JP2018061240A - 時系列グラフ分析による悪意ある脅威の検出 - Google Patents

時系列グラフ分析による悪意ある脅威の検出 Download PDF

Info

Publication number
JP2018061240A
JP2018061240A JP2017169649A JP2017169649A JP2018061240A JP 2018061240 A JP2018061240 A JP 2018061240A JP 2017169649 A JP2017169649 A JP 2017169649A JP 2017169649 A JP2017169649 A JP 2017169649A JP 2018061240 A JP2018061240 A JP 2018061240A
Authority
JP
Japan
Prior art keywords
data
time series
network
log data
parameter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017169649A
Other languages
English (en)
Other versions
JP6599946B2 (ja
Inventor
ウィリアム ディバレンティン,ルイス
William Divalentin Louis
ウィリアム ディバレンティン,ルイス
パターソン,ジョシュア
Patterson Joshua
クラウス,キース
Kraus Keith
リン バーケット,ロビン
Lynn Burkett Robin
リン バーケット,ロビン
エヴァン ウェンド,マイケル
Evan Wendt Michael
エヴァン ウェンド,マイケル
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Accenture Global Solutions Ltd
Original Assignee
Accenture Global Solutions Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Accenture Global Solutions Ltd filed Critical Accenture Global Solutions Ltd
Publication of JP2018061240A publication Critical patent/JP2018061240A/ja
Application granted granted Critical
Publication of JP6599946B2 publication Critical patent/JP6599946B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2458Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
    • G06F16/2477Temporal data queries
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/25Integrating or interfacing systems involving database management systems
    • G06F16/254Extract, transform and load [ETL] procedures, e.g. ETL data flows in data warehouses
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/81Threshold
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/835Timestamp
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/86Event-based monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Fuzzy Systems (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Computational Linguistics (AREA)
  • Debugging And Monitoring (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】時系列グラフ分析による悪意ある脅威検出を提供する。
【解決手段】データ分析デバイスが、複数のログ・データ・エントリを備えるデータ・ファイルを受信する。ログ・データ・エントリは、コンピューティング・ネットワークにおけるコンピュータ・ネットワーク・イベントに関連するパラメータを含む。データ分析デバイスは、ログ・データに含まれた少なくとも1つのパラメータに基づいて、コンピューティング・ネットワークのグラフィカル・モデルを発生させる。データ分析デバイスはさらに、グラフィカル・モデルにより表現されるコンピュータ・ネットワークのノードに関連するパラメータを特定し、パラメータに対して時系列分析を実行し、コンピューティング・ネットワークに関連する異常なイベントまたはコンピューティング・ネットワークに関連する悪意あるイベントのうちの少なくとも1つを、パラメータに対する時系列分析に基づいて判断する。
【選択図】図1

Description

本明細書は、1つ以上の時系列グラフの分析によって悪意ある脅威を検出することに関する。
コンピュータ・ネットワークは、インターネットによりアクセス可能な多様なデジタル・コンテンツを含む共有リソースに個人またはユーザがアクセスすることを可能にする複数のコンピューティング資産を含む。コンピュータ・ネットワークは、パーソナル・エリア・ネットワーク、ローカル/バーチャル・エリア・ネットワーク、ワイド・エリア・ネットワーク、またはその他任意の種類の、コンピューティング・デバイスの集合に関連するネットワーク・アーキテクチャ内の1つ以上のノードを構成するよう互いに接続されたコンピュータのセットであることもある。
インターネットに対するアクセスおよび特定のネットワーク外のその他ウェブ・リソースに対するアクセスは、サイバー・セキュリティの多様な課題を提示する。したがって、コンピュータ・ネットワークと一体となったコンピューティング資産には、ネットワークと一体となった1つ以上の資産に悪意あるユーザが権限なしにアクセスすることによるデータ漏洩または攻撃が生じやすい場合がある。
本明細書に記載された主題は、ログ・データをグラフとして構造化することと、中心性および重要度測度に基づきノードをエンリッチ化するために構造化ログ・データにグラフ解析を適用することとに関する。記載される主題は、時系列分析およびその他関係する解析測度を適用して、コンピュータ・ネットワーク内の特定のノードについて示される重要度の、予期せぬ突然の変動または変化を検出することを含む。コンピュータ・ネットワーク内のデータ・フロー特性を評価すると、特定のノードに関連するデータ・トラフィックは、典型的には、突然ではなく徐々に変化するであろう。これは、コンピュータ・ネットワークが一般に、各ノードの相対的重要度の点で安定していることが理由である。よって、基準トラフィック・フロー・パターンの突然または急激な変動が示されることは通常は稀であり、ネットワーク内で悪意あるアクティビティが生じている可能性の指標としての役割を果たし得る。
ノードのアクティビティにおける突然の変動は、調査に値するコンピューティング資産またはノードに関連する挙動の変化を示し、ネットワーク/セキュリティ・オペレーション・センター(NOC/SOC:network/security operations center)内で作業をするオペレータの関心を引く。組織のコンピュータ・ネットワークに権限なしにアクセスしている悪意ある行為者により侵害された資産は、典型的に、ノードのデータ・フロー特性の急激な変化に部分的に基づくノード重要度の急な上昇を示す。データ・フロー特性(例えば重要度測度)のこの変化は、横展開しまたはネットワークからデータを盗み出すための、悪意あるユーザによる偵察アクティビティおよび/または試行に関連し得る。故に、本明細書に記載される教示は、改善された重要度および/または中心性測度を用いてコンピュータ・ネットワーク内の各ノードまたは資産をエンリッチ化するためのシステムおよび方法を含む。記載される主題は、特定のノードに関連する重要度および中心性測度の突然の変動を確実に検出する可能性を高めるために各ノードに適用可能な頑強なデータ分析法をさらに含む。したがって、本願明細書に記載された教示を応用することで、サイバー脅威のより効果的且つ適時の検出が達成される。
本明細書に記載される主題の革新的な側面は、コンピュータに実装された方法に具現化できる。本方法は、データ分析デバイスによって、コンピューティング・ネットワークにおけるコンピュータ・ネットワーク・イベントに関連するパラメータを含む複数のログ・データ・エントリを備えたデータ・ファイルを受信するステップと、ログ・データ・エントリに含まれた少なくとも1つのパラメータに基づきデータ分析デバイスによってコンピューティング・ネットワークのグラフィカル・モデルを発生させるステップとを含む。本方法は、グラフィカル・モデルに関連するパラメータをデータ分析デバイスによって識別するステップであって、パラメータはコンピューティング・ネットワークのノードにも関連する、識別するステップと、データ分析デバイスによってパラメータに対して時系列分析を実行するステップと、パラメータに対する時系列分析に基づき、コンピューティング・ネットワークに関連する異常なイベントまたはコンピューティング・ネットワークに関連する悪意あるイベントのうちの少なくとも1つを判断するステップとをさらに含む。
これらの実装および他の実装はそれぞれ、任意選択で、以下の特徴のうちの1つ以上を含むことができる。例えば一部の実装では、コンピューティング・ネットワークのグラフィカル・モデルを発生させるステップは、グラフ解析(GA)メトリックの第1セットを発生させるために、データ分析デバイスのプロセッサによって、1つ以上のGA測度を使用してログ・データ・エントリを分析することを含む。一側面では、GA測度は、PageRank測度、媒介中心性測度、三角形数え上げ測度、または、少なくとも1つのパラメータの繰り返し起こる特性を分析するべく構成された1つ以上のグラフ解析測度のうちの少なくとも1つを含む。別の側面では、本方法は、データ分析デバイスによって、周期的なログ・データ更新の更新毎にグラフィカル・モデルに関連するログ・データ・エントリの経過時間窓を受信してログ・データ・エントリの経過時間窓をデータ分析デバイスのデータ・ストレージ・ユニットに記憶することにより、ポイント・イン・タイム・パーティショニングを含む周期的なログ・データ更新を実行するステップをさらに含む。さらに別の側面では、本方法は、GAメトリックの後続セットを発生させるために、プロセッサによって、グラフィカル・モデルに関連するログ・データ・エントリの経過時間窓を分析するステップをさらに含み、GAメトリックの第1セットおよびGAメトリックの後続セットはそれぞれ、時系列分析を実行される少なくとも1つのパラメータを備える。さらに別の側面では、本方法は、データのグラフィカル・モデルを隣接行列および圧縮疎行列のうちの少なくとも1つとしてデータ・ストレージ・ユニットに記憶するステップをさらに含む。
一部の実装では、パラメータに対して時系列分析を実行するステップは、コンピューティング・ネットワークのノードの属性における所定閾値を超える変化を検出するために、データ分析デバイスによってノードを分析することを含み、その変化は、第1期間と、第1期間よりも時間的に遅い第2期間との間に生じる。他の実装では、本方法は、データ分析デバイスによって、コンピュータ・ネットワーク・イベントに関連するパラメータを抽出して、データ分析デバイスのデータ・ストレージ・ユニットにロードされる少なくとも1つのパラメータを準備するステップをさらに含み、抽出および準備は、データ分析デバイスのプロセッサがデータ・ストレージ・ユニットに記憶されている命令を実行するのに応答して生じ、命令は、抽出、変換、ロード(ETL)データ処理関数を備える。
一部の実装では、ログ・データ・エントリに含まれコンピュータ・ネットワーク・イベントに関連するパラメータは、ネットワーク・イベント・タイプ、送信元識別子、または宛先識別子のうちの少なくとも1つを備え、ノードは、コンピューティング資産またはコンピューティング資産のユーザのうちの1つを備える。他の実装では、時系列分析を実行するステップは、グラフィックス処理ユニット(GPU:graphics processing unit)、中央処理ユニット(CPU:central processing unit)、特定用途向け集積回路、またはプログラマブル論理デバイスのうちの1つを使用して時系列分析の少なくとも一部を実行すること含む。
本明細書に記載される主題の別の革新的な側面は、1つ以上の処理デバイスと、動作を実行するために1つ以上の処理デバイスにより実行可能な命令を記憶する1つ以上の機械可読ストレージ・デバイスとを備える電子システムに具現化できる。この動作は、コンピューティング・ネットワークにおけるコンピュータ・ネットワーク・イベントに関連するパラメータを含む複数のログ・データ・エントリを備えたデータ・ファイルを受信することと、ログ・データ・エントリに含まれた少なくとも1つのパラメータに基づきコンピューティング・ネットワークのグラフィカル・モデルを発生させることとを含む。この動作は、グラフィカル・モデルに関連するパラメータを識別することであって、パラメータはコンピューティング・ネットワークのノードにも関連する、識別することと、時系列分析をパラメータに対して実行することと、パラメータに対する時系列分析に基づき、コンピューティング・ネットワークに関連する異常なイベントまたはコンピューティング・ネットワークに関連する悪意あるイベントのうちの少なくとも1つを判断することとをさらに含む。
これらの実装および他の実装はそれぞれ、任意選択で、以下の特徴のうちの1つ以上を含むことができる。例えば一部の実装では、コンピューティング・ネットワークのグラフィカル・モデルを発生させることは、グラフ解析(GA)メトリックの第1セットを発生させるために、電子システムのグラフィックス・プロセッサによって、1つ以上のGA測度を使用してログ・データ・エントリを分析することを含む。一側面では、GA測度は、PageRank測度、媒介中心性測度、三角形数え上げ測度、または、少なくとも1つのパラメータの繰り返し起こる特性を分析するべく構成された1つ以上のグラフ解析測度のうちの少なくとも1つを含む。別の側面では、電子システムにより実行される動作は、周期的なログ・データ更新の更新毎にグラフィカル・モデルに関連するログ・データ・エントリの経過時間窓を受信してログ・データ・エントリの経過時間窓を電子システムのストレージ・デバイスに記憶することにより、ポイント・イン・タイム・パーティショニングを含む周期的なログ・データ更新を実行することをさらに含む。さらに別の側面では、電子システムにより実行される動作は、GAメトリックの後続セットを発生させるために、グラフィカル・モデルに関連するログ・データ・エントリの経過時間窓をグラフィックス・プロセッサによって分析することをさらに含み、GAメトリックの第1セットおよびGAメトリックの後続セットはそれぞれ、時系列分析を実行される少なくとも1つのパラメータを備える。
一部の実装では、電子システムによって実行される動作は、コンピュータ・ネットワーク・イベントに関連するパラメータを抽出して、電子システムのストレージ・デバイスにロードされる少なくとも1つのパラメータを準備することをさらに含み、抽出および準備は、データ分析デバイスのプロセッサがデータ・ストレージ・ユニットに記憶されている命令を実行するのに応答して生じ、命令は、抽出、変換、ロード(ETL)データ処理関数を備える。他の実装では、パラメータに対して時系列分析を実行することは、ノードの属性における所定閾値を超える変化を検出するために、コンピューティング・ネットワークのノードを電子システムのグラフィックス・プロセッサによって分析することを含み、その変化は、第1期間と、第1期間よりも時間的に遅い第2期間との間に生じる。他の実装では、時系列分析法は、時系列回帰法、自己回帰法、管理図に基づく方法、またはマルコフ・ジャンプ法のうちの少なくとも1つを含む。
本明細書に記載される主題のさらに別の革新的な側面は、コンピュータ・プログラムでコードされデータ分析デバイスに配置された非一時的コンピュータ・ストレージ・ユニットに具現化することができる。このプログラムは、1つ以上の処理ユニットによって実行されると1つ以上の処理ユニットに動作を実行させる命令を備え、この動作は、コンピューティング・ネットワークにおけるコンピュータ・ネットワーク・イベントに関連するパラメータを含む複数のログ・データ・エントリを備えたデータ・ファイルを受信することと、ログ・データ・エントリに含まれた少なくとも1つのパラメータに基づきコンピューティング・ネットワークのグラフィカル・モデルを発生させることとを含む。この動作は、グラフィカル・モデルに関連するパラメータを識別することであって、パラメータはコンピューティング・ネットワークのノードにも関連する、識別することと、時系列分析をパラメータに対して実行することと、パラメータに対する時系列分析に基づき、コンピューティング・ネットワークに関連する異常なイベントまたはコンピューティング・ネットワークに関連する悪意あるイベントのうちの少なくとも1つを判断することとをさらに含む。
これらの実装および他の実装はそれぞれ、任意選択で、以下の特徴のうちの1つ以上を含むことができる。例えば一部の実装では、コンピューティング・ネットワークのグラフィカル・モデルを発生させることは、グラフ解析(GA)メトリックの第1セットを発生させるために、データ分析デバイスの処理ユニットによって、1つ以上のGA測度を使用してログ・データ・エントリを分析することを含む。
この側面および他の側面の他の実装は、対応するシステム、装置、および本方法のアクションを実行するよう構成されコンピュータ・ストレージ・デバイスにコードされたコンピュータ・プログラムを含む。1つ以上のコンピュータのシステムは、ソフトウェア、ファームウェア、ハードウェア、またはシステムにインストールされたそれらの組み合わせによって、動作時にシステムにアクションを実行させるように構成できる。1つ以上のコンピュータ・プログラムは、命令を有することによって、データ処理装置により実行されると装置にアクションを実行させるように構成できる。
本願明細書に記載された教示を応用することで、サイバー脅威のより効果的且つ適時の検出が達成される。
例示のデータ分析デバイスを含む例示のコンピューティング・ネットワークのブロック図を示す。 図1のデータ分析デバイスに関連する1つ以上のグラフおよび時系列分析機能の例を表すブロック図を示す。 図1の例示のコンピューティング・ネットワークに関連した悪意ある脅威検出のための例示のプロセスのフローチャートを示す。
本明細書に記載される主題の1つ以上の実装の詳細が、添付の図面および以下の説明に記載される。本主題の他の潜在的な特徴、側面、および利点は、本記載、図面、および特許請求の範囲から明らかとなる。
別々の図面内の同じ参照番号および名称は、同様の構成要素を示す。
本明細書は、多様なネットワーク保護ツールからの複数のログ・ファイルの取得と、データ分析デバイスによるログ・データのコンバートとを含むシステムおよび方法について記載する。データ分析デバイスは、コンピュータ・ネットワークに対する悪意ある脅威の検出を可能にするために、取得されたデータにグラフおよび時系列に基づく解析的測度を適用する1つ以上のモジュールを含む。グラフ分析および時系列分析測度を適用することで、取得されたログ・データを、1つ以上のノードおよびエッジを有するグラフィカル・ネットワークとして視覚化することができる。
例示の実装では、グラフ分析測定は、1)ログ・ファイルにより示されるネットワーク・イベント・データの周期的な時間間隔での収集および記憶、2)収集および記憶に応答したネットワーク・イベント・データに対するグラフ解析測度の適用、ならびに3)収集および記憶が生じる各時間間隔に対する所定レートでのグラフ解析計算の更新を含む。ネットワーク・イベント・データに関連する一定のパラメータがパースまたは抽出されるとき、時系列分析の前に、分析デバイスによるデータのエンリッチ化が生じる。特定のノードのネットワーク・アクティビティにおける突然または急激な変動を明らかにするべくパラメータ値をベースラインまたは閾値に対し比較および対照するために、時系列分析測度が、抽出されたパラメータに適用される。ネットワーク・アクティビティにおける突然の予期せぬ任意の変動に基づき、悪意ある脅威の検出が可能になる。一部の実装では、異常または特異なコンピュータ・ネットワーク・イベントの検出は、悪意ある脅威につながる徴候を明らかにすることができる。
図1は、例示のデータ分析デバイスを含む例示のコンピューティング・ネットワーク100のブロック図を示す。ネットワーク100は、コンピューティング資産104a/b/c、ネットワーク保護ツール106、セキュリティ情報イベント管理デバイス110(SIEM(security information event management)110)、およびデータ分析デバイス112(以下「デバイス112」)を含む。ユーザ102は、コンピューティング資産104a/b/cとやり取りする。単一のユーザ102が示されているが、ネットワーク100は複数のユーザ102を含むことができる。一部の実装では、コンピューティング資産104a/b/cは、ユーザ102が、ネットワーク100内外のデータ通信トラフィックを生成する様々なコンピュータ関係アクティビティに関与できるようにする。アクティビティとしては、例えば、イントラネット・サイトにアクセスすること、電子メール通信文の草稿を書いて送信すること、文書を印刷すること、インターネット108にアクセスすること、ファイル・サーバおよびクラウド・ベースのアプリケーションなどの共有されたローカルおよび外部リソースにアクセスすることを挙げることができる。
コンピューティング資産104a/b/cとしては、標準的なラップトップおよびデスクトップ・コンピュータ、プリント・サーバおよびプリンタ/コピー機デバイス、電子メール・サーバ、アプリケーション・サーバ、ルータ、スイッチ、イントラネットおよび関係するファイル・サーバ、またはコンピュータ・ネットワークに関連するその他任意のコンピューティング・デバイスもしくは資産を挙げることができる。例えば、コンピューティング資産104aをラップトップ/デスクトップ・コンピュータとすることができ、資産104bを電子メール・サーバとすることができ、資産104cをルータとすることができる。図1には3つのコンピューティング資産104a/b/cが示されているが、一部の実装では、ネットワーク100は、ユーザ102が上述のコンピュータ関係のアクティビティに関与できるように協働する、より多数またはより少数の資産104を含んでもよい。
図のように、コンピューティング資産104a/b/cは、ネットワーク保護ツール106とデータ通信している。保護ツール106は、ネットワーク100に様々なネットワーク・セキュリティ機能を提供する。例示のネットワーク・セキュリティ機能は、データ・パケットまたはその他データ・トラフィックがネットワーク100に入らないように、および/またはネットワーク100から出ないようにブロックまたはフィルタリングすることを含む。さらに、例示のネットワーク保護ツール106としては、ファイアウォール、プロキシ・サーバ、侵入検知システム、侵入防止システム、パケット・スニフィング・デバイス、脆弱性スキャニング・デバイス、またはコンピュータ・ネットワークと関連するその他任意のネットワーク・セキュリティ・デバイスが挙げられる。
さらに詳しく後述するとおり、一部の実装では、集合的にネットワーク保護ツール106を構成する1つ以上のツール/デバイスはそれぞれ、ネットワーク100内で生じるセキュリティおよび非セキュリティ関係のイベントまたはアクティビティに関連する一定のパラメータまたは属性を含むログ・データ/ファイルを周期的に生成するよう設計または構成できる。図のように、ネットワーク保護ツール106の個々のデバイスにより生成される各ログ・ファイルは、データ通信パス122bを通してデバイス112に提供できる。
図のように、ネットワーク保護ツール106の1つ以上のツール/デバイスは、それぞれSIEM110またはデバイス112のうちの1つとデータ通信している。コンピュータおよび/またはネットワーク動作に関して、SIEM110は、コンピューティング資産104a/b/c、ネットワーク保護ツール106、および明示的に記載はされないがコンピュータ・ネットワーク(すなわちネットワーク100)内に存在することが周知である1つ以上の他のコンピューティング・デバイスに関する、多様なシステム・イベント・データおよびシステム情報データの収集および記憶を提供する。
SIEM110は、ネットワーク100内で生じるコンピューティング・アクティビティ(例えばドメイン名システム(DNS:Domain Name System)トラフィック)に関連するイベントまたは情報に関するログ・データを生成、追跡、または監視する。ネットワーク保護ツール106のデバイスとよく似て、SIEM110も、ネットワーク100内のイベントまたはアクティビティに関連する一定のパラメータまたは属性を含むログ・データ/ファイルを周期的に生成するよう設計または構成できる。一部の実装では、SIEM110は、保護ツール106の各デバイスからログ・ファイルを受信し、各ログ・ファイルを、データ通信パス122aを通してデバイス112に提供する。他の実装では、SIEM110は、保護ツール106の各デバイスからログ・ファイルを受信し、各ログ・ファイルをより大きなログ・ファイルに集約し、且つ/またはログ・ファイルに関連する共通の属性に基づいて各ログ・ファイルを相関させる。図1に示されているとおり、SIEM110からのログ・データは、データ通信パス122aを通してデバイス112に提供される。
図1に示されているとおり、デバイス112は、SIEM110またはネットワーク保護ツール106のうちの1つに接続または結合可能である。一部の実装では、デバイス112は、データ通信パス122aを通してSIEM110に接続または結合される。同じく、一部の実装では、デバイス112は、データ通信パス122bを通して、またはSIEM110およびデータ通信パス122aを通して間接的に、ネットワーク保護ツール106に接続または結合可能である。さらに別の実装では、デバイス112は、データ通信パス122aを通してSIEM110と、さらにはデータ通信パス122bを通してかまたはSIEM110およびデータ通信パス122aを通して間接的にかのいずれかでネットワーク保護ツール106と、の両方に同時に結合可能である。
デバイス112は、処理ユニット114およびモジュール120を含む。一部の実施形態では、処理ユニット114は、1つ以上のプロセッサ(例えばマイクロプロセッサまたは中央処理ユニット(CPU))、グラフィックス処理ユニット(GPU)、特定用途向け集積回路(ASIC:application specific integrated circuit)、または異なるプロセッサの組み合わせを含むことができる。他の実施形態では、デバイス112は、本明細書に記載される判定および計算のうちの1つ以上を実行するための追加の処理オプションを提供する、他のコンピューティング・リソース/デバイス(例えばクラウド・ベースのサーバ)を含むことができる。
処理ユニット114は、1つ以上のメモリ・ユニットまたはメモリ・バンクを含むことができる。一部の実装では、処理ユニット114は、本明細書に記載された1つ以上の機能をモジュール120およびデバイス112に実行させるために、メモリに記憶されたプログラム済み命令を実行する。処理ユニット114のメモリは、1つ以上の非一時的機械可読ストレージ媒体を含むことができる。非一時的機械可読ストレージ媒体は、ソリッド・ステート・メモリ、磁気ディスク、および光ディスク、ポータブル・コンピュータ・ディスケット、ランダム・アクセス・メモリ(RAM:random access memory)、読み取り専用メモリ(ROM:read−only memory)、消去可能プログラム可能読み取り専用メモリ(例えばEPROM(erasable programmable readonly memory)、EEPROM、またはフラッシュメモリ)、あるいは情報を記憶できるその他任意の有形の媒体を含むことができる。
上述のとおり、ネットワーク保護ツール106およびSIEM110はそれぞれ、ネットワーク100内で生じるセキュリティおよび非セキュリティ関係のイベントまたはアクティビティ(例えばデータ通信、パケット情報、および/またはデータ・フロー/トラフィック・パターン)に関連する一定のパラメータまたは属性を含むログ・データ/ファイルを周期的に生成する。よって、ログ・データ・ストア118は、ネットワーク保護ツール106およびSIEM110により生成されたログ・ファイルを含む。
モジュール120は、1つ以上のグラフ解析測度および1つ以上の時系列分析測度をデータ・ストア118の中のログ・データに適用する一定の命令論理またはプログラム・コードを含むことができる。図2を参照してさらに詳しく後述するとおり、デバイス112のモジュール120は、ログ・データをグラフィカル・フォーマットに構造化し、構造化されたログ・データに1つ以上のグラフ解析測度を適用して、中心性および重要度測度に基づきノードをエンリッチ化するよう構成可能である。モジュール120はさらに、時系列分析に基づく解析測度をグラフィカル・データに適用して、ネットワーク100内の特定のノードについて示される重要度の予期せぬ突然の変動または変化を検出するよう構成可能である。モジュール120は、図1においてはデバイス112の一部として示されているが、別の実施形態では、処理ユニット114と独立してグラフィカル分析および/または時系列分析測定を実行するスタンドアロンのデータ分析デバイスとすることができる。
図2は、図1のデバイス112に関連する1つ以上のグラフ分析および時系列分析機能を表すブロック図を示す。ログ・データ・ストア118は、1つ以上のログ・データ・タイプを含むことができ、モジュール120は、1つ以上のサブモジュールを含むことができる。図のように、ログ・データ・ストア118は、ユーザ・ログ202、ベンダ・ログ204、およびシステム・ログ206などの1つ以上のログ・データ・タイプを含む。さらにモジュール120は、抽出、変換、およびロード(ETL:extraction, transformation,and loading)208サブモジュール、データ・ストア・サブモジュール210、グラフィックス処理ユニット212、およびhadoop分散ファイル・システム(HDFS:hadoop distributed file system)214を含む。
ユーザ・ログ202は、ネットワーク100内で生じるユーザ特有のアクティビティまたはイベントに対応することができる。例示のユーザ・イベントとしては、ユーザ102によるネットワーク100および/またはコンピューティング資産104a/b/cに対する認証、ユーザ102によるネットワーク100および/またはコンピューティング資産104a/b/cへのログイン試行、ユーザ102によるファイル・アクセス、ユーザ102による電子メール通信文の送受信、またはコンピュータ・ネットワークにおいて典型的に生じるその他任意の関係するユーザ・アクティビティが挙げられる。ベンダ・ログ204およびシステム・ログ206は、SIEM110により、さらに/またはネットワーク保護ツール106の1つ以上のデバイスにより生成されるデバイス特有のログ・データ(例えば事前構成済みのベンダ設定に基づく)とすることができる。
ETL208は、1つ以上のタイプのログ・データをデータ・ストア118から受信し、受信したログ・データに対して抽出関数、変換関数、およびロード関数のうちの1つを実行する。一部の実装では、ETL208の抽出関数は、ログ・データ・ストア118の中の複数のログ・エントリを分析して、ログ・エントリの望ましいサブセットを抽出する。次に、ETL208の変換関数が、ルックアップ・テーブルまたは他の関係する変換方法を使用してルールを適用し、抽出されたログ・エントリのサブセットを望ましい状態にコンバートまたは変換する。最後に、ETL208のロード関数が使用されて、結果として生じたデータが、HDFS214またはデータ・ストア210などのターゲット・データベースに書き込まれる。
後述のとおり、ネットワーク100の1つ以上のデバイスにより生成されたログ・データは、グラフ・ネットワークまたはモデルとして視覚化でき、各ノードは、例えばコンピューティング資産104a/b/cまたはユーザ102を表現し、各エッジは、例えば特定のノードのネットワーク・アクティビティに関連するパラメータを含む具体的なログ・エントリを表現する。一部の実装では、パラメータは例えば、データを送信するコンピューティング資産104(またはネットワーク100外の資産)の送信元インターネット・プロトコル(IP:internet protocol)アドレスおよびデータを受信するコンピューティング資産104(またはネットワーク100外の資産)の宛先IPアドレスを含む。グラフ・モデルのエッジは、特定の送信元IPアドレスおよび宛先IPアドレスを含むログ・エントリ数の重み付けされた量とすることができる。
GPU212は、HDFS214に記憶されている抽出済みログ・エントリに少なくとも部分的に基づき、ネットワーク100のグラフィカル・モデルを発生させる。抽出済みログ・エントリは、ネットワーク100内で悪意あるアクティビティが生じている可能性の指標としての役割を潜在的に果たし得る対象パラメータを少なくとも1つ含む。ネットワーク100内で生じる一定のアクティビティまたはイベントに関連するパラメータ(例えば対象パラメータ)が、モジュール120により自動的に、またはネットワーク100の管理を監督する管理者もしくはセキュリティ担当者により手動で識別され得る。
一部の実装では、パラメータを選択するのに使用されるアクティビティ/イベントとしては、例えば、特定の送信元IPアドレスが特定の宛先IPアドレスにアウトバウンド接続を試行していること、既知のアクティビティ傾向に基づき特定の送信元IPアドレスにより典型的に試行される閾値数を超える数のアウトバウンド接続を当該送信元IPアドレスが試行していること、第1の送信元IPアドレスまたはコンピューティング資産104がウイルスまたはマルウェアなどの悪意あるプログラム・コードに感染していると分かっている第2の送信元IPアドレスまたはコンピューティング資産104に接続または結合されていること、特定のユーザ102が特定ファイルまたはネットワーク100のサブ・ネットワークに対するアクセスまたは認証を試行していることの徴候、あるいはその他、ユーザ102、コンピューティング資産104、もしくは送信元/宛先IPアドレスが関与していて且つ特異であるまたは1つ以上のサイバー・セキュリティ脆弱性が疑われる指標であると理解され得るネットワーク100関連のアクティビティを挙げることができる。
一部の実装では、ネットワーク100のグラフィカル・モデルを発生させることは、モジュール120により、ポイント・イン・タイム・パーティショニング(PTP:point−in−time partitioning)を含む周期的なログ・データ更新を実行することを含む。PTPの実行に際し、HDFS214に提供される抽出済みログ・エントリの新たな更新(経過時間窓(past time window)に対応)毎に、その経過時間窓のデータがHDFS214により収集/受信され、GPU212によってグラフ解析メトリックの新たなセットが計算されてデータ・ストア210に記憶される。一部の実装では、グラフィカル・モデルまたは解析メトリック・セットが、隣接行列および圧縮疎行列のうちの少なくとも1つとしてデータ・ストア210に記憶される。各時間窓に対してグラフ解析計算がどの程度頻繁に実行されるかに対応する更新レートは、管理者の好みによって異なり得る。各グラフ解析計算は、ネットワーク100の特定のノード/パラメータ(例えばユーザ102のユーザID、送信元IPアドレス、宛先IPアドレス、送信元ユーザID、または宛先ユーザID)に関連するグラフ解析メトリックのセットを発生させる。
一部の例では、GPU212がグラフ解析メトリックの新規または後続のセットを1時間毎に計算するように、毎時間の更新レートを有するようモジュール120を構成できる。更新レートは変化してもよく、毎時間、毎日、毎週、またはネットワーク100の管理者が望むその他任意のレートとすることができる。経過時間窓は、グラフ解析計算のために使用される時間窓のサイズ(例えば1日、2日、5日などの時間単位)に対応する。一部の実装では、モジュール120は、2日の経過時間窓を有するよう構成でき、それにより、GPU212に提供される抽出済みログ・エントリは、過去2日間に生じたネットワーク・アクティビティ・ログに対応する。更新レートとよく似て、経過時間窓も管理者の好みによって異なることができる。
モジュール120は、GPU212により実行されたグラフ解析測定に関連する1つ以上のエンリッチ化関数を含むことができる。一部の実装では、エンリッチ化関数は、ネットワーク100の中の1つ以上のノードの特定のネットワーク・アクティビティ(例えばデータ・トラフィック/パケットの送信または受信)に関連する時間属性を各ログ・エントリに関してパースするために、抽出済みログ・エントリに対して適用される。さらに、パースされた時点における対応するグラフ解析測度を、ネットワーク・アクティビティに関連する送信元ノード/IPアドレスおよび宛先ノード/IPアドレスに関してエンリッチ化できる。一部の例では、上述のとおり、時間属性のエンリッチ化は、ログ・エントリの経過時間窓(ログ・エントリの過去2日間)に対して時間属性(EST午前11時)をパースして経過時間窓にわたる特定のノードまたはパラメータに関するログ・エントリの内容を分析することを含むことができる。
グラフ分析/解析測度は、PageRank測度、媒介中心性測度、三角形数え上げ測度、あるいはその他、ログ・エントリに含まれるノードまたはパラメータの繰り返し起こる特性を分析するべく構成された1つ以上のグラフ解析測度のうちの少なくとも1つを含むことができる。コンピュータ・ネットワーク分析に関しては、グラフ解析測度を使用して、グラフ内で最も重要な頂点(例えばノード・アクティビティ/イベント)を識別する中心性の指標を検出することができる。応用として、コンピュータ・ネットワークの中で最もアクティブなノードを識別することを挙げることができる。例えばネットワーク100では、グラフ解析測度を使用することで、閾値レベルのアクティビティを超えるネットワーク・アクティビティ(例えば閾値を上回る特定のファイル/リソースへのアクセス試行、閾値を上回るデータ・パケットの送信/受信など)に関与したユーザ102またはコンピューティング資産104(送信元/宛先IP)を識別または検出することができる。
データ・ストア210は、検索照会の機能性を含む時系列データ・ストアである。一部の実装では、データ・ストア210は、時系列データの記憶および取得のためのメカニズムを提供する非構造化照会言語(NoSQL:non−structured query language)データベースとすることができる。データ・ストア210は、ネットワーク100の特定のノードに関連する時系列データを受信および記憶するよう構成される。図2に示されるとおり、データ・ストア210は、GPU212から受信される時系列データを記憶することができる。一部の実装では、データは、GPU212によって生成された1つ以上のグラフ・メトリック・セットに対してGPU212により実行される時系列処理に基づき発生する。時系列データを発生させるためにGPU212により使用される例示の時系列分析法としては、例えば、時系列回帰法、自己回帰法、管理図に基づく方法、マルコフ・ジャンプ法、またはその他、少なくとも部分的にGPU212によって実装可能な任意の時系列分析法を挙げることができる。
時系列データを生成する処理方法は複数ある。例えば、1つの方法は、HDFS214を使用して実装可能な従来型の時系列算定関数を使用することを伴う。図のように、時系列データを生成した後、次にHDFS214は、生成されたデータを記憶および後続の分析のためにNoSQLデータ・ストア210に提供することができる。時系列データを生成する別の方法は、例えば、抽出済みのログ・データをGPUクラスタに提供し、計算/算定を実行して時系列データを生成し、次に、生成されたデータをNoSQLデータ・ストア210に記憶することにより、GPU212に固有の算定関数を利用することを含む。別の実装では、ETL208によりログ・データに対して実行された算定に少なくとも部分的に基づいて時系列データを生成できる。したがって、データ・ストア210は、ETL208の1つ以上の関数の適用後に生成されたコンピュータ・ネットワーク・イベントに関連するパラメータを含むログ・エントリを受信することができる。時系列分析法の適用は、時系列分析データを生成するプロセスとは異なる。故に、上述の時系列分析法を、データ・ストア210に記憶された時系列分析データに対して適用して、ネットワーク100に対する悪意ある脅威を最終的に識別することができる。
一部の例では、時系列分析は、所与の期間の使用を有効化して、ネットワーク100の特定のノードに関連する抽出済みログ・データ・エントリまたはグラフ・メトリックを発生順にさせる。時系列グラフは、時間の進行に伴う属性または変数の値の変化を含め、属性値を順序づけて表示するグラフィカル・データ・セットを含むことができる。値とベースラインまたは閾値とを比較するなど、多様な統計的検討を時系列データに対して実行できる。一部の例では、時系列グラフは、少なくとも2つのログ・データ・パラメータの分析に基づいて構築でき、時間/日付値は、少なくとも2つのパラメータのうちの少なくとも1つのパラメータである。日付/時間の増分がプロットされ、他のパラメータまたは変数に関連する値がその日付/時間増分に対してプロットされ得る。
したがって、或る特定のパラメータ値は、系列の中の特定の日付/時間に対応し、指定された時間範囲にわたってパラメータ値が分析されて、ベースラインまたは閾値に対する値の突然のまたは予期せぬ変動を検出することができる。値の突然のまたは予期せぬ変動は、ネットワーク100の特定ノードの相対的重要度の増大に対応し得る。一部のノードは、そのノードの既知のイベント・プロファイルと比較して、そのノードらしくない、故に特異と思われる、上昇した重要度係数を示すかもしれない。特異な挙動を示すノード、またはそれらしくないネットワーク・アクティビティに関与したノードは、そのノードが、コンピュータ・ウイルスまたはマルウェアなどの悪意あるプログラム・コードにより侵害されまたはそれに感染したことの指標となり得る。
一部の実装では、デバイス112は、特定のノードが並外れて高い重要度係数を示すときに、生成される偽陽性指摘の数を削減するよう構成された偽陽性処理(FPH:false positive handling)機能性を含むことができる。デバイス112のFPH機能は、それらしくない高重要度係数を示しているように思われる特定のノードに適用されるホワイトリスト機能を有効化することを含むことができる。そのようなノードは、例えば一定期間中に実行される割り当てられたジョブに基づき相対的重要度の突然の変動を周期的に生成させる、「既知の優良ノード」として識別できる。例示の既知の優良ノードとしては、ネットワーク脆弱性スキャナ、電子メール・サーバ、ウェブ・リソース・サーバ、あるいはその他、特定の状況が原因で重要度係数の上昇を示すことが分かっている任意のコンピューティング資産104またはユーザ102(または他のデバイス)を挙げることができる。したがってFPH機能は、対応が必要なネットワーク・セキュリティ事例数を減少させ、したがってネットワーク管理者の作業負荷を削減するべく、一定の既知の優良ノードをホワイトリストに載せるために使用可能である。
図3は、1つ以上のグラフ解析メトリックと、ネットワーク100に関連するデバイスから取得されたログ・データの少なくともサブセットに対して実行される時系列分析とに基づく、悪意ある脅威検出のための例示のプロセス300のフローチャートを示す。プロセス300は、ブロック302にて開始し、デバイス112によって、ネットワーク100に関連するフィールドを含むログ・データをデータ・ストア118から受信することを含む。上述のとおり、フィールドは例えば、ノードおよび時間属性を含むことができる。ノードは例えば、第1コンピューティング資産または送信元IP、第2コンピューティング資産または宛先IP、送信元ユーザ、あるいは宛先ユーザのうちの1つを含むことができる。一部の実装では、フィールドは、ネットワーク100外のコンピューティング資産、ユーザ、またはIPアドレスに対応してもよい。ブロック304にて、プロセス300は、デバイス112のモジュール120が、ログ・データ・ストア118に含まれるログ・エントリから抽出された少なくとも1つのフィールドに部分的に基づいてネットワーク100に関連するグラフィカル・モデルを構築する/発生させることを含む。ブロック304にて、プロセス300は、デバイス112のモジュール120が、コンピュータ・ネットワーク・イベントに関連する対象の特徴を1つ以上含む特定のログ・エントリに対して、抽出、変換、またはロード関数のうちの少なくとも1つを(ETL208を使用して)実行することをさらに含むことができる。ETL208によって実行される様々な関数は、抽出されたログ・エントリをHDFS214にロードさせる。
ブロック306にてプロセス300は、デバイス112のモジュール120が、グラフィカル・モデルに関連するグラフ時系列特徴を生成することを含み、この特徴はネットワーク100のノードにも関連する。上述のとおり、一部の実装では、この特徴は、グラフ解析モデルから求められた重要度測度とすることができる。一方、他の実装では、この特徴は、ノードがネットワーク102内での、またはネットワーク100外のコンピューティング資産とのネットワーク・アクティビティに関与する回数のような個々のメトリックとすることができる。一部の実装では、GPU212は、抽出された1つ以上のログ・エントリをHDFS214から受信し、1つ以上のグラフ解析測度を適用して、時系列データ・ストア210に記憶するグラフ・メトリックの初期セットを発生させる。ブロック306にて、プロセス300は、GPU212が、経過時間窓に部分的に基づいてグラフ・メトリックの後続セットを少なくとも1つ発生させるようにポイント・イン・タイム・パーティショニングを実行することをさらに含むことができる。ブロック308にてプロセス300は、識別された時系列特徴に対してモジュール120が時系列分析を実行することを含む。一部の実装では、この特徴は、以前の挙動(例えばベースライン・アクティビティ・プロファイルもしくは傾向データ)またはGPU212により生成されたグラフ解析特徴により示される重要度係数に基づいて分析される。
分析の後で、他の時系列特徴に、その特徴の値に関連する寄与因子に部分的に基づいて、最終的な時系列解析モデルのための潜在的な候補としてフラグが立てられ得る。一部の実装では、例えば或るパラメータ(例えばログイン試行、インバウンド/アウトバウンド・データ・パケットの数量)の予測値が閾値を超えることに基づいて、そのパラメータに、候補としてフラグが立てられ得る。パラメータはさらに、パラメータが特異なまたは異例のネットワーク・イベントに関連していることに基づいて、2値特徴としてフラグを立てられ得る。例示の特異なまたは異例のイベントとしては、非公開のファイルまたはサブ・ネットワークにユーザ102がアクセス試行すること、あるいは悪意あるプログラム・コード(例えばマルウェア、コンピュータ・ウイルス)に侵害または感染されたネットワーク・ノードへの接続をコンピューティング資産104が有することを挙げることができる。
ブロック310にてプロセス300は、識別されたパラメータに関して作成された時系列モデルに基づき、ネットワーク100に関連する異常なイベントまたはネットワーク100に関連する悪意あるイベント/脅威のうちの少なくとも1つを判定または検出する。一部の実装では、識別された特徴の時系列分析は、特定ノードの相対的重要度係数か、または或るノードに関連する識別された特徴(および特徴の値)かに生じた、突然の予期せぬ変動を検出できるようにする。ネットワーク・セキュリティの文脈では、悪意あるイベントまたは脅威とは、通常はネットワーク所有者の認識も許可もないままに、機密情報またはデータに対して、破損、破壊、アクセス拒否、スパイ、または盗取などの有害なまたは望まれない影響を生じさせる目的で、不正なユーザおよび/またはコンピュータ・プログラム(例えばマルウェア、ウイルス、スパイウェア、またはボットネット)が、ネットワーク100に権限なしにアクセスすることの発生、またはその可能性と説明することができる。
本主題の実施形態、および本明細書に記載された機能動作は、デジタル電子回路において、または有形に具現化されたコンピュータ・ソフトウェアもしくはファームウェアにおいて、または本明細書で開示された構造およびその構造上の等価物を含むコンピュータ・ハードウェアにおいて、またはそのうちの1つ以上の組み合わせにおいて実装できる。本明細書に記載された主題の実施形態は、1つ以上のコンピュータ・プログラム、すなわちデータ処理装置により実行されるよう、またはデータ処理装置の動作を制御するよう、有形の非一時的プログラム保持体上にコードされたコンピュータ・プログラム命令の1つ以上のモジュールなどとして実装できる。あるいは、またはさらに、プログラム命令は、例えば機械により生成された電気、光、または電磁信号などの人工的に生成される伝播信号上にコードでき、該信号は、データ処理装置による実行のために適切な受信器装置に送信するべく情報をコードするために生成される。コンピュータ・ストレージ媒体は、機械可読ストレージ・デバイス、機械可読ストレージ基板、ランダムもしくは逐次アクセス・メモリ・デバイス、またはその1つ以上の組み合わせとすることができる。
コンピュータ・プログラム(プログラム、ソフトウェア、ソフトウェア・アプリケーション、モジュール、ソフトウェア・モジュール、スクリプト、またはコードと呼ばれることも記載されることもある)は、コンパイル型もしくはインタープリタ型言語、または宣言型もしくは手続き型言語を含む任意の形式のプログラミング言語で書くことができ、スタンドアロン・プログラムとして、またはモジュール、コンポーネント、サブルーチン、あるいはコンピューティング環境用に適した他のユニットとしてを含め、任意の形態で展開できる。コンピュータ・プログラムは、ファイル・システムの中のファイルに対応することもあるが、必須ではない。プログラムは、例えばマークアップ言語ドキュメントに格納される1つ以上のスクリプトなど、他のプログラムまたはデータを保持するファイルの一部、対象のプログラム専用の単一ファイル、あるいは例えば1つ以上のモジュール、サブプログラム、またはコードの一部を格納する複数ファイルなどの複数の連携ファイルに格納可能である。コンピュータ・プログラムは、1つのコンピュータ上、または1つの場所に位置するかもしくは複数の場所に分散し通信ネットワークにより相互接続された複数のコンピュータ上で実行されるよう展開可能である。
本明細書に記載されたプロセスおよび論理フローは、入力データに作用し出力を生成することにより機能を実行する1つ以上のコンピュータ・プログラムを実行する1つ以上のプログラマブル・コンピュータにより実行できる。プロセスおよび論理フローはさらに、例えばFPGA(field programmable gate array:フィールド・プログラマブル・ゲート・アレイ)、ASIC(特定用途向け集積回路)、またはGPU(汎用グラフィックス処理ユニット)などの専用論理回路により実行可能であり、装置はさらに、該専用論理回路として実装可能である。
コンピュータ・プログラムを実行するのに適したコンピュータは、例として、汎用もしくは専用マイクロプロセッサまたはその両方、あるいはその他任意の種類の中央処理ユニットに基づくことができる。一般に、中央処理ユニットは、読み取り専用メモリまたはランダム・アクセス・メモリまたは両方から命令およびデータを受信する。コンピュータの必須要素は、命令を実施または実行する中央処理ユニット、ならびに命令およびデータを記憶する1つ以上のメモリ・デバイスである。一般に、コンピュータはさらに、例えば磁気、光磁気ディスク、もしくは光ディスクなど、データを記憶する1つ以上の大容量ストレージ・デバイスを含むか、またはそれからデータを受信するよう、もしくはそれにデータを転送するよう動作上結合されるか、またはその両方である。なお、コンピュータはそのようなデバイスを有しなくてもよい。さらにコンピュータは、ごく少数の例を挙げると、モバイル電話、携帯情報端末(PDA:personal digital assistant)、モバイル・オーディオまたはビデオ・プレーヤ、ゲーム機、全地球測位システム(GPS:Global Positioning System)受信器、または例えばユニバーサル・シリアル・バス(USB:universal serial bus)フラッシュ・ドライブなどのポータブル・ストレージ・デバイスなど、別のデバイスに組み込むことができる。
コンピュータ・プログラム命令およびデータを記憶するのに適したコンピュータ可読媒体は、あらゆる形式の不揮発性メモリ、媒体、およびメモリ・デバイスを含み、例として、例えばEPROM、EEPROM、およびフラッシュ・メモリ・デバイスなどの半導体メモリ・デバイス、例えば内蔵ハード・ディスクまたはリムーバブル・ディスクなどの磁気ディスク、光磁気ディスク、ならびにCD ROMおよびDVD−ROMディスクなどが含まれる。プロセッサおよびメモリは、専用論理回路により補完されること、またはそれに組み込まれることが可能である。
ユーザとのやり取りを提供するために、本明細書に記載されている主題の実施形態は、ユーザに情報を表示するための、例えばCRT(cathode ray tube:陰極線管)またはLCD(liquid crystal display:液晶ディスプレイ)モニタなどのディスプレイ・デバイス、ならびにユーザが入力をコンピュータに提供することができるキーボードおよび、例えばマウス、またはトラックボールなどのポインティング・デバイスを有するコンピュータ上に実装できる。他の種類のデバイスを、同じくユーザとのやり取りを提供するために使用可能である。例えば、ユーザに提供されるフィードバックは、例えば視覚フィードバック、聴覚フィードバック、または触覚フィードバックなど、任意の形式の感覚フィードバックとすることができ、ユーザからの入力は、音響、スピーチ、または触覚入力を含め、任意の形式で受信可能である。さらに、コンピュータは、例えばウェブ・ブラウザから受信されたリクエストに応答してウェブ・ページをユーザのクライアント・デバイス上のウェブ・ブラウザへ送信するなど、ユーザにより使用されるデバイスにドキュメントを送信し該デバイスからドキュメントを受信することで、ユーザとやり取りできる。
本明細書に記載されている主題の実施形態は、例えばデータ・サーバとしてなど、バックエンド・コンポーネントを含むコンピューティング・システム、または、例えばアプリケーション・サーバなど、ミドルウェア・コンポーネントを含むコンピューティング・システム、または、例えば本明細書に記載されている主題の実装とのやり取りをユーザがすることができるグラフィカル・ユーザ・インターフェースもしくはウェブ・ブラウザを有するクライアント・コンピュータなど、フロント・エンド・コンポーネントを含むコンピューティング・システム、またはそのようなバックエンド、ミドルウェア、もしくはフロント・エンド・コンポーネントの1つ以上の任意の組み合わせにおいて実装できる。システムのコンポーネントは、例えば通信ネットワークなど、任意の形態または媒体のデジタル・データ通信により相互接続可能である。通信ネットワークの例としては、ローカル・エリア・ネットワーク(「LAN(local area network)」)、および例えばインターネットなどのワイド・エリア・ネットワーク(「WAN(wide area network)」)が挙げられる。
コンピューティング・システムは、クライアントおよびサーバを含むことができる。クライアントとサーバとは、一般に、互いに遠隔にあり、典型的には通信ネットワークを介してやり取りする。クライアントとサーバとの関係は、各コンピュータ上で実行され互いにクライアント−サーバ関係を有するコンピュータ・プログラムにより生じる。
本明細書は具体的な実装の詳細を多数含むが、これらは、任意の発明の範囲または特許請求の範囲に対する制限として解釈されるべきではなく、むしろ特定の発明の特定の実施形態に特有であり得る特徴の記載として解釈されるべきである。別々の実施形態との関連で本明細書に記載されている特定の特徴は、単一の実施形態において組み合わせて実装されることも可能である。逆に、単一の実施形態との関連で記載されている様々な特徴が、複数の実施形態で別々に、または任意の適切な一部組み合わせで実装されることも可能である。さらに、各特徴は、特定の組み合わせで動作するよう上記に記載されることもあり、当初そのように請求されることさえもあるが、場合によっては、請求される組み合わせの1つ以上の特徴が、その組み合わせから削除されることが可能であり、請求される組み合わせは、一部組み合わせまたは一部組み合わせの変形物を対象とし得る。
同じく、各動作は特定の順序で図面に表されているが、これは、所望の結果を達成するために、当該の動作が示されている特定の順序もしくは順番で実行されること、または示されているすべての動作が実行されることを要求するものと理解されてはならない。特定の状況では、マルチタスクおよび並列処理が有利なこともある。さらに、上述の実施形態における様々なシステム・モジュールおよびコンポーネントの分離は、すべての実施形態においてそのような分離を要求するものと理解されてはならず、当然のことながら、記載されているプログラム・コンポーネントおよびシステムは、一般に、単一ソフトウェア製品に統合されること、または複数のソフトウェア製品にパッケージ化されることが可能である。
本主題の特定の実施形態が記載された。他の実施形態は、添付の特許請求の範囲に記載の範囲内にある。例えば、特許請求の範囲に列挙されたアクションは、異なる順序で実行でき、それでも所望の結果を達成し得る。一例として、添付の図面に表したプロセスは、所望の結果を達成するために、必ずしも示された特定の順序または順番を要求するものではない。特定の実装では、マルチタスクおよび並列処理が有利なこともある。
102 ユーザ
104a、104b、104c コンピューティング資産
106 ネットワーク保護ツール(ファイアウォール、IDS、プロキシ・ログなど)
108 インターネット
110 セキュリティ情報/イベント・マネージャ(SIEM)
112 データ分析デバイス
114 処理ユニット
118 データ・ストア
122a、122b データ通信パス
120 グラフ解析&時系列モジュール

Claims (20)

  1. データ分析デバイスによって、複数のログ・データ・エントリを備えるデータ・ファイルを受信するステップであって、前記ログ・データ・エントリは、コンピューティング・ネットワークにおけるコンピュータ・ネットワーク・イベントに関連するパラメータを含む、前記受信するステップと、
    前記ログ・データ・エントリに含まれた少なくとも1つのパラメータに基づいて、前記データ分析デバイスによって、前記コンピューティング・ネットワークのグラフィカル・モデルを発生させるステップと、
    前記グラフィカル・モデルに関連するパラメータを前記データ分析デバイスによって識別するステップであって、前記パラメータは、前記コンピューティング・ネットワークのノードにも関連する、前記識別するステップと、
    前記データ分析デバイスによって、前記パラメータに対して時系列分析を実行するステップと、
    前記コンピューティング・ネットワークに関連する異常なイベントまたは前記コンピューティング・ネットワークに関連する悪意あるイベントのうちの少なくとも1つを、前記パラメータに対する前記時系列分析に基づいて判断するステップと、
    を含む、コンピュータに実装された方法。
  2. 前記コンピューティング・ネットワークの前記グラフィカル・モデルを発生させるステップは、グラフ解析(GA)メトリックの第1セットを発生させるために、前記データ分析デバイスのプロセッサによって、1つ以上のGA測度を使用してログ・データ・エントリを分析することを含む、請求項1に記載の方法。
  3. 前記GA測度は、PageRank測度、媒介中心性測度、三角形数え上げ測度、または、前記少なくとも1つのパラメータの繰り返し起こる特性を分析するべく構成された1つ以上のグラフ解析測度のうちの少なくとも1つを含む、請求項2に記載の方法。
  4. 前記方法は、
    前記データ分析デバイスによって、周期的なログ・データ更新の更新毎に前記グラフィカル・モデルに関連するログ・データ・エントリの経過時間窓を受信して前記経過時間窓を前記データ分析デバイスのデータ・ストレージ・ユニットに記憶することにより、ポイント・イン・タイム・パーティショニングを含む前記周期的なログ・データ更新を実行するステップ
    をさらに含む、請求項2に記載の方法。
  5. 前記方法は、GAメトリックの後続セットを発生させるために、前記プロセッサによって、前記グラフィカル・モデルに関連するログ・データ・エントリの前記経過時間窓を分析するステップをさらに含み、前記GAメトリックの第1セットおよびGAメトリックの後続セットはそれぞれ、時系列分析を実行される少なくとも1つのパラメータを備える、請求項4に記載の方法。
  6. 前記データの前記グラフィカル・モデルを隣接行列および圧縮疎行列のうちの少なくとも1つとして前記データ・ストレージ・ユニットに記憶するステップをさらに含む、請求項4に記載の方法。
  7. 前記パラメータに対して時系列分析を実行するステップは、前記コンピューティング・ネットワークの前記ノードの属性における所定閾値を超える変化を検出するために、前記データ分析デバイスによって前記ノードを分析することを含み、前記変化は、第1期間と、前記第1期間よりも時間的に遅い第2期間との間に生じる、請求項1に記載の方法。
  8. 前記方法は、
    前記データ分析デバイスによって、前記コンピュータ・ネットワーク・イベントに関連する前記パラメータを抽出し、前記データ分析デバイスのデータ・ストレージ・ユニットにロードされる少なくとも1つのパラメータを準備するステップ、
    をさらに含み、
    抽出および準備は、前記データ分析デバイスのプロセッサが、前記データ・ストレージ・ユニットに記憶された命令を実行するのに応答して生じ、前記命令は、抽出、変換、ロード(ETL)データ処理関数を備える、
    請求項1に記載の方法。
  9. 前記ログ・データ・エントリに含まれる前記コンピュータ・ネットワーク・イベントに関連する前記パラメータは、ネットワーク・イベント・タイプ、送信元識別子、または宛先識別子のうちの少なくとも1つを備え、前記ノードは、コンピューティング資産またはコンピューティング資産のユーザのうちの1つを備える、請求項1に記載の方法。
  10. 前記時系列分析を実行するステップは、グラフィックス処理ユニット(GPU)、中央処理ユニット(CPU)、特定用途向け集積回路、またはプログラマブル論理デバイスのうちの1つを使用して前記時系列分析の少なくとも一部を実行すること含む、請求項1に記載の方法。
  11. 1つ以上の処理デバイスと、
    動作を実行するために前記1つ以上の処理デバイスにより実行可能な命令を記憶する1つ以上の機械可読ストレージ・デバイスと、
    を備える電子システムであって、前記動作は、
    複数のログ・データ・エントリを備えるデータ・ファイルを受信することであって、前記ログ・データ・エントリは、コンピューティング・ネットワークにおけるコンピュータ・ネットワーク・イベントに関連するパラメータを含む、前記受信することと、
    前記ログ・データ・エントリに含まれた少なくとも1つのパラメータに基づいて、前記コンピューティング・ネットワークのグラフィカル・モデルを発生させることと、
    前記グラフィカル・モデルに関連するパラメータを識別することであって、前記パラメータは、前記コンピューティング・ネットワークのノードにも関連する、前記識別することと、
    前記パラメータに対して時系列分析を実行することと、
    前記コンピューティング・ネットワークに関連する異常なイベントまたは前記コンピューティング・ネットワークに関連する悪意あるイベントのうちの少なくとも1つを、前記パラメータに対する前記時系列分析に基づいて判断することと、
    を含む、電子システム。
  12. 前記コンピューティング・ネットワークの前記グラフィカル・モデルを発生させることは、グラフ解析(GA)メトリックの第1セットを発生させるために、前記電子システムのグラフィックス・プロセッサによって、1つ以上のGA測度を使用してログ・データ・エントリを分析することを含む、請求項11に記載の電子システム。
  13. 前記GA測度は、PageRank測度、媒介中心性測度、三角形数え上げ測度、または、前記少なくとも1つのパラメータの繰り返し起こる特性を分析するべく構成された1つ以上のグラフ解析測度のうちの少なくとも1つを含む、請求項12に記載の電子システム。
  14. 前記電子システムにより実行される動作は、周期的なログ・データ更新の更新毎に前記グラフィカル・モデルに関連するログ・データ・エントリの経過時間窓を受信してログ・データ・エントリの前記経過時間窓を前記電子システムのストレージ・デバイスに記憶することにより、ポイント・イン・タイム・パーティショニングを含む前記周期的なログ・データ更新を実行することをさらに含む、請求項12に記載の電子システム。
  15. 前記電子システムにより実行される動作は、GAメトリックの後続セットを発生させるために、前記グラフィカル・モデルに関連するログ・データ・エントリの前記経過時間窓を前記グラフィックス・プロセッサによって分析することをさらに含み、前記GAメトリックの第1セットおよびGAメトリックの後続セットはそれぞれ、時系列分析を実行される少なくとも1つのパラメータを備える、請求項14に記載の電子システム。
  16. 前記電子システムによって実行される動作は、前記コンピュータ・ネットワーク・イベントに関連する前記パラメータを抽出して、前記電子システムのストレージ・デバイスにロードされる少なくとも1つのパラメータを準備することをさらに含み、
    抽出および準備は、データ分析デバイスのプロセッサがデータ・ストレージ・ユニットに記憶されている命令を実行するのに応答して生じ、前記命令は、抽出、変換、ロード(ETL)データ処理関数を備える、請求項11に記載の電子システム。
  17. 前記パラメータに対して時系列分析を実行することは、前記コンピューティング・ネットワークの前記ノードの属性における所定閾値を超える変化を検出するために、前記ノードを、前記電子システムのグラフィックス・プロセッサによって分析することを含み、前記変化は、第1期間と、前記第1期間よりも時間的に遅い第2期間との間に生じる、請求項11に記載の電子システム。
  18. 前記時系列分析は、時系列回帰法、自己回帰法、管理図に基づく方法、またはマルコフ・ジャンプ法のうちの少なくとも1つを含む、請求項11に記載の電子システム。
  19. データ分析デバイスに配置されコンピュータ・プログラムでコードされた非一時的コンピュータ・ストレージ・ユニットであって、前記プログラムは、1つ以上の処理ユニットにより実行されると前記1つ以上の処理ユニットに動作を実行させる命令を備え、前記動作は、
    複数のログ・データ・エントリを備えるデータ・ファイルを受信することであって、前記ログ・データ・エントリは、コンピューティング・ネットワークにおけるコンピュータ・ネットワーク・イベントに関連するパラメータを含む、前記受信することと、
    前記ログ・データ・エントリに含まれた少なくとも1つのパラメータに基づいて、前記コンピューティング・ネットワークのグラフィカル・モデルを発生させることと、
    前記グラフィカル・モデルに関連するパラメータを識別することであって、前記パラメータは、前記コンピューティング・ネットワークのノードにも関連する、前記識別することと、
    前記パラメータに対して時系列分析を実行することと、
    前記コンピューティング・ネットワークに関連する異常なイベントまたは前記コンピューティング・ネットワークに関連する悪意あるイベントのうちの少なくとも1つを、前記パラメータに対する前記時系列分析に基づいて判断することと、
    を含む、非一時的コンピュータ・ストレージ・ユニット。
  20. 前記コンピューティング・ネットワークの前記グラフィカル・モデルを発生させることは、グラフ解析(GA)メトリックの第1セットを発生させるために、前記データ分析デバイスの処理ユニットによって、1つ以上のGA測度を使用してログ・データ・エントリを分析することを含む、請求項19に記載の非一時的コンピュータ・ストレージ・ユニット。
JP2017169649A 2016-09-13 2017-09-04 時系列グラフ分析による悪意ある脅威の検出 Active JP6599946B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US15/264,234 2016-09-13
US15/264,234 US10476896B2 (en) 2016-09-13 2016-09-13 Malicious threat detection through time series graph analysis

Publications (2)

Publication Number Publication Date
JP2018061240A true JP2018061240A (ja) 2018-04-12
JP6599946B2 JP6599946B2 (ja) 2019-10-30

Family

ID=59772416

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017169649A Active JP6599946B2 (ja) 2016-09-13 2017-09-04 時系列グラフ分析による悪意ある脅威の検出

Country Status (4)

Country Link
US (2) US10476896B2 (ja)
EP (1) EP3293658A1 (ja)
JP (1) JP6599946B2 (ja)
AU (1) AU2017224993B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019188016A1 (ja) 2018-03-28 2019-10-03 三菱重工業株式会社 温度モニタ装置、温度モニタ方法、及び複合材の製造方法
KR102375668B1 (ko) * 2021-06-11 2022-03-18 주식회사 사이람 그래프 표현 학습 모델의 생성 방법

Families Citing this family (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3291120B1 (en) 2016-09-06 2021-04-21 Accenture Global Solutions Limited Graph database analysis for network anomaly detection systems
US10476896B2 (en) 2016-09-13 2019-11-12 Accenture Global Solutions Limited Malicious threat detection through time series graph analysis
US10129274B2 (en) * 2016-09-22 2018-11-13 Adobe Systems Incorporated Identifying significant anomalous segments of a metrics dataset
US10462170B1 (en) * 2016-11-21 2019-10-29 Alert Logic, Inc. Systems and methods for log and snort synchronized threat detection
US11310247B2 (en) * 2016-12-21 2022-04-19 Micro Focus Llc Abnormal behavior detection of enterprise entities using time-series data
US11343143B2 (en) * 2016-12-22 2022-05-24 Arbor Networks, Inc. Using a flow database to automatically configure network traffic visibility systems
US10397259B2 (en) * 2017-03-23 2019-08-27 International Business Machines Corporation Cyber security event detection
US10893068B1 (en) * 2017-06-30 2021-01-12 Fireeye, Inc. Ransomware file modification prevention technique
US10521584B1 (en) * 2017-08-28 2019-12-31 Amazon Technologies, Inc. Computer threat analysis service
US10547629B2 (en) * 2017-11-05 2020-01-28 Rapid7, Inc. Detecting malicious network activity using time series payload data
US11711371B2 (en) * 2018-01-12 2023-07-25 Sanctuary Networks LLC System and method for trustworthy internet whitelists
US11709932B2 (en) * 2019-01-31 2023-07-25 Rubrik, Inc. Realtime detection of ransomware
US11550901B2 (en) 2019-01-31 2023-01-10 Rubrik, Inc. Real-time detection of misuse of system credentials
US11599629B2 (en) 2019-01-31 2023-03-07 Rubrik, Inc. Real-time detection of system threats
US20190243953A1 (en) * 2019-02-08 2019-08-08 Intel Corporation Enhanced security for multiple node computing platform
US11126711B2 (en) * 2019-04-09 2021-09-21 Jpmorgan Chase Bank, N.A. System and method for implementing a log source value tool for security information event management
US11405363B2 (en) 2019-06-26 2022-08-02 Microsoft Technology Licensing, Llc File upload control for client-side applications in proxy solutions
US10581851B1 (en) * 2019-07-17 2020-03-03 Capital One Services, Llc Change monitoring and detection for a cloud computing environment
CN111131322B (zh) * 2019-12-31 2022-04-15 奇安信科技集团股份有限公司 网络行为的检测方法、装置、计算机设备和存储介质
CN111340112B (zh) * 2020-02-26 2023-09-26 腾讯科技(深圳)有限公司 分类方法、装置、服务器
WO2021192191A1 (ja) * 2020-03-27 2021-09-30 日本電気株式会社 異常アクセス予測システム、異常アクセス予測方法およびプログラム記録媒体
US20220116406A1 (en) * 2020-10-12 2022-04-14 Microsoft Technology Licensing, Llc Malware detection and mitigation via a forward proxy server
US20220124104A1 (en) * 2020-10-19 2022-04-21 Greyheller, Llc (Dba Appsian) Systems, methods, and devices for implementing security operations in a security platform
KR102584775B1 (ko) * 2020-12-28 2023-10-05 엑사비스 주식회사 회귀보안검사를 이용한 이상행위 학습 및 탐지 시스템 및 그 방법
CN114006726B (zh) * 2021-09-27 2023-05-02 中债金科信息技术有限公司 基于关联图的异常分析方法及装置
CN115086144A (zh) * 2022-05-18 2022-09-20 中国银联股份有限公司 基于时序关联网络的分析方法、装置及计算机可读存储介质
IT202200010514A1 (it) * 2022-05-20 2023-11-20 Unicredit S P A Metodo e sistema per gestire incidenti informatici in un sistema informatico
CN115001954B (zh) * 2022-05-30 2023-06-09 广东电网有限责任公司 一种网络安全态势感知方法、装置及系统
CN114900375A (zh) * 2022-07-14 2022-08-12 南京怡晟安全技术研究院有限公司 一种基于ai图分析的恶意威胁侦测方法
CN117061177B (zh) * 2023-08-17 2024-05-28 西南大学 一种边缘计算环境下的数据隐私保护增强方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006107179A (ja) * 2004-10-06 2006-04-20 Ntt Data Corp 異常値検出装置、変化点検出装置及び異常値検出方法、変化点検出方法
WO2006077666A1 (ja) * 2004-12-28 2006-07-27 Kyoto University 観測データ表示装置、観測データ表示方法、観測データ表示プログラムおよびそれを記録したコンピュータ読み取り可能な記録媒体
US8762298B1 (en) * 2011-01-05 2014-06-24 Narus, Inc. Machine learning based botnet detection using real-time connectivity graph based traffic features

Family Cites Families (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6735548B1 (en) 2001-04-10 2004-05-11 Cisco Technology, Inc. Method for automated network availability analysis
US8359650B2 (en) 2002-10-01 2013-01-22 Skybox Secutiry Inc. System, method and computer readable medium for evaluating potential attacks of worms
US7529195B2 (en) * 2004-07-30 2009-05-05 Fortiusone, Inc. System and method of mapping and analyzing vulnerabilities in networks
WO2006107179A2 (en) 2005-04-06 2006-10-12 Jung Do Huh Compositions and manufacturing methods of bitumen modifiers having complex functionality
US7739211B2 (en) * 2006-11-08 2010-06-15 21St Century Technologies, Inc. Dynamic SNA-based anomaly detection using unsupervised learning
WO2008111087A2 (en) * 2007-03-15 2008-09-18 Olista Ltd. System and method for providing service or adding benefit to social networks
US20090097418A1 (en) 2007-10-11 2009-04-16 Alterpoint, Inc. System and method for network service path analysis
US8069210B2 (en) * 2008-10-10 2011-11-29 Microsoft Corporation Graph based bot-user detection
US8881288B1 (en) * 2008-10-28 2014-11-04 Intelligent Automation, Inc. Graphical models for cyber security analysis in enterprise networks
US8674993B1 (en) 2009-10-14 2014-03-18 John Fleming Graph database system and method for facilitating financial and corporate relationship analysis
US8346921B1 (en) * 2010-11-19 2013-01-01 Amazon Technologies, Inc. Predictive governing of dynamic modification of program execution capacity
US20140046983A1 (en) * 2011-05-05 2014-02-13 Centrifuge Pty Ltd Data Analysis
US9098798B2 (en) * 2011-05-26 2015-08-04 Massachusetts Institute Of Technology Methods and apparatus for prediction and modification of behavior in networks
US10091218B2 (en) * 2012-01-23 2018-10-02 Hrl Laboratories, Llc System and method to detect attacks on mobile wireless networks based on network controllability analysis
EP3522492A1 (en) 2012-03-22 2019-08-07 Triad National Security, LLC Path scanning for the detection of anomalous subgraphs, anomaly/change detection and network situational awareness
US20140032506A1 (en) * 2012-06-12 2014-01-30 Quality Attributes Software, Inc. System and methods for real-time detection, correction, and transformation of time series data
US9202052B1 (en) 2013-06-21 2015-12-01 Emc Corporation Dynamic graph anomaly detection framework and scalable system architecture
US9203765B2 (en) 2013-08-30 2015-12-01 Cisco Technology, Inc. Flow based network service insertion using a service chain identifier
US9231962B1 (en) * 2013-11-12 2016-01-05 Emc Corporation Identifying suspicious user logins in enterprise networks
US10021116B2 (en) * 2014-02-19 2018-07-10 HCA Holdings, Inc. Network segmentation
US9916187B2 (en) 2014-10-27 2018-03-13 Oracle International Corporation Graph database system that dynamically compiles and executes custom graph analytic programs written in high-level, imperative programming language
US9613523B2 (en) * 2014-12-09 2017-04-04 Unilectric, Llc Integrated hazard risk management and mitigation system
US9760538B2 (en) * 2014-12-22 2017-09-12 Palo Alto Research Center Incorporated Computer-implemented system and method for efficient sparse matrix representation and processing
JP6467989B2 (ja) * 2015-02-26 2019-02-13 富士通株式会社 検知プログラム、検知方法及び検知装置
US10614126B2 (en) 2015-05-21 2020-04-07 Oracle International Corporation Textual query editor for graph databases that performs semantic analysis using extracted information
EP3278213A4 (en) * 2015-06-05 2019-01-30 C3 IoT, Inc. SYSTEMS, METHODS AND DEVICES FOR AN APPLICATION DEVELOPMENT PLATFORM OF AN INTERNET OF THE THINGS OF A COMPANY
US9699205B2 (en) * 2015-08-31 2017-07-04 Splunk Inc. Network security system
US10324773B2 (en) * 2015-09-17 2019-06-18 Salesforce.Com, Inc. Processing events generated by internet of things (IoT)
US10248910B2 (en) * 2015-10-28 2019-04-02 Fractal Industries, Inc. Detection mitigation and remediation of cyberattacks employing an advanced cyber-decision platform
US10389741B2 (en) * 2016-03-24 2019-08-20 Cisco Technology, Inc. Edge-based detection of new and unexpected flows
US10305921B2 (en) * 2016-04-28 2019-05-28 International Business Machines Corporation Network security apparatus and method of detecting malicious behavior in computer networks via cost-sensitive and connectivity constrained classification
US10404732B2 (en) * 2016-06-14 2019-09-03 Sdn Systems, Llc System and method for automated network monitoring and detection of network anomalies
EP3291120B1 (en) 2016-09-06 2021-04-21 Accenture Global Solutions Limited Graph database analysis for network anomaly detection systems
US10476896B2 (en) 2016-09-13 2019-11-12 Accenture Global Solutions Limited Malicious threat detection through time series graph analysis
US10192640B2 (en) 2017-03-01 2019-01-29 Siemens Healthcare Gmbh Fractional flow reserve decision support system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006107179A (ja) * 2004-10-06 2006-04-20 Ntt Data Corp 異常値検出装置、変化点検出装置及び異常値検出方法、変化点検出方法
WO2006077666A1 (ja) * 2004-12-28 2006-07-27 Kyoto University 観測データ表示装置、観測データ表示方法、観測データ表示プログラムおよびそれを記録したコンピュータ読み取り可能な記録媒体
US8762298B1 (en) * 2011-01-05 2014-06-24 Narus, Inc. Machine learning based botnet detection using real-time connectivity graph based traffic features

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019188016A1 (ja) 2018-03-28 2019-10-03 三菱重工業株式会社 温度モニタ装置、温度モニタ方法、及び複合材の製造方法
KR102375668B1 (ko) * 2021-06-11 2022-03-18 주식회사 사이람 그래프 표현 학습 모델의 생성 방법

Also Published As

Publication number Publication date
EP3293658A1 (en) 2018-03-14
US10476896B2 (en) 2019-11-12
AU2017224993A1 (en) 2018-03-29
US20200076836A1 (en) 2020-03-05
AU2017224993B2 (en) 2018-11-01
US20180077175A1 (en) 2018-03-15
US11323460B2 (en) 2022-05-03
JP6599946B2 (ja) 2019-10-30

Similar Documents

Publication Publication Date Title
JP6599946B2 (ja) 時系列グラフ分析による悪意ある脅威の検出
JP6585131B2 (ja) ネットワークの異常検出システムのためのグラフ・データベース分析
JP6863969B2 (ja) 低信頼度のセキュリティイベントによるセキュリティインシデントの検出
US10791131B2 (en) Processing network data using a graph data structure
US10320833B2 (en) System and method for detecting creation of malicious new user accounts by an attacker
US11863571B2 (en) Context profiling for malware detection
US11647037B2 (en) Penetration tests of systems under test
US9479521B2 (en) Software network behavior analysis and identification system
US20210409431A1 (en) Context for malware forensics and detection
US10951645B2 (en) System and method for prevention of threat
Dowling et al. Using analysis of temporal variances within a honeypot dataset to better predict attack type probability
US10367835B1 (en) Methods and apparatus for detecting suspicious network activity by new devices
US20150163238A1 (en) Systems and methods for testing and managing defensive network devices
WO2023163820A1 (en) Graph-based analysis of security incidents
CN114900375A (zh) 一种基于ai图分析的恶意威胁侦测方法
Diaz-Honrubia et al. A trusted platform module-based, pre-emptive and dynamic asset discovery tool
CN112005234A (zh) 恶意软件检测的上下文剖析
Bergmark Utveckling av ett intrångsdetekteringssystem: De tidiga stadierna

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170904

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20180112

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181218

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20190313

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20190517

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190617

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20190617

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20191001

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20191003

R150 Certificate of patent or registration of utility model

Ref document number: 6599946

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250