CN104303152A - 用于在计算机网络中识别协同群组攻击的异常检测 - Google Patents
用于在计算机网络中识别协同群组攻击的异常检测 Download PDFInfo
- Publication number
- CN104303152A CN104303152A CN201380026043.0A CN201380026043A CN104303152A CN 104303152 A CN104303152 A CN 104303152A CN 201380026043 A CN201380026043 A CN 201380026043A CN 104303152 A CN104303152 A CN 104303152A
- Authority
- CN
- China
- Prior art keywords
- sideline
- node
- network
- abnormal
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
- G06N5/022—Knowledge engineering; Knowledge acquisition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/04—Inference or reasoning models
- G06N5/045—Explanation of inference; Explainable artificial intelligence [XAI]; Interpretable artificial intelligence
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N7/00—Computing arrangements based on specific mathematical models
- G06N7/01—Probabilistic graphical models, e.g. probabilistic networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/0001—Systems modifying transmission characteristics according to link quality, e.g. power backoff
- H04L1/0015—Systems modifying transmission characteristics according to link quality, e.g. power backoff characterised by the adaptation strategy
- H04L1/0019—Systems modifying transmission characteristics according to link quality, e.g. power backoff characterised by the adaptation strategy in which mode-switching is based on a statistical approach
- H04L1/002—Algorithms with memory of the previous states, e.g. Markovian models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Evolutionary Computation (AREA)
- Mathematical Physics (AREA)
- Data Mining & Analysis (AREA)
- Computer Hardware Design (AREA)
- Computational Linguistics (AREA)
- Probability & Statistics with Applications (AREA)
- Medical Informatics (AREA)
- Algebra (AREA)
- Computational Mathematics (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Quality & Reliability (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供了用于在计算机网络上检测异常以识别协同群组攻击的系统、装置、方法和计算机程序。本发明可确定网络异常图形,包含节点、边线和异常图形中节点的入度。本发明可将带有至少两个入度的节点指定为潜在的目标。本发明可将不带有传入连接的节点指定为潜在地受感染的节点。当潜在地受感染的节点连接到一个或多个相同的潜在的目标节点时,可以将指定的潜在地受感染的节点输出为在网络上潜在地与协同攻击关联。
Description
联邦政府的权利声明
根据美国政府能源部门和洛斯阿拉莫斯国家安全有限公司之间的关于洛斯阿拉莫斯国家实验室运营的编号为DE-AC52-06NA25396的合约,美国政府享有本发明的权利。
相关申请的交叉引用
本申请要求序列号为61/614,148申请日为2012年3月22日的美国临时申请的权益。因此,这个较早提交的临时专利的主题内容通过引用全部合并到本文中。
技术领域
本发明一般涉及网络异常检测,更具体地涉及对计算机网络上指示协同组攻击的异常进行检测。
背景技术
检测多个不管是人或者自动系统(例如僵尸网络)的攻击者所引发的攻击,在计算机安全利益上越显其重要性。例如,一些方式已试图通过使用基于集群计算机的方法一段时间来检测僵尸网络,其中所述集群计算机在它们的通信和活动往来中共享相似的特性。这些方法用于监控网络边线上的网络流量,寻找网络中的共享类似连接到外部因特网协议(“IP”)地址的主机,而不是监控内部的网络流量。对于这些方法所针对检测的攻击类型,中央实体不需要控制网络中各种被感染的主机。
另一种常规的入侵检测系统的目的在于,基于用户指定的规则集通过构建随时间推移的网络活动图形,以检测计算机网络上的大规模恶意攻击。这些网络事件图形的呈现,据说能够使分析人员直观地判断是否正在发生可疑的网络活动。然而,留给用户去考虑哪些活动是异常的,而且没有提供建议来寻找网络中的用作协同攻击发生的估量的重叠活动。
在入侵检测中显著的研究领域为警报关联性,其涉及到多个入侵检测系统产生的集群警报。基于多个警报在时间上的相似性和接近性,利用统计测试来评估多个警报的相关性。其目的是为了减少误报并且帮助分析者通过将多个警报归因于单个威胁,使更清晰地观察攻击的不同阶段并且降低分析者必须要从头到尾要进行筛选的警报数量。然而,这种方法并没有特别用于寻找连接中的重叠。
检测网络平台上更大规模的协同攻击,比如分布式的拒绝服务攻击或者大规模的隐身扫描,是另一个主要的研究领域。协作式入侵检测系统的目的在于,通过使用上述的警报相关性以检测这些协同攻击,该警报是由通过一系列网络的入侵检测系统来产生。然而,目前还没有找到在内部网络中找出协同攻击的方法。因此,在内部网络上识别协同攻击的方法是非常有益的。
发明内容
本发明的某些实施例可以提供方案以解决当前的网络异常检测系统仍然没有完全识别、理解或解决的问题和需求。例如,本发明的一些实施例在内部计算机网络中检测异常以识别协同群组攻击。
在一个实施例中,一种计算机执行的方法包括,通过计算系统确定网络的异常图形,包括异常图形中的节点、边线和节点的入度。该计算机执行的方法还包括,通过计算系统将带有至少两个入度的节点指定为潜在的目标,通过计算系统将不带有传入连接的节点指定为潜在地受感染的节点。该计算机执行的方法还包括,当该潜在地受感染的节点连接到一个或多个相同的潜在的目标节点时,通过计算系统将指定的潜在地受感染的节点输出为在网络上潜在地与协同攻击关联。
在另一个实施例中,一种装置包括至少一个处理器和含有指令的存储器。当至少一个处理器执行该指令时,该指令被配置为在多个时间周期上监控网络,从而在至少一个时间周期上确定出一组攻击者中表示潜在活动的异常行为。该指令还被配置为,在至少一个时间周期上确定出异常行为的时候,提供在网络中发生群组攻击的标示。
又在另一个实施例中,一种系统,包括储存计算机程序指令的存储器,该计算机程序指令配置为检测网络中的异常并且配置为执行储存的计算机程序指令的多个处理核心。该多个处理核心配置为在一时间周期内产生网络的异常图形。该处理核心还配置为,在该时间周期内确定是否存在不带有入度的多个节点和普通的节点连接。该处理核心进一步配置为,当系统确定了在异常图形的一个或多个子图中存在不带有入度的多个节点并且存在普通的节点连接的时候,产生网络上的潜在攻击的标示。
附图说明
为了正确理解本发明,需要参考附图。这些附图仅描述了本发明的一些实施例而不作为对发明范围的限制。关于附图:
图1A为根据本发明实施例显示潜在异常行为的一组节点的子图St;
图1B为根据本发明实施例的异常子图该子图已缩小为显示群组活动的节点;
图2为根据本发明的实施例用于在网络上检测异常行为以识别协同的群组攻击的方法流程图;
图3为根据本发明的实施例用于在网络上检测异常行为以识别协同的群组攻击的方法流程图;
图4为根据本发明的实施例用于在网络上检测异常行为以识别协同的群组攻击的方法流程图;
图5为根据本发明的实施例用于在网络上检测群组攻击的计算系统的框图。
具体实施方式
本发明的一些实施例检测来自多个攻击者,通常是从协同攻击者(即,队伍),的统计异常。在某些实施例中,可以实时执行检测。这些实施例涉及内部计算机网络上的异常检测问题,其中的异常表示网络上的攻击。具体地,一些实施例的目的在于,利用基于异常的检测系统来检测协同攻击,其中入侵者危及网络中的多个主机并且同时使用这些主机进行有针对性的恶意活动。
在队伍方面一些实施例是非常新颖的。尤其在涉及国家行为者的情况下,老练的对手通常利用同时攻击者的队伍以快速完成任务。然而,当存在多个攻击者的时候,随着异常行为趋于更为普遍,在统计学上来讲,这将引发更大的信号。因此,一些实施例将同时性纳入考虑,产生比单独考虑每个异常要更好的检测效果。
为了能够在大型网络中进行部署,一些实施例将网络图形中的所有节点和边线初步视为独立的实体,并且针对表示群组活动的显著的重叠或者相关的行为寻找随时间推移的潜在异常的边线。这样的群组活动的例子可以是在一些特定时期内全部与节点公共集关联的受感染节点。可以基于对认知的历史行为的一些背离,使用基线统计概率模型对行为进行分类,该模型比如是作为优先权基础的美国临时专利申请序列号为61/614,148(以下简称“优先权申请”)中讨论的模型。这种独立性假设的有效性依靠认识来自历史数据的每个节点的周期性行为,这些行为为基线概率模型提供信息。接着,由于那些时期中的节点是活动的,沿着从该节点发出的边线的连接也被视为有条件的独立。总之,这两个方面的特征为网络中沿者每条边线的活动级别提供了一种概率模型。
此异常边线聚集可能类似于优先权申请中的一些实施例方法的构思,在形成路径的网络中寻找异常边线,以遍历攻击者的检测为目的。然而,一些实施例的目的在于从多个受感染的节点连接中检测重叠,而不是从单个受感染的节点开始遍历网络进行寻找。入侵者倾向于创建新的行为模式,因为他们在网络中的操作性质,并且事实上他们一般不访问历史数据。
在政府和企业防卫网络中,一旦黑客已经穿透外围防御,识别黑客变得尤其重要。在攻击者队伍穿透核心网络前,迅速识别攻击者队伍,可以为被攻击的机构挽救数百万美元的资产损失。如果考虑到攻击者持续处于网络中并渗透到核心机器,唯一的解决办法通常是关闭网络数天,否则数星期。从消除网络功能到引起重要的公共关系破坏,带来明显的影响。按照上述,本发明的一些实施例监控内部网络以检测黑客队伍。传统的系统不可能带有或者识别出这种有益特征。
在一些实施例中,统计异常检测涉及沿网络中的每条边线(或至少多条边线)的监控行为,并且寻找与合适的概率模型有关的边远行为。当边线持续表现正常的时候,可以使用观察到的数据进一步在清晰的更新方案中提炼概率模型。否则,如果边线当前的行为明显偏离过去的行为,可以将边线标记为异常。在每个时间点上,可以为沿着每个边线的当前行为从概率模型获取p-值,以量化偏离级别。低p-值可以指示潜在异常的行为。
一些实施例的新颖性在于,在一些时间窗口上看似异常的边线内搜索表示群组活动的显著的重叠或相互关联的行为。这样的群组活动的例子可以是全部与一些特定时期内的节点公共集全部关联的受感染节点。统计独立概率模型在观测基本重叠的异常行为中没有捕获到背离正常的行为,因此,这可以被视为需要在异常检测系统内进行处理的额外相关信息。
聚集异常边线以检测重叠,类似于优先权申请中讨论的一些实施例方法的构思,在形成路径的网络中寻找异常边线,以遍历攻击者的检测为目的。然而,在本发明的一些实施例中,从多个受感染的节点连接中检测重叠,而不是通过网络从单个受感染的节点开始寻找遍历。下面叙述怎样才能检测重叠活动的简单例子。
可以认为网络中的最近行为包含滑动时间窗口中的所有连接事件。可以选择该窗口的宽度w,以符合分析者的关注。然而,由于本例中讨论的实施例针对检测系统活动,w必须相对于图形的全部历史要小。
在时间t,(Vt,Et)为当前图形,该图形包括所有通信节点Vt以及在多数的最近时间窗口(t-w,t)内活动的所有边线Et。对每个边线(i,j)∈Et,获取p-值pij,t,表示该边线已背离其正常行为的程度。对于p-值的阀值T∈(0,1),从具有低于阀值的正p-值的边线形成网络的异常图形
在方程(2)中,“s.t.”代表“使得(such that)”。在实践中,可以选取阀值T,使得在训练期间,平均异常图形大小不会超过期望数。
为了消除潜在虚假的边线,可以通过删除所有连接到带有一个入度节点的边线,以进一步减少异常图形。一个例子在图1A和1B中示出。该例子重点说明显示群组行为结构的图形。在图1A中,子图100所示为一组显示潜在异常行为的节点St。在图1B中,异常子图110已缩小为显示群组活动的节点。应注意到,每个子图可以代表群组攻击,如果检测出多个潜在的群组攻击,可以在给定的时期或时间窗口内产生多个异常子图。带有零入度的节点,即是没有收到传入连接的节点以阴影表示并且被认为是可疑的受感染的节点(见图1B)。可以将带有两个以上入度的节点考虑为目标(例如,图1A和1B中的节点7和8)应注意到,节点可以分为两类,并且不是所有不带有传入的连接的节点都受到感染。
图形的弱关联子图(即,组件)是一种具有假如用非有向的边线代替全部有向边线则使得子图具有关联性的性质的最大子图。的弱关联子图中的每一个,都可以被考虑为潜在异常,因此被考虑为潜在部分的协同攻击。
可以为每个弱关联图形子图Ak=(Vk,Ek)计算汇总的统计量Ok,以描述重叠的级别。根据所寻找的攻击的性质,可以改变对汇总的统计量的合适选择。然而,可以考虑使用一个这样的统计量作为子图中的非有向边线的数量。
Ok=Σi<jmax{II(eij∈Ek),II(eji∈Ek)} (3)
简便起见,可以假定观测的重叠统计量为来自一些常见的但未知的分布中的独立和相等的分布。在训练期间,从统计量观测值计算的经验分布可以提供这种未知且潜在的复杂分布的非参数判断。
回到时间t上的网络评估,可以为缩小的异常图形的每一个弱关联子图获取与该经验分布有关的p-值,从而在网络中的更多异常行为中,在重叠级别中提供异常测量。
图2为根据本发明实施例的用于在网络上检测异常行为以识别协同的群组攻击的方法流程图200。在一些实施例中,例如通过图5的计算系统500来执行图2的方法。在205,该方法始于确定网络的异常图形。该异常图形可以包括节点、边线和异常图形中节点的入度。接着,在210,从异常图形中删除传入的边线,该传入的边线转向带有一个入度的节点。
在215,在异常图形中查找弱关联子图。在220,可以为每个子图计算汇总的统计量,以描述重叠的级别。在225,将带有两个以上的入度的节点指定为潜在的目标。在230,将不带有传入的连接的节点指定为潜在地受感染的节点。在235,然后,当潜在地受感染的节点连接到一个或多个相同的潜在目标节点时,将指定的潜在地受感染的节点输出为网络上的潜在协同攻击部分。
图3为根据本发明实施例的用于在网络上检测异常行为以识别协同的群组攻击的方法流程图。在一些实施例中,例如通过图5的计算系统500来执行图3的方法。在305,该方法始于在时间周期上监控网络,从而在至少一段时期内的一组攻击者中确定出表示潜在活动的异常行为。该异常行为可以包括重叠或者互相关联的行为,其中一组潜在地受感染的节点尝试去连接至少一段时期内的普通节点。在异常图形中,在网络中可以对每个边线确定出p-值。p-值表示相应的边线已背离其正常行为的程度。基于p-值和p-值阀值,可以形成异常图形。
在310,从异常图形中删除传入的边线,该传入的边线转向带有一个入度的节点。在315,在异常图形中查找弱关联子图。在320,在给定的子图中,利用非有向边线的数量来计算汇总的统计量。在至少一段时期内确定出异常行为的时候,然后在325提供在网络中可能发生群组攻击的标示。
图4为根据本发明的实施例用于在网络上检测异常行为以识别协同的群组攻击的方法流程图。在一些实施例中,例如通过图5的计算系统500来执行图4的方法。在405,该方法始于在一段时期内产生网络的异常图形。在异常图形中,可以对每个边线确定出p-值。p-值表示相应的边线已背离其正常行为的程度。基于p-值和p-值阀值,可以形成异常图形。在410,从异常图形中删除传入的边线,该传入的边线转向带有一个入度的节点。在415,在异常图形中查找弱关联子图。
在420,在所述时期内,确定是否存在不带有入度的多个节点和普通的节点连接。如果存在,则在425,在网络上产生潜在的群组攻击的标示。该标示可以包括潜在地受感染的不带有入度的节点和公共的节点连接,并且潜在地受感染的节点与带有两个以上入度的潜在目标节点连接。
图5为根据本发明的实施例用于在网络上检测群组攻击的计算系统500的框图。计算系统500包括总线505或其它用于消息通信的通信机构,以及与总线505连结用于处理消息的处理器(一个或多个)510。处理器(一个或多个)510可以是任意类型的通用或专用处理器,其包括中央处理单元(“CPU”)或者专用集成电路(“ASIC”)。处理器(一个或多个)510还可以具有多个处理核心,并且至少一些核心可配置为执行特定功能。计算系统500还包括存储器515,用于储存信息以及由处理器(一个或多个)510执行的指令。存储器515可以由随机存取存储器(“RAM”)的任意组合、只读存储器(“ROM”)、闪存存储器、高速缓冲存储器、静态存储器如磁盘或光盘、或任何其它类型的非临时性计算机可读介质或其组合构成。此外,计算系统500包括通信设备520,比如无线收发器,以无线地提供通信网络访问。
非临时性计算机可读介质可以是任何处理器(一个或多个)510能够访问的任何可用介质,并且可以都包括易失性和非易失性介质、可移动和不可移动介质以及通信介质。通信介质可以包含计算机可读指令、数据结构、程序模块或其它调制数据信号比如载波中的数据或者其它传输结构,并且包含任何信息传递介质。
(一个或多个)处理器510进一步通过总线505连结到显示器525,比如是液晶显示器(“LCD”),用于向用户显示信息。键盘530和光标控制设备535比如计算机鼠标进一步连结到总线505,从而使用户与计算系统500进行交互。然而,在某些实施例中,比如在那些用于移动计算执行实施例中,可以不出现物理键盘和鼠标,用户可以通过显示器525和/或触摸板(没有示出)单独地与设备进行互动。可以在设计选择的问题上使用任何类型和组合的输入设备。
在一个实施例中,存储器515储存软件模块,当(一个或多个)处理器510执行该软件模块时提供功能。该模块包含用于计算系统500的操作系统540。该模块进一步包括群组攻击检测模块545,群组攻击检测模块545被配置为使用一个或多个本发明的实施方案来检测群组攻击。计算系统500可以包括一个或多个包含附加功能的附加功能模块550。
本领域技术人员应理解到,“系统”可以实施为个人电脑、服务器、控制台、个人数字助手(“PDA”)、手机、平板计算设备或任何其它适用的计算设备或设备的组合。当前通过“系统”执行上述功能并不旨在以任何方式限制本发明的范围,而是旨在提供本发明许多实施例中的其中一个实例。实际上,可以按照局部和分散的与包含云计算系统的计算技术一致的形式来实现本文所公开的方法、系统和装置。
应当注意到,在本说明书中描述的一些系统特征已体现为模块,从而更特别地强调它们的执行独立性。例如,可以将模块实施为硬件电路,包括定制的超大规模集成(“VLSI”)电路或门阵列,大规模生产的半导体比如逻辑芯片、晶体管或其它分立电子元件。模块还可以实施在可编程硬件设备,例如现场可编程门阵列、可编程逻辑阵列、可编程逻辑器件、图形处理单元等。
模块还可以至少部分地在软件中实施,供各种类型的处理器执行。可执行代码的识别单元例如可以包括一个或多个计算机指令的物理或逻辑块,其例如可以组织为对象、过程或功能。然而,识别模块的可执行代码无需在物理上设置在一起,而是可以包括存储在不同位置的在逻辑上结合在一起时的不同指令,包括该模块并且实现模块的指定目的。进一步,模块可以存储在计算机可读介质上,该计算机可读介质例如可以是硬盘驱动器、闪存设备、RAM、磁带或其它用于存储数据的任何介质。
实际上,可执行代码模块可以是单指令或多指令,甚至可以在若干不同的代码段上、不同程序之间以及横跨多个存储设备来分布。类似地,操作数据可以在此处的模块中识别和说明,可以在任何合适的形式中体现并且在任何合适类型的数据结构中组织。可以收集操作数据作为单个数据集,或者可以将操作数据分布在包含不同存储设备的不同位置,并且可能至少部分地仅作为的电子信号,存在于系统或网络上。
根据本发明的实施例,可以通过计算机程序来执行图2-4中实施的方法步骤,对非线性自适应处理器的指令进行编码以至少执行图2-4中所描述的方法。可以在非临时性计算机可读介质上实施该计算机程序。计算机可读介质可以是但不限于硬盘驱动器、闪存设备、随机存取存储器、磁带或用于存储数据的任何其它这样的介质。计算机程序可以包含用于控制非线性自适应处理器来实现在图2-4中描述的方法编码的指令,该指令也可以储存在计算机可读介质上。
可以在硬件、软件或其混合的实施中实施计算机程序。计算机程序可以由在运行时互相通信的多个模块构成,并且该模块被设计为传递信息或指令到显示器。计算机程序可以被配置为在通用计算机或ASIC上运行。
将容易理解到,在本文附图中一般描述和示出的本发明各种实施例的电子零件,可被布置和设计成各种广泛的不同的结构。因此,在附图中表示的针对本发明的系统、装置、方法和计算机程序的实施例的详细描述,并不旨在限制本发明所要求保护的范围,而是仅仅代表本发明所选择的实施例。
在整个说明书中描述的本发明的特征、结构或特性可以通过任何合适的方式在一个或多个实施例中结合。例如,整个说明书中的引用“某些实施例”、“一些实施例”或类似语句的意思是,特定的特征、结构或与实施例关联的描述特性被包括在本发明的至少一个实施例中。因此,出现的用语“在某些实施例中”、“在一些实施例中”、“在其它实施例中”或说明书中类似的语句,不一定都引用同一组的实施例,并且描述的特征、结构或特性可以在一个或多个实施例中以任何合适的方式进行组合。
应当注意的是,在整个说明书中对特征、优点或类似语言的引用并不意味着本发明可实现的所有特征和优点必须是本发明的任何单个实施例或者在其中。相反,将引用特征和优点的语句理解为特定的特征、结构或与实施例关联的描述特性被包括在本发明的至少一个实施例中。因此,在整个说明书中,特征和优点的讨论以及类似的语句可以但不一定引用相同的实施例。
此外,于此描述的本发明的特征、优点和特性可以通过任何合适的方式在一个或多个实施例中结合。本领域技术人员将认识到,本发明能够在没有一个或多个特定实施例的具体特征或优点的情况下实践。其它情况,在某些实施例中可能认出的附加特征和优点可能不存在于本发明的所有实施例中。
具有普通技能的本领域技术人员将容易理解到,上面讨论的本发明可以用不同的顺序步骤实施和/或与公开的硬件元件相比的不同配置下的硬件元件来实现。因此,尽管已基于这些优选实施例对本发明进行描述,本领域技术人员仍可很容易地预见到某些修改、变化和替换的构造,而且这些修改、变化和替换的构造均处于本发明的精神和范围之内。因此需要参照所附的权利要求书来确定本发明的边界和范围。
Claims (20)
1.一种计算机执行的方法,包括:
通过计算系统确定网络的异常图形,包括节点、边线和异常图形中节点的入度;
通过计算系统将具有至少两个入度的节点指定为潜在的目标;
通过计算系统将不具有传入连接的节点指定为潜在地受感染的节点;以及
当所述潜在地受感染的节点连接到至少一个相同的潜在的目标节点时,通过计算系统将指定的潜在地受感染的节点输出为在网络上潜在地与协同攻击相关联。
2.根据权利要求1所述的计算机执行的方法,其中权利要求1的步骤由计算系统在滑动时间窗口内周期地执行。
3.根据权利要求1所述的计算机执行的方法,进一步包括:
通过计算系统从所述异常图形中删除传入的边线,该传入的边线转向具有一个入度的节点。
4.根据权利要求1所述的计算机执行的方法,进一步包括:
通过计算系统确定异常图形中每个弱关联的子图。
5.根据权利要求4所述的计算机执行的方法,进一步包括:
利用给定的子图中非有向边线的数量来计算每个子图的汇总的统计量Ok,所述汇总的统计量由下式确定:
其中eij和eji表示给定子图的边线集Ek中的边线。
6.根据权利要求1所述的计算机执行的方法,其中所述计算系统配置为将异常图形中的所有节点和边线视为为独立的实体。
7.根据权利要求1所述的计算机执行的方法,其中对于p-值的阀值T∈(0,1),从具有低于阀值的正p-值的边线中形成网络的异常图形
其中是St中的边线集,是St中的节点集,并且pij,t是对给定边线(i,j)∈Et的p-值。
8.一种装置,包括:
至少一个处理器;以及
储存计算机程序指令的存储器,其中所述指令在由至少一个处理器执行时,被配置为使得至少一个处理器:
在时间周期上监控网络,从而在至少一个时间周期内从一组攻击者中确定出表示潜在活动的异常行为;以及
在至少一个时间周期内在确定出异常行为时提供网络中发生群组攻击的标示。
9.根据权利要求8所述的装置,其中所述异常行为包括重叠或者互相关联的行为,其中在所述时间周期的至少一个内一组潜在地受感染的节点尝试去连接公共节点。
10.根据权利要求8所述的装置,其中所述指令被进一步配置为使得至少一个处理器为网络中的每个边线确定p-值,其中该p-值表示相应的边线已背离其正常行为的程度。
11.根据权利要求10所述的装置,其中对于p-值的阀值T∈(0,1),指令被进一步配置为使得至少一个处理器从具有低于阀值的正p-值的边线中形成网络的异常图形
其中是St中的边线集,是St中的节点集,并且pij,t是对给定边线(i,j)∈Et的p-值。
12.根据权利要求11所述的装置,其中所述指令被进一步配置为使得至少一个处理器执行:
在异常图形中删除传入的边线,该传入的边线转向带有一个入度的节点。
13.根据权利要求11所述的装置,其中所述指令被进一步配置为使得至少一个处理器执行:
确定异常图形中每个弱关联的子图。
14.根据权利要求13所述的装置,其中所述指令被进一步配置为使得至少一个处理器使用给定子图中非有向边线的数量为每个子图计算汇总的统计量Ok,所述汇总的统计量由下式确定:
其中,eij和eji表示给定子图的边线集Ek中的边线。
15.一种系统,包括:
存储器,储存被配置为检测网络中异常的计算机程序指令;以及
多个处理核心,被配置为执行储存的计算机程序指令以及:
生成网络在一时间周期内的异常图形;
确定在该时间周期内是否存在不带有入度的多个节点和公共节点连接;和
当系统确定了在异常图形的一个或多个子图中存在不带有入度的多个节点以及公共节点连接的时候,生成网络上潜在攻击的标示。
16.根据权利要求15所述的系统,其中所述标示包括潜在地受感染的不带有入度的节点和公共节点连接,并且潜在地受感染的节点与带有两个以上入度的潜在目标节点连接。
17.根据权利要求15所述的系统,其中所述多个处理核心被进一步配置为对网络中的每个边线确定p-值,其中该p-值表示相应的边线已背离其正常行为的程度。
18.根据权利要求17所述的系统,其中对于p-值的阀值T∈(0,1),所述处理器核心被进一步配置为从具有低于阀值的正p-值的边线中形成网络的异常图形
其中是St中的边线集,是St中的节点集,并且pij,t是对给定边线(i,j)∈Et的p-值。
19.根据权利要求15所述的系统,其中所述处理核心被进一步配置为:
从异常图形中删除转向具有一个入度的节点的传入边线。
20.根据权利要求15所述的系统,其中所述处理核心被进一步配置为:
确定异常图形中每个弱关联的子图。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201261614148P | 2012-03-22 | 2012-03-22 | |
US61/614,148 | 2012-03-22 | ||
PCT/US2013/031463 WO2013184211A2 (en) | 2012-03-22 | 2013-03-14 | Anomaly detection to identify coordinated group attacks in computer networks |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104303152A true CN104303152A (zh) | 2015-01-21 |
CN104303152B CN104303152B (zh) | 2017-06-13 |
Family
ID=49213611
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201380026043.0A Expired - Fee Related CN104303152B (zh) | 2012-03-22 | 2013-03-14 | 在内网检测异常以识别协同群组攻击的方法、装置和系统 |
CN201380026239.XA Expired - Fee Related CN104303153B (zh) | 2012-03-22 | 2013-03-14 | 用于异常子图检测、异常/更改检测和网络态势感知的路径扫描 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201380026239.XA Expired - Fee Related CN104303153B (zh) | 2012-03-22 | 2013-03-14 | 用于异常子图检测、异常/更改检测和网络态势感知的路径扫描 |
Country Status (7)
Country | Link |
---|---|
US (11) | US9374380B2 (zh) |
EP (3) | EP2828752B1 (zh) |
JP (3) | JP6148323B2 (zh) |
CN (2) | CN104303152B (zh) |
AU (8) | AU2013272211B2 (zh) |
CA (2) | CA2868076C (zh) |
WO (2) | WO2013184206A2 (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9825979B2 (en) | 2012-03-22 | 2017-11-21 | Los Alamos National Security, Llc | Path scanning for the detection of anomalous subgraphs and use of DNS requests and host agents for anomaly/change detection and network situational awareness |
CN108234492A (zh) * | 2018-01-02 | 2018-06-29 | 国网四川省电力公司信息通信公司 | 考虑负荷数据虚假注入的电力信息物理协同攻击分析方法 |
CN109889515A (zh) * | 2019-02-13 | 2019-06-14 | 北京航空航天大学 | 一种基于非参数统计的僵尸网络发现方法 |
CN110602101A (zh) * | 2019-09-16 | 2019-12-20 | 北京三快在线科技有限公司 | 网络异常群组的确定方法、装置、设备及存储介质 |
CN111279192A (zh) * | 2017-11-08 | 2020-06-12 | 利乐拉瓦尔集团及财务有限公司 | 确定食品批次中微生物风险水平的方法 |
CN111542811A (zh) * | 2017-09-26 | 2020-08-14 | 摩根大通国家银行 | 增强网络安全的监视 |
CN113254674A (zh) * | 2021-07-12 | 2021-08-13 | 深圳市永达电子信息股份有限公司 | 一种网络安全设备知识推理方法、装置、系统及存储介质 |
CN114253224A (zh) * | 2020-09-22 | 2022-03-29 | 罗克韦尔自动化技术公司 | 将容器编排系统与操作技术设备集成 |
CN117851959A (zh) * | 2024-03-07 | 2024-04-09 | 中国人民解放军国防科技大学 | 基于fhgs的动态网络子图异常检测方法、装置和设备 |
CN117851959B (zh) * | 2024-03-07 | 2024-05-28 | 中国人民解放军国防科技大学 | 基于fhgs的动态网络子图异常检测方法、装置和设备 |
Families Citing this family (125)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140041032A1 (en) * | 2012-08-01 | 2014-02-06 | Opera Solutions, Llc | System and Method for Detecting Network Intrusions Using Statistical Models and a Generalized Likelihood Ratio Test |
US9813307B2 (en) * | 2013-01-28 | 2017-11-07 | Rackspace Us, Inc. | Methods and systems of monitoring failures in a distributed network system |
US9483334B2 (en) * | 2013-01-28 | 2016-11-01 | Rackspace Us, Inc. | Methods and systems of predictive monitoring of objects in a distributed network system |
US9397902B2 (en) | 2013-01-28 | 2016-07-19 | Rackspace Us, Inc. | Methods and systems of tracking and verifying records of system change events in a distributed network system |
US8996889B2 (en) * | 2013-03-29 | 2015-03-31 | Dropbox, Inc. | Portable computing device with methodologies for client-side analytic data collection |
EP2785009A1 (en) * | 2013-03-29 | 2014-10-01 | British Telecommunications public limited company | Method and apparatus for detecting a multi-stage event |
EP2785008A1 (en) * | 2013-03-29 | 2014-10-01 | British Telecommunications public limited company | Method and apparatus for detecting a multi-stage event |
US9443075B2 (en) * | 2013-06-27 | 2016-09-13 | The Mitre Corporation | Interception and policy application for malicious communications |
US10579684B2 (en) * | 2014-01-31 | 2020-03-03 | MAX-PLANCK-Gesellschaft zur Förderung der Wissenschaften e.V. | Computer-implemented method and apparatus for determining a relevance of a node in a network |
US11782995B2 (en) * | 2014-01-31 | 2023-10-10 | MAX-PLANCK-Gesellschaft zur Förderung der Wissenschaften e.V. | Computer-implemented method and apparatus for determining a relevance of a node in a network |
WO2016022705A1 (en) * | 2014-08-05 | 2016-02-11 | AttackIQ, Inc. | Cyber security posture validation platform |
US10666676B1 (en) * | 2014-08-18 | 2020-05-26 | Trend Micro Incorporated | Detection of targeted email attacks |
WO2016060067A1 (ja) * | 2014-10-14 | 2016-04-21 | 日本電信電話株式会社 | 特定装置、特定方法および特定プログラム |
JP6196397B2 (ja) | 2014-10-21 | 2017-09-13 | アイアンネット・サイバーセキュリティ・インコーポレイテッドIronNet Cybersecurity, Inc. | サイバーセキュリティシステム |
WO2016164050A1 (en) * | 2015-04-10 | 2016-10-13 | Hewlett Packard Enterprise Development Lp | Network anomaly detection |
US10476754B2 (en) * | 2015-04-16 | 2019-11-12 | Nec Corporation | Behavior-based community detection in enterprise information networks |
US10305917B2 (en) * | 2015-04-16 | 2019-05-28 | Nec Corporation | Graph-based intrusion detection using process traces |
US10015175B2 (en) * | 2015-04-16 | 2018-07-03 | Los Alamos National Security, Llc | Detecting anomalous behavior via user authentication graphs |
WO2016190868A1 (en) * | 2015-05-28 | 2016-12-01 | Hewlett Packard Enterprise Development Lp | Processing network data using a graph data structure |
EP3287909B1 (en) * | 2015-06-02 | 2019-07-03 | Nippon Telegraph and Telephone Corporation | Access classification device, access classification method, and access classification program |
US9779222B2 (en) * | 2015-06-25 | 2017-10-03 | Extreme Networks, Inc. | Secure management of host connections |
US10430721B2 (en) * | 2015-07-27 | 2019-10-01 | Pivotal Software, Inc. | Classifying user behavior as anomalous |
US10425447B2 (en) * | 2015-08-28 | 2019-09-24 | International Business Machines Corporation | Incident response bus for data security incidents |
US20210281609A1 (en) * | 2015-10-28 | 2021-09-09 | Qomplx, Inc. | Rating organization cybersecurity using probe-based network reconnaissance techniques |
US11968239B2 (en) | 2015-10-28 | 2024-04-23 | Qomplx Llc | System and method for detection and mitigation of data source compromises in adversarial information environments |
US10673887B2 (en) * | 2015-10-28 | 2020-06-02 | Qomplx, Inc. | System and method for cybersecurity analysis and score generation for insurance purposes |
US10560483B2 (en) * | 2015-10-28 | 2020-02-11 | Qomplx, Inc. | Rating organization cybersecurity using active and passive external reconnaissance |
US20220255926A1 (en) * | 2015-10-28 | 2022-08-11 | Qomplx, Inc. | Event-triggered reauthentication of at-risk and compromised systems and accounts |
US11388198B2 (en) | 2015-10-28 | 2022-07-12 | Qomplx, Inc. | Collaborative database and reputation management in adversarial information environments |
US20210226928A1 (en) * | 2015-10-28 | 2021-07-22 | Qomplx, Inc. | Risk analysis using port scanning for multi-factor authentication |
US11468368B2 (en) * | 2015-10-28 | 2022-10-11 | Qomplx, Inc. | Parametric modeling and simulation of complex systems using large datasets and heterogeneous data structures |
US10742647B2 (en) * | 2015-10-28 | 2020-08-11 | Qomplx, Inc. | Contextual and risk-based multi-factor authentication |
US11297109B2 (en) | 2015-10-28 | 2022-04-05 | Qomplx, Inc. | System and method for cybersecurity reconnaissance, analysis, and score generation using distributed systems |
US11563741B2 (en) * | 2015-10-28 | 2023-01-24 | Qomplx, Inc. | Probe-based risk analysis for multi-factor authentication |
US11070592B2 (en) | 2015-10-28 | 2021-07-20 | Qomplx, Inc. | System and method for self-adjusting cybersecurity analysis and score generation |
NL2015680B1 (en) * | 2015-10-29 | 2017-05-31 | Opt/Net Consulting B V | Anomaly detection in a data stream. |
CN105426764A (zh) * | 2015-11-16 | 2016-03-23 | 北京航空航天大学 | 一种基于子模优化的并行异常子图检测方法与系统 |
US10375095B1 (en) * | 2015-11-20 | 2019-08-06 | Triad National Security, Llc | Modeling behavior in a network using event logs |
US10148690B2 (en) * | 2015-12-21 | 2018-12-04 | Symantec Corporation | Accurate real-time identification of malicious BGP hijacks |
US9985982B1 (en) * | 2015-12-21 | 2018-05-29 | Cisco Technology, Inc. | Method and apparatus for aggregating indicators of compromise for use in network security |
WO2017145591A1 (ja) * | 2016-02-26 | 2017-08-31 | 日本電信電話株式会社 | 分析装置、分析方法および分析プログラム |
CN105824754B (zh) * | 2016-03-17 | 2018-11-13 | 广州多益网络股份有限公司 | 客户端程序的Python异常捕获和上传的方法 |
US10333815B2 (en) * | 2016-03-17 | 2019-06-25 | Nec Corporation | Real-time detection of abnormal network connections in streaming data |
US10218727B2 (en) | 2016-03-24 | 2019-02-26 | Cisco Technology, Inc. | Sanity check of potential learned anomalies |
US10389741B2 (en) * | 2016-03-24 | 2019-08-20 | Cisco Technology, Inc. | Edge-based detection of new and unexpected flows |
US10389606B2 (en) * | 2016-03-25 | 2019-08-20 | Cisco Technology, Inc. | Merging of scored records into consistent aggregated anomaly messages |
US10893059B1 (en) | 2016-03-31 | 2021-01-12 | Fireeye, Inc. | Verification and enhancement using detection systems located at the network periphery and endpoint devices |
US10826933B1 (en) * | 2016-03-31 | 2020-11-03 | Fireeye, Inc. | Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints |
CN105871865A (zh) * | 2016-04-26 | 2016-08-17 | 浪潮集团有限公司 | 基于OpenFlow的IaaS云安全状态转移分析系统 |
JP6503141B2 (ja) * | 2016-06-17 | 2019-04-17 | 日本電信電話株式会社 | アクセス分類装置、アクセス分類方法及びアクセス分類プログラム |
CA3001040C (en) | 2016-07-14 | 2018-07-17 | IronNet Cybersecurity, Inc. | Simulation and virtual reality based cyber behavioral systems |
WO2018044462A1 (en) * | 2016-08-31 | 2018-03-08 | 3M Innovative Properties Company | Systems and methods for modeling, analyzing, detecting, and monitoring fluid networks |
EP3291120B1 (en) | 2016-09-06 | 2021-04-21 | Accenture Global Solutions Limited | Graph database analysis for network anomaly detection systems |
US10476896B2 (en) | 2016-09-13 | 2019-11-12 | Accenture Global Solutions Limited | Malicious threat detection through time series graph analysis |
US10129274B2 (en) * | 2016-09-22 | 2018-11-13 | Adobe Systems Incorporated | Identifying significant anomalous segments of a metrics dataset |
TWI648650B (zh) * | 2017-07-20 | 2019-01-21 | 中華電信股份有限公司 | 閘道裝置、其惡意網域與受駭主機的偵測方法及非暫態電腦可讀取媒體 |
CN107483438A (zh) * | 2017-08-15 | 2017-12-15 | 山东华诺网络科技有限公司 | 一种基于大数据的网络安全态势感知预警系统和方法 |
US11184369B2 (en) * | 2017-11-13 | 2021-11-23 | Vectra Networks, Inc. | Malicious relay and jump-system detection using behavioral indicators of actors |
US10567156B2 (en) | 2017-11-30 | 2020-02-18 | Bank Of America Corporation | Blockchain-based unexpected data detection |
AT520746B1 (de) * | 2018-02-20 | 2019-07-15 | Ait Austrian Inst Tech Gmbh | Verfahren zur Erkennung von anormalen Betriebszuständen |
US11296960B2 (en) | 2018-03-08 | 2022-04-05 | Nicira, Inc. | Monitoring distributed applications |
DE102018206737A1 (de) * | 2018-05-02 | 2019-11-07 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Kalibrierung eines Systems zur Erkennung von Eindringversuchen in einem Rechnernetzwerk |
CN108990089B (zh) * | 2018-06-21 | 2022-02-22 | 中国铁道科学研究院集团有限公司通信信号研究所 | 移动通信网络多探测窗口联合检测分析方法 |
RU2697958C1 (ru) * | 2018-06-29 | 2019-08-21 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения вредоносной активности на компьютерной системе |
WO2020033404A1 (en) * | 2018-08-07 | 2020-02-13 | Triad National Security, Llc | Modeling anomalousness of new subgraphs observed locally in a dynamic graph based on subgraph attributes |
US11122065B2 (en) | 2018-08-14 | 2021-09-14 | Vmware, Inc. | Adaptive anomaly detection for computer systems |
US10684909B1 (en) * | 2018-08-21 | 2020-06-16 | United States Of America As Represented By Secretary Of The Navy | Anomaly detection for preserving the availability of virtualized cloud services |
US11005868B2 (en) * | 2018-09-21 | 2021-05-11 | Mcafee, Llc | Methods, systems, and media for detecting anomalous network activity |
US11171975B2 (en) * | 2018-09-25 | 2021-11-09 | Cisco Technology, Inc. | Dynamic inspection of networking dependencies to enhance anomaly detection models in a network assurance service |
US11228603B1 (en) * | 2018-09-27 | 2022-01-18 | Juniper Networks, Inc. | Learning driven dynamic threat treatment for a software defined networking environment |
US10956566B2 (en) | 2018-10-12 | 2021-03-23 | International Business Machines Corporation | Multi-point causality tracking in cyber incident reasoning |
US11184374B2 (en) | 2018-10-12 | 2021-11-23 | International Business Machines Corporation | Endpoint inter-process activity extraction and pattern matching |
US11941054B2 (en) * | 2018-10-12 | 2024-03-26 | International Business Machines Corporation | Iterative constraint solving in abstract graph matching for cyber incident reasoning |
US11194910B2 (en) * | 2018-11-02 | 2021-12-07 | Microsoft Technology Licensing, Llc | Intelligent system for detecting multistage attacks |
CN109302418B (zh) * | 2018-11-15 | 2021-11-12 | 东信和平科技股份有限公司 | 一种基于深度学习的恶意域名检测方法及装置 |
EP3663951B1 (en) | 2018-12-03 | 2021-09-15 | British Telecommunications public limited company | Multi factor network anomaly detection |
US11989307B2 (en) | 2018-12-03 | 2024-05-21 | British Telecommunications Public Company Limited | Detecting vulnerable software systems |
WO2020114921A1 (en) | 2018-12-03 | 2020-06-11 | British Telecommunications Public Limited Company | Detecting vulnerability change in software systems |
US11973778B2 (en) | 2018-12-03 | 2024-04-30 | British Telecommunications Public Limited Company | Detecting anomalies in computer networks |
US11989289B2 (en) | 2018-12-03 | 2024-05-21 | British Telecommunications Public Limited Company | Remediating software vulnerabilities |
CN109753797B (zh) * | 2018-12-10 | 2020-11-03 | 中国科学院计算技术研究所 | 针对流式图的密集子图检测方法及系统 |
EP3681124B8 (en) * | 2019-01-09 | 2022-02-16 | British Telecommunications public limited company | Anomalous network node behaviour identification using deterministic path walking |
US11095540B2 (en) * | 2019-01-23 | 2021-08-17 | Servicenow, Inc. | Hybrid anomaly detection for response-time-based events in a managed network |
EP3948604B1 (en) * | 2019-03-27 | 2023-03-22 | British Telecommunications public limited company | Computer security |
EP3948603B1 (en) * | 2019-03-27 | 2023-03-22 | British Telecommunications public limited company | Pre-emptive computer security |
EP3948605B1 (en) | 2019-03-27 | 2023-02-15 | British Telecommunications public limited company | Adaptive computer security |
CN110149421B (zh) * | 2019-05-30 | 2021-11-26 | 世纪龙信息网络有限责任公司 | 域名系统的异常监测方法、系统、装置和计算机设备 |
US11719563B2 (en) | 2019-07-03 | 2023-08-08 | Red Hat, Inc. | Distributed anomaly detection using combinable measurement value summaries |
CN110247932A (zh) * | 2019-07-04 | 2019-09-17 | 北京润通丰华科技有限公司 | 一种实现dns服务防御的检测系统和方法 |
US10911335B1 (en) * | 2019-07-23 | 2021-02-02 | Vmware, Inc. | Anomaly detection on groups of flows |
US11398987B2 (en) | 2019-07-23 | 2022-07-26 | Vmware, Inc. | Host-based flow aggregation |
US11140090B2 (en) | 2019-07-23 | 2021-10-05 | Vmware, Inc. | Analyzing flow group attributes using configuration tags |
US11340931B2 (en) | 2019-07-23 | 2022-05-24 | Vmware, Inc. | Recommendation generation based on selection of selectable elements of visual representation |
US11188570B2 (en) | 2019-07-23 | 2021-11-30 | Vmware, Inc. | Using keys to aggregate flow attributes at host |
US11743135B2 (en) | 2019-07-23 | 2023-08-29 | Vmware, Inc. | Presenting data regarding grouped flows |
US11288256B2 (en) | 2019-07-23 | 2022-03-29 | Vmware, Inc. | Dynamically providing keys to host for flow aggregation |
US11349876B2 (en) | 2019-07-23 | 2022-05-31 | Vmware, Inc. | Security policy recommendation generation |
US11436075B2 (en) | 2019-07-23 | 2022-09-06 | Vmware, Inc. | Offloading anomaly detection from server to host |
US11176157B2 (en) | 2019-07-23 | 2021-11-16 | Vmware, Inc. | Using keys to aggregate flows at appliance |
CN110460658B (zh) * | 2019-08-05 | 2022-05-10 | 上海红阵信息科技有限公司 | 一种基于拟态构造的分布式存储构建方法 |
TWI717831B (zh) * | 2019-09-11 | 2021-02-01 | 財團法人資訊工業策進會 | 攻擊路徑偵測方法、攻擊路徑偵測系統及非暫態電腦可讀取媒體 |
US11418526B2 (en) | 2019-12-20 | 2022-08-16 | Microsoft Technology Licensing, Llc | Detecting anomalous network activity |
US11425150B1 (en) | 2020-01-10 | 2022-08-23 | Bank Of America Corporation | Lateral movement visualization for intrusion detection and remediation |
US11321213B2 (en) | 2020-01-16 | 2022-05-03 | Vmware, Inc. | Correlation key used to correlate flow and con text data |
US11503054B2 (en) | 2020-03-05 | 2022-11-15 | Aetna Inc. | Systems and methods for identifying access anomalies using network graphs |
CN111526119B (zh) * | 2020-03-19 | 2022-06-14 | 北京三快在线科技有限公司 | 异常流量检测方法、装置、电子设备和计算机可读介质 |
US11677775B2 (en) * | 2020-04-10 | 2023-06-13 | AttackIQ, Inc. | System and method for emulating a multi-stage attack on a node within a target network |
US20210336947A1 (en) * | 2020-04-27 | 2021-10-28 | Microsoft Technology Licensing, Llc | Rogue certificate detection |
CN113628124B (zh) * | 2020-05-08 | 2024-01-16 | 深圳清华大学研究院 | Isp与视觉任务联合优化方法、系统、介质和电子设备 |
US11831664B2 (en) | 2020-06-03 | 2023-11-28 | Netskope, Inc. | Systems and methods for anomaly detection |
US11556636B2 (en) | 2020-06-30 | 2023-01-17 | Microsoft Technology Licensing, Llc | Malicious enterprise behavior detection tool |
EP3945708A1 (de) * | 2020-07-29 | 2022-02-02 | Siemens Aktiengesellschaft | Dynamisches vorhalten von kontextabhängigen rechnergestützten funktionalitäten in mobilen, verteilten edge clouds |
CN112187833B (zh) * | 2020-11-09 | 2021-12-17 | 浙江大学 | 一种拟态waf中的ai+正则双匹配检测方法 |
US20220167171A1 (en) * | 2020-11-20 | 2022-05-26 | At&T Intellectual Property I, L.P. | Security anomaly detection for internet of things devices |
CN112769595B (zh) * | 2020-12-22 | 2023-05-09 | 阿波罗智联(北京)科技有限公司 | 异常检测方法、装置、电子设备及可读存储介质 |
US20220229903A1 (en) * | 2021-01-21 | 2022-07-21 | Intuit Inc. | Feature extraction and time series anomaly detection over dynamic graphs |
US11785032B2 (en) | 2021-01-22 | 2023-10-10 | Vmware, Inc. | Security threat detection based on network flow analysis |
US11991187B2 (en) | 2021-01-22 | 2024-05-21 | VMware LLC | Security threat detection based on network flow analysis |
US11765195B2 (en) | 2021-02-16 | 2023-09-19 | Icf International | Distributed network-level probabilistic attack graph generation |
JP2022168612A (ja) * | 2021-04-26 | 2022-11-08 | シャープ株式会社 | 機器管理システム、機器管理方法、及び機器管理プログラム |
US11831667B2 (en) | 2021-07-09 | 2023-11-28 | Vmware, Inc. | Identification of time-ordered sets of connections to identify threats to a datacenter |
US11949701B2 (en) | 2021-08-04 | 2024-04-02 | Microsoft Technology Licensing, Llc | Network access anomaly detection via graph embedding |
US11792151B2 (en) | 2021-10-21 | 2023-10-17 | Vmware, Inc. | Detection of threats based on responses to name resolution requests |
CN114884688B (zh) * | 2022-03-28 | 2023-07-04 | 天津大学 | 一种跨多属性网络的联邦异常检测方法 |
US20240012802A1 (en) * | 2022-07-08 | 2024-01-11 | Salesforce, Inc. | Mechanisms for serializing triples of a database store |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050044406A1 (en) * | 2002-03-29 | 2005-02-24 | Michael Stute | Adaptive behavioral intrusion detection systems and methods |
US20070209074A1 (en) * | 2006-03-04 | 2007-09-06 | Coffman Thayne R | Intelligent intrusion detection system utilizing enhanced graph-matching of network activity with context data |
US20070226796A1 (en) * | 2006-03-21 | 2007-09-27 | Logan Gilbert | Tactical and strategic attack detection and prediction |
CN101655787A (zh) * | 2009-02-24 | 2010-02-24 | 天津大学 | 加入攻击路径形式化分析的威胁建模方法 |
CN101778112A (zh) * | 2010-01-29 | 2010-07-14 | 中国科学院软件研究所 | 一种网络攻击检测方法 |
Family Cites Families (51)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6671811B1 (en) * | 1999-10-25 | 2003-12-30 | Visa Internation Service Association | Features generation for use in computer network intrusion detection |
US7113988B2 (en) | 2000-06-29 | 2006-09-26 | International Business Machines Corporation | Proactive on-line diagnostics in a manageable network |
AU3054102A (en) | 2000-11-30 | 2002-06-11 | Lancope Inc | Flow-based detection of network intrusions |
US7168093B2 (en) | 2001-01-25 | 2007-01-23 | Solutionary, Inc. | Method and apparatus for verifying the integrity and security of computer networks and implementation of counter measures |
US7228566B2 (en) | 2001-07-10 | 2007-06-05 | Core Sdi, Incorporated | Automated computer system security compromise |
US6647975B2 (en) * | 2001-12-05 | 2003-11-18 | Terry Whitfield | Convertible ball projecting apparatus having a replaceable fork assembly |
US7603711B2 (en) | 2002-10-31 | 2009-10-13 | Secnap Networks Security, LLC | Intrusion detection system |
US20040122803A1 (en) | 2002-12-19 | 2004-06-24 | Dom Byron E. | Detect and qualify relationships between people and find the best path through the resulting social network |
US7483972B2 (en) | 2003-01-08 | 2009-01-27 | Cisco Technology, Inc. | Network security monitoring system |
US8386377B1 (en) | 2003-05-12 | 2013-02-26 | Id Analytics, Inc. | System and method for credit scoring using an identity network connectivity |
JP3922375B2 (ja) | 2004-01-30 | 2007-05-30 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 異常検出システム及びその方法 |
US20050203881A1 (en) | 2004-03-09 | 2005-09-15 | Akio Sakamoto | Database user behavior monitor system and method |
EP1589716A1 (en) | 2004-04-20 | 2005-10-26 | Ecole Polytechnique Fédérale de Lausanne (EPFL) | Method of detecting anomalous behaviour in a computer network |
WO2006016362A2 (en) | 2004-08-09 | 2006-02-16 | Verix Ltd. | Method and system for analyzing multidimensional data |
US7941856B2 (en) | 2004-12-06 | 2011-05-10 | Wisconsin Alumni Research Foundation | Systems and methods for testing and evaluating an intrusion detection system |
JP4890468B2 (ja) | 2004-12-31 | 2012-03-07 | インテル コーポレイション | ベイズ・ネットワーク構造学習のデータ分割及びクリティカル・セクション |
US7904962B1 (en) * | 2005-03-10 | 2011-03-08 | George Mason Intellectual Properties, Inc. | Network attack modeling, analysis, and response |
US8077718B2 (en) | 2005-08-12 | 2011-12-13 | Microsoft Corporation | Distributed network management |
WO2008051258A2 (en) | 2005-12-21 | 2008-05-02 | University Of South Carolina | Methods and systems for determining entropy metrics for networks |
WO2007143226A2 (en) | 2006-06-09 | 2007-12-13 | Massachusetts Institute Of Technology | Generating a multiple-prerequisite attack graph |
US9438501B2 (en) | 2006-08-21 | 2016-09-06 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Multi-scale network traffic generator |
JP2008113409A (ja) | 2006-10-04 | 2008-05-15 | Alaxala Networks Corp | トラフィック制御システム及び管理サーバ |
WO2008067442A2 (en) * | 2006-11-29 | 2008-06-05 | Wisconsin Alumni Research Foundation | Method and apparatus for network anomaly detection |
JPWO2008084729A1 (ja) | 2006-12-28 | 2010-04-30 | 日本電気株式会社 | アプリケーション連鎖性ウイルス及びdns攻撃発信元検知装置、その方法及びそのプログラム |
EP2145281B1 (en) | 2007-04-12 | 2013-11-20 | Core Sdi, Incorporated | System, method and computer readable medium for providing network penetration testing |
CA2691666C (en) | 2007-06-26 | 2014-03-18 | Core Sdi Incorporated | System and method for simulating computer network attacks |
EP2056559B1 (en) | 2007-11-02 | 2017-05-17 | Deutsche Telekom AG | Method and system for network simulation |
CN101547445B (zh) * | 2008-03-25 | 2011-06-01 | 上海摩波彼克半导体有限公司 | 移动通信网络中基于移动性进行入侵异常检测的系统和方法 |
US8844033B2 (en) * | 2008-05-27 | 2014-09-23 | The Trustees Of Columbia University In The City Of New York | Systems, methods, and media for detecting network anomalies using a trained probabilistic model |
US9246768B2 (en) | 2008-06-18 | 2016-01-26 | Camber Corporation | Systems and methods for a simulated network attack generator |
US8650630B2 (en) | 2008-09-18 | 2014-02-11 | Alcatel Lucent | System and method for exposing malicious sources using mobile IP messages |
US20110030059A1 (en) * | 2009-07-30 | 2011-02-03 | Greenwald Lloyd G | Method for testing the security posture of a system |
WO2011031777A2 (en) | 2009-09-08 | 2011-03-17 | Core Sdi, Incorporated | System and method for probabilistic attack planning |
US8397298B2 (en) | 2009-12-08 | 2013-03-12 | At&T Intellectual Property I, L.P. | Method and system for content distribution network security |
KR20110067264A (ko) | 2009-12-14 | 2011-06-22 | 성균관대학교산학협력단 | 네트워크 이상징후 탐지장치 및 방법 |
US8375255B2 (en) | 2009-12-23 | 2013-02-12 | At&T Intellectual Property I, Lp | Device and method for detecting and diagnosing correlated network anomalies |
JP5532241B2 (ja) | 2010-07-15 | 2014-06-25 | 日本電信電話株式会社 | 高パケットレートフロー検出装置及び高パケットレートフロー検出方法 |
US8762298B1 (en) | 2011-01-05 | 2014-06-24 | Narus, Inc. | Machine learning based botnet detection using real-time connectivity graph based traffic features |
US8621618B1 (en) | 2011-02-07 | 2013-12-31 | Dell Products, Lp | System and method for assessing whether a communication contains an attack |
US8434150B2 (en) | 2011-03-24 | 2013-04-30 | Microsoft Corporation | Using social graphs to combat malicious attacks |
US8627473B2 (en) | 2011-06-08 | 2014-01-07 | At&T Intellectual Property I, L.P. | Peer-to-peer (P2P) botnet tracking at backbone level |
US8955133B2 (en) | 2011-06-09 | 2015-02-10 | Microsoft Corporation | Applying antimalware logic without revealing the antimalware logic to adversaries |
US20140165207A1 (en) | 2011-07-26 | 2014-06-12 | Light Cyber Ltd. | Method for detecting anomaly action within a computer network |
US9792430B2 (en) * | 2011-11-03 | 2017-10-17 | Cyphort Inc. | Systems and methods for virtualized malware detection |
US9450973B2 (en) * | 2011-11-21 | 2016-09-20 | At&T Intellectual Property I, L.P. | Method and apparatus for machine to machine network security monitoring in a communications network |
US8588764B1 (en) | 2012-01-26 | 2013-11-19 | Sprint Communications Company L.P. | Wireless network edge guardian |
JP6148323B2 (ja) | 2012-03-22 | 2017-06-14 | ロス アラモス ナショナル セキュリティー,リミテッド ライアビリティー カンパニーLos Alamos National Security,Llc | 計算機ネットワークにおいて調整グループ攻撃を識別する異常検出 |
US8863293B2 (en) | 2012-05-23 | 2014-10-14 | International Business Machines Corporation | Predicting attacks based on probabilistic game-theory |
US9710646B1 (en) | 2013-02-26 | 2017-07-18 | Palo Alto Networks, Inc. | Malware detection using clustering with malware source information |
US9185124B2 (en) | 2013-02-27 | 2015-11-10 | Sayan Chakraborty | Cyber defense systems and methods |
US9680855B2 (en) | 2014-06-30 | 2017-06-13 | Neo Prime, LLC | Probabilistic model for cyber risk forecasting |
-
2013
- 2013-03-14 JP JP2015501782A patent/JP6148323B2/ja not_active Expired - Fee Related
- 2013-03-14 CA CA2868076A patent/CA2868076C/en not_active Expired - Fee Related
- 2013-03-14 AU AU2013272211A patent/AU2013272211B2/en not_active Ceased
- 2013-03-14 JP JP2015501780A patent/JP6139656B2/ja not_active Expired - Fee Related
- 2013-03-14 EP EP13800081.5A patent/EP2828752B1/en active Active
- 2013-03-14 CN CN201380026043.0A patent/CN104303152B/zh not_active Expired - Fee Related
- 2013-03-14 US US13/826,736 patent/US9374380B2/en active Active
- 2013-03-14 WO PCT/US2013/031402 patent/WO2013184206A2/en active Application Filing
- 2013-03-14 CA CA2868054A patent/CA2868054C/en not_active Expired - Fee Related
- 2013-03-14 EP EP13800730.7A patent/EP2828753B1/en active Active
- 2013-03-14 CN CN201380026239.XA patent/CN104303153B/zh not_active Expired - Fee Related
- 2013-03-14 AU AU2013272215A patent/AU2013272215B2/en not_active Ceased
- 2013-03-14 US US14/382,992 patent/US9560065B2/en active Active
- 2013-03-14 EP EP19165350.0A patent/EP3522492A1/en not_active Withdrawn
- 2013-03-14 WO PCT/US2013/031463 patent/WO2013184211A2/en active Application Filing
- 2013-03-14 US US13/826,995 patent/US9038180B2/en active Active
-
2015
- 2015-01-30 US US14/609,836 patent/US9699206B2/en active Active
-
2016
- 2016-05-26 US US15/165,036 patent/US10122741B2/en active Active
- 2016-09-30 AU AU2016234999A patent/AU2016234999B2/en not_active Ceased
-
2017
- 2017-01-30 US US15/419,673 patent/US9825979B2/en active Active
- 2017-02-13 AU AU2017200969A patent/AU2017200969B2/en not_active Ceased
- 2017-04-27 JP JP2017088048A patent/JP6378395B2/ja not_active Expired - Fee Related
- 2017-06-29 US US15/637,475 patent/US10015183B1/en active Active
- 2017-10-30 AU AU2017254815A patent/AU2017254815B2/en not_active Ceased
- 2017-11-10 US US15/809,297 patent/US10243984B2/en active Active
-
2018
- 2018-05-15 AU AU2018203393A patent/AU2018203393B2/en not_active Ceased
- 2018-06-07 US US16/002,870 patent/US10728270B2/en active Active
- 2018-10-24 US US16/168,956 patent/US10530799B1/en not_active Expired - Fee Related
-
2019
- 2019-02-18 US US16/278,225 patent/US20190182281A1/en not_active Abandoned
- 2019-07-29 AU AU2019210493A patent/AU2019210493B2/en not_active Ceased
- 2019-08-15 AU AU2019216687A patent/AU2019216687B2/en not_active Ceased
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050044406A1 (en) * | 2002-03-29 | 2005-02-24 | Michael Stute | Adaptive behavioral intrusion detection systems and methods |
US20070209074A1 (en) * | 2006-03-04 | 2007-09-06 | Coffman Thayne R | Intelligent intrusion detection system utilizing enhanced graph-matching of network activity with context data |
US20070226796A1 (en) * | 2006-03-21 | 2007-09-27 | Logan Gilbert | Tactical and strategic attack detection and prediction |
CN101655787A (zh) * | 2009-02-24 | 2010-02-24 | 天津大学 | 加入攻击路径形式化分析的威胁建模方法 |
CN101778112A (zh) * | 2010-01-29 | 2010-07-14 | 中国科学院软件研究所 | 一种网络攻击检测方法 |
Cited By (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10728270B2 (en) | 2012-03-22 | 2020-07-28 | Triad National Security, Llc | Using new edges for anomaly detection in computer networks |
US10015183B1 (en) | 2012-03-22 | 2018-07-03 | Los Alamos National Security, Llc | Using new edges for anomaly detection in computer networks |
US10122741B2 (en) | 2012-03-22 | 2018-11-06 | Los Alamos National Security, Llc | Non-harmful insertion of data mimicking computer network attacks |
US10243984B2 (en) | 2012-03-22 | 2019-03-26 | Triad National Security, Llc | Path scanning for the detection of anomalous subgraphs and use of DNS requests and host agents for anomaly/change detection and network situational awareness |
US9825979B2 (en) | 2012-03-22 | 2017-11-21 | Los Alamos National Security, Llc | Path scanning for the detection of anomalous subgraphs and use of DNS requests and host agents for anomaly/change detection and network situational awareness |
US10530799B1 (en) | 2012-03-22 | 2020-01-07 | Triad National Security, Llc | Non-harmful insertion of data mimicking computer network attacks |
CN111542811B (zh) * | 2017-09-26 | 2023-12-12 | 摩根大通国家银行 | 增强网络安全的监视 |
US11722505B2 (en) | 2017-09-26 | 2023-08-08 | Jpmorgan Chase Bank, N.A. | Cyber security enhanced monitoring |
CN111542811A (zh) * | 2017-09-26 | 2020-08-14 | 摩根大通国家银行 | 增强网络安全的监视 |
CN111279192B (zh) * | 2017-11-08 | 2022-04-01 | 利乐拉瓦尔集团及财务有限公司 | 确定食品批次中微生物风险水平的方法 |
CN111279192A (zh) * | 2017-11-08 | 2020-06-12 | 利乐拉瓦尔集团及财务有限公司 | 确定食品批次中微生物风险水平的方法 |
CN108234492B (zh) * | 2018-01-02 | 2020-05-22 | 国网四川省电力公司信息通信公司 | 考虑负荷数据虚假注入的电力信息物理协同攻击分析方法 |
CN108234492A (zh) * | 2018-01-02 | 2018-06-29 | 国网四川省电力公司信息通信公司 | 考虑负荷数据虚假注入的电力信息物理协同攻击分析方法 |
CN109889515A (zh) * | 2019-02-13 | 2019-06-14 | 北京航空航天大学 | 一种基于非参数统计的僵尸网络发现方法 |
CN110602101A (zh) * | 2019-09-16 | 2019-12-20 | 北京三快在线科技有限公司 | 网络异常群组的确定方法、装置、设备及存储介质 |
CN114253224A (zh) * | 2020-09-22 | 2022-03-29 | 罗克韦尔自动化技术公司 | 将容器编排系统与操作技术设备集成 |
CN113254674A (zh) * | 2021-07-12 | 2021-08-13 | 深圳市永达电子信息股份有限公司 | 一种网络安全设备知识推理方法、装置、系统及存储介质 |
CN113254674B (zh) * | 2021-07-12 | 2021-11-30 | 深圳市永达电子信息股份有限公司 | 一种网络安全设备知识推理方法、装置、系统及存储介质 |
CN117851959A (zh) * | 2024-03-07 | 2024-04-09 | 中国人民解放军国防科技大学 | 基于fhgs的动态网络子图异常检测方法、装置和设备 |
CN117851959B (zh) * | 2024-03-07 | 2024-05-28 | 中国人民解放军国防科技大学 | 基于fhgs的动态网络子图异常检测方法、装置和设备 |
Also Published As
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104303152A (zh) | 用于在计算机网络中识别协同群组攻击的异常检测 | |
Sun et al. | Data-driven cybersecurity incident prediction: A survey | |
US20220124108A1 (en) | System and method for monitoring security attack chains | |
Cai et al. | Structural temporal graph neural networks for anomaly detection in dynamic graphs | |
EP3107026B1 (en) | Event anomaly analysis and prediction | |
Ghazal et al. | DDoS Intrusion Detection with Ensemble Stream Mining for IoT Smart Sensing Devices | |
US20150047026A1 (en) | Anomaly detection to identify coordinated group attacks in computer networks | |
Sadoddin et al. | An incremental frequent structure mining framework for real-time alert correlation | |
Pitropakis et al. | An enhanced cyber attack attribution framework | |
Salem et al. | Introduction to the data mining techniques in cybersecurity | |
Zhao et al. | Cyber threat prediction using dynamic heterogeneous graph learning | |
Wang | Statistical techniques for network security: modern statistically-based intrusion detection and protection: modern statistically-based intrusion detection and protection | |
Alsuwat et al. | Adversarial data poisoning attacks against the PC learning algorithm | |
Nour et al. | A survey on threat hunting in enterprise networks | |
Mücahit et al. | Graph visualization of cyber threat intelligence data for analysis of cyber attacks | |
Nisioti et al. | Forensics for multi-stage cyber incidents: Survey and future directions | |
Zhang et al. | Edge propagation for link prediction in requirement-cyber threat intelligence knowledge graph | |
Habiba et al. | Edge intelligence for network intrusion prevention in IoT ecosystem | |
Laassar et al. | Intrusion detection systems for internet of thing based big data: a review | |
Abdullah et al. | Designing Predictive Models for Cybercrime Investigation in Iraq | |
Dshalalow et al. | On strategic defense in stochastic networks | |
Lin | MATE: Summarizing Alerts to Interpretable Outcomes with MITRE ATT&CK | |
AfzaliSeresht | Explainable intelligence for comprehensive interpretation of cybersecurity data in incident management | |
Ramaki et al. | CAPTAIN: Community-based Advanced Persistent Threat Analysis in IT Networks | |
Liu et al. | Detecting Complex Multi-step Attacks with Explainable Graph Neural Network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20181126 Address after: The American state of New Mexico Co-patentee after: IMPERIAL INNOVATIONS LTD. Patentee after: National Security Co.,Ltd. Address before: The American state of New Mexico Co-patentee before: IMPERIAL INNOVATIONS LTD. Patentee before: LOS ALAMOS NATIONAL SECURITY, LLC |
|
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170613 |