JP2017516411A - サイバーセキュリティシステム - Google Patents
サイバーセキュリティシステム Download PDFInfo
- Publication number
- JP2017516411A JP2017516411A JP2016567760A JP2016567760A JP2017516411A JP 2017516411 A JP2017516411 A JP 2017516411A JP 2016567760 A JP2016567760 A JP 2016567760A JP 2016567760 A JP2016567760 A JP 2016567760A JP 2017516411 A JP2017516411 A JP 2017516411A
- Authority
- JP
- Japan
- Prior art keywords
- analysis
- engine
- data
- message
- real
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Alarm Systems (AREA)
Abstract
Description
この出願は、発明の名称が「サイバーセキュリティシステム」である、2014年10月21日出願の米国特許仮出願第62/066769号の、35U.S.C.119(e)の優先権を主張するものであり、その内容は全体として本明細書に組み込まれる。
及び、モデル更新メッセージであって、前記リアルタイム分析エンジンによる処理が、モデル更新メッセージが異常アクティビティの検出率と偽陽性率の減少との少なくとも一つを改善することを示すとき、一つ若しくはそれ以上の分析ワークフローを更新するために、前記リアルタイム分析エンジンがモデル更新メッセージを伝送するように構成されている、モデル更新メッセージと、のうちの少なくとも一つを含む。ある実施形態では、前記一つ若しくはそれ以上の論理セグメントの各々は、分析モデル、分析モデルのセット、若しくは分析ワークフローと、論理セグメント内部のアクティビティについてのインプットの一つ若しくはそれ以上のソースと、及び、論理セグメント内部で発生する異常アクティビティのインパクトを緩和する、アクションのセットと、関連する。
更に、摂取アクタモジュールを含み、
前記摂取アクタモジュールは、
サードパーティアプリケーションとサードパーティデバイスのうちの少なくとも一つからサードパーティアプリケーションデータを受信し、
前記複数のスコア付けエンジン、前記分散型分析プラットフォーム、及び前記リアルタイム分析エンジンのうちの少なくとも一つによる更なる処理のために、サードパーティアプリケーションデータを伝送する
ように構成されている。
前記複数のセンサ、前記複数のスコア付けエンジン、前記分散型分析プラットフォーム、前記リアルタイム分析エンジン、前記コントロールプレーンエンジン、及び前記摂取アクタモジュールが、帯域外ネットワークを用いて接続している。
前記複数のセンサ、前記複数のスコア付けエンジン、前記分散型分析プラットフォーム、前記リアルタイム分析エンジン、前記コントロールプレーンエンジン、及び前記摂取アクタモジュールが、企業体システムバスに亘って関連するメッセージを送信することにより通信する。
前記スコア付けエンジンが更に、
モデル更新メッセージを受信し、及び、
イベントの処理と同時に、更新メッセージを処理する
ように構成されている。
ブロードキャストメッセージ、緩和メッセージ、及びモデル更新メッセージのうちの少なくとも一つを作成するために、
前記リアルタイム分析エンジンは更に、
前記複数のスコア付けエンジン、前記分散型分析プラットフォーム、及び前記複数のセンサのうちの少なくとも一つから、第1の時間に第1のアウトプットを受信し、
第1のアウトプットに対応する第1の状態情報を検索し、
第1のアウトプットデータで第1の状態情報を更新し、
前記リアルタイム分析エンジンと関連付けられる分析ワークフローにより、更新された第1の状態情報を処理して、処理された更新された第1の状態情報を作成し、
処理された更新された第1の状態情報を前記リアルタイム分析エンジン内に格納し、
前記複数のスコア付けエンジン、前記分散型分析プラットフォーム、及び前記複数のセンサのうちの少なくとも一つから、第2の時間に第2のアウトプットを受信し、
第2のアウトプットに対応する第2の状態情報を検索し、
第2のアウトプットデータで第2の状態情報を更新し、
前記リアルタイム分析エンジンと関連付けられる分析ワークフローにより、更新された第2の状態情報を処理して、処理された更新された第2の状態情報を作成し、
処理された更新された第2の状態情報に基づいて、ブロードキャストメッセージ、緩和メッセージ、及びモデル更新メッセージのうちの少なくとも一つを作成し、
並びに、
処理された更新された第2の状態情報を前記リアルタイム分析エンジン内に格納する
ように構成されている。
前記リアルタイム分析エンジンは更に、
前記複数のスコア付けエンジン、前記分散型分析プラットフォーム、及び前記複数のセンサのうちの少なくとも一つから、第3の時間に中間アウトプットを受信し、ここで、第3の時間は第1の時間の後であり且つ第2の時間の前であり、
中間アウトプットに対応する中間状態情報を検索し、
中間アウトプットデータで中間状態情報を更新し、
前記リアルタイム分析エンジンと関連付けられる分析ワークフローにより、更新された中間状態情報を処理して、処理された更新された中間状態情報を作成し、
並びに、
処理された更新された中間状態情報を前記リアルタイム分析エンジン内に格納する
ように構成されている。
分析ワークフローは、モデル交換フォーマットドキュメントを含み、
モデル交換フォーマットドキュメントは、
分析モデルの合成と、
分析モデルの区分と、
分析モデルのアンサンブルと、
ルールによる分析モデルの合成と、
前処理及び後処理段階による分析モデルの合成と、及び、
分析ワークフローと
をサポートし、
前処理及び後処理段階は、データ変換とデータ凝集を含み、
分析ワークフローの各々は、分析モデル、ルール、データ変換、データ凝集、並びに、分析モデル、ルール、データ変換、データ凝集、区分及びアンサンブルの合成、のうちの少なくとも一つを、含む。
前記リアルタイム分析エンジンは更に、
分析ワークフローの一つ若しくはそれ以上への変更が閾値を超えるときに、更新された振る舞いモデルを前記複数のスコア付けエンジンの一つ若しくはそれ以上に伝送する
ように構成されている。
イベントは、
ネットワークフローについてのデータ、パケットについてのデータ、エンティティについてのデータ、ユーザについてのデータ、ワークステーションとサーバについてのデータ、ルータとスイッチについてのデータ、外部ネットワークエンティティについてのデータ、並びに、ネットワークと相互作用する内部及び外部デバイスについてのデータのうちの、少なくとも一つを含む。
前記複数のセンサと前記複数のスコア付けエンジンとのうちの、一つ若しくはそれ以上が、単独のアプリケーション内に統合される。
前記リアルタイム分析エンジンが、前記複数のスコア付けエンジンのうちの一つ若しくはそれ以上と統合する。
緩和アクションは、
少なくとも一つのポートを閉じること、
少なくとも一つのパケットデータを修正すること、
パケット若しくはフローの伝送をコントロールすること、
サブネットをブロックすること、
一つ若しくはそれ以上のインターネットプロトコル(IP)若しくはIPの範囲をブロックすること、及び、
一つ若しくはそれ以上の内部の若しくは外部のIPをブロックすること
のうちの少なくとも一つを含む。
緩和アクションは、
サーバ及びワークステーションのオフラインの少なくとも一つを採ること、
プロテクトされた画像から、新しい可視化サーバと新しい可視化ワークステーションのうちの少なくとも一つを形成すること、及び、
サーバとワークステーションのうちの少なくとも一つと関連付けられるアクションをブロックすること
のうちの少なくとも一つを含む。
異常アクティビティは、
偵察、セキュリティ上の弱点を突く手段、侵入、情報漏洩、インサイダ脅威、及び攻撃のうちの、少なくとも一つを含む。
緩和アクションは、
少なくとも一つのパケットを修正すること、
パケット若しくはフローの伝送をコントロールすること、及び、
異常アクティビティと関連付けられるエンティティに対する許可及びアクセス権を除去することのうちの、少なくとも一つを含み、
許可及びアクセス権を除去することは、
ネットワークアクセスをブロックすること、
ネットワークデバイスへのアクセスをブロックすること、
サーバへのアクセスをブロックすること、
ワークステーションへのアクセスをブロックすること、及び、
他のコンピュータデバイスへのアクセスをブロックすること
のうちの、少なくとも一つを含む。
異常アクティビティは、内部の悪いアクタと外部の悪いアクタとのうちの、少なくとも一つと関連付けられる。
更に可視化エンジンを含み、可視化エンジンはモニタを含み、
可視化エンジンは、
リアルタイム分析エンジンによるスコア付けエンジンメッセージの処理と関連付けられる統計及びグラフィック画像を受信し、及び、
モニタ上に統計及びグラフィック画像を表示する
ように構成されている。
本明細書に記載の複数のサイバーセキュリティシステムを含む、サイバーセキュリティシステムが開示され、
複数のサイバーセキュリティシステムの各々は、選択した脅威情報メッセージを、他のサイバーセキュリティシステムの一つ若しくはそれ以上と交換するように構成されており、
選択した脅威情報メッセージは、暗号化されて、情報を伝送するための機密メカニズムを提供し、
選択した脅威情報メッセージ内の情報は、伝送するサイバーセキュリティシステムに関する機密の内部情報を曝すことはしない。
外部の脅威情報メッセージを、互換性のあるサードパーティシステムと交換するように構成されており、
外部の脅威情報メッセージは、暗号化されて、情報を伝送するための機密メカニズムを提供し、
外部の脅威情報メッセージ内の情報は、外部の脅威情報メッセージを伝送するシステムに関する機密の内部情報を曝すことはせず、及び、
外部の脅威情報メッセージは、共通のモデル交換フォーマットでフォーマットされる。
前記分散型分析プラットフォームは更に、
スコア付けエンジンメッセージを受信し、及び、
スコア付けエンジンメッセージを処理して脅威情報メッセージを作成する
ように構成されている。
ブロードキャストメッセージは、情報メッセージ、サイバーイベントメッセージ、及び警告メッセージのうちの、少なくとも一つを含む。
前記複数の論理セグメントの各々は、
ネットワークの分割、ネットワーク上のトラフィックの分割、ネットワーク上のユーザの分割、ネットワーク上のデバイスの分割、サードパーティデータに基づく分割、並びに、ネットワーク、ネットワーク上のトラフィック、ネットワーク上のユーザ、ネットワーク上のデバイス、及び、サードパーティデータに、関する複数の分割の少なくとも一つと関連するデータのうちの、少なくとも一つと関連付けられる。
少なくとも第1の分割は、少なくとも第2の分割とオーバラップする。
前記複数のセンサ、前記複数のスコア付けエンジン、前記分散型分析プラットフォーム、前記リアルタイム分析エンジン、前記コントロールプレーンエンジン、及び、摂取アクタモジュールが、企業体システムバスに亘って関連するメッセージを送信することにより通信する。
ように構成されている。ある実施形態では、システムは、分散型分析プラットフォームを含み、前記分散型分析プラットフォームは、前記複数のセンサからイベントを受信し、イベントを処理して分析ワークフローを作成し、ここで分析ワークフローの各々は一つ若しくはそれ以上の論理セグメントと関連付けられており、及び、分析ワークフロー及び分散型分析プラットフォームメッセージを伝送するように構成されている。ある実施形態では、システムは、スコア付けエンジンを含み、前記スコア付けエンジンは、分散型分析プラットフォームから分析ワークフローを受信し、前記複数のセンサの少なくとも一つからイベントを受信し、分析ワークフローを用いて、イベントを処理してスコア付けエンジンメッセージを生成し、及び、スコア付けエンジンメッセージを伝送するように構成されている。ある実施形態では、リアルタイム分析エンジンを含み、前記リアルタイム分析エンジンは、前記分散型分析プラットフォームから分析ワークフローを受信し、分析ワークフローとイベント処理ルールを受信し、スコア付けエンジンメッセージを受信し、前記分散型分析プラットフォームから分散型分析プラットフォームメッセージを受信し、並びに、前記分散型分析プラットフォームからの分析ワークフロー、及び、分析ワークフローとイベント処理ルールを用いて、スコア付けエンジンメッセージと分散型分析プラットフォームメッセージを処理して脅威情報メッセージを作成するように構成されている。ある実施形態では、脅威情報メッセージは、前記リアルタイム分析エンジンが伝送するように構成されている、ブロードキャストメッセージと、緩和メッセージであって、前記リアルタイム分析エンジンによる処理が、緩和アクションが異常アクティビティのインパクトを限定することを示すとき、前記一つ若しくはそれ以上の論理セグメントのうちの第1の論理セグメントと関連付けられる緩和アクションを採るために、前記リアルタイム分析エンジンが前記緩和メッセージをコントロールプレーンエンジンに伝送するように構成されている、緩和メッセージと、及び、モデル更新メッセージであって、前記リアルタイム分析エンジンによる処理が、モデル更新メッセージが異常アクティビティの検出率と偽陽性率の減少との少なくとも一つを改善することを示すとき、一つ若しくはそれ以上の分析ワークフローを更新するために、前記リアルタイム分析エンジンがモデル更新メッセージを伝送するように構成されている、モデル更新メッセージと、のうちの少なくとも一つを含む。ある実施形態では、前記一つ若しくはそれ以上の論理セグメントの各々は、分析モデル、分析モデルのセット、若しくは分析ワークフローと、論理セグメント内部のアクティビティについてのインプットの一つ若しくはそれ以上のソースと、及び、論理セグメント内部で発生する異常アクティビティのインパクトを緩和する、アクションのセットと、関連する。
図1は、本開示のある実施形態に係る、サイバーセキュリティフレームワークを示すシステム図である。図1は、(ここではサイバーセンサとも称される)センサ102、摂取アクタ104、分散型分析プラットフォーム106、スコア付けエンジン108、リアルタイム分析エンジン(RTAE)110、可視化エンジン112、コントロールプレーンエンジン114、及び、分散型企業体サービスバス(ESB)116を、示す。本開示のある実施形態では、センサ102及びスコア付けエンジン108は、単独の統合アプリケーションに組み合わされる。図1は、エンドポイント120、データプレーン122、サーバ及びワークステーション126、サイバーオペレーション(ops)スタッフ及びサイバーアナリスト128、サードパーティアプリケーション、サードパーティアプリケーション、ソース及びデバイス130、並びに、ファイヤウオール、スイッチ、及びルータ132を含む、更なるシステムコンポーネントも示す。
本開示のある実施形態では、帯域外システムネットワークは、通信のため分散型企業体サービスバス(ESB)116を使用する。分散型ESB116は、言語やプラットフォームに依存せず、AMQP、NSQ、ZeroMQ、RabitMQ、adeptia ESB Suite、IBM WebSphere ESB、Microsoft BizTalk Server、及びOracle Enterprise Service Busを含むがそれらに限定されない、任意の企業体サービスバスを含み得る。ESB116は、メッセージを信頼性高く配信し、大抵の実施形態では、非常に高いスループットを有する。一般に、企業体サービスバスは、種々のデバイスからの通信をモニタし、ルート付けし、更に分解する。デバイスは、エンドポイント120及びデータプレーン122を含み得る。エンドポイントは、ワークステーションサーバ、パーソナルコンピュータ、及び、携帯電話やタブレットなどの携帯デバイスなどの、エンドユーザデバイス120を含む。データプレーン122は、ファイヤウオール、スイッチ及びルータ132などの、ネットワークトラフィックを運搬するデバイスを含む。更に、ファイヤウオール、スイッチ、ルータ132、及び、コントロールプレーンの一部である他のデバイスへの、コントロールプレーントラフィックも、帯域外システムネットワークに渡される。
データがシステムに入る一つのやり方は、センサを経由するものである。センサ102は、企業体データプレーン122及び企業体コントロールプレーン204からデータをキャプチャして処理し、そのデータを更なる処理のために帯域外システムネットワークに渡す。ネットワークタップは、センサ102の一部であるが、リアルタイムの処理をサポートするための、ネットワークの可視性及びネットワークトラフィックのミラーリングのために、キーポイントにて挿入される。センサ102は、図7及び図9に付随する記載にて以下より詳細に説明する。端的には、センサ102はパケットを処理して、処理したパケットに関連するレコード及びフローを構築する。
1)外部ディフェンスを発見して貫通するリモートの試み;
2)外側インフラストラクチャを貫通する外部の、しかし局所のストラテジ;
3)インサイダ仲介の外部アクセスの変更;
4)内部促進の外部アクセス;
5)伝統的なサイバー開発;及び
6)インフラストラクチャルートキットベースの開発。
データがシステムに入る第二のやり方は、摂取アクタ104を介することである。摂取アクタ104は、サードパーティアプリケーション(apps)、ソース及びデバイス130からのデータを処理するように設計され得る。サードパーティアプリケーション(apps)、ソース及びデバイス130は、他のシステムコンポーネントと、ワークステーション、サーバ、及び企業体ネットワーク上の他のコンピュータデバイスと、ホストベースのセキュリティシステムを含む他のセキュリティアプリケーションにより生成される情報ストリームと、脅威についての情報、IPの評判、レスポンスポリシゾーン(RPZ)情報及び関連情報を含む、外部サードパーティのデータのソースと、同じ企業体の他の地理的に分散された位置におけるか、若しくは、他の企業体と関連するか、のいずれかである、同じアーキテクチャを伴う他のシステムと、並びに、異なるアーキテクチャを伴うが情報を交換するための同意済みのフォーマットに追随する他のシステムとを、含み得る。
スコア付けエンジン108は、分析モデル(若しくは分析ワークフロー)をインポートし得るモジュールであり、ネットワークから及び他のシステムモジュールからデータを取り出す。分析モデルがインポートされると、スコア付けエンジンは、データのストリームを読むことができ、ストリーム内の個々のイベントに対して、一つ若しくはそれ以上の分析モデルを用いてイベントを処理し、スコア、警告及びメッセージ、更には関連情報を含む、アウトプットを生成する。スコア付けエンジン108、及び、スコア付けエンジン108と関連するデータフローを、図7、9、4に伴う記載にて以下より詳細に説明する。
分散型分析プラットフォーム106若しくは分析クラウドは、大量のデータを分析して種々の分析結果を生成するために用いられ得る、分散型コンピュータプラットフォームである。分散型分析プラットフォーム106は、HadoopやMapRなどの分散型ファイルシステムと、若しくは、HBase、Accumulo、MapR−DBなどの非リレーショナル(例えば、NoSQL)データベースとの、両方を用いて、分析のための大量のデータを保持し得る。本開示のある実施形態では、分散型分析プラットフォーム106は、Sparkによりサポートされるもののような、MapReduce及び反復MapReduce計算のためのサポートを含む分散型コンピュータプラットフォームである。本開示のある実施形態の分散型分析プラットフォーム106は、ディスク上、メモリ内のいずれかの、若しくはディスク上とメモリ内の両方の、データによる反復計算を実行するためのサポートも、更に加えて、NoSQLデータベースのための、並びに、Hadoop、MapR、Spark、若しくは他の分散型コンピュータプラットフォームなどのシステム内の分散データと連動する他の専用アプリケーション及びツールのための、サポートも、含む。分散型分析プラットフォーム106は、RESTベースのAPIも含み、
これにより、種々のシステムコンポーネントは、データや情報を生成した分散型分析プラットフォームの範囲内での特定の分析、処理若しくはコンポーネントからは独立して、一様に、分散型分析プラットフォーム106内のデータ及び情報にアクセスし得る。
RTAE110は、ESB116及び分散型分析プラットフォーム106からデータを受信し、複数の機能を実行する。それら機能は、分散型メモリや、GPUなどの専用プロセッサを用いて、派生される、凝集される、及び変換されるデータの、略リアルタイムの計算を実行すること、ネットワークアクティビティ、企業体エンティティやユーザやフローの振る舞い、潜在的脅威、相関振る舞いなどの、略リアルタイムの可視化を形成すること、並びに、多重のスコア付けエンジン及び他のソースからのデータを処理することにより緩和作用に関する略リアルタイムの決定を形成することを、含む。緩和アクションに関する略リアルタイムの決定を形成することは、図10と図11に伴う記述にて議論する。ある実施形態では、分散型分析プラットフォーム106から受信するデータは、分析ワークフロー及び分散型分析メッセージを含む。ある実施形態では、RTAE110は、スコア付けエンジンからのスコア付けエンジンメッセージや、分散型分析プラットフォーム、ユーザ設定されたセッティング、及びサードパーティ分析システムの結果のうちの、少なくとも一つからの分析ワークフロー及びイベント処理ルールも、受信する。略リアルタイムの可視化は、表示のため、可視化エンジン、ダッシュボード、及びモニタ112に渡される。ある実施形態では、緩和イベントに関する略リアルタイムの決定は、コマンド及びコントロール(C2)メッセージ(例えば、緩和TIM)に構築され、ESB116に渡され、それらはコントロールプレーンエンジン114により処理され、続いて以下のような種々の緩和イベント若しくはアクションを採る。ポートを閉じること、パケットを修正すること、サブネットをブロックすること、一つ若しくはそれ以上のインターネットプロトコル(IP)若しくはIPの範囲をブロックすること、一つ若しくはそれ以上の内部の若しくは外部のIPをブロックすること、パケット若しくはフローの伝送をコントロールすること、サーバ及びワークステーションのオフラインの少なくとも一つを採ること、プロテクトされた画像から新しい可視化サーバと新しい可視化ワークステーションのうちの少なくとも一つを形成すること、サーバとワークステーションのうちの少なくとも一つと関連するアクションをブロックすること、などである。ある実施形態では、緩和アクションは、異常アクティビティと関連するエンティティに対する許可及びアクセス権を除去することも含み得る。許可及びアクセス権を除去することは、ネットワークアクセスをブロックすること、ネットワークデバイスへのアクセスをブロックすること、サーバへのアクセスをブロックすること、ワークステーションへのアクセスをブロックすること、及び、他のコンピュータデバイスへのアクセスをブロックすること、のうちの少なくとも一つを含み得る。ある実施形態では、RTAE110は、一つ若しくはそれ以上のスコア付けエンジンと共に単独のアプリケーションに統合される。
i)ブロードキャストメッセージを伝送すること。
ii)更新されるモデルが検出率を向上させ得る、若しくは現モデルの偽陽性率を減少し得ると、RTAE110が判別すると、モデル更新をスコア付けエンジンに伝送すること。
iii)受信したTIMが侵入若しくは推定侵入、又は他の異常アクティビティを示すと、RTAE110が判別すると、コントロールプレーンエンジン及び緩和エージェントを用いて緩和アクションを伝送すること。
iv)分析ワークフローの変更が閾値を超えると、分析モデルを伝送すること。
v)更なるTIMを受信することを待機すること。
ある実施形態では、RTAE110の処理は、何らかのアクションが採られるべきかどうか判別するための、更新された状態情報を分析することも、含み得る。ある実施形態では、RTAE110は、スコア付けエンジン、分散型分析プラットフォーム、及び複数のセンサから、最初に第1のアウトプットを受信した後に、ブロードキャストメッセージ、緩和メッセージ、及びモデル更新メッセージのうちの一つを送信し得る。ある実施形態では、RTAE110は、緩和メッセージ、及びモデル更新メッセージのうちの一つを送信する前に、スコア付けエンジン、分散型分析プラットフォーム、及び複数のセンサから複数のアウトプットを受信することを、待機する。
コントロールプレーンエンジン114は、モニタすること、構成すること、並びに、スイッチ、ルータ及びファイヤウオールを含むネットワークデバイスを再構成することに、関連する。コントロールプレーンエンジン114は、緩和アクションと採ること、緩和エージェントと通信すること、コントロールプレーンに関する警告を送信すること、並びに、可視化エンジン、ダッシュボード、及びモニタ112がコントロールプレーンインフラストラクチャの状況認識を提供できるようにデータを供給することの、責任を負う。この文脈での状況認識は、コントロールプレーンのエンティティのサマリ、コントロールプレーン上の現在のトラフィック、コントロールプレーン上の通常のトラフィック、もしあれば、現在のトラフィックと通常のトラフィックとの間の偏差、並びに、通常のアクティビティ、潜在的に悪いアクタに関するアクティビティ、若しくは、関連する振る舞い、に関する他の情報を提供する、情報のことである。ある実施形態では、コントロールプレーンエンジン114は、RTAE110、スコア付けエンジン108、及び分散型分析プラットフォーム106から、緩和TIMを取得する。
他のシステムコンポーネントは、全てのコンポーネントによりアクセス可能であるレジストリ(図示せず)を含む。ある実施形態では、レジストリは、共通して用いられるサービスについての高度に利用可能なデータ、データ構造、メッセージフォーマット、及び、システムの開発及び動作を簡易化する他の情報を、含む。
本開示のある実施形態では、振る舞いモデルは、サイバー侵入の可能性、(外部のアクタでも「インサイダ」でも)悪いアクタの存在、及び、サイバーアナリストにより手動の試験でも緩和デバイスの自動アクションでも、アクションを保証する他の振る舞いを、定量化するのに利用される。
i)将来の潜在的分析のために格納されるインプットイベントと関連するスコア、
ii)更なる処理のために格納されるインプットイベントと関連するスコア、
iii)モデル更新TIM、及び、
iv)緩和TIM
を含む。
図9は、本開示のある実施形態に係る、サイバーセキュリティフレームワーク内のコンポーネント間のデータの流れを描写するフローチャートである。
i)区分されたモデル。該区分されたモデルではインプットが個別のモデルの一つ若しくはそれ以上に送信され、個々のモデルは、特定の期間、特定のネットワークセグメントなどの、一つ若しくはそれ以上の制約と関連づけされる。
ii)アンサンブル。該アンサンブルでは、モデルへのインプットが共通であり、二つ若しくはそれ以上のアウトプットが単独のアウトプットに組み合わされる。
iii)モデルの構成。該構成では、一つ若しくはそれ以上のアウトプットが、別のモデルのインプットとして用いられる。
本開示のある実施形態では、ストリーム分析が、スコア付けエンジン108内部で用いられ、モデルによりスコア付けされるエンティティと関連する状態のみを更新することに対比して、モデルのパラメータ、モデル内で用いられる特性、若しくはモデル自身の構造を更新する。本開示のある実施形態では、第1のスコアが後処理にて受信されると、種々の統計が蓄積されて評価され、モデルが、統計的に有効であると考えられる十分なイベントを見たかどうかを判別する。統計的に有効であれば、スコアは外に送信され、そうでなければ、スコアは抑制される。
ある実施形態では、企業体は、企業体と相互作用する内部及び外部のエンティティを含む、独立してモデル化されモニタされ及び緩和され得る、論理セグメントに、分割され得る。論理セグメントは、本明細書ではマイクロサイバーセグメントとも称する。以下に記載するように、個々の論理セグメントは、
i)分析モデル、分析モデルのセット、若しくは、分析ワークフローのうちの、少なくとも一つ;
ii)論理セグメント内部のアクティビティについての、インプットの一つ若しくはそれ以上のソース(例えば、タップポイント);及び、
iii)論理セグメント内部で発生する異常アクティビティのインパクトを緩和するための、アクションのセット
と、関連し得る。
ある実施形態では、RTAE110は、対応する仮想ネットワークを含む仮想環境を、作成し、管理し、及び解体するためにマイクロサイバーセグメントと統合される仮想防御モジュール(VDM)を含む。仮想ネットワークは、図3にて、前述するようなI0及びI1からI2への経路情報を含む、これらの仮想環境と関連付けられる。仮想防御モジュール150は、IDI0とIDI1を受信する。前述のように、IDI0はファイヤウオールの外部で受信するデータを含み、IDI1はファイヤウオールの内部で受信するデータを含む。ある実施形態では、IDは、サイバーセキュリティフレームワーク内部の全てのネットワーク及びデータパケットに対する、暗号化された、不変の、グローバル一意IDであり、該グローバル一意IDにより、マシンは、「疑わしい」アクティビティから「許容される」アクティビティを一意的に分離することができる。IDにより、現実世界の環境と仮想世界の環境が並列化され、それらの管理、視覚化、分析、警告などに加えて、同時に動作することができる。IDにより、一意的ベースライン及び分析が、全てのパケットの処理及び利用履歴を通してずっとサイバーセキュリティフレームワークに入り込む全てのパケットの全体履歴に基づくことが可能となる。ある実施形態では、マシン速度に対して可能とされたイベントトリガは、IDパケットが検出される際の予め計画された緩和(例えば、横方向の移動、権限の無いインフラストラクチャの変更、権限の無いVPN、スプーフなど)である。
図10は、本開示のある実施形態に係る、サイバーセキュリティフレームワークの外的脅威への応答を示すシステム図である。プロセスは、外部の悪いアクタ1006が攻撃を開始すること、センサ102/スコア付けエンジン1 1002が脅威を検出してTIM1005を発行すること、RTAE110がメッセージを受信して緩和について判別しESB116に発行すること、コントロールプレーンエンジン114が緩和TIM1008の範囲内で緩和アクション(MA)1003を受信すること、センサ102及びスコア付けエンジン2 1004がモデル更新TIM906を受信して状態を更新すること、並びに、コントロールプレーンエンジン114がポートを閉じるアクションを採ることを、含む。スコア付けエンジン1 1002及びスコア付けエンジン2 1004は、本明細書に記載のスコア付けエンジン108と同様の機能を有する。
Claims (29)
- イベントを処理してスコア、警告、及び緩和アクションを生成するサイバーセキュリティシステムにおいて、
複数のセンサと、
分散型分析プラットフォームと、
複数のスコア付けエンジンと、及び、
リアルタイム分析エンジンと
を含み、
前記複数のセンサの各々は、
ネットワークからセンサデータを受信し、
センサデータを処理してイベントを作成し、及び、
イベントを伝送する
ように構成されており、
前記分散型分析プラットフォームは、
前記複数のセンサからイベントを受信し、
イベントを処理して分析ワークフローを作成し、ここで分析ワークフローの各々は一つ若しくはそれ以上の論理セグメントと関連付けられており、及び、
分析ワークフロー及び分散型分析プラットフォームメッセージを伝送する
ように構成されており、
前記複数のスコア付けエンジンの各々は、
分散型分析プラットフォームから分析ワークフローを受信し、
戦記複数のセンサの少なくとも一つからイベントを受信し、
分析ワークフローを用いて、受信したイベントを処理してスコア付けエンジンメッセージを生成し、及び、
スコア付けエンジンメッセージを伝送する
ように構成されており、
並びに、
前記リアルタイム分析エンジンは、
前記分散型分析プラットフォームから分析ワークフローを受信し、
分析ワークフローとイベント処理ルールを受信し、
前記複数のスコア付けエンジンからスコア付けエンジンメッセージを受信し、
前記分散型分析プラットフォームから分散型分析プラットフォームメッセージを受信し、並びに、
前記分散型分析プラットフォームからの分析ワークフロー、及び、分析ワークフローとイベント処理ルールを用いて、スコア付けエンジンメッセージと分散型分析プラットフォームメッセージを処理して脅威情報メッセージを作成する
ように構成されており、
脅威情報メッセージは、
前記リアルタイム分析エンジンが伝送するように構成されている、ブロードキャストメッセージと、
緩和メッセージであって、前記リアルタイム分析エンジンによる処理が、緩和アクションが異常アクティビティのインパクトを限定することを示すとき、前記一つ若しくはそれ以上の論理セグメントのうちの第1の論理セグメントと関連付けられる緩和アクションを採るために、前記リアルタイム分析エンジンが前記緩和メッセージをコントロールプレーンエンジンに伝送するように構成されている、緩和メッセージと、
及び、
モデル更新メッセージであって、前記リアルタイム分析エンジンによる処理が、モデル更新メッセージが異常アクティビティの検出率と偽陽性率の減少との少なくとも一つを改善することを示すとき、一つ若しくはそれ以上の分析ワークフローを更新するために、前記リアルタイム分析エンジンがモデル更新メッセージを伝送するように構成されている、モデル更新メッセージと
のうちの少なくとも一つを含み、
前記一つ若しくはそれ以上の論理セグメントの各々は、
分析モデル、分析モデルのセット、若しくは分析ワークフローと、
論理セグメント内部のアクティビティについてのインプットの一つ若しくはそれ以上のソースと、及び、
論理セグメント内部で発生する異常アクティビティのインパクトを緩和する、アクションのセットと
関連する、
システム。 - 前記複数のセンサ、前記複数のスコア付けエンジン、前記分散型分析プラットフォーム、前記リアルタイム分析エンジン、及び、前記コントロールプレーンエンジンが、帯域外ネットワークを用いて接続している、請求項1に記載のシステム。
- 前記複数のセンサ、前記複数のスコア付けエンジン、前記分散型分析プラットフォーム、前記リアルタイム分析エンジン、及び、前記コントロールプレーンエンジンが、企業体システムバスに亘って関連するメッセージを送信することにより通信する、請求項1に記載のシステム。
- 前記複数のセンサ、前記複数のスコア付けエンジン、前記分散型分析プラットフォーム、前記リアルタイム分析エンジン、及び、前記コントロールプレーンエンジンが、企業体システムバスに亘って関連するメッセージを送信することにより通信する、請求項2に記載のシステム。
- 更に、摂取アクタモジュールを含み、
前記摂取アクタモジュールは、
サードパーティアプリケーションとサードパーティデバイスのうちの少なくとも一つからサードパーティアプリケーションデータを受信し、
前記複数のスコア付けエンジン、前記分散型分析プラットフォーム、及び前記リアルタイム分析エンジンのうちの少なくとも一つによる更なる処理のために、サードパーティアプリケーションデータを伝送する
ように構成されている、請求項1に記載のシステム。 - 前記複数のセンサ、前記複数のスコア付けエンジン、前記分散型分析プラットフォーム、前記リアルタイム分析エンジン、前記コントロールプレーンエンジン、及び前記摂取アクタモジュールが、帯域外ネットワークを用いて接続している、請求項5に記載のシステム。
- 前記複数のセンサ、前記複数のスコア付けエンジン、前記分散型分析プラットフォーム、前記リアルタイム分析エンジン、前記コントロールプレーンエンジン、及び前記摂取アクタモジュールが、企業体システムバスに亘って関連するメッセージを送信することにより通信する、請求項5に記載のシステム。
- 前記スコア付けエンジンが更に、
モデル更新メッセージを受信し、及び、
イベントの処理と同時に、更新メッセージを処理する
ように構成されている、請求項1に記載のシステム。 - ブロードキャストメッセージ、緩和メッセージ、及びモデル更新メッセージのうちの少なくとも一つを作成するために、
前記リアルタイム分析エンジンは更に、
前記複数のスコア付けエンジン、前記分散型分析プラットフォーム、及び前記複数のセンサのうちの少なくとも一つから、第1の時間に第1のアウトプットを受信し、
第1のアウトプットに対応する第1の状態情報を検索し、
第1のアウトプットデータで第1の状態情報を更新し、
前記リアルタイム分析エンジンと関連付けられる分析ワークフローにより、更新された第1の状態情報を処理して、処理された更新された第1の状態情報を作成し、
処理された更新された第1の状態情報を前記リアルタイム分析エンジン内に格納し、
前記複数のスコア付けエンジン、前記分散型分析プラットフォーム、及び前記複数のセンサのうちの少なくとも一つから、第2の時間に第2のアウトプットを受信し、
第2のアウトプットに対応する第2の状態情報を検索し、
第2のアウトプットデータで第2の状態情報を更新し、
前記リアルタイム分析エンジンと関連付けられる分析ワークフローにより、更新された第2の状態情報を処理して、処理された更新された第2の状態情報を作成し、
処理された更新された第2の状態情報に基づいて、ブロードキャストメッセージ、緩和メッセージ、及びモデル更新メッセージのうちの少なくとも一つを作成し、
並びに、
処理された更新された第2の状態情報を前記リアルタイム分析エンジン内に格納する
ように構成されている、請求項1に記載のシステム。 - 前記リアルタイム分析エンジンは更に、
前記複数のスコア付けエンジン、前記分散型分析プラットフォーム、及び前記複数のセンサのうちの少なくとも一つから、第3の時間に中間アウトプットを受信し、ここで、第3の時間は第1の時間の後であり且つ第2の時間の前であり、
中間アウトプットに対応する中間状態情報を検索し、
中間アウトプットデータで中間状態情報を更新し、
前記リアルタイム分析エンジンと関連付けられる分析ワークフローにより、更新された中間状態情報を処理して、処理された更新された中間状態情報を作成し、
並びに、
処理された更新された中間状態情報を前記リアルタイム分析エンジン内に格納する
ように構成されている、請求項9に記載のシステム。 - 分析ワークフローは、モデル交換フォーマットドキュメントを含み、
モデル交換フォーマットドキュメントは、
分析モデルの合成と、
分析モデルの区分と、
分析モデルのアンサンブルと、
ルールによる分析モデルの合成と、
前処理及び後処理段階による分析モデルの合成と、及び、
分析ワークフローと
をサポートし、
前処理及び後処理段階は、データ変換とデータ凝集を含み、
分析ワークフローの各々は、分析モデル、ルール、データ変換、データ凝集、並びに、分析モデル、ルール、データ変換、データ凝集、区分及びアンサンブルの合成、のうちの少なくとも一つを、含む、
請求項1に記載のシステム。 - 前記リアルタイム分析エンジンは更に、
分析ワークフローの一つ若しくはそれ以上への変更が閾値を超えるときに、更新された振る舞いモデルを前記複数のスコア付けエンジンの一つ若しくはそれ以上に伝送する
ように構成されている、請求項1に記載のシステム。 - イベントは、
ネットワークフローについてのデータ、パケットについてのデータ、エンティティについてのデータ、ユーザについてのデータ、ワークステーションとサーバについてのデータ、ルータとスイッチについてのデータ、外部ネットワークエンティティについてのデータ、並びに、ネットワークと相互作用する内部及び外部デバイスについてのデータのうちの、少なくとも一つを含む、請求項1に記載のシステム。 - 前記複数のセンサと前記複数のスコア付けエンジンとのうちの、一つ若しくはそれ以上が、単独のアプリケーション内に統合される、請求項1に記載のシステム。
- 前記リアルタイム分析エンジンが、前記複数のスコア付けエンジンのうちの一つ若しくはそれ以上と統合する、請求項1に記載のシステム。
- 緩和アクションは、
少なくとも一つのポートを閉じること、
少なくとも一つのパケットデータを修正すること、
パケット若しくはフローの伝送をコントロールすること、
サブネットをブロックすること、
一つ若しくはそれ以上のインターネットプロトコル(IP)若しくはIPの範囲をブロックすること、及び、
一つ若しくはそれ以上の内部の若しくは外部のIPをブロックすること
のうちの少なくとも一つを含む、請求項1に記載のシステム。 - 緩和アクションは、
サーバ及びワークステーションのオフラインの少なくとも一つを採ること、
プロテクトされた画像から、新しい可視化サーバと新しい可視化ワークステーションのうちの少なくとも一つを形成すること、及び、
サーバとワークステーションのうちの少なくとも一つと関連付けられるアクションをブロックすること
のうちの少なくとも一つを含む、請求項1に記載のシステム。 - 異常アクティビティは、
偵察、セキュリティ上の弱点を突く手段、侵入、情報漏洩、インサイダ脅威、及び攻撃のうちの、少なくとも一つを含む、請求項1に記載のシステム。 - 緩和アクションは、
少なくとも一つのパケットを修正すること、
パケット若しくはフローの伝送をコントロールすること、及び、
異常アクティビティと関連付けられるエンティティに対する許可及びアクセス権を除去することのうちの、少なくとも一つを含み、
許可及びアクセス権を除去することは、
ネットワークアクセスをブロックすること、
ネットワークデバイスへのアクセスをブロックすること、
サーバへのアクセスをブロックすること、
ワークステーションへのアクセスをブロックすること、及び、
他のコンピュータデバイスへのアクセスをブロックすること
のうちの、少なくとも一つを含む、請求項18に記載のシステム。 - 異常アクティビティは、内部の悪いアクタと外部の悪いアクタとのうちの、少なくとも一つと関連付けられる、請求項18に記載のシステム。
- 更に可視化エンジンを含み、可視化エンジンはモニタを含み、
可視化エンジンは、
リアルタイム分析エンジンによるスコア付けエンジンメッセージの処理と関連付けられる統計及びグラフィック画像を受信し、及び、
モニタ上に統計及びグラフィック画像を表示する
ように構成されている、請求項1に記載のシステム。 - 複数の、請求項1に記載のシステムを含む、サイバーセキュリティシステムにおいて、
複数のサイバーセキュリティシステムの各々は、選択した脅威情報メッセージを、他のサイバーセキュリティシステムの一つ若しくはそれ以上と交換するように構成されており、
選択した脅威情報メッセージは、暗号化されて、情報を伝送するための機密メカニズムを提供し、
選択した脅威情報メッセージ内の情報は、伝送するサイバーセキュリティシステムに関する機密の内部情報を曝すことはしない、
サイバーセキュリティシステム。 - 外部の脅威情報メッセージを、互換性のあるサードパーティシステムと交換するように構成されており、
外部の脅威情報メッセージは、暗号化されて、情報を伝送するための機密メカニズムを提供し、
外部の脅威情報メッセージ内の情報は、外部の脅威情報メッセージを伝送するシステムに関する機密の内部情報を曝すことはせず、及び、
外部の脅威情報メッセージは、共通のモデル交換フォーマットでフォーマットされる、
請求項1に記載のシステム。 - 前記分散型分析プラットフォームは更に、
スコア付けエンジンメッセージを受信し、及び、
スコア付けエンジンメッセージを処理して脅威情報メッセージを作成する
ように構成されている、請求項1に記載のシステム。 - ブロードキャストメッセージは、情報メッセージ、サイバーイベントメッセージ、及び警告メッセージのうちの、少なくとも一つを含む、請求項1に記載のシステム。
- 前記複数の論理セグメントの各々は、
ネットワークの分割、ネットワーク上のトラフィックの分割、ネットワーク上のユーザの分割、ネットワーク上のデバイスの分割、サードパーティデータに基づく分割、並びに、ネットワーク、ネットワーク上のトラフィック、ネットワーク上のユーザ、ネットワーク上のデバイス、及び、サードパーティデータに、関する複数の分割の少なくとも一つと関連するデータのうちの、少なくとも一つと関連付けられる、請求項1に記載のシステム。 - 少なくとも第1の分割は、少なくとも第2の分割とオーバラップする、請求項26に記載のシステム。
- 前記複数のセンサ、前記複数のスコア付けエンジン、前記分散型分析プラットフォーム、前記リアルタイム分析エンジン、前記コントロールプレーンエンジン、及び、摂取アクタモジュールが、企業体システムバスに亘って関連するメッセージを送信することにより通信する、請求項27に記載のシステム。
- イベントを処理してスコア、警告、及び緩和アクションを生成するサイバーセキュリティシステムにおいて、
複数のセンサと、
分散型分析プラットフォームと、
スコア付けエンジンと、及び、
リアルタイム分析エンジンと
を含み、
前記複数のセンサの各々は、
ネットワークからセンサデータを受信し、
センサデータを処理してイベントを作成し、及び、
イベントを伝送する
ように構成されており、
前記分散型分析プラットフォームは、
前記複数のセンサからイベントを受信し、
イベントを処理して分析ワークフローを作成し、ここで分析ワークフローの各々は一つ若しくはそれ以上の論理セグメントと関連付けられており、及び、
分析ワークフロー及び分散型分析プラットフォームメッセージを伝送する
ように構成されており、
前記スコア付けエンジンは、
分散型分析プラットフォームから分析ワークフローを受信し、
前記複数のセンサの少なくとも一つからイベントを受信し、
分析ワークフローを用いて、イベントを処理してスコア付けエンジンメッセージを生成し、及び、
スコア付けエンジンメッセージを伝送する
ように構成されており、
並びに、
前記リアルタイム分析エンジンは、
前記分散型分析プラットフォームから分析ワークフローを受信し、
分析ワークフローとイベント処理ルールを受信し、
スコア付けエンジンメッセージを受信し、
前記分散型分析プラットフォームから分散型分析プラットフォームメッセージを受信し、並びに、
前記分散型分析プラットフォームからの分析ワークフロー、及び、分析ワークフローとイベント処理ルールを用いて、スコア付けエンジンメッセージと分散型分析プラットフォームメッセージを処理して脅威情報メッセージを作成する
ように構成されており、
脅威情報メッセージは、
前記リアルタイム分析エンジンが伝送するように構成されている、ブロードキャストメッセージと、
緩和メッセージであって、前記リアルタイム分析エンジンによる処理が、緩和アクションが異常アクティビティのインパクトを限定することを示すとき、前記一つ若しくはそれ以上の論理セグメントのうちの第1の論理セグメントと関連付けられる緩和アクションを採るために、前記リアルタイム分析エンジンが前記緩和メッセージをコントロールプレーンエンジンに伝送するように構成されている、緩和メッセージと、
及び、
モデル更新メッセージであって、前記リアルタイム分析エンジンによる処理が、モデル更新メッセージが異常アクティビティの検出率と偽陽性率の減少との少なくとも一つを改善することを示すとき、一つ若しくはそれ以上の分析ワークフローを更新するために、前記リアルタイム分析エンジンがモデル更新メッセージを伝送するように構成されている、モデル更新メッセージと
のうちの少なくとも一つを含み、
前記一つ若しくはそれ以上の論理セグメントの各々は、
分析モデル、分析モデルのセット、若しくは分析ワークフローと、
論理セグメント内部のアクティビティについてのインプットの一つ若しくはそれ以上のソースと、及び、
論理セグメント内部で発生する異常アクティビティのインパクトを緩和する、アクションのセットと
関連する、
システム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201462066769P | 2014-10-21 | 2014-10-21 | |
US62/066,769 | 2014-10-21 | ||
PCT/US2015/056082 WO2016109005A2 (en) | 2014-10-21 | 2015-10-16 | Cybersecurity system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017516411A true JP2017516411A (ja) | 2017-06-15 |
JP6196397B2 JP6196397B2 (ja) | 2017-09-13 |
Family
ID=55589164
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016567760A Active JP6196397B2 (ja) | 2014-10-21 | 2015-10-16 | サイバーセキュリティシステム |
Country Status (12)
Country | Link |
---|---|
US (1) | US9306965B1 (ja) |
EP (1) | EP3095034B1 (ja) |
JP (1) | JP6196397B2 (ja) |
CN (1) | CN106170772B (ja) |
CA (1) | CA2934311C (ja) |
ES (1) | ES2736099T3 (ja) |
HK (1) | HK1225475A1 (ja) |
IL (1) | IL251719B (ja) |
LT (1) | LT3095034T (ja) |
PL (1) | PL3095034T3 (ja) |
SG (1) | SG11201703164RA (ja) |
WO (1) | WO2016109005A2 (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3451615A1 (en) | 2017-08-28 | 2019-03-06 | Fujitsu Limited | Cyber attack information processing apparatus and method |
JP2019062272A (ja) * | 2017-09-25 | 2019-04-18 | PIPELINE Security株式会社 | サイバーセキュリティフレームワークボックス |
US20190279042A1 (en) * | 2018-03-06 | 2019-09-12 | Tazi Al Systems, Inc. | Human understandable online machine learning system |
WO2019220833A1 (ja) * | 2018-05-18 | 2019-11-21 | 株式会社島津製作所 | 診断支援システムおよび診断支援装置 |
Families Citing this family (120)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9137205B2 (en) | 2012-10-22 | 2015-09-15 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
US9565213B2 (en) | 2012-10-22 | 2017-02-07 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
US9203806B2 (en) | 2013-01-11 | 2015-12-01 | Centripetal Networks, Inc. | Rule swapping in a packet network |
US9124552B2 (en) | 2013-03-12 | 2015-09-01 | Centripetal Networks, Inc. | Filtering network data transfers |
US9094445B2 (en) | 2013-03-15 | 2015-07-28 | Centripetal Networks, Inc. | Protecting networks from cyber attacks and overloading |
US10749905B2 (en) * | 2017-07-31 | 2020-08-18 | Amdocs Development Limited | System, method, and computer program providing security in network function virtualization (NFV) based communication networks and software defined networks (SDNS) |
US20160164917A1 (en) * | 2014-12-03 | 2016-06-09 | Phantom Cyber Corporation | Action recommendations for computing assets based on enrichment information |
US10230742B2 (en) * | 2015-01-30 | 2019-03-12 | Anomali Incorporated | Space and time efficient threat detection |
US9264370B1 (en) | 2015-02-10 | 2016-02-16 | Centripetal Networks, Inc. | Correlating packets in communications networks |
US20160292591A1 (en) * | 2015-04-02 | 2016-10-06 | Sas Institute Inc. | Streamlined analytic model training and scoring system |
US9866576B2 (en) | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
US11757920B2 (en) * | 2015-10-28 | 2023-09-12 | Qomplx, Inc. | User and entity behavioral analysis with network topology enhancements |
US11089045B2 (en) * | 2015-10-28 | 2021-08-10 | Qomplx, Inc. | User and entity behavioral analysis with network topology enhancements |
US10681074B2 (en) | 2015-10-28 | 2020-06-09 | Qomplx, Inc. | System and method for comprehensive data loss prevention and compliance management |
JP6693114B2 (ja) * | 2015-12-15 | 2020-05-13 | 横河電機株式会社 | 制御装置及び統合生産システム |
US9917856B2 (en) | 2015-12-23 | 2018-03-13 | Centripetal Networks, Inc. | Rule-based network-threat detection for encrypted communications |
US11729144B2 (en) * | 2016-01-04 | 2023-08-15 | Centripetal Networks, Llc | Efficient packet capture for cyber threat analysis |
US10152596B2 (en) * | 2016-01-19 | 2018-12-11 | International Business Machines Corporation | Detecting anomalous events through runtime verification of software execution using a behavioral model |
US10262133B1 (en) | 2016-01-20 | 2019-04-16 | Cyarx Technologies Ltd. | System and method for contextually analyzing potential cyber security threats |
US10742667B1 (en) * | 2016-01-20 | 2020-08-11 | Cyarx Technologies Ltd. | System and method for dynamical modeling multi-dimensional security event data into a graph representation |
US10354066B2 (en) | 2016-02-26 | 2019-07-16 | Cylance Inc. | Retention and accessibility of data characterizing events on an endpoint computer |
US10341856B2 (en) * | 2016-05-10 | 2019-07-02 | FirstPoint Mobile Guard Ltd. | System and method for securing communication and information of mobile devices through a controlled cellular communication network |
CN107360120B (zh) | 2016-05-10 | 2019-06-11 | 华为技术有限公司 | 虚拟网络功能的审计方法和装置 |
GB2566657B8 (en) | 2016-06-30 | 2022-04-13 | Sophos Ltd | Proactive network security using a health heartbeat |
LT3338205T (lt) * | 2016-07-14 | 2019-06-25 | IronNet Cybersecurity, Inc. | Modeliavimas ir virtualia realybe pagrįsta kibernetinės elgsenos sistema |
US9961100B2 (en) * | 2016-07-29 | 2018-05-01 | Accenture Global Solutions Limited | Network security analysis system |
KR101865690B1 (ko) * | 2016-08-04 | 2018-06-12 | 주식회사 시큐다임 | Https 기반 통신의 가시성 확보를 위한 네트워크 보안 감시 시스템 및 방법 |
US10313384B1 (en) * | 2016-08-11 | 2019-06-04 | Balbix, Inc. | Mitigation of security risk vulnerabilities in an enterprise network |
US10402564B2 (en) * | 2016-08-16 | 2019-09-03 | Nec Corporation | Fine-grained analysis and prevention of invalid privilege transitions |
US10157285B2 (en) | 2016-10-14 | 2018-12-18 | Bank Of America Corporation | Dynamic requirements mapping |
US10212184B2 (en) | 2016-10-27 | 2019-02-19 | Opaq Networks, Inc. | Method for the continuous calculation of a cyber security risk index |
US10581915B2 (en) * | 2016-10-31 | 2020-03-03 | Microsoft Technology Licensing, Llc | Network attack detection |
US11018970B2 (en) | 2016-10-31 | 2021-05-25 | Nicira, Inc. | Monitoring resource consumption for distributed services |
US10171510B2 (en) | 2016-12-14 | 2019-01-01 | CyberSaint, Inc. | System and method for monitoring and grading a cybersecurity framework |
US11258681B2 (en) | 2016-12-16 | 2022-02-22 | Nicira, Inc. | Application assessment and visibility for micro-segmentation of a network deployment |
US10699012B2 (en) | 2017-01-11 | 2020-06-30 | Cylance Inc. | Endpoint detection and response utilizing machine learning |
US20180219884A1 (en) * | 2017-01-27 | 2018-08-02 | Hewlett Packard Enterprise Development Lp | Changing the deployment status of a pre-processor or analytic |
US10346610B1 (en) * | 2017-01-31 | 2019-07-09 | EMC IP Holding Company LLC | Data protection object store |
US10728264B2 (en) * | 2017-02-15 | 2020-07-28 | Micro Focus Llc | Characterizing behavior anomaly analysis performance based on threat intelligence |
WO2018149530A1 (en) * | 2017-02-17 | 2018-08-23 | NEC Laboratories Europe GmbH | Method for operating a network |
CN108632214B (zh) * | 2017-03-20 | 2022-02-22 | 中兴通讯股份有限公司 | 一种实现移动目标防御的方法及装置 |
US11049026B2 (en) | 2017-03-20 | 2021-06-29 | Micro Focus Llc | Updating ground truth data in a security management platform |
US10387298B2 (en) | 2017-04-04 | 2019-08-20 | Hailo Technologies Ltd | Artificial neural network incorporating emphasis and focus techniques |
US11238334B2 (en) | 2017-04-04 | 2022-02-01 | Hailo Technologies Ltd. | System and method of input alignment for efficient vector operations in an artificial neural network |
US11544545B2 (en) | 2017-04-04 | 2023-01-03 | Hailo Technologies Ltd. | Structured activation based sparsity in an artificial neural network |
US11551028B2 (en) | 2017-04-04 | 2023-01-10 | Hailo Technologies Ltd. | Structured weight based sparsity in an artificial neural network |
US11615297B2 (en) | 2017-04-04 | 2023-03-28 | Hailo Technologies Ltd. | Structured weight based sparsity in an artificial neural network compiler |
US10819714B2 (en) | 2017-04-26 | 2020-10-27 | Cylance Inc. | Endpoint detection and response system with endpoint-based artifact storage |
US10698625B2 (en) | 2017-05-15 | 2020-06-30 | Accenture Global Solutions Limited | Data pipeline architecture for analytics processing stack |
US9998895B1 (en) | 2017-06-28 | 2018-06-12 | Motorola Solutions, Inc. | Apparatus and method for real-time public safety evidentiary data collection |
US9936360B1 (en) | 2017-06-28 | 2018-04-03 | Motorola Solutions, Inc. | Apparatus and method for real-time public safety evidentiary data collection |
US10306341B2 (en) | 2017-06-28 | 2019-05-28 | Motorola Solutions, Inc. | Method and apparatus for determining sensor data reliability at an incident scene for real-time and post-incident processing |
US10503899B2 (en) | 2017-07-10 | 2019-12-10 | Centripetal Networks, Inc. | Cyberanalysis workflow acceleration |
US10284526B2 (en) | 2017-07-24 | 2019-05-07 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
US11233777B2 (en) | 2017-07-24 | 2022-01-25 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
US10705868B2 (en) * | 2017-08-07 | 2020-07-07 | Modelop, Inc. | Dynamically configurable microservice model for data analysis using sensors |
CN109511129A (zh) * | 2017-09-15 | 2019-03-22 | 中国移动通信集团广东有限公司 | 一种无线网络安全检测方法和装置 |
US10887369B2 (en) | 2017-09-25 | 2021-01-05 | Splunk Inc. | Customizable load balancing in a user behavior analytics deployment |
US11436471B2 (en) * | 2017-10-13 | 2022-09-06 | Panasonic Intellectual Property Corporation Of America | Prediction model sharing method and prediction model sharing system |
US10902121B2 (en) | 2017-10-19 | 2021-01-26 | International Business Machines Corporation | Policy-based detection of anomalous control and data flow paths in an application program |
US10728256B2 (en) | 2017-10-30 | 2020-07-28 | Bank Of America Corporation | Cross channel authentication elevation via logic repository |
US10721246B2 (en) * | 2017-10-30 | 2020-07-21 | Bank Of America Corporation | System for across rail silo system integration and logic repository |
US10621341B2 (en) | 2017-10-30 | 2020-04-14 | Bank Of America Corporation | Cross platform user event record aggregation system |
WO2019084693A1 (en) * | 2017-11-06 | 2019-05-09 | Cyber Defence Qcd Corporation | Methods and systems for monitoring cyber-events |
US10742673B2 (en) * | 2017-12-08 | 2020-08-11 | Nicira, Inc. | Tracking the dynamics of application-centric clusters in a virtualized datacenter |
CN108243189B (zh) * | 2018-01-08 | 2020-08-18 | 平安科技(深圳)有限公司 | 一种网络威胁管理方法、装置、计算机设备及存储介质 |
US10607021B2 (en) | 2018-01-26 | 2020-03-31 | Bank Of America Corporation | Monitoring usage of an application to identify characteristics and trigger security control |
JP7065498B2 (ja) * | 2018-02-03 | 2022-05-12 | アレグロスマート株式会社 | データオーケストレーションプラットフォーム管理 |
US10659484B2 (en) | 2018-02-19 | 2020-05-19 | Cisco Technology, Inc. | Hierarchical activation of behavioral modules on a data plane for behavioral analytics |
US10824950B2 (en) | 2018-03-01 | 2020-11-03 | Hcl Technologies Limited | System and method for deploying a data analytics model in a target environment |
US11962610B2 (en) * | 2018-03-05 | 2024-04-16 | EzoTech Inc. | Automated security testing system and method |
US20200410001A1 (en) * | 2018-03-22 | 2020-12-31 | Apomatix Inc. | Networked computer-system management and control |
US10862864B2 (en) * | 2018-04-04 | 2020-12-08 | Sophos Limited | Network device with transparent heartbeat processing |
US11140195B2 (en) | 2018-04-04 | 2021-10-05 | Sophos Limited | Secure endpoint in a heterogenous enterprise network |
US10972431B2 (en) | 2018-04-04 | 2021-04-06 | Sophos Limited | Device management based on groups of network adapters |
US11271950B2 (en) | 2018-04-04 | 2022-03-08 | Sophos Limited | Securing endpoints in a heterogenous enterprise network |
US11616758B2 (en) | 2018-04-04 | 2023-03-28 | Sophos Limited | Network device for securing endpoints in a heterogeneous enterprise network |
CA3040367A1 (en) * | 2018-04-16 | 2019-10-16 | Interset Software, Inc. | System and method for custom security predictive models |
WO2019220182A1 (en) * | 2018-05-17 | 2019-11-21 | Pratik Sharma | Application specific security functions in network |
US10333898B1 (en) | 2018-07-09 | 2019-06-25 | Centripetal Networks, Inc. | Methods and systems for efficient network protection |
US11132440B2 (en) * | 2018-11-01 | 2021-09-28 | Foundation Of Soongsil University-Industry Cooperation | Hybrid trust execution environment based android security framework, android device equipped with the same and method of executing trust service in android device |
IL263956A (en) * | 2018-12-24 | 2020-06-30 | Amzel Moshe | Systems and methods for early detection, warning and prevention of cyber threats |
EP3925194B1 (en) * | 2019-02-13 | 2023-11-29 | Obsidian Security, Inc. | Systems and methods for detecting security incidents across cloud-based application services |
US11196759B2 (en) * | 2019-06-26 | 2021-12-07 | Microsoft Technology Licensing, Llc | SIEM system and methods for exfiltrating event data |
US11632386B2 (en) | 2019-07-19 | 2023-04-18 | Rochester Institute Of Technology | Cyberattack forecasting using predictive information |
US11210262B2 (en) * | 2019-09-25 | 2021-12-28 | Sap Se | Data ingestion application for internet of devices |
US11588854B2 (en) | 2019-12-19 | 2023-02-21 | Vmware, Inc. | User interface for defining security groups |
US11477223B2 (en) * | 2020-01-15 | 2022-10-18 | IronNet Cybersecurity, Inc. | Systems and methods for analyzing cybersecurity events |
US11522880B2 (en) | 2020-07-09 | 2022-12-06 | International Business Machines Corporation | Analytics engine for data exploration and analytics |
US11144862B1 (en) | 2020-09-02 | 2021-10-12 | Bank Of America Corporation | Application mapping and alerting based on data dependencies |
US11811421B2 (en) | 2020-09-29 | 2023-11-07 | Hailo Technologies Ltd. | Weights safety mechanism in an artificial neural network processor |
US11221929B1 (en) | 2020-09-29 | 2022-01-11 | Hailo Technologies Ltd. | Data stream fault detection mechanism in an artificial neural network processor |
US11263077B1 (en) | 2020-09-29 | 2022-03-01 | Hailo Technologies Ltd. | Neural network intermediate results safety mechanism in an artificial neural network processor |
US11237894B1 (en) | 2020-09-29 | 2022-02-01 | Hailo Technologies Ltd. | Layer control unit instruction addressing safety mechanism in an artificial neural network processor |
US11874900B2 (en) | 2020-09-29 | 2024-01-16 | Hailo Technologies Ltd. | Cluster interlayer safety mechanism in an artificial neural network processor |
US11366901B2 (en) | 2020-10-07 | 2022-06-21 | Bank Of America Corporation | System and method for identifying insider threats in source code |
US11303666B1 (en) | 2020-10-14 | 2022-04-12 | Expel, Inc. | Systems and methods for intelligent cyber security threat detection and mitigation through an extensible automated investigations and threat mitigation platform |
US11362996B2 (en) | 2020-10-27 | 2022-06-14 | Centripetal Networks, Inc. | Methods and systems for efficient adaptive logging of cyber threat incidents |
CN112800413B (zh) * | 2021-02-26 | 2024-03-15 | 上海派拉软件股份有限公司 | 一种权限信息推送方法、装置、设备及存储介质 |
US11496477B2 (en) | 2021-03-05 | 2022-11-08 | Aceiss, Inc. | Systems and methods for onboarding and managing applications over networks |
US11159546B1 (en) | 2021-04-20 | 2021-10-26 | Centripetal Networks, Inc. | Methods and systems for efficient threat context-aware packet filtering for network protection |
US11856023B2 (en) * | 2021-05-25 | 2023-12-26 | IronNet Cybersecurity, Inc. | Identification of invalid advertising traffic |
US11374964B1 (en) | 2021-06-24 | 2022-06-28 | Airgap Networks Inc. | Preventing lateral propagation of ransomware using a security appliance that dynamically inserts a DHCP server/relay and a default gateway with point-to-point links between endpoints |
US11916957B1 (en) | 2021-06-24 | 2024-02-27 | Airgap Networks Inc. | System and method for utilizing DHCP relay to police DHCP address assignment in ransomware protected network |
US11252183B1 (en) | 2021-06-24 | 2022-02-15 | Airgap Networks Inc. | System and method for ransomware lateral movement protection in on-prem and cloud data center environments |
US11711396B1 (en) | 2021-06-24 | 2023-07-25 | Airgap Networks Inc. | Extended enterprise browser blocking spread of ransomware from alternate browsers in a system providing agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links |
US11303673B1 (en) | 2021-06-24 | 2022-04-12 | Airgap Networks Inc. | System and method for preventing lateral propagation of ransomware using a security appliance that functions as a DHCP relay on a shared network |
US11757933B1 (en) | 2021-06-24 | 2023-09-12 | Airgap Networks Inc. | System and method for agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links |
US11303669B1 (en) | 2021-06-24 | 2022-04-12 | Airgap Networks Inc. | System and method for tunneling endpoint traffic to the cloud for ransomware lateral movement protection |
US11757934B1 (en) | 2021-06-24 | 2023-09-12 | Airgap Networks Inc. | Extended browser monitoring inbound connection requests for agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links |
US11695799B1 (en) | 2021-06-24 | 2023-07-04 | Airgap Networks Inc. | System and method for secure user access and agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links |
US11722519B1 (en) | 2021-06-24 | 2023-08-08 | Airgap Networks Inc. | System and method for dynamically avoiding double encryption of already encrypted traffic over point-to-point virtual private networks for lateral movement protection from ransomware |
US11323474B1 (en) * | 2021-07-28 | 2022-05-03 | Airgap Networks, Inc. | System and method for determining endpoint compatibility with subnet prefix of all-ones for lateral propagation prevention of ransomware |
US11736520B1 (en) | 2021-06-24 | 2023-08-22 | Airgap Networks Inc. | Rapid incidence agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links |
US11930027B2 (en) * | 2021-12-28 | 2024-03-12 | Nozomi Networks Sagl | Method for evaluating quality of rule-based detections |
US11475375B1 (en) * | 2022-04-25 | 2022-10-18 | Morgan Stanley Services Group Inc. | Risk assessment with automated escalation or approval |
CN115426198B (zh) * | 2022-11-01 | 2023-03-24 | 杭州安恒信息技术股份有限公司 | 一种情报信息处理方法、装置、设备及存储介质 |
EP4380106A1 (en) * | 2022-11-30 | 2024-06-05 | Juniper Networks, Inc. | Intelligent firewall flow processor |
US11956117B1 (en) | 2023-05-22 | 2024-04-09 | Google Llc | Network monitoring and healing based on a behavior model |
CN116702154B (zh) * | 2023-06-08 | 2024-02-23 | 唐山旭华智能科技有限公司 | 一种基于大数据安全评估的分析系统及方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120072983A1 (en) * | 2010-09-20 | 2012-03-22 | Sonalysts, Inc. | System and method for privacy-enhanced cyber data fusion using temporal-behavioral aggregation and analysis |
Family Cites Families (65)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CA2276526A1 (en) | 1997-01-03 | 1998-07-09 | Telecommunications Research Laboratories | Method for real-time traffic analysis on packet networks |
US6088804A (en) | 1998-01-12 | 2000-07-11 | Motorola, Inc. | Adaptive system and method for responding to computer network security attacks |
US6279113B1 (en) | 1998-03-16 | 2001-08-21 | Internet Tools, Inc. | Dynamic signature inspection-based network intrusion detection |
US6134664A (en) | 1998-07-06 | 2000-10-17 | Prc Inc. | Method and system for reducing the volume of audit data and normalizing the audit data received from heterogeneous sources |
US6321338B1 (en) | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
WO2000034867A1 (en) | 1998-12-09 | 2000-06-15 | Network Ice Corporation | A method and apparatus for providing network and computer system security |
US6681331B1 (en) | 1999-05-11 | 2004-01-20 | Cylant, Inc. | Dynamic software system intrusion detection |
US6671811B1 (en) | 1999-10-25 | 2003-12-30 | Visa Internation Service Association | Features generation for use in computer network intrusion detection |
US6769066B1 (en) | 1999-10-25 | 2004-07-27 | Visa International Service Association | Method and apparatus for training a neural network model for use in computer network intrusion detection |
US6519703B1 (en) | 2000-04-14 | 2003-02-11 | James B. Joyce | Methods and apparatus for heuristic firewall |
US20030051026A1 (en) * | 2001-01-19 | 2003-03-13 | Carter Ernst B. | Network surveillance and security system |
US7290283B2 (en) | 2001-01-31 | 2007-10-30 | Lancope, Inc. | Network port profiling |
US7458094B2 (en) | 2001-06-06 | 2008-11-25 | Science Applications International Corporation | Intrusion prevention system |
US7331061B1 (en) | 2001-09-07 | 2008-02-12 | Secureworks, Inc. | Integrated computer security management system and method |
US7543056B2 (en) | 2002-01-15 | 2009-06-02 | Mcafee, Inc. | System and method for network vulnerability detection and reporting |
US7448084B1 (en) * | 2002-01-25 | 2008-11-04 | The Trustees Of Columbia University In The City Of New York | System and methods for detecting intrusions in a computer system by monitoring operating system registry accesses |
US7225343B1 (en) * | 2002-01-25 | 2007-05-29 | The Trustees Of Columbia University In The City Of New York | System and methods for adaptive model generation for detecting intrusions in computer systems |
ATE374493T1 (de) | 2002-03-29 | 2007-10-15 | Global Dataguard Inc | Adaptive verhaltensbezogene eindringdetektion |
US7603711B2 (en) | 2002-10-31 | 2009-10-13 | Secnap Networks Security, LLC | Intrusion detection system |
US7454499B2 (en) | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
US7376969B1 (en) | 2002-12-02 | 2008-05-20 | Arcsight, Inc. | Real time monitoring and analysis of events from multiple network security devices |
US7483972B2 (en) * | 2003-01-08 | 2009-01-27 | Cisco Technology, Inc. | Network security monitoring system |
US7603710B2 (en) * | 2003-04-03 | 2009-10-13 | Network Security Technologies, Inc. | Method and system for detecting characteristics of a wireless network |
US8640234B2 (en) | 2003-05-07 | 2014-01-28 | Trustwave Holdings, Inc. | Method and apparatus for predictive and actual intrusion detection on a network |
US7386883B2 (en) | 2003-07-22 | 2008-06-10 | International Business Machines Corporation | Systems, methods and computer program products for administration of computer security threat countermeasures to a computer system |
JP3922375B2 (ja) | 2004-01-30 | 2007-05-30 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 異常検出システム及びその方法 |
US20050198363A1 (en) * | 2004-02-05 | 2005-09-08 | Yibei Ling | Preserving HTTP sessions in heterogeneous wireless environments |
US7406606B2 (en) | 2004-04-08 | 2008-07-29 | International Business Machines Corporation | Method and system for distinguishing relevant network security threats using comparison of refined intrusion detection audits and intelligent security analysis |
EP1589716A1 (en) | 2004-04-20 | 2005-10-26 | Ecole Polytechnique Fédérale de Lausanne (EPFL) | Method of detecting anomalous behaviour in a computer network |
US8458793B2 (en) | 2004-07-13 | 2013-06-04 | International Business Machines Corporation | Methods, computer program products and data structures for intrusion detection, intrusion response and vulnerability remediation across target computer systems |
EP1817648B1 (en) | 2004-11-26 | 2020-09-16 | Telecom Italia S.p.A. | Instrusion detection method and system, related network and computer program product therefor |
US7784099B2 (en) | 2005-02-18 | 2010-08-24 | Pace University | System for intrusion detection and vulnerability assessment in a computer network using simulation and machine learning |
US7814548B2 (en) | 2005-09-13 | 2010-10-12 | Honeywell International Inc. | Instance based learning framework for effective behavior profiling and anomaly intrusion detection |
US8079080B2 (en) | 2005-10-21 | 2011-12-13 | Mathew R. Syrowik | Method, system and computer program product for detecting security threats in a computer network |
WO2007070838A2 (en) * | 2005-12-13 | 2007-06-21 | Crossbeam Systems, Inc. | Systems and methods for processing data flows |
WO2008051258A2 (en) | 2005-12-21 | 2008-05-02 | University Of South Carolina | Methods and systems for determining entropy metrics for networks |
CA2531410A1 (en) | 2005-12-23 | 2007-06-23 | Snipe Network Security Corporation | Behavioural-based network anomaly detection based on user and group profiling |
US20070204345A1 (en) | 2006-02-28 | 2007-08-30 | Elton Pereira | Method of detecting computer security threats |
US7809740B2 (en) | 2006-03-29 | 2010-10-05 | Yahoo! Inc. | Model for generating user profiles in a behavioral targeting system |
US7739082B2 (en) | 2006-06-08 | 2010-06-15 | Battelle Memorial Institute | System and method for anomaly detection |
US8443443B2 (en) | 2006-10-04 | 2013-05-14 | Behaviometrics Ab | Security system and method for detecting intrusion in a computerized system |
US7840377B2 (en) | 2006-12-12 | 2010-11-23 | International Business Machines Corporation | Detecting trends in real time analytics |
MX2009008376A (es) | 2007-02-08 | 2009-12-14 | Behavioral Recognition Systems | Sistema de reconocimiento conductual. |
US8015133B1 (en) * | 2007-02-20 | 2011-09-06 | Sas Institute Inc. | Computer-implemented modeling systems and methods for analyzing and predicting computer network intrusions |
US8392997B2 (en) | 2007-03-12 | 2013-03-05 | University Of Southern California | Value-adaptive security threat modeling and vulnerability ranking |
US7770203B2 (en) | 2007-04-17 | 2010-08-03 | International Business Machines Corporation | Method of integrating a security operations policy into a threat management vector |
US8707431B2 (en) | 2007-04-24 | 2014-04-22 | The Mitre Corporation | Insider threat detection |
US8296850B2 (en) | 2008-05-28 | 2012-10-23 | Empire Technology Development Llc | Detecting global anomalies |
US8326987B2 (en) | 2008-11-12 | 2012-12-04 | Lin Yeejang James | Method for adaptively building a baseline behavior model |
US8572736B2 (en) | 2008-11-12 | 2013-10-29 | YeeJang James Lin | System and method for detecting behavior anomaly in information access |
US8769684B2 (en) | 2008-12-02 | 2014-07-01 | The Trustees Of Columbia University In The City Of New York | Methods, systems, and media for masquerade attack detection by monitoring computer user behavior |
US8239668B1 (en) | 2009-04-15 | 2012-08-07 | Trend Micro Incorporated | Computer security threat data collection and aggregation with user privacy protection |
US8260779B2 (en) * | 2009-09-17 | 2012-09-04 | General Electric Company | Systems, methods, and apparatus for automated mapping and integrated workflow of a controlled medical vocabulary |
US20120137367A1 (en) | 2009-11-06 | 2012-05-31 | Cataphora, Inc. | Continuous anomaly detection based on behavior modeling and heterogeneous information analysis |
US8528091B2 (en) | 2009-12-31 | 2013-09-03 | The Trustees Of Columbia University In The City Of New York | Methods, systems, and media for detecting covert malware |
US8424091B1 (en) | 2010-01-12 | 2013-04-16 | Trend Micro Incorporated | Automatic local detection of computer security threats |
US8863279B2 (en) | 2010-03-08 | 2014-10-14 | Raytheon Company | System and method for malware detection |
US8473415B2 (en) | 2010-05-04 | 2013-06-25 | Kevin Paul Siegel | System and method for identifying a point of compromise in a payment transaction processing system |
US9032521B2 (en) | 2010-10-13 | 2015-05-12 | International Business Machines Corporation | Adaptive cyber-security analytics |
EP3522492A1 (en) | 2012-03-22 | 2019-08-07 | Triad National Security, LLC | Path scanning for the detection of anomalous subgraphs, anomaly/change detection and network situational awareness |
US8813228B2 (en) * | 2012-06-29 | 2014-08-19 | Deloitte Development Llc | Collective threat intelligence gathering system |
US8973140B2 (en) | 2013-03-14 | 2015-03-03 | Bank Of America Corporation | Handling information security incidents |
US8898784B1 (en) | 2013-05-29 | 2014-11-25 | The United States of America, as represented by the Director, National Security Agency | Device for and method of computer intrusion anticipation, detection, and remediation |
US20140364973A1 (en) | 2013-06-06 | 2014-12-11 | Zih Corp. | Method, apparatus, and computer program product for monitoring health, fitness, operation, or performance of individuals |
US9898741B2 (en) | 2013-07-17 | 2018-02-20 | Visa International Service Association | Real time analytics system |
-
2015
- 2015-10-16 WO PCT/US2015/056082 patent/WO2016109005A2/en active Application Filing
- 2015-10-16 LT LTEP15875868.0T patent/LT3095034T/lt unknown
- 2015-10-16 CN CN201580006876.XA patent/CN106170772B/zh active Active
- 2015-10-16 US US14/885,857 patent/US9306965B1/en active Active
- 2015-10-16 CA CA2934311A patent/CA2934311C/en active Active
- 2015-10-16 JP JP2016567760A patent/JP6196397B2/ja active Active
- 2015-10-16 ES ES15875868T patent/ES2736099T3/es active Active
- 2015-10-16 PL PL15875868T patent/PL3095034T3/pl unknown
- 2015-10-16 SG SG11201703164RA patent/SG11201703164RA/en unknown
- 2015-10-16 EP EP15875868.0A patent/EP3095034B1/en active Active
-
2016
- 2016-12-02 HK HK16113797A patent/HK1225475A1/zh unknown
-
2017
- 2017-04-13 IL IL251719A patent/IL251719B/en active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120072983A1 (en) * | 2010-09-20 | 2012-03-22 | Sonalysts, Inc. | System and method for privacy-enhanced cyber data fusion using temporal-behavioral aggregation and analysis |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3451615A1 (en) | 2017-08-28 | 2019-03-06 | Fujitsu Limited | Cyber attack information processing apparatus and method |
US11075953B2 (en) | 2017-08-28 | 2021-07-27 | Fujitsu Limited | Cyber attack information processing apparatus and method |
JP2019062272A (ja) * | 2017-09-25 | 2019-04-18 | PIPELINE Security株式会社 | サイバーセキュリティフレームワークボックス |
US20190279042A1 (en) * | 2018-03-06 | 2019-09-12 | Tazi Al Systems, Inc. | Human understandable online machine learning system |
WO2019220833A1 (ja) * | 2018-05-18 | 2019-11-21 | 株式会社島津製作所 | 診断支援システムおよび診断支援装置 |
JPWO2019220833A1 (ja) * | 2018-05-18 | 2021-04-08 | 株式会社島津製作所 | 診断支援システム、診断支援装置および診断支援方法 |
JP7115693B2 (ja) | 2018-05-18 | 2022-08-09 | 株式会社島津製作所 | 診断支援システム、診断支援装置および診断支援方法 |
Also Published As
Publication number | Publication date |
---|---|
EP3095034A2 (en) | 2016-11-23 |
SG11201703164RA (en) | 2017-05-30 |
CA2934311C (en) | 2017-06-13 |
IL251719B (en) | 2019-07-31 |
WO2016109005A2 (en) | 2016-07-07 |
LT3095034T (lt) | 2019-09-25 |
CN106170772B (zh) | 2018-04-17 |
EP3095034B1 (en) | 2019-05-29 |
IL251719A0 (en) | 2017-06-29 |
JP6196397B2 (ja) | 2017-09-13 |
PL3095034T3 (pl) | 2019-11-29 |
WO2016109005A3 (en) | 2016-09-09 |
HK1225475A1 (zh) | 2017-09-08 |
US20160112443A1 (en) | 2016-04-21 |
US9306965B1 (en) | 2016-04-05 |
EP3095034A4 (en) | 2017-09-06 |
CA2934311A1 (en) | 2016-09-02 |
ES2736099T3 (es) | 2019-12-26 |
CN106170772A (zh) | 2016-11-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6196397B2 (ja) | サイバーセキュリティシステム | |
EP3800856B1 (en) | A cyber security appliance for a cloud infrastructure | |
Ullah et al. | Architectural tactics for big data cybersecurity analytics systems: a review | |
US10530789B2 (en) | Alerting and tagging using a malware analysis platform for threat intelligence made actionable | |
JP6916112B2 (ja) | ネットワークデータ特性評価のシステムと方法 | |
US10320813B1 (en) | Threat detection and mitigation in a virtualized computing environment | |
US10200389B2 (en) | Malware analysis platform for threat intelligence made actionable | |
US10230749B1 (en) | Automatically grouping malware based on artifacts | |
WO2017151515A1 (en) | Automatically grouping malware based on artifacts | |
WO2020150453A1 (en) | Classification of network packet data | |
Fetjah et al. | Toward a big data architecture for security events analytic | |
US11415425B1 (en) | Apparatus having engine using artificial intelligence for detecting behavior anomalies in a computer network | |
US11397808B1 (en) | Attack detection based on graph edge context | |
US20210092159A1 (en) | System for the prioritization and dynamic presentation of digital content | |
Mir et al. | An Enhanced Implementation of Security Management System (SSMS) using UEBA in Smart Grid based SCADA Systems | |
US11856023B2 (en) | Identification of invalid advertising traffic | |
US11930039B1 (en) | Metric space modeling of network communication | |
Oral et al. | Real-Time System Log Monitoring/Analytics Framework |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20170327 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170411 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170707 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170801 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170817 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6196397 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |