JP2021529366A - リモート・アプリケーションを提供するサーバのセキュリティ - Google Patents

リモート・アプリケーションを提供するサーバのセキュリティ Download PDF

Info

Publication number
JP2021529366A
JP2021529366A JP2020567797A JP2020567797A JP2021529366A JP 2021529366 A JP2021529366 A JP 2021529366A JP 2020567797 A JP2020567797 A JP 2020567797A JP 2020567797 A JP2020567797 A JP 2020567797A JP 2021529366 A JP2021529366 A JP 2021529366A
Authority
JP
Japan
Prior art keywords
user
application
user activity
graph
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2020567797A
Other languages
English (en)
Other versions
JP7194487B2 (ja
Inventor
デギルメンシ、レセプ、メリク
アボウアリー、タメール
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2021529366A publication Critical patent/JP2021529366A/ja
Application granted granted Critical
Publication of JP7194487B2 publication Critical patent/JP7194487B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/04Protocols specially adapted for terminals or networks with limited capabilities; specially adapted for terminal portability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • H04L67/125Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/52Network services specially adapted for the location of the user terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Medical Informatics (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Debugging And Monitoring (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

サーバ上で提供されるアプリケーションに対する悪意のある活動を検出するための方法、コンピュータ・システム、およびコンピュータ・プログラム製品が提供される。本発明は、ネットワークを通じてリモートでアクセスされるアプリケーションに関連付けられたユーザ活動データを収集することと、収集されたユーザ活動データからグラフを生成することとを含むことができる。グラフの各ノードは、アプリケーション内の位置に対するユーザから受け取ったユーザ要求の組を表すことができ、ノード間の各接続部は、アプリケーション内の位置の間のユーザ・ナビゲート可能な経路を表すことができる。本発明は、生成されたグラフを記憶することと、アプリケーションに対する後続のユーザ活動を監視することとを含むことができる。本発明は、記憶されたグラフに一致しない後続のユーザ活動を検出することを含むことができる。

Description

本発明は、一般にコンピューティングの分野に関し、より詳しくは、インターネット・セキュリティに関する。
インターネットを介して転送される通信は、サーバ上で提供されるアプリケーションのアプリケーション・ロジック(application logic)の背後にある弱点を悪用するためにエンドポイントとサーバとの間で傍受されることに対して脆弱である。これらの脆弱性がアプリケーション・ロジックに関連しているので、一般的な脆弱性スキャナおよび保護技術は、そのような悪意のある活動を検出することができない。
したがって、当技術分野では上述の問題に対処することが必要とされる。
第1の態様から見ると、本発明は、サーバ上で提供されるアプリケーションに対する悪意のある活動を検出するための方法を提供し、方法は、ネットワークを通じてリモートでアクセスされるアプリケーションに関連付けられたユーザ活動データを収集することであって、収集されたユーザ活動データが、ユーザから受け取ったユーザ要求の少なくとも1つの組を含み、受け取ったユーザ要求の少なくとも1つの組の各組が、アプリケーション内の対応する位置に関連付けられている、収集することと、収集されたユーザ活動データからグラフを生成することであって、生成されたグラフが、複数のノードと複数のノードをリンクする複数の接続部とを含み、複数のノードの各ノードが、受け取ったユーザ要求の少なくとも1つの組の対応する組を表し、複数の接続部の各接続部が、アプリケーション内の対応する位置のペア間のユーザ・ナビゲート可能な経路(user navigable path)を表す、生成することと、生成されたグラフを記憶することと、ネットワークを通じてリモートでアクセスされるアプリケーションに関連付けられた後続のユーザ活動を監視することと、後続のユーザ活動が、収集されたユーザ活動データの記憶されたグラフに一致しないことを検出することとを含む。
他の態様から見ると、本発明は、サーバ上で提供される(hosted)アプリケーションに対する悪意のある活動を検出するためのコンピュータ・システムであって、1つまたは複数のプロセッサと、1つまたは複数のコンピュータ可読メモリと、1つまたは複数のコンピュータ可読有形記憶媒体と、1つまたは複数のメモリのうちの少なくとも1つを介して1つまたは複数のプロセッサのうちの少なくとも1つによる実行のための1つまたは複数のコンピュータ可読有形記憶媒体のうちの少なくとも1つに記憶されたプログラム命令とを備える、コンピュータ・システムを提供し、コンピュータ・システムは、ネットワークを通じてリモートでアクセスされるアプリケーションに関連付けられたユーザ活動データを収集することであって、収集されたユーザ活動データが、ユーザから受け取ったユーザ要求の少なくとも1つの組を含み、受け取ったユーザ要求の少なくとも1つの組の各組が、アプリケーション内の対応する位置に関連付けられている、収集することと、収集されたユーザ活動データからグラフを生成することであって、生成されたグラフが、複数のノードと複数のノードをリンクする複数の接続部とを含み、複数のノードの各ノードが、受け取ったユーザ要求の少なくとも1つの組の対応する組を表し、複数の接続部の各接続部が、アプリケーション内の対応する位置のペア間のユーザ・ナビゲート可能な経路を表す、生成することと、生成されたグラフを記憶することと、ネットワークを通じてリモートでアクセスされるアプリケーションに関連付けられた後続のユーザ活動を監視することと、後続のユーザ活動が、収集されたユーザ活動データの記憶されたグラフに一致しないことを検出することとを含む方法を実施することができる。
他の態様から見ると、本発明は、サーバ上で提供されるアプリケーションに対する悪意のある活動を検出するためのコンピュータ・プログラム製品を提供し、コンピュータ・プログラム製品は、処理回路によって可読のおよび本発明のステップを実施するための方法を実施するための処理回路による実行のための命令を記憶するコンピュータ可読記憶媒体を備える。
他の態様から見ると、本発明は、コンピュータ可読媒体に記憶され、デジタル・コンピュータの内部メモリにロード可能であるコンピュータ・プログラムを提供し、プログラムは、このプログラムがコンピュータ上で実行されたとき本発明のステップを実施するためのソフトウェア・コード部分を含む。
本発明の実施形態は、サーバ上で提供されるアプリケーションに対する悪意のある活動を検出するための方法、コンピュータ・システム、およびコンピュータ・プログラム製品を開示する。本発明は、第1の態様において、ネットワークを通じてリモートでアクセスされるアプリケーションに関連したユーザ活動データを収集することと、収集されたユーザ活動データからグラフを生成することであって、グラフの各ノードが、アプリケーション内の位置に関して、ユーザから受け取ったユーザ要求の組を表し、ノード間の各接続部が、アプリケーション内の位置の間のユーザ・ナビゲート可能な経路を表す、生成することと、生成されたグラフを記憶することと、アプリケーションに対する後続のユーザ活動を監視することと、記憶されたグラフに一致しないユーザ活動を検出することとを含むコンピュータ実施方法を含むことができる。
第2の態様によれば、本発明は、ネットワークを通じてリモートでアクセスされるアプリケーションに関連したユーザ活動データを収集し、収集されたユーザ活動データから、グラフであって、グラフの各ノードが、アプリケーション内の位置に関するユーザから受け取ったユーザ要求の組を表し、ノード間の各接続部が、アプリケーション内の位置の間のユーザ・ナビゲート可能な経路を表す、グラフを生成し、生成されたグラフを記憶し、アプリケーションに対する後続のユーザ活動を監視し、記憶されたグラフに一致しないいずれかのユーザ活動を検出するように構成されたプロセッサを備えるデータ処理システムを含むことができる。
第3の態様によれば、本発明は、プロセッサを備えるデータ処理システムを制御するためのコンピュータ・プログラム製品を含むことができ、コンピュータ・プログラム製品は、ともに具現化されたプログラム命令を有するコンピュータ可読記憶媒体を備え、プログラム命令は、プロセッサに、ネットワークを通じてリモートでアクセスされるアプリケーションに関連したユーザ活動データを収集させ、収集されたユーザ活動データから、グラフであって、グラフの各ノードが、アプリケーション内の位置に関するユーザから受け取ったユーザ要求の組を表し、ノード間の各接続部が、アプリケーション内の位置の間のユーザ・ナビゲート可能な経路を表す、グラフを生成させ、生成されたグラフを記憶させ、アプリケーションに対する後続のユーザ活動を監視させ、記憶されたグラフに一致しないいずれかのユーザ活動を検出させるようにプロセッサによって実行可能である。
本発明のこれらのおよび他の目的、特徴および利点は、添付の図面に関連して読まれる、その例示的な実施形態の以下の詳細な説明から明らかとなるであろう。図は詳細な説明に併せて本発明を当業者が理解するのを容易にする際に明確にするためのものであるので、図面の様々な特徴は縮尺通りではない。
少なくとも1つの実施形態による、ネットワーク化されたコンピュータ環境を通じてアプリケーションにアクセスするユーザ・デバイスを示す概略図である。 少なくとも1つの実施形態による、図1に示す装置のコンポーネントを示す概略図である。 少なくとも1つの実施形態による、ノードおよび接続部のグラフを示す概略図である。 少なくとも1つの実施形態による、アプリケーションとの対話に対するセキュリティ・チェックを実施するためのプロセスを示す動作フローチャートである。 少なくとも1つの実施形態による、アプリケーションおよびグラフを示す概略図である。 本開示の実施形態に従った、図2に示す装置を示す概略図である。
特許請求される構造および方法の詳細な実施形態が、本明細書に開示される。しかしながら、開示される実施形態は、様々な形で具現化することができる、特許請求される構造および方法を、単に例示するに過ぎないことが理解できる。しかしながら、本発明は、多くの異なる形式で具現化することができ、本明細書に記載される例示的な実施形態に限定されると解釈すべきではない。むしろ、これらの例示的な実施形態は、本開示が完璧および完全であり、本発明の範囲を当業者に十分に伝達するように提供される。本明細書において、周知の特徴および技法の詳細は、本実施形態を不必要にあいまいにすることを回避するために省略されている可能性がある。以下に説明する例示的な実施形態は、サーバ上で提供されるアプリケーションに対する悪意のある活動を検出するためのシステム、方法およびプログラム製品を提供する。
図1を参照すると、1つの実施形態に従った、例示的なネットワーク化されたコンピュータ環境が示される。
ネットワーク化されたコンピュータ環境は、ネットワーク14を通じてリモート・サーバ12に接続することができるユーザ・デバイス10を含むことができる。デバイス10とサーバ12との間の通信は、セキュリティ装置(Security Appliance)8を通過することができる。装置8は、独立型デバイスを含むことができるが、サーバ12にインストールすることができるソフトウェアコンポーネントとして実施することもできる。図1に示すように、1つの実施形態において、ユーザ・デバイス10は、モバイル・デバイス(例えば、スマートフォン)を含むことができ、リモート・サーバ12は、ユーザ・デバイス10がネットワーク14を介して接続することができるモバイル・アプリケーション16を実行することができる。ネットワーク14は、4Gなどの無線コンポーネントおよびインターネットなどの有線コンポーネントを含むことができる。ユーザ・デバイス10は、4Gネットワークに接続することができ、4Gネットワーク・プロバイダは、インターネットに接続することができ、ユーザ・デバイス10のユーザが、インターネット、およびユーザ・デバイス10を通じてインターネットを介して供給されるアプリケーションにアクセスすることを可能にする。ユーザ・デバイス10は、スマートフォンを含むことができるが、有線ネットワークを介して接続されたコンピュータなどの任意の適切に接続されたデバイスは、サーバ12上のアプリケーション16にアクセスすることができる。
1つの実施形態において、ユーザ・デバイス10は、ユーザ・デバイス10上で実行されるインターネット・ブラウザを通じて、アプリケーション16などのモバイル・アプリケーションにアクセスすることができる。別の実施形態において、ユーザ・デバイス10は、ユーザ・デバイス10にインストールされた専用アプリケーションを通じてアプリケーション16にアクセスすることができ、その場合、専用アプリケーションは、アプリケーション16に直接接続することができる。図1に示す例において、ユーザは、リモート・バンキング・アプリケーション16にアクセスするためにユーザのスマートフォン10を使用することができ、リモート・バンキング・アプリケーション16は、ユーザのスマートフォン10上で実行されるアプリケーション16を通じて様々なオンライン銀行業務をユーザに提供することができる。例えば、ユーザは、ユーザのスマートフォン10上で実行されるアプリケーション16を通じて、ユーザの銀行預金口座にログインし、現在の銀行預金残高をチェックすることおよび銀行振込を実施することなど、ユーザの銀行預金口座に関連した動作を実施することができる。
モバイル・アプリケーション16に関連付けられた様々なサービスをユーザのスマートフォン10に確実に供給することは、モバイル・アプリケーション16への高い優先順位がある可能性があることを理解することができる。アプリケーション16の、例えば、ユーザの銀行預金口座へのおよびユーザの銀行預金口座からの銀行振込を実施することができる能力は、そのようなアプリケーション16が悪意のあるおよび犯罪の活動の標的となる虞があることを意味し得る。そのようなアプリケーション16を妨害しようとするのに多くの異なる技法が使用され得る。インターネットを介して転送される通信は、常に、通信の内容を変更するように、傍受および操作されることに、またはアプリケーション16に対する攻撃の基盤を形成するのに使用されることに対して、脆弱性がある可能性がある。
次に図2を参照すると、少なくとも1つの実施形態による、装置8のコンポーネントを示す概略図が示される。
1つの実施形態において、装置8は、活動監視コンポーネント18、モデリング・エンジン・コンポーネント20、およびセキュリティ監視コンポーネント22の3つのコンポーネントを含むことができる。3つのコンポーネントは、装置8のプロセッサ24によって実行することができる。活動監視コンポーネント18、モデリング・エンジン・コンポーネント20、およびセキュリティ監視コンポーネント22は、例示目的でおよび異なる機能を説明するために、別々のコンポーネントとして図2に示される。1つの実施形態によれば、3つのコンポーネントは、セキュリティ機能を供給することができる1つのまたは同じソフトウェアまたはハードウェア要素全体の一部として実施することができる。活動監視コンポーネント18、モデリング・エンジン・コンポーネント20、およびセキュリティ監視コンポーネント22は、アプリケーション16にセキュリティを提供するように、かつ、アプリケーション16に関連付けられる悪意のあるおよび犯罪の活動を検出し、防止するように、設計され得る。
1つの実施形態によれば、活動監視コンポーネント18は、挙動モデリング・プロセスにデータを提供するためにユーザ活動ログを収集することができる。次いで、モデリング・エンジン・コンポーネント20は、活動監視コンポーネント18によって収集されたデータを使用し、ユーザ挙動をモデル化し得るグラフを生成することができる。次に、セキュリティ監視コンポーネント22は、後続のユーザ・インターネット活動を監視し、任意のユーザ・インターネット活動が、生成されたモデルに反している可能性があるかどうかを検出することができる。モデリング・エンジン・コンポーネント20は、ユーザ挙動モデルをグラフとして生成することができ、そこでは、グラフの各ノードは、アプリケーション16内の位置に関する活動に対応することができ、ノード間の各接続部は、アプリケーション16内の位置の間のユーザ・ナビゲート可能な経路を表すことができる。1つの実施形態において、アプリケーション16内の位置は、アプリケーション16の状態(例えば、特定のページ)でもよい。
前に説明したように、装置8の3つのコンポーネント(例えば、活動監視コンポーネント18、モデリング・エンジン・コンポーネント20、およびセキュリティ監視コンポーネント22)は、アプリケーション16に対して正常なユーザ挙動を表すグラフを生成するように実装され得て、次いで、生成されたグラフに一致しない任意のユーザ挙動を検出することができる。グラフは、ユーザが十分に長い期間にわたってアプリケーション16に対して有することができる累積的な対話の正規化バージョンを含むデータ・セットから作り上げることができ、データ・セットは、活動監視コンポーネント18によって集積することができる。集積されたデータ・セットにおけるアプリケーション16の任意の悪意のあるユーザの重みは、アプリケーション16のユーザの圧倒的多数が正規ユーザである可能性があるので、無視できるほどである可能性があることが考えられる。
次いで、モデリング・エンジン・コンポーネント20は、活動監視コンポーネント18によって集積されたデータ・セットを使用してグラフを生成することができる。少なくとも1つの実施形態において、活動監視コンポーネント18も、モデリング・エンジン・コンポーネント20も、アプリケーション16の正常な動作を妨害しない可能性がある。活動監視コンポーネント18およびモデリング・エンジン・コンポーネント20は、2つのコンポーネント18および20を意識せずに正常な動作を実施することができるアプリケーション16に対して透過的である可能性がある。
1つの実施形態によれば、ユーザ・デバイス10を使用するユーザは、ウェブ・アプリケーションまたはモバイル・アプリケーション16を閲覧することができ、そこでは、ユーザが機能をナビゲートするたびに、ユーザ・デバイス10からサーバ12にいくつかの要求をほぼ同時に送られ得る。前の例を継続すると、ユーザがオンライン・バンキング・アプリケーション16を通じて決済するためにスマートフォン10を使用しているとき、トークン確認要求、関連ページ上の画像、スタイルシート、および勘定残高情報などのいくつかの要求をアプリケーション・サーバ12に送ることができる。1つの実施形態において、要求のクラスタは、疑似アトミック要求でもよい。活動監視コンポーネント18は、アプリケーション16内のユーザの現在の位置に関連した疑似アトミック要求をキャプチャすることができる。
次いで、モデリング・エンジン・コンポーネント20は、集積された過去データを使用してユーザ・トラヒックを分析することができ、ユーザ挙動をグラフベースのデータ構造としてモデル化することができる。ユーザ・トラヒックがモデル化されると、セキュリティ監視コンポーネント22は、生成されたモデルに対して、後続のユーザ・トラヒックを監視し、分析することができる。
次に図3を参照すると、少なくとも1つの実施形態による、グラフ26の例を示す概略図が示される。
1つの実施形態において、グラフ26は、1つまたは複数のノード28と、1つまたは複数の接続部30とを含むことができる。各接続部30は、2つのノード28を接続することができ、一方向接続部または双方向接続部でもよい。図3において、グラフ26の1つの視覚表現が示される。しかしながら、グラフ26の根拠をなすデータは、多くの様々な他のやり方で表すことができる。図3は、一緒にクラスタ化され得る様々な要求を示すテーブル32も示す。図3に示すグラフ26は、4つのノード28だけを含むが、1つの実施形態において、グラフ26は、アプリケーション16に関連付けられた、任意の数のノード28および接続部30を含むことができる。
前の例を継続すると、オンライン・バンキング・アプリケーション16に関連して、ノードAが、アプリケーション16のホーム・ページを表すことができ、ノードBが、「現在残高」機能を表すことができ、ノードCが、「送金」機能を表すことができる。したがって、図3に示すグラフ26の構造は、ホーム・ページ(例えば、ノードA)の後、ユーザが「送金」ページ(例えば、ノードC)に直接ナビゲートすることができるか、またはまず「現在残高」ページ(例えば、ノードB)にナビゲートすることができるかのいずれかを示すことができる。接続部30は、アプリケーション16をナビゲートするとき、ユーザが利用可能なナビゲーション選択肢を表すことができる。
次に図4を参照すると、少なくとも1つの実施形態による、アプリケーション16との対話に対するセキュリティ・チェックを実施する例示的なコンピュータ実施方法を示す動作フローチャートが示される。
ステップS4.1において、リモート・アプリケーションに関連したユーザ活動データが収集される。活動監視コンポーネント18が、ネットワーク14を通じてリモートでアクセスされるアプリケーション16に関連したユーザ活動データを収集または集積することができる。1つの実施形態において、活動監視コンポーネント18は、一定期間(例えば、24時間)にわたるユーザのアプリケーション16との対話を集積することができる。集積されたデータは、アプリケーション16を提供する(hosting)サーバ12に対してユーザ・デバイス10から行われる要求を含むことができるユーザ活動ログを含むことができる。
次いで、ステップS4.2において、グラフが、収集されたデータから生成される。モデリング・エンジン・コンポーネント20は、収集されたユーザ活動データからグラフ26(図3参照)を生成することができる。グラフ26の各ノード28(図3参照)は、アプリケーション16内の位置に関連した、ユーザ・デバイス10から受け取ったユーザ要求の組を表すことができる。さらに、グラフ26のノード28の間の各接続部30(図3参照)は、アプリケーション16内の位置の間のユーザ・ナビゲート可能な経路を表すことができる。1つの実施形態において、モデリング・エンジン・コンポーネント20は、(ユーザのアプリケーション16との対話の結果として)ユーザ・デバイス10から受け取ったユーザ要求の組を疑似アトミック要求内に集めてクラスタ化することができ、次いで、それぞれのそのような疑似アトミック要求のクラスタに対してノード28を生成することができる。
次に、ステップS4.3において、生成されたグラフが記憶される。アプリケーション16との対話に対してセキュリティ・チェックを実施することができる装置8のプロセッサ24は、生成されたグラフ26が必要に応じて/必要なときに継続的にアクセスすることができるように、生成されたグラフ26をローカルに記憶することができる。1つの実施形態によれば、生成されたグラフ26は、装置8内にローカルに記憶することができる。
次いで、ステップS4.4において、ユーザ活動がアプリケーション内で監視される。セキュリティ監視コンポーネント22は、アプリケーション16に対する後続のユーザ活動を監視することができる。1つの実施形態において、セキュリティ監視コンポーネント22は、アプリケーション16を提供するサーバ12への入力される要求によってアプリケーション16が継続して使用され、アクセスされるとき、アプリケーション16に関連付けられたユーザ活動を継続的に監視することができる。
次に、ステップS4.5において、グラフに一致しないユーザ活動が検出される。セキュリティ監視コンポーネント22(図2参照)は、記憶されたグラフ26(図3参照)に一致しない任意のユーザ活動を検出することができる。1つの実施形態によれば、セキュリティ監視コンポーネント22は、例えば、サーバ12に同時に送られない可能性があるクラスタの要求、サーバ12に同時に送られる可能性がある異なるクラスタからの要求およびグラフ26において発見することができる任意の異常なナビゲーション経路を含むユーザ活動を検出することができる。任意の悪意のある活動を検出することに応答して、セキュリティ監視コンポーネント22は、アラートを生成することができ、検出されたアプリケーション16への要求を休止させることができる。別の実施形態において、セキュリティ監視コンポーネント22は、監視目的でアラートを作動させることができる。悪意のある活動が検出されたとき、アプリケーション16の正常な動作を停止させることができ、アプリケーション16のセキュリティを改善することができる。
前の例を継続すると、受け取ったユーザ要求の組が、生成されたグラフ26(図3参照)のいずれのノード28(図3参照)にも一致しないとき、ユーザ活動が検出され得る。具体的には、疑似アトミック要求を形成し得るユーザ要求は、ノード28によって定義され得るクラスタのいずれかを形成する可能性のある要求に一致しない可能性がある。これはアプリケーション16にアクセスする悪意のある試みを示すことができ、したがって、要求は拒否され得る。1つの実施形態において、すべての正常な受け取った要求は、グラフ26におけるノード28の要求に一致する可能性がある。したがって、任意の正常なユーザ要求の改ざんまたは偽のユーザ要求の作成を検出することができる。
1つの実施形態によれば、ユーザ活動が、接続部30によって直接接続されない2つのノード28の間のナビゲーションに対応する場合、ユーザ活動が検出され得る。アプリケーション16において、ノード28の間の接続部30の潜在的な数は、極めて大きい可能性があるが、しかしながら、ほとんどのノード28は、少数の他のノード28だけに接続され得る。したがって、ユーザ活動が、グラフ26上で接続されないアプリケーション16における位置の間のナビゲーションを示す場合、ユーザ活動は、警報を作動させることができる。
警報が作動されると、セキュリティ方法は、例えば、不審な活動に応答しないようにアプリケーション16を停止させ、ユーザ・アカウントへのアクセスを一時停止させ、アプリケーション16の管理者への電子メール・アラートを生成することによって、自動的に動作することができる。すべての他の点において、アプリケーション16は、継続して正常に動作することができ、セキュリティ・プロセスの様々なコンポーネントは、それぞれのコンポーネントのタスクを継続して実施することができる。セキュリティ監視コンポーネント22は、アプリケーション16に対するすべてのユーザ活動を継続して監視することができる。
次に図5を参照すると、少なくとも1つの実施形態による、その中に位置34を含むアプリケーション16を示す概略図が示される。
位置34は、そこでユーザが、ユーザ・デバイス10上で出力を提示され、またはユーザ・デバイス10を使用して1つまたは複数の具体的な動作を実施し、あるいはその両方をすることができる、アプリケーション16内の論理位置を含むことができる。例えば、ウェブ・アプリケーション16のランディングまたはホーム・ページは、アプリケーション16内の第1の位置34でもよい。
アプリケーション16は、アプリケーション16内のナビゲート可能なルート36を含むこともでき、そのルート36は、ユーザがアプリケーション16をナビゲートしながら(例えば、論理的な意味で)進んでいくことができる経路を表すことができる。例えば、ユーザがホーム・ページから「現在残高」ページにアクセスすることを選択した場合、ユーザは、アプリケーション16内の新たな位置34にナビゲートしなければならない可能性がある。モデリング・エンジン・コンポーネント20は、ノード28および接続部30を含むグラフ26を生成することができ、これらは、アプリケーション16の位置34およびルート36に対応し得る。モデリング・エンジン・コンポーネント20は、活動監視コンポーネント18の出力に基づいて動作することができ、アプリケーション16に直接アクセスできない可能性がある。したがって、モデリング・エンジン・コンポーネント20は、グラフ26を生成するプロセスにおいてアプリケーション16のアプリケーション・ロジックにアクセスしない可能性がある。
1つの実施形態において、モデリング・エンジン・コンポーネント20は、アプリケーション16内の各位置34に対するユーザ活動の加重平均を決定し、ユーザ活動の加重平均から、グラフ26において、特定の位置34に対するノード28を生成することができる。モデリング・エンジン・コンポーネント20は、特定の位置34(および対応するノード28)に対するユーザ活動に関連してユーザ活動の加重平均を決定することができる。アプリケーション16のユーザの圧倒的多数が正規ユーザである可能性があり、したがって、データ・セットにおける悪意のあるユーザの重みが無視できるほどであり得ることが企図される。したがって、悪意のあるユーザ挙動は、グラフ26に体系化されない可能性があり、グラフ26は、アプリケーション16に関連した正常なユーザの正常な動作を表すことができる。グラフ26は、アプリケーション16内の位置34に対する正常なユーザ活動を表すことができる複数のノード28を含むことができる。
1つの実施形態によれば、モデリング・エンジン・コンポーネント20は、収集されたユーザ活動データから、ユーザのアプリケーション16との対話とは無関係に生成された任意のデータ要求を除去することができる。このようにして、モデリング・エンジン・コンポーネント20は、ユーザ活動とは無関係にサーバ12に送られ得る一般的な要求を除去することができる。モデリング・エンジン・コンポーネント20は、グラフ26がユーザのアプリケーション16との直接対話の結果として生成された疑似アトミック要求だけを体系化することができることを提供することができる。直接のユーザ動作の結果ではない、ユーザ・デバイス10とサーバ12上のアプリケーション16との間で行われる可能性がある任意のバックグラウンド活動は、グラフ26内に含まれない可能性がある。
次に図6を参照すると、本開示の実施形態に従った、データ処理システムを含む装置8を示す概略図が示される。
装置8は、装置8の動作を制御するように構成されたプロセッサ24を含むことができる。装置8のプロセッサ24は、(例えば、生成されたグラフ26を記憶するための)ローカル記憶デバイス38およびローカル・インターフェース40に接続することができる。コンピュータ可読記憶媒体(「CD−ROM」)42を、装置8を動作させるようにプロセッサ24を制御するのに使用することができるコンピュータ・プログラム製品を記憶するために設けることができる。プロセッサ24は、コンピュータ・プログラム製品からの命令を実行して装置8を動作させることができる。プロセッサ24は、モデリング・エンジン・コンポーネント20(図2参照)を用いて、グラフ26を生成することができる。次いで、プロセッサ24は、生成されたグラフ26をローカル記憶デバイス38に記憶することができる。
本発明は、任意の可能な技術的に詳細な統合レベルにおけるシステム、方法、またはコンピュータ・プログラム製品あるいはその組合せでもよい。コンピュータ・プログラム製品は、プロセッサに本発明の態様を実行させるためにコンピュータ可読プログラム命令をその上に有する1つのまたは複数のコンピュータ可読記憶媒体を含むことができる。
コンピュータ可読記憶媒体は、命令実行デバイスによる使用のための命令を保持し、記憶することができる有形デバイスであることができる。例えば、コンピュータ可読記憶媒体は、電子記憶デバイス、磁気記憶デバイス、光学記憶デバイス、電磁気記憶デバイス、半導体記憶デバイス、または前述のものの任意の適切な組合せでもよいが、それに限定されない。コンピュータ可読記憶媒体のより具体的な例の非網羅的リストには、携帯用コンピュータ・ディスケット、ハード・ディスク、ランダム・アクセス・メモリ(RAM)、読み取り専用メモリ(ROM)、消去可能プログラム可能読み取り専用メモリ(EPROMまたはフラッシュ・メモリ)、スタティック・ランダム・アクセス・メモリ(SRAM)、携帯用コンパクト・ディスク読み取り専用メモリ(CD−ROM)、デジタル多用途ディスク(DVD)、メモリ・スティック、フロッピー(登録商標)ディスク、パンチカードまたは上に命令を記録した溝における持ち上がった構造などの機械的にエンコードされたデバイス、および前述のものの任意の適切な組合せが含まれる。コンピュータ可読記憶媒体は、本明細書で使用するときは、電波または他の自由に伝播する電磁波、導波路もしくは他の伝送媒体中を伝播する電磁波(例えば、光ファイバ・ケーブル中を通過する光パルス)、または電線を通じて伝送される電気信号などの、それ自体が一過性の信号であると解釈されないものとする。
本明細書に説明するコンピュータ可読プログラム命令は、コンピュータ可読記憶媒体からそれぞれのコンピューティング/処理デバイスに、あるいはネットワーク、例えば、インターネット、ローカル・エリア・ネットワーク、ワイド・エリア・ネットワークもしくは無線ネットワークまたはその組合せを介して外部コンピュータまたは外部記憶デバイスにダウンロードすることができる。ネットワークは、銅伝送ケーブル、光伝送ファイバ、無線伝送、ルーター、ファイアウォール、スイッチ、ゲートウェイ・コンピュータまたはエッジ・サーバあるいはその組合せを備えることができる。各コンピューティング/処理デバイスにおけるネットワーク・アダプタ・カードまたはネットワーク・インターフェースは、コンピュータ可読プログラム命令をネットワークから受け取り、それぞれのコンピューティング/処理デバイス内のコンピュータ可読記憶媒体への記憶のためにコンピュータ可読プログラム命令を転送する。
本発明の動作を実行するためのコンピュータ可読プログラム命令は、アセンブラ命令、命令セット・アーキテクチャ(ISA)命令、機械命令、機械依存命令、マイクロコード、ファームウェア命令、状態設定データ、集積回路のための構成データ、またはSmalltalk(登録商標)、C++などのオブジェクト指向プログラミング言語、および「C」プログラミング言語または同様のプログラミング言語などの手続きプログラミング言語を含む、1つまたは複数のプログラミング言語の任意の組合せで作成されたソース・コードもしくはオブジェクト・コードのいずれかでもよい。コンピュータ可読プログラム命令は、全体的にユーザのコンピュータ上で、独立型のソフトウェア・パッケージとして部分的にユーザのコンピュータ上で、部分的にユーザのコンピュータ上および部分的にリモート・コンピュータ上で、または全体的にリモート・コンピュータもしくはサーバ上で実行することができる。後者のシナリオでは、リモート・コンピュータは、ローカル・エリア・ネットワーク(LAN)またはワイド・エリア・ネットワーク(WAN)を含む、任意の種類のネットワークを通じてユーザのコンピュータに接続することができ、あるいは(例えば、インターネット・サービス・プロバイダを使用してインターネットを通じて)外部コンピュータに接続することができる。いくつかの実施形態において、例えば、プログラマブル・ロジック回路、フィールド・プログラマブル・ゲート・アレイ(FPGA)、またはプログラマブル・ロジック・アレイ(PLA)を含む電子回路は、本発明の態様を実施するために、電子回路を個別化するコンピュータ可読プログラム命令の状態情報を利用することによってコンピュータ可読プログラム命令を実行することができる。
本発明の態様は、本発明の実施形態による方法、装置(システム)、およびコンピュータ・プログラム製品のフローチャート図またはブロック図あるいはその両方を参照して本明細書に説明する。フローチャート図またはブロック図あるいはその両方の各ブロック、およびフローチャート図またはブロック図あるいはその両方のブロックの組合せは、コンピュータ可読プログラム命令によって実施することができることが理解されよう。
これらのコンピュータ可読プログラム命令は、コンピュータまたは他のプログラム可能データ処理装置のプロセッサを介して実行される命令が、フローチャートまたはブロック図あるいはその両方の1つまたは複数のブロックに指定される機能/動作を実施する手段を作り出すべく、汎用コンピュータ、専用コンピュータ、または他のプログラム可能データ処理装置のプロセッサに提供されて、マシンを作り出すものであってもよい。これらのコンピュータ可読プログラム命令は、命令が記憶されたコンピュータ可読記憶媒体が、フローチャートまたはブロック図あるいはその両方の1つまたは複数のブロックに指定される機能/動作の態様を実施する命令を含んだ製品を備えるべく、コンピュータ可読記憶媒体に記憶され、コンピュータ、プログラム可能データ処理装置、または他のデバイスあるいはその組合せに特定の方式で機能するように指示することができるものであってもよい。
コンピュータ可読プログラム命令は、コンピュータ、他のプログラム可能装置、または他のデバイスで実行される命令が、フローチャートまたはブロック図あるいはその両方の1つまたは複数のブロックで指定された機能/動作を実施するように、コンピュータ実施プロセスを作出するべく、コンピュータ、他のプログラム可能データ処理装置、または他のデバイスにロードされ、コンピュータ、他のプログラム可能装置、または他のデバイス上で一連の動作ステップを実行させるものであってもよい。
図におけるフローチャートおよびブロック図は、本発明の様々な実施形態によるシステム、方法、およびコンピュータ・プログラム製品の可能な実施のアーキテクチャ、機能、および動作を示す。この点において、フローチャートまたはブロック図における各ブロックは、指定された論理機能(複数可)を実施するための1つまたは複数の実行可能命令を含む、モジュール、セグメント、または命令の一部分を表すことができる。いくつかの代替実施において、ブロックに記載された機能は、図に記載された順番以外で行われる場合がある。例えば、連続して示す2つのブロックは、実際には、実質的に同時に実行することができ、またはブロックは、関与する機能に応じて時には逆の順番で実行することもできる。ブロック図またはフローチャート図あるいはその両方の各ブロック、およびブロック図またはフローチャート図あるいはその両方におけるブロックの組合せは、指定された機能または動作を実施し、または専用ハードウェアとコンピュータ命令との組合せを実行する、専用ハードウェアベースのシステムによって実施することができることも留意される。
例示目的で本発明の様々な実施形態の説明を提示してきたが、包括的であること、または開示された実施形態に限定されることは意図されていない。説明した実施形態の範囲から逸脱することなく多くの変更形態および変形形態が当業者には明らかであろう。本明細書に使用した専門用語は、実施形態の原理、市場で見出される技術に対する実際の適用もしくは技術的改善を最もよく説明するように、または本明細書に開示された実施形態を他の当業者が理解することを可能にするように選択されたものである。

Claims (12)

  1. サーバ上で提供されるアプリケーションに対する悪意のある活動を検出するための方法であって、
    ネットワークを通じてリモートでアクセスされるアプリケーションに関連付けられたユーザ活動データを収集することであって、収集された前記ユーザ活動データが、ユーザから受け取ったユーザ要求の少なくとも1つの組を含み、受け取ったユーザ要求の前記少なくとも1つの組の各組が、前記アプリケーション内の対応する位置に関連付けられている、前記収集することと、
    収集された前記ユーザ活動データからグラフを生成することであって、生成された前記グラフが、複数のノードと前記複数のノードをリンクする複数の接続部とを含み、前記複数のノードの各ノードが、受け取ったユーザ要求の前記少なくとも1つの組の対応する組を表し、前記複数の接続部の各接続部が、前記アプリケーション内の対応する位置のペア間のユーザ・ナビゲート可能な経路を表す、前記生成することと、
    生成された前記グラフを記憶することと、
    前記ネットワークを通じてリモートでアクセスされる前記アプリケーションに関連付けられた後続のユーザ活動を監視することと、
    前記後続のユーザ活動が、収集された前記ユーザ活動データの記憶された前記グラフに一致しないことを検出することと
    を含む、方法。
  2. 前記後続のユーザ活動が記憶された前記グラフに一致しないことを検出することが、受け取ったユーザ要求の後続の組が記憶された前記グラフの前記複数のノードのいずれのノードにも一致しないことを検出することをさらに含む、請求項1に記載の方法。
  3. 前記後続のユーザ活動が記憶された前記グラフに一致しないことを検出することが、前記複数の接続部のうちの1つによってリンクされない、前記複数のノードのうちのノードのペア間のナビゲーションに対応する後続のユーザ活動を検出することをさらに含む、請求項1に記載の方法。
  4. 前記アプリケーション内の各対応する位置に対するユーザ活動の加重平均を決定することと、
    ユーザ活動の前記加重平均から、各対応する位置に対する前記複数のノードのうちの対応するノードを生成することと
    をさらに含む、請求項1ないし3のいずれかに記載の方法。
  5. 収集された前記ユーザ活動データから、ユーザの前記アプリケーションとの対話とは無関係に生成されるデータ要求を除去することをさらに含む、請求項1ないし4のいずれかに記載の方法。
  6. サーバ上で提供されるアプリケーションに対する悪意のある活動を検出するためのコンピュータ・システムであって、
    1つまたは複数のプロセッサと、1つまたは複数のコンピュータ可読メモリと、1つまたは複数のコンピュータ可読有形記憶媒体と、前記1つまたは複数のメモリのうちの少なくとも1つを介して前記1つまたは複数のプロセッサのうちの少なくとも1つによる実行のための前記1つまたは複数のコンピュータ可読有形記憶媒体のうちの少なくとも1つに記憶されたプログラム命令とを含み、前記コンピュータ・システムは、
    ネットワークを通じてリモートでアクセスされるアプリケーションに関連付けられたユーザ活動データを収集することであって、収集された前記ユーザ活動データが、ユーザから受け取ったユーザ要求の少なくとも1つの組を含み、受け取ったユーザ要求の前記少なくとも1つの組の各組が、前記アプリケーション内の対応する位置に関連付けられている、前記収集することと、
    収集された前記ユーザ活動データからグラフを生成することであって、生成された前記グラフが、複数のノードと前記複数のノードをリンクする複数の接続部とを含み、前記複数のノードの各ノードが、受け取ったユーザ要求の前記少なくとも1つの組の対応する組を表し、前記複数の接続部の各接続部が、前記アプリケーション内の対応する位置のペア間のユーザ・ナビゲート可能な経路を表す、前記生成することと、
    生成された前記グラフを記憶することと、
    前記ネットワークを通じてリモートでアクセスされる前記アプリケーションに関連付けられた後続のユーザ活動を監視することと、
    前記後続のユーザ活動が、収集された前記ユーザ活動データの記憶された前記グラフに一致しないことを検出することと
    を含む方法を実施することができる、コンピュータ・システム。
  7. 前記後続のユーザ活動が記憶された前記グラフに一致しないことを検出することが、受け取ったユーザ要求の後続の組が記憶された前記グラフの前記複数のノードのいずれのノードにも一致しないことを検出することをさらに含む、請求項6に記載のコンピュータ・システム。
  8. 前記後続のユーザ活動が記憶された前記グラフに一致しないことを検出することが、前記複数の接続部のうちの1つによってリンクされない、前記複数のノードのうちのノードのペア間のナビゲーションに対応する後続のユーザ活動を検出することをさらに含む、請求項6に記載のコンピュータ・システム。
  9. 前記アプリケーション内の各対応する位置に対するユーザ活動の加重平均を決定することと、
    ユーザ活動の前記加重平均から、各対応する位置に対する前記複数のノードのうちの対応するノードを生成することとをさらに含む、請求項6ないし8のいずれかに記載のコンピュータ・システム。
  10. 収集された前記ユーザ活動データから、ユーザの前記アプリケーションとの対話とは無関係に生成されるデータ要求を除去することをさらに含む、請求項6ないし8のいずれかに記載のコンピュータ・システム。
  11. サーバ上で提供されるアプリケーションに対する悪意のある活動を検出するコンピュータ・プログラム製品であって、
    処理回路によって可読であり、かつ、請求項1ないし5のいずれかに記載の方法を実施するために前記処理回路による実行のための命令を記憶するコンピュータ可読記憶媒体
    を備える、コンピュータ・プログラム製品。
  12. コンピュータ可読媒体に記憶され、デジタル・コンピュータの内部メモリにロード可能なコンピュータ・プログラムであって、前記プログラムがコンピュータ上で実行されたとき請求項1ないし5のいずれかに記載の方法を実施するためのソフトウェア・コード部分を含む、コンピュータ・プログラム。
JP2020567797A 2018-06-27 2019-06-21 リモート・アプリケーションを提供するサーバのセキュリティ Active JP7194487B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/019,719 US10951638B2 (en) 2018-06-27 2018-06-27 Security of server hosting remote application
US16/019,719 2018-06-27
PCT/IB2019/055241 WO2020003076A1 (en) 2018-06-27 2019-06-21 Security of server hosting remote application

Publications (2)

Publication Number Publication Date
JP2021529366A true JP2021529366A (ja) 2021-10-28
JP7194487B2 JP7194487B2 (ja) 2022-12-22

Family

ID=68984980

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020567797A Active JP7194487B2 (ja) 2018-06-27 2019-06-21 リモート・アプリケーションを提供するサーバのセキュリティ

Country Status (5)

Country Link
US (1) US10951638B2 (ja)
JP (1) JP7194487B2 (ja)
CN (1) CN112074814A (ja)
GB (1) GB2589790B (ja)
WO (1) WO2020003076A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112685247B (zh) * 2020-12-24 2024-01-12 京东方科技集团股份有限公司 基于Zabbix监控系统的告警抑制方法及监控系统
US20230275913A1 (en) * 2022-02-25 2023-08-31 Microsoft Technology Licensing, Llc Using graph enrichment to detect a potentially malicious access attempt

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1758605A (zh) * 2004-10-10 2006-04-12 华为技术有限公司 一种移动数据业务的调度方法
US7624448B2 (en) * 2006-03-04 2009-11-24 21St Century Technologies, Inc. Intelligent intrusion detection system utilizing enhanced graph-matching of network activity with context data
CN101639831A (zh) * 2008-07-29 2010-02-03 华为技术有限公司 一种搜索方法、装置及系统
US8762298B1 (en) * 2011-01-05 2014-06-24 Narus, Inc. Machine learning based botnet detection using real-time connectivity graph based traffic features
CN103916891A (zh) * 2014-03-27 2014-07-09 桂林电子科技大学 一种异构web服务网关实现方法及装置
US9021566B1 (en) * 2012-05-31 2015-04-28 Starnet Communications Corporation Apparatus and method to securely connect to and manage X11 applications on a remote system through an HTTP client
JP2018018511A (ja) * 2016-07-29 2018-02-01 エーオー カスペルスキー ラボAO Kaspersky Lab 各種バンキングサービスとユーザの対話における疑わしいユーザ行動の識別のためのシステム及び方法

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9317670B2 (en) * 2012-05-22 2016-04-19 Verizon Patent And Licensing Inc Security based on usage activity associated with user device
US9292695B1 (en) 2013-04-10 2016-03-22 Gabriel Bassett System and method for cyber security analysis and human behavior prediction
US9753796B2 (en) 2013-12-06 2017-09-05 Lookout, Inc. Distributed monitoring, evaluation, and response for multiple devices
US10412106B2 (en) 2015-03-02 2019-09-10 Verizon Patent And Licensing Inc. Network threat detection and management system based on user behavior information
US9606894B2 (en) * 2015-03-04 2017-03-28 International Business Machines Corporation Collaborative collection of diagnostics data of software programs
US9699205B2 (en) 2015-08-31 2017-07-04 Splunk Inc. Network security system
US10536478B2 (en) 2016-02-26 2020-01-14 Oracle International Corporation Techniques for discovering and managing security of applications
US11165800B2 (en) 2017-08-28 2021-11-02 Oracle International Corporation Cloud based security monitoring using unsupervised pattern recognition and deep learning

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1758605A (zh) * 2004-10-10 2006-04-12 华为技术有限公司 一种移动数据业务的调度方法
US7624448B2 (en) * 2006-03-04 2009-11-24 21St Century Technologies, Inc. Intelligent intrusion detection system utilizing enhanced graph-matching of network activity with context data
CN101639831A (zh) * 2008-07-29 2010-02-03 华为技术有限公司 一种搜索方法、装置及系统
US8762298B1 (en) * 2011-01-05 2014-06-24 Narus, Inc. Machine learning based botnet detection using real-time connectivity graph based traffic features
US9021566B1 (en) * 2012-05-31 2015-04-28 Starnet Communications Corporation Apparatus and method to securely connect to and manage X11 applications on a remote system through an HTTP client
CN103916891A (zh) * 2014-03-27 2014-07-09 桂林电子科技大学 一种异构web服务网关实现方法及装置
JP2018018511A (ja) * 2016-07-29 2018-02-01 エーオー カスペルスキー ラボAO Kaspersky Lab 各種バンキングサービスとユーザの対話における疑わしいユーザ行動の識別のためのシステム及び方法

Also Published As

Publication number Publication date
GB2589790A (en) 2021-06-09
US10951638B2 (en) 2021-03-16
JP7194487B2 (ja) 2022-12-22
CN112074814A (zh) 2020-12-11
GB202100350D0 (en) 2021-02-24
US20200007562A1 (en) 2020-01-02
WO2020003076A1 (en) 2020-01-02
GB2589790B (en) 2022-05-04

Similar Documents

Publication Publication Date Title
US11323471B2 (en) Advanced cybersecurity threat mitigation using cyberphysical graphs with state changes
US11750631B2 (en) System and method for comprehensive data loss prevention and compliance management
US10666670B2 (en) Managing security breaches in a networked computing environment
US10432660B2 (en) Advanced cybersecurity threat mitigation for inter-bank financial transactions
US11349853B2 (en) Systems and methods for determining individual and group risk scores
US10609079B2 (en) Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management
US10320827B2 (en) Automated cyber physical threat campaign analysis and attribution
AU2016242813B2 (en) Networking flow logs for multi-tenant environments
US20220263860A1 (en) Advanced cybersecurity threat hunting using behavioral and deep analytics
CN108292133A (zh) 用于在工业控制系统内识别已泄密设备的系统和方法
US20230308487A1 (en) System and method for secure evaluation of cyber detection products
WO2022111268A1 (en) Defense of targeted database attacks through dynamic honeypot database response generation
US10291644B1 (en) System and method for prioritizing endpoints and detecting potential routes to high value assets
US20180034780A1 (en) Generation of asset data used in creating testing events
JP7194487B2 (ja) リモート・アプリケーションを提供するサーバのセキュリティ
WO2019018829A1 (en) MITIGATING IMPROVED CYBERSECURITY THREATS USING DEEP AND BEHAVIORAL ANALYTICS
WO2020102601A1 (en) Comprehensive data loss prevention and compliance management
EP3679506A2 (en) Advanced cybersecurity threat mitigation for inter-bank financial transactions
WO2021055964A1 (en) System and method for crowd-sourced refinement of natural phenomenon for risk management and contract validation
US20230376964A1 (en) Systems and methods for detecting unauthorized online transactions
WO2019051131A1 (ja)

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201228

RD12 Notification of acceptance of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7432

Effective date: 20201204

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20211028

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20220502

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20221129

RD14 Notification of resignation of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7434

Effective date: 20221129

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221208

R150 Certificate of patent or registration of utility model

Ref document number: 7194487

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150