CN105264861B - 用于检测多阶段事件的方法和设备 - Google Patents
用于检测多阶段事件的方法和设备 Download PDFInfo
- Publication number
- CN105264861B CN105264861B CN201480030438.2A CN201480030438A CN105264861B CN 105264861 B CN105264861 B CN 105264861B CN 201480030438 A CN201480030438 A CN 201480030438A CN 105264861 B CN105264861 B CN 105264861B
- Authority
- CN
- China
- Prior art keywords
- event
- multistage
- detection
- stage
- subprocess
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种用于监控系统的多阶段事件检测器,该多阶段事件检测器包括过程产生器,所述过程产生器能够操作以产生主过程和子过程,每个主过程和子过程能够操作以产生并且启动检测代理,每个所述检测代理都能够操作以通过检测到触发事件的发生而被触发并且在被如此触发时报告回其产生过程或子过程。每个过程或子过程都能够操作以通过将多阶段事件的检测报告给总控制器,对从被触发的检测代理接收到报告进行响应。
Description
技术领域
本发明涉及用于从观察到的数据来确定系统行为(特别是用于检测多阶段事件)的方法和设备。最具体地,本发明涉及基于对网络或子网络的装置的行为或流过网络或子网络的业务的观察、或者对第三方装置(诸如,第三方社交媒体网站等)的行为的观察来检测行为(诸如,对连接到互联网的计算机装置的计算机网络或子网络的恶意网络攻击)的方法和设备。
背景技术
随着所谓的“网络攻击”(在这里用作覆盖诸如包括分布式拒绝服务(DDOS)的拒绝服务(DOS)、用恶意软件感染目标计算机装置的攻击和尝试—例如,作为DOS攻击的一部分或仅为了窃取信息(例如,顾客的信用卡详细资料)等的活动)日益复杂,它们正变得更难以使用单个检测器进行检测,并且同时它们趋向于越来越像多阶段攻击,其中,多阶段攻击经过能够由熟练的人类安全专家识别(识别为不同阶段)的数个不同阶段。
因此,尽管已知用于在与多阶段网络攻击的各种不同典型阶段相关的各种不同检测器处检测恶意业务和/或活动的已知签名的监控器,但是通常很难单独使用单个监控器(或者甚至独立动作的多个不同监控器)检测复杂的多阶段攻击。作为代替,仅通过将各种不同活动(通常由不同检测器检测到)联系在一起并且将它们作为单个多阶段攻击的多个方面一起进行检验,才能够成功地检测这样的复杂多阶段攻击。
例如,DDOS攻击通常开始于在新闻或社交媒体网站上观察到的特定目标组织的一些坏公共关系(PR),或者开始于目标组织的一些新弱点被公开。然后,潜在攻击者可以开始谈论该目标,并且与其他攻击者交换攻击的想法并且吸收或者组合力量。在此后的一些时间,可以观察到携带特定DOS载荷的蠕虫的检测。然后,在与目标组织相关的目标网络上可以观察到扫描活动,和/或特定HTTP请求量可能增加,并且可以检测到装载有DOS恶意软件的目标/被感染机器。最后,在特定协调时间从在目标组织网络内和外的多个机器发起攻击,以击败与目标组织相关的关键业务。
如所述,这样的多阶段攻击可能通常使单独点检查失败,并且可能仅通过将攻击的各种不同阶段联系在一起并且一起检验才被检测。例如,登录失败是十分常见的,并且不太可能导致主要安全事故。然而,登录失败,之后成功登录,并且(由恶意的未授权用户)获得管理员权限,然后安装(恶意)软件并且然后观察流过网络的异常业务很可能一般指示成功攻击。
已经提出了用于通过查找攻击的这些不同多个阶段自动地或半自动地识别攻击的各种方法,并且以下阐述对这样的建议的选择。
由Do-Hyeon Lee、Doo-young Kim、Jae-il Jung(2008年信息科学和安全国际会议)所作的“Multi-stage Intrusion Detection System Using Hidden Markov Model(HMM)Algorithm”提出了一种使用HMM算法的多阶段入侵检测系统(IDS)架构,并且介绍了一种通过估计在入侵的每个阶段出现的特征来确定入侵/攻击的方法。使用“特征入侵信号”(即,规则集)来检测在每个阶段使用的入侵技术(例如,用于进行网络探测)。每个攻击阶段都具有执行独立检测功能的检测代理。该检测代理分析从网络线路收集的数据来识别已知是入侵的信号(使用规则集)。然后,合成由检测代理检测到的信号序列,并且使用HMM算法来确定合成后的检测序列是否对应于入侵序列。该论文中描述的方法和系统的目的在于产生更好的IDS,该IDS可以及时地关联不同点处的“本地”警报(即,入侵信号),以识别最终入侵/攻击目标。每个检测代理(用于每个阶段)看上去是彼此独立的检测代理,因此它不具有来自前一阶段的关于特定攻击目标的任何信息。而是,仅当代理的检测信号被合成时,才执行关联(例如,如果使用相同目的地IP地址)。该系统不考虑例如外部因素(诸如,社交媒体中的论述、或被宣布的新弱点)。
由Ourston等人所作的“Application of Hidden Markov Models to DetectingMulti-stage Network Attacks”(第36届夏威夷系统科学国际会议的会议记录-2003)描述了一种用于使用隐马尔可夫模型(HMM)检测多阶段攻击的方法,并且将HMM方法的可用性与其它机器学习技术进行比较。该论文更确切地说掩盖了确定可视状态值的精确方式,可能这是因为用于实现其的任何方法对于正被比较的不同机器学习技术而言都是相同的,使得无论选择什么方法,比较都应该仍然是有效的。然而,他们建议使用多个检测器并且预先处理检测器的输出,并且他们建议使用人类专家执行警报类型(例如,端口探测)与入侵种类(例如,初始侦查)之间的一些映射。虽然该映射看起来是在可观察值和隐藏状态之间,所以不阐明呈现给HMM模型的可观察值的特性。无论如何,该论文的主要结论都是HMM非常适于检测多阶段网络攻击的任务。
由Ali Ebrahimi等人所作的“Automatic attack scenario discovering basedon a new alert correlation method”(2011年IEEE国际系统会议(SYSCON),IEEE,2011年4月4日,第52-58页)教导了一种识别多阶段攻击的方法。该方法包括收集多个入侵检测系统(IDS)警报并且基于源端口将它们分组到单个组,并且在该整个组内,基于目标IP地址将警报细分组到不同子组,并且然后尝试将每个子组内的警报分配给与多阶段攻击的不同阶段对应的进一步子组。
由Robert Cole和Peng Liu所作的“Addressing Low Base Rates in IntrusionDetection via Uncertainty–Bounding Multi-Step Analysis”(计算机安全应用会议2008(ACSAC 2008)年会,IEEE,美国新泽西州皮斯卡塔韦,2008年12月8日,第269-278页)描述了一种系统,在该系统中,用户给予控制以指定攻击正在发生的置信度(置信度)与多快检测到攻击(灵敏度)之间的折衷。作者认识到,一般而言,在多阶段攻击检测系统内的这两个特征之间将一直存在折衷,并且通过对平衡应该在于用户给予控制,使他们根据其自身需要修剪系统(例如,如果用户具有用于分析可能攻击的大量人力资源并且具有尽可能快地捕捉攻击的强烈期望,则他们倾向于选择更灵敏的系统,然而只能提供用于调查可能攻击的相对少量资源的用户倾向于优选接收更少的误报,因此倾向于选择更慢但更稳定的系统(具有几个误报)。在用于实际检测多阶段事件的系统方面,该论文仅描述了非常简单的系统,在该系统中,假设由传感器进行的每个检测都可以清楚地与具有正确或错误的简单概率的特定多阶段攻击的特定阶段相关联。这足以用于证实它们的折衷问题,但是如作者所承认的,对于创建实际多阶段攻击检测系统是没有用的,因此实际多阶段攻击检测系统需要大量借用用于将传感器输出与多阶段攻击相关联的已知现有技术系统。
“An analysis Approach for Multi-stage Network Attacks”描述了一种使用多阶段有限状态机模型分析易受攻击的系统的方法。使用这样的模型,网络管理员可以识别提高系统安全性的最佳方式,以防止发生成功攻击。没有检测当前正在发生的多阶段攻击的教导,所以其不描述多阶段事件检测器。
尝试检测在交叠时间段期间可能发生多于一个多阶段事件的相对复杂系统中发生的多阶段事件的所有系统面临的困难是,如何有效地跟踪正在发生并且不通过交叠多阶段事件的检测而变模糊的各个多阶段事件,以及另外如何有效地处理多阶段事件在其初期与具有类似或相同开始行为的其它事件不能区分开(或难以区分开)(尤其是如果不同攻击从同一攻击者/或攻击源发生)的可能性。
发明内容
根据本发明的第一方面,提供了一种用于监控系统以检测受控系统中的多阶段事件的发生的多阶段事件检测器,该多阶段事件检测器包括:一个或更多个事件检测检测器单元,其用于检测在受控系统上发生的可观察事件;一个或更多个参数产生检测器单元,其用于根据受控系统的行为产生随着时间而变化的参数值,其中,每个参数产生检测器单元都可以与事件检测检测器单元相符;隐藏状态确定器,其用于基于一个或更多个事件检测检测器单元的输出,确定系统的关注状态的可能序列;以及转变确定器,其用于基于由一个或更多个参数产生检测器单元中的一个或多个产生的一个参数或一组参数的一组值与多个预先指定的函数或者与不同转变发生相关的相应参数或者一组参数的多组值的比较,确定可能转变发生。
优选地,隐藏状态确定器包括:指定所述系统可以占用(即,可处于)的多个不同隐藏状态(或关注状态)、通过事件检测检测器单元可以确定(直接地或间接地)的多个可视状态、以及至少包括多个转变概率和多个产生概率的一组概率的系统的模型,其中,所述转变概率表示系统从一个隐藏状态转变到另一个隐藏状态的概率,所述产生概率表示特定可视状态通过事件检测检测器单元确定(或检测)的概率。优选地,所述模型事实上是隐马尔可夫模型(HMM),并且最优选地是一阶HMM。优选地,使用诸如最大似然过程(诸如,在上述Ourston论文中涉及的)的自动化训练过程产生用于包含在模型内的各种概率值的值,同时由人类专家使用到多阶段事件检测器的接口来指定隐藏状态和可视状态的规范。
由转变确定器作出的确定可以以多种不同方式使用,以改进隐藏状态确定器的操作(如果隐藏状态确定器独立于转变确定器起作用,则相对于隐藏状态确定器的预期性能)。
例如,在隐藏状态确定器已作出隐藏状态的特定估计序列的确定(或者可能仅是通过系统的当前可能(隐藏)状态的隐藏状态确定器进行的估计的验证或反驳)之后,该确定可以被用作验证/反驳步骤–即,如果使用例如HMM的隐藏状态确定器确定系统最可能从第一阶段转变至第二阶段,如果转变确定器另外识别已经发生到第二阶段的可能转变(例如,如果转变确定器识别出从参数产生检测器单元的输出显露的模式,该模式给出与第一阶段至第二阶段转变匹配的合理高概率)–转变确定器和隐藏状态确定器的估计的该匹配将使得由(隐藏状态确定器的)HMM作出的决定已被验证,否则尽管HMM作出了评估,但是我们推断出实际上还没有发生这样的转变。
在第二示例中,由转变确定器作出的确定可以用作帮助多阶段事件检测器仅基于隐藏状态的部分序列(尤其是在不同事件共享初始状态序列并且仅通过序列的后续部分根据隐藏状态序列被区分开(例如,如果第一多阶段事件遵循序列第1阶段、第2阶段、第3阶段并且第二多阶段事件遵循序列第1阶段、第2阶段、第4阶段,则在多阶段事件检测器还没有证实该系统已移动到多阶段事件的第3阶段或第4阶段的同时,难以决定其证明是第一多阶段事件还是第二多阶段事件))来预测可能未来隐藏状态或者区分不同多阶段事件的手段。例如,系统可以包括与根据第一多阶段事件从第1阶段到第2阶段的第一转变相关联的第一预先指定函数、以及与也从第1阶段到第2阶段但是以第一预先指定函数不同的方式并且与第二多阶段事件而不是第一多阶段事件相关的第二转变相关联的第二预先指定函数。在这样的情况下,如果转变确定器确定已证实转变与第二预先指定函数而不是第一预先指定函数更加紧密匹配,则多阶段事件检测器可以确定最可能证明是第二多阶段事件而不是第一多阶段事件。优选地,转变确定器至少确定指定置信度的置信值,通过置信值确定与预先指定转变函数匹配的转变发生。可以使用诸如线性回归的技术,以产生由参数产生检测器单元中的一个或多个产生的参数的一组产生值多么好地适配至与一个或更多个预先指定类型的转变相关联的多个预先指定函数中的一个或多个的得分。在转变确定器的输出是指示一组参数值与预先指定转变类型的匹配度的一组置信值的情况下,在一些实施方式中,可以将这样的置信值与形成由隐藏状态确定器使用的模型的一部分的转变概率组合,例如,通过将它们相乘(可能在将加权应用至置信值和转变概率中的一个或另一个或两者之后)并且然后进行标准化(例如,继续以上给出的示例,如果转变确定器产生表明与第二预先指定函数匹配的转变的置信值0.8和表明与第一预先指定函数匹配的转变的置信值0.1,并且如果隐藏状态确定器正在使用包括从第2阶段状态转变到第3阶段状态的转变概率0.5和从第2阶段状态转变到第4阶段状态的转变概率0.3的HMM,则多阶段事件检测器可以组合那些概率来决定最可能正在查看第二类型的多阶段事件(具有序列第1阶段、第2阶段、第4阶段)而不是第一类型的多阶段事件,这是因为由于0.24>0.05,0.8*0.3>0.1*0.5。
在第三示例中,由转变确定器作出的确定可以用于修改在由隐藏状态确定器使用的模型中使用的特定参数。例如,由转变确定器作出的由参数产生检测器单元产生的一系列参数值与多个预先指定函数之一匹配(例如,通过将超过某个阈值的置信值分配给该匹配)的确定可能导致由隐藏状态确定器使用的HMM模型修改其特定概率值,并且然后使用修改后的概率依靠事件检测检测器单元的输出运行(或重新运行)HMM模型。例如,由转变确定器作出的已观察到第二转变类型的确定(根据作为涉及序列第1阶段、第2阶段、第4阶段的多阶段事件的一部分的对应于从第1阶段到第2阶段的转变的以上示例)可能导致从第1阶段状态转变到第2阶段状态和/或从第2阶段状态转变到第4阶段状态的转变概率增加(在后者情况下,优选以从第2阶段状态到第3阶段状态转变概率为代价)和/或可修改其它概率(诸如,由第2阶段状态和/或第4阶段状态等中的任一个或两者产生一个或更多个特定可视状态的概率)。
在由转变确定器作出的确定如何用于影响多阶段事件检测器的行为的第四示例中,可以采用纯隐藏模型方法,在该方法中,将转变建模成它们自身权限的单独状态,并且转变确定器的输出被用作可视状态确定器,可视状态确定器与事件检测检测器单元的输出相结合以产生整体可视状态,整体可视状态然后由隐藏状态确定器使用以产生隐藏状态的估计序列,隐藏状态的估计序列包括多阶段事件的多个阶段和多阶段事件的阶段之间的转变。在这样的情况下,参数产生检测器单元和转变确定器的操作可以被看作在隐藏状态确定器的最终操作之前执行的预处理步骤。为了区分以此方式(对应于第四示例)使用转变确定器的实施方式与以更像以上前三个示例的方式使用转变确定器的实施方式,前面的实施方式可以被称为纯隐藏状态模型实施方式,而后面的实施方式可以被称为混合模型实施方式(因为诸如HMM的隐藏状态模型与转变确定模型结合使用,而不是仅使用转变确定器作为隐藏状态模型的预处理部分)。
优选地,多阶段事件检测器用于检测多阶段计算机网络攻击。以上讨论的本发明的实施方式特别适于检测多阶段计算机网络攻击(例如,网络攻击),这是因为它们能很好地处理在阶段之间具有长时间且不断变化的转变的非常持久攻击。此外,通过将隐藏状态与多阶段事件的多个阶段对准,它们可以使用具有相对较少隐藏状态的相对简单并因此健壮且仍准确的隐藏状态模型。因为使得人类专家用户输入将与特定多阶段事件(例如,特定类型的网络攻击)相关联的条件的该隐藏状态模型的使用,这使得人类用户更容易理解检测器的操作和输出,这是机器学习系统中的重要因素并且在特定实施方式中尤其有帮助。
在一些实施方式中,转变确定器可以用于帮助将时间段划分成多阶段事件的多个阶段以及阶段之间的转变。因此,在实施方式中,多阶段事件检测器输出构成多阶段事件的一系列阶段以及阶段之间的转变的时间段的表示,并且将这些中的每个与用于检测器的用户进行后续分析的时间段相关联。
根据本发明的第二方面,提供了一种多阶段事件检测器,该多阶段事件检测器包括过程产生器,所述过程产生器能够操作以产生主过程和子过程,每个主过程和子过程都能够操作以产生并且启动一个或更多个检测代理,每个所述检测代理都能够操作以通过检测到触发事件或一系列事件的发生而被触发并且在被如此触发时报告回其产生过程或子过程,并且其中,每个过程或子过程能够操作以通过将多阶段事件或其部分的检测向父过程或子过程或总控制器报告以对从被触发的检测代理接收到报告进行响应,或者以产生并且启动检测代理或子过程。
优选地,所述多阶段事件检测器还包括条件的存储器和安全专家用户可以将用于产生由检测代理使用的触发事件条件的值输入到所述存储器的用户接口。优选地,所述检测器允许安全专家用户通过描述多阶段事件场景的多个阶段并且设置与每个阶段以及阶段之间的每个转变相关的一些度量/阈值,手动定义多阶段事件场景。
优选地,多阶段事件检测器能够操作以使得如果在整个事件已经发生或被检测到之前确定正在发生多阶段事件,则通知用户。
优选地,所述检测器包括存储每个都与不同类型的多阶段事件相关联的多个不同模式的模式数据库。每个模式优选地包括阶段的唯一序列(虽然多于一个模式可以对应于单个类型的多阶段事件—例如,被归类为分布式拒绝服务类型的攻击的一种类型的事件可以与多于一个模式相关联)。
优选地,过程产生器产生用于存储在模式数据库中的每个模式的主过程。优选地,事件检测器能够操作以区分在交叠时间段期间发生但是依靠区别特征相互可区分的相同类型的不同多阶段事件。在一个实施方式中,这按以下方式实现。当由主过程实例化的检测代理被触发时,作为所述触发的一部分,检测代理识别事件的区别特征,然后所述触发致使所述主过程实例化子过程,所述子过程产生寻找指示所述主过程的模式的第二阶段已被触发的触发的检测代理,其中,所述触发条件包括取决于通过由所述主过程实例化的所述检测代理识别的区别特征的方面。
在一些实施方式中,第二方面的检测代理中的每个检测代理构成第一方面的事件检测检测器单元。此外,在一些实施方式(其中的一些可以与在先前语句中提到的实施方式中的一些相符)中,根据来自隐藏状态确定器(诸如,形成本发明的第一方面的一部分的隐藏状态确定器)的输出,指定通过由子过程产生的每个检测代理寻找的触发条件。例如,可以实例化寻找与包括第1阶段、第2阶段、第4阶段的阶段序列对应的模式的主过程。可以利用指示多阶段事件已经开始于第1阶段发生的一般触发条件集合,通过主过程产生初始第1阶段检测代理。在通过观察触发条件触发该检测代理时,可以将触发消息报告回主过程,该触发消息至少指示区别特征(例如,目标身份)和可视状态标识符,主过程可以使可视状态标识符与形成由主过程使用的隐藏状态模型的一部分的可视状态相关联。然后,主过程产生子过程,该子过程至少产生第2阶段检测代理。第2阶段检测代理的触发条件可以包括将涉及对相同区别特征的需要。它还可以取决于由隐藏状态确定器作出的关于可视状态的估计,这将致使隐藏状态确定器确定系统已转变到第2阶段状态。然后,这将导致触发,该触发不可避免地导致检测器作为一个整体确定正被跟踪的事件如期望那样已经进入第2阶段状态。
在一些实施方式中,即使多于一个检测代理与单个触发条件相关联,多于一个检测代理也可以被实例化。例如,如果触发条件取决于观察到关于一个物理系统的一个条件和关于不同系统的另一个条件,则一个代理可以被实例化以监控该一个系统,并且另一个代理可以被例示以监控另一个系统。
本发明的进一步方面涉及与本发明的第一方面和第二方面对应的方法并且涉及用于使计算机根据本发明的第一方面或第二方面中的一个作为多阶段事件检测器操作或者用于使计算机或其它处理器控制装置或装置集执行根据本发明的一方面的方法的处理器指令。进一步方面涉及载体,优选地涉及承载这样的处理器指令的非暂时性载体(诸如,磁或光存储盘或固态存储器装置)。
附图说明
为了能够更好地理解本发明,现在将参照附图,仅通过示例描述本发明的实施方式,其中:
图1是根据本发明的实施方式的结合多阶段事件检测器的计算机网络的示意图,
图2是更详细示出的图1的多阶段事件检测器的监控引擎的示意图,
图3是根据第二实施方式的图1的多阶段事件检测器的监控引擎的示意图,
图4是由图3的监控代理产生的主过程的示意图,
图5是图4的主过程和作为从与第1阶段触发条件相关联的检测代理接收到触发响应的结果的由主过程产生的子过程的示意图,
图6是图4的主过程和作为从与第2阶段触发条件相关联的检测代理接收到触发响应的结果的由主过程产生的第二子过程的示意图,以及
图7是根据第三实施方式的图1的多阶段事件检测器的监控引擎的示意图。
具体实施方式
图1示出根据多个实施方式的包括多事件检测器的计算机网络系统,其中,这些实施方式仅在监控器引擎100的结构和功能方面不同。首先,以下参照图2(第一实施方式)、图3、图4、图5和图6(第二实施方式)和图7(第三实施方式)更详细地论述第二实施方式和第三实施方式。
如图1中所示,该系统包括:用户1;一系列数据馈送(data feed)2、4、6,其连接到正被监控的网络或者另选信息源;以及多阶段事件监控器10(以下更详细地论述)。
数据馈送2、4、6的性质不特别与本发明相关,所以在本文中将不详细地论述它们。但是,例如,数据馈送2可以对应于用于从互联网(尤其是,诸如Twitter和Facebook等的社交网站、以及新站点和博客等)提取信息的引擎。数据馈送4可以对应于监控与正被监控器10监控的一个或更多个组织相关联的一个或更多个计算机网络的基于网络的入侵检测装置,并且数据馈送6可以对应于从基于主机的入侵检测系统收集数据的引擎,基于主机的入侵检测系统中的每个都与属于被监控组织等的单个装置相关联。
监控器10包括图形用户接口组件20,图形用户接口组件20用于允许用户将信息输入到监控器中并且用于从监控器提取关于所检测事件的信息等。监控器10还包括关键性能指标(KPI)、数据挖掘和统计库单元30,该单元30用于帮助用户指定可用于帮助产生触发条件的特定可观察事件或者由以下更详细论述的监控器引擎100最终使用的可视或可观察事件。监控器10另外包括攻击模式单元40。它存储各种预先指定的多阶段事件(诸如,特定网络攻击)的模式,尤其是在这样的攻击遵循的典型序列(例如,第1阶段、第2阶段、第4阶段)方面。监控器另外包括警报引擎,警报引擎可以使警报以多种不同方式(例如,电子邮件、文本消息、GUI 20上的闪光指示器等)被发送到关注用户。监控器10另外包括数据源管理器60和多个数据源连接器和提取器72、74、76。数据源管理器管理与数据馈送2、4、6交互的数据源连接器和提取器72、74、76。最后,监控器另外包括以下更详细论述的监控器引擎100。
KPI、数据挖掘和统计库单元30存储KPI,KPI是来自数据源的度量或者可观察事件,并且它们用于帮助尝试确认是否正在发生多阶段事件,以及如果发生多阶段事件,事件达到哪个阶段。在本实施方式中,用户1创建各种条件(例如,触发条件、转变函数等),这些条件取决于可能在通过监控器10的一个或更多个元件(可能包括单元30本身)的一些预处理之后数据源连接器和提取器能够从数据馈送提取的特定KPI。为了支持由用户1进行的条件和转变函数创建,单元30提供现有KPI(诸如分组/秒、千位/秒、采样数(hit)/小时、采样数/数据、事件/分钟等)的列表、以及如何修改这些KPI(例如,到或来自特定网络地址或地址范围的分组/秒等)。用户还可以基于这些KPI来指定条件,例如,上阈值和下阈值、指定持续时间期间的参数变化梯度、梯度是增大还是减小等。用户还可以针对特定条件指定用于KPI的信息应该源自何处(例如,从其馈送数据),并且可以基于多个参数、参数的函数、子条件等的逻辑组合来形成复合条件。所有这些都被存储在单元30中。此外,当创建这些度量时,存在可用于探究数据源以通过也包含在KPI、数据挖掘和统计库单元30中的数据挖掘和统计工具来分析历史数据(例如,如果关于先前识别的多阶段事件的这种数据可用,则在先前识别的多阶段事件等期间产生的历史数据)。
攻击模式单元允许用户指定他/她想要监控器10能够跟踪和检测的特定多阶段事件等。每个模式包括各种阶段,多阶段事件期望前进通过这些阶段。一旦模式被创建,它们就被存储在攻击模式数据库中。存在版本管理。这些模式将在HMM中被编码,以用于监控引擎按数据馈送执行。除了针对每个模式创建的阶段之外,攻击模式单元40还包括其关键性质可以由用户1指定(除了指定多阶段事件经过的阶段的顺序之外)的模型(可以使用应用至历史数据的线性回归模型或技术)。例如,用户可以指定可能期望特定参数基于特定度量(例如,以上论述的KPI)以特定指定阶段之间的特定近似率增加。可以使用由用户可用或直接创建的很多熟知技术和工具(例如,基于线性回归技术)中的任一个从历史数据中学习这些。
通过组合主要集中在多阶段事件中经过的阶段的序列的隐藏状态模型(例如,HMM)并且对这些阶段之间的变化建模,使得本发明的实施方式能够利用多阶段事件的时间方面。这解决了与到多阶段事件检测(特别是多阶段网络攻击的检测)的现有HMM应用相关的三个关键问题。如上所述,存在HMM到多阶段事件检测技术的一些已知应用—其中大部分都监控阶段和用于每个阶段的信号。还使用HMM工作以对阶段转变建模。然而,所有这些在监控可疑活动的连续进展时都具有困难。本发明的实施方式提供了允许人类专家创建阶段模式并且为每个阶段指定什么源可以用于测量当事件达到特定阶段时期望发生的事件的工具。一旦这些阶段被创建,用户就可以另外指定期望特定参数如何在阶段之间变化的函数(例如,用户可以指定与其值通常在阶段之间变化的变量相关联的特定曲线的形状)。这些函数可以对阶段之间的细微变化建模。然后,这些函数可以用于处理活动的大量模糊度量。这些函数的详情(例如,表示在阶段之间的转变期间的参数变化的曲线的变化方向)可以以使人类专家更容易指定并且因此可以更好地利用人类用户的专业知识的方式,对更复杂的实际情形更好地建模。为了帮助人类专家,可以通过自动或半自动机器学习技术(诸如,基于用户1可以指定的(或从历史情形获取的)阶段之间的数据点的线性回归技术)学习这些函数。指定特定可观察参数可以在阶段之间的转变期间如何变化的函数的该使用还可以帮助将由监控器产生的误报的数量最小化,其中,误报是多阶段和其他种类的复杂事件的监控器的常见问题。
