公开(公告)号：CN108028843A

公开(公告)日：2018-05-11

申请号：CN201680054890.1

申请日：2016-09-16

Applicant: 微软技术许可有限责任公司

Inventor： R·C·弗鲁斯 ,  V·拉姆达特米西尔 ,  B·马基 ,  R·菲什 ,  E·泰勒 ,  D·博伊亚 ,  D·安克尼

IPC: H04L29/06

Abstract: 为了保护提供计算机实现的功能的基于网络的服务免受攻击，被动式web应用防火墙反应性地标识漏洞，以使得这样的漏洞能够迅速得到改善，而不会拦截通信或引入传统web应用防火墙的其他次优方面。涉及基于网络的服务的通信被日志记录，并且诸如基于预定的攻击语法在这样的日志中扫描表明为攻击的条目。对被标识为表明的攻击的条目的进一步评估标识与可能成功的攻击相对应的那些条目的子集。这样的进一步评估包括以相同的方式攻击基于网络的服务。被发现为成功的攻击标识漏洞，并且对这样的漏洞的通知被提供以促进这样的漏洞的改善。漏洞改善可以是自动的，诸如通过自动调节与基于网络的服务的实现相对应的设置来以预定方式改善所标识的漏洞。

公开(公告)号：CN108028843B

公开(公告)日：2021-01-01

申请号：CN201680054890.1

申请日：2016-09-16

Applicant: 微软技术许可有限责任公司

Inventor： R·C·弗鲁斯 ,  V·拉姆达特米西尔 ,  B·马基 ,  R·菲什 ,  E·泰勒 ,  D·博伊亚 ,  D·安克尼

IPC: H04L29/06

Abstract: 为了保护提供计算机实现的功能的基于网络的服务免受攻击，被动式web应用防火墙反应性地标识漏洞，以使得这样的漏洞能够迅速得到改善，而不会拦截通信或引入传统web应用防火墙的其他次优方面。涉及基于网络的服务的通信被日志记录，并且诸如基于预定的攻击语法在这样的日志中扫描表明为攻击的条目。对被标识为表明的攻击的条目的进一步评估标识与可能成功的攻击相对应的那些条目的子集。这样的进一步评估包括以相同的方式攻击基于网络的服务。被发现为成功的攻击标识漏洞，并且对这样的漏洞的通知被提供以促进这样的漏洞的改善。漏洞改善可以是自动的，诸如通过自动调节与基于网络的服务的实现相对应的设置来以预定方式改善所标识的漏洞。

公开(公告)号：CN109644197B

公开(公告)日：2021-10-29

申请号：CN201780053733.3

申请日：2017-08-26

Applicant: 微软技术许可有限责任公司

Inventor： S·S·坎达拉 ,  A·M·拉图斯基威策 ,  B·马基

IPC: H04L29/06

Abstract: 一种检测字典系统提供了用于描述、检测和报告跨多个操作环境的异常的框架，其中每个操作环境包括多个计算设备。操作环境中的异常是指该操作环境中的可以指示恶意用户或程序对该操作环境的攻击的一个或多个操作或活动。该框架包括保证、检测、属性、以及检测实例。保证是对实体(例如，企业或其它组织)作出的承诺或断言，该承诺或断言描述当识别特定趋势或异常时检测字典系统将检测和警告什么内容。检测是描述如何实现给定保证的元数据集合。属性描述如何将检测映射到特定的检测实例。检测实例是被应用于属性的检测的特定实现方式。

公开(公告)号：CN106663167B

公开(公告)日：2020-03-27

申请号：CN201580038525.7

申请日：2015-07-13

Applicant: 微软技术许可有限责任公司

Inventor： A·A·S·索尔 ,  B·马基 ,  R·D·菲什 ,  D·J·安克妮 ,  D·D·博亚 ,  V·拉姆达特米西尔

IPC: G06F21/55 ,  G06F21/57 ,  H04L29/06

Abstract: 各个实施例提供了基于行为变化检测或“易变性”的概念对安全事件进行分类的方法。行为变化检测代替预定义模式方法而被用来查看系统的行为并且检测从原本正常操作行为所发生的任何变化。在操作中，机器学习技术被用作促进实施方式可扩展性的事件分类机制。该机器学习技术是迭代的并且随时间持续进行学习。操作可扩展性问题通过使用时间序列中的事件的所计算易变性作为分类器输入而得以解决。在学习过程(即，机器学习过程)期间，该系统识别被安全事故所影响的相关特征。当处于操作中时，该系统实时地对那些特征进行评估并且提供将要发生事故的概率。

公开(公告)号：CN109644197A

公开(公告)日：2019-04-16

申请号：CN201780053733.3

申请日：2017-08-26

Applicant: 微软技术许可有限责任公司

Inventor： S·S·坎达拉 ,  A·M·拉图斯基威策 ,  B·马基

IPC: H04L29/06

Abstract: 一种检测字典系统提供了用于描述、检测和报告跨多个操作环境的异常的框架，其中每个操作环境包括多个计算设备。操作环境中的异常是指该操作环境中的可以指示恶意用户或程序对该操作环境的攻击的一个或多个操作或活动。该框架包括保证、检测、属性、以及检测实例。保证是对实体(例如，企业或其它组织)作出的承诺或断言，该承诺或断言描述当识别特定趋势或异常时检测字典系统将检测和警告什么内容。检测是描述如何实现给定保证的元数据集合。属性描述如何将检测映射到特定的检测实例。检测实例是被应用于属性的检测的特定实现方式。

公开(公告)号：CN106663167A

公开(公告)日：2017-05-10

申请号：CN201580038525.7

申请日：2015-07-13

Applicant: 微软技术许可有限责任公司

Inventor： A·A·S·索尔 ,  B·马基 ,  R·D·菲什 ,  D·J·安克妮 ,  D·D·博亚 ,  V·拉姆达特米西尔

IPC: G06F21/55 ,  G06F21/57 ,  H04L29/06

Abstract: 各个实施例提供了基于行为变化检测或“易变性”的概念对安全事件进行分类的方法。行为变化检测代替预定义模式方法而被用来查看系统的行为并且检测从原本正常操作行为所发生的任何变化。在操作中，机器学习技术被用作促进实施方式可扩展性的事件分类机制。该机器学习技术是迭代的并且随时间持续进行学习。操作可扩展性问题通过使用时间序列中的事件的所计算易变性作为分类器输入而得以解决。在学习过程(即，机器学习过程)期间，该系统识别被安全事故所影响的相关特征。当处于操作中时，该系统实时地对那些特征进行评估并且提供将要发生事故的概率。