JP2022512192A - 挙動による脅威検出のためのシステムおよび方法 - Google Patents
挙動による脅威検出のためのシステムおよび方法 Download PDFInfo
- Publication number
- JP2022512192A JP2022512192A JP2021533152A JP2021533152A JP2022512192A JP 2022512192 A JP2022512192 A JP 2022512192A JP 2021533152 A JP2021533152 A JP 2021533152A JP 2021533152 A JP2021533152 A JP 2021533152A JP 2022512192 A JP2022512192 A JP 2022512192A
- Authority
- JP
- Japan
- Prior art keywords
- event
- client
- events
- cluster
- assigning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Abstract
Description
[0032]図1は、本発明のいくつかの実施形態による、コンピュータセキュリティ脅威から保護されるクライアントシステム10a-hの例示的なセットを示す。クライアントシステム10a-hは、一般的に、プロセッサ、メモリ、および通信インターフェースを有する任意の電子デバイスを表す。例示的なクライアントシステム10a-hは、パーソナルコンピュータ、ラップトップ、タブレットコンピュータ、モバイル電気通信デバイス(たとえば、スマートフォン)、メディアプレーヤ、テレビ、ゲーム機、家電器具(たとえば、冷蔵庫、インテリジェント暖房および/または照明システム)、およびウェアラブルデバイス(たとえば、スマートウォッチ、フィットネス機器)などを含む。クライアントシステム10a-hは、たとえば、文書プロセシング、ゲーム、電子メッセージング、およびソーシャルメディアアプリケーションなどの様々なソフトウェアを実行し得る。一部のクライアントは、たとえばインターネットブラウジングなど、リモートコンテンツサーバ17と情報を交換し得る。
<30>Feb 8 21:36:51 dtm charon:12[IKE]establishing CHILD_SA dtmhq5{5}
<30>Feb 8 21:36:51 dtm charon:12[IKE]establishing CHILD_SA dtmhq5{5}
<187>Feb 8 21:37:56 example.domain.biz dhcpd:DHCPDISCOVER from 0c:14:7b:11:14:64 via eth1:network eth1:no free leases
[0050]ネットワークフィルタ53は、クライアントシステム10と他の当事者との間のネットワーク12-14を介した電子通信中に発生するネットワークイベントのセットを検出する。ネットワークフィルタ53によって検出される例示的なイベントは、クライアントシステム10と別のネットワークエンティティとの間の接続の確立の一部を形成するイベント(たとえば、ネットワークアドレスの要求、ネットワークアドレスの送信、ハンドシェイクイベントなど)、暗号化された接続(セキュアソケットレイヤ-SSL、仮想プライベートネットワーク-VPN)を構成するイベント、データの送信、およびデータの受信などを含む。いくつかの実施形態では、ネットワークフィルタ53は、傍受されたネットワークトラフィックからメタデータを収集する。そのようなメタデータは、たとえば、発信元ネットワークアドレス(たとえば、インターネットプロトコル-IPアドレス)、宛先アドレス、データパケットのタイムスタンプ、通信プロトコルのタイプのインジケータ、およびデータパケットのサイズを含み得る。他の例示的なメタデータは、それぞれの通信/データパケットを送信するハイパテキスト転送プロトコル(HTTP)ユーザエージェントのタイプのインジケータを含み得る。いくつかの実施形態は、通信メタデータを、(たとえば、シスコシステムズ社のNetFlow(登録商標)のように)当技術分野でネットワークフローとして知られる特殊なデータ構成に編成する。表1は、本発明のいくつかの実施形態によるフローとして表される通信メタデータの例を示す。
Claims (17)
- サーバコンピュータシステムであって、
トレーニングコーパスのイベントを複数のイベントカテゴリに割り当てることであって、前記トレーニングコーパスは、複数のクライアントシステムにおいて発生したイベントの集合を含む、割り当てることと、
イベントをイベントカテゴリに割り当てることに応じて、前記複数のクライアントシステムのうちのクライアントシステムを、複数のクライアントクラスタに、前記複数のイベントカテゴリにしたがって割り当てることと、
ライアントシステムをクライアントクラスタに割り当てることに応じて、クライアントクラスタメンバシップインジケータを異常検出器に送信することであって、前記異常検出器は、ターゲットクライアントシステムにおいて発生するターゲットイベントがコンピュータセキュリティ脅威を示すか否かを判定するように構成された、送信することと
を行うように構成された少なくとも1つのハードウェアプロセッサを含み、
イベントをイベントカテゴリに割り当てることは、
複数のイベントを前記トレーニングコーパスから選択することであって、前記複数のイベントは、前記複数のクライアントシステムのうちのクライアントシステムにおいて発生した、選択することと、
前記複数のイベントを発生時間にしたがって配列して、イベントシーケンスを形成することと、
それに応じて、前記イベントシーケンスのうちの選択されたイベントを、選択されたイベントカテゴリに、前記選択されたイベントに先行する第1のイベントにしたがって、さらに、前記選択されたイベントに後続する、前記イベントシーケンス内の第2のイベントにしたがって割り当てることと
を含み、
クライアントシステムをクライアントクラスタに割り当てることは、前記クライアントシステムを、選択されたクライアントクラスタに、イベントプロファイルに従って割り当てることであって、前記イベントプロファイルは、前記クライアントシステムにおいて発生し、前記選択されたイベントカテゴリに属するイベントの回数にしたがって決定された、割り当てることを含み、
前記異常検出器は、前記ターゲットイベントが前記コンピュータセキュリティ脅威を示しているか否かを、イベントのクライアントクラスタ固有のサブコーパスでトレーニングされた挙動モデルにしたがって判定するように構成され、前記クライアントクラスタ固有のサブコーパスは、前記トレーニングコーパスから、前記複数のクライアントクラスタのターゲットクラスタの複数のメンバにおいて発生したイベントのみを含むように選択された、
サーバコンピュータシステム。 - 請求項1に記載のコンピュータシステムであって、イベントをイベントカテゴリに割り当てることは、
多次元イベント埋込空間における前記選択されたイベントの位置を、前記第1および第2のイベントにしたがって決定することと、
前記選択されたイベントを、前記選択されたイベントカテゴリに、前記イベント埋込空間における前記選択されたイベントの前記位置にしたがって、割り当てることと
を含む、コンピュータシステム。 - 請求項2に記載のコンピュータシステムであって、前記選択されたイベントカテゴリを、前記イベント埋込空間における同様の位置を占めるイベントのクラスタにしたがって決定するようにさらに構成されるコンピュータシステム。
- 請求項2に記載のコンピュータシステムであって、前記イベント埋込空間における前記選択されたイベントの前記位置を決定することは、前記位置を示す座標のセットを生成するようにイベントエンコーダをトレーニングすることを含み、
前記イベントエンコーダをトレーニングすることは、
前記イベントエンコーダにイベントデコーダを結合することであって、前記イベントデコーダは、前記座標のセットを受信し、前記イベントシーケンスが前記第1および第2のイベントを含む可能性を示す予測インジケータを出力するように構成された、結合することと、
前記イベントエンコーダのパラメータのセットを前記予測インジケータにしたがって調節することと
を含む、コンピュータシステム。 - 請求項2に記載のコンピュータシステムであって、前記イベント埋込空間における前記選択されたイベントの前記位置を決定することは、前記位置を示す座標のセットを生成するようにイベントエンコーダをトレーニングすることを含み、前記イベントエンコーダをトレーニングすることは、
前記イベントエンコーダをイベントデコーダに結合することであって、前記イベントデコーダは、前記座標のセットを受信し、前記選択されたイベントの予測されたコンテキストを出力するように構成され、前記予測されたコンテキストは、第1の予測されたイベントおよび第2の予測されたイベントを含む、結合することと、
前記第1の予測されたイベントを前記第1のイベントと比較し、前記第2の予測されたイベントを前記第2のイベントと比較することと、
前記イベントエンコーダのパラメータのセットを前記比較の結果にしたがって調節することと
を含む、コンピュータシステム。 - 請求項1に記載のコンピュータシステムであって、前記イベントプロファイルは複数のコンポーネントを含み、各コンポーネントは、前記複数のイベントカテゴリのうちの各イベントカテゴリに属するイベントの比率にしたがって決定され、前記比率は、前記クライアントシステムにおいて発生する前記トレーニングコーパスのイベントの総回数から計算される、コンピュータシステム。
- 請求項1に記載のコンピュータシステムであって、クライアントシステムをクライアントクラスタに割り当てることは、同様のイベントプロファイルを有するクライアントシステムを、同じクライアントクラスタに割り当てることを含む、コンピュータシステム。
- 請求項1に記載のコンピュータシステムであって、前記トレーニングコーパスの前記イベントは、選択されたプロセスの、前記複数のクライアントシステムのうちのクライアントシステムにおける起動を含む、コンピュータシステム。
- コンピュータが実施する方法であって、
コンピュータシステムの少なくとも1つのハードウェアプロセッサを用いて、トレーニングコーパスのイベントを複数のイベントカテゴリに割り当てるステップであって、前記トレーニングコーパスは、複数のクライアントシステムにおいて発生するイベントの集合を含む、ステップと、
イベントをイベントカテゴリに割り当てるステップに応じて、前記コンピュータシステムの少なくとも1つのハードウェアプロセッサを用いて、前記複数のクライアントシステムのうちのクライアントシステムを、複数のクライアントクラスタに、前記複数のイベントカテゴリにしたがって割り当てるステップと、
クライアントシステムをクライアントクラスタに割り当てるステップに応じて、前記コンピュータシステムの少なくとも1つのハードウェアプロセッサを用いて、クライアントクラスタメンバシップインジケータを異常検出器に送信するステップであって、前記異常検出器は、ターゲットクライアントシステムにおいて発生するターゲットイベントがコンピュータセキュリティ脅威を示すか否かを判定するように構成された、ステップと
を含み、
イベントをイベントカテゴリに割り当てるステップは、
複数のイベントを前記トレーニングコーパスから選択するステップであって、前記複数のイベントは、前記複数のクライアントシステムのうちのクライアントシステムにおいて発生した、ステップと、
前記複数のイベントを発生時間にしたがって配列して、イベントシーケンスを形成するステップと、
それに応じて、前記イベントシーケンスのうちの選択されたイベントを、選択されたイベントカテゴリに、前記選択されたイベントに先行する第1のイベントにしたがって、さらに、前記選択されたイベントに後続する、前記イベントシーケンス内の第2のイベントにしたがって割り当てるステップと
を含み、
クライアントシステムをクライアントクラスタに割り当てるステップは、前記クライアントシステムを、選択されたクライアントクラスタに、イベントプロファイルに従って割り当てるステップであって、前記イベントプロファイルは、前記クライアントシステムにおいて発生し、前記選択されたイベントカテゴリに属するイベントの回数にしたがって決定される、ステップを含み、
前記異常検出器は、前記ターゲットイベントが前記コンピュータセキュリティ脅威を示しているか否かを、イベントのクライアントクラスタ固有のサブコーパスでトレーニングされた挙動モデルにしたがって判定するように構成され、前記クライアントクラスタ固有のサブコーパスは、前記トレーニングコーパスから、前記複数のクライアントクラスタのターゲットクラスタの複数のメンバにおいて発生したイベントのみを含むように選択された、
方法。 - 請求項9に記載の方法であって、イベントをイベントカテゴリに割り当てるステップは、
多次元イベント埋込空間における前記選択されたイベントの位置を、前記第1および第2のイベントにしたがって決定するステップと、
前記選択されたイベントを、前記選択されたイベントカテゴリに、前記イベント埋込空間における前記選択されたイベントの前記位置にしたがって割り当てるステップと
を含む、方法。 - 請求項10に記載の方法であって、前記選択されたイベントカテゴリを、前記イベント埋込空間における同様の位置を占めるイベントのクラスタにしたがって決定するステップをさらに含む方法。
- 請求項10に記載の方法であって、前記イベント埋込空間における前記選択されたイベントの前記位置を決定するステップは、前記位置を示す座標のセットを生成するようにイベントエンコーダをトレーニングするステップを含み、前記イベントエンコーダをトレーニングするステップは、
前記イベントエンコーダをイベントデコーダに結合するステップであって、前記イベントデコーダは、前記座標のセットを受信し、前記イベントシーケンスが前記第1および第2のイベントを含む可能性を示す予測インジケータを出力するように構成された、ステップと、
前記イベントエンコーダのパラメータのセットを前記予測インジケータにしたがって、調節するステップと
を含む、方法。 - 請求項10に記載の方法であって、前記イベント埋込空間における前記選択されたイベントの前記位置を決定するステップは、前記位置を示す座標のセットを生成するようにイベントエンコーダをトレーニングするステップを含み、前記イベントエンコーダをトレーニングするステップは、
前記イベントエンコーダをイベントデコーダに結合するステップであって、前記イベントデコーダは、前記座標のセットを受信し、前記選択されたイベントの予測されたコンテキストを出力するように構成され、前記予測されたコンテキストは、第1の予測されたイベントおよび第2の予測されたイベントを含む、ステップと、
前記第1の予測されたイベントを前記第1のイベントと比較し、前記第2の予測されたイベントを前記第2のイベントと比較するステップと、
前記イベントエンコーダのパラメータのセットを前記比較の結果にしたがって調節するステップと
を含む、方法。 - 請求項9に記載の方法であって、前記イベントプロファイルは複数のコンポーネントを含み、各コンポーネントは、前記複数のイベントカテゴリのうちの各イベントカテゴリに属するイベントの比率にしたがって決定され、前記比率は、前記クライアントシステムにおいて発生する前記トレーニングコーパスのイベントの総回数から計算される、方法。
- 請求項9に記載の方法であって、前記複数のクライアントシステムをクライアントクラスタに割り当てるステップは、同様のイベントプロファイルを有するクライアントシステムを、同じクライアントクラスタに割り当てるステップを含む、方法。
- 請求項9に記載の方法であって、前記トレーニングコーパスの前記イベントは、選択されたプロセスの、前記複数のクライアントシステムのうちのクライアントシステムにおける起動を含む、方法。
- 命令を記憶した非一時的コンピュータ可読媒体であって、前記命令は、コンピュータシステムの少なくとも1つのハードウェアプロセッサによって実行されると、前記コンピュータシステムに、
トレーニングコーパスのイベントを複数のイベントカテゴリに割り当てることであって、前記トレーニングコーパスは、複数のクライアントシステムにおいて発生したイベントの集合を含む、割り当てることと、
イベントをイベントカテゴリに割り当てることに応じて、前記複数のクライアントシステムのうちのクライアントシステムを、複数のクライアントクラスタに、前記複数のイベントカテゴリにしたがって割り当てることと、
前記クライアントシステムをクライアントクラスタに割り当てることに応じて、クライアントクラスタメンバシップインジケータを異常検出器に送信することであって、前記異常検出器は、ターゲットクライアントシステムにおいて発生するターゲットイベントがコンピュータセキュリティ脅威を示すか否かを判定するように構成された、送信することと
を行わせ、
イベントをイベントカテゴリに割り当てることは、
複数のイベントを前記トレーニングコーパスから選択することであって、前記複数のイベントは、前記複数のクライアントシステムのうちのクライアントシステムにおいて発生した、選択することと、
前記複数のイベントを発生時間にしたがって配列して、イベントシーケンスを形成することと、
それに応じて、前記イベントシーケンスのうちの選択されたイベントを、選択されたイベントカテゴリに、前記選択されたイベントに先行する第1のイベントにしたがって、さらに、前記選択されたイベントに後続する、前記イベントシーケンス内の第2のイベントにしたがって割り当てることと
を含み、
クライアントシステムをクライアントクラスタに割り当てることは、前記クライアントシステムを、選択されたクライアントクラスタに、イベントプロファイルに従って割り当てることであって、前記イベントプロファイルは、前記クライアントシステムにおいて発生し、前記選択されたイベントカテゴリに属するイベントの回数にしたがって決定される、割り当てることを含み、
前記異常検出器は、前記ターゲットイベントが前記コンピュータセキュリティ脅威を示しているか否かを、イベントのクライアントクラスタ固有のサブコーパスでトレーニングされた挙動モデルにしたがって判定するように構成され、前記クライアントクラスタ固有のサブコーパスは、前記トレーニングコーパスから、前記複数のクライアントクラスタのターゲットクラスタの複数のメンバにおいて発生したイベントのみを含むように選択された、
非一時的コンピュータ可読媒体。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US16/215,179 US11089034B2 (en) | 2018-12-10 | 2018-12-10 | Systems and methods for behavioral threat detection |
US16/215,179 | 2018-12-10 | ||
PCT/EP2019/084310 WO2020120427A1 (en) | 2018-12-10 | 2019-12-10 | Systems and methods for behavioral threat detectiion |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2022512192A true JP2022512192A (ja) | 2022-02-02 |
JP7319370B2 JP7319370B2 (ja) | 2023-08-01 |
Family
ID=68841134
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021533152A Active JP7319370B2 (ja) | 2018-12-10 | 2019-12-10 | 挙動による脅威検出のためのシステムおよび方法 |
Country Status (11)
Country | Link |
---|---|
US (1) | US11089034B2 (ja) |
EP (1) | EP3895046B1 (ja) |
JP (1) | JP7319370B2 (ja) |
KR (1) | KR102403622B1 (ja) |
CN (1) | CN113168470A (ja) |
AU (1) | AU2019398304A1 (ja) |
CA (1) | CA3120156A1 (ja) |
ES (1) | ES2945836T3 (ja) |
IL (1) | IL283695A (ja) |
SG (1) | SG11202105052QA (ja) |
WO (1) | WO2020120427A1 (ja) |
Families Citing this family (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10841337B2 (en) | 2016-11-28 | 2020-11-17 | Secureworks Corp. | Computer implemented system and method, and computer program product for reversibly remediating a security risk |
US10735470B2 (en) | 2017-11-06 | 2020-08-04 | Secureworks Corp. | Systems and methods for sharing, distributing, or accessing security data and/or security applications, models, or analytics |
US11594012B2 (en) * | 2018-09-19 | 2023-02-28 | Chenope, Inc. | System and method for detecting and analyzing digital communications |
US10834142B2 (en) * | 2018-10-09 | 2020-11-10 | International Business Machines Corporation | Artificial intelligence assisted rule generation |
US11295011B2 (en) * | 2019-01-08 | 2022-04-05 | Vmware, Inc. | Event-triggered behavior analysis |
US11621966B1 (en) * | 2019-02-15 | 2023-04-04 | DataVisor, Inc. | Detection of malicious user accounts of an online service using feature analysis |
US11481486B2 (en) * | 2019-03-27 | 2022-10-25 | Webroot Inc. | Behavioral threat detection engine |
US11080394B2 (en) | 2019-03-27 | 2021-08-03 | Webroot Inc. | Behavioral threat detection virtual machine |
US11314863B2 (en) | 2019-03-27 | 2022-04-26 | Webroot, Inc. | Behavioral threat detection definition and compilation |
US11080391B2 (en) | 2019-03-27 | 2021-08-03 | Webroot Inc. | Behavioral threat detection definition and compilation |
US11563760B2 (en) * | 2019-06-03 | 2023-01-24 | Hewlett Packard Enterprise Development Lp | Network embeddings model for personal identifiable information protection |
US11245600B2 (en) * | 2019-07-18 | 2022-02-08 | Citrix Systems, Inc. | System and method for processing network data |
US11522877B2 (en) | 2019-12-16 | 2022-12-06 | Secureworks Corp. | Systems and methods for identifying malicious actors or activities |
US20210397903A1 (en) * | 2020-06-18 | 2021-12-23 | Zoho Corporation Private Limited | Machine learning powered user and entity behavior analysis |
US11588834B2 (en) * | 2020-09-03 | 2023-02-21 | Secureworks Corp. | Systems and methods for identifying attack patterns or suspicious activity in client networks |
US20220138903A1 (en) * | 2020-11-04 | 2022-05-05 | Nvidia Corporation | Upsampling an image using one or more neural networks |
US11528294B2 (en) | 2021-02-18 | 2022-12-13 | SecureworksCorp. | Systems and methods for automated threat detection |
US11533373B2 (en) * | 2021-02-26 | 2022-12-20 | Trackerdetect Ltd. | Global iterative clustering algorithm to model entities' behaviors and detect anomalies |
US20230058569A1 (en) | 2021-08-23 | 2023-02-23 | Fortinet, Inc. | Systems and methods for quantifying file access risk exposure by an endpoint in a network environment |
Family Cites Families (47)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6526405B1 (en) * | 1999-12-17 | 2003-02-25 | Microsoft Corporation | Determining similarity between event types in sequences |
US7089428B2 (en) | 2000-04-28 | 2006-08-08 | Internet Security Systems, Inc. | Method and system for managing computer security information |
US6742124B1 (en) | 2000-05-08 | 2004-05-25 | Networks Associates Technology, Inc. | Sequence-based anomaly detection using a distance matrix |
US6973577B1 (en) | 2000-05-26 | 2005-12-06 | Mcafee, Inc. | System and method for dynamically detecting computer viruses through associative behavioral analysis of runtime state |
US7818797B1 (en) | 2001-10-11 | 2010-10-19 | The Trustees Of Columbia University In The City Of New York | Methods for cost-sensitive modeling for intrusion detection and response |
US7035863B2 (en) | 2001-11-13 | 2006-04-25 | Koninklijke Philips Electronics N.V. | Method, system and program product for populating a user profile based on existing user profiles |
US7234166B2 (en) | 2002-11-07 | 2007-06-19 | Stonesoft Corporation | Event sequence detection |
US7716739B1 (en) | 2005-07-20 | 2010-05-11 | Symantec Corporation | Subjective and statistical event tracking incident management system |
JP2007242002A (ja) | 2006-02-10 | 2007-09-20 | Mitsubishi Electric Corp | ネットワーク管理装置及びネットワーク管理方法及びプログラム |
US8135994B2 (en) | 2006-10-30 | 2012-03-13 | The Trustees Of Columbia University In The City Of New York | Methods, media, and systems for detecting an anomalous sequence of function calls |
US8448249B1 (en) | 2007-07-31 | 2013-05-21 | Hewlett-Packard Development Company, L.P. | Methods and systems for using lambda transitions for processing regular expressions in intrusion-prevention systems |
WO2009097610A1 (en) | 2008-02-01 | 2009-08-06 | Northeastern University | A vmm-based intrusion detection system |
US20090328215A1 (en) | 2008-06-30 | 2009-12-31 | Microsoft Corporation | Semantic networks for intrusion detection |
GB0816556D0 (en) | 2008-09-10 | 2008-10-15 | Univ Napier | Improvements in or relating to digital forensics |
US8370931B1 (en) | 2008-09-17 | 2013-02-05 | Trend Micro Incorporated | Multi-behavior policy matching for malware detection |
US20120137367A1 (en) | 2009-11-06 | 2012-05-31 | Cataphora, Inc. | Continuous anomaly detection based on behavior modeling and heterogeneous information analysis |
US8661034B2 (en) | 2010-02-03 | 2014-02-25 | Gartner, Inc. | Bimodal recommendation engine for recommending items and peers |
US8752171B2 (en) | 2010-09-03 | 2014-06-10 | Mcafee, Inc. | Behavioral tracking system, method, and computer program product for undoing events based on user input |
US8572239B2 (en) | 2010-09-20 | 2013-10-29 | Microsoft Corporation | Node clustering |
US20120278354A1 (en) | 2011-04-29 | 2012-11-01 | Microsoft Corporation | User analysis through user log feature extraction |
US9058486B2 (en) | 2011-10-18 | 2015-06-16 | Mcafee, Inc. | User behavioral risk assessment |
US8839435B1 (en) | 2011-11-04 | 2014-09-16 | Cisco Technology, Inc. | Event-based attack detection |
US9129227B1 (en) * | 2012-12-31 | 2015-09-08 | Google Inc. | Methods, systems, and media for recommending content items based on topics |
US9679131B2 (en) | 2013-01-25 | 2017-06-13 | Cybereason Inc. | Method and apparatus for computer intrusion detection |
US20140230062A1 (en) | 2013-02-12 | 2014-08-14 | Cisco Technology, Inc. | Detecting network intrusion and anomaly incidents |
US9225737B2 (en) * | 2013-03-15 | 2015-12-29 | Shape Security, Inc. | Detecting the introduction of alien content |
US9166993B1 (en) | 2013-07-25 | 2015-10-20 | Symantec Corporation | Anomaly detection based on profile history and peer history |
GB2519941B (en) | 2013-09-13 | 2021-08-25 | Elasticsearch Bv | Method and apparatus for detecting irregularities on device |
US10346465B2 (en) * | 2013-12-20 | 2019-07-09 | Qualcomm Incorporated | Systems, methods, and apparatus for digital composition and/or retrieval |
US20170039198A1 (en) * | 2014-05-15 | 2017-02-09 | Sentient Technologies (Barbados) Limited | Visual interactive search, scalable bandit-based visual interactive search and ranking for visual interactive search |
US9798883B1 (en) | 2014-10-06 | 2017-10-24 | Exabeam, Inc. | System, method, and computer program product for detecting and assessing security risks in a network |
US9985979B2 (en) | 2014-11-18 | 2018-05-29 | Vectra Networks, Inc. | Method and system for detecting threats using passive cluster mapping |
US9652316B2 (en) | 2015-03-31 | 2017-05-16 | Ca, Inc. | Preventing and servicing system errors with event pattern correlation |
US20160335432A1 (en) | 2015-05-17 | 2016-11-17 | Bitdefender IPR Management Ltd. | Cascading Classifiers For Computer Security Applications |
US20160352759A1 (en) | 2015-05-25 | 2016-12-01 | Yan Zhai | Utilizing Big Data Analytics to Optimize Information Security Monitoring And Controls |
CN105989849B (zh) * | 2015-06-03 | 2019-12-03 | 乐融致新电子科技(天津)有限公司 | 一种语音增强方法、语音识别方法、聚类方法及装置 |
US20170140384A1 (en) | 2015-11-12 | 2017-05-18 | Fair Isaac Corporation | Event sequence probability enhancement of streaming fraud analytics |
EP3387814B1 (en) | 2015-12-11 | 2024-02-14 | ServiceNow, Inc. | Computer network threat assessment |
CN109564575B (zh) * | 2016-07-14 | 2023-09-05 | 谷歌有限责任公司 | 使用机器学习模型来对图像进行分类 |
US10567420B2 (en) * | 2016-11-08 | 2020-02-18 | International Business Machines Corporation | Biology based techniques with cognitive system analysis for handling information security and privacy |
US10832165B2 (en) * | 2016-12-02 | 2020-11-10 | Facebook, Inc. | Systems and methods for online distributed embedding services |
US10397259B2 (en) * | 2017-03-23 | 2019-08-27 | International Business Machines Corporation | Cyber security event detection |
US10552501B2 (en) * | 2017-03-28 | 2020-02-04 | Oath Inc. | Multilabel learning via supervised joint embedding of documents and labels |
US20190130305A1 (en) * | 2017-10-27 | 2019-05-02 | Intuit Inc. | Methods, systems, and computer program product for implementing an intelligent system with dynamic configurability |
US20190296933A1 (en) * | 2018-03-20 | 2019-09-26 | Microsoft Technology Licensing, Llc | Controlling Devices Based on Sequence Prediction |
US11636287B2 (en) * | 2018-03-28 | 2023-04-25 | Intuit Inc. | Learning form-based information classification |
US20190340615A1 (en) | 2018-05-04 | 2019-11-07 | International Business Machines Corporation | Cognitive methodology for sequence of events patterns in fraud detection using event sequence vector clustering |
-
2018
- 2018-12-10 US US16/215,179 patent/US11089034B2/en active Active
-
2019
- 2019-12-10 CN CN201980081448.1A patent/CN113168470A/zh active Pending
- 2019-12-10 SG SG11202105052QA patent/SG11202105052QA/en unknown
- 2019-12-10 AU AU2019398304A patent/AU2019398304A1/en active Pending
- 2019-12-10 KR KR1020217016952A patent/KR102403622B1/ko active IP Right Grant
- 2019-12-10 EP EP19817692.7A patent/EP3895046B1/en active Active
- 2019-12-10 CA CA3120156A patent/CA3120156A1/en active Pending
- 2019-12-10 ES ES19817692T patent/ES2945836T3/es active Active
- 2019-12-10 JP JP2021533152A patent/JP7319370B2/ja active Active
- 2019-12-10 WO PCT/EP2019/084310 patent/WO2020120427A1/en active Application Filing
-
2021
- 2021-06-03 IL IL283695A patent/IL283695A/en unknown
Also Published As
Publication number | Publication date |
---|---|
JP7319370B2 (ja) | 2023-08-01 |
SG11202105052QA (en) | 2021-06-29 |
EP3895046B1 (en) | 2023-04-05 |
EP3895046A1 (en) | 2021-10-20 |
CN113168470A (zh) | 2021-07-23 |
US20200186544A1 (en) | 2020-06-11 |
KR20210102890A (ko) | 2021-08-20 |
US11089034B2 (en) | 2021-08-10 |
IL283695A (en) | 2021-07-29 |
CA3120156A1 (en) | 2020-06-18 |
KR102403622B1 (ko) | 2022-05-31 |
WO2020120427A1 (en) | 2020-06-18 |
AU2019398304A1 (en) | 2021-06-03 |
ES2945836T3 (es) | 2023-07-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7319370B2 (ja) | 挙動による脅威検出のためのシステムおよび方法 | |
JP7389806B2 (ja) | 挙動による脅威検出のためのシステムおよび方法 | |
US11316851B2 (en) | Security for network environment using trust scoring based on power consumption of devices within network | |
JP7069399B2 (ja) | コンピュータセキュリティインシデントを報告するためのシステムおよび方法 | |
JP7319371B2 (ja) | 挙動による脅威検出のためのシステムおよび方法 | |
RU2803399C2 (ru) | Системы и способы детектирования поведенческих угроз | |
RU2772549C1 (ru) | Системы и способы детектирования поведенческих угроз | |
RU2778630C1 (ru) | Системы и способы детектирования поведенческих угроз |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220706 |
|
TRDD | Decision of grant or rejection written | ||
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230619 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230621 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230720 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7319370 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |