[发明专利]用于受损范围识别的多信号分析

权利要求书

1.一种用于检测在线服务中的受损范围的方法，包括：

接收在所述在线服务内的设备上出现的行为的检测结果；

基于相应行为在所述在线服务内的异常程度来对所述检测结果中的每个检测结果进行评分，其中，所述检测结果中的每个检测结果是基于针对所述在线服务内的相应行为的子群体计数与群体计数之间的比率而被评分的；

排除经评分的检测结果中的一个或多个，该经评分的检测结果中的一个或多个具有低于子群体阈值的针对所述相应行为的子群体计数和/或低于群体阈值的针对所述相应行为的群体计数；

根据范围来组织经评分的检测结果中的剩余一个或多个经评分的检测结果；

将多信号检测逻辑应用于来自所述范围的给定范围以产生指示所述给定范围是否受损的置信度分数；

基于将所述置信度分数与警告阈值进行比较来确定是否要呈现对所述给定范围受损的警告；以及

响应于确定要呈现对所述给定范围受损的警告，生成并发送所述警告。

2.根据权利要求1所述的方法，其中，所述给定范围与所述在线服务内的给定设备或给定用户账户相关联。

3.根据权利要求1所述的方法，其中，对所述检测结果中的每个检测结果进行评分还包括：

计算给定检测结果的标识符；

取回针对所述给定检测结果的聚合计数；

针对所述给定检测结果增加聚合群体计数；

基于所述聚合群体计数来计算所述给定检测结果的异常分数；以及

将所述异常分数与所述给定检测结果进行关联以产生经评分的检测结果。

4.根据权利要求3所述的方法，其中，所述聚合群体计数包括：

针对每个观察到的检测结果增加的原始群体计数；以及

针对每个观察到的包括定义检测结果的子群体的特性的检测结果增加的至少一个子群体计数。

5.根据权利要求3所述的方法，其中，所述标识符包括来自所述给定检测结果的至少一个字段，包括：

与所述给定检测结果相关联的给定设备的角色；

与所述给定检测结果相关联的用户；

与所述给定检测结果相关联的行为类；以及

时间戳。

6.根据权利要求1所述的方法，其中，根据所述范围来组织所述经评分的检测结果中的剩余一个或多个经评分的检测结果还包括：

接收范围定义，所述范围定义标识用以划分所述经评分的检测结果中的剩余一个或多个经评分的检测结果的特性；

接收时间窗口，所述经评分的检测结果中的剩余一个或多个经评分的检测结果要从该时间窗口中被分析；以及

根据经标识特性的值来将在所述时间窗口内观察到的所述经评分的检测结果中的剩余一个或多个经评分的检测结果划分到所述范围中。

7.根据权利要求6所述的方法，其中，所述特性指定针对以下的值：

设备标识符；

用户账户；以及

过程标识符。

8.根据权利要求1所述的方法，其中，来自包括几分钟检测结果的较小时间窗口、以及来自包括几天检测结果的较大时间窗口的检测结果被包括在所述范围中。

9.根据权利要求1所述的方法，其中，将所述多信号检测逻辑应用于所述给定范围以产生所述置信度分数还包括：

选择预测模型；

从根据所述给定范围组织的所述经评分的检测结果中的剩余一个或多个经评分的检测结果的组中提取特性；

对所述特性进行评分以供转换成数值特征；以及

将所述特征提供给所述预测模型以生成所述置信度分数。

10.根据权利要求9所述的方法，其中，所述预测模型是基于连续机器学习过程来生成和选择的。