[发明专利]协同过滤异常检测可解释性

说明书

增强了网络安全异常可解释性，特别关注基于协同过滤器的异常检测。一种经增强的系统获得从经训练的协同过滤器得到的用户行为向量，基于用户行为向量之间的距离以及相似性阈值来计算用户行为的相似性测度，以及自动产生对检测到的网络安全异常的解释。解释以人性化的术语描述了用户行为相似性中的改变，诸如“来自销售的用户X现在表现得像网络管理员。”每个用户行为向量包括潜在特征，并且对应于用户关于受监测的计算系统的访问尝试或其他行为。可以根据行为相似性来对用户进行分类。按照所指定的解释结构，解释可以将协同过滤器异常检测结果与所标识的用户或用户的簇的行为中的改变相关联。解释可能包括组织上下文信息，诸如角色。

背景技术

计算系统或计算系统的组件有时被描述为“黑盒”。该短语意味着“黑盒”系统或组件内部的内部结构、内部操作和功能细节的其他方面是不可见的，或者至少是不容易看见的。馈送到黑盒的输入通常是已知的，黑盒所产生的输出也是已知的，但是处理细节是隐藏的。黑盒也可以被描述为“不透明的”。组件的指示内部细节不是隐藏的相反特性可以被表述为“透明盒”、“玻璃盒”或“白盒”。

黑盒特性有时很有用。传统地，软件库和其他组件如果是模块化的，则可能被认为更可靠且更易于使用，这意味着它们可以被软件开发者视为黑盒。开发人员不需要担心内部细节，只需要处理组件的输入和组件的输出。作为另一个示例，如果测试人员采取黑盒方法，在黑盒方法中，不向他们给出关于目标的内部安全控件或协议的任何信息，则网络安全渗透测试可能被认为更现实，因为外部攻击者不会具有这样的信息。

然而，当黑盒结果的正确性或完整性有问题时，详细了解这些结果是如何产生的可能是有帮助的，甚至是必要的。特别地，当机器学习模型产生输出时，可能期望对人有意义的解释。这种“可判读的”或“人性化的”解释有助于人们理解模型产生这些特定输出而不是从输入产生不同输出的原因，而在没有解释的情况下，不同输出也是合理的。

发明内容

本文档中所描述的一些实施例在配备有网络安全异常检测功能的计算系统中提供了改进的可解释性。具体地，一些实施例通过在异常的解释中突出显示特定用户行为改变，来帮助解释为什么基于经训练的协同过滤器的异常检测系统标记异常。

一些实施例通过以下操作来增强网络安全异常可解释性：获得从经训练的协同过滤器得到的至少两个用户行为向量，基于用户行为向量与相似性阈值之间的距离来计算用户行为的相似性，以及产生网络安全异常的解释。解释至少是基于用户行为相似性中的改变，它以人性化的术语描述了这种改变。每个用户行为向量包括至少一个潜在特征，并且与用户关于受监测的计算系统的至少一个行为相对应。这些实施例可以通过以解释的形式将协同过滤器异常检测结果与所标识的用户的行为中的改变相关联，来增强使用经训练的协同过滤器检测到的网络安全异常的可解释性。

对于本领域技术人员而言，与本文中的教导相关的其他技术活动和特性也将变得显而易见。所给出的示例仅是说明性的。本发明内容不旨在标识所要求保护的主题的关键特征或必要特征，也不旨在用于限制所要求保护的主题的范围。相反，提供本发明内容来以简化的形式介绍一些技术概念，这些发明内容下面将在具体实施方式中被进一步描述。创新被正确理解的权利要求定义，并且如果本发明内容与权利要求相冲突，则应以权利要求为准。

附图说明

将参考附图来给出更详细的描述。这些附图仅图示了所选择的方面，因此并不完全确定覆盖范围或范围。

图1是一般性地图示了计算机系统并且还一般性地图示了所配置的存储介质的框图；

图2是图示了基于协同过滤的网络安全异常检测系统的框图，该网络安全异常检测系统被视为黑盒；

图3是图示了与网络安全异常可解释性相关的协同过滤的一些方面的框图；

图4是图示了经增强的系统的框图，该系统被配置为产生围绕网络安全异常的情况的解释；

图5是图示了某些实施例中禁用、排除或避免的一些项目的框图；