DE202018006616U1 - Beschleunigung des Arbeitsablaufs von Cyberanalysen - Google Patents

Beschleunigung des Arbeitsablaufs von Cyberanalysen Download PDF

Info

Publication number
DE202018006616U1
DE202018006616U1 DE202018006616.8U DE202018006616U DE202018006616U1 DE 202018006616 U1 DE202018006616 U1 DE 202018006616U1 DE 202018006616 U DE202018006616 U DE 202018006616U DE 202018006616 U1 DE202018006616 U1 DE 202018006616U1
Authority
DE
Germany
Prior art keywords
event
logs
reporting probability
event log
threat
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE202018006616.8U
Other languages
English (en)
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Centripetal Ltd Ie
Original Assignee
Centripetal Networks LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=64902751&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=DE202018006616(U1) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Centripetal Networks LLC filed Critical Centripetal Networks LLC
Publication of DE202018006616U1 publication Critical patent/DE202018006616U1/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Artificial Intelligence (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Mathematical Physics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Ein oder mehrere computerlesbare Medien mit darauf gespeicherten Anweisungen, die, wenn sie von einem oder mehreren Computergeräten ausgeführt werden, die ein oder mehreren Computergeräte veranlassen, das folgende Verfahren auszuführen:
-Empfangen einer Vielzahl von Ereignisprotokollen;
Bestimmen, durch eine Rechenvorrichtung, einer Meldepflichtwahrscheinlichkeit für jedes Ereignisprotokoll basierend auf mindestens einem Algorithmus, wobei die Meldepflichtwahrscheinlichkeit für jedes Ereignisprotokoll auf mindestens einer der folgenden Größen basiert: einer Zuverlässigkeit eines Ereignisbedrohungsindikators, einem Typ des Ereignisbedrohungsindikators, einem Alter des Ereignisbedrohungsindikators, mit dem Ereignisbedrohungsindikator verknüpfte Threat Intelligence-Anbieterdaten, Reputationsdaten von mindestens einem Threat Intelligence-Anbieter oder einer Risikobewertung des Ereignisbedrohungsindikators;
Sortieren einer Ereigniswarteschlange der Vielzahl von Ereignisprotokollen basierend auf der Meldepflichtwahrscheinlichkeit für jedes der Vielzahl von Ereignisprotokollen; und
Übertragen, durch die Recheneinrichtung, der Vielzahl von Ereignisprotokollen, die in der Ereigniswarteschlange basierend auf der Meldepflichtwahrscheinlichkeit jedes der Vielzahl von Ereignisprotokollen sortiert sind, an ein Analysesystem.

Description

  • HINTERGRUND
  • Die Netzwerksicherheit wird im Informationszeitalter immer wichtiger. Netzwerkbedrohungen können verschiedene Formen annehmen (z. B. unbefugte Anfragen oder Datenübertragungen, Viren, Malware, große Mengen an Netzwerkverkehr, die darauf abzielen, die Netzwerkressourcen zu überlasten, und dergleichen). Viele Organisationen abonnieren Netzwerkbedrohungsdienste, die regelmäßig Informationen zu Netzwerkbedrohungen bereitstellen, z. B. Berichte mit Listen von Netzwerkbedrohungsindikatoren (z. B. Netzwerkadressen, Uniform Resource Identifiers (URIs) usw.) oder Bedrohungssignaturen (z. B. Malware-Dateikennungen) oder Bedrohungsverhalten (z. B. charakteristische Muster von fortschrittlichen dauerhaften Bedrohungen). Die von solchen Diensten bereitgestellten Informationen können von Organisationen genutzt werden, um Bedrohungen für ihre Netzwerke und damit verbundenen Assets zu identifizieren. Zum Beispiel können Netzwerkgeräte Netzwerkkommunikationen überwachen und etwaige Kommunikationen zwischen Endpunkten mit Netzwerkadressen identifizieren, die Bedrohungsindikatoren entsprechen.
  • Sobald diese Kommunikationsereignisse identifiziert sind, können sie protokolliert werden, und die Ereignisprotokolle können einem Cyberanalysesystem oder menschlichen Cyberanalysten zur weiteren Untersuchung der Art und Schwere der Bedrohungsereignisse und möglicher Abhilfemaßnahmen zur Verfügung gestellt werden. Typischerweise stellen das Cyberanalysesystem oder die Cyberanalysten fest, dass nur ein kleiner Teil dieser protokollierten Bedrohungsereignisse meldepflichtig ist, und zwar in dem Sinne, dass die Ereignisse den zuständigen Behörden gemeldet werden sollten, die für die Durchführung der zugehörigen Abhilfemaßnahmen und für die Gewährleistung der Sicherheit des Netzwerks verantwortlich sein können, und die für die Durchsetzung gesetzlicher Vorschriften oder die Meldung von Compliance-Verstößen zuständig sein können. In vielen modernen Firmennetzwerken übersteigt das Volumen und die Erstellungsrate von Ereignisprotokollen zu Netzwerkbedrohungen jedoch oft die Kapazitäten der menschlichen Cyberanalysten, alle Ereignisse zu untersuchen. Daher ist es unerlässlich, dass die Arbeit der Cyberanalysten effizient eingeteilt wird. Zu diesem Zweck sollten das Cyberanalysesystem oder die Cyberanalysten nur die Ereignisse untersuchen, die mit hoher Wahrscheinlichkeit meldepflichtige Ereignisse sind, und keine Zeit und Mühe mit der Untersuchung von Bedrohungsereignissen verschwenden, die wahrscheinlich nicht meldepflichtig sind. Dementsprechend besteht ein Bedarf an einer Beschleunigung des Cyberanalyse-Workflows.
  • ZUSAMMENFASSUNG
  • Das Folgende stellt eine vereinfachte Zusammenfassung dar, um ein grundlegendes Verständnis für einige Aspekte der Offenbarung zu vermitteln. Es ist weder beabsichtigt, die wichtigsten oder kritischen Elemente der Offenbarung zu identifizieren noch den Umfang der Offenbarung abzugrenzen. Die folgende Zusammenfassung stellt lediglich einige Konzepte der Offenbarung in vereinfachter Form als Auftakt zur nachfolgenden Beschreibung dar.
  • Aspekte dieser Offenbarung beziehen sich auf die Beschleunigung des Cyberanalyse-Workflows. Gemäß Ausführungsformen der Offenbarung kann eine TCP/IP-Netzwerkkommunikationsüberwachungsvorrichtung Bedrohungserkennungsregeln empfangen, die so konfiguriert sind, dass sie die Überwachungsvorrichtung veranlassen, Kommunikationsereignisse zu identifizieren, die den Bedrohungserkennungsregeln entsprechen. Diese Regeln können auch Aktionen beinhalten, die von der Überwachungsvorrichtung auf Pakete angewendet werden können, die den Regeln entsprechen. Beispielsweise können die Regeln die Überwachungsvorrichtung dazu veranlassen, ein Paket basierend auf den Regeln zu blockieren, zuzulassen, zu modifizieren/transformieren, zu protokollieren, zu erfassen oder andere Aktionen daran auszuführen. Die Überwachungsvorrichtung kann TCP/IP-Pakete empfangen, die Endpunkt-zu-Endpunkt-Kommunikationen bilden, und für jedes Paket und die zugehörige Kommunikation des Pakets kann die Überwachungsvorrichtung feststellen, dass das Paket und/oder die zugehörige Kommunikation Kriterien entsprechen, die durch eine oder mehrere Regeln zur Erkennung von Bedrohungen festgelegt sind. Die Kriterien können einem oder mehreren der Netzwerk-Bedrohungsindikatoren oder einer oder mehreren der Netzwerk-Bedrohungssignaturen oder einem oder mehreren der Netzwerk-Bedrohungsverhaltensmuster entsprechen.
  • Nach der Erkennung einer Bedrohung kann die Überwachungsvorrichtung das Paket protokollieren, das Paketprotokoll in einem Ereignisprotokoll für die zugehörige Kommunikation zusammenfassen und die Kommunikation als Bedrohungsereignis bezeichnen. Das Protokoll kann auch Kontextinformationen enthalten, wie z. B. die Erkennungskriterien, Umgebungsinformationen (z. B. Zeitstempel, Schnittstellen-IDs, Richtungsangaben), etwaige von der Überwachungsvorrichtung auf das Paket angewandte Aktionen, oder von der Überwachungsvorrichtung vorgenommene Änderungen am Paket. Die in diesen Ereignisprotokollen gespeicherten Informationen sollen eine Cyberanalyse des Risikos und der Auswirkungen des Bedrohungsereignisses sowie etwaige Abhilfemaßnahmen zur Minderung der Bedrohung erleichtern. Die Überwachungsvorrichtung kann auch die Pakete erfassen. Kopien der erfassten Pakete können in roher/unverarbeiteter Form gespeichert werden. Die einzelnen Pakete, aus denen sich die Kommunikation zusammensetzt, können zusammen gespeichert werden, um die Cyberanalyse des Bedrohungsereignisses weiter zu erleichtern.
  • Da die Überwachungsvorrichtung Ereignisprotokolle erstellt, können die Protokolle als Aufgaben in einer Arbeitswarteschlange in der Reihenfolge der Ankunftszeit gespeichert werden. Die Arbeitswarteschlange kann einem Cyberanalysten oder Cyberanalysesystem über eine Benutzerschnittstelle zur Unterstützung der Ereignisanalyse präsentiert werden. Über die Benutzerschnittstelle kann der Cyberanalyst oder das Cyberanalysesystem das Ereignisprotokoll an der Spitze der Warteschlange auswählen und mit der Untersuchung beginnen, wodurch der Cyberanalyse-Workflow-Prozess für das Ereignis eingeleitet wird Der Workflow kann wie folgt ablaufen: das Cyberanalysesystem oder der Cyberanalyst prüft die Informationen des Ereignisses und kann eine Untersuchung durchführen; kann eine Bestimmung der Art und des Schweregrads des Ereignisses vornehmen, z. B. feststellen, ob das Ereignis die Beschädigung oder den Verlust kritischer Ressourcen verursacht hat; kann feststellen, ob es möglicherweise Abschwächungs- oder Abhilfemaßnahmen gibt, z. B. feststellen, ob Malware von einem Host entfernt werden soll; und kann das Ereignis und etwaige Abmilderungs- oder Abhilfemaßnahmen als „Befund“ an die zuständigen Behörden melden, z. B. Geschäftsleitung und/oder Netzwerksicherheitsoperationen und/oder Aufsichtsbehörden, oder das Cyberanalysesystem oder der Cyberanalyst kann entscheiden, dass das Ereignis kein meldepflichtiger Befund ist, wobei in beiden Fällen der Workflow-Prozess abgeschlossen werden kann. Das Cyberanalysesystem kann die vom Cyberanalysesystem empfangenen Ereignisinformationen überprüfen und zusammenfassen. Die Zusammenfassung und/oder die Ereignisinformationen können einem Cyberanalytiker-Benutzergerät mit einer Anfrage zur Bereitstellung oder Bestimmung etwaiger fehlender Informationen präsentiert oder an dieses übertragen werden und können vorgeschlagene Bestimmungen von Art und Schweregrad des Ereignisses sowie vorgeschlagene Entschärfungs- oder Abhilfemaßnahmen enthalten. Wenn es sich bei dem Ereignis nicht um einen meldepflichtigen Befund handelt, wird die Arbeit des Cyberanalysten als „verschwendeter“ Aufwand betrachtet. Jegliche Zeit, die für die Untersuchung eines Ereignisses aufgewendet wird, das keinen meldepflichtigen Befund darstellt, kann als Ineffizienz betrachtet werden, die sich beispielsweise aufgrund von Opportunitätskosten negativ auf die Qualität der Cybersicherheit auswirken kann. Das heißt, die Zeit, die für die Untersuchung des nicht meldepflichtigen Ereignisses aufgewendet wurde, hätte stattdessen für die Untersuchung eines meldepflichtigen Befunds verwendet werden können.
  • Um meldepflichtige Befunde zu behandeln, muss eine Verwaltungsvorrichtung möglicherweise Maßnahmen für den Befund ergreifen, z. B. den Befund an Behörden melden, indem es Berichtnachrichten an Netzwerkgeräte der Behörden sendet, um die geltenden Vorschriften einzuhalten. Netzwerksicherheitsoperationen können für die Ausführung der mit dem Befund verbundenen Abhilfemaßnahmen verantwortlich sein. Nach Abschluss eines einzelnen Workflow-Prozesses kann das Cyberanalysesystem oder der Cyberanalyst eine Nachricht übertragen, um einen neuen Workflow-Prozess zu initiieren, indem er zur Auswahl eines nächsten zu analysierenden Ereignisses zurückkehrt, einen Workflow für das nächste Ereignis ausführen und feststellen, dass das nächste Ereignis entweder meldepflichtig oder nicht meldepflichtig ist. Dieser Workflow-Zyklus kann wiederholt werden, bis der Cyberanalyst seine Arbeitssitzung beendet hat oder bis die Arbeitswarteschlange geleert wurde.
  • Ein Hauptproblem bei Cybersicherheitsoperationen besteht darin, dass in einer typischen Cybersicherheitsumgebung mit Cyberanalysten, die herkömmliche Cyberanalyse-Anwendungen und -Tools verwenden, die Generierungsrate von Bedrohungsereignissen, oder äquivalent dazu die Ankunftsrate in der Arbeitswarteschlange, die Bearbeitungsrate eines Cyberanalysten für jedes Ereignis bei weitem übersteigen kann. Wenn der Cyberanalyse-Workflow-Zyklus zu langsam abläuft, kann der Rückstand oder die Warteschlange der zu bearbeitenden Ereignisse anwachsen, bis die maximale Größe der Warteschlange überschritten wird, woraufhin Ereignisse aus der Warteschlange verworfen werden können. Verworfene Ereignisse können nie untersucht werden, sodass es vorkommen kann, dass einige potenziell meldepflichtige Ereignisse möglicherweise nie entdeckt werden. Dies beeinträchtigt die Cybersicherheit.
  • Ein Ansatz zur Lösung des Problems besteht darin, die Bearbeitungsrate einer Warteschlange für Bedrohungsereignisse zu erhöhen. Eine Möglichkeit, dies zu tun, besteht darin, mehr Cyberanalysten hinzuzufügen, um eine Warteschlange für Bedrohungsereignisse zu bearbeiten. In typischen Umgebungen ist es jedoch nicht praktikabel, die Anzahl der Cyberanalysten so weit zu erhöhen, dass die Abarbeitungsrate der Warteschlange mit der Ereignisankunftsrate der Warteschlange übereinstimmt.
  • Eine andere Art, die Bearbeitungsrate zu erhöhen, besteht darin, die durchschnittliche Zykluszeit des Workflows zu reduzieren, beziehungsweise die durchschnittliche Betriebszeit pro Ereignis oder Aufgabe in der Warteschlange zu reduzieren, d. h. den Workflow zu beschleunigen. In einer typischen Umgebung kann es vorkommen, dass die meisten Ereignisse als risikoarm oder Fehleralarm eingestuft werden und daher nicht gemeldet werden müssen. Wenn es also eine Möglichkeit gibt, sicherzustellen, dass ein Cyberanalyst keine Zeit mit der Untersuchung von Ereignissen verbringt, die als nicht meldepflichtig eingestuft würden, dann ist die Zykluszeit für solche Ereignisse gleich null, und die durchschnittliche Zykluszeit des Workflows kann erheblich reduziert werden. Wenn es umgekehrt eine Möglichkeit gibt, sicherzustellen, dass ein Cyberanalyst nur Ereignisse untersucht, die als meldepflichtig eingestuft würden, kann die durchschnittliche Workflow-Zykluszeit erheblich reduziert werden. Bezüglich der Ereigniswarteschlange, können, anstatt die Ereignisse in der Warteschlange nach der Ankunftszeit zu ordnen, was dazu führt, dass die ältesten Ereignisse an der Spitze der Warteschlange stehen, die Ereignisse in der Warteschlange nach ihrer Meldepflichtwahrscheinlichkeit (engl.: likelihood of reportability) (ein Wahrscheinlichkeitswert in [0,1]) geordnet oder sortiert werden, was dazu führt, dass die Ereignisse, für die die Wahrscheinlichkeit einer Meldepflicht am höchsten ist, an der Spitze der Warteschlange stehen. Um die Ereignisse in der Warteschlange nach ihrer Meldepflichtwahrscheinlichkeit zu ordnen, kann ein Algorithmus, der die Wahrscheinlichkeit der Meldepflicht eines Ereignisses berechnet, auf jedes in der Warteschlange ankommende Ereignis angewendet werden, und anschließend kann das Ereignis in sortierter Reihenfolge in die Warteschlange eingefügt werden. Ereignisse mit einer geringen Wahrscheinlichkeit der Meldepflicht können von Cyberanalysten nie untersucht werden und können aus der Warteschlange entfernt werden; dann ist die Bearbeitungszeit für solche Ereignisse gleich null, und somit wird die durchschnittliche Workflow-Zykluszeit für Ereignisse in der Warteschlange reduziert, was zu einer Beschleunigung des Workflows führt.
  • Eine entscheidende Komponente zur Beschleunigung des Cyberanalyse-Workflows ist die Entwicklung von Algorithmen, die die Wahrscheinlichkeit der Meldepflicht eines Ereignisses berechnen. Bevor die Art solcher Algorithmen beschrieben wird, sei darauf hingewiesen, dass, wenn es Algorithmen gäbe, die die Wahrscheinlichkeit der Meldepflicht eines Ereignisses mit hoher Genauigkeit berechnen, kaum noch Bedarf an menschlichen Cyberanalysten zur Durchführung von Untersuchungen bestünde; sie könnten vollständig durch Roboter ersetzt werden. Bislang wurden solche hochpräzisen Algorithmen noch nicht entwickelt, und es wird allgemein angenommen, dass es Menschen nicht möglich ist, hochpräzise Algorithmen mit expliziten Programmiermethoden zu entwickeln. Außerdem können Algorithmen, die für ein bestimmtes Netzwerk oder einen bestimmten Bereich der Welt als genau gelten, als nicht genau gelten, wenn sie global auf Ereignisse in allen Cybersicherheitsumgebungen angewendet werden. Das heißt, dass Ereignisse, die in einer Umgebung als meldepflichtig angesehen werden, in einer anderen Umgebung möglicherweise nicht als meldepflichtig angesehen werden, da unterschiedliche Überlegungen darüber angestellt werden, welche Ereignisse als meldepflichtig anzusehen sind. Betrachtet man zum Beispiel zwei politische Nationen A und B, die sich gegenseitig feindlich gesinnt sind oder sich sogar im Kriegszustand befinden können. Angenommen, es gibt einen Malware-Verteilungsserver M, der an ein Netzwerk angeschlossen ist, das vom Militär der Nation A kontrolliert und betrieben wird. Jede vernetzte Kommunikation mit M kann potenziell eine Malware-Verteilung darstellen und sollte daher als Bedrohungsrisiko angesehen werden. Eine Kommunikation zwischen dem Malware-Verteilungsserver M und einem Host-Computer, der an ein von der Nation A kontrolliertes Netzwerk angeschlossen ist, wird jedoch von Nation A möglicherweise nicht als meldepflichtiges Ereignis angesehen; umgekehrt wird eine Kommunikation zwischen dem Malware-Verteilungsserver M und einem Host-Computer, der an ein von der Nation B kontrolliertes Netzwerk angeschlossen ist, von Nation B wahrscheinlich als meldepflichtiges Ereignis angesehen.
  • Es können zwei Arten von Algorithmen verwendet werden, um eine geschätzte Meldepflichtwahrscheinlichkeit für ein Ereignis zu bestimmen: (1) von Menschen entworfene (H/D) heuristische Algorithmen, die explizit programmiert werden können; und (2) maschinell entworfene oder maschinell erlernte (M/L) (engl.: machine learned algorithm) Algorithmen, die von einem maschinellen Lernsystem erzeugt werden können. Um Schätzungen für die Meldepflichtwahrscheinlichkeit eines Ereignisses zu ermitteln, können H/D-Algorithmen Ereignismerkmale klassifizieren und/oder Messgrößen für Ereignismerkmale mathematisch kombinieren, wie z. B. die Zuverlässigkeit des Bedrohungsindikators des Ereignisses (URls haben eine höhere Zuverlässigkeit als Domainnamen, und Domainnamen haben eine höhere Zuverlässigkeit als IP-Adressen), das Alter des Indikators, den (die) Threat Intelligence-Anbieter, der (die) den Indikator bereitgestellt hat (haben), die Reputation des (der) Threat Intelligence-Anbieters, die Reputation oder Risikobewertung, die dem Bedrohungsindikator von dem (den) Threat Intelligence- Anbieter(n) zugewiesen wurde, oder andere vom Menschen selektionierte Ereignismerkmale. Um die Meldepflichtwahrscheinlichkeit eines Ereignisses zu bestimmen, kombiniert ein M/L-Algorithmus in ähnlicher Weise Ereignismerkmale, indem er Ereignismerkmale mit zuvor identifizierten Bedrohungsereignissen korreliert. Im Gegensatz zu H/D-Algorithmen kann ein M/L-Algorithmus viel mehr Merkmale verwenden und diese Merkmale auf komplexere Weise kombinieren, z. B. durch die Berechnung nichtlinearer multivariabler Funktionen, die von Menschen nicht ohne weiteres entworfen oder explizit programmiert oder gut verstanden werden können. Die Merkmale und Kombinationen, die zu einer präzisen Bestimmung der Meldepflichtfähigkeit führen, können von maschinellen Lernsystemen erlernt werden, die Ansätze wie künstliche neuronale Netze (ANNs für „artificial neural networks“), genetische Programmierung (GP) und dergleichen verwenden, die typischerweise überwachte Lernverfahren verwenden. Ein maschinelles Lernsystem erzeugt einen M/L-Algorithmus, der einen Meldepflichtwahrscheinlichkeitswert für ein Bedrohungsereignis berechnet.
  • Dabei ist zu beachten, dass einige der Ereignismerkmale, die sowohl von den H/D-Algorithmen als auch von den M/L-Algorithmen verwendet werden, neu sind und als Teil der Offenbarung angesehen werden.
  • Um effektive M/L-Algorithmen zu erzeugen, benötigen maschinelle Lernsysteme, die überwachtes Lernen verwenden, oft eine erhebliche Menge an Trainingsdaten. Die Trainingsdaten bestehen aus Protokollen von Bedrohungsereignissen, die (von menschlichen Cyberanalysten) in meldepflichtige Befunde (positive Beispiele) und nicht meldepflichtige Ereignisse (negative Beispiele) kategorisiert wurden. Ein potenzielles Problem bei der Verwendung von M/L-Algorithmen zur Beschleunigung des Cyberanalyse-Workflows ist deshalb die Selbstblockade aufgrund unzureichender Trainingsdaten. Das heißt, die Generierung ausreichender Mengen von Trainingsdaten in einer praktikablen Zeitspanne, um hochpräzise M/L-Algorithmen für die Workflow-Beschleunigung zu erzeugen, kann selbst eine Workflow-Beschleunigung erfordern.
  • Um diese potenzielle Sackgasse zu vermeiden, können in der Zeitspanne, in der der M/L-Algorithmus aufgrund unzureichenden Trainings nicht ausreichend präzise ist, heuristische H/D-Algorithmen verwendet werden, um die Meldepflichtwahrscheinlichkeiten von Ereignissen zu bestimmen und dadurch eine gewisse Beschleunigung des Cyberanalyse-Workflows während des Erzeugens von Trainingsdaten zu erreichen. Die Trainingsdaten können verwendet werden, um M/L-Algorithmen zu generieren, die im Laufe der Zeit eine hohe Genauigkeit bei der Bestimmung der Meldepflichtwahrscheinlichkeit erreichen können. Dann können die M/L-Algorithmen auf Ereignisse in der Warteschlange angewendet werden, um die Ereignisse nach ihrer Meldepflichtwahrscheinlichkeit zu ordnen (möglicherweise in Kombination mit den H/D-Algorithmen für Meldepflichtwahrscheinlichkeit). Cyberanalysten untersuchen Ereignisse an der Spitze der Warteschlange (welche die Ereignisse mit der höchsten Meldepflichtwahrscheinlichkeit sein können) und schließen ihre Untersuchung, oder Workflow-Zyklus, ab, indem sie das Ereignis entweder als meldepflichtig oder als nicht meldepflichtig kennzeichnen. Jedes Ereignis, das ein Cyberanalysesystem oder Cyberanalyst untersucht und als meldepflichtig oder nicht meldepflichtig eingestuft hat, kann als Trainingsdaten in das maschinelle Lernsystem zurückgespeist werden, das dann zur Erstellung eines noch genaueren M/L-Algorithmus verwendet wird. Ereignisse in der sortierten Warteschlange, deren Meldepflichtwahrscheinlichkeit unter einem bestimmten Schwellenwert liegt (der vom Cyberanalysten subjektiv bestimmt werden kann), können aus der Warteschlange verworfen werden, und verworfene Ereignisse können nie untersucht werden. Wie weiter oben erwähnt, beschleunigt das Verwerfen von Ereignissen in der Warteschlange den Workflow.
  • Ein weiterer Grund für die Verwendung von H/D-Algorithmen in Kombination mit M/L-Algorithmen zur Verbesserung der Workflow-Beschleunigung ist die Behandlung unregelmäßiger und eigenwilliger Ereignisse. Es kann ein Bedrohungsereignis auftreten, das bei der Untersuchung durch einen Cyberanalysten als meldepflichtiges Ereignis eingestuft wird, das aber nicht gut mit den Mustern früherer meldepflichtiger Ereignisse übereinstimmt, die als Trainingsdaten für den M/L-Algorithmus verwendet wurden. Daher wird der M/L-Algorithmus dem Ereignis eine niedrige Meldepflichtwahrscheinlichkeit zuweisen, während der H/D-Algorithmus ihm eine höhere Meldepflichtwahrscheinlichkeit zuweisen kann. Um das Gesamtsystem robust gegenüber solchen Anomalien oder gegenüber Änderungen in den Mustern von Bedrohungsereignissen zu machen (wie es in der Cybersicherheit oft der Fall ist), können von H/D-Algorithmen berechnete Meldepflichtwahrscheinlichkeiten mit von M/L-Algorithmen berechneten Meldepflichtwahrscheinlichkeiten kombiniert werden, so dass die kombinierte Wahrscheinlichkeit immer größer oder gleich der größeren von der H/D-Wahrscheinlichkeit und der M/L-Wahrscheinlichkeit ist (aber immer kleiner oder gleich 1). Somit sollte, selbst wenn die M/L-Wahrscheinlichkeit niedrig ist, der kombinierte Meldepflichtwahrscheinlichkeitswert, der zum Sortieren des Ereignisses in der Warteschlange verwendet wird, größer oder gleich dem H/D-Wert sein.
  • Die von verschiedenen Algorithmen berechneten Meldepflichtwahrscheinlichkeiten können gewichtet werden. Die H/D-Algorithmen können mit von M/L-Algorithmen berechneten Meldepflichtwahrscheinlichkeiten kombiniert werden, so dass die kombinierte Meldepflichtwahrscheinlichkeit so gewichtet wird, dass einer der Algorithmen hervorgehoben wird. Das System kann so gewichtet werden, dass der H/D-Algorithmus hervorgehoben wird. Das System kann den H/D-Algorithmus dazu verwenden, eine kombinierte Zuverlässigkeit zu bestimmen, bis die Menge der Trainingsdaten, die zur Verfeinerung des M/L-Algorithmus verwendet werden, einen Schwellenwert erreicht hat. Mit zunehmender Menge an Trainingsdaten kann die Gewichtung verschoben werden, um ein Gleichgewicht zwischen der H/D-Wahrscheinlichkeit und der M/L-Wahrscheinlichkeit herzustellen.
  • Außerdem können die historischen Daten/Trainingsdaten, die zur Generierung von M/L-Algorithmen verwendet werden, spezifisch für ein bestimmtes System/eine bestimmte Organisation, ein bestimmtes Netzwerksegment oder einen bestimmten Netzwerkanalysten sein. So ist es beispielsweise möglich, dass ein Bedrohungsereignis (bzw. Bedrohungsereignisse), das (die) in einem Marktsegment/ Bereich kritischer Infrastrukturen als signifikant angesehen wird (werden) (d. h., dass es die Zeit und den Aufwand eines Cyberanalysten wert ist), in einem anderen Marktsegment/Bereich kritischer Infrastrukturen nicht als signifikant angesehen wird. Ebenso wird innerhalb eines bestimmten Segments ein Bedrohungsereignis, das von einer Organisation in einem bestimmten Segment als signifikant eingestuft wird, von einer anderen Organisation in demselben Segment nicht als signifikant angesehen. Darüber hinaus wird ein Bedrohungsereignis, das von einem Cyberanalysten als signifikant eingestuft wird, von einem anderen Cyberanalysten nicht als signifikant angesehen. Daher können die M/L-Algorithmen je nach Markt-/Netzwerksegment, Bereich kritischer Infrastrukturen, Organisation oder Cyberanalysten, die die Trainingsdaten für diesen Algorithmus liefern, variieren.
  • Die Trainingsdaten werden also verwendet, um Korrelationsmessalgorithmen zu entwickeln, die auf ein bestimmtes Segment, eine Organisation oder einen einzelnen Cyberanalysten „abgestimmt“ sind. Dies bedeutet auch, dass mehrere Korrelationsmessungsalgorithmen gleichzeitig verwendet werden können, wobei jeder Algorithmus an einem unterschiedlichen Satz Trainingsdaten maschinenerlernt/trainiert wird.
  • Eine TCP/IP-Kommunikationsüberwachungsvorrichtung, die als Cyber Threat Intelligence (CTI)-Gateway bezeichnet wird, kann so konfiguriert sein, dass sie Kommunikationen erkennt und protokolliert, die mit Bedrohungsindikatoren, Signaturen, Verhaltensmustern und dergleichen übereinstimmen. Wenn die Vorrichtung eine Bedrohungskommunikation oder ein Bedrohungsereignis erkennt, kann sie das Ereignis protokollieren und das Ereignisprotokoll an eine Arbeitswarteschlange weiterleiten, die Aufgaben für das Cyberanalysesystem oder Cyberanalysten zur Untersuchung enthält. Vor dem Einfügen des Ereignisprotokolls in die Warteschlange kann die Meldepflichtwahrscheinlichkeit des Ereignisses, ein Wahrscheinlichkeitswert zwischen 0 und 1, individuell sowohl von einem H/D-Algorithmus als auch von einem M/L-Algorithmus berechnet werden. Der Wahrscheinlichkeitswert des H/D-Algorithmus und der Wahrscheinlichkeitswert des M/L-Algorithmus können kombiniert werden, um einen integrierten Meldepflichtwahrscheinlichkeitswert, genannt R, zu erzeugen. Das Ereignisprotokoll kann in sortierter Reihenfolge in die Arbeitswarteschlange eingefügt werden, wobei das Sortierkriterium der Wert von R für jedes Ereignisprotokoll in der Warteschlange ist und größere R-Werte in der Nähe der Spitze der Warteschlange liegen. Eine Vorrichtung ruft das Ereignisprotokoll an der Spitze der Warteschlange ab (das das Ereignisprotokoll mit dem größten Wert von R unter allen Ereignisprotokollen in der Warteschlange sein kann), unterzieht es einer Pop-Operation oder entfernt es, und überträgt das Ereignisprotokoll zur Untersuchung an das Cyberanalysesystem oder den Cyberanalysten, und das Cyberanalysesystem oder der Cyberanalyst bestimmt, ob das Ereignis meldepflichtig oder nicht meldepflichtig ist. Wenn das Ereignis meldepflichtig ist, kann das Cyberanalysesystem oder das Cyberanalyst-Benutzergerät einen Bericht für das Ereignis erstellen, der eine Empfehlung für Abhilfemaßnahmen enthalten kann, oder das Cyberanalysesystem oder der Cyberanalyst kann Abhilfemaßnahmen durchführen oder empfehlen und diese Informationen in den Bericht aufnehmen. Das Ereignisprotokoll kann an das maschinelle Lernsystem weitergeleitet werden, um als Trainingsdaten verwendet zu werden, um die Genauigkeit des M/L-Algorithmus weiter zu verbessern. Der Bericht kann an die zuständigen Behörden übermittelt werden, die für die Gewährleistung der Netzwerksicherheit, die Durchführung von Abhilfemaßnahmen, die Einhaltung geltender Vorschriften, die Meldung von Compliance-Verstößen und dergleichen verantwortlich sind.
  • Der Workflow-Prozess und die Überwachungs- und Protokollierungsprozesse können kontinuierlich wiederholt werden. Die Überwachungsvorrichtung erkennt und protokolliert Bedrohungskommunikationsereignisse und leitet die Ereignisse an die Arbeitswarteschlange weiter. Ereignisse können in die Warteschlange in sortierter Reihenfolge nach ihren R-Werten eingefügt werden, die durch H/D- und M/L-Algorithmen berechnet werden können. Das Cyberanalysesystem oder die Cyberanalysten können Ereignisse von der Spitze der Warteschlange abrufen, anfordern oder übertragen bekommen, die Ereignisse untersuchen und sie als meldepflichtig oder nicht meldepflichtig kennzeichnen. Untersuchte Ereignisse, sowohl meldepflichtige als auch nicht meldepflichtige, können an das maschinelle Lernsystem zur Verwendung als Trainingsdaten für die Erzeugung genauerer M/L-Algorithmen gesendet werden. Das Cyberanalysesystem oder die Cyberanalysten untersuchen Ereignisprotokolle an der Spitze der Warteschlange, bis die R-Werte unter einen Schwellenwert fallen (der subjektiv sein kann). Ereignisprotokolle mit einem R-Wert unter einem bestimmten Schwellenwert können aus der Warteschlange verworfen werden, und verworfene Ereignisprotokolle können nie von Cyberanalysten untersucht werden.
  • Der oben beschriebene Prozess beschleunigt den Workflow, indem er die durchschnittliche Bearbeitungsrate bzw. Untersuchungszeit pro Ereignis in der Warteschlange reduziert. Das Cyber Threat Intelligence-Betriebssystem kann sicherstellen, dass Cyberanalysten nur Ereignisse mit hohen R-Werten untersuchen und keine Zeit mit der Untersuchung von Ereignissen mit niedrigen R-Werten (Ereignisse mit R-Werten unter einem bestimmten Schwellenwert) verbringen.
  • Figurenliste
  • Die vorliegende Offenbarung ist in den beigefügten Ansprüchen besonders hervorgehoben. Merkmale der Offenbarung werden bei Durchsicht der Offenbarung in ihrer Gesamtheit, einschließlich der beigefügten Zeichnungen, deutlicher.
  • Einige der hierin enthaltenen Merkmale sind beispielhaft und nicht einschränkend in den Figuren der beigefügten Zeichnungen dargestellt, in denen gleiche Bezugszeichen ähnliche Elemente bezeichnen, und in denen:
    • 1 ein illustratives Funktionsdiagramm einer Cyber Threat Intelligence (CTI)-Betriebsumgebung zur Beschleunigung des Cyberanalyse-Workflows gemäß einem oder mehreren Aspekten der Offenbarung zeigt;
    • 2 eine illustrative TCP/IP-Netzwerkumgebung für ein CTI-Betriebssystem mit Beschleunigung des Cyberanalyse-Workflows gemäß einem oder mehreren Aspekten der Offenbarung zeigt;
    • 3 eine illustrative Funktionsumgebung für einen Cyberanalyse-Workflow-Anwendungsprozess gemäß einem oder mehreren Aspekten der Offenbarung zeigt;
    • 4 einen repräsentativen, vom Menschen entworfenen (H/D) heuristischen Algorithmus zur Bestimmung der Meldepflichtwahrscheinlichkeit für ein Kommunikationsereignis, das von einem Cyber Threat Intelligence-Gateway erfasst wurde, in Übereinstimmung mit einem oder mehreren Aspekten der Offenbarung zeigt;
    • 5 ein maschinelles Lernsystem zur Erzeugung von maschinell erlernten (M/L) Algorithmen zum Bestimmen der Meldepflichtwahrscheinlichkeit für ein Kommunikationsereignis, das von einem Cyber Threat Intelligence-Gateway erfasst wurde, gemäß einem oder mehreren Aspekten der Offenlegung zeigt;
    • 6a und 6b Merkmale von Kommunikationsereignisprotokollen und zugehörige Maßnahmen auflisten, die als Eingabe für maschinelle Lernsysteme und für M/L-Algorithmen zur Bestimmung der Meldepflichtwahrscheinlichkeit für Kommunikationsereignisse, die von Cyber Threat Intelligence-Gateways gesammelt wurden, gemäß einem oder mehreren Aspekten der Offenbarung verwendet werden können.
  • AUSFÜHRLICHE BESCHREIBUNG
  • In der folgenden Beschreibung verschiedener illustrativer Ausführungsformen wird auf die begleitenden Zeichnungen verwiesen, die einen Teil dieses Dokuments bilden und in denen zur Veranschaulichung verschiedene Ausführungsformen gezeigt werden, in denen Aspekte der Offenbarung ausgeführt werden können. Es versteht sich, dass andere Ausführungsformen verwendet und strukturelle und funktionelle Änderungen vorgenommen werden können, ohne dass der Umfang der Offenbarung verlassen wird. Darüber hinaus wird auf bestimmte Anwendungen, Protokolle und Ausführungsformen verwiesen, in denen Aspekte der Offenbarung ausgeführt werden können. Es versteht sich, dass andere Anwendungen, Protokolle und Ausführungsformen verwendet und strukturelle und funktionelle Änderungen vorgenommen werden können, ohne dass der Umfang der Offenbarung verlassen wird.
  • In der folgenden Beschreibung werden verschiedene Verbindungen zwischen Elementen diskutiert. Diese Verbindungen sind allgemein und können, sofern nicht anders angegeben, direkt oder indirekt, verdrahtet oder drahtlos, physikalisch oder logisch definiert sein. In dieser Hinsicht ist die Beschreibung nicht als einschränkend gedacht.
  • 1 zeigt ein illustratives Funktionsdiagramm einer Cyber Threat Intelligence (CTI)-Betriebsumgebung zur Beschleunigung des Cyberanalyse-Workflows gemäß einem oder mehreren Aspekten der Offenbarung. Bezugnehmend auf 1 kann das CTI-Betriebssystem 100 funktionale Komponenten eines typischen Cyber Threat Intelligence (CTI)-Betriebszyklus enthalten. Die CTI-Anforderungskomponente 110 erfasst Cyber-Bedrohungsdaten von verschiedenen Anbietern in Form von: Bedrohungsindikatoren, zum Beispiel IP-Adressen, Domainnamen und URls von ans Internet angeschlossenen Endpunkten, die von kriminellen Gruppierungen kontrolliert werden können; Bedrohungssignaturen, zum Beispiel ein MD5-Hash einer Malware-Datei; und Bedrohungsverhaltensmuster, zum Beispiel eine Datei mit einer .mp3-Erweiterung, die Systemaufrufe tätigt. Die CTI-Anforderungskomponente 110 verteilt die CTI an die Erfassungskomponente 120, die durch CTI-Gateways implementiert sein kann. CTI-Gateways können Netzwerk-Appliances sein, die Netzwerkkommunikationen auf Übereinstimmungen mit der CTI untersuchen. Die Erfassungskomponente oder das CTI-Gateway 120 kann sich innerhalb des Netzwerks A 150 befinden, an oder in der Nähe der Schnittstelle zwischen Netzwerk A 150 und Netzwerk B 160. Angenommen, zum Beispiel, ein Host-Desktop-Computer, der an Netzwerk A 150, zum Beispiel ein Firmen-LAN (Local Area Network), angeschlossen ist, sendet eine Web-Hypertext Transfer Protocol (HTTP)-Anfrage mit dem Uniform Resource Locator (URL) http://www.malwareserver.net/directorv-aaa/a87gah.exe an einen Webserver www.malware-server.net, der an Netzwerk B 160 angeschlossen ist, welches das Internet sein kann. Wenn die Erfassungskomponente oder das CTT-Gateway 120 Netzwerkkommunikationen für den Bedrohungsanzeiger www.malware-server.net sucht, erkennt sie die HTTP-Anfrage und kann die daraus resultierende HTTP-Sitzung als Bedrohungsereignis protokollieren. Die Erfassungskomponente oder das CTI-Gateway 120 sendet Bedrohungsereignisprotokolle an das Cyberanalyse-Anwendungssystem 130. Das Cyberanalyse-Anwendungssystem 130 kann Funktionen enthalten, die von Cyberanalysten unter Verwendung von Anwendungen zur Analyse von Bedrohungsereignissen, wie z. B. SIEM (security information and event management)-Anwendungen, ausgeführt werden, um die Ereignisse zu untersuchen und zu bestimmen, ob die Ereignisse den Behörden gemeldet werden sollten. Die Berichte können Abhilfemaßnahmen enthalten. Das Cyberanalyse-Anwendungssystem 130 sendet alle meldepflichtigen Befunde an Netzwerkgeräte des Authority-Systems 140. Die Netzwerkgeräte des Authority-Systems 140 können von Instanzen implementiert werden, die die Befugnis haben, die Abhilfemaßnahmen auszuführen, z. B. einen Host-Computer von einem Netzwerk zu trennen und ihn nach Malware zu durchsuchen. Das Cyberanalyse-Anwendungssystem 130 überträgt außerdem alle meldepflichtigen und nicht meldepflichtigen Ereignisse an das maschinelle Lernsystem 170, wo sie gespeichert und als Trainingsdaten verwendet werden können.
  • In einem CTI-Betriebssystem 100 ist oft das Cyberanalyse-Anwendungssystem 130 ein Engpass. Die Generierungsrate von Bedrohungsereignisprotokollen durch die Erfassungskomponente 120 bzw. die Ankunftsrate von Bedrohungsereignisprotokollen im Cyberanalyse-Anwendungssystem 130 übersteigt deutlich die Rate, mit der das Cyberanalyse-Anwendungssystem 130 die Bedrohungsereignisprotokolle verarbeitet oder die Rate, mit der die Cyberanalysten die Bedrohungsereignisse untersuchen. Das Ergebnis ist, dass nur ein kleiner Prozentsatz der Ereignisse untersucht werden kann. Darüber hinaus kann von den untersuchten Ereignissen oft nur ein kleiner Prozentsatz als meldepflichtige Befunde eingestuft werden. In einer typischen Firmennetzwerkumgebung kann es beispielsweise viele Port-Scan-Angriffe auf die öffentlich zugänglichen Server der Firma geben, die, zum Beispiel, von einer Netzwerk-Firewall leicht blockiert werden können. Diese blockierten Scan-Angriffsereignisse können protokolliert und an das Cyberanalyse-Anwendungssystem 130 gesendet werden, aber da die Angriffe häufig vorkommen können und blockiert wurden, werden sie von den Cyberanalysten nicht an die Behörden gemeldet. Das CTI-Betriebssystem 100 entschärft den Engpass, indem es Meldepflichtwahrscheinlichkeitswerte für die Ereignisse berechnet und die Ereignisse in der Arbeitswarteschlange nach ihrer Meldepflichtwahrscheinlichkeit ordnet, so dass die Cyberanalysten nur Ereignisse mit einer hohen Meldepflichtwahrscheinlichkeit untersuchen. Dadurch wird die durchschnittliche Bearbeitungszeit für die Untersuchung von Ereignissen erheblich reduziert und der Workflow der Cyberanalyse beschleunigt.
  • 2 zeigt ein illustratives Systemdiagramm einer Netzwerkumgebung für die Beschleunigung des Cyberanalyse-Workflows gemäß einem oder mehreren Aspekten der Offenbarung. Bezugnehmend auf 2 kann das CTI-Betriebssystem 100 ein oder mehrere Netzwerke umfassen. Zum Beispiel kann das CTI-Betriebssystem 100 das Netzwerk A 150 und das Netzwerk B 160 umfassen. Das Netzwerk A 150 kann ein oder mehrere Netzwerke (z. B. Local Area Networks (LANs), Wide Area Networks (WANs), Virtual Private Networks (VPNs), Software-Defined Networks (SDNs) oder Kombinationen davon) umfassen, die z. B. mit einer oder mehreren Personen oder Einrichtungen (z. B. Regierungen, Firmen, Dienstleistern oder anderen Organisationen) verbunden sind. Netzwerk B 160 kann ein oder mehrere Netzwerke (z. B. LANs, WANs, VPNs, SDNs oder Kombinationen davon) umfassen, die das Netzwerk A 150 mit einem oder mehreren anderen Netzwerken (in 2 nicht dargestellt) verbinden. Beispielsweise kann das Netzwerk B 160 das Internet oder ein ähnliches Netzwerk oder Teile davon umfassen, das viele öffentliche und private Netzwerke wie das Netzwerk A 150 miteinander verbindet.
  • Das CTI-Betriebssystem 100 kann auch einen oder mehrere Hosts enthalten, wie z. B. Computer- oder Netzwerkgeräte (z. B. Server, Desktop-Computer, Laptop-Computer, Tablet-Computer, mobile Geräte, Smartphones, Router, Gateways, Switches, Access Points oder dergleichen). Beispielsweise kann das Netzwerk A 150 Endpunkte Host-A1 152 und Host-A2 154 sowie eine Host-Infrastruktur (in 2 nicht dargestellt) zur Unterstützung von Systemen wie einem Cyberanalyse-Anwendungssystem 130 und ein maschinelles Lernsystem 170 umfassen. Die Hosts 152 und 154 können z. B. HTTP-Client-Anwendungen (Webbrowser) unterstützen, die auf HTTP-Server (Webseiten) zugreifen, die ans Internet angeschlossen sind. Netzwerk A 150 kann auch eine Vielzahl von Erfassungskomponenten oder CTI-Gateway-Geräten 120 enthalten, die sich typischerweise am oder in der Nähe des Netzwerkrands befinden und den Netzwerkverkehr überprüfen, der über Netzwerkverbindungen 106 läuft, die Netzwerke wie Netzwerk A 150 und Netzwerk B 160 verbinden. Die Erfassungskomponenten oder CTI-Gateway-Geräte 120 können Bedrohungsereignisse erkennen, die CTI entsprechen, und die Ereignisse protokollieren und erfassen und die Protokolle an das Cyberanalyse-Anwendungssystem 130 zur Untersuchung durch Cyberanalysten senden.
  • Netzwerk B 160 kann Endpunkte Host-B1 162 und Host-B2 164 sowie eine Host-Infrastruktur (in 2 nicht dargestellt) zur Unterstützung der CTI-Anbietersysteme 112 und 114 umfassen. Die Host-Geräte 162 und 164 können zum Beispiel HTTP-Server-Anwendungen (Webseiten) unterstützen, die von kriminellen Gruppierungen betrieben oder kontrolliert werden können, die Endpunkte mit HTTP-Clients, z. B. die Host-Geräte 152 und 154, welche Sitzungen mit den HTTP-Servern aufbauen, gefährden können. Die CTI-Anbietersysteme 112 und 114 können mit Diensten verbunden sein, die Netzwerkbedrohungen überwachen (z. B. Bedrohungen, die mit den Bedrohungshosts (engl.: threat hosts) 162 und 164 verbunden sind) und Cyber Threat Intelligence-Berichte an Teilnehmer wie Erfassungskomponenten oder CTI-Gateways 120 und Cyberanalyse-Anwendungssysteme 130 weitergeben. Die Cyber Threat Intelligence-Berichte können Netzwerkbedrohungsindikatoren (z. B. Netzwerkadressen, Ports, vollqualifizierte Domainnamen (FQDNs), URLs (Uniform Resource Locators), URls (Uniform Resource Identifiers) oder dergleichen) enthalten, die mit den Netzwerkbedrohungen in Verbindung stehen; Netzwerkbedrohungssignaturen (z. B. MD5-Hashes von Malware-Dateien) und Verhaltensmuster von Netzwerkbedrohungen (z. B. Dateien mit Datenerweiterungen, die Prozesse ausführen können, Kommunikationen, die auf 12P-Knoten hinweisen, und dergleichen) sowie andere Informationen, die mit den Netzwerkbedrohungen verbunden sind, z. B. die Art der Bedrohung (z. B. Phishing-Malware, Botnet-Malware oder dergleichen), geografische Informationen (z. B. ITAR (International Traffic in Arms Regulations)-Land, OFAC (Office of Foreign Assets Control)-Land, geolP-Daten und dergleichen), anonyme Netzwerke und Darknets (z. B. Tor-Netzwerk, 12P-Netzwerk und dergleichen) und kriminelle Gruppierungen (z. B. das Russian Business Network (RBN), die Syrian Electronic Army (SEA), APTI und dergleichen).
  • 3 zeigt eine illustrative Umgebung für einen Cyberanalyse-Workflow-Anwendungsprozess gemäß einem oder mehreren Aspekten der Offenbarung. Bezugnehmend auf 3 entspricht das Cyberanalyse-Anwendungssystem 130 dem in 1 und 2 dargestellten Cyberanalyse-Anwendungssystem 130. Das Cyberanalyse-Anwendungssystem 130 kann einen oder mehrere Prozessoren, Speicher und/oder Netzwerkschnittstellen enthalten. Die hier beschriebenen Funktionen und Schritte können in computerverwendbaren Daten oder computerausführbaren Anweisungen verkörpert sein, z. B. in einem oder mehreren Programmmodulen, die von einem oder mehreren Computern oder anderen Geräten ausgeführt werden, um eine oder mehrere hier beschriebene Funktionen auszuführen. Im Allgemeinen umfassen Programmmodule Routinen, Programme, Objekte, Komponenten, Datenstrukturen usw., die bestimmte Aufgaben ausführen oder bestimmte abstrakte Datentypen implementieren, wenn sie von einem oder mehreren Prozessoren in einem Computer oder einem anderen Datenverarbeitungsgerät ausgeführt werden. Die computerausführbaren Anweisungen können auf einem computerlesbaren Medium wie einer Festplatte, einer optischen Platte, einem Wechseldatenträger, einem Festkörperspeicher, RAM usw. gespeichert sein. Wie zu erkennen sein wird, kann die Funktionalität der Programmmodule in verschiedenen Ausführungsformen beliebig kombiniert oder verteilt werden. Darüber hinaus kann die Funktionalität ganz oder teilweise in Firmware oder Hardware-Äquivalenten, wie integrierten Schaltkreisen, anwendungsspezifischen integrierten Schaltkreisen (ASICs), feldprogrammierbaren Gate-Arrays (FPGAs) und dergleichen, verkörpert sein. Spezielle Datenstrukturen können verwendet werden, um einen oder mehrere Aspekte der Offenbarung effektiver zu implementieren, und solche Datenstrukturen werden als im Rahmen der hier beschriebenen computerausführbaren Anweisungen und computerverwendbaren Daten liegend betrachtet.
  • Die Eingabe in das Cyberanalyse-Anwendungssystem 130 sind Bedrohungsereignisprotokolle, die von der Erfassungskomponente oder dem CTI-Gateway-System 120 (extern zum Cyberanalyse-Anwendungssystem 130) erzeugt werden, die/das der Erfassungskomponente 120 wie in 1 dargestellt und der Erfassungskomponente oder dem CTI-Gateway-System 120 wie in 2 dargestellt entspricht. Die Erfassungskomponente oder das CTI-Gateway 120 erzeugt Bedrohungsereignisprotokolle, die von Kommunikationen abgeleitet werden können, die mit CTI übereinstimmen, die von CTI-Anbietern wie den in 2 dargestellten CTI-Anbietern 112 und 114 bereitgestellt werden, und die aktuell von der Erfassungskomponente oder dem CTI-Gateway 120 auf Netzwerkkommunikationen zwischen Netzwerken wie dem in 2 dargestellten Netzwerk A 150 und Netzwerk B 160 angewendet werden können.
  • Die Ereignisprotokolle können von der CTI-Anreicherungsvorrichtung 131 empfangen und verarbeitet werden. Die CTI-Anreicherungsvorrichtung 131 fügt zusätzliche Daten zu den Bedrohungsprotokollen hinzu, die von CTI-Anbietern stammen und zur Berechnung der Meldepflichtwahrscheinlichkeit verwendet werden können. Diese Datenanreicherung kann, zum Beispiel, die Namen aller CTI-Anbieter enthalten, die den (die) Indikator(en), die Signatur(en) oder das (die) Verhaltensmuster geliefert haben, die die Erfassungskomponente oder das CTI-Gateway 120 veranlasst haben, das Ereignisprotokoll zu erstellen; die Reputation des CTI-Anbieters oder dessen Risikobewertung für den (die) Indikator(en), die Signatur(en) oder das (die) Verhaltensmuster; das Alter des Indikators (der Indikatoren), der Signatur(en) oder des (der) Verhaltensmuster; die Klasse oder Kategorie der potenziellen Bedrohung; die Akteure, die die Bedrohung erzeugt haben; das Verhalten der Bedrohung und den Ressourcenschaden, den sie anrichten kann; und dergleichen.
  • Die angereicherten Ereignisprotokolle können von der Meldepflichtwahrscheinlichkeitschätzvorrichtung 132 empfangen und verarbeitet werden. Der Meldepflichtwahrscheinlichkeitschätzer 132 berechnet eine Wahrscheinlichkeit oder einen Wahrscheinlichkeitswert in [0,1], dass die Cyberanalysten oder das Cyberanalysesystem feststellen, dass das Ereignis ein meldepflichtiger Befund ist. Der Meldepflichtwahrscheinlichkeitschätzer 132 verwendet zwei Arten von Algorithmen, um die geschätzten Meldepflichtwahrscheinlichkeiten zu bestimmen: (1) heuristische, vom Menschen entworfene (H/D) Algorithmen; und (2) maschinell erlernte (M/L) Algorithmen. Beide Arten von Algorithmen können komplementäre Vorteile bieten. Menschliche Cyberanalysten gehen davon aus, dass H/D-Algorithmen bei der Bestimmung geschätzter Wahrscheinlichkeiten im Durchschnitt nicht so genau sind wie gut antrainierte M/L-Algorithmen, da die Bestimmung der Meldepflicht von Ereignissen menschliche Intelligenz, intellektuelle Fähigkeiten, logisches Denken sowie Kontextbewusstsein und -verständnis erfordert, die von Algorithmen, die vom Menschen unter Verwendung konventioneller Computerprogrammiersprachen und Methoden entworfen und explizit programmiert wurden, nicht ohne Weiteres nachgebildet werden können. Ein H/D-Algorithmus lernt nicht automatisch und verbessert daher nicht im Laufe der Zeit seine Leistung als Schätzer. Im Gegensatz dazu erkennen gut antrainierte M/L-Algorithmen komplexe Muster in Ereignismerkmalen, die zwischen Ereignissen, die meldepflichtige Befunde sein können, und Ereignissen, die keine meldepflichtigen Befunde sein können, unterscheiden. In der Tat hat ein M/L-Algorithmus gelernt, die Denkweise des menschlichen Cyberanalysten nachzubilden, wobei es sich dabei größtenteils um implizites Wissen handelt, das für Menschen nur schwer explizit als Computerlogik zu programmieren ist. Die Genauigkeit der M/L-Algorithmen bei der Schätzung der Meldepflichtwahrscheinlichkeit ist jedoch direkt mit der Qualität der Trainingsdaten korreliert, die als Eingabe in das maschinelle Lernsystem 170 in 2 verwendet werden. Qualitativ hochwertige Trainingsdaten bestehen aus großen Sätzen von meldepflichtigen Befunden (positiven Beispielen) und nicht meldepflichtigen Ereignissen (negativen Beispielen), die Ereignismerkmale aufweisen, die einen breiten Bereich möglicher Werte abdecken. Solange ein M/L-Algorithmus also nicht mit großen Sätzen positiver und negativer Beispiele gut antrainiert wurde, die eine ausreichend dichte Stichprobe des Merkmalsraums möglicher Ereignisse darstellen, ist nicht davon auszugehen, dass ein M/L-Algorithmus genaue Schätzungsbestimmungen liefert.
  • Im Laufe der Zeit, wenn den Trainingsdaten für das maschinelle Lernsystem (170 in 2) kumulativ mehr positive und negative Beispiele hinzugefügt werden, wird sich die Genauigkeit des M/L-Algorithmus bei der Bestimmung der Meldepflichtwahrscheinlichkeiten verbessern. Bis dahin kann es der Fall sein, dass für ein gegebenes neues Ereignis, das von dem Meldepflichtwahrscheinlichkeitschätzer 132 empfangen wird, der H/D-Algorithmus-Prozessor 133 genauer ist als der M/L-Algorithmus-Prozessor 134. Um Unzulänglichkeiten in den Trainingsdaten Rechnung zu tragen und der Zeit, die benötigt wird, um genügend Trainingsdaten zu erzeugen, die zu genauen Schätzungsbestimmungen durch den M/L-Algorithmus-Prozessor 134 führen, wird eine Möglichkeit zum Kombinieren einer durch den M/L-Algorithmus-Prozessor 134 erzeugten Bestimmung mit einer durch den H/D-Algorithmus-Prozessor 133 erzeugten Bestimmung benötigt. Der Meldepflichtwahrscheinlichkeitschätzer 132 kombiniert die beiden Bestimmungen, um eine einzige Wahrscheinlichkeitsbestimmung, den sogenannten R-Wert, zu erzeugen. Algorithmen zum Kombinieren der beiden Bestimmungen, um den R-Wert zu erzeugen, können viele Formen annehmen, aber eine Einschränkung ist, dass sie die Eigenschaft beibehalten sollten, dass der R-Wert eine Wahrscheinlichkeit ist, d. h. der R-Wert in [0, 1] liegt. Der berechnete R-Wert kann die Eigenschaft haben, dass der R-Wert größer oder gleich den beiden von den Algorithmus-Prozessoren H/D 133 und M/L 134 erzeugten Schätzungsbestimmungen ist (und weil es sich um eine Likelihood oder Wahrscheinlichkeit handelt, liegt der R-Wert in [0,1]). Beispielsweise kann der Meldepflichtwahrscheinlichkeitschätzer 132 einen einfachen Kombinationsalgorithmus verwenden, um den R-Wert auf den größeren der Ausgabewerte der Algorithmus-Prozessoren H/D 133 und M/L 134 zu setzen. Der Meldepflichtwahrscheinlichkeitschätzer 132 kann den berechneten R-Wert zu dem angereicherten Ereignisprotokoll hinzufügen und leitet das Protokoll an das Cyberanalyse-Arbeitswarteschlangensystem 135 weiter.
  • Das Cyberanalyse-Arbeitswarteschlangensystem 135 empfängt das angereicherte Ereignisprotokoll (mit einem zugewiesenen R-Wert) und fügt das angereicherte Ereignisprotokoll, das nun als Aufgabe für die Cyberanalysten oder das Cyberanalysesystem betrachtet werden kann, in der nach R-Wert sortierten Reihenfolge in die Cyberanalyse-Warteschlange ein. Zum Beispiel wird ein Ereignisprotokoll A mit einem R-Wert von X näher am Anfang oder der Spitze der Warteschlange platziert als ein Ereignisprotokoll B mit einem R-Wert von Y, wenn X größer oder gleich Y ist. Somit hat die Aufgabe an der Spitze der Warteschlange den größten R-Wert aller Aufgaben in der Warteschlange, und die Aufgabe am Ende der Warteschlange hat den kleinsten R-Wert aller Aufgaben in der Warteschlange.
  • Eine Forensik-Analyse-Anwendungseinrichtung 136, wie z. B. eine SIEM-Anwendung, ruft die Aufgabe an der Spitze der Warteschlange ab, unterzieht sie einer Pop-Operation/entfernt sie, empfängt die Aufgabe und präsentiert die Aufgabe über eine Schnittstelle (z. B. eine grafische Benutzerschnittstelle, die auf einem Display angezeigt wird) dem menschlichen Cyberanalysten. Der Cyberanalyst kann die Forensik-Analyse-Anwendungseinrichtung 136 verwenden, um das Ereignis zu untersuchen. Der Cyberanalyst kann in die Forensik-Analyse-Anwendung eine Entscheidungseinheit 137 eingeben, ob es sich bei dem Ereignis um einen meldepflichtigen Befund oder einen nicht meldepflichtigen Befund handelt, und kennzeichnet das Ereignisprotokoll entsprechend. Wenn JA, wird das Ereignis bzw. der meldepflichtige Befund an ein Berichterzeuger-Anwendungssystem 138 übertragen und von diesem empfangen, welches einen Bericht erstellt, der Abhilfemaßnahmen enthalten kann. Der vom Berichterzeuger 138 erzeugte Bericht wird an Authority System Netzwerkgeräte 140 gesendet (die sich außerhalb des Cyberanalyse-Anwendungssystems 130 befinden können und den Authority System Netzwerkgeräten 140 in 1 entsprechen), die von Instanzen betrieben werden können, die für die Durchsetzung der Einhaltung von Vorschriften verantwortlich sind und/oder die berechtigt sind, die Abhilfemaßnahmen durchzuführen. In Schritt 8 wird das analysierte Ereignis, bei dem es sich entweder um einen meldepflichtigen Befund (positives Beispiel) oder um ein nicht meldepflichtiges Ereignis (negatives Beispiel) handeln kann, in einem Trainingsdatenspeicher 171 gespeichert, der eine Komponente des maschinellen Lernsystems 170 (dargestellt in den 1, 2 und 5) ist.
  • Das Cyberanalyse-Anwendungssystem 130 bearbeitet wiederholt Aufgaben von der Spitze der Warteschlange, bis entweder die Arbeitswarteschlange leer ist oder der Cyberanalyst beschließt, die Arbeit einzustellen, weil der R-Wert der Aufgabe an der Spitze der Warteschlange unter einem bestimmten Schwellenwert liegt, so dass die weitere Arbeit die Arbeitseffizienz des Cyberanalysten auf ein inakzeptables Niveau senken würde. Wenn die letztgenannte Situation eintritt, kann das Cyberanalyse-Anwendungssystem 130 oder die zuständige Behörde die in der Warteschlange verbliebenen Aufgaben verwerfen. Die verworfenen Aufgaben können archiviert und zu einem späteren Zeitpunkt untersucht werden, z. B. wenn genügend Cyberanalysten-Arbeitskapazität verfügbar ist oder wenn eine weitere Analyse durch einen verbesserten M/L-Algorithmus einen erhöhten R-Wert anzeigt. Wenn eine neue Aufgabe (Ereignisprotokoll) eintrifft, deren R-Wert größer als der Schwellenwert ist, kann das Cyberanalyse-Anwendungssystem 130 automatisch eine Warnung an die Cyberanalysten übermitteln, z. B. über eine Benachrichtigung auf der Benutzeroberfläche, eine Textnachricht, eine E-Mail, einen Telefonanruf oder dergleichen.
  • 4 zeigt eine beispielhafte vom Menschen entworfene (H/D) heuristische Algorithmus-Entscheidungstabelle (die im H/D-Algorithmus-Prozessor 133 in 3 implementiert sein kann) zur Bestimmung einer Meldepflichtwahrscheinlichkeit für ein Kommunikationsereignis, das von einem Cyber Threat Intelligence-Gateway erfasst wurde, gemäß einem oder mehreren Aspekten der Offenbarung. In diesem Fall handelt es sich bei der Cyber Threat Intelligence (CTI)-Kategorie um Bedrohungsindikatoren in Form von Netzwerkadressen (z. B. IP-Adressen, vollqualifizierte Domainnamen (FQDNs) und URLs). Die Ausgabe des H/D-Algorithmus-Prozessors 133 ist ein Meldepflichtwahrscheinlichkeitswert in [0, 1], der in der linken Spalte der Tabelle angezeigt wird. Die Eingabe in den Algorithmus-Prozessor 133 ist ein angereichertes Ereignisprotokoll, das Felder für den „lndikator_Typ“ („indicator_Type“), das „Indikator-Alter“ („lndicator_Age“) und den „CTI_Score“ enthält. lndikator_Typ-Werte umfassen „IP“ für einen IP-Adress-Indikator, „FQDN“ für einen FQDN-Indikator und „URL“ für einen URL-Indikator. Die lndikator_Alter- und CTI_Score-Felder und Werte können von der CTI-Anreicherungsvorrichtung 131 (in 3 dargestellt) erstellt werden. lndikator_Alter-Werte können Bereiche mit Einheiten von Tagen sein. CTI_Score-Werte können einer von {Hoch, Mittel, Niedrig} sein. Um eine Meldepflichtwahrscheinlichkeit zu bestimmen, kann der H/D-Algorithmus bedingte Logik und Boolesche Logik verwenden, die auf die Ereignisfeldwerte angewendet werden. Zum Beispiel kann die zweite Zeile der Tabelle eine Computerprogramm-Anweisung „IF ((lndicator_Type == FQDN)) AND ((0 <= lndicator_Age < 30) OR (CTI_Score == High))) THEN Reportability_Likelihood := 0.7“ darstellen. Die achte Zeile der Tabelle kann beispielsweise eine Computerprogramm-Anweisung „IF (((Indicator Type == FQDN) OR (lndicator_Type == IP)) AND (180 <= lndicator_Age)) THEN Reportability_Likelihood := 0.1“ darstellen.
  • Der H/D-Algorithmus verwendet eine Korrelation zwischen der Meldepflichtwahrscheinlichkeit eines Ereignisses und der Zuverlässigkeit und dem Alter des CTI-Indikators, der mit der Netzwerkadresse des Ereignisses übereingestimmt hat. Bei dieser Korrelation handelt es sich um von (menschlichen) Cyberanalysten bereitgestelltes heuristisches Wissen, das im H/D-Algorithmus von 4 erfasst ist. Die Zuverlässigkeit eines Indikators ist direkt in dem lndikator_Typ-Wert abgebildet. Indikatoren mit einem lndikator_Typ-Wert „URL“ haben die höchste Zuverlässigkeit, da eine URL auf eine einzelne vernetzte (schädliche) Ressource (z. B. eine ausführbare Malware-Datei) verweist. Aufgrund dieser Eins-zu-Eins-Zuordnung von Bedrohungsindikator zu Bedrohungsressource sollte die Wahrscheinlichkeit, dass das zugehörige Ereignis meldepflichtig ist, hoch sein. Indikatoren mit einem lndikator_Typ-Wert „FQDN“ haben eine geringere Zuverlässigkeit als „URL“, da ein einzelner FQDN mehreren URLs oder mehreren Netzwerkressourcen zugeordnet werden kann, von denen ein Teil nicht schädlich sein kann. Aufgrund dieser Eins-zu-Viel-Zuordnung eines einzelnen Bedrohungsindikators zu potenziell mehreren Ressourcen, von denen ein Teil nicht schädlich sein kann, sollte die Wahrscheinlichkeit, dass das zugehörige Ereignis meldepflichtig ist, geringer sein als die Meldepflichtwahrscheinlichkeit für ein Ereignis, das durch einen URL-Indikator erkannt wurde. In ähnlicher Weise haben Indikatoren mit einem Indikator-Typ-Wert „IP“ eine geringere Zuverlässigkeit als „FQDN“ und (übergangsweise) „URL“, da eine einzelne IP-Adresse mehreren FQDNs oder mehreren Netzwerkressourcen zugeordnet werden kann, von denen ein Teil nicht schädlich sein kann.
  • Der lndikator_Typ-Wert (oder äquivalent dazu die Zuverlässigkeit) kann als primäres Sortierkriterium und das Alter des Indikators (lndikator_Alter) als sekundäres Sortierkriterium betrachtet werden. Bezugnehmend auf 4 beeinflusst, für die lndikator_Typ-Werte „TQDN“ und „IP“, das Alter des Indikators die Meldepflichtwahrscheinlichkeit. Das Alter des Indikators ist die Anzahl der Tage seit der ersten Meldung des Indikators durch den Cyber Threat Intelligence-Anbieter bis zum heutigen Tag. Die Meldepflichtwahrscheinlichkeit sinkt mit zunehmendem Alter des Indikators. Vom CTI-Anbieter zugewiesene CTI-Score-Werte können ebenfalls als sekundäres Sortierkriterium verwendet werden. Für den in 4 dargestellten H/D-Algorithmus können CTI_Score und lndikator_Alter gleichwertig behandelt werden und somit einander ersetzen, wenn der CTI-Anbieter keine Werte für lndikator_Alter oder CTI_Score liefert.
  • 5 zeigt ein beispielhaftes maschinelles Lernsystem 170 (das dem maschinellen Lernsystem 170 in 1 und 2 entspricht), das maschinell erlernte (M/L-)Algorithmen (wie einen Algorithmus für den M/L-Algorithmus-Prozessor 154 in 3) zur Bestimmung der Meldepflichtwahrscheinlichkeit für ein von einem Cyber Threat Intelligence-Gateway erfasstes Kommunikationsereignis gemäß einem oder mehreren Aspekten der Offenbarung erstellt. Die Eingabe für die Maschine zur Erzeugung von maschinellen Lernalgorithmen 172 sind angereicherte Ereignisprotokolle, die zuvor von Cyberanalysten analysiert, entweder als meldepflichtige Befunde (positive Beispiele) oder als nicht meldepflichtige Ereignisse (negative Beispiele) gekennzeichnet und in einem Trainingsdatenspeicher 171 zur späteren Verwendung als Trainingsdaten für eine Maschine zur Erzeugung von maschinellen Lernalgorithmen wie 172 gespeichert wurden. Die Ausgabe der Maschine zur Erzeugung von maschinellen Lernalgorithmen 172 ist ein maschinell erlernter Algorithmus (M/L-Algorithmus) für einen dem M/L-Algorithmus-Prozessor 134 in 3 entsprechenden M/L-Algorithmus-Prozessor 134, der die Meldepflichtwahrscheinlichkeit von Bedrohungsereignissen bestimmt.
  • Die Maschine zur Erzeugung von maschinellen Lernalgorithmen 172 kann ein beliebiger überwachter Lernalgorithmus sein, z. B. künstliche neuronale Netze, genetische Programmierung und dergleichen. Trainingsdaten für überwachte Lernalgorithmen bestehen aus gekennzeichneten Trainingsbeispielen; in der vorliegenden Offenbarung können die Trainingsbeispiele analysierte Ereignisprotokolle sein, die entweder als meldepflichtige Befunde (positive Beispiele, mit Kennzeichnungswert +1) oder als nicht meldepflichtige Ereignisse (negative Beispiele, mit Kennzeichnungswert 0) gekennzeichnet sind. Das Ziel des maschinellen Lernalgorithmus ist es, die Funktion F zu erlernen, die jede Eingabe, die ein Trainingsbeispiel in den Trainingsdaten ist, auf die Ausgabe abbildet, welche +1 für positive Trainingsbeispiele und 0 für negative Trainingsbeispiele ist. Nachdem die Maschine zur Erzeugung von maschinellen Lernalgorithmen 172 den M/L-Algorithmus erzeugt hat, der positive Trainingsbeispiele genau auf +1 und negative Trainingsbeispiele auf 0 abbildet, kann der M/L-Algorithmus-Prozessor 134 verwendet werden, um die Meldepflichtwahrscheinlichkeiten von neu erzeugten Ereignisprotokollen zu bestimmen. Das heißt, der M/L-Algorithmus-Prozessor 134 kann verwendet werden, um Ereignisprotokolle zu analysieren, die nicht als Trainingsbeispiele in den Trainingsdaten verwendet wurden. Der M/L-Algorithmus-Prozessor 134 kann dann in eine Meldepflichtwahrscheinlichkeitschätzvorrichtung (siehe 3) eingebettet werden, die eine Komponente in einem Cyberanalyse-Anwendungssystem 130 (siehe 3) sein kann.
  • Es sei darauf hingewiesen, dass die Wahl der Label-Werte 0 und +1 für die Trainingsbeispiele bewusst ist und Teil dieser Offenbarung ist. Da diese Label-Werte während des Trainings verwendet werden können, wird der resultierende M/L-Algorithmus-Prozessor 134 einen Wert zwischen 0 und +1 einschließlich, oder [0, 1], ausgeben, wenn der M/L-Algorithmus-Prozessor 134 verwendet wird, um ein Ereignisprotokoll (Eingabe) auszuwerten, das kein Trainingsbeispiel war. Somit kann die Ausgabe des M/L-Algorithmus 134 als eine Wahrscheinlichkeit interpretiert werden, dass das eingegebene Ereignisprotokoll ein meldepflichtiger Befund ist.
  • Die Genauigkeit einer Bestimmung des M/L-Algorithmus-Prozessors 134 hängt zum Teil von der Qualität der Trainingsdaten ab, die von der Maschine zur Erzeugung von maschinellen Lernalgorithmen 172 verwendet wurden, um den M/L-Algorithmus-Prozessor 134 zu erstellen. Die Qualität der Trainingsdaten und letztlich die Genauigkeit der Bestimmung hängt von der Qualität des aus dem Ereignisprotokoll abgeleiteten Merkmalsvektors ab. Der Merkmalsvektor für ein Ereignisprotokoll, und nicht die Rohdaten des Ereignisprotokolls, ist die eigentliche Eingabe für die Maschine zur Erzeugung von maschinellen Lernalgorithmen 172 und den M/L-Algorithmus-Prozessor 134. Ein Merkmalsvektor ist ein Array von numerischen Werten, wobei jeder numerische Wert ein Maß für ein Merkmal oder eine Eigenschaft des Ereignisses ist. Zum Beispiel ist die Größe, gemessen in Bytes, der Datei, die durch das Kommunikationsereignis übertragen wurde, ein Merkmal, das ein Element oder Elemente im Merkmalsvektor bilden kann. Ein qualitativ hochwertiger Merkmalsvektor ist ein solcher, der einen großen Satz hochgradig unkorrelierter Ereignismerkmale enthält, der (a) die Maschine zur Erzeugung von maschinellen Lernalgorithmen 172 dazu veranlasst, während des Trainings schnell auf den M/L-Algorithmus zu konvergieren; und (b) den M/L-Algorithmus-Prozessor 134 dazu veranlasst, genaue Meldepflichtwahrscheinlichkeiten zu erzeugen.
  • Die vorliegende Offenbarung umfasst Merkmale oder Eigenschaften eines Merkmalsvektors zur Verwendung bei der Bestimmung der Meldepflichtwahrscheinlichkeiten für die Beschleunigung des Cyberanalyse-Workflows. In 6a und 6b sind diese Eigenschaften und zugehörige Informationen aufgeführt. Es sei darauf hingewiesen, dass diese Eigenschaften und ihre zugehörigen Werte im Allgemeinen so konzipiert sein können, dass sie die menschliche Auffassung des Bedrohungsrisikos und damit die Meldepflichtwahrscheinlichkeit eines Ereignisses basierend auf den Werten von Feldern im Ereignisprotokoll messen oder quantifizieren.
  • „CTI-Prvdr-{1,IV}“ sind die Namen der N CTI-Anbieter-Entitäten (Bez. 112 und 114 in 2), die CTL, z. B. Bedrohungsindikatoren, Signaturen und Verhaltensmuster, an die Erfassungskomponente oder das CTI-Gateway 120 und das Cyberanalyse-Anwendungssystem 130 (Bez. 2) liefern. Diese CTI-Anbieter-Informationen werden dem Ereignisprotokoll von der CTI-Anreicherungsvorrichtung 131 (siehe 3) hinzugefügt. Der Zahlenwert eines CTI-Prvdr-X-Merkmals ist 1, wenn der CTI-Anbieter den Indikator/die Signatur/das Muster, der/die/das mit dem Ereignis übereinstimmt, in seiner CTI-Datenbank hat; andernfalls ist der Wert 0. Wird beispielsweise angenommen, dass es insgesamt acht (8) CTI-Anbieter-Entitäten gibt (und daher acht Merkmale CTI-Prvdr-1, CTI-Prvdr-2,....CTI-Prvclr-8), und für ein bestimmtes Ereignis haben drei (3) CTI-Anbieter-Entitäten CTI-Prvdr-2, CTI-Prvdr-5 und CTI-Prvdr-7 den Indikator/die Signatur/das Muster, der/die/das mit dem Ereignis übereinstimmt, in ihren CTI-Datenbanken; dann ist der zugehörige Merkmalsvektor (0, 1, 0, 0, 1, 0, 1, 0).
  • „Norm-PolyGram-Entropy-LL-e2LD“ ist ein normiertes Maß für die Informationsentropie der Polygram-Wahrscheinlichkeitsverteilung des führenden Labels der effektiven 2nd-Level-Domain des völlqualifizierten Domainnamens (FQDN), der im Ereignisprotokoll enthalten sein kann, wenn, zum Beispiel, das zugehörige Kommunikationsereignis eine HTTP-Sitzung zwischen einem HTTP-Client (z. B. einer Webbrowser-Anwendung) und einem HTTP-Server (z. B. einem Webserver) mit einem in einem Domainnamen-System wie dem Internet-DNS aufgeführten FQDN (z. B. www.company-web-server.com) ist. Informell ausgedrückt misst „Norm-PolyGram-Entropy-LL-e2LD“ die vom Menschen wahrgenommene Zufälligkeit eines Domainnamens, die die Intuition eines Cyberanalysten, dass ein solcher Domainname auf ein meldepflichtiges Ereignis hinweisen könnte, erfassen kann. Da Domainnamen von legitimen, unschädlichen ans Internet angeschlossenen Hosts oft von Menschen erstellt und aus für Menschen lesbaren Wörtern gebildet sein können (z. B. www.company-web-server.com), während Domainnamen von schädlichen ans Internet angeschlossenen Hosts oft maschinell erzeugte, zufällige Zeichenfolgen sein können und daher von Menschen nicht als Wörter erkannt werden (z. B. www.4aiu68dh3fj.com), kann dieses Maß einen gewissen Wert als ein Merkmal für einen M/L-Algorithmus 134 haben, um zu erlernen, zwischen Ereignissen, die meldepflichtige Befunde sein können und Ereignissen, die nicht meldepflichtig sein können, zu unterscheiden.
  • Formeller ausgedrückt ist der 2nd-Level-Domainname (2LD) eines FQDN, beispielsweise von „www.company-web-server.com“, „company-web-server.com“, und das führende Label (LL für „leading label“) der 2LD ist „company-web-server“. Der effektive 2nd -Level-Domainname (e2LD) beispielsweise des FQDN www.company-web-server.co.uk ist „company-web-server.co.uk“. Für FQDNs wie beispielsweise „www.company-webserver.co.uk“ erfasst der e2LD „company-web-server.co.uk“ die Inhaberschaft der Domain besser als der 2LD „co.uk“ und ist daher ein besseres Merkmal für die Verwendung in der vorliegenden Offenbarung als 2LD. Es sei erwähnt, dass der 2LD und der e2LD von „www.company-web-server.com“ identisch sein können, z. B. „company-web-server.com“. Ebenso sei erwähnt, dass für einige FQDNs, z. B. 447a7a44.ksfcradio.com, das führende Label der e3LD („447a7a44“), wenn eine e3LD existiert, das bessere Merkmal sein kann als das führende Label der e2LD; ähnlich verhält es sich mit der e4LD für einige FQDNs, z. B. 447a7a44.web.ksfcradio.com. Daher können zusätzliche Merkmale „Norm-PolyGram-Entropy-LL-e3LD“ und oder „Norm-PolyGram-Entropy-LL-e4LD“, wenn vorhanden, ebenso verwendet werden.
  • Der informationstheoretische Entropiewert für einen Satz von N Wahrscheinlichkeiten P = {p1, p2, p3, ... pN} wird als Entropy(P) = -Σi pi log2 pi (für i = 1 ... N) berechnet, wobei log2 die Logarithmusfunktion zur Basis 2 ist. In der vorliegenden Offenbarung ist eine Möglichkeit, die Entropy()-Funktion auf führende Labels von Domainnamen anzuwenden, die, zunächst als Wahrscheinlichkeitsverteilung die relativen Häufigkeiten oder Wahrscheinlichkeiten des Auftretens alphabetischer Zeichen in englischem Text zu wählen. So ist beispielsweise bekannt, dass der Buchstabe „e“ das häufigste alphabetische Zeichen ist, das in englischem Text verwendet wird, und sein empirischer Wahrscheinlichkeitswert beträgt ungefähr 13 %. Diese Verteilung wird dann auf jedes der alphabetischen Zeichen oder Unigramme in dem führenden Label der effektiven 2nd-Level-Domain angewendet. Beispielsweise für den Domainnamen „www.mysite.com“, wobei „mysite“ das führende Label der effektiven 2nd-Level-Domain ist, Pex1 = {p(„m“), p(„y“), p(„s“), p(„i“), p(„t“), p(„e“)}, wobei die Wahrscheinlichkeitswerte p(„[Buchstabe]“) aus einer empirischen Wahrscheinlichkeitsverteilung alphabetischer Zeichen oder Buchstaben in englischem Text ausgewählt werden können. Dann wird Entropy(Pex1) berechnet.
  • Ein Problem bei der Verwendung der obigen Entropy(Pex1)-Berechnung im Merkmal „Norm-PolyGram-Entropy-LL-e2LD“ ist, dass der Entropy(Pex1)-Wert für „www.mysite.com“ der gleiche ist wie für „www.eytmsi.com“; es wird also nicht zwischen zufälligen Zeichenfolgen und Zeichenfolgen für englische Wörter unterschieden, oder, im Kontext der vorliegenden Offenbarung, es wird nicht die menschliche Wahrnehmung, dass „eytmsi“ zufällig ist, und daher verdächtig, „mysite“ aber für Menschen lesbar ist, quantifiziert. Um eine bessere Unterscheidung zu erreichen und die menschliche Wahrnehmung zu erfassen, können anstelle von Wahrscheinlichkeitsverteilungen für Unigramme Wahrscheinlichkeitsverteilungen für Bigramme (aufeinanderfolgende Paare von Zeichen) oder Trigramme (aufeinanderfolgende Dreiergruppen von Zeichen), oder allgemein Polygramme, in englischem Text verwendet werden. Zum Beispiel ist der Satz an Bigrammen von „mysite“ {„my“, „ys“, „si“, „it“, „te“}, und der Satz an Trigrammen ist {„mys“, „ysi“, „sit“, „ite“}. Ebenso ist der Satz an Bigrammen von „eytmsi“ {„ey“, „yt“, „tm“, „ms“, „si“}. Dann ist für Pex2 = {p(„my“), p(„ys“), p(„si“), p(„it“), p(„te“)} und Pex3 = {p(„ey“), p(„yt“), p(„tm“), p(„ms“), p(„si“)}, wobei die Wahrscheinlichkeitswerte p(„[Bigramm]“) aus einer empirischen Wahrscheinlichkeitsverteilung von Bigrammen in englischem Text ausgewählt werden können, Entropy(Pex3) > Entropy(Pex2), womit das Konzept, dass die vom Menschen wahrgenommene Zufälligkeit von „eytmsi“ größer ist als die von „mysite“ messbar quantifiziert wird. Daher sollten bei der Berechnung dieses Merkmals „Norm-PolyGram-Entropy-LL-e2LD“ Bigramme oder Trigramme (oder allgemeiner Polygramme) anstelle von Unigrammen verwendet werden.
  • Da Domainnamen-Labels sowohl numerische Zeichen als auch Bindestriche enthalten dürfen, kann es sinnvoll sein, nicht-alphabetische Zeichen aus den Labels zu entfernen, bevor die Entropy()-Funktion auf die Wahrscheinlichkeitsverteilung der Polygramme eines Labels angewendet wird. Alternativ kann eine empirische Wahrscheinlichkeitsverteilung der Polygramme für Labels von Domainnamen, die von Menschen zu legitimen Zwecken erstellt wurden, verwendet werden.
  • Schließlich kann eine Normalisierung auf die Entropy()-Berechnung angewendet werden, um Unterschiede in der Zeichenfolgenlänge zu berücksichtigen, denn im Allgemeinen werden längere Zeichenfolgen größere Entropy()-Werte als kürzere Zeichenfolgen aufweisen. Zum Beispiel wird ein Mensch wahrnehmen, dass der Domainname www.aiiduvb.com die gleiche oder eine ähnliche Zufälligkeit aufweist wie www.ajiduvbgvxtz.com, wogegen der EntropyO-Wert für www.ajiduvbgvxtz.com ungefähr doppelt so hoch ist wie der von www.aiiduvb.com. Um die Unterschiede in der Länge der Zeichenfolgen zu normalisieren, teilt man den Entropy()-Wert durch den Logarithmus zur Basis 2 (log2 in der üblichen Schreibweise) der Größe des Satzes an Bigrammen oder Trigrammen, oder allgemeiner Polygrammen. Zum Beispiel hat der Satz an Bigrammen Pex2 = {„my“, „ys“, „si“, „it“, „te“} von „mysite“ die Größe = 5, also teilt man Entropy(Pex2) durch log2(5), um zu normalisieren.
  • „Numeric-Head-LL-e2or3LD‟ ist ein Boolesch-bewertetes Merkmal, das 1 (Wahr) ist, wenn das erste Zeichen des führenden Labels der effektiven 2nd-Level-Domain oder der effektiven 3rd-Level-Domain ein numerisches Zeichen (eine Dezimalziffer) ist, und andernfalls 0 (Falsch). Menschen, die legitime Domains erstellen, neigen dazu, keine numerischen Zeichen am Anfang (Kopf) eines Domainnamens zu verwenden; und daher kann ein menschlicher Cyberanalyst wahrnehmen, dass ein Domainnamen-Label mit einem numerischen Kopf verdächtig ist.
  • „String-Length-LL-e2LD-Bin-X-Y“ und „String-Length-LL-e3LD-Bin-X-Y“ sind Boolesch-bewertete Merkmale, die 1 (Wahr) sein können, wenn die in Bytes gemessene Zeichenfolgenlänge der führenden Labels der effektiven 2nd-Level-Domain oder der effektiven 3rd-Level-Domain im Bereich [X, Y] einschließlich liegt, und andernfalls 0 (Falsch). Eine bin-Unterteilung, zum Beispiel von Zeichenfolgenlängen kann [1,4], [5-8], [9-16], [17-32], [33, 63], and [64, inf] sein. Das letzte Bin [64, inf] steht für unzulässig lange Labels, die 63 Bytes nicht überschreiten sollten (RFC 1035). Mit dieser beispielhaften Bin-Unterteilung gibt es sechs (6) Merkmale mit Namen „String-Length-LL-e2LD-Bin-X-Y“ mit den Unterteilungsgrenzen entsprechenden „X-Y“-Werten.
  • „TLD-Category-{g, s, cc, other}“ sind Boolesch-bewertete Merkmale, die 1 (Wahr) sein können, wenn die Top-Level-Domain des FQDN, der im Ereignisprotokoll enthalten sein kann, in einer der lANA-definierten Top-Level-Domaingruppen gTLD, oder sTLD, oder ccTLD, oder anders („other“) ist; und ansonsten 0 (Falsch).
  • „Time-of-Day-Bin-X-Y“ sind Boolesch-bewertete Merkmale, die 1 (Wahr) sein können, wenn die Tageszeit, zu der das Ereignis aufgetreten ist, im Bereich [X, Y) liegt, und ansonsten 0 (Falsch). Eine Bin-Unterteilung, beispielsweise von Tageszeiten mit Cyber-Relevanz kann [0200, 0600), [0600-0800), [0800, 1000), [1000, 1200), [1200, 1400), [1400, 1600), [1600, 1800), [1800, 2200) und [2200, 0200) sein. Mit dieser beispielhaften Bin-Unterteilung gibt es neun (9) Merkmale mit den Namen „Time-of-Day-Bin-X-Y“ mit den Unterteilungsgrenzen entsprechenden „X-Y“-Werten.
  • „Weekend-or-Holiday“ ist ein Boolesche-bewertetes Merkmal, das 1 (wahr) ist, wenn der Tag, an dem das Ereignis auftrat, ein Wochenende oder ein Feiertag war, und andernfalls 0 (falsch).
  • „Flow-Byte -Count-Bin-X-Y“ sind Boolesch-bewertete Merkmale, die 1 (Wahr) sein können, wenn die in Bytes gemessene Größe der Inhaltsinformationen, z. B. der Nutzdaten (Payloads) der TCP- oder UDP-Pakete, des Ereignisses im Bereich [X, Y) liegt, und ansonsten 0 (Falsch). Eine Bin-Unterteilung der Größen kann z. B. [0,8), [8,64), [64,512), [512, 4K), [4K, 32K), [32K, 256K) und [256K, inf) sein. Bei dieser beispielhaften Bin-Unterteilung gibt es sieben (7) Merkmale mit den Namen „Flow-Byte-Count-Bin-X-Y“ mit den Unterteilungsgrenzen entsprechenden „X-Y“-Werten.
  • Der Wert des Merkmals „Percentage-Digits-FQDN“ liegt in [0, 1] und ist der Prozentsatz der numerischen Zeichen im FQDN.
  • Der Wert des Merkmals „Percentage-Hyphens-FQDN“ liegt in [0, 1 ] und ist der Prozentsatz der Bindestriche im FQDN.
  • Der Wert des Merkmals „Percentage-NonCompliant-Characters-FQDN‟ liegt in [0, 1] und ist der Prozentsatz der Zeichen im FQDN, die nicht mit RFC 1035 übereinstimmen, der besagt, dass Zeichen alphabetisch, numerisch, Bindestrich „-“ oder Punkt „.“ sein sollten.
  • „Direction-and-Breach-Category-X“ sind Boolesch-bewertete Merkmale, die 1 (Wahr) sein können, wenn das Ereignis mit der Direktionalität und der Verletzung der Kategorie X übereinstimmt, und ansonsten 0 (Falsch). Direktionalität ist eine von Intrusion oder Exfiltration, d. h. ein eingehender Angriff, der von außerhalb des geschützten Netzwerks initiiert wurde, oder ein ausgehender Angriff, der von innerhalb des geschützten Netzwerks initiiert wurde; und Verletzung ist eine von Erlaubt oder Blockiert, d. h. wurde der Kommunikation erlaubt (Erlaubt), die Netzwerkgrenze zu überschreiten, oder wurde die Kommunikation daran gehindert (Blockiert), die Netzwerkgrenze zu überschreiten, z. B. durch eine Netzwerk-Firewall oder ein CTI-Gateway. Somit kann es vier mögliche Kategorien für X geben, nämlich {Intrusion, erlaubt}, {Intrusion, blockiert}, {Exfiltration, erlaubt} und {Exfiltration, blockiert}, und somit vier (4) Merkmale mit der Bezeichnung „Direction-and-Breach-Category-{X}“. Diese Merkmale können sich auf die Bestimmungen der Meldepflichtwahrscheinlichkeit auswirken, da zum Beispiel ein Cyberanalyst mit geringerer Wahrscheinlichkeit ein Intrusions-Ereignis meldet, das blockiert wurde, als ein Exfiltrations-Ereignis, das erlaubt wurde.
  • Obwohl es nicht erforderlich ist, wird ein Fachmann erkennen, dass verschiedene hierin beschriebene Aspekte als ein Verfahren, eine Vorrichtung oder als ein oder mehrere computerlesbare Medien, die computerausführbare Anweisungen speichern, verkörpert werden können. Dementsprechend können diese Aspekte die Form einer reinen Hardware-Ausführung, einer reinen Software-Ausführung, einer reinen Firmware-Ausführung oder einer Ausführungsform annehmen, die Software-, Hardware- und Firmware-Aspekte in beliebiger Kombination kombiniert.
  • Wie hier beschrieben, können die verschiedenen Verfahren und Handlungen über ein oder mehrere Computergeräte und ein oder mehrere Netzwerke ausgeführt werden. Die Funktionalität kann auf beliebige Weise verteilt sein oder sich in einem einzigen Computergerät (z. B. einem Server, einem Client-Computer usw.) befinden.
  • Aspekte der Offenbarung wurden in Form von illustrativen Ausführungsformen beschrieben. Zahlreiche andere Ausführungsformen, Modifikationen und Variationen innerhalb des Rahmens und des Sinns der anhängenden Ansprüche werden dem Durchschnittsfachmann aus der Durchsicht dieser Offenbarung in den Sinn kommen. Beispielsweise wird ein Fachmann erkennen, dass die in den illustrativen Figuren dargestellten Schritte in einer anderen als der angegebenen Reihenfolge ausgeführt werden können und dass ein oder mehrere der dargestellten Schritte optional sein können.

Claims (40)

  1. Ein oder mehrere computerlesbare Medien mit darauf gespeicherten Anweisungen, die, wenn sie von einem oder mehreren Computergeräten ausgeführt werden, die ein oder mehreren Computergeräte veranlassen, das folgende Verfahren auszuführen: -Empfangen einer Vielzahl von Ereignisprotokollen; Bestimmen, durch eine Rechenvorrichtung, einer Meldepflichtwahrscheinlichkeit für jedes Ereignisprotokoll basierend auf mindestens einem Algorithmus, wobei die Meldepflichtwahrscheinlichkeit für jedes Ereignisprotokoll auf mindestens einer der folgenden Größen basiert: einer Zuverlässigkeit eines Ereignisbedrohungsindikators, einem Typ des Ereignisbedrohungsindikators, einem Alter des Ereignisbedrohungsindikators, mit dem Ereignisbedrohungsindikator verknüpfte Threat Intelligence-Anbieterdaten, Reputationsdaten von mindestens einem Threat Intelligence-Anbieter oder einer Risikobewertung des Ereignisbedrohungsindikators; Sortieren einer Ereigniswarteschlange der Vielzahl von Ereignisprotokollen basierend auf der Meldepflichtwahrscheinlichkeit für jedes der Vielzahl von Ereignisprotokollen; und Übertragen, durch die Recheneinrichtung, der Vielzahl von Ereignisprotokollen, die in der Ereigniswarteschlange basierend auf der Meldepflichtwahrscheinlichkeit jedes der Vielzahl von Ereignisprotokollen sortiert sind, an ein Analysesystem.
  2. Ein oder mehrere computerlesbare Medien nach Anspruch 1, wobei die Meldepflichtwahrscheinlichkeit eine kombinierte Meldepflichtwahrscheinlichkeit ist, und wobei das Bestimmen, durch die Recheneinrichtung, der Meldepflichtwahrscheinlichkeit für jedes Ereignisprotokoll basierend auf dem mindestens einen Algorithmus umfasst: Bestimmen, durch die Recheneinrichtung, einer ersten Meldepflichtwahrscheinlichkeit für jedes Ereignisprotokoll basierend auf einem statischen Algorithmus; Bestimmen, durch die Recheneinrichtung, einer zweiten Meldepflichtwahrscheinlichkeit für jedes Ereignisprotokoll, basierend auf einem maschinell erlernten Algorithmus; und Bestimmen, durch die Recheneinrichtung, der kombinierten Meldepflichtwahrscheinlichkeit für jedes Ereignisprotokoll basierend auf der ersten Meldepflichtwahrscheinlichkeit und der zweiten Meldepflichtwahrscheinlichkeit.
  3. Ein oder mehrere computerlesbare Medien nach Anspruch 2, das Verfahren ferner umfassend: Empfangen von Berichtsdaten, die auf der Grundlage von analysierten Ereignisprotokollen erzeugt wurden, von dem Analysesystem; und Aktualisieren von Trainingsdaten für ein maschinelles Lernsystem basierend auf den auf Grundlage der analysierten Ereignisprotokolle erzeugten Berichtsdaten.
  4. Ein oder mehrere computerlesbare Medien nach Anspruch 2, wobei der maschinell erlernte Algorithmus für jedes Ereignisprotokoll die zweite Meldepflichtwahrscheinlichkeit für das Ereignisprotokoll basierend auf mindestens einem der folgenden Elemente bestimmt: einem dem Ereignisprotokoll zugeordneten Domainnamen, einem Entropiewert des dem Ereignisprotokoll zugeordneten Domainnamens, einer Anzahl an Label des dem Ereignisprotokoll zugeordneten Domainnamens, einer Zeichenfolgenlänge des dem Ereignisprotokoll zugeordneten Domainnamens, einer Größe von dem Ereignisprotokoll zugeordneten Daten oder einer dem Ereignisprotokoll zugeordneten Ereigniseintrittszeit.
  5. Ein oder mehrere computerlesbare Medien nach Anspruch 2, wobei der maschinell erlernte Algorithmus basierend auf Korrelationsdaten, die aus analysierten Ereignisprotokollen abgeleitet werden, kontinuierlich aktualisiert wird.
  6. Ein oder mehrere computerlesbare Medien nach Anspruch 2, wobei der statische Algorithmus ein von Menschen entwickelter Algorithmus ist, wobei der statische Algorithmus basierend auf einer Bedienereingabe eingestellt wird.
  7. Ein oder mehrere computerlesbare Medien nach Anspruch 1, das Verfahren ferner umfassend: Empfangen von Berichtsdaten, die auf der Grundlage von analysierten Ereignisprotokollen erzeugt wurden, von dem Analysesystem; und Aktualisieren von Trainingsdaten für den mindestens einen Algorithmus basierend auf den auf Grundlage der analysierten Ereignisprotokolle erzeugten Berichtsdaten.
  8. Ein oder mehrere computerlesbare Medien nach Anspruch 1, das Verfahren ferner umfassend: Empfangen einer Vielzahl von Paketen; Bestimmen einer Vielzahl von potenziellen Bedrohungskommunikationsereignissen auf der Grundlage von Threat Intelligence-Daten; Erzeugen der Vielzahl von Ereignisprotokollen basierend auf der Vielzahl von potentiellen Bedrohungskommunikationsereignissen; und Speichern der Vielzahl von Ereignisprotokollen in der Ereigniswarteschlange.
  9. Ein oder mehrere computerlesbare Medien nach Anspruch 8, das Verfahren ferner umfassend: Empfangen von Berichtsdaten, die auf der Grundlage von analysierten Ereignisprotokollen erzeugt wurden, von dem Analysesystem; und Aktualisieren, basierend auf den Berichtsdaten, die auf der Grundlage der analysierten Ereignisprotokolle erzeugt wurden, von Paketregelanordnungen zum Bestimmen von Paketen als eines der Vielzahl von potenziellen Bedrohungskommunikationsereignissen.
  10. Ein oder mehrere computerlesbare Medien nach Anspruch 1, wobei die Meldepflichtwahrscheinlichkeit eine Wahrscheinlichkeit ist, dass eine potenzielle Bedrohungskommunikation mit einer tatsächlichen Bedrohung verbunden ist.
  11. Ein oder mehrere computerlesbare Medien mit darauf gespeicherten Anweisungen, die, wenn sie von einem oder mehreren Computergeräten ausgeführt werden, die ein oder mehreren Computergeräte veranlassen, das folgende Verfahren auszuführen: Empfangen einer Vielzahl von Ereignisprotokollen durch eine Recheneinrichtung; Bestimmen, durch die Recheneinrichtung, einer ersten Meldepflichtwahrscheinlichkeit für jedes Ereignisprotokoll basierend auf einem von Menschen entworfenen Algorithmus; Bestimmen, durch die Recheneinrichtung, einer zweiten Meldepflichtwahrscheinlichkeit für jedes Ereignisprotokoll basierend auf einem maschinell erlernten Algorithmus; Bestimmen, durch die Recheneinrichtung, einer kombinierten Meldepflichtwahrscheinlichkeit für jedes Ereignisprotokoll, basierend auf der ersten Meldepflichtwahrscheinlichkeit und der zweiten Meldepflichtwahrscheinlichkeit; Sortieren der Vielzahl von Ereignisprotokollen basierend auf den kombinierten Meldepflichtwahrscheinlichkeiten jedes der Vielzahl von Ereignisprotokollen; und Speichern der Vielzahl von Ereignisprotokollen in einer Ereigniswarteschlange, wobei die Vielzahl von Ereignisprotokollen in der Ereigniswarteschlange basierend auf der kombinierten Meldepflichtwahrscheinlichkeit jedes der Vielzahl von Ereignisprotokollen sortiert ist, wobei die kombinierte Meldepflichtwahrscheinlichkeiten für jedes Ereignisprotokoll auf mindestens einer der folgenden Größen basiert: einer Zuverlässigkeit eines Ereignisbedrohungsindikators, einem Typ des Ereignisbedrohungsindikators, einem Alter des Ereignisbedrohungsindikators, mit dem Ereignisbedrohungsindikator verknüpfte Threat Intelligence-Anbieterdaten, Reputationsdaten von mindestens einem Threat Intelligence-Anbieter oder einer Risikobewertung des Ereignisbedrohungsindikators.
  12. Ein oder mehrere computerlesbare Medien nach Anspruch 11, das Verfahren ferner umfassend: Empfangen von Berichtsdaten, die auf der Grundlage von analysierten Ereignisprotokollen erzeugt wurden, von einem Analysesystem; und Aktualisieren von Trainingsdaten für ein maschinelles Lernsystem basierend auf Meldepflichtbefunden analysierter Ereignisprotokolle.
  13. Ein oder mehrere computerlesbare Medien nach Anspruch 11, wobei der maschinell erlernte Algorithmus für jedes Ereignisprotokoll die zweite Meldepflichtwahrscheinlichkeit für das Ereignisprotokoll basierend auf mindestens einem der folgenden Elemente bestimmt: einem dem Ereignisprotokoll zugeordneten Domainnamen, einem Entropiewert des dem Ereignisprotokoll zugeordneten Domainnamens, einer Anzahl an Label des dem Ereignisprotokoll zugeordneten Domainnamens, einer Zeichenfolgenlänge des dem Ereignisprotokoll zugeordneten Domainnamens, einer Größe von dem Ereignisprotokoll zugeordneten Daten oder einer dem Ereignisprotokoll zugeordneten Ereigniseintrittszeit.
  14. Ein oder mehrere computerlesbare Medien nach Anspruch 11, wobei der maschinell erlernte Algorithmus die zweite Meldepflichtwahrscheinlichkeit basierend auf einer Korrelation zwischen einem Ereignis und historischen meldepflichtigen Ereignissen bestimmt.
  15. Ein oder mehrere computerlesbare Medien mit darauf gespeicherten Anweisungen, die, wenn sie von ein oder mehreren Computergeräten ausgeführt werden, die ein oder mehrere Computergeräte veranlassen: eine Vielzahl von Ereignisprotokollen zu empfangen; eine Meldepflichtwahrscheinlichkeit für jedes Ereignisprotokoll basierend auf mindestens einem Algorithmus zu bestimmen, wobei die Meldepflichtwahrscheinlichkeit für jedes Ereignisprotokoll auf mindestens einer der folgenden Größen basiert: einer Zuverlässigkeit eines Ereignisbedrohungsindikators, einem Typ des Ereignisbedrohungsindikators, einem Alter des Ereignisbedrohungsindikators, mit dem Ereignisbedrohungsindikator verknüpfte Threat Intelligence-Anbieterdaten, Reputationsdaten von mindestens einem Threat Intelligence-Anbieter oder einer Risikobewertung des Ereignisbedrohungsindikators; die Vielzahl von Ereignisprotokollen basierend auf der Meldepflichtwahrscheinlichkeit für jedes der Vielzahl von Ereignisprotokollen zu sortieren; und die Vielzahl der Ereignisprotokolle in einer Ereigniswarteschlange zu speichern, wobei die Vielzahl der Ereignisprotokolle in der Ereigniswarteschlange basierend auf der Meldepflichtwahrscheinlichkeit jedes der Vielzahl von Ereignisprotokollen sortiert ist.
  16. Ein oder mehrere computerlesbare Medien nach Anspruch 15, wobei die Meldepflichtwahrscheinlichkeit eine kombinierte Meldepflichtwahrscheinlichkeit ist, wobei die ein oder mehreren computerlesbaren Medien darauf gespeicherte Anweisungen aufweisen, um die Meldepflichtwahrscheinlichkeit für jedes Ereignisprotokoll auf der Grundlage des mindestens einen Algorithmus zu bestimmen, die, wenn sie von ein oder mehreren Computergeräten ausgeführt werden, die ein oder mehreren Computergeräte veranlassen: eine erste Meldepflichtwahrscheinlichkeit für jedes Ereignisprotokoll auf der Grundlage eines statischen Algorithmus zu bestimmen; eine zweite Meldepflichtwahrscheinlichkeit für jedes Ereignisprotokoll basierend auf einem maschinell erlernten Algorithmus zu bestimmen; und die kombinierte Meldepflichtwahrscheinlichkeit für jedes Ereignisprotokoll auf der Grundlage der ersten Meldepflichtwahrscheinlichkeit und der zweiten Meldepflichtwahrscheinlichkeit zu bestimmen.
  17. Ein oder mehrere computerlesbare Medien nach Anspruch 16, wobei der maschinell erlernte Algorithmus für jedes Ereignisprotokoll die zweite Meldepflichtwahrscheinlichkeit für das Ereignisprotokoll basierend auf mindestens einem der folgenden Elemente bestimmt: einem dem Ereignisprotokoll zugeordneten Domainnamen, einem Entropiewert des dem Ereignisprotokoll zugeordneten Domainnamens, einer Anzahl an Label des dem Ereignisprotokoll zugeordneten Domainnamens, einer Zeichenfolgenlänge des dem Ereignisprotokoll zugeordneten Domainnamens, einer Größe von dem Ereignisprotokoll zugeordneten Daten oder einer dem Ereignisprotokoll zugeordneten Ereigniseintrittszeit.
  18. Ein oder mehrere computerlesbare Medien nach Anspruch 16, wobei der maschinell erlernte Algorithmus die zweite Meldepflichtwahrscheinlichkeit basierend auf einer Korrelation zwischen einem Ereignis und historischen meldepflichtigen Ereignissen bestimmt.
  19. Ein oder mehrere computerlesbare Medien nach Anspruch 15 mit darauf gespeicherten Anweisungen, die, wenn sie von einem oder mehreren Computergeräten ausgeführt werden, die ein oder mehreren Computergeräte ferner veranlassen: Berichtsdaten, die auf der Grundlage von analysierten Ereignisprotokollen erzeugt wurden, von einem Analysesystem zu empfangen; und Trainingsdaten für ein maschinelles Lernsystem basierend auf Meldepflichtbefunden analysierter Ereignisprotokolle zu aktualisieren.
  20. Ein oder mehrere computerlesbare Medien nach Anspruch 15 mit darauf gespeicherten Anweisungen, die, wenn sie von einem oder mehreren Computergeräten ausgeführt werden, die ein oder mehreren Computergeräte ferner veranlassen: eine Vielzahl von Paketen zu empfangen; eine Vielzahl von potenziellen Bedrohungskommunikationsereignissen auf der Grundlage von Threat Intelligence-Daten zu bestimmen; die Vielzahl von Ereignisprotokollen basierend auf der Vielzahl von potentiellen Bedrohungskommunikationsereignissen zu erzeugen; und die Vielzahl von Ereignisprotokollen in der Ereigniswarteschlange zu speichern.
  21. System, das dazu eingerichtet ist, folgendes auszuführen: Empfangen einer Vielzahl von Ereignisprotokollen; Bestimmen, durch eine Recheneinrichtung, einer Meldepflichtwahrscheinlichkeit für jedes Ereignisprotokoll basierend auf mindestens einem Algorithmus, wobei die Meldepflichtwahrscheinlichkeit für jedes Ereignisprotokoll auf mindestens einer der folgenden Größen basiert: einer Zuverlässigkeit eines Ereignisbedrohungsindikators, einem Typ des Ereignisbedrohungsindikators, einem Alter des Ereignisbedrohungsindikators, mit dem Ereignisbedrohungsindikator verknüpfte Threat Intelligence-Anbieterdaten, Reputationsdaten von mindestens einem Threat Intelligence-Anbieter oder einer Risikobewertung des Ereignisbedrohungsindikators; Sortieren einer Ereigniswarteschlange der Vielzahl von Ereignisprotokollen basierend auf der Meldepflichtwahrscheinlichkeit für jedes der Vielzahl von Ereignisprotokollen; und Übertragen, durch die Recheneinrichtung, der Vielzahl von Ereignisprotokollen, die in der Ereigniswarteschlange basierend auf der Meldepflichtwahrscheinlichkeit jedes der Vielzahl von Ereignisprotokollen sortiert sind, an ein Analysesystem.
  22. System nach Anspruch 21, wobei die Meldepflichtwahrscheinlichkeit eine kombinierte Meldepflichtwahrscheinlichkeit ist, und wobei das Bestimmen, durch die Recheneinrichtung, der Meldepflichtwahrscheinlichkeit für jedes Ereignisprotokoll basierend auf dem mindestens einen Algorithmus umfasst: Bestimmen, durch die Recheneinrichtung, einer ersten Meldepflichtwahrscheinlichkeit für jedes Ereignisprotokoll basierend auf einem statischen Algorithmus; Bestimmen, durch die Recheneinrichtung, einer zweiten Meldepflichtwahrscheinlichkeit für jedes Ereignisprotokoll, basierend auf einem maschinell erlernten Algorithmus; und Bestimmen, durch die Recheneinrichtung, der kombinierten Meldepflichtwahrscheinlichkeit für jedes Ereignisprotokoll basierend auf der ersten Meldepflichtwahrscheinlichkeit und der zweiten Meldepflichtwahrschei nlichkeit.
  23. System nach Anspruch 22, das ferner eingerichtet ist zum: Empfangen von Berichtsdaten, die auf der Grundlage von analysierten Ereignisprotokollen erzeugt wurden, von dem Analysesystem; und Aktualisieren von Trainingsdaten für ein maschinelles Lernsystem basierend auf den auf Grundlage der analysierten Ereignisprotokolle erzeugten Berichtsdaten.
  24. System nach Anspruch 22, wobei der maschinell erlernte Algorithmus für jedes Ereignisprotokoll die zweite Meldepflichtwahrscheinlichkeit für das Ereignisprotokoll basierend auf mindestens einem der folgenden Elemente bestimmt: einem dem Ereignisprotokoll zugeordneten Domainnamen, einem Entropiewert des dem Ereignisprotokoll zugeordneten Domainnamens, einer Anzahl an Label des dem Ereignisprotokoll zugeordneten Domainnamens, einer Zeichenfolgenlänge des dem Ereignisprotokoll zugeordneten Domainnamens, einer Größe von dem Ereignisprotokoll zugeordneten Daten oder einer dem Ereignisprotokoll zugeordneten Ereigniseintrittszeit.
  25. System nach Anspruch 22, wobei der maschinell erlernte Algorithmus basierend auf Korrelationsdaten, die aus analysierten Ereignisprotokollen abgeleitet werden, kontinuierlich aktualisiert wird.
  26. System nach Anspruch 22, wobei der statische Algorithmus ein von Menschen entwickelter Algorithmus ist, wobei der statische Algorithmus basierend auf einer Bedienereingabe eingestellt wird.
  27. System nach Anspruch 21, das ferner eingerichtet ist zum: Empfangen von Berichtsdaten, die auf der Grundlage von analysierten Ereignisprotokollen erzeugt wurden, von dem Analysesystem; und Aktualisieren von Trainingsdaten für den mindestens einen Algorithmus basierend auf den auf Grundlage der analysierten Ereignisprotokolle erzeugten Berichtsdaten.
  28. System nach Anspruch 21, das ferner eingerichtet ist zum: Empfangen einer Vielzahl von Paketen; Bestimmen einer Vielzahl von potenziellen Bedrohungskommunikationsereignissen auf der Grundlage von Threat Intelligence-Daten; Erzeugen der Vielzahl von Ereignisprotokollen basierend auf der Vielzahl von potentiellen Bedrohungskommunikationsereignissen; und Speichern der Vielzahl von Ereignisprotokollen in der Ereigniswarteschlange.
  29. System nach Anspruch 28, das ferner eingerichtet ist zum: Empfangen von Berichtsdaten, die auf der Grundlage von analysierten Ereignisprotokollen erzeugt wurden, von dem Analysesystem; und Aktualisieren, basierend auf den Berichtsdaten, die auf der Grundlage der analysierten Ereignisprotokolle erzeugt wurden, von Paketregelanordnungen zum Bestimmen von Paketen als eines der Vielzahl von potenziellen Bedrohungskommunikationsereignissen.
  30. System nach Anspruch 21, wobei die Meldepflichtwahrscheinlichkeit eine Wahrscheinlichkeit ist, dass eine potenzielle Bedrohungskommunikation mit einer tatsächlichen Bedrohung verbunden ist.
  31. System, das dazu eingerichtet ist, folgendes auszuführen: Empfangen einer Vielzahl von Ereignisprotokollen durch eine Recheneinrichtung; Bestimmen, durch die Recheneinrichtung, einer ersten Meldepflichtwahrscheinlichkeit für jedes Ereignisprotokoll basierend auf einem von Menschen entworfenen Algorithmus; Bestimmen, durch die Recheneinrichtung, einer zweiten Meldepflichtwahrscheinlichkeit für jedes Ereignisprotokoll basierend auf einem maschinell erlernten Algorithmus; Bestimmen, durch die Recheneinrichtung, einer kombinierten Meldepflichtwahrscheinlichkeit für jedes Ereignisprotokoll, basierend auf der ersten Meldepflichtwahrscheinlichkeit und der zweiten Meldepflichtwahrscheinlichkeit; Sortieren der Vielzahl von Ereignisprotokollen basierend auf den kombinierten Meldepflichtwahrscheinlichkeiten jedes der Vielzahl von Ereignisprotokollen; und Speichern der Vielzahl von Ereignisprotokollen in einer Ereigniswarteschlange, wobei die Vielzahl von Ereignisprotokollen in der Ereigniswarteschlange basierend auf der kombinierten Meldepflichtwahrscheinlichkeit jedes der Vielzahl von Ereignisprotokollen sortiert ist, wobei die kombinierte Meldepflichtwahrscheinlichkeiten für jedes Ereignisprotokoll auf mindestens einer der folgenden Größen basiert: einer Zuverlässigkeit eines Ereignisbedrohungsindikators, einem Typ des Ereignisbedrohungsindikators, einem Alter des Ereignisbedrohungsindikators, mit dem Ereignisbedrohungsindikator verknüpfte Threat Intelligence-Anbieterdaten, Reputationsdaten von mindestens einem Threat Intelligence-Anbieter oder einer Risikobewertung des Ereignisbedrohungsindikators.
  32. System nach Anspruch 31, das ferner eingerichtet ist zum: Empfangen von Berichtsdaten, die auf der Grundlage von analysierten Ereignisprotokollen erzeugt wurden, von einem Analysesystem; und Aktualisieren von Trainingsdaten für ein maschinelles Lernsystem basierend auf Meldepflichtbefunden analysierter Ereignisprotokolle.
  33. System nach Anspruch 31, wobei der maschinell erlernte Algorithmus für jedes Ereignisprotokoll die zweite Meldepflichtwahrscheinlichkeit für das Ereignisprotokoll basierend auf mindestens einem der folgenden Elemente bestimmt: einem dem Ereignisprotokoll zugeordneten Domainnamen, einem Entropiewert des dem Ereignisprotokoll zugeordneten Domainnamens, einer Anzahl an Label des dem Ereignisprotokoll zugeordneten Domainnamens, einer Zeichenfolgenlänge des dem Ereignisprotokoll zugeordneten Domainnamens, einer Größe von dem Ereignisprotokoll zugeordneten Daten oder einer dem Ereignisprotokoll zugeordneten Ereigniseintrittszeit.
  34. System nach Anspruch 31, wobei der maschinell erlernte Algorithmus die zweite Meldepflichtwahrscheinlichkeit basierend auf einer Korrelation zwischen einem Ereignis und historischen meldepflichtigen Ereignissen bestimmt.
  35. System, das dazu eingerichtet ist, folgendes auszuführen: eine Vielzahl von Ereignisprotokollen zu empfangen; eine Meldepflichtwahrscheinlichkeit für jedes Ereignisprotokoll basierend auf mindestens einem Algorithmus zu bestimmen, wobei die Meldepflichtwahrscheinlichkeit für jedes Ereignisprotokoll auf mindestens einer der folgenden Größen basiert: einer Zuverlässigkeit eines Ereignisbedrohungsindikators, einem Typ des Ereignisbedrohungsindikators, einem Alter des Ereignisbedrohungsindikators, mit dem Ereignisbedrohungsindikator verknüpfte Threat Intelligence-Anbieterdaten, Reputationsdaten von mindestens einem Threat Intelligence-Anbieter oder einer Risikobewertung des Ereignisbedrohungsindikators; die Vielzahl von Ereignisprotokollen basierend auf der Meldepflichtwahrscheinlichkeit für jedes der Vielzahl von Ereignisprotokollen zu sortieren; und die Vielzahl der Ereignisprotokolle in einer Ereigniswarteschlange zu speichern, wobei die Vielzahl der Ereignisprotokolle in der Ereigniswarteschlange basierend auf der Meldepflichtwahrscheinlichkeit jedes der Vielzahl von Ereignisprotokollen sortiert ist.
  36. System nach Anspruch 35, wobei die Meldepflichtwahrscheinlichkeit eine kombinierte Meldepflichtwahrscheinlichkeit ist, wobei die Meldepflichtwahrscheinlichkeit für jedes Ereignisprotokoll auf der Grundlage des mindestens einen Algorithmus bestimmen wird, wobei das System ferner dazu eingerichtet ist: eine erste Meldepflichtwahrscheinlichkeit für jedes Ereignisprotokoll auf der Grundlage eines statischen Algorithmus zu bestimmen; eine zweite Meldepflichtwahrscheinlichkeit für jedes Ereignisprotokoll basierend auf einem maschinell erlernten Algorithmus zu bestimmen; und die kombinierte Meldepflichtwahrscheinlichkeit für jedes Ereignisprotokoll auf der Grundlage der ersten Meldepflichtwahrscheinlichkeit und der zweiten Meldepflichtwahrscheinlichkeit zu bestimmen.
  37. System nach Anspruch 36, wobei der maschinell erlernte Algorithmus für jedes Ereignisprotokoll die zweite Meldepflichtwahrscheinlichkeit für das Ereignisprotokoll basierend auf mindestens einem der folgenden Elemente bestimmt: einem dem Ereignisprotokoll zugeordneten Domainnamen, einem Entropiewert des dem Ereignisprotokoll zugeordneten Domainnamens, einer Anzahl an Label des dem Ereignisprotokoll zugeordneten Domainnamens, einer Zeichenfolgenlänge des dem Ereignisprotokoll zugeordneten Domainnamens, einer Größe von dem Ereignisprotokoll zugeordneten Daten oder einer dem Ereignisprotokoll zugeordneten Ereigniseintrittszeit.
  38. System nach Anspruch 36, wobei der maschinell erlernte Algorithmus die zweite Meldepflichtwahrscheinlichkeit basierend auf einer Korrelation zwischen einem Ereignis und historischen meldepflichtigen Ereignissen bestimmt.
  39. System nach Anspruch 35, das ferner eingerichtet ist: Berichtsdaten, die auf der Grundlage von analysierten Ereignisprotokollen erzeugt wurden, von einem Analysesystem zu empfangen; und Trainingsdaten für ein maschinelles Lernsystem basierend auf Meldepflichtbefunden analysierter Ereignisprotokolle zu aktualisieren.
  40. System nach Anspruch 35, das ferner eingerichtet ist: eine Vielzahl von Paketen zu empfangen; eine Vielzahl von potenziellen Bedrohungskommunikationsereignissen auf der Grundlage von Threat Intelligence-Daten zu bestimmen; die Vielzahl von Ereignisprotokollen basierend auf der Vielzahl von potentiellen Bedrohungskommunikationsereignissen zu erzeugen; und die Vielzahl von Ereignisprotokollen in der Ereigniswarteschlange zu speichern.
DE202018006616.8U 2017-07-10 2018-07-10 Beschleunigung des Arbeitsablaufs von Cyberanalysen Active DE202018006616U1 (de)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US201762530543P 2017-07-10 2017-07-10
US62/530,543 2017-07-10
US16/030,354 US10503899B2 (en) 2017-07-10 2018-07-09 Cyberanalysis workflow acceleration
US16/030,354 2018-07-09

Publications (1)

Publication Number Publication Date
DE202018006616U1 true DE202018006616U1 (de) 2021-07-22

Family

ID=64902751

Family Applications (1)

Application Number Title Priority Date Filing Date
DE202018006616.8U Active DE202018006616U1 (de) 2017-07-10 2018-07-10 Beschleunigung des Arbeitsablaufs von Cyberanalysen

Country Status (7)

Country Link
US (4) US10503899B2 (de)
EP (2) EP3652914B1 (de)
CN (1) CN111052704A (de)
AU (1) AU2018301781B9 (de)
CA (1) CA3069437A1 (de)
DE (1) DE202018006616U1 (de)
WO (1) WO2019014159A1 (de)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10503899B2 (en) 2017-07-10 2019-12-10 Centripetal Networks, Inc. Cyberanalysis workflow acceleration
US11509540B2 (en) 2017-12-14 2022-11-22 Extreme Networks, Inc. Systems and methods for zero-footprint large-scale user-entity behavior modeling
US11411967B2 (en) * 2018-11-30 2022-08-09 Cisco Technology, Inc. Synergistic DNS security update
CN110008265B (zh) * 2019-03-12 2023-09-19 湖南衍君信息系统有限公司 一种配置工作流的方法、装置、服务器和计算机存储介质
CN110191118B (zh) * 2019-05-28 2021-06-01 哈尔滨工程大学 一种面向网络安全设备的统一指控方法及系统
US10623423B1 (en) * 2019-06-06 2020-04-14 Sift Science, Inc. Systems and methods for intelligently implementing a machine learning-based digital threat mitigation service
US11477244B2 (en) 2020-05-21 2022-10-18 Saudi Arabian Oil Company Method and system for data loss prevention management
US11843622B1 (en) * 2020-10-16 2023-12-12 Splunk Inc. Providing machine learning models for classifying domain names for malware detection
US11763033B2 (en) * 2021-01-01 2023-09-19 Bank Of America Corporation Leveraging entity dark web chatter using slope of vendor identifier appearances as a search proxy
US11159546B1 (en) 2021-04-20 2021-10-26 Centripetal Networks, Inc. Methods and systems for efficient threat context-aware packet filtering for network protection
CN115529147A (zh) * 2021-06-25 2022-12-27 安碁资讯股份有限公司 数据外泄检测方法与装置
US11856005B2 (en) 2021-09-16 2023-12-26 Centripetal Networks, Llc Malicious homoglyphic domain name generation and associated cyber security applications
US20230208872A1 (en) * 2021-12-23 2023-06-29 Mcafee, Llc Methods and apparatus to determine mutex entropy for malware classification
WO2023194409A1 (en) * 2022-04-04 2023-10-12 Cado Security, Ltd. Automated security analysis and response of container environments
CN115277634B (zh) * 2022-07-11 2024-05-14 清华大学 一种暗网代理识别方法、装置和可读存储介质

Family Cites Families (296)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6147976A (en) 1996-06-24 2000-11-14 Cabletron Systems, Inc. Fast network layer packet filter
US5857190A (en) 1996-06-27 1999-01-05 Microsoft Corporation Event logging system and method for logging events in a network system
US6453345B2 (en) 1996-11-06 2002-09-17 Datadirect Networks, Inc. Network security and surveillance system
US6098172A (en) 1997-09-12 2000-08-01 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with proxy reflection
US7143438B1 (en) 1997-09-12 2006-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with multiple domain support
US6484261B1 (en) 1998-02-17 2002-11-19 Cisco Technology, Inc. Graphical network security policy management
US6279113B1 (en) 1998-03-16 2001-08-21 Internet Tools, Inc. Dynamic signature inspection-based network intrusion detection
US6317837B1 (en) 1998-09-01 2001-11-13 Applianceware, Llc Internal network node with dedicated firewall
US6826694B1 (en) 1998-10-22 2004-11-30 At&T Corp. High resolution access control
US20010039624A1 (en) 1998-11-24 2001-11-08 Kellum Charles W. Processes systems and networks for secured information exchange using computer hardware
CA2287689C (en) 1998-12-03 2003-09-30 P. Krishnan Adaptive re-ordering of data packet filter rules
US6226372B1 (en) 1998-12-11 2001-05-01 Securelogix Corporation Tightly integrated cooperative telecommunications firewall and scanner with distributed capabilities
US6611875B1 (en) 1998-12-31 2003-08-26 Pmc-Sierra, Inc. Control system for high speed rule processors
US6678827B1 (en) 1999-05-06 2004-01-13 Watchguard Technologies, Inc. Managing multiple network security devices from a manager device
JP2000332817A (ja) 1999-05-18 2000-11-30 Fujitsu Ltd パケット処理装置
ATE350829T1 (de) 1999-06-10 2007-01-15 Alcatel Internetworking Inc System und verfahren zur einheitlichen regelverwaltung mit integriertem regelumsetzer
US7051365B1 (en) 1999-06-30 2006-05-23 At&T Corp. Method and apparatus for a distributed firewall
US6971028B1 (en) * 1999-08-30 2005-11-29 Symantec Corporation System and method for tracking the source of a computer attack
EP1107140A3 (de) 1999-11-30 2004-01-28 Hitachi, Ltd. Verfahren zur Unterstützung des Entwurfs von Sicherheitssystemen
US7215637B1 (en) 2000-04-17 2007-05-08 Juniper Networks, Inc. Systems and methods for processing packets
US7058976B1 (en) 2000-05-17 2006-06-06 Deep Nines, Inc. Intelligent feedback loop process control system
US8204082B2 (en) 2000-06-23 2012-06-19 Cloudshield Technologies, Inc. Transparent provisioning of services over a network
US6907470B2 (en) 2000-06-29 2005-06-14 Hitachi, Ltd. Communication apparatus for routing or discarding a packet sent from a user terminal
US20020164962A1 (en) 2000-07-18 2002-11-07 Mankins Matt W. D. Apparatuses, methods, and computer programs for displaying information on mobile units, with reporting by, and control of, such units
US7152240B1 (en) 2000-07-25 2006-12-19 Green Stuart D Method for communication security and apparatus therefor
US6834342B2 (en) 2000-08-16 2004-12-21 Eecad, Inc. Method and system for secure communication over unstable public connections
US6662235B1 (en) 2000-08-24 2003-12-09 International Business Machines Corporation Methods systems and computer program products for processing complex policy rules based on rule form type
US20020038339A1 (en) 2000-09-08 2002-03-28 Wei Xu Systems and methods for packet distribution
US9525696B2 (en) 2000-09-25 2016-12-20 Blue Coat Systems, Inc. Systems and methods for processing data flows
US20110214157A1 (en) 2000-09-25 2011-09-01 Yevgeny Korsunsky Securing a network with data flow processing
US7129825B2 (en) 2000-09-26 2006-10-31 Caterpillar Inc. Action recommendation system for a mobile vehicle
US20060212572A1 (en) 2000-10-17 2006-09-21 Yehuda Afek Protecting against malicious traffic
US7046680B1 (en) 2000-11-28 2006-05-16 Mci, Inc. Network access system including a programmable access device having distributed service control
US7657628B1 (en) 2000-11-28 2010-02-02 Verizon Business Global Llc External processor for a distributed network access system
EP1338130B1 (de) 2000-11-30 2006-11-02 Lancope, Inc. Flussbasierte erfassung eines eindringens in ein netzwerk
US7095741B1 (en) 2000-12-20 2006-08-22 Cisco Technology, Inc. Port isolation for restricting traffic flow on layer 2 switches
US20030051026A1 (en) 2001-01-19 2003-03-13 Carter Ernst B. Network surveillance and security system
US7061874B2 (en) 2001-01-26 2006-06-13 Broadcom Corporation Method, system and computer program product for classifying packet flows with a bit mask
FI20010256A0 (fi) 2001-02-12 2001-02-12 Stonesoft Oy Pakettidatayhteystietojen käsittely tietoturvagatewayelementissä
US20040151155A1 (en) 2001-03-14 2004-08-05 Jarkko Jouppi Method for activating a connection in a communications system, mobile station, network element and packet filter
US7095716B1 (en) 2001-03-30 2006-08-22 Juniper Networks, Inc. Internet security device and method
US20020186683A1 (en) 2001-04-02 2002-12-12 Alan Buck Firewall gateway for voice over internet telephony communications
AUPR435501A0 (en) 2001-04-11 2001-05-17 Firebridge Systems Pty Ltd Network security system
KR100398281B1 (ko) 2001-04-17 2003-09-19 시큐아이닷컴 주식회사 패킷 차단방식 방화벽 시스템에서의 고속 정책 판별 방법
US7227842B1 (en) 2001-04-24 2007-06-05 Tensilica, Inc. Fast IP packet classification with configurable processor
AU2002304227A1 (en) 2001-06-11 2002-12-23 Bluefire Security Technology Packet filtering system and methods
US6947983B2 (en) 2001-06-22 2005-09-20 International Business Machines Corporation Method and system for exploiting likelihood in filter rule enforcement
US7315892B2 (en) 2001-06-27 2008-01-01 International Business Machines Corporation In-kernel content-aware service differentiation
US7028179B2 (en) 2001-07-03 2006-04-11 Intel Corporation Apparatus and method for secure, automated response to distributed denial of service attacks
KR20010079361A (ko) 2001-07-09 2001-08-22 김상욱 네트워크 상태 기반의 방화벽 장치 및 그 방법
US7207062B2 (en) 2001-08-16 2007-04-17 Lucent Technologies Inc Method and apparatus for protecting web sites from distributed denial-of-service attacks
US7331061B1 (en) 2001-09-07 2008-02-12 Secureworks, Inc. Integrated computer security management system and method
US7386525B2 (en) 2001-09-21 2008-06-10 Stonesoft Corporation Data packet filtering
US7159109B2 (en) 2001-11-07 2007-01-02 Intel Corporation Method and apparatus to manage address translation for secure connections
US7325248B2 (en) 2001-11-19 2008-01-29 Stonesoft Corporation Personal firewall with location dependent functionality
FI20012338A0 (fi) 2001-11-29 2001-11-29 Stonesoft Corp Palomuuri tunneloitujen datapakettien suodattamiseksi
US20030123456A1 (en) 2001-12-28 2003-07-03 Denz Peter R. Methods and system for data packet filtering using tree-like hierarchy
US7222366B2 (en) 2002-01-28 2007-05-22 International Business Machines Corporation Intrusion event filtering
US7161942B2 (en) 2002-01-31 2007-01-09 Telcordia Technologies, Inc. Method for distributing and conditioning traffic for mobile networks based on differentiated services
JP3797937B2 (ja) 2002-02-04 2006-07-19 株式会社日立製作所 ネットワーク接続システム、ネットワーク接続方法、および、それらに用いられるネットワーク接続装置
US7249194B2 (en) 2002-02-08 2007-07-24 Matsushita Electric Industrial Co., Ltd. Gateway apparatus and its controlling method
US8370936B2 (en) 2002-02-08 2013-02-05 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
US7185365B2 (en) 2002-03-27 2007-02-27 Intel Corporation Security enabled network access control
US7107613B1 (en) 2002-03-27 2006-09-12 Cisco Technology, Inc. Method and apparatus for reducing the number of tunnels used to implement a security policy on a network
AU2003228541A1 (en) 2002-04-15 2003-11-03 Core Sdi, Incorporated Secure auditing of information systems
GB2387681A (en) 2002-04-18 2003-10-22 Isis Innovation Intrusion detection system with inductive logic means for suggesting new general rules
AUPS214802A0 (en) 2002-05-01 2002-06-06 Firebridge Systems Pty Ltd Firewall with stateful inspection
US20030212900A1 (en) 2002-05-13 2003-11-13 Hsin-Yuo Liu Packet classifying network services
AU2003238901A1 (en) 2002-06-07 2003-12-22 Bellsouth Intellectual Property Corporation Sytems and methods for establishing electronic conferencing over a distributed network
TWI244297B (en) 2002-06-12 2005-11-21 Thomson Licensing Sa Apparatus and method adapted to communicate via a network
US7441262B2 (en) 2002-07-11 2008-10-21 Seaway Networks Inc. Integrated VPN/firewall system
US20040015719A1 (en) 2002-07-16 2004-01-22 Dae-Hyung Lee Intelligent security engine and intelligent and integrated security system using the same
US7684400B2 (en) 2002-08-08 2010-03-23 Intel Corporation Logarithmic time range-based multifield-correlation packet classification
US7263099B1 (en) 2002-08-14 2007-08-28 Juniper Networks, Inc. Multicast packet replication
JP3794491B2 (ja) 2002-08-20 2006-07-05 日本電気株式会社 攻撃防御システムおよび攻撃防御方法
FR2844415B1 (fr) 2002-09-05 2005-02-11 At & T Corp Systeme pare-feu pour interconnecter deux reseaux ip geres par deux entites administratives differentes
US20060104202A1 (en) 2002-10-02 2006-05-18 Richard Reiner Rule creation for computer application screening; application error testing
US7313141B2 (en) 2002-10-09 2007-12-25 Alcatel Lucent Packet sequence number network monitoring system
US7574738B2 (en) 2002-11-06 2009-08-11 At&T Intellectual Property Ii, L.P. Virtual private network crossovers based on certificates
US7454499B2 (en) 2002-11-07 2008-11-18 Tippingpoint Technologies, Inc. Active network defense system and method
US7296288B1 (en) 2002-11-15 2007-11-13 Packeteer, Inc. Methods, apparatuses, and systems allowing for bandwidth management schemes responsive to utilization characteristics associated with individual users
US20040098511A1 (en) 2002-11-16 2004-05-20 Lin David H. Packet routing method and system that routes packets to one of at least two processes based on at least one routing rule
US7366174B2 (en) 2002-12-17 2008-04-29 Lucent Technologies Inc. Adaptive classification of network traffic
US7050394B2 (en) 2002-12-18 2006-05-23 Intel Corporation Framer
US20050125697A1 (en) 2002-12-27 2005-06-09 Fujitsu Limited Device for checking firewall policy
US7913303B1 (en) 2003-01-21 2011-03-22 International Business Machines Corporation Method and system for dynamically protecting a computer system from attack
US20040148520A1 (en) 2003-01-29 2004-07-29 Rajesh Talpade Mitigating denial of service attacks
US20040193943A1 (en) 2003-02-13 2004-09-30 Robert Angelino Multiparameter network fault detection system using probabilistic and aggregation analysis
US20040177139A1 (en) 2003-03-03 2004-09-09 Schuba Christoph L. Method and apparatus for computing priorities between conflicting rules for network services
US7539186B2 (en) 2003-03-31 2009-05-26 Motorola, Inc. Packet filtering for emergency service access in a packet data network communication system
US7441036B2 (en) 2003-04-01 2008-10-21 International Business Machines Corporation Method and system for a debugging utility based on a TCP tunnel
US7305708B2 (en) 2003-04-14 2007-12-04 Sourcefire, Inc. Methods and systems for intrusion detection
US7681235B2 (en) 2003-05-19 2010-03-16 Radware Ltd. Dynamic network protection
US7509673B2 (en) 2003-06-06 2009-03-24 Microsoft Corporation Multi-layered firewall architecture
US7308711B2 (en) 2003-06-06 2007-12-11 Microsoft Corporation Method and framework for integrating a plurality of network policies
US7710885B2 (en) 2003-08-29 2010-05-04 Agilent Technologies, Inc. Routing monitoring
KR100502068B1 (ko) 2003-09-29 2005-07-25 한국전자통신연구원 네트워크 노드의 보안 엔진 관리 장치 및 방법
KR100558658B1 (ko) 2003-10-02 2006-03-14 한국전자통신연구원 인-라인 모드 네트워크 침입 탐지/차단 시스템 및 그 방법
US20050108557A1 (en) 2003-10-11 2005-05-19 Kayo David G. Systems and methods for detecting and preventing unauthorized access to networked devices
US7237267B2 (en) 2003-10-16 2007-06-26 Cisco Technology, Inc. Policy-based network security management
US7672318B2 (en) 2003-11-06 2010-03-02 Telefonaktiebolaget L M Ericsson (Publ) Adaptable network bridge
US8839417B1 (en) 2003-11-17 2014-09-16 Mcafee, Inc. Device, system and method for defending a computer network
US20050183140A1 (en) 2003-11-20 2005-08-18 Goddard Stephen M. Hierarchical firewall load balancing and L4/L7 dispatching
US7389532B2 (en) 2003-11-26 2008-06-17 Microsoft Corporation Method for indexing a plurality of policy filters
US7756008B2 (en) 2003-12-19 2010-07-13 At&T Intellectual Property Ii, L.P. Routing protocols with predicted outrage notification
US7523314B2 (en) 2003-12-22 2009-04-21 Voltage Security, Inc. Identity-based-encryption message management system
US20050141537A1 (en) 2003-12-29 2005-06-30 Intel Corporation A Delaware Corporation Auto-learning of MAC addresses and lexicographic lookup of hardware database
US7761923B2 (en) 2004-03-01 2010-07-20 Invensys Systems, Inc. Process control methods and apparatus for intrusion detection, protection and network hardening
US7610621B2 (en) 2004-03-10 2009-10-27 Eric White System and method for behavior-based firewall modeling
US7814546B1 (en) 2004-03-19 2010-10-12 Verizon Corporate Services Group, Inc. Method and system for integrated computer networking attack attribution
US8031616B2 (en) 2004-03-23 2011-10-04 Level 3 Communications, Llc Systems and methods for accessing IP transmissions
US20050229246A1 (en) 2004-03-31 2005-10-13 Priya Rajagopal Programmable context aware firewall with integrated intrusion detection system
US8923292B2 (en) 2004-04-06 2014-12-30 Rockstar Consortium Us Lp Differential forwarding in address-based carrier networks
US20050249214A1 (en) 2004-05-07 2005-11-10 Tao Peng System and process for managing network traffic
JP4341517B2 (ja) 2004-06-21 2009-10-07 日本電気株式会社 セキュリティポリシー管理システム、セキュリティポリシー管理方法およびプログラム
EP1762079A1 (de) 2004-06-23 2007-03-14 Qualcomm Incorporated Effiziente netzwerkpaketeklassifizierung
US20060031928A1 (en) 2004-08-09 2006-02-09 Conley James W Detector and computerized method for determining an occurrence of tunneling activity
US20060048142A1 (en) 2004-09-02 2006-03-02 Roese John J System and method for rapid response network policy implementation
US8331234B1 (en) 2004-09-08 2012-12-11 Q1 Labs Inc. Network data flow collection and processing
US7478429B2 (en) 2004-10-01 2009-01-13 Prolexic Technologies, Inc. Network overload detection and mitigation system and method
US7490235B2 (en) 2004-10-08 2009-02-10 International Business Machines Corporation Offline analysis of packets
US7509493B2 (en) 2004-11-19 2009-03-24 Microsoft Corporation Method and system for distributing security policies
JP4369351B2 (ja) 2004-11-30 2009-11-18 株式会社日立製作所 パケット転送装置
JP2006174350A (ja) 2004-12-20 2006-06-29 Fujitsu Ltd 通信装置
US7602731B2 (en) 2004-12-22 2009-10-13 Intruguard Devices, Inc. System and method for integrated header, state, rate and content anomaly prevention with policy enforcement
US7607170B2 (en) 2004-12-22 2009-10-20 Radware Ltd. Stateful attack protection
CA2594020C (en) 2004-12-22 2014-12-09 Wake Forest University Method, systems, and computer program products for implementing function-parallel network firewall
WO2006071985A2 (en) 2004-12-29 2006-07-06 Alert Logic, Inc. Threat scoring system and method for intrusion detection security networks
US7551567B2 (en) 2005-01-05 2009-06-23 Cisco Technology, Inc. Interpreting an application message at a network element using sampling and heuristics
GB2422505A (en) 2005-01-20 2006-07-26 Agilent Technologies Inc Sampling datagrams
WO2006090781A1 (ja) 2005-02-24 2006-08-31 Nec Corporation フィルタリングルール分析方法及びシステム
US8042167B2 (en) 2005-03-28 2011-10-18 Wake Forest University Methods, systems, and computer program products for network firewall policy optimization
US8516583B2 (en) * 2005-03-31 2013-08-20 Microsoft Corporation Aggregating the knowledge base of computer systems to proactively protect a computer from malware
US7499412B2 (en) 2005-07-01 2009-03-03 Net Optics, Inc. Active packet content analyzer for communications network
US20080229415A1 (en) 2005-07-01 2008-09-18 Harsh Kapoor Systems and methods for processing data flows
US8296846B2 (en) 2005-08-19 2012-10-23 Cpacket Networks, Inc. Apparatus and method for associating categorization information with network traffic to facilitate application level processing
US20070056038A1 (en) 2005-09-06 2007-03-08 Lok Technology, Inc. Fusion instrusion protection system
US20070083924A1 (en) 2005-10-08 2007-04-12 Lu Hongqian K System and method for multi-stage packet filtering on a networked-enabled device
US8027251B2 (en) 2005-11-08 2011-09-27 Verizon Services Corp. Systems and methods for implementing protocol-aware network firewall
US7716729B2 (en) 2005-11-23 2010-05-11 Genband Inc. Method for responding to denial of service attacks at the session layer or above
US7661136B1 (en) 2005-12-13 2010-02-09 At&T Intellectual Property Ii, L.P. Detecting anomalous web proxy activity
US7832009B2 (en) 2005-12-28 2010-11-09 Foundry Networks, Llc Techniques for preventing attacks on computer systems and networks
US8397284B2 (en) 2006-01-17 2013-03-12 University Of Maryland Detection of distributed denial of service attacks in autonomous system domains
US8116312B2 (en) 2006-02-08 2012-02-14 Solarflare Communications, Inc. Method and apparatus for multicast packet reception
WO2007096884A2 (en) 2006-02-22 2007-08-30 Elad Barkan Wireless internet system and method
US7898963B2 (en) 2006-03-07 2011-03-01 Cisco Technology, Inc. Graphical representation of the flow of a packet through a network device
JP2009530669A (ja) 2006-03-16 2009-08-27 ブルベーカー,カーチス,エム. 移動物体上に非常に関連性の高い広告を表示することによって収入を得るためのシステム及び方法
US20070240208A1 (en) 2006-04-10 2007-10-11 Ming-Che Yu Network appliance for controlling hypertext transfer protocol (HTTP) messages between a local area network and a global communications network
US7849502B1 (en) 2006-04-29 2010-12-07 Ironport Systems, Inc. Apparatus for monitoring network traffic
GB2437791A (en) 2006-05-03 2007-11-07 Skype Ltd Secure communication using protocol encapsulation
US8009566B2 (en) 2006-06-26 2011-08-30 Palo Alto Networks, Inc. Packet classification in a network security device
US7966655B2 (en) 2006-06-30 2011-06-21 At&T Intellectual Property Ii, L.P. Method and apparatus for optimizing a firewall
US8639837B2 (en) 2006-07-29 2014-01-28 Blue Coat Systems, Inc. System and method of traffic inspection and classification for purposes of implementing session ND content control
US8190868B2 (en) * 2006-08-07 2012-05-29 Webroot Inc. Malware management through kernel detection
US8446874B2 (en) 2006-08-21 2013-05-21 Samsung Electronics Co., Ltd Apparatus and method for filtering packet in a network system using mobile IP
US8234702B2 (en) 2006-08-29 2012-07-31 Oracle International Corporation Cross network layer correlation-based firewalls
US8385331B2 (en) 2006-09-29 2013-02-26 Verizon Patent And Licensing Inc. Secure and reliable policy enforcement
US7624084B2 (en) 2006-10-09 2009-11-24 Radware, Ltd. Method of generating anomaly pattern for HTTP flood protection
US7768921B2 (en) 2006-10-30 2010-08-03 Juniper Networks, Inc. Identification of potential network threats using a distributed threshold random walk
US8004994B1 (en) 2006-11-01 2011-08-23 Azimuth Systems, Inc. System and method for intelligently analyzing performance of a device under test
US7954143B2 (en) 2006-11-13 2011-05-31 At&T Intellectual Property I, Lp Methods, network services, and computer program products for dynamically assigning users to firewall policy groups
US8176561B1 (en) 2006-12-14 2012-05-08 Athena Security, Inc. Assessing network security risk using best practices
US7835348B2 (en) 2006-12-30 2010-11-16 Extreme Networks, Inc. Method and apparatus for dynamic anomaly-based updates to traffic selection policies in a switch
EP2116005A1 (de) 2007-01-31 2009-11-11 Tufin Software Technologies Ltd. System und verfahren zur prüfung eines sicherheitsverfahrens
US7873710B2 (en) 2007-02-06 2011-01-18 5O9, Inc. Contextual data communication platform
US8448234B2 (en) 2007-02-15 2013-05-21 Marvell Israel (M.I.S.L) Ltd. Method and apparatus for deep packet inspection for network intrusion detection
US7853998B2 (en) 2007-03-22 2010-12-14 Mocana Corporation Firewall propagation
US8209738B2 (en) 2007-05-31 2012-06-26 The Board Of Trustees Of The University Of Illinois Analysis of distributed policy rule-sets for compliance with global policy
US20120084866A1 (en) 2007-06-12 2012-04-05 Stolfo Salvatore J Methods, systems, and media for measuring computer security
US7853689B2 (en) 2007-06-15 2010-12-14 Broadcom Corporation Multi-stage deep packet inspection for lightweight devices
US20080320116A1 (en) 2007-06-21 2008-12-25 Christopher Briggs Identification of endpoint devices operably coupled to a network through a network address translation router
US7995584B2 (en) 2007-07-26 2011-08-09 Hewlett-Packard Development Company, L.P. Method and apparatus for detecting malicious routers from packet payload
US8763108B2 (en) 2007-11-29 2014-06-24 Qualcomm Incorporated Flow classification for encrypted and tunneled packet streams
KR100949808B1 (ko) 2007-12-07 2010-03-30 한국전자통신연구원 P2p 트래픽 관리 장치 및 그 방법
US8307029B2 (en) 2007-12-10 2012-11-06 Yahoo! Inc. System and method for conditional delivery of messages
US8418240B2 (en) 2007-12-26 2013-04-09 Algorithmic Security (Israel) Ltd. Reordering a firewall rule base according to usage statistics
US10091229B2 (en) 2008-01-09 2018-10-02 Masergy Communications, Inc. Systems and methods of network security and threat management
US8561129B2 (en) 2008-02-28 2013-10-15 Mcafee, Inc Unified network threat management with rule classification
US9298747B2 (en) 2008-03-20 2016-03-29 Microsoft Technology Licensing, Llc Deployable, consistent, and extensible computing environment platform
CN101552803B (zh) 2008-04-03 2011-10-05 华为技术有限公司 网络地址转换地址映射表维护方法、媒体网关及其控制器
US8346225B2 (en) 2009-01-28 2013-01-01 Headwater Partners I, Llc Quality of service for device assisted services
US8856926B2 (en) 2008-06-27 2014-10-07 Juniper Networks, Inc. Dynamic policy provisioning within network security devices
US8156553B1 (en) 2008-07-11 2012-04-10 Alert Logic, Inc. Systems and methods for correlating log messages into actionable security incidents and managing human responses
US8490171B2 (en) 2008-07-14 2013-07-16 Tufin Software Technologies Ltd. Method of configuring a security gateway and system thereof
US8161155B2 (en) 2008-09-29 2012-04-17 At&T Intellectual Property I, L.P. Filtering unwanted data traffic via a per-customer blacklist
US8572717B2 (en) 2008-10-09 2013-10-29 Juniper Networks, Inc. Dynamic access control policy with port restrictions for a network security appliance
US20100107240A1 (en) 2008-10-24 2010-04-29 Microsoft Corporation Network location determination for direct access networks
US8850571B2 (en) * 2008-11-03 2014-09-30 Fireeye, Inc. Systems and methods for detecting malicious network content
US8272029B2 (en) 2008-11-25 2012-09-18 At&T Intellectual Property I, L.P. Independent role based authorization in boundary interface elements
US20100199346A1 (en) 2009-02-02 2010-08-05 Telcordia Technologies, Inc. System and method for determining symantic equivalence between access control lists
US8321938B2 (en) 2009-02-12 2012-11-27 Raytheon Bbn Technologies Corp. Multi-tiered scalable network monitoring
US8280968B1 (en) 2009-04-20 2012-10-02 The Florida State University Research Foundation, Inc. Method of detecting compromised computers in a network
US8468220B2 (en) 2009-04-21 2013-06-18 Techguard Security Llc Methods of structuring data, pre-compiled exception list engines, and network appliances
US8769695B2 (en) * 2009-04-30 2014-07-01 Bank Of America Corporation Phish probability scoring model
US8588422B2 (en) 2009-05-28 2013-11-19 Novell, Inc. Key management to protect encrypted data of an endpoint computing device
US8098677B1 (en) 2009-07-31 2012-01-17 Anue Systems, Inc. Superset packet forwarding for overlapping filters and related systems and methods
US8495725B2 (en) 2009-08-28 2013-07-23 Great Wall Systems Methods, systems, and computer readable media for adaptive packet filtering
JP2011053893A (ja) 2009-09-01 2011-03-17 Hitachi Ltd 不正プロセス検知方法および不正プロセス検知システム
US7890627B1 (en) 2009-09-02 2011-02-15 Sophos Plc Hierarchical statistical model of internet reputation
US9413616B2 (en) 2009-10-14 2016-08-09 Hewlett Packard Enterprise Development Lp Detection of network address spoofing and false positive avoidance
US9204415B2 (en) 2009-10-30 2015-12-01 Panasonic Intellectual Property Corporation Of America Communication system and apparatus for status dependent mobile services
US8271645B2 (en) 2009-11-25 2012-09-18 Citrix Systems, Inc. Systems and methods for trace filters by association of client to vserver to services
US8219675B2 (en) 2009-12-11 2012-07-10 Tektronix, Inc. System and method for correlating IP flows across network address translation firewalls
US8254257B2 (en) 2009-12-11 2012-08-28 At&T Intellectual Property I, Lp System and method for location, time-of-day, and quality-of-service based prioritized access control
US9154462B2 (en) 2009-12-22 2015-10-06 At&T Intellectual Property I, L.P. Methods, systems, and computer program products for managing firewall change requests in a communication network
US8438270B2 (en) 2010-01-26 2013-05-07 Tenable Network Security, Inc. System and method for correlating network identities and addresses
US8793789B2 (en) 2010-07-22 2014-07-29 Bank Of America Corporation Insider threat correlation tool
JP5408332B2 (ja) 2010-03-10 2014-02-05 富士通株式会社 中継装置および通信プログラム
US8549650B2 (en) 2010-05-06 2013-10-01 Tenable Network Security, Inc. System and method for three-dimensional visualization of vulnerability and asset data
EP2385676B1 (de) 2010-05-07 2019-06-26 Alcatel Lucent Verfahren zur Anpassung von Sicherheitsrichtlinien einer Informationssysteminfrastruktur
US8510821B1 (en) 2010-06-29 2013-08-13 Amazon Technologies, Inc. Tiered network flow analysis
EP2712144A1 (de) 2010-09-24 2014-03-26 VeriSign, Inc. System und Verfahren zur Bewertung der IP-Adressen-Vertraulichkeit
EP2437442B1 (de) 2010-09-30 2013-02-13 Alcatel Lucent Vorrichtung und Verfahren zum Umschalten von Datenverkehr in einem digitalen Übertragungsnetzwerk
US8627448B2 (en) 2010-11-02 2014-01-07 Jose Renato Santos Selective invalidation of packet filtering results
US8806638B1 (en) 2010-12-10 2014-08-12 Symantec Corporation Systems and methods for protecting networks from infected computing devices
US8726376B2 (en) 2011-03-11 2014-05-13 Openet Telecom Ltd. Methods, systems and devices for the detection and prevention of malware within a network
US9052898B2 (en) 2011-03-11 2015-06-09 Qualcomm Incorporated Remote access and administration of device content, with device power optimization, using HTTP protocol
US8261295B1 (en) 2011-03-16 2012-09-04 Google Inc. High-level language for specifying configurations of cloud-based deployments
US8402543B1 (en) 2011-03-25 2013-03-19 Narus, Inc. Machine learning based botnet detection with dynamic adaptation
CA2834168C (en) 2011-04-28 2020-07-07 Voipfuture Gmbh Correlation of media plane and signaling plane of media services in a packet-switched network
US9215237B2 (en) 2011-05-23 2015-12-15 Nec Corporation Communication system, control device, communication method, and program
US8621556B1 (en) 2011-05-25 2013-12-31 Palo Alto Networks, Inc. Dynamic resolution of fully qualified domain name (FQDN) address objects in policy definitions
US9118702B2 (en) 2011-05-31 2015-08-25 Bce Inc. System and method for generating and refining cyber threat intelligence data
US8995360B2 (en) 2011-06-09 2015-03-31 Time Warner Cable Enterprises Llc Techniques for prefix subnetting
US8683573B2 (en) 2011-06-27 2014-03-25 International Business Machines Corporation Detection of rogue client-agnostic nat device tunnels
US8949413B2 (en) 2011-06-30 2015-02-03 Juniper Networks, Inc. Filter selection and resuse
US9843601B2 (en) 2011-07-06 2017-12-12 Nominum, Inc. Analyzing DNS requests for anomaly detection
US8726379B1 (en) 2011-07-15 2014-05-13 Norse Corporation Systems and methods for dynamic protection from electronic attacks
US9256735B2 (en) 2011-10-10 2016-02-09 Masergy Communications, Inc. Detecting emergent behavior in communications networks
US8793790B2 (en) * 2011-10-11 2014-07-29 Honeywell International Inc. System and method for insider threat detection
US8856936B2 (en) 2011-10-14 2014-10-07 Albeado Inc. Pervasive, domain and situational-aware, adaptive, automated, and coordinated analysis and control of enterprise-wide computers, networks, and applications for mitigation of business and operational risks and enhancement of cyber security
US8856922B2 (en) * 2011-11-30 2014-10-07 Facebook, Inc. Imposter account report management in a social networking system
GB2497940B (en) 2011-12-21 2016-02-17 Eckoh Uk Ltd Method and apparatus for mediating communications
US8930690B2 (en) 2012-03-21 2015-01-06 Microsoft Corporation Offloading packet processing for networking device virtualization
US9973473B2 (en) 2012-03-30 2018-05-15 The University Of North Carolina At Chapel Hill Methods, systems, and computer readable media for rapid filtering of opaque data traffic
US20130291100A1 (en) 2012-04-30 2013-10-31 Sundaram S. Ganapathy Detection And Prevention Of Machine-To-Machine Hijacking Attacks
US9548962B2 (en) 2012-05-11 2017-01-17 Alcatel Lucent Apparatus and method for providing a fluid security layer
US8789135B1 (en) 2012-06-15 2014-07-22 Google Inc. Scalable stateful firewall design in openflow based networks
US9392003B2 (en) 2012-08-23 2016-07-12 Raytheon Foreground Security, Inc. Internet security cyber threat reporting system and method
US9258321B2 (en) 2012-08-23 2016-02-09 Raytheon Foreground Security, Inc. Automated internet threat detection and mitigation system and associated methods
US9386030B2 (en) * 2012-09-18 2016-07-05 Vencore Labs, Inc. System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks
US9124628B2 (en) 2012-09-20 2015-09-01 Cisco Technology, Inc. Seamless engagement and disengagement of transport layer security proxy services
US9565213B2 (en) 2012-10-22 2017-02-07 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9137205B2 (en) 2012-10-22 2015-09-15 Centripetal Networks, Inc. Methods and systems for protecting a secured network
JP2014112768A (ja) 2012-12-05 2014-06-19 Hitachi Ltd 自動障害対応キャッシュシステム及びキャッシュサーバの障害対応処理方法並びにキャッシュマネージャ
US9203806B2 (en) 2013-01-11 2015-12-01 Centripetal Networks, Inc. Rule swapping in a packet network
EP2953298B1 (de) 2013-01-30 2018-03-21 Nippon Telegraph and Telephone Corporation Protokollanalysevorrichtung, informationsverarbeitungsverfahren und programm
US9077702B2 (en) 2013-01-30 2015-07-07 Palo Alto Networks, Inc. Flow ownership assignment in a distributed processor system
US9154502B2 (en) 2013-01-31 2015-10-06 Google Inc. Accessing objects in hosted storage
US9130901B2 (en) 2013-02-26 2015-09-08 Zentera Systems, Inc. Peripheral firewall system for application protection in cloud computing environments
WO2014138205A2 (en) 2013-03-05 2014-09-12 The University Of North Carolina At Chapel Hill Methods, systems, and computer readable media for detecting a compromised computing host
US9124552B2 (en) 2013-03-12 2015-09-01 Centripetal Networks, Inc. Filtering network data transfers
US9172627B2 (en) 2013-03-15 2015-10-27 Extreme Networks, Inc. Device and related method for dynamic traffic mirroring
US9407519B2 (en) 2013-03-15 2016-08-02 Vmware, Inc. Virtual network flow monitoring
US9094445B2 (en) 2013-03-15 2015-07-28 Centripetal Networks, Inc. Protecting networks from cyber attacks and overloading
US9338134B2 (en) 2013-03-27 2016-05-10 Fortinet, Inc. Firewall policy management
US8739243B1 (en) 2013-04-18 2014-05-27 Phantom Technologies, Inc. Selectively performing man in the middle decryption
KR101394424B1 (ko) 2013-04-22 2014-05-13 한국인터넷진흥원 하이퍼바이저 기반 침입 방지 플랫폼 및 가상화 네트워크 침입 방지 시스템
US9021575B2 (en) 2013-05-08 2015-04-28 Iboss, Inc. Selectively performing man in the middle decryption
US9419942B1 (en) 2013-06-05 2016-08-16 Palo Alto Networks, Inc. Destination domain extraction for secure protocols
JP6176480B2 (ja) 2013-07-11 2017-08-09 カシオ計算機株式会社 楽音発生装置、楽音発生方法およびプログラム
US20150033336A1 (en) 2013-07-24 2015-01-29 Fortinet, Inc. Logging attack context data
US9634911B2 (en) 2013-07-30 2017-04-25 Avaya Inc. Communication device event captures
DE102013216847B4 (de) 2013-08-23 2023-06-01 Siemens Mobility GmbH Verfahren, Vorrichtung und System zur Überwachung einer Sicherheits-Netzübergangseinheit
JP6201614B2 (ja) 2013-10-11 2017-09-27 富士通株式会社 ログ分析装置、方法およびプログラム
US10187482B2 (en) * 2014-05-21 2019-01-22 Oath (Americas) Inc. Systems and methods for matching online users across devices
US9392007B2 (en) 2013-11-04 2016-07-12 Crypteia Networks S.A. System and method for identifying infected networks and systems from unknown attacks
US9516049B2 (en) 2013-11-13 2016-12-06 ProtectWise, Inc. Packet capture and network traffic replay
US9503465B2 (en) 2013-11-14 2016-11-22 At&T Intellectual Property I, L.P. Methods and apparatus to identify malicious activity in a network
US8832832B1 (en) 2014-01-03 2014-09-09 Palantir Technologies Inc. IP reputation
US9886581B2 (en) 2014-02-25 2018-02-06 Accenture Global Solutions Limited Automated intelligence graph construction and countermeasure deployment
US20150256431A1 (en) 2014-03-07 2015-09-10 Cisco Technology, Inc. Selective flow inspection based on endpoint behavior and random sampling
US9462008B2 (en) 2014-05-16 2016-10-04 Cisco Technology, Inc. Identifying threats based on hierarchical classification
US20150350229A1 (en) 2014-05-29 2015-12-03 Singularity Networks, Inc. Network Threat Detection and Mitigation Using a Domain Name Service and Network Transaction Data
US10469514B2 (en) 2014-06-23 2019-11-05 Hewlett Packard Enterprise Development Lp Collaborative and adaptive threat intelligence for computer security
US20160191558A1 (en) 2014-12-23 2016-06-30 Bricata Llc Accelerated threat mitigation system
US9306818B2 (en) 2014-07-17 2016-04-05 Cellos Software Ltd Method for calculating statistic data of traffic flows in data network and probe thereof
US9450972B2 (en) * 2014-07-23 2016-09-20 Cisco Technology, Inc. Network attack detection using combined probabilities
US9531672B1 (en) 2014-07-30 2016-12-27 Palo Alto Networks, Inc. Network device implementing two-stage flow information aggregation
CA2934311C (en) 2014-10-21 2017-06-13 Robert L. Grossman Cybersecurity system
US20160119365A1 (en) 2014-10-28 2016-04-28 Comsec Consulting Ltd. System and method for a cyber intelligence hub
US20160127417A1 (en) 2014-10-29 2016-05-05 SECaaS Inc. Systems, methods, and devices for improved cybersecurity
US10484405B2 (en) 2015-01-23 2019-11-19 Cisco Technology, Inc. Packet capture for anomalous traffic flows
US10230742B2 (en) 2015-01-30 2019-03-12 Anomali Incorporated Space and time efficient threat detection
US10764162B2 (en) 2015-03-25 2020-09-01 Gigamon Inc. In-fabric traffic analysis
US9667656B2 (en) 2015-03-30 2017-05-30 Amazon Technologies, Inc. Networking flow logs for multi-tenant environments
US10713586B2 (en) * 2015-07-24 2020-07-14 Certis Cisco Security Pte Ltd System and method for high speed threat intelligence management using unsupervised machine learning and prioritization algorithms
WO2017037444A1 (en) * 2015-08-28 2017-03-09 Statustoday Ltd Malicious activity detection on a computer network and network metadata normalisation
CN105337993B (zh) * 2015-11-27 2018-09-07 厦门安胜网络科技有限公司 一种基于动静结合的邮件安全检测装置及方法
CN106815125A (zh) * 2015-12-02 2017-06-09 阿里巴巴集团控股有限公司 一种日志审计方法及平台
WO2017131963A1 (en) 2016-01-29 2017-08-03 Acalvio Technologies, Inc. Using high-interaction networks for targeted threat intelligence
AU2017234272A1 (en) * 2016-03-15 2018-10-04 Carbon Black, Inc. Using private threat intelligence in public cloud
US10692012B2 (en) 2016-05-29 2020-06-23 Microsoft Technology Licensing, Llc Classifying transactions at network accessible storage
US10530795B2 (en) * 2017-03-17 2020-01-07 Target Brands, Inc. Word embeddings for anomaly classification from event logs
US10681070B2 (en) 2017-05-26 2020-06-09 Qatar Foundatiion Method to identify malicious web domain names thanks to their dynamics
US10503899B2 (en) 2017-07-10 2019-12-10 Centripetal Networks, Inc. Cyberanalysis workflow acceleration

Also Published As

Publication number Publication date
US12019745B2 (en) 2024-06-25
AU2018301781A1 (en) 2020-02-06
US10503899B2 (en) 2019-12-10
US20230117494A1 (en) 2023-04-20
US20200019700A1 (en) 2020-01-16
CN111052704A (zh) 2020-04-21
US11574047B2 (en) 2023-02-07
AU2018301781B2 (en) 2022-10-06
US11797671B2 (en) 2023-10-24
EP4152692A1 (de) 2023-03-22
CA3069437A1 (en) 2019-01-17
AU2018301781B9 (en) 2023-02-02
WO2019014159A1 (en) 2019-01-17
EP3652914A1 (de) 2020-05-20
US20240004996A1 (en) 2024-01-04
US20190012456A1 (en) 2019-01-10
EP3652914B1 (de) 2022-11-09

Similar Documents

Publication Publication Date Title
DE202018006616U1 (de) Beschleunigung des Arbeitsablaufs von Cyberanalysen
US11388198B2 (en) Collaborative database and reputation management in adversarial information environments
DE10394008B4 (de) System und Verfahren zum Detektieren und Nachverfolgen von Denial of Service-Angriffen
DE112013001964B4 (de) Management der Sicherheit des Nachrichtenaustauschs
DE202016008885U1 (de) Regelbasierte Erkennung von Netzwerkbedrohungen für verschlüsselte Kommunikationen
DE202012013734U1 (de) System zum Filtern von Spam-Nachrichten auf der Grundlage derBenutzerreputation
US11968239B2 (en) System and method for detection and mitigation of data source compromises in adversarial information environments
DE102015001024A1 (de) Verfahren und Systeme zum Erkennen von Extrusion und Intrusion in einer Cloud-Computer-Umgebung, welche Netzwerkkommunikationsgeräte verwendet
DE112022004423T5 (de) Erkennung von bösartigen homoglyphischen domainnamen, erzeugung, und assoziierte cybersicherheitsanwendungen
DE112021003315T5 (de) Schnelles identifizieren von verstössen und angriffen in netzwerkverkehrsmustern
Trejo et al. DNS-ADVP: A machine learning anomaly detection and visual platform to protect top-level domain name servers against DDoS attacks
CN114244564A (zh) 攻击防御方法、装置、设备及可读存储介质
CN113965385B (zh) 一种异常网站的监控处理方法、装置、设备和介质
CN115567237A (zh) 基于知识图谱的网络安全评估方法
DE102009058446B4 (de) Verfahren zur Anonymisierung von Verbindungsdaten in IP Paketen und Vorrichtung zur Durchführung des Verfahrens
EP2017758A1 (de) Computergestütztes System und computergestütztes Verfahren zur Inhaltsverifikation
Spring Large scale DNS traffic analysis of malicious Internet activity with a focus on evaluating the response time of blocking phishing sites
Alghfeli et al. Bayyinah, A Log Analysis Forensics Tool
US20240171614A1 (en) System and method for internet activity and health forecasting and internet noise analysis
Narkar et al. A rule based intrusion detection system to identify vindictive web spider
DE102015016832B4 (de) Abwehr eines Angriffs über ein Netzwerk auf ein Computersystem
Shen et al. Implementation of an evaluation platform for unwanted traffic control via trust management
DE102023119629A1 (de) Systeme und verfahren zur erfassung von cyberbedrohungen basierend auf neuer und/oder aktualisierter cyber threat intelligence
Morufu et al. Random Forest Based Hypertext Transfer Protocol Distributed Denial of Service Attack Detection System for Cloud Computing Environment
Ahmed A Method for Packet Correlation to Improve Snort Rules

Legal Events

Date Code Title Description
R207 Utility model specification
R150 Utility model maintained after payment of first maintenance fee after three years
R081 Change of applicant/patentee

Owner name: CENTRIPETAL LTD., IE

Free format text: FORMER OWNER: CENTRIPETAL NETWORKS, LNC., PORTSMOUTH, NH, US