JP2007536646A - ネットワーク・セキュリティ・システムにおけるパターン発見方法及びシステム - Google Patents

ネットワーク・セキュリティ・システムにおけるパターン発見方法及びシステム Download PDF

Info

Publication number
JP2007536646A
JP2007536646A JP2007511653A JP2007511653A JP2007536646A JP 2007536646 A JP2007536646 A JP 2007536646A JP 2007511653 A JP2007511653 A JP 2007511653A JP 2007511653 A JP2007511653 A JP 2007511653A JP 2007536646 A JP2007536646 A JP 2007536646A
Authority
JP
Japan
Prior art keywords
event
transaction
pattern
patterns
network security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007511653A
Other languages
English (en)
Other versions
JP5038888B2 (ja
JP2007536646A5 (ja
Inventor
サウラブ,クマール
ティドウェル,ケニー
Original Assignee
アークサイト,インク.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アークサイト,インク. filed Critical アークサイト,インク.
Publication of JP2007536646A publication Critical patent/JP2007536646A/ja
Publication of JP2007536646A5 publication Critical patent/JP2007536646A5/ja
Application granted granted Critical
Publication of JP5038888B2 publication Critical patent/JP5038888B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting

Abstract

ネットワーク・セキュリティ・システムによって収集されたセキュリティ・イベントにおいてパターンを発見することができる。一実施例において、本発明は各種監視装置からのセキュリティ・イベントを収集し、記憶する。一実施例において、記憶されたセキュリティ・イベントのサブセットは、イベント・ストリームとしてマネージャに供給される。一実施例において、本発明は、更に、イベント・ストリームにおける1以上の未知のイベント・パターンをマネージャによって発見する。

Description

本発明は、異種及び同種のソースからセキュリティ・イベントを取り込み、取り込んだセキュリティ・イベントにおけるパターンを発見するコンピュータベースのシステムに関する。
コンピュータ・ネットワークやシステムは今日のビジネスに不可欠なツールとなっている。今日、想像し得る殆ど全ての話題に関する無数の情報が世界中のユーザによって上記ネットワークに記憶され、上記ネットワークを通じてアクセスされる。該情報の多くは程度の差こそあれ機密情報であり、保護することが必要である。よって、アクセス権を持たない人々及び/あるいは装置がコンピュータ・ネットワーク及びその内部に記憶された情報にアクセスしようとする試みを発見する際に利用される侵入検出システム(IDS)が開発されてきたことは当然のことである。更に、ルータやファイアウォール等のネットワーク装置は、上記のような試みを調べる際に利用できる動作履歴の記録をとっておく。
侵入検出とは、コンピュータ・ネットワークやシステム内の、あるいはそれに関する不適切、不正確、或いは異常な動作を検出する技術と考えることができる。侵入検知の最も一般的な方法は、統計的異常検出及びパターン照合検出である。ホスト上で動作して該ホスト上の不正な動作を検出するIDSは、ホストベースIDS(HIDS)と呼ばれ、ホスト・ラッパー/パーソナル・ファイアウォールあるいはエージェントベースのソフトウェア形式で存在し得るものであり、ネットワーク・データフロー上で動作するものはネットワークベースIDS(NIDS)と呼ばれる。ホストベースの侵入検出では、監視対象のシステム(ホストコンピュータ)上のソフトウェアを読み込み、ログファイルあるいはホストの監査エージェントをデータソースとして用いる。これに対し、ネットワークベースの侵入検出システムは、そのネットワークセグメント上におけるトラフィックを監視し、該トラフィックをデータソースとして用いる。ネットワーク・インターフェースにより取り込まれたパケットは、シグニチャに一致した場合に目的のものであると考えられる。
データソースに関わらず、侵入を検出するには補完的な2つの方法がある。すなわち、知識ベースの方法と行動ベースの方法である。今日利用さられている殆ど全てのIDSツールは知識ベースのものである。知識ベースの侵入検出技術では、取り込んだデータを、脆弱性につけ込む既知の技術に関連する情報と比較する。一致が検出されると警告が発せられる。一方、行動ベースの侵入検出技術では、システムやユーザの正常な行動あるいは予測される行動(そのモデルは、各種手段により収集された参照用情報から抽出される)からの逸脱を確認することにより侵入を発見する。疑わしい逸脱が確認されると警告が発せられる。
知識ベースの方法の利点は、誤った警告を発する率が非常に低いことであり、侵入検出システムが提案する文脈分析は詳細にわたっているため、そのような侵入検出システムを利用するセキュリティ担当者は予防的方法あるいは対処法をとることが容易になる。欠点は、既知の攻撃に関連する必要な情報を収集したり、新しい脆弱点や環境についていくのが難しいことである。
行動ベースの方法の利点は、予想外の新たな税弱点につけ込む試みを検出できることである。また、システム仕様に対する依存度が少ない。しかしながら、一般に、この方法の重大な欠点として誤った警告が発せられる率が高いことが挙げられ、行動は時とともに変化し得るため、このような誤った警告が発せられる頻度が上昇してしまう可能性がある。
ホストベース及びネットワークベースのどちらが採用されるかに関わらず、また知識ベースか行動ベースかに関わらず、侵入検出システムは、システムの正常な使用と実際の侵入とを区別する(適切な警告を伴う)機能を持たなければ役に立たない。迅速に侵入を検出し、適当な担当者に知らせることができれば、保護されているシステムが危険に晒されることを回避する措置を講じることができる。そうでなければ、そのような予防措置を講じることはできない。したがって、コンピュータ・ネットワークやシステムを脅かす試みを効果的に抑制するために正確及び適時に侵入を検出し、警告を発することができるシステムが求められている。
ネットワーク・セキュリティ・システムによって収集されたセキュリティ・イベントにおいてパターンを発見することができる。一実施例において、本発明は各種監視装置からのセキュリティ・イベントを収集し、記憶する。一実施例において、記憶されたセキュリティ・イベントのサブセットはイベント・ストリームとしてマネージャに供給される。一実施例において、本発明は、更に、イベント・ストリームにおける1以上の未知のイベント・パターンをマネージャによって発見する。
以下の添付図面において限定ではなく例示のために本発明の実施例を示す。
以下、本発明について様々な実施例を参照して説明するが、これらの実施例をより広範である本発明の精神と範囲を限定するものとして解釈すべきではない。例えば、ここに挙げる例は、分散したエージェント、マネージャ、及びコンソールについて説明するが、これは本発明の一実施例にしか過ぎない。本発明の一般的概念及び範囲ははるかに広いものであり、いかなるコンピュータベースあるいはネットワークベースのセキュリティ・システムにも及ぶ。また、本発明を更に詳細に説明するために、システムの構成要素に渡す又はそこから渡されるメッセージと、システムの構成要素が使用できるデータスキーマの例を示すが、それらは包括的なものではないし、またそのように考えるべきものではない。
以下の詳細な説明の一部は、コンピュータメモリ中のデータに対する処理のアルゴリズム及び記号的表現によって示される。このようなアルゴリズムによる説明や表現は、コンピュータサイエンス技術分野における他の当業者に処理の内容を最も効果的に伝えるために当業者により用いられる手段である。ここで、及び一般的に、アルゴリズムはある所望の結果に至る首尾一貫した一連のステップだと考えられる。これらのステップは物理量の物理的処理を必要とする。必ずしもそうであるとは限らないが、通常、これらの物理量は、記憶、転送、合成、比較、または処理可能な電気または磁気信号の形をとる。主に一般的な慣習から、そのような信号をビット、値、要素、記号、文字、用語、数値等と称するのが時には便利であることが分かっている。しかしながら、これらの用語及び類似の用語は全て適当な物理量に関連付けられるものであり、該物理量に適用された便宜的な標識でしかないことを念頭に置くべきである。特に指定しない限り、詳細な説明全体にわたり、「処理」、「演算」、「計算」、「判定」、「表示」等の用語を用いた説明は、コンピュータ・システム及びメモリ内で物理(電子)量として表されたデータを同様にコンピュータ・システムのメモリやレジスタまたは伝送装置や表示装置等の他の情報記憶装置内で物理量として表された他のデータに変換するコンピュータ・システムや類似の電子計算機の動作及び処理を示すものである。
上記のように、本発明の一実施例は、コンピュータソフトウェア、即ち、1以上のコンピュータプロセッサ/システムにより実行されると該コンピュータプロセッサ/システムに指定された動作を行わせるコンピュータ可読の指示でインスタンス化される。このようなコンピュータソフトウェアは、1以上のコンピュータ可読媒体、例えばハードディスク、CD−ROM、DVD−ROM、読み出し専用記憶装置、読取書き込み記憶装置等に常駐させることができる。このようなソフトウェアは、上記媒体のうち1以上の媒体上に分散することができ、あるいは、1以上のコンピュータ・ネットワーク(例えば、インターネット)を介したダウンロードに利用することができる。フォーマットに関わらず、ここで説明するコンピュータ・プログラミング、レンダリング、及び処理技術は、本発明の側面を実施するために利用することができるコンピュータ・プログラミング、レンダリング、及び処理技術の種類の一例に過ぎない。これらの例は本発明を限定するものではなく、本発明は本説明に続く請求の範囲を参照することにより最もよく理解することができる。
ところで、図1には、本発明の実施例に従って構築されたコンピュータベースのネットワーク・セキュリティ・システム10の一例が示されている。システム10は、エージェント12、1以上のマネージャ14、及び1以上のコンソール16(ブラウザベースのものを備えてもよい)を備える。いくつかの実施例では、エージェント、マネージャ及び/あるいはコンソールを単一のプラットフォームにまとめたり、(図示例のように)2つ、3つ、あるいはそれ以上のプラットフォームに分散したりできる。この多層構造を用いることにより、コンピュータ・ネットワークあるいはシステムが成長する際の拡張性をサポートする。
エージェント12は、各種ネットワーク・セキュリティ装置及び/あるいはアプリケーションから効率的なリアルタイムの(あるいは略リアルタイムの)ローカルイベント・データ・キャプチャ及びフィルタリングを行う。セキュリティ・イベント(安全性チェックの対象となるイベントデータ)の主なソースは、ファイアウォール等の共通のネットワーク・セキュリティ装置、侵入検出ステム、及びオペレーティングシステムのログである。エージェント12は、イベント・ログやメッセージを生成する何れかのソースからイベントを収集し、固有装置、ネットワーク内の結合ポイント、及び/あるいは単純なネットワーク管理プロトコル(SNMP)トラップで動作することができる。
エージェント12は、手動及び自動処理により、関連する構成ファイルを介して構成可能である。各エージェント12には、正規化コンポーネント、時間補正コンポーネント、集約コンポーネント、バッチ・コンポーネント、リゾルバ・コンポーネント、トランスポート・コンポーネント、及び/あるいはその他のコンポーネントを含む1以上のソフトウェア・モジュールを含めることができる。これらのコンポーネントは、構成ファイル中の適当なコマンドにより起動及び/あるいは停止することができる。
マネージャ14は、更に規則エンジン18及び集中イベント・データベース20を用いて、エージェントから受け取ったイベントを統合及び選別し、相互に関連づけるサーバベースのコンポーネントでもよい。マネージャ14の役割の一つは、全てのリアルタイム及び履歴イベントデータを取り込み、記憶して、(データベース・マネージャ22を介し)セキュリティ活動の企業規模における全体像を構築する。また、マネージャ14は、集中管理、通知、及び(1以上の通知部24を介して)報告を行うとともに、知識ベース28及びケース管理ワークフローを有する。マネージャ14は任意のコンピュータ・ハードウェア・プラットフォーム上に配置することができ、一実施例では、オラクル(登録商標)・データベース等のリレーショナルデータベース管理システムを利用してイベントデータ記憶コンポーネントを実施する。マネージャ14とエージェント12との間における通信は双方向とすることができ(例えば、マネージャ14がエージェント12のホストとしてのプラットフォームにコマンドを送信させる)、暗号化できる。いくつかの装置では、マネージャ14が複数のエージェント12の集線装置としての役割を果たすことができ、(企業の本社に配置された)他のマネージャに情報を転送することができる。
コンソール16は、モニタリング、規則オーサリング、事件調査、及び報告等の日常的な管理及びオペレーション業務をセキュリティ専門家が行えるようにするコンピュータ(例えば、ワークステーション)ベースのアプリケーションである。アクセス制御リストにより、複数のセキュリティ専門家が、各々の責務に応じて、同一のシステム及びイベント・データベースを各々の表示で使用したり、相関則、警告、報告、及び知識ベースを使用したりすることが可能になる。複数のコンソール16を単一のマネージャ14によりサポートすることができる。
いくつかの実施例では、ブラウザベースのコンソール16を用いてセキュリティ・イベント、知識ベースのアーティクル、レポート、通知、及びケースに対するアクセスを行うことができる。即ち、マネージャ14は、(コンソール16の代わりとなる)パーソナル・コンピュータあるいは手持ち型コンピュータをホストとするWebブラウザを介してアクセス可能なWebサーバ・コンポーネントを備えることにより、コンソール16の機能のいくつか、あるいは全てを実現することができる。ブラウザを介するアクセスは、コンソール16から遠く離れたセキュリティ専門家や、パートタイム・ユーザにとって特に有効である。コンソール16とマネージャ12との通信は双方向とすることができ、暗号化可能である。
上述の構造により、本発明は集中型あるいは分散型環境をサポートできる。これは、企業組織がシステム10の単一のインスタンスを実施し、アクセス制御リストを用いてユーザを区分したい場合があるため有効である。一方、企業組織では、多数のグループのうち各グループに個々のシステム10を配置し、結果を「マスター」レベルでまとめることを望む場合がある。このような配置により、地理的に分散したピア・グループが、標準的な業務時間中に現在業務を行っているグループに主要な監督責任を移すことにより互いに連携する「フォローザサン(follow−the−sun)」という仕組みが可能になる。また、システム10は、企業の事業部が個別に業務を行い中央管理機能のロールアップをサポートするという企業組織に置くこともできる。
図1に例示したネットワーク・セキュリティ・システムは、この参照により全体が開示に含まれる2001年12月2日に出願された「複数のセキュリティ装置からのイベントのリアルタイム・モニタリング及び分析」というタイトルの米国出願第10/308,415号において更に詳しく説明されている。
本発明の一実施例において、ネットワーク・セキュリティ・システム10は、更にパターン認識機能を備える。一実施例では、図1に示すように、パターン認識機能がパターン発見モジュール30によってマネージャ14上で実現される。図1に示すように、一実施例において、イベント・データベース20に記憶された一組のセキュリティ・イベントを、データベース・マネージャ22を介してパターン発見のためにパターン発見モジュール30に供給することができる。
一実施例において、ユーザはコンソール・インターフェース16を用いて、再生する既に記憶されたセキュリティ・イベントの時間を指定することによりイベント・データベース20からイベントの再生を開始することができる。イベントの再生に関するいくつかの実施例は、この参照により全体が開示に含まれる2002年12月2日に出願された「ネットワーク・セキュリティ・システムの相関関係を使用しデバッグする方法及び装置」というタイトルの米国出願第10/308,416号で更に詳しく説明されている。
一実施例において、再生された上記イベント・ストリームはパターン発見モジュール30に供給される。別の実施例では、エージェント12から収集されたセキュリティ・イベントがパターン発見モジュール30に直接供給され、パターン発見モジュール30は収集されたイベントのスナップショットを時々撮る。一実施例において、パターン発見モジュール30は供給されたイベント・ストリームに対する関心のパターンを見つけ、言い換えれば、発見、検出する。
一実施例において、パターン発見モジュール30が検出したパターンと規則エンジン18が特定したパターンとの相違は、規則エンジン18は収集されたセキュリティ・イベントにおける既知のパターンを発見する一方、パターン発見モジュール30は収集されたセキュリティ・イベントにおける未知のパターンを見つける点である。言い換えれば、規則エンジン18はイベント・ストリームに適用される相関則を有し、各規則は特定のパターンを探す。しかしながら、一実施例において、パターン発見モジュール30は、既定の規則やフィルタ等、暗号化された領域知識に依存せず、そのように認識されたことがないパターンを発見する。一実施例において、パターン発見モジュールによって発見されたパターンは、その後セキュリティ・イベントを相互に関連付けるために規則エンジン18によって利用される相関則に変換することができる。
一実施例においては、また、規則エンジン18とパターン発見モジュール30の動作も、規則エンジンは探している既知のパターンの特定インスタンスを見つけるという点で異なる。しかしながら、パターン発見モジュール30は予想されるパターンを特定するように構成されているのみである。イベント・ストリームにおけるパターンを見つけるために、新たに検出されたパターンに基づく規則を規則エンジン18に供給することができる。
以下、パターン発見モジュール30の一実施例について、図2を参照して更に詳しく説明する。上述のように、パターン発見モジュール30には、一実施例においてデータベース・マネージャ22によってイベント・データベース20から供給されるイベント・ストリーム(セキュリティ・イベントの集まり)が入力される。一実施例において、パターン発見モジュール30は、各イベントに対して選択されたイベント・フィールドのみを保持するイベント・フィールド・フィルタ32を備える。例えば、各イベントに固有のフィールド(例えば、固有イベント識別子)等、パターン発見には役に立たないイベント・フィールドをイベント・フィールド・フィルタ32によって除外し、メモリを節約し、処理速度を上げることができる。
イベント・フィールド・フィルタは、少なくとも、トランザクション・フィルタ34によって利用されるフィールドを保持するように構成される。一実施例において、イベント・フィールド・フィルタ32は少なくともイベント名フィールド及び送信元及び送信先フィールドを保持する。別の実施例では、センサ発売元、製品、カテゴリ、及び送信元及び送信先ポート等、更に他のイベント・フィールドが保持される。このような実施例では、各イベント・フィールド・フィルタ32が、少なくとも各トランザクション・フィルタ34によって利用されるフィールドを保持する。イベント・フィールド・フィルタ32は、任意の各イベント・フィールドや、上記のイベント・フィールドを組み合わせたものを含むイベント・フィールドのサブセットを除外あるいは保持することができる。
一実施例において、(保持されているイベント・フィールドによって表されるような)セキュリティ・イベントを用いてトランザクション(transaction: 処理、取引)を生成する。一実施例において、トランザクションは、何らかのトランザクション・パラメータによって関連付けられるセキュリティ・イベントを表す要素のグループとして定義される。例えば、ある時間枠(例えば、30分、1日、1ヶ月・・・)内に受け取った全イベントを1つのトランザクションとすることができる。一実施例では、何れかの時間枠における全イベントであるイベント・ストリームは、そのような時間ベースの任意の数のトランザクションに分けることができる。
また、トランザクションはイベント発生率によって定義することもできる。一実施例において、トランザクションは集中的に発生するセキュリティ・イベントにより定義される。言い換えれば、イベント発生率に基づき、大きいトランザクションを更に小さいトランザクションに分割することができる。隠れマルコフモデルのようなイベント・ストリームあるいは大きいトランザクションの統計的分析によりイベント・ストリームが集中的に発生したものであると示されている場合、集中的に発生した各イベント・ストリームはトランザクションに選別される。
また、トランザクションはイベント・フィールドにより定義することもできる。一実施例において、同じ送信元アドレス(例えば、送信元のIPアドレス)からのイベントがトランザクションとして定義される。したがって、そのような各トランザクションは、イベント・ストリームの時間内における同一のIPアドレスからの全イベントを含む。
トランザクション・パラメータは、送信元及び送信先アドレスの両方とすることできる。したがって、いくつかのトランザクションを、同一の送信元及び送信先IPアドレス(あるいはIPポート、あるいはその両方)を有する、ある時間枠の全イベントとして定義することができる。更に、いくつかのトランザクションを、2つの関連する送信元/送信先アドレス(あるいはポート)間でやり取りされたイベントとして定義することができる。このような実施例では、アドレスAからB及びアドレスBからAへのセキュリティ・イベントが1つのトランザクションに含まれる。
一実施例において、トランザクションは、実際のセキュリティ・イベントを含まないで、セキュリティ・イベントを表す要素を含む。1つの要素により多数の同一セキュリティ・イベントを表すことができる。これにより、多くのデータを保存することができる。一実施例において、各要素は、各セキュリティ・イベントが表されている回数を示す。別の実施例では、各セキュリティ・イベントは、単に、トランザクション中の個々の数えられない要素によって表される。
一実施例において、トランザクションの定義は互いに相反するものではない。即ち、上述したトランザクションの定義、以下に述べるトランザクションの定義及びここでは説明しないその他のトランザクションの定義を、同じ一組のセキュリティ・イベントに対して行うことができる。
一実施例において、トランザクションは複数のトランザクション・フィルタ34によって定義される。図2の省略記号は、セキュリティ・イベントが多数のトランザクションに弁別(フィルタ)され得ることを示しており、図2に示す4つのトランザクション・フィルタ34に限られるものではない。トランザクション・フィルタ34は、上述したあらゆるトランザクションを生成するように構成することができる。例えば、トランザクション・フィルタ34aが時間ベースのトランザクションを生成する一方、トランザクション・フィルタ34bはイベント・フィールド・ベースのトランザクションを生成することができる。
一実施例において、トランザクション・フィルタは、更に、セキュリティ・イベントを各要素に変換する。上述のように、一実施例では各要素はイベント種類の記述として定義される。トランザクション・フィルタ34がトランザクションに応じている際、上述したように、重複したセキュリティ・イベントは破棄され、または、要素数が増加する。
一実施例において、トランザクションを「ひとまとめにする」ことによって新たなトランザクションを生成することができる。例えば、トランザクション・フィルタ34は、2つの重複するトランザクションをひとまとめにするように構成することができる。よって、例えば1つのトランザクションが送信元Aから送信先Bへの要素をまとめ、別のトランザクションが送信元Bから送信先Cへの要素をまとめる場合、第3のトランザクションにはAからB、BからCへと渡される項目を含めることができる。その他のトランザクションも一部重複する場合がある。このようにひとまとめにされたトランザクションは、ワームの拡散というトランザクションや、送信先アドレスが攻撃に使う送信元アドレスになるような他の攻撃を検出する上で有効である。
一実施例において、トランザクション・フィルタ34により生成されたトランザクションはパターン識別部36に供給される。パターン識別部36はトランザクションを解析し、イベント・ストリーム中のパターンを発見する。以下、パターン識別部36の一実施例について図3を参照して更に詳しく説明する。
一実施例において、一緒に発生する、即ち、何らかの方法で関連付けられるセキュリティ・イベント群として、パターンを定義することができる。例えば、セキュリティ・イベントA、B及びCが頻繁に略同時に発生する場合、イベントグループABCを1つのパターンとすることができる。一方、A、B及びCが略同時に起こらずに、時間の経過とともに同様の頻度で発生する場合にも、イベントグループABCを1つのパターンとすることができる。既知のパターンの例としては、一連のログイン失敗及びその後に続く正常なログインが挙げられる。このようなパターンは辞書攻撃が行われる際に生じる。緩慢で低調な攻撃は、発生時間は近くないがイベント発生頻度で関連付けられるイベントから成る場合がある。
パターン発見モジュール30に供給されたセキュリティ・イベントにおけるイベント・パターンを特定するために、一実施例では、パターン識別部36はまずツリー・ビルダ38を用いて、パターン発見モジュール30によって供給されたトランザクションからトランザクション・ツリーを構築する。一実施例において、ツリー・ビルダ38は、まず要素サポートにより各トランザクションの要素を並べ替える。
一実施例において、これは、各要素が発生するトランザクションの数をカウントすることにより行われる。この数は、要素の「サポート」と呼ばれることがある。一実施例において、要素は、トランザクション内に留まるために最小限のサポートを必要とし、さもなければトランザクションのサイズを小さくするために削除される。
一実施例において、ツリー・ビルダ38は、次に、各セキュリティ・イベントのサポートに基づき、トランザクションをツリー構造として構成する。以下、トランザクション・ツリーを構築ための方法の一つについて、図4を参照して説明する。図4に示す方法では、一度に1つのトランザクションを繰り返し処理する。一実施例において、トランザクションは、サポートの程度が高い要素から低い要素の順に整理される。
ブロック402でトランザクションが選択される。一実施例において、ツリーは空のルート・ノードを有する。ブロック404では、該ルート・ノードが選択され、ブロック406では、選択されたトランザクションにおける次の要素が選択されるが、この要素は、最初の繰り返しにおける第一番目(すなわち、サポートの程度が最も高い)の要素である。
ブロック408では、選択されたノード(最初の繰り返しにおけるルート・ノード)の子が、選択された要素と同じ要素を示すか否かについて判定する。答えがYESである場合、ブロック410でこのノードが選択ノードとなり、選択された要素のサポートが現在のノードのサポートに付加される。一方、答えがNOである場合にはブロック414に進み、選択された要素を表すために、選択ノードの新たな子ノードを作成し、ブロック416でこの新たなノードが選択ノードとなる。
次に、ブロック412で、選択されたトランザクションの処理が完了したかどうか、すなわち更に他の要素があるか否か判定する。トランザクションが完了していない場合(トランザクションに他の要素が残っている場合)はブロック406に進み、選択されたトランザクションの処理が継続され、次の要素がサポート順に選択される。一方、トランザクションが完了している場合(トランザクションに更に他の要素がない場合)、ブロック402で次に処理されるトランザクションが選択され、ツリー構築処理で全トランザクションが処理されるまで、図4のフローチャートに従って処理が続行される。
再び図3を参照すると、一実施例において、ツリー・ビルダ38はトランザクション・ツリーをツリー解析部40に供給し、ツリー解析部40はトランザクション・ツリーから対象パターンを抽出する。一実施例において、ツリー解析部40は、ツリーの分岐を横断してサポートの大幅な落ち込みを探す。例えば、ツリーの1つの分岐〜要素名(サポート)として示される〜がA(200)、B(190)、C(50)、D(45)である場合、要素Bと要素Cとの間にはサポートの大幅な落ち込みがある。この場合、ツリー解析部40は、グループABを1つのパターンとして特定するとともに、グループ CDを1つのパターンとして特定する。また、ツリー解析部は、グループABCDを1つのパターンとして特定することもできる。一実施例において、1つのパターンとしてのABCDは、該パターンにおいてこれらのセキュリティ・イベントの発生順序が保たれることを意味するものではない場合がある。
一実施例において、サポートの落ち込みは減少のパーセント値によって定義される。例えば、ツリー解析部40は、1つの分岐中の1要素から次の要素までサポートが30パーセント以上落ち込む場合には、常に、サポートの落ち込みであると定義する。他のパーセント値を用いることもできる。別の実施例においては、例えば10の数値分のサポートの落ち込みにより、サポートの落ち込みが定義される。
更に別の実施例において、ツリーの分岐において次の要素が追加されることにより、それまでのサポートの標準偏差が閾値を越えてしまうと考えられる場合、サポートの落ち込みが検出される。例えば、最初の3つの分岐要素のサポート標準偏差が0.03であるが第4の要素の追加により標準偏差が0.03を超えてしまうような場合には、ツリー解析部40は分岐上の第3と第4の要素との間にサポートの落ち込みを確認する。0.03という数値は単なる一例であり、他の閾値を用いてもよい。更に、標準偏差の代わりに、分散量等、その他の変化の統計的尺度を用いることもできる。
一実施例において、ツリー解析部40は、トランザクション・ツリーを横断しながらツリー内の相関要素を探す。例えば、トランザクション・ツリーの2箇所以上で一組のイベントが起こると、一実施例において、ツリー解析部40はそのグループを1つのパターンであると宣言する。一実施例において、これは、ツリーにおける全ての出来事の代わりに、新たに特定されたパターンの表現を用い、結果として得られたツリーに対してパターン検出を行うことにより実行される。
一実施例において、パターン識別部40は発見されたパターンをパターン発見モジュール30に供給する。一実施例において、パターン発見モジュール30は、コンソール・インターフェース16を介して、新たに発見されたパターンをユーザに対して表示する。ユーザは、目的に応じた多数の方法でパターンを利用する。例えば、ユーザは、イベント・パターンを調べることにより、該イベント・パターンが悪意のある攻撃か、無害な行為かを判断することができる。
一実施例において、ユーザ・インターフェースは、ユーザが発見されたパターンのいずれかを規則エンジン18によって利用される相関則に直接変換できるようにする規則生成ツールをユーザに提供する。そして、規則エンジン18は、将来供給される(あるいは再生された)全てのイベント・ストリームにおけるパターンの特定なインスタンスを検出及び発見する。このように、新たに発見されたパターンが「既知の」パターンとなり得る。
一実施例において、上記変換はワンクリック・インターフェースを用いて行うができる。例えば、コンソール・インターフェース16では、発見された各パターンの隣に、「規則に変換」と表記されているボタンを表示することができ、該ボタンはパターンを規則エンジン16における相関則として実現する機能を果たす。また規則に名称を付けるようユーザに促してもよい。
上述の説明において、パターン発見モジュール30は、セキュリティ・イベントを入力として取り込み、該セキュリティ・イベントにおけるパターンを出力として生成するものであると説明した。しかしながら、パターン発見モジュールは、パターン内のパターンを検出するように構成することもできる。このような実施例において、パターン発見モジュールは、各固有のパターンを固有の要素として扱い、イベントのパターンを発見する場合と同様の方法でパターンを発見する。
このように、パターン発見機能を有するネットワーク・セキュリティ・システムについて説明した。上述の説明において、様々な具体的な値及びデータ構造に「セキュリティ・イベント」、「トランザクション」、「トランザクション・ツリー」、「要素」等の名称がつけられていた。更に、「パターン発見モジュール」や「パターン識別部」等、様々な特定のモジュールについて説明した。しかしながら、これらの名称は単に本発明の各種側面を説明し、例示するためのものであり、本発明の範囲を何ら限定するものではない。更に、図3のツリー・ビルダ38及びツリー解析部40等、様々なモジュールをソフトウェアあるいはハードウェア・モジュールとして実現することができ、またはその機能をモジュールに分割することなく実現することができる。本発明は、上で説明したか否かに関わらず、ソフトウェアあるいはハードウェアのモジュール構造を限定するものではない。
本発明の一実施例に係るネットワーク・セキュリティ・システムを示すブロック図である。 本発明の一実施例に係るパターン発見モジュール示すブロック図である。 本発明の一実施例に係るパターン識別部を示すブロック図である。 本発明の一実施例に係るトランザクション・ツリーを構築する処理を示すフローチャートである。

Claims (27)

  1. 複数のセキュリティ・イベントから成るイベント・ストリームを受け取ることと、
    前記受け取ったイベント・ストリームにおける1以上の未知のイベント・パターンを発見すること、
    からなる方法。
  2. 前記1以上のイベント・パターンを発見することは、トランザクション・パラメータに基づき前記イベント・ストリームを複数のトランザクションに弁別することを含む請求項1に記載の方法。
  3. 前記トランザクション・パラメータは時間である請求項2に記載の方法。
  4. 前記トランザクション・パラメータは送信元アドレスを含む請求項2に記載の方法。
  5. 前記トランザクション・パラメータは送信元アドレス及び送信先アドレスを含む請求項2に記載の方法。
  6. 前記1以上のイベント・パターンを発見することは、更に、前記複数のトランザクションを用いてトランザクション・ツリーを作成することを含む請求項2に記載の方法。
  7. 前記1以上のイベント・パターンを発見することは、更に、サポートの落ち込みを観察することにより前記トランザクション・ツリーを構文解析することを含む請求項6に記載の方法。
  8. 更に、前記発見された1以上のイベント・パターンを1以上の相関則に変換するオプションをユーザに提供することを具備する請求項1に記載の方法。
  9. 更に、前記発見された1以上のイベント・パターンのうち少なくとも1のイベント・パターンを用いて新しいイベント相関則を作成することを具備する請求項1に記載の方法。
  10. 前記イベント・ストリームを受け取る際ことは、既に収集されたセキュリティ・イベントを記憶したイベント・データベースから前記イベント・ストリームを受け取ることを含む請求項1に記載の方法。
  11. ユーザの動作に応じて、選択された新たに定義されたパターンを相関則に変換するように構成された規則生成ツールを具備することを特徴とするネットワーク・セキュリティ・システムのユーザ・インターフェース。
  12. 前記ユーザの動作は1回のマウス・クリックである請求項11に記載のユーザ・インターフェース。
  13. 更に、既に記憶されたセキュリティ・イベントのサブセットをユーザが選択できるように構成されたパターン発見ツールを具備し、前記ネットワーク・セキュリティ・システムは、前記ユーザの選択に応じて前記選択されたセキュリティ・イベントのサブセットにおける未知のパターンを発見する請求項11に記載したユーザ・インターフェース。
  14. 複数のセキュリティ・イベントを記憶するイベント・データベースと、
    前記イベント・データベースに記憶された前記複数のセキュリティ・イベントのサブセットから成るイベント・ストリームにおける1以上の未知のイベント・パターンを発見するパターン発見モジュールと
    を具備するネットワーク・セキュリティ・システム。
  15. 前記パターン発見モジュールは、トランザクション・パラメータに基づき前記イベント・ストリームを複数のトランザクションに選別する複数のトランザクション・フィルタを具備する請求項14に記載したネットワーク・セキュリティ・システム。
  16. 前記トランザクション・パラメータは時間を含む請求項15に記載のネットワーク・セキュリティ・システム。
  17. 前記トランザクション・パラメータは送信元アドレスを含む請求項15に記載のネットワーク・セキュリティ・システム。
  18. 前記トランザクション・パラメータは送信元アドレス及び送信先アドレスを含む請求項15に記載のネットワーク・セキュリティ・システム。
  19. 前記パターン発見モジュールは前記複数のトランザクションを用いてトランザクション・ツリーを作成するツリー・ビルダから成る請求項15に記載のネットワーク・セキュリティ・システム。
  20. 前記パターン発見モジュールは、更に、サポートの落ち込みを観察することにより前記トランザクション・ツリーを解析するツリー解析部を具備する請求項19に記載のネットワーク・セキュリティ・システム。
  21. 更に、前記発見された1以上のイベント・パターンを1以上のイベント相関則に変換するツールをユーザに提供するユーザ・インターフェースから成る請求項14に記載のネットワーク・セキュリティ・システム。
  22. ネットワーク・セキュリティ・システムのプロセッサにより実行されるプログラムを記憶したコンピュータ読み取り可能な記憶媒体であって、前記プロセッサに、
    イベント・ストリームにおける1以上の未知のイベント・パターンを発見する手順を実行させるプログラムを記憶しており、前記イベント・ストリームは前記ネットワーク・セキュリティ・システムによって予め記憶されたセキュリティ・イベントの選択されたサブセットから成る。
  23. 前記1以上の未知のイベント・パターンを発見する手順は、トランザクション・パラメータに基づき前記イベント・ストリームを複数のトランザクションに弁別することを含む請求項22に記載の記憶媒体。
  24. 前記1以上の未知のイベント・パターンを発見することは、前記複数のトランザクションを用いてトランザクション・ツリーを作成することを含む請求項23に記載の記憶媒体。
  25. 前記1以上の未知のイベント・パターンを発見することは、更に、サポートの落ち込みを観察することにより前記トランザクション・ツリーを解析することを含む請求項24に記載の記憶媒体。
  26. 前記プログラムは、前記プロセッサに、更に、前記発見された1以上のイベント・パターンを1以上のイベント相関則に変換するオプションをユーザに提供する手順を実行させるものである請求項22に記載の記憶媒体。
  27. 前記プログラムは、前記プロセッサに、更に、前記発見された1以上のイベント・パターンのうち少なくとも1のイベント・パターンを用いて新しいイベント相関則を作成する手順を実行させるものである請求項22に記載の記憶媒体。
JP2007511653A 2004-05-04 2005-05-04 ネットワーク・セキュリティ・システムにおけるパターン発見方法及びシステム Expired - Fee Related JP5038888B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US10/839,613 US7509677B2 (en) 2004-05-04 2004-05-04 Pattern discovery in a network security system
US10/839,613 2004-05-04
PCT/US2005/015933 WO2005107424A2 (en) 2004-05-04 2005-05-04 Pattern discovery in a network security system

Publications (3)

Publication Number Publication Date
JP2007536646A true JP2007536646A (ja) 2007-12-13
JP2007536646A5 JP2007536646A5 (ja) 2010-08-05
JP5038888B2 JP5038888B2 (ja) 2012-10-03

Family

ID=35240831

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007511653A Expired - Fee Related JP5038888B2 (ja) 2004-05-04 2005-05-04 ネットワーク・セキュリティ・システムにおけるパターン発見方法及びシステム

Country Status (13)

Country Link
US (2) US7509677B2 (ja)
EP (1) EP1749386B1 (ja)
JP (1) JP5038888B2 (ja)
KR (1) KR101007899B1 (ja)
AT (1) ATE464729T1 (ja)
AU (1) AU2005240203B2 (ja)
CA (1) CA2565343C (ja)
DE (1) DE602005020609D1 (ja)
HK (1) HK1096794A1 (ja)
IL (1) IL178861A (ja)
NZ (1) NZ550752A (ja)
PL (1) PL1749386T3 (ja)
WO (1) WO2005107424A2 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014531647A (ja) * 2011-09-09 2014-11-27 ヒューレット−パッカード デベロップメント カンパニー エル.ピー.Hewlett‐Packard Development Company, L.P. 基準ベースラインに基づき、イベントシーケンス中の時間的位置に従ってイベントを評価するシステム及び方法
KR20160120761A (ko) 2014-03-31 2016-10-18 가부시키가이샤 랏쿠 로그 분석 시스템
KR20160134676A (ko) 2014-03-31 2016-11-23 가부시키가이샤 랏쿠 로그 분석 시스템
JP2017144852A (ja) * 2016-02-17 2017-08-24 日立オートモティブシステムズ株式会社 車両制御装置
CN107209834A (zh) * 2015-02-04 2017-09-26 日本电信电话株式会社 恶意通信模式提取装置、恶意通信模式提取系统、恶意通信模式提取方法及恶意通信模式提取程序

Families Citing this family (116)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8209756B1 (en) 2002-02-08 2012-06-26 Juniper Networks, Inc. Compound attack detection in a computer network
US8479057B2 (en) * 2002-11-04 2013-07-02 Riverbed Technology, Inc. Aggregator for connection based anomaly detection
US8504879B2 (en) * 2002-11-04 2013-08-06 Riverbed Technology, Inc. Connection based anomaly detection
US7899901B1 (en) 2002-12-02 2011-03-01 Arcsight, Inc. Method and apparatus for exercising and debugging correlations for network security system
US7788722B1 (en) 2002-12-02 2010-08-31 Arcsight, Inc. Modular agent for network security intrusion detection system
US7219239B1 (en) 2002-12-02 2007-05-15 Arcsight, Inc. Method for batching events for transmission by software agent
US7607169B1 (en) 2002-12-02 2009-10-20 Arcsight, Inc. User interface for network security console
US8176527B1 (en) 2002-12-02 2012-05-08 Hewlett-Packard Development Company, L. P. Correlation engine with support for time-based rules
US7650638B1 (en) 2002-12-02 2010-01-19 Arcsight, Inc. Network security monitoring system employing bi-directional communication
US7376969B1 (en) 2002-12-02 2008-05-20 Arcsight, Inc. Real time monitoring and analysis of events from multiple network security devices
US7260844B1 (en) 2003-09-03 2007-08-21 Arcsight, Inc. Threat detection in a network security system
US9027120B1 (en) 2003-10-10 2015-05-05 Hewlett-Packard Development Company, L.P. Hierarchical architecture in a network security system
US8015604B1 (en) 2003-10-10 2011-09-06 Arcsight Inc Hierarchical architecture in a network security system
US8548170B2 (en) 2003-12-10 2013-10-01 Mcafee, Inc. Document de-registration
US7814327B2 (en) * 2003-12-10 2010-10-12 Mcafee, Inc. Document registration
US7899828B2 (en) * 2003-12-10 2011-03-01 Mcafee, Inc. Tag data structure for maintaining relational data over captured objects
US7565696B1 (en) 2003-12-10 2009-07-21 Arcsight, Inc. Synchronizing network security devices within a network security system
US20050131876A1 (en) * 2003-12-10 2005-06-16 Ahuja Ratinder Paul S. Graphical user interface for capture system
US7984175B2 (en) 2003-12-10 2011-07-19 Mcafee, Inc. Method and apparatus for data capture and analysis system
US8656039B2 (en) * 2003-12-10 2014-02-18 Mcafee, Inc. Rule parser
US7774604B2 (en) * 2003-12-10 2010-08-10 Mcafee, Inc. Verifying captured objects before presentation
US7930540B2 (en) * 2004-01-22 2011-04-19 Mcafee, Inc. Cryptographic policy enforcement
US8528077B1 (en) * 2004-04-09 2013-09-03 Hewlett-Packard Development Company, L.P. Comparing events from multiple network security devices
US7509677B2 (en) 2004-05-04 2009-03-24 Arcsight, Inc. Pattern discovery in a network security system
US7962591B2 (en) * 2004-06-23 2011-06-14 Mcafee, Inc. Object classification in a capture system
US8560534B2 (en) * 2004-08-23 2013-10-15 Mcafee, Inc. Database for a capture system
US7949849B2 (en) * 2004-08-24 2011-05-24 Mcafee, Inc. File system for a capture system
US7644438B1 (en) 2004-10-27 2010-01-05 Arcsight, Inc. Security event aggregation at software agent
US9100422B1 (en) * 2004-10-27 2015-08-04 Hewlett-Packard Development Company, L.P. Network zone identification in a network security system
US20060130070A1 (en) * 2004-11-22 2006-06-15 Graf Lars O System and method of event correlation
US7809131B1 (en) 2004-12-23 2010-10-05 Arcsight, Inc. Adjusting sensor time in a network security system
US7647632B1 (en) 2005-01-04 2010-01-12 Arcsight, Inc. Object reference in a system
US8850565B2 (en) * 2005-01-10 2014-09-30 Hewlett-Packard Development Company, L.P. System and method for coordinating network incident response activities
US7809826B1 (en) * 2005-01-27 2010-10-05 Juniper Networks, Inc. Remote aggregation of network traffic profiling data
US7937755B1 (en) 2005-01-27 2011-05-03 Juniper Networks, Inc. Identification of network policy violations
US7797411B1 (en) 2005-02-02 2010-09-14 Juniper Networks, Inc. Detection and prevention of encapsulated network attacks using an intermediate device
US7844999B1 (en) 2005-03-01 2010-11-30 Arcsight, Inc. Message parsing in a network security system
US20060248179A1 (en) * 2005-04-29 2006-11-02 Short Michael E Method and system for event-driven network management
US8209759B2 (en) * 2005-07-18 2012-06-26 Q1 Labs, Inc. Security incident manager
US7907608B2 (en) * 2005-08-12 2011-03-15 Mcafee, Inc. High speed packet capture
US7818326B2 (en) * 2005-08-31 2010-10-19 Mcafee, Inc. System and method for word indexing in a capture system and querying thereof
US20070089172A1 (en) * 2005-10-14 2007-04-19 Bare Ballard C Methods for identifying self-replicating threats using historical data
US7730011B1 (en) 2005-10-19 2010-06-01 Mcafee, Inc. Attributes of captured objects in a capture system
US7657104B2 (en) * 2005-11-21 2010-02-02 Mcafee, Inc. Identifying image type in a capture system
US7663479B1 (en) * 2005-12-21 2010-02-16 At&T Corp. Security infrastructure
US20070226504A1 (en) * 2006-03-24 2007-09-27 Reconnex Corporation Signature match processing in a document registration system
US8504537B2 (en) 2006-03-24 2013-08-06 Mcafee, Inc. Signature distribution in a document registration system
US7958227B2 (en) 2006-05-22 2011-06-07 Mcafee, Inc. Attributes of captured objects in a capture system
US7689614B2 (en) 2006-05-22 2010-03-30 Mcafee, Inc. Query generation for a capture system
US8010689B2 (en) * 2006-05-22 2011-08-30 Mcafee, Inc. Locational tagging in a capture system
US20070300300A1 (en) * 2006-06-27 2007-12-27 Matsushita Electric Industrial Co., Ltd. Statistical instrusion detection using log files
US9715675B2 (en) 2006-08-10 2017-07-25 Oracle International Corporation Event-driven customizable automated workflows for incident remediation
US7870612B2 (en) * 2006-09-11 2011-01-11 Fujian Eastern Micropoint Info-Tech Co., Ltd Antivirus protection system and method for computers
US9824107B2 (en) * 2006-10-25 2017-11-21 Entit Software Llc Tracking changing state data to assist in computer network security
US9166989B2 (en) 2006-12-28 2015-10-20 Hewlett-Packard Development Company, L.P. Storing log data efficiently while supporting querying
US20080184368A1 (en) * 2007-01-31 2008-07-31 Coon James R Preventing False Positive Detections in an Intrusion Detection System
CA2714549A1 (en) * 2007-02-09 2008-08-14 Smobile Systems, Inc. Off-line mms malware scanning system and method
US8112440B2 (en) * 2007-04-13 2012-02-07 The University Of Vermont And State Agricultural College Relational pattern discovery across multiple databases
KR100901696B1 (ko) 2007-07-04 2009-06-08 한국전자통신연구원 보안 이벤트의 컨텐츠에 기반한 보안 이벤트 샘플링 장치및 방법
US8091065B2 (en) * 2007-09-25 2012-01-03 Microsoft Corporation Threat analysis and modeling during a software development lifecycle of a software application
US8612409B2 (en) * 2007-12-18 2013-12-17 Yahoo! Inc. Method and apparatus for detecting and explaining bursty stream events in targeted groups
US7953685B2 (en) * 2007-12-27 2011-05-31 Intel Corporation Frequent pattern array
US8839345B2 (en) * 2008-03-17 2014-09-16 International Business Machines Corporation Method for discovering a security policy
US9842204B2 (en) * 2008-04-01 2017-12-12 Nudata Security Inc. Systems and methods for assessing security risk
US9275215B2 (en) 2008-04-01 2016-03-01 Nudata Security Inc. Systems and methods for implementing and tracking identification tests
US8495701B2 (en) 2008-06-05 2013-07-23 International Business Machines Corporation Indexing of security policies
US8205242B2 (en) * 2008-07-10 2012-06-19 Mcafee, Inc. System and method for data mining and security policy management
US9253154B2 (en) 2008-08-12 2016-02-02 Mcafee, Inc. Configuration management for a capture/registration system
US8504504B2 (en) * 2008-09-26 2013-08-06 Oracle America, Inc. System and method for distributed denial of service identification and prevention
US8850591B2 (en) 2009-01-13 2014-09-30 Mcafee, Inc. System and method for concept building
US8706709B2 (en) 2009-01-15 2014-04-22 Mcafee, Inc. System and method for intelligent term grouping
US8473442B1 (en) 2009-02-25 2013-06-25 Mcafee, Inc. System and method for intelligent state management
US8667121B2 (en) 2009-03-25 2014-03-04 Mcafee, Inc. System and method for managing data and policies
US8447722B1 (en) 2009-03-25 2013-05-21 Mcafee, Inc. System and method for data mining and security policy management
US9215212B2 (en) * 2009-06-22 2015-12-15 Citrix Systems, Inc. Systems and methods for providing a visualizer for rules of an application firewall
US9269061B2 (en) * 2009-12-10 2016-02-23 Equinix, Inc. Performance, analytics and auditing framework for portal applications
US8595176B2 (en) * 2009-12-16 2013-11-26 The Boeing Company System and method for network security event modeling and prediction
US8769373B2 (en) 2010-03-22 2014-07-01 Cleon L. Rogers, JR. Method of identifying and protecting the integrity of a set of source data
EP2577545A4 (en) 2010-05-25 2014-10-08 Hewlett Packard Development Co SAFETY EVENTS ASSOCIATED SAFETY IDENTIFICATION DETECTION AND ACTUATOR CATEGORY MODEL
US20120078912A1 (en) * 2010-09-23 2012-03-29 Chetan Kumar Gupta Method and system for event correlation
US20120095750A1 (en) * 2010-10-14 2012-04-19 Microsoft Corporation Parsing observable collections
US8806615B2 (en) 2010-11-04 2014-08-12 Mcafee, Inc. System and method for protecting specified data combinations
US8478736B2 (en) * 2011-02-08 2013-07-02 International Business Machines Corporation Pattern matching accelerator
US8412722B2 (en) * 2011-02-08 2013-04-02 International Business Machines Corporation Upload manager for use in a pattern matching accelerator
US8799188B2 (en) * 2011-02-08 2014-08-05 International Business Machines Corporation Algorithm engine for use in a pattern matching accelerator
US8447749B2 (en) * 2011-02-08 2013-05-21 International Business Machines Corporation Local results processor for use in a pattern matching accelerator
US8661456B2 (en) 2011-06-01 2014-02-25 Hewlett-Packard Development Company, L.P. Extendable event processing through services
EP2737427A4 (en) 2011-07-29 2015-04-15 Hewlett Packard Development Co SYSTEMS AND METHOD FOR THE DISTRIBUTED CONTROL-BASED CORRELATION OF EVENTS
US20130246334A1 (en) 2011-12-27 2013-09-19 Mcafee, Inc. System and method for providing data protection workflows in a network environment
US9026550B2 (en) * 2012-01-30 2015-05-05 Siemens Aktiengesellschaft Temporal pattern matching in large collections of log messages
US8789181B2 (en) 2012-04-11 2014-07-22 Ca, Inc. Flow data for security data loss prevention
US9531755B2 (en) * 2012-05-30 2016-12-27 Hewlett Packard Enterprise Development Lp Field selection for pattern discovery
EP2856332A4 (en) * 2012-05-30 2016-02-24 Hewlett Packard Development Co ADJUSTING PARAMETERS FOR DISCOVERING PATTERNS
US9092625B1 (en) * 2012-07-03 2015-07-28 Bromium, Inc. Micro-virtual machine forensics and detection
US10607007B2 (en) 2012-07-03 2020-03-31 Hewlett-Packard Development Company, L.P. Micro-virtual machine forensics and detection
US9411955B2 (en) * 2012-08-09 2016-08-09 Qualcomm Incorporated Server-side malware detection and classification
US8938805B1 (en) * 2012-09-24 2015-01-20 Emc Corporation Detection of tampering with software installed on a processing device
US9830451B2 (en) 2012-11-30 2017-11-28 Entit Software Llc Distributed pattern discovery
US9922192B1 (en) 2012-12-07 2018-03-20 Bromium, Inc. Micro-virtual machine forensics and detection
US9471788B2 (en) * 2012-12-14 2016-10-18 Sap Se Evaluation of software applications
US9071535B2 (en) 2013-01-03 2015-06-30 Microsoft Technology Licensing, Llc Comparing node states to detect anomalies
US9420002B1 (en) * 2013-03-14 2016-08-16 Mark McGovern Authorization server access system
EP2785009A1 (en) * 2013-03-29 2014-10-01 British Telecommunications public limited company Method and apparatus for detecting a multi-stage event
EP2785008A1 (en) 2013-03-29 2014-10-01 British Telecommunications public limited company Method and apparatus for detecting a multi-stage event
EP3039566A4 (en) * 2013-08-28 2017-06-21 Hewlett-Packard Enterprise Development LP Distributed pattern discovery
US10430614B2 (en) 2014-01-31 2019-10-01 Bromium, Inc. Automatic initiation of execution analysis
US9794113B2 (en) * 2014-02-04 2017-10-17 Cisco Technology, Inc. Network alert pattern mining
US20150281276A1 (en) * 2014-03-26 2015-10-01 Juniper Networks, Inc. Monitoring compliance with security policies for computer networks
CN105450600B (zh) * 2014-08-19 2018-09-11 阿里巴巴集团控股有限公司 操作的识别方法及服务器
US20170223030A1 (en) 2016-01-29 2017-08-03 Splunk Inc. Detection of security transactions
US9948664B2 (en) * 2016-07-11 2018-04-17 Petabi, Inc. Method and system for correlation and management of distributed and heterogeneous events
US10474966B2 (en) * 2017-02-27 2019-11-12 Microsoft Technology Licensing, Llc Detecting cyber attacks by correlating alerts sequences in a cluster environment
US10586051B2 (en) * 2017-08-31 2020-03-10 International Business Machines Corporation Automatic transformation of security event detection rules
US11755927B2 (en) 2019-08-23 2023-09-12 Bank Of America Corporation Identifying entitlement rules based on a frequent pattern tree
US10911471B1 (en) * 2019-11-27 2021-02-02 The Florida International University Board Of Trustees Systems and methods for network-based intrusion detection
US11775639B2 (en) * 2020-10-23 2023-10-03 Sophos Limited File integrity monitoring

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040015719A1 (en) * 2002-07-16 2004-01-22 Dae-Hyung Lee Intelligent security engine and intelligent and integrated security system using the same
GB2391650A (en) * 2001-12-26 2004-02-11 Yaron Mayer Computer security arrangement for protection against malicious attacks

Family Cites Families (61)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5557742A (en) 1994-03-07 1996-09-17 Haystack Labs, Inc. Method and system for detecting intrusion into and misuse of a data processing system
US5717919A (en) 1995-10-02 1998-02-10 Sybase, Inc. Database system with methods for appending data records by partitioning an object into multiple page chains
US5956404A (en) 1996-09-30 1999-09-21 Schneier; Bruce Digital signature with auditing bits
US6453345B2 (en) * 1996-11-06 2002-09-17 Datadirect Networks, Inc. Network security and surveillance system
US5850516A (en) 1996-12-23 1998-12-15 Schneier; Bruce Method and apparatus for analyzing information systems using stored tree database structures
US6192034B1 (en) 1997-06-30 2001-02-20 Sterling Commerce, Inc. System and method for network integrity management
US5978475A (en) 1997-07-18 1999-11-02 Counterpane Internet Security, Inc. Event auditing system
US6070244A (en) 1997-11-10 2000-05-30 The Chase Manhattan Bank Computer network security management system
US6408391B1 (en) 1998-05-06 2002-06-18 Prc Inc. Dynamic system defense for information warfare
US6275942B1 (en) 1998-05-20 2001-08-14 Network Associates, Inc. System, method and computer program product for automatic response to computer system misuse using active response modules
US6134664A (en) 1998-07-06 2000-10-17 Prc Inc. Method and system for reducing the volume of audit data and normalizing the audit data received from heterogeneous sources
US6408404B1 (en) 1998-07-29 2002-06-18 Northrop Grumman Corporation System and method for ensuring and managing situation awareness
US6321338B1 (en) 1998-11-09 2001-11-20 Sri International Network surveillance
US6839850B1 (en) 1999-03-04 2005-01-04 Prc, Inc. Method and system for detecting intrusion into and misuse of a data processing system
US6694362B1 (en) 2000-01-03 2004-02-17 Micromuse Inc. Method and system for network event impact analysis and correlation with network administrators, management policies and procedures
US7159237B2 (en) 2000-03-16 2007-01-02 Counterpane Internet Security, Inc. Method and system for dynamic network intrusion monitoring, detection and response
EP1277326A2 (en) 2000-04-28 2003-01-22 Internet Security Systems, Inc. Method and system for managing computer security information
WO2001084775A2 (en) 2000-04-28 2001-11-08 Internet Security Systems, Inc. System and method for managing security events on a network
US7127743B1 (en) 2000-06-23 2006-10-24 Netforensics, Inc. Comprehensive security structure platform for network managers
US20020091680A1 (en) * 2000-08-28 2002-07-11 Chirstos Hatzis Knowledge pattern integration system
US6542075B2 (en) 2000-09-28 2003-04-01 Vigilos, Inc. System and method for providing configurable security monitoring utilizing an integrated information portal
US7383191B1 (en) 2000-11-28 2008-06-03 International Business Machines Corporation Method and system for predicting causes of network service outages using time domain correlation
KR100376618B1 (ko) 2000-12-05 2003-03-17 주식회사 싸이버텍홀딩스 에이전트 기반의 지능형 보안 시스템
US7168093B2 (en) 2001-01-25 2007-01-23 Solutionary, Inc. Method and apparatus for verifying the integrity and security of computer networks and implementation of counter measures
US20020147803A1 (en) 2001-01-31 2002-10-10 Dodd Timothy David Method and system for calculating risk in association with a security audit of a computer network
US6966015B2 (en) 2001-03-22 2005-11-15 Micromuse, Ltd. Method and system for reducing false alarms in network fault management systems
AU2002344308A1 (en) 2001-05-31 2002-12-09 Internet Security Systems, Inc. Method and system for implementing security devices in a network
US7043727B2 (en) 2001-06-08 2006-05-09 Micromuse Ltd. Method and system for efficient distribution of network event data
US7516208B1 (en) 2001-07-20 2009-04-07 International Business Machines Corporation Event database management method and system for network event reporting system
US7278160B2 (en) 2001-08-16 2007-10-02 International Business Machines Corporation Presentation of correlated events as situation classes
US7039953B2 (en) * 2001-08-30 2006-05-02 International Business Machines Corporation Hierarchical correlation of intrusion detection events
US6928556B2 (en) 2001-08-30 2005-08-09 International Business Machines Corporation Method and apparatus in a data processing system for managing situations from correlated events
US7379993B2 (en) 2001-09-13 2008-05-27 Sri International Prioritizing Bayes network alerts
US20030084349A1 (en) 2001-10-12 2003-05-01 Oliver Friedrichs Early warning system for network attacks
US20030093692A1 (en) 2001-11-13 2003-05-15 Porras Phillip A. Global deployment of host-based intrusion sensors
US7143444B2 (en) 2001-11-28 2006-11-28 Sri International Application-layer anomaly and misuse detection
US7171689B2 (en) 2002-02-25 2007-01-30 Symantec Corporation System and method for tracking and filtering alerts in an enterprise and generating alert indications for analysis
US20030221123A1 (en) 2002-02-26 2003-11-27 Beavers John B. System and method for managing alert indications in an enterprise
US20030188189A1 (en) 2002-03-27 2003-10-02 Desai Anish P. Multi-level and multi-platform intrusion detection and response system
US20040024864A1 (en) 2002-07-31 2004-02-05 Porras Phillip Andrew User, process, and application tracking in an intrusion detection system
EP1535164B1 (en) 2002-08-26 2012-01-04 International Business Machines Corporation Determining threat level associated with network activity
US7219239B1 (en) 2002-12-02 2007-05-15 Arcsight, Inc. Method for batching events for transmission by software agent
US7376969B1 (en) 2002-12-02 2008-05-20 Arcsight, Inc. Real time monitoring and analysis of events from multiple network security devices
US7308689B2 (en) 2002-12-18 2007-12-11 International Business Machines Corporation Method, apparatus, and program for associating related heterogeneous events in an event handler
US7483972B2 (en) * 2003-01-08 2009-01-27 Cisco Technology, Inc. Network security monitoring system
US6985920B2 (en) * 2003-06-23 2006-01-10 Protego Networks Inc. Method and system for determining intra-session event correlation across network address translation devices
US7260844B1 (en) 2003-09-03 2007-08-21 Arcsight, Inc. Threat detection in a network security system
US7644365B2 (en) 2003-09-12 2010-01-05 Cisco Technology, Inc. Method and system for displaying network security incidents
US7333999B1 (en) 2003-10-30 2008-02-19 Arcsight, Inc. Expression editor
FR2864392A1 (fr) 2003-12-17 2005-06-24 France Telecom Procede de classification automatique d'un ensemble d'alertes issues de sondes de detection d'intrusions d'un systeme de securite d'information
FR2864282A1 (fr) 2003-12-17 2005-06-24 France Telecom Procede de gestion d'un ensemble d'alertes issus de sondes de detection d'intrusions d'un systeme de securite d'informations.
US7509677B2 (en) 2004-05-04 2009-03-24 Arcsight, Inc. Pattern discovery in a network security system
US20080165000A1 (en) 2004-05-10 2008-07-10 France Telecom Suppression of False Alarms in Alarms Arising from Intrusion Detection Probes in a Monitored Information System
US7424742B1 (en) 2004-10-27 2008-09-09 Arcsight, Inc. Dynamic security events and event channels in a network security system
US8850565B2 (en) 2005-01-10 2014-09-30 Hewlett-Packard Development Company, L.P. System and method for coordinating network incident response activities
US7577633B2 (en) 2005-12-08 2009-08-18 Intellitactics Inc. Self learning event parser
US7961633B2 (en) 2005-12-08 2011-06-14 Sanjeev Shankar Method and system for real time detection of threats in high volume data streams
US7437359B2 (en) 2006-04-05 2008-10-14 Arcsight, Inc. Merging multiple log entries in accordance with merge properties and mapping properties
US9824107B2 (en) 2006-10-25 2017-11-21 Entit Software Llc Tracking changing state data to assist in computer network security
US8108550B2 (en) 2006-10-25 2012-01-31 Hewlett-Packard Development Company, L.P. Real-time identification of an asset model and categorization of an asset to assist in computer network security
WO2008083267A2 (en) 2006-12-28 2008-07-10 Arcsight, Inc. Storing log data efficiently while supporting querying to assist in computer network security

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2391650A (en) * 2001-12-26 2004-02-11 Yaron Mayer Computer security arrangement for protection against malicious attacks
US20040015719A1 (en) * 2002-07-16 2004-01-22 Dae-Hyung Lee Intelligent security engine and intelligent and integrated security system using the same

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014531647A (ja) * 2011-09-09 2014-11-27 ヒューレット−パッカード デベロップメント カンパニー エル.ピー.Hewlett‐Packard Development Company, L.P. 基準ベースラインに基づき、イベントシーケンス中の時間的位置に従ってイベントを評価するシステム及び方法
US9646155B2 (en) 2011-09-09 2017-05-09 Hewlett Packard Enterprise Development Lp Systems and methods for evaluation of events based on a reference baseline according to temporal position in a sequence of events
KR20160120761A (ko) 2014-03-31 2016-10-18 가부시키가이샤 랏쿠 로그 분석 시스템
KR20160134676A (ko) 2014-03-31 2016-11-23 가부시키가이샤 랏쿠 로그 분석 시스템
CN107209834A (zh) * 2015-02-04 2017-09-26 日本电信电话株式会社 恶意通信模式提取装置、恶意通信模式提取系统、恶意通信模式提取方法及恶意通信模式提取程序
JP2017144852A (ja) * 2016-02-17 2017-08-24 日立オートモティブシステムズ株式会社 車両制御装置
WO2017141589A1 (ja) * 2016-02-17 2017-08-24 日立オートモティブシステムズ株式会社 車両制御装置

Also Published As

Publication number Publication date
US20090064333A1 (en) 2009-03-05
WO2005107424A2 (en) 2005-11-17
US7509677B2 (en) 2009-03-24
EP1749386B1 (en) 2010-04-14
CA2565343A1 (en) 2005-11-17
HK1096794A1 (en) 2007-06-08
CA2565343C (en) 2013-01-15
JP5038888B2 (ja) 2012-10-03
ATE464729T1 (de) 2010-04-15
EP1749386A2 (en) 2007-02-07
AU2005240203A1 (en) 2005-11-17
US7984502B2 (en) 2011-07-19
IL178861A (en) 2011-09-27
IL178861A0 (en) 2007-03-08
US20050251860A1 (en) 2005-11-10
AU2005240203B2 (en) 2011-01-27
PL1749386T3 (pl) 2010-08-31
WO2005107424A3 (en) 2006-03-02
NZ550752A (en) 2009-09-25
KR20070050402A (ko) 2007-05-15
KR101007899B1 (ko) 2011-01-14
DE602005020609D1 (de) 2010-05-27

Similar Documents

Publication Publication Date Title
JP5038888B2 (ja) ネットワーク・セキュリティ・システムにおけるパターン発見方法及びシステム
Porras et al. A mission-impact-based approach to INFOSEC alarm correlation
KR101010302B1 (ko) Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법
US7624448B2 (en) Intelligent intrusion detection system utilizing enhanced graph-matching of network activity with context data
US20070209075A1 (en) Enabling network intrusion detection by representing network activity in graphical form utilizing distributed data sensors to detect and transmit activity data
US8065732B1 (en) Object reference in a system
US20050021683A1 (en) Method and apparatus for correlating network activity through visualizing network data
US7844999B1 (en) Message parsing in a network security system
EP2856333A1 (en) Field selection for pattern discovery
JP2021530807A (ja) コンピュータセキュリティインシデントを報告するためのシステムおよび方法
CN113794276A (zh) 一种基于人工智能的配电网终端安全行为监测系统及方法
WO2005117347A2 (en) Metric driven holistic network management system
CN113259356A (zh) 大数据环境下的威胁情报与终端检测响应方法及系统
CN113660115A (zh) 基于告警的网络安全数据处理方法、装置及系统
CN117454376A (zh) 工业互联网数据安全检测响应与溯源方法及装置
Wasniowski Multi-sensor agent-based intrusion detection system
LaPadula State of the art in anomaly detection and reaction
Kalutarage Effective monitoring of slow suspicious activites on computer networks.
CN116827698B (zh) 一种网络关口流量安全态势感知系统及方法
US7890584B2 (en) System for information capture
Yadav et al. Intrusion detection system with FGA and MLP algorithm
Reddy Genetic Algorithm Approach for Intrusion Detection
CN115051865A (zh) 一种用于实现数据维护的安全态势感知系统
Hu TIAA: A toolkit for intrusion alert analysis
Molawade et al. Big Heterogeneous Data for Intrusion Detection

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070918

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080502

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080502

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100608

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100621

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110531

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20110829

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20110905

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20110929

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20111006

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20111028

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20111107

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111130

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120110

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20120409

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20120416

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120510

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120605

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120706

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150713

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5038888

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees