【技术实现步骤摘要】
【国外来华专利技术】利用人工智能自动修复安全问题的技术
[0001]对相关申请的交叉引用
[0002]本申请要求于2020年12月22日提交的题为“TECHNIQUES FOR AUTO
‑
REMEDIATING SECURITY ISSUES WITH ARTIFICIAL INTELLIGENCE”的第17/130,867号美国专利申请的权益和优先权,该美国专利申请通过引用整体并入本文。
[0003]本公开一般地涉及网络安全,并且更具体地,涉及用于利用人工智能自动修复(auto
‑
remediating)安全问题的技术。
技术介绍
[0004]安全信息和事件管理(SIEM)是网络安全领域内的子部分,其中软件方案和工具结合了安全信息管理(SIM)和安全事件管理(SEM)。这些软件方案和工具提供对应用和网络硬件生成的安全通知的实时分析。SIEM软件通过收集主机系统、安全设备和应用贯穿组织的基础设施而生成的日志和事件数据并在集中式平台上整理日志和事件数据而工作。SIEM软件方案和工具基于分类规则在此数据(例如防病毒事件和防火墙日志)内标识各种活动,并将活动分类(诸如恶意软件活动、失败和成功登录以及其他潜在的恶意活动)。当软件标识出可能对组织意味着威胁的活动时,通知被生成以指示潜在的安全问题。通过使用一组预定义规则,这些通知可被将设置在各种优先级级别。例如,如果用户帐户在给定时间段内生成多次失败的登录尝试,这可能会被标记为可疑活动,但被设置为较低的优先级级别,因为最有可能是用户已经忘记了他 ...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种方法,包括:通过安全体系架构的响应系统,获得在来自与用户相关联的发射器的信号内检测到的问题;使用被实现为所述响应系统的一部分并且将所述问题作为输入的全局模型来推断第一响应,其中所述全局模型包括关于使用所述安全体系架构的所有用户的偏好而全局地从问题和响应之间的映射中学习的一组全局模型参数;使用被实现为所述响应系统的一部分并且将所述问题作为输入的本地模型来推断第二响应,其中所述本地模型包括关于所述用户的偏好而本地地从问题和响应之间的映射中学习的一组本地模型参数;通过所述响应系统,使用标准来评估第一响应和第二响应,所述标准包括:(i)与第一响应和第二响应中的每一个响应相关联的置信度分数,以及(ii)与所述全局模型和所述本地模型中的每一个模型相关联的权重;通过所述响应系统,基于对第一响应和第二响应的所述评估,确定对所述问题的最终响应;以及通过所述响应系统,基于所述最终响应从一组响应器中选择响应器,其中所述响应器被调适成采取一个或多个动作来对所述问题进行响应。2.如权利要求1所述的方法,还包括:在选择所述响应器之前,使用所述响应系统针对准确度评估所述最终响应,其中所述准确度是基于所述最终响应与所述用户针对所述问题所偏好的真实状况响应之间的比较来评估的,并且,当基于所述比较,所述最终响应与所述真实状况响应一致时,所述最终响应的所述准确度被确定为可接受的,或者当基于所述比较,所述最终响应与所述真实状况响应不一致时,所述最终响应的所述准确度被确定为不可接受的;响应于所述准确度被确定为不可接受的:为所述问题生成标签,其中所述标签包含所述真实状况响应;将包含所述真实状况的所述标签和所述问题存储在本地数据存储库中;以及基于所述真实状况而不是所述最终响应从所述一组响应器中选择所述响应器;以及响应于所述准确度被确定为可接受的:为所述问题生成标签,其中所述标签包含所述最终响应;将包含所述最终响应的所述标签和所述问题存储在所述本地数据存储库和所述全局数据存储库中;以及基于所述最终响应从所述一组响应器中选择所述响应器。3.权利要求2所述的方法,还包括:响应于所述准确度被确定为不可接受的:将包含所述真实状况的所述标签和问题存储在通用数据存储库中或将包含所述真实状况的所述标签和所述问题放在数据队列中,以供管理员评估;从所述管理员接收响应,以关于包含所述真实状况的所述标签和所述问题不采取任何动作,或者使用包含所述真实状况的所述标签和所述问题来训练所述全局模型;响应于响应为不采取任何动作,从所述数据存储库或所述数据队列中移除包含所述真实状况的所述标签和所述问题;以及
响应于响应为训练所述全局模型,将包含所述真实状况的所述标签和所述问题存储在所述全局储存库中。4.如权利要求2所述的方法,还包括:使用来自所述全局储存库的全局训练数据来训练所述全局模型,其中所述全局训练数据包括包含所述最终响应的所述标签和所述问题;以及使用来自所述本地储存库的本地训练数据来训练所述本地模型,其中所述本地训练数据包括包含所述最终响应的所述标签和所述问题。5.如权利要求2所述的方法,还包括使用来自所述本地储存库的本地训练数据来训练所述本地模型,其中所述本地训练数据包括包含所述真实状况响应的所述标签和所述问题。6.如权利要求3所述的方法,还包括:使用来自所述全局储存库的全局训练数据来训练所述全局模型,其中所述全局训练数据包括包含所述真实状况响应的所述标签和所述问题;以及使用来自所述本地储存库的本地训练数据来训练所述本地模型,其中所述本地训练数据包括包含所述真实状况响应的所述标签和所述问题。7.如权利要求1所述的方法,还包括通过所述响应系统执行所述一个或多个动作以对所述问题进行响应。8.一种非暂时性计算机可读存储器,存储能够由一个或多个处理器执行的多个指令,所述多个指令包括当由所述一个或多个处理器执行时使所述一个或多个处理器执行处理的指令,所述处理包括:通过安全体系架构的响应系统,获得在来自与用户相关联的发射器的信号内检测到的问题;使用被实现为所述响应系统的一部分并且将所述问题作为输入的全局模型来推断第一响应,其中所述全局模型包括关于使用所述安全体系架构的所有用户的偏好而全局地从问题和响应之间的映射中学习的一组全局模型参数;使用被实现为所述响应系统的一部分并且将所述问题作为输入的本地模型来推断第二响应,其中所述本地模型包括关于所述用户的偏好而本地地从问题和响应之间的映射中学习的一组本地模型参数;通过所述响应系统,使用标准来评估第一响应和第二响应,所述标准包括:(i)与第一响应和第二响应中的每一个响应相关联的置信度分数,以及(ii)与所述全局模型和所述本地模型中的每一个模型相关联的权重;通过所述响应系统,基于对第一响应和第二响应的所述评估,确定对所述问题的最终响应;以及通过所述响应系统,基于所述最终响应从一组响应器中选择响应器,其中所述响应器被调适成采取一个或多个动作来对所述问题进行响应。9.如权利要求8所述的非暂时性计算机可读存储器,其中所述处理还包括:在选择所述响应器之前,使用所述响应系统针对准确度评估所述最终响应,其中所述准确度是基于所述最终响应与所述用户针对所述问题所偏好的真实状况响应之间的比较来评估的,并且,当基于所述比较,所述最终响应与所述真实状况响应一致时,所述最终响
应的所述准确度被确定为可接受的,或者当基于所述比较,所述最终响应与所述真实状况响应不一致时,所述最终响应的所述准确度被确定为不可接受的;响应于所述准确度被确定为不可接受的:为所述问题生成标签,其中所述标签包含所述真实状况响应;将包含所述真实状况的所述标签和所述问题存储在本地数据存储库中;以及基于所述真实状况而不是所述最终响应从所述一组响应器中选择所述响应器;以及响应于所述准确度被确定为可接受的:为所述问题生成标签,其中所述标签包含所述最终响应;将包含所述最终响应的所述标签和所述问题存储在所述本地数据存储库和所述全局数据存储库中;以及基于所述最终响应从所述一...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。