[发明专利]协同过滤异常检测可解释性

权利要求书

1.一种用于增强网络安全异常可解释性的解释系统，所述解释系统包括：

存储器；以及

与所述存储器能够操作地通信的处理器，所述处理器被配置为执行网络安全异常解释步骤，所述网络安全异常解释步骤包括(a)获得至少两个用户行为向量，每个用户行为向量是从经训练的协同过滤器得到的，每个用户行为向量包括至少一个潜在特征，每个用户行为向量与用户关于受监测的计算系统的至少一个行为相对应，(b)基于用户行为向量之间的距离以及相似性阈值来计算用户行为的相似性，以及(c)产生网络安全异常的解释，所述解释至少基于用户行为相似性中的改变并且描述用户行为相似性中的所述改变；

由此所述系统通过在所述解释中将协同过滤器异常检测结果与所标识的用户的行为中的改变相关联，来增强使用所述经训练的协同过滤器检测到的网络安全异常的可解释性。

2.根据权利要求1所述的系统，其中所述用户行为向量、向量距离和解释各自驻留在所述存储器中并且配置所述存储器，并且其中所述用户行为向量还特征在于以下方式中的至少一种方式：

所述用户行为向量中的两个用户行为向量标识至少两个不同用户；或者

所述用户行为向量中的两个用户行为向量标识相同用户，并且具有与所述用户在不同时间的行为相对应的相应潜在特征。

3.根据权利要求1所述的系统，其中所述向量距离是使用以下至少一项被计算的：余弦相似度或闵可夫斯基距离。

4.根据权利要求1所述的系统，还包括所述经训练的协同过滤器。

5.根据权利要求1所述的系统，其中所述解释驻留在所述存储器中并且配置所述存储器，并且其中所述解释还特征在于所述解释指示以下用户行为相似性改变中的至少一种用户行为相似性改变：

其行为与组X的其他用户的行为相似的用户不再与组X用户的行为相似；

其行为与组X的其他用户的行为不相似的用户开始与组X用户的行为相似；

其行为相似的一组用户的成员资格已改变；或者

其行为不相似的一组用户的成员资格已改变。

6.根据权利要求1所述的系统，其中所配置的所述处理器既不执行可解释性也不将可解释性依赖于任何预定义的活动正常性规则，所述活动正常性规则独立于基于潜在特征向量距离的相似性计算。

7.根据权利要求1所述的系统，其中所配置的所述处理器既不执行可解释性也不将可解释性依赖于除了用户标识特征之外的多个显性非潜在特征的任何呈现。

8.一种用于增强网络安全异常可解释性的方法，所述方法包括自动地：

获得至少两个用户行为向量，每个用户行为向量是从经训练的协同过滤器得到的，每个用户行为向量包括多个潜在特征，所述潜在特征单独地或共同地与用户关于尝试或完成对受监测的计算系统的至少一个资源的访问的至少一个行为相对应；

基于用户行为向量之间的距离以及相似性阈值来计算用户行为的相似性；以及

产生由所述经训练的协同过滤器检测到的网络安全异常的解释，所述解释至少基于用户行为相似性中的改变，所述解释描述用户行为相似性中的所述改变并且标识至少一个用户或标识至少一组用户。

9.根据权利要求8所述的方法，其中所述方法还包括基于用户行为向量相似性来选择用户的一个或多个簇，并且其中产生所述解释包括在所述解释中标识至少一个簇。

10.根据权利要求8所述的方法，其中：

获得包括获得异常用户的用户行为向量以及获得其他用户的用户行为向量；

计算包括基于所述异常用户行为向量和至少一些其他用户行为向量之间的距离来计算用户行为相似性；并且

产生包括产生列出其行为与所述异常用户的行为最相似的N个其他用户的解释，N＝2。