公开(公告)号：CN117917043A

公开(公告)日：2024-04-19

申请号：CN202280059733.5

申请日：2022-08-23

Applicant: 微软技术许可有限责任公司

Inventor： P·梅苏里亚 ,  A·阿拉巴斯 ,  A·萨加尔 ,  M·B·福蒂尼 ,  张汝颇 ,  C·斯托克韦尔 ,  M·D·麦科马克 ,  J·J·韦伯 ,  C·J·斯特姆普勒 ,  S·R·哈密尔顿 ,  B·K·凯特林 ,  R·J·穆里略 ,  R·G·莱弗茨 ,  E·P·道格拉斯 ,  C·塞弗特

IPC: H04L9/40 ,  G06F21/83 ,  G06F21/31

Abstract: 本文所描述的技术通过在操作系统级别分析所接收的用户输入来标识和缓解网络钓鱼企图。最初，凭证(诸如用户名或密码)被注册到威胁检测系统。本文所描述的技术在操作系统级别拦截用户输入，生成输入的哈希值，并将其与正在被监控的凭证的哈希值比较。当针对输入的字符串的哈希值与针对正在被监控的凭证的哈希值匹配时，凭证条目被检测。当秘密条目被检测到时，本文所描述的技术将执行威胁评估。威胁评估可以使用应用上下文和网络上下文作为评估的输入。当威胁被检测到时，各种缓解动作可以被采用。

公开(公告)号：CN114730339A

公开(公告)日：2022-07-08

申请号：CN202080078166.9

申请日：2020-10-21

Applicant: 微软技术许可有限责任公司

Inventor： C·塞弗特 ,  J·W·斯托克斯三世 ,  K·霍尔谢默

IPC: G06F21/55

Abstract: 本文讨论的各种实施例能够检测恶意内容。一些实施例基于特征加权通过确定已知为恶意的内容、计算机对象或指示(例如，向量、文件哈希、文件签名、代码等)与其他内容(例如，未知文件)或指示之间的相似性分数来做到这一点。在各个训练阶段内，可以学习每个标记的恶意内容或指示的某些特征特性。例如，对于计算机对象的第一恶意软件族，最突出的特征可以是特定的URL，而其他特征对于计算机对象的第一恶意软件族的不同迭代有很大的变化。因此，特定的URL可以被加权以确定对应于恶意行为的特定输出分类。

公开(公告)号：CN114556302A

公开(公告)日：2022-05-27

申请号：CN202080071091.1

申请日：2020-10-06

Applicant: 微软技术许可有限责任公司

Inventor： R·L·麦卡恩 ,  C·塞弗特

IPC: G06F11/07 ,  G06N5/04 ,  G06N20/10

Abstract: 所公开的实施例生成多个异常检测器配置，并且将由这些异常检测器生成的结果与参考结果集合进行比较。参考结果集合由经训练的模型来生成。由异常检测器所生成的每个结果与结果集合之间的相关性被比较，以选择异常检测器配置，该异常检测器配置提供与经训练的模型的结果最相似的结果。然后，在一些实施例中，定义被选择的配置的数据被传送到产品设施。产品设施实例化经定义的异常检测器，并且使用实例化的检测器对本地事件进行分析。在一些其它实施例中，经定义的异常检测器由选择异常检测器的同一系统来实例化，因此在这些实施例中，异常检测器配置未被从一个系统传输到另一个系统。