JP2018526728A - Graph-based intrusion detection using process trace - Google Patents
Graph-based intrusion detection using process trace Download PDFInfo
- Publication number
- JP2018526728A JP2018526728A JP2018502363A JP2018502363A JP2018526728A JP 2018526728 A JP2018526728 A JP 2018526728A JP 2018502363 A JP2018502363 A JP 2018502363A JP 2018502363 A JP2018502363 A JP 2018502363A JP 2018526728 A JP2018526728 A JP 2018526728A
- Authority
- JP
- Japan
- Prior art keywords
- entity
- graph
- score
- entities
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 82
- 230000008569 process Effects 0.000 title claims abstract description 64
- 238000001514 detection method Methods 0.000 title description 24
- 238000005295 random walk Methods 0.000 claims abstract description 10
- 230000015654 memory Effects 0.000 description 13
- 238000012545 processing Methods 0.000 description 11
- 238000009826 distribution Methods 0.000 description 10
- 230000002159 abnormal effect Effects 0.000 description 9
- 239000011159 matrix material Substances 0.000 description 9
- 239000013598 vector Substances 0.000 description 9
- 239000003795 chemical substances by application Substances 0.000 description 8
- 230000006399 behavior Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 230000003993 interaction Effects 0.000 description 5
- 230000009466 transformation Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 238000004590 computer program Methods 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 230000005856 abnormality Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 3
- 238000010606 normalization Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000004927 fusion Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 230000007704 transition Effects 0.000 description 2
- 238000012800 visualization Methods 0.000 description 2
- 206010001488 Aggression Diseases 0.000 description 1
- 238000000342 Monte Carlo simulation Methods 0.000 description 1
- 125000002015 acyclic group Chemical group 0.000 description 1
- 230000016571 aggressive behavior Effects 0.000 description 1
- 208000012761 aggressive behavior Diseases 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003012 network analysis Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
悪意のあるプロセスを検知するための方法及びシステムは、システムエンティティを表す頂点とそれぞれのシステムエンティティの間のイベントを表す辺とを有するグラフとしてシステムデータをモデル化することを含む。各辺は、2つのシステムエンティティ間のそれぞれのイベントに対応する1つまたは複数のタイムスタンプを備える。起こり得る攻撃に関連した有効な経路パターンの集合が生成される。システムにおける1つまたは複数のイベントシーケンスは、グラフ上でランダムウォークを用いて、グラフ及び有効な経路パターンに基づいて疑わしいと判定される。 A method and system for detecting malicious processes includes modeling system data as a graph having vertices representing system entities and edges representing events between each system entity. Each side comprises one or more time stamps corresponding to respective events between the two system entities. A set of valid path patterns associated with possible attacks is generated. One or more event sequences in the system are determined to be suspicious based on the graph and valid path patterns using a random walk on the graph.
Description
この出願は、2015年4月16日に出願された米国特許出願第62/148232号を基礎とした優先権を主張する、2016年4月14日に出願された米国特許一部継続出願第15/098861号である。さらに、この出願は、2015年7月24日に出願された米国特許出願第62/196404号、並びに2016年7月11日に出願された米国特許出願第62/360572号を基礎とする優先権を主張し、その開示の全てをここに取り込む。 This application claims priority from US patent application serial number 62/148232 filed on April 16, 2015, US patent continuation application 15 filed on April 14, 2016. No./098861. In addition, this application is based on U.S. Patent Application No. 62/196404 filed July 24, 2015, and U.S. Patent Application No. 62/360572 filed Jul. 11, 2016. And the entire disclosure is incorporated herein.
本発明は、コンピュータ及び情報セキュリティに関し、特に大規模なプロセストレースによるホストレベルの侵入検知に関する。 The present invention relates to computer and information security, and more particularly to host level intrusion detection with large process traces.
企業向けネットワークは、企業における極めて需要なシステムであり、ミッションクリティカルな情報の大部分を扱う。そのような重要性のために、これらのネットワークはしばしば攻撃の対象となる。侵入検知システムは、コンピュータのネットワークにおける情報セキュリティを確保するため、ネットワーク全体の稼働状態を監視し、起こり得る攻撃または悪意のある行動と関連するシナリオを特定する必要がある。 Enterprise networks are highly demanding systems in the enterprise and deal with most of mission critical information. Because of their importance, these networks are often the target of attacks. In order to ensure information security in a computer network, an intrusion detection system needs to monitor the operational status of the entire network and identify scenarios associated with possible attacks or malicious behavior.
ホストレベルにおいて、検知システムは、特定のホストまたはマシン上のプロセス/プログラムイベントに関して豊富な情報を収集する(例えば、プログラムがファイルを開くとき)。この情報は、侵入検知システムが的確に侵入動作を監視できるようにするが、シグネチャベースの検知技法は新たな脅威を検知できなくなり、アノマリベースの検知技法は、単一の異常プロセスの検知に集中するか、または純正常イベント(purely normal events)と共に訓練データから構築されるオフラインモデルが必要になる。 At the host level, the detection system collects a wealth of information regarding process / program events on a particular host or machine (eg, when a program opens a file). This information allows intrusion detection systems to accurately monitor intrusion behavior, but signature-based detection techniques can no longer detect new threats, and anomaly-based detection techniques focus on detecting a single anomalous process. Or an off-line model constructed from training data with purely normal events is required.
何より、侵入検知システムは、与えられたシステムがどのような状態にあるかを判定するには、様々なシステムイベントの、独立した動作ではなく、同時に発生したまたは一連の動作に依存することが多い。一般的に、このシステム監視データは、正確なタイムスタンプを備える低レベルプロセスイベント、またはプロセス、ファイル及びソケット(例えば、プログラムがファイルを開くとき、またはサーバに接続するとき)等の様々なシステムエンティティ間のインタラクション(interactions)から構成されるが、侵入の企ては、通常、複数の異なるプロセスイベントが関係する、より高いレベルの行動である。例えば、持続的標的型攻撃(APT:Advanced Persistent Threat)と呼ばれるネットワーク攻撃は、ステルシー(stealthy)で継続するコンピュータハッキングプロセスの集合(set)で構成される。APTは、まず環境において足掛かりを得ることを企てる。続いて、APTは、ウィルスに感染しているシステムをターゲットのネットワークに対するアクセスに用いて攻撃目的を実現するのに役立つ追加のツールを配備する。プロセスイベントのレベルと侵入行動のレベルとの間に存在するギャップは、特にそれらの間で発生する大量の「ノイズの多い」プロセスイベントがあることを考慮すると、どのプロセスイベントが実際に悪意のある行動に関係しているかを推論するのを困難にする。したがって、個々の疑わしいプロセスイベントを判別する従来の攻撃検知技法は、このシナリオに対処するには不十分である。 Above all, intrusion detection systems often rely on simultaneous or series of actions, rather than independent actions, of various system events to determine what state a given system is in . In general, this system monitoring data is a low-level process event with an accurate time stamp, or various system entities such as processes, files and sockets (eg, when a program opens a file or connects to a server) Composed of interactions between, intrusion attempts are usually higher level actions involving multiple different process events. For example, a network attack called an Advanced Persistent Threat (APT) consists of a set of computer hacking processes that continue with stealthy. APT first seeks to gain a foothold in the environment. Subsequently, APT deploys additional tools that help a virus-infected system be used to access the target network to achieve the attack objective. The gap that exists between the level of process events and the level of intrusive behavior, which process events are actually malicious, especially considering that there are a large number of "noisy" process events that occur between them Make it difficult to infer whether it is related to behavior. Thus, conventional attack detection techniques that determine individual suspicious process events are insufficient to address this scenario.
悪意のあるプロセスを検知するための方法は、システムエンティティを表す頂点とそれぞれのシステムエンティティ間のイベントを表す辺(edge)とを有するグラフとしてシステムデータをモデル化することを含む。各辺は、2つのシステムエンティティ間のそれぞれのイベントに対応する1つまたは複数のタイムスタンプを備える。起こり得る攻撃に関連する有効な経路パターンの集合が生成される。システムにおける1つまたは複数のイベントシーケンスは、グラフ上でランダムウォークを用いて、グラフ及び有効な経路パターンに基づいて疑わしいと判定される。 A method for detecting malicious processes includes modeling system data as a graph having vertices representing system entities and edges representing events between the respective system entities. Each side comprises one or more time stamps corresponding to respective events between the two system entities. A set of valid path patterns associated with possible attacks is generated. One or more event sequences in the system are determined to be suspicious based on the graph and valid path patterns using a random walk on the graph.
悪意のあるプロセスを検知するためのシステムは、システムエンティティを表す頂点とそれぞれのシステムエンティティ間のイベントを表す辺とを有するグラフとしてシステムデータをモデル化するように構成されたモデリングモジュールを含む。各辺は、2つのシステムエンティティ間のそれぞれのイベントに対応する1つまたは複数のタイムスタンプを含む。悪意のあるプロセス経路発見モジュールは、起こり得る攻撃に関連する有効な経路パターンの集合を生成し、グラフ上でランダムウォークを用いて、グラフ及び有効な経路パターンに基づいてシステムにおける1つまたは複数のイベントシーケンスを疑わしいと判定するように構成されたプロセッサを含む。 A system for detecting malicious processes includes a modeling module configured to model system data as a graph having vertices representing system entities and edges representing events between the respective system entities. Each side includes one or more time stamps corresponding to respective events between the two system entities. The malicious process path discovery module generates a set of valid path patterns related to a possible attack and uses a random walk on the graph to determine one or more in the system based on the graph and the valid path pattern. A processor is configured to determine that the event sequence is suspicious.
本発明のこれら及び他の特徴並びに利点は、当業者にとって以下の詳細な説明及び添付の図面を参照することで明らかになるであろう。 These and other features and advantages of the present invention will become apparent to those of ordinary skill in the art by reference to the following detailed description and the accompanying drawings.
本開示では、後述するように、以下の図面を参照しながら好ましい実施形態について詳細に説明する。 In the present disclosure, as will be described later, preferred embodiments will be described in detail with reference to the following drawings.
本原理によれば、本実施形態は、侵入行動に関係する異常プロセス経路を検知することで、悪意のあるプロセス経路の発見を提供する。これは、プロセストレースを用いることで達成される。有効なシーケンスパターンの集合が生成され、ランダムウォークベースのプロセスが、システム機能を学習して疑わしいプロセスシーケンスを発見するために用いられる。経路長からスコアバイアスを除去するため、ボックスコックスベキ変換(Box-Cox power transformation)がプロセスシーケンスの異常スコアを正規化するために適用される。 According to this principle, the present embodiment provides the discovery of malicious process paths by detecting abnormal process paths related to intrusion behavior. This is achieved by using a process trace. A set of valid sequence patterns is generated and a random walk-based process is used to learn system functions and find suspicious process sequences. In order to remove the score bias from the path length, a Box-Cox power transformation is applied to normalize the anomaly score of the process sequence.
そのため、本実施形態は、攻撃が起きた後、攻撃者の行動トレース(すなわち、プロセス経路)の完全な痕跡(complete evidence)を提供する。さらに、本実施形態は、悪意のあるプロセス経路をより正確に検知し、より少ない時間で、かつより少ない計算の複雑性で誤検知数及び検知漏れ数を低減する。記憶負荷を低減するためにコンパクトなグラフ構造を用いてもよく、検索空間を低減するために有効なシーケンスパターンの集合を生成して用いてもよく、計算コストを低減するためにランダムウォーク方式を用いてもよい。さらに、本実施形態は、訓練データを必要としないため、新たな攻撃を検知できる。 Thus, the present embodiment provides complete evidence of an attacker's behavior trace (ie, process path) after an attack occurs. Furthermore, the present embodiment more accurately detects malicious process paths, and reduces the number of false positives and missed detections in less time and with less computational complexity. A compact graph structure may be used to reduce the memory load, a set of effective sequence patterns may be generated and used to reduce the search space, and a random walk method is used to reduce the calculation cost. It may be used. Furthermore, since this embodiment does not require training data, a new attack can be detected.
次に、同じ数字が同一または同様の要素を表す図面、まず図1を詳細に参照すると、図1には自動セキュリティインテリジェンスシステム(ASI:Automatic Security Intelligence)アーキテクチャが示されている。ASIシステムは、3つの主要な構成要素を含む。すなわち、動作データを収集するために企業ネットワークの各マシンにエージェント10がインストールされ、バックエンドサーバ200がエージェント10からデータを受信し、該データを前処理し、該前処理したデータを分析サーバ30に送信し、分析サーバ30がセキュリティアプリケーションプログラムを実行して該データを分析する。
Referring now in detail to the drawings in which like numerals represent the same or similar elements, first of all, FIG. 1 illustrates an Automatic Security Intelligence (ASI) architecture. The ASI system includes three main components. That is, the
各エージェント10は、エージェントマネージャ11、エージェントアップデータ12及びエージェントデータ13を含み、エージェントデータ13は、アクティブプロセス、ファイルアクセス、ネットソケット、1サイクル当たりの命令数及びホスト情報に関する情報を含んでもよい。バックエンドサーバ20は、エージェントアップデータサーバ21及び監視データ記憶装置を含む。分析サーバ30は、侵入検知31、セキュリティポリシーコンプライアンス評価32、インシデントバックトラック及びシステム復旧33、並びに集中脅威検索及びクエリ34を含む。
Each
次に図2を参照すると、図2には侵入検知31に関するさらなる細部が示されている。侵入検知エンジンには5つのモジュールがある。すなわち、侵入検知エンジンは、バックエンドサーバ20からデータを受信し、対応するデータをネットワークレベルモジュール42及びホストレベルモジュール43に分配するデータ分配器41と、ネットワーク通信(TCP及びUDPを含む)を処理し、異常通信イベントを検知するネットワーク分析モジュール42と、ユーザ対プロセスイベント、プロセス対ファイルイベント及びユーザ対レジストリイベントを含む、ホストレベルイベントを処理するホストレベル分析モジュール43と、ネットワークレベル異常とホストレベル異常を統合し、それらの結果を信頼できる侵入イベントにリファイン(refine)する異常融合モジュール44と、検知結果をエンドユーザに出力する可視化モジュール45とを有する。
Referring now to FIG. 2, further details regarding
次に図3を参照すると、図3にはホストレベル分析モジュール43に関するさらなる細部が示されている。ホストレベル分析モジュール43は、ハードウェアプロセッサ312及びメモリ314を含む。さらに、ホストレベル分析モジュール43は、一実施形態において、メモリ314に記憶されてハードウェアプロセッサ312で実行される、1つまたは複数の機能モジュールを含む。代替の実施形態において、機能モジュールは、例えば、特定用途向けの集積チップまたはフィールドプログラマブルゲートアレイの形式で、1つまたは複数の個別ハードウェア構成要素として実装されていてもよい。
Referring now to FIG. 3, further details regarding the host
ホストレベル分析モジュール43は、複数の異なる分析及び検知機能を含む。プロセス対ファイル異常検知モジュール302は、データ分配器41からホストレベルプロセス対ファイルイベントを入力として受け取り、異常プロセス対ファイルイベントを発見する。これらのイベントには、例えば、ファイルに対する読出しまたは書込みを含んでもよい。ユーザ対プロセス異常検知モジュール304は、全てのストリーミングプロセスイベントをデータ分配器41から入力として受け取り、各ユーザの行動をプロセスレベルでモデル化し、各ユーザで実行された疑わしいプロセスを識別する。USBイベント異常検知モジュール306は、ストリーミングプロセスイベントを検討し、異常な装置の動作を検知するために全てのUSB装置関連イベントを特定する。プロセスシグネチャー異常検知モジュール308は、データ分配器41からプロセス名及びシグネチャーを入力として受け取り、疑わしいシグネチャーを有するプロセスを検知する。最後に、悪意のあるプロセス経路発見モジュール310は、データ分配器41から現在のアクティブプロセスを開始点として受け取り、時間ウィンドウにおける入力イベントと先のイベントとを組み合わせることで危険性を有する全てのプロセス経路を監視する。悪意のあるプロセス経路発見モジュール310は、以下でより詳細に記載するように異常プロセスシーケンス/経路を検知する。
The host
次に図4を参照すると、図4には悪意のあるプロセス経路検知の方法が示されている。入力としてブループリントグラフが用いられる。ブループリントグラフは、ネットワークにおける通信のヒストリカルデータ集合から構成されるヘテロジーニアスグラフであり、ブループリントグラフの各ノードは企業ネットワークの物理的装置を表し、各辺はノード間の通常の通信パターンを示す。ブロック402は、システムエンティティ間の複雑なインタラクションを非巡回の多部グラフ(multipartite graph)としてキャプチャする、コンパクトなグラフ構造を用いたグラフモデリングを実行する。ブロック404は、その後、最大シーケンス長に基づいて有効なシーケンスパターンの集合を生成する。最大シーケンス長は、ユーザが設定してもよく、最適な値を自動的に決定してもよい。有効なシーケンスパターンを形成することで、グラフのサーチ空間サイズが著しく低減する。
Referring now to FIG. 4, FIG. 4 shows a malicious process path detection method. A blueprint graph is used as input. The blueprint graph is a heterogeneous graph composed of a historical data set of communication in the network. Each node of the blueprint graph represents a physical device of the corporate network, and each side represents a normal communication pattern between the nodes. . Block 402 performs graph modeling using a compact graph structure that captures complex interactions between system entities as an acyclic multipartite graph.
次に、ブロック406は、グラフを走査してパターンと一致する候補イベントシーケンスを判定する。「パターン」は、システムエンティティタイプの順序集合を表すが、「シーケンス」は具体的なシステムエンティティの順序集合を表す。したがって、シーケンスは、システムエンティティの各タイプの順序がパターンに合致する場合、該パターンと一致する。シーケンスは、本明細書では「経路」とも称す。 Next, block 406 scans the graph to determine candidate event sequences that match the pattern. “Pattern” represents an ordered set of system entity types, whereas “Sequence” represents a specific ordered set of system entities. Thus, the sequence matches the pattern if the order of each type of system entity matches the pattern. The sequence is also referred to herein as a “path”.
ブロック408は、あらゆるエンティティの特性を抽出するためにランダムウォークを適用する。発見されたエンティティの特性に基づいて、ブロック408は、各候補プロセスの異常スコアを計算し、プロセスがどのように異常であるかを診断する。長さが異なる複数の異なるシーケンスパターンがあり、長さが異なる2つの経路のスコアは直接比較できないため、各シーケンスパターンの異常スコア分布は、例えばボックスコックスベキ変換を用いて、ブロック410にて単一分布(single distribution)に変換される。ブロック410は、疑わしいシーケンスと通常のシーケンスとの偏差を測定し、閾値よりも高い偏差を有するシーケンスを報告する。
攻撃行動には、しばしば複数のシステムエンティティ(例えば、プロセス、ファイル、ソケット等)が関与する。したがって、本実施形態では、複数の異なるシステムエンティティ間のインタラクションを組み込む。 Aggressive behavior often involves multiple system entities (eg, processes, files, sockets, etc.). Therefore, in this embodiment, an interaction between a plurality of different system entities is incorporated.
システム監視によって提供される情報量は極めて大きいことがあり、メモリに対する該情報の直接的な記憶及びアクセスの実現を困難にする。しかしながら、情報は高い冗長性を有する。各イベントのレコードには、関連するエンティティだけでなく、それらのエンティティの属性を含むため、属性において冗長性を最初に見出すことができる。各イベントに関して属性を繰り返し記憶することは冗長である。第二に、同じエンティティで起きるイベントを繰り返しセーブし、それらの間でタイムスタンプだけを変えるのは冗長である。第三に、侵入攻撃の検知に無関係であるレコードの保存は不必要である。 The amount of information provided by system monitoring can be quite large, making it difficult to directly store and access the information to memory. However, the information has a high redundancy. Since each event record contains not only the related entities but also the attributes of those entities, redundancy can be found first in the attributes. It is redundant to store attributes repeatedly for each event. Second, it is redundant to repeatedly save events that occur on the same entity and only change the timestamps between them. Third, it is not necessary to store records that are unrelated to intrusion detection.
したがって、グラフモデルは、有意な情報を圧縮して監視データから取り込むことでブロック402によって生成される。グラフモデルは、有向グラフG=(V,E,T)で表される。ここで、Tはタイムスタンプの集合(set)であり、E⊂V×V×Tは辺の集合であり、V=F∪P∪U∪Sは頂点の集合である。Fはコンピュータシステムに常駐するファイルの集合であり、Pはプロセスの集合であり、UはUNIX(登録商標)ソケットの集合であり、Sはインターネットソケットの集合である。Eにおける具体的な辺(vi,vj)に関して、T(vi,vj)は、辺上のタイムスタンプの集合を表す。各イベントeに対応する辺が既にGに存在する場合、タイムスタンプtが辺のタイムスタンプに追加される。そうでない場合、ブロック402は、タイムスタンプの集合T(vi,vj)={t}を含むGにそのような辺を構築する。この構造において、固有のエンティティの属性値が一度だけ保存される。長さlの各イベントシーケンスについて、l個の辺から成る、Gを通る対応する経路がある。 Accordingly, a graph model is generated by block 402 by compressing significant information and capturing from monitoring data. The graph model is represented by a directed graph G = (V, E, T). Here, T is a set of time stamps, E⊂V × V × T is a set of edges, and V = F∪P∪U∪S is a set of vertices. F is a set of files resident in the computer system, P is a set of processes, U is a set of UNIX (registered trademark) sockets, and S is a set of Internet sockets. For a specific edge (v i , v j ) in E, T (v i , v j ) represents a set of time stamps on the edge. If an edge corresponding to each event e already exists in G, the time stamp t is added to the time stamp of the edge. Otherwise, block 402 constructs such an edge in G that contains the set of time stamps T (v i , v j ) = {t}. In this structure, unique entity attribute values are stored only once. For each event sequence of length l, there is a corresponding path through G consisting of l edges.
最も疑わしい経路をグラフGから抽出する自然な方式は、既存の全ての経路を調査することである。しかしながら、密に接続されたグラフから考えられる全ての経路を列挙することは非現実的である。ブロック406における候補検索にガイダンスを提供するため、ブロック404は、有効な経路パターンBの集合を生成する。有効な経路パターンと一致する経路だけが、起こり得る攻撃に関連しており、他は廃棄してもよい。
The natural way to extract the most suspicious path from the graph G is to examine all existing paths. However, it is impractical to enumerate all possible paths from a closely connected graph. To provide guidance for the candidate search at
長さlから成る各経路パターンBは、l個のエンティティ及び/またはエンティティタイプを含む。そのため、経路パターンBは、特有のエンティティ(例えば、特定のファイル)だけでなく、同じ経路におけるエンティティタイプの一般的名称の両方を含んでいてもよい。Bと一致するGにおいて少なくとも経路pが存在する場合にのみ、Bは有効な経路パターンと判定される。lが小さな数となる可能性があることを考慮すると、考えられる全ての経路を列挙することが可能である。グラフGを検索することで、有効な全てのパターンの抽出を可能にする。 Each path pattern B of length l includes l entities and / or entity types. As such, path pattern B may include not only specific entities (eg, specific files), but also common names of entity types in the same path. B is determined to be a valid route pattern only when there is at least a route p in G that matches B. Considering that l can be a small number, it is possible to enumerate all possible paths. By searching the graph G, all effective patterns can be extracted.
有効な経路パターンBは、例えば、過去の侵入検知攻撃による専門家の経験を用いて、該専門家によって生成されてもよい。しかしながら、有効な経路パターンの正確かつ完全な集合をそのような専門家から得ることは困難である可能性がある。そのため、経路パターンは自動的に生成してもよい。各エンティティは、具体的なシステムエンティティタイプとして設定される。情報漏洩に対応する全ての経路では、ファイルエンティティ(F)から開始し、インターネットソケットエンティティ(I)で終了しなければならない。経路p∈G及びGの経路パターンBが与えられると、p[i]及びB[i]は、それぞれp及びBにおけるi番目のノードを表す。したがって、p及びBが同じ長さを有し、各lに関してp[i]∈B[i]である(すなわち具体的なエンティティp[i]がエンティティタイプB[i]に属する)場合、経路pはBと一致し、
生成された有効な経路パターンBに基づいて、ブロック406は、多部グラフにおいて、該パターンを満たす経路を探索する。イベントシーケンスseq={e1,e2,...,er)が与えられると、グラフGには等価経路p={vl,v2,...,vr+1}がなければならない。イベントは時間の順に起きるため、時間順制約(time order constraint)が候補経路の探索に適用される。経路パターン及び時間順制約を幅優先探索(breadth first search)に適用することで、Gのワンタイムス走査で候補経路を発見することができる。候補経路Cは、
経路パターン及び時間順制約に基づくフィルタリングポリシーを用いても、グラフGには依然として多数の候補経路が残る可能性があり、そのほとんどは通常動作に関連する。したがって、本実施形態では、候補経路のより大きな集合から疑わしい経路を抽出する。 Even with a filtering policy based on route patterns and time order constraints, graph G may still have a large number of candidate routes, most of which are related to normal operation. Therefore, in this embodiment, a suspicious route is extracted from a larger set of candidate routes.
経路において、関連するエンティティがそれらの通常の役割と異なる動きをする場合、ブロック408によって候補経路が疑わしいと判定される。コンピュータシステムにおいて、情報送信者及び受信者は、エンティティの役割として判別される。送信者及び受信者スコアは、通常動作のプロファイルを設定するために使用されるため、そのコンピュータシステムから正確に分かるはずである。このことを達成するため、ランダムウォークがグラフGに適用される。Gから、N×N正方遷移行列Aは、
Aは、多部グラフGの行列表現であるため、
Xを送信者スコアベクトルとし、X[i]がviの送信者スコアを示し、Yが受信者スコアベクトルとすると、初期ベクトルX0及びY0がランダムに生成され、mが現在の反復回数を引用する場合、各エンティティの送信者及び受信者スコアは、
この反復改良の結果では、学習したスコア値が初期スコア値に依存する。しかしながら、初期スコア値の影響は、行列の定常状態特性を用いて除去できる。一般正方行列M及び一般ベクトルπが与えられると、一般ベクトルπは、
収束状態に到達するには、行列Mは、既約性と非周期性という2つの条件を満たす必要がある。グラフGは、任意の2つのノードに対して、それらの間に少なくとも1つの経路が存在する時かつそのときに限り既約である。ノードの周期は、ノードからそれ自体に戻る最小経路長であり、グラフの周期は、全てのノード周期値の最大公約数である。グラフGは、それが既約でありかつGのピリオドが1である時かつそのときに限り非周期である。 In order to reach the convergence state, the matrix M needs to satisfy two conditions of irreducibility and aperiodicity. Graph G is irreducible for and only if there are at least one path between any two nodes. The period of a node is the minimum path length from the node back to itself, and the period of the graph is the greatest common divisor of all node period values. Graph G is aperiodic when and only if it is irreducible and the period of G is 1.
システムグラフGは必ずしも強く接続されていないため、上記の反復は必ずしも収束に到達しない。収束を確実にするため、各セル値が
送信者及び受信者スコアに基づき、経路pが与えられると、経路に関する異常スコアは、
Score(p)=1−NS(p)
Score (p) = 1-NS (p)
上述したように、異なる長さの経路に関する異常スコアは異なる分布を有する。したがって、異なる長さの経路の疑わしさを比較するために、異なる長さの経路を同じ条件に置き換える変換が実施される。経路異常スコアは、任意の分布を有することが可能であり、一般に通常の分布ではない。長さrの経路の疑わしさは、
上位(top)kの疑わしい経路は、最も大きい疑わしさスコアを有するものである。数学的には、通常の分布を任意の他の分布に変える変換は実現可能であるが、その逆関数を得ることは困難である。この問題を解決するため、ボックスコックスベキ変換を正規化関数として用いる。特に、Q(r)を各スコアq∈Q(r)に関して長さrの経路から計算された異常スコアの集合として示すと、
上位kの疑わしい経路は、通常の経路に対して十分に弁別的にならない限り、侵入攻撃に関連しているとはみなされない。疑わしい経路からの偏差を通常の経路から測定するため、経路の2つのグループ間でt値が計算される。通常経路は多数であるため、総和を計算することなく、相対的に小さいサイズのサンプルから期待値及び分散を計算する、モンテカルロシミュレーションに基づく効率的な解決法を用いる。 The top k suspicious paths are not considered related to intrusion attacks unless they are sufficiently discriminatory from the normal path. In order to measure the deviation from the suspicious path from the normal path, a t-value is calculated between the two groups of paths. Since there are many normal paths, an efficient solution based on Monte Carlo simulation is used that calculates expected values and variances from relatively small sample sizes without calculating the sum.
疑わしい経路が検知されると、ホストレベル分析モジュール43は、異常に関する情報を提供し、1つまたは複数のアラートを含む報告を生成する。異常融合モジュール44は、これらのホストレベルアラートを他のホスト及びネットワークレベル異常と統合し、誤った警報を自動的に除去する。結果として生じる異常のリストは、可視化モジュール45を介してユーザに提供される。代替の実施形態において、明白な異常または異常のクラスは、例えばセキュリティ対策または緩和(mitigations)を配備することで自動的に対処してもよい。具体的な一例において、検知された異常に対する自動応答は、異常動作を示す装置を管理者が検査できるまでシャットダウンすることであってもよい。
When a suspicious path is detected, the host
次に図5を参照すると、図5には、上位kの疑わしい経路「SP」を発見するための疑似コードが示されている。送信者及び受信者スコアベクトルX及びYは、ランダムウォークプロセスを用いて作成される。ファイルFXのキュー(queue)は下降(descending)Xにしたがってソートされ、ファイルFYのキューはソートされた下降Yである。同様に、プロセスPX及びPYのキュー、UNIX(登録商標)ソケットUX及びUYのキュー、並びにインターネットソケットSX及びSYのキューが作成される。そして、イベントシーケンスパターン及び時間的制約が一致する経路の集合を見つけるために経路が処理される。 Reference is now made to FIG. 5, which shows pseudo code for finding the top k suspicious paths “SP”. Sender and recipient score vectors X and Y are created using a random walk process. The queue of file F X is sorted according to descending X, and the queue of file F Y is sorted descending Y. Similarly, queues for processes P X and P Y , queues for UNIX sockets U X and U Y , and queues for Internet sockets S X and S Y are created. The path is then processed to find a set of paths that match the event sequence pattern and time constraints.
本明細書に記載した実施形態は、ハードウェアで実現してもよく、ソフトウェアで実現してもよく、ハードウェアとソフトウェアの両方の要素を含んでいてもよい。好ましい実施形態において、本発明は、ファームウェア、常駐ソフトウェア、マイクロコード等を含むが、これらに限定されないソフトウェアでも実現可能である。 The embodiments described herein may be implemented in hardware, may be implemented in software, and may include both hardware and software elements. In a preferred embodiment, the present invention can be implemented in software, including but not limited to firmware, resident software, microcode, etc.
実施形態には、コンピュータもしくは任意の命令実行システムによって使用される、または関連して使用されるプログラムコードを提供する、コンピュータで利用可能な、またはコンピュータで読み取り可能な媒体からアクセスできる、コンピュータプログラム製品を含んでもよい。コンピュータで利用可能な、またはコンピュータで読み取り可能な媒体には、命令実行システム、機器、もしくは装置によって使用される、または関連して使用されるプログラムを格納、伝達、伝搬または転送する任意の機器を含んでもよい。該媒体は、磁気媒体、光学媒体、電子媒体、電磁気媒体、赤外線媒体、または半導体システム(または機器もしくは装置)、あるいは伝搬媒体であってよい。該媒体には、半導体または固体メモリ、磁気テープ、取り外し可能なコンピュータディスケット、ランダムアクセスメモリ(RAM)、リードオンリーメモリ(ROM)、リジッド磁気ディスク及び光ディスク等のコンピュータで読み取り可能な媒体を含んでもよい。 Embodiments include a computer program product that provides program code for use by or in connection with a computer or any instruction execution system, accessible from a computer, or accessible from a computer. May be included. A computer-usable or computer-readable medium includes any device that stores, transmits, propagates, or transmits programs used by or in connection with an instruction execution system, device, or apparatus. May be included. The medium may be a magnetic medium, an optical medium, an electronic medium, an electromagnetic medium, an infrared medium, or a semiconductor system (or apparatus or device), or a propagation medium. Such media may include computer readable media such as semiconductor or solid state memory, magnetic tape, removable computer diskettes, random access memory (RAM), read only memory (ROM), rigid magnetic disks and optical disks. .
各コンピュータプログラムは、汎用または特別な目的を持つプログラム可能なコンピュータで読み取ることができる、機械で読み取り可能なストレージメディアまたは装置(例えば、プログラムメモリまたは磁気ディスク)に格納される。該コンピュータプログラムは、ストレージメディアまたは装置から本明細書に記載された手順を実行するコンピュータで読み出される、該コンピュータの設定及び制御動作のためのものである。本発明のシステムには、本明細書に記載した機能を実行する、特定の及び事前に定義された方法でコンピュータに動作させるように構成されたコンピュータプログラムを含む、コンピュータで読み取り可能なストレージメディアも考慮される。 Each computer program is stored on a machine-readable storage medium or device (eg, program memory or magnetic disk) that can be read by a general purpose or special purpose programmable computer. The computer program is for a setting and control operation of the computer that is read from a storage medium or device by a computer that performs the procedures described herein. The system of the present invention also includes a computer readable storage medium including a computer program configured to cause a computer to operate in a specific and predefined manner that performs the functions described herein. Be considered.
プログラムコードを記憶及び/または実行するのに適したデータ処理システムは、システムバスを介してメモリ要素に直接または間接的に接続された少なくとも1つのプロセッサを備えていてもよい。このメモリ要素には、処理の実行中にバルク記憶装置からコードが検索される回数を減らすために、プログラムコードの実際の実行中に用いられるローカルメモリ、バルク記憶装置及び少なくともいくつかのプログラムコードを一時的に記憶するキャッシュメモリを備えていてもよい。入出力またはI/O装置(限定されるものではないが、キーボード、ディスプレイ、ポインティング装置等を含む)は、直接またはI/Oコントローラを介してシステムに接続されてもよい。 A data processing system suitable for storing and / or executing program code may include at least one processor coupled directly or indirectly to memory elements through a system bus. This memory element contains local memory, bulk storage, and at least some program code used during the actual execution of program code to reduce the number of times code is retrieved from the bulk storage during processing. You may provide the cache memory which memorize | stores temporarily. Input / output or I / O devices (including but not limited to keyboards, displays, pointing devices, etc.) may be connected to the system either directly or through an I / O controller.
ネットワークアダプタは、データ処理システムが、プライベートネットワークまたは公衆ネットワークを介して、他のデータ処理システムまたは遠隔プリンタもしくは記憶装置に接続されることを可能にするために、上記システムと接続されていてもよい。モデム、ケーブルモデム及びイーサネット(登録商標)カードは、現在利用可能なタイプのネットワークアダプタのほんの一握りのものである。 A network adapter may be connected to the system to allow the data processing system to be connected to other data processing systems or remote printers or storage devices via a private or public network. . Modems, cable modems and Ethernet cards are just a handful of the types of network adapters currently available.
次に図6を参照すると、図6には、分析サーバ30、侵入検知システム31および/またはホストレベル分析モジュール43に適用できる処理システム600の一例が示されている。処理システム600は、システムバス602を介して他の構成要素と動作可能に接続された、少なくとも1つのプロセッサ(CPU)604を含む。システムバス602には、キャッシュ606、リードオンリメモリ(ROM)608、ランダムアクセスメモリ(RAM)610、入力/出力(I/O)アダプタ620、サウンドアダプタ630、ネットワークアダプタ640、ユーザインタフェースアダプタ650及びディスプレイアダプタ660が動作可能に接続されている。
Referring now to FIG. 6, FIG. 6 shows an example of a
第1の記憶装置622及び第2の記憶装置624は、I/Oアダプタ620によってシステムバス602と動作可能に接続されている。記憶装置622及び624は、ディスク記憶装置(例えば磁気ディスク記憶装置または光ディスク記憶装置)、固体磁気装置等のいずれであってもよい。記憶装置622及び624は、同じタイプの記憶装置であってもよく、異なるタイプの記憶装置であってもよい。
The
スピーカ632は、サウンドアダプタ630によってシステムバス602と動作可能に接続されている。トランシーバ642は、ネットワークアダプタ640によってシステムバス602と動作可能に接続されている。ディスプレイ装置662は、ディスプレイアダプタ660によってシステムバス602と動作可能に接続されている。
The
第1のユーザ入力装置652、第2のユーザ入力装置654及び第3のユーザ入力装置656は、ユーザインタフェースアダプタ650によってシステムバス602と動作可能に接続されている。ユーザ入力装置652、654及び656は、キーボード、マウス、キーパッド、イメージキャプチャ装置、モーション感知装置、マイクロホン、あるいはこれらの装置のうちの少なくとも2つの装置の機能を組み込んだ装置等のいずれであってもよい。本原理の趣旨を維持する限りにおいて、他のタイプの入力装置を使用することも可能である。ユーザ入力装置652、654及び656は、同じタイプのユーザ入力装置であってもよく、異なるタイプのユーザ入力装置であってもよい。ユーザ入力装置652、654及び656は、システム600に情報を入力し、システム600から情報を出力するために使用される。
The first user input device 652, the second
処理システム600は、当業者であれば容易に思いつくような他の要素(図示せず)を含んでもよく、特定の要素を省略することも可能である。例えば、当業者であれば容易に理解できるが、処理システム600には、その詳細な実装に応じて他の様々な入力装置及び/または出力装置を含むことができる。例えば、無線及び/または有線による様々な入力装置及び/または出力装置を使用できる。さらに、当業者であれば容易に理解できるが、様々な構成の追加プロセッサ、コントローラ、メモリ等を使用することも可能である。処理システム600の上記及び他の変形例は、本明細書で提供される本原理の教示によって当業者であれば容易に考えられるであろう。
The
上記は、あらゆる観点において例示的(illustrative)かつ典型的(exemplary)であって限定的でないものと理解されるべきであり、本明細書で開示する本発明の範囲は、詳細な説明から決定されるべきではなく、特許法で認められた最大限の広さに基づいて解釈される特許請求の範囲から決定されるべきである。本明細書中に図示及び記載されている実施形態は、本発明の原理を説明するものにすぎず、本発明の範囲及び主旨から逸脱することなく当業者は様々な変更を実施することができることを理解されたい。当業者は、本発明の範囲及び精神から逸脱することなく、様々な他の特徴の組み合わせを実施できる。以上、本発明の態様について、特許法で要求される詳細及び特殊性と共に説明したが、特許証で保護されることを要求する特許請求の範囲は、添付の特許請求の範囲に示されている。 It should be understood that the foregoing is illustrative and exemplary in all respects and not limiting, and the scope of the invention disclosed herein is determined from the detailed description. It should not be determined from the claims, but should be construed based on the maximum breadth permitted by the patent law. The embodiments illustrated and described herein are merely illustrative of the principles of the invention and various modifications can be made by those skilled in the art without departing from the scope and spirit of the invention. I want you to understand. Those skilled in the art can implement various other feature combinations without departing from the scope and spirit of the invention. While the embodiments of the present invention have been described with details and specialities required by the Patent Law, the scope of the claims requiring protection by the patent certificate is set forth in the appended claims. .
Claims (20)
システムエンティティを表す頂点とそれぞれのシステムエンティティ間のイベントを表す辺とを有する、各辺が2つのシステムエンティティ間のそれぞれのイベントに対応する1つまたは複数のタイムスタンプを備えたグラフとしてシステムデータをモデル化することと、
起こり得る攻撃に関連する有効な経路パターンの集合を生成することと、
前記グラフ上でランダムウォークを用いて、前記グラフ及び前記有効な経路パターンに基づいて前記システムにおける1つまたは複数のイベントシーケンスを疑わしいと判定することとを有する、方法。 A method for detecting malicious processes,
System data as a graph with one or more timestamps, each having a vertex representing a system entity and an edge representing an event between each system entity, each edge corresponding to a respective event between the two system entities Modeling,
Generating a set of valid route patterns associated with a possible attack;
Using a random walk on the graph to determine one or more event sequences in the system as suspicious based on the graph and the valid path pattern.
システムエンティティを表す頂点とそれぞれのシステムエンティティの間のイベントを表す辺とを有する、各辺が2つのシステムエンティティ間のそれぞれのイベントに対応する1つまたは複数のタイムスタンプを備えたグラフとしてシステムデータをモデル化するように構成されたモデリングモジュールと、
起こり得る攻撃に関連した有効な経路パターンの集合を生成し、前記グラフ上でランダムウォークを用いて、前記グラフ及び前記有効な経路パターンに基づいて前記システムにおける1つまたは複数のイベントシーケンスを疑わしいと判定するように構成されたプロセッサを備える、悪意のあるプロセス経路発見モジュールと、
を有する、システム。 A system for detecting malicious processes,
System data as a graph with vertices representing system entities and edges representing events between each system entity, each edge having one or more time stamps corresponding to each event between the two system entities A modeling module configured to model
Generate a set of valid route patterns associated with possible attacks and use a random walk on the graph to suspect one or more event sequences in the system based on the graph and the valid route pattern A malicious process path discovery module comprising a processor configured to determine;
Having a system.
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201562196404P | 2015-07-24 | 2015-07-24 | |
US62/196,404 | 2015-07-24 | ||
US15/213,896 | 2016-07-19 | ||
US15/213,896 US10305917B2 (en) | 2015-04-16 | 2016-07-19 | Graph-based intrusion detection using process traces |
PCT/US2016/043040 WO2017019391A1 (en) | 2015-07-24 | 2016-07-20 | Graph-based intrusion detection using process traces |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018526728A true JP2018526728A (en) | 2018-09-13 |
JP6557774B2 JP6557774B2 (en) | 2019-08-07 |
Family
ID=57885033
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018502363A Active JP6557774B2 (en) | 2015-07-24 | 2016-07-20 | Graph-based intrusion detection using process trace |
Country Status (3)
Country | Link |
---|---|
JP (1) | JP6557774B2 (en) |
DE (1) | DE112016002806T5 (en) |
WO (1) | WO2017019391A1 (en) |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3437290B1 (en) | 2016-03-30 | 2020-08-26 | British Telecommunications public limited company | Detecting computer security threats |
WO2017167545A1 (en) | 2016-03-30 | 2017-10-05 | British Telecommunications Public Limited Company | Network traffic threat identification |
US11194915B2 (en) | 2017-04-14 | 2021-12-07 | The Trustees Of Columbia University In The City Of New York | Methods, systems, and media for testing insider threat detection systems |
WO2020114923A1 (en) | 2018-12-03 | 2020-06-11 | British Telecommunications Public Limited Company | Remediating software vulnerabilities |
EP3663951B1 (en) | 2018-12-03 | 2021-09-15 | British Telecommunications public limited company | Multi factor network anomaly detection |
EP3891637A1 (en) | 2018-12-03 | 2021-10-13 | British Telecommunications public limited company | Detecting vulnerability change in software systems |
EP3891636A1 (en) | 2018-12-03 | 2021-10-13 | British Telecommunications public limited company | Detecting vulnerable software systems |
EP3891639B1 (en) | 2018-12-03 | 2024-05-15 | British Telecommunications public limited company | Detecting anomalies in computer networks |
EP3681124B8 (en) | 2019-01-09 | 2022-02-16 | British Telecommunications public limited company | Anomalous network node behaviour identification using deterministic path walking |
CN111651761B (en) * | 2019-03-04 | 2023-04-14 | 腾讯科技(深圳)有限公司 | Black-production electronic equipment detection method and device, server and storage medium |
US11483326B2 (en) * | 2019-08-30 | 2022-10-25 | Palo Alto Networks, Inc. | Context informed abnormal endpoint behavior detection |
CN112487421B (en) * | 2020-10-26 | 2024-06-11 | 中国科学院信息工程研究所 | Android malicious application detection method and system based on heterogeneous network |
US20240089091A1 (en) * | 2022-09-13 | 2024-03-14 | Capital One Services, Llc | Secure cryptographic transfer using multiparty computation |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070209074A1 (en) * | 2006-03-04 | 2007-09-06 | Coffman Thayne R | Intelligent intrusion detection system utilizing enhanced graph-matching of network activity with context data |
JP2010039749A (en) * | 2008-08-05 | 2010-02-18 | Nippon Telegr & Teleph Corp <Ntt> | Access destination scoring method and program thereof |
JP2011053893A (en) * | 2009-09-01 | 2011-03-17 | Hitachi Ltd | Illicit process detection method and illicit process detection system |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7773812B2 (en) * | 2005-04-11 | 2010-08-10 | Microsoft Corporation | Method and system for performing searches and returning results based on weighted criteria |
US7768921B2 (en) * | 2006-10-30 | 2010-08-03 | Juniper Networks, Inc. | Identification of potential network threats using a distributed threshold random walk |
US8161550B2 (en) * | 2007-01-23 | 2012-04-17 | Knowledge Based Systems, Inc. | Network intrusion detection |
US8010482B2 (en) * | 2008-03-03 | 2011-08-30 | Microsoft Corporation | Locally computable spam detection features and robust pagerank |
-
2016
- 2016-07-20 DE DE112016002806.7T patent/DE112016002806T5/en active Pending
- 2016-07-20 JP JP2018502363A patent/JP6557774B2/en active Active
- 2016-07-20 WO PCT/US2016/043040 patent/WO2017019391A1/en active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070209074A1 (en) * | 2006-03-04 | 2007-09-06 | Coffman Thayne R | Intelligent intrusion detection system utilizing enhanced graph-matching of network activity with context data |
JP2010039749A (en) * | 2008-08-05 | 2010-02-18 | Nippon Telegr & Teleph Corp <Ntt> | Access destination scoring method and program thereof |
JP2011053893A (en) * | 2009-09-01 | 2011-03-17 | Hitachi Ltd | Illicit process detection method and illicit process detection system |
Also Published As
Publication number | Publication date |
---|---|
WO2017019391A1 (en) | 2017-02-02 |
JP6557774B2 (en) | 2019-08-07 |
DE112016002806T5 (en) | 2018-03-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6557774B2 (en) | Graph-based intrusion detection using process trace | |
US10305917B2 (en) | Graph-based intrusion detection using process traces | |
Han et al. | Unicorn: Runtime provenance-based detector for advanced persistent threats | |
US10728263B1 (en) | Analytic-based security monitoring system and method | |
US11463472B2 (en) | Unknown malicious program behavior detection using a graph neural network | |
Rabbani et al. | A hybrid machine learning approach for malicious behaviour detection and recognition in cloud computing | |
US11895150B2 (en) | Discovering cyber-attack process model based on analytical attack graphs | |
US10298607B2 (en) | Constructing graph models of event correlation in enterprise security systems | |
US11218510B2 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
US10289841B2 (en) | Graph-based attack chain discovery in enterprise security systems | |
JP5972401B2 (en) | Attack analysis system, linkage device, attack analysis linkage method, and program | |
JP7302019B2 (en) | Hierarchical Behavior Modeling and Detection Systems and Methods for System-Level Security | |
US20160308725A1 (en) | Integrated Community And Role Discovery In Enterprise Networks | |
Cheng et al. | A novel probabilistic matching algorithm for multi-stage attack forecasts | |
Wang et al. | Attentional heterogeneous graph neural network: Application to program reidentification | |
Al Mallah et al. | Untargeted poisoning attack detection in federated learning via behavior attestation | |
Hu et al. | Attack scenario reconstruction approach using attack graph and alert data mining | |
WO2018071356A1 (en) | Graph-based attack chain discovery in enterprise security systems | |
Marchetti et al. | Identification of correlated network intrusion alerts | |
Yuan et al. | Mining software component interactions to detect security threats at the architectural level | |
Almohri et al. | An attack-resilient architecture for the Internet of Things | |
Nafea et al. | Efficient non-linear covert channel detection in TCP data streams | |
Sukhwani et al. | A survey of anomaly detection techniques and hidden markov model | |
WO2023163842A1 (en) | Thumbprinting security incidents via graph embeddings | |
CN107251519B (en) | Systems, methods, and media for detecting attacks of fake information on a communication network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20181219 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190122 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190220 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190702 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190712 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6557774 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |