对网络可访问存储装置处的事务进行分类的制作方法

远端(off-premises)存储装置(例如在云存储上)用于存储从本地存储装置复制的原始数据和旧工作数据集。远端存储装置还用作使用本地(on-premises)和远端资源二者的混合云存储的一部分。远端存储装置还用于存储来自客户端机器、日志和事务集合的更新。

出于安全性目的分析访问模式通常地包括创建安全模型(例如，基线)，并且测量与基线的偏差，要么基于手工制作的规则要么从监视的动作和/或改变提取的自动学习的模式(例如，使用机器学习和/或数据挖掘技术)。大于和/或小于阈值的偏差(例如，具有低发生概率的偏差)被标记为异常并且通常被忽略。

技术实现要素：

根据在此描述的一些示例，提供了用于基于从与被存储在本地设备(诸如客户终端)的本地存储装置中的目标数据相关联的事务数据学习到的安全模型来对在远端存储装置(例如云存储)处监视的远端事务进行分类的方法和系统。安全模型可选地基于在远端存储装置上检测的活动(还被称为行为)而被适配并且被用于检测与被存储在远端存储装置中的目标数据的副本相关联的事务中的异常。

可选地，安全模型(在此被称为本地预测安全模型或者客户端预测安全模型)基于用于检测异常的(一个或多个)基线和/或用于基于对在本地存储装置处监视的本地事务的分析而确定的有监督学习的标签。

除非另外定义，否则在此使用的所有技术和/或科学术语具有与由本领域的普通技术人员通常理解的相同的意义。类似或者等同于与在此所描述的那些方法和材料可以被使用在本公开的示例的实践或者测试中，下文描述了示例性方法和/或材料。在冲突的情况下，包括定义的专利说明书将进行控制。另外，材料、方法和示例仅是说明性的并且不旨在是必然地限制性的。

附图说明

本公开的一些示例在此参考附图仅以示例的方式来描述。现在对附图进行详细特定参考，应当强调，所示的细节以示例的方式并且出于本公开的示例的说明性讨论的目的而被示出。在该方面中，利用附图进行的描述使本公开的示例可以如何被实践对于本领域的技术人员明显。

在附图中：

图1是根据本发明的一些示例的用于基于本地设备的事务数据学习到的安全模型来对在远端存储装置处监视的远端事务进行分类的过程的流程图的示图；

图2是根据本发明的一些示例的用于基于从本地设备的事务数据学习到的安全模型对在远端存储装置处监视的远端事务进行分类的系统(例如通过实现图1)的示意图；以及

图3是根据本发明的一些示例的用于基于从本地设备的事务数据学习到的安全模型对在远端存储装置处监视的远端事务进行分类(例如使用如在图2中所描绘的系统)的系统中的数据流的示意图。

具体实施方式

针对远端存储装置(诸如云存储装置)的数据源的非均匀性使其对于创建用于异常和/或故障检测的足够的基线非常复杂。对旧工作集的访问通常稀有并且可以被标记为具有高假肯定率。假肯定率可以引导操作者(例如系统管理员)忽略通知和/或关闭警报选项。通过忽略或者关闭警报或者通知，很少访问的账户可以保持在受保护且易受许多类型的攻击。

根据在此所描述的一些示例，提供了基于来自用于异常或者故障检测的安全模型的数据来对网络可访问存储事务进行分类的方法和系统。安全模型通过对被存储在对用于访问某个存储设备中的目标数据的事务的分析而被动态地创建，并且来自安全模型的数据用于对在目标数据的副本被存储在另一存储设备中时用于访问副本的事务进行分类。

根据在此描述的一些示例，提供了用于基于从与被存储在本地设备(诸如客户终端)的本地存储装置中的目标数据相关联的事务数据学习到的安全模型来对在远端存储装置(例如云存储)处监视的远端事务进行分类的方法和系统。安全模型可选地基于在远端存储装置上检测的活动(还被称为行为)而被适配并且被用于检测与被存储在远端存储装置中的目标数据的副本相关联的事务中的异常。在不要求大量的投资的情况下，在此概述和下文描述的方法和系统为异常和/或故障检测提供高效的学习模型。通过使用该学习模型，异常的假肯定检测减少并且因此检测警报的可信性增加，如下文所描述的。发明人不知道特别地针对数据(在没有上下文的情况下)定制的假肯定减少的方案，诸如被存储用于远端存储系统(例如云存储)处的备份和/或计算效率的工作数据集的副本。在此所描述的方案不要求在大量的实际存储账户上要求昂贵的复杂模型并且要求较少的实现努力。

在详细解释示例性示例的至少一个示例之前，将理解到，本公开不必在其应用中限于在以下描述中所阐述和/或在附图和/或示例中所图示的部件和/或方法的构建和布置的细节。本公开能够具有其他实施例或者以各种方式实践或者执行。

现在对图1进行参考，其图示了根据本发明的一些示例的用于基于本地设备的事务数据学习到的安全模型对在远端存储装置处监视的远端事务进行分类的过程的流程图的示图。

过程允许基于根据正常流量活动建立的基线数据和在本地存储装置中监视的标准配置来应用远端存储装置中的异常和/或故障检测方案。以这样的方式，克服从被加载到远端存储装置(诸如云存储)的数据源的非均匀性出现的障碍。此外，这允许减少对很少访问的旧工作集的访问的假肯定检测。

还对图2进行参考，其是根据本发明的一些示例的用于基于从本地设备202的事务数据学习到的本地预测安全模型对在远端存储系统201的远端存储装置处的远端事务(还被称为网络可访问存储事务)进行分类的系统200的示意图。远端存储系统201(例如云存储服务器或者在一个或多个服务器上执行的虚拟机)和本地设备202(例如客户终端(诸如个人计算机、智能电话和/或类似物))有线和/或无线被连接到网络205(诸如广域网(wan)和/或一个或多个局域网(lan))。系统200包括远端存储建模器203和远端检测模块204，例如被存储在远端存储系统201的存储器206中并且由远端存储系统201的(一个或多个)处理器219执行的软件组件。系统200可选地包括或者与本地存储建模器207和本地检测模块208通信，例如被存储在本地存储设备202的存储器220中并且由本地存储设备202的(一个或多个)处理器209执行的软件组件。

在使用中，本地存储建模器207通过对用于访问目标数据210的多个本地事务(还被称为客户端事务，诸如(一个或多个)工作集(例如，驻留在物理存储器中的过程的虚拟地址空间中的e个页面))的分析动态地创建本地安全模型，同时目标数据210被存储在客户端计算设备中。本地安全模型还可以基于从多个本地事务的分析创建的异常基线来训练。

本地安全模型可以由用于本地异常和/或故障检测的检测模块208来使用，例如用于检测与指示威胁(诸如对于访问或者操纵数据和/或任何恶意软件活动和/或系统故障的未授权试验)的基线的偏差。

可选地，如在101处所示，本地存储建模器207可选地收集(一个或多个)访问日志、(一个或多个)维护日志、(一个或多个)部署日志和/或与目标数据210相关联的(一个或多个)配置(config)日志。可选地，相关数据(诸如由本地设备202存储或者先前使用的旧工作集的快照)也被存储和/或映射。

如在102处所示，这允许根据从所收集的日志和/或相关数据所提取的特征来计算本地预测安全模型212(还被称为客户端预测安全模型)。特征可以是数据量访问、读取事务数据、写入事务数据、被用于登录动作的源因特网协议(ip)、登录动作的时间、凭证、用户特权级别数据、访问数据的时间、访问数据的频率和/或类似物。本地预测安全模型212可以由本地存储建模器207和/或驻留在另一设备上的部件来本地计算。可选地，还从用于支持分类器(例如统计分类器)的计算的目标数据提取用于有监督学习的标签。

本地预测安全模型212可选地包括或者基于用于异常和/或故障检测的一个或多个基线、使用用于分类(一个或多个)安全事件的有监督学习的标签的分类器、用于良性或者恶意活动的一类模型和/或用户、账户和/或活动的模型集群和/或其任何组合。可以从监视目标数据的任何部件或者实体接收本地预测安全模型212。

现在，如在103处所示，在目标数据的副本211被存储在由远端存储系统201管理的存储装置中之后，用于访问或者处理副本211的远端事务由远端存储建模器203和/或远端检测模块204来监视。

可选地，副本211和本地预测安全模型212的相应副本以相关的方式被转发给远端存储系统201，例如一起或者顺序地，可选地通过网络205。副本211和本地预测安全模型212的相应副本可选地彼此相关联被存储，使得与副本有关的异常检测由本地预测安全模型212的相应副本支持，例如，如在此所描述的。在这样的示例中，远端存储系统201可以托管不同的设备的多个不同副本，每个设备与通过监视在相关联的副本中副本的数据所生成的本地预测安全模型的相应副本相关联。可选地，当工作集的副本被更新时，获取相应本地预测安全模型的新副本。

如在104处所示，在远端存储系统201上存储目标数据的副本211之后、之前或者期间，本地预测安全模型212的副本被接收或者被选择以由远端存储建模器203和/或远端检测模块204使用。

如在105处所示，预测安全模型212允许远端检测模块204基于本地预测安全模型212对通过监视副本211所观察的事务和其他数据行为指示器进行分类。可选地，分类指示常态、异常、故障和/或类似物。可选地，诸如异常和/或故障检测或者正常活动检测的预测的指示被输出以呈现给用户和/或管理员。可选地，指示被添加到日志或者数据集和/或作为推送通知(例如，作为通知、电子邮件和/或即时通讯消息或者短消息服务(sms)消息)被转发给操作者。输出可以是另一系统(例如风险分析系统、机器人和/或类似物)的输入。

例如，还对图3进行参考，其是根据本发明的一些示例的用于基于从本地设备的事务数据学习到的本地预测安全模型来对在远端存储装置处监视的远端事务进行分类(例如使用如在图2中所描绘的系统)的系统中的数据流的示意图。如在301处所示，来自本地设备的工作集的副本被存储在云存储中。例如，如上文所描述的，(一个或多个)本地预测安全模型基于用于检测异常的基线而被计算和/或训练，其基于与复制的(一个或多个)工作集相关联的事务和/或基于用于有监督学习的标签而被建立。(一个或多个)本地预测安全模型基于与被存储在云存储装置处的(一个或多个)工作集的(一个或多个)副本相关联的事务而被评分。在使用中，(一个或多个)预测安全模型被用于相对于(一个或多个)工作集的(一个或多个)副本保持的事务中间的异常检测。

根据本发明的一些示例，从目标数据210导出的特征被用于将副本211排名和/或分类例如为数据集种类(诸如“稳定数据集”或者“瞬态数据集”)。例如，数据集以无监督的方式基于这些特征而被聚类并且集群被用于推断副本属于哪个集群。该分类可选地被使用以便从用于分类参考副本211所观察的事务的多个模型或者模板的集合选择本地预测安全模型或者用于创建本地预测安全模型的适当的本地预测安全模型模板。

根据本发明的一些示例，若干可选的本地预测安全模型被选择和/或被创建以用于检测与副本211有关的事务中的异常。例如，使本地预测安全模型212、基于由远端存储建模器203所监视的事务所计算的远端本地预测安全模型213、以及本地预测安全模型212和远端本地预测安全模型213的组合可用于检测与副本211有关的事务的异常的远端检测模块204。在这样的示例中，可以基于异常检测规则(例如，将与不同的数据集有关的事务划分以基于不同的模型来评价的异常检测规则)来做出选择。附加地或者备选地，可以基于历史表现来做出选择。附加地或者备选地，事务由本地预测安全模型212、远端本地预测安全模型213、以及本地预测安全模型212、213上的组合并行评价。在这样的示例中，发出异常检测通知的决策基于具有一个或多个肯定评价。可选地，发出异常检测通知的决策基于考虑利用若干不同的模型做出的若干评价的结果的加权函数。

可选地，用户接口(诸如图形用户接口(gui))用于定义或者编辑异常检测规则和/或学习用于创建远端本地预测安全模型213(还被称为网络可访问存储安全模型)的策略和/或用于编辑模型的组合。例如，可以定义基于活动的水平、数据量、预测准确度的性能和/或基于过往数据和检测的假设分析模拟的规则。

上文所描述的方法和系统涉及基于来自通过当其被存储在客户端中时对用于访问目标数据的事务的分析动态地创建的安全模型的数据对用于访问被存储在网络可访问存储装置中的目标数据的副本的网络可访问存储事务的分类。通过示例，以上描述可以被用于教导基于来自通过当其被存储在存储装置中时对用于访问目标数据的事务的分析动态地创建的数据对用于访问被存储在某个存储装置中的目标数据的副本的网络可访问存储事务的分类。

应预期到，在从本申请成熟的专利的寿命期间，许多相关系统和过程将被开发，并且术语模块、处理器、网络和/或类似物旨在包括所有这样的新技术或者先验。

术语“包括”、“包含”、“含有”、“有”、“具有”和其词形变化意味着“包括但不限于”。

术语“由…组成”意味着“包括并且限于”。

术语“实质上由…组成”意味着组成、方法或者结构可以包括附加成分、步骤和/或部分，但是只要附加成分、步骤和/或部分未物质上更改要求保护的组成、方法或者结构的基本和新颖特点。

根据本发明的一些实施例，提供了一种对远端存储装置处的远端事务进行分类的计算机化方法。计算机化方法包括获得用于异常或者故障检测的本地预测安全模型，本地预测安全模型通过对用于访问被存储在客户端计算设备中的目标数据的多个本地事务的分析而被动态地创建，监视当目标数据的副本被存储在远端计算存储装置(还被称为网络可访问存储装置)中时用于访问副本的多个远端事务，以及基于本地预测安全模型对多个远端事务中的至少一些进行分类。

可选地，本地预测安全模型包括使用用于分类安全事件的标记数据计算的分类器。

可选地，本地预测安全模型包括用于异常或者故障检测的至少一个基线或者基于至少一个基线而被创建。

可选地，本地预测安全模型通过包括以下各项的组中的至少一个成员的附加分析而被创建：收集访问日志、维护日志、部署日志和/或与目标数据相关联的配置日志。

可选地，方法还包括基于对目标数据的多个特征的分析来对副本进行分类；其中本地预测安全模型被选自根据多个本地事务的分析创建的多个本地预测安全模型。

更可选地，多个特征包括包含以下各项的组中的至少一个成员：数据量访问、读事务数据、写事务数据、用于登录动作的源因特网协议(ip)、登录动作的时间、凭证、用户特权级别数据、访问数据的时间和访问数据的频率。

可选地，方法还包括基于无监督学习技术将来自目标数据的多个数据集聚类到多个数据集群集中并且相应地对副本进行分类。

可选地，方法还包括通过根据对多个远端事务的分析对本地预测安全模型进行适配来创建远端数据模型。

更可选地，分类包括基于异常检测规则，选择多个本地预测安全模型、远端数据模型、以及本地预测安全模型和远端数据模型的组合中的一个。

更可选地，分类包括基于本地预测安全模型、远端数据模型、以及本地预测安全模型和远端数据模型的组合的历史表现，选择本地预测安全模型、远端数据模型以及组合中的一个。

更可选地，分类基于考虑本地预测安全模型和远端数据模型的结果的加权函数。

更可选地，分类根据使用图形用户接口获取的用户输入而被调节。

根据本发明的一些实施例，提供了一种包括至少一个处理器和存储器的系统，所述存储器包括计算机可执行指令，其基于由至少一个处理器引起的执行，将至少一个处理器配置为：获得用于异常或者故障检测的本地预测安全模型，本地预测安全模型通过对用于访问被存储在客户端计算设备中的目标数据的多个本地事务的分析而被动态地创建，监视当目标数据的副本被存储在远端计算存储装置中时用于访问副本的多个远端事务，并且基于本地预测安全模型来对多个远端事务中的至少一些进行分类。

可选地，本地预测安全模型包括使用用于分类安全事件的标记数据计算的分类器。

可选地，本地预测安全模型包括用于异常或者故障检测的至少一个基线或者基于其而被创建。

可选地，本地预测安全模型通过包括以下各项的组中的至少一个成员的附加分析而被创建：收集访问日志、维护日志、部署日志和/或与目标数据相关联的配置日志。

可选地，至少一个处理器被适配为基于无监督学习将来自目标数据的多个数据集聚类到多个数据集群集中并且相应地执行副本的分类。

可选地，至少一个处理器被适配为通过根据对多个远端事务的分析适配本地预测安全模型创建远端数据模型。

可选地，至少一个处理器被适配为基于考虑本地预测安全模型和远端数据模型的结果的加权函数，对至少一些远端事务进行分类。

根据本发明的一些实施例，提供了一种软件程序产品，其包括非暂态计算机可读存储介质，用于获得用于异常或者故障检测的本地预测安全模型的第一程序指令，本地预测安全模型通过对用于访问被存储在客户端计算设备中的目标数据的多个本地事务的分析而被动态地创建，监视当目标数据的副本被存储在远端计算存储装置中时用于访问副本的多个远端事务的第二程序指令，以及基于本地预测安全模型对多个远端事务中的至少一些进行分类的第三程序指令。程序指令通过至少一个计算机化处理器从非暂态计算机可读存储介质来执行。

为了清晰起见，在分离的示例的上下文中描述的在此所描述的示例的某些特征还可以组合被提供在单个示例中。相反地，为了清晰起见，在单个示例的上下文中描述的在此所描述的示例的各种特征还可以分离地或以任何适合的子组合被提供或者适于本公开的任何其他所描述的示例中。除非示例在没有那些元素的情况下是不能工作的，否则在各个示例的上下文中所描述的某些特征将不被认为是那些示例的基本特征。