[发明专利]识别在线服务的行为变化

权利要求书

1.一种计算机实施的方法，包括：

产生与在线服务相关联的使用数据，所述使用数据与在线服务交互相关联，所述在线服务交互包括综合攻击模式，并且所述使用数据描述与所述在线服务的交互；

产生与所述在线服务相关联的操作数据，所述操作数据与所述在线服务交互相关联并且描述托管所述在线服务的数据中心的硬件和软件操作；

对所述使用数据和所述操作数据进行处理以产生随时间的行为变化的测量；

将所述使用数据和所述操作数据的行为变化进行相关；以及

对经相关的行为变化进行处理以识别其中使用和操作行为变化与所述在线服务的历史数据有偏差的一个或多个事件。

2.根据权利要求1所述的方法，其中所述在线服务交互还包括用户交互。

3.根据权利要求1所述的方法，其中所述综合攻击模式包括被注入到一个或多个URL之中的攻击串和攻击代码。

4.根据权利要求1所述的方法，其中行为变化的所述测量包括与所述行为变化的偏差相关的个体数字。

5.根据权利要求1所述的方法，其中所述将行为变化进行相关产生一个流，所述流获取使用和操作行为变化这两者的相关聚集。

6.一种光学存储设备、磁性存储设备或存储器存储设备，被配置为存储计算机可读指令，所述计算机可读指令当被执行时执行操作，所述操作包括：

向已经使用一个或多个综合攻击模式被训练的识别器提供描述与在线服务的交互的使用数据以及描述托管所述在线服务的数据中心的硬件和软件操作的操作数据；

对所接收的使用数据和操作数据进行处理，以识别其中使用和操作行为变化与历史数据有偏差的一个或多个事件；

对所识别的一个或多个事件进行打分，以标识假阳性和假阴性中的一个；以及

使用所述假阳性和假阴性中的一个来进一步训练所述识别器。

7.根据权利要求6所述的光学存储设备、磁性存储设备或存储器存储设备，其中对所接收的使用数据和操作数据进行处理包括：

从所述使用数据和所述操作数据来产生随时间的行为变化的测量；

将所述使用数据和操作数据的所述行为变化进行相关；以及

对经相关的行为变化进行处理以识别所述一个或多个事件。

8.根据权利要求7所述的光学存储设备、磁性存储设备或存储器存储设备，其中所述将所述行为变化进行相关产生一个流，所述流获取使用和操作行为变化这两者的相关聚集。

9.根据权利要求6所述的光学存储设备、磁性存储设备或存储器存储设备，其中：

对所接收的使用数据进行处理包括：利用使用数据易变性处理器来处理所述使用数据，以产生使用数据易变性的时间序列；以及

其中对所述操作数据进行处理包括：利用操作数据易变性处理器来处理所述操作数据，以产生操作数据易变性的时间序列。

10.根据权利要求9所述的光学存储设备、磁性存储设备或存储器存储设备，其中对所接收的使用数据和所述操作数据进行处理还包括：将所述使用数据易变性的时间序列与所述操作数据易变性的时间序列进行相关，以在受限于预定义间隔的时间序列中提供获取使用易变性和操作易变性二者的相关聚集的流。

11.根据权利要求6所述的光学存储设备、磁性存储设备或存储器存储设备，其中所述识别器已经使用一个或多个综合攻击模式被训练，其中所述一个或多个综合攻击模式包括被注入到一个或多个URL之中的攻击串和攻击代码。

12.根据权利要求6所述的光学存储设备、磁性存储设备或存储器存储设备，其中所述识别器已经使用用户交互以及所述一个或多个综合攻击模式这二者被训练。