针对离群动作检测云用户的行为异常制造技术

一种检测云环境中异常用户行为的方法包括接收包括用户在当前时间间隔期间采取的动作的计数的向量；确定向量中的动作计数是否大于全局均值；通过结合高于阈值的新动作技能和原始动作技能(若低于阈值)来构建比例表；并且当动作计数大于全局均值乘以来自比例表的对应动作比例时，识别离群点。识别离群点。识别离群点。

【技术实现步骤摘要】
【国外来华专利技术】针对离群动作检测云用户的行为异常
[0001]对相关申请的交叉引用
[0002]本申请要求以下美国临时申请的权益，这些美国临时申请中的每一个通过引用并入本文：
[0003]·
2019年4月18日提交的题为“检测云用户的行为异常(DETECTING BEHAVIOR ANOMALIES OF CLOUD USERS)”的第62/835,980号美国临时申请；
[0004]·
2019年4月18日提交的题为“基于熵的人类和数字实体分类(ENTROPY
‑
BASED CLASSIFICATION OF HUMAN AND DIGITAL ENTITIES)”的第62/835,993号美国临时申请；以及
[0005]·
2019年4月18日提交的题为“针对离群动作检测云用户的行为异常(DETECTING BEHAVIOR ANOMALIES OF CLOUD USERS FOR OUTLIER ACTIONS)”的第62/835,983号美国临时申请。
[0006]本申请还要求以下共同受让的美国非临时申请的优先权，该美国非临时申请通过引用并入本文：
[0007]·
2020年1月23日提交的题为“针对离群动作检测云用户的行为异常(DETECTING BEHAVIOR ANOMALIES OF CLOUD USERS FOR OUTLIER ACTIONS)”的第16/750,874号美国非临时申请。
[0008]本申请还涉及以下共同受让的美国非临时申请，这些美国非临时申请中的每一个通过引用并入本文：
[0009]·
2020年1月23日提交的题为“检测云用户的行为异常(DETECTING BEHAVIOR ANOMALIES OF CLOUD USERS)”第16/750,852号美国非临时申请；以及
[0010]·
2020年1月23日提交的题为“基于熵的人类和数字实体分类(ENTROPY
‑
BASED CLASSIFICATION OF HUMAN AND DIGITAL ENTITIES)”的第16/750,863号美国非临时申请。

技术介绍

[0011]云安全涉及保护与云计算相关联的客户数据、应用程序和基础设施。云环境的安全的许多方面与本地硬件和软件的安全方面相似。这对于公共云、私有云和/或混合云都是如此。云环境中特别关注的安全考虑包括未经授权的数据暴露和泄漏、弱访问控制、易受攻击、可用性中断、拒绝服务攻击等。然而，作为管理物理服务器和存储设备的替代，云安全系统通常依赖基于软件的安全工具来监控和保护进入和离开云资源的信息流。因此，云计算安全IP可包括一组广泛的策略、技术、应用程序、服务、数据和其他相关联的云计算基础设施。
[0012]云计算的安全问题可以大致分为两大类：(1)在云上托管应用程序和存储数据的客户面临的安全问题，以及(2)云提供商自己面临的安全问题。云客户的安全问题可能旨在防止用户权限提升，这描述了一种情况，其中云用户被分配了一组有限的许可，但然后出于恶意目的，诸如使用不安全的API、利用系统和/或应用程序漏洞、使用弱身份、渗透凭证访问管理等将其活动提升到超出那些许可。

技术实现思路

[0013]在一些实施例中，一种检测云环境中的异常用户行为的方法可以包括接收在云环境中在当前时间间隔期间所采取的动作的计数；确定该动作的计数是否比跨对等组采取该动作的先前时间的统计表征大超过阈值量；确定该动作是否表示离群点；以及基于确定该动作表示离群点来生成警告。
[0014]在一些实施例中，一种非暂时性计算机可读介质可包括指令，当指令由一个或多个处理器执行时，使一个或多个处理器执行操作，操作包括接收在云环境中在当前时间间隔期间所采取的动作的计数；确定该动作的计数是否比跨对等组采取动作的先前时间的统计表征大超过阈值量；确定该动作是否表示离群点；以及基于确定该动作表示离群点来生成警告。
[0015]在一些实施例中，一种系统可以包括一个或多个处理器和包括指令的一个或多个存储器设备，当这些指令由该一个或多个处理器执行时，使一个或多个处理器执行操作，操作包括接收在云环境中在当前时间间隔期间所采取的动作的计数；确定该动作的计数是否比跨对等组采取动作的先前时间的统计表征大超过阈值量；确定该动作是否表示离群点；以及基于确定该动作表示离群点来生成警告。
[0016]在任何实施例中，以下特征中的任何一个、没有一个或所有可以以任何组合并且无限制地被包括。在当前时间间隔期间采取的动作的计数可以包括单个用户执行的单个动作类型的计数。在当前时间间隔期间采取的动作的计数可以包括对单个资源执行的单个动作类型的计数。方法/操作还可以包括通过从在当前时间间隔期间记录的动作日志中聚合单个用户的或对单个资源的动作来生成在当前时间间隔期间采取的动作的计数。阈值量可以包括高于跨对等组采取动作的先前时间的统计表征的预定数量的标准偏差。确定动作的计数是否大超过阈值量可以包括将动作的计数和动作的类型提供给神经网络；以及从神经网络接收指示该动作是否表示离群点的输出。可以使用动作的计数、动作的类型和对警告的响应来训练神经网络。方法/操作还可以包括计算表示在云环境中在多个先前时间间隔期间采取的动作的第一向量；计算第一向量和第二向量之间的相似性，该第二向量包括在当前时间间隔期间采取的动作的计数，其中第二向量可以包括动作的计数；将相似性与基线阈值进行比较以确定一个或多个异常动作是否已经发生；以及至少部分地基于确定一个或多个异常动作已经在云环境中发生来生成警告。可以使用余弦相似性来计算相似性。第一向量中的每个条目可以包括多个先前时间间隔期间的平均事件分数。多个先前时间间隔中的每一个可以是一天。多个先前时间间隔可以包括天的滑动窗口，其中天的滑动窗口可以将当前时间间隔添加到天的滑动窗口，并且可以在每个时间间隔后从天的滑动窗口中移除最远的时间间隔。通过存储多个先前时间间隔中的每一个的事件计数的直方图，第一向量可以表示在多个先前时间间隔期间采取的动作。确定动作是否表示离群点可以包括执行动作计数是否大于动作计数的全局均值乘以动作的比例因子的第二确定。确定动作是否表示离群点可以包括将比例因子计算为动作计数的局部均值与动作计数的全局均值的比率。确定动作是否表示离群点可以包括当比例因子大于现有比例因子时替换动作的现有比例因子。动作可以包括由特定用户发送的多个电子邮件。动作可以包括由特定用户创建的多个文件夹。
附图说明
[0017]可以通过参考说明书的其余部分和附图来实现对各种实施例的性质和优点的进一步理解，其中贯穿若干附图使用类似的附图标记来指代相似的组件。在一些情况下，子标签与附图标记相关联以表示多个相似组件之一。当对附图标记的引用是在没有对现有子标签的说明的情况下做出时，旨在指代所有这样的多个相似组件。
[0018]图1A示出了根据一些实施例的可用于针对多个不同云客户来识别用户的行为异常的云访问安全代理(CASB)。<本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种检测云环境中异常用户行为的方法，所述方法包括：接收在云环境中在当前时间间隔期间采取的动作的计数；确定所述动作的所述计数是否比跨对等组采取所述动作的先前时间的统计表征大超过阈值量；确定所述动作是否表示离群点；以及基于确定所述动作是否表示离群点来生成警告。2.如权利要求1所述的方法，其中在所述当前时间间隔期间采取的所述动作的所述计数包括由单个用户执行的单个动作类型的计数。3.如权利要求1所述的方法，其中在所述当前时间间隔期间采取的所述动作的所述计数包括对单个资源执行的单个动作类型的计数。4.如权利要求1所述的方法，还包括通过从在所述当前时间间隔期间记录的动作日志聚合单个用户的或对单个资源的动作，生成在所述当前时间间隔期间采取的所述动作的所述计数。5.如权利要求1所述的方法，其中所述阈值量包括高于跨所述对等组采取所述动作的所述先前时间的统计表征的预定数量的标准偏差。6.如权利要求1所述的方法，其中确定所述动作的所述计数是否大超过阈值量包括：将所述动作的所述计数和所述动作的类型提供给神经网络；以及从所述神经网络接收指示所述动作是否表示离群点的输出。7.如权利要求6所述的方法，其中使用所述动作的所述计数、所述动作的所述类型和对所述警告的响应来训练所述神经网络。8.一种非暂时性计算机可读介质，包括指令，所述指令当由一个或多个处理器执行时，使所述一个或多个处理器执行包括以下各项的操作：接收在云环境中在当前时间间隔期间采取的动作的计数；确定所述动作的所述计数是否比跨对等组采取所述动作的先前时间的统计表征大超过阈值量；确定所述动作是否表示离群点；以及基于确定所述动作是否表示离群点来生成警告。9.如权利要求8所述的非暂时性计算机可读介质，其中所述操作还包括：计算表示在所述云环境中在多个先前时间间隔期间采取的动作的第一向量；计算第一向量和第二向量之间的相似性，所述第二向量包括在当前时间间隔期间采取的动作的计数，其中第二向量还包括所述动作的所述计数；将所述相似性与基线阈值进行比较，以确定一个或多个异常动作是否已...

【专利技术属性】
技术研发人员：B，
申请(专利权)人：甲骨文国际公司，
类型：发明
国别省市：