JP2014060722A - 将来のネットワーク攻撃を検知及び予測するために、様々な指標と過去の攻撃事例を相関させ、攻撃に関する指標のプロファイルを作成するシステム及び方法 - Google Patents
将来のネットワーク攻撃を検知及び予測するために、様々な指標と過去の攻撃事例を相関させ、攻撃に関する指標のプロファイルを作成するシステム及び方法 Download PDFInfo
- Publication number
- JP2014060722A JP2014060722A JP2013193560A JP2013193560A JP2014060722A JP 2014060722 A JP2014060722 A JP 2014060722A JP 2013193560 A JP2013193560 A JP 2013193560A JP 2013193560 A JP2013193560 A JP 2013193560A JP 2014060722 A JP2014060722 A JP 2014060722A
- Authority
- JP
- Japan
- Prior art keywords
- attacks
- indicators
- attack
- traffic
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/535—Tracking the activity of the user
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
【課題】攻撃の影響を排除及び低減するための対策を示唆する装置等を構築する方法を提供すること。
【解決手段】起こり得る攻撃又は異常態様の指標を用いてトラフィック特性をエンコードするために新規なメカニズムを考案することにより、トラフィックの様々な態様を測定するための多様な指標のセットを利用する。指標のセットは、その後、緊急性の高いネットワーク攻撃を正確に検知及び予測するために指標のセットのコード化された値における時系列パターンを参照する判定ルールを自動的に学習するための方法及びシステムに基づいて教師あり学習により分析される。本システムのルールは、新たなデータ及び当該データ内の攻撃についてのフィードバック信号を分析することにより、システムがそのルールを定期的に更新すると、新たな攻撃に追従して自動的に進化する。
【選択図】図1
【解決手段】起こり得る攻撃又は異常態様の指標を用いてトラフィック特性をエンコードするために新規なメカニズムを考案することにより、トラフィックの様々な態様を測定するための多様な指標のセットを利用する。指標のセットは、その後、緊急性の高いネットワーク攻撃を正確に検知及び予測するために指標のセットのコード化された値における時系列パターンを参照する判定ルールを自動的に学習するための方法及びシステムに基づいて教師あり学習により分析される。本システムのルールは、新たなデータ及び当該データ内の攻撃についてのフィードバック信号を分析することにより、システムがそのルールを定期的に更新すると、新たな攻撃に追従して自動的に進化する。
【選択図】図1
Description
本発明は、一般に将来のネットワーク攻撃を検知及び予測するために、様々な指標と過去の攻撃事例を相関させ、攻撃に関する指標のプロファイルを作成するシステム及び方法に関する。
攻撃の兆候及び時系列変化が多岐にわたるため、ネットワーク攻撃の正確な検知及び予測は、困難である。時系列変化及び兆候は、観測されたデータから特徴を抽出し、シグネチャを作成することが困難となる。そこで、現状発生している攻撃を識別し、緊急性の高い攻撃に関するアラートを提供する仕組みを構築することを目的とする。
DDoS検知は幅広く検討されているが、大部分の解決手段には、多くの誤検知及び見逃しが存在する。
DDoS攻撃検知用に最も広く検討されているアプローチは、不正検知ベースアプローチであり、このアプローチは、一般的に教師なし学習に基づいており、攻撃を予測又は検知するためにルール又はモデルを構築する時点での攻撃の情報を用いていない。不正検知ベースアプローチは、既存のアプローチのパフォーマンスを評価するために攻撃の情報を用いているが、アプローチ自体を改善することは行われていない。
近年、DDoS攻撃の時系列的な解析が行われているが、この研究は、時間軸のどの部分が攻撃に対応するかということを解析していない。この研究は、いくつかの時系列要素を捕捉するが、主な欠点は、誤検知(false positives)及び検出漏れ(false negatives)又は検知ミスが多いことである。
教師あり学習のアプローチは、複雑であるが感度の高いルールを構築するために、非線形時系列解析及び既知の攻撃の情報を用いて、誤検知(false positives)及び検知漏れ(false negatives)の数を低減し、検知待ち時間を低減する。また、教師あり学習のアプローチは、攻撃信号が相対的に弱い場合であっても緊急性の高い攻撃を予測することもできる。
DDoS攻撃検知用に最も広く検討されているアプローチは、不正検知ベースアプローチであり、このアプローチは、一般的に教師なし学習に基づいており、攻撃を予測又は検知するためにルール又はモデルを構築する時点での攻撃の情報を用いていない。不正検知ベースアプローチは、既存のアプローチのパフォーマンスを評価するために攻撃の情報を用いているが、アプローチ自体を改善することは行われていない。
近年、DDoS攻撃の時系列的な解析が行われているが、この研究は、時間軸のどの部分が攻撃に対応するかということを解析していない。この研究は、いくつかの時系列要素を捕捉するが、主な欠点は、誤検知(false positives)及び検出漏れ(false negatives)又は検知ミスが多いことである。
教師あり学習のアプローチは、複雑であるが感度の高いルールを構築するために、非線形時系列解析及び既知の攻撃の情報を用いて、誤検知(false positives)及び検知漏れ(false negatives)の数を低減し、検知待ち時間を低減する。また、教師あり学習のアプローチは、攻撃信号が相対的に弱い場合であっても緊急性の高い攻撃を予測することもできる。
H. Liu and M. Kim. Real−Time Detection of Stealthy DDoS Attacks Using Time−Series Decomposition. In Proceedings of IEEE International Conference on Communications 2010.
本発明は、また、多くのさらなる効果を提供し、これは、以下に説明するように明らかとなる。
本発明者らは、起こり得る攻撃又は異常態様の指標を用いてトラフィック特性をエンコードするために新規なメカニズムを考案することにより、トラフィックの様々な態様を測定するための多様な指標のセットを利用する。指標のセットは、その後、緊急性の高いネットワーク攻撃を正確に検知及び予測するために指標のセットのコード化された値における時系列パターンを参照する判定ルールを自動的に学習するための方法及びシステムに基づいて教師あり学習により分析される。本システムのルールは、新たなデータ及び当該データ内の攻撃についてのフィードバック信号を分析することにより、システムがそのルールを定期的に更新すると、新たな攻撃に追従して自動的に進化する。また、オペレータを補助するために、システムは、検知及び予測ルールを人間が読んで理解できる形式に表現して提供する。
このソリューションは、非常に効果的であり、大規模なTier 1ネットワークに適用できる。
本発明は、ネットワークモニタリング装置、ネットワーク攻撃検知及び予測装置、ゲートウェイに配置可能なフィルタリング装置、ルーター、ホームコンピュータ等、攻撃の警告を提供し、攻撃の影響を排除及び低減するための対策を示唆する装置等を構築するために用いられることができる。
任意のISP及び/又はネットワーク装置のメーカーは本発明に関心を示すであろう。政府及び大規模組織もまた本発明に基づく製品を用いることに関心を示すであろう。
本開示のさらなる目的、特徴及び利点は、以下の図面及び詳細な説明を参照することにより理解されるであろう。
本開示の攻撃検知及び予測システムは、4つの主な構成要素を有する。1.指標演算:指標演算では、ノード又はノードのセットによって定められているサンプリングされたネットワークトラフィックをモニタし、指標の値を演算するためにそれを分析する。2.ベクトル生成:ベクトル生成では、指標の瞬時値を、指標の時系列を記述するベクトルに変換する。3.トレーニング:トレーニングでは、攻撃を検知及び予測するためのルールをコンピュータ的に学習するために、履歴時系列データ及び与えられた履歴データの既知の攻撃についての情報を用いる。4.テスト:テストでは、指標の時系列の現在の状況に基づいて攻撃を検知又は予測する。次に、4つの構成要素それぞれの詳細について説明する。
1.指標演算
本発明は、ネットワークの与えられた宛先又はノードのセットにおける攻撃を検出することを目的とする。そのために、6つの異なる指標を用いて対象の宛先に対するネットワークトラフィックの異なる特性をモニタする。各指標は、特定の特性がトラフィック内で観察されるかどうかを決定し、2つのバイナリ値(OFFなら「0」、ON又は攻撃を受けたら「1」)の一方を取る。指標は、それらのノードの各々に対して定められたトラフィックの属性を分析することにより算出される。なお、攻撃時のノードを検知することを対象としているため、ここでは、ノードに対して定められたトラフィックを分析することに注目している。以下の指標のセットを用いる。1.ボリュームベース:バイト、パケット、及びターゲットノードへのフローで測定されるトラフィック量。2.偽装ベース:偽装されたソースアドレスが観察される率。3.ソースIPダイバーシティベース:ユニークなソースアドレスが観察される率。4.IPジオロケーション(geo−location)ベース:ユニークな地理的ソースが観察される率。5.SYN比分析:非SYN TCPパケットに対するSYNの率。6.悪意のあるソースIP:ソースとしてブラックリスト化されたIPアドレスを観察する率。
本発明は、ネットワークの与えられた宛先又はノードのセットにおける攻撃を検出することを目的とする。そのために、6つの異なる指標を用いて対象の宛先に対するネットワークトラフィックの異なる特性をモニタする。各指標は、特定の特性がトラフィック内で観察されるかどうかを決定し、2つのバイナリ値(OFFなら「0」、ON又は攻撃を受けたら「1」)の一方を取る。指標は、それらのノードの各々に対して定められたトラフィックの属性を分析することにより算出される。なお、攻撃時のノードを検知することを対象としているため、ここでは、ノードに対して定められたトラフィックを分析することに注目している。以下の指標のセットを用いる。1.ボリュームベース:バイト、パケット、及びターゲットノードへのフローで測定されるトラフィック量。2.偽装ベース:偽装されたソースアドレスが観察される率。3.ソースIPダイバーシティベース:ユニークなソースアドレスが観察される率。4.IPジオロケーション(geo−location)ベース:ユニークな地理的ソースが観察される率。5.SYN比分析:非SYN TCPパケットに対するSYNの率。6.悪意のあるソースIP:ソースとしてブラックリスト化されたIPアドレスを観察する率。
通信ネットワークは、トラフィック特性が時間的に変動し、時間と共に変化しうる動的かつ進化するシステムである。これは、新たなアプリケーションが生成され、これらのアプリケーションの幾つかが既存のものとは異なるトラフィック特性を有するためである。また、通常のユーザの動向もまた時間と共に進化し、トラフィックの分布の変化を招きうる。ユーザの動向における新たなアプリケーションの出現による合法的な変化と、攻撃の非合法的なトラフィック指標との区別は、困難である。これは、自動化された方式を用いて攻撃を検知する際に、高い率での攻撃の誤検出(false positives)を招く。指標の誤検出(false positives)又は誤ったトリガーを回避するための一つの方法は、静的な閾値に基づく指標のファイアリング(状態をONに設定すること)を回避することである。本発明のアプローチでは、指標毎に動的な閾値を用い、動的な閾値は、頻繁に更新され、履歴閾値及びトラフィックの現在値のアフィン重み付けされた合成値(affine weighted combination)として演算される。履歴閾値の重みは、通常、動的な閾値が劇的に変化しないことを強調するために現在値よりも大きくなり、履歴閾値もまた、新たなアプリケーションの導入によるロングタームトラフィック動向がゆっくりと変化するという事実により正当化される。指標が攻撃を受けたかどうかを決定するために動的な閾値を用いることは、システムが多くの場合に誤検出(false positives)することを抑制できる。動的な閾値は、トラフィック特性の段階的な変化を吸収することができ、例えば、新たなアプリケーションが導入されたとき、又はユーザ態様を含むときに、トラフィック特性の段階的な変化は、通常遅く、アフィン重み付けされた合成値のために、動的な閾値に容易に吸収される。さらに、動的な閾値もまた時間の関数であり、そのため、トラフィック特性の時間的及び定期的な変化に敏感である。
リアルタイムフローフィルタ(Real Time Flow Filter (RTFF))と呼ばれる指標演算システムは、本明細書の別の部分で詳細に説明される。基本的に、RTFFは、フローデータから指標のセットを演算し、上述された指標は、攻撃下にある宛先の、限定され、個別化された特性を測定することを試みる。リアルタイムフローフィルタは、自己調整型の、リアルタイムフィルタリング異常検知システムである。本明細書に記載されるシステムは、RTFFの出力を分析する。上述した指標は、RTFFの構成要素である。各指標は、分析及びトラフィックのトレンドに基づいてアラートを一又はそれ以上の宛先に作成する。指標によって分析及びトレンディングを行うことは、上記の指標により説明された、いくつかのトラフィック特性とみなす。
攻撃を検知及び予測するために、履歴データについて、攻撃されている宛先に関する情報を取得可能であると仮定する。このような情報は、多くのソースから導かれうる。
本開示のユニークな態様の一つは、トラフィックの異なる特性を合成することにより攻撃を検知することである。過去には、トラフィック量又は2つの特性(トラフィック量及びSYNパケット比)のみに注目している技術があった。また、過去の技術では、上述したいくつかの方法において有益である指標のための動的な閾値を用いていなかった。過去の技術は、トラフィック量の時系列を分析していたが、攻撃への見通しを得るための複数又は様々な指標の時系列を分析していなかった。複数の指標の同時分析は、攻撃検知をより正確にするだけでなく、攻撃の予測も可能にする。例えば、トラフィック量が増加する前のDDoS攻撃の場合に、ソースIPのダイバーシティ(diversity)又はトラフィックが受信するIPジオロケーションのダイバーシティ(diversity)は、増加する。攻撃の異なるタイプの前兆となりうるトラフィックに対する様々な態様への見通しを与えるための指標を活用するので、使用する情報は、よりリッチかつ階層化される。指標と攻撃との間の非線形関係をピックアップできる強固な学習方法の利用が連想されるリッチな情報は、本システムが攻撃を予測することを可能にする。
2.ベクトル生成
L個(=この場合6個)の異なる指標が攻撃の分析、検知及び予測のために取得可能であると仮定する。以下の図は、攻撃の検知及び予測のためのデータ収集プロセスを説明するものである。
L個(=この場合6個)の異なる指標が攻撃の分析、検知及び予測のために取得可能であると仮定する。以下の図は、攻撃の検知及び予測のためのデータ収集プロセスを説明するものである。
図1は、ネットワークの各宛先でのデータ収集の論理的ビューを示すチャートである。このプロセスは、RTFFデータベースからの指標値の時系列に基づくスライディングウィンドウ、及び各ウィンドウの攻撃/非攻撃の対応するフィードバックを生成する。システムがDDoS攻撃を検知及び予測する特定の場合のみを示している。ウィンドウサイズt及びタイムウィンドウをスライドするオーバーラップインターバルτは、デフォルト値がシステムにおいて変化することができる自由パラメータである。
データ収集の手順は、以下のようになる。
a.サイズtのタイムウィンドウ及びタイムウィンドウをスライドさせるオーバーラップインターバルτを確定する。
b.タイムウィンドウは、開始時間tbeg及び終了時間tendにより特定される。
c.各タイムウィンドウに対し、i.RTFF(real time flow filter)アラートデータベースから、各宛先IP(匿名であってもよい)及び各指標に関し、tbegからtendまでの間にアラートが挙がった回数を取り出す。指標のアラートデータベースは、指標がセット/攻撃を受けている、及びクリアされたことについてのみを記録し、指標が特定されていない場合には、現時点の状態は、過去で最も近いところの状態とする(攻撃を受けている/クリアされている)。これは、データベースのテーブルを少なくするために行われる。これにより、指標の値がデータベースにはっきりと記録されていない場合は現在の値を直近に記録された値とみなす。ii.そのタイムウィンドウ内での指標の閾値を記録する。iii.オペレータのアラートデータベースから、与えられたタイムウィンドウの宛先に対するDDoSアラートであるとされた情報を取り出す。iv.宛先、個々の宛先、サブセット、ネットワーク等の収集の複数のレベルの粒度に適用することができるが、現時点では、宛先毎の攻撃を検知及び予測することに着目する。よって、各宛先に対して、各指標が攻撃を受けた(アラートを挙げた)回数、それらの閾値及びオペレータのDDoSシステムからのアラートがあったかどうかを示すブーリアンフィールド(Boolean field)を含む、サイズが固定され、かつタイムスタンプが付けられたベクトルを作成する。
d.タイムウィンドウを次のタイムウィンドウ、つまり、期間[tend−τ,tend−τ+t)へずらす。
e.対象となる全ての宛先の、分析のための期間内のタイムウィンドウのシーケンスに関するベクトルを収集する。
f.分析の期間[0,T]内での複数の宛先から収集されるデータのベクトルは、相関分析のための中心位置で収集され、攻撃を検知及び予測するパターン及びルールを作成する。データの概念的なビューは、図2に示される。
a.サイズtのタイムウィンドウ及びタイムウィンドウをスライドさせるオーバーラップインターバルτを確定する。
b.タイムウィンドウは、開始時間tbeg及び終了時間tendにより特定される。
c.各タイムウィンドウに対し、i.RTFF(real time flow filter)アラートデータベースから、各宛先IP(匿名であってもよい)及び各指標に関し、tbegからtendまでの間にアラートが挙がった回数を取り出す。指標のアラートデータベースは、指標がセット/攻撃を受けている、及びクリアされたことについてのみを記録し、指標が特定されていない場合には、現時点の状態は、過去で最も近いところの状態とする(攻撃を受けている/クリアされている)。これは、データベースのテーブルを少なくするために行われる。これにより、指標の値がデータベースにはっきりと記録されていない場合は現在の値を直近に記録された値とみなす。ii.そのタイムウィンドウ内での指標の閾値を記録する。iii.オペレータのアラートデータベースから、与えられたタイムウィンドウの宛先に対するDDoSアラートであるとされた情報を取り出す。iv.宛先、個々の宛先、サブセット、ネットワーク等の収集の複数のレベルの粒度に適用することができるが、現時点では、宛先毎の攻撃を検知及び予測することに着目する。よって、各宛先に対して、各指標が攻撃を受けた(アラートを挙げた)回数、それらの閾値及びオペレータのDDoSシステムからのアラートがあったかどうかを示すブーリアンフィールド(Boolean field)を含む、サイズが固定され、かつタイムスタンプが付けられたベクトルを作成する。
d.タイムウィンドウを次のタイムウィンドウ、つまり、期間[tend−τ,tend−τ+t)へずらす。
e.対象となる全ての宛先の、分析のための期間内のタイムウィンドウのシーケンスに関するベクトルを収集する。
f.分析の期間[0,T]内での複数の宛先から収集されるデータのベクトルは、相関分析のための中心位置で収集され、攻撃を検知及び予測するパターン及びルールを作成する。データの概念的なビューは、図2に示される。
攻撃検知のための教師あり学習
a)データ分析及び検知/予測のためのモデルを構築する間に、DDoS攻撃が起きている宛先に関する情報(各宛先への攻撃の期間を含む)を用いる。
b)学習時のフィードバックの使用によって、教師あり学習が、より関連性のある、より正確なモデルを作成することができる。
c)検知問題の式
a.考慮するための過去のタイムウィンドウのサイズ(h)を経験的に決定する。
b.ウィンドウwi、におけるRTFFアラートを挙げることについての履歴情報を組み入れる新たなベクトルVwiを作成する。例えば、Vwi=[vwi−h,vwi−h+1,・・・,vwi]、である。
c.検知関数fdetectをトレーニングするための以下の組み合わせを作成する。
i.トレーニングデータを((Vw1,kw1),(Vw2,kw2),・・・,(Vwn,kwn))とする。データ内に総数n個のウィンドウがあると仮定する。ここで、Vwiは、上記のb.で作成されるベクトルであり、kwiは、DDoSアタックがタイムウィンドウwiの最後の宛先で観察されたかどうかを示す。
d.検知関数SVMsを学習するために教師あり学習(例えば、SVM)を用いることは、高度で複雑な決定ルールを見い出すことができ、実際に決定ルールを最先端の学習アルゴリズムとする良好な理論的特性及び良好なパフォーマンスを有することができる。以上のように、SVMを用いた教師あり学習及び上記のc.で説明されたトレーニングデータの詳細を簡潔に説明した。
a)データ分析及び検知/予測のためのモデルを構築する間に、DDoS攻撃が起きている宛先に関する情報(各宛先への攻撃の期間を含む)を用いる。
b)学習時のフィードバックの使用によって、教師あり学習が、より関連性のある、より正確なモデルを作成することができる。
c)検知問題の式
a.考慮するための過去のタイムウィンドウのサイズ(h)を経験的に決定する。
b.ウィンドウwi、におけるRTFFアラートを挙げることについての履歴情報を組み入れる新たなベクトルVwiを作成する。例えば、Vwi=[vwi−h,vwi−h+1,・・・,vwi]、である。
c.検知関数fdetectをトレーニングするための以下の組み合わせを作成する。
i.トレーニングデータを((Vw1,kw1),(Vw2,kw2),・・・,(Vwn,kwn))とする。データ内に総数n個のウィンドウがあると仮定する。ここで、Vwiは、上記のb.で作成されるベクトルであり、kwiは、DDoSアタックがタイムウィンドウwiの最後の宛先で観察されたかどうかを示す。
d.検知関数SVMsを学習するために教師あり学習(例えば、SVM)を用いることは、高度で複雑な決定ルールを見い出すことができ、実際に決定ルールを最先端の学習アルゴリズムとする良好な理論的特性及び良好なパフォーマンスを有することができる。以上のように、SVMを用いた教師あり学習及び上記のc.で説明されたトレーニングデータの詳細を簡潔に説明した。
攻撃を予測するための教師あり学習
a)原則的に、予測は、検知とほぼ同様である。
a.予測と検知との差は、トレーニングデータの式にある。
b.検知の場合には、現時点でのウィンドウでのDDoSアラートと突き合わせるアラートを出力することが目的である。
c.予測の場合には、将来起こるウィンドウでのDDoSアラートと突き合わせるアラートを出力することが目的である(このような情報は収集されたデータで取得可能である)。
d.そのため、予測と検知との差は、トレーニングデータの式にある。
b)攻撃予測のためのトレーニングデータの式
a.予測したい将来におけるステップ数sを決定する。
b.考慮するための過去のタイムウィンドウのサイズ(h)を経験的に決定する。
c.ウィンドウwi、におけるRTFFアラートを挙げることについての履歴情報を組み入れる新たなベクトルVwiを作成する。例えば、Vwi=[vwi−h,vwi−h+1,・・・,vwi]である。
d.検知関数fpredをトレーニングするための以下の組み合わせを作成する。
i.トレーニングデータを((Vw1,kw1+s),(Vw2,kw2+s),・・・,(Vwn,kwn+s))とする。データ内に総数n+s個のウィンドウがあると仮定する。
ここでVwiは、上記のc.で作成されたベクトルであり、kwi+sは、DDoSアタックがタイムウィンドウwiの最後の後、つまりウィンドウwi+sの最後の宛先sのステップで観察されたかどうかを示す。
e.検知関数fpredを学習するために同様の教師あり学習(例えば、SVM)を用いる。
f.正確さを向上させるために、RBFカーネルによるSVMを用いているが、SVMにより作成される検知及び予測ルールは、人間が読んで理解できる形式ではない。そのため、人間の専門家又はネットワークオペレータが理解できるルールを学習するために決定木アプローチを使用してもよい。
a)原則的に、予測は、検知とほぼ同様である。
a.予測と検知との差は、トレーニングデータの式にある。
b.検知の場合には、現時点でのウィンドウでのDDoSアラートと突き合わせるアラートを出力することが目的である。
c.予測の場合には、将来起こるウィンドウでのDDoSアラートと突き合わせるアラートを出力することが目的である(このような情報は収集されたデータで取得可能である)。
d.そのため、予測と検知との差は、トレーニングデータの式にある。
b)攻撃予測のためのトレーニングデータの式
a.予測したい将来におけるステップ数sを決定する。
b.考慮するための過去のタイムウィンドウのサイズ(h)を経験的に決定する。
c.ウィンドウwi、におけるRTFFアラートを挙げることについての履歴情報を組み入れる新たなベクトルVwiを作成する。例えば、Vwi=[vwi−h,vwi−h+1,・・・,vwi]である。
d.検知関数fpredをトレーニングするための以下の組み合わせを作成する。
i.トレーニングデータを((Vw1,kw1+s),(Vw2,kw2+s),・・・,(Vwn,kwn+s))とする。データ内に総数n+s個のウィンドウがあると仮定する。
ここでVwiは、上記のc.で作成されたベクトルであり、kwi+sは、DDoSアタックがタイムウィンドウwiの最後の後、つまりウィンドウwi+sの最後の宛先sのステップで観察されたかどうかを示す。
e.検知関数fpredを学習するために同様の教師あり学習(例えば、SVM)を用いる。
f.正確さを向上させるために、RBFカーネルによるSVMを用いているが、SVMにより作成される検知及び予測ルールは、人間が読んで理解できる形式ではない。そのため、人間の専門家又はネットワークオペレータが理解できるルールを学習するために決定木アプローチを使用してもよい。
上述したベクトル作成方法では、攻撃を検知及び予測することを検討するために、2つの自由パラメータ、ウィンドウサイズ及び(時系列の次元を埋め込んでいる)ウィンドウの履歴が存在する。
システムは、これらパラメータの異なる値が検証された交差検定アプローチを用いて、それらを経験的に判断する。そして、最も良いパフォーマンスを挙げたものが選択されて用いられる。
システムは、これらパラメータの異なる値が検証された交差検定アプローチを用いて、それらを経験的に判断する。そして、最も良いパフォーマンスを挙げたものが選択されて用いられる。
SVMを用いた教師あり学習
上記で示したように、攻撃を検知及び予測するために同一の方法を用いる。検知と予測との違いは、トレーニングデータの式にある。検知については、ターゲットラベルは、ベクトルの最新のウィンドウの最後におけるネットワークの状態である。一方、予測については、ターゲットラベルは、将来のインターバルの固定された数における宛先(攻撃下又は非攻撃下)の状態である。ここでは、検知関数fdetect及び予測関数fpredを学習するための教師あり学習アプローチについて説明する。
上記で示したように、攻撃を検知及び予測するために同一の方法を用いる。検知と予測との違いは、トレーニングデータの式にある。検知については、ターゲットラベルは、ベクトルの最新のウィンドウの最後におけるネットワークの状態である。一方、予測については、ターゲットラベルは、将来のインターバルの固定された数における宛先(攻撃下又は非攻撃下)の状態である。ここでは、検知関数fdetect及び予測関数fpredを学習するための教師あり学習アプローチについて説明する。
決定ルールを学習するために、SVM(Support Vector Machines)アルゴリズムを用いる。簡潔には、SVMは、入力としてのラベル付けされていないテストデータポイントを取得し、そのラベルを作成する決定ルールy=f(x)を学習するためにトレーニングデータ{(xi,yi)}i=1 lを用いる。
決定ルールは、数1を有す。
決定ルールは、数1を有す。
ここで、bは定数であり、K(x,xi)はテストデータポイントとトレーニングデータポイントxiとのカーネル類似度である。αiの係数は、以下の二次最適化を解くことにより求められる。
条件
Cは、上記の最適化問題においてユーザが特定したパラメータである。上記の二次最適化問題を解くために効率の良い手順がある。
教師あり学習(上述したようなSVM)では、トレーニング段階とテスト段階との2つの異なる段階が存在する。
3.トレーニング段階
トレーニング段階において、与えられたラベル付けされたデータは、αiの係数の値及び二次プログラム(2)を解くことにより閾値bを求めるために用いられる。
これは、コンピュータ的に負荷の大きなステップであるが、オフラインで解くことができ、一回程度(once or infrequently)解く必要がある。検知及び予測のための学習における違いは、トレーニングデータの式のみである。システムは、複数の宛先から収集された、集められたトレーニングデータ、又は個々の宛先から収集されたデータを用いて予測関数fpred(又は検知関数fdetect)を学習することができる。
トレーニング段階において、与えられたラベル付けされたデータは、αiの係数の値及び二次プログラム(2)を解くことにより閾値bを求めるために用いられる。
これは、コンピュータ的に負荷の大きなステップであるが、オフラインで解くことができ、一回程度(once or infrequently)解く必要がある。検知及び予測のための学習における違いは、トレーニングデータの式のみである。システムは、複数の宛先から収集された、集められたトレーニングデータ、又は個々の宛先から収集されたデータを用いて予測関数fpred(又は検知関数fdetect)を学習することができる。
4.テスト段階
テスト段階は、新たな観測xの関数(1)を評価するために、学習の結果(トレーニング段階で求められたαiの係数及び閾値b)を用いる。関数評価は、コンピュータ的に低廉であり、リアルタイムで行われうる。関数(1)の評価は、攻撃を検知又は予測するためのラベルを作成する。関数fpredを評価することによりラベルが作成されたときに、システムは、攻撃を予測する。また、関数fdetectを評価することによりラベルが作成されたときに、システムは、攻撃を検知する。
テスト段階は、新たな観測xの関数(1)を評価するために、学習の結果(トレーニング段階で求められたαiの係数及び閾値b)を用いる。関数評価は、コンピュータ的に低廉であり、リアルタイムで行われうる。関数(1)の評価は、攻撃を検知又は予測するためのラベルを作成する。関数fpredを評価することによりラベルが作成されたときに、システムは、攻撃を予測する。また、関数fdetectを評価することによりラベルが作成されたときに、システムは、攻撃を検知する。
以上のことから、(DDoSではない)他の攻撃を検知するために、当業者の誰であってもトレーニングデータのラベルを置き換えることになり、トレーニングベクトルを別に定式化することになるであろう。一旦、トレーニングデータが適切に定式化され、最適化問題(2)を解くために用いられると、システムは、新たなタイプの攻撃を検知するために関数を作成するであろう。本発明についての現在の認識では、DDoS攻撃のみを考慮しているが、本発明は、広汎であり、履歴情報が取得可能でさえあれば他の攻撃を検知及び予測するために用いることができる。
システムは、個々の宛先から収集された履歴トレーニングデータ、又は宛先のセットから収集されたデータから学習することができる。単一の宛先から収集されたデータから学習することの利点は、攻撃の検知及び予測がその宛先へのユニークな観測から生じることになり、そのため、得られる検知及び予測がこの宛先に対して非常に明確になるであろう。欠点は、システムが各ノードの個々の関数を学習することになり、そのため、コンピュータ的によりコストが掛かることになることである。しかし、単一の宛先からのトレーニングデータは、サイズ及び変動性(観測される攻撃の明示又は与えられた宛先で攻撃が観測されない場合)で制限が可能なので、得られる検知及び予測関数は、ネットワークで観測されるが、その宛先ではない攻撃を検出することができない。
ノードのセットにわたって集められたトレーニングデータから学習することの利点は、得られる検知及び予測関数が、任意のノードにおいて観測された任意の攻撃を検知できることである。これは、より良い一般化を生じる。一方、大量のトレーニングデータによって、トレーニング段階は、コンピュータ的によりコストが掛かり、また、システムは、学習が行われる中央ノードにおける複数の宛先からデータを収集することを必要とする。
2つのアプローチのハイブリッドが存在してもよい。この場合、システムが2つの検知及び予測関数を用いることができる。ひとつは、ノードへのローカルなトレーニングデータから生じ、他方は、複数のノードにわたって収集されたトレーニングデータから生じる。
本開示は、攻撃検知及び予測についての異なる考え方を有する。既存の技術は、パケット異常当たりで識別する観点から見ているが、本発明は、複数のパケット及び複数の異常のタイプにわたって収集している。また、既存の技術は、検知に着目していたが、異常検知のタイプを用いて予測することは十分に行われていなかった。
また、本発明は、機械学習及びネットワークセキュリティにおける見識を有する研究者の多くの専門分野にわたるグループによってなされたものである。これは、本発明者らが、先進的な分析をネットワークセキュリティにおける深い見識と組み合わせることを可能にした。
本発明者らは、大規模なネットワークにおいて攻撃を検出するために、パケット分析当たりではなく、大規模な統計的技術に着目する必要があるものであると理解している。この理解に基づき、本発明者らは、トラフィックパターンの大規模な偏差を測定するために、多様な指標(ソースダイバーシティ、ホストの地理的な位置、トラフィック量等)を設計した。本発明は、また、ネットワークの詳細を知るtier 1 ISPとの緊密な協力によってなされたものである。
攻撃の早期警告について説明する。
機械学習リサーチの一部として予測アルゴリズムを設計することの背景は、学習の理論的な観点からの問題を分析及び定式化することを可能にした。これは、指標が強くなく、攻撃信号が弱い場合に、攻撃を予測するために不可欠な特性をモデル化することを可能にした。
i.過去に観測した攻撃のバリエーションであるゼロデイ攻撃を検知することが可能となった。
ii.徐々にトラフィック量及び他の特性を変化させることを含むステルス攻撃を検知できる。
iii.様々な指標を使用することにより、システムは、より安定かつ詳細な攻撃の検知を実現できる。指標は、(トラフィック)量、偽装されたIPs、ソースIPダイバーシティ、IPジオロケーション、SYN比及び悪意のあるソースIPsのポテンシャル変化を測定する。
iv.(i)観察されたトラフィック内の直近のトレンドに基づく指標から継続的かつ自動的に閾値を適用すること、及び(ii)ネットワーク攻撃を検知及び予測するためのルールを適用するために逐一学習することにより、新たな攻撃及びそれらの変形を早急に学習することを適用できる。
v.緊急性の高い攻撃をネットワークに影響が及ぶ前に予測できる。
vi.(トレーニングデータの一部として改善が提供された場合に)改善を提供できる。
vii.攻撃を検知及び予測するためのシグネチャ時系列パターン及びルールを発見又は生成できる。
viii.指標が攻撃に対して支配的及び/又は決定的な役割となるかについての情報を提供できる。
機械学習リサーチの一部として予測アルゴリズムを設計することの背景は、学習の理論的な観点からの問題を分析及び定式化することを可能にした。これは、指標が強くなく、攻撃信号が弱い場合に、攻撃を予測するために不可欠な特性をモデル化することを可能にした。
i.過去に観測した攻撃のバリエーションであるゼロデイ攻撃を検知することが可能となった。
ii.徐々にトラフィック量及び他の特性を変化させることを含むステルス攻撃を検知できる。
iii.様々な指標を使用することにより、システムは、より安定かつ詳細な攻撃の検知を実現できる。指標は、(トラフィック)量、偽装されたIPs、ソースIPダイバーシティ、IPジオロケーション、SYN比及び悪意のあるソースIPsのポテンシャル変化を測定する。
iv.(i)観察されたトラフィック内の直近のトレンドに基づく指標から継続的かつ自動的に閾値を適用すること、及び(ii)ネットワーク攻撃を検知及び予測するためのルールを適用するために逐一学習することにより、新たな攻撃及びそれらの変形を早急に学習することを適用できる。
v.緊急性の高い攻撃をネットワークに影響が及ぶ前に予測できる。
vi.(トレーニングデータの一部として改善が提供された場合に)改善を提供できる。
vii.攻撃を検知及び予測するためのシグネチャ時系列パターン及びルールを発見又は生成できる。
viii.指標が攻撃に対して支配的及び/又は決定的な役割となるかについての情報を提供できる。
本発明に係るいくつかの実施形態について示し、かつ説明したが、当業者にとって自明な多くの変形が可能であることについて同じことが言えることが明確に理解される。したがって、本発明は、示され、かつ説明された詳細な説明に限定されるものではなく、添付の特許請求の範囲の範囲内での全ての変更及び修正を意図するものである。
Claims (1)
- 起こり得る攻撃又は異常態様の指標を用いてトラフィック特性をエンコードし、ネットワーク攻撃を正確に検知するために前記指標のセットのコード化された値における時系列パターンを参照する、方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201261702453P | 2012-09-18 | 2012-09-18 | |
| US61/702,453 | 2012-09-18 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014060722A true JP2014060722A (ja) | 2014-04-03 |
| JP6184270B2 JP6184270B2 (ja) | 2017-08-23 |
Family
ID=50275925
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013193560A Expired - Fee Related JP6184270B2 (ja) | 2012-09-18 | 2013-09-18 | 将来のネットワーク攻撃を検知及び予測するために、様々な指標と過去の攻撃事例を相関させ、攻撃に関する指標のプロファイルを作成するシステム及び方法 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US9386030B2 (ja) |
| JP (1) | JP6184270B2 (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018098635A (ja) * | 2016-12-13 | 2018-06-21 | Kddi株式会社 | 通信予測装置、通信予測方法及び通信予測プログラム |
| JP2019511030A (ja) * | 2016-01-24 | 2019-04-18 | ハサン・シェド・カムラン | 人工知能によるコンピュータセキュリティ |
| JP2019145995A (ja) * | 2018-02-20 | 2019-08-29 | Kddi株式会社 | 攻撃予測装置、攻撃予測方法及び攻撃予測プログラム |
| US11797668B2 (en) | 2017-10-11 | 2023-10-24 | Mitsubishi Electric Corporation | Sample data generation apparatus, sample data generation method, and computer readable medium |
Families Citing this family (104)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9503470B2 (en) * | 2002-12-24 | 2016-11-22 | Fred Herz Patents, LLC | Distributed agent based model for security monitoring and response |
| US9503463B2 (en) * | 2012-05-14 | 2016-11-22 | Zimperium, Inc. | Detection of threats to networks, based on geographic location |
| US9565213B2 (en) | 2012-10-22 | 2017-02-07 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
| US9137205B2 (en) | 2012-10-22 | 2015-09-15 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
| US9853995B2 (en) * | 2012-11-08 | 2017-12-26 | AO Kaspersky Lab | System and method for restricting pathways to harmful hosts in computer networks |
| US9141791B2 (en) * | 2012-11-19 | 2015-09-22 | Hewlett-Packard Development Company, L.P. | Monitoring for anomalies in a computing environment |
| US9774517B2 (en) * | 2012-11-26 | 2017-09-26 | EMC IP Holding Company LLC | Correlative monitoring, analysis, and control of multi-service, multi-network systems |
| US9203806B2 (en) | 2013-01-11 | 2015-12-01 | Centripetal Networks, Inc. | Rule swapping in a packet network |
| US9124552B2 (en) | 2013-03-12 | 2015-09-01 | Centripetal Networks, Inc. | Filtering network data transfers |
| US9094445B2 (en) | 2013-03-15 | 2015-07-28 | Centripetal Networks, Inc. | Protecting networks from cyber attacks and overloading |
| US9747446B1 (en) * | 2013-12-26 | 2017-08-29 | Fireeye, Inc. | System and method for run-time object classification |
| WO2015149062A1 (en) * | 2014-03-28 | 2015-10-01 | Zitovault, Inc. | System and method for predicting impending cyber security events using multi channel behavioral analysis in a distributed computing environment |
| US9497215B2 (en) * | 2014-07-23 | 2016-11-15 | Cisco Technology, Inc. | Stealth mitigation for simulating the success of an attack |
| US9378079B2 (en) | 2014-09-02 | 2016-06-28 | Microsoft Technology Licensing, Llc | Detection of anomalies in error signals of cloud based service |
| US20160179063A1 (en) * | 2014-12-17 | 2016-06-23 | Microsoft Technology Licensing, Llc | Pipeline generation for data stream actuated control |
| US9264370B1 (en) | 2015-02-10 | 2016-02-16 | Centripetal Networks, Inc. | Correlating packets in communications networks |
| US10057283B2 (en) * | 2015-02-17 | 2018-08-21 | Accenture Global Solutions Limited | Volumetric event forecasting tool |
| US9866576B2 (en) | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
| US11350254B1 (en) | 2015-05-05 | 2022-05-31 | F5, Inc. | Methods for enforcing compliance policies and devices thereof |
| CN106295333B (zh) * | 2015-05-27 | 2018-08-17 | 安一恒通(北京)科技有限公司 | 用于检测恶意代码的方法和系统 |
| US9553885B2 (en) * | 2015-06-08 | 2017-01-24 | Illusive Networks Ltd. | System and method for creation, deployment and management of augmented attacker map |
| US10382484B2 (en) | 2015-06-08 | 2019-08-13 | Illusive Networks Ltd. | Detecting attackers who target containerized clusters |
| US10454950B1 (en) * | 2015-06-30 | 2019-10-22 | Fireeye, Inc. | Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks |
| US10050999B1 (en) * | 2015-09-22 | 2018-08-14 | Amazon Technologies, Inc. | Security threat based auto scaling |
| US9825989B1 (en) * | 2015-09-30 | 2017-11-21 | Fireeye, Inc. | Cyber attack early warning system |
| US10560483B2 (en) * | 2015-10-28 | 2020-02-11 | Qomplx, Inc. | Rating organization cybersecurity using active and passive external reconnaissance |
| US9948663B1 (en) * | 2015-12-07 | 2018-04-17 | Symantec Corporation | Systems and methods for predicting security threat attacks |
| US10193906B2 (en) * | 2015-12-09 | 2019-01-29 | Checkpoint Software Technologies Ltd. | Method and system for detecting and remediating polymorphic attacks across an enterprise |
| US9985982B1 (en) * | 2015-12-21 | 2018-05-29 | Cisco Technology, Inc. | Method and apparatus for aggregating indicators of compromise for use in network security |
| US11757946B1 (en) * | 2015-12-22 | 2023-09-12 | F5, Inc. | Methods for analyzing network traffic and enforcing network policies and devices thereof |
| US9917856B2 (en) | 2015-12-23 | 2018-03-13 | Centripetal Networks, Inc. | Rule-based network-threat detection for encrypted communications |
| US20170195132A1 (en) * | 2015-12-30 | 2017-07-06 | Iix, Inc. | Data Monitoring/Aggregation For Evaluating Connections Between Networks |
| US11729144B2 (en) | 2016-01-04 | 2023-08-15 | Centripetal Networks, Llc | Efficient packet capture for cyber threat analysis |
| US9906551B2 (en) * | 2016-02-09 | 2018-02-27 | International Business Machines Corporation | Forecasting and classifying cyber-attacks using crossover neural embeddings |
| US9998480B1 (en) | 2016-02-29 | 2018-06-12 | Symantec Corporation | Systems and methods for predicting security threats |
| RU2634211C1 (ru) | 2016-07-06 | 2017-10-24 | Общество с ограниченной ответственностью "Траст" | Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак |
| RU2649793C2 (ru) | 2016-08-03 | 2018-04-04 | ООО "Группа АйБи" | Способ и система выявления удаленного подключения при работе на страницах веб-ресурса |
| US11182476B2 (en) * | 2016-09-07 | 2021-11-23 | Micro Focus Llc | Enhanced intelligence for a security information sharing platform |
| RU2634209C1 (ru) * | 2016-09-19 | 2017-10-24 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью |
| KR101750760B1 (ko) | 2016-11-24 | 2017-07-11 | (주)유엠로직스 | 스마트 홈 서비스의 비정상 행위 탐지 시스템 및 그 방법 |
| RU2671991C2 (ru) | 2016-12-29 | 2018-11-08 | Общество с ограниченной ответственностью "Траст" | Система и способ сбора информации для обнаружения фишинга |
| RU2637477C1 (ru) | 2016-12-29 | 2017-12-04 | Общество с ограниченной ответственностью "Траст" | Система и способ обнаружения фишинговых веб-страниц |
| CN108259426B (zh) * | 2016-12-29 | 2020-04-28 | 华为技术有限公司 | 一种DDoS攻击检测方法及设备 |
| US10367832B2 (en) * | 2017-01-27 | 2019-07-30 | Rapid7, Inc. | Reactive virtual security appliances |
| US10397258B2 (en) * | 2017-01-30 | 2019-08-27 | Microsoft Technology Licensing, Llc | Continuous learning for intrusion detection |
| US10771495B2 (en) | 2017-03-02 | 2020-09-08 | General Electric Company | Cyber-attack detection and neutralization |
| WO2018164767A1 (en) * | 2017-03-09 | 2018-09-13 | General Electric Company | Cyber-attack detection and neutralization |
| CN107104959B (zh) * | 2017-04-20 | 2023-01-13 | 北京东方棱镜科技有限公司 | 一种云环境中异常行为检测方法与装置 |
| US11343237B1 (en) | 2017-05-12 | 2022-05-24 | F5, Inc. | Methods for managing a federated identity environment using security and access control data and devices thereof |
| US10447525B2 (en) | 2017-06-05 | 2019-10-15 | Microsoft Technology Licensing, Llc | Validating correlation between chains of alerts using cloud view |
| US10855700B1 (en) * | 2017-06-29 | 2020-12-01 | Fireeye, Inc. | Post-intrusion detection of cyber-attacks during lateral movement within networks |
| US10503899B2 (en) * | 2017-07-10 | 2019-12-10 | Centripetal Networks, Inc. | Cyberanalysis workflow acceleration |
| US10284526B2 (en) | 2017-07-24 | 2019-05-07 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
| US11233777B2 (en) | 2017-07-24 | 2022-01-25 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
| JP6890498B2 (ja) * | 2017-08-04 | 2021-06-18 | 株式会社日立製作所 | ネットワーク装置、パケットを処理する方法、及びプログラム |
| WO2019091697A1 (en) | 2017-11-07 | 2019-05-16 | British Telecommunications Public Limited Company | Dynamic security policy |
| WO2019091698A1 (en) * | 2017-11-07 | 2019-05-16 | British Telecommunications Public Limited Company | Security configuration determination |
| RU2689816C2 (ru) | 2017-11-21 | 2019-05-29 | ООО "Группа АйБи" | Способ для классифицирования последовательности действий пользователя (варианты) |
| US11503051B2 (en) * | 2018-01-11 | 2022-11-15 | Perspecta Labs Inc. | Migration of traffic flows |
| EP3511856A1 (en) * | 2018-01-16 | 2019-07-17 | Nokia Solutions and Networks Oy | Method, apparatus and computer readable medium to detect at least one change in continuous data |
| RU2668710C1 (ru) | 2018-01-17 | 2018-10-02 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Вычислительное устройство и способ для обнаружения вредоносных доменных имен в сетевом трафике |
| RU2676247C1 (ru) | 2018-01-17 | 2018-12-26 | Общество С Ограниченной Ответственностью "Группа Айби" | Способ и компьютерное устройство для кластеризации веб-ресурсов |
| RU2677361C1 (ru) | 2018-01-17 | 2019-01-16 | Общество с ограниченной ответственностью "Траст" | Способ и система децентрализованной идентификации вредоносных программ |
| RU2680736C1 (ru) | 2018-01-17 | 2019-02-26 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Сервер и способ для определения вредоносных файлов в сетевом трафике |
| RU2677368C1 (ru) | 2018-01-17 | 2019-01-16 | Общество С Ограниченной Ответственностью "Группа Айби" | Способ и система для автоматического определения нечетких дубликатов видеоконтента |
| RU2681699C1 (ru) | 2018-02-13 | 2019-03-12 | Общество с ограниченной ответственностью "Траст" | Способ и сервер для поиска связанных сетевых ресурсов |
| US11134090B1 (en) | 2018-06-04 | 2021-09-28 | Target Brands, Inc. | Network security analysis and malware detection using multiple types of malware information |
| US10735442B1 (en) * | 2018-06-04 | 2020-08-04 | Target Brands, Inc. | Network security analysis and malware detection using multiple types of malware information |
| US10686807B2 (en) * | 2018-06-12 | 2020-06-16 | International Business Machines Corporation | Intrusion detection system |
| US10333898B1 (en) | 2018-07-09 | 2019-06-25 | Centripetal Networks, Inc. | Methods and systems for efficient network protection |
| CN108881283B (zh) * | 2018-07-13 | 2021-08-20 | 杭州安恒信息技术股份有限公司 | 评估网络攻击的模型训练方法、装置及储存介质 |
| US10333976B1 (en) | 2018-07-23 | 2019-06-25 | Illusive Networks Ltd. | Open source intelligence deceptions |
| US10404747B1 (en) | 2018-07-24 | 2019-09-03 | Illusive Networks Ltd. | Detecting malicious activity by using endemic network hosts as decoys |
| US10382483B1 (en) | 2018-08-02 | 2019-08-13 | Illusive Networks Ltd. | User-customized deceptions and their deployment in networks |
| US10911479B2 (en) * | 2018-08-06 | 2021-02-02 | Microsoft Technology Licensing, Llc | Real-time mitigations for unfamiliar threat scenarios |
| US10826756B2 (en) | 2018-08-06 | 2020-11-03 | Microsoft Technology Licensing, Llc | Automatic generation of threat remediation steps by crowd sourcing security solutions |
| US10333977B1 (en) | 2018-08-23 | 2019-06-25 | Illusive Networks Ltd. | Deceiving an attacker who is harvesting credentials |
| US10432665B1 (en) | 2018-09-03 | 2019-10-01 | Illusive Networks Ltd. | Creating, managing and deploying deceptions on mobile devices |
| RU2708508C1 (ru) | 2018-12-17 | 2019-12-09 | Общество с ограниченной ответственностью "Траст" | Способ и вычислительное устройство для выявления подозрительных пользователей в системах обмена сообщениями |
| RU2701040C1 (ru) | 2018-12-28 | 2019-09-24 | Общество с ограниченной ответственностью "Траст" | Способ и вычислительное устройство для информирования о вредоносных веб-ресурсах |
| JP7186637B2 (ja) * | 2019-02-21 | 2022-12-09 | 三菱電機株式会社 | 検知ルール群調整装置および検知ルール群調整プログラム |
| SG11202101624WA (en) | 2019-02-27 | 2021-03-30 | Group Ib Ltd | Method and system for user identification by keystroke dynamics |
| US11252169B2 (en) | 2019-04-03 | 2022-02-15 | General Electric Company | Intelligent data augmentation for supervised anomaly detection associated with a cyber-physical system |
| US11343266B2 (en) | 2019-06-10 | 2022-05-24 | General Electric Company | Self-certified security for assured cyber-physical systems |
| CN112543168A (zh) * | 2019-09-20 | 2021-03-23 | 中移(苏州)软件技术有限公司 | 网络攻击的检测方法、装置、服务器及存储介质 |
| KR102134653B1 (ko) * | 2019-11-25 | 2020-07-16 | 한국인터넷진흥원 | 익스플로잇 공격에 대한 탐지 정확도를 향상시키기 위한 룰 최적화 장치 및 그 방법 |
| RU2728497C1 (ru) | 2019-12-05 | 2020-07-29 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система определения принадлежности программного обеспечения по его машинному коду |
| RU2728498C1 (ru) | 2019-12-05 | 2020-07-29 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система определения принадлежности программного обеспечения по его исходному коду |
| RU2743974C1 (ru) | 2019-12-19 | 2021-03-01 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Система и способ сканирования защищенности элементов сетевой архитектуры |
| US11632385B2 (en) * | 2020-02-03 | 2023-04-18 | University Of South Florida | Computer networking with security features |
| SG10202001963TA (en) | 2020-03-04 | 2021-10-28 | Group Ib Global Private Ltd | System and method for brand protection based on the search results |
| CN113542204B (zh) * | 2020-04-22 | 2023-04-07 | 中国电信股份有限公司 | 防护规则生成方法、装置和存储介质 |
| US11475090B2 (en) | 2020-07-15 | 2022-10-18 | Group-Ib Global Private Limited | Method and system for identifying clusters of affiliated web resources |
| RU2743619C1 (ru) | 2020-08-06 | 2021-02-20 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система генерации списка индикаторов компрометации |
| CN112019547B (zh) * | 2020-08-28 | 2023-04-07 | 中移(杭州)信息技术有限公司 | 网络流量评估方法、攻击检测方法、服务器及存储介质 |
| US11362996B2 (en) | 2020-10-27 | 2022-06-14 | Centripetal Networks, Inc. | Methods and systems for efficient adaptive logging of cyber threat incidents |
| KR102287394B1 (ko) * | 2020-12-21 | 2021-08-06 | 한국인터넷진흥원 | 익스플로잇 공격 유형 분류 방법 및 그 장치 |
| US11947572B2 (en) | 2021-03-29 | 2024-04-02 | Group IB TDS, Ltd | Method and system for clustering executable files |
| CN113098735B (zh) * | 2021-03-31 | 2022-10-11 | 上海天旦网络科技发展有限公司 | 面向推理的应用流量和指标向量化方法及系统 |
| NL2030861B1 (en) | 2021-06-01 | 2023-03-14 | Trust Ltd | System and method for external monitoring a cyberattack surface |
| CN113810386B (zh) * | 2021-08-27 | 2023-09-26 | 北京航空航天大学杭州创新研究院 | 一种从大数据中提取用于网络安全的训练数据方法和装置 |
| CN114189353A (zh) * | 2021-11-05 | 2022-03-15 | 西安理工大学 | 一种基于铁路调度集系统的网络安全风险预测方法 |
| CN114422186B (zh) * | 2021-12-21 | 2024-05-28 | 深信服科技股份有限公司 | 一种攻击检测方法、装置、电子设备及存储介质 |
| CN116405269B (zh) * | 2023-03-22 | 2024-01-26 | 中国华能集团有限公司北京招标分公司 | 一种网络撞库攻击检测方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006115432A (ja) * | 2004-02-02 | 2006-04-27 | Cyber Solutions Inc | 不正情報検知システム及び不正攻撃元探索システム |
| JP2007074383A (ja) * | 2005-09-07 | 2007-03-22 | Yokogawa Electric Corp | 情報システム |
| WO2007055222A1 (ja) * | 2005-11-08 | 2007-05-18 | Tohoku University | ネットワーク異常検知方法およびネットワーク異常検知システム |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7584507B1 (en) * | 2005-07-29 | 2009-09-01 | Narus, Inc. | Architecture, systems and methods to detect efficiently DoS and DDoS attacks for large scale internet |
-
2013
- 2013-09-17 US US14/029,474 patent/US9386030B2/en not_active Expired - Fee Related
- 2013-09-18 JP JP2013193560A patent/JP6184270B2/ja not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006115432A (ja) * | 2004-02-02 | 2006-04-27 | Cyber Solutions Inc | 不正情報検知システム及び不正攻撃元探索システム |
| US20080016562A1 (en) * | 2004-02-02 | 2008-01-17 | Glenn Mansfield Keeni | Unauthorized Information Detection System and Unauthorized Attack Source Search System |
| JP2007074383A (ja) * | 2005-09-07 | 2007-03-22 | Yokogawa Electric Corp | 情報システム |
| WO2007055222A1 (ja) * | 2005-11-08 | 2007-05-18 | Tohoku University | ネットワーク異常検知方法およびネットワーク異常検知システム |
Non-Patent Citations (1)
| Title |
|---|
| 千葉 大紀 DAIKI CHIBA: "多種多様な攻撃に用いられるIPアドレス間の相関解析 Correlation Analysis Between IP Addresses Used i", CSS2011コンピュータセキュリティシンポジウム2011論文集 併催 マルウェア対策研究人材育成ワ, vol. 第2011巻, JPN6017023411, JP, ISSN: 0003585551 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019511030A (ja) * | 2016-01-24 | 2019-04-18 | ハサン・シェド・カムラン | 人工知能によるコンピュータセキュリティ |
| JP2018098635A (ja) * | 2016-12-13 | 2018-06-21 | Kddi株式会社 | 通信予測装置、通信予測方法及び通信予測プログラム |
| US11797668B2 (en) | 2017-10-11 | 2023-10-24 | Mitsubishi Electric Corporation | Sample data generation apparatus, sample data generation method, and computer readable medium |
| JP2019145995A (ja) * | 2018-02-20 | 2019-08-29 | Kddi株式会社 | 攻撃予測装置、攻撃予測方法及び攻撃予測プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| US20140082730A1 (en) | 2014-03-20 |
| US9386030B2 (en) | 2016-07-05 |
| JP6184270B2 (ja) | 2017-08-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6184270B2 (ja) | 将来のネットワーク攻撃を検知及び予測するために、様々な指標と過去の攻撃事例を相関させ、攻撃に関する指標のプロファイルを作成するシステム及び方法 | |
| Maglaras et al. | Combining ensemble methods and social network metrics for improving accuracy of OCSVM on intrusion detection in SCADA systems | |
| CN102957579B (zh) | 一种网络异常流量监测方法及装置 | |
| CN108429651B (zh) | 流量数据检测方法、装置、电子设备及计算机可读介质 | |
| CN108632224B (zh) | 一种apt攻击检测方法和装置 | |
| US20070226803A1 (en) | System and method for detecting internet worm traffics through classification of traffic characteristics by types | |
| CN103441982A (zh) | 一种基于相对熵的入侵报警分析方法 | |
| Soleimani et al. | Multi-layer episode filtering for the multi-step attack detection | |
| KR20150091775A (ko) | 비정상 행위 탐지를 위한 네트워크 트래픽 분석 방법 및 시스템 | |
| Ferrando et al. | Classification of device behaviour in internet of things infrastructures: towards distinguishing the abnormal from security threats | |
| Dhakar et al. | A novel data mining based hybrid intrusion detection framework | |
| Wang et al. | Network anomaly detection: A survey and comparative analysis of stochastic and deterministic methods | |
| Moustafa et al. | A network forensic scheme using correntropy-variation for attack detection | |
| JP4324189B2 (ja) | 異常トラヒック検出方法およびその装置およびプログラム | |
| Do et al. | Classifying anomalies for network security | |
| Ban et al. | Detection of botnet activities through the lens of a large-scale darknet | |
| Anbarestani et al. | An iterative alert correlation method for extracting network intrusion scenarios | |
| Markman et al. | Temporal phase shifts in SCADA networks | |
| Kumar et al. | Design and implementation of IDS using Snort, Entropy and alert ranking system | |
| Werner et al. | Forecasting cyberattacks as time series with different aggregation granularity | |
| Liu et al. | An entropy-based method for attack detection in large scale network | |
| Boyar et al. | Detection of denial-of-service attacks with SNMP/RMON | |
| Chae et al. | Adaptive threshold selection for trust-based detection systems | |
| El Sibai et al. | Towards efficient data sampling for temporal anomaly detection in sensor networks | |
| Qia et al. | A new attack detection in large scale network based on entropy |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140123 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160128 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20161028 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161108 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170124 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170627 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170725 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6184270 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |