所公開(kāi)的實(shí)施例生成多個(gè)異常檢測(cè)器配置，并且將由這些異常檢測(cè)器生成的結(jié)果與參考結(jié)果集合進(jìn)行比較。參考結(jié)果集合由經(jīng)訓(xùn)練的模型來(lái)生成。由異常檢測(cè)器所生成的每個(gè)結(jié)果與結(jié)果集合之間的相關(guān)性被比較，以選擇異常檢測(cè)器配置，該異常檢測(cè)器配置提供與經(jīng)訓(xùn)練的模型的結(jié)果最相似的結(jié)果。然后，在一些實(shí)施例中，定義被選擇的配置的數(shù)據(jù)被傳送到產(chǎn)品設(shè)施。產(chǎn)品設(shè)施實(shí)例化經(jīng)定義的異常檢測(cè)器，并且使用實(shí)例化的檢測(cè)器對(duì)本地事件進(jìn)行分析。在一些其它實(shí)施例中，經(jīng)定義的異常檢測(cè)器由選擇異常檢測(cè)器的同一系統(tǒng)來(lái)實(shí)例化，因此在這些實(shí)施例中，異常檢測(cè)器配置未被從一個(gè)系統(tǒng)傳輸?shù)搅硪粋€(gè)系統(tǒng)。

背景技術(shù)

異常檢測(cè)技術(shù)具有許多優(yōu)點(diǎn)。特別地，異常檢測(cè)可以從未標(biāo)記的數(shù)據(jù)中標(biāo)識(shí)新的或唯一的事件。相反地，機(jī)器學(xué)習(xí)中的監(jiān)督式分類擅長(zhǎng)于檢測(cè)已知的事件的再次發(fā)生，但是依賴于那些事件的標(biāo)記的示例來(lái)學(xué)習(xí)模型。例如，在安全領(lǐng)域中，異常檢測(cè)可以標(biāo)識(shí)陌生的程序行為并且展示此前未見(jiàn)的惡意軟件類型，而監(jiān)督式分類器則更適合檢測(cè)已知的惡意軟件類型。

盡管異常檢測(cè)具有其優(yōu)點(diǎn)，但是異常檢測(cè)在實(shí)踐中可能難以使用。首先，盡管存在一系列異常檢測(cè)算法，但是它們可以由超參數(shù)來(lái)調(diào)整，以制定由特定檢測(cè)器所采用的“新的”的定義。預(yù)測(cè)異常檢測(cè)器的哪種特定的配置將產(chǎn)生有用的結(jié)果可能是有挑戰(zhàn)性的。其次，更根本地，“新的”不同于“有用的”。回到安全示例，有許多合法程序表現(xiàn)出罕見(jiàn)的但是非惡意的行為。這兩個(gè)問(wèn)題都會(huì)導(dǎo)致難以處理的障礙，即標(biāo)識(shí)異常檢測(cè)算法和參數(shù)的組合的障礙，該異常檢測(cè)算法和參數(shù)檢測(cè)針對(duì)手頭的任務(wù)提供有用的觀察的“新的”事件。因此，需要改進(jìn)的異常檢測(cè)的方法。

附圖說(shuō)明

在附圖中，相同的數(shù)字符號(hào)在不同視圖中可以描述相似組件，附圖不是必須按比例繪制。具有不同字母后綴的相同數(shù)字符號(hào)可以表示相似組件的不同實(shí)例。附圖通過(guò)示例而非限制的方式總體上圖示了本文檔中所討論的各種實(shí)施例。

圖1是在所公開(kāi)的實(shí)施例中的至少一個(gè)實(shí)施例中被實(shí)現(xiàn)的異常檢測(cè)器定義系統(tǒng)的概觀圖。

圖2A至2C是在所公開(kāi)的實(shí)施例中的一個(gè)或多個(gè)實(shí)施例中圖示數(shù)據(jù)流的數(shù)據(jù)流圖。

圖3示出了在所公開(kāi)的實(shí)施例中的一個(gè)或多個(gè)實(shí)施例中被實(shí)現(xiàn)的示例數(shù)據(jù)結(jié)構(gòu)。

圖4示出了在所公開(kāi)的實(shí)施例中的至少一個(gè)實(shí)施例中的異常檢測(cè)器中存在的示例數(shù)據(jù)流。

圖5是在所公開(kāi)的實(shí)施例中的一個(gè)或多個(gè)實(shí)施例中被實(shí)現(xiàn)的示例消息部分。

圖6示出了可以在所公開(kāi)的實(shí)施例中的一個(gè)或多個(gè)實(shí)施例中被實(shí)現(xiàn)的示例消息部分。

圖7是用于定義異常檢測(cè)器的過(guò)程的流程圖。

圖8是用于定義異常檢測(cè)器的過(guò)程的流程圖。

圖9是用于應(yīng)用異常檢測(cè)器配置的過(guò)程的流程圖。

圖10圖示了在所公開(kāi)的實(shí)施例中的一個(gè)或多個(gè)實(shí)施例中被實(shí)現(xiàn)的示例機(jī)器的框圖。

具體實(shí)施方式

下面的描述和附圖充分地說(shuō)明了具體實(shí)施例，以使本領(lǐng)域的技術(shù)人員能夠?qū)嵺`它們。其它實(shí)施例可以結(jié)合結(jié)構(gòu)的、邏輯的、電氣的、過(guò)程、和其它變化。一些實(shí)施例的部分和特征可以被包括在其它實(shí)施例的部分和特征中，或者被其它實(shí)施例的部分和特征代替。在權(quán)利要求中所闡述的實(shí)施例涵蓋這些權(quán)利要求的所有可用的等同物。

所公開(kāi)的實(shí)施例描述了在異常檢測(cè)器性能方面提供持續(xù)的改進(jìn)的環(huán)境。如下面進(jìn)一步所討論的，異常檢測(cè)器創(chuàng)建集線器生成多個(gè)異常檢測(cè)器配置，并且實(shí)例化這些異常檢測(cè)器。由異常檢測(cè)器中的每個(gè)異常檢測(cè)器來(lái)對(duì)測(cè)試數(shù)據(jù)集進(jìn)行分析，其中每個(gè)異常檢測(cè)器排序事件和/或分類事件。在一些實(shí)施例中，事件被排序以指示相對(duì)的異常等級(jí)或每個(gè)事件的相關(guān)度(relevance)。因此，在一些實(shí)施例中，排序第一的事件是相對(duì)于測(cè)試數(shù)據(jù)中所包括其他事件最異常的事件。事件還經(jīng)由經(jīng)訓(xùn)練的分類器而被排序。使用帶注釋的訓(xùn)練的數(shù)據(jù)來(lái)訓(xùn)練分類器，帶注釋的訓(xùn)練的數(shù)據(jù)可以已經(jīng)經(jīng)由人類輸入和/或人類與機(jī)器輸入的組合而被注釋。