[发明专利]用于受损范围识别的多信号分析

说明书

经由多信号分析来检测在线服务内的受损设备和用户账户允许更少的误报并且因此允许更准确地分配计算资源和人类分析员资源。指定与设备、账户或过程相关的各个分析范围并在一时间段上分析多个行为，以检测持久(并且缓慢起作用的)威胁以及暴力(并且快速起作用的)威胁。向分析员警告疑似受损的各个受影响范围并且分析员可以相应地解决。

背景技术

在线服务几乎面临来自恶意方的持续风险，这些恶意方试图损害这些在线服务内的设备以破坏其功能或损害存储在这些服务中的敏感数据。受损设备可能有数据被泄露至外部设备，或者可能被恶意方命令例如作为僵尸网络的一部分来执行各种动作。识别在线服务内已被损害的各个主机可能是资源和时间密集型操作，尽管在在线服务中部署了对策，这也会使恶意方在长时间段内控制一个或多个设备。当前的安全信息和事件管理(SIEM)系统可能错过一些受损设备或将安全设备错误识别为受损，这延长了恶意方保持控制的时间量并增加了重新保护在线服务所需要的处理资源。

发明内容

提供本发明内容以用简化形式引入一些概念，这些概念以下在详细描述部分中进一步描述。本发明内容并非旨在标识所要求保护的主题内容的所有关键特征或必要特征，也并非旨在帮助确定所要求保护的主题内容的范围。

本文提供了包含用于检测受损主机的处理器可执行指令的系统、方法和计算机可读存储设备。由信号异常分析器接收安全信号，以确定被保护的在线服务中给定动作的异常程度。在大型在线服务中，预期设备组在正常操作时表现相同，并且因此不普遍的行为会受到更大的怀疑。根据不同群体的设备或子行为对经评分的检测结果进行聚合，并将异常分数传递给多信号分析器，该分析器在滚动时间窗口上收集检测结果，并基于设备将它们划分到各种范围中以供分析以确定是否应该生成给定设备受损的警告。

通过使用对范围的加窗分析，本公开内容以增强的可靠性解决了检测对在线服务的慢速移动、高级持久性威胁以及集中快速移动攻击的以计算机为中心的问题。从而改善了计算机托管数据的安全性，在线服务的处理资源被更有效地分配给合法过程(与代表恶意方执行的过程相对)，以及将分析员用户的注意力更有效地分配至涉嫌违规。

示例被实现为计算机过程、计算系统、或者诸如设备、计算机程序产品或计算机可读介质之类的制品。根据一方面，计算机程序产品是计算机系统可读的计算机存储介质，并且编码包括用于执行计算机过程的指令的计算机程序。

在附图和以下描述中阐述了一个或多个方面的细节。通过阅读以下详细描述和对相关附图的查阅，其它特征和优点将是显而易见的。要理解，以下详细描述仅是解释性的而不是对权利要求的限制。

附图说明

包含在本公开内容中并构成本公开内容的一部分的附图示出了各个方面。在附图中：

图1示出了其中可以实践本公开内容的示例性环境；

图2示出了签名异常评分器的细节；

图3是对事件进行加窗和加范围以供多信号分析的框图；

图4示出了多信号检测器的细节；

图5是示出了用于检测在线服务中的受损主机范围的示例性方法中所涉及的一般阶段的流程图；

图6是示出了用于基于异常对检测结果进行评分的示例性方法中所涉及的一般阶段的流程图；

图7是示出了用于对受损范围进行多信号检测的示例性方法中所涉及的一般阶段的流程图；

图8是示出了计算设备的示例性物理组件的框图；

图9A和图9B是移动计算设备的框图。

具体实施方式