[发明专利]针对离群动作检测云用户的行为异常

说明书

一种检测云环境中异常用户行为的方法包括接收包括用户在当前时间间隔期间采取的动作的计数的向量；确定向量中的动作计数是否大于全局均值；通过结合高于阈值的新动作技能和原始动作技能(若低于阈值)来构建比例表；并且当动作计数大于全局均值乘以来自比例表的对应动作比例时，识别离群点。

对相关申请的交叉引用

本申请要求以下美国临时申请的权益，这些美国临时申请中的每一个通过引用并入本文：

·2019年4月18日提交的题为“检测云用户的行为异常(DETECTING BEHAVIORANOMALIES OF CLOUD USERS)”的第62/835,980号美国临时申请；

·2019年4月18日提交的题为“基于熵的人类和数字实体分类(ENTROPY-BASEDCLASSIFICATION OF HUMAN AND DIGITAL ENTITIES)”的第62/835,993号美国临时申请；以及

·2019年4月18日提交的题为“针对离群动作检测云用户的行为异常(DETECTINGBEHAVIOR ANOMALIES OF CLOUD USERS FOR OUTLIER ACTIONS)”的第62/835,983号美国临时申请。

本申请还要求以下共同受让的美国非临时申请的优先权，该美国非临时申请通过引用并入本文：

·2020年1月23日提交的题为“针对离群动作检测云用户的行为异常(DETECTINGBEHAVIOR ANOMALIES OF CLOUD USERS FOR OUTLIER ACTIONS)”的第16/750,874号美国非临时申请。

本申请还涉及以下共同受让的美国非临时申请，这些美国非临时申请中的每一个通过引用并入本文：

·2020年1月23日提交的题为“检测云用户的行为异常(DETECTING BEHAVIORANOMALIES OF CLOUD USERS)”第16/750,852号美国非临时申请；以及

·2020年1月23日提交的题为“基于熵的人类和数字实体分类(ENTROPY-BASEDCLASSIFICATION OF HUMAN AND DIGITAL ENTITIES)”的第16/750,863号美国非临时申请。

背景技术

云安全涉及保护与云计算相关联的客户数据、应用程序和基础设施。云环境的安全的许多方面与本地硬件和软件的安全方面相似。这对于公共云、私有云和/或混合云都是如此。云环境中特别关注的安全考虑包括未经授权的数据暴露和泄漏、弱访问控制、易受攻击、可用性中断、拒绝服务攻击等。然而，作为管理物理服务器和存储设备的替代，云安全系统通常依赖基于软件的安全工具来监控和保护进入和离开云资源的信息流。因此，云计算安全IP可包括一组广泛的策略、技术、应用程序、服务、数据和其他相关联的云计算基础设施。

云计算的安全问题可以大致分为两大类：(1)在云上托管应用程序和存储数据的客户面临的安全问题，以及(2)云提供商自己面临的安全问题。云客户的安全问题可能旨在防止用户权限提升，这描述了一种情况，其中云用户被分配了一组有限的许可，但然后出于恶意目的，诸如使用不安全的API、利用系统和/或应用程序漏洞、使用弱身份、渗透凭证访问管理等将其活动提升到超出那些许可。

发明内容

在一些实施例中，一种检测云环境中的异常用户行为的方法可以包括接收在云环境中在当前时间间隔期间所采取的动作的计数；确定该动作的计数是否比跨对等组采取该动作的先前时间的统计表征大超过阈值量；确定该动作是否表示离群点；以及基于确定该动作表示离群点来生成警告。