本公開涉及用于網(wǎng)絡安全的系統(tǒng)、方法和計算機可讀介質(zhì)，具體地，用于具有自適應機器學習特征的網(wǎng)絡安全系統(tǒng)的系統(tǒng)和方法。一個實施方式是如下系統(tǒng)，該系統(tǒng)包括：被配置成通過網(wǎng)絡來管理多個用戶裝置的服務器；以及包括接口和處理器的用戶裝置。該接口被配置成，通過網(wǎng)絡與服務器通信，并且處理器實現(xiàn)機器學習功能，該機器學習功能被配置成隨著時間監(jiān)測與用戶裝置的用戶交互以建立使用簡檔，基于來自使用簡檔的變化來檢測用戶裝置的異常使用，確定異常使用是否表示安全威脅，以及指令用戶裝置執(zhí)行一個或更多個自動動作，以響應安全威脅。

技術領域

本公開涉及網(wǎng)絡安全領域，并且具體來說，涉及網(wǎng)絡安全方面的機器學習。

背景技術

由于日常商業(yè)活動中使用的網(wǎng)絡連接裝置的激增，導致大型組織的網(wǎng)絡安全風險日益復雜。終端用戶裝置(如雇員的智能電話)可能會因為有針對性的網(wǎng)絡威脅或物理失竊的裝置而暴露用戶或組織的敏感信息。跟蹤和防范此類威脅的常規(guī)方法不能提供足夠的信息來有效檢測、解決并了解整個大型組織中裝置漏洞的影響。

發(fā)明內(nèi)容

為具有自適應機器學習特征的網(wǎng)絡安全系統(tǒng)而提供所述實施方式。由信息技術(IT)系統(tǒng)管理的終端用戶裝置配備有本地機器學習功能。該機器學習功能建立用戶簽名，該用戶簽名對于隨著時間的推移監(jiān)測用戶裝置的使用而學習的特定行為模式而言是獨特的。機器學習功能使用該用戶簽名來定義并檢測用戶裝置的異常使用事件?(如暗示用戶裝置被盜用的使用)、被未經(jīng)授權用戶使用、或者受到惡意軟件危害。在檢測到這樣的事件之后，該機器學習功能會觸發(fā)一系列自動操作來響應該安全威脅。所采取的特定動作或動作序列可以隨著時間的推移隨著機器學習功能而自適應，以有效地挖掘針對所懷疑威脅事件的數(shù)據(jù)，包括詢問不良行動者網(wǎng)絡和裝置，以及嘗試訪問用戶裝置上的特定信息或資源。所挖掘的數(shù)據(jù)可以被發(fā)送至也配備有機器學習功能的中央或遠程管理服務器，以標識攻擊模式并向用戶裝置提供用于響應該安全威脅的特定指令或數(shù)據(jù)(例如，提供給訪問請求的假信息)。

一個實施方式是一種系統(tǒng)，該系統(tǒng)包括：被配置成通過網(wǎng)絡來管理多個用戶裝置的服務器，和包括接口和處理器的用戶裝置。所述接口被配置成，通過所述網(wǎng)絡與所述服務器通信，并且所述處理器實現(xiàn)機器學習功能，該機器學習功能被配置成隨著時間監(jiān)測與所述用戶裝置的用戶交互以建立使用簡檔，基于來自所述使用簡檔的變化檢測所述用戶裝置的異常使用，確定所述異常使用是否表示安全威脅，并且指令所述用戶執(zhí)行一個或更多個自動動作，以響應所述安全威脅。

另一實施方式是，一種裝置，該裝置包括處理器，該處理器被配置成，基于用戶裝置的歷史使用來檢測該用戶裝置的異常使用，將所述異常使用的信息輸入到機器學習功能中，并且根據(jù)所機器學習功能的輸出來確定網(wǎng)絡威脅的特征。所述處理器還被配置成，基于所述網(wǎng)絡威脅的所述特征，為所述用戶裝置確定要執(zhí)行的自動動作，并且指令所述用戶裝置執(zhí)行所述自動動作，以響應所述網(wǎng)絡威脅。

其它示例性實施方式(例如，涉及前述實施方式的方法和計算機可讀介質(zhì))可以在下面進行描述。已經(jīng)討論的特征、功能以及優(yōu)點可以在不同實施方式中獨立實現(xiàn)，或者可以在其它實施方式中組合，其進一步細節(jié)可以參照下列描述和附圖而了解。

附圖說明

下面，僅通過示例的方式并且參照附圖，對本公開的一些實施方式進行描述。相同標號表示所有圖中的相同部件或相同類型的部件。

圖1例示了示例性實施方式中的企業(yè)網(wǎng)絡環(huán)境。

圖2是示例性實施方式中的自適應安全系統(tǒng)的框圖。

圖3是在示例性實施方式中利用自適應安全系統(tǒng)增強的用戶裝置的框圖。

圖4是在示例性實施方式中利用自適應安全系統(tǒng)增強的遠程服務器的框圖。

圖5是在示例性實施方式中利用自適應安全系統(tǒng)增強的管理服務器的框圖。

圖6是例示在示例性實施方式中檢測和響應安全威脅的方法的流程圖。