JP2019514315A - 異種混在アラートのグラフベース結合 - Google Patents
異種混在アラートのグラフベース結合 Download PDFInfo
- Publication number
- JP2019514315A JP2019514315A JP2019502545A JP2019502545A JP2019514315A JP 2019514315 A JP2019514315 A JP 2019514315A JP 2019502545 A JP2019502545 A JP 2019502545A JP 2019502545 A JP2019502545 A JP 2019502545A JP 2019514315 A JP2019514315 A JP 2019514315A
- Authority
- JP
- Japan
- Prior art keywords
- alerts
- clustering
- graph
- hosts
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims abstract description 127
- 230000008569 process Effects 0.000 claims abstract description 98
- 230000002547 anomalous effect Effects 0.000 claims abstract description 5
- 230000002159 abnormal effect Effects 0.000 claims description 4
- 238000012545 processing Methods 0.000 description 15
- 238000003012 network analysis Methods 0.000 description 13
- 238000010586 diagram Methods 0.000 description 12
- 230000015654 memory Effects 0.000 description 12
- 238000001514 detection method Methods 0.000 description 10
- 238000004458 analytical method Methods 0.000 description 9
- 238000004891 communication Methods 0.000 description 6
- 238000004590 computer program Methods 0.000 description 4
- 238000005259 measurement Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 241000699670 Mus sp. Species 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 239000008241 heterogeneous mixture Substances 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0604—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
- H04L41/0609—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time based on severity or priority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Debugging And Monitoring (AREA)
Abstract
Description
1.e1及びe2が異なるホストからのものである場合、距離は無限大である。
2.e1及びe2が同じホスト及び同じプロセスからのものである場合、距離はゼロである。
3.e1及びe2が、同じホスト及び異なるプロセスからのものである場合、プロセス距離はp1からp2までの最短経路の長さである。
ホスト内クラスタリングの細部は、以下でより詳細に説明する。
h1=h2
u1=u2
|t1−t2|<δ1
ここで、δ1は時間閾値である。このようにして、アラートのプロセスが短い期間に同じユーザによって実行された場合、隠れた関係性が同じホスト上のアラートに指定される。隠れた関係性に基づくクラスタリングのさらなる詳細は、以下で提供される。
σ(e)=wi・score(e)
ここで、wiは、検出器diの信用度の重みであり、score(e)は、報告された異常スコアである。
Claims (20)
- 異常イベントを報告するための方法であって、
ネットワークにおけるプロセスレベルイベントの状態をモデル化するプロセスグラフに基づいてアラートのセットをホスト内でクラスタリングすることと、
それぞれのクラスタにおけるアラート間の隠れた関係性に基づいて前記ホスト内でクラスタ化されたアラートを隠れた関係性でクラスタリングすることと、
前記ネットワークにおける接続イベント間の送信元及び宛先の関係性をモデル化するトポロジグラフに基づいて前記隠れた関係性でクラスタ化されたアラートをホスト間でクラスタリングすることと、
信用度の閾値レベルを超える、ホスト間でクラスタ化されたアラートを報告することと、
を有する方法。 - ホスト内でクラスタリングすることが、プロセス距離閾値未満であるプロセス距離を有するアラートを、共にクラスタリングすることを含む、請求項1に記載の方法。
- 前記プロセス距離が、前記プロセスグラフにおける同じホストの2つの異なるプロセス間の最短経路として計算される、請求項2に記載の方法。
- 隠れた関係性でクラスタリングすることが、閾値時間内の同じホストの同じユーザからのアラートを、共にクラスタリングすることを有する、請求項1に記載の方法。
- ホスト間でクラスタリングすることが、前記トポロジグラフにおけるそれぞれのホスト間のエッジを有し、閾値時間内で生じるアラートを、共にクラスタリングすることを有する、請求項1に記載の方法。
- 受信したアラートに基づいて前記プロセスグラフ及び前記トポロジグラフを構築することをさらに有する、請求項1に記載の方法。
- 前記プロセスグラフ及び前記トポロジグラフからの要素を、前記要素が閾値時間よりも古い最終接続時間値を有する場合に除去することをさらに含む、請求項6に記載の方法。
- ホスト間でクラスタ化されたアラートの信用度を、前記ホスト間でクラスタ化されたアラートで示される各プロセスの代表アラートのアラート信用度を合計することで計算することをさらに有する、請求項1に記載の方法。
- 各代表アラートのアラート信用度を、前記代表アラートを生成した検出器によって提供された異常スコアと前記検出器の重みとの積として計算することをさらに有する、請求項8に記載の方法。
- 前記検出器の前記重みが、前記検出器によって生成された誤アラートの数と前記検出器によって生成されたアラートの総数の比として計算される、請求項9に記載の方法。
- 異常イベントを報告するためのシステムであって、
ネットワークにおけるプロセスレベルイベントの状態をモデル化するプロセスグラフに基づいてアラートのセットにホスト内でクラスタリングを実行し、それぞれのクラスタにおけるアラート間の隠れた関係性に基づいて前記ホスト内でクラスタ化されたアラートに隠れた関係性でクラスタリングを実行し、前記ネットワークにおける接続イベント間の送信元及び宛先の関係性をモデル化するトポロジグラフに基づいて前記隠れた関係性でクラスタ化されたアラートにホスト間でクラスタリングを実行するように構成されたプロセッサを含むクラスタリングモジュールと、
信用度の閾値を超える、ホスト間でクラスタ化されたアラートを報告するように構成されたユーザインタフェースと、
を有するシステム。 - 前記クラスタリングモジュールが、プロセス距離閾値未満であるプロセス距離を有するアラートを、共にクラスタリングするようにさらに構成された、請求項11に記載のシステム。
- 前記プロセス距離が、前記プロセスグラフにおける同じホストの2つの異なるプロセス間の最短経路として計算される、請求項12に記載のシステム。
- 前記クラスタリングモジュールが、閾値時間内の同じホストの同じユーザからのアラートを、共にクラスタリングするようにさらに構成された、請求項11に記載のシステム。
- 前記クラスタリングモジュールが、前記トポロジグラフにおけるそれぞれのホスト間のエッジを有し、閾値時間内で生じるアラートを、共にクラスタ化するようにさらに構成された、請求項11に記載のシステム。
- 受信したアラートに基づいて前記プロセスグラフ及び前記トポロジグラフを構築するように構成されたブループリント更新モジュールをさらに有する、請求項11に記載のシステム。
- 前記ブループリント更新モジュールが、前記プロセスグラフ及び前記トポロジグラフからの要素を、前記要素が閾値時間よりも古い最終接続時間値を有する場合に除去するようにさらに構成される、請求項16に記載のシステム。
- 前記クラスタリングモジュールが、ホスト間でクラスタ化されたアラートの信用度を、前記ホスト間でクラスタ化されたアラートで示される各プロセスの代表アラートのアラート信用度を合計することで計算するようにさらに構成された、請求項11に記載のシステム。
- 前記クラスタリングモジュールが、各代表アラートのアラート信用度を、前記代表アラートを生成した検出器によって提供された異常スコアと前記検出器の重みとの積として計算するようにさらに構成された、請求項18に記載のシステム。
- 前記検出器の前記重みが、前記検出器によって生成された誤アラートの数と前記検出器によって生成されたアラートの総数の比として計算される、請求項19に記載のシステム。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201662317781P | 2016-04-04 | 2016-04-04 | |
US62/317,781 | 2016-04-04 | ||
US15/477,603 | 2017-04-03 | ||
US15/477,603 US10476749B2 (en) | 2016-04-04 | 2017-04-03 | Graph-based fusing of heterogeneous alerts |
PCT/US2017/025846 WO2017176676A1 (en) | 2016-04-04 | 2017-04-04 | Graph-based fusing of heterogeneous alerts |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019514315A true JP2019514315A (ja) | 2019-05-30 |
JP6616045B2 JP6616045B2 (ja) | 2019-12-04 |
Family
ID=60001443
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019502545A Active JP6616045B2 (ja) | 2016-04-04 | 2017-04-04 | 異種混在アラートのグラフベース結合 |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP6616045B2 (ja) |
WO (1) | WO2017176676A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20210038488A (ko) * | 2020-06-05 | 2021-04-07 | 베이징 바이두 넷컴 사이언스 앤 테크놀로지 코., 엘티디. | 네트워크 데이터 처리 방법, 장치, 전자 기기, 저장매체 및 프로그램 |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11330007B2 (en) * | 2019-12-23 | 2022-05-10 | International Business Machines Corporation | Graphical temporal graph pattern editor |
CN114760113B (zh) * | 2022-03-30 | 2024-02-23 | 深信服科技股份有限公司 | 一种异常告警检测方法、装置及电子设备和存储介质 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8098585B2 (en) * | 2008-05-21 | 2012-01-17 | Nec Laboratories America, Inc. | Ranking the importance of alerts for problem determination in large systems |
NL2002694C2 (en) * | 2009-04-01 | 2010-10-04 | Univ Twente | Method and system for alert classification in a computer network. |
US10977587B2 (en) * | 2010-04-01 | 2021-04-13 | Northrop Grumman Systems Corporation | System and method for providing impact modeling and prediction of attacks on cyber targets |
US9256828B2 (en) * | 2013-06-29 | 2016-02-09 | Huawei Technologies Co., Ltd. | Alarm correlation analysis method, apparatus and system |
-
2017
- 2017-04-04 JP JP2019502545A patent/JP6616045B2/ja active Active
- 2017-04-04 WO PCT/US2017/025846 patent/WO2017176676A1/en active Application Filing
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20210038488A (ko) * | 2020-06-05 | 2021-04-07 | 베이징 바이두 넷컴 사이언스 앤 테크놀로지 코., 엘티디. | 네트워크 데이터 처리 방법, 장치, 전자 기기, 저장매체 및 프로그램 |
JP2021166380A (ja) * | 2020-06-05 | 2021-10-14 | ベイジン バイドゥ ネットコム サイエンス アンド テクノロジー カンパニー リミテッド | ネットワークデータの処理方法、ネットワークデータ処理装置、電子機器、記憶媒体、及びプログラム |
KR102456960B1 (ko) | 2020-06-05 | 2022-10-21 | 베이징 바이두 넷컴 사이언스 앤 테크놀로지 코., 엘티디. | 네트워크 데이터 처리 방법, 장치, 전자 기기, 저장매체 및 프로그램 |
JP7161563B2 (ja) | 2020-06-05 | 2022-10-26 | ベイジン バイドゥ ネットコム サイエンス テクノロジー カンパニー リミテッド | ネットワークデータの処理方法、ネットワークデータ処理装置、電子機器、記憶媒体、及びプログラム |
Also Published As
Publication number | Publication date |
---|---|
JP6616045B2 (ja) | 2019-12-04 |
WO2017176676A1 (en) | 2017-10-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10476749B2 (en) | Graph-based fusing of heterogeneous alerts | |
US11343268B2 (en) | Detection of network anomalies based on relationship graphs | |
US10476752B2 (en) | Blue print graphs for fusing of heterogeneous alerts | |
US11477219B2 (en) | Endpoint agent and system | |
CN108494810B (zh) | 面向攻击的网络安全态势预测方法、装置及系统 | |
US20230042552A1 (en) | Cyber security using one or more models trained on a normal behavior | |
JP6378395B2 (ja) | 異常部分グラフの検出のための道探査及び異常/変更検出及び網状況認知のためのdns要求及びホストエージェントの使用 | |
US10419466B2 (en) | Cyber security using a model of normal behavior for a group of entities | |
US10516693B2 (en) | Cyber security | |
US20160308725A1 (en) | Integrated Community And Role Discovery In Enterprise Networks | |
US11516233B2 (en) | Cyber defense system | |
US20220263860A1 (en) | Advanced cybersecurity threat hunting using behavioral and deep analytics | |
US10367838B2 (en) | Real-time detection of abnormal network connections in streaming data | |
KR20170060092A (ko) | 분산형 트래픽 관리 시스템 및 기법들 | |
Rahal et al. | A distributed architecture for DDoS prediction and bot detection | |
JP7069399B2 (ja) | コンピュータセキュリティインシデントを報告するためのシステムおよび方法 | |
Yin et al. | The design of VisFlowConnect-IP: a link analysis system for IP security situational awareness | |
JP6616045B2 (ja) | 異種混在アラートのグラフベース結合 | |
JP2022521833A (ja) | 効率的なサブグラフ検出のためのグラフストリームマイニングパイプライン | |
Wang et al. | Source-based defense against ddos attacks in sdn based on sflow and som | |
CN114143015A (zh) | 异常访问行为检测方法和电子设备 | |
KR102131496B1 (ko) | 보안 문제의 근본적인 원인 제공을 위한 보안 출처 제공 시스템 및 그 방법 | |
JP2004336130A (ja) | ネットワーク状態監視システム及びプログラム | |
Jakhale | Design of anomaly packet detection framework by data mining algorithm for network flow | |
Husák et al. | System for continuous collection of contextual information for network security management and incident handling |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181115 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190625 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190904 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191029 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191106 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6616045 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |