JP2016528656A - イベント相関グラフを使用してコンピューティングシステムに対する攻撃を検出するためのシステム及び方法 - Google Patents
イベント相関グラフを使用してコンピューティングシステムに対する攻撃を検出するためのシステム及び方法 Download PDFInfo
- Publication number
- JP2016528656A JP2016528656A JP2016537073A JP2016537073A JP2016528656A JP 2016528656 A JP2016528656 A JP 2016528656A JP 2016537073 A JP2016537073 A JP 2016537073A JP 2016537073 A JP2016537073 A JP 2016537073A JP 2016528656 A JP2016528656 A JP 2016528656A
- Authority
- JP
- Japan
- Prior art keywords
- event
- correlation graph
- suspicious
- actor
- event correlation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 134
- 238000010276 construction Methods 0.000 claims description 41
- 238000001514 detection method Methods 0.000 claims description 26
- 238000004364 calculation method Methods 0.000 claims description 21
- 230000004044 response Effects 0.000 claims description 9
- 230000008569 process Effects 0.000 description 93
- 238000004891 communication Methods 0.000 description 36
- 238000010586 diagram Methods 0.000 description 19
- 230000006870 function Effects 0.000 description 11
- 230000006399 behavior Effects 0.000 description 6
- 238000004590 computer program Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 5
- 238000012546 transfer Methods 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 239000004744 fabric Substances 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 230000001413 cellular effect Effects 0.000 description 3
- 230000001276 controlling effect Effects 0.000 description 3
- 230000002596 correlated effect Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000002265 prevention Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000875 corresponding effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000010076 replication Effects 0.000 description 1
- 238000013515 script Methods 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
Claims (20)
- イベント相関グラフを使用してコンピューティングシステムに対する攻撃を検出するための、コンピュータによって実行される方法であって、前記方法の少なくとも一部分が、少なくとも1つのプロセッサを備えるコンピューティングデバイスによって実行され、前記方法が、
コンピューティングシステム内の第1のアクタに関与する不審イベントを検出することと、
前記第1のアクタに関与する前記不審イベントの検出に応じて、イベント相関グラフを構築することであって、前記イベント相関グラフが、少なくとも、
前記第1のアクタを表す第1のノードと、
第2のアクタを表す第2のノードと、
エッジであって、
前記第1のノードと前記第2のノードとを相互接続し、
前記第1のアクタ及び前記第2のアクタに関与する不審イベントを表す、
エッジと、
を含むことと、
前記第1のアクタ及び前記第2のアクタに関与する前記更なる不審イベントに少なくとも部分的に基づいて、前記イベント相関グラフに関する攻撃スコアを算出することと、
前記攻撃スコアが既定の閾値を上回ることを判定することと、
前記攻撃スコアが前記既定の閾値を上回ることに少なくとも部分的に基づいて、前記不審イベントが前記コンピューティングシステムに対する攻撃を含むことを、判定することと、
を含む、コンピュータによって実行される方法。 - 前記イベント相関グラフを構築することが、前記イベント相関グラフ内のノードによって表される各アクタに関して、
前記アクタ及び少なくとも1つの更なるアクタに関与する、イベントのセットを特定することと、
前記イベントのセット内の各イベントに関して、
前記更なるアクタを表す更なるノードを、前記イベント相関グラフに追加することと、
前記ノードと更なるノードとを相互接続し、
前記アクタ及び前記更なるアクタに関与する前記イベントを表す、
更なるエッジを、前記イベント相関グラフに追加することと、
を含む、請求項1に記載のコンピュータによって実行される方法。 - 前記イベントのセットが、不審イベントのセットを含む、請求項2に記載のコンピュータによって実行される方法。
- 前記イベント相関グラフを構築することが、前記イベント相関グラフ内のノードによって表される各アクタに関して、
前記アクタに関与し、他のアクタに関与しない、不審イベントのセットを特定することと、
前記不審イベントのセット内の各不審イベントを、前記アクタを表す前記ノードに関連付けることと、
を含む、請求項1に記載のコンピュータによって実行される方法。 - 前記イベント相関グラフ内に表される各不審イベントが、不審性スコアに関連付けられ、
前記イベント相関グラフに関する前記攻撃スコアを算出することが、前記イベント相関グラフ内に表される各不審イベントの前記不審性スコアに、少なくとも部分的に基づく、
請求項1に記載のコンピュータによって実行される方法。 - 前記イベント相関グラフに関する前記攻撃スコアを算出することが、
前記イベント相関グラフ内の各エッジに関するスコアを、前記エッジによって表される前記不審イベントに関連付けられた不審性スコアに少なくとも部分的に基づいて、算出することと、
前記イベント相関グラフ内の各エッジに関する前記スコアに少なくとも部分的に基づいて、前記イベント相関グラフに関する前記攻撃スコアを算出することと、
を含む、請求項1に記載のコンピュータによって実行される方法。 - 前記イベント相関グラフに関する前記攻撃スコアを算出することが、
前記イベント相関グラフ内の各ノードに関するスコアを、前記ノードに関連付けられる各不審イベントに関連付けられた不審性スコアに少なくとも部分的に基づいて、算出することと、
前記イベント相関グラフ内の各ノードに関する前記スコアに少なくとも部分的に基づいて、前記イベント相関グラフに関する前記攻撃スコアを算出することと、
を含む、請求項1に記載のコンピュータによって実行される方法。 - 前記イベント相関グラフに関する前記攻撃スコアを算出する前に、少なくとも1つの低スコアのノードの領域を、前記低スコアのノードの領域のスコアが、更なる既定の閾値を下回ることに少なくとも部分的に基づいて、前記イベント相関グラフから除去することを更に含む、請求項1に記載のコンピュータによって実行される方法。
- 前記イベント相関グラフに関する前記攻撃スコアを算出する前に、少なくとも1つの遠隔ノードを、前記第1のノードからの前記遠隔ノードの距離が、更なる既定の閾値を上回ることに少なくとも部分的に基づいて、前記イベント相関グラフから除去することを更に含む、請求項1に記載のコンピュータによって実行される方法。
- 前記コンピューティングシステムの管理者に、前記イベント相関グラフのグラフィック表現を表示することを更に含む、請求項1に記載のコンピュータによって実行される方法。
- イベント相関グラフを使用してコンピューティングシステムに対する攻撃を検出するためのシステムであって、
コンピューティングシステム内の第1のアクタに関与する不審イベントを検出する、検出モジュールと、
前記第1のアクタに関与する前記不審イベントの検出に応じて、イベント相関グラフを構築する、構築モジュールであって、前記イベント相関グラフが、少なくとも、
前記第1のアクタを表す第1のノードと、
前記コンピューティングシステム内の第2のアクタを表す第2のノードと、
エッジであって、
前記第1のノードと前記第2のノードとを相互接続し、
前記第1のアクタ及び前記第2のアクタに関与する更なる不審イベントを表す、
エッジと、
を含む、構築モジュールと、
前記第1のアクタ及び前記第2のアクタに関与する前記更なる不審イベントに少なくとも部分的に基づいて、前記イベント相関グラフに関する攻撃スコアを算出する、スコア算出モジュールと、
前記攻撃スコアが既定の閾値を上回ることを判定する、閾値判定モジュールと、
前記攻撃スコアが前記既定の閾値を上回ることに少なくとも部分的に基づいて、前記不審イベントが前記コンピューティングシステムに対する攻撃を含むことを判定する、攻撃判定モジュールと、
前記検出モジュール、前記構築モジュール、前記スコア算出モジュール、前記閾値判定モジュール、及び前記攻撃判定モジュールを実行する、少なくとも1つの物理プロセッサと、
を備える、システム。 - 前記構築モジュールが、前記イベント相関グラフ内のノードによって表される各アクタに関して、
前記アクタ及び少なくとも1つの更なるアクタに関与する、イベントのセットを特定することと、
前記イベントのセット内の各イベントに関して、
前記更なるアクタを表す更なるノードを、前記イベント相関グラフに追加することと、
前記ノードと更なるノードとを相互接続し、
前記アクタ及び前記更なるアクタに関与する前記イベントを表す、
更なるエッジを、前記イベント相関グラフに追加することと、
によって、前記イベント相関グラフを構築する、請求項11に記載のシステム。 - 前記イベントのセットが、不審イベントのセットを含む、請求項12に記載のシステム。
- 前記構築モジュールが、前記イベント相関グラフ内のノードによって表される各アクタに関して、
前記アクタに関与し、他のアクタに関与しない、不審イベントのセットを特定することと、
前記不審イベントのセット内の各不審イベントを、前記アクタを表す前記ノードに関連付けることと、
によって、前記イベント相関グラフを構築する、請求項11に記載のシステム。 - 前記イベント相関グラフ内に表される各不審イベントが、不審性スコアに関連付けられ、
前記スコア算出モジュールが、前記イベント相関グラフ内に表される各不審イベントの前記不審性スコアに、少なくとも部分的に基づいて、前記イベント相関グラフに関する前記攻撃スコアを算出する、
請求項11に記載のシステム。 - 前記スコア算出モジュールが、
前記イベント相関グラフ内の各エッジに関するスコアを、前記エッジによって表される前記不審イベントに関連付けられた不審性スコアに少なくとも部分的に基づいて、算出することと、
前記イベント相関グラフ内の各エッジに関する前記スコアに少なくとも部分的に基づいて、前記イベント相関グラフに関する前記攻撃スコアを算出することと、
によって、前記イベント相関グラフに関する前記攻撃スコアを算出する、請求項11に記載のシステム。 - 前記スコア算出モジュールが、
前記イベント相関グラフ内の各ノードに関するスコアを、前記ノードに関連付けられる各不審イベントに関連付けられた不審性スコアに少なくとも部分的に基づいて、算出することと、
前記イベント相関グラフ内の各ノードに関する前記スコアに少なくとも部分的に基づいて、前記イベント相関グラフに関する前記攻撃スコアを算出することと、
によって、前記イベント相関グラフに関する前記攻撃スコアを算出する、請求項11に記載のシステム。 - 前記構築モジュールが、前記イベント相関グラフに関する前記攻撃スコアが算出される前に、少なくとも1つの低スコアのノードの領域を、前記低スコアのノードの領域のスコアが、更なる既定の閾値を下回ることに少なくとも部分的に基づいて、前記イベント相関グラフから更に除去する、請求項11に記載のシステム。
- 前記構築モジュールが、前記イベント相関グラフに関する前記攻撃スコアが算出される前に、少なくとも1つの遠隔ノードを、前記第1のノードからの前記遠隔ノードの距離が、更なる既定の閾値を上回ることに少なくとも部分的に基づいて、前記イベント相関グラフから更に除去する、請求項11に記載のシステム。
- 1つ以上のコンピュータ実行可能命令を含む、非一時的コンピュータ可読媒体であって、前記1つ以上のコンピュータ実行可能命令が、コンピューティングデバイスの少なくとも1つのプロセッサによって実行されると、前記コンピューティングデバイスに、
前記コンピューティングシステム内の第1のアクタに関与する不審イベントを検出させ、
前記第1のアクタに関与する前記不審イベントの検出に応じて、イベント相関グラフを構築させ、前記イベント相関グラフが、少なくとも、
前記第1のアクタを表す第1のノードと、
前記コンピューティングシステム内の第2のアクタを表す第2のノードと、
エッジであって、
前記第1のノードと前記第2のノードとを相互接続し、
前記第1のアクタ及び前記第2のアクタに関与する更なる不審イベントを表す、
エッジと、
を含み、
前記第1のアクタ及び前記第2のアクタに関与する前記更なる不審イベントに少なくとも部分的に基づいて、前記イベント相関グラフに関する攻撃スコアを算出させ、
前記攻撃スコアが既定の閾値を上回ることを判定させ、
前記攻撃スコアが前記既定の閾値を上回ることに少なくとも部分的に基づいて、前記不審イベントが前記コンピューティングシステムに対する攻撃を含むことを判定させる、
非一時的コンピュータ可読媒体。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/CN2013/083228 WO2015035559A1 (en) | 2013-09-10 | 2013-09-10 | Systems and methods for using event-correlation graphs to detect attacks on computing systems |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016528656A true JP2016528656A (ja) | 2016-09-15 |
JP6101408B2 JP6101408B2 (ja) | 2017-03-22 |
Family
ID=52626900
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016537073A Active JP6101408B2 (ja) | 2013-09-10 | 2013-09-10 | イベント相関グラフを使用してコンピューティングシステムに対する攻撃を検出するためのシステム及び方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US9141790B2 (ja) |
EP (1) | EP3044718A4 (ja) |
JP (1) | JP6101408B2 (ja) |
WO (1) | WO2015035559A1 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021529383A (ja) * | 2018-07-31 | 2021-10-28 | エヌイーシー ラボラトリーズ アメリカ インクNEC Laboratories America, Inc. | データ来歴を介した自動脅威アラートトリアージ |
