，其中所述监控计算系统没有以下至少一项：
降维功能性；以及
填充功能性，其用默认值填充特征向量中的未定义值。


6.根据权利要求1所述的监控计算系统，其中所述分类器包括以下至少一项：
朴素贝叶斯分类器模型；
神经网络；
深度学习网络；
卷积网络；
决策树；或者
概率分类器。


7.根据权利要求1所述的监控计算系统，还包括见解排名器，所述见解排名器在用至少一个处理器执行时，根据多个所述见解实例的、对所述置信度得分的相应贡献来对所述多个见解实例进行排名，并且其中所述输出设备还被配置有经排名的所述见解实例的排名列表。


8.一种用于向通过监控被监控系统而被生成的数据分配置信度得分的方法，所述方法包括：
获得数字电子事件数据，所述数字电子事件数据包括或以其他方式标识以下至少一项：通过所述监控生成的一个或多个事件结构，通过所述监控生成的警报结构，或标识通过所述监控生成的警报结构的警报标识符；
从所述事件数据提取多个见解实例，每个见解实例具有见解值和见解类型；
自动聚合具有相同见解类型的至少两个见解实例的见解值，从而产生聚合见解值；
通过创建包含特征值的特征向量来自动向量化见解数据，所述特征值对应于见解类型，所述特征向量包含所述聚合见解值作为所述特征值中的一个特征值；
使用机器学习驱动的分类器对所述特征向量进行分类；
基于所述分类的结果，向所述事件数据分配至少一个置信度得分，每个置信度得分指示所述事件数据表示对所述被监控系统的一个或多个操作的威胁的置信度的程度；以及<...

【专利技术属性】
技术研发人员：N·克劳斯，R·莱文，A·伊斯雷尔，O·布里尔，Y·利弗尼，
申请(专利权)人：微软技术许可有限责任公司，
类型：发明
国别省市：美国;US