JP2021529376A - 動的グラフ分析 - Google Patents
動的グラフ分析 Download PDFInfo
- Publication number
- JP2021529376A JP2021529376A JP2020570870A JP2020570870A JP2021529376A JP 2021529376 A JP2021529376 A JP 2021529376A JP 2020570870 A JP2020570870 A JP 2020570870A JP 2020570870 A JP2020570870 A JP 2020570870A JP 2021529376 A JP2021529376 A JP 2021529376A
- Authority
- JP
- Japan
- Prior art keywords
- feature
- hop
- dynamic
- network traffic
- features
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 14
- 230000002547 anomalous effect Effects 0.000 claims abstract description 51
- 238000000034 method Methods 0.000 claims abstract description 37
- 230000002123 temporal effect Effects 0.000 claims abstract description 23
- 238000004891 communication Methods 0.000 claims abstract description 16
- 238000012545 processing Methods 0.000 claims abstract description 9
- 230000003068 static effect Effects 0.000 claims description 30
- 230000008569 process Effects 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 6
- 210000002569 neuron Anatomy 0.000 description 25
- 238000013528 artificial neural network Methods 0.000 description 24
- 230000006399 behavior Effects 0.000 description 19
- 238000010586 diagram Methods 0.000 description 15
- 238000001514 detection method Methods 0.000 description 11
- 238000012549 training Methods 0.000 description 11
- 210000002364 input neuron Anatomy 0.000 description 7
- 238000012360 testing method Methods 0.000 description 7
- 210000004205 output neuron Anatomy 0.000 description 6
- 238000013135 deep learning Methods 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 238000009826 distribution Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000012706 support-vector machine Methods 0.000 description 3
- 238000013145 classification model Methods 0.000 description 2
- 238000003066 decision tree Methods 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000007781 pre-processing Methods 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000003442 weekly effect Effects 0.000 description 2
- 241000473391 Archosargus rhomboidalis Species 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 210000004556 brain Anatomy 0.000 description 1
- 238000013527 convolutional neural network Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000009510 drug design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000010191 image analysis Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003058 natural language processing Methods 0.000 description 1
- 210000000653 nervous system Anatomy 0.000 description 1
- 238000003909 pattern recognition Methods 0.000 description 1
- 238000011176 pooling Methods 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 238000011002 quantification Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 230000032258 transport Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/901—Indexing; Data structures therefor; Storage structures
- G06F16/9024—Graphs; Linked lists
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/906—Clustering; Classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2218/00—Aspects of pattern recognition specially adapted for signal processing
Abstract
異常なネットワークトラフィックを検出するために動的グラフ分析(DGA)を実施するためのシステムおよび方法が提供される。この方法は、複数のデバイスに関連付けられた通信データおよびプロファイルデータを処理して動的グラフを決定すること(510)を含む。この方法は、動的グラフに基づいて、複数のデバイスによって生成されたネットワークトラフィックの時間的挙動をモデル化するための特徴を生成すること(520)を含む。この方法はまた、時間的挙動に基づいて、複数のデバイスからの異常なネットワークトラフィックのソースについての予測結果のリストを定式化すること(550)を含む。
Description
関連出願情報
本出願は、2018年9月19日に出願された米国仮特許出願第62/733,281号、および2019年9月10日に出願された米国特許出願第16/565,746号の優先権を主張し、その全体が参照により本明細書に組み込まれる。
本出願は、2018年9月19日に出願された米国仮特許出願第62/733,281号、および2019年9月10日に出願された米国特許出願第16/565,746号の優先権を主張し、その全体が参照により本明細書に組み込まれる。
本発明は、深層学習に関し、より詳細には、所定の閾値を超えるエンティティの検出のための深層学習を適用することに関する。
関連技術の説明
関連技術の説明
深層学習は、人工ニューラルネットワークに基づく機械学習方法である。深層学習アーキテクチャは、コンピュータビジョン、スピーチ認識、自然言語処理、オーディオ認識、ソーシャルネットワークフィルタリング、機械翻訳、バイオインフォマティクス、ドラッグデザイン、医療画像解析、材料検査およびボードゲームプログラムなどを含む分野に適用することができる。深層学習は、教師あり、半教師あり、または教師なしでも良い。
