檢測來自在線服務的帳戶的異常活動的制作方法
【專利摘要】使用從在線服務(110)中的帳戶接收的事件信息,來檢測異常活動。通常,通過將基線簡檔(155)與最新簡檔(165)進行比較來檢測異常活動,其中基線簡檔(155)包括在線服務(110)的帳戶的過去事件信息,最新簡檔(165)包括所述帳戶的最新事件信息。當最新簡檔(165)示出一個或多個事件與相關聯的基線簡檔(155)中的所述事件的發生率相比更頻繁地發生時,則檢測到異常活動。在異常檢測中記錄和使用的這些事件可以包括由該在線服務(110)所監測的所有事件或者其一部分。此外,還可以自動地創建一個或多個報告(130),并提供給一個或多個用戶,以示出可能被認為是異常活動的活動。
【專利說明】
檢測來自在線服務的帳戶的異常活動
【背景技術】
[0001]異常檢測用于確定何時數據中的模式與預期的模式不匹配。例如,信用卡公司可以使用異常檢測來幫助檢測與客戶的信用卡有關的欺騙性的活動。在線服務可以創建規貝1J,用于在網絡流量超過預定閾值時檢測異常活動。檢測與在線服務相關聯的異常活動可能是有挑戰性的并耗費時間的。例如,通常存在可能需要分析的與在線服務的操作有關的極其大量的數據。代替于對上述大量數據進行處理,許多在線服務檢測異常活動是通過確定預定義事件何時在該在線服務的單個或幾個機器上發生。例如,該預定義事件可以響應于在線服務的網絡流量超過某個預定的水平而發生,或者當大量進程在短時間段內開始時發生。
【發明內容】
[0002]提供此
【發明內容】
以便引入簡化形式的概念的選集,所述概念將在以下的【具體實施方式】中進一步描述。此
【發明內容】
并非旨在標識本發明主題的關鍵特征或本質特征,亦非旨在用于確定本發明主題的保護范圍。
[0003]異常活動是使用從在在線服務中執行活動的帳戶監測到的事件信息來檢測的。通常,異常活動是通過確定何時基線簡檔與最新簡檔不同來檢測的,其中基線簡檔表示該在線服務的“正常”活動,最新簡檔表示來自該在線服務中的帳戶的“當前”活動。例如,當一個事件(例如,創建帳戶事件)在最新簡檔中相比于在基線簡檔中的創建賬戶事件的發生率更頻繁地發生時,可以檢測到異常活動。在檢測異常活動中使用的事件信息,可以包括由該在線服務監測的所有事件或者其一部分。例如,用于異常檢測的事件可以包括:安全事件(例如,改變許可的任何事件,比如,創建帳戶、改變一個或多個帳戶的許可、登入該在線服務或者登出該在線服務……)的所有或其一部分,以及其它類型的事件(例如,系統事件、硬件事件,等等)。獲授權用戶可以對要監測的事件進行配置,和/或對于一個或多個事件種類的事件可以被自動地選擇。為查找異常活動而被監測的帳戶,可以包括該在線服務的帳戶的全部或一部分。例如,為查找異常活動而被監測的帳戶可以是運營商帳戶(例如被許可為其它用戶或者用戶組創建賬戶、修改賬戶以及刪除賬戶的賬戶)或者其它帳戶類型(例如,用戶帳戶、特權帳戶等等)。響應于檢測異常活動,可以執行不同的活動。例如,可以阻止某個帳戶執行操作,可以鎖定帳戶,可以自動地生成一個或多個報告并提供給一個或多個用戶以示出可能被認為是異常活動的活動,等等。可以生成不同類型的報告。例如,一個報告可以基于檢測到的異常活動的等級來對帳戶進行排名,而另一個報告可以提供針對這些帳戶中的一個或多個的更詳細信息。
【附圖說明】
[0004]圖1示出了用于檢測來自在線服務的帳戶的異常活動的系統的概述;
[0005]圖2示出了用于檢測來自在線服務的帳戶的異常活動的更詳細系統;
[0006]圖3示出了包括在檢測來自在線服務中的帳戶的異常活動時使用的事件信息和事件權重的不同簡檔;
[0007]圖4示出了用于觀看和配置與異常檢測有關的事件的示例性圖形用戶界面;
[0008]圖5示出了用于顯示檢測的在線服務中的一個或多個帳戶的所檢測到的異常活動白勺不例性報告;
[0009]圖6示出了用于通過將基線簡檔與最新簡檔進行比較來檢測在線服務中的異常活動的過程;
[0010]圖7示出了用于配置和存貯基線簡檔和最新簡檔中的事件信息的過程;
[0011]圖8示出了用于檢測異常活動的示例性在線系統;以及
[0012]圖9、圖10A、圖1OB和圖11以及相關聯的描述對提供了其中可以實施本發明的實施例的各種操作環境的討論。
【具體實施方式】
[0013]由于可能被載入日志的事件的數量眾多,因此在線服務通常從該服務中的單一機器(或者少量的機器)中檢查所載入日志的事件的一個較小子集,來檢測異常活動。例如,不是對來自在線服務中的每一個機器的事件都進行檢查,而是在線服務選擇一個或兩個機器來監測以查找異常活動。此外,在線服務還可以建立硬編碼規則來檢測異常活動。例如,在線服務可以創建規則來識別特定類型的異常活動。根據本發明的實施例,不是創建單獨的規則來檢測異常活動,而是由異常檢測器基于所監測的事件和從不同的計算設備獲得的事件以及該在線服務中的帳戶來自動地檢測異常活動。可以使用監測到的來自在線系統的帳戶的任意數量的事件來檢測異常活動,而無需創建單獨的規則。檢測異常活動不是通過查找將發生的預定事件或者狀況來確定何時特定類型的異常活動正在發生,而是通過將表示該在線服務的“正常”行為的事件的頻率與該在線服務在最近的一段時間期間發生的事件的頻率進行比較。當事件的頻率在基線簡檔和最新簡檔之間是不同的時,可以指示異常活動。隨后,該異常活動以報告的形式被提供給一個或多個用戶。根據一個實施例,包括有與該在線服務中檢測到的異常活動有關的信息的報告被遞送。
[0014]現參見附圖,其中相同的附圖標記表示相同的元素,將要描述各種實施例。
[0015]圖1示出了用于檢測在線服務的帳戶的異常活動的系統的概述。如圖所示,系統100包括在線服務110、異常檢測器26、基線簡檔155、最新簡檔165、顯示器115和顯示器125。
[0016]異常檢測器26被配置為檢測與在線服務110相關聯的帳戶所發生的異常活動。異常活動是與該在線服務的預期活動或者正常行為相偏離的活動。例如,響應于來自該在線服務中的帳戶對于下面活動的不尋常的很大量的請求,異常檢測器26可以檢測到異常活動:創建新帳戶;改變許可;啟動過程等等。為了確定在線服務110的異常活動何時發生,異常檢測器26確定何時基線簡檔155中存儲的事件的頻率偏離最新簡檔165中的事件的頻率。例如,基線簡檔155可以指示在在線服務110的正常操作期間,在典型的一天創建兩個帳戶。但是在今天,最新簡檔165顯示該在線服務中的特定帳戶創建了十個不同的帳戶。響應于將基線簡檔155與最新簡檔165進行比較,并確定這些頻率是不同的,異常檢測器26確定在在線服務110中發生了異常活動,故生成用于在顯示器125上顯示的異常報告130。
[0017]在當前示例中,異常報告130顯示包括有示出該異常活動的信息的消息(例如,“帳戶I創建10個新帳戶”),還顯示正常活動(例如,“創建2個帳戶是正常活動)。可以將該報告提供給一個或多個用戶,以顯示被認為是異常活動的活動。可以生成不同的報告。例如,一個報告可以基于異常活動來對帳戶進行排名,而另一個報告提供一個或多個帳戶的更詳細
?目息O
[0018]異常檢測器26可以使用在線服務所監測(例如,載入日志)的事件的全部或者一部分,來檢測異常活動。不是僅僅只對單一計算設備上發生的一個或兩個不同的事件進行監測,并確定何時滿足預定的狀況,而是異常檢測器26可以使用來自該在線服務中的任意數量的帳戶的任意數量的載入日志的事件來檢測異常活動。例如,異常檢測器可以使用在該在線服務中發生的載入日志的安全事件中的每一個(例如,改變許可的任何事件,如創建帳戶、改變一個或多個帳戶的許可等等),來檢測異常活動。
[0019]根據一個實施例,授權的用戶可以配置異常檢測器26檢測異常活動所使用的事件。在當前的例子中,顯示用于事件配置117的圖形用戶界面(GUI),并且其被配置為從用戶接收事件選擇和配置信息。例如,用戶可以選擇在線服務針對一個或多個帳戶所監測的事件的全部或者一部分。在當前例子中,顯示器115顯示獲授權用戶已選擇在檢測異常活動時,使用改變許可事件和增加帳戶事件,而不使用登入事件。此外,還可以接收其它配置信息,例如但不限于:加權信息;匯總簡檔等等(參見附圖和下面的相關討論)。當用戶沒有指定配置時,異常檢測器26使用缺省算法加權過程。根據一個實施例,缺省算法加權過程基于基線簡檔中的事件的發生率,向確定更少發生的事件分配更高的權重(也就是說,更可能發生異常)。
[0020]在線服務110可以是基于云的服務和/或基于企業的服務,其被配置為提供諸如生產力服務(例如,消息、協作、電子表格、文檔、呈現、圖表等等)之類的服務。下面提供關于異常檢測的更多細節。
[0021]圖2示出了用于檢測在線服務的帳戶中的異常活動的更詳細系統200。
[0022]如圖所示,系統200包括應用262、應用272、平板計算設備260、計算設備270和在線服務110,其中在線服務110包括異常檢測器26、基線簡檔210、最新簡檔220、帳戶230、計算設備240和日志250。
[0023]如上面所討論的,異常檢測器26被配置為通過使用監測的來自帳戶230(其與在線服務110相關聯)的事件信息,來檢測異常活動。例如,在在線服務中為查找異常活動而被監測的帳戶可以是運營商帳戶,該帳戶具有許可為其它用戶或用戶組創建賬戶、修改賬戶和刪除賬戶。此外,也可以對其它帳戶(例如,用戶帳戶)監測異常活動。
[0024]根據一個實施例,異常檢測器26通過將包括在基線簡檔210中的過去事件的頻率與包括在最新簡檔220中的最新事件的頻率進行比較,來檢測異常活動。簡檔(例如,基線簡檔或者最新簡檔)包括針對在線服務的單一帳戶的事件信息,或者可以包括從該在線服務的所有帳戶或者一部分帳戶所獲得的匯總的事件信息。當一個帳戶的最新事件信息顯示與基線簡檔中記錄的事件的發生率相比,一個或多個事件更頻繁地發生時,異常檢測器26可以檢測到異常活動。
[0025]異常檢測器26可以使用各種方法,來確定何時在在線服務210中發生了異常活動。根據一個實施例,異常檢測器26針對與簡檔相關聯的每一個帳戶或者帳戶組,創建一個頻率簡檔。異常檢測器26將用于與基線簡檔相關聯的事件的頻率簡檔,同用于與最新簡檔相關聯的事件的頻率簡檔進行比較。例如,當與最新簡檔相關聯的頻率簡檔指示“與基線簡檔所指示的“正常”操作期間相比,一個或多個事件更頻繁地發生”時,則檢測到異常活動。
[0026]根據一個實施例,針對包括在簡檔中的每一個事件,來確定頻率。例如,為了便于解釋起見而不是旨在進行限制,假定監測四個不同的事件。基線簡檔示出了事件I占據這些事件的10%,事件2占據全部事件的25 %,事件3占據這些事件的50 %,事件4占據這些事件的15 %。最新簡檔顯示:事件I占據這些事件的20 %,事件2占據全部事件的15 %,事件3占據這些事件的50%,事件4占據這些事件的15%。響應于將基線簡檔與最新簡檔進行比較,異常檢測器26檢測到發生異常活動,這是由于與基線簡檔相比,在最新簡檔中,事件I的頻率更大。可以使用檢測在線服務中的帳戶的異常活動的其它方法。例如,可以使用其它統計方法,例如:將每一個事件在預定的一段時間內發生的次數進行比較,將一些事件的頻率進行匯總,并將匯總后的頻率進行比較;或者使用某種其它統計方法。
[0027]根據一個實施例,可以向不同的事件分配不同的權重,使得:所監測的帳戶中的具有更大權重事件的發生率的增加,在沒有較大地加權的事件的發生率增加之前,就指示異常活動。根據一個實施例,可以自動地或者手動地向更不頻繁發生的事件分配更大的權重,使得該事件的發生率的增加更快速地指示異常活動。例如,與創建帳戶事件相比,可以將登入事件設置為更低權重,這是由于登入事件通常是在線服務中的普通事件。可以自動地和/或手動地分配這些權重。
[0028]在異常檢測器26檢測到異常活動之后,可以執行不同的動作。例如,可以自動地創建和遞送一個或多個報告(例如,異常報告265),可以鎖定一個或多個帳戶,使得未來活動停止,可以阻止某些動作在在線服務中發生等等。可以生成報告,并將其提供給一個或多個用戶,以顯示被認為是異常活動的活動。可以生成不同的報告。例如,異常報告265可以基于所檢測的異常活動來對帳戶進行排名,而另一個報告提供一個或多個帳戶的更詳細信息(參見圖4和相關的討論)。
[0029]基線簡檔210包括一個或多個基線簡檔,其中這些基線簡檔包括與在線服務110的“正常”或“典型”操作有關的事件信息。每一個基線簡檔210在這些基線簡檔210的每一個中包括針對該在線服務的一段預定時間的事件信息(例如,一周、兩周、一月、兩月等等)。可以根據預定的調度(例如,每日、每周等等)或者使用某種其它方法(例如,在請求時),對基線簡檔210進行更新。根據一個實施例,獲授權用戶可以配置在基線簡檔中包括的事件信息、用于在基線簡檔中包括的事件信息的時間周期、以及將調度更新。例如,獲授權用戶可以配置基線簡檔存儲該在線服務的一種或多種不同類型的帳戶在上一個月的事件信息,并每日進行更新。
[0030]最新簡檔220包括一個或多個最新簡檔,其中這些最新簡檔包括與在線服務110的最新一段時間之內發生的事件有關的事件信息。例如,最新簡檔可以包括:該服務在上一天之內、該在線服務在上幾個小時之內發生的活動所產生的針對一個或多個帳戶的事件信息等等。通常,與基線簡檔210中包括的事件信息相比,最新簡檔中包括的事件信息是最新的事件信息。可以使用該最新事件信息來更新基線簡檔。例如,可以每一天或者按照某個其它時間周期,利用最新事件信息來更新基線簡檔。用此方式,基線簡檔可以包括:在線服務110中的帳戶所產生的事件的一個滾動時間窗(例如,上一月、上兩月、上三月等等)中的事件信息。
[0031]日志250被配置為存儲在線服務110的一個或多個帳戶所產生的事件信息。根據一個實施例,日志250存儲事件(其包括在線服務中的帳戶所生成的安全事件)的記錄。例如,日志250包括:在與在線服務110相關聯的一個或多個計算設備240上發生的一個或多個帳戶230所生成的登入/登出活動和其它與安全有關事件的記錄。根據一個實施例,在日志250中存儲的日志數據,包括:系統的審計策略所指定的信息。通常,獲授權用戶可以配置該系統在日志250中記錄不同的事件和不同類型的事件。
[0032]當檢測到在線服務中的異常活動時,異常檢測器可以將很多類型的事件載入日志并使用。可以載入日志的事件的一些示例性種類,包括:帳戶登錄事件、帳戶管理事件、目錄服務訪問事件、對象訪問事件、策略改變、特權操作、系統事件等等。例如,在每一次創建、訪問、改變或者刪除一個對象時,可以生成事件并將該事件載入日志。在檢測異常活動時可以載入日志和使用的更詳細事件的列表,可以在圖8的討論中找到。
[0033]圖3示出了用于在檢測在線服務中的帳戶的異常活動時使用的事件的事件信息和加權的不同簡檔。
[0034]如本文所討論的,每一個簡檔包括針對被監測和/或載入日志的事件的全部或者一部分的事件信息,其中這些事件源自于在線服務的帳戶。下面的簡檔只是示出用于示例性目的,而不是限制性的。雖然所示出的每一個簡檔顯示了四種不同的事件,但可以在簡檔中包括更多或者更少的事件。例如,一個簡檔可以包括數百或者數千種不同類型的事件。
[0035]簡檔310示出了用于該在線服務的多個帳戶的匯總基線簡檔。例如,簡檔310可以包括從位于在線服務中的多種不同類型的帳戶中生成的事件信息,或者其可以包括特定類型的帳戶的全部或者一部分。根據一個實施例,創建包括在線服務的每一個運營商帳戶的匯總簡檔。如上面所討論的,術語“運營商帳戶”指代被許可為其它用戶或用戶組創建賬戶、修改賬戶和刪除賬戶的賬戶。還可以包括在線服務中的其它類型的帳戶(例如,用戶帳戶)。
[0036]在當前例子中,簡檔310包括針對四種不同事件(事件1、事件2、事件3和事件4)的事件信息。雖然示出了四種事件,但可以包括更少的事件或者更多的事件來檢測異常活動。例如,這些事件可以包括安全事件的全部或者一部分(參見圖8中的針對安全事件的更詳細列表的討論),以及在線服務可以監測的任何其它事件(例如,機器動作、用戶動作等等)。簡檔中包括的每一個事件包括不同的事件信息。該事件信息可以包括諸如下面的信息:事件的類型;發生事件的時間;什么帳戶生成了該事件;該事件的結果等等。例如,一個事件可以是帳戶2在上午11:06啟動的過程開始事件,其導致特定的過程被啟動。根據另一個實施例,該簡檔可以包括:被監測的每一個事件在指定的一段時間之內(例如,在一天、一周之內等等)發生的次數。
[0037]在簡檔310以及簡檔340和370中的事件信息之下所顯示的百分率,示出了這些事件中的每一個事件發生的百分率。在當前的針對匯總簡檔310的例子中,事件I在20 %的時間發生,事件2在5 %的時間發生,事件3在50 %的時間發生,事件4在25 %的時間發生。通常,更頻繁發生的事件通常是諸如登錄到服務、登出該服務等等之類的普通事件。
[0038]如上所述,每一個事件可以與其它事件(其中,在檢測任何異常活動時,對這些其它事件進行監測和使用)進行相同或者不同地加權。例如,可以對每一個事件加權相同的值(例如,I),或者使用某種其它標準來進行加權。根據一個實施例,該加權是基于簡檔中的該事件的頻率。例如,與更頻繁發生的事件相比,可以對于用于不太頻繁發生的事件的權重進行更大地加權。與諸如登入事件或注銷事件之類的普通事件相比,通常不太頻繁地發生的事件(例如,創建賬戶)可以被視為更大程度地表明異常活動。根據一個實施例,通過將最高頻率發生事件的百分率除以該簡檔中的每一個事件的發生百分率,來自動地確定用于每一個事件的相對權重。在簡檔310所示出的當前例子中,自動確定的加權將導致:與用于事件3的權重相比,權重I更高2.5倍,而與用于事件3的權重相比,權重2更高10倍,與用于事件3的權重相比,權重4更高2倍。可以使用其它加權方法。例如,每一個權重可以是基于事件的類型,和/或每一個權重可以由獲授權用戶進行手動地配置(參見圖4的用于對權重進行配置的示例性圖形用戶界面)。可以手動地或自動地配置這些權重。
[0039]基線簡檔340是用于在線服務的單一帳戶的示例性基線簡檔。根據一個實施例,每一個帳戶都包括基線簡檔,其用于確定帳戶的“正常”行為。在當前例子中,基線簡檔340包括與匯總基線簡檔310相同的事件信息。但是,與匯總基線簡檔310相比,基線簡檔340的事件的發生的頻率可以是不同的。如圖所示,事件I和事件3的發生百分率是相同的,但事件2和事件4的百分率是不同的。與基線簡檔310中的事件2的發生相比,在基線簡檔340中,事件2的發生百分率更大(10%對比5%)。與基線簡檔310中的事件4的發生相比,在基線簡檔340中,事件4的發生百分率更小(20%對比25%)。如本文所討論的,可以使用與單一帳戶有關的基線簡檔來檢測異常活動,和/或使用一個或多個匯總基線簡檔來檢測異常活動。在一些情況下,新創建的帳戶不具有建立的基線簡檔。在該情況下,可以將用于新創建的帳戶的最新簡檔與匯總簡檔或者不同的帳戶進行比較,以便檢測異常活動。
[0040]最新簡檔370是針對于在線服務的單一帳戶的示例性最新簡檔。最新簡檔可以針對單一帳戶和/或帳戶的匯總來創建。在當前例子中,最新簡檔370包括與匯總基線簡檔310相同的事件信息。與匯總基線簡檔310以及基線簡檔370相比,最新簡檔370的這些事件的發生率是不同的。將最新簡檔370與基線簡檔(310、340)中的任意一個進行比較,指示該帳戶發生異常活動。例如,最新簡檔中的事件2的發生百分率,與基線簡檔340所指示的相比是2倍大,與匯總基線簡檔310所指示的相比是4倍大。
[0041]圖4示出了用于觀看和配置與異常檢測有關的事件的示例性圖形用戶界面(GUI)。圖4中所示出的GUI只是用于說明目的,而不是限制性的。
[0042]所示出的第一GUI是事件配置410顯示,其示出了用于選擇和配置要進行監測的事件,以進行在線服務的異常檢測的示例性GUI。事件種類415部分示出了可以選擇進行監測的不同種類的事件。雖然示出了四種事件種類,但也可以顯示很多其它事件種類。根據一個實施例,可以選擇在線服務要進行監測的各個事件和事件的種類,以便在異常檢測時使用。在當前例子中,在事件配置410中所示出的事件種類包括:帳戶登錄事件、帳戶管理事件、對象訪問事件和策略改變事件。如圖所示,用戶430選擇帳戶管理事件種類。
[0043]響應于接收到事件種類(例如,帳戶管理事件)的選擇,顯示該事件種類中所包括的每一個事件的更詳細視圖。在當前例子中,帳戶管理事件420顯示在所選定的帳戶管理事件種類中包含的不同事件。根據一個實施例,用戶可以選擇或者取消選擇所選定的事件種類中的個別事件,以包括在異常檢測中。例如,用戶可以選擇帳戶管理事件種類,隨后從異常檢測所使用的事件中取消一對事件。
[0044]顯示器440顯示了包括事件挑選器442的示例性顯示,其顯示出在異常檢測中可以配置和使用的不同事件的列表。在當前例子中,用戶450選擇了事件2。響應于選擇了事件2,顯示配置的更詳細視圖460。在當前例子中,將事件2示出為被設置為“開”,其指示正在對事件2進行監測以進行異常檢測。此外,用戶還可以通過選擇開/關用戶接口單元,來關閉事件
2。此外,還針對事件2設置了權重“0.3”。根據一個實施例,獲授權用戶可以配置不同事件的加權,使得在檢測異常活動時,向不同的事件給予更多的權重。可以設置用于事件的缺省權重。根據一個實施例,將用于每一個事件的缺省權重設置為與該事件在基線簡檔中的頻率恰好成反比。例如,如果事件I在基線簡檔中的頻率為10%,則可以給予其I/.1 = 10的權重。如果事件I在基線簡檔中的頻率為50%,則可以給予其I/.5 = 2的權重。此外,該具體計算方法也可以是可配置的。例如,權重可以是頻率倒數的平方,也可以是與該倒數有關的其它計算值。
[0045]圖5示出了用于顯示檢測的在線服務中的一個或多個帳戶的異常活動的示例性報生口 ο
[0046]顯示510示出用于指示不同帳戶的可能異常活動的示例性報告。異常報告512只是示出為用于示例性目的,而不是限制性的。可以創建并顯示許多其它類型的用于示出異常活動的報告。如圖所示,報告512可以按照從最高檢測的異常活動到最低檢測的異常活動的順序,來列出為查找異常活動而被監測的帳戶的一部分。異常報告512示出了檢測到異常活動的帳戶。例如,正在進行正常操作并且沒有檢測到異常活動的帳戶,沒有在異常報告中示出。根據一個實施例,值大于某個預定義的數值(閾值)的任何帳戶具有潛在的異常活動。根據一個實施例,大于該預定義的數值(閾值)的值指示:與基線簡檔中包括的發生頻率相比,正在監測的至少一個事件當前更頻繁地發生。在當前例子中,用戶可以選擇所顯示的帳戶中的一個,來獲得關于該檢測的異常活動的更多信息。如圖所示,用戶520從異常報告512中選擇帳戶10來獲得該帳戶的更詳細視圖,如顯示540中所示。
[0047]顯示540示出了可以針對檢測到異常活動的帳戶,進行顯示的更詳細信息的例子。如圖所示,更詳細的信息示出了指示異常活動的事件以及用于這些事件的基線簡檔。在顯示540中,正在監測的兩個不同事件顯示具有異常活動。在當前例子中,與視作為正常的情形相比,事件2發生五次(0.5對比0.1)。與正常事件發生相比,事件3通常發生兩次(0.2對比
0.l)o
[0048]圖6和圖7示出了用于使用來自在線服務的帳戶信息來進行異常檢測的過程。當讀取本文所給出的例程的討論時,應當理解的是,各個實施例的邏輯操作實現成:(I)在計算系統上運行的計算機實現的動作或程序模塊的序列,和/或(2)在計算系統中互聯的機器邏輯電路或電路模塊。實現方式依賴于實現本發明的計算系統的性能需求而選擇。因此,所示出的并且構成本文所描述的實施例的邏輯操作,不同地指代成操作、結構化設備、動作或模塊。可以利用軟件、固件、特殊用途數字邏輯、以及其組合來實現這些操作、結構化設備、動作和模塊。雖然以特定的順序來示出這些操作,但根據實現方式,可以改變這些操作的順序,并行地執行這些操作。
[0049]圖6示出了用于通過將基線簡檔與最新簡檔進行比較,檢測在線服務中的異常活動的過程600。
[0050]在開始操作之后,該過程移動到操作610,在此情況下訪問一個或多個基線簡檔。該基線簡檔可以是針對單一帳戶的基線簡檔,也可以是匯總的基線簡檔(其包括來自該在線服務的一個以上帳戶的事件信息)。例如,在線服務中的每一個租戶(tenant)可以針對要監測異常活動的每一個帳戶,都具有單獨的基線簡檔。如上所述,該基線簡檔包括從一個或多個帳戶生成,并指示帳戶或者一些帳戶的“正常”操作的事件信息。根據一個實施例,這些簡檔包括與該在線服務的一個或多個帳戶相關聯的安全事件有關的事件信息。該事件信息可以由獲授權用戶進行配置,和/或基于該在線系統的被監測事件來自動地選擇。例如,在線服務可以自動地選擇該在線服務中的被監測事件或日志事件的全部或者一部分。
[0051]流轉到操作620,訪問最新簡檔。該最新簡檔包括從最新的一段時間獲得的事件信息。最新的一段時間可以包括諸如但不限于上一小時、上兩個小時、上三個小時、上四個小時、上八個小時、一天等等之類的時間周期。根據一個實施例,最新簡檔包括上六個小時來自一個或多個帳戶的事件信息。最新簡檔可以包括該在線服務的單一帳戶和/或該在線服務的帳戶的匯總。
[0052]過渡到操作630,將基線簡檔與最新簡檔進行比較,以檢測該在線服務的異常活動。可以使用不同的方法,來執行最新簡檔與基線簡檔的比較。根據一個實施例,該比較包括:確定在基線簡檔和最新簡檔之間,正在監測的事件中的一個或多個的頻率何時是不同的。根據一個實施例,使用加權因子來調整事件的發生的重要程度。例如,與一個帳戶打開的視窗的數量(其是具有較小權重的事件)的增加相比,可以將一個帳戶創建的帳戶的數量(其是具有更大權重的事件)的增加更加視作為異常活動的指示。
[0053]移動到操作640,可以基于所檢測的異常活動來執行動作。可以發生一個或多個動作。執行的這些動作涉及向一個或多個用戶通知所檢測到的異常活動,和/或嘗試停止或者限制所檢測到的異常活動。例如,可以創建并遞送一個或多個報告(操作650),可以對一個或多個帳戶進行鎖定,使得停止來自所述一個或多個帳戶的未來異常活動,可以阻止一個或多個帳戶發生某些動作等等。
[0054]流轉到操作650,報告所檢測到的異常活動。存在可以用于報告異常活動的多種不同的方法。例如,可以創建根據所檢測到的異常活動來對每一個帳戶進行排名的總結報告,并進行遞送。根據一個實施例,根據針對帳戶所檢測的異常活動的程度,對這些帳戶進行排名。此外,還可以創建針對每一個帳戶的更詳細報告,以進行遞送和/或觀看。根據一個實施例,通過在異常活動的總結報告中選擇帳戶,來訪問更詳細的報告。
[0055]隨后,該過程流轉到結束操作,并且返回以處理其它動作。
[0056]圖7示出了用于配置和存儲基線簡檔和最新簡檔中的事件信息的過程700。
[0057]在開始操作之后,過程轉到操作710,確定在異常檢測中要監測和使用的事件。可以自動地和/或手動地執行該確定。例如,不是手動地選擇要監測的每一個事件,而是在檢測異常活動時,可以使用當前正在監測和載入日志的每一個事件。再舉一個例子,獲授權用戶可以選擇要進行監測的事件。該選擇可以替代在異常檢測中當前正在使用的事件,或者除這些事件之外,還使用該選擇的事件。根據一個實施例,顯示了允許獲授權用戶選擇在異常檢測中要監測和使用的事件的GUI。
[0058]流轉到操作720,對于確定將用于該在線服務的異常檢測的事件進行配置。該配置可以包括手動配置以及自動配置。例如,獲授權用戶可以設置權重,以便與不同的事件進行關聯。根據一個實施例,基于正在進行監測的事件發生的時間百分率,將用于該事件的權重自動地設置為不同的值。在該例子中,與在線服務中通常不太頻繁發生的事件相比,更頻繁發生的事件在檢測異常活動時被視為不太重要。例如,與登入事件相比,創建帳戶的事件可以被給予更大的權重。
[0059]過渡到操作730,對配置信息進行存貯。可以將該配置信息存貯在一個或多個位置。例如,可以將該配置信息存儲在在線服務的數據存貯中,和/或存儲在該在線服務的外部數據存貯中。
[0060]流轉到操作740,獲得來自在線服務的不同帳戶的事件信息。根據一個實施例,從記錄事件信息的日志中獲得該事件信息,其中該事件信息與該在線服務的不同帳戶相關聯。可以自動地或者手動地獲得該事件信息。例如,可以每一小時、每兩小時、每六小時、每天等等,來獲得該事件信息。可以對不同的帳戶和不同類型的帳戶進行監測以查找不同的事件。根據一個實施例,對在線服務的運營商帳戶進行監測,并且來自該監測的數據被在線服務載入日志。此外,還可以對其它類型的帳戶進行監測。例如,獲授權用戶可以配置對該在線服務的每一個帳戶的事件進行監測,或者選擇一個子集的帳戶進行監測。該事件信息可以包括不同類型的信息。例如,該事件信息可以包括諸如但不限于如下信息:事件的類型、該事件發生的時間、該事件的結果等等。
[0061]過渡到操作750,利用該事件信息來更新簡檔。可以利用該事件信息來更新一個或多個簡檔(例如,基線簡檔和最新簡檔)。根據一個實施例,對正在被監測的每一個帳戶的基線簡檔和最新簡檔進行更新。此外,還提供了匯總基線簡檔和匯總最新簡檔。這些匯總簡檔包括一個以上的帳戶所產生的事件信息。根據一個實施例,這些匯總簡檔包括針對該在線服務的租戶(tenant)的每一個帳戶的帳戶信息。例如,針對在線服務所服務的每一個不同客戶,維持單獨的匯總簡檔。如所論述的,可以使用這些不同的簡檔來檢測該在線服務的異常活動。
[0062]隨后,該過程流轉到結束操作,并且返回,以處理其它動作。
[0063]圖8示出了包括異常檢測的示例性在線系統。如圖所示,系統1000包括服務1010、數據存貯1045、以及觸摸屏輸入設備1050(例如,slate)、智能電話1030和顯示器設備1080。
[0064]如圖所示,服務1010是可以被配置為提供諸如生產力服務(例如,電子表格、文檔、呈現、圖表、消息等等)之類的服務的基于云的和/或基于企業的服務。可以使用不同類型的輸入/輸出來與該服務進行交互。例如,用戶可以使用語音輸入、觸摸輸入、基于硬件的輸入等等。服務1010所提供的服務/應用中的一個或多個的功能,還可以配置成基于客戶端/月艮務器的應用。
[0065]如圖所示,服務1010是多租戶(tenant)服務,其向任意數量的租戶(tenant)(例如,Tenant 1_N)提供資源1015和服務。多租戶(tenant)服務1010是基于云的服務,其向預訂該服務的租戶(tenant)提供資源/服務1015,為每一個租戶(tenant)維持單獨的數據,并與其它租戶(tenant)數據進行分離保護。
[0066]如圖所示的系統1000包括觸摸屏輸入設備1050(例如,slate/平板設備)和智能電話1030,其用于檢測何時接收到觸摸輸入(例如,手指觸摸或者幾乎觸摸該觸摸屏)。可以使用檢測用戶的觸摸輸入的任何類型的觸摸屏。例如,觸摸屏可以包括用于檢測觸摸輸入的一層或多層的電容式材料。除了電容式材料之外或者替代電容式材料,可以使用其它傳感器。例如,可以使用紅外線(IR)傳感器。根據一個實施例,觸摸屏被配置為檢測與可觸摸表面接觸的對象或者在可觸摸表面之上的對象。雖然在本描述中使用術語“之上”,但應當理解的是,該觸摸板系統的方位是無關的。術語“之上”旨在可適用于所有這些方位。該觸摸屏可以被配置為確定接收到觸摸輸入的位置(例如,起始點、中間點和結束點)。可以通過任何適當的方式(例如,其包括耦合到觸摸面板的振動傳感器或麥克風),來檢測可觸摸表面和對象之間的實際接觸。用于檢測接觸性的傳感器的例子的非窮舉列表,包括:基于壓力的裝置、微機器的加速計、壓電設備、電容式傳感器、電阻式傳感器和電感式傳感器。
[0067]根據一個實施例,智能電話1030、觸摸屏輸入設備1050和設備1080均包括應用(1031、1051、1081)o
[0068]如圖所示,觸摸屏輸入設備1050、智能電話1030和顯示器設備1080顯示用于示出應用的使用的示例性界面1052/1032/1082,以及與異常檢測有關的界面。數據可以存儲在設備(例如,智能電話1030、slate 1050)上和/或存儲在某個其它位置(例如,網絡數據存貯1045)。可以使用數據存貯1045(或者某個其它存貯)來存儲數據集、事件信息、基線簡檔、最新簡檔以及其它數據。這些設備使用的應用可以是基于客戶端的應用、基于服務器的應用和基于云的應用和/或某種組合。根據一個實施例,顯示器設備1080是諸如耦合顯示器的MICROSOFT XBOX之類的設備。
[0069]異常檢測器26被配置為執行與檢測異常活動有關的操作,如本文所描述的。雖然將異常檢測器26示出為位于服務1010之中,但異常檢測器的功能也可以包括在其它位置中(例如,包括在智能電話1030和/或slate設備1050和/或設備1080上)。
[0070]可以在基線簡檔和最新簡檔中監測和包括的一些示例性事件,包括但不限于:操作系統啟動;操作系統關閉;本地安全機構(Local Security Authority)裝載了認證包;受信任登錄過程已關于本地安全機構注冊;已耗盡為審計消息隊列分配的內部資源,導致一些審計的丟失;安全帳戶管理器裝載了通知包;端口的無效使用;改變了系統時間;監測的安全事件模式已發生;管理員從CrashOnAuditFai I中恢復系統;本地安全機構裝載了安全包;帳戶成功登錄;帳戶未能登錄;用戶/設備主張信息;帳戶注銷;用戶發起注銷;使用顯式證書來嘗試登錄;檢測到重播攻擊;請求一個對象的句柄;修改注冊值;關閉一個對象的句柄;以刪除的意圖來請求一個對象的句柄;刪除一個對象;請求一個對象的句柄;關于一個對象執行操作;進行訪問一個對象的嘗試;進行創建硬鏈路的嘗試;進行創建應用客戶端上下文的嘗試;一個應用嘗試一個操作;刪除一個應用客戶端上下文;初始化一個應用;改變關于一個對象的許可;一個應用嘗試訪問阻塞的序數;向新的登錄分配特殊特權;調用特權服務;對于特權對象嘗試操作;對安全標識符(SID)進行過濾;創建新的進程;退出一個進程;嘗試復制一個對象的句柄;請求一個對象的間接訪問;嘗試備份數據保護主密鑰;嘗試恢復數據保護主密鑰;嘗試保護可審計受保護數據;嘗試可審計受保護數據的解保護;向進程分配主令牌;在系統中安裝服務;創建、刪除、啟用、禁用或更新所調度的任務;分配或者刪除用戶權限;刪除用戶權限;創建針對一個域的新信任;刪除針對一個域的信任;改變Kerberos策略;改變加密的數據恢復策略;改變關于一個對象的審計策略;修改受信任域信息;向一個帳戶授權系統安全訪問或者從一個帳戶中刪除系統安全訪問;改變系統審計策略;創建、改變或啟用用戶帳戶;嘗試改變或者重置帳戶的密碼;嘗試重新設置帳戶密碼;禁用或者刪除用戶帳戶;刪除用戶帳戶;創建、改變或刪除啟用安全的全局組;向啟用安全的全局組增加成員,或者從啟用安全的全局組中刪除成員;刪除、改變或創建啟用安全的本地組;向啟用安全的本地組增加成員,或者從啟用安全的本地組中刪除成員;改變域策略;鎖定用戶帳戶;創建、改變或者刪除計算機帳戶;創建或者改變禁用安全的本地組;向禁用安全的本地組增加成員,或者從禁用安全的本地組中刪除成員;刪除、創建或者改變禁用安全的本地組;向禁用安全的全局組增加成員,或者從禁用安全的全局組中刪除成員;刪除禁用安全的全局組;創建或者改變啟用安全的通用組;向啟用安全的通用組增加成員,或者從啟用安全的通用組中刪除成員;創建、改變或刪除啟用安全的通用組;向禁用安全的通用組增加成員,或者從禁用安全的通用組中刪除成員;刪除禁用安全的通用組;改變組類型;向一個帳戶增加SID歷史;嘗試向失敗的帳戶增加SID歷史;解鎖用戶帳戶;請求Kerberos認證票據;請求或者再生Kerberos服務票據;Kerberos預認證失敗;Kerberos認證票據請求失敗;Kerberos服務票據請求失敗;映射一個帳戶進行登錄;一個帳戶不能進行映射登錄;域控制器嘗試驗證一個帳戶的證書;域控制器驗證一個帳戶的證書失敗;重新連接或者斷開一個會話;在作為管理員組的成員的帳戶上設置訪問控制列表;改變帳戶的名稱;訪問帳戶的密碼哈希;創建、改變或刪除基本應用組;向基本應用組增加成員或者從基本應用組中刪除成員;向基本應用組增加非成員或者從基本應用組中刪除非成員;創建或者刪除輕量級目錄訪問協議(LDAP)查詢組;調用檢查API的密碼策略;嘗試設置目錄服務恢復模式管理員密碼;嘗試查詢一個帳戶的空白密碼的存在性;RPC檢測到完整性違反,同時對輸入消息進行解密;改變關于對象的審計設置;提議的中央訪問策略并不授權與當前中央訪問策略相同的訪問許可;改變關于機器的中央訪問策略;檢測到命名空間沖突;增加、刪除或者修改受信任森林信息;證書管理器拒絕未決的證書請求;證書服務接收重新提交的證書請求;證書服務廢除證書;證書服務接收到發布證書廢除列表(CRL)的請求;證書服務發布證書廢除列表(CRL);證書請求擴展改變;一個或多個證書請求屬性改變;證書服務接收到關閉的請求;證書服務備份啟動或者完成;證書服務恢復啟動或者完成,證書服務啟動或停止;用于證書服務的安全許可改變;證書服務獲取歸檔密鑰;證書服務向其數據庫輸入證書;用于證書服務的審計過濾器改變;證書服務接收到證書請求;證書服務批準證書請求和發出證書;證書服務拒絕證書請求;證書服務將證書請求的狀態設置為未決;用于證書服務的證書管理器設置改變;證書服務中的配置條目改變;證書服務的屬性改變;證書服務對密鑰進行歸檔;證書服務輸入和將密鑰歸檔;證書服務向活動目錄域服務發布CA證書;從證書數據庫中刪除一行或多行;啟用角色分隔;證書服務裝載模板;更新證書服務模板;更新證書服務模板安全;創建每用戶審計策略表;嘗試注冊安全事件源;嘗試注銷安全事件源;CrashOnAuditFaiI值改變;關于對象的審計設置改變;修改特殊組登錄表;用于受信任平臺基礎服務(TBS)的本地策略設置改變;用于TBS的組策略設置改變;對象的資源屬性改變;每用戶審計設置改變;關于對象的中央訪問策略改變;建立、刪除或者修改活動目錄復制源命名上下文;修改活動目錄復制目的命名上下文;開始或者結束活動目錄命名上下文的復制的同步;復制活動目錄對象的屬性;復制失敗開始或者結束;從復制品中刪除拖延對象;當防火墻啟動時,下面的策略是活動的;當防火墻啟動時,列出一種規則;對于防火墻例外列表進行改變,例如,增加、修改或者刪除規則;將防火墻設置恢復成缺省值;防火墻設置發生改變;由于防火墻沒有識別規則的主版本號而忽略某種規則;由于防火墻沒有解譯某種規則而忽略該規則;防火墻組策略設置發生改變;防火墻改變了活動簡檔;防火墻沒有應用下面的規則;由于下面的規則引用的項沒有在該計算機上配置,而防火墻沒有應用該規則;將特定組分配給了新的登錄;啟動互聯網協議安全(IPSec)服務;禁用了IPSeC;IPSeC服務遇到潛在的嚴重失敗;建立了 IPSec主模式安全關聯;建立了 IPSec主模式安全關聯;IPSec主模式協商失敗;IPSec主模式協議協商失敗;IPSec快速模式協商失敗;IPSec主模式安全關聯結束;IPSec丟棄了使完整性檢查失敗的進入分組;IPSec丟棄了使重播檢查失敗的進入分組;IPSec丟棄了應當使得安全的進入清空文本分組;IPSec從遠程計算設備接收具有不正確安全參數索引(SPI)的分組;在主模式協商期間,IPSec接收無效的協商分組;在快速模式協商期間,IPSec接收到無效的協商分組;在擴展模式協商期間,IPSec接收到無效的協商分組;建立了 IPSec主模式和擴展模式安全關聯;IPSec擴展模式協商失敗,并且過程的狀態發生改變。
[0071]此外,還可以對定制事件進行監測。根據一個實施例,無論何時在線服務檢測到該在線服務的任何用戶的定制事件,日志文件就記錄這些定制事件。
[0072]本文所描述的實施例和功能可以經由多種多樣的計算系統來操作,這些計算系統包括但不限于:臺式計算機系統、有線和無線計算系統、移動計算系統(例如,移動電話、上網本、平板或slate類型計算機、筆記本計算機和膝上型計算機)、手持型設備、多處理器系統、基于微處理器的電子或者可編程消費電子、微型計算機和大型計算機。
[0073]此外,本文所描述的實施例和功能可以在分布式系統(例如,基于云的計算系統)上操作,其中在該情況下,應用功能、存儲器、數據存儲和獲取以及各種處理功能在分布式計算網絡(例如,互聯網或內聯網)上,彼此之間遠離地進行操作。可以經由板上計算設備顯示器或者經由與一個或多個計算設備相關聯的遠程顯示單元,來顯示各種類型的用戶界面和信息。例如,可以在各種類型的用戶界面和信息所投影到的墻壁表面上,顯示各種類型的用戶界面和信息并進行交互。本發明的實施例可以與多種多樣的計算系統進行的交互,包括:鍵盤輸入、觸摸屏輸入、語音或其它音頻輸入、手勢輸入(當相關聯的計算設備裝備有用于捕捉和解釋用戶手勢,以控制該計算設備的功能的檢測(例如,攝像頭)功能時)等等。
[0074]圖9-11以及相關聯的描述提供了可以實施本發明的實施例的各種操作環境的討論。但是,參照圖9-11所描繪和討論的設備和系統只是用于舉例和說明目的,而不是限制可以用于實施本文所描述的本發明的實施例的眾多數量的計算設備配置。
[0075]圖9是示出可以實施本發明的實施例的計算設備1100的物理組件(S卩,硬件)的框圖。下面所描述的計算設備組件可以適合于上面所描述的計算設備。在基本配置中,計算設備1100可以包括至少一個處理單元1102和系統存儲器1104。取決于計算設備的配置和類型,系統存儲器1104可以包括但不限于:易失性存儲設備(例如,隨機存取存儲器)、非易失性存儲設備(例如,只讀存儲器)、閃存或者這些存儲器的任意組合。系統存儲器1104可以包括適合于運行軟件應用1120(例如,異常檢測器26)的操作系統1105和一個或多個程序模塊1106。例如,操作系統1105可以適合于控制計算設備1100的操作。此外,本發明的實施例可以結合圖形庫、其它操作系統或者任何其它應用程序來實現,并且不限于任何特定的應用或系統。在圖9中,通過虛線1108中的那些組件來示出該基本配置。計算設備1100可以具有另外的特征或功能。例如,計算設備1100還可以包括另外的數據存儲設備(可移動和/或不可移動),例如,磁盤、光盤或磁帶。在圖9中,通過可移動存儲設備1109和不可移動存儲設備1110來示出這種另外的存儲設備。
[0076]如上所述,系統存儲器1104中可以存儲多個程序模塊和數據文件。當在處理單元1102上執行時,程序模塊1106(例如,異常檢測器26)可以執行過程,包括但不限于附圖中所示出的方法和過程的階段中的一個或多個。可以根據本發明的實施例使用的其它程序模塊,可以包括電子郵件和聯系人應用、文字處理應用、電子表格應用、數據庫應用、幻燈片應用、繪圖或者計算機輔助應用程序等等。
[0077]此外,本發明的實施例可以在包括分立電子元件、包含邏輯門的封裝或集成電子芯片、使用微處理器的電路的電子電路中實現,或者在包含電子元件或微處理器的單一芯片上實現。例如,本發明的實施例可以經由片上系統(S O C)來實現,其中,圖9中所示出的組件中的每一個或者很多可以集成到單一集成電路上。這種SOC設備可以包括一個或多個處理單元、圖形單元、通信單元、系統虛擬化單元和各種應用功能,所有這些都作為單一集成電路來集成(或者“燒制”)到芯片基底上。當經由SOC來操作時,本文關于異常檢測器26所描述的功能,可以經由與計算設備1100的其它組件一起集成在單一集成電路(芯片)上的專用邏輯電路來操作。此外,本發明的實施例還可以使用能夠執行諸如與、或和非之類的邏輯操作的其它技術(其包括但不限于:機械、光、流體和量子技術)來實現。此外,本發明的實施例可以在通用計算機中實現,也可以在任何其它電路或系統中實現。
[0078]計算設備1100還可以具有諸如鍵盤、鼠標、筆、聲音輸入設備、觸摸輸入設備等等之類的一個或多個輸入設備1112。此外,還可以包括諸如顯示器、揚聲器、打印機等等之類的輸出設備1114。前述的設備只是一些例子,可以使用其它設備。計算設備1100可以包括允許與其它計算設備1118進行通信的一個或多個通信連接1116。適當的通信連接1116的例子包括但不限于:RF發射機、接收機和/或收發機電路;通用串行總線(USB)、并口和/或串口。
[0079]如本文所使用的術語“計算機可讀介質”可以包括計算機存儲介質。計算機存儲介質可以包括利用用于存儲諸如計算機可讀指令、數據結構或程序模塊之類的信息的任何方法或技術來實現的易失性和非易失性、可移動和不可移動介質。系統存儲器1104、可移動存儲設備1109和不可移動存儲設備1110全部都是計算機存儲介質的例子(S卩,存儲器存儲設備)。計算機存儲介質可以包括RAM、R0M、電可擦除只讀存儲器(EEPROM)、閃存或其它存儲器技術、CD-ROM、數字多用途光碟(DVD)或其它光存儲、盒式磁帶、磁帶、磁盤存儲或者其它磁存儲設備、或者能夠用于存儲由計算設備1100進行訪問的信息的任何其它制品。任何這種計算機存儲介質可以是計算設備1100的一部分。計算機存儲介質并不包括載波波形或者其它傳播信號或調制的數據信號。
[0080]通信介質可以通過計算機可讀指令、數據結構、程序模塊或者調制的數據信號(例如,載波波形或其它傳輸機制)中的其它數據來體現,包括任何信息遞送介質。術語“調制的數據信號”可以描述利用一種方式來設置或改變一個或多個特性,以便對本信號中的信息進行編碼的信號。例如但不限于,通信介質可以包括諸如有線網絡或直接有線連接之類的有線介質,以及諸如聲波、射頻(RF)、紅外線和其它無線介質之類的無線介質。
[0081 ]圖1OA和圖1OB示出了可以實施本發明的實施例的移動計算設備1200,例如,移動電話、智能電話、平板個人計算機、膝上型計算機等等。參見圖10A,該圖示出了用于實現這些實施例的移動計算設備1200的一個實施例。在基本配置中,移動計算設備1200是具有輸入單元和輸出單元的手持型計算機。通常,移動計算設備1200包括顯示器1205和一個或多個輸入按鍵1210,其允許用戶向移動計算設備1200輸入信息。移動計算設備1200的顯示器1205還可以實現輸入設備的功能(例如,觸摸屏顯示器)。如果包括的話,則可選的側邊輸入單元1215允許另外的用戶輸入。側邊輸入單元1215可以是旋轉開關、按鍵、或者任何其它類型的手動輸入單元。在替代的實施例中,移動計算設備1200可以合并更多或者更少的輸入單元。例如,在一些實施例中,顯示器1205可以不是觸摸屏。在另一個替代實施例中,移動計算設備1200是便攜式電話系統(如,蜂窩電話)。移動計算設備1200還可以包括可選的小鍵盤1235。可選的小鍵盤1235可以是物理鍵盤或者在觸摸屏顯示器上生成的“軟”鍵盤。在各個實施例中,輸出單元包括用于顯示圖形用戶界面(GUI)的顯示器1205、視覺指示器1220(例如,發光二級管)和/或音頻換能器1225(例如,揚聲器)。在一些實施例中,移動計算設備1200合并有振動換能器,以向用戶提供觸覺反饋。在另一個實施例中,移動計算設備1200合并輸入和/或輸出端口,例如,音頻輸入(如,麥克風插孔)、音頻輸出(如,耳機插孔)和視頻輸出(如,HDMI端口),以便向外部設備發送信號或者從外部設備接收信號。
[0082]圖1OB是示出移動計算設備的一個實施例的架構的框圖。也就是說,移動計算設備1200可以合并系統1202(8卩,架構)以實現一些實施例。在一個實施例中,將系統1202實現成能夠運行一個或多個應用(例如,瀏覽器、電子郵件、日歷、聯系人管理器、消息客戶端、游戲和媒體客戶端/播放器)的“智能電話”。在一些實施例中,將系統1202集成為計算設備,例如集成的個人數字助理(PDA)和無線電話。
[0083]可以將一個或多個應用程序1266裝載到存儲器1262中,運行在操作系統1264上或者與操作系統1264相關聯。這些應用程序的例子包括電話撥號盤程序、電子郵件程序、個人信息管理(PM)程序、文字處理程序、電子表格程序、互聯網瀏覽器程序、消息程序等等。此夕卜,系統1202還包括存儲器1262中的非易失性存儲區域1268。非易失性存儲區域1268可以用于存儲在系統1202掉電時不會丟失的永久性信息。應用程序1266可以使用和存儲非易失性存儲區域1268中的信息,例如,電子郵件應用使用的電子郵件或者其它消息等等。同步應用(沒有示出)還位于系統1202上,被編程為與位于主機計算機上的相應同步應用進行交互,以保持非易失性存儲區域1268中存儲的信息與主機計算機所存儲的相應信息同步。應當理解的是,包括如本文所描述的異常檢測器26的其它應用可以裝載到存儲器1262中,并運行在移動計算設備1200上。
[0084]系統1202具有電源1270,其中該電源1270可以實現成一個或多個電池。電源1270還可以包括外部電源,例如,AC適配器,或者用于對電池進行補充或者充電的供電對接支座。
[0085]此外,系統1202還可以包括無線電裝置1272,后者執行發送和接收無線電頻率通信的功能。無線電裝置1272有助于經由通信運營商或者服務提供商,來實現系統1202和“夕卜部世界”之間的無線連接。在操作系統1264的控制之下進行去往和來自無線電裝置1272的傳輸。換言之,可以經由操作系統1264,將無線電裝置1272接收的通信傳播給應用程序1266,反之亦然。
[0086]視覺指示器1220可以用于提供視覺通知,和/或音頻接口1274可以用于經由音頻換能器1225來產生可聽的通知。在所示出的實施例中,視覺指示器1220是發光二極管(LED),音頻換能器1225是揚聲器。這些設備可以直接耦合到電源1270,使得當激活時,它們仍然保持通知機制所指示的持續時間(即使處理器1260和其它組件可能關閉以節省電池電量)。可以對LED進行編程以保持不確定的時間,直到用戶采取動作來指示該設備的開機狀態。音頻接口 1274用于向用戶提供可聽信號和從用戶接收可聽信號。例如,除了耦合到音頻換能器1225之外,音頻接口 1274還可以耦合到麥克風來接收可聽輸入,例如用于促進電話會話。根據本發明的實施例,麥克風還可以充當音頻傳感器,以促進對通知的控制,如下面所將描述的。此外,系統1202還可以包括視頻接口 1276,后者啟動板載攝像頭的操作來記錄靜止圖像、視頻流等等。
[0087]實現系統1202的移動計算設備1200可以具有另外的特征或功能。例如,移動計算設備1200還可以包括諸如磁盤、光盤或磁帶之類的另外的數據存儲設備(可移動和/或不可移動)。在圖1OB中,通過非易失性存儲區域1268來示出這種另外的存儲設備。此外,移動計算設備1200還可以包括外圍設備端口 1230。
[0088]由移動計算設備1200生成或捕獲并經由系統1202來存儲的數據/信息,可以本地存儲在移動計算設備1200上(如上所述),或者該數據可以存儲在任意數量的存儲介質上,其中該設備可以經由無線電裝置1272或者經由移動計算設備1200和與該移動計算設備1200相關聯的單獨計算設備(例如,諸如互聯網之類的分布式計算網絡中的服務器計算機)之間的有線連接來訪問這些存儲介質。應當理解的是,移動計算設備1200可以經由無線電裝置1272或者經由分布式計算網絡來訪問該數據/信息。類似地,可以根據公知的數據/信息傳輸和存儲單元(其包括電子郵件和協作式數據/信息共享系統),在計算設備之間容易地傳輸該數據/信息,以便進行存儲和使用。
[0089]圖11示出了一種示例性系統的架構的實施例,如上所述。用異常檢測器26開發的內容、與異常檢測器26交互的內容、或者與異常檢測器26相關聯地編輯的內容,可以存貯在不同的通信信道或者其它存儲類型中。例如,可以使用目錄服務1322、web門戶1324、郵箱服務1326、即時消息存貯1328或者社交網絡站點1330來存儲各種文檔。異常檢測器26可以使用這些類型的系統中的任何一種或類似物來實現數據利用,如本文所描述的。服務器1320可以向客戶端提供異常檢測器26。舉一個例子,服務器1320可以是通過萬維網來提供異常檢測器26的web服務器。服務器1320通過網絡1315,在萬維網上向客戶端提供異常檢測器
26。舉例而言,可以將客戶端計算設備實現成計算設備1100并體現在個人計算機、平板計算設備1310和/或移動計算設備1200(例如,智能電話)中。客戶端計算設備1100、1310、1200的這些實施例中的任何一個可以獲得來自存貯1316的內容。
[0090]例如,上面參照根據本發明的實施例的方法、系統和計算機程序產品的框圖和/或操作性說明,來描述了本發明的實施例。這些框中所述的功能/動作可以按照與任何流程圖中所示的順序不同的順序來發生。例如,以連續形式示出的兩個框事實上可以基本并發地執行,或者這些框有時可以以相反順序來執行,取決于所涉及的功能/動作。
[0091]本申請中所提供的一個或多個實施例的描述和說明,并非旨在以任何方式來限制或者約束如權利要求所主張的本發明的保護范圍。本申請中所提供的實施例、示例和細節被認為足以傳達對所主張的本發明的所有權,并使他人能夠制造和使用所主張的本發明的最佳模式。所主張的本發明不應被解釋為限于本申請中提供的任何實施例、例子或者細節。不管是以組合方式還是單獨地進行示出和描述,各種特征(包括結構和方法)旨在被選擇性地包括或者省略,以產生具有一組特定特征的實施例。在提供本申請的描述和說明之后,本領域普通技術人員可以預想落入本申請所體現的更廣泛方面的發明構思的精神之內的變型、修改和替代實施例,而不脫離所主張的本發明的更廣泛的保護范圍。
【主權項】
1.一種用于檢測在線服務中的異常活動的方法,包括: 訪問包括過去事件信息的基線簡檔,所述過去事件信息與源自于所述在線服務的帳戶的事件有關; 訪問包括最新事件信息的最新簡檔,所述最新事件信息與源自于所述在線服務的帳戶的最新事件有關; 將所述基線簡檔中的所述過去事件信息的頻率與所述最新簡檔中的所述最新事件信息的頻率進行比較,以確定何時在所述在線服務中檢測到異常活動;以及當檢測到所述異常活動時,報告所述異常活動。2.根據權利要求1所述的方法,其中,所述過去事件信息和所述最新事件信息包括所述在線服務的安全事件。3.根據權利要求1所述的方法,其中,所述最新簡檔包括:與活動有關的數據的從幾個小時到一天之間發生的最新事件信息。4.根據權利要求1所述的方法,其中,將所述基線簡檔中的所述過去事件信息的頻率與所述最新簡檔中的所述最新事件信息的頻率進行比較以確定何時在所述在線服務中檢測到異常活動包括:確定何時所述最新事件信息中的事件中的至少一個的頻率與所述過去事件信息中的事件中的至少一個的頻率相比更高。5.根據權利要求1所述的方法,還包括接收配置信息,所述配置信息有關于:對要監測并包括在所述最新簡檔和所述基線簡檔中的事件進行配置。6.—種存儲有用于檢測在線服務中的異常活動的計算機可執行指令的計算機可讀存儲介質,包括: 訪問包括過去事件信息的基線簡檔,所述過去事件信息與包括源自于所述在線服務的帳戶的安全事件的事件有關; 訪問包括與最新事件有關的最新事件信息的最新簡檔,所述最新事件包括在上一天以內源自于所述在線服務的帳戶的安全事件; 將所述基線簡檔與所述最新簡檔進行比較,并且當所述基線簡檔和所述最新簡檔不同時,則檢測異常活動;以及 當檢測到所述異常活動時,報告所述異常活動。7.—種用于檢測在線服務中的異常活動的系統,包括: 處理器和存儲器; 使用所述處理器執行的操作環境;以及 異常檢測器,其被配置為執行包括以下各項的動作: 訪問包括過去事件信息的基線簡檔,所述過去事件信息與包括源自于所述在線服務的帳戶的安全事件的事件有關; 訪問包括與最新事件有關的最新事件信息的最新簡檔,所述最新事件包括在上一天以內源自于所述在線服務的帳戶的安全事件; 將所述基線簡檔中的過去事件信息的頻率與所述最新簡檔中的所述最新事件信息的頻率進行比較,以確定何時在所述在線服務中檢測到異常活動;以及當檢測到所述異常活動時,報告所述異常活動。8.根據權利要求7所述的系統,還包括:定期地訪問系統日志,以從所述在線服務的帳戶獲得事件信息,并使用所訪問的信息來更新所述基線簡檔和所述最新簡檔。9.根據權利要求7所述的系統,還包括:將包括在所述基線簡檔和所述最新簡檔中的事件中的每一個與權重相關聯,所述權重影響在檢測所述異常活動時所述事件的發生率被使用多少。10.根據權利要求7所述的系統,還包括: 顯示圖形用戶界面(GUI),并且從所述GUI接收與對所述事件進行配置有關的配置信息。
【文檔編號】H04L29/06GK105874767SQ201480069416
【公開日】2016年8月17日
【申請日】2014年12月11日
【發明人】A·薩多夫斯基, R·拉爾卡卡, V·夏爾馬, R·拉加古帕蘭, A·麥克勞德
【申請人】微軟技術許可有限責任公司