使用指派的共同行动者标识符来评估访问请求制造技术

论述了用于使用包括多个日志条目的访问请求的日志来对向计算机系统提出的访问请求进行分组的技术，所述多个日志条目包括(a)相应访问请求的多个流量指标和/或(b)提出了相应访问请求的各远程计算机系统的多个身份指标。使用可用来根据流量和/或身份指标对日志条目分组的多个网络分析规则来分析多个日志条目。基于该分析，识别多个日志条目群组，并且每个日志条目群组被指派相应的共同行动者标识符(共同行动者ID)。将使用一个或多个指派的共同行动者ID来确定是否准予特定访问请求。共同行动者ID来确定是否准予特定访问请求。共同行动者ID来确定是否准予特定访问请求。

【技术实现步骤摘要】
【国外来华专利技术】使用指派的共同行动者标识符来评估访问请求


[0001]本公开概括而言涉及计算机安全性，具体而言涉及识别和缓解滥用性访问请求的技术。

技术介绍

[0002]被配置为接收来自其他计算机系统的访问请求的任何计算机系统都有风险成为滥用流量的目标，以达到不正当的目的，例如试图接收对电子资源的未授权访问。连接到不安全网络(例如，互联网)的计算机系统更有可能接收到滥用流量。因此，保护计算机系统不受滥用流量的影响，是操作计算机系统的一个重要方面。申请人认识到，现有的计算机安保方法，尤其是对经由网络接收的请求的处置，可以得到改进。
附图说明
[0003]图1的框图图示了计算机系统的实施例，该计算机系统被配置为接收访问请求并且使用所确定的共同行动者ID来确定是否准予它们。
[0004]图2是根据各种实施例的图1的行动者ID模块的扩展框图。
[0005]图3是根据各种实施例的日志条目的示例表格。
[0006]图4是根据各种实施例的示例表格，其中图3的日志条目根据来自个体网络分析规则的匹配和指派的共同行动者ID被分组。
[0007]图5是根据各种实施例的图2的行动者ID表格的示例。
[0008]图6的流程图图示了根据所公开的实施例的行动者ID指派方法的实施例。
[0009]图7的流程图图示了根据所公开的实施例的请求评估方法的实施例。
[0010]图8是可以实现图1和图2的各种组件的示范性计算机系统的框图。
[0011]本公开包括对“一个实施例”或“一实施例”的提及。短语“在一个实施例中”或“在一实施例中”的出现不一定指的是同一实施例。可以按符合本公开的任何适当方式来组合特定的特征、结构或特性。
[0012]在本公开内，不同的实体(可不同地被称为“单元”、“电路”、其他组件，等等)可被描述或声称为“被配置”为执行一个或多个任务或操作。这种表述——“[实体]被配置为[执行一个或多个任务]”——在本文中被用来指代结构(即，某种物理性的东西，例如电子电路)。更具体而言，这种表述被用来表明这个结构被布置为在操作期间执行一个或多个任务。即使一结构当前没有在被操作，该结构也可以被说成是“被配置为”执行某个任务。“被配置为接收访问请求的计算机系统”旨在涵盖例如具有在操作期间执行此功能的电路的计算机系统，即使所述计算机系统当前没有在被使用(例如，电源没有连接到它)。从而，被描述或记载为“被配置为”执行某个任务的实体是指某种物理性的东西，例如设备、电路、存储可执行来实现该任务的程序指令的存储器，等等。这个短语在本文中不是用来指某种无形的东西。从而，“被配置为”这个构造在本文中不是用来指软件实体，例如应用编程接口(application programming interface，API)。
[0013]术语“被配置为”并不打算意指“可配置为”。例如，未编程的FPGA不会被认为是“被配置为”执行某个特定功能，尽管它可能“可配置为”执行该功能，并且可能在编程之后被“配置为”执行该功能。
[0014]在所附的权利要求中提到一结构被“配置为”执行一个或多个任务，是明确地不打算为该权利要求要素援引35U.S.C.
§
112(f)。因此，所提交的本申请中的任何一项权利要求都不打算被解释为具有装置加功能(means
‑
plus
‑
function)的要素。如果申请人希望在审查期间援引第112(f)条，那么它将使用“用于[执行某功能]的装置”这个构造来记载权利要求要素。
[0015]如本文所使用的，术语“第一”、“第二”等等被用作其后的名词的标签，而不意味着任何类型的排序(例如，空间的、时间的、逻辑的，等等)，除非有具体声明。例如，对“第一”和“第二”网络分析规则的提及并不意味着两者之间的排序，除非另有声明。
[0016]如本文所使用的，术语“基于”用于描述影响确定的一个或多个因素。这个术语并不排除额外的因素可能影响一项确定的可能性。也就是说，某项确定可能只基于指定的因素，或者基于指定的因素以及其他未指定的因素。考虑短语“基于B来确定A”。这个短语说明B是用于确定A或者影响A的确定的因素。这个短语并不排除A的确定也可以基于某个其他因素，例如C。这个短语也旨在涵盖一种实施例，其中A是仅基于B来确定的。如本文所使用的，短语“基于”从而与短语“至少部分基于”是同义的。
[0017]如本文所使用的，术语“平台”指的是一种环境，它包括实现某种功能的一组资源(例如，在本公开的情境中，请求处理平台)。在一些情况下，这组资源可以是软件资源，从而可以说某个平台完全由软件构成。在其他情况下，该组资源可包括软件和软件在其上执行的硬件。此外，资源可以构成执行该功能的专门硬件；在一些情况下，这种专门硬件可以利用固件和/或微代码来执行。(“模块”是一种类型的资源；给定的模块可操作来执行平台的整体功能的某个部分。)术语“平台”从而是一个宽泛的术语，可以用来指代各种实现方式。除非另有声明，否则在本公开中使用术语“平台”将被理解为构成所有可能类型的实现方式，除非另有声明。注意，平台本身不需要能够执行指定的功能。更确切地说，它只需要提供执行该功能的能力。从而，本文描述的请求处理平台的实施例使得请求处理的功能能够被执行。
[0018]如本文所使用的，“模块”是指可操作来执行指定的一组操作的软件和/或硬件。模块在一些情况下可以指一组软件指令，这些指令可由计算机系统执行来执行该组操作。或者，模块可以指被配置为执行该组操作的硬件。硬件模块可以构成通用硬件以及存储程序指令的非暂态计算机可读介质，或者专门的硬件，例如定制的ASIC。
具体实施方式
[0019]高效且准确地识别和隔离滥用性网络流量可能很困难，尤其是当这种流量经由不同的互联网协议(internet protocol，IP)地址来自不同层上的不同端点时。例如，可能很难区分第一数量的流量对应的是第一类型的特定滥用(或特定类型的攻击)以及第二数量的流量对应的是第二特定类型的滥用。IP地址在这方面可能是有用的，但本公开认识到，仅靠IP地址不足以区分这些IP地址背后的行动者。这是因为IP地址可以被模糊，并且攻击者可能控制着在不同地点中和不同网络上的若干个不同机器。攻击者也可能在第一时间使用
一个或多个第一IP地址，然后在以后的时间里切换到使用一个或多个不同的第二IP地址。
[0020]因此，如果仅基于IP地址进行分析，那么要随时以准确的方式阻止威胁集团就困难得多了。即使使用关于网络流量的额外可用信息，要识别来自不同网络端点的滥用流量是否源自单个共同行动者也是一种挑战，然而，本文描述的技术允许做出这样的判定。
[0021]本公开教导了对基于网络的访问进行分析，并且基于高水平的实时相关性生成一种被称为“共同行动者标识符(共同行动者ID)”的合成属性。使用这种属性可以更容易地识别和阻止与威胁相关联的相关访问。在各种实施例中，这个共同行动者ID可以作为合成列被添加到摄取的网络访问本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种与识别互联网上的使用多个通信设备的共同行动者有关的方法，包括：在计算机系统处访问向所述计算机系统提出的访问请求的日志，其中所述日志包括多个日志条目，每个日志条目包括(a)相应访问请求的多个流量指标以及(b)提出了相应访问请求的各远程计算机系统的多个身份指标；利用所述计算机系统，使用多个网络分析规则来分析所述多个日志条目，其中所述多个网络分析规则中的至少一个可用来使用一个或多个流量指标对日志条目进行分组，并且其中所述多个网络分析规则中的至少一个可用来根据一个或多个身份指标对日志条目进行分组，基于所述分析，利用所述计算机系统识别多个日志条目群组，其中每个日志条目群组被指派相应的共同行动者标识符(共同行动者ID)；并且响应于第一访问请求，使用一个或多个指派的共同行动者ID确定是否准予所述第一访问请求。