本発明の一態様によれば、異常なネットワークトラフィックを検出するために動的グラフ分析(DGA)を実施するための方法が提供される。この方法は、複数のデバイスに関連付けられた通信およびプロファイルデータを処理して動的グラフを決定することを含む。この方法は、動的グラフに基づいて、複数のデバイスによって生成されたネットワークトラフィックの時間的挙動をモデル化するための特徴を生成することを含む。この方法はまた、時間的挙動に基づいて、複数のデバイスからの異常なネットワークトラフィックのソースについての予測結果のリストを定式化することを含む。
本発明の別の態様によれば、異常なネットワークトラフィックを検出するために動的グラフ分析(DGA)を実施するためのシステムが提供される。システムは、メモリデバイスに動作可能に結合されたプロセッサデバイスを含む。プロセッサデバイスは、複数のデバイスに関連付けられた通信およびプロファイルデータを処理して、動的グラフを決定する。プロセッサデバイスは、動的グラフに基づいて、複数のデバイスによって生成されたネットワークトラヒックの時間的挙動をモデル化する特徴を生成する。プロセッサデバイスはまた、時間的挙動に基づいて、複数のデバイスからの異常なネットワークトラフィックのソースについての予測結果のリストを定式化する。
これらおよび他の特徴および利点は、添付の図面に関連して読まれるべき、その例示的な実施形態の以下の詳細な説明から明らかになるであろう。
本開示は、以下の図面を参照して、好ましい実施形態の以下の説明において詳細を提供する。
本発明の実施形態によれば、ネットワークトラフィックの時間的挙動を特徴付け、異常の検出を監視するために、時間グラフに基づいて特徴を自動的に生成する動的グラフ分析(DGA)のためのシステムおよび方法が提供される。
一実施形態では、システムは、動的グラフマイニングモデルに基づいて動的グラフ分析エンジン(DGAE)を実装する。DGAEは、複数の特徴(例えば、1500を超える特徴)を生成することによって、時間グラフの重要な挙動をモデル化する。例示的な実施形態では、特徴は、4つのカテゴリにグループ化することができる。(1)静的なワンホップ特徴:このグループは、一連のグラフの各スナップショットにおけるノードの次数ベースの特徴を含む。(2)動的なワンホップ特徴:このグループには、連続するグラフ内のノードの動的特徴が含まれる。(3)静的なマルチホップ特徴:このグループは、一連のグラフの各スナップショット内のノードのパスとコミュニティベースの特徴を含む。(4)動的マルチホップ特徴:このグループは、連続するグラフ内の動的パスおよびコミュニティベースの特徴を含む。システムおよび方法は、非常に豊富な特徴プールを実装することができ、これは、ネットワーク化されたシステムの時間的挙動を測定および定量化するのに有益であり、ロバストな分類モデルを訓練することによって異常を検出するのに有効である。
本明細書に記載する実施形態は、完全にハードウェアであってもよく、完全にソフトウェアであってもよく、または、ハードウェアおよびソフトウェア要素の両方を含むものであってもよい。好ましい実施形態では、本発明は、ファームウェア、常駐ソフトウェア、マイクロコードなどを含むがこれらに限定されないソフトウェアで実施される。
実施形態は、コンピュータまたは任意の命令実行システムによって、またはそれに関連して使用するプログラムコードを提供する、コンピュータ使用可能またはコンピュータ読み取り可能媒体からアクセス可能なコンピュータプログラム製品を含むことができる。コンピュータ使用可能媒体またはコンピュータ読み取り可能媒体は、命令実行システム、装置、またはデバイスによって、またはそれに関連して使用するためのプログラムを格納、通信、伝搬、またはトランスポートする任意の装置を含むことができる。媒体は、磁気、光学、電子、電磁気、赤外線、または半導体システム(または装置またはデバイス)、または伝搬媒体とすることができる。媒体は、半導体または固体ステートメモリ、磁気テープ、リムーバブルコンピュータディスケット、ランダムアクセスメモリ(RAM)、リードオンリーメモリ(ROM)、リジッド磁気ディスクおよび光ディスクなどのコンピュータ読み取り可能な記憶媒体を含むことができる。
各コンピュータプログラムは、本明細書に記載する手順を実行するために、記憶媒体またはデバイスがコンピュータによって読み取られるときに、コンピュータの動作を構成し制御するために、汎用または特殊目的のプログラム可能コンピュータによって読み取り可能な、機械読み取り可能な記憶媒体またはデバイス(例えば、プログラムメモリまたは磁気ディスク)に実体的に記憶することができる。本発明のシステムはまた、コンピュータプログラムで構成された、コンピュータ読み取り可能な記憶媒体で実施されるものと考えることができ、その場合、構成された記憶媒体は、コンピュータを特定の所定の方法で動作させて、本明細書に記載する機能を実行させる。
プログラムコードを記憶および/または実行するのに適したデータ処理システムは、システムバスを介してメモリ要素に直接的または間接的に結合された少なくとも1つのプロセッサを含んでもよい。メモリ要素は、プログラムコードの実際の実行中に採用されるローカルメモリ、バルクストレージ、および実行中にバルクストレージからコードが検索される回数を減らすために少なくとも何らかのプログラムコードの一時記憶を提供するキャッシュメモリを含むことができる。入力/出力またはI/Oデバイス(キーボード、ディスプレイ、ポインティングデバイスなどを含むが、これらに限定されない)は、直接または介在するI/Oコントローラを介してシステムに結合され得る。
介在する専用ネットワークまたは公衆ネットワークを介して、データ処理システムを他のデータ処理システムあるいはリモートプリンタまたはストレージデバイスに結合できるようにするために、ネットワークアダプタをシステムに結合することもできる。モデム、ケーブルモデム、およびイーサネットカードは、現在使用可能なネットワークアダプタのタイプの一例に過ぎない。
次に、同一の数字が同一または類似の要素を表し、最初に図1を参照すると、ニューラルネットワークの一般化された図が示される。
人工ニューラルネットワーク(ANN)は、脳のような生体神経系に刺激される情報処理システムである。ANNの重要な要素は、情報処理システムの構造であり、これは、特定の問題を解決するために並列に動作する多くの高度に相互接続された処理要素(「ニューロン」と呼ばれる)を含む。ANNはさらに、ニューロン間に存在する重みの調整を含む学習を用いて、使用中に訓練される。ANNは、そのような学習プロセスを介して、パターン認識またはデータ分類などの特定のアプリケーションのために構成される。
ANNは、複雑または不正確なデータから意味を導出する能力を示し、パターンを抽出し、人間または他のコンピュータベースのシステムによって検出するには複雑すぎる傾向を検出するために使用することができる。ニューラルネットワークの構造は、一般に、1つまたは複数の「隠れた」ニューロン104に情報を提供する入力ニューロン102を有する。入力ニューロン102と隠れニューロン104との間の接続108は重み付けされ、次に、これらの重み付けされた入力は、複数層間の重み付けされた接続108と共に、隠れニューロン104内の何らかの関数に従って隠れニューロン104によって処理される。隠れニューロン104、ならびに異なる機能を実行するニューロンの任意の数の層が存在し得る。畳み込みニューラルネットワーク、最大出力ネットワーク等のような異なるニューラルネットワーク構造も存在する。最後に、出力ニューロン106のセットは、隠れニューロン104の最後のセットからの重み付けされた入力を受け入れ、処理する。
これは、情報が入力ニューロン102から出力ニューロン106に伝播する「フィードフォワード」計算を表す。フィードフォワード計算が完了すると、出力は訓練データから利用可能な所望の出力と比較される。本明細書の例示的な実施形態では、トレーニングデータは、異常なネットワークトラフィックを含むネットワークトラフィックを含むことができる。訓練データに対する誤差は、「フィードバック」計算で処理され、隠れニューロン104および入力ニューロン102は、出力ニューロン106から後方に伝播する誤差に関する情報を受け取る。一旦、逆方向エラー伝播が完了すると、重み付けされた接続108が受信された誤差を考慮するように更新されて、重み付け更新が実行される。これは、単に1つの種類のANNを表す。
図2を参照すると、人工ニューラルネットワーク(ANN)アーキテクチャ200が示されている。本アーキテクチャは純粋に例示的なものであり、代わりに他のアーキテクチャまたはタイプのニューラルネットワークを使用することができることを理解されたい。本明細書で説明されるANN実施形態は、高レベルの一般性でニューラルネットワーク計算の一般原理を示すことを意図して含まれており、いかなる形でも限定するものと解釈されるべきではない。
さらに、以下に記載されるニューロンの層およびそれらを接続する重みは、一般的な様式で記載され、任意の適切な程度またはタイプの相互接続性を有する任意のタイプのニューラルネットワーク層によって置き換えられ得る。例えば、層は、畳み込み層、プーリング層、完全に接続された層、ストップマックス層、または任意の他の適切なタイプのニューラルネットワーク層を含むことができる。さらに、必要に応じて層を追加または除去することができ、相互接続のより複雑な形態のために重りを省略することができる。
フィードフォワード動作中、1組の入力ニューロン202はそれぞれ、重み204のそれぞれの行に並列に入力信号を供給する。以下に説明するハードウェアの実施形態では、重み204は、重み出力が、重み204からそれぞれの隠れニューロン206に渡されて、隠れニューロン206への重み付けされた入力を表すように、それぞれの設定可能な値を有する。ソフトウェアの実施形態では、重み204は、関連する信号に対して乗算される係数値として単純に表されてもよい。各重みからの信号は列ごとに加算され、隠れニューロン206に流れる。
隠れニューロン206は、重み204の配列からの信号を使用して、何らかの計算を実行する。次に、隠れニューロン206は、それ自体の信号を別の重み204の配列に出力する。この配列は、同じ方法で、重み204の列が、それぞれの隠れニューロン206から信号を受け取り、行方向に加算し、出力ニューロン208に供給される重み付けされた信号出力を生成する。
配列および隠れニューロン206の追加の層を介在させることによって、任意の数のこれらの段階を実施できることを理解されたい。また、いくつかのニューロンは、配列に一定の出力を提供する定常ニューロン209であってもよいことに注意すべきである。定常ニューロン209は、入力ニューロン202および/または隠れニューロン206の間に存在することができ、フィードフォワード動作中にのみ使用される。
逆伝搬の間、出力ニューロン208は、重み204の配列を横切って戻る信号を提供する。出力層は、生成されたネットワーク応答を訓練データと比較し、誤差を計算する。誤差信号を誤差値に比例させることができる。この実施例では、重み204の行は、それぞれの出力ニューロン208から並列に信号を受け取り、列ごとに加算して隠れニューロン206に入力を提供する出力を生成する。隠れニューロン206は、重み付けされたフィードバック信号をそのフィードフォワード計算の導関数と結合し、フィードバック信号を重み204のそれぞれの列に出力する前に誤差値を記憶する。この逆伝搬は、すべての隠れニューロン206および入力ニューロン202が誤差値を記憶するまで、ネットワーク200全体を通って進行する。
重み更新中、記憶された誤差値は、重み204の設定可能な値を更新するために使用される。このようにして、重み204は、ニューラルネットワーク200をその工程における誤差に適応させるように訓練され得る。3つの動作モード、フィードフォワード、逆伝搬、および重み更新は、互いに重複しないことに留意されたい。
ANN200は、異常なネットワークトラフィックを検出するためにDGAを実装するために適用することができる。ANN 200は、以下で図3およびシステム300に関して説明するように、異常なネットワークトラフィックの時間的挙動を特徴付けるための特徴を抽出するためにDGAを実行することができる。次いで、抽出された特徴を使用して、異常なネットワークトラフィックを検出することができる。
ここで図3を参照すると、例示的な実施形態による、(正常および)異常なネットワークトラフィックの時間的挙動を特徴付けるための特徴を抽出するためにDGAを実装するためのシステム300を示すブロック図が示されている。
システム300は、異常なネットワークトラフィックを検出する(例えば、エンタープライズネットワーク内にて)。システム300は、ネットワーク性能の正確な推定を可能にし、それによって、エンタープライズネットワークの効率およびおそらく成功を増加させる。場合によっては、エンタープライズネットワークは、セキュリティシステムによって定期的に(例えば、毎分)監視される何百万ものネットワーク接続を含み得る。システム300は、システム管理者が、ネットワーク接続上で収集されたトラフィックデータを効果的に分析し、ネットワークソースの異常なユーティリティをタイムリーに報告することを可能にする(これにより、ネットワークの性能の品質を向上させる)。システム300は、ネットワークトラフィック上の処理データの特徴を効率的に捕捉し、ネットワーク化されたシステムの性能評価を可能にするトラフィックモデルを可能にする。システム300は、異常なネットワークトラフィックデータを特徴付け、システムログからの履歴ネットワークトラフィックデータに基づいて異常な接続および疑わしい接続の監視された検出を可能にする時間グラフベースの処理を実施する。一般に、ネットワークの履歴記録が与えられると、システム300は、ノードが近い将来(例えば、1週間)に異常であり得るかどうかを予測する。
図3は、システム300の構造を示す。システム300は、動的グラフ分析エンジン(DGAE)(例えば、DGAを実行するためのコンピューティングエンジンまたはデバイス)と呼ぶことができ、入力プリプロセッサ305、動的グラフ特徴生成器320、および異常デバイス検出器340を含むことができる。
システム300は、動的であり得る(例えば、絶えず変化する、基礎となる情報の変化に反応するなど)グラフによって、通信のフローをモデル化する。例えば、グラフにおいて、各ノードは、サーバ、例えば、デバイスとすることができ、エッジは、その終端のノードの1つから別のノードへ流れる通信を表すことができる。エッジは、その通信におけるデータ量を示す重みに関連付けることができる。例示的なグラフは、時々進展(例えば、変化)し、一連の動的グラフ315を形成することができる。システム300は、異常なネットワークトラフィックの検出のためにグラフデータを使用する。システム300は、デバイスを特徴付けるために(例えば、有効である)時間グラフ特徴を設計する。
入力プリプロセッサ305は、(例えば、データベースからの)履歴記録の入力データを処理する(前処理を実行する)。入力プリプロセッサ305は、不完全で重複するデータを除去することができる(そして、他の場合には、分析のためにデータを準備する(例えば、「クリーン」)。入力プリプロセッサ305は、動的グラフ315を生成するすべての有効なデータを抽出するために、識別子(ID)マッチングを実装する。グラフ315の各エッジは、1つの通信ノードから別の通信ノードへの相関を符号化する。入力プリプロセッサ305は、異なる(時間的)解像度、例えば、時間単位、日単位、週単位、月単位グラフおよび年単位グラフでグラフを生成することができる。入力プリプロセッサ305はまた、データの分析のために、ノードの数、エッジの数、接続された構成要素の数など、グラフ315に関する統計を生成することができる。
事前処理の後、各グラフ315はGi(Vi,Ei)と表され、ここでGiはi時点におけるグラフであり、ViはGiにおけるノードの集合を表し、EiはGiにおけるエッジの集合を表す。動的グラフ315は、一連のグラフG1、…、GTによって表され、ここで、Tは、データ内の時間点の総数である。
動的グラフ特徴生成器320は、デバイスおよびネットワークトラフィックの時間的挙動を特徴付けるために、複数の特徴(例えば、1から1500を超える特徴)を生成することができる。一例によれば、動的グラフ特徴生成器320は、4つの主要な特徴グループを実装することができ、それらは、(1)静的ワンホップ特徴:このグループは、一連のグラフの各スナップショット内のノードの次数ベースの特徴を含む、(2)動的ワンホップ特徴:このグループは、連続するグラフ内のノードの動的特徴を含む、(3)静的マルチホップ特徴:このグループは、一連のグラフの各スナップショット内のノードのパスおよびコミュニティベースの特徴を含む、および(4)動的マルチホップ特徴:このグループは、連続するグラフ内の動的パスおよびコミュニティベースの特徴を含む。特徴のグループは、それぞれ、図4〜図7をそれぞれ参照して以下に説明するように、静的ワンホップ特徴(例えば、モジュール、デバイス、または要素)322、動的ワンホップ特徴324、静的マルチホップ特徴326、および動的マルチホップ特徴328によって実装することができる。
異常デバイス検出器340は、データを受信し(例えば、試験し)、静的ワンホップ特徴322、動的ワンホップ特徴324、静的マルチホップ特徴326、および動的マルチホップ特徴328によって指定/指示されるような特徴(例えば、4つのグループの特徴)を抽出する。異常デバイス検出器340は、例えば、図8に関して以下に説明するように、異常ネットワークトラフィックを検出するために特徴を使用してDGAを適用する。
図4は、例示的な実施形態による、静的ワンホップ特徴322を示すブロック図である。
図4に示すように、静的ワンホップ特徴322は、次数ベース特徴410および集約された特徴415を含む。次数ベースの特徴410および集約された特徴415は、ネットワークトラフィックの時間的挙動の測定および定量化を可能にし、ロバストな分類モデルを訓練することによって異常なデバイスを検出するのに有効である。
各ノード(例えば、デバイスまたはサーバ)について、静的ワンホップ特徴322は、動的グラフの各スナップショットにおいて次数ベース特徴410を自動的に生成することができ、これは、イン次数、アウト次数、全次数、次数差分、重み付けされたイン次数、重み付けされたアウト次数、重み付けされた全次数、および重み付けされた次数差分の特徴を含むことができる。
イン次数(特徴)は、各ノードに関連付けられたインゴーイングのエッジの数を指す。アウト次数(特徴)は、各ノードに関連するアウトゴーイングのエッジの数を指す。全次数(特徴)は、イン次数とアウト次数との和を指す。次数差分(特徴)は、アウト次数とイン次数との差を指す。重み付けされたイン次数(特徴)は、各ノードに関連付けられたインゴーイングのエッジ上の重みの合計を指す。重み付けされたアウト次数(特徴)は、各ノードに関連するアウトゴーイングのエッジ上の重みの合計を指す。重み付けされた全次数(特徴)は、重み付けされたイン次数と重み付けされたアウト次数との和を指す。重み付けされた次数差分(特徴)は、重み付けされたアウト次数と重み付けされたイン次数との差分を指す。
各ノードについて、静的ワンホップ特徴322は、毎年の月ごとのスナップショットの各次数ベース特徴410の最大値を含むことができる集約された特徴415を自動的に生成することができる。集約された特徴415は、毎年の月ごとのスナップショットの各次数ベース特徴410の最小値を含むことができる。集約された特徴415は、毎年のごとのスナップショットの各次数ベース特徴410の平均値を含むことができる。集約された特徴415は、毎年の月ごとのスナップショットの各次数ベース特徴410の分散を含むことができる。集約された特徴415は、毎年の月ごとのスナップショットの各次数ベース特徴410の合計を含むことができる。
図5は、例示的な実施形態による動的ワンホップ特徴324を示すブロック図である。
各ノードについて、動的ワンホップ特徴324は、(例えば、自動的に)一連のグラフ内に動的次数特徴を生成することができ、これは、年ベースの比率特徴420および月ベースの比率特徴425として要約することができる。
年ベースの比率特徴420は、次年度を現在の年度で除算する(例えば、イン次数についての次年度/現在の年度)ことによって決定されるイン次数比率を含む。また、年ベースの比率特徴420は、次年度を現在の年度で除算する(例えば、アウト次数についての次年度/現在の年度)ことによって決定されるアウト次数比率を含む。年ベースの比率特徴420は、次年度を現在の年度で除算する(例えば、全次数についての次年度/現在の年度)ことによって決定される全次数比率を含む。次年度を現在の年度で除算する(例えば、次数差分についての次年度/現在の年度)ことにより、次数差分比率が決定される。年ベースの比率特徴420は、次年度を現在の年度で除算する(例えば、重み付けされたイン次数についての次年度/現在の年度)ことによって決定される重み付けされたイン次数比率を含む。年ベースの比率特徴420は、重み付けされたアウト次数比率:次年度/現在の年度を含む。年ベースの比率特徴420は、次年度を現在の年度で除算する(例えば、重み付けされた全次数についての次年度/現在の年度)ことによって決定される重み付けされた全次数比率をさらに含む。重み付けされた次数差分比率は、次年度を現在の年度で除算する(例えば、重み付けされた次数差分についての次年度/現在の年度)ことによって決定される。
月ベースの比率特徴425は、次の月を現在の月で除算する(例えば、イン次数についての次の月/現在の月)ことによって決定されるイン次数比率を含む。月ベースの比率特徴425は、次の月を現在の月で除算する(例えば、アウト次数についての次の月/現在の月)ことによって決定されるアウト次数比率を含む。月ベースの比率特徴425は、次の月を現在の月で除算する(例えば、全次数比率:次の月/現在の月)ことによって決定される全次数比率を含む。月ベースの比率特徴425は、次の月を現在の月で除算する(例えば、次数差分比率:次の月/現在の月)ことによって決定される次数差分比率を含む。月ベースの比率特徴425は、次の月を現在の月で除算する(例えば、重み付けされたイン次数比率:次の月/現在の月)ことによって決定される重み付けされたイン次数比率を含む。月ベースの比率特徴425は、次の月を現在の月で除算する(例えば、重み付けされたアウト次数比率:次の月/現在の月)ことによって決定される重み付けされたアウト次数比率を含む。月ベースの比率特徴425は、次の月を現在の月で除算する(例えば、重み付けされた全次数比率:次の月/現在の月)ことによって決定される重み付けされた全次数比率を含む。月ベースの比率特徴425は、次の月を現在の月で除算する(例えば、重み付けされた次数差分比率:次の月/現在の月)ことによって決定される重み付けされた次数差分比率を含む。
なお、上記の特徴は、例えば半年ごとや四半期ごとなど、異なる期間に生成することもできる。
図6は、例示的な実施形態による、静的マルチホップ特徴326を示すブロック図である。
各ノード、例えば、デバイスについて、静的マルチホップ特徴326は、動的グラフの各スナップショットにおいて、マルチホップおよびコミュニティベースの特徴430を(例えば、自動的に)生成することができ、これらは以下のように要約される。
Ego?netサイズは、各ノードのego?net(egoネットワーク)におけるエッジの数を示す。Egoネットワークは、フォーカルノード(「ego」)と、egoが直接接続されているノード(「alters」など)に加えて、変更の中にタイがあれば、それで構成される。Egoネットワークにおける各変更は、それ自体のEgoネットワークを有し、すべてのEgoネットワークは、(例えば、人間の)ソーシャルネットワークを形成するように連動する。重み付けされたego−netサイズは、各ノードのego−netにおけるエッジ加重の合計である。クラスタリング係数は、各ノードのego?net内の三角形のパーセンテージを示す。ページランクは、ノードがどのくらい重要であるかの推定値を決定するために、ノードへのパスの数および品質をカウントする。ここで、各「パス」は、複数のリンクで構成される。2つのノードが1つのリンクで接続されている場合、それらの間に1(ワン)ホップのパスがある。ノード1がノード2と接続し、ノード2がノード3と接続している場合、ノード1とノード3とは2ホップのパスで接続される。ページランク?2は、各ノードの2ホップページランクスコアを示す。ページランク?3は、各ノードの3ホップページランクスコアを示す。ページランク−収束は各ノードの収束ページランクスコアを示す。
静的マルチホップ特徴326は、(例えば、自動的に)集約された特徴435を生成することができる。これらは、毎年の月ごとのスナップショットのマルチホップおよびコミュニティベースの特徴430の各々の最大値を含む。集約された特徴435はまた、毎年の月ごとのスナップショットのマルチホップおよびコミュニティベースの特徴430のそれぞれの最小値を含む。集約された特徴435は、毎年の月ごとのスナップショットのマルチホップおよびコミュニティベースの特徴430のそれぞれの平均値を含む。集約された特徴435はまた、毎年の月ごとのスナップショットのマルチホップおよびコミュニティベースの特徴430のそれぞれの分散を含む。集約された特徴435はまた、毎年の月ごとのスナップショットのマルチホップおよびコミュニティベースの特徴430のそれぞれの合計を含む。
図7は、例示的な実施形態による、動的マルチホップ特徴328を示すブロック図である。
各ノード、例えば、デバイスについて、動的マルチホップ特徴328は、一連のグラフにおいて動的マルチホップおよびコミュニティベースの特徴を(例えば、自動的に)生成することができる。これらは、年ベースの比率特徴440および月ベースの比率特徴445を含み、これらは以下のように要約される。
年ベースの比率特徴440は、ego?netサイズ比率であるego?netサイズ比率:次年度/現在の年度(例えば、現在の年度に対する次年度のego?netサイズ)などの特徴を含む。重み付けされたego?net比率は、次年度の重み付けされたego/現在の年度の重み付けされたegoの比率(例えば、現在の年度に対する次年度の重み付けされたego?net)である。クラスタリング係数比率は、次年度/現在の年度のクラスタリング係数の比率である。ページランク−2比率は、次年度のページランク−2/現在の年度のページランク−2の比率である。ページランク−3比率は、次年度/現在の年度のページランク−3の比率である。ページランク収束比率は、次年度/現在の年度のページランク−収束の比率である。
月ベースの比率特徴は、翌月/当月のego?net比率であるego?netサイズ比率などの特徴を含む。重み付けされたego?net比率は、翌月/当月の重み付けされたegoの比率である。クラスタリング係数比率は、翌月/当月のクラスタリング係数の比率である。ページランク−2比率は、翌月/当月のページランク−2の比率である。ページランク−3比率は、翌月/当月のページランク−3の比率である。ページランク−収束比率は、翌月/当月のページランク−収束の比率である。
上記の年ベースの比率特徴440および月ベースの比率特徴445は、半年ごとおよび四半期ごとなど、異なる時間増分で生成することもできることに留意されたい。
図8は、例示的な実施形態による、異常デバイス検出器(モジュール、デバイス、または要素など)340を示すブロック図である。
図8に示すように、異常デバイス検出器340は、分類要素510と試験要素520とを含む。
分類要素510は、訓練データの特徴(例えば、図4〜7に関して本明細書で上述したように、4つのグループ)を受信し、各データインスタンスについてこれらの特徴を連結する。分類構成要素510は、次に、モデル訓練のために、訓練データを、意思決定ツリー、サポートベクトルマシン(SVM)および/またはグレーデント昇格分類器のような分類器(例えば、システム、ニューラルネットワークまたはデバイスによって実施される分類処理)へ供給する。分類要素510は、試験データに基づいて異常なネットワークトラフィックを検出するために使用することができる訓練されたモデルを出力する。
試験要素520は、試験データを受信し、例えば、静的ワンホップ特徴322、動的ワンホップ特徴324、静的マルチホップ特徴326、および動的マルチホップ特徴328にて/によって指定されるような(例えば、4つのグループの)特徴を抽出する。次いで、試験要素520は、場合によっては、これらの特徴を連結し、異常なネットワークトラフィック検出のために分類構成要素510から訓練された(例えば、十分に訓練された)モデルにデータを供給する。特徴の組み合わせおよび特徴の相互作用を使用して、異常トラフィックを検出することができる。試験要素520は、予測結果のリストを出力することができ、一例によれば、値1は、デバイスが異常であることを示し、値0は、ノードが正常であることを示す。いくつかの実施形態では、異常の閾値は、ノードが、異常な挙動の変化する標準および/または確率(例えば、以前のより高い閾値よりも低い確率)で識別されるように調整され得る。
再び図3を参照すると、システム300は、静的ワンホップ特徴322(図4)、動的ワンホップ特徴324(図5)、静的マルチホップ特徴326(図6)、および動的マルチホップ特徴328(図7)に関して本明細書で上述した方法および特徴に基づいて、異常ネットワークトラフィック検出を実施することができる。システム300は、異常なネットワークトラフィック検出のタスクの複雑さを低減することができる。
システム300は、異常なネットワークトラフィックを検出するための動的グラフに基づいて豊富な特徴を自動的に生成することができる。システム300は、グラフデータのダイナミクスを管理(競合、勘定等)する。グラフは、時々変化することができ、システム300は、時間ベース、日ベース、週ベース、月ベース、または年ベースなどの定期的なベースで変化を決定することができる。システム300は、通信(またはシステムログ)の変化を分析して、これらの変化が、ネットワークトラフィックの異常が所定の目標を上回る(または上回らない)ことを反映するかどうかを判定する。システム300は、効果的な検出のために動的変化を定量化する。
システム300はまた、不均衡なデータ分布を効果的に管理(競合、勘定等)する。例示的な実施形態によれば、異常なデバイスの数は、他のデバイスの数よりもはるかに少ない(例えば、異常な挙動の最小閾値を達成しないデバイスの数によって著しく上回る)。データにおいて、分布は、共通のグループ内の異常なデバイス(またはネットワークトラフィックのソース)の小さなパーセンテージ(例えば、約2%、5%、10%など)で高度にバイアスされ得、したがって、システム300は、不均衡な分類として異常なネットワークトラフィック検出を実装する。システム300は、大きなグループ(例えば、大きなグラフ)の中からデバイスの小さな部分を正確に見つけることができる。
システム300はまた、不完全なデータを効果的に管理(競合、勘定等)する。したがって、システム300は、比較的小さいものを含むネットワークトラフィックソースからの通信についての部分的なビューに基づいて、異常なネットワークトラフィック検出を実施することができる。
システム300はまた、大きな(例えば、大きい)データサイズを効率的に管理(競合、勘定等)する。実施形態例では、グラフは、大きな複数(例えば、数百万)のノードおよび(例えば、数十億)のエッジを有することができる。さらに、発展は、経時的に変化する複数(例えば、数十、数百等)のそのようなグラフを生成することができる。システム300は、例えば、数万ノード(分単位)のような大きなデータセットについて、特徴を導出し、検出を効率的に実行することができる。
システム300はまた、大きな候補プールを効果的に管理(競合、勘定等)する。システム300は、大きな候補プールを形成する特定のタイプの異常なネットワークトラフィックを見つけることに向けることができる。候補プールは、多くの(例えば、数百万の)デバイスを含むことができ、その多く(例えば、大部分)は、不完全なデータ問題を有する。システム300は、大きな候補プールに対して許容可能な程度の確実性で正確に検出を実行することができる。
システム300はまた、結果の効果的な解釈を可能にする。結果は、システム管理者が効果的に結果を分析できる形式で表示できる。結果は、分類のための基準(例えば、最小予想異常挙動)およびエンドユーザに容易に理解可能な確実性の程度と共に提示することができる。
システム300は、個々の通信では利用できないが、デバイスからの(例えば、集約された)ネットワークトラフィックで利用可能な隠れた時間的挙動を捕捉することができる。システム300は、グラフ特徴の非常に豊富なプールを提供し、したがって、プールから最も有用なものを自動的に選択することができるロバストな分類方法を著しく容易にすることができる。システム300は、不均衡なデータ分布に対処することができるロバストな分類方法を容易にする特徴を提供する。
図9は、本発明による、異常なネットワークトラフィックを検出するために動的グラフ分析(DGA)を実施する方法500を示す流れ図である。
ブロック510において、システム300は、動的グラフを決定するために、複数のデバイスに関連付けられた通信およびプロファイルデータを受信し、処理する。システム300は、データベース内の履歴記録を含むデータを受信することができる。システム300は、不完全かつ重複したデータを除去することができる。システム300は、動的グラフを生成するためのすべての有効なデータを抽出するために、idマッチングを実行することができる。動的グラフの各エッジは、1つの通信ノードから別の通信ノードへの相関を符号化する。
ブロック520において、システム300は、動的グラフに基づいて異常ネットワークトラフィックの時間的挙動を特徴付ける(例えば、モデル化する)ための時間的特徴を生成する。システム300は、異常なネットワークトラフィックの主要な時間的挙動をモデル化するために、動的グラフデータから特徴を生成することができる。例えば、システム300は、静的ワンホップ特徴、動的ワンホップ特徴、静的マルチホップ特徴、および動的マルチホップ特徴を含む特徴のグループを生成することができる。この実施例では、グラフ特徴は、異常なネットワークトラフィックを特徴付けるために豊富な情報を相補的に提供する4つの主要なグループに属する。特徴は、個々の通信では使用できないものの、デバイスからのネットワークトラフィックで使用可能な隠れた特徴になり得る。
ブロック530において、システム300は、特徴を連結し、デバイス(またはネットワークトラフィックのソース)を、それらの重み付けされた次数に基づいて異なるクラスにグループ化することができる。システム300は、場合によっては、より高い次数範囲を有するクラスに対してより正確な結果を提供することができる。一般的に、高い次数範囲内でのデバイスは、よりアクティブであり、十分なデータおよびより少ない欠落情報を有し、したがって、システム300は、低い次数範囲内でのデバイスよりも、これらのデバイス上でより良好な予測を行うことができる。システム300は、それによって、データ内のノイズを低減し、結果の堅牢性を向上させることができる。デバイスを異なる次数の範囲にグループ化することによって、システム300は、異なる信頼レベルを有する結果を提供することができる。高い次数範囲のグループに対しては、システム300は、決定するのに十分な情報があるので、より正確な結果を提供することができる。低い次数範囲のグループについては、システム300は、このグループ内の情報がより雑音の多い情報および欠落情報を含むことを示すより低い信頼度で結果を報告することができる。したがって、システム300は、より高い次数の範囲からより低い次数の範囲でノイズを低減することができる。いくつかの実施形態では、3つ以上のグループが存在し得、グループ化は、異なる次数の範囲に基づく。
ブロック540では、システム300は、モデル訓練のために訓練データを、意思決定ツリー、SVM、グレードアップ分類などの分類器へ供給する。システム300は、異常なネットワークトラフィックを検出することができるモデルを決定(および訓練)する。
ブロック550で、システム300は、複数のデバイスからの異常なネットワークトラフィックのソースを含むことができる予測結果のリストを公式化し、出力する。例えば、例示的な実施形態では、値1は、ノードが異常であることを示し、値0は、ノードが正常であることを示す。例示的な実施形態では、結果は、異なる帯域(例えば、高度に異常であるが、正常であるが、小さな異常な挙動の兆候を示す)にさらに分類することができる。システム300は、結果の良好な解釈を提供することができ、効率的な検出を可能にすることもできる。
上記は、あらゆる点において例示的かつ例示的であると理解されるべきであり、限定的ではなく、本明細書に開示される本発明の範囲は、詳細な説明から決定されるべきではなく、むしろ特許法によって許容される全範囲に従って解釈されるような特許請求の範囲から決定されるべきである。本明細書に示され、説明される実施形態は、本発明の例示にすぎず、当業者は、本発明の範囲および精神から逸脱することなく、様々な修正を実施することができることを理解されたい。当業者は、本発明の範囲および精神から逸脱することなく、様々な他の特徴の組み合わせを実施することができる。このように、本発明の態様を、特許法によって要求される詳細および特殊性と共に説明してきたが、特許状によって保護されることが請求され、望まれるものは、添付の特許請求の範囲に記載されている。
Claims (20)
- 異常なネットワークトラフィックを検出するために動的グラフ分析(DGA)を実施する方法であって、
複数のデバイスに関連付けられた通信およびプロファイルデータを処理して少なくとも1つの動的グラフを決定すること(510)と、
プロセッサ装置によって、前記少なくとも1つの動的グラフに基づいて、前記複数のデバイスによって生成されたネットワークトラフィックの時間的挙動をモデル化するための少なくとも1つの特徴を生成すること(520)と、
前記時間的挙動に基づいて、前記複数のデバイスからの異常なネットワークトラフィックのソースについての予測結果のリストを公式化すること(550)とを含む、方法。 - 前記少なくとも1つの特徴は、静的ワンホップ特徴と、動的ワンホップ特徴と、静的マルチホップ特徴と、動的マルチホップ特徴とを含むグループから選択される複数の特徴を含む、請求項1に記載の方法。
- 前記少なくとも1つの特徴は複数の特徴を含み、さらに、
前記複数の特徴を連結することを含む、請求項1に記載の方法。 - 前記静的ワンホップ特徴は、さらに、
次数ベースの特徴と、重み付けされた次数ベースの特徴と、集約された特徴との少なくとも1つを含む、請求項2に記載の方法。 - 前記静的ワンホップ特徴は、さらに、
年ベースの比率特徴と月ベースの比率特徴との少なくとも1つを含む、請求項4に記載の方法。 - 前記動的ワンホップ特徴は、さらに、
ego−netベースの特徴と、クラスタリング特徴と、ページランクベースの特徴と、集約された特徴とのうちの少なくとも1つを含む、請求項2に記載の方法。 - 前記動的ワンホップ特徴は、さらに、
次数ベースの特徴と、重み付けされた次数ベースの特徴と、集約された特徴とのうちの少なくとも1つを含む、請求項6に記載の方法。 - 前記静的マルチホップ特徴は、さらに、
少なくとも1つの次数ベースの特徴と、少なくとも1つの重み付けされた次数ベースの特徴と、少なくとも1つの集約された特徴とのうちの少なくとも1つを含む、請求項2に記載の方法。 - 前記少なくとも1つの次数ベースの特徴は、さらに、
各年の月ごとのスナップショットの少なくとも1つの特徴の最大値と、各年の月ごとのスナップショットの少なくとも1つの特徴の最小値と、各年の月ごとのスナップショットの少なくとも1つの特徴の平均値と、各年の月ごとのスナップショットの少なくとも1つの特徴の分散と、各年の月ごとのスナップショットの少なくとも1つの特徴の合計値とのうちの少なくとも1つを含む、請求項8に記載の方法。 - 前記動的マルチホップ特徴は、さらに、
ego−netベースの特徴と、クラスタリング特徴と、ページランクベースの特徴とのうちの少なくとも1つを含む、請求項2に記載の方法。 - 前記少なくとも1つの特徴に基づいて前記予測結果のリストを出力することは、さらに、
前記少なくとも1つの特徴に基づいて訓練されたモデルを用いて少なくとも1つの異常デバイスを検出することを含む、請求項1に記載の方法。 - 異常なネットワークトラフィックを検出するために動的グラフ分析(DGA)を実行するためのコンピュータシステムであって、
メモリデバイスに動作可能に結合されたプロセッサデバイスを有し、前記プロセッサデバイスは、
複数のデバイスに関連付けられた通信およびプロファイルデータを処理して少なくとも1つの動的グラフを決定し(510)、
前記少なくとも1つの動的グラフに基づいて、前記複数のデバイスによって生成されたネットワークトラフィックの時間的挙動をモデル化するための少なくとも1つの特徴を生成し(520)、
前記時間的挙動に基づいて、前記複数のデバイスからの異常なネットワークトラフィックのソースについての予測結果のリストを公式化する(550)ように構成されるコンピュータシステム。 - 前記少なくとも1つの特徴は、静的ワンホップ特徴と、動的ワンホップ特徴と、静的マルチホップ特徴と、動的マルチホップ特徴とを含むグループから選択された複数の特徴を含む、請求項12に記載のシステム。
- 前記少なくとも1つの特徴は、複数の特徴を含み、前記プロセッサデバイスは、さらに、
前記複数の特徴を連結するように構成される、請求項13に記載のシステム。 - 前記静的ワンホップ特徴は、さらに、
次数ベースの特徴と、重み付けされた次数ベースの特徴と、集約された特徴とのうちの少なくとも1つを備える、請求項13に記載のシステム。 - 前記静的ワンホップ特徴は、さらに、
年ベースの比率特徴と月ベースの比率特徴との少なくとも1つを含む、請求項15に記載のシステム。 - 前記動的ワンホップ特徴は、さらに、
ego−netベースの特徴と、クラスタリング特徴と、ページランクベースの特徴と、集約された特徴とのうちの少なくとも1つを含む、請求項13に記載のシステム。 - 前記動的ワンホップ特徴は、さらに、
次数ベースの特徴と、重み付けされた次数ベースの特徴と、集約された特徴とのうちの少なくとも1つを含む、請求項17に記載のシステム。 - 前記少なくとも1つの特徴に基づいて前記予測結果のリストを出力するとき、前記プロセッサデバイスは、さらに、
前記少なくとも1つの特徴に基づいて、訓練されたモデルを使用して、少なくとも1つの異常デバイスを検出するように構成される、請求項12に記載のシステム。 - 異常なネットワークトラフィックを検出するために動的グラフ分析(DGA)を実装するためのコンピュータプログラム製品であって、前記コンピュータプログラム製品は、非一時的コンピュータ可読記憶媒体を備え、該コンピュータプログラム製品には、プログラム命令が具現化されており、コンピュータデバイスによって実行可能なプログラム命令が、
複数のデバイスに関連付けられた通信およびプロファイルデータを処理して少なくとも1つの動的グラフを決定すること(510)と、
前記コンピュータデバイスによって、前記少なくとも1つの動的グラフに基づいて、前記複数のデバイスによって生成されたネットワークトラフィックの時間的挙動をモデル化するための少なくとも1つの特徴を生成すること(520)と、
前記時間的挙動に基づいて、前記複数のデバイスからの異常なネットワークトラフィックのソースについての予測結果のリストを公式化すること(550)とを含む方法を実行させるために、コンピュータデバイスによって実行可能なコンピュータプログラム製品。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201862733281P | 2018-09-19 | 2018-09-19 | |
| US62/733,281 | 2018-09-19 | ||
| US16/565,746 US11496493B2 (en) | 2018-09-19 | 2019-09-10 | Dynamic transaction graph analysis |
| US16/565,746 | 2019-09-10 | ||
| PCT/US2019/050974 WO2020060854A1 (en) | 2018-09-19 | 2019-09-13 | Dynamic graph analysis |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2021529376A true JP2021529376A (ja) | 2021-10-28 |
Family
ID=69773470
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020570870A Pending JP2021529376A (ja) | 2018-09-19 | 2019-09-13 | 動的グラフ分析 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11496493B2 (ja) |
| JP (1) | JP2021529376A (ja) |
| WO (1) | WO2020060854A1 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20220014086A (ko) * | 2020-07-28 | 2022-02-04 | 한국전자통신연구원 | 지능화된 인프라 운용 관리 방법 및 장치 |
| CN112270403B (zh) * | 2020-11-10 | 2022-03-29 | 北京百度网讯科技有限公司 | 构建深度学习的网络模型的方法、装置、设备和存储介质 |
| GB2602967A (en) * | 2021-01-19 | 2022-07-27 | British Telecomm | Anomalous network behaviour identification |
| US20220229903A1 (en) * | 2021-01-21 | 2022-07-21 | Intuit Inc. | Feature extraction and time series anomaly detection over dynamic graphs |
| CN114120652A (zh) * | 2021-12-21 | 2022-03-01 | 重庆邮电大学 | 一种基于动态图神经网络的交通流量预测方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017058833A (ja) * | 2015-09-15 | 2017-03-23 | キヤノン株式会社 | オブジェクト識別装置、オブジェクト識別方法及びプログラム |
| US20180152468A1 (en) * | 2015-05-28 | 2018-05-31 | Hewlett Packard Enterprise Development Lp | Processing network data using a graph data structure |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8805839B2 (en) | 2010-04-07 | 2014-08-12 | Microsoft Corporation | Analysis of computer network activity by successively removing accepted types of access events |
| US9202052B1 (en) * | 2013-06-21 | 2015-12-01 | Emc Corporation | Dynamic graph anomaly detection framework and scalable system architecture |
| US10013782B2 (en) * | 2015-10-23 | 2018-07-03 | International Business Machines Corporation | Dynamic interaction graphs with probabilistic edge decay |
| KR101771352B1 (ko) * | 2016-03-30 | 2017-08-24 | 경희대학교 산학협력단 | 동적 환경에서의 그래프 요약 방법 및 장치 |
| EP3291120B1 (en) * | 2016-09-06 | 2021-04-21 | Accenture Global Solutions Limited | Graph database analysis for network anomaly detection systems |
-
2019
- 2019-09-10 US US16/565,746 patent/US11496493B2/en active Active
- 2019-09-13 JP JP2020570870A patent/JP2021529376A/ja active Pending
- 2019-09-13 WO PCT/US2019/050974 patent/WO2020060854A1/en active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180152468A1 (en) * | 2015-05-28 | 2018-05-31 | Hewlett Packard Enterprise Development Lp | Processing network data using a graph data structure |
| JP2017058833A (ja) * | 2015-09-15 | 2017-03-23 | キヤノン株式会社 | オブジェクト識別装置、オブジェクト識別方法及びプログラム |
Non-Patent Citations (4)
| Title |
|---|
| GUANHUA YAN, ET AL.: ""Sim-Watchdog: Leveraging Temporal Similarity for Anomaly Detection in Dynamic Graphs"", PROCEEDINGS OF THE 2014 IEEE 34TH INTERNATIONAL CONFERENCE ON DISTRIBUTED COMPUTING SYSTEMS, JPN6022007410, 3 July 2014 (2014-07-03), pages 154 - 165, ISSN: 0004922515 * |
| JAMES P. FAIRBANKS, ET AL.: ""Behavioral clusters in dynamic graphs"", PARALLEL COMPUTING, vol. 47, JPN6022007409, 11 March 2015 (2015-03-11), pages 38 - 50, ISSN: 0004922516 * |
| LEMAN AKOGLU, ET AL.: ""OddBall: Spotting Anomalies in Weighted Graphs"", LECTURE NOTES IN COMPUTER SCIENCE, vol. 6119, JPN6022007407, 2010, pages 1 - 12, ISSN: 0004922517 * |
| MARIOS ILIOFOTOU, ET AL.: ""Exploiting Dynamicity in Graph-based Traffic Analysis: Techniques and Applications"", PROCEEDINGS OF THE 5TH INTERNATIONAL CONFERENCE ON EMERGING NETWORKING EXPERIMENTS AND TECHNOLOGIES, JPN7022000816, 1 December 2009 (2009-12-01), pages 241 - 252, ISSN: 0004922514 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US20200092316A1 (en) | 2020-03-19 |
| WO2020060854A1 (en) | 2020-03-26 |
| US11496493B2 (en) | 2022-11-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2021529376A (ja) | 動的グラフ分析 | |
| US11379284B2 (en) | Topology-inspired neural network autoencoding for electronic system fault detection | |
| US11204602B2 (en) | Early anomaly prediction on multi-variate time series data | |
| US11323465B2 (en) | Temporal behavior analysis of network traffic | |
| Tu et al. | NeuCube (ST) for spatio-temporal data predictive modelling with a case study on ecological data | |
| US9558442B2 (en) | Monitoring neural networks with shadow networks | |
| US20140143193A1 (en) | Method and apparatus for designing emergent multi-layer spiking networks | |
| US11169865B2 (en) | Anomalous account detection from transaction data | |
| CN101399672A (zh) | 一种多神经网络融合的入侵检测方法 | |
| US20200125083A1 (en) | Graph-based predictive maintenance | |
| Jin et al. | AP-STDP: A novel self-organizing mechanism for efficient reservoir computing | |
| CN110378124A (zh) | 一种基于lda机器学习的网络安全威胁分析方法及系统 | |
| Altunay et al. | Analysis of anomaly detection approaches performed through deep learning methods in SCADA systems | |
| Nayebi et al. | Identifying learning rules from neural network observables | |
| CN115730947A (zh) | 银行客户流失预测方法及装置 | |
| Huynh et al. | Efficient integration of multi-order dynamics and internal dynamics in stock movement prediction | |
| dos Santos et al. | A long-lasting reinforcement learning intrusion detection model | |
| Thi et al. | One-class collective anomaly detection based on long short-term memory recurrent neural networks | |
| US11604969B2 (en) | Performance prediction from communication data | |
| Jin et al. | Calcium-modulated supervised spike-timing-dependent plasticity for readout training and sparsification of the liquid state machine | |
| Bulunga | Change-point detection in dynamical systems using auto-associative neural networks | |
| Kona | Detection of DDoS attacks using RNN-LSTM and Hybrid model ensemble | |
| Sofwan et al. | Early Warning System of Landslide Disaster using Generalized Neural Network Algorithm | |
| Marinova et al. | Node-based system for optimizing the process of creation ff intelligent agents for intrusion detection and analysis | |
| Garcia et al. | Detecting Simulated Attacks in Computer Networks Using Resilient Propagation Artificial Neural Networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201218 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220301 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220520 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20220705 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220930 |
|
| C60 | Trial request (containing other claim documents, opposition documents) |
Free format text: JAPANESE INTERMEDIATE CODE: C60 Effective date: 20220930 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20221012 |
|
| C21 | Notice of transfer of a case for reconsideration by examiners before appeal proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C21 Effective date: 20221018 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20221118 |
|
| C211 | Notice of termination of reconsideration by examiners before appeal proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C211 Effective date: 20221122 |
|
| C22 | Notice of designation (change) of administrative judge |
Free format text: JAPANESE INTERMEDIATE CODE: C22 Effective date: 20221213 |
|
| C22 | Notice of designation (change) of administrative judge |
Free format text: JAPANESE INTERMEDIATE CODE: C22 Effective date: 20230105 |
|
| C13 | Notice of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: C13 Effective date: 20230307 |
|
| C19 | Decision taken to dismiss amendment |
Free format text: JAPANESE INTERMEDIATE CODE: C19 Effective date: 20230314 |
|
| C30A | Notification sent |
Free format text: JAPANESE INTERMEDIATE CODE: C3012 Effective date: 20230314 |