US11449405B2 (en) | 2018-03-28 | 2022-09-20 | Nec Corporation | Information processing apparatus, control method, and program |
Families Citing this family (81)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9323931B2 (en) * | 2013-10-04 | 2016-04-26 | Bitdefender IPR Management Ltd. | Complex scoring for malware detection |
US10326778B2 (en) * | 2014-02-24 | 2019-06-18 | Cyphort Inc. | System and method for detecting lateral movement and data exfiltration |
US11405410B2 (en) | 2014-02-24 | 2022-08-02 | Cyphort Inc. | System and method for detecting lateral movement and data exfiltration |
US9503467B2 (en) | 2014-05-22 | 2016-11-22 | Accenture Global Services Limited | Network anomaly detection |
US10432720B1 (en) | 2014-06-25 | 2019-10-01 | Symantec Corporation | Systems and methods for strong information about transmission control protocol connections |
US9716721B2 (en) | 2014-08-29 | 2017-07-25 | Accenture Global Services Limited | Unstructured security threat information analysis |
US9843594B1 (en) | 2014-10-28 | 2017-12-12 | Symantec Corporation | Systems and methods for detecting anomalous messages in automobile networks |
US10146893B1 (en) | 2015-03-27 | 2018-12-04 | Symantec Corporation | Systems and methods for evaluating electronic control units within vehicle emulations |
US9438618B1 (en) * | 2015-03-30 | 2016-09-06 | Amazon Technologies, Inc. | Threat detection and mitigation through run-time introspection and instrumentation |
US9712554B2 (en) | 2015-04-09 | 2017-07-18 | Accenture Global Services Limited | Event correlation across heterogeneous operations |
US9742788B2 (en) | 2015-04-09 | 2017-08-22 | Accenture Global Services Limited | Event correlation across heterogeneous operations |
US10169584B1 (en) | 2015-06-25 | 2019-01-01 | Symantec Corporation | Systems and methods for identifying non-malicious files on computing devices within organizations |
US10055586B1 (en) | 2015-06-29 | 2018-08-21 | Symantec Corporation | Systems and methods for determining the trustworthiness of files within organizations |
US9852295B2 (en) | 2015-07-14 | 2017-12-26 | Bitdefender IPR Management Ltd. | Computer security systems and methods using asynchronous introspection exceptions |
US10089465B2 (en) | 2015-07-24 | 2018-10-02 | Bitdefender IPR Management Ltd. | Systems and methods for tracking malicious behavior across multiple software entities |
US10193919B2 (en) | 2015-08-24 | 2019-01-29 | Empow Cyber Security, Ltd | Risk-chain generation of cyber-threats |
US10148679B2 (en) | 2015-12-09 | 2018-12-04 | Accenture Global Solutions Limited | Connected security system |
US10235231B2 (en) * | 2015-11-18 | 2019-03-19 | Nec Corporation | Anomaly fusion on temporal casualty graphs |
US9838405B1 (en) | 2015-11-20 | 2017-12-05 | Symantec Corporation | Systems and methods for determining types of malware infections on computing devices |
US9967274B2 (en) | 2015-11-25 | 2018-05-08 | Symantec Corporation | Systems and methods for identifying compromised devices within industrial control systems |
US10104100B1 (en) | 2016-03-03 | 2018-10-16 | Symantec Corporation | Systems and methods for detecting anomalies that are potentially indicative of malicious attacks |
JP2019511055A (ja) | 2016-03-24 | 2019-04-18 | カーボン ブラック, インコーポレイテッド | サイバーセキュリティインシデントに対する応答を誘導するためのシステムおよび技術 |
US10003606B2 (en) * | 2016-03-30 | 2018-06-19 | Symantec Corporation | Systems and methods for detecting security threats |
US10893059B1 (en) | 2016-03-31 | 2021-01-12 | Fireeye, Inc. | Verification and enhancement using detection systems located at the network periphery and endpoint devices |
US10826933B1 (en) | 2016-03-31 | 2020-11-03 | Fireeye, Inc. | Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints |
US9967267B2 (en) * | 2016-04-15 | 2018-05-08 | Sophos Limited | Forensic analysis of computing activity |
US10193903B1 (en) | 2016-04-29 | 2019-01-29 | Symantec Corporation | Systems and methods for detecting suspicious microcontroller messages |
US10681059B2 (en) * | 2016-05-25 | 2020-06-09 | CyberOwl Limited | Relating to the monitoring of network security |
US10958667B1 (en) * | 2016-06-03 | 2021-03-23 | Mcafee Llc | Determining computing system incidents using node graphs |
US10091077B1 (en) | 2016-06-27 | 2018-10-02 | Symantec Corporation | Systems and methods for detecting transactional message sequences that are obscured in multicast communications |
US10140448B2 (en) | 2016-07-01 | 2018-11-27 | Bitdefender IPR Management Ltd. | Systems and methods of asynchronous analysis of event notifications for computer security applications |
CN106254368B (zh) * | 2016-08-24 | 2019-09-06 | 杭州迪普科技股份有限公司 | Web漏洞扫描的检测方法及装置 |
US10242187B1 (en) * | 2016-09-14 | 2019-03-26 | Symantec Corporation | Systems and methods for providing integrated security management |
US10091231B1 (en) | 2016-09-15 | 2018-10-02 | Symantec Corporation | Systems and methods for detecting security blind spots |
US10200259B1 (en) | 2016-09-21 | 2019-02-05 | Symantec Corporation | Systems and methods for detecting obscure cyclic application-layer message sequences in transport-layer message sequences |
US10771492B2 (en) | 2016-09-22 | 2020-09-08 | Microsoft Technology Licensing, Llc | Enterprise graph method of threat detection |
US10542017B1 (en) | 2016-10-13 | 2020-01-21 | Symantec Corporation | Systems and methods for personalizing security incident reports |
US9906545B1 (en) | 2016-11-22 | 2018-02-27 | Symantec Corporation | Systems and methods for identifying message payload bit fields in electronic communications |
US20180159876A1 (en) * | 2016-12-05 | 2018-06-07 | International Business Machines Corporation | Consolidating structured and unstructured security and threat intelligence with knowledge graphs |
US11146578B2 (en) | 2016-12-16 | 2021-10-12 | Patternex, Inc. | Method and system for employing graph analysis for detecting malicious activity in time evolving networks |
US10474966B2 (en) | 2017-02-27 | 2019-11-12 | Microsoft Technology Licensing, Llc | Detecting cyber attacks by correlating alerts sequences in a cluster environment |
US10237300B2 (en) | 2017-04-06 | 2019-03-19 | Microsoft Technology Licensing, Llc | System and method for detecting directed cyber-attacks targeting a particular set of cloud based machines |
US10462169B2 (en) * | 2017-04-29 | 2019-10-29 | Splunk Inc. | Lateral movement detection through graph-based candidate selection |
US10326788B1 (en) | 2017-05-05 | 2019-06-18 | Symantec Corporation | Systems and methods for identifying suspicious controller area network messages |
US11568059B2 (en) | 2017-05-17 | 2023-01-31 | Threatmodeler Software Inc. | Systems and methods for automated threat model generation from diagram files |
US11314872B2 (en) * | 2017-05-17 | 2022-04-26 | Threatmodeler Software Inc. | Systems and methods for automated threat modeling when deploying infrastructure as a code |
US11620386B2 (en) * | 2017-05-17 | 2023-04-04 | Threatmodeler Software Inc. | Threat modeling systems and related methods including mitigating components |
US20180336349A1 (en) * | 2017-05-18 | 2018-11-22 | Nec Laboratories America, Inc. | Timely causality analysis in homegeneous enterprise hosts |
US10341373B2 (en) * | 2017-06-21 | 2019-07-02 | Symantec Corporation | Automatically detecting insider threats using user collaboration patterns |
US10521584B1 (en) * | 2017-08-28 | 2019-12-31 | Amazon Technologies, Inc. | Computer threat analysis service |
US11489851B2 (en) * | 2017-11-06 | 2022-11-01 | Cyber Defence Qcd Corporation | Methods and systems for monitoring cyber-events |
US10812499B2 (en) | 2017-11-09 | 2020-10-20 | Accenture Global Solutions Limited | Detection of adversary lateral movement in multi-domain IIOT environments |
US10785239B2 (en) | 2017-12-08 | 2020-09-22 | Mcafee, Llc | Learning maliciousness in cybersecurity graphs |
US20190311136A1 (en) * | 2018-04-05 | 2019-10-10 | Symantec Corporation | Systems and methods for utilizing an information trail to enforce data loss prevention policies on potentially malicious file activity |
US20200076833A1 (en) | 2018-08-31 | 2020-03-05 | Sophos Limited | Dynamic filtering of endpoint event streams |
US20220035906A1 (en) * | 2018-11-12 | 2022-02-03 | Nec Corporation | Information processing apparatus, control method, and program |
JP7207419B2 (ja) * | 2018-11-16 | 2023-01-18 | 日本電気株式会社 | 情報処理装置、制御方法、及びプログラム |
US11032304B2 (en) * | 2018-12-04 | 2021-06-08 | International Business Machines Corporation | Ontology based persistent attack campaign detection |
US11531908B2 (en) * | 2019-03-12 | 2022-12-20 | Ebay Inc. | Enhancement of machine learning-based anomaly detection using knowledge graphs |
US11616794B2 (en) | 2019-05-29 | 2023-03-28 | Bank Of America Corporation | Data management system |
US11263324B2 (en) | 2019-06-04 | 2022-03-01 | Bank Of America Corporation | Monitoring source code repository data in real-time to protect sensitive information and provide entity-specific alerts |
US10630715B1 (en) * | 2019-07-25 | 2020-04-21 | Confluera, Inc. | Methods and system for characterizing infrastructure security-related events |
US10630703B1 (en) * | 2019-07-25 | 2020-04-21 | Confluera, Inc. | Methods and system for identifying relationships among infrastructure security-related events |
US10630704B1 (en) | 2019-07-25 | 2020-04-21 | Confluera, Inc. | Methods and systems for identifying infrastructure attack progressions |
US10574683B1 (en) | 2019-07-25 | 2020-02-25 | Confluera, Inc. | Methods and system for detecting behavioral indicators of compromise in infrastructure |
US10630716B1 (en) | 2019-07-25 | 2020-04-21 | Confluera, Inc. | Methods and system for tracking security risks over infrastructure |
US11487880B2 (en) * | 2019-09-13 | 2022-11-01 | Microsoft Technology Licensing, Llc | Inferring security incidents from observational data |
CN111182533B (zh) * | 2019-12-06 | 2023-09-08 | 武汉极意网络科技有限公司 | 一种互联网攻击团伙的定位方法及系统 |
US11818145B2 (en) * | 2019-12-09 | 2023-11-14 | International Business Machines Corporation | Characterizing user behavior in a computer system by automated learning of intention embedded in a system-generated event graph |
US11443320B2 (en) | 2020-01-07 | 2022-09-13 | Bank Of America Corporation | Intelligent systems for identifying transactions associated with an institution impacted by an event using a dashboard |
US11238459B2 (en) | 2020-01-07 | 2022-02-01 | Bank Of America Corporation | Intelligent systems for identifying transactions associated with an institution impacted by an event |
US20210234795A1 (en) * | 2020-01-28 | 2021-07-29 | Comcast Cable Communications, Llc | Systems & methods for detecting communication link breaks |
US10887337B1 (en) | 2020-06-17 | 2021-01-05 | Confluera, Inc. | Detecting and trail-continuation for attacks through remote desktop protocol lateral movement |
US11770387B1 (en) * | 2020-07-17 | 2023-09-26 | Rapid7, Inc. | Graph-based detection of lateral movement in computer networks |
US11635964B2 (en) | 2021-04-07 | 2023-04-25 | Bank Of America Corporation | Dynamic event securitization and neural network analysis system |
US11930025B2 (en) | 2021-04-15 | 2024-03-12 | Bank Of America Corporation | Threat detection and prevention for information systems |
US11785025B2 (en) | 2021-04-15 | 2023-10-10 | Bank Of America Corporation | Threat detection within information systems |
US11949701B2 (en) * | 2021-08-04 | 2024-04-02 | Microsoft Technology Licensing, Llc | Network access anomaly detection via graph embedding |
US11397808B1 (en) | 2021-09-02 | 2022-07-26 | Confluera, Inc. | Attack detection based on graph edge context |
CN114745183B (zh) * | 2022-04-14 | 2023-10-27 | 浙江网商银行股份有限公司 | 告警方法以及装置 |
US11693958B1 (en) * | 2022-09-08 | 2023-07-04 | Radiant Security, Inc. | Processing and storing event data in a knowledge graph format for anomaly detection |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09171460A (ja) * | 1995-12-20 | 1997-06-30 | Hitachi Ltd | 計算機の診断システム |
JP2002328893A (ja) * | 2001-05-01 | 2002-11-15 | Ntt Data Corp | ネットワークセキュリティに関する被害評価システムおよびその方法 |
JP2005136526A (ja) * | 2003-10-28 | 2005-05-26 | Fujitsu Ltd | 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム |
JP2008518323A (ja) * | 2004-10-26 | 2008-05-29 | ザ ミトレ コーポレイション | ネットワーク上のコンピュータワームを検出する方法、装置およびコンピュータプログラム製品 |
US20100192226A1 (en) * | 2005-03-10 | 2010-07-29 | Noel Steven E | Intrusion Event Correlation System |
Family Cites Families (38)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7103913B2 (en) | 2002-05-08 | 2006-09-05 | International Business Machines Corporation | Method and apparatus for determination of the non-replicative behavior of a malicious program |
US7194769B2 (en) * | 2003-12-11 | 2007-03-20 | Massachusetts Institute Of Technology | Network security planning architecture |
US7860842B2 (en) * | 2005-03-16 | 2010-12-28 | Oracle International Corporation | Mechanism to detect and analyze SQL injection threats |
US7624448B2 (en) * | 2006-03-04 | 2009-11-24 | 21St Century Technologies, Inc. | Intelligent intrusion detection system utilizing enhanced graph-matching of network activity with context data |
US7530105B2 (en) * | 2006-03-21 | 2009-05-05 | 21St Century Technologies, Inc. | Tactical and strategic attack detection and prediction |
IL183390A0 (en) * | 2007-05-24 | 2007-09-20 | Deutsche Telekom Ag | Distributed system for the detection |
WO2008151321A2 (en) * | 2007-06-08 | 2008-12-11 | The Trustees Of Columbia University In The City Of New York | Systems, methods, and media for enforcing a security policy in a network including a plurality of components |
KR100974888B1 (ko) * | 2007-11-26 | 2010-08-11 | 한국전자통신연구원 | 비정상 트래픽 탐지 장치 및 방법 |
US8608487B2 (en) | 2007-11-29 | 2013-12-17 | Bank Of America Corporation | Phishing redirect for consumer education: fraud detection |
US20100031093A1 (en) * | 2008-01-29 | 2010-02-04 | Inventec Corporation | Internal tracing method for network attack detection |
US7472420B1 (en) * | 2008-04-23 | 2008-12-30 | Kaspersky Lab, Zao | Method and system for detection of previously unknown malware components |
US8504504B2 (en) * | 2008-09-26 | 2013-08-06 | Oracle America, Inc. | System and method for distributed denial of service identification and prevention |
US8347386B2 (en) | 2008-10-21 | 2013-01-01 | Lookout, Inc. | System and method for server-coupled malware prevention |
US8881288B1 (en) * | 2008-10-28 | 2014-11-04 | Intelligent Automation, Inc. | Graphical models for cyber security analysis in enterprise networks |
US9177144B2 (en) * | 2008-10-30 | 2015-11-03 | Mcafee, Inc. | Structural recognition of malicious code patterns |
US8635694B2 (en) * | 2009-01-10 | 2014-01-21 | Kaspersky Lab Zao | Systems and methods for malware classification |
US8448245B2 (en) * | 2009-01-17 | 2013-05-21 | Stopthehacker.com, Jaal LLC | Automated identification of phishing, phony and malicious web sites |
WO2010105249A1 (en) * | 2009-03-13 | 2010-09-16 | Rutgers, The State University Of New Jersey | Systems and methods for the detection of malware |
US8572740B2 (en) * | 2009-10-01 | 2013-10-29 | Kaspersky Lab, Zao | Method and system for detection of previously unknown malware |
US20120137367A1 (en) * | 2009-11-06 | 2012-05-31 | Cataphora, Inc. | Continuous anomaly detection based on behavior modeling and heterogeneous information analysis |
US8341745B1 (en) | 2010-02-22 | 2012-12-25 | Symantec Corporation | Inferring file and website reputations by belief propagation leveraging machine reputation |
US9501644B2 (en) * | 2010-03-15 | 2016-11-22 | F-Secure Oyj | Malware protection |
US8805839B2 (en) * | 2010-04-07 | 2014-08-12 | Microsoft Corporation | Analysis of computer network activity by successively removing accepted types of access events |
CN102571469B (zh) * | 2010-12-23 | 2014-11-19 | 北京启明星辰信息技术股份有限公司 | 攻击检测方法和装置 |
US8713679B2 (en) * | 2011-02-18 | 2014-04-29 | Microsoft Corporation | Detection of code-based malware |
US8555385B1 (en) * | 2011-03-14 | 2013-10-08 | Symantec Corporation | Techniques for behavior based malware analysis |
US8434150B2 (en) * | 2011-03-24 | 2013-04-30 | Microsoft Corporation | Using social graphs to combat malicious attacks |
RU2454705C1 (ru) * | 2011-04-19 | 2012-06-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ защиты компьютерного устройства от вредоносных объектов, использующих сложные схемы заражения |
US8650287B2 (en) * | 2011-04-27 | 2014-02-11 | Mcafee, Inc. | Local reputation to adjust sensitivity of behavioral detection system |
US9065826B2 (en) | 2011-08-08 | 2015-06-23 | Microsoft Technology Licensing, Llc | Identifying application reputation based on resource accesses |
US8793790B2 (en) * | 2011-10-11 | 2014-07-29 | Honeywell International Inc. | System and method for insider threat detection |
US20150047026A1 (en) * | 2012-03-22 | 2015-02-12 | Los Alamos National Security, Llc | Anomaly detection to identify coordinated group attacks in computer networks |
US8863293B2 (en) * | 2012-05-23 | 2014-10-14 | International Business Machines Corporation | Predicting attacks based on probabilistic game-theory |
US9055090B2 (en) | 2012-06-12 | 2015-06-09 | Verizon Patent And Licensing Inc. | Network based device security and controls |
US8566938B1 (en) | 2012-11-05 | 2013-10-22 | Astra Identity, Inc. | System and method for electronic message analysis for phishing detection |
US9336388B2 (en) * | 2012-12-10 | 2016-05-10 | Palo Alto Research Center Incorporated | Method and system for thwarting insider attacks through informational network analysis |
US9413773B2 (en) * | 2013-03-14 | 2016-08-09 | Cybereason Inc. | Method and apparatus for classifying and combining computer attack information |
CN104219081B (zh) | 2013-06-05 | 2018-11-30 | 富泰华工业(深圳)有限公司 | 网络连接管理设备及网络连接管理方法 |
-
2013
- 2013-09-10 WO PCT/CN2013/083228 patent/WO2015035559A1/en active Application Filing
- 2013-09-10 EP EP13893252.0A patent/EP3044718A4/en not_active Withdrawn
- 2013-09-10 JP JP2016537073A patent/JP6101408B2/ja active Active
- 2013-09-30 US US14/041,762 patent/US9141790B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09171460A (ja) * | 1995-12-20 | 1997-06-30 | Hitachi Ltd | 計算機の診断システム |
JP2002328893A (ja) * | 2001-05-01 | 2002-11-15 | Ntt Data Corp | ネットワークセキュリティに関する被害評価システムおよびその方法 |
JP2005136526A (ja) * | 2003-10-28 | 2005-05-26 | Fujitsu Ltd | 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム |
JP2008518323A (ja) * | 2004-10-26 | 2008-05-29 | ザ ミトレ コーポレイション | ネットワーク上のコンピュータワームを検出する方法、装置およびコンピュータプログラム製品 |
US20100192226A1 (en) * | 2005-03-10 | 2010-07-29 | Noel Steven E | Intrusion Event Correlation System |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11449405B2 (en) | 2018-03-28 | 2022-09-20 | Nec Corporation | Information processing apparatus, control method, and program |
JP2021529383A (ja) * | 2018-07-31 | 2021-10-28 | エヌイーシー ラボラトリーズ アメリカ インクNEC Laboratories America, Inc. | データ来歴を介した自動脅威アラートトリアージ |
JP7101272B2 (ja) | 2018-07-31 | 2022-07-14 | エヌイーシー ラボラトリーズ アメリカ インク | データ来歴を介した自動脅威アラートトリアージ |
Also Published As
Publication number | Publication date |
---|---|
JP6101408B2 (ja) | 2017-03-22 |
EP3044718A1 (en) | 2016-07-20 |
US20150074806A1 (en) | 2015-03-12 |
EP3044718A4 (en) | 2017-05-17 |
WO2015035559A1 (en) | 2015-03-19 |
US9141790B2 (en) | 2015-09-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6101408B2 (ja) | イベント相関グラフを使用してコンピューティングシステムに対する攻撃を検出するためのシステム及び方法 | |
US9256739B1 (en) | Systems and methods for using event-correlation graphs to generate remediation procedures | |
JP6364547B2 (ja) | セキュリティイベントを標的型攻撃として分類するシステム及び方法 | |
US9166997B1 (en) | Systems and methods for reducing false positives when using event-correlation graphs to detect attacks on computing systems | |
US9998480B1 (en) | Systems and methods for predicting security threats | |
US9148441B1 (en) | Systems and methods for adjusting suspiciousness scores in event-correlation graphs | |
US9838405B1 (en) | Systems and methods for determining types of malware infections on computing devices | |
US10284587B1 (en) | Systems and methods for responding to electronic security incidents | |
US10277629B1 (en) | Systems and methods for creating a deception computing system | |
US9197662B2 (en) | Systems and methods for optimizing scans of pre-installed applications | |
EP3039609B1 (en) | Systems and methods for identifying private keys that have been compromised | |
JP6596596B2 (ja) | ドメイン名サービストラフィック分析を介してマルウェア感染を検出するためのシステム及び方法 | |
JP2019505919A (ja) | 潜在的ランサムウェアを検出することに応答してファイルバックアップを変更するためのシステム及び方法 | |
JP2019500679A (ja) | ログエントリを匿名化するシステム及び方法 | |
US10044740B2 (en) | Method and apparatus for detecting security anomalies in a public cloud environment using network activity monitoring, application profiling and self-building host mapping | |
US9813443B1 (en) | Systems and methods for remediating the effects of malware | |
US8955138B1 (en) | Systems and methods for reevaluating apparently benign behavior on computing devices | |
US9800590B1 (en) | Systems and methods for threat detection using a software program update profile | |
US11275831B1 (en) | Systems and methods for detecting anomalous system command line data | |
US9894085B1 (en) | Systems and methods for categorizing processes as malicious | |
US9332025B1 (en) | Systems and methods for detecting suspicious files | |
US10489587B1 (en) | Systems and methods for classifying files as specific types of malware | |
US9652615B1 (en) | Systems and methods for analyzing suspected malware | |
US9483643B1 (en) | Systems and methods for creating behavioral signatures used to detect malware | |
US9323924B1 (en) | Systems and methods for establishing reputations of files |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160225 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160225 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20160304 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170131 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170207 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170224 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6101408 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |