JP2022512195A - 挙動による脅威検出のためのシステムおよび方法 - Google Patents
挙動による脅威検出のためのシステムおよび方法 Download PDFInfo
- Publication number
- JP2022512195A JP2022512195A JP2021533157A JP2021533157A JP2022512195A JP 2022512195 A JP2022512195 A JP 2022512195A JP 2021533157 A JP2021533157 A JP 2021533157A JP 2021533157 A JP2021533157 A JP 2021533157A JP 2022512195 A JP2022512195 A JP 2022512195A
- Authority
- JP
- Japan
- Prior art keywords
- event
- target
- client
- events
- sequence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 70
- 230000003542 behavioural effect Effects 0.000 title abstract description 11
- 238000001514 detection method Methods 0.000 title description 13
- 238000012549 training Methods 0.000 claims abstract description 84
- 230000004044 response Effects 0.000 claims description 18
- 230000008569 process Effects 0.000 claims description 16
- 238000010276 construction Methods 0.000 claims 2
- 241001536374 Indicator indicator Species 0.000 claims 1
- 230000002547 anomalous effect Effects 0.000 abstract description 12
- 230000006399 behavior Effects 0.000 description 44
- 239000013598 vector Substances 0.000 description 27
- 238000004891 communication Methods 0.000 description 17
- 238000004422 calculation algorithm Methods 0.000 description 15
- 230000000694 effects Effects 0.000 description 12
- 238000012545 processing Methods 0.000 description 10
- 238000013528 artificial neural network Methods 0.000 description 7
- 238000003860 storage Methods 0.000 description 6
- 238000004590 computer program Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000005484 gravity Effects 0.000 description 4
- 238000012360 testing method Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000002474 experimental method Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000009467 reduction Effects 0.000 description 3
- 101100513046 Neurospora crassa (strain ATCC 24698 / 74-OR23-1A / CBS 708.71 / DSM 1257 / FGSC 987) eth-1 gene Proteins 0.000 description 2
- 238000009825 accumulation Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000000354 decomposition reaction Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000000513 principal component analysis Methods 0.000 description 2
- 230000001681 protective effect Effects 0.000 description 2
- 230000000306 recurrent effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000000946 synaptic effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000012935 Averaging Methods 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000002068 genetic effect Effects 0.000 description 1
- 238000010438 heat treatment Methods 0.000 description 1
- 238000003064 k means clustering Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 238000002922 simulated annealing Methods 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Artificial Intelligence (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Mathematical Physics (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Radar Systems Or Details Thereof (AREA)
- Ultra Sonic Daignosis Equipment (AREA)
Abstract
Description
[0032]図1は、本発明のいくつかの実施形態による、コンピュータセキュリティ脅威から保護されるクライアントシステム10a-hの例示的なセットを示す。クライアントシステム10a-hは、一般的に、プロセッサ、メモリ、および通信インターフェースを有する任意の電子デバイスを表す。例示的なクライアントシステム10a-hは、パーソナルコンピュータ、ラップトップ、タブレットコンピュータ、モバイル電気通信デバイス(たとえば、スマートフォン)、メディアプレーヤ、テレビ、ゲーム機、家電器具(たとえば、冷蔵庫、インテリジェント暖房および/または照明システム)、およびウェアラブルデバイス(たとえば、スマートウォッチ、フィットネス機器)などを含む。クライアントシステム10a-hは、たとえば、文書プロセシング、ゲーム、電子メッセージング、およびソーシャルメディアアプリケーションなどの様々なソフトウェアを実行し得る。一部のクライアントは、たとえばインターネットブラウジングなど、リモートコンテンツサーバ17と情報を交換し得る。
<30>Feb 8 21:36:51 dtm charon:12[IKE]establishing CHILD_SA dtmhq5{5}
<30>Feb 8 21:36:51 dtm charon:12[IKE]establishing CHILD_SA dtmhq5{5}
<187>Feb 8 21:37:56 example.domain.biz dhcpd:DHCPDISCOVER from 0c:14:7b:11:14:64 via eth1:network eth1:no free leases
[0050]ネットワークフィルタ53は、クライアントシステム10と他の当事者との間のネットワーク12-14を介した電子通信中に発生するネットワークイベントのセットを検出する。ネットワークフィルタ53によって検出される例示的なイベントは、クライアントシステム10と別のネットワークエンティティとの間の接続の確立の一部を形成するイベント(たとえば、ネットワークアドレスの要求、ネットワークアドレスの送信、ハンドシェイクイベントなど)、暗号化された接続(セキュアソケットレイヤ-SSL、仮想プライベートネットワーク-VPN)を構成するイベント、データの送信、およびデータの受信などを含む。いくつかの実施形態では、ネットワークフィルタ53は、傍受されたネットワークトラフィックからメタデータを収集する。そのようなメタデータは、たとえば、発信元ネットワークアドレス(たとえば、インターネットプロトコル-IPアドレス)、宛先アドレス、データパケットのタイムスタンプ、通信プロトコルのタイプのインジケータ、およびデータパケットのサイズを含み得る。他の例示的なメタデータは、それぞれの通信/データパケットを送信するハイパテキスト転送プロトコル(HTTP)ユーザエージェントのタイプのインジケータを含み得る。いくつかの実施形態は、通信メタデータを、(たとえば、シスコシステムズ社のNetFlow(登録商標)のように)当技術分野でネットワークフローとして知られる特殊なデータ構成に編成する。表1は、本発明のいくつかの実施形態によるフローとして表される通信メタデータの例を示す。
Claims (23)
- 少なくとも1つのハードウェアプロセッサを含むサーバコンピュータシステムであって、前記少なくとも1つのハードウェアプロセッサは、
ターゲットクライアントシステムにおけるターゲットイベントの発生のインジケーションの受信に応じて、前記ターゲットイベントを含むイベントシーケンスをアセンブルすることであって、前記イベントシーケンスのすべてのイベントは前記ターゲットクライアントシステムにおいて発生し、前記イベントシーケンスのメンバは、前記イベントシーケンスの各イベントの発生時間にしたがって配列された、アセンブルすることと、
前記インジケーションの受信に応じて、パラメータ値を、複数のパラメータ値から、前記ターゲットクライアントシステムにしたがって選択することと、
前記パラメータ値の選択に応じて、挙動モデルを前記パラメータ値でインスタンス化することであって、前記挙動モデルは、前記イベントシーケンスの選択されたイベントを入力し、それに応じて、前記イベントシーケンスが前記ターゲットイベントを含む可能性を示す予測インジケータを生成するように構成された、インスタンス化することと、
前記挙動モデルのインスタンス化に応じて、前記ターゲットイベントがコンピュータセキュリティ脅威を示すか否かを前記予測インジケータにしたがって判定することと
を行うように構成され、
前記複数のパラメータ値は、複数のクライアントクラスタにグループ化された複数のクライアントシステムにおいて発生したイベントのトレーニングコーパスにしたがって決定され、
前記複数のパラメータ値の各々は、前記トレーニングコーパスの別個のサブセットにしたがって決定され、各別個のサブセットは、複数のクライアントクラスタの別個のクラスタのメンバにおいて発生し、
前記パラメータ値を選択することは、ターゲットクラスタを、前記複数のクライアントクラスタから、前記ターゲットクライアントシステムにしたがって選択することと、前記パラメータ値を前記ターゲットクラスタにしたがって選択することとを含む、
サーバコンピュータシステム。 - 請求項1に記載のコンピュータシステムであって、前記ターゲットイベントが前記コンピュータセキュリティ脅威を示すか否かを判定することは、
前記予測インジケータを所定のしきい値と比較することと、
それに応じて、前記イベントシーケンスは前記ターゲットイベントを含む可能性が高いことを前記比較が示す場合に、前記ターゲットイベントは前記コンピュータセキュリティ脅威を示さないと判定することと、
前記イベントシーケンスは前記ターゲットイベントを含む可能性が高くないことを前記比較が示す場合に、前記ターゲットイベントは前記コンピュータセキュリティ脅威を示すと判定することと
を含む、コンピュータシステム。 - 請求項1に記載のコンピュータシステムであって、前記ターゲットイベントが前記コンピュータセキュリティ脅威を示すか否かを判定することは、
予測されるイベントを前記予測インジケータにしたがって決定することと、
前記予測されるイベントを前記ターゲットイベントと比較することと、
それに応じて、前記ターゲットイベントが前記コンピュータセキュリティ脅威を示すか否かを前記比較の結果にしたがって判定することと
を含む、コンピュータシステム。 - 請求項1に記載のコンピュータシステムであって、
前記イベントシーケンスは中央イベントおよびイベントコンテキストを含み、前記イベントコンテキストは、前記中央イベントの前に発生するイベントの第1のサブセットと、前記中央イベントより後に発生するイベントの第2のサブセットとを含み、
前記選択されたイベントは前記イベントコンテキストのメンバであり、
前記予測インジケータは、前記ターゲットイベントが前記イベントシーケンスの前記中央イベントである可能性を示す、
コンピュータシステム。 - 請求項1に記載のコンピュータシステムであって、
前記挙動モデルはイベントエンコーダを含み、該イベントエンコーダは、イベント埋込空間における前記ターゲットイベントの位置を示す座標のセットを決定するように構成され、
前記ハードウェアプロセッサは、前記ターゲットイベントが前記コンピュータセキュリティ脅威を示すか否かを前記位置にしたがって判定するようにさらに構成された、
コンピュータシステム。 - 請求項1に記載のコンピュータシステムであって、前記複数のクライアントシステムをクラスタにグループ化することは、
複数のイベントカテゴリを、前記トレーニングコーパスのトレーニングイベントが前記トレーニングコーパスの他のイベントの選択されたコンテキストにおいて発生するか否かにしたがって構築することと、
前記複数のイベントカテゴリの構築に応じて、各クライアントシステムのクラスタ割当を前記各クライアントシステムのイベントプロファイルにしたがって決定することであって、前記イベントプロファイルは、前記各クライアントシステムにおいて発生し、前記複数のイベントカテゴリの選択されたイベントカテゴリに属するイベントの回数にしたがって決定される、決定することと
を含む、コンピュータシステム。 - 請求項1に記載のコンピュータシステムであって、前記パラメータ値は、前記挙動モデルの別のインスタンスを前記ターゲットクラスタのメンバにおいて発生したイベントに関してトレーニングした結果にしたがって決定され、前記挙動モデルの前記別のインスタンスをトレーニングすることは、
中央イベントおよびイベントコンテキストを有するイベントのトレーニングシーケンスをアセンブルすることと、
前記挙動モデルの前記別のインスタンスを、前記トレーニングシーケンスの前記イベントコンテキストの受信に応じて、前記中央イベントが前記トレーニングシーケンスに属する可能性を示すトレーニング予測を生成するために用いることと、
前記パラメータ値を前記トレーニング予測にしたがって決定することと
を含む、コンピュータシステム。 - 請求項1に記載のコンピュータシステムであって、前記ターゲットクラスタを、前記ターゲットクライアントシステムが前記ターゲットクラスタのメンバであるか否かにしたがって選択するようにさらに構成されたコンピュータシステム。
- 請求項1に記載のコンピュータシステムであって、前記ターゲットクラスタを選択することは、
多次元埋込空間における前記ターゲットクライアントシステムの位置を示す座標のセットを決定することと、
それに応じて、前記ターゲットクラスタを座標の前記セットにしたがって選択することと
を含む、コンピュータシステム。 - 請求項9に記載のコンピュータシステムであって、前記ターゲットクラスタを、前記埋込空間における前記ターゲットクラスタのメンバの位置を示す座標の別のセットにさらにしたがって選択するように構成されたコンピュータシステム。
- 請求項1に記載のコンピュータシステムであって、前記ターゲットイベントは、前記ターゲットクライアントシステムにおける選択されたプロセスの起動を含む、コンピュータシステム。
- コンピュータが実施する方法であって、
ターゲットクライアントシステムにおけるターゲットイベントの発生のインジケーションの受信に応じて、コンピュータシステムの少なくとも1つのハードウェアプロセッサを用いて、前記ターゲットイベントを含むイベントシーケンスをアセンブルするステップであって、前記イベントシーケンスのすべてのイベントは前記ターゲットクライアントシステムにおいて発生し、前記イベントシーケンスのメンバは、前記イベントシーケンスの各イベントの発生時間にしたがって配列される、ステップと、
前記インジケーションの受信に応じて、前記コンピュータシステムの少なくとも1つのプロセッサを用いて、パラメータ値を、複数のパラメータ値から、前記ターゲットクライアントシステムにしたがって選択するステップと、
設定された前記パラメータ値の選択に応じて、前記コンピュータシステムの少なくとも1つのハードウェアプロセッサを用いて、挙動モデルを前記パラメータ値でインスタンス化するステップであって、前記挙動モデルは、前記イベントシーケンスの選択されたイベントを入力し、それに応じて、前記イベントシーケンスが前記ターゲットイベントを含む可能性を示す予測インジケータを生成するように構成された、ステップと、
前記挙動モデルのインスタンス化に応じて、前記コンピュータシステムの少なくとも1つのハードウェアプロセッサを用いて、インジケータ前記ターゲットイベントがコンピュータセキュリティ脅威を示すか否かを前記予測インジケータにしたがって判定するステップと
を含み、
前記複数のパラメータ値は、複数のクライアントクラスタにグループ化された複数のクライアントシステムにおいて発生したイベントのトレーニングコーパスにしたがって決定され、
前記複数のパラメータ値の各々は、前記トレーニングコーパスの別個のサブセットにしたがって決定され、各別個のサブセットは、複数のクライアントクラスタの別個のクラスタのメンバにおいて発生し、
前記パラメータ値を選択するステップは、ターゲットクラスタを、前記複数のクライアントクラスタから、前記ターゲットクライアントシステムにしたがって選択するステップと、前記パラメータ値を前記ターゲットクラスタにしたがって選択するステップとを含む、
コンピュータが実施する方法。 - 請求項12に記載の方法であって、前記ターゲットイベントが前記コンピュータセキュリティ脅威を示すか否かを判定するステップは、
前記予測インジケータを所定のしきい値と比較するステップと、
それに応じて、前記イベントシーケンスは前記ターゲットイベントを含む可能性が高いことを前記比較が示す場合に、前記ターゲットイベントは前記コンピュータセキュリティ脅威を示さないと判定するステップと、
前記イベントシーケンスは前記ターゲットイベントを含む可能性が高くないことを前記比較が示す場合に、前記ターゲットイベントは前記コンピュータセキュリティ脅威を示すと判定するステップと
を含む、方法。 - 請求項12に記載の方法であって、前記ターゲットイベントが前記コンピュータセキュリティ脅威を示すか否かを判定するステップは、
予測されるイベントを前記予測インジケータにしたがって決定するステップと、
前記予測されるイベントを前記ターゲットイベントと比較するステップと、
それに応じて、前記ターゲットイベントが前記コンピュータセキュリティ脅威を示すか否かを前記比較の結果にしたがって判定するステップと
を含む、方法。 - 請求項12に記載の方法であって、
前記イベントシーケンスは中央イベントおよびイベントコンテキストを含み、前記イベントコンテキストは、前記中央イベントの前に発生するイベントの第1のサブセットと、前記中央イベントより後に発生するイベントの第2のサブセットとを含み、
前記選択されたイベントは前記イベントコンテキストのメンバであり、
前記予測インジケータは、前記ターゲットイベントが前記イベントシーケンスの前記中央イベントである可能性を示す、
方法。 - 請求項12に記載の方法であって、
前記挙動モデルはイベントエンコーダを含み、該イベントエンコーダは、イベント埋込空間における前記ターゲットイベントの位置を示す座標のセットを決定するように構成され、
前記少なくとも1つのハードウェアプロセッサは、前記ターゲットイベントが前記コンピュータセキュリティ脅威を示すか否かを前記位置にしたがって判定するようにさらに構成された、
方法。 - 請求項12に記載の方法であって、前記複数のクライアントシステムをクラスタにグループ化するステップは、
複数のイベントカテゴリを、前記トレーニングコーパスのトレーニングイベントが前記トレーニングコーパスの他のイベントの選択されたコンテキストにおいて発生するか否かにしたがって構築するステップと、
前記複数のイベントカテゴリの構築に応じて、各クライアントシステムのクラスタ割当を前記各クライアントシステムのイベントプロファイルにしたがって決定するステップであって、前記イベントプロファイルは、前記各クライアントシステムにおいて発生し、前記複数のイベントカテゴリの選択されたイベントカテゴリに属するイベントの回数にしたがって決定される、ステップと
を含む、方法。 - 請求項12に記載の方法であって、前記パラメータ値は、前記挙動モデルの別のインスタンスを前記ターゲットクラスタのメンバにおいて発生したイベントに関してトレーニングした結果にしたがって決定され、前記挙動モデルの前記別のインスタンスをトレーニングすることは、
中央イベントおよびイベントコンテキストを有するイベントのトレーニングシーケンスをアセンブルすることと、
前記挙動モデルの前記別のインスタンスを、前記トレーニングシーケンスの前記イベントコンテキストの受信に応じて、前記中央イベントが前記トレーニングシーケンスに属する可能性を示すトレーニング予測を生成するために用いることと、
前記パラメータ値を前記トレーニング予測にしたがって決定することと
を含む、方法。 - 請求項12に記載の方法であって、前記ターゲットクラスタを、前記ターゲットクライアントシステムが前記ターゲットクラスタのメンバであるか否かにしたがって選択するステップをさらに含む方法。
- 請求項12に記載の方法であって、前記ターゲットクラスタを選択するステップは、
多次元埋込空間における前記ターゲットクライアントシステムの位置を示す座標のセットを決定するステップと、
それに応じて、前記ターゲットクラスタを座標の前記セットにしたがって選択するステップと
を含む、方法。 - 請求項20に記載の方法であって、前記ターゲットクラスタを、前記埋込空間における前記ターゲットクラスタのメンバの位置を示す座標の別のセットにさらにしたがって選択するステップを含む方法。
- 請求項12に記載の方法であって、前記ターゲットイベントは、前記ターゲットクライアントシステムにおける選択されたプロセスの起動を含む、方法。
- 命令を記憶した非一時的コンピュータ可読媒体であって、前記命令は、コンピュータシステムの少なくとも1つのハードウェアプロセッサによって実行されると、前記コンピュータシステムに、
インジケータインジケータ ターゲットクライアントシステムにおけるターゲットイベントの発生のインジケーションの受信に応じて、前記ターゲットイベントを含むイベントシーケンスをアセンブルすることであって、前記イベントシーケンスのすべてのイベントは前記ターゲットクライアントシステムにおいて発生し、前記イベントシーケンスのメンバは、前記イベントシーケンスの各イベントの発生時間にしたがって配列された、アセンブルすることと、
前記インジケーションの受信に応じて、パラメータ値を、複数のパラメータ値から、前記ターゲットクライアントシステムにしたがって選択することと、
前記パラメータ値の選択に応じて、挙動モデルを前記パラメータ値でインスタンス化することであって、前記挙動モデルは、前記イベントシーケンスの選択されたイベントを入力し、それに応じて、前記イベントシーケンスが前記ターゲットイベントを含む可能性を示す予測インジケータを生成するように構成された、インスタンス化することと、
前記挙動モデルのインスタンス化に応じて、前記ターゲットイベントがコンピュータセキュリティ脅威を示すか否かを前記予測インジケータにしたがって判定することと
を行わせ、
前記複数のパラメータ値は、複数のクライアントクラスタにグループ化された複数のクライアントシステムにおいて発生したイベントのトレーニングコーパスにしたがって決定され、
前記複数のパラメータ値の各々は、前記トレーニングコーパスの別個のサブセットにしたがって決定され、各別個のサブセットは、複数のクライアントクラスタの別個のクラスタのメンバにおいて発生し、
前記パラメータ値を選択することは、ターゲットクラスタを、前記複数のクライアントクラスタから、前記ターゲットクライアントシステムにしたがって選択することと、前記パラメータ値を前記ターゲットクラスタにしたがって選択することとを含む、
非一時的コンピュータ可読媒体。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US16/215,251 | 2018-12-10 | ||
US16/215,251 US11153332B2 (en) | 2018-12-10 | 2018-12-10 | Systems and methods for behavioral threat detection |
PCT/EP2019/084312 WO2020120429A1 (en) | 2018-12-10 | 2019-12-10 | Systems and methods for behavioral threat detection |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2022512195A true JP2022512195A (ja) | 2022-02-02 |
JPWO2020120429A5 JPWO2020120429A5 (ja) | 2022-07-14 |
JP7389806B2 JP7389806B2 (ja) | 2023-11-30 |
Family
ID=68841136
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021533157A Active JP7389806B2 (ja) | 2018-12-10 | 2019-12-10 | 挙動による脅威検出のためのシステムおよび方法 |
Country Status (11)
Country | Link |
---|---|
US (1) | US11153332B2 (ja) |
EP (1) | EP3895048B1 (ja) |
JP (1) | JP7389806B2 (ja) |
KR (1) | KR102403629B1 (ja) |
CN (1) | CN113168469B (ja) |
AU (1) | AU2019400060B2 (ja) |
CA (1) | CA3120423A1 (ja) |
ES (1) | ES2946062T3 (ja) |
IL (1) | IL283698B2 (ja) |
SG (1) | SG11202105054UA (ja) |
WO (1) | WO2020120429A1 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102165494B1 (ko) * | 2018-12-28 | 2020-10-14 | 네이버 주식회사 | 온라인 서비스에서의 비정상 사용 행위 식별 방법, 장치 및 컴퓨터 프로그램 |
US11032244B2 (en) | 2019-09-30 | 2021-06-08 | BitSight Technologies, Inc. | Systems and methods for determining asset importance in security risk management |
US20220284433A1 (en) * | 2021-03-04 | 2022-09-08 | Capital One Services, Llc | Unidimensional embedding using multi-modal deep learning models |
CN115456789B (zh) * | 2022-11-10 | 2023-04-07 | 杭州衡泰技术股份有限公司 | 基于交易模式识别的异常交易检测方法及其系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007242002A (ja) * | 2006-02-10 | 2007-09-20 | Mitsubishi Electric Corp | ネットワーク管理装置及びネットワーク管理方法及びプログラム |
US20140215618A1 (en) * | 2013-01-25 | 2014-07-31 | Cybereason Inc | Method and apparatus for computer intrusion detection |
JP2017126282A (ja) * | 2016-01-15 | 2017-07-20 | 富士通株式会社 | 検知プログラム、検知方法および検知装置 |
US20170279829A1 (en) * | 2016-03-25 | 2017-09-28 | Cisco Technology, Inc. | Dynamic device clustering using device profile information |
JP2018520419A (ja) * | 2015-05-17 | 2018-07-26 | ビットディフェンダー アイピーアール マネジメント リミテッド | コンピュータセキュリティアプリケーション用のカスケード型分類器 |
Family Cites Families (46)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6526405B1 (en) * | 1999-12-17 | 2003-02-25 | Microsoft Corporation | Determining similarity between event types in sequences |
EP1277326A2 (en) | 2000-04-28 | 2003-01-22 | Internet Security Systems, Inc. | Method and system for managing computer security information |
US6742124B1 (en) | 2000-05-08 | 2004-05-25 | Networks Associates Technology, Inc. | Sequence-based anomaly detection using a distance matrix |
US6973577B1 (en) | 2000-05-26 | 2005-12-06 | Mcafee, Inc. | System and method for dynamically detecting computer viruses through associative behavioral analysis of runtime state |
US7818797B1 (en) | 2001-10-11 | 2010-10-19 | The Trustees Of Columbia University In The City Of New York | Methods for cost-sensitive modeling for intrusion detection and response |
US7035863B2 (en) | 2001-11-13 | 2006-04-25 | Koninklijke Philips Electronics N.V. | Method, system and program product for populating a user profile based on existing user profiles |
US7234166B2 (en) | 2002-11-07 | 2007-06-19 | Stonesoft Corporation | Event sequence detection |
US7716739B1 (en) | 2005-07-20 | 2010-05-11 | Symantec Corporation | Subjective and statistical event tracking incident management system |
US8135994B2 (en) | 2006-10-30 | 2012-03-13 | The Trustees Of Columbia University In The City Of New York | Methods, media, and systems for detecting an anomalous sequence of function calls |
US8448249B1 (en) | 2007-07-31 | 2013-05-21 | Hewlett-Packard Development Company, L.P. | Methods and systems for using lambda transitions for processing regular expressions in intrusion-prevention systems |
US8719936B2 (en) | 2008-02-01 | 2014-05-06 | Northeastern University | VMM-based intrusion detection system |
US20090328215A1 (en) | 2008-06-30 | 2009-12-31 | Microsoft Corporation | Semantic networks for intrusion detection |
GB0816556D0 (en) | 2008-09-10 | 2008-10-15 | Univ Napier | Improvements in or relating to digital forensics |
US8370931B1 (en) | 2008-09-17 | 2013-02-05 | Trend Micro Incorporated | Multi-behavior policy matching for malware detection |
US20120137367A1 (en) | 2009-11-06 | 2012-05-31 | Cataphora, Inc. | Continuous anomaly detection based on behavior modeling and heterogeneous information analysis |
US8661034B2 (en) | 2010-02-03 | 2014-02-25 | Gartner, Inc. | Bimodal recommendation engine for recommending items and peers |
US8752171B2 (en) | 2010-09-03 | 2014-06-10 | Mcafee, Inc. | Behavioral tracking system, method, and computer program product for undoing events based on user input |
US8572239B2 (en) | 2010-09-20 | 2013-10-29 | Microsoft Corporation | Node clustering |
US20120278354A1 (en) | 2011-04-29 | 2012-11-01 | Microsoft Corporation | User analysis through user log feature extraction |
CN103765820B (zh) * | 2011-09-09 | 2016-10-26 | 惠普发展公司,有限责任合伙企业 | 基于依照事件序列中时间位置的参考基线评估事件的系统和方法 |
US9058486B2 (en) | 2011-10-18 | 2015-06-16 | Mcafee, Inc. | User behavioral risk assessment |
US8839435B1 (en) | 2011-11-04 | 2014-09-16 | Cisco Technology, Inc. | Event-based attack detection |
US9129227B1 (en) | 2012-12-31 | 2015-09-08 | Google Inc. | Methods, systems, and media for recommending content items based on topics |
US20140230062A1 (en) | 2013-02-12 | 2014-08-14 | Cisco Technology, Inc. | Detecting network intrusion and anomaly incidents |
US9225737B2 (en) | 2013-03-15 | 2015-12-29 | Shape Security, Inc. | Detecting the introduction of alien content |
US9166993B1 (en) | 2013-07-25 | 2015-10-20 | Symantec Corporation | Anomaly detection based on profile history and peer history |
GB2519941B (en) | 2013-09-13 | 2021-08-25 | Elasticsearch Bv | Method and apparatus for detecting irregularities on device |
US10089330B2 (en) | 2013-12-20 | 2018-10-02 | Qualcomm Incorporated | Systems, methods, and apparatus for image retrieval |
US20170039198A1 (en) * | 2014-05-15 | 2017-02-09 | Sentient Technologies (Barbados) Limited | Visual interactive search, scalable bandit-based visual interactive search and ranking for visual interactive search |
US9798883B1 (en) * | 2014-10-06 | 2017-10-24 | Exabeam, Inc. | System, method, and computer program product for detecting and assessing security risks in a network |
EP3221793B1 (en) | 2014-11-18 | 2018-10-17 | Vectra Networks, Inc. | Method and system for detecting threats using passive cluster mapping |
US9652316B2 (en) | 2015-03-31 | 2017-05-16 | Ca, Inc. | Preventing and servicing system errors with event pattern correlation |
US9536072B2 (en) * | 2015-04-09 | 2017-01-03 | Qualcomm Incorporated | Machine-learning behavioral analysis to detect device theft and unauthorized device usage |
US20160352759A1 (en) | 2015-05-25 | 2016-12-01 | Yan Zhai | Utilizing Big Data Analytics to Optimize Information Security Monitoring And Controls |
CN105989849B (zh) | 2015-06-03 | 2019-12-03 | 乐融致新电子科技(天津)有限公司 | 一种语音增强方法、语音识别方法、聚类方法及装置 |
US20170140384A1 (en) * | 2015-11-12 | 2017-05-18 | Fair Isaac Corporation | Event sequence probability enhancement of streaming fraud analytics |
CA3007844C (en) | 2015-12-11 | 2021-06-22 | Servicenow, Inc. | Computer network threat assessment |
US9762611B2 (en) | 2016-02-16 | 2017-09-12 | Cylance Inc. | Endpoint-based man in the middle attack detection using machine learning models |
EP3485396B1 (en) | 2016-07-14 | 2020-01-01 | Google LLC | Classifying images using machine learning models |
US10832165B2 (en) | 2016-12-02 | 2020-11-10 | Facebook, Inc. | Systems and methods for online distributed embedding services |
US10552501B2 (en) | 2017-03-28 | 2020-02-04 | Oath Inc. | Multilabel learning via supervised joint embedding of documents and labels |
US10726128B2 (en) | 2017-07-24 | 2020-07-28 | Crowdstrike, Inc. | Malware detection using local computational models |
US20190130305A1 (en) | 2017-10-27 | 2019-05-02 | Intuit Inc. | Methods, systems, and computer program product for implementing an intelligent system with dynamic configurability |
US20190296933A1 (en) | 2018-03-20 | 2019-09-26 | Microsoft Technology Licensing, Llc | Controlling Devices Based on Sequence Prediction |
US11636287B2 (en) | 2018-03-28 | 2023-04-25 | Intuit Inc. | Learning form-based information classification |
US20190340615A1 (en) * | 2018-05-04 | 2019-11-07 | International Business Machines Corporation | Cognitive methodology for sequence of events patterns in fraud detection using event sequence vector clustering |
-
2018
- 2018-12-10 US US16/215,251 patent/US11153332B2/en active Active
-
2019
- 2019-12-10 KR KR1020217017510A patent/KR102403629B1/ko active IP Right Grant
- 2019-12-10 CN CN201980081446.2A patent/CN113168469B/zh active Active
- 2019-12-10 JP JP2021533157A patent/JP7389806B2/ja active Active
- 2019-12-10 IL IL283698A patent/IL283698B2/en unknown
- 2019-12-10 CA CA3120423A patent/CA3120423A1/en active Granted
- 2019-12-10 EP EP19817694.3A patent/EP3895048B1/en active Active
- 2019-12-10 SG SG11202105054UA patent/SG11202105054UA/en unknown
- 2019-12-10 WO PCT/EP2019/084312 patent/WO2020120429A1/en unknown
- 2019-12-10 ES ES19817694T patent/ES2946062T3/es active Active
- 2019-12-10 AU AU2019400060A patent/AU2019400060B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007242002A (ja) * | 2006-02-10 | 2007-09-20 | Mitsubishi Electric Corp | ネットワーク管理装置及びネットワーク管理方法及びプログラム |
US20140215618A1 (en) * | 2013-01-25 | 2014-07-31 | Cybereason Inc | Method and apparatus for computer intrusion detection |
JP2018520419A (ja) * | 2015-05-17 | 2018-07-26 | ビットディフェンダー アイピーアール マネジメント リミテッド | コンピュータセキュリティアプリケーション用のカスケード型分類器 |
JP2017126282A (ja) * | 2016-01-15 | 2017-07-20 | 富士通株式会社 | 検知プログラム、検知方法および検知装置 |
US20170279829A1 (en) * | 2016-03-25 | 2017-09-28 | Cisco Technology, Inc. | Dynamic device clustering using device profile information |
Also Published As
Publication number | Publication date |
---|---|
WO2020120429A1 (en) | 2020-06-18 |
AU2019400060B2 (en) | 2024-01-11 |
CN113168469B (zh) | 2024-04-23 |
EP3895048B1 (en) | 2023-04-05 |
IL283698B2 (en) | 2024-05-01 |
IL283698A (en) | 2021-07-29 |
EP3895048A1 (en) | 2021-10-20 |
US11153332B2 (en) | 2021-10-19 |
CN113168469A (zh) | 2021-07-23 |
JP7389806B2 (ja) | 2023-11-30 |
CA3120423A1 (en) | 2020-06-18 |
AU2019400060A1 (en) | 2021-06-03 |
KR102403629B1 (ko) | 2022-05-31 |
KR20210102897A (ko) | 2021-08-20 |
US20200186546A1 (en) | 2020-06-11 |
SG11202105054UA (en) | 2021-06-29 |
ES2946062T3 (es) | 2023-07-12 |
IL283698B1 (en) | 2024-01-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7319370B2 (ja) | 挙動による脅威検出のためのシステムおよび方法 | |
JP7389806B2 (ja) | 挙動による脅威検出のためのシステムおよび方法 | |
US20220263860A1 (en) | Advanced cybersecurity threat hunting using behavioral and deep analytics | |
JP7069399B2 (ja) | コンピュータセキュリティインシデントを報告するためのシステムおよび方法 | |
JP7319371B2 (ja) | 挙動による脅威検出のためのシステムおよび方法 | |
CA3120423C (en) | Systems and methods for behavioral threat detection | |
RU2772549C1 (ru) | Системы и способы детектирования поведенческих угроз | |
RU2803399C2 (ru) | Системы и способы детектирования поведенческих угроз | |
RU2778630C1 (ru) | Системы и способы детектирования поведенческих угроз |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220706 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220706 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230621 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230626 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230828 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231019 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231117 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7389806 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |