JP2017143578A - 異常部分グラフの検出のための道探査及び異常/変更検出及び網状況認知のためのdns要求及びホストエージェントの使用 - Google Patents

異常部分グラフの検出のための道探査及び異常/変更検出及び網状況認知のためのdns要求及びホストエージェントの使用 Download PDF

Info

Publication number
JP2017143578A
JP2017143578A JP2017088048A JP2017088048A JP2017143578A JP 2017143578 A JP2017143578 A JP 2017143578A JP 2017088048 A JP2017088048 A JP 2017088048A JP 2017088048 A JP2017088048 A JP 2017088048A JP 2017143578 A JP2017143578 A JP 2017143578A
Authority
JP
Japan
Prior art keywords
network
model
edge
graph
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017088048A
Other languages
English (en)
Other versions
JP6378395B2 (ja
Inventor
チャールズ ニール ジョシュア
Charles Neil Joshua
チャールズ ニール ジョシュア
エドワード フィスク マイケル
Edward Fisk Michael
エドワード フィスク マイケル
ウィリアム ブラフ アレクサンダー
William Brugh Alexander
ウィリアム ブラフ アレクサンダー
リー ハッシュ,ジュニア カーティス
Lee Hash Curtis Jr
リー ハッシュ,ジュニア カーティス
バイロン ストーリー カーティス
Byron Storlie Curtis
バイロン ストーリー カーティス
アップホフ ベンジャミン
Upoff Benjamin
アップホフ ベンジャミン
ケント アレクサンダー
Kent Alexander
ケント アレクサンダー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Los Alamos National Security LLC
Original Assignee
Los Alamos National Security LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Los Alamos National Security LLC filed Critical Los Alamos National Security LLC
Publication of JP2017143578A publication Critical patent/JP2017143578A/ja
Application granted granted Critical
Publication of JP6378395B2 publication Critical patent/JP6378395B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/02Knowledge representation; Symbolic representation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/02Knowledge representation; Symbolic representation
    • G06N5/022Knowledge engineering; Knowledge acquisition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/04Inference or reasoning models
    • G06N5/045Explanation of inference; Explainable artificial intelligence [XAI]; Interpretable artificial intelligence
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N7/00Computing arrangements based on specific mathematical models
    • G06N7/01Probabilistic graphical models, e.g. probabilistic networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/0001Systems modifying transmission characteristics according to link quality, e.g. power backoff
    • H04L1/0015Systems modifying transmission characteristics according to link quality, e.g. power backoff characterised by the adaptation strategy
    • H04L1/0019Systems modifying transmission characteristics according to link quality, e.g. power backoff characterised by the adaptation strategy in which mode-switching is based on a statistical approach
    • H04L1/002Algorithms with memory of the previous states, e.g. Markovian models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Abstract

【課題】網内の異常振舞を検出するシステム,装置,計算機可読媒体及び計算機で実現される方法を提供すること。【解決手段】正常活動レベルを決定するために網の過去のパラメータが決定される。網を表すグラフの一部として網内の複数の道が列挙され,網内の各計算システムはグラフ内のノードであってよく,二つの計算システム間の一連のコネクションは,網内の有向辺であってよい。異常振舞を検出すために,グラフ内の複数の道に,スライド窓ベースで統計モデルが適用される。また,異常振舞を検出するために,統一ホスト収集エージェント(UHCA)によって収集されたデータを用いてもよい。【選択図】図4

Description

本発明は概略,網侵入,異常及び方針(policy)違反の検出に関し,より特定すれば,時間発展(time evolving)グラフに組み込まれた異常部分グラフを検出するための道探査(path scanning)による,網侵入,異常及び方針違反の検出に関し,さらに,計算機網の状況認知及び異常/変更検出のためのドメイン名サービス(DNS)の使用に関する。
本発明に関し,米国政府は,Los Alamos国立研究所の運営に関する米国エネルギ庁とLos Alamos National Security, LLCとの間の契約第DE-AC52-06NA25396号に基づく権利を有する。
本願は,2012年3月22日出願の米国仮特許出願第61/614,148号の優先権を主張するものである。この先出願された仮特許出願の内容はここに全体を参照によって組み込まれる。
最新の計算機ハッキングは,会社,政府機関及びほかの団体に深刻な脅威となっている。一般に,ハッカーは自動化された手段によってシステムに侵入する。例えば,ハッカーがフィッシング電子メールをある機関に送信し,利用者がリンクをクリックすると,マルウェアが機械を危険にさらす(compromise)。これがハッカーに危険にさらされた機械の制御手段を与え,したがって,危険にさらされた機械が存在する網への足がかりを与える。
ハッカーはどの機械が危険にさらされ,自分が網内のどこに着地するかを選択することはできない。ハッカーは通常,網が危険にさらされた初期点から,網を進み,利用する別のホストを探す。一般に,一人の利用者が網全体にアクセスすることはできないため,ハッカーは網を完全に危険にさらすために複数の機械を通過(traverse)する必要がある。ハッカーはしばしば,複数利用者がいる機械を探し,アクセスするために危険にさらされたアカウントを利用し,更に網内に進入する。
計算機網内の悪意のある部内者を検出する従来の方法は,一般に「通過」穴(traversal well)を補足できない。通過はハッカーが網を進み,システムに潜入し,危険にさらされたシステムを用いて更にほかのホストを危険にさらすときに起こる。特定の機械を監視するホストベースの検出システムはある程度完成しており,ファイアウォールを用いた侵入検出はよく研究されているが,セキュリティ周辺部内の多段ホップを検査し,同時に異常を探す方法は一般に十分に開拓されていない。さらに,網トラヒック監視は一般に,網傍受,ルータミラーポート及びルータベースのフロー観察といった精巧なシステムを用いて実行される。この方法は費用が掛かり,網内のトラヒックを完全に含むことはできない。
本発明のある実施例は,現在の侵入,異常,及び方針違反検出技術によっては完全に特定され,理解され又は解決されていない,本技術における課題及び要望に対する解決手段を提供することができる。例えば,本発明のいくつかの実施例は,網内通信パターンを推測するために用いることができるDNS要求を用いて,局所異常部分グラフを検出するために,探査統計量を用いる。本発明のいくつかの実施例は,各辺(edge)に時系列データを有する,任意の種類のグラフに適用することができる。動的ソーシャルネットワーク分析(例えば,Twitter(登録商標),Facebook(登録商標),電子メール網,等)はこの種の分析に従うこともあるし,生物学で見られるような適切なほかのグラフ構造があってもよい。このように,本発明のいくつかの実施例は,サイバセキュリティ外部のアプリケーションを有してもよい。
一つの実施例において,計算機で実現される方法は,正常活動レベルを決定するために網上の各「辺」(すなわち,通信している機械の対)の基本統計モデルの過去のパラメータ(historical parameter)を決定するステップを含む。この計算機で実現される方法はまた,網を表すグラフの一部として,網内の複数の道を列挙するステップを含み,網内の各計算システムはグラフ内のノードであってよく,二つの計算システム間の一連のコネクションは,グラフ内の有向辺であってよい。方法は,スライド窓ベースの観察下にあるグラフの辺から形成された道に,これらの基本モデル又は統計モデルを適用するステップと,適用された統計モデルに基づいて異常な振舞を検出するステップとを更に含む。
別の実施例においては,装置は少なくとも一つのプロセッサ及び命令を含むメモリを含む。この命令は,少なくとも一つのプロセッサで実行されたとき,少なくとも一つのプロセッサに,正常活動レベルを決定するために網の過去のパラメータを決定させるように構成される。命令はまた,少なくとも一つのプロセッサに,網を表すグラフの一部として網内の複数の道を列挙させるように構成され,網内の各計算システムはグラフ内のノードであってよく,二つの計算システムの間の一連のコネクションは,グラフ内の有向辺であってもよい。命令は,少なくとも一つのプロセッサに,スライド窓ベースのグラフに,統計モデルを適用し,適用された統計モデルに基づいて異常な振舞を検出するように更に構成される。
また別の実施例においては,システムは,網内の異常な振舞を検出するように構成された計算機プログラム命令を記憶するメモリと,記憶された計算機プログラム命令を実行するように構成された複数の処理コアとを含む。複数の処理コアは,正常活動レベルを決定するために網の過去のパラメータを決定するように構成される。複数の処理コアはまた,網を表すグラフの一部として網内の複数の道を列挙させるように構成され,網内の各計算システムはグラフ内のノードであってよく,二つの計算システムの間の一連のコネクションは,グラフ内の有向辺であってもよい。複数の処理コアは,スライド窓ベースのグラフに統計モデルを適用し,適用された統計モデルに基づいて異常な振舞を検出するように更に構成される。
また別の実施例においては,計算機で実現された方法は,計算システムが,網内の対応するホストが送受信した網通信に属する複数のホストエージェントからデータを収集するステップを含む。計算機で実現される方法はまた,計算システムが,所定の期間に異常な振舞を検出するために収集したデータを分析するステップと,異常な振舞が検出されたとき,異常な振舞が所定の期間に生じたという指示を提供するステップとを含む。
本発明を適切に理解するためには,添付の図面を参照することが望ましい。これらの図面は本発明のいくつかの実施例を描いているに過ぎず,本発明の範囲を制限するものではない。
ハッカーによる攻撃のよくある初期段階を示す図である。 ハッカーによる攻撃の第2段階を示す図である。 ハッカーによる攻撃の第4段階を示す図である。 本発明の実施例による,侵入,異常及び方針違反を検出するシステムを示す図である。 外向きの星を示す図である。 本発明の実施例による,網上の異常な振舞を検出する方法を示すフローチャートである。 本発明の実施例による,名前辺だけを用いて生成された道を示す道の図である。 本発明の実施例による,IP辺だけを用いて生成された道を示す道の図である。 本発明の実施例による,3個の名前辺から始まり,IP辺で終わる道を示す道の図である。 本発明の実施例による,交番する名前辺及びIP辺を有する道を示す道の図である。 本発明の実施例による,UHCAを用いて異常に属するデータを収集する方法のフローチャートである。
本発明のいくつかの実施例は網を介して道を検査し,道は互いに接続している一連の相互接続計算システムである。グラフにおいて,「ノード」は計算システムを表し,「辺」は二つの計算システムの間の一連のコネクションを表す。経時的な道の検査によって,いくつかの実施例において通過任務(traversal mission)を実行する異常行為者(anomalous actor)がうまく検出できることが分かった。一般に,網内の辺ごとに確率モデルが作成される。考慮下の時間の所与の窓において推定されたパラメータに対して,モデルの過去のパラメータに統計的検定が行われる。利用者が規定する警報率に従って調整された過去のパラメータからの一定のしきい値による逸脱が,異常な道を示すことがある。
いくつかの実施例は,k縦続道(k−paths)において一緒に結合された辺集合における異常な行動を検出する。k縦続道は,第1辺の終点(destination)が第2辺の始点(source)であり,第2辺の終点が第3辺の始点であり,等々のような,道内の辺の数がk個であるグラフ内の一連の有向辺であってよい。各辺にデータが関係付けられている。このデータは,いくつかの実施例においては,単位時間当たりの,計算機網上のホスト間のコネクションの個数であってよい。(ある固定数kに関して)すべてのk縦続道を列挙し,時間のスライド窓を用いてデータを検査してもよい。道ごとに確立モデルを構築し,異常さのレベルを判定するために,時間窓内で過去のパラメータを現在の推定パラメータと比較してもよい。
計算機網における異常を特定することは,一般に困難かつ複雑な問題である。異常はしばしば,網の非常に局所的な範囲で生じる。基礎となる(underlying)グラフ構造があるため,この設定において局所性は複雑なことがある。局所的異常を特定するために,経時的にグラフの辺から抽出したデータに探査統計量を用いてもよい。グラフ内の局所性を捕捉するために,二つの形状,すなわち,星状及び上述のk縦続道が特に有利である。探査窓として道を使用することは新規である。これらの形状は双方とも,現実の網攻撃において観察されたハッカーの振舞に動機付けられている。
局所的異常を特定するために,スライド時間窓の集合を用いて全グラフにわたって,これらの形状を列挙してもよい。異常を捕捉するために,各窓における局所統計量を過去の振舞と比較してもよい。これらの局所統計量はモデルベースであってよく,例示探査手続を示すことを支援するために,例として,網フローデータによって動機付けられた本発明のいくつかの実施例によって用いられた二つのモデルをここで説明する。大規模網のデータ速度は一般にオンライン検出が迅速である必要がある。したがって,実時間の分析速度を達成することが異常検出システムに望まれる。
攻撃者が一旦網内に入ると,攻撃者の検出は一般に,国及び多くの機関にとって,サイバセキュリティにおいて高優先度の事項である。攻撃者全員を網の中に入れないことは,不可能ではないが非常に困難である。網攻撃のうち,網内の通過は非常にありふれたものであり,攻撃者が達成を望む多くの大規模任務,特に攻撃者が国民国家を代表して仕事をしている任務については核心的要求条件である。本発明のいくつかの実施例は,通過を検出することを約束し,システム運用者が利用可能な調整可能偽陽性パラメータを有する。さらに,いくつかの実施例は実時間で実行されるように設計され,攻撃が発生したとき,迅速な検出を提供する。本発明のいくつかの実施例の別の核心部分は科学捜査ツールの集合であり,それらは分析者が攻撃者の通過を完全に発見し,危険にさらされたホストを特定できるようにする。
本発明のいくつかの実施例は,異常な道の検出に加えて,網トラヒックの前兆であるDNS要求を観測し,これらの要求から後続の網トラヒックを推測する。そして,この推測されたトラヒックは,網の偵察,網状況認知及び本発明のいくつかの実施例に関して説明した部分グラフ検出ツールを含む,網異常/変化検出ツールのための高信頼データ源として用いることができる。多くの機関においては,1又は2ヶ所の集約点がすべてのDNS要求を処理している。その結果,データ供給は一般に,ルータ又は網傍受集約機構のようなほかのありふれた網集約機構から得られるデータよりも小さく,捕捉することが容易である。さらに,各ルータを傍受することの代替物は禁止的に高価であり,ルータの傍受は一般に過密ベースの標本化の影響を受けるため,DNSは一般にコネクションレベルのトラヒックをより完全に処理する。ルータ又は傍受によって見ることができない下位網内のトラヒックでさえ,多くの場合DNS要求から推測することができる。ハッカーが下位網内に留まることは一般に珍しいことではないため,このことは異常検出の点で重要であり得る。
明確化のために,本発明のいくつかの実施例が検出できるハッカーによる攻撃の異常シナリオを説明する。図1Aはハッカーによる攻撃のありふれた初期段階100を示している。ハッカーは,悪意のあるソフトウェアを用いて網上の機械102を危険にさらすことによって,初期攻撃を達成することができる。危険にさらされた機械102は,通過経路に接続されていない補助機械104に接続されている。これらの機械は必ずしも無故障(clean)ではないが,この例においては後続の通過には用いられない。網を最初に危険にさらす一つの方法はフィッシング攻撃と呼ばれ,悪意のあるウェブサイトへのリンクを含む電子メールが網上の利用者集合に送信される。利用者がリンクをクリックすると,利用者の計算システムが危険にさらされ,利用者の計算システムへのある形態のアクセスを攻撃者に与える。
攻撃者は一般にどの計算システムが危険にさらされるかを指示することはできず,最終目標があったとしても,初期ホストは通常攻撃の最終目標ではない。その代わり,ハッカーは,価値のあるデータを探して取り出し,特権を拡大し,及び/又は後の利用及び/又は網事業者が行う防衛手段に直面したときの耐性のために,網内に広範な影響力(presence)を確立するように,ほかの計算システムへ移動することを望むかも知れない。したがって,攻撃者はこの初期ホストから,一つずつホップしながらほかのホストへ進むことができる。図1Bはハッカーによる攻撃の第2段階110を示している。ここで,第2計算システム102は危険にさらされており,危険にさらされた計算システム102は一つの辺112によって接続されている。図1Cはハッカーによる攻撃の第4段階120を示しており,四つの計算システム102が危険にさらされており,危険にさらされた計算システム102は道122によって接続されている。
攻撃者は網を通過しながら,通過する各辺に沿って通信の時系列において異常な行動を起こす。このことは,辺ごとに過去には正常であった通信レベルの上に追加の通信が一般に見られることを意味する。本発明のいくつかの実施例においては,ある時間間隔においてこれらの異常な辺の結合(union)が検出され,これがシステム内への侵入を表す。
図2は,本発明の実施例による,侵入,異常及び方針違反を検出する計算システム又は「システム」200を示している。システム200はバス205又は情報を伝送するほかの通信機構と,バス205に結合され,情報を処理するプロセッサ210を含む。プロセッサ210は,中央処理ユニット(CPU)又は特定用途集積回路(ASIC)を含む,任意の種類のはん用又は特定用途のプロセッサであってよい。プロセッサ210はまた複数の処理コアを有してもよく,コアの少なくともいくつかは特定機能を実行するように構成されてもよい。いくつかの実施例は対称マルチプロセシング(SMP)と呼ばれる複数コア,単一機械方式を用いることができる。ほかの実施例は複数の機械を横断して実現され,各機械が複数のコアを有してもよい。この方式はメッセージパッシングインタフェース(MPI)と呼ばれる。システム200は,情報及びプロセッサ210が実行する命令を記憶するメモリ215を更に含む。メモリ215は,ランダムアクセスメモリ(RAM),リードオンリメモリ(ROM),フラッシュメモリ,キャシュ,磁気ディスク又は光ディスクのような静止記憶装置,又は任意のほかの種類の非一時的計算機可読媒体,の任意の組合せからなっていてもよい。さらに,システム200は網への接続を提供する無線網インタフェースのような通信装置220を含む。
非一時的計算機可読媒体は,プロセッサ210が利用できる任意の入手可能な媒体であってよく,揮発性媒体及び非揮発性媒体の双方,着脱可能媒体及び非着脱可能媒体,及び通信媒体を含んでもよい。通信媒体は,計算機可読命令,データ構造体,プログラムモジュール又は搬送波若しくはほかの転送機構のような変調データ信号内のほかのデータを含んでもよく,任意の情報配信媒体を含む。
プロセッサ210は,バス205を介して,液晶ディスプレイ(LCD)のような利用者に情報を表示する表示装置225に更に結合されている。利用者がシステム200と対話できるように,キーボード230及び計算機マウスのようなカーソル制御装置235がバス205に更に結合される。
一つの実施例においては,メモリ215はプロセッサ210が実行したとき機能を提供するソフトウェアモジュールを記憶する。このモジュールはシステム200のオペレーティングシステム240を含む。モジュールは,侵入,異常及び方針違反を検出するように構成された検出モジュール245を更に含む。システム200は,追加機能を含む1又は複数の追加機能モジュール250を含んでもよい。
当業者であれば,「システム」はパーソナル計算機,サーバ,コンソール,パーソナルデジタルアシスタント(PDA),携帯電話機,任意のほかの適切な計算装置,又は装置の組合せとして実現できることを理解するであろう。上述の機能が「システム」によって実行されると述べたことは,本発明の範囲をいかようにも制限するものではなく,本発明の多くの実施例の一例を提供するものである。実際,ここに開示した方法,システム及び装置は,計算技術と矛盾しない局所化形態及び分散形態で実現することができる。
本明細書において説明したシステムの特徴のうちいくつかは,その実現の独立性を更にとりわけ強調するために,モジュールとして表されていることに注意されたい。例えば,モジュールは,特注の超大規模集積回路(VLSI),又はゲートアレイ,論理チップ,トランジスタ,若しくは個別部品のような市販の半導体で実現してもよい。モジュールはまた,フィールドプログラム可能ゲートアレイ,プログラム可能アレイ論理,プログラム可能論理デバイス,グラヒック処理ユニット,等のようなプログラム可能ハードウェア装置で実現してもよい。
モジュールはまた,少なくとも部分的に,種々の種類のプロセッサによって実行されるソフトウェアで実現してもよい。特定された実行可能コードの単位は,例えば,計算機命令の1又は複数の物理ブロック又は論理ブロックを有してもよく,計算機命令は例えば,オブジェクト,手続又は関数として整理される。それでもなお,特定されたモジュールの実行可能コードは物理的に一緒に配置する必要はなく,別々の場所に記憶された異種の命令であって,論理的に一緒に結合されたときモジュールを為し,上述のモジュールの目的を達成するものであってもよい。さらに,モジュールは,例えば,ハードウェアディスクドライブ,フラッシュデバイス,RAM,テープ,又はデータを記憶するために用いられる任意のほかの媒体であってよい。
実際,実行可能コードのモジュールは単一命令であってもよいし,多くの命令であってもよく,いくつかのメモリデバイスにまたがる別個のプログラムのうちいくつかの異なるコードセグメントに分散されていてもよい。類似して,運用データはここではモジュール内で特定され,示されており,任意の適切な形態で実現され,任意の適切な種類のデータ構造体内に整理されてもよい。運用データは一つのデータセットとして集約されていてもよいし,別個の記憶装置を含む,別個の位置に分散されてもよいし,少なくとも部分的にはシステム上又は網上の単なる電子信号として存在してもよい。
ハッカーが網に入ったとき,道及び星の異常が観察される。星の異常は,ハッカーが危険にさらされた計算システムを用いてアクセスできるほかの計算システムに接続し,危険にさらされたホストから発散する複数の辺に異常を生成する。
道の異常はより巧妙な攻撃を示すことがあり,その攻撃は道内の各ホストから次への一連の通過である。芋虫異常(caterpillar anomaly)は星及び道の混合である。この方式は実時間で計算機網を監視するように設計され,企業レベル(20,000以上の個別インターネットプロトコル(IP)アドレス)での計算機網データに適用されるどの方式も高速である必要がある。また,非常に局所的な異常を特定するために,システムは一般に多くの小さな窓を同時に監視する必要がある。本発明のいくつかの実施例は,企業規模の網における多数の局所的オブジェクトを実時間で検査することができる。
外積空間内の窓
時間×グラフ積空間内の窓を検査することは有用である。これらの窓集合は,ノード集合V及び辺集合Eを含むグラフG=(V,E)が存在するように定義してもよい。辺e∈Eごとに,離散時点t∈{1,・・・,T}において,データプロセスX(t)がある。離散化された時間間隔(s,s+1,・・・,k)において,辺e上の時間窓集合はΩ={[e,(s,s+1,・・・,k)]:e∈E,0≦s≦k≦T}と表わすことができる。窓のすべての部分集合の集合,Γ={{w,w,・・・}:w∈Ω}は通常非常に大きく,時間及びグラフ空間において局所性制約を含む部分集合
Figure 2017143578
 だけが一般に重要である。したがって,一般に注意は窓の集合γ∈Γに制約される。Γは通常問題依存である。便宜上,X(γ)はγで与えられる窓におけるデータとして表される。
任意の時点t及び辺eについて,X(t)はθ(t)で与えられるパラメータ関数を有する確立過程と説明できると仮定してもよい。パラメータ関数の値は,対応する窓γの集合において,θ(γ)によって評価できる。最後に,確立過程の尤度はγについてL(θ(γ)|X(γ))として表すことができる。
時間×グラフ空間における窓の探査統計量
窓内のデータが,パラメータが変化したことを示す代替物に対して,既知のパラメータ関数
Figure 2017143578
 によって生成されたか否かを知ることは有益である。すなわち,X(γ)=x(γ)が観測されたとすると,全パラメータ空間Θを部分集合
Figure 2017143578
 に制限することによって形成できる代替物に対して,
Figure 2017143578
 を検定することは有益である。一般化尤度比検定(GLRT)統計量は利用できるもっともな統計量である。ここで,
Figure 2017143578
 とする。
λγのサイズは窓内で検定されたパラメータの数に依存し,直接使用することは困難である。この問題を解決するために,λγをp値pγに変換することによってλγを正規化できる。
(時間×グラフ)積空間における異常を探査するために,一般にすべての窓γの上をスライドし,探査統計量φ=minγγを記録する必要がある。実際には,一般に最小のp値以上が考慮されるように,一般にp値の集合にしきい値処理を行う必要がある。オンライン監視には,偽発見率を制御するためにp値に対してしきい値を設定することができる。しきい値が高ければ高いほど,特定される異常が多くなるが,偽陽性も同様に多くなる。一般には,監視ソフトウェアを実行させる分析者が圧倒されないように設定することが望ましい。一般に,検出が発生したとき,窓の集合(唯一つではない)がしきい値を超えており,これらの窓の結合がシステムによって生成された検出された異常である。
局所形状:星及び有向k縦続道
上述の方式は,バッチ(回顧的)処理又はオンライン(予期的)処理に用いることができる。しかし,グラフは本質的に一般に組合せ的(combinatorial)である。n個のノードを有する完全連結グラフについては,部分グラフの数は2n(n−1)である。実際の応用,特にオンライン環境においては,このような多数の部分グラフについては,グラフ窓の制限された集合を用いることが有利である。窓は,特定の異常の形状を特定するために適切なように作成される。
有向k縦続道
一つのよくある侵入の例は,計算機網におけるハッカーの通過によるものであり,オンライン監視用の特定の種類の部分グラフ,すなわち有向k縦続道が特に有利である。有向k縦続道は直径kを有するサイズkの部分グラフである。ここで,サイズとはグラフ内の辺の数であり,直径とはノードの任意の対の間の最大ホップ距離である。これは略式には,k縦続道は一連の辺であり,一連のうち現在の辺の終点ノードが一連の次の辺の開始ノードである,等々であることを意味する。
攻撃は網を通る道によって説明されるため,核心の道の辺りに“fuzz”という追加の辺を加えることによって,k縦続道は多くの網攻撃の核心を捕捉するという利点を有する。この攻撃形状は実際の攻撃において観測された。さらに,k縦続道は非常に局所的であり,小さな以上の検出を可能にする。
いくつかの実施例においては,3縦続道(3−paths)が用いられる。3縦続道は局所性という利点を有し,同時に重大な通過を捕捉するために十分大きい。網グラフ内のすべての3縦続道を探査するために,最初に道が列挙される。多くのグラフにとって,これはささいではない。nノードの完全連結グラフにおいて閉道(cycle)及び逆辺(back edge)を除去すると,n(n−1)(n−2)(n−3)個の3縦続道がある。
実際には,網グラフは一般に多くは連結されていない。しかし,30秒の時間窓において,窓内の非零活動を有する辺だけを含めて,例示実施例においては,約17,000のノード,90,000の辺及び3億の3縦続道を含むグラフが得られる。n(n−1)(n−2)(n−3)個の潜在的な3縦続道の全集合を実効的に探査しても,現在の時間窓において活動がない辺を含むどの道についても異常測定値は一般に計算できない。ハッカーは辺を通過するために,通常少なくとも一つの通信を行う必要があるため,辺に活動がないことは,その辺には通過がなかったことを示し,したがって,その辺を含む道は(注目する時間窓においては)異常とは考えられない。
3縦続道は多数あるため,近実時間応答能力を維持するために道を迅速に列挙できることが重要である。k縦続道列挙するアルゴリズムを以下に示す。メッセージパッシングインタフェース(MPI)ベースのクラスタへ,ループごとのENUMERATE内の辺を分配することによって,並列処理が可能になる。次に,各MPIノードは,当該辺から始めてすべての道を辺リストから再帰的に計算する。この例において,辺Aは長さ2のリストであり,A[1]は始点ノードであり,A[2]は終点ノードである。
function ENUMERATE(E, K):
// E = グラフを表す辺のリスト
// K = 列挙する道の整数長
for each edge A in E: // Aはグラフ内のある辺
list P[l] = A // Aが道内の最初の辺になる
RECURSE(E, P, 1, K) // 追加の辺を再帰的に付加する

function RECURS E(E, P, L, K):
// E = グラフを表す辺のリスト
// P = 道を表す辺のリスト
// L = Pの整数長
// K = 列挙する道の整数長
edge A = P[L] // Aは道内の最後の辺
for each edge B in E: // Bはグラフ内のある辺
if A[2] = B[1] then:
P[L+1] = B // Bが道内の最後の辺になる
if L+1 == K:
EMIT(P) // k縦続道が見付かった
else:
RECURSE(E, P, L+l, K) // 追加の辺を再帰的に付加
このアルゴリズムはほとんどメモリを使用せず,容易に並列化できる。いくつかの実時間シミュレーションにおいては,およそ3億の道からなる30分の窓を,48コアのはん用機械を用いて,窓当たり5秒未満で列挙し検定することができた。これによって,モデルに複雑性を追加し,実時間データストリームを維持しながら,現在分析している既にかなり大きいグラフよりも大きいグラフを扱う余地が生じる。
図3の外向きの星(out−star)300に示すように,星は通信網を監視するための別の興味深い形状である。星は始点が所与の中央ノードである辺の集合と定義される。図3において,中央ノード302は有向辺によって外側のノード304に連結されている。これらの形状は,特に高出次数のノードに関しては,非常に局所化されている訳ではないが,依然として星形の異常をかなり良く捉える。道は星状窓よりもより微細な異常を記述する能力を有するが,星状窓は一般に大きな星状異常については道より優れている。
時間間隔
時間構成要素はグラフ窓内の辺ごとに同一の時間間隔を含む。これは,形状内の辺ごとに同一の時間窓で生じる異常を検出することができる。順次時間窓又は望遠時間窓のようなより精巧な選択肢を用いて,セキュアシェル(SSH)のような特定のプロトコルを提供してもよい。
辺データ
一般に,形状γの分解(resolution)よりも辺の分解でデータをモデル化する方が有利である。推定,仮説検証,p値計算及びしきい値処理を含む,経時的な辺のデータの分布によって動機付けられた二つのモデルを説明する。
IPアドレスはノードを規定し,IPアドレス間の通信は,グラフ内のこれらのノード間の有向辺の存在を規定する。網内の辺には膨大な多様性があり,ある特性が,発信元機械に人間の行為者が居ることを表してもよい。
計算機網データにおいて,切替え過程を観測することがよくある。直感的に言えば,多くの辺については,この切替えは網上に人間が居ることによって生じる。利用者がある機械に居るとき,利用者は当該機械から発する辺上に非零カウントを生じさせる。しかし,多くの瞬間に,利用者が居たとしても,利用者はあるほかの機械と通信しているかも知れないし,網を全く使用していないかも知れないため,利用者がこの辺に非零カウントを生じさせないことがある。利用者がそこに居ないとき,この辺で0を観測することだけがわかっている。この在/不在が,純粋な0カウント発出とより高い活動性カウント発出との切替え過程を誘起する。直感的に言えば,夜よりも真昼の方がカウントが高いが,モデルの単純性のために,いくつかの実施例においては,均一(homogeneous)モデルを用いてもよい。
道内の辺の独立性
異常形状を探査するため,一般に,正常条件下の窓内のデータの振舞を記述するモデルを持つことが必要である。列挙された部分グラフの数はノードの数に対して指数的に変化する傾向があり,形状内の辺の独立性を仮定すると,合理的なメモリ要求条件下で,回線速度でグラフを処理するために必要な計算を調整することが容易になる。これは一般に,辺の独立性が辺ごとのモデル(及び辺パラメータの記憶)を必要とするに過ぎないのに対して,非独立性は,何十億ではないにしろ,数億ある形状ごとのモデルを必要とするためである。独立性を仮定して,道のGLRTは次の式で表される。
Figure 2017143578
ここで,λは窓γ内の各辺のGLRT評点を表す。
観測されたマルコフモデル(OMM)
ここで説明する二つのモデルのうち第1の最も簡単なものは2状態OMMであり,Bで表される。時間ビンに非零カウントがあったときは,B=1,そうでないときはB=0である。このモデルは二つのパラメータp01=P(B=0|B=1)を有する。その尤度は次の式で表される。
Figure 2017143578
ここでnijは,連続する対(b,b)がデータ内で観測された回数である。初期状態は固定かつ既知であると仮定してもよい。このモデルはバースト性を捕捉するが,非零カウントの分布は無視し,また,0が高状態(high state)で生じることを許さない。OMMの最尤推定は次の式で与えられる。
Figure 2017143578
隠れマルコフモデル(HMM)
HMMは上述のOMMの問題を解決する。いくつかの実施例においては,2状態HMMが,低状態及び高状態における負の2項発出密度に関してゼロの縮退分布と共に用いられる。2項分布密度はポワソン分布の等分散(equidispersion)の影響を受けず,網カウントにおける異常を監視するために,それらを用いる正当な理由がある。ほかのモデルは一般にゼロを発出するために高状態を許可しないが,このモデルは許可する。例えば,ゼロカウントはon-zeroデータで分散されるが,依然として明確に「活性」状態の一部であってよい。直感的に言えば,活性状態は一般に,「利用者がこの辺で通信している」ではなく,「利用者が機械のところに居る」,したがって,通信を行う可能性が高いと考えられる。
観察されたカウントOは「隠れた」2状態HMM Qに従う。遷移パラメータは,p01=P(Q=1|Q-1=0)及びp10=P(Q=0|Q-1=1)で与えられる。発出密度は各状態において,b(O)=P(O|Q=0)=IQ=0)及びb(O)=P(O|μ,s,Q=1)=NB(O|μ,s)としてパラメータ化され,ここでI(・)は指示関数,NB(・|μ,s)は平均値μ,大きさsの負2項分布密度関数である。尤度は次の式で表される。
Figure 2017143578
HMM最尤推定値は閉形式を有しないため,推定最大化(EM)方式を用いてもよい。T個の離散時点の集合において,カウントx=[x,・・・,x]’,ここで,t=1,・・・,Tに対してx∈{0,1,・・・}を観測する。このモデルにおいて,カウントは,二つの分布のうち一つから到来し,Z=[Z,・・・,Z]’,すなわち2状態マルコフ過程とみなされる。p01=Pr(Z=1|Zn-1=0)及びp10=Pr(Z=0|Zn-1=1)とすると,潜在遷移行列は次のように表される。
Figure 2017143578
初期状態分布はπ=Pr(Z=1)と表される。
=0のとき,時刻tにおけるカウントの周辺分布は0に縮退する。すなわち,
Figure 2017143578
ここでI(・)は指示関数である。Z=1のとき,カウントは,φ=[μ,s]’で与えられる平均値及びサイズのパラメータを有する次の負2項分布に従って分布すると推定される。
Figure 2017143578
有用なことは,潜在変数及び観測変数双方の同時確率分布は別個のパラメータ種別に分離されるため,計算に便利な方法で分解できることである。
Figure 2017143578
ここで,θ=(π,A,φ)’である。最後に,尤度は次のようになる。
Figure 2017143578
プール化及び推定
実際上,網内の多くの辺は非常にまばらなことがあり,したがって,高状態カウントを観測する機会は多くないことがある。推定を行うため,辺はμ,すなわち,所定の日数にわたって平均化された1日当たり非零カウントの平均数に従ってプール化してもよい。いくつかの実施例においては,二つの種類の辺を定義してもよい。
辺種別I(μ≧1)は,個々のモデルを推定するために十分なデータが存在するこれらの辺からなる。いくつかのモデルの試行(run)において,この数はある網について辺の約45%であったが,割合は変わり得る。これらの辺のパラメータとして,最尤推定値(MLE)を用いてもよい。
辺種別II(μ<1)は,非常にまばらなデータにまたがって情報を「借りる」ために,共通パラメータ集合を共有する残りの辺(ある網における辺の約55%)を含む。次に,辺
Figure 2017143578
 の集合を,
Figure 2017143578
 が辺種別IIにおける所定数の最大のμ値の中にあるように抽出される。いくつかの実施例においては,この数は例えば1,000であってよい。これらの辺それぞれのパラメータが推定され,これらのパラメータベクトルの平均が取られる。辺種別IIの共通辺モデルはこの平均ベクトルによってパラメータ化される。例えば最大の1,000個のμ値を取ることは,モデルが低カウント辺に過度に敏感にならないことを確実にする助けとなる。
代替仮説
GLRTを得るために,一般に検出するハッカーの振舞の種類を反映する代替物を考慮するためにパラメータ空間全体を制限する必要がある。これらの代替物は,種々の振舞を捉えるために意図的に汎用的に保たれることがある。ハッカーの振舞がモデルを管理するパラメータのMLEを増加させることを前提としている。これは,ハッカーは辺上の正常な振舞に加えて行動しなければならないことによる。特に,OMMを参照すると,ハッカーの振舞は不活性状態から活性状態に遷移する確率
Figure 2017143578
HMM設定においてはより多くの選択肢が利用可能である。いくつかの実施例においては,パラメータ変更の三つの組合せが検定された。
Figure 2017143578
 各場合において,帰無仮説はパラメータ又は二つのパラメータの対が過去のMLE値に等しい。
p値の計算及びしきい値の決定
観測されたGLRT統計量λγのp値を求める。穏やかな正則条件下で、GLRTはΘ内の自由パラメータの数に等しい自由度で漸近的にχ分布となる。しかし,これは真のパラメータがΘの境界にないときには適用されない。真のパラメータが境界にあるときは,λγの分布におけるゼロの点質量が得られる。
星のp値
星は一般に二つの形状の簡易形である。グラフ内の星の数はノードの数であり,したがって,ノードνごとに,GLRT
Figure 2017143578
 の分布は,νの周りの星によって形成される。Aνがλνの分布を有するとする。すると,AνはAν=Bννでモデル化することができ,ここでBν〜ベルヌーイ分布(pν),Xν〜ガンマ分布(τνην)である。すべてのλの合計はゼロであるから,Aνはゼロの点質量を有する。これはBνによって捕捉できる。Aνの分布の正部分をモデル化するためには,ガンマ分布が魅力的である。何となれば,ガンマ分布はτν=ν/2,ην=2のとき,自由度νのχ分布に等しいからである。λνの漸近分布は,独立なゼロ過剰(zero inflated)χ分布の確率変数の合計である。したがって,ゼロ過剰ガンマ分布はλνの分布をかなり良くモデル化できることが期待される。N個の独立な,同一に分布した標本の対数尤度は次の式で表される。
Figure 2017143578
τν及びηνを推定するために,直接数値最適化を用いてもよい。例えば,これは,検定されたいくつかの実施例において,ノードνを中心とする星ごとに重複しない30分の窓で10日に渡って実行することができる。MLEは
Figure 2017143578
 と表わすことができる。観測されたλνに対して,上部p値は
Figure 2017143578
 によって計算され,ここでFΓは,ガンマ累積分布関数(CDF)である。
道のp値
星と異なり,多数の道は,道ごとにλγをモデル化することが多くのシステムには,計算時間及びメモリ双方の要求条件の点で禁止的に高価である。その代わり,個別の辺ごとにモデルを構築して,道の尤度計算の際に辺のモデル結合をしてもよい。辺eごとに,Λがe,λに対してGLRT評点の空分布を有すると仮定する。ここでも,ゼロ過剰ガンマ分布を辺のモデル化に用いてもよい。しかしここでは,辺ごとベースに限定される。λの空分布は漸近的にゼロ過剰χ分布(一つのパラメータを検定したとき,ゼロにおいて50%質量を有する)ことによって,このモデルが動機付けられることを再度強調しておく。
Λ=Bと仮定する。ここで,B〜ベルヌーイ分布(p),X〜ガンマ分布(τ,η),τは辺特定形状,ηは共有尺度である。すなわち,辺ごとに二つの自由パラメータp 及びτがあり,すべての辺に共通尺度パラメータηがある。MLE pe,τ及び
Figure 2017143578
 は,非重複の30分の窓からλsを用いて推定してもよい。尤度は上述の星に関して説明したものと類似するが,各辺は独自のτ及び共有尺度ηを有するため,すべての辺についてηを推定し,次に決定されたηについて個別のτを推定するステップを交互に行う反復方式が開発された。反復の各ステップが尤度を増加させるため,手続全体が尤度を増加させる。
辺のモデルが決定されると,道のp値を計算することができる。
Figure 2017143578
 を仮定する。3縦続道超過(exceedance)のp値は,次の式で与えられる混合超過である。
Figure 2017143578
ここで,共通尺度パラメータを有するガンマ分布確率変数の合計は,またガンマ分布であることを利用している。
しきい値の決定
しきい値を決定する一つの方法は,異常が発生していない辺ごとにある期間の分当たりカウントをシミュレートすることである。例えば,これを10日間実行してもよい。10分だけずれた30分の窓を10日に渡ってスライドさせ,完全探査手続の際に行うように,各窓において最小のp値を計算する。1日当たり1回の警報のようなある偽発見率を達成するために,例えばp値の結果リストにおける10番目に小さなp値を取ってもよい。窓は重複しているため,単一のp値と同一の道について,連続した窓から得られる最小のp値をカウントすることによってより控えめではないように選択し,非連続窓に関係する10番目に小さい最小p値を発見するようにしてもよい。このようにして,いくつかの重複窓に渡る警報がしきい値の決定に対して一つの警報を与えるだけになり,これが一般に分析者が一連の連続する警報を見る方法である。
本発明のいくつかの実施例は,基礎となるグラフ構造の辺に経時的に規定されたデータを用いて,異常行動を検出することに向けられている。攻撃は非常に局所的であることがあるため,本発明のいくつかの実施例では時間×グラフ積空間において,局所的に窓を適用する。この局所的な窓におけるデータに用いられた過去のモデルは,過去の振舞に従って予期されるように振る舞う。k縦続道は網を通る通過を検出するために特に効果的である。
図4は,本発明の実施例による,網上の異常な振舞を検出する方法を示している。いくつかの実施例においては,図4の方法は,例えば図2の計算システム200によって少なくとも部分的に実行することができる。正常な活動レベルを決定するために,ステップ410において網の過去のパラメータが決定される。過去のパラメータは,例えば種々の期間における辺上の連結数を含んでもよい。いくつかの実施例においては,過去のパラメータは,二つの辺種別,すなわち要素辺が個別モデルを推定するために十分なデータを有している第1種別,及び要素辺の個別モデルを推定するために十分なデータがない第2種別を考慮して設定してもよい。ある実施例においては,モデルが低カウントの辺に過度に敏感でないことを確かめるために,平均ベクトルによって第2種別の辺がパラメータ化される。
網内の複数の道は,ステップ420において,網を表すグラフの一部として列挙される。各計算システムはグラフ内のノードであってよく,二つの計算システム間の一連のコネクションは,グラフ内の有向辺であってよい。異常な振舞を検出するために,ステップ430において,スライド窓ベースで統計モデルがグラフに適用される。いくつかの実施例においては,観測マルコフモデル(OMM)が用いられる。別の実施例においては,隠れマルコフモデル(HMM)が用いられる。いくつかの実施例においては,OMM又はHMMは2状態モデルであってよい(例えば,「オン」が利用者の存在を示し,「オフ」が利用者の不在を示す)。しかし,いくつかの実施例の方法は必ずしもモデルの選択に依存しない。換言すれば,種々の実施例においては種々の統計モデルを用いてもよい。ステップ440において,検出された異常な振舞に属するデータが利用者に表示される。
統一ホスト集約エージェント(UHCA)
アンチウィルスソフトウェア及びファイアウォールのようなセキュリティアプリケーションを動作させることによって,ホストを保護するホストエージェントを用いてもよい。ホストエージェントは一般に,異常検出のためにホストからサーバへデータをアップロードする統一ホスト集約エージェント(UHCA)を用いる。しかし,本発明のいくつかの実施例は,ホストからほかの機械への網接続,その接続に関係するプロセス,そのプロセスに関係する実行可能ファイル,等を含むデータを提供するためにUHCAを用いる。
便宜のため,ホストから直接データを得る代わりに,2次サーバ源からデータが収集される。いくつかの実施例は,新規イベントを生成するためにこの観測情報を考慮に入れる。サーバはホストに対して片方向通信を有してもよく,それによってサーバは多数のホストエージェントからメッセージを受信する。いくつかの実施例における双方向通信の欠如は効率を増加させる。
多くの実施例において,効果的運用に完全なデータ収集は必要ないため,いくつかの実施例は利用者データグラムプロトコル(UDP)を用いる。これらの実施例は,できるだけ多くの情報を捕捉してもよいが,いくつかを取り損ねても,異常検出は一般に依然として効果的に機能する。この「損失のある」(lossy)収集方式は,パケット配信がTCPによって実装された方法では保証されないため,通信が片方向であることを可能にする。このことはまた,TCPベースの方式よりも多いデータ量を許可する。
いくつかの実施例においては,UDPストリームは暗号化され,それによって網データが保護される。処理が重要な問題であり,データ管理は大規模システムにおいては困難である。それでもなお,いくつかの実施例は強力な暗号化を提供し,プライバシを保証することができる。いくつかの実施例は,損失のある性質によって,セキュリティに必要な追加処理を提供することを支援する。
いくつかの実施例はUDPを使用しつつ,パケットのシーケンス番号を用いてパケット損失を検出することができる。媒体接続制御(MAC)アドレス及びシーケンス番号を用いて,機械ごとベースでパケットを追跡することができる。この情報はまた,異常検出と独立に用いてもよい。例えば,この情報は所与のホスト上のデータを監視するための科学捜査に用いることができる。例えば,特定のホストがマルウェアを有するか否かを判定するために,実行可能ファイルのチェックサムをリストに置いてもよい。
ほとんどのデータ集約基盤設備(infrastructure)の弱点は,網内の内部ノード間の可視性が限られることである。攻撃者の検出を改善するために,端点可視性を強化することが望ましい。包括的端点可視性は一般に,網ホストレベルでソフトウェアを展開することを必要とする。すべての網スイッチが,下位網レベルでの網フローデータを集約することができる訳ではない。同様に,DNSデータ可視性は通常,キャッシュの影響を受け,目的のホストにコネクションを設定するとき,敵がIPアドレスではなくホスト名を用いることを要求する。
端点可視性を改善するために,いくつかの実施例は,Windows(登録商標),Mac OS(登録商標),Linux(登録商標),Android(登録商標)のような種々のオペレーティングシステム上で動作するクロスプラットホームソフトウェアエージェント(以降,「エージェント」と呼ぶ)を用いる。UHCAはいくつかの実施例においてPythonで書かれ,種々の目的オペレーティングシステムに適応し,拡大することを容易にしている。しかし,任意の所望のプログラム言語又はアセンブリコードを用いてもよい。エージェントの主な目的はデータ集約であり,エージェントはホストオペレーティングシステムに最小の影響を与えるように設計することができる。試験によって,エージェントのいくつかの実施例は単一CPUコアの2〜8%しか使用しないことを示した。エージェントはシステム状態及びイベントを収集し,JSON符号化ログ(JEL)と呼ばれるJavaScript(登録商標) Object Notation(JSON)レコードとして符号化してもよい。いくつかの実施例においては,すべてのJELが,生成時刻スタンプ,エージェントID(例えばMACアドレス),エージェントのIPアドレス,オペレーティングシステムの種別及びレコード種別(例えば,網接続状態)を含む。
JELは暗号化されたUDPパケットによって1又は複数の中央集約サーバに比較的頻繁な間隔(例えば1〜5分)で転送してもよい。いくつかの実施例においては,エージェント設定ファイルに複数のサーバを指定してもよく,システムが横に拡大縮小することを可能にする。エージェントの集約能力は,開始プロセスイメージのチェックサムを含むプロセス終了開始情報,網接続イベントログ,実行されているプロセスと設定されている網接続との対応付け,及び現在の網接続状態を含んでもよい。
網ポーリング状態
異常な道を検出するために,いくつかの実施例はホスト間の網通信を示す値の三つ組(時間,送信元IPアドレス,あて先IPアドレス)のリストを取得する。このような実施例をUHCAデータを活用するために拡張するために,エージェントは一般に,目的のプラットホームのすべてに渡る統一ホスト網通信情報を報告することが望ましい。Linux(登録商標)においては,このデータを生成するためにprocfs(特に,/proc/tcp及び/proc/udp)を用いてもよい。OS X(登録商標)及びAndroid(登録商標)による実現ではnetstatの実行出力をパースしてもよいが,最適な方法ではない。Windows(登録商標)のエージェントは,Python ctype Windows(登録商標) IP helperモジュールのGetExtendedTcpTableメソッド(ctypes.windll.iphlpapi.GetExtendedTcpTable)を用いてもよく,これはprocfs及びnetstatと類似の網状態情報を提供する。
いくつかの実施例においては,データは1秒又は任意のほかの所望の期間ごとにポーリングされる。当然に,ポーリングが頻繁なほどより多くのデータが分析に利用でき,捕捉される可能性が高い接続種別は短くなる。1秒ごとにポーリングすることの欠点は,短命な(すなわち,秒以下)接続は通常エージェントが見過ごすことである。これは多くの検出技法の課題であり得るが,いくつかの実施例の焦点は,網の通過を対話的に検出できることである。自動化された通過でさえ,目的ノードで状態を維持するために,通常は1秒以上の分析(resolution)を必要とする。
短命な接続を見失う問題に対処するために,TCP時間待機状態(time wait state)を用いることが有利である。クライアントがTCP上でサーバと通信するとき,サーバはTCP接続の状態を維持する。通信が終了したとき,サーバは一般に,一定の期間,普通30秒かそれ以上のTIME_WAIT状態に接続情報を維持しなければならない。この長い時間窓は,エージェントが,別のやり方では見失ったであろう,秒以下の網通信に関する情報を捕捉できるようにする。後処理において,試験によって対応する設定された接続エントリを有していなかった時間待機状態のエントリがあるか否かが分かる。このような接続はいずれも短命接続として報告してもよい。
いくつかの実施例は三つ組のリストを必要とするだけであるが,UHCAは,網接続についての出来る限りの詳細を,ほかのアプリケーションに提供するために集約サーバに返送してもよい。データは,例えば,少量の試験データのためのスクリプト,又はより大きなジョブのためのMapReduceを用いて三つ組に後処理される。網接続におけるほかの分野において,JELは,送信元及びあて先ポート,接続状態(確立,聴取,時間待機,等),接続と関係するプロセスID,1分の時間窓内又は任意のほかの所望の時間窓で接続が活性であった秒数を含んでもよい。いくつかの実施例は,異常検出のために,ポート情報を活用して個別の通信をより良く区別し,カウント情報を用いて,平均及び分散のような統計量をカウントから収集することによって辺の重みを設定してもよい。
試験において,UHCAを組み込んだいくつかの実施例は,UHCA無しのいくつかの実施例の辺検出率の約2倍を示した。例えば,合計30個の辺を有する一つの試験において,UHCA無しの実施例は30個の辺のうち14(46.7%)を検出し,一方UHCA有りの実施例は30個の辺のうち27個(90%)を検出した。道は15個の名称辺及び15個のIP辺からなっていた。この場合,UHCA無しの実施例は最大理論検出率50%であり,UHCA有りの実施例は最大理論検出率100%である。
図5A〜5Dの下部は,この実験において生成された5個の試験道のうち4個の部分道(subpath)を示す。一貫性のために,各道の最初の4個の辺を表示しているが,いくつかの道はより多くの辺を含む。辺が省略されているすべての場合において,この方法は示された最後の辺を検出すると,引き続いて残りの辺を検出する。方法が最後の辺を検出することに失敗すると,残りのすべての辺を見逃し続ける。
図5A〜Dにおいて,ノード(すなわち,網ホスト)は丸印で描かれ,辺(すなわち,網通信)は,あて先ノードを指す菱型の短点を有する線(名称辺),又は矢型端点を有する線(IP辺)のいずれかで描かれる。DNS及びUHCAのラベルが付けられた棒は,各方法の検出長を示すために用いられる。棒が長いほど長く検出された道を示す。短い棒又は棒がないときは,道内の辺を検出することに失敗したことを強調する。
図5Aは,本発明の実施例による名称辺だけを用いて生成された道を示す道の図500である。道は6個の辺を有する道(6縦続道)の検出結果を示し,すべての辺はホスト名参照によって生成された。予想通り,この道は非UHCA DNS道検出方式(以降,「DNS方式」という)によって成功裏に検出された。驚くべきことに,UHCA方式は道の最初の2辺を見逃したが,UHCA方式はその後の道を拾い上げ,残りの4辺を検出した。
データを詳細に分析した後,道内(2番目のホップ)に関わる一つのホストが機関のサーバとして機能し,定常的に多数の新規コネクションを生成していると判定された。いくつかの実施例においては,新規な辺の振舞がモデル化されているため,ソフトウェアはこのサーバが新規の辺を生成すると予想した。したがって,このサーバを通る道通過(path traverse)は異常度が低く,警報しきい値を超えなかったと認定された。これは面白い結果であり,すべての新規の辺(すなわち,すべて新規の辺からなる道)を単に異常と判定することに対して,いくつかの実施例のモデルの使用を正当化するものである。このようなモデル無しでは,このサーバを通るすべての道が警報を生じさせ,偽警報率を増加させる。
図5Bは,本発明の実施例による,IP辺だけを用いて生成された道を示す道の図510である。この道はすべてIP辺で生成された7縦続道である。この実験は正確に予期したとおりに振る舞った。UHCA方式はすべての辺を検出し,DNS方式はどの辺も検出しなかった。この種の網通過で生成されるDNS活動はないため,DNS方式ではこの種の道を全く検出することはできない。
図5Cは,本発明の実施例による,3個の名称辺で始まり,IP辺で終わる道を表す道の図520である。この道は6縦続道であり,最初の3個の辺は名称辺で生成され,最後の3個の辺はIP辺で生成された。DNS方式は予想どおり最初の3個の辺は検出できたが,IP辺を検出することはできなかった。UHCA方式は予想どおり,道全体を検出できた。
この未知の別の変形も同様に試験したが,簡潔にするため結果は示していない。この5縦続道においては,道は2個のIP辺で始まり,3個の名称辺が続く。UHCA方式は道全体を検出したが,DNS方式は名称辺に切り替わった後の道だけを検出した。
図5Dは,本発明の実施例による,名称辺とIP辺とを交番させた道を示す道の図530である。この道は6縦続道であい,辺は名称辺とIP辺とを交番する。予想ではこの道はDNS方式では検出不能であり,UHCAによって全体が検出されると考えられた。実際には,UHCA方式は道全体を検出し,DNS方式は道の最初の辺を検出できた。データを分析すると,この辺はDNS方式で発見された無関係の3縦続道の一部であることが分かった。この辺は,この試験用の道に選択された辺に偶然関係したものであった。
これらの初期結果は,UHCA方式が攻撃者の検出を改善することにつながるという仮説を検証できたという点で勇気づけられるものである。この結果はまた,DNS方式が予想検出率に近い性能であることを検証した。
異常性に基づくデータの収集
各ホスト上のすべての利用可能なデータは,特に大きな網ではデータ量が膨大であるため,いつでも収集できる訳ではない。その代わり,ここで説明する異常検出方法によって決定された,当該ホスト上の異常性レベルに比例して収集してもよい。異常性のレベルが低いときは,基本網接続性(例えば,DNS参照)及びプロセス情報を収集してもよい。中レベルでは,より完全な網振舞データ(例えば,NetFlowデータ)と共に,より多くのプロセス報告(process accounting)及びサービスを収集してもよい。高レベルでは,プロセス報告,サービス,公開ファイル等を含む完全なホスト振舞情報を,網可視性用の完全なパケット捕捉と共に収集してもよい。いくつかの場合,網の局所的な範囲でだけこれを行ってもよく,異常検出によって駆動される。これは,これらのホストについてより高い品質の検出能力を提供するが,同時に,異常に応答する分析者に高品質の科学捜査情報も提供する。
いくつかの実施例においては,ここで説明した道通過方法によって異常レベルを決定してもよい。ノードを通る道通過は,各ノードで収集された現在データによればほんのわずかな異常と認定されることがある。しかし,この道内のノードが中レベルの異常性で振る舞っているときは,道内の各ホストにおいてより包括的なデータを収集してもよい。より良い忠実性を提供するために,このデータをアルゴリズムに反映させてもよく,それによってアルゴリズムはこの道についてより高品質な決定を行うことができる(例えば,より低い偽陽性率及びより高い真陽性率)。この新たな,より高忠実度のデータが異常と認定され続けるときは,ホストにおいて全パケットの捕捉及びプロセス報告を有効にしてもよく,それによって,セキュリティ応答要員が使用するための高品質異常検出データ及び全科学捜査データを提供することができる。
図6は,本発明の実施例による,異常に属するデータを収集するためにUHCAを利用する方法のフローチャート600である。いくつかの実施例において,図6の方法は,例えば図2の計算システム200によって少なくとも部分的に実行してもよい。方法は,ステップ610において,データを求めて複数のホストエージェントを周期的にポーリングすることから始まる。ステップ620において,データは網内の対応するホストによって送受信される網通信に属する複数のホストエージェントから収集される。いくつかの実施例においては,収集されたデータをUDPを介してホストエージェントから片方向通信で送信してもよい。ホストごとに収集されたデータは,開始プロセスイメージのチェックサム,網接続イベントログ,実行プロセスと設定された網接続との対応付け,現在の網接続状態を含むプロセス停止開始情報を含んでもよい。収集されたデータは,ホスト間の網通信を示す三つ組の値のリストを含んでもよく,各三つ組は通信が発生した時刻,送信元IPアドレス,あて先IPアドレスを含んでもよい。
いくつかの実施例においては,データは,対応するホストの異常性レベルに比例して収集してもよい。低レベルの異常性では,基本確率的方式からの派生と考えられるとおり,基本網接続性及びプロセス情報を集約してもよい。中レベルの異常性では,より多くのプロセス報告及びサービス,並びにより完全な網振舞データを収集してもよい。高レベルの異常性では,完全なホスト振舞情報を収集し,完全なパケット捕捉を行ってもよい。
ステップ630において,所定の期間内の異常振舞を検出するために,収集したデータを分析する。ステップ640において短期間接続を検出するためにTCP待機状態が用いられ,ステップ650において,カウント情報を用いてカウント加重値が設定される。異常振舞が検出されたときは,ステップ660において,所定の期間に異常振舞が生じたという指示が提供される。
図4及び6において実行される方法ステップは,少なくとも,本発明の実施例による,図4及び6に説明される方法を実行するために,非線形適応型プロセッサ用の命令を符号化した計算機プログラム製品によって実行してもよい。計算機プログラム製品は計算機可読媒体で実現してもよい。計算機可読媒体は,限定するものではないが,ハードディスクドライブ,フラッシュ素子,ランダムアクセスメモリ,テープ,又はデータを記憶するために用いられる任意のほかのそのような媒体であってよい。計算機プログラム製品は,図4及び6で説明した方法を実現するように非線形適応型プロセッサを制御する符号化された命令を含んでもよく,それらはまた計算機可読媒体に記憶させることもできる。
計算機プログラム製品はハードウェア,ソフトウェア又は混成実装で実現できる。計算機プログラム製品は,互いに通信するように動作し,情報又は命令を表示装置に渡すように設計されたモジュールからなってもよい。計算機プログラム製品は,はん用計算機又は特定用途集積回路(ASIC)で動作するように構成してもよい。
本願の図面において概略説明及び図示した,本発明の種々の実施例の構成要素は,広範な別の構成で配置及び設計してもよいことは容易に理解されるであろう。したがって,添付の図面に表した,本発明の実施例に詳細な説明は請求した発明の範囲を限定するものではなく,本発明の選択された実施例を代表するものに過ぎない。
本明細書を通じて説明した本発明の特徴,構造及び特性は,1又は複数の実施例において任意の適切な方法で組み合わせてもよい。例えば,本明細書を通じて,「ある実施例」,「いくつかの実施例において」又は類似の表現への言及は,実施例に関係して説明した特定の特徴,構造又は特性が本発明の少なくとも一つの実施例に含まれることを意味する。したがって,本明細書を通じて,「ある実施例において」,「いくつかの実施例において」,「別の実施例において」又は類似の表現の句の出現は,必ずしもすべてが同一グループの実施例を指すものではなく,1又は複数の実施例においては,説明された特徴,構造又は特性を任意の適切な方法で組み合わせてもよい。
本明細書を通じて,特徴,利点,又は類似の表現への言及は,本発明で実現できる特徴及び利点のすべてが,本発明の任意の一つの実施例にあることを暗示しないことに注意されたい。反対に,特徴及び利点に言及する表現は,実施例に関係して説明された特定の特徴,利点又は特性が,本発明の少なくとも一つの実施例に含まれることを意味すると理解されたい。したがって,本明細書を通じて,特徴及び利点並びに類似の表現の説明は必ずしも同一の実施例を指すものではない。
さらに,1又は複数の実施例においては,本発明の説明された特徴,利点及び特性を任意の適切な方法で組み合わせてもよい。当業者であれば,本発明を特定の実施例の特定の特徴又は利点のうち1又は複数を省いて実施してもよいことを理解するであろう。本発明のすべての実施例にある訳ではないほかの例,追加の特徴及び利点は,ある実施例において認識されることがある。
当業者であれば,上述の発明は,開示されたものと異なる順序のステップ及び/又は異なる構成の要素で実現してもよいことを容易に理解するであろう。したがって,本発明は好適な実施例に基づいて説明されたが,当業者には,本発明の思想及び範囲内に留まる一定の修正物,変形物及び代替構成が存在することは明白であろう。したがって,本発明の境界及び範囲を決定するためには本願の請求項を参照することが望ましい。

Claims (22)

  1. 計算システムが,正常活動レベルを決定するために網の上の各辺の基本統計モデルの過去のパラメータを決定するステップと,
    前記計算システムが,前記網を表すグラフの一部として前記網内の複数のk縦続道を列挙するステップであって,前記網内の各計算システムは前記グラフ内のノードを為し,二つの計算システム間の一連のコネクションは,前記網内の有向辺を為す,ステップと,
    前記計算システムが,前記グラフ内の前記複数のk縦続道に時間のスライド窓ベースで観測マルコフモデル(OMM)又は隠れマルコフモデル(HMM)を適用するステップと,
    前記計算システムが,前記の適用されたOMM又はHMMに基づいて異常振舞を検出するステップと,
    を有する計算機で実現される方法。
  2. 前記の検出された異常振舞に属するデータを利用者に表示するステップを更に有する,請求項1に記載の計算機で実現される方法。
  3. 前記OMM又は前記HMMは2状態モデルを有し,
    「オン」状態は利用者の存在を示し,
    「オフ」状態は前記利用者の不在を示す,請求項1に記載の計算機で実現される方法。
  4. 前記計算システムは,少なくとも二つの辺種別を考慮に入れて前記過去のパラメータを決定する,請求項1に記載の計算機で実現される方法。
  5. 第1辺種別は個別モデルを推定するために十分なデータを有する要素辺を有し,
    第2辺種別は,要素辺であって該要素辺の個別モデルを推定するために十分なデータがない,要素辺を有する,請求項4に記載の計算機で実現される方法。
  6. 前記第2辺種別は,モデルが低カウント辺に過度に敏感でないことを確実にするために,平均ベクトルによってパラメータ化される,請求項5に記載の計算機で実現される方法。
  7. 前記計算システムが,前記網内の対応するホストによって送受信された網通信に属する複数のホストエージェントから異常に属するデータを収集するステップと,
    所定の期間内の異常振舞を検出するために前記の収集したデータを分析するステップと,
    を更に有する,請求項1に記載の計算機で実現される方法。
  8. 少なくとも一つプロセッサと,
    計算機プログラム命令を記憶するメモリであって,前記命令は,前記少なくとも一つのプロセッサで実行されたとき,前記少なくとも一つのプロセッサに,
    正常活動レベルを決定するために網の上の各辺の基本統計モデルの過去のパラメータを決定し,
    前記網を表すグラフの一部として前記網内の複数のk縦続道を列挙し,前記網内の各計算システムは前記グラフ内のノードを為し,二つの計算システム間の一連のコネクションは,前記網内の有向辺を為し,
    前記グラフ内の前記複数のk縦続道に時間のスライド窓ベースで統計モデルを適用し,
    前記の適用された統計モデルに基づいて異常振舞を検出させる,
    ように構成される,装置。
  9. 前記計算機プログラム命令は,前記少なくとも一つのプロセッサに,前記の検出された異常振舞に属するデータを利用者に表示させるように更に構成される,請求項8に記載の装置。
  10. 前記統計モデルは,観測マルコフモデル(OMM)又は隠れマルコフモデル(HMM)を為す,請求項8に記載の装置。
  11. 前記OMM又は前記HMMは2状態モデルを有し,
    「オン」状態は利用者の存在を示し,
    「オフ」状態は前記利用者の不在を示す,請求項10に記載の装置。
  12. 前記計算機プログラム命令は,前記少なくとも一つのプロセッサに,少なくとも二つの辺種別を考慮に入れて,前記過去のパラメータを決定させるように更に構成される,請求項8に記載の装置。
  13. 第1辺種別は個別モデルを推定するために十分なデータを有する要素辺を有し,
    第2辺種別は,要素辺であって該要素辺の個別モデルを推定するために十分なデータがない,要素辺を有する,請求項12に記載の装置。
  14. 前記第2辺種別は,モデルが低カウント辺に過度に敏感でないことを確実にするために,平均ベクトルによってパラメータ化される,請求項13に記載の装置。
  15. 前記計算機プログラム命令は,前記少なくとも一つのプロセッサに,
    前記網内の対応するホストによって送受信された網通信に属する複数のホストエージェントから異常に属するデータを収集し,
    所定の期間内の異常を検出するために前記の収集したデータを分析させる,
    ように更に構成される,請求項8に記載の装置。
  16. 網内の異常振舞を検出するように構成された計算機プログラム命令を記憶するメモリと,
    前記の記憶された計算機プログラム命令を実行するように構成された複数の処理コアと,を備えるシステムであって,前記複数の処理コアは,
    正常活動レベルを決定するために網の上の各辺の基本統計モデルの過去のパラメータを決定し,
    前記網を表すグラフの一部として前記網内の複数のk縦続道を列挙し,前記網内の各計算システムは前記グラフ内のノードを為し,二つの計算システム間の一連のコネクションは,前記網内の有向辺を為し,
    前記グラフ内の前記複数のk縦続道に時間のスライド窓ベースで統計モデルを適用し,
    前記の適用された統計モデルに基づいて,異常振舞を検出する,
    ように構成される,システム。
  17. 前記複数の処理コアは,前記の検出された異常振舞に属するデータを利用者に表示するように更に構成される,請求項16に記載のシステム。
  18. 前記統計モデルは,観測マルコフモデル(OMM)又は隠れマルコフモデル(HMM)を為す,請求項16に記載のシステム。
  19. 前記OMM又は前記HMMは2状態モデルを有し,
    「オン」状態は利用者の存在を示し,
    「オフ」状態は前記利用者の不在を示す,請求項18に記載のシステム。
  20. 前記複数の処理コアは,少なくとも二つの辺種別を考慮に入れて,前記過去のパラメータを決定するように更に構成され,
    第1辺種別は個別モデルを推定するために十分なデータを有する要素辺を有し,
    第2辺種別は,要素辺であって該要素辺の個別モデルを推定するために十分なデータがない,要素辺を有する,請求項16に記載のシステム。
  21. 前記第2辺種別は,モデルが低カウント辺に過度に敏感でないことを確実にするために,平均ベクトルによってパラメータ化される,請求項20に記載のシステム。
  22. 前記複数の処理コアは,
    前記網内の対応するホストによって送受信された網通信に属する複数のホストエージェントから異常に属するデータを収集し,
    所定の期間内の異常振舞を検出するために前記の収集したデータを分析する,ように更に構成される,請求項16に記載のシステム。
JP2017088048A 2012-03-22 2017-04-27 異常部分グラフの検出のための道探査及び異常/変更検出及び網状況認知のためのdns要求及びホストエージェントの使用 Expired - Fee Related JP6378395B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US201261614148P 2012-03-22 2012-03-22
US61/614,148 2012-03-22

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2015501780A Division JP6139656B2 (ja) 2012-03-22 2013-03-14 異常部分グラフの検出のための道探査及び異常/変更検出及び網状況認知のためのdns要求及びホストエージェントの使用

Publications (2)

Publication Number Publication Date
JP2017143578A true JP2017143578A (ja) 2017-08-17
JP6378395B2 JP6378395B2 (ja) 2018-08-22

Family

ID=49213611

Family Applications (3)

Application Number Title Priority Date Filing Date
JP2015501780A Expired - Fee Related JP6139656B2 (ja) 2012-03-22 2013-03-14 異常部分グラフの検出のための道探査及び異常/変更検出及び網状況認知のためのdns要求及びホストエージェントの使用
JP2015501782A Expired - Fee Related JP6148323B2 (ja) 2012-03-22 2013-03-14 計算機ネットワークにおいて調整グループ攻撃を識別する異常検出
JP2017088048A Expired - Fee Related JP6378395B2 (ja) 2012-03-22 2017-04-27 異常部分グラフの検出のための道探査及び異常/変更検出及び網状況認知のためのdns要求及びホストエージェントの使用

Family Applications Before (2)

Application Number Title Priority Date Filing Date
JP2015501780A Expired - Fee Related JP6139656B2 (ja) 2012-03-22 2013-03-14 異常部分グラフの検出のための道探査及び異常/変更検出及び網状況認知のためのdns要求及びホストエージェントの使用
JP2015501782A Expired - Fee Related JP6148323B2 (ja) 2012-03-22 2013-03-14 計算機ネットワークにおいて調整グループ攻撃を識別する異常検出

Country Status (7)

Country Link
US (11) US9560065B2 (ja)
EP (3) EP2828752B1 (ja)
JP (3) JP6139656B2 (ja)
CN (2) CN104303152B (ja)
AU (8) AU2013272215B2 (ja)
CA (2) CA2868054C (ja)
WO (2) WO2013184206A2 (ja)

Families Citing this family (131)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2013272215B2 (en) 2012-03-22 2017-10-12 Imperial Innovations Limited Anomaly detection to identify coordinated group attacks in computer networks
US20140041032A1 (en) * 2012-08-01 2014-02-06 Opera Solutions, Llc System and Method for Detecting Network Intrusions Using Statistical Models and a Generalized Likelihood Ratio Test
US9813307B2 (en) * 2013-01-28 2017-11-07 Rackspace Us, Inc. Methods and systems of monitoring failures in a distributed network system
US9483334B2 (en) * 2013-01-28 2016-11-01 Rackspace Us, Inc. Methods and systems of predictive monitoring of objects in a distributed network system
US9397902B2 (en) 2013-01-28 2016-07-19 Rackspace Us, Inc. Methods and systems of tracking and verifying records of system change events in a distributed network system
EP2785008A1 (en) * 2013-03-29 2014-10-01 British Telecommunications public limited company Method and apparatus for detecting a multi-stage event
EP2785009A1 (en) * 2013-03-29 2014-10-01 British Telecommunications public limited company Method and apparatus for detecting a multi-stage event
US8996889B2 (en) * 2013-03-29 2015-03-31 Dropbox, Inc. Portable computing device with methodologies for client-side analytic data collection
US9443075B2 (en) * 2013-06-27 2016-09-13 The Mitre Corporation Interception and policy application for malicious communications
EP2975538B1 (en) * 2014-01-31 2020-11-25 Max-Planck-Gesellschaft zur Förderung der Wissenschaften e.V. Computer-implemented method and apparatus for determining relevance of a node in a network
US11782995B2 (en) * 2014-01-31 2023-10-10 MAX-PLANCK-Gesellschaft zur Förderung der Wissenschaften e.V. Computer-implemented method and apparatus for determining a relevance of a node in a network
WO2016022705A1 (en) * 2014-08-05 2016-02-11 AttackIQ, Inc. Cyber security posture validation platform
US10666676B1 (en) * 2014-08-18 2020-05-26 Trend Micro Incorporated Detection of targeted email attacks
EP3200115B1 (en) * 2014-10-14 2019-01-09 Nippon Telegraph and Telephone Corporation Specification device, specification method, and specification program
PL3095034T3 (pl) 2014-10-21 2019-11-29 Ironnet Cybersecurity Inc Układ zabezpieczeń cybernetycznych
WO2016164050A1 (en) * 2015-04-10 2016-10-13 Hewlett Packard Enterprise Development Lp Network anomaly detection
US10305917B2 (en) * 2015-04-16 2019-05-28 Nec Corporation Graph-based intrusion detection using process traces
US10476754B2 (en) * 2015-04-16 2019-11-12 Nec Corporation Behavior-based community detection in enterprise information networks
US10015175B2 (en) * 2015-04-16 2018-07-03 Los Alamos National Security, Llc Detecting anomalous behavior via user authentication graphs
WO2016190868A1 (en) * 2015-05-28 2016-12-01 Hewlett Packard Enterprise Development Lp Processing network data using a graph data structure
EP3287909B1 (en) * 2015-06-02 2019-07-03 Nippon Telegraph and Telephone Corporation Access classification device, access classification method, and access classification program
US9779222B2 (en) * 2015-06-25 2017-10-03 Extreme Networks, Inc. Secure management of host connections
US10430721B2 (en) * 2015-07-27 2019-10-01 Pivotal Software, Inc. Classifying user behavior as anomalous
US10425447B2 (en) * 2015-08-28 2019-09-24 International Business Machines Corporation Incident response bus for data security incidents
US20220255926A1 (en) * 2015-10-28 2022-08-11 Qomplx, Inc. Event-triggered reauthentication of at-risk and compromised systems and accounts
US10673887B2 (en) * 2015-10-28 2020-06-02 Qomplx, Inc. System and method for cybersecurity analysis and score generation for insurance purposes
US20210281609A1 (en) * 2015-10-28 2021-09-09 Qomplx, Inc. Rating organization cybersecurity using probe-based network reconnaissance techniques
US20210226928A1 (en) * 2015-10-28 2021-07-22 Qomplx, Inc. Risk analysis using port scanning for multi-factor authentication
US11070592B2 (en) 2015-10-28 2021-07-20 Qomplx, Inc. System and method for self-adjusting cybersecurity analysis and score generation
US11297109B2 (en) 2015-10-28 2022-04-05 Qomplx, Inc. System and method for cybersecurity reconnaissance, analysis, and score generation using distributed systems
US10560483B2 (en) * 2015-10-28 2020-02-11 Qomplx, Inc. Rating organization cybersecurity using active and passive external reconnaissance
US11563741B2 (en) * 2015-10-28 2023-01-24 Qomplx, Inc. Probe-based risk analysis for multi-factor authentication
US11388198B2 (en) 2015-10-28 2022-07-12 Qomplx, Inc. Collaborative database and reputation management in adversarial information environments
US11468368B2 (en) * 2015-10-28 2022-10-11 Qomplx, Inc. Parametric modeling and simulation of complex systems using large datasets and heterogeneous data structures
US10742647B2 (en) * 2015-10-28 2020-08-11 Qomplx, Inc. Contextual and risk-based multi-factor authentication
US11968239B2 (en) 2015-10-28 2024-04-23 Qomplx Llc System and method for detection and mitigation of data source compromises in adversarial information environments
NL2015680B1 (en) * 2015-10-29 2017-05-31 Opt/Net Consulting B V Anomaly detection in a data stream.
CN105426764A (zh) * 2015-11-16 2016-03-23 北京航空航天大学 一种基于子模优化的并行异常子图检测方法与系统
US10375095B1 (en) * 2015-11-20 2019-08-06 Triad National Security, Llc Modeling behavior in a network using event logs
US9985982B1 (en) * 2015-12-21 2018-05-29 Cisco Technology, Inc. Method and apparatus for aggregating indicators of compromise for use in network security
US10148690B2 (en) * 2015-12-21 2018-12-04 Symantec Corporation Accurate real-time identification of malicious BGP hijacks
US11868853B2 (en) * 2016-02-26 2024-01-09 Nippon Telegraph And Telephone Corporation Analysis device, analysis method, and analysis program
CN105824754B (zh) * 2016-03-17 2018-11-13 广州多益网络股份有限公司 客户端程序的Python异常捕获和上传的方法
US10333815B2 (en) * 2016-03-17 2019-06-25 Nec Corporation Real-time detection of abnormal network connections in streaming data
US10389741B2 (en) * 2016-03-24 2019-08-20 Cisco Technology, Inc. Edge-based detection of new and unexpected flows
US10218727B2 (en) 2016-03-24 2019-02-26 Cisco Technology, Inc. Sanity check of potential learned anomalies
US10389606B2 (en) * 2016-03-25 2019-08-20 Cisco Technology, Inc. Merging of scored records into consistent aggregated anomaly messages
US10826933B1 (en) * 2016-03-31 2020-11-03 Fireeye, Inc. Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints
US10893059B1 (en) 2016-03-31 2021-01-12 Fireeye, Inc. Verification and enhancement using detection systems located at the network periphery and endpoint devices
CN105871865A (zh) * 2016-04-26 2016-08-17 浪潮集团有限公司 基于OpenFlow的IaaS云安全状态转移分析系统
US11212297B2 (en) 2016-06-17 2021-12-28 Nippon Telegraph And Telephone Corporation Access classification device, access classification method, and recording medium
ES2728337T3 (es) 2016-07-14 2019-10-23 Ironnet Cybersecurity Inc Simulación y realidad virtual basada en sistemas de comportamiento cibernético
EP3507725A4 (en) * 2016-08-31 2020-05-06 3M Innovative Properties Company SYSTEMS AND METHODS FOR MODELING, ANALYZING, DETECTING AND MONITORING FLUID NETWORKS
EP3291120B1 (en) 2016-09-06 2021-04-21 Accenture Global Solutions Limited Graph database analysis for network anomaly detection systems
US10476896B2 (en) * 2016-09-13 2019-11-12 Accenture Global Solutions Limited Malicious threat detection through time series graph analysis
US10129274B2 (en) * 2016-09-22 2018-11-13 Adobe Systems Incorporated Identifying significant anomalous segments of a metrics dataset
TWI648650B (zh) * 2017-07-20 2019-01-21 中華電信股份有限公司 閘道裝置、其惡意網域與受駭主機的偵測方法及非暫態電腦可讀取媒體
CN107483438A (zh) * 2017-08-15 2017-12-15 山东华诺网络科技有限公司 一种基于大数据的网络安全态势感知预警系统和方法
US11122066B2 (en) * 2017-09-26 2021-09-14 Jpmorgan Chase Bank, N.A. Cyber security enhanced monitoring
BR112020007076B1 (pt) * 2017-11-08 2021-02-23 Tetra Laval Holdings & Finance S.A método para determinar um nível de risco microbiológico em um lote de alimentos, mídia legível por computador, e, sistema para determinar um nível de risco microbiológico em um lote de alimentos
US11184369B2 (en) * 2017-11-13 2021-11-23 Vectra Networks, Inc. Malicious relay and jump-system detection using behavioral indicators of actors
US10567156B2 (en) 2017-11-30 2020-02-18 Bank Of America Corporation Blockchain-based unexpected data detection
CN108234492B (zh) * 2018-01-02 2020-05-22 国网四川省电力公司信息通信公司 考虑负荷数据虚假注入的电力信息物理协同攻击分析方法
AT520746B1 (de) * 2018-02-20 2019-07-15 Ait Austrian Inst Tech Gmbh Verfahren zur Erkennung von anormalen Betriebszuständen
US11296960B2 (en) 2018-03-08 2022-04-05 Nicira, Inc. Monitoring distributed applications
DE102018206737A1 (de) * 2018-05-02 2019-11-07 Robert Bosch Gmbh Verfahren und Vorrichtung zur Kalibrierung eines Systems zur Erkennung von Eindringversuchen in einem Rechnernetzwerk
CN108990089B (zh) * 2018-06-21 2022-02-22 中国铁道科学研究院集团有限公司通信信号研究所 移动通信网络多探测窗口联合检测分析方法
RU2697958C1 (ru) * 2018-06-29 2019-08-21 Акционерное общество "Лаборатория Касперского" Система и способ обнаружения вредоносной активности на компьютерной системе
AU2019319155A1 (en) * 2018-08-07 2021-03-18 Triad National Security, Llc Modeling anomalousness of new subgraphs observed locally in a dynamic graph based on subgraph attributes
US11122065B2 (en) 2018-08-14 2021-09-14 Vmware, Inc. Adaptive anomaly detection for computer systems
US10684909B1 (en) * 2018-08-21 2020-06-16 United States Of America As Represented By Secretary Of The Navy Anomaly detection for preserving the availability of virtualized cloud services
US11005868B2 (en) * 2018-09-21 2021-05-11 Mcafee, Llc Methods, systems, and media for detecting anomalous network activity
US11171975B2 (en) * 2018-09-25 2021-11-09 Cisco Technology, Inc. Dynamic inspection of networking dependencies to enhance anomaly detection models in a network assurance service
US11228603B1 (en) * 2018-09-27 2022-01-18 Juniper Networks, Inc. Learning driven dynamic threat treatment for a software defined networking environment
US11941054B2 (en) * 2018-10-12 2024-03-26 International Business Machines Corporation Iterative constraint solving in abstract graph matching for cyber incident reasoning
US11184374B2 (en) 2018-10-12 2021-11-23 International Business Machines Corporation Endpoint inter-process activity extraction and pattern matching
US10956566B2 (en) 2018-10-12 2021-03-23 International Business Machines Corporation Multi-point causality tracking in cyber incident reasoning
US11194910B2 (en) * 2018-11-02 2021-12-07 Microsoft Technology Licensing, Llc Intelligent system for detecting multistage attacks
CN109302418B (zh) * 2018-11-15 2021-11-12 东信和平科技股份有限公司 一种基于深度学习的恶意域名检测方法及装置
EP3663951B1 (en) 2018-12-03 2021-09-15 British Telecommunications public limited company Multi factor network anomaly detection
WO2020114922A1 (en) 2018-12-03 2020-06-11 British Telecommunications Public Limited Company Detecting anomalies in computer networks
EP3891637A1 (en) 2018-12-03 2021-10-13 British Telecommunications public limited company Detecting vulnerability change in software systems
CN109753797B (zh) * 2018-12-10 2020-11-03 中国科学院计算技术研究所 针对流式图的密集子图检测方法及系统
EP3681124B8 (en) * 2019-01-09 2022-02-16 British Telecommunications public limited company Anomalous network node behaviour identification using deterministic path walking
US11095540B2 (en) * 2019-01-23 2021-08-17 Servicenow, Inc. Hybrid anomaly detection for response-time-based events in a managed network
CN109889515B (zh) * 2019-02-13 2020-08-28 北京航空航天大学 一种基于非参数统计的僵尸网络发现方法
US11436320B2 (en) 2019-03-27 2022-09-06 British Telecommunications Public Limited Company Adaptive computer security
US11449604B2 (en) * 2019-03-27 2022-09-20 British Telecommunications Public Limited Company Computer security
US11477225B2 (en) * 2019-03-27 2022-10-18 British Telecommunications Public Limited Company Pre-emptive computer security
CN110149421B (zh) * 2019-05-30 2021-11-26 世纪龙信息网络有限责任公司 域名系统的异常监测方法、系统、装置和计算机设备
US11719563B2 (en) 2019-07-03 2023-08-08 Red Hat, Inc. Distributed anomaly detection using combinable measurement value summaries
CN110247932A (zh) * 2019-07-04 2019-09-17 北京润通丰华科技有限公司 一种实现dns服务防御的检测系统和方法
US11188570B2 (en) 2019-07-23 2021-11-30 Vmware, Inc. Using keys to aggregate flow attributes at host
US11140090B2 (en) 2019-07-23 2021-10-05 Vmware, Inc. Analyzing flow group attributes using configuration tags
US11743135B2 (en) 2019-07-23 2023-08-29 Vmware, Inc. Presenting data regarding grouped flows
US11436075B2 (en) 2019-07-23 2022-09-06 Vmware, Inc. Offloading anomaly detection from server to host
US10911335B1 (en) * 2019-07-23 2021-02-02 Vmware, Inc. Anomaly detection on groups of flows
US11398987B2 (en) 2019-07-23 2022-07-26 Vmware, Inc. Host-based flow aggregation
US11288256B2 (en) 2019-07-23 2022-03-29 Vmware, Inc. Dynamically providing keys to host for flow aggregation
US11349876B2 (en) 2019-07-23 2022-05-31 Vmware, Inc. Security policy recommendation generation
US11340931B2 (en) 2019-07-23 2022-05-24 Vmware, Inc. Recommendation generation based on selection of selectable elements of visual representation
US11176157B2 (en) 2019-07-23 2021-11-16 Vmware, Inc. Using keys to aggregate flows at appliance
CN110460658B (zh) * 2019-08-05 2022-05-10 上海红阵信息科技有限公司 一种基于拟态构造的分布式存储构建方法
TWI717831B (zh) * 2019-09-11 2021-02-01 財團法人資訊工業策進會 攻擊路徑偵測方法、攻擊路徑偵測系統及非暫態電腦可讀取媒體
CN110602101B (zh) * 2019-09-16 2021-01-01 北京三快在线科技有限公司 网络异常群组的确定方法、装置、设备及存储介质
US11418526B2 (en) 2019-12-20 2022-08-16 Microsoft Technology Licensing, Llc Detecting anomalous network activity
US11425150B1 (en) 2020-01-10 2022-08-23 Bank Of America Corporation Lateral movement visualization for intrusion detection and remediation
US11321213B2 (en) 2020-01-16 2022-05-03 Vmware, Inc. Correlation key used to correlate flow and con text data
US11503054B2 (en) * 2020-03-05 2022-11-15 Aetna Inc. Systems and methods for identifying access anomalies using network graphs
CN111526119B (zh) * 2020-03-19 2022-06-14 北京三快在线科技有限公司 异常流量检测方法、装置、电子设备和计算机可读介质
US11677775B2 (en) * 2020-04-10 2023-06-13 AttackIQ, Inc. System and method for emulating a multi-stage attack on a node within a target network
US20210336947A1 (en) * 2020-04-27 2021-10-28 Microsoft Technology Licensing, Llc Rogue certificate detection
CN113628124B (zh) * 2020-05-08 2024-01-16 深圳清华大学研究院 Isp与视觉任务联合优化方法、系统、介质和电子设备
US11831664B2 (en) 2020-06-03 2023-11-28 Netskope, Inc. Systems and methods for anomaly detection
US11556636B2 (en) 2020-06-30 2023-01-17 Microsoft Technology Licensing, Llc Malicious enterprise behavior detection tool
EP3945708A1 (de) * 2020-07-29 2022-02-02 Siemens Aktiengesellschaft Dynamisches vorhalten von kontextabhängigen rechnergestützten funktionalitäten in mobilen, verteilten edge clouds
US20220091572A1 (en) * 2020-09-22 2022-03-24 Rockwell Automation Technologies, Inc. Integrating container orchestration systems with operational technology devices
CN112187833B (zh) * 2020-11-09 2021-12-17 浙江大学 一种拟态waf中的ai+正则双匹配检测方法
US20220167171A1 (en) * 2020-11-20 2022-05-26 At&T Intellectual Property I, L.P. Security anomaly detection for internet of things devices
CN112769595B (zh) * 2020-12-22 2023-05-09 阿波罗智联(北京)科技有限公司 异常检测方法、装置、电子设备及可读存储介质
US20220229903A1 (en) * 2021-01-21 2022-07-21 Intuit Inc. Feature extraction and time series anomaly detection over dynamic graphs
US11785032B2 (en) 2021-01-22 2023-10-10 Vmware, Inc. Security threat detection based on network flow analysis
US11765195B2 (en) 2021-02-16 2023-09-19 Icf International Distributed network-level probabilistic attack graph generation
JP2022168612A (ja) * 2021-04-26 2022-11-08 シャープ株式会社 機器管理システム、機器管理方法、及び機器管理プログラム
US11831667B2 (en) 2021-07-09 2023-11-28 Vmware, Inc. Identification of time-ordered sets of connections to identify threats to a datacenter
CN113254674B (zh) * 2021-07-12 2021-11-30 深圳市永达电子信息股份有限公司 一种网络安全设备知识推理方法、装置、系统及存储介质
US11949701B2 (en) 2021-08-04 2024-04-02 Microsoft Technology Licensing, Llc Network access anomaly detection via graph embedding
US11792151B2 (en) 2021-10-21 2023-10-17 Vmware, Inc. Detection of threats based on responses to name resolution requests
CN114884688B (zh) * 2022-03-28 2023-07-04 天津大学 一种跨多属性网络的联邦异常检测方法
US20240012802A1 (en) * 2022-07-08 2024-01-11 Salesforce, Inc. Mechanisms for serializing triples of a database store
CN117851959A (zh) * 2024-03-07 2024-04-09 中国人民解放军国防科技大学 基于fhgs的动态网络子图异常检测方法、装置和设备

Family Cites Families (56)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6671811B1 (en) 1999-10-25 2003-12-30 Visa Internation Service Association Features generation for use in computer network intrusion detection
US7113988B2 (en) 2000-06-29 2006-09-26 International Business Machines Corporation Proactive on-line diagnostics in a manageable network
CA2430571C (en) 2000-11-30 2011-07-12 Lancope, Inc. Flow-based detection of network intrusions
US7168093B2 (en) 2001-01-25 2007-01-23 Solutionary, Inc. Method and apparatus for verifying the integrity and security of computer networks and implementation of counter measures
US7228566B2 (en) 2001-07-10 2007-06-05 Core Sdi, Incorporated Automated computer system security compromise
US6647975B2 (en) * 2001-12-05 2003-11-18 Terry Whitfield Convertible ball projecting apparatus having a replaceable fork assembly
ATE374493T1 (de) 2002-03-29 2007-10-15 Global Dataguard Inc Adaptive verhaltensbezogene eindringdetektion
US7603711B2 (en) * 2002-10-31 2009-10-13 Secnap Networks Security, LLC Intrusion detection system
US20040122803A1 (en) 2002-12-19 2004-06-24 Dom Byron E. Detect and qualify relationships between people and find the best path through the resulting social network
US7483972B2 (en) 2003-01-08 2009-01-27 Cisco Technology, Inc. Network security monitoring system
US8386377B1 (en) 2003-05-12 2013-02-26 Id Analytics, Inc. System and method for credit scoring using an identity network connectivity
JP3922375B2 (ja) 2004-01-30 2007-05-30 インターナショナル・ビジネス・マシーンズ・コーポレーション 異常検出システム及びその方法
US20050203881A1 (en) * 2004-03-09 2005-09-15 Akio Sakamoto Database user behavior monitor system and method
EP1589716A1 (en) * 2004-04-20 2005-10-26 Ecole Polytechnique Fédérale de Lausanne (EPFL) Method of detecting anomalous behaviour in a computer network
US20060053136A1 (en) 2004-08-09 2006-03-09 Amir Ashiri Method and system for analyzing multidimensional data
US7941856B2 (en) * 2004-12-06 2011-05-10 Wisconsin Alumni Research Foundation Systems and methods for testing and evaluating an intrusion detection system
WO2006069495A1 (en) 2004-12-31 2006-07-06 Intel Corporation Data partitioning and critical section reduction for bayesian network structure learning
US7627900B1 (en) 2005-03-10 2009-12-01 George Mason Intellectual Properties, Inc. Attack graph aggregation
US8077718B2 (en) 2005-08-12 2011-12-13 Microsoft Corporation Distributed network management
US8271412B2 (en) * 2005-12-21 2012-09-18 University Of South Carolina Methods and systems for determining entropy metrics for networks
US7624448B2 (en) * 2006-03-04 2009-11-24 21St Century Technologies, Inc. Intelligent intrusion detection system utilizing enhanced graph-matching of network activity with context data
US7530105B2 (en) * 2006-03-21 2009-05-05 21St Century Technologies, Inc. Tactical and strategic attack detection and prediction
US7971252B2 (en) 2006-06-09 2011-06-28 Massachusetts Institute Of Technology Generating a multiple-prerequisite attack graph
US9438501B2 (en) 2006-08-21 2016-09-06 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Multi-scale network traffic generator
JP2008113409A (ja) 2006-10-04 2008-05-15 Alaxala Networks Corp トラフィック制御システム及び管理サーバ
US9680693B2 (en) 2006-11-29 2017-06-13 Wisconsin Alumni Research Foundation Method and apparatus for network anomaly detection
JPWO2008084729A1 (ja) 2006-12-28 2010-04-30 日本電気株式会社 アプリケーション連鎖性ウイルス及びdns攻撃発信元検知装置、その方法及びそのプログラム
WO2009038818A2 (en) 2007-04-12 2009-03-26 Core Sdi, Incorporated System and method for providing network penetration testing
WO2009003126A1 (en) 2007-06-26 2008-12-31 Core Sdi, Incorporated System and method for simulating computer network attacks
EP2056559B1 (en) 2007-11-02 2017-05-17 Deutsche Telekom AG Method and system for network simulation
CN101547445B (zh) * 2008-03-25 2011-06-01 上海摩波彼克半导体有限公司 移动通信网络中基于移动性进行入侵异常检测的系统和方法
US8844033B2 (en) * 2008-05-27 2014-09-23 The Trustees Of Columbia University In The City Of New York Systems, methods, and media for detecting network anomalies using a trained probabilistic model
US20090319906A1 (en) 2008-06-18 2009-12-24 Eads Na Defense Security And Systems Solutions Inc Systems and methods for reconstitution of network elements in a simulated network
US8650630B2 (en) 2008-09-18 2014-02-11 Alcatel Lucent System and method for exposing malicious sources using mobile IP messages
CN101655787A (zh) * 2009-02-24 2010-02-24 天津大学 加入攻击路径形式化分析的威胁建模方法
US20110030059A1 (en) * 2009-07-30 2011-02-03 Greenwald Lloyd G Method for testing the security posture of a system
US8490193B2 (en) 2009-09-08 2013-07-16 Core Security Technologies System and method for probabilistic attack planning
US8397298B2 (en) * 2009-12-08 2013-03-12 At&T Intellectual Property I, L.P. Method and system for content distribution network security
KR20110067264A (ko) 2009-12-14 2011-06-22 성균관대학교산학협력단 네트워크 이상징후 탐지장치 및 방법
US8375255B2 (en) * 2009-12-23 2013-02-12 At&T Intellectual Property I, Lp Device and method for detecting and diagnosing correlated network anomalies
CN101778112B (zh) * 2010-01-29 2013-01-23 中国科学院软件研究所 一种网络攻击检测方法
JP5532241B2 (ja) 2010-07-15 2014-06-25 日本電信電話株式会社 高パケットレートフロー検出装置及び高パケットレートフロー検出方法
US8762298B1 (en) 2011-01-05 2014-06-24 Narus, Inc. Machine learning based botnet detection using real-time connectivity graph based traffic features
US8621618B1 (en) 2011-02-07 2013-12-31 Dell Products, Lp System and method for assessing whether a communication contains an attack
US8434150B2 (en) 2011-03-24 2013-04-30 Microsoft Corporation Using social graphs to combat malicious attacks
US8627473B2 (en) * 2011-06-08 2014-01-07 At&T Intellectual Property I, L.P. Peer-to-peer (P2P) botnet tracking at backbone level
US8955133B2 (en) 2011-06-09 2015-02-10 Microsoft Corporation Applying antimalware logic without revealing the antimalware logic to adversaries
EP2737404A4 (en) 2011-07-26 2015-04-29 Light Cyber Ltd METHOD FOR DETECTING AN ANALYSIS ACTION WITHIN A COMPUTER NETWORK
US9792430B2 (en) 2011-11-03 2017-10-17 Cyphort Inc. Systems and methods for virtualized malware detection
US9450973B2 (en) 2011-11-21 2016-09-20 At&T Intellectual Property I, L.P. Method and apparatus for machine to machine network security monitoring in a communications network
US8588764B1 (en) 2012-01-26 2013-11-19 Sprint Communications Company L.P. Wireless network edge guardian
AU2013272215B2 (en) 2012-03-22 2017-10-12 Imperial Innovations Limited Anomaly detection to identify coordinated group attacks in computer networks
US8863293B2 (en) 2012-05-23 2014-10-14 International Business Machines Corporation Predicting attacks based on probabilistic game-theory
US9710646B1 (en) 2013-02-26 2017-07-18 Palo Alto Networks, Inc. Malware detection using clustering with malware source information
US9185124B2 (en) 2013-02-27 2015-11-10 Sayan Chakraborty Cyber defense systems and methods
US9680855B2 (en) 2014-06-30 2017-06-13 Neo Prime, LLC Probabilistic model for cyber risk forecasting

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"ホスト間通信関係構造の時系列変化に基づく異常検出", コンピュータセキュリティシンポジウム2007論文集, JPN6016040254, 31 October 2007 (2007-10-31) *

Also Published As

Publication number Publication date
AU2019210493A1 (en) 2019-08-15
AU2016234999A1 (en) 2016-10-20
AU2016234999B2 (en) 2018-03-01
AU2019216687B2 (en) 2021-03-04
JP2015514356A (ja) 2015-05-18
CN104303153A (zh) 2015-01-21
US10243984B2 (en) 2019-03-26
CA2868054C (en) 2018-06-26
US20140068769A1 (en) 2014-03-06
AU2013272211A1 (en) 2014-10-02
US9825979B2 (en) 2017-11-21
AU2018203393B2 (en) 2019-06-06
EP2828753A2 (en) 2015-01-28
CN104303153B (zh) 2017-06-13
JP6148323B2 (ja) 2017-06-14
AU2018203393A1 (en) 2018-06-28
AU2019216687A1 (en) 2019-09-05
AU2017200969A1 (en) 2017-03-02
EP2828752B1 (en) 2020-04-29
EP3522492A1 (en) 2019-08-07
JP2015511101A (ja) 2015-04-13
EP2828753B1 (en) 2019-05-08
EP2828752A4 (en) 2016-02-17
US20150180889A1 (en) 2015-06-25
EP2828753A4 (en) 2015-12-23
US10122741B2 (en) 2018-11-06
US20180109544A1 (en) 2018-04-19
WO2013184206A2 (en) 2013-12-12
AU2017200969B2 (en) 2018-07-19
CA2868076C (en) 2017-02-14
US20190182281A1 (en) 2019-06-13
CA2868076A1 (en) 2013-12-12
JP6378395B2 (ja) 2018-08-22
JP6139656B2 (ja) 2017-05-31
US10015183B1 (en) 2018-07-03
AU2013272215B2 (en) 2017-10-12
US10530799B1 (en) 2020-01-07
US20180278641A1 (en) 2018-09-27
US20170163668A1 (en) 2017-06-08
US9560065B2 (en) 2017-01-31
AU2017254815B2 (en) 2019-05-02
AU2017254815A1 (en) 2017-11-16
US20200028864A1 (en) 2020-01-23
EP2828752A2 (en) 2015-01-28
CN104303152A (zh) 2015-01-21
CA2868054A1 (en) 2013-12-12
WO2013184206A3 (en) 2014-02-20
US10728270B2 (en) 2020-07-28
AU2013272211B2 (en) 2016-11-24
US20130254895A1 (en) 2013-09-26
CN104303152B (zh) 2017-06-13
AU2013272215A1 (en) 2014-10-09
US20150020199A1 (en) 2015-01-15
US9038180B2 (en) 2015-05-19
US9699206B2 (en) 2017-07-04
WO2013184211A3 (en) 2014-03-13
WO2013184211A2 (en) 2013-12-12
AU2019210493B2 (en) 2021-02-04
US20160277433A1 (en) 2016-09-22
US9374380B2 (en) 2016-06-21

Similar Documents

Publication Publication Date Title
JP6378395B2 (ja) 異常部分グラフの検出のための道探査及び異常/変更検出及び網状況認知のためのdns要求及びホストエージェントの使用
Kumar et al. A Distributed framework for detecting DDoS attacks in smart contract‐based Blockchain‐IoT Systems by leveraging Fog computing
US10091218B2 (en) System and method to detect attacks on mobile wireless networks based on network controllability analysis
US20230080471A1 (en) Endpoint agent and system
Di Mauro et al. Improving SIEM capabilities through an enhanced probe for encrypted Skype traffic detection
Zhan et al. A characterization of cybersecurity posture from network telescope data
Thakur et al. Detection and Prevention of Botnets and malware in an enterprise network
Noor et al. An intelligent context-aware threat detection and response model for smart cyber-physical systems
Frankowski et al. Application of the Complex Event Processing system for anomaly detection and network monitoring
Abushwereb et al. Attack based DoS attack detection using multiple classifier
CN107251519B (zh) 用于检测通信网络上的假信息的攻击的系统、方法和介质
Lyu et al. PEDDA: Practical and Effective Detection of Distributed Attacks on enterprise networks via progressive multi-stage inference
Nazir et al. Combinatorial optimization based feature selection method: A study on network intrusion detection
Kadiravan et al. Dynamic Network Intrusion Detection System for Virtual Machine Environment
Chukkayapally DETECTION OF UDP FLOOD ATTACKS IN WIRELESS SENSOR NETWORKS BY VISUALIZATION ON PARALLEL COORDINATE PLOT
Mouta et al. SPATIO: end-uSer Protection Against ioT IntrusiOns
Bashurov et al. Anomaly detection in network traffic using entropy-based methods: application to various types of cyberattacks.
Javed Design and Development of Intelligent Security Management Systems: Threat Detection and Response in Cyber-Based Infrastructures
Prashanthi et al. Machine Learning for IoT Security: Random Forest Model for DDoS Attack Detection

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180626

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180726

R150 Certificate of patent or registration of utility model

Ref document number: 6378395

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees