本公开涉及网络攻击检测、预防和减轻。特别地,本公开涉及使用机器学习来自适应地预测和预防对可通过网络访问的账户的攻击。
背景技术:
1、网络攻击是对可通过网络访问的计算资源集合进行未经授权的访问的尝试。成功的网络攻击可能允许未经授权的各方查看和复制敏感数据,从而损害数据安全。在更严重的情况下,攻击者可能会修改、加密或以其它方式损坏数据。数据泄露可能会给个人和组织带来严重影响,包括因私有数据丢失或未经授权使用而产生的责任。
2、网络管理员可以部署预防措施来应对网络攻击。例如,网络管理员可以设置在锁定用户账户之前尝试密码的阈值次数、安装防病毒软件来监视网络中的病毒、以及加密敏感数据以减少未经授权访问的可能性。但是,网络攻击在不断演进,并且可能难以预测每种攻击技术。
3、本部分中描述的方法是可以采用的方法,但不一定是先前已经设想或采用的方法。因此,除非另有说明,否则不应仅由于将本部分中所述的任何方法包括在本部分中而将其视为有资格作为现有技术。
技术实现思路
1.一种或多种存储指令的非暂态计算机可读介质,所述指令在由一个或多个硬件处理器执行时,使得:
2.如权利要求1所述的一种或多种非暂态计算机可读介质,其中变化值的集合包括一个或多个特征的离群值分数;其中离群值分数是至少部分地基于观察到的值和与用户账户相关联的行为简档的比较来确定的。
3.如权利要求2所述的一种或多种非暂态计算机可读介质,其中离群值分数是针对与检测到的用户活动相关联的位置、网络地址、浏览器、语言或网络提供商中的至少一个确定的。
4.如权利要求1所述的一种或多种非暂态计算机可读介质,其中变化值的集合包括一个或多个聚合特征的聚合值;其中聚合值跟踪阈值时间范围内的一个或多个动作。
5.如权利要求4所述的一种或多种非暂态计算机可读介质,其中所述一个或多个聚合特征包括阈值时间范围内的以下各项中的至少一个的数量:漏洞扫描器、目录遍历、标准查询语言(sql)注入尝试、登录成功、登录失败、被阻止的地址、登录失败的城市、或登录失败的国家。
6.如权利要求1所述的一种或多种非暂态计算机可读介质,其中机器学习模型包括一个或多个决策树;其中训练机器学习模型包括至少部分地基于变化的特征值对网络攻击的预测程度来从历史活动中拆分训练示例。
7.如权利要求6所述的一种或多种非暂态计算机可读介质,其中所述指令还使得:至少部分地基于变化的特征值对网络攻击的预测程度来修剪所述一个或多个决策树。
8.如权利要求1所述的一种或多种非暂态计算机可读介质,其中所述指令还使得:调整至少一个模型超参数以在机器学习模型的查准率与查全率之间取得平衡。
9.如权利要求1所述的一种或多种非暂态计算机可读介质,其中所述指令还使得:基于针对变化的特征集合对机器学习模型查准率和平衡的测量来选择特征集合以训练机器学习模型。
10.如权利要求1所述的一种或多种非暂态计算机可读介质,其中检测与用户账户相关联的活动包括检测一次或多次登录尝试。
11.如权利要求1所述的一种或多种非暂态计算机可读介质,其中生成预测包括基于从检测到的活动中提取出的特征集合的值来遍历一个或多个决策树。
12.如权利要求1所述的一种或多种非暂态计算机可读介质,其中输出包括直到一定范围内的网络攻击的预测的概率和数量。
13.如权利要求1所述的一种或多种非暂态计算机可读介质,其中所述指令还使得:基于所述输出执行一个或多个动作以预防或减轻即将到来的攻击。
14.如权利要求13所述的一种或多种非暂态计算机可读介质,其中响应于确定网络攻击的预测的概率或数量中的至少一个满足阈值而执行所述一个或多个动作。
15.如权利要求13所述的一种或多种非暂态计算机可读介质,其中所述一个或多个动作包括锁定用户账户、向用户发送一次性密码或启用双因素认证中的至少一个。
16.如权利要求1所述的一种或多种非暂态计算机可读介质,其中所述输出识别在指定时间范围内对用户账户的预测的攻击。
17.如权利要求1所述的一种或多种非暂态计算机可读介质,其中所述输出基于与在线购物者相关联的日志事件来识别预测的攻击和严重性。
18.如权利要求1所述的一个或多个非暂态计算机可读介质,其中特征集合包括位置、网络地址、浏览器、语言和网络提供商的异常值分数;其中特征集合还包括在阈值时间范围内的漏洞扫描器、目录遍历、标准查询语言(sql)注入尝试、登录成功、登录失败、被阻止的地址、登录失败的城市和登录失败的国家的数量。
19.一种系统,包括:
20.一种包括用于执行如权利要求1-18中的任一项所述的操作的部件的系统。
21.一种包括如权利要求1-18中的任一项所述的操作的方法。
