检测来自在线服务的帐户的异常活动的制作方法
【专利摘要】使用从在线服务(110)中的帐户接收的事件信息,来检测异常活动。通常,通过将基线简档(155)与最新简档(165)进行比较来检测异常活动,其中基线简档(155)包括在线服务(110)的帐户的过去事件信息,最新简档(165)包括所述帐户的最新事件信息。当最新简档(165)示出一个或多个事件与相关联的基线简档(155)中的所述事件的发生率相比更频繁地发生时,则检测到异常活动。在异常检测中记录和使用的这些事件可以包括由该在线服务(110)所监测的所有事件或者其一部分。此外,还可以自动地创建一个或多个报告(130),并提供给一个或多个用户,以示出可能被认为是异常活动的活动。
【专利说明】
检测来自在线服务的帐户的异常活动
【背景技术】
[0001]异常检测用于确定何时数据中的模式与预期的模式不匹配。例如,信用卡公司可以使用异常检测来帮助检测与客户的信用卡有关的欺骗性的活动。在线服务可以创建规贝1J,用于在网络流量超过预定阈值时检测异常活动。检测与在线服务相关联的异常活动可能是有挑战性的并耗费时间的。例如,通常存在可能需要分析的与在线服务的操作有关的极其大量的数据。代替于对上述大量数据进行处理,许多在线服务检测异常活动是通过确定预定义事件何时在该在线服务的单个或几个机器上发生。例如,该预定义事件可以响应于在线服务的网络流量超过某个预定的水平而发生,或者当大量进程在短时间段内开始时发生。
【发明内容】
[0002]提供此
【发明内容】
以便引入简化形式的概念的选集,所述概念将在以下的【具体实施方式】中进一步描述。此
【发明内容】
并非旨在标识本发明主题的关键特征或本质特征,亦非旨在用于确定本发明主题的保护范围。
[0003]异常活动是使用从在在线服务中执行活动的帐户监测到的事件信息来检测的。通常,异常活动是通过确定何时基线简档与最新简档不同来检测的,其中基线简档表示该在线服务的“正常”活动,最新简档表示来自该在线服务中的帐户的“当前”活动。例如,当一个事件(例如,创建帐户事件)在最新简档中相比于在基线简档中的创建账户事件的发生率更频繁地发生时,可以检测到异常活动。在检测异常活动中使用的事件信息,可以包括由该在线服务监测的所有事件或者其一部分。例如,用于异常检测的事件可以包括:安全事件(例如,改变许可的任何事件,比如,创建帐户、改变一个或多个帐户的许可、登入该在线服务或者登出该在线服务……)的所有或其一部分,以及其它类型的事件(例如,系统事件、硬件事件,等等)。获授权用户可以对要监测的事件进行配置,和/或对于一个或多个事件种类的事件可以被自动地选择。为查找异常活动而被监测的帐户,可以包括该在线服务的帐户的全部或一部分。例如,为查找异常活动而被监测的帐户可以是运营商帐户(例如被许可为其它用户或者用户组创建账户、修改账户以及删除账户的账户)或者其它帐户类型(例如,用户帐户、特权帐户等等)。响应于检测异常活动,可以执行不同的活动。例如,可以阻止某个帐户执行操作,可以锁定帐户,可以自动地生成一个或多个报告并提供给一个或多个用户以示出可能被认为是异常活动的活动,等等。可以生成不同类型的报告。例如,一个报告可以基于检测到的异常活动的等级来对帐户进行排名,而另一个报告可以提供针对这些帐户中的一个或多个的更详细信息。
【附图说明】
[0004]图1示出了用于检测来自在线服务的帐户的异常活动的系统的概述;
[0005]图2示出了用于检测来自在线服务的帐户的异常活动的更详细系统;
[0006]图3示出了包括在检测来自在线服务中的帐户的异常活动时使用的事件信息和事件权重的不同简档;
[0007]图4示出了用于观看和配置与异常检测有关的事件的示例性图形用户界面;
[0008]图5示出了用于显示检测的在线服务中的一个或多个帐户的所检测到的异常活动白勺不例性报告;
[0009]图6示出了用于通过将基线简档与最新简档进行比较来检测在线服务中的异常活动的过程;
[0010]图7示出了用于配置和存贮基线简档和最新简档中的事件信息的过程;
[0011]图8示出了用于检测异常活动的示例性在线系统;以及
[0012]图9、图10A、图1OB和图11以及相关联的描述对提供了其中可以实施本发明的实施例的各种操作环境的讨论。
【具体实施方式】
[0013]由于可能被载入日志的事件的数量众多,因此在线服务通常从该服务中的单一机器(或者少量的机器)中检查所载入日志的事件的一个较小子集,来检测异常活动。例如,不是对来自在线服务中的每一个机器的事件都进行检查,而是在线服务选择一个或两个机器来监测以查找异常活动。此外,在线服务还可以建立硬编码规则来检测异常活动。例如,在线服务可以创建规则来识别特定类型的异常活动。根据本发明的实施例,不是创建单独的规则来检测异常活动,而是由异常检测器基于所监测的事件和从不同的计算设备获得的事件以及该在线服务中的帐户来自动地检测异常活动。可以使用监测到的来自在线系统的帐户的任意数量的事件来检测异常活动,而无需创建单独的规则。检测异常活动不是通过查找将发生的预定事件或者状况来确定何时特定类型的异常活动正在发生,而是通过将表示该在线服务的“正常”行为的事件的频率与该在线服务在最近的一段时间期间发生的事件的频率进行比较。当事件的频率在基线简档和最新简档之间是不同的时,可以指示异常活动。随后,该异常活动以报告的形式被提供给一个或多个用户。根据一个实施例,包括有与该在线服务中检测到的异常活动有关的信息的报告被递送。
[0014]现参见附图,其中相同的附图标记表示相同的元素,将要描述各种实施例。
[0015]图1示出了用于检测在线服务的帐户的异常活动的系统的概述。如图所示,系统100包括在线服务110、异常检测器26、基线简档155、最新简档165、显示器115和显示器125。
[0016]异常检测器26被配置为检测与在线服务110相关联的帐户所发生的异常活动。异常活动是与该在线服务的预期活动或者正常行为相偏离的活动。例如,响应于来自该在线服务中的帐户对于下面活动的不寻常的很大量的请求,异常检测器26可以检测到异常活动:创建新帐户;改变许可;启动过程等等。为了确定在线服务110的异常活动何时发生,异常检测器26确定何时基线简档155中存储的事件的频率偏离最新简档165中的事件的频率。例如,基线简档155可以指示在在线服务110的正常操作期间,在典型的一天创建两个帐户。但是在今天,最新简档165显示该在线服务中的特定帐户创建了十个不同的帐户。响应于将基线简档155与最新简档165进行比较,并确定这些频率是不同的,异常检测器26确定在在线服务110中发生了异常活动,故生成用于在显示器125上显示的异常报告130。
[0017]在当前示例中,异常报告130显示包括有示出该异常活动的信息的消息(例如,“帐户I创建10个新帐户”),还显示正常活动(例如,“创建2个帐户是正常活动)。可以将该报告提供给一个或多个用户,以显示被认为是异常活动的活动。可以生成不同的报告。例如,一个报告可以基于异常活动来对帐户进行排名,而另一个报告提供一个或多个帐户的更详细
?目息O
[0018]异常检测器26可以使用在线服务所监测(例如,载入日志)的事件的全部或者一部分,来检测异常活动。不是仅仅只对单一计算设备上发生的一个或两个不同的事件进行监测,并确定何时满足预定的状况,而是异常检测器26可以使用来自该在线服务中的任意数量的帐户的任意数量的载入日志的事件来检测异常活动。例如,异常检测器可以使用在该在线服务中发生的载入日志的安全事件中的每一个(例如,改变许可的任何事件,如创建帐户、改变一个或多个帐户的许可等等),来检测异常活动。
[0019]根据一个实施例,授权的用户可以配置异常检测器26检测异常活动所使用的事件。在当前的例子中,显示用于事件配置117的图形用户界面(GUI),并且其被配置为从用户接收事件选择和配置信息。例如,用户可以选择在线服务针对一个或多个帐户所监测的事件的全部或者一部分。在当前例子中,显示器115显示获授权用户已选择在检测异常活动时,使用改变许可事件和增加帐户事件,而不使用登入事件。此外,还可以接收其它配置信息,例如但不限于:加权信息;汇总简档等等(参见附图和下面的相关讨论)。当用户没有指定配置时,异常检测器26使用缺省算法加权过程。根据一个实施例,缺省算法加权过程基于基线简档中的事件的发生率,向确定更少发生的事件分配更高的权重(也就是说,更可能发生异常)。
[0020]在线服务110可以是基于云的服务和/或基于企业的服务,其被配置为提供诸如生产力服务(例如,消息、协作、电子表格、文档、呈现、图表等等)之类的服务。下面提供关于异常检测的更多细节。
[0021]图2示出了用于检测在线服务的帐户中的异常活动的更详细系统200。
[0022]如图所示,系统200包括应用262、应用272、平板计算设备260、计算设备270和在线服务110,其中在线服务110包括异常检测器26、基线简档210、最新简档220、帐户230、计算设备240和日志250。
[0023]如上面所讨论的,异常检测器26被配置为通过使用监测的来自帐户230(其与在线服务110相关联)的事件信息,来检测异常活动。例如,在在线服务中为查找异常活动而被监测的帐户可以是运营商帐户,该帐户具有许可为其它用户或用户组创建账户、修改账户和删除账户。此外,也可以对其它帐户(例如,用户帐户)监测异常活动。
[0024]根据一个实施例,异常检测器26通过将包括在基线简档210中的过去事件的频率与包括在最新简档220中的最新事件的频率进行比较,来检测异常活动。简档(例如,基线简档或者最新简档)包括针对在线服务的单一帐户的事件信息,或者可以包括从该在线服务的所有帐户或者一部分帐户所获得的汇总的事件信息。当一个帐户的最新事件信息显示与基线简档中记录的事件的发生率相比,一个或多个事件更频繁地发生时,异常检测器26可以检测到异常活动。
[0025]异常检测器26可以使用各种方法,来确定何时在在线服务210中发生了异常活动。根据一个实施例,异常检测器26针对与简档相关联的每一个帐户或者帐户组,创建一个频率简档。异常检测器26将用于与基线简档相关联的事件的频率简档,同用于与最新简档相关联的事件的频率简档进行比较。例如,当与最新简档相关联的频率简档指示“与基线简档所指示的“正常”操作期间相比,一个或多个事件更频繁地发生”时,则检测到异常活动。
[0026]根据一个实施例,针对包括在简档中的每一个事件,来确定频率。例如,为了便于解释起见而不是旨在进行限制,假定监测四个不同的事件。基线简档示出了事件I占据这些事件的10%,事件2占据全部事件的25 %,事件3占据这些事件的50 %,事件4占据这些事件的15 %。最新简档显示:事件I占据这些事件的20 %,事件2占据全部事件的15 %,事件3占据这些事件的50%,事件4占据这些事件的15%。响应于将基线简档与最新简档进行比较,异常检测器26检测到发生异常活动,这是由于与基线简档相比,在最新简档中,事件I的频率更大。可以使用检测在线服务中的帐户的异常活动的其它方法。例如,可以使用其它统计方法,例如:将每一个事件在预定的一段时间内发生的次数进行比较,将一些事件的频率进行汇总,并将汇总后的频率进行比较;或者使用某种其它统计方法。
[0027]根据一个实施例,可以向不同的事件分配不同的权重,使得:所监测的帐户中的具有更大权重事件的发生率的增加,在没有较大地加权的事件的发生率增加之前,就指示异常活动。根据一个实施例,可以自动地或者手动地向更不频繁发生的事件分配更大的权重,使得该事件的发生率的增加更快速地指示异常活动。例如,与创建帐户事件相比,可以将登入事件设置为更低权重,这是由于登入事件通常是在线服务中的普通事件。可以自动地和/或手动地分配这些权重。
[0028]在异常检测器26检测到异常活动之后,可以执行不同的动作。例如,可以自动地创建和递送一个或多个报告(例如,异常报告265),可以锁定一个或多个帐户,使得未来活动停止,可以阻止某些动作在在线服务中发生等等。可以生成报告,并将其提供给一个或多个用户,以显示被认为是异常活动的活动。可以生成不同的报告。例如,异常报告265可以基于所检测的异常活动来对帐户进行排名,而另一个报告提供一个或多个帐户的更详细信息(参见图4和相关的讨论)。
[0029]基线简档210包括一个或多个基线简档,其中这些基线简档包括与在线服务110的“正常”或“典型”操作有关的事件信息。每一个基线简档210在这些基线简档210的每一个中包括针对该在线服务的一段预定时间的事件信息(例如,一周、两周、一月、两月等等)。可以根据预定的调度(例如,每日、每周等等)或者使用某种其它方法(例如,在请求时),对基线简档210进行更新。根据一个实施例,获授权用户可以配置在基线简档中包括的事件信息、用于在基线简档中包括的事件信息的时间周期、以及将调度更新。例如,获授权用户可以配置基线简档存储该在线服务的一种或多种不同类型的帐户在上一个月的事件信息,并每日进行更新。
[0030]最新简档220包括一个或多个最新简档,其中这些最新简档包括与在线服务110的最新一段时间之内发生的事件有关的事件信息。例如,最新简档可以包括:该服务在上一天之内、该在线服务在上几个小时之内发生的活动所产生的针对一个或多个帐户的事件信息等等。通常,与基线简档210中包括的事件信息相比,最新简档中包括的事件信息是最新的事件信息。可以使用该最新事件信息来更新基线简档。例如,可以每一天或者按照某个其它时间周期,利用最新事件信息来更新基线简档。用此方式,基线简档可以包括:在线服务110中的帐户所产生的事件的一个滚动时间窗(例如,上一月、上两月、上三月等等)中的事件信息。
[0031]日志250被配置为存储在线服务110的一个或多个帐户所产生的事件信息。根据一个实施例,日志250存储事件(其包括在线服务中的帐户所生成的安全事件)的记录。例如,日志250包括:在与在线服务110相关联的一个或多个计算设备240上发生的一个或多个帐户230所生成的登入/登出活动和其它与安全有关事件的记录。根据一个实施例,在日志250中存储的日志数据,包括:系统的审计策略所指定的信息。通常,获授权用户可以配置该系统在日志250中记录不同的事件和不同类型的事件。
[0032]当检测到在线服务中的异常活动时,异常检测器可以将很多类型的事件载入日志并使用。可以载入日志的事件的一些示例性种类,包括:帐户登录事件、帐户管理事件、目录服务访问事件、对象访问事件、策略改变、特权操作、系统事件等等。例如,在每一次创建、访问、改变或者删除一个对象时,可以生成事件并将该事件载入日志。在检测异常活动时可以载入日志和使用的更详细事件的列表,可以在图8的讨论中找到。
[0033]图3示出了用于在检测在线服务中的帐户的异常活动时使用的事件的事件信息和加权的不同简档。
[0034]如本文所讨论的,每一个简档包括针对被监测和/或载入日志的事件的全部或者一部分的事件信息,其中这些事件源自于在线服务的帐户。下面的简档只是示出用于示例性目的,而不是限制性的。虽然所示出的每一个简档显示了四种不同的事件,但可以在简档中包括更多或者更少的事件。例如,一个简档可以包括数百或者数千种不同类型的事件。
[0035]简档310示出了用于该在线服务的多个帐户的汇总基线简档。例如,简档310可以包括从位于在线服务中的多种不同类型的帐户中生成的事件信息,或者其可以包括特定类型的帐户的全部或者一部分。根据一个实施例,创建包括在线服务的每一个运营商帐户的汇总简档。如上面所讨论的,术语“运营商帐户”指代被许可为其它用户或用户组创建账户、修改账户和删除账户的账户。还可以包括在线服务中的其它类型的帐户(例如,用户帐户)。
[0036]在当前例子中,简档310包括针对四种不同事件(事件1、事件2、事件3和事件4)的事件信息。虽然示出了四种事件,但可以包括更少的事件或者更多的事件来检测异常活动。例如,这些事件可以包括安全事件的全部或者一部分(参见图8中的针对安全事件的更详细列表的讨论),以及在线服务可以监测的任何其它事件(例如,机器动作、用户动作等等)。简档中包括的每一个事件包括不同的事件信息。该事件信息可以包括诸如下面的信息:事件的类型;发生事件的时间;什么帐户生成了该事件;该事件的结果等等。例如,一个事件可以是帐户2在上午11:06启动的过程开始事件,其导致特定的过程被启动。根据另一个实施例,该简档可以包括:被监测的每一个事件在指定的一段时间之内(例如,在一天、一周之内等等)发生的次数。
[0037]在简档310以及简档340和370中的事件信息之下所显示的百分率,示出了这些事件中的每一个事件发生的百分率。在当前的针对汇总简档310的例子中,事件I在20 %的时间发生,事件2在5 %的时间发生,事件3在50 %的时间发生,事件4在25 %的时间发生。通常,更频繁发生的事件通常是诸如登录到服务、登出该服务等等之类的普通事件。
[0038]如上所述,每一个事件可以与其它事件(其中,在检测任何异常活动时,对这些其它事件进行监测和使用)进行相同或者不同地加权。例如,可以对每一个事件加权相同的值(例如,I),或者使用某种其它标准来进行加权。根据一个实施例,该加权是基于简档中的该事件的频率。例如,与更频繁发生的事件相比,可以对于用于不太频繁发生的事件的权重进行更大地加权。与诸如登入事件或注销事件之类的普通事件相比,通常不太频繁地发生的事件(例如,创建账户)可以被视为更大程度地表明异常活动。根据一个实施例,通过将最高频率发生事件的百分率除以该简档中的每一个事件的发生百分率,来自动地确定用于每一个事件的相对权重。在简档310所示出的当前例子中,自动确定的加权将导致:与用于事件3的权重相比,权重I更高2.5倍,而与用于事件3的权重相比,权重2更高10倍,与用于事件3的权重相比,权重4更高2倍。可以使用其它加权方法。例如,每一个权重可以是基于事件的类型,和/或每一个权重可以由获授权用户进行手动地配置(参见图4的用于对权重进行配置的示例性图形用户界面)。可以手动地或自动地配置这些权重。
[0039]基线简档340是用于在线服务的单一帐户的示例性基线简档。根据一个实施例,每一个帐户都包括基线简档,其用于确定帐户的“正常”行为。在当前例子中,基线简档340包括与汇总基线简档310相同的事件信息。但是,与汇总基线简档310相比,基线简档340的事件的发生的频率可以是不同的。如图所示,事件I和事件3的发生百分率是相同的,但事件2和事件4的百分率是不同的。与基线简档310中的事件2的发生相比,在基线简档340中,事件2的发生百分率更大(10%对比5%)。与基线简档310中的事件4的发生相比,在基线简档340中,事件4的发生百分率更小(20%对比25%)。如本文所讨论的,可以使用与单一帐户有关的基线简档来检测异常活动,和/或使用一个或多个汇总基线简档来检测异常活动。在一些情况下,新创建的帐户不具有建立的基线简档。在该情况下,可以将用于新创建的帐户的最新简档与汇总简档或者不同的帐户进行比较,以便检测异常活动。
[0040]最新简档370是针对于在线服务的单一帐户的示例性最新简档。最新简档可以针对单一帐户和/或帐户的汇总来创建。在当前例子中,最新简档370包括与汇总基线简档310相同的事件信息。与汇总基线简档310以及基线简档370相比,最新简档370的这些事件的发生率是不同的。将最新简档370与基线简档(310、340)中的任意一个进行比较,指示该帐户发生异常活动。例如,最新简档中的事件2的发生百分率,与基线简档340所指示的相比是2倍大,与汇总基线简档310所指示的相比是4倍大。
[0041]图4示出了用于观看和配置与异常检测有关的事件的示例性图形用户界面(GUI)。图4中所示出的GUI只是用于说明目的,而不是限制性的。
[0042]所示出的第一GUI是事件配置410显示,其示出了用于选择和配置要进行监测的事件,以进行在线服务的异常检测的示例性GUI。事件种类415部分示出了可以选择进行监测的不同种类的事件。虽然示出了四种事件种类,但也可以显示很多其它事件种类。根据一个实施例,可以选择在线服务要进行监测的各个事件和事件的种类,以便在异常检测时使用。在当前例子中,在事件配置410中所示出的事件种类包括:帐户登录事件、帐户管理事件、对象访问事件和策略改变事件。如图所示,用户430选择帐户管理事件种类。
[0043]响应于接收到事件种类(例如,帐户管理事件)的选择,显示该事件种类中所包括的每一个事件的更详细视图。在当前例子中,帐户管理事件420显示在所选定的帐户管理事件种类中包含的不同事件。根据一个实施例,用户可以选择或者取消选择所选定的事件种类中的个别事件,以包括在异常检测中。例如,用户可以选择帐户管理事件种类,随后从异常检测所使用的事件中取消一对事件。
[0044]显示器440显示了包括事件挑选器442的示例性显示,其显示出在异常检测中可以配置和使用的不同事件的列表。在当前例子中,用户450选择了事件2。响应于选择了事件2,显示配置的更详细视图460。在当前例子中,将事件2示出为被设置为“开”,其指示正在对事件2进行监测以进行异常检测。此外,用户还可以通过选择开/关用户接口单元,来关闭事件
2。此外,还针对事件2设置了权重“0.3”。根据一个实施例,获授权用户可以配置不同事件的加权,使得在检测异常活动时,向不同的事件给予更多的权重。可以设置用于事件的缺省权重。根据一个实施例,将用于每一个事件的缺省权重设置为与该事件在基线简档中的频率恰好成反比。例如,如果事件I在基线简档中的频率为10%,则可以给予其I/.1 = 10的权重。如果事件I在基线简档中的频率为50%,则可以给予其I/.5 = 2的权重。此外,该具体计算方法也可以是可配置的。例如,权重可以是频率倒数的平方,也可以是与该倒数有关的其它计算值。
[0045]图5示出了用于显示检测的在线服务中的一个或多个帐户的异常活动的示例性报生口 ο
[0046]显示510示出用于指示不同帐户的可能异常活动的示例性报告。异常报告512只是示出为用于示例性目的,而不是限制性的。可以创建并显示许多其它类型的用于示出异常活动的报告。如图所示,报告512可以按照从最高检测的异常活动到最低检测的异常活动的顺序,来列出为查找异常活动而被监测的帐户的一部分。异常报告512示出了检测到异常活动的帐户。例如,正在进行正常操作并且没有检测到异常活动的帐户,没有在异常报告中示出。根据一个实施例,值大于某个预定义的数值(阈值)的任何帐户具有潜在的异常活动。根据一个实施例,大于该预定义的数值(阈值)的值指示:与基线简档中包括的发生频率相比,正在监测的至少一个事件当前更频繁地发生。在当前例子中,用户可以选择所显示的帐户中的一个,来获得关于该检测的异常活动的更多信息。如图所示,用户520从异常报告512中选择帐户10来获得该帐户的更详细视图,如显示540中所示。
[0047]显示540示出了可以针对检测到异常活动的帐户,进行显示的更详细信息的例子。如图所示,更详细的信息示出了指示异常活动的事件以及用于这些事件的基线简档。在显示540中,正在监测的两个不同事件显示具有异常活动。在当前例子中,与视作为正常的情形相比,事件2发生五次(0.5对比0.1)。与正常事件发生相比,事件3通常发生两次(0.2对比
0.l)o
[0048]图6和图7示出了用于使用来自在线服务的帐户信息来进行异常检测的过程。当读取本文所给出的例程的讨论时,应当理解的是,各个实施例的逻辑操作实现成:(I)在计算系统上运行的计算机实现的动作或程序模块的序列,和/或(2)在计算系统中互联的机器逻辑电路或电路模块。实现方式依赖于实现本发明的计算系统的性能需求而选择。因此,所示出的并且构成本文所描述的实施例的逻辑操作,不同地指代成操作、结构化设备、动作或模块。可以利用软件、固件、特殊用途数字逻辑、以及其组合来实现这些操作、结构化设备、动作和模块。虽然以特定的顺序来示出这些操作,但根据实现方式,可以改变这些操作的顺序,并行地执行这些操作。
[0049]图6示出了用于通过将基线简档与最新简档进行比较,检测在线服务中的异常活动的过程600。
[0050]在开始操作之后,该过程移动到操作610,在此情况下访问一个或多个基线简档。该基线简档可以是针对单一帐户的基线简档,也可以是汇总的基线简档(其包括来自该在线服务的一个以上帐户的事件信息)。例如,在线服务中的每一个租户(tenant)可以针对要监测异常活动的每一个帐户,都具有单独的基线简档。如上所述,该基线简档包括从一个或多个帐户生成,并指示帐户或者一些帐户的“正常”操作的事件信息。根据一个实施例,这些简档包括与该在线服务的一个或多个帐户相关联的安全事件有关的事件信息。该事件信息可以由获授权用户进行配置,和/或基于该在线系统的被监测事件来自动地选择。例如,在线服务可以自动地选择该在线服务中的被监测事件或日志事件的全部或者一部分。
[0051]流转到操作620,访问最新简档。该最新简档包括从最新的一段时间获得的事件信息。最新的一段时间可以包括诸如但不限于上一小时、上两个小时、上三个小时、上四个小时、上八个小时、一天等等之类的时间周期。根据一个实施例,最新简档包括上六个小时来自一个或多个帐户的事件信息。最新简档可以包括该在线服务的单一帐户和/或该在线服务的帐户的汇总。
[0052]过渡到操作630,将基线简档与最新简档进行比较,以检测该在线服务的异常活动。可以使用不同的方法,来执行最新简档与基线简档的比较。根据一个实施例,该比较包括:确定在基线简档和最新简档之间,正在监测的事件中的一个或多个的频率何时是不同的。根据一个实施例,使用加权因子来调整事件的发生的重要程度。例如,与一个帐户打开的视窗的数量(其是具有较小权重的事件)的增加相比,可以将一个帐户创建的帐户的数量(其是具有更大权重的事件)的增加更加视作为异常活动的指示。
[0053]移动到操作640,可以基于所检测的异常活动来执行动作。可以发生一个或多个动作。执行的这些动作涉及向一个或多个用户通知所检测到的异常活动,和/或尝试停止或者限制所检测到的异常活动。例如,可以创建并递送一个或多个报告(操作650),可以对一个或多个帐户进行锁定,使得停止来自所述一个或多个帐户的未来异常活动,可以阻止一个或多个帐户发生某些动作等等。
[0054]流转到操作650,报告所检测到的异常活动。存在可以用于报告异常活动的多种不同的方法。例如,可以创建根据所检测到的异常活动来对每一个帐户进行排名的总结报告,并进行递送。根据一个实施例,根据针对帐户所检测的异常活动的程度,对这些帐户进行排名。此外,还可以创建针对每一个帐户的更详细报告,以进行递送和/或观看。根据一个实施例,通过在异常活动的总结报告中选择帐户,来访问更详细的报告。
[0055]随后,该过程流转到结束操作,并且返回以处理其它动作。
[0056]图7示出了用于配置和存储基线简档和最新简档中的事件信息的过程700。
[0057]在开始操作之后,过程转到操作710,确定在异常检测中要监测和使用的事件。可以自动地和/或手动地执行该确定。例如,不是手动地选择要监测的每一个事件,而是在检测异常活动时,可以使用当前正在监测和载入日志的每一个事件。再举一个例子,获授权用户可以选择要进行监测的事件。该选择可以替代在异常检测中当前正在使用的事件,或者除这些事件之外,还使用该选择的事件。根据一个实施例,显示了允许获授权用户选择在异常检测中要监测和使用的事件的GUI。
[0058]流转到操作720,对于确定将用于该在线服务的异常检测的事件进行配置。该配置可以包括手动配置以及自动配置。例如,获授权用户可以设置权重,以便与不同的事件进行关联。根据一个实施例,基于正在进行监测的事件发生的时间百分率,将用于该事件的权重自动地设置为不同的值。在该例子中,与在线服务中通常不太频繁发生的事件相比,更频繁发生的事件在检测异常活动时被视为不太重要。例如,与登入事件相比,创建帐户的事件可以被给予更大的权重。
[0059]过渡到操作730,对配置信息进行存贮。可以将该配置信息存贮在一个或多个位置。例如,可以将该配置信息存储在在线服务的数据存贮中,和/或存储在该在线服务的外部数据存贮中。
[0060]流转到操作740,获得来自在线服务的不同帐户的事件信息。根据一个实施例,从记录事件信息的日志中获得该事件信息,其中该事件信息与该在线服务的不同帐户相关联。可以自动地或者手动地获得该事件信息。例如,可以每一小时、每两小时、每六小时、每天等等,来获得该事件信息。可以对不同的帐户和不同类型的帐户进行监测以查找不同的事件。根据一个实施例,对在线服务的运营商帐户进行监测,并且来自该监测的数据被在线服务载入日志。此外,还可以对其它类型的帐户进行监测。例如,获授权用户可以配置对该在线服务的每一个帐户的事件进行监测,或者选择一个子集的帐户进行监测。该事件信息可以包括不同类型的信息。例如,该事件信息可以包括诸如但不限于如下信息:事件的类型、该事件发生的时间、该事件的结果等等。
[0061]过渡到操作750,利用该事件信息来更新简档。可以利用该事件信息来更新一个或多个简档(例如,基线简档和最新简档)。根据一个实施例,对正在被监测的每一个帐户的基线简档和最新简档进行更新。此外,还提供了汇总基线简档和汇总最新简档。这些汇总简档包括一个以上的帐户所产生的事件信息。根据一个实施例,这些汇总简档包括针对该在线服务的租户(tenant)的每一个帐户的帐户信息。例如,针对在线服务所服务的每一个不同客户,维持单独的汇总简档。如所论述的,可以使用这些不同的简档来检测该在线服务的异常活动。
[0062]随后,该过程流转到结束操作,并且返回,以处理其它动作。
[0063]图8示出了包括异常检测的示例性在线系统。如图所示,系统1000包括服务1010、数据存贮1045、以及触摸屏输入设备1050(例如,slate)、智能电话1030和显示器设备1080。
[0064]如图所示,服务1010是可以被配置为提供诸如生产力服务(例如,电子表格、文档、呈现、图表、消息等等)之类的服务的基于云的和/或基于企业的服务。可以使用不同类型的输入/输出来与该服务进行交互。例如,用户可以使用语音输入、触摸输入、基于硬件的输入等等。服务1010所提供的服务/应用中的一个或多个的功能,还可以配置成基于客户端/月艮务器的应用。
[0065]如图所示,服务1010是多租户(tenant)服务,其向任意数量的租户(tenant)(例如,Tenant 1_N)提供资源1015和服务。多租户(tenant)服务1010是基于云的服务,其向预订该服务的租户(tenant)提供资源/服务1015,为每一个租户(tenant)维持单独的数据,并与其它租户(tenant)数据进行分离保护。
[0066]如图所示的系统1000包括触摸屏输入设备1050(例如,slate/平板设备)和智能电话1030,其用于检测何时接收到触摸输入(例如,手指触摸或者几乎触摸该触摸屏)。可以使用检测用户的触摸输入的任何类型的触摸屏。例如,触摸屏可以包括用于检测触摸输入的一层或多层的电容式材料。除了电容式材料之外或者替代电容式材料,可以使用其它传感器。例如,可以使用红外线(IR)传感器。根据一个实施例,触摸屏被配置为检测与可触摸表面接触的对象或者在可触摸表面之上的对象。虽然在本描述中使用术语“之上”,但应当理解的是,该触摸板系统的方位是无关的。术语“之上”旨在可适用于所有这些方位。该触摸屏可以被配置为确定接收到触摸输入的位置(例如,起始点、中间点和结束点)。可以通过任何适当的方式(例如,其包括耦合到触摸面板的振动传感器或麦克风),来检测可触摸表面和对象之间的实际接触。用于检测接触性的传感器的例子的非穷举列表,包括:基于压力的装置、微机器的加速计、压电设备、电容式传感器、电阻式传感器和电感式传感器。
[0067]根据一个实施例,智能电话1030、触摸屏输入设备1050和设备1080均包括应用(1031、1051、1081)o
[0068]如图所示,触摸屏输入设备1050、智能电话1030和显示器设备1080显示用于示出应用的使用的示例性界面1052/1032/1082,以及与异常检测有关的界面。数据可以存储在设备(例如,智能电话1030、slate 1050)上和/或存储在某个其它位置(例如,网络数据存贮1045)。可以使用数据存贮1045(或者某个其它存贮)来存储数据集、事件信息、基线简档、最新简档以及其它数据。这些设备使用的应用可以是基于客户端的应用、基于服务器的应用和基于云的应用和/或某种组合。根据一个实施例,显示器设备1080是诸如耦合显示器的MICROSOFT XBOX之类的设备。
[0069]异常检测器26被配置为执行与检测异常活动有关的操作,如本文所描述的。虽然将异常检测器26示出为位于服务1010之中,但异常检测器的功能也可以包括在其它位置中(例如,包括在智能电话1030和/或slate设备1050和/或设备1080上)。
[0070]可以在基线简档和最新简档中监测和包括的一些示例性事件,包括但不限于:操作系统启动;操作系统关闭;本地安全机构(Local Security Authority)装载了认证包;受信任登录过程已关于本地安全机构注册;已耗尽为审计消息队列分配的内部资源,导致一些审计的丢失;安全帐户管理器装载了通知包;端口的无效使用;改变了系统时间;监测的安全事件模式已发生;管理员从CrashOnAuditFai I中恢复系统;本地安全机构装载了安全包;帐户成功登录;帐户未能登录;用户/设备主张信息;帐户注销;用户发起注销;使用显式证书来尝试登录;检测到重播攻击;请求一个对象的句柄;修改注册值;关闭一个对象的句柄;以删除的意图来请求一个对象的句柄;删除一个对象;请求一个对象的句柄;关于一个对象执行操作;进行访问一个对象的尝试;进行创建硬链路的尝试;进行创建应用客户端上下文的尝试;一个应用尝试一个操作;删除一个应用客户端上下文;初始化一个应用;改变关于一个对象的许可;一个应用尝试访问阻塞的序数;向新的登录分配特殊特权;调用特权服务;对于特权对象尝试操作;对安全标识符(SID)进行过滤;创建新的进程;退出一个进程;尝试复制一个对象的句柄;请求一个对象的间接访问;尝试备份数据保护主密钥;尝试恢复数据保护主密钥;尝试保护可审计受保护数据;尝试可审计受保护数据的解保护;向进程分配主令牌;在系统中安装服务;创建、删除、启用、禁用或更新所调度的任务;分配或者删除用户权限;删除用户权限;创建针对一个域的新信任;删除针对一个域的信任;改变Kerberos策略;改变加密的数据恢复策略;改变关于一个对象的审计策略;修改受信任域信息;向一个帐户授权系统安全访问或者从一个帐户中删除系统安全访问;改变系统审计策略;创建、改变或启用用户帐户;尝试改变或者重置帐户的密码;尝试重新设置帐户密码;禁用或者删除用户帐户;删除用户帐户;创建、改变或删除启用安全的全局组;向启用安全的全局组增加成员,或者从启用安全的全局组中删除成员;删除、改变或创建启用安全的本地组;向启用安全的本地组增加成员,或者从启用安全的本地组中删除成员;改变域策略;锁定用户帐户;创建、改变或者删除计算机帐户;创建或者改变禁用安全的本地组;向禁用安全的本地组增加成员,或者从禁用安全的本地组中删除成员;删除、创建或者改变禁用安全的本地组;向禁用安全的全局组增加成员,或者从禁用安全的全局组中删除成员;删除禁用安全的全局组;创建或者改变启用安全的通用组;向启用安全的通用组增加成员,或者从启用安全的通用组中删除成员;创建、改变或删除启用安全的通用组;向禁用安全的通用组增加成员,或者从禁用安全的通用组中删除成员;删除禁用安全的通用组;改变组类型;向一个帐户增加SID历史;尝试向失败的帐户增加SID历史;解锁用户帐户;请求Kerberos认证票据;请求或者再生Kerberos服务票据;Kerberos预认证失败;Kerberos认证票据请求失败;Kerberos服务票据请求失败;映射一个帐户进行登录;一个帐户不能进行映射登录;域控制器尝试验证一个帐户的证书;域控制器验证一个帐户的证书失败;重新连接或者断开一个会话;在作为管理员组的成员的帐户上设置访问控制列表;改变帐户的名称;访问帐户的密码哈希;创建、改变或删除基本应用组;向基本应用组增加成员或者从基本应用组中删除成员;向基本应用组增加非成员或者从基本应用组中删除非成员;创建或者删除轻量级目录访问协议(LDAP)查询组;调用检查API的密码策略;尝试设置目录服务恢复模式管理员密码;尝试查询一个帐户的空白密码的存在性;RPC检测到完整性违反,同时对输入消息进行解密;改变关于对象的审计设置;提议的中央访问策略并不授权与当前中央访问策略相同的访问许可;改变关于机器的中央访问策略;检测到命名空间冲突;增加、删除或者修改受信任森林信息;证书管理器拒绝未决的证书请求;证书服务接收重新提交的证书请求;证书服务废除证书;证书服务接收到发布证书废除列表(CRL)的请求;证书服务发布证书废除列表(CRL);证书请求扩展改变;一个或多个证书请求属性改变;证书服务接收到关闭的请求;证书服务备份启动或者完成;证书服务恢复启动或者完成,证书服务启动或停止;用于证书服务的安全许可改变;证书服务获取归档密钥;证书服务向其数据库输入证书;用于证书服务的审计过滤器改变;证书服务接收到证书请求;证书服务批准证书请求和发出证书;证书服务拒绝证书请求;证书服务将证书请求的状态设置为未决;用于证书服务的证书管理器设置改变;证书服务中的配置条目改变;证书服务的属性改变;证书服务对密钥进行归档;证书服务输入和将密钥归档;证书服务向活动目录域服务发布CA证书;从证书数据库中删除一行或多行;启用角色分隔;证书服务装载模板;更新证书服务模板;更新证书服务模板安全;创建每用户审计策略表;尝试注册安全事件源;尝试注销安全事件源;CrashOnAuditFaiI值改变;关于对象的审计设置改变;修改特殊组登录表;用于受信任平台基础服务(TBS)的本地策略设置改变;用于TBS的组策略设置改变;对象的资源属性改变;每用户审计设置改变;关于对象的中央访问策略改变;建立、删除或者修改活动目录复制源命名上下文;修改活动目录复制目的命名上下文;开始或者结束活动目录命名上下文的复制的同步;复制活动目录对象的属性;复制失败开始或者结束;从复制品中删除拖延对象;当防火墙启动时,下面的策略是活动的;当防火墙启动时,列出一种规则;对于防火墙例外列表进行改变,例如,增加、修改或者删除规则;将防火墙设置恢复成缺省值;防火墙设置发生改变;由于防火墙没有识别规则的主版本号而忽略某种规则;由于防火墙没有解译某种规则而忽略该规则;防火墙组策略设置发生改变;防火墙改变了活动简档;防火墙没有应用下面的规则;由于下面的规则引用的项没有在该计算机上配置,而防火墙没有应用该规则;将特定组分配给了新的登录;启动互联网协议安全(IPSec)服务;禁用了IPSeC;IPSeC服务遇到潜在的严重失败;建立了 IPSec主模式安全关联;建立了 IPSec主模式安全关联;IPSec主模式协商失败;IPSec主模式协议协商失败;IPSec快速模式协商失败;IPSec主模式安全关联结束;IPSec丢弃了使完整性检查失败的进入分组;IPSec丢弃了使重播检查失败的进入分组;IPSec丢弃了应当使得安全的进入清空文本分组;IPSec从远程计算设备接收具有不正确安全参数索引(SPI)的分组;在主模式协商期间,IPSec接收无效的协商分组;在快速模式协商期间,IPSec接收到无效的协商分组;在扩展模式协商期间,IPSec接收到无效的协商分组;建立了 IPSec主模式和扩展模式安全关联;IPSec扩展模式协商失败,并且过程的状态发生改变。
[0071]此外,还可以对定制事件进行监测。根据一个实施例,无论何时在线服务检测到该在线服务的任何用户的定制事件,日志文件就记录这些定制事件。
[0072]本文所描述的实施例和功能可以经由多种多样的计算系统来操作,这些计算系统包括但不限于:台式计算机系统、有线和无线计算系统、移动计算系统(例如,移动电话、上网本、平板或slate类型计算机、笔记本计算机和膝上型计算机)、手持型设备、多处理器系统、基于微处理器的电子或者可编程消费电子、微型计算机和大型计算机。
[0073]此外,本文所描述的实施例和功能可以在分布式系统(例如,基于云的计算系统)上操作,其中在该情况下,应用功能、存储器、数据存储和获取以及各种处理功能在分布式计算网络(例如,互联网或内联网)上,彼此之间远离地进行操作。可以经由板上计算设备显示器或者经由与一个或多个计算设备相关联的远程显示单元,来显示各种类型的用户界面和信息。例如,可以在各种类型的用户界面和信息所投影到的墙壁表面上,显示各种类型的用户界面和信息并进行交互。本发明的实施例可以与多种多样的计算系统进行的交互,包括:键盘输入、触摸屏输入、语音或其它音频输入、手势输入(当相关联的计算设备装备有用于捕捉和解释用户手势,以控制该计算设备的功能的检测(例如,摄像头)功能时)等等。
[0074]图9-11以及相关联的描述提供了可以实施本发明的实施例的各种操作环境的讨论。但是,参照图9-11所描绘和讨论的设备和系统只是用于举例和说明目的,而不是限制可以用于实施本文所描述的本发明的实施例的众多数量的计算设备配置。
[0075]图9是示出可以实施本发明的实施例的计算设备1100的物理组件(S卩,硬件)的框图。下面所描述的计算设备组件可以适合于上面所描述的计算设备。在基本配置中,计算设备1100可以包括至少一个处理单元1102和系统存储器1104。取决于计算设备的配置和类型,系统存储器1104可以包括但不限于:易失性存储设备(例如,随机存取存储器)、非易失性存储设备(例如,只读存储器)、闪存或者这些存储器的任意组合。系统存储器1104可以包括适合于运行软件应用1120(例如,异常检测器26)的操作系统1105和一个或多个程序模块1106。例如,操作系统1105可以适合于控制计算设备1100的操作。此外,本发明的实施例可以结合图形库、其它操作系统或者任何其它应用程序来实现,并且不限于任何特定的应用或系统。在图9中,通过虚线1108中的那些组件来示出该基本配置。计算设备1100可以具有另外的特征或功能。例如,计算设备1100还可以包括另外的数据存储设备(可移动和/或不可移动),例如,磁盘、光盘或磁带。在图9中,通过可移动存储设备1109和不可移动存储设备1110来示出这种另外的存储设备。
[0076]如上所述,系统存储器1104中可以存储多个程序模块和数据文件。当在处理单元1102上执行时,程序模块1106(例如,异常检测器26)可以执行过程,包括但不限于附图中所示出的方法和过程的阶段中的一个或多个。可以根据本发明的实施例使用的其它程序模块,可以包括电子邮件和联系人应用、文字处理应用、电子表格应用、数据库应用、幻灯片应用、绘图或者计算机辅助应用程序等等。
[0077]此外,本发明的实施例可以在包括分立电子元件、包含逻辑门的封装或集成电子芯片、使用微处理器的电路的电子电路中实现,或者在包含电子元件或微处理器的单一芯片上实现。例如,本发明的实施例可以经由片上系统(S O C)来实现,其中,图9中所示出的组件中的每一个或者很多可以集成到单一集成电路上。这种SOC设备可以包括一个或多个处理单元、图形单元、通信单元、系统虚拟化单元和各种应用功能,所有这些都作为单一集成电路来集成(或者“烧制”)到芯片基底上。当经由SOC来操作时,本文关于异常检测器26所描述的功能,可以经由与计算设备1100的其它组件一起集成在单一集成电路(芯片)上的专用逻辑电路来操作。此外,本发明的实施例还可以使用能够执行诸如与、或和非之类的逻辑操作的其它技术(其包括但不限于:机械、光、流体和量子技术)来实现。此外,本发明的实施例可以在通用计算机中实现,也可以在任何其它电路或系统中实现。
[0078]计算设备1100还可以具有诸如键盘、鼠标、笔、声音输入设备、触摸输入设备等等之类的一个或多个输入设备1112。此外,还可以包括诸如显示器、扬声器、打印机等等之类的输出设备1114。前述的设备只是一些例子,可以使用其它设备。计算设备1100可以包括允许与其它计算设备1118进行通信的一个或多个通信连接1116。适当的通信连接1116的例子包括但不限于:RF发射机、接收机和/或收发机电路;通用串行总线(USB)、并口和/或串口。
[0079]如本文所使用的术语“计算机可读介质”可以包括计算机存储介质。计算机存储介质可以包括利用用于存储诸如计算机可读指令、数据结构或程序模块之类的信息的任何方法或技术来实现的易失性和非易失性、可移动和不可移动介质。系统存储器1104、可移动存储设备1109和不可移动存储设备1110全部都是计算机存储介质的例子(S卩,存储器存储设备)。计算机存储介质可以包括RAM、R0M、电可擦除只读存储器(EEPROM)、闪存或其它存储器技术、CD-ROM、数字多用途光碟(DVD)或其它光存储、盒式磁带、磁带、磁盘存储或者其它磁存储设备、或者能够用于存储由计算设备1100进行访问的信息的任何其它制品。任何这种计算机存储介质可以是计算设备1100的一部分。计算机存储介质并不包括载波波形或者其它传播信号或调制的数据信号。
[0080]通信介质可以通过计算机可读指令、数据结构、程序模块或者调制的数据信号(例如,载波波形或其它传输机制)中的其它数据来体现,包括任何信息递送介质。术语“调制的数据信号”可以描述利用一种方式来设置或改变一个或多个特性,以便对本信号中的信息进行编码的信号。例如但不限于,通信介质可以包括诸如有线网络或直接有线连接之类的有线介质,以及诸如声波、射频(RF)、红外线和其它无线介质之类的无线介质。
[0081 ]图1OA和图1OB示出了可以实施本发明的实施例的移动计算设备1200,例如,移动电话、智能电话、平板个人计算机、膝上型计算机等等。参见图10A,该图示出了用于实现这些实施例的移动计算设备1200的一个实施例。在基本配置中,移动计算设备1200是具有输入单元和输出单元的手持型计算机。通常,移动计算设备1200包括显示器1205和一个或多个输入按键1210,其允许用户向移动计算设备1200输入信息。移动计算设备1200的显示器1205还可以实现输入设备的功能(例如,触摸屏显示器)。如果包括的话,则可选的侧边输入单元1215允许另外的用户输入。侧边输入单元1215可以是旋转开关、按键、或者任何其它类型的手动输入单元。在替代的实施例中,移动计算设备1200可以合并更多或者更少的输入单元。例如,在一些实施例中,显示器1205可以不是触摸屏。在另一个替代实施例中,移动计算设备1200是便携式电话系统(如,蜂窝电话)。移动计算设备1200还可以包括可选的小键盘1235。可选的小键盘1235可以是物理键盘或者在触摸屏显示器上生成的“软”键盘。在各个实施例中,输出单元包括用于显示图形用户界面(GUI)的显示器1205、视觉指示器1220(例如,发光二级管)和/或音频换能器1225(例如,扬声器)。在一些实施例中,移动计算设备1200合并有振动换能器,以向用户提供触觉反馈。在另一个实施例中,移动计算设备1200合并输入和/或输出端口,例如,音频输入(如,麦克风插孔)、音频输出(如,耳机插孔)和视频输出(如,HDMI端口),以便向外部设备发送信号或者从外部设备接收信号。
[0082]图1OB是示出移动计算设备的一个实施例的架构的框图。也就是说,移动计算设备1200可以合并系统1202(8卩,架构)以实现一些实施例。在一个实施例中,将系统1202实现成能够运行一个或多个应用(例如,浏览器、电子邮件、日历、联系人管理器、消息客户端、游戏和媒体客户端/播放器)的“智能电话”。在一些实施例中,将系统1202集成为计算设备,例如集成的个人数字助理(PDA)和无线电话。
[0083]可以将一个或多个应用程序1266装载到存储器1262中,运行在操作系统1264上或者与操作系统1264相关联。这些应用程序的例子包括电话拨号盘程序、电子邮件程序、个人信息管理(PM)程序、文字处理程序、电子表格程序、互联网浏览器程序、消息程序等等。此夕卜,系统1202还包括存储器1262中的非易失性存储区域1268。非易失性存储区域1268可以用于存储在系统1202掉电时不会丢失的永久性信息。应用程序1266可以使用和存储非易失性存储区域1268中的信息,例如,电子邮件应用使用的电子邮件或者其它消息等等。同步应用(没有示出)还位于系统1202上,被编程为与位于主机计算机上的相应同步应用进行交互,以保持非易失性存储区域1268中存储的信息与主机计算机所存储的相应信息同步。应当理解的是,包括如本文所描述的异常检测器26的其它应用可以装载到存储器1262中,并运行在移动计算设备1200上。
[0084]系统1202具有电源1270,其中该电源1270可以实现成一个或多个电池。电源1270还可以包括外部电源,例如,AC适配器,或者用于对电池进行补充或者充电的供电对接支座。
[0085]此外,系统1202还可以包括无线电装置1272,后者执行发送和接收无线电频率通信的功能。无线电装置1272有助于经由通信运营商或者服务提供商,来实现系统1202和“夕卜部世界”之间的无线连接。在操作系统1264的控制之下进行去往和来自无线电装置1272的传输。换言之,可以经由操作系统1264,将无线电装置1272接收的通信传播给应用程序1266,反之亦然。
[0086]视觉指示器1220可以用于提供视觉通知,和/或音频接口1274可以用于经由音频换能器1225来产生可听的通知。在所示出的实施例中,视觉指示器1220是发光二极管(LED),音频换能器1225是扬声器。这些设备可以直接耦合到电源1270,使得当激活时,它们仍然保持通知机制所指示的持续时间(即使处理器1260和其它组件可能关闭以节省电池电量)。可以对LED进行编程以保持不确定的时间,直到用户采取动作来指示该设备的开机状态。音频接口 1274用于向用户提供可听信号和从用户接收可听信号。例如,除了耦合到音频换能器1225之外,音频接口 1274还可以耦合到麦克风来接收可听输入,例如用于促进电话会话。根据本发明的实施例,麦克风还可以充当音频传感器,以促进对通知的控制,如下面所将描述的。此外,系统1202还可以包括视频接口 1276,后者启动板载摄像头的操作来记录静止图像、视频流等等。
[0087]实现系统1202的移动计算设备1200可以具有另外的特征或功能。例如,移动计算设备1200还可以包括诸如磁盘、光盘或磁带之类的另外的数据存储设备(可移动和/或不可移动)。在图1OB中,通过非易失性存储区域1268来示出这种另外的存储设备。此外,移动计算设备1200还可以包括外围设备端口 1230。
[0088]由移动计算设备1200生成或捕获并经由系统1202来存储的数据/信息,可以本地存储在移动计算设备1200上(如上所述),或者该数据可以存储在任意数量的存储介质上,其中该设备可以经由无线电装置1272或者经由移动计算设备1200和与该移动计算设备1200相关联的单独计算设备(例如,诸如互联网之类的分布式计算网络中的服务器计算机)之间的有线连接来访问这些存储介质。应当理解的是,移动计算设备1200可以经由无线电装置1272或者经由分布式计算网络来访问该数据/信息。类似地,可以根据公知的数据/信息传输和存储单元(其包括电子邮件和协作式数据/信息共享系统),在计算设备之间容易地传输该数据/信息,以便进行存储和使用。
[0089]图11示出了一种示例性系统的架构的实施例,如上所述。用异常检测器26开发的内容、与异常检测器26交互的内容、或者与异常检测器26相关联地编辑的内容,可以存贮在不同的通信信道或者其它存储类型中。例如,可以使用目录服务1322、web门户1324、邮箱服务1326、即时消息存贮1328或者社交网络站点1330来存储各种文档。异常检测器26可以使用这些类型的系统中的任何一种或类似物来实现数据利用,如本文所描述的。服务器1320可以向客户端提供异常检测器26。举一个例子,服务器1320可以是通过万维网来提供异常检测器26的web服务器。服务器1320通过网络1315,在万维网上向客户端提供异常检测器
26。举例而言,可以将客户端计算设备实现成计算设备1100并体现在个人计算机、平板计算设备1310和/或移动计算设备1200(例如,智能电话)中。客户端计算设备1100、1310、1200的这些实施例中的任何一个可以获得来自存贮1316的内容。
[0090]例如,上面参照根据本发明的实施例的方法、系统和计算机程序产品的框图和/或操作性说明,来描述了本发明的实施例。这些框中所述的功能/动作可以按照与任何流程图中所示的顺序不同的顺序来发生。例如,以连续形式示出的两个框事实上可以基本并发地执行,或者这些框有时可以以相反顺序来执行,取决于所涉及的功能/动作。
[0091]本申请中所提供的一个或多个实施例的描述和说明,并非旨在以任何方式来限制或者约束如权利要求所主张的本发明的保护范围。本申请中所提供的实施例、示例和细节被认为足以传达对所主张的本发明的所有权,并使他人能够制造和使用所主张的本发明的最佳模式。所主张的本发明不应被解释为限于本申请中提供的任何实施例、例子或者细节。不管是以组合方式还是单独地进行示出和描述,各种特征(包括结构和方法)旨在被选择性地包括或者省略,以产生具有一组特定特征的实施例。在提供本申请的描述和说明之后,本领域普通技术人员可以预想落入本申请所体现的更广泛方面的发明构思的精神之内的变型、修改和替代实施例,而不脱离所主张的本发明的更广泛的保护范围。
【主权项】
1.一种用于检测在线服务中的异常活动的方法,包括: 访问包括过去事件信息的基线简档,所述过去事件信息与源自于所述在线服务的帐户的事件有关; 访问包括最新事件信息的最新简档,所述最新事件信息与源自于所述在线服务的帐户的最新事件有关; 将所述基线简档中的所述过去事件信息的频率与所述最新简档中的所述最新事件信息的频率进行比较,以确定何时在所述在线服务中检测到异常活动;以及当检测到所述异常活动时,报告所述异常活动。2.根据权利要求1所述的方法,其中,所述过去事件信息和所述最新事件信息包括所述在线服务的安全事件。3.根据权利要求1所述的方法,其中,所述最新简档包括:与活动有关的数据的从几个小时到一天之间发生的最新事件信息。4.根据权利要求1所述的方法,其中,将所述基线简档中的所述过去事件信息的频率与所述最新简档中的所述最新事件信息的频率进行比较以确定何时在所述在线服务中检测到异常活动包括:确定何时所述最新事件信息中的事件中的至少一个的频率与所述过去事件信息中的事件中的至少一个的频率相比更高。5.根据权利要求1所述的方法,还包括接收配置信息,所述配置信息有关于:对要监测并包括在所述最新简档和所述基线简档中的事件进行配置。6.—种存储有用于检测在线服务中的异常活动的计算机可执行指令的计算机可读存储介质,包括: 访问包括过去事件信息的基线简档,所述过去事件信息与包括源自于所述在线服务的帐户的安全事件的事件有关; 访问包括与最新事件有关的最新事件信息的最新简档,所述最新事件包括在上一天以内源自于所述在线服务的帐户的安全事件; 将所述基线简档与所述最新简档进行比较,并且当所述基线简档和所述最新简档不同时,则检测异常活动;以及 当检测到所述异常活动时,报告所述异常活动。7.—种用于检测在线服务中的异常活动的系统,包括: 处理器和存储器; 使用所述处理器执行的操作环境;以及 异常检测器,其被配置为执行包括以下各项的动作: 访问包括过去事件信息的基线简档,所述过去事件信息与包括源自于所述在线服务的帐户的安全事件的事件有关; 访问包括与最新事件有关的最新事件信息的最新简档,所述最新事件包括在上一天以内源自于所述在线服务的帐户的安全事件; 将所述基线简档中的过去事件信息的频率与所述最新简档中的所述最新事件信息的频率进行比较,以确定何时在所述在线服务中检测到异常活动;以及当检测到所述异常活动时,报告所述异常活动。8.根据权利要求7所述的系统,还包括:定期地访问系统日志,以从所述在线服务的帐户获得事件信息,并使用所访问的信息来更新所述基线简档和所述最新简档。9.根据权利要求7所述的系统,还包括:将包括在所述基线简档和所述最新简档中的事件中的每一个与权重相关联,所述权重影响在检测所述异常活动时所述事件的发生率被使用多少。10.根据权利要求7所述的系统,还包括: 显示图形用户界面(GUI),并且从所述GUI接收与对所述事件进行配置有关的配置信息。
【文档编号】H04L29/06GK105874767SQ201480069416
【公开日】2016年8月17日
【申请日】2014年12月11日
【发明人】A·萨多夫斯基, R·拉尔卡卡, V·夏尔马, R·拉加古帕兰, A·麦克劳德
【申请人】微软技术许可有限责任公司