JP2019003598A - 異常な事象を検出するシステム及び方法 - Google Patents
異常な事象を検出するシステム及び方法 Download PDFInfo
- Publication number
- JP2019003598A JP2019003598A JP2017198983A JP2017198983A JP2019003598A JP 2019003598 A JP2019003598 A JP 2019003598A JP 2017198983 A JP2017198983 A JP 2017198983A JP 2017198983 A JP2017198983 A JP 2017198983A JP 2019003598 A JP2019003598 A JP 2019003598A
- Authority
- JP
- Japan
- Prior art keywords
- detected
- events
- event
- determined
- context
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 84
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 45
- 230000008569 process Effects 0.000 claims description 31
- 230000006870 function Effects 0.000 claims description 16
- 239000013598 vector Substances 0.000 claims description 13
- 238000001514 detection method Methods 0.000 claims description 12
- 230000015572 biosynthetic process Effects 0.000 claims description 7
- 230000005856 abnormality Effects 0.000 claims description 6
- 238000013139 quantization Methods 0.000 claims description 4
- 238000004364 calculation method Methods 0.000 claims description 3
- 238000010606 normalization Methods 0.000 claims description 3
- 239000003795 chemical substances by application Substances 0.000 description 29
- 230000003287 optical effect Effects 0.000 description 7
- 238000012544 monitoring process Methods 0.000 description 6
- 238000006243 chemical reaction Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000009466 transformation Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 238000007630 basic procedure Methods 0.000 description 1
- 239000000872 buffer Substances 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 229940004975 interceptor Drugs 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/54—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/128—Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
【解決手段】方法において、検出ステップでは、オペレーティングシステムで発生する事象を検出し、決定ステップでは、前記検出された事象のコンテキストを決定し、形成ステップでは、前記決定されたコンテキストに対し選択された特徴量に基づいて、検出された事象の畳み込みを形成し、人気度判定ステップでは、複数のクライアント機器上で発生し検出された事象に対応する複数の検出された事象と、検出された事象に対応する複数の検出された事象の頻度に関連するデータを含むデータベースをポーリングすることによって、検出された事象に対し形成された畳み込みの人気度を判定し、異常事象判定ステップでは、前記判定された人気度が閾値未満である場合、前記検出された事象が異常事象であると判定する。
【選択図】図2
Description
(1)決定されたコンテキストに対し選択された特徴量の量子化と、決定されたコンテキストに対し選択された特徴量のソート、
(2)選択された特徴量のマージと、決定されたコンテキストに対し選択された特徴量のグループ化と、決定されたコンテキストに対し選択された特徴量のデータセットの構成、
(3)決定されたコンテキストに対し選択された特徴量の値の表化、
(4)決定されたコンテキストに対し選択された特徴量の値の計算、
(5)決定されたコンテキストに対し選択された特徴量の符号化、
(6)決定されたコンテキストに対し選択された特徴量の正規化。
システムが提供される。
ダンプの逆アセンブリの結果にデバッグシンボルを適用する前:
示されているように、使用される特徴量は、次のようなものである:(事象のログから取得される)ロードされたモジュールの名前及びロードの順序、特定の瞬間に実装される一連の手順及び関数の名前、(コールスタックから取得した)これらのモジュールによってエクスポートされる一連の手順及び関数の呼び出しに先立つモジュールへ転送されるパラメータ値、ジャンプ(LBR、BTSからのジャンプ)に関する情報、間接呼び出しの有無、位置独立コード、自己変更コード(ダンプ)。畳み込みは、従来技術から知られている任意の方法によって形成することができる。コンテキストの変換は、畳み込みの形成と同様、クライアント100側又はサーバ200側のいずれかで行われ(これは、ソフトウェア実行の監視システムによって実行される全ての方法に当てはまる)、サーバ200側でのこれらの操作の実行のために、(変換のための)コンテキスト及び(畳み込みの形成のための)特徴量が、まずクライアント100によってサーバ200へと送られる。ステップ250では、特定の瞬間における事象の畳み込みの人気度が決定される。例示的な態様にでは、人気度は、データベース(ローカルデータベース160又はリモートデータベース170)をポーリングすることにより決定される。
Claims (20)
- 計算機器のオペレーティングシステムにおいて発生する異常事象を検出する方法であって、
検出ステップと、事象決定ステップと、コンテキスト決定ステップと、形成ステップと、人気度判定ステップと、異常事象判定ステップとを備え、
前記検出ステップでは、ソフトウェアプロセスの実行中に前記計算機器のオペレーティングシステムで発生する1つ以上の事象を検出し、
前記決定ステップでは、前記検出ステップで検出された事象のコンテキストを決定し、
前記形成ステップでは、前記決定ステップで決定されたコンテキストに対し選択された特徴量に基づいて、検出された1つ以上の事象の畳み込みを形成し、
前記人気度判定ステップでは、複数のクライアント機器上で発生し検出された1つ以上の事象に対応する複数の検出された事象と、検出された少なくとも1つの事象に対応する複数の検出された事象の頻度に関連するデータを含むデータベースをポーリングすることによって、検出された1つ以上の事象に対し形成された畳み込みの人気度を判定し、
前記異常事象判定ステップでは、前記人気度判定ステップで判定された前記人気度が閾値未満である場合、前記検出された1つ以上の事象が異常事象であると判定する、
方法。 - 請求項1に記載の方法において、
前記コンテキスト決定ステップは、検出された少なくとも1つの事象の発生時にコールスタックを決定することを含み、前記コールスタックは、その時点で実行されている一連の続き及び関数のリストと、前記一連の手続き及び関数を含むモジュールのリストと、モジュールへ転送される全てのパラメータのデータ及び値の種類とを提供する、
方法。 - 請求項1に記載の方法において、
前記コンテキスト決定ステップは、前記検出された少なくとも1つのイベントの発生の瞬間に実行されたコードを含む前記ソフトウェアプロセスのアドレス空間のダンプと、少なくとも最後のブランチレコード及びブランチトレースストアからのジャンプに関するデータと、検出された少なくとも1つのイベントの発生前にソフトウェアプロセスにロードされたモジュールのリストとを備える、
方法。 - 請求項1に記載の方法において、
前記形成ステップは、下記(1)〜(6)の少なくとも1つを含む、
(1)決定されたコンテキストに対し選択された特徴量の量子化と、決定されたコンテキストに対し選択された特徴量のソート、
(2)選択された特徴量のマージと、決定されたコンテキストに対し選択された特徴量のグループ化と、決定されたコンテキストに対し選択された特徴量のデータセットの構成、
(3)決定されたコンテキストに対し選択された特徴量の値の表化、
(4)決定されたコンテキストに対し選択された特徴量の値の計算、
(5)決定されたコンテキストに対し選択された特徴量の符号化、
(6)決定されたコンテキストに対し選択された特徴量の正規化
方法。 - 請求項1に記載の方法において、
第2の形成ステップと、頻度決定ステップとを更に備え、
前記第2の形成ステップでは、決定されたコンテキストの選択された特徴量を文字列に畳み込み、ハッシュ値を生成することによって、検出された1つ以上の事象の畳み込みを形成し、
前記頻度決定ステップでは、生成されたハッシュ値をデータベース内のハッシュ値のリストと比較することによって形成された畳み込みの人気度を決定し、複数のクライアント機器において発生する複数の検出された事象の頻度を決定する、
方法。 - 請求項1に記載の方法において、
第3の形成ステップと、第4の形成ステップとを更に備え、
前記第3の形成ステップでは、決定されたコンテキストの選択された特徴量を座標値に畳み込み、ベクトルを生成することによって、検出された1つ以上の事象の畳み込みを形成し、
前記第4の形成ステップでは、生成されたベクトル値をデータベース内のベクトルのリストと比較することによって形成された畳み込みの人気度を決定し、複数のクライアント機器において発生する複数の検出された事象の頻度を決定する、
方法。 - 請求項1に記載の方法において、
比較ステップと、異常判定ステップとを更に備え、
前記比較ステップでは、検出された1つ以上の事象に対し形成された畳み込みを、以前に形成された安全事象の畳み込みのリストと比較し、
前記異常判定ステップでは、検出された1つ以上の事象に対し形成された畳み込みが安全事象以前に形成された畳み込みのリストにない場合、検出された1つ以上の事象が異常事象であると判定する、
方法。 - 請求項1に記載の方法において、
前記複数の検出された事象の頻度は、前記1つ以上の事象が検出された現時点における前記複数の検出された事象の総数、及びその時点において各機器が前記検出された1つ以上の事象を経験するようなクライアント機器の総数のうち、少なくとも1つを含む、
方法。 - 請求項1に記載の方法において、
前記データベースのポーリングは、全てのアクセス可能なサブネットワーク内における複数の第1のクライアント機器に関連するグローバルデータベースのポーリング、及び機器の単一のサブネットワー内における複数の第2のクライアント機器に関連するローカルデータのポーリングのうち、少なくとも1つを含む、
方法。 - 請求項1に記載の方法において、
前記検出された1つ以上の事象が異常事象であると判定された場合に、前記ソフトウェアプロセスを削除すること及び隔離することのうち少なくとも1つを更に含む、
方法。 - 計算機器のオペレーティングシステムにおいて発生する異常事象を検出するシステムであって、
複数のクライアント機器で発生した複数の検出事象の頻度に関するデータを含むデータベースと、 コンピュータ・プロセッサによって、検出ステップと、事象決定ステップと、コンテキスト決定ステップと、形成ステップと、人気度判定ステップと、異常事象判定ステップと実行するように構成されるソフトウェアエージェントとを備え、
前記検出ステップでは、ソフトウェアプロセスの実行中に前記計算機器のオペレーティングシステムで発生する1つ以上の事象を検出し、
前記決定ステップでは、前記検出ステップで検出された事象のコンテキストを決定し、
前記形成ステップでは、前記決定ステップで決定されたコンテキストに対し選択された特徴量に基づいて、検出された1つ以上の事象の畳み込みを形成し、
前記人気度判定ステップでは、複数のクライアント機器上で発生し検出された1つ以上の事象に対応する複数の検出された事象と、検出された少なくとも1つの事象に対応する複数の検出された事象の頻度に関連するデータを含むデータベースをポーリングすることによって、検出された1つ以上の事象に対し形成された畳み込みの人気度を判定し、
前記異常事象判定ステップでは、前記人気度判定ステップで判定された前記人気度が閾値未満である場合、前記検出された1つ以上の事象が異常事象であると判定する、
システム。 - 請求項11に記載のシステムにおいて、
前記コンテキスト決定ステップは、検出された少なくとも1つの事象の発生時にコールスタックを決定することを含み、前記コールスタックは、その時点で実行されている一連の続き及び関数のリストと、前記一連の手続き及び関数を含むモジュールのリストと、モジュールへ転送される全てのパラメータのデータ及び値の種類とを提供する、
システム。 - 請求項11に記載のシステムにおいて、
前記コンテキスト決定ステップは、前記検出された少なくとも1つのイベントの発生の瞬間に実行されたコードを含む前記ソフトウェアプロセスのアドレス空間のダンプと、少なくとも最後のブランチレコード及びブランチトレースストアからのジャンプに関するデータと、検出された少なくとも1つのイベントの発生前にソフトウェアプロセスにロードされたモジュールのリストとを備える、
システム。 - 請求項11に記載のシステムにおいて、
前記形成ステップは、下記(1)〜(6)の少なくとも1つを含む、
(1)決定されたコンテキストに対し選択された特徴量の量子化と、決定されたコンテキストに対し選択された特徴量のソート、
(2)選択された特徴量のマージと、決定されたコンテキストに対し選択された特徴量のグループ化と、決定されたコンテキストに対し選択された特徴量のデータセットの構成、
(3)決定されたコンテキストに対し選択された特徴量の値の表化、
(4)決定されたコンテキストに対し選択された特徴量の値の計算、
(5)決定されたコンテキストに対し選択された特徴量の符号化、
(6)決定されたコンテキストに対し選択された特徴量の正規化
システム。 - 請求項11に記載のシステムにおいて、
前記ソフトウェアエージェントは、第2の形成ステップと、頻度決定ステップとを更に実行するように構成され、
前記第2の形成ステップでは、決定されたコンテキストの選択された特徴量を文字列に畳み込み、ハッシュ値を生成することによって、検出された1つ以上の事象の畳み込みを形成し、
前記頻度決定ステップでは、生成されたハッシュ値をデータベース内のハッシュ値のリストと比較することによって形成された畳み込みの人気度を決定し、複数のクライアント機器において発生する複数の検出された事象の頻度を決定する、
システム。 - 請求項11に記載のシステムにおいて、
前記ソフトウェアエージェントは、第3の形成ステップと、第4の形成ステップとを更に実行するように構成され、
前記第3の形成ステップでは、決定されたコンテキストの選択された特徴量を座標値に畳み込み、ベクトルを生成することによって、検出された1つ以上の事象の畳み込みを形成し、
前記第4の形成ステップでは、生成されたベクトル値をデータベース内のベクトルのリストと比較することによって形成された畳み込みの人気度を決定し、複数のクライアント機器において発生する複数の検出された事象の頻度を決定する、
システム。 - 請求項11に記載のシステムにおいて、
前記ソフトウェアエージェントは、比較ステップと、異常判定ステップとを更に実行するように構成され、
前記比較ステップでは、検出された1つ以上の事象に対し形成された畳み込みを、以前に形成された安全事象の畳み込みのリストと比較し、
前記異常判定ステップでは、検出された1つ以上の事象に対し形成された畳み込みが安全事象以前に形成された畳み込みのリストにない場合、検出された1つ以上の事象が異常事象であると判定する、
システム。 - 請求項11に記載のシステムにおいて、
前記複数の検出された事象の頻度は、前記1つ以上の事象が検出された現時点における前記複数の検出された事象の総数、及びその時点において各機器が前記検出された1つ以上の事象を経験するようなクライアント機器の総数のうち、少なくとも1つを含む、
システム。 - 請求項11に記載のシステムにおいて、
前記データベースのポーリングは、全てのアクセス可能なサブネットワーク内における複数の第1のクライアント機器に関連するグローバルデータベースのポーリング、及び機器の単一のサブネットワー内における複数の第2のクライアント機器に関連するローカルデータのポーリングのうち、少なくとも1つを含む、
システム。 - 請求項11に記載のシステムにおいて、
前記検出された1つ以上の事象が異常事象であると判定された場合に、前記ソフトウェアプロセスを削除すること及び隔離することのうち少なくとも1つを更に含む、
システム。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2017121120 | 2017-06-16 | ||
RU2017121120A RU2651196C1 (ru) | 2017-06-16 | 2017-06-16 | Способ обнаружения аномальных событий по популярности свертки события |
US15/720,334 US10489586B2 (en) | 2017-06-16 | 2017-09-29 | System and method of detecting anomalous events |
US15/720,334 | 2017-09-29 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019003598A true JP2019003598A (ja) | 2019-01-10 |
JP6698056B2 JP6698056B2 (ja) | 2020-05-27 |
Family
ID=61976793
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017198983A Active JP6698056B2 (ja) | 2017-06-16 | 2017-10-13 | 異常な事象を検出するシステム及び方法 |
JP2018131263A Active JP6726706B2 (ja) | 2017-06-16 | 2018-07-11 | コンボリューションのポピュラリティに基づいて異常なイベントを検出するシステムおよび方法 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018131263A Active JP6726706B2 (ja) | 2017-06-16 | 2018-07-11 | コンボリューションのポピュラリティに基づいて異常なイベントを検出するシステムおよび方法 |
Country Status (5)
Country | Link |
---|---|
US (5) | US10489586B2 (ja) |
EP (1) | EP3416083B1 (ja) |
JP (2) | JP6698056B2 (ja) |
CN (2) | CN109145592B (ja) |
RU (1) | RU2651196C1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2021144978A1 (ja) * | 2020-01-17 | 2021-07-22 | 三菱電機株式会社 | 攻撃推定装置、攻撃推定方法及び攻撃推定プログラム |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2574209B (en) * | 2018-05-30 | 2020-12-16 | F Secure Corp | Controlling Threats on a Computer System by Searching for Matching Events on other Endpoints |
WO2019236088A1 (en) * | 2018-06-07 | 2019-12-12 | Hewlett-Packard Development Company, L.P. | Comparing a generated event with a received record |
US10911479B2 (en) | 2018-08-06 | 2021-02-02 | Microsoft Technology Licensing, Llc | Real-time mitigations for unfamiliar threat scenarios |
US10826756B2 (en) * | 2018-08-06 | 2020-11-03 | Microsoft Technology Licensing, Llc | Automatic generation of threat remediation steps by crowd sourcing security solutions |
CN109886016B (zh) * | 2018-12-27 | 2021-01-12 | 慧安金科(北京)科技有限公司 | 用于检测异常数据的方法、设备和计算机可读存储介质 |
US11055405B1 (en) * | 2019-04-30 | 2021-07-06 | Splunk Inc. | Anomaly event detection using frequent patterns |
CN112364284B (zh) * | 2020-11-23 | 2024-01-30 | 北京八分量信息科技有限公司 | 基于上下文进行异常侦测的方法、装置及相关产品 |
US20230269256A1 (en) * | 2022-02-21 | 2023-08-24 | Palo Alto Networks (Israel Analytics) Ltd. | Agent prevention augmentation based on organizational learning |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008243034A (ja) * | 2007-03-28 | 2008-10-09 | Ntt Docomo Inc | ソフトウェア挙動モデル化装置、ソフトウェア挙動モデル化方法、ソフトウェア挙動検証装置及びソフトウェア挙動検証方法 |
JP2017505935A (ja) * | 2013-12-06 | 2017-02-23 | クアルコム,インコーポレイテッド | モバイルデバイスの挙動の効率的な分類のためにアプリケーション固有のモデルおよびアプリケーションの種類に固有のモデルを使用する方法およびシステム |
US20170124319A1 (en) * | 2015-10-29 | 2017-05-04 | International Business Machines Corporation | Using call stack snapshots to detect anomalous computer behavior |
Family Cites Families (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5023341A (en) * | 1989-09-19 | 1991-06-11 | Allergan, Inc. | Compounds having a disubstituted acetylene moiety and retinoic acid-like biological activity |
US7448084B1 (en) * | 2002-01-25 | 2008-11-04 | The Trustees Of Columbia University In The City Of New York | System and methods for detecting intrusions in a computer system by monitoring operating system registry accesses |
US7246156B2 (en) * | 2003-06-09 | 2007-07-17 | Industrial Defender, Inc. | Method and computer program product for monitoring an industrial network |
US8549638B2 (en) * | 2004-06-14 | 2013-10-01 | Fireeye, Inc. | System and method of containing computer worms |
WO2008055156A2 (en) * | 2006-10-30 | 2008-05-08 | The Trustees Of Columbia University In The City Of New York | Methods, media, and systems for detecting an anomalous sequence of function calls |
US8732825B2 (en) * | 2008-05-28 | 2014-05-20 | Symantec Corporation | Intelligent hashes for centralized malware detection |
US8566943B2 (en) * | 2009-10-01 | 2013-10-22 | Kaspersky Lab, Zao | Asynchronous processing of events for malware detection |
US9298910B2 (en) | 2011-06-08 | 2016-03-29 | Mcafee, Inc. | System and method for virtual partition monitoring |
US8584235B2 (en) * | 2011-11-02 | 2013-11-12 | Bitdefender IPR Management Ltd. | Fuzzy whitelisting anti-malware systems and methods |
US8839435B1 (en) | 2011-11-04 | 2014-09-16 | Cisco Technology, Inc. | Event-based attack detection |
CN102629310A (zh) * | 2012-02-29 | 2012-08-08 | 卡巴斯基实验室封闭式股份公司 | 用于保护计算机系统免遭恶意对象活动侵害的系统和方法 |
US9378390B2 (en) * | 2012-03-30 | 2016-06-28 | Nokia Technologies Oy | Method and apparatus for policy adaption based on application policy compliance analysis |
CA2809516C (en) | 2013-03-13 | 2016-11-08 | Khalid Nawaf Alharbi | Preventing stack buffer overflow attacks |
US9355247B1 (en) | 2013-03-13 | 2016-05-31 | Fireeye, Inc. | File extraction from memory dump for malicious content analysis |
RU2580036C2 (ru) | 2013-06-28 | 2016-04-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ создания гибкой свертки для обнаружения вредоносных программ |
US9166997B1 (en) | 2013-09-19 | 2015-10-20 | Symantec Corporation | Systems and methods for reducing false positives when using event-correlation graphs to detect attacks on computing systems |
WO2015113052A1 (en) | 2014-01-27 | 2015-07-30 | Webroot Inc. | Detecting and preventing execution of software exploits |
US9977897B2 (en) | 2014-07-16 | 2018-05-22 | Leviathan Security Group, Inc. | System and method for detecting stack pivot programming exploit |
US9710648B2 (en) * | 2014-08-11 | 2017-07-18 | Sentinel Labs Israel Ltd. | Method of malware detection and system thereof |
RU2614557C2 (ru) * | 2015-06-30 | 2017-03-28 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обнаружения вредоносных файлов на мобильных устройствах |
RU2634173C1 (ru) | 2016-06-24 | 2017-10-24 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения приложения удалённого администрирования |
-
2017
- 2017-06-16 RU RU2017121120A patent/RU2651196C1/ru active
- 2017-09-29 US US15/720,334 patent/US10489586B2/en active Active
- 2017-10-05 US US15/725,693 patent/US10528727B2/en active Active
- 2017-10-13 JP JP2017198983A patent/JP6698056B2/ja active Active
- 2017-10-13 EP EP17196437.2A patent/EP3416083B1/en active Active
- 2017-10-19 CN CN201710979748.4A patent/CN109145592B/zh active Active
-
2018
- 2018-06-22 US US16/015,654 patent/US10558801B2/en active Active
- 2018-07-10 CN CN201810750538.2A patent/CN109583194B/zh active Active
- 2018-07-11 JP JP2018131263A patent/JP6726706B2/ja active Active
-
2019
- 2019-12-03 US US16/701,556 patent/US11216555B2/en active Active
- 2019-12-17 US US16/717,045 patent/US11366896B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008243034A (ja) * | 2007-03-28 | 2008-10-09 | Ntt Docomo Inc | ソフトウェア挙動モデル化装置、ソフトウェア挙動モデル化方法、ソフトウェア挙動検証装置及びソフトウェア挙動検証方法 |
JP2017505935A (ja) * | 2013-12-06 | 2017-02-23 | クアルコム,インコーポレイテッド | モバイルデバイスの挙動の効率的な分類のためにアプリケーション固有のモデルおよびアプリケーションの種類に固有のモデルを使用する方法およびシステム |
US20170124319A1 (en) * | 2015-10-29 | 2017-05-04 | International Business Machines Corporation | Using call stack snapshots to detect anomalous computer behavior |
Non-Patent Citations (1)
Title |
---|
池部 優佳, 外5名: "モバイル向け異常検知ソフトウェア", 情報処理学会研究報告(2006−MBL−39 モバイルコンピューティングとユビキタス通信 2006−I, vol. 第2006巻,第120号, JPN6019018740, 17 November 2006 (2006-11-17), pages 39 - 46, ISSN: 0004169362 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2021144978A1 (ja) * | 2020-01-17 | 2021-07-22 | 三菱電機株式会社 | 攻撃推定装置、攻撃推定方法及び攻撃推定プログラム |
Also Published As
Publication number | Publication date |
---|---|
US10489586B2 (en) | 2019-11-26 |
US10558801B2 (en) | 2020-02-11 |
US11366896B2 (en) | 2022-06-21 |
CN109145592B (zh) | 2022-09-13 |
CN109583194B (zh) | 2023-08-22 |
US20180365415A1 (en) | 2018-12-20 |
JP6698056B2 (ja) | 2020-05-27 |
JP6726706B2 (ja) | 2020-07-22 |
US20180365419A1 (en) | 2018-12-20 |
JP2019079492A (ja) | 2019-05-23 |
EP3416083A1 (en) | 2018-12-19 |
US20200125726A1 (en) | 2020-04-23 |
RU2651196C1 (ru) | 2018-04-18 |
CN109583194A (zh) | 2019-04-05 |
US20180365416A1 (en) | 2018-12-20 |
CN109145592A (zh) | 2019-01-04 |
US11216555B2 (en) | 2022-01-04 |
US10528727B2 (en) | 2020-01-07 |
EP3416083B1 (en) | 2020-01-15 |
US20200104487A1 (en) | 2020-04-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6698056B2 (ja) | 異常な事象を検出するシステム及び方法 | |
RU2571723C2 (ru) | Система и способ для снижения нагрузки на операционную систему при работе антивирусного приложения | |
US11522877B2 (en) | Systems and methods for identifying malicious actors or activities | |
EP3899770B1 (en) | System and method for detecting data anomalies by analysing morphologies of known and/or unknown cybersecurity threats | |
US11403389B2 (en) | System and method of detecting unauthorized access to computing resources for cryptomining | |
US10839074B2 (en) | System and method of adapting patterns of dangerous behavior of programs to the computer systems of users | |
US20200389472A1 (en) | Stateful rule generation for behavior based threat detection | |
CN113282928B (zh) | 恶意文件的处理方法、装置、系统、电子装置和存储介质 | |
RU2706883C1 (ru) | Система и способ снижения количества ложных срабатываний классифицирующих алгоритмов | |
JP2019521400A (ja) | 推測的なエクスプロイトの試みの検出 | |
US20170155683A1 (en) | Remedial action for release of threat data | |
RU2634181C1 (ru) | Система и способ обнаружения вредоносных компьютерных систем | |
RU2531565C2 (ru) | Система и способ анализа событий запуска файлов для определения рейтинга их безопасности | |
US8060577B1 (en) | Method and system for employing user input for file classification and malware identification | |
CN110602135A (zh) | 网络攻击处理方法、装置以及电子设备 | |
US11003772B2 (en) | System and method for adapting patterns of malicious program behavior from groups of computer systems | |
US8364776B1 (en) | Method and system for employing user input for website classification | |
RU2673711C1 (ru) | Способ обнаружения аномальных событий на основании набора сверток безопасных событий | |
CN114900375A (zh) | 一种基于ai图分析的恶意威胁侦测方法 | |
EP3462354B1 (en) | System and method for detection of anomalous events based on popularity of their convolutions |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180507 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190517 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190528 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20190827 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20191028 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191115 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191210 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20200309 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200330 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200421 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200427 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6698056 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |