异常用户会话检测器制造技术

公开了一种异常用户会话检测器。针对授权用户的登录会话中的操作的序列被采集。监督学习模型被训练以从操作的序列标识授权用户。通过查询监督学习模型来检测异常会话。过查询监督学习模型来检测异常会话。过查询监督学习模型来检测异常会话。

【技术实现步骤摘要】
【国外来华专利技术】异常用户会话检测器

技术介绍

[0001]云计算是一种服务交付模型，用于使能对可配置计算资源的共享池的方便的按需网络访问，该共享池可以利用标称管理工作或与服务的提供商的交互来被快速生成和释放。云计算允许云消费者在弹性并且有时是非永久性的基础上获取作为服务的计算资源，诸如网络、网络带宽、服务器、处理存储器、存储设备、应用、虚拟机和服务。云计算平台和基础设施允许开发者为应用构建、部署和管理资产和资源。云计算可以包括可以保护资源和资产免受攻击的安全服务。

技术实现思路

[0002]提供本
技术实现思路
是为了以简化的形式介绍一些构思，这些构思将在下面的描述中进一步被描述。本
技术实现思路
不旨在标识所要求保护的主题的关键特征或必要特征，也不旨在用于限制所要求保护的主题的范围。
[0003]本公开涉及异常用户会话检测器。在一个示例中，异常用户会话检测器包括训练组件和检测组件。训练组件可以学习授权用户在登录会话中的典型行为，并且检测组件可以标识相对于登录会话中的典型行为的偏差，以确定登录会话中的用户是否是授权用户。基于登录会话典型通常行为，检测组件可以从响应集中采取动作。
[0004]在一个示例中，异常用户会话检测器可以被实现为基础设施的一部分或诸如用于云租户的平台即服务，或被实现为用于其他云的软件即服务。在一个示例中，异常用户会话检测器可以被实现为计算机程序以运行处理器或计算设备，诸如数据中心中的服务器。在异常用户会话检测器的一个示例中，授权用户的登录会话中的操作的序列被采集。监督学习模型被训练以从操作的序列标识授权用户。通过查询监督学习模型来检测异常会话。如果异常会话的用户不是授权用户的前景超出阈值量，则检测器可以采取安全动作。
附图说明
[0005]附图被包括以提供对实施例的进一步理解并且被并入以及构成本公开的一部分。附图图示了实施例并且与描述一起用于解释实施例的原理。其他实施例和实施例的很多预期优点将容易理解，因为它们通过参考以下描述变得更好理解。附图的元件不一定相对于彼此成比例。相同的附图标记指定对应的类似部件。
[0006]图1是图示计算设备的示例的框图，该计算设备可以被配置在计算机网络中以提供例如云计算环境。
[0007]图2是图示云计算环境的示例的示意图。
[0008]图3是图示示例异常用户会话检测器的示意图，其可以作为服务被包括在图2的云计算环境中。
[0009]图4是图示图3的异常用户会话检测器的示例方法的框图。
[0010]图5是图示图3的异常用户会话检测器的示例方法的框图。
[0011]图6是图示图3的异常用户会话检测器的示例方法的框图。
具体实施方式
[0012]在以下描述中参考附图，这些附图构成本文的一部分，并且附图中通过图示的方式示出了其中可以实施本专利技术的特定实施例。应当理解，可以利用其他实施例并且可以在不脱离本专利技术的范围的情况下进行结构或逻辑上的改变。因此，以下描述不应当以限制意义理解。应当理解，除非另外具体指出，本文描述的各个示例实施例的特征可以部分或整体地彼此组合。
[0013]图1图示了一种示例性计算机系统，该示例性计算机系统可以在操作环境中被采用并且用于托管或运行一个或多个计算机可读存储介质上包括的计算机应用，该计算机可读存储介质存储用于控制诸如计算设备的计算机系统以执行进程的计算机可执行指令。示例性计算机系统包括计算设备，例如计算设备100。计算设备100可以采用多种形式中的一种或多种。这种形式包括平板电脑、个人计算机、工作站、服务器、手持设备、消费电子设备(诸如视频游戏控制台或数字录像机)等，并且可以是独立设备或被配置为计算机网络的一部分。
[0014]在基本硬件配置中，计算设备100通常包括具有一个或多个处理单元(即，处理器102)和存储器104的处理器系统。作为示例，处理单元可以包括芯片上的两个或更多个处理核或者两个或更多个处理器芯片。在一些示例中，计算设备还可以具有一个或多个附加处理或专用处理器(未示出)，诸如用于图形处理器单元上的通用计算的图形处理器，以执行从处理器102卸载的处理功能。存储器104可以按层次布置并且可以包括一个或多个级别的高速缓存。取决于计算设备的配置和类型，存储器104可以是易失性的(诸如随机存取存储器(RAM))、非易失性的(诸如只读存储器(ROM)、闪存等)，或者这两者的某种组合。
[0015]计算设备100还可以具有附加特征或功能。例如，计算设备100还可以包括附加存储设备。这种存储设备可以是可移动和/或不可移动的，并且可以包括磁盘或光盘、固态存储器或闪存设备，诸如可移动存储设备108和不可移动存储设备110等。计算机存储介质包括易失性和非易失性、可移动和不可移动介质，其以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据等信息的任何合适方法或技术来被实现。存储器104、可移动存储设备108和不可移动存储设备110都是计算机存储介质的示例。计算机存储介质包括RAM、ROM、EEPROM、闪存或其他存储技术、CD
‑
ROM、数字多功能光盘(DVD)或其他光学存储设备、盒式磁带、磁带、磁盘存储设备或其他磁存储设备、通用串行总线(USB)闪存驱动器、闪存卡或其他闪存设备，或者能够用于存储所需信息并且能够由计算设备100访问的任何其他存储介质。对应地，传播信号本身不作为存储介质。任何这种计算机存储介质可以是计算设备100的一部分。
[0016]计算设备100通常包括一个或多个输入和/或输出连接，诸如USB连接、显示端口、专有连接等，以连接到各种设备来向计算设备提供输入和输出。输入设备112可以包括诸如键盘、指针设备(例如，鼠标、跟踪板)、触笔、语音输入设备、触摸输入设备(例如触摸屏)等。输出设备111可以包括诸如显示器、扬声器、打印机等的设备。
[0017]计算设备100通常包括允许计算设备100与其他计算机/应用115通信的一个或多个通信连接114。示例通信连接可以包括以太网接口、无线接口、总线接口、存储区域网络接口和专有接口。通信连接可以用于将计算设备100耦合到计算机网络，计算机网络可以根据诸如拓扑、连接方法和规模的各种各样的特性来被分类。网络是通过通信通道互连的计算
设备和可能的其他设备的集合，通信通道促进通信并且允许在互连设备中间共享资源和信息。计算机网络的示例包括局域网、广域网、因特网或其他网络。
[0018]在一个示例中，计算设备100中的一个或多个计算设备100可以被配置为数据中心中的服务器以提供分布式计算服务，诸如云计算服务。数据中心可以提供池化资源，在池化资源上，客户或租户可以根据需要动态供应和扩展应用，而无需添加服务器或进行附加联网。数据中心可以被配置成与诸如由云消费者使用的本地计算设备通信，本地计算包括个人计算机、移动设备、嵌入式系统或其他计算设备。在数据中心内，计算设备100可以被配置为服务器，作为独立设备或者作为一个或多个其他服务器设备的机架中的个体刀片。每个服务器上的一个或多个主机处理器(诸如处理器102)以及其本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种检测异常用户会话的方法，所述方法包括：在针对授权用户的登录会话中采集操作的序列；训练监督学习模型，以从所述操作的序列标识所述授权用户；以及通过查询所述监督学习模型来检测异常会话。2.根据权利要求1所述的方法，其中所述采集包括收集进程创建事件。3.根据权利要求1所述的方法，其中所述操作的序列经由访问凭证而归因于所述授权用户。4.根据权利要求1所述的方法，其中所述训练包括机器学习所述授权用户在所述登录会话中的行为。5.一种计算机可读存储设备，用于存储计算机可执行指令，所述计算机可执行指令用于控制处理器以：在针对授权用户的登录会话中采集操作的序列；训练监督学习模型，以从所述操作的序列标识所述授权用户；以及通过查询所述监督学习模型来检测异常会话。6...

【专利技术属性】
技术研发人员：R，
申请(专利权)人：微软技术许可有限责任公司，
类型：发明
国别省市：