用于身份危害风险计算的受监督学习系统技术方案

提供了用于基于用户风险得分改善计算机安全系统的系统。这些系统可以用于通过将多层机器学习应用于用于生成用户风险得分的不同用户风险简档组件，并且从而能够动态地生成和修改对应用户风险得分，来改善用户风险得分的准确性和可用性。准确性和可用性。准确性和可用性。

【技术实现步骤摘要】
【国外来华专利技术】用于身份危害风险计算的受监督学习系统

技术介绍

[0001]计算系统和对应软件应用已经变得非常精密，从而使得用户能够访问、操纵和存储各种格式的数据并且利用该数据执行众多功能。例如，一些软件应用被配置为执行文字处理、设计、音频/视频处理、数据分析、电子邮件处理等。
[0002]在很多情况下，软件应用被配置为基于与其计算机资源相关联的权限和策略来限制用户权限。对于很多分布式企业系统和应用于说尤其如此，这些系统和应用使得订阅用户能够通过网络浏览器或云门户远程访问其数据和服务。例如，在一些实例中，用户可以通过提供与授权用户帐户相对应的凭证来登录云门户并且访问计算资源，诸如虚拟机或远程托管的其他资源。
[0003]使用登录凭证来认证和验证授权用户是一种用于控制对计算资源的访问的公知技术。但是，这种类型的安全性过程可以通过欺骗或以其他方式获取有效登录凭证的未授权并且精密的入侵者规避。在一些实例中，诸如蛮力攻击、拒绝服务攻击、间谍软件、病毒和其他恶意软件的网络攻击也可以用于规避在计算资源上施加的安全动作和策略限制，和/或可以用于危害或损害这些计算资源。
[0004]为了帮助减轻未授权的使用和风险行为的扩散，一些企业将用户风险简档与用户帐户相关联，以进一步控制/限制用户对其计算机资源的访问。特别地，一些系统将已知用户及其登录凭证以及其他简档数据与不同风险水平和对应安全策略相关联，以控制由所请求的计算资源提供的访问。在这样的实例中，相对于具有低或较低风险简档的用户，具有高风险简档的用户与减少的特权和访问权限相关联。如果以后发现用户存在高风险，则可以更新其简档以反映其较高的风险水平并且限制其访问权限。但是，当仍然可以规避这些类型的系统时，诸如在对应用户风险简档可以被更新以反映风险行为之前当不良实体创建或使用具有较低水平风险的帐户和/或执行不良行为时。
[0005]对于在很多分布式系统之中管理大量用户帐户的系统来说，上述问题更为恶化。例如，即使它们可以访问反映利用一个或多个帐户的不良行为者的重复动作的历史数据，管理成千上万个用户帐户或甚至数百万个用户帐户的系统无法有效并且及时地跟踪新用户帐户并且将其与检测到的不良用户帐户相关联。
[0006]同样，仅管理少量用户帐户的系统也可能由于不具有足够的历史数据来标识不良行为者或仅具有有限的历史数据而遭受相关问题，这也可能有效地阻止这样的系统更新他们的风险简档，即使这些恶意行为者可能已经被知道先前对其他系统发起过攻击，尤其是在恶意行为者首次对系统发起任何攻击之前。
[0007]不幸的是，安全系统的精度(其指示系统能够将不良行为者/动作标识为不良的准确程度)与安全系统的召回有效性(指示被标识并且被防止损害系统的不良行为者/动作的总百分比)呈反相关关系。例如，将所有实体都标识为不良行为者并且阻止所有访问的系统具有100％的召回有效性，但是精度非常差(因为甚至良好的行为者也被标识为不良)。同样，仅标识最明显的不良行为者的100％精度的系统可能具有非常低的召回有效性，因为它将避免标识出难以检测的不良行为者。这种反相关的一个原因是，现有系统无法动态且实
用地以有效且全面的方式处理可用的所有用户行为数据和登录数据。
[0008]鉴于前述内容，持续需要改善计算机安全系统、尤其是计算机系统能够控制对其受限计算机资源的访问的方式、更特别地是利用风险简档的计算机安全系统能够有效地管理和更新风险简档，以增强计算机安全性并且控制对受限计算机资源的访问的方式。
[0009]尽管进行了前述描述，但是应当理解，所公开的实施例的主题不仅限于解决特定缺点的实施例、或者仅在诸如上述环境中操作的实施例。而是，仅提供该背景以说明可以在其中实践本文中描述的一些实施例的一个示例性


技术实现思路

[0010]所公开的实施例涉及用于改善用户身份保护并且用于进一步改善基于用户风险简档的计算机安全系统的系统和方法，并且更具体地涉及用于通过将多层机器学习应用于用户风险简档组件以便动态地生成和修改对应用户风险得分来改善用户风险得分的准确性和可用性的实施例。
[0011]所公开的一些实施例专门涉及用于通过执行多个动作来改善用户风险得分的精度和召回实用性的方法和实现该方法的对应计算机系统，多个动作与将多个机器学习层应用于风险简档组件以生成和/或修改用户风险得分相关联。这些用户风险得分(本文中也称为用户身份风险得分)用于控制对计算机资源的访问。
[0012]在一些实例中，方法由计算机系统实现，计算机系统首先访问与对应用户相关联的登录事件集合中的每个登录事件的所存储的登录数据。该登录数据(其被存储预定时间段)包括一个或多个登录事件。然后，根据所存储的登录数据，并且基于与所存储的登录数据相关联的风险简档，计算机系统为每个登录事件标识一个或多个登录检测器集合。这些登录检测器包括与登录事件相关联的风险特征和属性。
[0013]然后，计算机系统通过将第一机器学习工具(其可以包括一个或多个系统和/或一个或多个算法的任何组合)应用于该组登录检测器来生成量化的登录检测器风险水平集合，并且从而量化与每个登录检测器相关联的相对风险水平。接下来，计算机系统通过将第二机器学习工具应用于该组量化的登录检测器风险水平，以量化与该组登录事件中的每个登录事件相关联的相对风险水平，来生成量化的登录风险水平集合。
[0014]一旦登录事件被量化，则计算机系统通过将第三机器学习工具(其可以包括一个或多个系统和/或一个或多个算法的任何组合)应用于该组量化的登录风险水平，来生成量化用户的总体风险水平的用户身份风险得分。
[0015]此后，计算机系统通过将第三机器学习工具重新应用于该组量化的登录风险水平，来迭代并且动态地更新第一用户身份风险得分或生成新的用户身份风险得分。该过程还可以包括重新应用第一机器学习工具或第二机器学习工具和/或修改各种量化的风险水平设置中的任一项。
[0016]提供本“
技术实现思路
”以便以简化的形式介绍一些所选择的概念，这些概念将在下面的“具体实施方式”中进一步描述。本“
技术实现思路
”既不旨在标识所要求保护的主题的关键特征或必要特征，也不旨在用于帮助确定所要求保护的主题的范围。
[0017]其他特征和优点将在下面的描述中阐述，并且部分地将从描述中变得很清楚，或者可以通过本文中的教导的实践而获知。本专利技术的特征和优点可以借助于在所附权利要求
中特别指出的手段和组合来实现和获取。本专利技术的特征根据以下描述和所附权利要求书将变得更加完全明显，或者可以通过以下所述的本专利技术的实践而获知。
附图说明
[0018]为了描述获取上述和其他优点和特征的方式，将通过参考在附图中示出的特定实施例来对以上简要描述的主题进行更具体的描述。已经理解这些附图仅描绘典型实施例并且因此不应当被视为对范围的限制，将通过使用附图用附加特征和细节来描述和解释实施例，在附图中：
[0019]图1示出了包括云服务的计算系统的计算环境，该云服务组合了多个计算机系统并且被并入所公开的实施例中或由所公开的实施例利用本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种计算系统，包括：一个或多个处理器；以及一个或多个计算机可读介质，其上存储有指令，所述指令由所述一个或多个处理器可执行，以将所述计算机系统配置为实现改善用于提供计算机安全性的用户身份风险得分的精度和召回实用性的方法，所述指令包括可执行以将所述计算机系统配置为通过至少执行以下项来实现所述方法的指令：访问针对对应于第一用户的登录事件集合中的每个登录事件的、存储的登录数据，所述登录数据被存储预定时间段，所述登录事件集合包括一个或多个登录事件；从所述存储的登录数据中，并且基于与所述存储的登录数据相关联的风险简档，针对对应于所述第一用户的所述登录事件集合中的每个登录事件标识登录检测器集合，所述登录检测器集合包括一个或多个登录检测器；通过将第一机器学习工具应用于所述登录检测器集合，以量化与所述登录检测器集合中的每个登录检测器相关联的相对风险水平，来生成量化的登录检测器风险水平集合；通过将第二机器学习工具应用于所述量化的登录检测器风险水平集合，以量化与所述登录事件集合中的每个登录事件相关联的相对风险水平，来生成量化的登录风险水平集合；通过将第三机器学习工具应用于所述量化的登录风险水平集合，以量化与所述第一用户相关联的相对风险水平，来生成第一用户身份风险得分；以及通过将所述第三机器学习工具重新应用于所述量化的登录风险水平集合，来迭代并且动态地更新所述第一用户身份风险得分或生成新的第一用户身份风险得分。2.根据权利要求1所述的计算机系统，其中所述第二机器学习工具和所述第三机器学习工具被并入单个机器学习算法中。3.根据权利要求1所述的计算机系统，其中所述方法包括：在生成所述第一用户身份风险得分之后、并且在检测与所述第一用户相关联的任何新的登录事件之前，生成所述新的第一用户身份风险得分。4.根据权利要求1所述的计算机系统，其中所述方法还包括：针对所述第一用户检测新的登录事件，其中针对所述新的登录事件的新的登录事件数据被添加到所述存储的登录事件数据中；以及基于所述新的登录事件，标识新的登录检测器集合，所述新的登录检测器集合随后被用于通过所述第一机器学习工具的应用，来生成新的量化的登录检测器风险水平集合，并且所述新的量化的登录检测器风险水平集合进一步被用于通过所述第二机器学习工具的应用，来生成新的量化的登录风险水平集合，并且所述新的量化的登录风险水平集合被更进一步用于通过应用所述第三机器学习工具来生成所述新的第一用户身份风险得分。5.根据权利要求1所述的计算机系统，其中所述方法还包括针对第二用户生成新的第二用户身份风险得分，所述新的第二用户身份风险得分与所述第二用户的先前第二用户身份风险得分不同，所述先前第二用户身份风险得分基于所述第一机器学习工具到与所述第二用户的登录事件相关联的登录检测器集合的先前应用，其中所述新的第二用户身份风险得分的所述生成是响应于在所述第一用户的所述登录事件集合中所述第一机器学习工具到所述登录检测器集合的所述应用而被自动执行的，并且所述第一机器学习工具到所述登
录检测器集合的所述应用在所述第一机器学习工具被应用时引起对所述第一机器学习工具的修改和/或对由所述第一机器学习工具使用的数据的修改。6.根据权利要求1所述的计算机系统，其中所述方法还包括：在重新应用所述第三机器学习工具之前，通过将所述第二机器学习工具重新应用于所述量化的登录检测器风险水平集合，以修改所述量化的登录风险水平集合，来生成所述新的第一用户身份风险得分。7.根据权利要求1所述的计算机系统，其中所述方法还包括：在重新应用所述第二机器学习工具之前，通过...

【专利技术属性】
技术研发人员：S，
申请(专利权)人：微软技术许可有限责任公司，
类型：发明
国别省市：