数据源连接器和提取器72、74和76处理包括关键字段的连接和提取的数据源相关问题。所有这些元数据都被存储在数据源管理器60中。数据源管理器保持多个表。这些表中的至少一个包括针对每个数据馈送2、4、6等的数据源id、数据源名称、以及关键字段和数据提取方法。在监控器10的一般操作期间,数据源连接器和提取器72、74和76提取信息并且将该信息发送到监控器引擎100,监控器引擎100以下面更详细描述的方式执行其监控并且产生通知,其中,如果监控器引擎100检测到任何它认为可疑的东西,则将这些通知传递到警报引擎50,并且从而保证产生到用户1的通知。
如上所述,监控器引擎在不同实施方式中改变。在图2中更详细地示出第一实施方式的监控器引擎100。该监控器引擎主要解决如何提供相对简单的隐藏状态模型的问题,其中,隐藏状态模型与转变确定器结合使用,以提供准确多事件检测。第二实施方式(在图3中示出)的监控器引擎200主要解决如何通过产生多个单独过程以跟踪各个事件(或者可能的可疑事件等)来处理以交叠方式发生的多种不同多阶段事件的问题。最后,图7中示出的第三实施方式的监控器引擎300组合第一实施方式和第二实施方式二者的特征以同时解决所有这些问题。
如图2中所示,监控器引擎100包括存储器101、处理器单元102和允许监控器引擎100与监控器10的其它元件通信的接口104。在存储器内存储各种代码集,当这些代码集由处理器102执行时,使得相关功能模块操作,具有以下关于每个相应代码集描述的功能。为了方便说明,代码集和相关功能模块二者可以被认为是可互换的并且使用以下相同参考标号。与监控器引擎在执行关于本发明的功能时的操作相关的代码集是:控制器代码集110,其负责使监控器引擎100实现监控器引擎的其它功能模块的总体控制;隐藏状态确定器代码集120,其相关功能模块操纵隐藏状态模型,以针对可视状态值的相应序列确定可能隐藏状态序列;转变确定器代码集130,其相关功能模块执行与将观察到的参数值序列与预先指定的转变函数进行比较以寻找可能匹配相关的功能;事件检测检测器单元代码集142、144,其相应功能模块与数据源连接器和提取器72、74、76协作并且处理来自数据源连接器和提取器72、74、76的输入数据,以产生可视事件和/或由隐藏状态确定器120使用的可视状态值(在控制器模块110的控制下);参数产生器代码集152、154,其功能模块也与数据源连接器和提取器72、74、76协作并且处理来自数据源连接器和提取器72、74、76的输入数据,以产生由转变确定器130使用的参数值(在控制器模块110的控制下)。
总体上,监控器引擎100负责从数据馈送2、4、6接收数据并且识别(单个)多阶段事件的阶段的(推导的)发生。总的来说,监控器引擎100通过使用标准HMM作为隐藏状态模型来确定多阶段事件已前进通过的阶段的估计序列,同时使用来自转变确定器的信息帮助作出关于正在发生什么事件(如果有的话)和这样的事件继续发生的可能结果(如果有的话)的最终确定、以及为了减少事件的不利影响采用的任何步骤来实现以上处理。多阶段事件已经进行部分时,隐藏状态确定器120识别事件迄今被认为已经过的阶段的部分估计序列,并且然后(即,一旦认为已经达到特定阶段)监控器引擎100选择包含该部分估计阶段序列的所有模式(或者可能在另选实施方式中是包含当前估计阶段的所有模式),并且然后监控进展,特定预先指定参数的值通常已被指示为与由人类用户1预先指定的转变函数相关并且被存储在上述攻击模式单元40中。
值得注意的是,这与用于多阶段攻击检测器的HMM的现有使用有些不同,其中,对于给定可观察序列O1、O2、…Ot,它计算用于每个所定义的HMM的该序列的概率并且HMM的最高概率被称为入侵。在没有与完整多阶段事件相关的观察的完整序列的情况下,这样的检测器不擅于检测哪个多阶段攻击正在发生。本实施方式不以此方式使用隐藏状态确定器。而是监控器10接收连续观察(流动的数据馈送),并且计算度量(或阈值或参数值等),并且然后继续从流动的输入数据计算这些度量,并且可以确定变化状态。它基于这些状态(可以仅是部分序列)以及转变信息来选择模式(并且从而可疑事件—例如攻击类型)。还继续阶段序列和转变的该监控和评估,以能够在甚至可以准确确认什么事件正在发生之前(其可能仅在事件完成之后才可能,这可能太迟以致无法成功减少事件的最差影响),在认为适于生成警报的时间(或者阶段)生成警报。
当监控器10开始监控新事件时,它最初简单地等待来自事件检测检测器单元的一些相关结果。在本实施方式中,由用户已指定的这些寻找事件是关注事件正在发生的指示。当在控制器110的控制下观察到控制器确定引起系统的可视状态的变化的事件时,控制器确定事件可能正在发生,并且记录可能事件处于相关阶段(例如,第1阶段)。隐藏状态确定器也可以在这里被调用,以通过根据潜在的隐藏状态模型(在本实施方式中是一阶HMM)处理可视状态的序列,确定可能的当前隐藏状态(其对应于事件的阶段,例如,第1阶段—其中,单个阶段可以与包括一些无害事件和一些有害事件的多个不同事件相关联)。转变确定器也可以在这一阶段被调用,以查看是否可以验证从初始无事件发生阶段转变到所推断的事件的当前阶段的转变的可能发生。来自转变确定器的输出可以用于反驳事件正在发生的结论,或者可以指示已经到达不同阶段或者它可以支持隐藏状态确定器获得的结论。控制器组合来自两个确定器120和130的证据,并且然后决定是否将通知发送到警报引擎(如果与所确定的阶段相关联的所有可能事件是有害的并且(可能)要求减少理论上将采取的动作,则将是这种情况)。当附加证据到达形成如由检测器单元142、144和参数产生器152、154处理的数据馈送时,重复这些处理,隐藏状态确定器被用于确定与由转变确定器确定的事件的阶段的可能序列对应的隐藏状态的新可能序列。当推导出的事件的阶段的部分序列与多个不同类型的事件一致时(尤其是,如果仅这些中的特定阶段被认为是非常有害的),可以使用转变确定器来尝试消除一些可能类型的事件。如果在这样的消除之后仅有害的可能事件保留,则所述控制器使得合适通知被发送到警报产生单元,以给用户产生识别可疑检测事件正在发生的警报。
现在转到图3至图6,在第二实施方式中,代替第一实施方式的监控器引擎100,在监控器10中使用根据本发明的第二实施方式的另选监控器引擎200。如图3中所示,监控器引擎200在其修改后的存储器201中包括控制器代码集210和过程产生器代码集260。这些中的每个都产生相应功能模块210、260,其功能在以下论述。而且在图3中示出在存储器201中存在各种过程和检测代理,这些是由过程产生器或过程中的一个产生的执行的运行线程。这样的软件技术的操作在多线程计算领域中被很好地理解,并且在这里将不再详细地描述。
如上所述,该实施方式特别解决的问题是如何管理监控器10与外部系统(数据馈送2、4、6)之间的通信,以恢复关于特定多阶段事件的所要求“现场”信息,这些多阶段事件已通过用于多阶段事件的不同阶段的一个“触发”或多个触发(诸如,攻击场景)识别,用于攻击场景的多个模式以如下方式被存储在攻击模式单元40中:在正在发生并且相互干扰的交叠事件中,不同攻击可以被分离并且被单独监控。例如,可能DDoS(分布式拒绝服务)攻击的第1阶段可能是特定关键词正由Twitter发帖人非常频繁地使用(假设1小时内10次)。该信息需要由合适工具(例如,数据馈送2,其正在连续地监控Twitter招贴)恢复并且检验。
由于期望在数据库中包含大量模式(其中,每种模式可以具有用于其阶段的不同度量和触发),因此需要从相应外部系统聚集现场馈送并且继续模式的后续阶段的系统方法。注意,单个模式还可以同时具有多个状态或“路径”,而每条路径可以处于不同阶段中。此外,虽然存在阶段的序列,但是还期望可以跳过一些阶段。
考虑特定“DDoS攻击”模式作为示例,其第1阶段是Twitter中的关键词的检测,其第2阶段是非常高的入站分组业务的检测(针对特定IP地址),并且其第3阶段是在防火墙处的TCP状态耗尽业务的检测。该模式的第一路径可以是:基于Twitter中的论述,“公司A”有可能正成为攻击的目标(阶段1)。(相同)模式的第二路径可以是:另一个“公司B”在其防火墙处正在经历TCP状态耗尽业务(第3阶段)。因此,不同路径由当模式引擎正在评价来自外部系统的现场馈送时识别的不同攻击受害者(例如,不同网络)导致。
由监控器引擎200提供的以上困难的解决方案是应用软件代理方法来处理监控器10与外部系统2、4、6之间的通信。存在不同类型的软件代理(即,过程),这些代理在它们被激活/或发送以从不同外部系统恢复所要求的信息之前,可以被单独参数化。
首先,每个模式(实例)都具有被实例化的单个运行主过程(例如,主过程1272和主过程2274),其与目标无关(参见图3和图4)。在该过程272内,根据阶段需要什么信息以允许它移动到下一阶段(由人类用户指定并且被存储在攻击模式单元40中的触发条件),模式的每个阶段实例将创建并且参数化软件代理291、292、296、297、298(参见图4)。如图4中所示,阶段(例如,第3阶段)还可以具有多于一个软件代理(软件代理3A 296和软件代理3B 297),这是因为其期望触发信息来自两个不同系统(例如,来自数据馈送2和数据馈送4)。
在本实施方式中,每个阶段都正在预订来自其软件代理的触发信号。在该实施方式中,与目标无关的初始触发条件由人类用户精确指定(例如,如果在指定持续时间内检测到与被监控的目标组织连接的多于指定数量的目标项)。每个软件代理将具有连接到相应外部系统、查询数据并且基于由阶段实例给出的触发条件(例如,阈值)来检验它的能力。如果满足该条件,则软件代理将触发信号发送到阶段/模式实例。否则,它可能休眠特定时间(例如,<T>ms),并且在随后时间再次询问并且检验数据。根据阶段实例是否完全依赖于来自前一阶段的信息(例如,受害者目标),模式中的任一阶段可以从开始发送/激活其软件代理,即,一次发送/激活用于单个模式的多个活动代理。
在第1阶段实例从其软件代理接收到触发时,它就创建模式的新子过程,该子过程包含预订它们的相应软件代理(图4)的后续阶段实例。该子过程将形成模式的一个“路径”以进一步继续并且将保持活动,直到它到达最后阶段或者由人类分析者手动破坏或者在特定超时之后被自动破坏。例如关于两个触发信号之间的经过时间的定时信息将由模式引擎记录,用于丰富其预测分析能力。每次在创建子过程之后,模式的主过程都将保持活动,并且保持期望来自软件代理的触发信号,这可能导致模式的不同路径的创建。这里要注意的关键点是,子过程产生用于任何代理(例如,由图5中示出的子过程282产生并且对应于由图3的子过程1_1 282创建的检测代理1_1-2293的软件代理2293)的触发条件,虽然它是基于由用户1预先指定的一般目标无关条件的,但是其实例化哪个被修改成专用于特定目标组织(然而,注意这仅是将一个事件与另一个事件区分开的一个示例性方式,并且可以是在不同实施方式中使用的其它区别特征),使得它不通过关于不同区别多阶段事件满足的类似条件被触发。
如前所述,如果从软件代理接收到用于后续阶段所要求的触发信号,则可以跳过一个或更多个阶段。图6示出以下场景:模式的第1阶段绝不从其代理接收触发信号,但是第2阶段从其代理接收该信号,并且因此利用剩余后续阶段创建新子过程(专用于由主过程的第2阶段代理检测的目标)。
上述第二实施方式不要求使用隐藏状态确定器或者转变确定器,并且简单实现可以仅依赖于由用户1指定的简单触发条件。然而,第三实施方式组合了第一实施方式和第二实施方式二者的力量并且在图7中示出。通常,类似命名组件以与在第一实施方式和第二实施方式中的相应对应物相同的方式进行操作,所以将不再详细论述。为了本目的,要充分注意的是,通过这样的实施方式,可以基于隐藏状态和转变确定器的输出产生与每个软件代理相关的触发条件,以产生使用隐藏状态模型和转变模型的幂(power)动态开发的复杂触发条件。
例如,如以上第9页提到的,可以根据隐藏状态确定器的输出指定通过由子过程产生的每个检测代理寻找的触发条件。例如,主过程可以被实例化为寻找与包括第1阶段、第2阶段、第4阶段的阶段序列对应的模式。可以利用指示多阶段事件已经开始于第1阶段发生的一般触发条件集合,通过主过程产生初始第1阶段检测代理。在通过观察触发条件触发该检测代理时,其可以将触发消息报告回主过程,该触发消息至少指示区别特征(例如,目标身份)和可视状态标识符,主过程可以将可视状态标识符与形成由主过程使用的隐藏状态模型的一部分的可视状态相关联。然后,主过程可以产生至少产生第2阶段检测代理的子过程。第2阶段检测代理的触发条件可以包括将涉及对相同区别特征的需要。这还可以取决于由隐藏状态确定器作出的关于可视状态的评估,这将使得隐藏状态确定器确定系统已经转变到第2阶段状态。然后,这将导致触发,触发使得检测器作为一个整体确定正被跟踪的事件已经进入第2阶段。
Claims (5)
1.一种多阶段事件检测器,该多阶段事件检测器包括过程产生器,所述过程产生器能够操作以产生主过程和子过程,每个主过程和子过程都能够操作以产生并且启动一个或更多个检测代理,每个所述检测代理都能够操作以通过检测到触发事件或一系列事件的发生而被触发并且在被如此触发时报告回其产生过程或子过程,并且其中,每个过程或子过程都能够操作以通过将多阶段事件或其部分的检测向父过程或子过程或者总控制器报告以对从被触发的检测代理接收到报告进行响应,或者产生并且启动检测代理或子过程。
2.根据权利要求1所述的多阶段事件检测器,所述多阶段事件检测器还包括条件的存储器和安全专家用户能够将用于触发由所述检测代理使用的事件条件的值输入到所述存储器的用户接口。
3.根据前述权利要求中的任一项所述的多阶段事件检测器,其中,所述多阶段事件检测器能够操作以使得如果在整个所述事件已经发生或被检测到之前确定正在发生多阶段事件,则通知用户。
4.根据权利要求1所述的多阶段事件检测器,其中,当由主过程实例化的检测代理被触发时,作为所述触发的一部分,所述检测代理识别所述事件的区别特征,并且然后所述触发使所述主过程实例化子过程,该子过程产生寻找指示所述主过程的模式的第二阶段已被触发的触发的检测代理,其中,所述触发条件包括取决于通过由所述主过程实例化的所述检测代理识别的区别特征的方面,由此所述事件检测器能够操作以区分在交叠时间段期间发生但是依靠区别特征能够相互区分的相同类型的不同多阶段事件。
5.一种检测多阶段事件在正被监控的系统内的发生的方法,该方法包括:
产生主过程和子过程,每个主过程和子过程都能够操作以产生并且启动一个或更多个检测代理,每个所述检测代理都能够操作以通过检测到触发事件或一系列事件的发生而被触发,并且当被如此触发时报告回其产生过程或子过程,并且其中,每个过程或子过程都能够操作以通过将多阶段事件或其部分的检测向父过程或子过程或者总控制器报告以对从被触发的检测代理接收到报告进行响应,或者产生并且启动检测代理或子过程;以及
根据一个或更多个检测代理的触发,检测多阶段事件的发生。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP13250051.3 | 2013-03-29 | ||
| EP13250051.3A EP2785008A1 (en) | 2013-03-29 | 2013-03-29 | Method and apparatus for detecting a multi-stage event |
| PCT/GB2014/000129 WO2014155051A1 (en) | 2013-03-29 | 2014-03-31 | Method and apparatus for detecting a multi-stage event |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105264861A CN105264861A (zh) | 2016-01-20 |
| CN105264861B true CN105264861B (zh) | 2019-02-12 |
Family
ID=48092871
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480030438.2A Active CN105264861B (zh) | 2013-03-29 | 2014-03-31 | 用于检测多阶段事件的方法和设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9836600B2 (zh) |
| EP (2) | EP2785008A1 (zh) |
| CN (1) | CN105264861B (zh) |
| WO (1) | WO2014155051A1 (zh) |
Families Citing this family (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2785009A1 (en) | 2013-03-29 | 2014-10-01 | British Telecommunications public limited company | Method and apparatus for detecting a multi-stage event |
| US10356109B2 (en) * | 2014-07-21 | 2019-07-16 | Entit Software Llc | Security indicator linkage determination |
| US11507663B2 (en) | 2014-08-11 | 2022-11-22 | Sentinel Labs Israel Ltd. | Method of remediating operations performed by a program and system thereof |
| US9710648B2 (en) | 2014-08-11 | 2017-07-18 | Sentinel Labs Israel Ltd. | Method of malware detection and system thereof |
| US10102374B1 (en) | 2014-08-11 | 2018-10-16 | Sentinel Labs Israel Ltd. | Method of remediating a program and system thereof by undoing operations |
| US10484405B2 (en) | 2015-01-23 | 2019-11-19 | Cisco Technology, Inc. | Packet capture for anomalous traffic flows |
| US10015189B2 (en) * | 2016-02-09 | 2018-07-03 | International Business Machine Corporation | Detecting and predicting cyber-attack phases in adjacent data processing environment regions |
| EP3430775B1 (en) * | 2016-03-17 | 2024-07-10 | Johann Schlamp | Constructible automata for internet routes |
| US10178109B1 (en) * | 2016-03-31 | 2019-01-08 | Symantec Corporation | Discovery of groupings of security alert types and corresponding complex multipart attacks, from analysis of massive security telemetry |
| US11695800B2 (en) | 2016-12-19 | 2023-07-04 | SentinelOne, Inc. | Deceiving attackers accessing network data |
| US11616812B2 (en) | 2016-12-19 | 2023-03-28 | Attivo Networks Inc. | Deceiving attackers accessing active directory data |
| US9954879B1 (en) * | 2017-07-17 | 2018-04-24 | Sift Science, Inc. | System and methods for dynamic digital threat mitigation |
| JP2020530922A (ja) * | 2017-08-08 | 2020-10-29 | センチネル ラボ, インコーポレイテッドSentinel Labs, Inc. | エッジネットワーキングのエンドポイントを動的にモデリングおよびグループ化する方法、システム、およびデバイス |
| US10628591B2 (en) * | 2017-11-20 | 2020-04-21 | Forcepoint Llc | Method for fast and efficient discovery of data assets |
| US11470115B2 (en) | 2018-02-09 | 2022-10-11 | Attivo Networks, Inc. | Implementing decoys in a network environment |
| US11025638B2 (en) | 2018-07-19 | 2021-06-01 | Forcepoint, LLC | System and method providing security friction for atypical resource access requests |
| US10735258B2 (en) * | 2018-07-24 | 2020-08-04 | Avaya Inc. | System for self-allocating resources |
| US11134087B2 (en) | 2018-08-31 | 2021-09-28 | Forcepoint, LLC | System identifying ingress of protected data to mitigate security breaches |
| US11171980B2 (en) | 2018-11-02 | 2021-11-09 | Forcepoint Llc | Contagion risk detection, analysis and protection |
| US11245723B2 (en) | 2018-11-02 | 2022-02-08 | Forcepoint, LLC | Detection of potentially deceptive URI (uniform resource identifier) of a homograph attack |
| US11295026B2 (en) | 2018-11-20 | 2022-04-05 | Forcepoint, LLC | Scan, detect, and alert when a user takes a photo of a computer monitor with a mobile phone |
| US11297099B2 (en) | 2018-11-29 | 2022-04-05 | Forcepoint, LLC | Redisplay computing with integrated data filtering |
| US11050767B2 (en) | 2018-12-17 | 2021-06-29 | Forcepoint, LLC | System for identifying and handling electronic communications from a potentially untrustworthy sending entity |
| US11379426B2 (en) | 2019-02-05 | 2022-07-05 | Forcepoint, LLC | Media transfer protocol file copy detection |
| US11562093B2 (en) | 2019-03-06 | 2023-01-24 | Forcepoint Llc | System for generating an electronic security policy for a file format type |
| JP7278423B2 (ja) | 2019-05-20 | 2023-05-19 | センチネル ラブス イスラエル リミテッド | 実行可能コード検出、自動特徴抽出及び位置独立コード検出のためのシステム及び方法 |
| CN110516439B (zh) * | 2019-07-25 | 2021-05-25 | 北京奇艺世纪科技有限公司 | 一种检测方法、装置、服务器及计算机可读介质 |
| FR3104761A1 (fr) * | 2019-12-12 | 2021-06-18 | Orange | Procédé de surveillance de données transitant par un équipement utilisateur |
| CN113556310B (zh) * | 2020-04-24 | 2022-09-23 | 华为技术有限公司 | 一种远程控制检测方法及网络设备 |
| US11579857B2 (en) | 2020-12-16 | 2023-02-14 | Sentinel Labs Israel Ltd. | Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach |
| US11588835B2 (en) | 2021-05-18 | 2023-02-21 | Bank Of America Corporation | Dynamic network security monitoring system |
| US11792213B2 (en) | 2021-05-18 | 2023-10-17 | Bank Of America Corporation | Temporal-based anomaly detection for network security |
| US11799879B2 (en) | 2021-05-18 | 2023-10-24 | Bank Of America Corporation | Real-time anomaly detection for network security |
| US11899782B1 (en) | 2021-07-13 | 2024-02-13 | SentinelOne, Inc. | Preserving DLL hooks |
| US12010152B2 (en) | 2021-12-08 | 2024-06-11 | Bank Of America Corporation | Information security systems and methods for cyber threat event prediction and mitigation |
| GB2616464B (en) | 2022-03-10 | 2024-08-28 | British Telecomm | Security method for identifying kill chains |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060098585A1 (en) * | 2004-11-09 | 2006-05-11 | Cisco Technology, Inc. | Detecting malicious attacks using network behavior and header analysis |
| CN101242278A (zh) * | 2008-02-18 | 2008-08-13 | 华中科技大学 | 网络多步攻击意图在线识别方法 |
| CN102387163A (zh) * | 2011-12-16 | 2012-03-21 | 穆成坡 | 一种基于风险均衡的网络服务器防御方法 |
Family Cites Families (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5465321A (en) | 1993-04-07 | 1995-11-07 | The United States Of America As Represented By The Administrator Of The National Aeronautics And Space Administration | Hidden markov models for fault detection in dynamic systems |
| AU2001295016A1 (en) * | 2000-09-01 | 2002-03-13 | Sri International, Inc. | Probabilistic alert correlation |
| US7058821B1 (en) * | 2001-01-17 | 2006-06-06 | Ipolicy Networks, Inc. | System and method for detection of intrusion attacks on packets transmitted on a network |
| US7076803B2 (en) * | 2002-01-28 | 2006-07-11 | International Business Machines Corporation | Integrated intrusion detection services |
| US8046835B2 (en) | 2002-10-23 | 2011-10-25 | Frederick S. M. Herz | Distributed computer network security activity model SDI-SCAM |
| US7603711B2 (en) * | 2002-10-31 | 2009-10-13 | Secnap Networks Security, LLC | Intrusion detection system |
| US20040123141A1 (en) * | 2002-12-18 | 2004-06-24 | Satyendra Yadav | Multi-tier intrusion detection system |
| WO2004107706A1 (en) * | 2003-05-30 | 2004-12-09 | International Business Machines Corporation | Detecting network attacks |
| US7509677B2 (en) | 2004-05-04 | 2009-03-24 | Arcsight, Inc. | Pattern discovery in a network security system |
| US8108929B2 (en) * | 2004-10-19 | 2012-01-31 | Reflex Systems, LLC | Method and system for detecting intrusive anomalous use of a software system using multiple detection algorithms |
| WO2006056239A1 (en) | 2004-11-29 | 2006-06-01 | Telecom Italia S.P.A. | Method and system for managing denial of service situations |
| US7941856B2 (en) * | 2004-12-06 | 2011-05-10 | Wisconsin Alumni Research Foundation | Systems and methods for testing and evaluating an intrusion detection system |
| US7757283B2 (en) | 2005-07-08 | 2010-07-13 | Alcatel Lucent | System and method for detecting abnormal traffic based on early notification |
| US20070150427A1 (en) | 2005-12-22 | 2007-06-28 | Honeywell International Inc. | Recognition plan/goal abandonment |
| US20070226164A1 (en) | 2006-03-21 | 2007-09-27 | Honeywell International Inc. | Type variables and/or temporal constraints in plan recognition |
| US7930256B2 (en) | 2006-05-23 | 2011-04-19 | Charles River Analytics, Inc. | Security system for and method of detecting and responding to cyber attacks on large network systems |
| US8205244B2 (en) | 2007-02-27 | 2012-06-19 | Airdefense, Inc. | Systems and methods for generating, managing, and displaying alarms for wireless network monitoring |
| EP2009865A1 (en) | 2007-06-25 | 2008-12-31 | Alcatel Lucent | Method of providing an access control system |
| US8595834B2 (en) * | 2008-02-04 | 2013-11-26 | Samsung Electronics Co., Ltd | Detecting unauthorized use of computing devices based on behavioral patterns |
| GB0822619D0 (en) | 2008-12-11 | 2009-01-21 | Scansafe Ltd | Malware detection |
| FI20096394A0 (fi) | 2009-12-23 | 2009-12-23 | Valtion Teknillinen | Tunkeutumisen havaitseminen viestintäverkoissa |
| US8424072B2 (en) | 2010-03-09 | 2013-04-16 | Microsoft Corporation | Behavior-based security system |
| US20120329426A1 (en) | 2011-06-27 | 2012-12-27 | Kario Daniel | System and method for monitoring the security of cellular device communication |
| JP6139656B2 (ja) * | 2012-03-22 | 2017-05-31 | ロス アラモス ナショナル セキュリティー,リミテッド ライアビリティー カンパニーLos Alamos National Security,Llc | 異常部分グラフの検出のための道探査及び異常/変更検出及び網状況認知のためのdns要求及びホストエージェントの使用 |
| US8677485B2 (en) * | 2012-07-13 | 2014-03-18 | Hewlett-Packard Development Company, L.P. | Detecting network anomaly |
| EP2785009A1 (en) | 2013-03-29 | 2014-10-01 | British Telecommunications public limited company | Method and apparatus for detecting a multi-stage event |
-
2013
- 2013-03-29 EP EP13250051.3A patent/EP2785008A1/en not_active Ceased
-
2014
- 2014-03-31 EP EP14715386.0A patent/EP2979424B1/en active Active
- 2014-03-31 CN CN201480030438.2A patent/CN105264861B/zh active Active
- 2014-03-31 WO PCT/GB2014/000129 patent/WO2014155051A1/en active Application Filing
- 2014-03-31 US US14/781,163 patent/US9836600B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060098585A1 (en) * | 2004-11-09 | 2006-05-11 | Cisco Technology, Inc. | Detecting malicious attacks using network behavior and header analysis |
| CN101242278A (zh) * | 2008-02-18 | 2008-08-13 | 华中科技大学 | 网络多步攻击意图在线识别方法 |
| CN102387163A (zh) * | 2011-12-16 | 2012-03-21 | 穆成坡 | 一种基于风险均衡的网络服务器防御方法 |
Non-Patent Citations (3)
| Title |
|---|
| "Addressing Low Base Rates in Intrusion Detection via Uncertainty-Bounding Multi-Step Analysis";Robert J. Cole,et al;《Computer Security Applications Conference, 2008. ACSAC 2008. Annual》;20081222;第2-5部分,图4,6 * |
| "An analysis approach for multi-stage network attacks";Ying-Mei Wang,et al;《Machine Learning and Cybernetics, 2005. Proceedings of 2005 International Conference on》;20051107;全文 * |
| "Automatic attack scenario discovering based on a new alert correlation method";Ali Ebrahimi,et al;《Systems Conference (SysCon), 2011 IEEE International》;20110623;第Ⅰ-Ⅲ部分,图1-5 * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2979424A1 (en) | 2016-02-03 |
| CN105264861A (zh) | 2016-01-20 |
| EP2785008A1 (en) | 2014-10-01 |
| US20160055334A1 (en) | 2016-02-25 |
| US9836600B2 (en) | 2017-12-05 |
| EP2979424B1 (en) | 2020-02-26 |
| WO2014155051A1 (en) | 2014-10-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105264861B (zh) | 用于检测多阶段事件的方法和设备 | |
| CN105191257B (zh) | 用于检测多阶段事件的方法和装置 | |
| CN110324310B (zh) | 网络资产指纹识别方法、系统及设备 | |
| CN106790186B (zh) | 基于多源异常事件关联分析的多步攻击检测方法 | |
| Saxena et al. | General study of intrusion detection system and survey of agent based intrusion detection system | |
| CN108769051B (zh) | 一种基于告警融合的网络入侵态势意图评估方法 | |
| JP2021513170A (ja) | モバイルネットワークにおけるトラフィックデータから監視されないなりすまし検出 | |
| CN111181918B (zh) | 基于ttp的高风险资产发现和网络攻击溯源方法 | |
| US20190018939A1 (en) | Physical activity and it alert correlation | |
| CN109951419A (zh) | 一种基于攻击链攻击规则挖掘的apt入侵检测方法 | |
| CN110351237B (zh) | 用于数控机床的蜜罐方法及装置 | |
| CN110460611B (zh) | 基于机器学习的全流量攻击检测技术 | |
| US20220318382A1 (en) | Analysis device, analysis method and computer-readable recording medium | |
| CN104901962B (zh) | 一种网页攻击数据的检测方法及装置 | |
| KR101444250B1 (ko) | 개인정보 접근감시 시스템 및 그 방법 | |
| CN112261033A (zh) | 基于企业内网的网络安全防护方法 | |
| WO2018071356A1 (en) | Graph-based attack chain discovery in enterprise security systems | |
| CN114050937B (zh) | 邮箱服务不可用的处理方法、装置、电子设备及存储介质 | |
| CN107483448A (zh) | 一种网络安全检测方法及检测系统 | |
| KR102433581B1 (ko) | 시계열 학습형 앙상블 인공지능 기법을 이용한 사회이슈 기반 사이버 표적공격 예측 시스템 및 그 예측 방법 | |
| EP2911362B1 (en) | Method and system for detecting intrusion in networks and systems based on business-process specification | |
| KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 | |
| Song et al. | A comprehensive approach to detect unknown attacks via intrusion detection alerts | |
| Yu et al. | Mining anomaly communication patterns for industrial control systems | |
| Chen et al. | State-based attack detection for cloud |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |