JP2014522167A - データ通信ネットワークにおいてプロトコルメッセージを分類するための方法およびシステム - Google Patents
データ通信ネットワークにおいてプロトコルメッセージを分類するための方法およびシステム Download PDFInfo
- Publication number
- JP2014522167A JP2014522167A JP2014522785A JP2014522785A JP2014522167A JP 2014522167 A JP2014522167 A JP 2014522167A JP 2014522785 A JP2014522785 A JP 2014522785A JP 2014522785 A JP2014522785 A JP 2014522785A JP 2014522167 A JP2014522167 A JP 2014522167A
- Authority
- JP
- Japan
- Prior art keywords
- protocol
- model
- protocol field
- field
- intrusion detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 39
- 238000004891 communication Methods 0.000 title claims abstract description 37
- 238000001514 detection method Methods 0.000 claims abstract description 119
- 238000009826 distribution Methods 0.000 claims description 9
- 238000011156 evaluation Methods 0.000 claims description 9
- 238000013515 script Methods 0.000 claims description 9
- 230000004044 response Effects 0.000 claims description 6
- 239000000284 extract Substances 0.000 claims description 4
- 239000002131 composite material Substances 0.000 description 13
- 230000008569 process Effects 0.000 description 10
- 230000009471 action Effects 0.000 description 7
- 239000000872 buffer Substances 0.000 description 7
- 238000012545 processing Methods 0.000 description 7
- 238000004458 analytical method Methods 0.000 description 6
- 239000013598 vector Substances 0.000 description 6
- 238000004422 calculation algorithm Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 5
- 230000002159 abnormal effect Effects 0.000 description 4
- 230000006399 behavior Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 239000000470 constituent Substances 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000013179 statistical model Methods 0.000 description 2
- 238000012300 Sequence Analysis Methods 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 150000001875 compounds Chemical class 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 239000003365 glass fiber Substances 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 238000003860 storage Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Mathematical Physics (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
Abstract
Description
−データトラフィックをパースして、データトラフィックのプロトコルメッセージの少なくとも1つのプロトコルフィールドを抽出することと、
−抽出されたプロトコルフィールドを、そのプロトコルフィールドのそれぞれのモデルと関連付けることであって、そのモデルは、モデルのセットから選択されることと、
−抽出されたプロトコルフィールドのコンテンツが、モデルで定義された通りの安全領域内にあるかどうかを評価することと、
−抽出されたプロトコルフィールドのコンテンツが、安全領域外であることが確定された場合に侵入検出信号を生成することを備える。
−データトラフィックをパースして、そのデータトラフィックにおいて適用されるプロトコルの少なくとも1つのプロトコルフィールドを抽出することと、
−抽出されたプロトコルフィールドを、そのプロトコルフィールドのモデルと関連付けることであって、そのモデルは、モデルのセットから選択されることと、
−抽出されたプロトコルフィールドのコンテンツを使用して、抽出されたプロトコルフィールドのモデルを更新することを備える。
−プロトコルフィールドまたはプロトコルフィールドを包含するデータパケットを除去することと、
−侵入警告メッセージを発するおよび出力することのうちの少なくとも1つをさらに備える。例えば、プロトコルフィールドまたはプロトコルフィールドを包含するデータパケットなどを孤立させるような、その他の侵入検出アクションを適用できる。
−許容できるプロトコルフィールド値のセットと、
−許容できるプロトコルフィールド値の領域の定義とのうちの少なくとも1つを備える。
−許容できるアルファベット(letters)、数字(digits)、シンボル、およびスクリプトの定義を備える。プロトコルフィールドが文字または文字列を備える場合、単純なモデルを提供することによって、データ処理の負荷を下げてプロトコルフィールドを検査することを可能にする。
−抽出されたプロトコルフィールドのデータ型を決定することと、
−決定されたデータ型を使用してモデル型を選択することを備える。
−抽出されたプロトコルフィールドのセマンティックを決定することと、
−決定されたセマンティックを使用してモデル型を選択することを備える。
−データトラフィックをパースして、データトラフィックのプロトコルメッセージの少なくとも1つのプロトコルフィールドを抽出するパーサと、
−抽出されたプロトコルフィールドを、そのプロトコルフィールドのそれぞれのモデルと関連付けるエンジンであって、そのモデルは、モデルのセットから選択されることと、
−抽出されたプロトコルフィールドのコンテンツが、モデルで定義された通りの安全領域内にあるかどうかを評価することモデルハンドラと、
−抽出されたプロトコルフィールドのコンテンツが、安全領域外であることが確定された場合に侵入検出信号を生成するアクチュエータとを備える。
i)データ通信ネットワークからデータパケットを集めるステップ
ii)IPパケットをデフラグするステップ
iii)TCPセグメントをリアセンブルするステップ
iv)アプリケーションデータを読み出すステップ
Claims (34)
- データ通信ネットワークのデータトラフィックにおける侵入を検出するための侵入検出方法であって、
−前記データトラフィックをパースして、前記データトラフィックのプロトコルメッセージの少なくとも1つのプロトコルフィールドを抽出するステップと、
−前記抽出されたプロトコルフィールドを、そのプロトコルフィールドのそれぞれのモデルと関連付けるステップであって、前記モデルは、モデルのセットから選択されることと、
−前記抽出されたプロトコルフィールドのコンテンツが、前記モデルで定義された通りの安全領域内にあるかどうかを評価するステップと、
−前記抽出されたプロトコルフィールドの前記コンテンツが、前記安全領域外であることが確定された場合、侵入検出信号を生成するステップと
を備えることを特徴とする方法。 - モデルの前記セットは、演算子プロトコルフィールドのモデルおよび引数プロトコルフィールドのモデルを備え、前記関連付けおよび評価は、前記演算子プロトコルフィールドおよび前記引数プロトコルフィールドに対して実行されることを特徴とする請求項1に記載の侵入検出方法。
- モデルの前記セットは、マーシャリングプロトコルフィールドのモデルをさらに備え、前記関連付けおよび評価は、前記マーシャリングプロトコルフィールドに対して実行されることを特徴とする請求項2に記載の侵入検出方法。
- 複数のモデル型が提供され、前記抽出されたプロトコルフィールドのモデル型は、前記抽出されたプロトコルフィールドの特性に基づいて前記複数のモデル型から選択され、前記抽出されたプロトコルフィールドの前記モデルは、前記選択されたモデル型に基づいて構築されることを特徴とする前記請求項のうちのいずれかに記載の侵入検出方法。
- 前記プロトコルフィールドの前記特性は、前記プロトコルフィールドのデータ型を備え、
−前記抽出されたプロトコルフィールドのデータ型を決定するステップと、
−前記決定されたデータ型を使用して前記モデル型を選択するステップとを備える方法を特徴とする請求項4に記載の侵入検出方法。 - 前記プロトコルフィールドの前記特性は、前記プロトコルフィールドのセマンティックを備え、
−前記抽出されたプロトコルフィールドのセマンティックを決定するステップと、
−前記決定されたセマンティックを使用して前記モデル型を選択するステップとを備える方法を特徴とする請求項4乃至5に記載の侵入検出方法。 - モデルの前記セットは、プロトコルフィールドの前記セットの各プロトコルフィールドに対してそれぞれのモデルを備えることを特徴とする前記請求項のうちのいずれかに記載の侵入検出方法。
- 前記フィールドの前記モデルは、学習段階中に決定され、
前記学習段階は、
−前記データトラフィックをパースして、前記データトラフィックに適用される前記プロトコルの少なくとも1つのプロトコルフィールドを抽出するステップと、
−前記抽出されたプロトコルフィールドを、そのプロトコルフィールドの前記モデルと関連付けるステップであって、前記モデルは、モデルの前記セットから選択されるステップと、
−前記抽出されたプロトコルフィールドのコンテンツを使用して、前記抽出されたプロトコルフィールドの前記モデルを更新するステップと
を備えることを特徴とする前記請求項のうちのいずれかに記載の侵入検出方法。 - 前記抽出されたプロトコルフィールドと前記モデルのうちの1つとの間でどの関連付けも行われない場合、
−前記抽出されたプロトコルフィールドの新しいモデルを作成し、および前記新しいモデルをモデルの前記セットに付加するステップを特徴とする請求項8に記載の侵入検出方法。 - 前記パーシングが、前記フィールドが前記プロトコルに従っていると確定することができない場合、前記侵入検出信号がさらに生成されることを特徴とする前記請求項のうちのいずれかに記載の侵入検出方法。
- 前記抽出されたフィールドを、モデルの前記セットのうちのどの前記モデルにも関連付けることができない場合、前記侵入検出信号がさらに生成されることを特徴とする前記請求項のうちのいずれかに記載の侵入検出方法。
- 前記プロトコルは、アプリケーション層プロトコル、セッション層プロトコル、トランスポート層プロトコルまたは下位レベルのプロトコルスタックプロトコルのうちの少なくとも1つであることを特徴とする前記請求項のうちのいずれかに記載の侵入検出方法。
- 前記方法は、前記侵入検出信号の生成に応答して、
−前記プロトコルフィールドまたは前記プロトコルフィールドを包含するデータパケットを除去するステップと、
−侵入警告メッセージを発するおよび出力するステップとのうちの少なくとも1つを備えることを特徴とする前記請求項のうちのいずれかに記載の侵入検出方法。 - 前記プロトコルフィールドの前記モデルは、
−許容できるプロトコルフィールド値のセットと、
−プロトコルフィールド値の数値分布と、
−許容できるプロトコルフィールド値の領域の定義とのうちの少なくとも1つを備えることを特徴とする前記請求項のうちのいずれかに記載の侵入検出方法。 - 前記プロトコルフィールドの前記モデルは、
−許容できるアルファベット、数字、シンボル、およびスクリプトの定義を備えることを特徴とする前記請求項のうちのいずれかに記載の侵入検出方法。 - 前記プロトコルフィールドの前記モデルは、事前に定義された侵入署名のセットを備えることを特徴とする前記請求項のうちのいずれかに記載の侵入検出方法。
- モデルの前記セットは、1つのプロトコルフィールドに対して2つのモデルを備え、前記2つのモデルのうちの固有の1つは、別のプロトコルフィールドの値に基づく前記1つのプロトコルフィールドと関連付けられることを特徴とする前記請求項のうちのいずれかに記載の侵入検出方法。
- データ通信ネットワークのデータトラフィックにおける侵入を検出するための侵入検出システムであって、
−前記データトラフィックをパースして、前記データトラフィックのプロトコルメッセージの少なくとも1つのプロトコルフィールドを抽出するパーサと、
−前記抽出されたプロトコルフィールドを、そのプロトコルフィールドのそれぞれのモデルと関連付けるエンジンであって、前記モデルは、モデルのセットから選択されることと、
−前記抽出されたプロトコルフィールドのコンテンツが、前記モデルで定義された通りの安全領域内にあるかどうかを評価するモデルハンドラと、
−前記抽出されたプロトコルフィールドの前記コンテンツが、前記安全領域外であることが確定された場合、侵入検出信号を生成するアクチュエータとを備えることを特徴とするシステム。 - モデルの前記セットは、演算子プロトコルフィールドのモデルおよび引数プロトコルフィールドのモデルを備え、前記エンジンは、前記演算子プロトコルフィールドおよび前記引数プロトコルフィールドに対する前記関連付けおよび評価を実行するために配置されることを特徴とする請求項18に記載の侵入検出システム。
- モデルの前記セットは、マーシャリングプロトコルフィールドのモデルをさらに備え、前記エンジンは、前記マーシャリングプロトコルフィールドに対する前記関連付けおよび評価を実行するために配置されることを特徴とする請求項19に記載の侵入検出システム。
- 複数のモデル型が提供され、前記システムは、前記抽出されたプロトコルフィールドの特性に基づいて前記複数のモデル型から前記抽出されたプロトコルフィールドのモデル型を選択し、および前記選択されたモデル型に基づいて前記抽出されたプロトコルフィールドのモデルを構築するために配置されることを特徴とする請求項18乃至20のいずれかに記載の侵入検出システム。
- 前記プロトコルフィールドの前記特性は、前記プロトコルフィールドのデータ型を備え、
前記システムは、
−前記抽出されたプロトコルフィールドのデータ型を決定するステップと、
−前記決定されたデータ型を使用して前記モデル型を選択するステップとのために配置されることを特徴とする請求項21に記載の侵入検出システム。 - 前記プロトコルフィールドの前記特性は、前記プロトコルフィールドのセマンティックを備え、
前記システムは、
−前記抽出されたプロトコルフィールドのセマンティックを決定するステップと、
−前記決定されたセマンティックを使用して前記モデル型を選択するステップとのために配置されることを特徴とする請求項21乃至22に記載の侵入検出システム。 - モデルの前記セットは、プロトコルフィールドのセットの各プロトコルフィールドに対してそれぞれのモデルを備えることを特徴とする請求項18乃至23のいずれかに記載の侵入検出システム。
- 学習段階中に動作されるためにさらに配置され、前記モデルのうちの少なくとも1つを学習する前記学習段階であって、前記モデルハンドラは、前記学習段階中に前記抽出されたプロトコルフィールドのコンテンツを使用して前記抽出されたプロトコルフィールドの前記モデルを更新するために配置されることを特徴とする請求項18乃至24のいずれかに記載の侵入検出システム。
- 前記エンジンは、前記学習段階中にさらに配置されることであって、前記抽出されたプロトコルフィールドと前記モデルのうちの1つとの間でどの関連付けも行われない場合、前記抽出されたプロトコルフィールドの新しいモデルを作成し、および前記新しいモデルをモデルの前記セットに付加することを特徴とする請求項25に記載の侵入検出システム。
- 前記パーサが、前記フィールドが前記プロトコルに従っていると確定することができないという前記パーサからの表示に応答して、前記アクチュエータは、前記侵入検出信号を生成するためにさらに配置されることを特徴とする請求項18乃至26のいずれかに記載の侵入検出システム。
- 前記エンジンが、前記抽出されたフィールドを、モデルの前記セットのうちのどの前記モデルにも関連付けることができないという前記エンジンからの表示に応答して、前記アクチュエータは、前記侵入検出信号を生成するためにさらに配置されることを特徴とする請求項18乃至27のいずれかに記載の侵入検出システム。
- 前記プロトコルは、アプリケーション層プロトコル、セッション層プロトコル、トランスポート層プロトコルまたは下位レベルのプロトコルスタックプロトコルのうちの少なくとも1つであることを特徴とする請求項18乃至28のいずれかに記載の侵入検出システム。
- 前記アクチュエータは、前記侵入検出信号の生成に応答して、
−前記プロトコルフィールドまたは前記プロトコルフィールドを包含するデータパケットを除去するステップと、
−侵入警告メッセージを発するおよび出力するステップとのために配置されることを特徴とする請求項18乃至29のいずれかに記載の侵入検出システム。 - 前記プロトコルフィールドの前記モデルは、
−許容できるプロトコルフィールド値のセットと、
−プロトコルフィールド値の数値分布と、
−許容できるプロトコルフィールド値の領域の定義とのうちの少なくとも1つを備えることを特徴とする請求項18乃至30のいずれかに記載の侵入検出システム。 - 前記プロトコルフィールドの前記モデルは、
−許容できるアルファベット、数字、シンボル、およびスクリプトの定義を備えることを特徴とする請求項18乃至31のいずれかに記載の侵入検出システム。 - 前記プロトコルフィールドの前記モデルは、事前に定義された侵入署名のセットを備えることを特徴とする請求項18乃至32のいずれかに記載の侵入検出システム。
- モデルの前記セットは、1つのプロトコルフィールドに対して2つのモデルを備え、前記エンジンは、前記2つのモデルのうちの固有の1つを、別のプロトコルフィールドの値に基づく前記1つのプロトコルフィールドに関連付けるために配置されることを特徴とする請求項18乃至33のいずれかに記載の侵入検出システム。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201161511685P | 2011-07-26 | 2011-07-26 | |
NL2007180A NL2007180C2 (en) | 2011-07-26 | 2011-07-26 | Method and system for classifying a protocol message in a data communication network. |
US61/511,685 | 2011-07-26 | ||
NL2007180 | 2011-07-26 | ||
PCT/NL2012/050537 WO2013015691A1 (en) | 2011-07-26 | 2012-07-26 | Method and system for classifying a protocol message in a data communication network |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2014522167A true JP2014522167A (ja) | 2014-08-28 |
JP2014522167A5 JP2014522167A5 (ja) | 2015-09-17 |
JP6117202B2 JP6117202B2 (ja) | 2017-04-19 |
Family
ID=47601337
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014522785A Active JP6117202B2 (ja) | 2011-07-26 | 2012-07-26 | データ通信ネットワークにおいてプロトコルメッセージを分類するための方法およびシステム |
Country Status (11)
Country | Link |
---|---|
US (4) | US9628497B2 (ja) |
EP (1) | EP2737683B1 (ja) |
JP (1) | JP6117202B2 (ja) |
CN (1) | CN103748853B (ja) |
BR (1) | BR112014001691B1 (ja) |
CA (1) | CA2842465C (ja) |
EA (1) | EA037617B1 (ja) |
ES (1) | ES2581053T3 (ja) |
IL (2) | IL230440A (ja) |
NL (1) | NL2007180C2 (ja) |
WO (1) | WO2013015691A1 (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102204290B1 (ko) * | 2019-08-23 | 2021-01-18 | 고려대학교 세종산학협력단 | 통계적 분석 기반 비공개 프로토콜의 구분자 및 정적필드 추출방법 |
JP2021515498A (ja) * | 2018-03-08 | 2021-06-17 | フォアスカウト テクノロジーズ インコーポレイテッド | 完全性監視及びネットワーク侵入検出のための属性ベースのポリシー |
WO2022071056A1 (ja) * | 2020-09-29 | 2022-04-07 | ファナック株式会社 | ネットワーク中継装置 |
Families Citing this family (46)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
NL2007180C2 (en) * | 2011-07-26 | 2013-01-29 | Security Matters B V | Method and system for classifying a protocol message in a data communication network. |
US9292688B2 (en) * | 2012-09-26 | 2016-03-22 | Northrop Grumman Systems Corporation | System and method for automated machine-learning, zero-day malware detection |
US11126720B2 (en) * | 2012-09-26 | 2021-09-21 | Bluvector, Inc. | System and method for automated machine-learning, zero-day malware detection |
JP2015535997A (ja) * | 2012-09-28 | 2015-12-17 | ヒューレット−パッカード デベロップメント カンパニー エル.ピー.Hewlett‐Packard Development Company, L.P. | アプリケーションセキュリティ検査 |
JP6273834B2 (ja) * | 2013-12-26 | 2018-02-07 | 富士通株式会社 | 情報処理装置及びロギング方法 |
CN104270275B (zh) * | 2014-10-14 | 2018-04-10 | 广东小天才科技有限公司 | 一种异常原因的辅助分析方法、服务器以及智能设备 |
CN105704103B (zh) * | 2014-11-26 | 2017-05-10 | 中国科学院沈阳自动化研究所 | 基于OCSVM双轮廓模型的Modbus TCP通信行为异常检测方法 |
US10572811B2 (en) | 2015-01-29 | 2020-02-25 | Splunk Inc. | Methods and systems for determining probabilities of occurrence for events and determining anomalous events |
US9953158B1 (en) * | 2015-04-21 | 2018-04-24 | Symantec Corporation | Systems and methods for enforcing secure software execution |
TWI562013B (en) * | 2015-07-06 | 2016-12-11 | Wistron Corp | Method, system and apparatus for predicting abnormality |
US10015188B2 (en) | 2015-08-20 | 2018-07-03 | Cyberx Israel Ltd. | Method for mitigation of cyber attacks on industrial control systems |
CN105306436B (zh) * | 2015-09-16 | 2016-08-24 | 广东睿江云计算股份有限公司 | 一种异常流量检测方法 |
US10033747B1 (en) * | 2015-09-29 | 2018-07-24 | Fireeye, Inc. | System and method for detecting interpreter-based exploit attacks |
CN106657545B (zh) * | 2015-10-29 | 2021-06-15 | 中兴通讯股份有限公司 | 拦截推送信息的方法、装置及终端 |
US10955810B2 (en) * | 2015-11-13 | 2021-03-23 | International Business Machines Corporation | Monitoring communications flow in an industrial system to detect and mitigate hazardous conditions |
WO2017119888A1 (en) * | 2016-01-07 | 2017-07-13 | Trend Micro Incorporated | Metadata extraction |
US10419401B2 (en) * | 2016-01-08 | 2019-09-17 | Capital One Services, Llc | Methods and systems for securing data in the public cloud |
US9998487B2 (en) * | 2016-04-25 | 2018-06-12 | General Electric Company | Domain level threat detection for industrial asset control system |
CN106022129B (zh) * | 2016-05-17 | 2019-02-15 | 北京江民新科技术有限公司 | 文件的数据特征提取方法、装置及病毒特征检测系统 |
CN106209843A (zh) * | 2016-07-12 | 2016-12-07 | 工业和信息化部电子工业标准化研究院 | 一种面向Modbus协议的数据流异常分析方法 |
CN106603531A (zh) * | 2016-12-15 | 2017-04-26 | 中国科学院沈阳自动化研究所 | 一种基于工业控制网络的入侵检测模型的自动建立方法及装置 |
CN106790108B (zh) * | 2016-12-26 | 2019-12-06 | 东软集团股份有限公司 | 协议数据解析方法、装置和系统 |
RU2659482C1 (ru) * | 2017-01-17 | 2018-07-02 | Общество с ограниченной ответственностью "СолидСофт" | Способ защиты веб-приложений при помощи интеллектуального сетевого экрана с использованием автоматического построения моделей приложений |
US10839154B2 (en) * | 2017-05-10 | 2020-11-17 | Oracle International Corporation | Enabling chatbots by detecting and supporting affective argumentation |
US10817670B2 (en) * | 2017-05-10 | 2020-10-27 | Oracle International Corporation | Enabling chatbots by validating argumentation |
CN110612525B (zh) | 2017-05-10 | 2024-03-19 | 甲骨文国际公司 | 通过使用交流话语树启用修辞分析 |
US11960844B2 (en) * | 2017-05-10 | 2024-04-16 | Oracle International Corporation | Discourse parsing using semantic and syntactic relations |
US11165802B2 (en) * | 2017-12-05 | 2021-11-02 | Schweitzer Engineering Laboratories, Inc. | Network security assessment using a network traffic parameter |
NL2020552B1 (en) * | 2018-03-08 | 2019-09-13 | Forescout Tech B V | Attribute-based policies for integrity monitoring and network intrusion detection |
US11475370B2 (en) * | 2018-11-29 | 2022-10-18 | Microsoft Technology Licensing, Llc | Providing custom machine-learning models |
FR3090153B1 (fr) * | 2018-12-17 | 2022-01-07 | Commissariat Energie Atomique | Procédé et système de détection d’anomalie dans un réseau de télécommunications |
LT3674823T (lt) * | 2018-12-28 | 2022-08-10 | Nozomi Networks Sagl | Infrastruktūros anomalijų aptikimo būdas ir aparatas |
US10802937B2 (en) * | 2019-02-13 | 2020-10-13 | United States Of America As Represented By The Secretary Of The Navy | High order layer intrusion detection using neural networks |
US11621970B2 (en) * | 2019-09-13 | 2023-04-04 | Is5 Communications, Inc. | Machine learning based intrusion detection system for mission critical systems |
CN110912908B (zh) * | 2019-11-28 | 2022-08-02 | 中国电子产品可靠性与环境试验研究所((工业和信息化部电子第五研究所)(中国赛宝实验室)) | 网络协议异常检测方法、装置、计算机设备和存储介质 |
US11363059B2 (en) * | 2019-12-13 | 2022-06-14 | Microsoft Technology Licensing, Llc | Detection of brute force attacks |
CN111126627B (zh) * | 2019-12-25 | 2023-07-04 | 四川新网银行股份有限公司 | 基于分离度指数的模型训练系统 |
CN111585993B (zh) * | 2020-04-27 | 2022-08-09 | 深信服科技股份有限公司 | 一种隐蔽信道通信检测方法、装置及设备 |
CN111885059B (zh) * | 2020-07-23 | 2021-08-31 | 清华大学 | 一种工业网络流量异常检测定位的方法 |
CN111865723A (zh) * | 2020-07-25 | 2020-10-30 | 深圳市维度统计咨询股份有限公司 | 一种基于大数据的网络数据采集系统 |
CN112887280B (zh) * | 2021-01-13 | 2022-05-31 | 中国人民解放军国防科技大学 | 一种基于自动机的网络协议元数据提取系统及方法 |
US11363050B1 (en) | 2021-03-25 | 2022-06-14 | Bank Of America Corporation | Information security system and method for incompliance detection in data transmission |
US11588835B2 (en) | 2021-05-18 | 2023-02-21 | Bank Of America Corporation | Dynamic network security monitoring system |
US11792213B2 (en) | 2021-05-18 | 2023-10-17 | Bank Of America Corporation | Temporal-based anomaly detection for network security |
US11799879B2 (en) | 2021-05-18 | 2023-10-24 | Bank Of America Corporation | Real-time anomaly detection for network security |
CN113742475A (zh) * | 2021-09-10 | 2021-12-03 | 绿盟科技集团股份有限公司 | 一种office文档检测方法、装置、设备及介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09153924A (ja) * | 1995-11-28 | 1997-06-10 | Nec Corp | 通信制御システムの手順誤り検出方式 |
Family Cites Families (35)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6078874A (en) * | 1998-08-04 | 2000-06-20 | Csi Technology, Inc. | Apparatus and method for machine data collection |
US6925454B2 (en) * | 2000-12-12 | 2005-08-02 | International Business Machines Corporation | Methodology for creating and maintaining a scheme for categorizing electronic communications |
US6898737B2 (en) * | 2001-05-24 | 2005-05-24 | Microsoft Corporation | Automatic classification of event data |
US7225343B1 (en) * | 2002-01-25 | 2007-05-29 | The Trustees Of Columbia University In The City Of New York | System and methods for adaptive model generation for detecting intrusions in computer systems |
US8370936B2 (en) * | 2002-02-08 | 2013-02-05 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
ATE374493T1 (de) * | 2002-03-29 | 2007-10-15 | Global Dataguard Inc | Adaptive verhaltensbezogene eindringdetektion |
US7039702B1 (en) * | 2002-04-26 | 2006-05-02 | Mcafee, Inc. | Network analyzer engine system and method |
US7349917B2 (en) * | 2002-10-01 | 2008-03-25 | Hewlett-Packard Development Company, L.P. | Hierarchical categorization method and system with automatic local selection of classifiers |
US7305708B2 (en) * | 2003-04-14 | 2007-12-04 | Sourcefire, Inc. | Methods and systems for intrusion detection |
US20070094722A1 (en) * | 2003-05-30 | 2007-04-26 | International Business Machines Corporation | Detecting networks attacks |
WO2005047862A2 (en) * | 2003-11-12 | 2005-05-26 | The Trustees Of Columbia University In The City Of New York | Apparatus method and medium for identifying files using n-gram distribution of data |
US8656488B2 (en) * | 2005-03-11 | 2014-02-18 | Trend Micro Incorporated | Method and apparatus for securing a computer network by multi-layer protocol scanning |
US7860006B1 (en) * | 2005-04-27 | 2010-12-28 | Extreme Networks, Inc. | Integrated methods of performing network switch functions |
US8631483B2 (en) * | 2005-06-14 | 2014-01-14 | Texas Instruments Incorporated | Packet processors and packet filter processes, circuits, devices, and systems |
US7757283B2 (en) * | 2005-07-08 | 2010-07-13 | Alcatel Lucent | System and method for detecting abnormal traffic based on early notification |
US9055093B2 (en) * | 2005-10-21 | 2015-06-09 | Kevin R. Borders | Method, system and computer program product for detecting at least one of security threats and undesirable computer files |
US20070150574A1 (en) * | 2005-12-06 | 2007-06-28 | Rizwan Mallal | Method for detecting, monitoring, and controlling web services |
US8135994B2 (en) * | 2006-10-30 | 2012-03-13 | The Trustees Of Columbia University In The City Of New York | Methods, media, and systems for detecting an anomalous sequence of function calls |
US8448234B2 (en) * | 2007-02-15 | 2013-05-21 | Marvell Israel (M.I.S.L) Ltd. | Method and apparatus for deep packet inspection for network intrusion detection |
US20080295173A1 (en) * | 2007-05-21 | 2008-11-27 | Tsvetomir Iliev Tsvetanov | Pattern-based network defense mechanism |
US7966660B2 (en) * | 2007-05-23 | 2011-06-21 | Honeywell International Inc. | Apparatus and method for deploying a wireless network intrusion detection system to resource-constrained devices |
US9100319B2 (en) * | 2007-08-10 | 2015-08-04 | Fortinet, Inc. | Context-aware pattern matching accelerator |
CN100531073C (zh) | 2007-08-24 | 2009-08-19 | 北京启明星辰信息技术股份有限公司 | 一种基于状态检测的协议异常检测方法及系统 |
CN101399710B (zh) * | 2007-09-29 | 2011-06-22 | 北京启明星辰信息技术股份有限公司 | 一种协议格式异常检测方法及系统 |
US8844033B2 (en) * | 2008-05-27 | 2014-09-23 | The Trustees Of Columbia University In The City Of New York | Systems, methods, and media for detecting network anomalies using a trained probabilistic model |
EP2200249A1 (en) * | 2008-12-17 | 2010-06-23 | Abb Research Ltd. | Network analysis |
FI20096394A0 (fi) * | 2009-12-23 | 2009-12-23 | Valtion Teknillinen | Tunkeutumisen havaitseminen viestintäverkoissa |
US9088601B2 (en) * | 2010-12-01 | 2015-07-21 | Cisco Technology, Inc. | Method and apparatus for detecting malicious software through contextual convictions, generic signatures and machine learning techniques |
NL2007180C2 (en) * | 2011-07-26 | 2013-01-29 | Security Matters B V | Method and system for classifying a protocol message in a data communication network. |
US9092802B1 (en) * | 2011-08-15 | 2015-07-28 | Ramakrishna Akella | Statistical machine learning and business process models systems and methods |
US9672355B2 (en) * | 2011-09-16 | 2017-06-06 | Veracode, Inc. | Automated behavioral and static analysis using an instrumented sandbox and machine learning classification for mobile security |
US9189746B2 (en) * | 2012-01-12 | 2015-11-17 | Microsoft Technology Licensing, Llc | Machine-learning based classification of user accounts based on email addresses and other account information |
US9292688B2 (en) * | 2012-09-26 | 2016-03-22 | Northrop Grumman Systems Corporation | System and method for automated machine-learning, zero-day malware detection |
WO2014144893A1 (en) * | 2013-03-15 | 2014-09-18 | Jones Richard B | Dynamic analysis of event data |
US10476742B1 (en) * | 2015-09-24 | 2019-11-12 | Amazon Technologies, Inc. | Classification of auto scaling events impacting computing resources |
-
2011
- 2011-07-26 NL NL2007180A patent/NL2007180C2/en not_active IP Right Cessation
-
2012
- 2012-07-26 ES ES12750857.0T patent/ES2581053T3/es active Active
- 2012-07-26 EA EA201490333A patent/EA037617B1/ru unknown
- 2012-07-26 BR BR112014001691-7A patent/BR112014001691B1/pt active IP Right Grant
- 2012-07-26 US US14/234,669 patent/US9628497B2/en active Active
- 2012-07-26 CN CN201280037279.XA patent/CN103748853B/zh active Active
- 2012-07-26 US US13/824,211 patent/US20140090054A1/en not_active Abandoned
- 2012-07-26 CA CA2842465A patent/CA2842465C/en active Active
- 2012-07-26 JP JP2014522785A patent/JP6117202B2/ja active Active
- 2012-07-26 WO PCT/NL2012/050537 patent/WO2013015691A1/en active Application Filing
- 2012-07-26 EP EP12750857.0A patent/EP2737683B1/en active Active
-
2014
- 2014-01-13 IL IL230440A patent/IL230440A/en active IP Right Grant
-
2017
- 2017-03-17 US US15/461,816 patent/US11012330B2/en active Active
- 2017-10-01 IL IL254829A patent/IL254829B/en active IP Right Grant
-
2021
- 2021-04-21 US US17/236,305 patent/US11902126B2/en active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09153924A (ja) * | 1995-11-28 | 1997-06-10 | Nec Corp | 通信制御システムの手順誤り検出方式 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021515498A (ja) * | 2018-03-08 | 2021-06-17 | フォアスカウト テクノロジーズ インコーポレイテッド | 完全性監視及びネットワーク侵入検出のための属性ベースのポリシー |
KR102204290B1 (ko) * | 2019-08-23 | 2021-01-18 | 고려대학교 세종산학협력단 | 통계적 분석 기반 비공개 프로토콜의 구분자 및 정적필드 추출방법 |
WO2022071056A1 (ja) * | 2020-09-29 | 2022-04-07 | ファナック株式会社 | ネットワーク中継装置 |
Also Published As
Publication number | Publication date |
---|---|
CA2842465C (en) | 2021-05-04 |
CN103748853A (zh) | 2014-04-23 |
NL2007180C2 (en) | 2013-01-29 |
EA201490333A1 (ru) | 2014-06-30 |
US9628497B2 (en) | 2017-04-18 |
US20140090054A1 (en) | 2014-03-27 |
IL230440A0 (en) | 2014-03-31 |
IL254829A0 (en) | 2017-12-31 |
ES2581053T3 (es) | 2016-08-31 |
BR112014001691B1 (pt) | 2022-06-21 |
BR112014001691A2 (pt) | 2020-10-27 |
US20140297572A1 (en) | 2014-10-02 |
EP2737683A1 (en) | 2014-06-04 |
IL254829B (en) | 2018-06-28 |
US11902126B2 (en) | 2024-02-13 |
EA037617B1 (ru) | 2021-04-22 |
US11012330B2 (en) | 2021-05-18 |
IL230440A (en) | 2017-10-31 |
EP2737683B1 (en) | 2016-03-02 |
JP6117202B2 (ja) | 2017-04-19 |
WO2013015691A1 (en) | 2013-01-31 |
US20210344578A1 (en) | 2021-11-04 |
CA2842465A1 (en) | 2013-01-31 |
CN103748853B (zh) | 2017-03-08 |
US20170195197A1 (en) | 2017-07-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6117202B2 (ja) | データ通信ネットワークにおいてプロトコルメッセージを分類するための方法およびシステム | |
JP7391110B2 (ja) | フィッシング・キャンペーンの検出 | |
US8990259B2 (en) | Anchored patterns | |
US9858051B2 (en) | Regex compiler | |
Maggi et al. | Protecting a moving target: Addressing web application concept drift | |
US9231964B2 (en) | Vulnerability detection based on aggregated primitives | |
Sija et al. | A survey of automatic protocol reverse engineering approaches, methods, and tools on the inputs and outputs view | |
WO2011032094A1 (en) | Extracting information from unstructured data and mapping the information to a structured schema using the naive bayesian probability model | |
US11838319B2 (en) | Hardware acceleration device for denial-of-service attack identification and mitigation | |
Kim et al. | Unknown payload anomaly detection based on format and field semantics inference in cyber-physical infrastructure systems | |
CN113965393A (zh) | 一种基于复杂网络和图神经网络的僵尸网络检测方法 | |
Masabo et al. | Improvement of malware classification using hybrid feature engineering | |
Alosefer et al. | Predicting client-side attacks via behaviour analysis using honeypot data | |
Paul et al. | Survey of polymorphic worm signatures | |
Ponomarev | Intrusion Detection System of industrial control networks using network telemetry | |
Selvaraj et al. | Packet payload monitoring for internet worm content detection using deterministic finite automaton with delayed dictionary compression | |
US11792162B1 (en) | Machine learning based web application firewall | |
US11848919B1 (en) | Patternless obfuscation of data with low-cost data recovery | |
EA042211B1 (ru) | Способ и система для классифицирования сообщения протокола в сети передачи данных | |
Jacob et al. | Malware detection using attribute-automata to parse abstract behavioral descriptions | |
CN114826628A (zh) | 一种数据处理方法、装置、计算机设备及存储介质 | |
Huang | Automatic Field Extraction of Extended TLV for Binary Protocol Reverse | |
Haynes | Creating Synthetic Attacks with Evolutionary Algorithms for Industrial-Control-System Security Testing | |
Johansson | Attacking the Manufacturing Execution System: Leveraging a Programmable Logic Controller on the Shop Floor | |
Serdiouk | Behavior-based model of detection and prevention of intrusions in computer networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150727 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150727 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160427 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160510 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20160808 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20161011 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20161110 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170221 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170322 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6117202 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |