[发明专利]用于身份危害风险计算的受监督学习系统

说明书

提供了用于基于用户风险得分改善计算机安全系统的系统。这些系统可以用于通过将多层机器学习应用于用于生成用户风险得分的不同用户风险简档组件，并且从而能够动态地生成和修改对应用户风险得分，来改善用户风险得分的准确性和可用性。

背景技术

计算系统和对应软件应用已经变得非常精密，从而使得用户能够访问、操纵和存储各种格式的数据并且利用该数据执行众多功能。例如，一些软件应用被配置为执行文字处理、设计、音频/视频处理、数据分析、电子邮件处理等。

在很多情况下，软件应用被配置为基于与其计算机资源相关联的权限和策略来限制用户权限。对于很多分布式企业系统和应用于说尤其如此，这些系统和应用使得订阅用户能够通过网络浏览器或云门户远程访问其数据和服务。例如，在一些实例中，用户可以通过提供与授权用户帐户相对应的凭证来登录云门户并且访问计算资源，诸如虚拟机或远程托管的其他资源。

使用登录凭证来认证和验证授权用户是一种用于控制对计算资源的访问的公知技术。但是，这种类型的安全性过程可以通过欺骗或以其他方式获取有效登录凭证的未授权并且精密的入侵者规避。在一些实例中，诸如蛮力攻击、拒绝服务攻击、间谍软件、病毒和其他恶意软件的网络攻击也可以用于规避在计算资源上施加的安全动作和策略限制，和/或可以用于危害或损害这些计算资源。

为了帮助减轻未授权的使用和风险行为的扩散，一些企业将用户风险简档与用户帐户相关联，以进一步控制/限制用户对其计算机资源的访问。特别地，一些系统将已知用户及其登录凭证以及其他简档数据与不同风险水平和对应安全策略相关联，以控制由所请求的计算资源提供的访问。在这样的实例中，相对于具有低或较低风险简档的用户，具有高风险简档的用户与减少的特权和访问权限相关联。如果以后发现用户存在高风险，则可以更新其简档以反映其较高的风险水平并且限制其访问权限。但是，当仍然可以规避这些类型的系统时，诸如在对应用户风险简档可以被更新以反映风险行为之前当不良实体创建或使用具有较低水平风险的帐户和/或执行不良行为时。

对于在很多分布式系统之中管理大量用户帐户的系统来说，上述问题更为恶化。例如，即使它们可以访问反映利用一个或多个帐户的不良行为者的重复动作的历史数据，管理成千上万个用户帐户或甚至数百万个用户帐户的系统无法有效并且及时地跟踪新用户帐户并且将其与检测到的不良用户帐户相关联。

同样，仅管理少量用户帐户的系统也可能由于不具有足够的历史数据来标识不良行为者或仅具有有限的历史数据而遭受相关问题，这也可能有效地阻止这样的系统更新他们的风险简档，即使这些恶意行为者可能已经被知道先前对其他系统发起过攻击，尤其是在恶意行为者首次对系统发起任何攻击之前。

不幸的是，安全系统的精度(其指示系统能够将不良行为者/动作标识为不良的准确程度)与安全系统的召回有效性(指示被标识并且被防止损害系统的不良行为者/动作的总百分比)呈反相关关系。例如，将所有实体都标识为不良行为者并且阻止所有访问的系统具有100％的召回有效性，但是精度非常差(因为甚至良好的行为者也被标识为不良)。同样，仅标识最明显的不良行为者的100％精度的系统可能具有非常低的召回有效性，因为它将避免标识出难以检测的不良行为者。这种反相关的一个原因是，现有系统无法动态且实用地以有效且全面的方式处理可用的所有用户行为数据和登录数据。

鉴于前述内容，持续需要改善计算机安全系统、尤其是计算机系统能够控制对其受限计算机资源的访问的方式、更特别地是利用风险简档的计算机安全系统能够有效地管理和更新风险简档，以增强计算机安全性并且控制对受限计算机资源的访问的方式。

尽管进行了前述描述，但是应当理解，所公开的实施例的主题不仅限于解决特定缺点的实施例、或者仅在诸如上述环境中操作的实施例。而是，仅提供该背景以说明可以在其中实践本文中描述的一些实施例的一个示例性技术领域。

发明内容