-
公开(公告)号:CN112602081A
公开(公告)日:2021-04-02
申请号:CN201980054971.5
申请日:2019-06-28
Applicant: 微软技术许可有限责任公司
Abstract: 描述了用于对安全和操作警报进行自动分诊的工具和技术。通过基于机器学习的分类,从与警报相关联的原始事件数据提取的见解实例被聚合、向量化和分配置信度得分。置信度评分使得重负载的管理员和控件能够将注意力和资源集中在他们最有可能保护或提高被监控系统的功能性的位置。即使在接收事件数据之前不知道实例值的数目,特征向量也会通过聚合在底层实例值中接收广泛的基础。对置信度评分过程的可见性可以被提供,以允许调整或通知分类器模型的进一步训练。性能指标被定义,并且生产水平的性能可以被实现。
-
-
公开(公告)号:CN110431828A
公开(公告)日:2019-11-08
申请号:CN201880018419.6
申请日:2018-03-14
Applicant: 微软技术许可有限责任公司
Abstract: 一种用于检测域名服务器隧道的系统,包括处理器和被存储在有形机器可读介质上的机器可读指令,机器可读指令当由处理器执行时,将处理器配置为:在预定时间段期间,收集从域名服务器接收到的对查询的响应,查询由计算设备发送到域名服务器,响应包括因特网协议(IP)地址;在预定时间段期间收集由计算设备访问的IP地址;比较来自域名服务器的响应中的由计算设备接收的IP地址和由计算设备访问的IP地址;以及基于比较检测域名服务器隧道。
-
公开(公告)号:CN117546443A
公开(公告)日:2024-02-09
申请号:CN202280044488.0
申请日:2022-05-20
Applicant: 微软技术许可有限责任公司
IPC: H04L9/40
Abstract: 本文一般讨论的是用于改进传统网络安全解决方案的设备、系统和方法。一种方法可以包括:接收流量数据序列,该流量数据序列表示由在网络中通信地耦合的设备执行的操作,通过网络安全事件检测逻辑生成与流量数据序列对应的动作,该动作与网络中的网络安全事件相对应,基于流量数据序列创建训练数据集,该训练数据集包括作为标签的动作,基于训练数据集训练机器学习模型,以生成指示网络安全事件的可能性的分类,以及分发经训练的机器学习模型来代替网络安全事件检测逻辑。
-
公开(公告)号:CN117321584A
公开(公告)日:2023-12-29
申请号:CN202280036062.0
申请日:2022-04-25
Applicant: 微软技术许可有限责任公司
IPC: G06F16/28
Abstract: 不透明模块处理成本可以在没有实质性的功效损失的情况下被降低,例如,安全成本可以在很少或没有安全损失的情况下被降低。该不透明模块的处理成本与输入数据的特定集合相关,并且处理这些集合的样本所导致的输出的功效被度量。处理最昂贵或最有效的数据会被标识。数据簇被用户或机器学习模型提供的参数集界定。向安全工具的输入可作为参数。确定处理簇的增量成本和增量功效。可以使用警报成本、内容、严重程度和置信度来度量安全功效。然后,处理成本和功效可以主动根据策略或按用户选择,通过包含或排除匹配参数的特定数据集被管理。
-
Patent Agency Ranking
公开(公告)号:CN114731284A
公开(公告)日:2022-07-08
申请号:CN202080079442.3
申请日:2020-11-11
Applicant: 微软技术许可有限责任公司
Abstract: 增强了网络安全异常可解释性,特别关注基于协同过滤器的异常检测。一种经增强的系统获得从经训练的协同过滤器得到的用户行为向量,基于用户行为向量之间的距离以及相似性阈值来计算用户行为的相似性测度,以及自动产生对检测到的网络安全异常的解释。解释以人性化的术语描述了用户行为相似性中的改变,诸如“来自销售的用户X现在表现得像网络管理员。”每个用户行为向量包括潜在特征,并且对应于用户关于受监测的计算系统的访问尝试或其他行为。可以根据行为相似性来对用户进行分类。按照所指定的解释结构,解释可以将协同过滤器异常检测结果与所标识的用户或用户的簇的行为中的改变相关联。解释可能包括组织上下文信息,诸如角色。
-
公开(公告)号:CN112602081B
公开(公告)日:2024-11-01
申请号:CN201980054971.5
申请日:2019-06-28
Applicant: 微软技术许可有限责任公司
Abstract: 描述了用于对安全和操作警报进行自动分诊的工具和技术。通过基于机器学习的分类,从与警报相关联的原始事件数据提取的见解实例被聚合、向量化和分配置信度得分。置信度评分使得重负载的管理员和控件能够将注意力和资源集中在他们最有可能保护或提高被监控系统的功能性的位置。即使在接收事件数据之前不知道实例值的数目,特征向量也会通过聚合在底层实例值中接收广泛的基础。对置信度评分过程的可见性可以被提供,以允许调整或通知分类器模型的进一步训练。性能指标被定义,并且生产水平的性能可以被实现。
-
公开(公告)号:CN112567370B
公开(公告)日:2024-06-28
申请号:CN201980053924.9
申请日:2019-06-28
Applicant: 微软技术许可有限责任公司
Abstract: 示出了用于生成针对计算机资源的访问控制规则的方法、系统以及介质,该方法、系统以及介质涉及收集针对对计算机资源的用户访问的历史访问数据,并且将该历史访问数据分成训练数据集和验证数据集。基于训练数据集中对计算机资源的用户访问的属性来生成针对计算机资源的访问控制规则。针对验证数据集验证该规则,以确定当该规则被应用到验证数据集中时,该规则是否产生低于阈值的拒绝率水平。如果规则是有效的,则其被提供给管理界面,使得管理员可以选择该规则以应用于传入的用户请求。
-
公开(公告)号:CN114731284B
公开(公告)日:2024-05-28
申请号:CN202080079442.3
申请日:2020-11-11
Applicant: 微软技术许可有限责任公司
IPC: H04L9/40 , G06N5/04 , G06F18/214 , G06F21/62 , G06F21/60
Abstract: 增强了网络安全异常可解释性,特别关注基于协同过滤器的异常检测。一种经增强的系统获得从经训练的协同过滤器得到的用户行为向量,基于用户行为向量之间的距离以及相似性阈值来计算用户行为的相似性测度,以及自动产生对检测到的网络安全异常的解释。解释以人性化的术语描述了用户行为相似性中的改变,诸如“来自销售的用户X现在表现得像网络管理员。”每个用户行为向量包括潜在特征,并且对应于用户关于受监测的计算系统的访问尝试或其他行为。可以根据行为相似性来对用户进行分类。按照所指定的解释结构,解释可以将协同过滤器异常检测结果与所标识的用户或用户的簇的行为中的改变相关联。解释可能包括组织上下文信息,诸如角色。
-
公开(公告)号:CN112567367B
公开(公告)日:2024-04-05
申请号:CN201980053436.8
申请日:2019-06-28
Applicant: 微软技术许可有限责任公司
IPC: G06F21/55 , H04L41/0631 , H04L41/0654 , H04L41/069 , H04L41/14 , H04L41/16 , H04L9/40 , G05B23/02 , G06F11/22 , G06F18/22 , G06F18/23 , G06N20/00
Abstract: 提供了用于在计算环境中对事故进行聚类的系统、方法、和装置。与计算环境中的事件(例如可能的网络威胁或任何其他警报)相关的事故通知被接收,并且特征集可以基于事故通知来生成。特征集可以作为输入被提供给机器学习引擎,以在计算环境中标识相似事故通知。相似事故通知可以包括已解析事故通知或未解析事故通知。解析事故通知的动作可以被接收,从而接收到的动作可以被执行。在一些实现中,除了解析接收到的事故通知之外,动作可以被执行以解析由机器学习引擎标识的相似的未解析事故通知。
-
-
-
-
-
-
-
-
-
Search Results
15
records
(took 0.027 seconds)