2.如权利要求1所述的方法，其中，给定的日志条目群组的成员与该给定群组的其他成员共享至少一个身份指标和至少一个流量指标。3.如权利要求1所述的方法，其中，所述多个网络分析规则中的个体规则指定所述多个日志条目中的给定日志条目的部分，以对照所述多个日志条目中的其他日志条目的相应部分进行查询；并且其中，识别多个日志条目群组包括识别下述群组：所述群组具有由所述多个网络分析规则中的一个或多个规则指定的匹配部分。4.如权利要求1所述的方法，其中，所述多个网络分析规则中的各个个体规则与各个规则权重相关联；其中，使用所述多个网络分析规则来分析所述多个日志条目中的给定日志条目为个体规则产生个体规则结果，其中，规则结果与各个规则结果置信度水平相关联；并且其中，对所述多个群组的识别是使用由所述规则结果置信度水平和规则权重加权的规则结果来确定的。5.如权利要求1所述的方法，其中，所述识别包括：将特定日志条目分组到具有不同的共同行动者ID的两个或更多个不同日志条目群组中，并且确定与所述不同的共同行动者ID相对应的权重；所述方法还包括：在所述计算机系统处存储阵列，该阵列包括所述不同的共同行动者ID和与所述不同的共同行动者ID相对应的权重，其中所述阵列与所述特定日志条目相关联。6.如权利要求1所述的方法，其中，识别所述多个日志条目群组包括：基于所述多个网络分析规则中的第一网络分析规则的第一规则结果识别第一日志条目群组；并且基于所述多个网络分析规则中的第二网络分析规则的第二规则结果识别第二日志条目群组；
所述方法还包括：确定一个或多个个体日志条目属于所述第一群组和所述第二群组；其中，所述第一群组和所述第二群组中的日志条目被指派相同的共同行动者ID。7.如权利要求1所述的方法，其中，识别所述多个日志条目群组包括：基于所述多个网络分析规则中的第一网络分析规则的第一规则结果识别第一日志条目群组；并且基于所述多个网络分析规则中的第二网络分析规则的第二规则结果识别第二日志条目群组；所述方法还包括：确定所述第一群组中的一个或多个日志条目和所述第二群组中的一个或多个日志条目共享一个或多个流量指标和一个或多个身份指标；其中，所述第一群组和所述第二群组中的日志条目被指派相同的共同行动者ID。8.如权利要求1所述的方法，还包括：在所述计算机系统处存储共同行动者ID索引，该索引对于多个各自的共同行动者ID包括：各自的共同行动者ID；已经与各自的共同行动者ID相关联的所述多个网络分析规则的一个或多个规则结果，其中，给定的规则结果对应于附加有各自的共同行动者ID的日志条目的共享流量指标和/或共享身份指标；基于与所述多个网络分析规则相对应的权重计算的共同行动者ID概率；以及与各自的共同行动者ID相对应的威胁得分，其中给定的威胁得分指示出归属于给定的共同行动者ID的风险量。9.如权利要求1所述的方法，其中，所述多个日志条目包括与第一类型的访问请求相对应的第一组日志条目和与不同的第二类型的访问请求相对应的第二组日志条目；其中，所述多个网络分析规则包括与所述第一类型的访问请求相对应的第一组网络分析规则和与所述不同的第二类型的访问请求相对应的第二组网络分析规则；并且其中，对所述多个日志条目群组的识别允许将与所述第一类型的访问请求相对应的日志条目与与所述第二类型的访问请求相对应的日志条目分组在一起。10.一种存储指令的非暂态计算机可读介质，所述指令在由...

【专利技术属性】
技术研发人员：乔治，
申请(专利权)人：贝宝公司，
类型：发明
国别省市：