利用人工智能自动修复安全问题的技术制造技术

利用人工智能自动修复安全问题的技术。一种技术包括获得在来自与用户相关联的发射器的信号内检测到的问题，使用具有关于使用安全体系架构的所有用户的偏好全局地从问题和响应之间的映射中学习的一组全局模型参数的全局模型来推断第一响应，使用具有关于用户的偏好本地地从问题和响应之间的映射中学习的一组本地模型参数的本地模型来推断第二响应；使用标准来评估第一响应和第二响应，基于对第一响应和第二响应的评估确定对问题的最终响应；以及基于最终响应从一组响应器中选择响应器。响应器被调适成采取一个或多个动作来对问题进行响应。进行响应。进行响应。

【技术实现步骤摘要】
【国外来华专利技术】利用人工智能自动修复安全问题的技术
[0001]对相关申请的交叉引用
[0002]本申请要求于2020年12月22日提交的题为“TECHNIQUES FOR AUTO
‑
REMEDIATING SECURITY ISSUES WITH ARTIFICIAL INTELLIGENCE”的第17/130,867号美国专利申请的权益和优先权，该美国专利申请通过引用整体并入本文。


[0003]本公开一般地涉及网络安全，并且更具体地，涉及用于利用人工智能自动修复(auto
‑
remediating)安全问题的技术。

技术介绍

[0004]安全信息和事件管理(SIEM)是网络安全领域内的子部分，其中软件方案和工具结合了安全信息管理(SIM)和安全事件管理(SEM)。这些软件方案和工具提供对应用和网络硬件生成的安全通知的实时分析。SIEM软件通过收集主机系统、安全设备和应用贯穿组织的基础设施而生成的日志和事件数据并在集中式平台上整理日志和事件数据而工作。SIEM软件方案和工具基于分类规则在此数据(例如防病毒事件和防火墙日志)内标识各种活动，并将活动分类(诸如恶意软件活动、失败和成功登录以及其他潜在的恶意活动)。当软件标识出可能对组织意味着威胁的活动时，通知被生成以指示潜在的安全问题。通过使用一组预定义规则，这些通知可被将设置在各种优先级级别。例如，如果用户帐户在给定时间段内生成多次失败的登录尝试，这可能会被标记为可疑活动，但被设置为较低的优先级级别，因为最有可能是用户已经忘记了他们的登录详细信息。然而，如果帐户在短的给定时间内经历了大量失败的登录尝试，这更可能是正在进行的暴力攻击并被标记为高严重性事故。
[0005]虽然SIEM软件方案和工具聚合来自多个源的相关数据并且此数据收集是有意义的，但是SIEM内的这些过程倾向于产生比安全团队可能预期对其做出响应的通知更多的通知同时仍保持有效。为了协助安全团队完成这些任务，称为SOAR(安全编排、自动化和响应)的一组软件方案和工具允许安全团队对威胁和漏洞进行管理，并对事故或安全事件做出响应。编排组件提供各种软件方案和工具之间的协调，以无缝集成并相互通信，以建立可重复、可强制执行、可测量且有效的事故响应过程和工作流。自动化组件使用基于规则或策略的系统来半自动地处理线性基础任务和过程，以减少或消除必须被执行的日常动作。一旦通知已被确认，响应组件就处理和管理安全事故，包括分类、遏制、修复、形式化工作流、报告和协作。因此，通过利用SIEM能力来摄取大量数据和生成通知，SOAR方案可被用于增强SIEM方案，以便更好地管理对每个通知的事故响应过程，从而对日常和重复性任务进行自动化和编排(否则这些任务花费安全团队数小时才能完成)。

技术实现思路

[0006]提供了用于利用人工智能自动修复安全问题的技术(例如，方法、系统、存储可由一个或多个处理器执行的代码或指令的非暂时性计算机可读介质)。
[0007]在各种实施例中，提供了一种方法，该方法包括：通过安全体系架构的响应系统获得在来自与用户相关联的发射器的信号内检测到的问题；使用被实现为响应系统的一部分并且将问题作为输入的全局模型来推断第一响应，其中全局模型包括一组全局模型参数，该组全局模型参数是关于使用安全体系架构的所有用户的偏好而全局地从问题和响应之间的映射中学习的；使用被实现为响应系统的一部分并且将问题作为输入的本地模型来推断第二响应，其中本地模型包括一组本地模型参数，该组本地模型参数是关于用户的偏好而本地地从问题和响应之间的映射中学习的；通过响应系统使用标准来评估第一响应和第二响应，这些标准包括：(i)与第一响应和第二响应中的每一个相关联的置信度分数，以及(ii)与全局模型和本地模型中的每一个相关联的权重；基于对第一响应和第二响应的评估，通过响应系统确定对问题的最终响应；以及基于最终响应，通过响应系统从一组响应器(responder)中选择响应器，其中该响应器被调适成采取一个或多个动作来对问题做出响应。
[0008]在一些实施例中，该方法还包括：在选择响应器之前，使用响应系统针对准确度来对最终响应进行评估，其中准确度是基于最终响应与用户针对该问题所偏好的真实状况响应(groundtruth response)之间的比较来评估的，并且当基于该比较，最终响应与真实状况响应一致时，最终响应的准确度被确定为可接受的，或者当基于该比较，最终响应与真实状况响应不一致时，最终响应的准确度被确定为不可接受的；响应于准确度被确定为不可接受的：为问题生成标签，其中标签包含真实状况响应；将包含真实状况(ground truth)的标签和问题存储在本地数据存储库中；以及基于真实状况而不是最终响应从该一组响应器中选择响应器；以及，响应于准确度被确定为可接受的：为问题生成标签，其中标签包含最终响应；将包含最终响应的标签和问题存储在本地数据存储库和全局数据存储库中；以及基于最终响应从一组响应器中选择响应器。
[0009]在一些实施例中，该方法还包括：响应于准确度被确定为不可接受的：将包含真实状况的标签和问题存储在通用数据存储库中或将包含真实状况的标签和问题放在数据队列中，以供管理员评估；从管理员接收响应，以关于包含真实状况的标签和问题不采取任何动作，或者使用包含真实状况的标签和问题来训练全局模型；响应于该响应为不采取任何动作，从数据存储库或数据队列中移除包含真实状况的标签和问题；以及响应于该响应为训练全局模型，将包含真实状况的标签和问题存储在全局储存库中。
[0010]在一些实施例中，该方法还包括：使用来自全局储存库的全局训练数据来训练全局模型，其中全局训练数据包括包含最终响应的标签和问题；以及使用来自本地储存库的本地训练数据来训练本地模型，其中本地训练数据包括包含最终响应的标签和问题。
[0011]在一些实施例中，该方法还包括：使用来自本地储存库的本地训练数据来训练本地模型，其中本地训练数据包括包含真实状况响应的标签和问题。
[0012]在一些实施例中，该方法还包括：使用来自全局储存库的全局训练数据来训练全局模型，其中全局训练数据包括包含真实状况响应的标签和问题；以及使用来自本地储存库的本地训练数据来训练本地模型，其中本地训练数据包括包含真实状况响应的标签和问题。
[0013]在一些实施例中，该方法还包括：通过响应系统执行一个或多个动作以对问题进行响应。
附图说明
[0014]图1描绘了图示根据各种实施例的用于生成潜在安全问题的通知并利用人工智能自动修复安全问题的计算系统的框图。
[0015]图2描绘了图示根据各种实施例的具有主动学习(active learning)的响应系统的框图。
[0016]图3描绘了图示根据各种实施例的用于利用人工智能自动修复安全问题的过程的流程图。
[0017]图4描绘了图示根据各种实施例的通过被实现为具有主动学习的两个或更多个预测模型来自动修复安全问题的过程的流程图。
[0018]图5描绘了图示根据各种本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种方法，包括：通过安全体系架构的响应系统，获得在来自与用户相关联的发射器的信号内检测到的问题；使用被实现为所述响应系统的一部分并且将所述问题作为输入的全局模型来推断第一响应，其中所述全局模型包括关于使用所述安全体系架构的所有用户的偏好而全局地从问题和响应之间的映射中学习的一组全局模型参数；使用被实现为所述响应系统的一部分并且将所述问题作为输入的本地模型来推断第二响应，其中所述本地模型包括关于所述用户的偏好而本地地从问题和响应之间的映射中学习的一组本地模型参数；通过所述响应系统，使用标准来评估第一响应和第二响应，所述标准包括：(i)与第一响应和第二响应中的每一个响应相关联的置信度分数，以及(ii)与所述全局模型和所述本地模型中的每一个模型相关联的权重；通过所述响应系统，基于对第一响应和第二响应的所述评估，确定对所述问题的最终响应；以及通过所述响应系统，基于所述最终响应从一组响应器中选择响应器，其中所述响应器被调适成采取一个或多个动作来对所述问题进行响应。2.如权利要求1所述的方法，还包括：在选择所述响应器之前，使用所述响应系统针对准确度评估所述最终响应，其中所述准确度是基于所述最终响应与所述用户针对所述问题所偏好的真实状况响应之间的比较来评估的，并且，当基于所述比较，所述最终响应与所述真实状况响应一致时，所述最终响应的所述准确度被确定为可接受的，或者当基于所述比较，所述最终响应与所述真实状况响应不一致时，所述最终响应的所述准确度被确定为不可接受的；响应于所述准确度被确定为不可接受的：为所述问题生成标签，其中所述标签包含所述真实状况响应；将包含所述真实状况的所述标签和所述问题存储在本地数据存储库中；以及基于所述真实状况而不是所述最终响应从所述一组响应器中选择所述响应器；以及响应于所述准确度被确定为可接受的：为所述问题生成标签，其中所述标签包含所述最终响应；将包含所述最终响应的所述标签和所述问题存储在所述本地数据存储库和所述全局数据存储库中；以及基于所述最终响应从所述一组响应器中选择所述响应器。3.权利要求2所述的方法，还包括：响应于所述准确度被确定为不可接受的：将包含所述真实状况的所述标签和问题存储在通用数据存储库中或将包含所述真实状况的所述标签和所述问题放在数据队列中，以供管理员评估；从所述管理员接收响应，以关于包含所述真实状况的所述标签和所述问题不采取任何动作，或者使用包含所述真实状况的所述标签和所述问题来训练所述全局模型；响应于响应为不采取任何动作，从所述数据存储库或所述数据队列中移除包含所述真实状况的所述标签和所述问题；以及
响应于响应为训练所述全局模型，将包含所述真实状况的所述标签和所述问题存储在所述全局储存库中。4.如权利要求2所述的方法，还包括：使用来自所述全局储存库的全局训练数据来训练所述全局模型，其中所述全局训练数据包括包含所述最终响应的所述标签和所述问题；以及使用来自所述本地储存库的本地训练数据来训练所述本地模型，其中所述本地训练数据包括包含所述最终响应的所述标签和所述问题。5.如权利要求2所述的方法，还包括使用来自所述本地储存库的本地训练数据来训练所述本地模型，其中所述本地训练数据包括包含所述真实状况响应的所述标签和所述问题。6.如权利要求3所述的方法，还包括：使用来自所述全局储存库的全局训练数据来训练所述全局模型，其中所述全局训练数据包括包含所述真实状况响应的所述标签和所述问题；以及使用来自所述本地储存库的本地训练数据来训练所述本地模型，其中所述本地训练数据包括包含所述真实状况响应的所述标签和所述问题。7.如权利要求1所述的方法，还包括通过所述响应系统执行所述一个或多个动作以对所述问题进行响应。8.一种非暂时性计算机可读存储器，存储能够由一个或多个处理器执行的多个指令，所述多个指令包括当由所述一个或多个处理器执行时使所述一个或多个处理器执行处理的指令，所述处理包括：通过安全体系架构的响应系统，获得在来自与用户相关联的发射器的信号内检测到的问题；使用被实现为所述响应系统的一部分并且将所述问题作为输入的全局模型来推断第一响应，其中所述全局模型包括关于使用所述安全体系架构的所有用户的偏好而全局地从问题和响应之间的映射中学习的一组全局模型参数；使用被实现为所述响应系统的一部分并且将所述问题作为输入的本地模型来推断第二响应，其中所述本地模型包括关于所述用户的偏好而本地地从问题和响应之间的映射中学习的一组本地模型参数；通过所述响应系统，使用标准来评估第一响应和第二响应，所述标准包括：(i)与第一响应和第二响应中的每一个响应相关联的置信度分数，以及(ii)与所述全局模型和所述本地模型中的每一个模型相关联的权重；通过所述响应系统，基于对第一响应和第二响应的所述评估，确定对所述问题的最终响应；以及通过所述响应系统，基于所述最终响应从一组响应器中选择响应器，其中所述响应器被调适成采取一个或多个动作来对所述问题进行响应。9.如权利要求8所述的非暂时性计算机可读存储器，其中所述处理还包括：在选择所述响应器之前，使用所述响应系统针对准确度评估所述最终响应，其中所述准确度是基于所述最终响应与所述用户针对所述问题所偏好的真实状况响应之间的比较来评估的，并且，当基于所述比较，所述最终响应与所述真实状况响应一致时，所述最终响
应的所述准确度被确定为可接受的，或者当基于所述比较，所述最终响应与所述真实状况响应不一致时，所述最终响应的所述准确度被确定为不可接受的；响应于所述准确度被确定为不可接受的：为所述问题生成标签，其中所述标签包含所述真实状况响应；将包含所述真实状况的所述标签和所述问题存储在本地数据存储库中；以及基于所述真实状况而不是所述最终响应从所述一组响应器中选择所述响应器；以及响应于所述准确度被确定为可接受的：为所述问题生成标签，其中所述标签包含所述最终响应；将包含所述最终响应的所述标签和所述问题存储在所述本地数据存储库和所述全局数据存储库中；以及基于所述最终响应从所述一...

【专利技术属性】
技术研发人员：L，
申请(专利权)人：甲骨文国际公司，
类型：发明
国别省市：