JP2022521833A - 効率的なサブグラフ検出のためのグラフストリームマイニングパイプライン - Google Patents
効率的なサブグラフ検出のためのグラフストリームマイニングパイプライン Download PDFInfo
- Publication number
- JP2022521833A JP2022521833A JP2021557956A JP2021557956A JP2022521833A JP 2022521833 A JP2022521833 A JP 2022521833A JP 2021557956 A JP2021557956 A JP 2021557956A JP 2021557956 A JP2021557956 A JP 2021557956A JP 2022521833 A JP2022521833 A JP 2022521833A
- Authority
- JP
- Japan
- Prior art keywords
- node
- unknown
- subgraph
- botnet
- seed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000005065 mining Methods 0.000 title claims abstract description 40
- 238000001514 detection method Methods 0.000 title claims description 48
- 238000000034 method Methods 0.000 claims abstract description 50
- 238000004891 communication Methods 0.000 claims description 23
- 239000000284 extract Substances 0.000 claims description 2
- 238000012545 processing Methods 0.000 abstract description 26
- 238000004458 analytical method Methods 0.000 description 15
- 230000008569 process Effects 0.000 description 13
- 238000005516 engineering process Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000007726 management method Methods 0.000 description 4
- 101100332287 Dictyostelium discoideum dst2 gene Proteins 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 239000004065 semiconductor Substances 0.000 description 3
- 238000003491 array Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 239000002184 metal Substances 0.000 description 2
- 229910044991 metal oxide Inorganic materials 0.000 description 2
- 150000004706 metal oxides Chemical class 0.000 description 2
- 239000000203 mixture Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000002360 preparation method Methods 0.000 description 2
- 238000003672 processing method Methods 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 102100026278 Cysteine sulfinic acid decarboxylase Human genes 0.000 description 1
- 101001019013 Homo sapiens Mitotic interactor and substrate of PLK1 Proteins 0.000 description 1
- 102100033607 Mitotic interactor and substrate of PLK1 Human genes 0.000 description 1
- XUIMIQQOPSSXEZ-UHFFFAOYSA-N Silicon Chemical compound [Si] XUIMIQQOPSSXEZ-UHFFFAOYSA-N 0.000 description 1
- 101100534231 Xenopus laevis src-b gene Proteins 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 239000008280 blood Substances 0.000 description 1
- 210000004369 blood Anatomy 0.000 description 1
- 210000001124 body fluid Anatomy 0.000 description 1
- 239000010839 body fluid Substances 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 229920000547 conjugated polymer Polymers 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000011982 device technology Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000005669 field effect Effects 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 230000001537 neural effect Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 229920000642 polymer Polymers 0.000 description 1
- 108010064775 protein C activator peptide Proteins 0.000 description 1
- 229910052710 silicon Inorganic materials 0.000 description 1
- 239000010703 silicon Substances 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/901—Indexing; Data structures therefor; Storage structures
- G06F16/9024—Graphs; Linked lists
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
- H04L43/045—Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Probability & Statistics with Applications (AREA)
- Algebra (AREA)
- Pure & Applied Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Debugging And Monitoring (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
グラフストリームマイニング処理システムおよび方法は、複数のデータストリームからのデータを分析するために用いられ得る。一実施形態において、グラフストリームマイニング処理システムおよび方法は、1つまたは複数の候補ボットネットの悪意のあるノードを検出するために用いられ得る。
Description
本開示は一般にグラフ分析に関し、特に、特定の目的および/または理由のために構築されたサブグラフの検出に関する。
グラフマイニングは、バイオインフォマティクス、プログラムフロー分析、コンピュータネットワーク、およびサイバーセキュリティを含む様々な領域で広く用いられる。グラフマイニングにおいて、データセットはグラフとして表され、グラフから知見を得るために分析される。グラフストリームマイニングは、グラフデータのストリームを分析するある種のグラフマイニングである。グラフストリームマイニングは、例えば、サイバーセキュリティ領域における「ボットネット」の検出のために用いられ得る。ボットネットは、多くのやり方でインターネットにわたって攻撃者によって制御され用いられる悪意のあるコンピュータのグループである。今日、多くのサイバーセキュリティ攻撃はボットネットを用いる。例えば、大規模な分散サービス拒否(DDoS)攻撃 のために、数万台の悪意のあるコンピュータが用いられる。これらの悪意のあるコンピュータの多くは、消費者によって所有され、マルウェアに感染して、攻撃者によって悪用される。ボットネットはインターネットサービスに影響を及ぼし、したがって世界的に社会に対する非常に大きな脅威になりつつある。したがって、コンピュータネットワークがボットネット攻撃から保護されることができ、究極的にボットネットが識別され無力化され得るように、ボットネットの構造を検出し、それらの構成体を識別することが重要である。
インターネットサービスプロバイダ(ISP)は通常、ネットワークフローデータ(「ネットフロー」)を収集し、これはインターネット上のコンピュータの間の通信の記録、すなわち互いに通信するコンピュータを示す履歴データである。ネットワークフローデータは、有向グラフとして表現されることができ、それにおいてコンピュータはノードとして、フロー(またはコンピュータの間の通信)はエッジとして表される。グラフとして表されたネットワークフローデータは、次いでインターネット内のボットネットを検出するために分析される。このような検出は、分析されるべきデータの莫大な量および複雑さのために時間がかかり、間違いを起こしやすい。
したがって、グラフマイニングを遂行する、知られている既存のシステムおよび方法には技術的問題があり、なぜならそれらは、ネットワークフローデータなど、連続的に更新されるデータの大きなセットに適用するには非効率的過ぎ、したがって例えば、ボットネットを効果的に検出するために用いられることができないからである。したがって、非効率性およびスケーラビリティ問題に対処し、この技術的問題に対する技術的解決策をもたらす、グラフマイニングのためのシステムおよび方法をもたらすことが望ましく、それが本開示が対象とする目的である。
本開示は、ボットネット検出における使用のために、以下で開示される要素を有するグラフストリームマイニングパイプラインシステムに特に適用可能であり、この関連において本開示が述べられる。しかし、グラフストリームマイニングパイプラインシステムは様々なタイプのデータセットに対して用いられることができ、以下で論じられるボットネット例に限定されず、グラフストリームマイニングパイプラインシステムおよび方法は、以下で開示されるものとは異なって実施されることができるので、システムおよび方法はより大きな有用性を有し、それらの他の実装形態は本開示の範囲内であることが理解されるであろう。
開示されるシステムおよび方法は、プロセスを著しく並列化およびパイプライン化することによって、非効率性およびスケーラビリティによる上述の技術的問題に対する技術的解決策をもたらす。したがって、システムおよび方法は、大量のグラフストリーミングデータから、所与のシードノードに関連のあるノードを検出するための、任意のグラフストリーミングマイニングタスクにおいて用いられ得る。したがって、開示されるシステムおよび方法は、開示されるシステムおよび方法によって実施される効率的およびスケーラブルな処理能力を活用することができる、今後開発されるようになるグラフストリームマイニングを含む、グラフストリーミングマイニングとして用いられ得る、効率的およびスケーラブルなパイプラインを可能にする。
本明細書の以下で、グラフストリームマイニングの例示的な例は、トリックボットマルウェアのために用いられるボットネットを検出するシステムである。ボットネットは、被害者、コマンドおよびコントローラサーバ(またはC&Cサーバ:command & controller server)、およびボットマスタからなる。被害者は、トリックボットマルウェアに感染したコンピュータである。例えば、被害者は、銀行の従業員によって用いられる、およびなりすましの電子メールメッセージに添付されたマルウェアによって感染した、コンピュータとすることができる。被害者は、例えば、顧客のアカウント番号およびパスワードを盗み出して、ボットネットの背後の犯罪者に送る。C&Cサーバは、コマンドを送ることによって被害者を制御するコンピュータである。ボットマスタはC&Cサーバを制御するコンピュータである。この例において、ネットワークフローデータを、ノードとしてのコンピュータと、エッジとしてのコンピュータの間のネットワークフローとからなる有向グラフとして表す。例えば、図8は、2つのノード(xxx.23.23.23IPアドレスでのソースノードと、yyy.33.44.55IPアドレスでの宛先ノード)の間のデータフローについての情報を示す、ネットワークフローデータの例を示す。ネットワークフローデータはまた、開始時間、持続時間、ソースおよび宛先ポート番号、データフローにおけるパケットの数およびパケットのサイズを含み得る。上記に基づいて、図9に示されるようなネットワークフローグラフは、例示的ネットワークフローデータから生成され、そこではグラフ内の各ノードは、IPアドレスである識別子を有するノード(ネットワークフローデータ内のソースまたは宛先)であり、ノード間のエッジはデータフローである。これらのグラフは、時間と共に絶えず変化され、したがってボットネット検出のために、開示されるグラフストリームマイニングを必要とする。
図1Aは、グラフストリームマイニング処理システムを用いて検出され得る一般的ボットネット100の例を示す。図1Aに示されるように、ボットネット100は、多くのやり方でインターネットにわたって攻撃者によって制御され用いられる、悪意のあるコンピュータのグループを含むことができ、目標は、ボットネットの一部であるそれぞれの悪意のあるコンピュータ(およびそのIPアドレス)を検出/識別することである。ボットネット100は、C&Cコンピュータおよびボットマスタが顧客コンピュータを制御することを可能にするマルウェアをインストールした、複数の感染した顧客コンピュータ106A~Nを制御するコマンドおよび制御ソフトウェアを実行することができる、複数のコマンドおよび制御コンピュータ/サーバ104A~Nを制御するボットマスタコンピュータ102を含み得る。図1Aに示されるコンピュータのすべては、悪意のあるコンピュータのグループである。
コンピュータセキュリティにおいて、上述のトリックボットなど、そのボットネットの脅威を取り除くまたは低減するために、ボットネットの一部であるコンピュータ(およびそのIPアドレス)のそれぞれまたは好ましくはすべてを検出できることが望ましい。トリックボットボットネットのスナップショットの例は、図1Bに示される。以下で述べられるグラフストリームマイニング処理システムによれば、開示されるシステムは、C&Cコンピュータ104N(図1の最も右側)を識別することができ、識別されたC&CコンピュータおよびそのIPアドレスをシードとして用いて、図1に示される3つの他のC&Cコンピュータ/ノードを検出することができる。前に未知であったそれらのC&Cノード104A~Cは、次いでブラックリスト/MSSに追加され得る。これは、グラフストリームマイニング処理システムからの結果/データの何が、達成するために用いられ得るかの例である。
図2は、ボットネットコンピュータ検出を達成することができるグラフストリームマイニング処理システムを含む、ボットネット検出システム200の実施形態を示す。システム200は、PCAPフィード(ネットワークについてのパケットデータ)と、TI/MISPフィード(オープンソース脅威情報)とを受信し、それらのフィードに基づいて1つまたは複数の識別された悪意のあるIPアドレスを生成する、キュレートされた悪意のあるIPアドレスシード発生器202を有することができる。発生器202のさらなる詳細、その実装形態、および詳しい動作は、参照によりその全体が本明細書に組み込まれている、2018年6月1日に出願した「Ensemble-Based Data Curation Pipeline for Efficient Label Propagation」という名称の米国特許出願第15/996,213号に示されている。図3は、図2の悪意のあるシード発生器によって生成された、例示の悪意のあるIPアドレスシードを示す。図3の例に示されるように、フィードに基づいて1つまたは複数の悪意のあるIPアドレスが識別されている。
1つまたは複数の悪意のあるIPアドレス、および既知のネットフローデータは、グラフストリームマイニングプロセッサ204に入力され、グラフストリームマイニングプロセッサ204は、ボットネットおよびボットネットコンピュータを検出するようにその中でシステムが用いられている例において、検出されたボットネットコンピュータを出力する。グラフストリームマイニングプロセッサ204およびその要素は、図4Aおよび4Bにより詳しく示される。
図4Aおよび4Bは、ボットネット検出のために用いられ得るグラフストリームマイニング処理システム/モジュール204のより詳細を示すが、他のタイプのデータの処理のために用いられてよく、ボットネット検出に限定されない。システム204は、到来するデータストリームを各ジョブ(カスタムジョブ1、カスタムジョブ2、・・・、カスタムジョブn、またはシードサブグラフ生成ジョブ)に分配するメッセージングキュー400内に、1つまたは複数の未処理のデータストリーム(例えば、ボットネット検出例に対するネットワークフローデータ)を受信することができる。メッセージングキューは、異なるジョブの並列処理を実施するために用いられる。ボットネット検出の例示の実装形態において、並列処理されるジョブの各ジョブは、特定のポートからのまたはそれへのネットワークフローデータからの通信などデータを抽出し、および/または以下で述べられるようにネットワークフローデータ内の関連のあるサブグラフを検出し得る。メッセージングキューは、並列処理を実施するやり方については知られているが、ネットワークフローデータに対する並列処理を行うために用いられること、またはボットネット(またはトリックボット)検出プロセスにおいてボットネットに対する候補ノードを生成することについては知られていない。各ジョブ(その詳細は以下で述べられる)は、ジョブを作り出し、更新し、終了し、または削除するジョブ管理モジュール402によって管理され得る。ジョブ管理モジュール4021はまた、並列処理の実装形態の一部である。ジョブ(結果)のそれぞれの出力は、図4Aに示されるようにストレージ管理モジュール404によって、1つまたは複数のストアに記憶されることができ、ストレージ管理モジュール404は、データに対してそれがそれのストアに記憶される前に、データ処理またはデータフォーマット化動作を行い得る。各ジョブの出力は、CSV/JSONその他、または圧縮化フォーマットなど、様々なフォーマットで受信されることができ、出力はネットワークフローデータまたはシードサブグラフから抽出されたデータとすることができる。
例示的なボット検出例に加えて、図4Aおよび4Bに示されるシステムは、データセットがグラフとして表され得る関係を含む、任意の無限のデータに対して用いられ得る。例えば、他の応用例は、自動車および道路データストリームに基づく道路最適化およびプランニングのための自動車の通行量分析、ならびに医療診断のための血液(および他の体液)の流れ分析を含み得る。
システム204はまた、1つまたは複数のユーザのためのジョブ要求をジョブマネージャ402に送り、ジョブ結果についてストレージマネージャ404と通信するAPIサーバ406を有し得る。APIサーバ406は、カスタムジョブ結果と、サブグラフ検出結果(その結果がストレージマネージャ404によって記憶される、サブグラフ検出モジュール408からの)とを分析モジュール410に通信し得る。APIサーバ406はまた、シードサブグラフを、以下でより詳しくその動作が述べられるサブグラフ検出モジュール408に通信し得る。サブグラフ検出モジュール408は、サブグラフ検出結果を、APIサーバ406と、分析モジュール410とに返し得る。分析モジュール410は、以下でより詳しく述べられるように、ボットネット検出例における候補ボットネットノードのセットなど、結果に達するために分析および検証を行い得る。分析モジュール410は、分析結果をユーザに表示し得る。ボットネット検出のための分析モジュール410からのグラフィック表示の2つの例が、図10および11に示される。図10は、国ごとのボットネットのノードをグラフィック的に表示し、図11は、検出されたトリックボットの異なるレイヤ内のノードを示す。
Bilge, Leyla, et al. "Disclosure: detecting botnet command and control servers through large-scale netflow analysis.".Proceedings of the 28th Annual Computer Security Applications Conference.ACM, 2012など、ボットネットを検出するためのフローデータの統計的分析に基づく機械学習モデルを用いる既存のシステムがある。これらのシステムは、3つの重大な問題、(1)、最終結果を得るための時間が長いことと、(2)フォールスポジティブ率が高いことと、(3)不十分な解釈可能性とを有する。開示されるグラフストリームマイニング方法およびシステムは、(1)統計量を計算するならびにシードサブグラフを記憶および処理する必要性を取り除くことによって、リアルタイムで最終結果を生じる、(2)必要に応じて検出基準を用いることによってより低いフォールスポジティブ率を達成する、および(3)結果を特定の、人間が読める基準に帰することを用いることおよびしたがってそれらを可能にすることによって、より高い解釈可能性を実証する。
図5は、グラフストリームマイニング処理を用いたボットネット検出のための方法500を示す。方法は、図2および4A~4Bに示されるシステムによって行われ得るが、またソフトウェア実施形態において複数の行のコンピュータコードをプロセッサが実行する、プロセッサを有する他のコンピュータシステムによって、またはハードウェア実施形態において、マイクロプロセッサ、GPU、データプロセッサなどの他のハードウェア要素によって行われ得る。方法において、ネットワークフローデータ(図4Aに示される未処理のデータストリームとすることができる)は、一連のプロセスを用いてボットネットを検出するために分析される、グラフストリームとすることができる。第1のプロセス502は、グラフストリーム準備とすることができ、その間にユーザは、ジョブ要求、シードノード、およびシードサブグラフマッチング基準を準備し、図4Aおよび4Bに示される例示のシステムなどの、システムに入力する。ジョブ記述/要求は、グラフストリーム処理モジュール/システムにおいて実行されるようになるジョブを記述する。例えば、ジョブ記述は、しばしばボットネット攻撃において用いられる、ポート447を通じたトラフィックを含むネットワークフローデータを収集し、記憶することとすることができる。ジョブの他の例(行われるカスタムジョブの1つとすることができる)は、そのことがそれらのホストをボットネットの一部であることの候補にする、所与の閾値より多くの1秒当たりのフローを有するホストを含むネットワークフローデータを収集し、記憶することである。ジョブ記述は、グラフストリーム処理システムのAPIサーバを通して提出され得る。各シードノードは、システムがトリックボットマルウェアの悪意のあるコンピュータを検出するために用いられているときの、トリックボットマルウェアのそれぞれの既知のC&CサーバのIPアドレスである(例えば、図3に示されるような、94.23.252.37)。
シードサブグラフマッチング基準は、グラフストリームとして表されるネットワークフローデータ内の関心のあるサブグラフを検出する条件のセットを定義する。例えば、基準は、シードノードを用いた、一定の閾値量より多いトラフィックを有するC&Cサーバ候補を検出する。図6は、グラフストリーム処理方法に入力され得る、シードサブグラフマッチング基準のセットの例600を示す。示されるように、シードサブグラフマッチング基準のセットは、図6の例においてdst1であるシードノードからの、ピボットノード構造を用いることができる。シードサブグラフマッチング基準のセットは、ピボットノード構造内に見出されるネットワークフローデータ内のノードを検出することができ、それらのノードはボットネットインフラストラクチャのための候補である。ピボットノード構造(以下でより詳しく述べられる)を用いて、図6の例でのsrc1など、第1のピボットノードからまたはそれへの各ネットワークフローデータストリームにおける通信は、閾値Nまで、追加の依存性が捕捉されるのを可能にするように記憶される。さらに、通信は深さDにおいて記憶される。S個の出現は、エッジがピボットノードになることを示し得る。値Nは、グラフに記憶するための(およびしたがって次のレベルにおいてピボット候補と見なす)、内向きおよび外向きのエッジの数を決定する。アルゴリズムは同じままであるが、Nがより大きな値になるのに従って、計算的により重くなる。Dは、単一のシードに基づいて、グラフがどれだけ「深く」なり得るかの制限を設定し、すなわちこれは、関心がもたれるシードからの最大距離(関係性リンク)である。Sのより高い値は、代わりに、それらがピボットノードに拡大する、すなわちゆっくりとグラフ構造を成長させるのを可能にするように、ノードの間のより連続した関係性を必要とする。
図6の例において、シードサブグラフマッチング基準のセットは、t1において深さ0での第1のフェーズ、t2において深さ1での第2のフェーズ、およびt3において深さ2での第3のフェーズを有し得る。各ノードは、ネットワークフローデータから導き出されるsrc1などのラベルを有するが、各ノードはまたそれのIPアドレスラベルを有する。例えば、src1ノードは、図8の例に示される、xxx.23.23.23IPアドレスを有し得る。第1のフェーズにおいて、src1ノード(ピボットノード)は、シードノードdst1に関連付けられる。src1ピボットノードは、シードノード、dst1との、ネットワークフローデータ内のトラフィックの閾値量に基づいて決定される。ピボット深さ1での第2のフェーズにおいて、src2およびdst2ノードが識別される。ピボット深さ2での第3のフェーズにおいて、src3が深さ2でのピボットノードとして識別され、図6に示されるように、dst2とdst1との間で直接パスが識別されたので、dst2は深さ1から深さ0に移動される。
準備プロセス502の間、ユーザはまた、ネットワークフローデータフィードを準備し、それらをグラフストリーム処理モジュールに供給する。このようなデータは、ネットワークデバイス、例えば、ルータから収集され得る。外部情報は、図4Bに示されるような分析モジュールにおける分析結果を検証するために用いられ得る。以下で述べられるように、外部ソースの例は、よく知られているウイルストータル(Virus Total)データである。ウイルストータル(VT)は、所与のIPアドレスに悪意があるか否かを示す。グラフストリームマイニングシステムの結果を、VTからの結果と比較することによって、システムは開示されるシステムからの予測が、VTと同じであるかどうかをチェックすることができる。VTとの一致は、グラフストリームマイニングシステムの結果をベンチマークテストするために用いられ得る。例えば、グラフストリームマイニングシステムからの結果は、同じケースにおいて、2週間より大きくVTの知見を先行したことが見出された。
図5に戻ると、方法は、504でグラフストリームデータを取り込み得る。具体的にはネットフローフォーマットでのネットワークフローデータは、図4Aおよび4Bに示されるシステムのメッセージングキュー400に連続して供給され得る。ネットフローデータ(グラフストリームの形での)が取り込まれた後、方法はユーザのジョブ506を実行し得る。具体的には、カスタムジョブおよびシードサブグラフ生成ジョブは、メッセージングキュー400からデータを取り出し、ジョブ記述と一致するデータを収集し、図6および7A~7Cに示されるように収集されたデータからサブグラフを構築する。次いでシステムのAPIサーバ406はサブグラフを、よく知られているやり方で、適切な認証情報を用いてHTTPSを通じて専用のURLを通して、他のモジュール(サブグラフ検出器408および/または分析モジュール410)にアクセス可能にすることができる。
方法は次いで、サブグラフ検出プロセス508を行い得る。このプロセスの間、サブグラフ検出モジュール408は、1つまたは複数のノイズ低減基準を適用することによって、シードサブグラフストア内の被害者および無害のコンピュータをフィルタで取り除く。例えば、ノイズ低減基準は、グーグル検索サイトなど、人気があるウェブサイトにアクセスすることを含む、通常の消費者のウェブブラウジングトラフィックパターンを示す消費者のコンピュータを検出し、除外することである。このプロセス508は次いで、例示的目的のために用いられるボットネット検出例におけるC&Cサーバおよびボットマスタ候補を検出するために、1つまたは複数のサブグラフ検出基準を、ストレージマネージャ404に接続されたシードサブグラフストア内のデータに適用することができる。
図7A~7Cは、グラフストリームマイニング処理システムによって実施され得るサブグラフ検出基準700、702、704の例を示す。方法において、これらのサブグラフ検出基準の1つまたは複数は、関連のあるサブグラフを識別するために、ストレージマネージャ404に接続されたシードサブグラフストア内の各データに適用され得る。第1のサブグラフ検出基準700は、図7Aに示されるように1つまたは複数の中間/リンカーノードによって既知の悪意のあるノード(図7AのB2B IPノード)に接続された、未知の高中心性ノード(複数の内向きネットワークデータフローを有するノード)を有するサブグラフを識別することができる。サブグラフ内の各リンカーノードは、ボットネットにおけるそれの悪意性/参加が既知であり、何らかの形で未知のノードを既知のボットネットノード/IPアドレスにリンクするノードである。各未知のノードは、方法が行われている時点で悪意のあるものとして既知ではないノードである。
第2のサブグラフ検出基準702は、2つ以上の既知の悪意のある/ボットネットノード(例におけるB2B IPノード)によって用いられる、未知のコールバックノードを有するサブグラフを識別することができる。未知のコールバックノードは、悪意のあるまたはボットネットの一部であるとのステータスが未知であり、それに対してネットワークフローデータに基づいて2つ以上のボットネットノードがコールバックするノードである。コールバックノードは、ボットネットの例において、ボットネットのボットマスタになる候補である。
第3のサブグラフ検出基準704は、リンカーノードからの相関する/並列の一時的通信パターンを有するサブグラフを識別することができる。図7Cに示される例において、リンカーノードは、既知の悪意のあるノード(例においてB2B IP)および未知のノードとの連続的な通信を有する。したがってサブグラフのそれぞれは、ボットネットノード/悪意のあるノードの候補である少なくとも1つの未知のノードを識別する。一例において、リンカーノードは既知のボットマスタとすることができ、未知のノードはボットマスタによって制御されているC&Cサーバとすることができる。
図5に戻ると、サブグラフが識別された後、方法は分析および検証510を行うことができる。例示的目的のために用いられているボットネットの例において、分析および検証は、ボットネットの一部である可能性が高い、1つまたは複数の未知の候補ノードを生成し得る。図4Aおよび4Bのシステムを用いてより詳細には、このプロセス510は、APIモジュール406からのカスタムジョブからの結果、およびサブグラフ検出モジュールからの結果を取得し、次いでこれらの結果の相関をとって最終候補のセットを作り出す。相関は、カスタムジョブ結果およびサブグラフ検出結果に含まれるIPアドレスのセットの論理的組み合わせを行うことによってなされる。この相関の例は、図11に示され、そこではボットマスタは、TRICKBOT_C2_MCCONFからTRICKBOT_LAYER2を経て実際のボットマスタへの外向きのエッジによって識別される。最終候補が識別された後、最終候補は、商用マルウェア情報サイトであるウイルストータルなどの、外部ソースを用いて検証される。検証は自動的になされる。プログラムモジュール(またはスクリプト)は、ソースのAPIを通して外部データソースから検証のためのデータを取得し、分析結果を外部データと比較する。
上記の記述は、説明のために、特定の実施形態を参照して述べられた。しかし、上記の例示的な考察は、網羅的であることを意図するものではなく、または開示された正確な形に本開示を限定するものではない。上記の教示に鑑みて、多くの変更形態および変形形態が可能である。実施形態は、本開示の原理およびその実用的な応用を最もよく説明し、それによって当業者が、企図される特定の使用に適するように様々な変更を有して、本開示および様々な実施形態を最もよく利用することを可能にするように選ばれている。
本明細書で開示されるシステムおよび方法は、1つまたは複数の構成要素、システム、サーバ、機器、その他のサブコンポーネントによって実施されることができ、またはこのような要素の間に分散され得る。システムとして実施されるとき、このようなシステムはとりわけ、汎用コンピュータにおいて見られるソフトウェアモジュール、汎用CPU、RAMなどの構成要素を含むことができ、および/またはそれらが関わり得る。本イノベーションがサーバ上に存在する実装形態において、このようなサーバは、汎用コンピュータで見られるものなど、CPU、RAMなどの構成要素を含むことができ、またはそれらが関わり得る。
さらに、本明細書におけるシステムおよび方法は、上記に記載されたものを超えて、異種のまたは全く異なるソフトウェア、ハードウェア、および/またはファームウェア構成要素を用いた実装形態により達成され得る。本発明、例えば、本明細書における本イノベーションの態様に関連付けられたまたはそれを具現化する、このような他の構成要素(例えば、ソフトウェア、処理構成要素など)および/またはコンピュータ可読媒体は、数多くの汎用または専用コンピューティングシステムまたは構成と一貫性を保って実施され得る。本明細書における本イノベーションによる使用のために適し得る、様々な例示的コンピューティングシステム、環境、および/または構成は、パーソナルコンピュータ、経路設定/接続性構成要素などのサーバまたはサーバコンピューティングデバイス、ハンドヘルドもしくはラップトップデバイス、マルチプロセッサシステム、マイクロプロセッサベースのシステム、セットトップボックス、民生用電子デバイス、ネットワークPC、他の既存のコンピュータプラットフォーム、上記のシステムまたはデバイスの1つもしくは複数を含む分散コンピューティング環境内の、またはそれらにおいて具現化されたソフトウェアもしくは他の構成要素を含み得るが、それらに限定されない。
いくつかの場合において、システムおよび方法の態様は、例えば、このような構成要素または回路に関連して実行される、ロジックおよび/またはプログラムモジュールを含む論理命令によって達成され、または行われ得る。一般に、プログラムモジュールは、本明細書における特定のタスクを行う、または特定の命令を実施する、ルーチン、プログラム、オブジェクト、コンポーネント、データ構造体などを含み得る。本発明はまた、分散ソフトウェア、コンピュータ、または回路が通信バス、回路もしくはリンクを通じて接続される回路設定の関連において実施され得る。分散設定において、制御/命令は、メモリ記憶デバイスを含む、ローカルおよびリモートの両方のコンピュータ記憶媒体から生じ得る。
本明細書においてソフトウェア、回路、および構成要素はまた、1つまたは複数のタイプのコンピュータ可読媒体を含むおよび/または利用することができる。コンピュータ可読媒体は、このような回路および/またはコンピューティング構成要素に常駐する、それらに関連付け可能である、またはそれらによってアクセスされ得る、任意の使用可能な媒体とすることができる。例として、コンピュータ可読媒体は、コンピュータ記憶媒体および通信媒体を含み得るが、それらに限定されない。コンピュータ記憶媒体は、コンピュータ可読命令、データ構造体、プログラムモジュール、または他のデータなどの、情報を記憶するための任意の方法および技術で実施される、揮発性および不揮発性、リムーバブルおよび非リムーバブル媒体を含む。コンピュータ記憶媒体は、RAM、ROM、EEPROM、フラッシュメモリもしくは他のメモリ技術、CD-ROM、デジタルバーサタイルディスク(DVD)もしくは他の光ストレージ、磁気テープ、磁気ディスクストレージもしくは他の磁気記憶デバイス、または所望の情報を記憶するために用いられることができ、コンピューティング構成要素によってアクセスされ得る任意の他の媒体を含むが、それらに限定されない。通信媒体は、コンピュータ可読命令、データ構造体、プログラムモジュールおよび/または他の構成要素を備え得る。さらに、通信媒体は、有線ネットワークまたは直接有線接続などの有線媒体を含み得るが、本明細書においていずれのこのようなタイプの媒体も一時的媒体を含まない。上記の任意のものの組み合わせも、コンピュータ可読媒体の範囲に含まれる。
この説明において、構成要素、モジュール、デバイスなどの用語は、多様なやり方で実施され得る、任意のタイプの論理的もしくは機能的ソフトウェア要素、回路、ブロックおよび/またはプロセスを指し得る。例えば、様々な回路および/またはブロックの機能は、任意の他の数のモジュール内に互いに組み合わされ得る。各モジュールはさらには、本明細書における本イノベーションの機能を実施するように、中央処理装置によって読み出されるべく、有形のメモリ(例えば、ランダムアクセスメモリ、読み出し専用メモリ、CD-ROMメモリ、ハードディスクドライブなど)上に記憶されたソフトウェアプログラムとして実施され得る。または、モジュールは、伝送搬送波によって汎用コンピュータに、または処理/グラフィックスハードウェアに送信されたプログラミング命令を備え得る。また、モジュールは、本明細書における本イノベーションによって包含される機能を実施するハードウェア論理回路として実施され得る。最後に、モジュールは、特定目的命令(SIMD命令)、フィールドプログラマブルロジックアレイ、または所望のレベルの性能およびコストをもたらすそれらの任意の混合を用いて実施され得る。
本明細書で開示されるように、本開示と一貫性を保つ特徴は、コンピュータハードウェア、ソフトウェア、および/またはファームウェアによって実施され得る。例えば、本明細書で開示されるシステムおよび方法は、例えば、データベース、デジタル電子回路、ファームウェア、ソフトウェア、またはそれらの組み合わせも含むコンピュータなどの、データプロセッサを含む様々な形で具現化され得る。さらに、開示された実装形態のいくつかは特定のハードウェア構成要素を述べるが、本明細書における本イノベーションと一貫性を保つシステムおよび方法は、ハードウェア、ソフトウェア、および/またはファームウェアの任意の組み合わせで実施され得る。さらに、本明細書における本イノベーションの上記の特徴および他の態様および原理は、様々な環境において実施され得る。このような環境および関連する応用例は、本発明による様々なルーチン、プロセス、および/または動作を行うように特に構築されることができ、それらは必要な機能をもたらすようにコードによって選択的に活動化または再構成された汎用コンピュータまたはコンピューティングプラットフォームを含み得る。本明細書で開示されるプロセスは、本質的にいずれの特定のコンピュータ、ネットワーク、アーキテクチャ、環境、または他の装置に関連せず、ハードウェア、ソフトウェア、および/またはファームウェアの適切な組み合わせによって実施され得る。例えば、様々な汎用マシンが、本発明の教示に従って書かれたプログラムによって用いられることができ、または必要な方法および技法を行うように専門化した装置またはシステムを構築することがより都合がよくなり得る。
ロジックなど、本明細書で述べられる方法およびシステムの態様はまた、フィールドプログラマブルゲートアレイ(「FPGA」)、プログラマブルアレイロジック(「PAL」)デバイス、電気的プログラマブルロジックおよびメモリデバイスなどのプログラマブルロジックデバイス(「PLD」)、および標準セルベースのデバイス、ならびに特定用途向け集積回路を含む、多様な回路の任意のものにプログラムされた機能として実施され得る。態様を実施するためのいくつかの他の可能性は、メモリデバイス、メモリ(EEPROMなど)を有するマイクロコントローラ、埋め込み型マイクロプロセッサ、ファームウェア、ソフトウェアなどを含む。さらに、態様は、ソフトウェアベースの回路エミュレーションを有するマイクロプロセッサ、ディスクリートロジック(シーケンシャルおよび組み合わせ)、カスタムデバイス、ファジー(ニューラル)ロジック、量子デバイス、および上記のデバイスタイプの任意のものの混成物において具現化され得る。基礎をなすデバイス技術は、多様な構成要素タイプ、例えば、相補型金属酸化物半導体(「CMOS」)などの金属酸化物半導体電界効果トランジスタ(「MOSFET」)技術、エミッタ結合ロジック(「ECL」)などのバイポーラ技術、ポリマー技術(例えば、シリコン-共役ポリマー、および金属共役ポリマー-金属構造)、アナログおよびデジタル混合などにおいてもたらされ得る。
また本明細書で開示される様々なロジックおよび/または機能は、それらの挙動の観点から、ハードウェア、ファームウェア、および/または様々なマシン可読またはコンピュータ可読媒体において具現化されたデータおよび/または命令としての任意の数の組み合わせ、レジスタ転送、ロジック構成要素、および/または他の特性を用いて可能にされ得ることが留意されるべきである。このようなフォーマットされたデータおよび/または命令が具現化され得るコンピュータ可読媒体は、非限定的に様々な形での不揮発性記憶媒体(例えば、光、磁気、または半導体記憶媒体)を含むが、やはり一時的媒体は含まない。文脈が異なる解釈を明らかに求める場合を除き、本記述にわたって、「備える(comprise、comprising)」という語および類似のものは、排他的または網羅的意味ではなく包含的な意味において、すなわち「含むが、それに限定されない」という意味において解釈されるべきである。単数または複数を用いた語はまた、それぞれ複数または単数を含む。さらに、「本明細書での」、「本明細書の以下での」、「上記の」、「以下の」、および同様の趣旨の語は、本出願全体を指し、本出願のいずれかの特定の部分を指すものではない。「または」という語が2つ以上の品目のリストを参照して用いられるとき、この語は、その語の以下の解釈すなわち、リスト内の品目の任意のもの、リスト内の品目のすべて、およびリスト内の品目の任意の組み合わせの、すべてを包含する。
本発明の現在において好ましい実装形態が本明細書で具体的に述べられたが、本発明が関連する当業者には、本明細書で示され、述べられた様々な実装形態の変形形態および変更形態が、本発明の思想および範囲から逸脱せずになされ得ることが明らかになるであろう。したがって、本発明は、適用可能な法規によって要求される範囲にのみ限定されるものである。
上記は本開示の特定の実施形態に関するものであるが、この実施形態における変更は、本開示の原理および思想から逸脱せずに行うことができ、その範囲は添付の特許請求の範囲によって定義されることが当業者には理解されるであろう。
Claims (12)
- ボットネットノード検出のための方法であって、
複数のネットワークデータフローを受信することであって、各ネットワークデータフローは、第1のIPアドレスを有するソースノードと第2のIPアドレスを有する宛先ノードとの間のデータ通信についてのデータを含んでおり、ネットワークデータフローは、ボットネットの一部であることが既知であるボットネットノードおよび未知のノードを含む、受信することと、
前記複数のネットワークデータフローから、複数のネットワークデータフローデータストリームを同時に抽出することと、
各ネットワークデータフローデータストリームに対するグラフを生成することであって、前記グラフは、前記ソースノードと、前記宛先ノードと、前記複数のネットワークデータフローデータストリームに基づいて生成される前記ソースおよび宛先ノードの間のデータ通信を表す、前記ソースおよび宛先ノードの間のエッジとを有する、生成することと、
前記複数のネットワークデータフローデータストリームから少なくとも1つのシードサブグラフを生成することであって、前記少なくとも1つのシードサブグラフは、前記ボットネットノードであるシードノードと、前記生成されたグラフによって決定されるのに従って前記シードノードと通信する1つまたは複数の未知のノードとを有する、生成することと、
少なくとも1つのボットネットノードと少なくとも1つの候補ノードとを含む1つまたは複数のサブグラフを検出するために、前記少なくとも1つの生成されたシードサブグラフを用いて、サブグラフ検出基準のセットを行うことであって、前記候補ノードは前記ボットネットに対する候補ノードである、行うことと
を含む方法。 - 前記少なくとも1つのシードサブグラフを生成することは、第1のピボット深さにおいて前記シードノードと通信する少なくとも1つの未知のノードを識別することと、前記第1のピボット深さにおいて前記少なくとも1つのノードと通信した第2のピボット深さにおける少なくとも1つの未知のノードを識別することとをさらに含む、請求項1に記載の方法。
- 前記少なくとも1つのシードサブグラフを生成することは、前記第2のピボット深さにおける前記1つの未知のノードが、前記シードノードと直接通信する場合、前記第2のピボット深さにおける前記1つの未知のノードを、前記第1のピボット深さに移動させることをさらに含む、請求項2に記載の方法。
- サブグラフ検出基準のセットを行うことは、高中心性の未知のノードを有するサブグラフが、所定の数のネットワークデータフローのための宛先ノードであることを識別することをさらに含み、前記高中心性の未知のノードは、前記1つまたは複数のボットネットノードとの通信のための前記ソースノードであるリンカーノードとの通信のための宛先ノードである、請求項1に記載の方法。
- サブグラフ検出基準のセットを行うことは、1つまたは複数のボットネットノードとの通信のための宛先ノードである未知のコールバックノードを有するサブグラフを識別することをさらに含む、請求項1に記載の方法。
- サブグラフ検出基準のセットを行うことは、未知のリンカーノードを有するサブグラフを識別することをさらに含み、前記未知のリンカーノードは、少なくとも1つのボットネットノードおよび未知のノードとの通信のためのソースノードである、請求項1に記載の方法。
- システムであって、
複数のネットワークデータフローを受信するデータストリームマイニングシステムであって、各ネットワークデータフローは、第1のIPアドレスを有するソースノードと第2のIPアドレスを有する宛先ノードとの間のデータ通信についてのデータを含んでおり、ネットワークデータフローは、ボットネットの一部であることが既知であるボットネットノードおよび未知のノードを含む、データストリームマイニングシステムを備え、
前記データストリームマイニングシステムは、同時に実行される複数のジョブを生成するメッセージングキューを有し、前記メッセージングキューは、前記複数のネットワークデータフローから、複数のネットワークデータフローデータストリームを抽出することと、各ネットワークデータフローデータストリームに対するグラフを生成することであって、前記グラフは、前記ソースノードと、前記宛先ノードと、前記複数のネットワークデータフローデータストリームに基づいて生成される前記ソースおよび宛先ノードの間のデータ通信を表す、前記ソースおよび宛先ノードの間のエッジとを有する、生成することと、前記複数のネットワークデータフローデータストリームから少なくとも1つのシードサブグラフを生成することであって、前記少なくとも1つのシードサブグラフは、前記ボットネットノードであるシードノードと、前記生成されたグラフによって決定されるのに従って前記シードノードと通信する1つまたは複数の未知のノードとを有する、生成することとを行い、
前記データストリームマイニングシステムは、前記メッセージングキューに結合されたサブグラフ検出ユニットを有し、前記サブグラフ検出ユニットは、少なくとも1つのボットネットノードと少なくとも1つの候補ノードとを含む1つまたは複数のサブグラフを検出するために、前記少なくとも1つの生成されたシードサブグラフを用いて、サブグラフ検出基準のセットを行い、前記候補ノードは前記ボットネットに対する候補ノードである、システム。 - 前記メッセージングキューは、第1のピボット深さにおいて前記シードノードと通信する少なくとも1つの未知のノードを識別し、および前記第1のピボット深さにおいて前記少なくとも1つのノードと通信した第2のピボット深さにおける少なくとも1つの未知のノードを識別する、請求項7に記載のシステム。
- 前記メッセージングキューは、前記第2のピボット深さにおける前記1つの未知のノードが、前記シードノードと直接通信する場合、前記第2のピボット深さにおける前記1つの未知のノードを、前記第1のピボット深さに移動させる、請求項8に記載のシステム。
- 前記サブグラフ検出ユニットは、高中心性の未知のノードを有するサブグラフが、所定の数のネットワークデータフローのための宛先ノードであることを識別し、前記高中心性の未知のノードは、1つまたは複数のボットネットノードとの通信のための前記ソースノードであるリンカーノードとの通信のための宛先ノードである、請求項7に記載のシステム。
- 前記サブグラフ検出ユニットは、1つまたは複数のボットネットノードとの通信のための宛先ノードである未知のコールバックノードを有するサブグラフを識別する、請求項7に記載のシステム。
- 前記サブグラフ検出ユニットは、未知のリンカーノードを有するサブグラフを識別し、前記未知のリンカーノードは、少なくとも1つのボットネットノードおよび未知のノードとの通信のためのソースノードである、請求項7に記載のシステム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US16/368,805 | 2019-03-28 | ||
US16/368,805 US11252185B2 (en) | 2019-03-28 | 2019-03-28 | Graph stream mining pipeline for efficient subgraph detection |
PCT/US2020/025846 WO2020198754A1 (en) | 2019-03-28 | 2020-03-30 | Graph stream mining pipeline for efficient subgraph detection |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2022521833A true JP2022521833A (ja) | 2022-04-12 |
JPWO2020198754A5 JPWO2020198754A5 (ja) | 2023-03-06 |
Family
ID=72609028
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021557956A Pending JP2022521833A (ja) | 2019-03-28 | 2020-03-30 | 効率的なサブグラフ検出のためのグラフストリームマイニングパイプライン |
Country Status (7)
Country | Link |
---|---|
US (2) | US11252185B2 (ja) |
EP (1) | EP3948587A4 (ja) |
JP (1) | JP2022521833A (ja) |
KR (1) | KR20220074819A (ja) |
AU (1) | AU2020248348A1 (ja) |
CA (1) | CA3135360A1 (ja) |
WO (1) | WO2020198754A1 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11372893B2 (en) | 2018-06-01 | 2022-06-28 | Ntt Security Holdings Corporation | Ensemble-based data curation pipeline for efficient label propagation |
CN113591088B (zh) * | 2021-07-30 | 2023-08-29 | 百度在线网络技术(北京)有限公司 | 一种标识识别方法、装置及电子设备 |
CN114218447A (zh) * | 2021-12-13 | 2022-03-22 | 支付宝(杭州)信息技术有限公司 | 一种图处理方法和系统 |
CN115037561B (zh) * | 2022-08-10 | 2022-11-22 | 杭州悦数科技有限公司 | 一种网络安全检测方法和系统 |
Family Cites Families (52)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6575902B1 (en) | 1999-01-27 | 2003-06-10 | Compumedics Limited | Vigilance monitoring system |
US6666765B2 (en) | 2002-01-24 | 2003-12-23 | Mikohn Gaming Corporation | Casino game and method having a hint feature |
US7225343B1 (en) | 2002-01-25 | 2007-05-29 | The Trustees Of Columbia University In The City Of New York | System and methods for adaptive model generation for detecting intrusions in computer systems |
JP4040886B2 (ja) | 2002-02-15 | 2008-01-30 | 三菱電機株式会社 | コンテンツ管理システムおよびコンテンツ管理方法 |
US7441116B2 (en) | 2002-12-30 | 2008-10-21 | International Business Machines Corporation | Secure resource distribution through encrypted pointers |
US7719425B2 (en) | 2005-02-07 | 2010-05-18 | Colby Steven M | Radio frequency shielding |
US7753769B2 (en) | 2005-02-22 | 2010-07-13 | Wms Gaming, Inc. | Wagering game for implementing game-enhancement parameters with a guaranteed bonus |
US7912698B2 (en) | 2005-08-26 | 2011-03-22 | Alexander Statnikov | Method and system for automated supervised data analysis |
US8601590B2 (en) | 2006-04-27 | 2013-12-03 | Panasonic Corporation | Content distribution system |
JP5154830B2 (ja) | 2006-04-27 | 2013-02-27 | パナソニック株式会社 | コンテンツ配信システム |
US7674178B2 (en) | 2006-06-09 | 2010-03-09 | Igt | Gaming system and method for enabling a player to select progressive awards to try for and chances of winning progressive awards |
US7677971B2 (en) | 2006-06-09 | 2010-03-16 | Igt | Gaming system and method for enabling a player to select progressive awards to try for and chances of winning progressive awards |
US7682248B2 (en) | 2006-06-09 | 2010-03-23 | Igt | Gaming system and method for enabling a player to select progressive awards to try for and chances of winning progressive awards |
JP2008049602A (ja) | 2006-08-25 | 2008-03-06 | Kojima Press Co Ltd | 複層成形品の製造方法及びそれによって得られる複層成形品 |
US8135718B1 (en) | 2007-02-16 | 2012-03-13 | Google Inc. | Collaborative filtering |
US20100066509A1 (en) | 2007-03-27 | 2010-03-18 | Nec Corporation | Inclusion managing device, manufacturing apparatus of inclusion managing device, manufacturing method of inclusion managing device, and inclusion managing method |
DE102007038392B8 (de) | 2007-07-11 | 2015-08-27 | Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. | Vorrichtung und Verfahren zur Vorhersage eines Kontrollverlustes über einen Muskel |
US20090066521A1 (en) | 2007-09-12 | 2009-03-12 | Dan Atlas | Method and system for detecting the physiological onset of operator fatigue |
US20090280891A1 (en) | 2008-05-10 | 2009-11-12 | Cyberview Technology, Inc. | Regulated multi-phase gaming |
US8121967B2 (en) | 2008-06-18 | 2012-02-21 | International Business Machines Corporation | Structural data classification |
US8435111B2 (en) | 2009-11-13 | 2013-05-07 | Igt | Gaming systems, gaming devices and methods for providing progressive awards |
US9009299B2 (en) * | 2010-01-07 | 2015-04-14 | Polytechnic Institute Of New York University | Method and apparatus for identifying members of a peer-to-peer botnet |
EP2544914B1 (en) | 2010-03-12 | 2019-03-13 | Tata Consultancy Services Ltd. | A system for vehicle security, personalization and cardiac activity monitoring of a driver |
JP5557623B2 (ja) | 2010-06-30 | 2014-07-23 | 三菱電機株式会社 | 感染検査システム及び感染検査方法及び記録媒体及びプログラム |
EP2646911B1 (en) | 2010-12-01 | 2018-04-04 | Cisco Technology, Inc. | Detecting malicious software through contextual convictions, generic signatures and machine learning techniques |
US8762298B1 (en) | 2011-01-05 | 2014-06-24 | Narus, Inc. | Machine learning based botnet detection using real-time connectivity graph based traffic features |
US8402543B1 (en) | 2011-03-25 | 2013-03-19 | Narus, Inc. | Machine learning based botnet detection with dynamic adaptation |
US9262624B2 (en) | 2011-09-16 | 2016-02-16 | Mcafee, Inc. | Device-tailored whitelists |
WO2013109913A1 (en) | 2012-01-20 | 2013-07-25 | Medsentry, Inc. | Medication storage device and method |
US9979738B2 (en) | 2012-01-23 | 2018-05-22 | Hrl Laboratories, Llc | System and method to detect attacks on mobile wireless networks based on motif analysis |
US9183387B1 (en) | 2013-06-05 | 2015-11-10 | Google Inc. | Systems and methods for detecting online attacks |
US9224104B2 (en) | 2013-09-24 | 2015-12-29 | International Business Machines Corporation | Generating data from imbalanced training data sets |
US9787640B1 (en) | 2014-02-11 | 2017-10-10 | DataVisor Inc. | Using hypergraphs to determine suspicious user activities |
US9769189B2 (en) | 2014-02-21 | 2017-09-19 | Verisign, Inc. | Systems and methods for behavior-based automated malware analysis and classification |
US9674880B1 (en) | 2014-11-04 | 2017-06-06 | Dell Products, Lp | Method and apparatus for a smart vehicle gateway with connection context aware radio communication management and multi-radio technology |
US9923912B2 (en) | 2015-08-28 | 2018-03-20 | Cisco Technology, Inc. | Learning detector of malicious network traffic from weak labels |
US10885744B2 (en) | 2015-09-25 | 2021-01-05 | Sg Gaming, Inc. | Gaming system with skill-based progressive jackpot feature |
US10673719B2 (en) * | 2016-02-25 | 2020-06-02 | Imperva, Inc. | Techniques for botnet detection and member identification |
CN110382067A (zh) | 2016-03-08 | 2019-10-25 | 切尔游戏私人有限公司 | 包括多个游戏的游戏方法、系统和机器 |
US10462159B2 (en) * | 2016-06-22 | 2019-10-29 | Ntt Innovation Institute, Inc. | Botnet detection system and method |
US10460565B2 (en) | 2016-08-10 | 2019-10-29 | Bally Gaming, Inc. | Gaming system with adjustable skill-based progressive jackpot feature |
EP3291120B1 (en) * | 2016-09-06 | 2021-04-21 | Accenture Global Solutions Limited | Graph database analysis for network anomaly detection systems |
WO2018053511A1 (en) | 2016-09-19 | 2018-03-22 | Ntt Innovation Institute, Inc. | Threat scoring system and method |
US10325450B2 (en) | 2016-09-21 | 2019-06-18 | Igt | Gaming system and method for providing a plurality of chances of winning a progressive award with dynamically scalable progressive award odds |
US10026269B2 (en) | 2016-09-22 | 2018-07-17 | Igt | Gaming systems and methods for providing progressive awards |
US10397258B2 (en) | 2017-01-30 | 2019-08-27 | Microsoft Technology Licensing, Llc | Continuous learning for intrusion detection |
JP6915305B2 (ja) | 2017-03-01 | 2021-08-04 | 日本電信電話株式会社 | 検知装置、検知方法および検知プログラム |
US10810210B2 (en) * | 2017-05-12 | 2020-10-20 | Battelle Memorial Institute | Performance and usability enhancements for continuous subgraph matching queries on graph-structured data |
US10742669B2 (en) * | 2017-08-09 | 2020-08-11 | NTT Security Corporation | Malware host netflow analysis system and method |
CA3073682C (en) | 2017-08-23 | 2023-07-11 | Ntt Research, Inc. | System and method for racing data analysis using telemetry data and wearable sensor data |
US10812509B2 (en) | 2017-10-30 | 2020-10-20 | Micro Focus Llc | Detecting anomolous network activity based on scheduled dark network addresses |
US20190305957A1 (en) | 2018-04-02 | 2019-10-03 | Ca, Inc. | Execution smart contracts configured to establish trustworthiness of code before execution |
-
2019
- 2019-03-28 US US16/368,805 patent/US11252185B2/en active Active
-
2020
- 2020-03-30 WO PCT/US2020/025846 patent/WO2020198754A1/en unknown
- 2020-03-30 CA CA3135360A patent/CA3135360A1/en active Pending
- 2020-03-30 JP JP2021557956A patent/JP2022521833A/ja active Pending
- 2020-03-30 AU AU2020248348A patent/AU2020248348A1/en not_active Abandoned
- 2020-03-30 KR KR1020217035118A patent/KR20220074819A/ko unknown
- 2020-03-30 EP EP20779418.1A patent/EP3948587A4/en active Pending
-
2022
- 2022-02-14 US US17/671,322 patent/US11665196B1/en active Active
Also Published As
Publication number | Publication date |
---|---|
AU2020248348A1 (en) | 2021-11-04 |
US11665196B1 (en) | 2023-05-30 |
EP3948587A1 (en) | 2022-02-09 |
EP3948587A4 (en) | 2022-12-21 |
KR20220074819A (ko) | 2022-06-03 |
WO2020198754A1 (en) | 2020-10-01 |
US11252185B2 (en) | 2022-02-15 |
CA3135360A1 (en) | 2020-10-01 |
US20200358815A1 (en) | 2020-11-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Velliangiri et al. | Detection of distributed denial of service attack in cloud computing using the optimization-based deep networks | |
AU2019216687B2 (en) | Path scanning for the detection of anomalous subgraphs and use of DNS requests and host agents for anomaly/change detection and network situational awareness | |
Sahoo et al. | An early detection of low rate DDoS attack to SDN based data center networks using information distance metrics | |
JP2022521833A (ja) | 効率的なサブグラフ検出のためのグラフストリームマイニングパイプライン | |
US10320833B2 (en) | System and method for detecting creation of malicious new user accounts by an attacker | |
Kholidy | Correlation‐based sequence alignment models for detecting masquerades in cloud computing | |
US11477245B2 (en) | Advanced detection of identity-based attacks to assure identity fidelity in information technology environments | |
Ma | Analysis of anomaly detection method for Internet of things based on deep learning | |
US20220253531A1 (en) | Detection and trail-continuation for attacks through remote process execution lateral movement | |
Hyun et al. | SDN-based network security functions for effective DDoS attack mitigation | |
Hu et al. | Attack scenario reconstruction approach using attack graph and alert data mining | |
Patel et al. | Taxonomy and proposed architecture of intrusion detection and prevention systems for cloud computing | |
Krishnan et al. | OpenStackDP: a scalable network security framework for SDN-based OpenStack cloud infrastructure | |
Volkov et al. | Network attacks classification using Long Short-term memory based neural networks in Software-Defined Networks | |
Maheshwari et al. | Faster detection and prediction of DDoS attacks using MapReduce and time series analysis | |
Sukhwani et al. | A survey of anomaly detection techniques and hidden markov model | |
US20160212158A1 (en) | Distributed pattern discovery | |
Ibrahim et al. | A feature selection technique for cloud IDS using ant colony optimization and decision tree | |
Al-Mousa et al. | cl-CIDPS: A cloud computing based cooperative intrusion detection and prevention system framework | |
Vaid et al. | Anomaly-based IDS implementation in cloud environment using BOAT algorithm | |
Prashanthi et al. | Machine Learning for IoT Security: Random Forest Model for DDoS Attack Detection | |
Au et al. | Graph Database Technology and k-Means Clustering for Digital Forensics | |
Kendrick et al. | Multi-agent systems for dynamic forensic investigation | |
Tupakula et al. | Securing Big Data Environments from Attacks | |
Zolotukhin et al. | On detection of network-based co-residence verification attacks in sdn-driven clouds |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230224 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230224 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20240201 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240501 |