JP5941149B2 - 基準ベースラインに基づき、イベントシーケンス中の時間的位置に従ってイベントを評価するシステム及び方法 - Google Patents

基準ベースラインに基づき、イベントシーケンス中の時間的位置に従ってイベントを評価するシステム及び方法 Download PDF

Info

Publication number
JP5941149B2
JP5941149B2 JP2014529695A JP2014529695A JP5941149B2 JP 5941149 B2 JP5941149 B2 JP 5941149B2 JP 2014529695 A JP2014529695 A JP 2014529695A JP 2014529695 A JP2014529695 A JP 2014529695A JP 5941149 B2 JP5941149 B2 JP 5941149B2
Authority
JP
Japan
Prior art keywords
event
user
baseline
events
sequence
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014529695A
Other languages
English (en)
Other versions
JP2014531647A (ja
Inventor
シングラ,アヌラグ
ブロック,ロバート
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hewlett Packard Development Co LP
Original Assignee
Hewlett Packard Development Co LP
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Development Co LP filed Critical Hewlett Packard Development Co LP
Publication of JP2014531647A publication Critical patent/JP2014531647A/ja
Application granted granted Critical
Publication of JP5941149B2 publication Critical patent/JP5941149B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3006Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3065Monitoring arrangements determined by the means or processing involved in reporting the monitored data
    • G06F11/3072Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/067Generation of reports using time frame reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2125Just-in-time application of countermeasures, e.g., on-the-fly decryption, just-in-time obfuscation or de-obfuscation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2151Time stamp

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Quality & Reliability (AREA)
  • Mathematical Physics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Debugging And Monitoring (AREA)

Description

本願は、2011年9月9日に出願された「Rule-Based Analysis of Events Based on Deviation from a Baseline」と題する同時係属中の米国仮特許出願第61/532,968号(代理人文書番号第82844890号、この出願は、全ての目的のために、本文書において恰も完全に説明されたかの如く、参照により本明細書に援用される。)に基づいて優先権を主張する。本願は、2008年10月1日に出願された「Pattern Discovery in a Network System」と題する米国特許第7,984,502号の全部を、参照により援用する。
コンピュータネットワーク及びシステムは、現代ビジネスにとって不可欠なツールとなった。今日、考えられる実質的にあらゆる事項に関する何テラビットもの情報が、世界中で、ユーザーによってそのようなネットワークに保存され、そのようなネットワークを介してアクセスされている。この情報の多くは、ある程度、秘密的なものであり、その保護が望まれている。情報及びリソースの無権限の使用を検出し、コンピュータネットワーク、及びそこに記憶された情報へのアクセスを獲得するための無権限の者及び/又は装置による攻撃の発見に役立てるために、不正使用検知システム(FDS:Fraud Detection System)のような侵入検知システム(IDS:Intrusion Detection System)が開発されている。
侵入を検知するための2つの相補的なアプローチがある。すなわち、知識ベースのアプローチと行動ベースのアプローチである。今日使用されている多くのIDSツールは、知識ベースのものである。知識ベースの侵入検知技術は、捕捉データを、脆弱性を悪用する既存の技術に関する情報と比較することを含む。一致が検出されると、警告が発せられる。一方、行動ベースの侵入検知技術は、システム又はユーザの正常な動作、又は想定される動作(動作のモデルは、種々の手段により収集された参考情報から抽出される。)からの偏差を観測することにより、侵入を見分けることを試みる。疑わしい偏差が観測されると、警告が生成される。
従来のセキュリティシステムは、ルールを使用して種々のイベントを相関付ける。ルールは、種々のユーザ活動イベントを分析し、及び相関付け、それによって侵入を識別するために、具体的には、正常から逸脱した行動パターンを識別するために、使用される場合がある。これらのメカニズムは、多くの標準的相関使用事例を可能にするくらい十分に強力ではあるが、高度な不正攻撃のような一部の侵入は、検出されなかったり、又は、ルールの非常に複雑な組を指定した後に検出されたりすることがある。
本開示は、添付の図面を参照することによって、より良好に理解され、その多数の特徴及び利点が明らかになる場合がある。
一実施形態によるネットワークセキュリティシステムを示す類型学的ブロック図である。 一実施形態による、基準ベースライン生成のための処理フロー図である。 一実施形態による、基準ベースラインからの偏差に基づくユーザ活動イベントの分析のための処理フロー図である。 一実施形態による、応答動作を発動するための処理フロー図である。 一実施形態を実施することが可能なコンピュータシステムを示す図である。
セキュリティシステムは、潜在的に何千もの発信源からイベントを受信することがある。ルールを使用して、種々のイベントを相互に関連付けることにより、個々の装置によっては識別されないことがあるセキュリティ関連情報が得られる場合がある。相関ルールに定義されるように、相関は一般に、異なる発信源からの異なるイベントが、共通の事件に関連することを示すことができる。具体的には、例えば相関付けは、イベント間の関係を見つけ出すこと、それらの関係の重要度を推論すること、イベント及びメタイベントに優先順位を付けること、及び動作を行うためのフレームワークを提供することを含む。
本明細書において、ルール、又は「相関ルール」とは、集合体、グループ、及びトリガーのような他の構成と結合されることもある一組の単純な、又は複雑な条件を含む手順を意味する。ルールは、様々な形で使用され、例えば到来イベントが特定の条件及びパターンに合致するか否かを評価すること;相関ルール、並びにアクティブリスト、セッションリスト、及び脅威レベル計算といった他の構成を使用して、異なるイベントからの情報を相互に関連付けること;イベントの重要度に関する意味を推論することなどに使用される。
換言すれば、ルールは、イベントストリームを評価する際の対比の対象となる種々の条件を表す。評価の結果、イベントストリームから意味を抽出するための情報が得られる。一致すると判定された場合、それに応じて、ルールは、動作を開始する場合がある。
条件のほかに、ルールは、閾値(すなわち、発生回数、実行総数)、持続時間、結合基準、及び/又は集計基準をさらに含む場合がある。例えば、次のようなものである:
もし(ログイン試みの失敗)が、(1分)以内に(10回)(同じ発信源IPアドレスから)発生した場合、(動作)を行う。
このルールの場合、条件は「ログイン試みの失敗」であり、発生回数閾値は「10」であり、持続時間は「1分」であり、集計基準は「同じ発信源IPアドレスから」である。
ルール条件は、種々のデータモデルを意味する場合がある。例えば、ルール条件は、ネットワーク資産モデルの種々のフィールド又はプロパティを意味する場合がある。ネットワーク資産モデルとは、ネットワーク上の種々のノード及び/又はマシンの表現である。プロパティは、開放ポート、オペレーティングシステム、脆弱性、ビジネス分類などを含む場合がある。
ルール条件は、アクティブリスト及びセッションリストのようなデータリストを意味する場合もある。セッションリストは、ネットワーク上のユーザのイベントトラフィックをユーザに関連付ける。具体的には、セッションリストは、ユーザセッション(例えば、DHCPセッション情報、VPNセッション情報、ユーザからその役割へのマッピング、及びそれらの属性が有効である対応する時間など)に関連する一時的データを保持する構成変更可能なテーブルである。
アクティブリストは、種々のイベントの指定フィールドを集約する構成変更可能なテーブルである。アクティブリストによれば、ある時間(例えば、数日、数週間など)にわたる特定のイベントの追跡が可能となる。集約されたデータは、相関付けに使用可能な場合がある。例えば、データリストは、ある課金サイクルの間に特定のクレジットカードを使用して行われた購入の、ある時点までの合計額を追跡記録する場合がある。例えばクレジット限界に達したことをクレジットカードの所有者に警告するために、ある時点までの合計額は、ルールにより参照される場合がある。
侵入検出の事例では、時間順に並べられたユーザ行動イベントのシーケンス、及びそれらのイベントの各々の間の時間差は、種々の異常、及び異常な行動の識別に適している。具体的には、ユーザの行動をユーザの基準行動と比較することは、不正検出のための異常の適時検出に適している。
しかしながら、ルールは一般に、静的な性質を有するため、ネットワーク及び/又はシステム上の全てのユーザ間における行動パターンの差異を捕捉するには不十分である。さらに、従来のルールエンジンは、単純な結合条件(これは通常、フィールド値の照合に基づいて異なるイベントを関連付ける)、及び、特定時間内に発生する必要があるイベントの数を指定する閾値条件を使用して、種々のイベントを相関付けるルールを指定することができる。こうしたメカニズムは、多くの標準的相関使用事例を可能にするくらい十分に強力ではあるが、複雑な不正攻撃の検出は、このような形で簡単に指定可能なものに比べて、より複雑な条件を必要とすることが多い。
また、静的ルールの複雑な組を使用して、イベントのシーケンスを捕捉し、指定されたイベントシーケンス中の欠落イベントを検出する場合もある。3以上のイベントを有するシーケンスの場合、全ての起こり得るシーケンス偏差を検出するためには、例えばステートマシンを実施するために他のルールを結合するルールのような、膨大な数のルールを生成することが必要となる場合がある。
一実施形態による、ウェブベースの金融トランザクション(例えば、アカウントアクセス)行動、及び他のタイプのユーザ動作イベントにおける異常を検出するための枠組みについて説明する。時間順に並べられたイベントのシーケンスの識別されたパターンに基づいて、及び/又は、当該シーケンスにおけるイベントの各々の間の時間差に基づいて、ユーザ固有のベースラインが決定される。オンラインセッションのプロパティに基づき、種々のルールを使用して、オンライントランザクションが不正なものである可能性があるか否かが、検出される場合がある。オンラインアカウントとのユーザの対話、又は他のセッション(例えば、ウェブセッション)に対応するイベントが、ユーザ固有のベースラインと比較される。ユーザのベースライン、又は想定される行動からの大きな偏差は、不正の可能性としてフラグを立てられる場合がある。さらに、不正な/疑わしいイベントは、セキュリティシステムの全く異なる部分に前もって捕捉されることにより、セキュリティ情報と関連付けられ、システムのより完全な一覧を得ることができる。
オンライン金融トランザクション不正の場合、検出は、ユーザのオンラインセッションの分析に基づいて行われる。特定のユーザにとって、正常なオンラインセッションは、7つのウェブページ(すなわち、ログインページ、ホームページ、アカウント残高ページ、資金振替ページなど)を特定順序で訪問することを含むかもしれない。この例では、資金振替トランザクションは、約5分以内に完了する。事例によっては、ユーザが、このトランザクションにとって通常のステップを飛ばした場合(すなわち、アカウント残高ページへ移動しなかった場合)、想定される順番とは違う順序でステップを実行した場合、セッション中にトランザクションの完了前に20秒を単に消費した場合、又は想定されるステップ間における時間間隔がそのユーザにとって正常な行動から大きくずれている場合に、その異常性は、不正アクセスを示す場合がある。
一実施形態において、イベントの評価のためのシステム及び方法を提供する。一組の時間順に並べられたイベントのシーケンスを含むユーザ固有の基準ベースラインを生成する。現在のセッションにおけるイベントシーケンスのうちの1つのイベントを受信する。そのイベントの属性、及び、現在のセッションにおけるイベントシーケンス内のそのイベントの時間的位置を使用して、そのイベントが、基準ベースラインと少なくとも部分的に一致するか否かの判定がなされる。ルールの条件が分析され、相関付けイベントが生成される。
図1は、一実施形態による、ネットワークセキュリティシステム100を示す幾何ブロック図である。システム100は、エージェント12a〜12n、少なくとも1つのマネージャ14、及び少なくとも1つのコンソール(これには、ブラウザベースのバージョンも含まれ得る。)を含む。一部の実施形態において、エージェント、マネージャ、及び/又はコンソールは、単一プラットフォームとして結合される場合もあれば、2、3、又はそれ以上のプラットフォームに分散される場合もある(例えば、図示した例におけるように)。この多段階アーキテクチャの使用によれば、コンピュータネットワーク又はシステムの成長に伴う規模の拡大縮小が可能となる。
エージェント12a〜12n(これらは、機械読取可能な命令である。)は、種々のネットワークセキュリティ装置及び/又はアプリケーションからの効率的なリアルタイム(又は略リアルタイム)ローカルイベントデータ捕捉、及びフィルタリングを提供するソフトウェアプログラムである。セキュリティイベントの一般的発生源は、ファイアウォール、侵入検知システム、及びオペレーティングシステムログのような共通のネットワークセキュリティ装置である。エージェント12a〜12nは、イベントログ又はメッセージを生成する任意の発生源からイベントを収集することができ、また、ネットワーク内の種々のコンソリデーション・ポイントにおいて、及び/又はSNMP(シンプル・ネットワーク・マネジメント・プロトコル)トラップを通して、ネイティブ装置において動作することができる。
エージェント12a〜12nは、手動プロセスと自動プロセスの両方を通して、及び、関連コンフィギュレーションファイルを介して、構成変更可能である。各エージェント12は、正規化コンポーネント、時間相関コンポーネント、集計コンポーネント、バッチ・コンポーネント、リゾルバ・コンポーネント、トランスポート・コンポーネント、及び/又は、さらに別のコンポーネントを含む、少なくとも1つのソフトウェアモジュールを含む場合がある。これらのコンポーネントは、コンフィギュレーションファイル内の種々の適当なコマンドによって有効化され、及び/又は無効化される場合がある。
マネージャ14は、ルールエンジン18及び中央集中型イベントデータベース20を使用して、エージェントから受信したフィルタイベント及び相互関連イベントをさらに統合するサーバベースの種々のコンポーネントから構成される場合がある。マネージャ14の1つの役割は、セキュリティ活動の完全な企業規模の図式を構成するための全てのリアルタイムデータ及び履歴データを捕捉し、記憶することである。マネージャ14は、中央集中型の管理、通知(少なくとも1つの通知手段24を通して)、及び報告をさらに提供するとともに、知識ベース28及び事件管理ワークフローをさらに提供する。マネージャ14は、如何なるコンピュータハードウェアプラットフォーム上に配備されてもよく、一実施形態は、データベース管理システムを使用して、イベントデータ記憶コンポーネントを実施する。マネージャ14とエージェント12a〜12nとの間の通信は、双方向(例えば、マネージャ14は、エージェント12a〜12nを有するプラットフォームへコマンドを送信することができる)であり、暗号化されていてもよい。一部の施設において、マネージャ14は、複数のエージェント12a〜12nのための集線装置として機能する場合があり、情報を他のマネージャ(例えば、本社に配備される)へ転送することができる場合がある。
マネージャ14は、少なくとも1つのイベントマネージャ26をさらに含み、イベントマネージャ26は、エージェント12a〜12n及び/又は他のマネージャにより送信されたイベントデータメッセージを受信すること、並びに他のマネージャからイベント概要データを受信することについて責任を負う。イベントマネージャ26は、相関付けイベント及び監査イベントのようなイベントデータメッセージを生成することについても責任を負う。エージェント12a〜12nとの間で双方向通信が実施される場合、イベントマネージャ26は、エージェント12a〜12nへメッセージを送信するために使用される場合がある。エージェント−マネージャ間通信に暗号化が使用される場合、イベントマネージャ26は、エージェント12a〜12nから受信したメッセージを復号すること、及び、エージェント12a〜12nへ送信される任意のメッセージを暗号化することについても責任を負う。
イベントデータメッセージを受信した後、イベントデータは、ルールエンジン18に渡される。ルールエンジン18は、一致するルールを識別するために、イベントデータと種々の相関ルールとの間の相互相関を求めるように構成される。
ルールにより発動される動作には、(例えば、通知手段24により)指定された宛先(例えば、セキュリティ分析者は、コンソール16、emailメッセージ、電話呼び出し、携帯電話、ボイスメールボックス及び/又はページャ番号若しくはアドレスを介して、あるいは、ファクシミリマシン等のような他の通信装置及び/又は宛先へのメッセージによって、通知を受けることがある。)へ送信される通知、及び/又は、(例えば、エージェント12などによる)ネットワーク装置への命令が、含まれ得る。
コンソール16は、セキュリティ専門家が、イベント監視、ルール作成、事件調査、及び報告のような、日々の管理及びオペレーション業務を実施することを可能にするコンピュータ(例えば、ワークステーション)ベースのアプリケーションである。単一のマネージャ14が、複数のコンソール16をサポートすることができる。
一部の実施形態において、ブラウザベースバージョンのコンソール16は、セキュリティイベント、知識ベースの記事、報告、通知、及び事件へのアクセスを可能にするために使用される場合がある。すなわち、マネージャ14は、パーソナルコンピュータ又はハンドヘルドコンピュータ上に設けられた、コンソール16の機能の一部又は全部を提供するウェブブラウザ(これが、コンソール16の代わりとなる)を介してアクセス可能なウェブサーバ・コンポーネントを含む場合がある。ブラウザアクセスは、コンソール16から離れたところにいるセキュリティ専門家、及び非常勤ユーザにとって、特に有用である。コンソール16とマネージャ14との間の通信は、双方向であり、暗号化されていてもよい。
中央集中化され又は分散された環境は、上記アーキテクチャによりサポートされる場合がある。これが有用である理由は、組織は、システム100の単一のインスタンスを実施し、アクセスコントロールリストを使用してユーザを区分することを望む場合があるからである。あるいは、組織は、複数のグループの各々について個別のシステム100を配備し、その結果を「マスター」レベルで統合することを選択する場合がある。そのような配備によれば、「フォロー・ザ・サン(Follow the Sun)」構成をさらに実現することができ、フォロー・ザ・サン構成では、標準営業時間に現在働いているグループに対する監視責任を回避しつつ、地理的に分散されたピアグループが、互いに協働する。システム100はさらに、企業階級を成すように配備されることがあり、その場合、種々の事業部が個別に機能し、中央集中型管理機能へのロールアップをサポートする。
ネットワークセキュリティシステム100は、異常検出機能をさらに含む。一実施形態において、マネージャ14は、未加工ベースラインモジュール31A、基準ベースラインモジュール31B、及びローカルメモリ32をさらに含む。
未加工ベースラインモジュール31Aは、イベントマネージャ26を介してエージェント12a〜12nのうちの少なくとも1つから、データベースマネージャ22を介してイベントデータベース20から、又はイベントマネージャ26から、セキュリティイベントのような一組のイベントを受信するように構成される。未加工ベースラインモジュール31Aは、イベントにおいて与えられるようなユーザID及びセッションIDを使用して、イベントをユーザごと及びセッションごとにそれぞれグループ化するようにさらに構成される。
セッションによるグループ化は、例えば、イベントのセッション識別子(ID)(例えば、ウェブセッション識別子)に従って実施される場合がある。他の実施形態において、セッションベースのグループ化は、イベントのタイムスタンプを検査し、一組のイベントのタイムスタンプが時間的に近接している場合、その一組のイベントを同じセッションの一部であるものと判定することにより実施される場合がある。換言すれば、イベントは、イベント(例えば、トランザクション)間の時間的近接度によってグループ化される。
未加工ベースラインモジュール31Aは、セッション中に行われたユーザ行動のシーケンス、及びそれらの行動間の時間差を識別し、未加工ベースラインを生成するようにさらに構成される。未加工ベースラインモジュール31は、未加工ベースラインを、データリストモジュール30のアクティブリスト及び/又はセッションリストのようなデータリストに記憶するように構成される。
基準ベースラインモジュール31Bは、異常を識別するために受信イベントのシーケンスを分析する際の対比の対象となる基準ベースラインを生成するように構成される。基準ベースラインモジュール31Bは、具体的には、未加工ベースラインを使用して、ユーザごとの履歴レコードを形成する時間順に並べられたイベントのシーケンスの共通及び特徴的パターンを識別するように構成される。さらに、特徴的イベントシーケンスにおけるイベントの各々の間の時間差を判定する。
基準ベースラインモジュール31Bは、例えば特定のイベントフローについての全セッションを通しての個々のイベントの発生数を含む、イベントフローに関する統計情報を計算するようにさらに構成される。未加工ベースラインモジュール31A及び基準ベースラインモジュール31Bは、図示のように独立したモジュールであってもよいし、又は、ルールエンジン18のような他のコンポーネントと一体化されてもよい。
ルールエンジン18は、イベントマネージャ26を介してエージェント12a〜12nのうちの少なくとも1つから、データベースマネージャ22を介してイベントデータベース20から、又は、イベントマネージャ26から、セキュリティイベントのような一組のイベントを受信するように構成される。さらに、ルールエンジン18は、到来イベントのシーケンス及び現在のセッションの時間データ(時間差を含む)を特定ユーザに関連する基準ベースラインと比較し、現在のセッション情報が基準ベースラインと一致しない場合、ルール実行を開始するように構成される。
ネットワークセキュリティシステム100は、データリスト機能をさらに含む。一実施形態において、マネージャ14は、データリストモジュール30、及びローカルメモリ32をさらに含む。データリストモジュール30は、セッションリスト及び/又はアクティブリストを管理するように構成される。さらに、データリストモジュール30は、イベントマネージャ26を介してエージェント12a〜12nのうちの少なくとも1つから、若しくはイベントマネージャ26自体から、セキュリティイベントのような一組のイベントを受信し、並びに/又は、未加工ベースラインモジュール31A及び基準ベースラインモジュール31Bのうちの少なくとも一方からユーザ固有のベースラインを受信するように構成される。セッションリスト、及び/又はアクティブリストは、ローカルメモリ32上の種々のテーブル(すなわち、マスターテーブル及び/又はローカルテーブル)において管理される場合がある。一実施形態において、データリストテーブル中の各レコードは、ユーザ固有の、セッション固有のイベントフローを表す。単一ユーザについて複数のイベントフローが存在する場合がある。例えばユーザが、金融トランザクションの複数のセッションに関与しているときは、そのような場合がある。
ローカルメモリ32は、任意の適当な記憶媒体であってよく、マネージャ14自体に配置されても、マネージャ14を含むクラスタに配置されても、又はマネージャ14にとってアクセス可能なネットワーク上に配置されてもよい。
ベースライン生成
金融トランザクションの最中における不正のような潜在的侵入の検知は、基準ベースラインの生成によって容易になる。基準ベースラインは、ユーザの(正常又は異常)な行動又は取引の履歴的パターンを表す。そして、基準ベースラインにおけるそれらのパターンは、ユーザの行動の異常性の検出に使用される。
図2は、一実施形態による基準ベースラインの生成のための処理フロー図である。図示の処理フロー200は、種々の実行可能命令のシーケンスの実行により実施される場合がある。他の実施形態において、処理フロー200の種々の部分は、ネットワークセキュリティシステムの種々のコンポーネント、例えば特定用途向け集積回路(ASIC)等のようなハードウェアロジックの構成によって実施される。例えば、処理フロー200の種々のブロックは、ネットワークセキュリティシステムの未加工ベースラインモジュールにおいて、実行可能命令の種々のシーケンスの実行により実施される場合がある。例えば、未加工ベースラインモジュールは、ネットワークセキュリティシステムにおいて、マネージャに配備される場合がある。さらに、処理フロー200の種々のブロックは、ネットワークセキュリティシステムの基準ベースラインモジュールにおいて、実行可能命令の種々のシーケンスの実行により実施される場合がある。例えば、基準ベースラインモジュールは、ネットワークセキュリティシステムにおいて、セキュリティマネージャに配備される場合がある。
ネットワークセキュリティシステムは、セキュリティイベント及びアプリケーションイベントのようなイベントを監視し、及び分析する。ウェブベースの金融トランザクションの事例においては、アプリケーションイベントには、例えば、銀行残高を照会したり、ユーザのクレジットカードアカウントから入出金する資金の移動を開始したり、支払先を追加したり、又はアカウント情報を更新したりする等のための、例えばウェブクリックによるオンライン金融システムを利用したユーザによる操作のような、ユーザ活動イベント/金融トランザクションイベントが含まれる場合がある。一実施形態において、特定セッション(例えば、ウェブセッション、ログインセッションなど)における、金融システムにおける特定ユーザによるページごとの各移動は、イベントフローとしてグループ化される。従って、イベントフローとは、ユーザごと及びセッションごとのイベントの集合である。あるイベントのユーザ及び/又はセッション情報は、そのイベントにおける種々のフィールドから決定される場合がある。イベントには、例えば、セキュリティイベント、アプリケーションイベント(例えば、金融トランザクションイベント)、及び、セキュリティシステムが監視する対象となるシステムに配備された種々のエージェントにより生成される他のタイプのイベントがある。
ステップ210において、未加工ベースラインが決定される。本明細書において、未加工ベースラインとは、特定ユーザに関連する一組の履歴的イベントフロー及び時間差情報である。未加工ベースラインは、複数セッションのイベントフローを含む場合がある。それらのイベントフローは、ユーザに関連する履歴レコードを形成する。一実施形態において、イベントフローは、ユーザごと及びセッションごとに、時間順に並べられたイベントのシーケンスに編成される。さらに、各イベントフローについて、シーケンス中のイベントの各々の間における時間差、及び/又は、セッション中で消費された全時間が判定される。あるイベントと次の順番のイベントとの間の時間差は、あるイベントの発生時刻と、次の順番のイベントの発生時刻との間の差をとることによって判定される場合がある。
下記の表1は、データリストのイベントテーブルに含まれることがあるような、ユーザ1に関連する部分的未加工ベースラインの一例である。この未加工ベースラインは、時間差情報を含む。
Figure 0005941149
イベントフローは、ユーザの「正常」な行動を表す。他の実施形態において、イベントフローは、「異常」な行動を表す。例えば、事後分析が実施され、それによって、イベントフローは、正常又は異常のいずれかであるとしてフラグが立てられる。
一実施形態において、未加工ベースラインは、トランザクションログ、又はイベントデータベース等から得られる既存の履歴的イベントフロー(ユーザ動作イベントのシーケンスを含む)に基づいて、例えばバッチ処理により形成される。その後、未加工ベースラインは、例えばセキュリティシステムにおけるマネージャによって、リアルタイムに、又は新たなイベントの受信に従ってバッチモードで、更新される場合がある。
ステップ220では、未加工ベースラインに基づいて、時間順に並べられたイベントの特徴的シーケンスが識別される。一実施形態では、未加工ベースラインに関連するイベントフロー及び計時データを分析することにより、特定ユーザの取引又は行動のパターンを判定する。パターン認識又は識別は、ユーザ固有の未加工ベースラインにおいて種々のイベントフローを結合し、それによって、あるパターンが識別されたときに、特徴的イベントシーケンスが時間順に並べられたイベントのシーケンスとして表されるようにすることを含む。
一実施形態において、金融システムにおけるユーザの実際のページごとの移動の履歴にパターンがあるか否かが、分析される。例えば、ユーザは通常、月々のクレジットカード明細書について支払い予定を立てる前に、クレジットカードオンラインサイト上のログインページからセッションを開始し、アカウント残高を照会し、現在の支払い期間についてのトランザクションの概要を照会し、最後に支払予定ページへ移動することが、未加工のベースラインからかすかに判明する場合がある。その場合、このパターンが、時間順に並べられたイベントのシーケンスとして表される。
さらに、ユーザ固有の未加工ベースライン中の特定イベントの発生回数を追跡する場合、例えばパターン発見を実施する場合があり、未加工ベースライン及び当該発生回数を使用して、ユーザ活動の裏付けグラフを生成する場合がある。パターン発見は、2008年10月1日に出願された米国特許第7,984,502号に詳しく記載されており、この特許は、参照により、その全体が本明細書に援用される。パターン発見の他の方法が使用される場合もある。
ステップ230では、未加工ベースラインに基づいて、イベントシーケンスについて計時データが判定される。一実施形態において、計時データは、最小時間、最大時間、平均時間、及び標準偏差のような、イベントシーケンスに関する種々の統計情報を含む。
一実施形態において、同じイベントシーケンス又はそのサブセットを有する(特定ユーザについての)未加工ベースライン中のイベントフローは全て、1つにグループ化される。先に説明したように、各イベントフローは、フロー中の連続した各イベント間の時間差に関するデータをさらに含む。例えば、表1に示したように、あるイベントフロー(すなわち、セッションID3)において、ログインページからアカウント残高照会ページまでのナビゲーション間の時間差は、5秒である。他のイベントフロー(すなわち、セッションID4)において、それら2つのページ間の時間差は、7秒である。
最小時間統計情報は、あるセッションの最中に、イベントフローにおいて、ある特定のイベントから次の順番のイベント(又は、その後発生する別のイベント)へ移動したときに、履歴上ユーザによって実行された最小時間である場合がある。表1に示したような例を使用する場合、ログインページからアカウント残高照会ページまでの移動を含む3つのイベントフローが存在する。この例では、ログインページからアカウント残高照会ページまでの移動のための最小時間は、5秒である。
最大時間統計情報は、あるセッションの最中に、イベントフローにおいて、あるイベントから次の順番のイベント(又は、その後発生する別のイベント)へ移動したときに、履歴上ユーザによって実行された最大時間である場合がある。表1に示したような例を使用する場合、ログインページからアカウント残高照会ページまでの移動のための最大時間は、7秒である。
同様に、平均時間統計情報は、ある特定のイベントから次の順番のイベント(又は、その後発生する別のイベント)への全ての履歴上発生したイベントフローの統計的平均である場合がある。表1に示したような例を使用する場合、ログインページからアカウント残高照会ページまでの移動のための平均時間は、6秒である。この例では、同じページごとの移動についての標準偏差統計情報は、1秒である。他の時間ベースの統計情報もさらに判定される場合がある。
ステップ240では、特徴的イベントシーケンス、及び関連計時データに基づいて、基準ベースラインが生成される。本明細書において、基準ベースラインとは、取引又は行動のユーザ固有パターンを表すものとして識別された一組の時間順に並べられたイベントの特徴的シーケンスである。基準ベースラインは、各特徴的イベントシーケンスに関連する計時データをさらに含む。
基準ベースライン中の種々のパターン及び計時データは、ユーザの行動の異常性の検出に使用される。一実施形態において、基準ベースラインは、固定スケジュールに基づいて生成され、及び/又は更新される。基準ベースラインは定期的に更新され、例えば金融システムのようなシステムの継続中のユーザ使用に対する変化、及びかかるシステムとの対話を反映するために、定期的に更新される。基準ベースラインの更新は、対応する未加工ベースラインに対して実施される更新に基づく場合がある。
下記の表2は、表1の部分的未加工ベースラインに基づいて生成されることがあるような、ユーザ1に関連する部分的基準ベースラインの一例である。下記の表2の部分的基準ベースラインは、計時データ(例えば、計時統計情報)を含む。
Figure 0005941149
表2の部分的基準ベースラインでは、少なくとも3つの特徴的基準パターンが識別される。各イベントについて、計時統計情報の少なくとも2つの属性が含まれる。すなわち、シーケンス中の前のイベントからの平均時間差、及びシーケンス中の前のイベントからの時間差の標準偏差である。基準ベースラインには、種々の他の計時統計情報がさらに含まれる場合がある。
異常性検出
先に説明したように、金融トランザクションの最中における不正のような潜在的侵入の検知は、基準ベースラインの使用によって容易になる。具体的には、基準ベースライン中の種々の特徴的シーケンスは、ユーザの行動の異常性を検出するために使用される。現在のセッションにおけるイベントシーケンスは、種々のルールに従って分析される。ルール評価は、現在のセッションの種々のシーケンスを基準ベースライン中の履歴パターンと比較することを含む場合がある。基準ベースラインからの大きな偏差は、ルール違反となる場合があり、異常性を検出する結果となる場合がある。異常性の検出は、侵入可能性を示すことができる。
図3は、一実施形態による、基準ベースラインからの偏差に基づくユーザ活動イベントの分析のための処理フロー図である。図示の処理フロー300は、実行可能命令の種々のシーケンスの実行により実施される場合がある。他の実施形態において、処理フロー300の種々の部分は、ネットワークセキュリティシステムの種々のコンポーネント、例えば特定用途向け集積回路(ASIC)等のようなハードウェアロジックの構成によって実施される。例えば、処理フロー300の種々のブロックは、ネットワークセキュリティシステムのルールエンジンにおいて、実行可能命令の種々のシーケンスの実行により実施される場合がある。例えば、ルールエンジンは、ネットワークセキュリティシステムにおいて、マネージャに配備される場合がある。
先に説明したように、ネットワークセキュリティシステムは、セキュリティイベントのような種々のイベントを監視し、及び分析する。具体的には、イベントは、ルールに対して評価される。ルールには、具体的な種々の条件が指定される場合があり、条件は、時間順に並べられたイベントのシーケンス、及びシーケンス中のそれらのイベント間の時間差を評価することを含む。そのようなルールの一例は、下記のようなものである:
ルール1
もし(トランザクション異常)が、(ユーザIDによって)(最大でもそのユーザIDについての1標準偏差までの、時間差の標準偏差)で発生した場合、(動作)を行う。
このルールの場合、条件は、「トランザクション異常」であること、すなわち、そのユーザの現在のセッションについてのイベントシーケンスが、そのユーザについての基準ベースラインと一致しない場合であることである。さらに、ルール一致を見付けるための有効性の閾値範囲は、「最大でもそのユーザIDについての1標準偏差までの、時間差の標準偏差」であり、集計基準は、「ユーザIDによって」である。
一般に、単一の行動パターンがトランザクションシステムの全ユーザに適用される点で、ルール条件は静的である。本明細書に記載されるように、この例におけるルール条件は、異常が存在するか否かを判定するために、イベントシーケンスを追跡することを含む。現在のセッションのシーケンスを評価する場合、ユーザ固有の基準ベースラインは、比較点として使用される。従って、本明細書に記載されるようなルールは静的ではなく、むしろ、ルール条件は、各ユーザについての行動の特定パターンを使用して現在のセッションのイベントシーケンスが評価されるように、表される。
また、多くのルール条件は、ブール的性質を持つ。すなわち、条件は、満たされるか満たされないかのいずれかである。本明細書に記載されるように、ルールは、偏差閾値、又は、ルール条件を満たす有効性範囲を考慮に入れた他のタイプの閾値を指定する場合がある。偏差閾値は、計時データ及び/又は時間的位置データを考慮するだけでなく、複製、欠落及び/又は順序違いのイベントも考慮して表される場合がある。同じルールの一部である複数のブール条件が存在する場合もある。
ステップ305では、現在のセッションについてのイベントが受信される。各イベントが受信されると、イベントは、種々のルールに対してリアルタイムに評価される。
ルール評価は、反復を利用して、現在のセッションについてのフローのイベントをユーザ固有の基準ベースラインと照合することを含む。換言すれば、比較を実施し、現在のセッションのフロー中の受信イベントが、基準ベースライン中のパターンと一致するか否かが判定される。一実施形態において、ルールエンジンは、この比較を実施する。
具体的には、ステップ310において、ユーザ固有の基準ベースライン中の識別されたパターン(イベントの特徴的シーケンスとして表される)との間に、少なくとも部分一致があるか否かが判定される。具体的には、受信イベントに関連するユーザIDが判定される。そのユーザIDに固有の基準ベースラインが識別される。
受信イベントは、その基準ベースラインと比較される。具体的には、現在のセッションのイベントフロー中の当該イベントの時間的位置が判定される。例えば、フロー内で他のイベントのうちの最も早い発生時刻を有するイベントは、第1の時間的位置を有する場合があり、2番目に早い発生時刻を有するイベントは、第2の時間的位置を有する場合がある等である。受信イベントは、同じ時間的位置を有する基準ベースライン中のイベントと比較される。また、受信イベントの属性(例えば、イベントタイプ)は、基準ベースライン中のイベントの同じ属性と比較される。
受信イベントの発生時刻と、現在のセッション中の前のイベントの発生時刻との間の時間差、又は他の計時情報が追跡される。一実施形態では、時間的位置を比較することに加え、受信イベントに関連する時間差が、基準ベースライン中の計時データと比較される。
時間的位置、計時情報、又は他の属性に基づく比較の最中における一致の判定は、静的であってもよいし、及び/又は、偏差閾値に基づくものであってもよい。偏差閾値は、それ以内であれば依然として一致であると判定される許容範囲(例えば、有効性の範囲)を指定する。許容範囲は、ルール条件として実施される場合がある。
例えば、ユーザ固有の基準ベースラインは、イベント1、及びその後に続くイベント2からなるシーケンスを含み、7秒の平均時間差を有する場合がある。基準ベースラインは、それらの具体的イベント間の平均時間差を列挙した属性を含む場合がある。ルール照合の目的上、時間差が基準ベースライン中の平均時間差から2秒の標準偏差以内である限り、現在のセッションのイベントシーケンスは、基準ベースラインに一致するものとみなされる。この例において説明したように、偏差閾値は、計時データに関連して表現される場合もあれば、又は他の属性に関連して表現される場合もあり、その結果、欠落イベント又は想定されるものとは異なる順番で発生するイベントについても、許容範囲が表現される。例えば、基準ベースライン中のあるシーケンスにおける一部のイベントの不発生は、許容される場合がある一方で、他のイベントの不発生は、許容されない場合がある。
受信イベントを評価したときに、部分一致が見付からなかった場合、ステップ315において、その受信イベントをシーケンスの一部とするシーケンスと、基準ベースラインとの間に、シーケンスの一致は無いものと判定される。
ステップ317において、ルール条件の結果が判定される。基準ベースラインは、「正常」なユーザ行動、及び/又は「異常」なユーザ行動を示す種々のシーケンスを含む場合がある。一実施形態において、もし基準ベースラインが、単に「正常」なユーザ行動を示すシーケンスだけを含む場合、基準ベースラインに一致しない現在のセッションの到来シーケンスはいずれも、疑わしいものであるとみなされ、ステップ317において、ルール条件は、「真」に戻る(そこで条件は、異常な行動を探索する)。すなわち、ルールが実行される。もし基準ベースラインが、単に「異常」なユーザ行動を示すシーケンスだけを含む場合、基準ベースラインに一致しない現在のセッションの到来シーケンスはいずれも、疑わしくないものであるとみなされ、ステップ317において、ルール条件は「偽」に戻る。
他の実施形態において、もし基準ベースラインが、「異常」及び「正常」なユーザ行動を示すシーケンスを含む場合、基準ベースラインに一致しない現在のセッションの到来シーケンスは、ルール条件は、「真」に戻り、ルールが実行される結果となる。なぜなら、ユーザの動作は、(履歴に基づいて)想定されたものではなく、調査されるべきものであったからである。例えば、もし異常シーケンスに一致した場合、この種のルール実行から生成される警告は、低優先順位レベルに関連付けられる場合がある。他の実施形態において、例えば、ポリシー目標が、偽陽性の可能性を最小限に抑えること、又はその他、一致した異常シーケンスにルール実行を制限することである場合、ルール条件は、「偽」に戻る。
受信イベントを評価したときに、ステップ310において部分一致が見付かった場合、ステップ320において、完全一致があるか否かが判定される。本明細書において、完全一致とは、現在のセッションにおけるイベントのフローが、基準ベースライン中のイベントシーケンス全体に一致するときに発生する。完全一致が無い場合、処理は、ステップ305へ進み、そこで、現在のシーケンス中の別のイベントが受信される。ステップ310及び320における比較は、単一ステップとして実施される場合もあれば、イベントがマネージャによって受信されたときに、リアルタイムにイベントごとに実施される場合もある。照合は、集合体単位で実施される場合もあり、現在のセッションの一組のイベントに対し一度に処理が行われる場合がある。
ステップ320において完全一致であると判定された場合、ステップ325において、シーケンスの一致が見付かったものと判定される。先に述べたように、ステップ330において、ルール条件の結果が判定される。基準ベースラインは、「正常」なユーザ行動、及び/又は「異常」なユーザ行動を示す種々のシーケンスを含む場合がある。一実施形態において、もし基準ベースラインが、単に「正常」なユーザ行動を示すシーケンスだけを含む場合、基準ベースラインに一致する現在のセッションの到来シーケンスはいずれも、疑わしくないものであるとみなされ、ルール条件は、「偽」に戻る(そこで条件は、「異常」な行動を探索する)。もし基準ベースラインが、単に「異常」なユーザ行動を示すシーケンスを含む場合、基準ベースラインに一致する現在のセッションの到来シーケンスはいずれも、疑わしいものであるとみなされ、ルール条件は、「真」に戻る。
他の実施形態において、基準ベースラインは、「異常」及び/又は「正常」なユーザ行動を示す種々のシーケンスを含む。もし現在のセッションの到来フローが基準ベースラインに一致する場合、基準ベースライン中の一致するシーケンスは、「異常」又は「正常」としてフラグを立てられ、又はマーキングされる。もし一致が「異常」シーケンスとの間の一致である場合、ルール条件は「真」に戻り、もし一致が「正常」シーケンスとの間の一致である場合、ルール条件は「偽」に戻る。
説明の目的上、特定ユーザに関連する基準ベースラインは、表2に示したように、3つの基準ベースラインフローを含む場合がある。一例として、(1)イベントA(ログイン)、イベントB(アカウント残高照会)、イベントC(概要)、及びイベントD(支払計画);(2)イベントA(ログイン)、イベントB(アカウント残高照会)、及びイベントE(支払先追加);並びに(3)イベントA(ログイン)、及びイベントF(報酬概要)である。上で説明したルール1のようなルールは、現在のセッションのイベントに基づいて評価される。
ステップ305では、現在のセッションにおいて、例えばイベントAが受信される。イベントAは、基準ベースラインシーケンスと比較される。3つのシーケンスが全て、イベントAから始まっているので、少なくとも部分一致があるものと判定される。一致が無い場合、例えばステップ305においてイベントGが受信された場合、ステップ315において、シーケンスの一致は無いものと判定される。もし基準ベースラインが正常な行動を示す種々のシーケンスを含む場合、シーケンスの一致は無いという判定は、現在のセッションのイベントを疑わしいものとして特徴付ける結果となる。これに応答し、ステップ317において、ルール条件は「真」に戻る場合がある。
比較は、ステップ310からステップ320へと続けられ、そこで、現在のセッションについて既に受信されたイベントのフロー(及び計時情報)に基づいて、完全一致があるか否かが判定される。まだ完全一致が無い場合、システムは、引き続き、後続の受信イベントとの照合を試みる。具体的には、処理は、ステップ305へ進み、そこで、別のイベントを受信する。このように、照合/比較処理は、反復的な形で行われる。後続の反復において、ステップ310で、現在のイベントフローが少なくとも部分的に一致するか否かが、判定される。
上記の例に続いて、もしイベントAの5秒の間に、2回目の反復においてイベントBを受信した場合、ルール1に指定された偏差許容範囲に基づき、現在のセッションのフロー(これは今度は、イベントA及びその後ろに続くイベントBを含む)は、基準パターンID1及び基準パターンID2と少なくとも部分的に一致するものと判定される。
ステップ320では、今のところ完全一致があるか否かが判定される。この時点で、現在のフローは、単にイベントA及びイベントBだけを含む。基準パターンID1と完全一致するためには、現在のセッションのフローは、偏差許容範囲内で、イベントC及びDをさらに含まなければならない。同様に、基準パターンID2と完全一致するためには、当該フローは、偏差許容範囲内で、イベントEをさらに含まなければならない。従って、完全一致は無い。よって、システムは、再び反復し、ステップ305で、次のイベントが受信される。
ステップ325で、完全一致であると判定された場合、ステップ330において、ルール条件が判定される。基準ベースラインが正常な行動を示すシーケンスを含む場合、現在セッションイベントは、正常として特徴付けられ、ステップ330において、ルール条件は「偽」に戻る。
一実施形態において、基準ベースラインは、正常な行動及び/又は異常な行動の種々のシーケンスを含む場合がある。換言すれば、ユーザが過去に行ったイベントシーケンス(従ってこれは、基準ベースライン中に表されるかもしれない。)は、正常なイベントフローである場合もあれば、異常なフローである場合もある。例えば、ユーザが特定シーケンスを最初に実行するとき、ステップ310において現在のフローは一致しない場合があり、ステップ315においてシーケンスの一致は無いと判定される結果となる場合がある。
未加工ベースライン及び/又は基準ベースラインを更新するために、新たなシーケンスは、図2における基準ベースライン生成フローへフィードバックされる場合がある。事後分析が実施されるまで、システムは、例えば、現在のシーケンスが正常な行動であるか、それとも異常な行動であるかを知らない。事後分析の際、行動の正当性を確認するために、ユーザは、連絡を受け、質問される場合がある。ユーザは、結果を入力することができ、それによって、新たなシーケンスは、正常又は異常としてフラグを立てられる場合がある。もし正常であれば、新たなシーケンスは、未加工ベースラインに追加され、その結果、将来のイベントシーケンスの照合によって一致が発見されても、ルールは実行されないことになる。もし異常であれば、新たなシーケンスは、ベースラインに追加される場合もあるが、異常としてフラグを立てられ、その結果、このパターンに将来一致した場合、ルールは実行されることになる。
従って、図3に示したように、フローの一致が見付からなかった場合、又は、異常及び/又はその他疑わしいものとしてフラグを立てられたフローとの一致が見付かった場合、ルールは、実行される場合がある。
図4は、一実施形態による、応答動作を発動するための処理フロー図である。図示した処理フロー400は、実行可能命令の種々のシーケンスの実行により実施される場合がある。他の実施形態において、処理フロー400の種々の部分は、ネットワークセキュリティシステムの種々のコンポーネント、例えば特定用途向け集積回路(ASIC)等のようなハーウェアロジックの構成により実施される。例えば、処理フロー400の種々のブロックは、ネットワークセキュリティシステムのルールエンジンにおいて、実行可能命令の種々のシーケンスの実行により実施される場合がある。例えば、ルールエンジンは、ネットワークセキュリティシステムにおいて、マネージャに配備される場合がある。
ステップ410において、例えば、現在のセッションにおけるイベントがルールに対して評価された後、ルール条件は「真」に戻ったことが検出される。ステップ415では、これに応答し、動作が発動される場合がある。
ルールにより発動される動作には、所定のコマンド若しくはスクリプトを実行すること、データリストを更新すること、警告をログに記録すること、コンソール又は指名された人に警告を送信すること、累積的活動に基づいて警告のためのカスタム重大性レベルを設定すること、情報源を疑わしい情報源のリストに追加すること、目標を脆弱性リストに追加すること、他のルールを発動すること、又はこれらの動作の任意の組み合わせが含まれ得る。
さらに、動作には、他のルールを発動することも含まれ得る。例えば、オンラインアカウントとのユーザの対話に対応するトランザクションイベントからの情報は、種々のネットワークセキュリティイベントにさらに相関付けられる場合があり、また、資産モデル、種々のマシンの脆弱性、及びシステムにおいてリアルタイムに動作中の他の攻撃を含むがそれに限定されないネットワークインフラストラクチャの知識にさらに相関付けられる場合がある。なぜなら、攻撃と、検出された異常の同時の存在は、不正の可能性を増大させることがあるからである。このように、相関付けは、複数のデータソースについて実施される場合がある。
換言すれば、独立したルールは、例えば目標ホストについて、不正関連ルールの実行を探索するとともに、セキュリティ関連ルールの実行をさらに探索するための種々のルール条件を含む場合がある。条件が満たされると、相関付けが実施され、それによって、トランザクション又は不正に基づくイベント知識が、セキュリティデータと結び付けられる場合がある。
一実施形態において、動作は、相関付けイベントを生成することを含む。相関付けイベントは、ルール固有の情報だけでなく、ルールを発動した基礎イベントに関する情報も含む場合がある。一実施形態において、相関付けイベントは、条件照合に使用される場合があり、従って、複数ルールの連結が可能とされる。
図5は、一実施形態を実施することが可能なコンピュータシステムを示している。システム500は、上で説明したコンピュータシステムの何れかを実施するために使用される場合がある。コンピュータシステム500は、バス524に電気的に結合された種々のハードウェア要素を含むものとして示されている。ハードウェア要素には、少なくとも1つの中央演算処理装置(CPU)502、少なくとも1つの入力装置502、及び少なくとも1つの出力装置506が含まれ得る。コンピュータシステム500は、少なくと1つの記憶装置508をさらに含む場合がある。記憶装置508には、例えば、ディスクドライブ、光学記憶装置、並びに、ランダム・アクセス・メモリ(「RAM」)及び/又はリード・オンリー・メモリ(「ROM」)のような半導体記憶装置が含まれ得る。リード・オンリー・メモリ(「ROM」)は、プログラマブル、及び/又はフラッシュアップデート可能等なものであってもよい。
コンピュータシステム500は、コンピュータ読取可能記憶媒体リーダー512、通信システム514(例えば、モデム、ネットワークカード(無線又は有線)、赤外線通信装置など)、及びワークメモリ518をさらに含む場合がある。ワークメモリ518は、上記のようなRAM及びROM装置を含む場合がある。実施形態によっては、コンピュータシステム500は、処理アクセラレーションユニット516をさらに含む場合があり、ユニット516は、デジタル・シグナル・プロセッサ(DSP)、及び/又は、特殊目的のプロセッサ等を含むことがある。
コンピュータ読取可能記憶媒体リーダー512は、コンピュータ読取可能記憶媒体510にさらに接続されることができ、全体として(一実施形態においては、記憶装置508にも結合される)、リモート、ローカル、固定、及び/又はリムーバブルな記憶装置に、コンピュータ読取可能情報(例えば、命令及びデータ)を一時的及び/又はより永久に格納、記憶、送信、及び読み出しするための任意の非一時的な記憶媒体を加えたものを、包括的に表している。コンピュータ読取可能記憶媒体510は、ハードウェア記憶装置(例えば、RAM、ROM、EPROM(書き換え可能なプログラマブルROM)、EEPROM(電気的に消去可能なプログラマブルROM)、ハードディスク、及びフラッシュメモリ)のような非一時的なものであってもよい。通信システム514は、ネットワーク、及び/又は、システム500に関連して上で説明した任意の他のコンピュータとの間のデータの交換を許容する場合がある。コンピュータ読取可能記憶媒体510は、ルールエンジン525、未加工ベースラインモジュール526、及び基準ベースラインモジュール527を含む。
コンピュータシステム500は、例えばオペレーティングシステム520、及び/又は、アプリケーションプログラム(これは、クライアントアプリケーション、ウェブブラウザ、中間段階アプリケーションなどであってもよい。)のような他のコード522を含む、ワークメモリ518の中に現在あるものとして示されている、種々のソフトウェア要素(これは、コンピュータ読取可能命令である。)をさらに含む場合がありる。当然ながら、コンピュータシステム500の代替実施形態は、上で説明したものからの多数の変形を有する場合がある。例えば、カスタマイズされたハードウェアがさらに使用され、及び/又は、特定の要素は、ハードウェア、ソフトウェア(アプレットのようなポータブルソフトウェアを含む)若しくはそれら両方によって実施されるかもしれない。さらに、ネットワーク入力/出力装置のような他の計算装置との接続が採用される場合もある。
従って、明細書及び図面は、制限の意味ではなく、例示的なものとであると考えるべきである。ただし、種々の修正及び変更がなされる場合があることは、明らかである。
本明細書(添付の特許請求の範囲、要約書、及び図面を含む)に開示した各特徴は、特に明示的言及がない限り、同じ、均等の、又は同様の目的を果たす代替の特徴に置換される場合がある。従って、特に明示的言及がない限り、開示した各特徴は、一般的な一連の均等又は類似の特徴の一例である。

Claims (15)

  1. 現在のセッションにおけるイベントのシーケンスの評価のためにコンピュータで実施される方法であって、
    プロセッサにより、一組の時間順に並べられたイベントのシーケンスを含む第1のユーザ固有の基準ベースラインを生成するステップと、
    前記プロセッサにより、前記現在のセッションにおけるイベントのシーケンスのうちの1つのイベントを受信するステップと、
    前記プロセッサにより、前記受信したイベントの属性を使用し、前記現在のセッションにおける前記イベントのシーケンス中の前記受信したイベントの時間的位置に基づいて、前記受信したイベントが前記第1のユーザ固有の基準ベースラインと少なくとも部分的に一致するか否かを判定するステップと、
    前記プロセッサにより、前記受信したイベントが前記第1のユーザ固有の基準ベースラインと少なくとも部分的に一致するか否かの判定に基づいて、前記現在のセッションにおける前記イベントのシーケンスが、異常なユーザ行動である疑いがあるとみなされるか、それとも、異常なユーザ行動である疑いはないものとみなされるかを判定するステップと
    を含む方法。
  2. 前記第1のユーザ固有の基準ベースラインを生成するステップは、各フローがユーザごと及びセッションごとの履歴的イベントの集合である、ユーザに関連する一組の履歴的イベントのフローである未加工ベースラインを使用して、第1のユーザ固有の基準ベースラインを生成することを含む、請求項1に記載のコンピュータで実施される方法。
  3. 前記第1のユーザ固有の基準ベースラインは、前記一組の時間順に並べられたイベントのシーケンス中の各シーケンスに関連する計時データをさらに含み、前記一組の時間順に並べられたイベントのシーケンス中の各シーケンスは、前記ユーザに関連する前記履歴的イベントの特徴的パターンであり、前記計時データは、前記未加工ベースラインにおける履歴的イベントの発生時刻を使用して生成された統計情報を含む、請求項に記載のコンピュータで実施される方法。
  4. 前記受信したイベントが前記第1のユーザ固有の基準ベースラインと少なくとも部分的に一致するか否かを判定するステップは、
    前記受信したイベントに関連するユーザ識別子に基づいて、複数のユーザ固有の基準ベースラインの中から前記第1のユーザ固有の基準ベースラインを識別するステップと、
    前記受信したイベントの前記時間的位置と同じ時間的位置を有する前記第1のユーザ固有の基準ベースラインの前記シーケンス中のイベントを選択するステップと、
    前記受信したイベントの属性を前記第1のユーザ固有の基準ベースライン中の前記イベントの同じ属性と比較するステップと
    を含み、前記受信したイベントの属性は、イベントタイプである、請求項1〜3の何れか一項に記載のコンピュータで実施される方法。
  5. 前記受信したイベントが前記第1のユーザ固有の基準ベースラインと少なくとも部分的に一致するか否かを判定するステップは、前記受信したイベントの属性が、ルールの条件において指定された偏差閾値以内であるか否かを判定するステップをさらに含む、請求項1〜4の何れか一項に記載のコンピュータで実施される方法。
  6. 前記受信したイベントが前記第1のユーザ固有の基準ベースラインと少なくとも部分的に一致するか否かを判定するステップは、
    前記受信したイベントの発生時刻と、前記現在のセッションにおける前記イベントのシーケンスのうちの前に受信したイベントの発生時刻との間の時間差を追跡するステップと、
    前記時間差を前記第1のユーザ固有の基準ベースラインの前記計時データと比較するステップと
    を含む、請求項3、及び、請求項3に直接的又は間接的に従属する請求項4〜5のうちの何れか一項に記載のコンピュータで実施される方法。
  7. 現在のセッションにおけるイベントのシーケンスの評価のためのシステムであって、
    プロセッサと、
    前記プロセッサに結合されたメモリであって、複数のユーザ固有の基準ベースラインを含むデータリストを記憶するように構成されたメモリと
    を含み、前記プロセッサは、
    数のユーザ固有の基準ベースラインのうちの第1のユーザ固有の基準ベースラインを生成し、前記第1のユーザ固有の基準ベースラインが、一組の時間順に並べられたイベントのシーケンスを含み、
    前記現在のセッションにおけるイベントのシーケンスのうちの1つのイベントを受信し、
    前記受信したイベントの属性を使用し、前記現在のセッションにおける前記イベントのシーケンス中の前記受信したイベントの時間的位置に基づいて、前記受信したイベントが前記第1のユーザ固有の基準ベースラインと少なくとも部分的に一致するか否かを判定し、
    前記受信したイベントが前記第1のユーザ固有の基準ベースラインと少なくとも部分的に一致するか否かの判定に基づいて、前記現在のセッションにおける前記イベントのシーケンスが、異常なユーザ行動である疑いがあるとみなされるか、それとも、異常なユーザ行動である疑いはないものとみなされるかを判定するように構成される、システム。
  8. 前記プロセッサは、各フローがユーザごと及びセッションごとの履歴的イベントの集合である、ユーザに関連する一組の履歴的イベントのフローである未加工ベースラインを使用して、前記第1のユーザ固有の基準ベースラインを生成するように構成される、請求項7に記載のシステム。
  9. 前記第1のユーザ固有の基準ベースラインは、前記一組の時間順に並べられたイベントのシーケンス中の各シーケンスに関連する計時データをさらに含み、前記一組の時間順に並べられたイベントのシーケンス中の各シーケンスは、前記ユーザに関連する前記履歴的イベントの特徴的パターンであり、前記計時データは、前記未加工ベースラインにおける履歴的イベントの発生時刻を使用して生成された統計情報を含む、請求項に記載のシステム。
  10. 前記プロセッサは、
    前記受信したイベントに関連するユーザ識別子に基づいて、前記複数のユーザ固有の基準ベースラインの中から前記第1のユーザ固有の基準ベースラインを識別し、
    前記受信したイベントの前記時間的位置と同じ時間的位置を有する前記第1のユーザ固有の基準ベースラインの前記シーケンス中のイベントを選択し、
    前記受信したイベントの属性を前記第1のユーザ固有の基準ベースライン中の前記イベントの同じ属性と比較することによって、
    前記受信したイベントが前記第1のユーザ固有の基準ベースラインと少なくとも部分的に一致するか否かを判定するように構成される、請求項7〜の何れか一項に記載のシステム。
  11. 前記プロセッサは、前記受信したイベントの属性が、ルールの条件において指定された偏差閾値以内であるか否かを判定することによって、前記受信したイベントが前記第1のユーザ固有の基準ベースラインと少なくとも部分的に一致するか否かを判定するように構成される、請求項10に記載のシステム。
  12. データプロセッサを制御し、現在のセッションにおけるトランザクションイベントのシーケンスを評価するための複数の命令を記憶する非一時的コンピュータ読取可能媒体であって、前記複数の命令は、前記データプロセッサに、
    数のユーザ固有の基準ベースラインのうちの第1のユーザ固有の基準ベースラインを生成させ、前記第1のユーザ固有の基準ベースラインは、一組の時間順に並べられたトランザクションイベントのシーケンスを含み、各トランザクションイベントが、金融トランザクションの一部であり、
    前記現在のセッションにおけるトランザクションイベントのシーケンスのうちの1つのトランザクションイベントを受信させ、
    前記受信したトランザクションイベントの属性を使用し、前記現在のセッションにおける前記トランザクションイベントのシーケンス中の前記受信したトランザクションイベントの時間的位置に基づいて、前記受信したトランザクションイベントが前記第1のユーザ固有の基準ベースラインと少なくとも部分的に一致するか否かを判定させ、
    前記受信したトランザクションイベントが前記第1のユーザ固有の基準ベースラインと少なくとも部分的に一致するか否かの判定に基づいて、前記現在のセッションにおける前記トランザクションイベントのシーケンスが、異常なユーザ行動である疑いがあるとみなされるか、それとも、異常なユーザ行動である疑いはないものとみなされるかを判定せるための命令を含む、非一時的コンピュータ読取可能媒体。
  13. 前記データプロセッサに、第1のユーザ固有の基準ベースラインを生成させる命令は、前記データプロセッサに、各フローがユーザごと及びセッションごとの履歴的トランザクションイベントの集合である、ユーザに関連する一組の履歴的トランザクションイベントのフローである未加工ベースラインを使用して、前記第1のユーザ固有の基準ベースラインを生成させる命令からなる、請求項12に記載の非一時的コンピュータ読取可能媒体。
  14. 前記第1のユーザ固有の基準ベースラインは、前記一組の時間順に並べられたトランザクションイベントのシーケンス中の各シーケンスに関連する計時データをさらに含み、前記一組の時間順に並べられたトランザクションイベントのシーケンス中の各シーケンスは、ユーザに関連する前記履歴的トランザクションイベントの特徴的パターンであり、前記計時データは、前記未加工ベースラインにおける履歴的トランザクションイベントの発生時刻を使用して生成された統計情報を含む、請求項13に記載の非一時的コンピュータ読取可能媒体。
  15. 前記データプロセッサに、前記受信したトランザクションイベントが前記第1のユーザ固有の基準ベースラインと少なくとも部分的に一致するか否かを判定させる命令は、
    前記データプロセッサに、
    前記受信したトランザクションイベントに関連するユーザ識別子に基づいて、前記複数のユーザ固有の基準ベースラインの中から前記第1のユーザ固有の基準ベースラインを識別させ、
    前記受信したトランザクションイベントの前記時間的位置と同じ時間的位置を有する前記第1のユーザ固有の基準ベースラインの前記シーケンス中のトランザクションイベントを選択させ、
    前記受信したトランザクションイベントの属性を前記第1のユーザ固有の基準ベースライン中の前記トランザクションイベントの同じ属性と比較させるための命令を含み、前記受信したイベントの属性は、イベントタイプである、請求項12〜14の何れか一項に記載の非一時的コンピュータ読取可能媒体。
JP2014529695A 2011-09-09 2011-10-20 基準ベースラインに基づき、イベントシーケンス中の時間的位置に従ってイベントを評価するシステム及び方法 Active JP5941149B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201161532968P 2011-09-09 2011-09-09
US61/532,968 2011-09-09
PCT/US2011/057139 WO2013036269A1 (en) 2011-09-09 2011-10-20 Systems and methods for evaluation of events based on a reference baseline according to temporal position in a sequence of events

Publications (2)

Publication Number Publication Date
JP2014531647A JP2014531647A (ja) 2014-11-27
JP5941149B2 true JP5941149B2 (ja) 2016-06-29

Family

ID=47832481

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014529695A Active JP5941149B2 (ja) 2011-09-09 2011-10-20 基準ベースラインに基づき、イベントシーケンス中の時間的位置に従ってイベントを評価するシステム及び方法

Country Status (7)

Country Link
US (1) US9646155B2 (ja)
EP (1) EP2754049A4 (ja)
JP (1) JP5941149B2 (ja)
KR (1) KR20140059227A (ja)
CN (1) CN103765820B (ja)
BR (1) BR112014005119A2 (ja)
WO (1) WO2013036269A1 (ja)

Families Citing this family (72)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8612802B1 (en) 2011-01-31 2013-12-17 Open Invention Network, Llc System and method for statistical application-agnostic fault detection
US8510596B1 (en) 2006-02-09 2013-08-13 Virsec Systems, Inc. System and methods for run time detection and correction of memory corruption
US9948324B1 (en) 2011-01-31 2018-04-17 Open Invention Network, Llc System and method for informational reduction
US10191796B1 (en) * 2011-01-31 2019-01-29 Open Invention Network, Llc System and method for statistical application-agnostic fault detection in environments with data trend
KR101566363B1 (ko) * 2011-12-16 2015-11-06 한국전자통신연구원 규칙 기반 보안 이벤트 연관성 분석장치 및 방법
US9195631B1 (en) 2012-03-26 2015-11-24 Emc Corporation Providing historical data to an event-based analysis engine
US9286311B2 (en) * 2012-06-14 2016-03-15 Santhosh Adayikkoth Real-time filtering of relevant events from a plurality of events
US10043197B1 (en) * 2012-06-14 2018-08-07 Rocket Fuel Inc. Abusive user metrics
US9354762B1 (en) 2012-06-26 2016-05-31 Emc International Company Simplifying rules generation for an event-based analysis engine by allowing a user to combine related objects in a rule
US9430125B1 (en) 2012-06-27 2016-08-30 Emc International Company Simplifying rules generation for an event-based analysis engine
US9053307B1 (en) * 2012-07-23 2015-06-09 Amazon Technologies, Inc. Behavior based identity system
US9166961B1 (en) 2012-12-11 2015-10-20 Amazon Technologies, Inc. Social networking behavior-based identity system
US9098804B1 (en) * 2012-12-27 2015-08-04 Emc International Company Using data aggregation to manage a memory for an event-based analysis engine
US9679131B2 (en) * 2013-01-25 2017-06-13 Cybereason Inc. Method and apparatus for computer intrusion detection
US9240996B1 (en) * 2013-03-28 2016-01-19 Emc Corporation Method and system for risk-adaptive access control of an application action
US20140324552A1 (en) * 2013-04-25 2014-10-30 International Business Machines Corporation Analysis and annotation of interactions obtained from network traffic
US9921827B1 (en) 2013-06-25 2018-03-20 Amazon Technologies, Inc. Developing versions of applications based on application fingerprinting
US9262470B1 (en) 2013-06-25 2016-02-16 Amazon Technologies, Inc. Application recommendations based on application and lifestyle fingerprinting
US10269029B1 (en) 2013-06-25 2019-04-23 Amazon Technologies, Inc. Application monetization based on application and lifestyle fingerprinting
US9727821B2 (en) * 2013-08-16 2017-08-08 International Business Machines Corporation Sequential anomaly detection
US9548993B2 (en) * 2013-08-28 2017-01-17 Verizon Patent And Licensing Inc. Automated security gateway
US10079841B2 (en) 2013-09-12 2018-09-18 Virsec Systems, Inc. Automated runtime detection of malware
JP6201614B2 (ja) * 2013-10-11 2017-09-27 富士通株式会社 ログ分析装置、方法およびプログラム
KR101568197B1 (ko) 2014-01-23 2015-11-11 한국과학기술원 이벤트 기반의 신호 처리 장치 및 방법
US11405410B2 (en) * 2014-02-24 2022-08-02 Cyphort Inc. System and method for detecting lateral movement and data exfiltration
US20160078365A1 (en) * 2014-03-21 2016-03-17 Philippe Baumard Autonomous detection of incongruous behaviors
US10354074B2 (en) 2014-06-24 2019-07-16 Virsec Systems, Inc. System and methods for automated detection of input and output validation and resource management vulnerability
CN107077412B (zh) 2014-06-24 2022-04-08 弗塞克系统公司 单层或n层应用的自动化根本原因分析
US9800615B2 (en) * 2014-09-09 2017-10-24 Bank Of America Corporation Real-time security monitoring using cross-channel event processor
US9773112B1 (en) * 2014-09-29 2017-09-26 Fireeye, Inc. Exploit detection of malware and malware families
US10027689B1 (en) * 2014-09-29 2018-07-17 Fireeye, Inc. Interactive infection visualization for improved exploit detection and signature generation for malware and malware families
US9952916B2 (en) * 2015-04-10 2018-04-24 Microsoft Technology Licensing, Llc Event processing system paging
US9760426B2 (en) 2015-05-28 2017-09-12 Microsoft Technology Licensing, Llc Detecting anomalous accounts using event logs
US10089465B2 (en) * 2015-07-24 2018-10-02 Bitdefender IPR Management Ltd. Systems and methods for tracking malicious behavior across multiple software entities
CN107851156B (zh) * 2015-07-30 2021-06-04 日本电信电话株式会社 分析方法、分析装置和记录介质
TWI615730B (zh) * 2015-11-20 2018-02-21 財團法人資訊工業策進會 以應用層日誌分析為基礎的資安管理系統及其方法
JP6827266B2 (ja) * 2016-01-15 2021-02-10 富士通株式会社 検知プログラム、検知方法および検知装置
JP6679943B2 (ja) * 2016-01-15 2020-04-15 富士通株式会社 検知プログラム、検知方法および検知装置
WO2017165770A1 (en) 2016-03-24 2017-09-28 Carbon Black, Inc. Systems and techniques for guiding a response to a cybersecurity incident
US10515062B2 (en) * 2016-05-09 2019-12-24 Sumo Logic, Inc. Searchable investigation history for event data store
CA3027728A1 (en) 2016-06-16 2017-12-21 Virsec Systems, Inc. Systems and methods for remediating memory corruption in a computer application
US10735439B2 (en) * 2016-09-06 2020-08-04 Radware, Ltd. System and method for attack sequence matching
JP2019530083A (ja) * 2016-09-14 2019-10-17 カーボン ブラック, インコーポレイテッド 予期されていないアクティビティパターンに基づくサイバーセキュリティインシデント検出
US10922189B2 (en) * 2016-11-02 2021-02-16 Commvault Systems, Inc. Historical network data-based scanning thread generation
US10389810B2 (en) 2016-11-02 2019-08-20 Commvault Systems, Inc. Multi-threaded scanning of distributed file systems
US10791134B2 (en) * 2016-12-21 2020-09-29 Threat Stack, Inc. System and method for cloud-based operating system event and data access monitoring
US10395016B2 (en) * 2017-01-24 2019-08-27 International Business Machines Corporation Communication pattern recognition
US10628278B2 (en) 2017-01-26 2020-04-21 International Business Machines Corporation Generation of end-user sessions from end-user events identified from computer system logs
US10834104B1 (en) 2017-04-13 2020-11-10 United Services Automobile Association (Usaa) Systems and methods of detecting and mitigating malicious network activity
US10607005B2 (en) * 2017-06-20 2020-03-31 Ca, Inc. Systems and methods for labeling automatically generated reports
JP6756680B2 (ja) * 2017-08-25 2020-09-16 Kddi株式会社 情報処理装置、情報処理方法、及び情報処理プログラム
KR102027044B1 (ko) * 2017-12-28 2019-09-30 주식회사 포스코아이씨티 비정상 제어데이터 탐지 시스템
KR102069954B1 (ko) * 2017-12-28 2020-01-23 주식회사 포스코아이씨티 제어데이터의 정상 시퀀스 패턴 생성 시스템 및 방법
WO2019245574A1 (en) 2018-06-22 2019-12-26 Hewlett-Packard Development Company, L.P. Alignments of media using multiple passes
US20200097579A1 (en) * 2018-09-20 2020-03-26 Ca, Inc. Detecting anomalous transactions in computer log files
CN111124846B (zh) * 2018-10-31 2023-05-30 千寻位置网络有限公司 在线定位时长的统计方法及装置、定位服务系统
US11153332B2 (en) * 2018-12-10 2021-10-19 Bitdefender IPR Management Ltd. Systems and methods for behavioral threat detection
US11323459B2 (en) * 2018-12-10 2022-05-03 Bitdefender IPR Management Ltd. Systems and methods for behavioral threat detection
CN109885648A (zh) * 2018-12-29 2019-06-14 清华大学 基于剧本的字幕场景和说话人信息自动标注方法和系统
US11336668B2 (en) * 2019-01-14 2022-05-17 Penta Security Systems Inc. Method and apparatus for detecting abnormal behavior of groupware user
CN111651753A (zh) * 2019-03-04 2020-09-11 顺丰科技有限公司 用户行为分析系统及方法
CN111818111B (zh) * 2019-04-11 2021-10-15 华为技术有限公司 一种主机及服务器
WO2020237124A1 (en) * 2019-05-22 2020-11-26 Computed Futures, Lcc Systems and methods for detecting and mitigating cyber security threats
KR102282843B1 (ko) * 2019-05-31 2021-07-27 주식회사 포스코아이씨티 스위칭 장치를 이용하는 비정상 제어데이터 탐지시스템
WO2020241959A1 (ko) * 2019-05-31 2020-12-03 주식회사 포스코아이씨티 비정상 제어데이터 탐지시스템
US11431584B2 (en) * 2019-06-08 2022-08-30 NetBrain Technologies, Inc. Dynamic golden baseline
US11165815B2 (en) * 2019-10-28 2021-11-02 Capital One Services, Llc Systems and methods for cyber security alert triage
US20220321587A1 (en) * 2021-03-30 2022-10-06 Traceable Inc. Automatic anomaly detection based on api sessions
US20230043793A1 (en) * 2021-08-04 2023-02-09 Verizon Patent And Licensing Inc. Anomaly detection using user behavioral biometrics profiling method and apparatus
US11799768B1 (en) * 2021-09-09 2023-10-24 Amazon Technologies, Inc. Lightweight reactive workflows through internal event generation and matching
KR102401047B1 (ko) * 2021-10-14 2022-05-24 국방과학연구소 전자 장치의 미사일 시스템 데이터 분석 방법
US11989296B2 (en) 2022-10-13 2024-05-21 Cybersentry.Ai, Inc. Program execution anomaly detection for cybersecurity

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6601048B1 (en) 1997-09-12 2003-07-29 Mci Communications Corporation System and method for detecting and managing fraud
WO2001084285A2 (en) * 2000-04-28 2001-11-08 Internet Security Systems, Inc. Method and system for managing computer security information
US6725287B1 (en) * 2000-11-09 2004-04-20 Elity Systems, Inc. Method and system for capturing streaming data by an actionable information engine
US6996551B2 (en) * 2000-12-18 2006-02-07 International Business Machines Corporation Apparata, articles and methods for discovering partially periodic event patterns
JP2003141158A (ja) * 2001-11-06 2003-05-16 Fujitsu Ltd 順序を考慮したパターンを用いた検索装置および方法
US7895649B1 (en) * 2003-04-04 2011-02-22 Raytheon Company Dynamic rule generation for an enterprise intrusion detection system
US20050203881A1 (en) 2004-03-09 2005-09-15 Akio Sakamoto Database user behavior monitor system and method
US7509677B2 (en) * 2004-05-04 2009-03-24 Arcsight, Inc. Pattern discovery in a network security system
US7523504B2 (en) * 2004-08-02 2009-04-21 Netiq Corporation Methods, systems and computer program products for evaluating security of a network environment
US7424742B1 (en) * 2004-10-27 2008-09-09 Arcsight, Inc. Dynamic security events and event channels in a network security system
US7815106B1 (en) 2005-12-29 2010-10-19 Verizon Corporate Services Group Inc. Multidimensional transaction fraud detection system and method
US7251584B1 (en) * 2006-03-14 2007-07-31 International Business Machines Corporation Incremental detection and visualization of problem patterns and symptoms based monitored events
US7953677B2 (en) * 2006-12-22 2011-05-31 International Business Machines Corporation Computer-implemented method, computer program and system for analyzing data records by generalizations on redundant attributes
US10410220B2 (en) 2008-06-12 2019-09-10 Guardian Analytics, Inc. Fraud detection and analysis system
JP5011234B2 (ja) * 2008-08-25 2012-08-29 株式会社日立情報システムズ 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム
US8490187B2 (en) 2009-03-20 2013-07-16 Microsoft Corporation Controlling malicious activity detection using behavioral models
US8595176B2 (en) 2009-12-16 2013-11-26 The Boeing Company System and method for network security event modeling and prediction

Also Published As

Publication number Publication date
KR20140059227A (ko) 2014-05-15
BR112014005119A2 (pt) 2017-04-18
CN103765820B (zh) 2016-10-26
WO2013036269A1 (en) 2013-03-14
CN103765820A (zh) 2014-04-30
US20140165140A1 (en) 2014-06-12
EP2754049A1 (en) 2014-07-16
JP2014531647A (ja) 2014-11-27
US9646155B2 (en) 2017-05-09
EP2754049A4 (en) 2015-08-26

Similar Documents

Publication Publication Date Title
JP5941149B2 (ja) 基準ベースラインに基づき、イベントシーケンス中の時間的位置に従ってイベントを評価するシステム及び方法
Myers et al. Anomaly detection for industrial control systems using process mining
US10997010B2 (en) Service metric analysis from structured logging schema of usage data
US20220210200A1 (en) Ai-driven defensive cybersecurity strategy analysis and recommendation system
US11218510B2 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
US9531755B2 (en) Field selection for pattern discovery
US9904955B2 (en) Electronic crime detection and tracking
CA2905996C (en) Fraud detection and analysis
US8272061B1 (en) Method for evaluating a network
US20050251860A1 (en) Pattern discovery in a network security system
US20120259753A1 (en) System and method for managing collaborative financial fraud detection logic
CN104871171B (zh) 分布式模式发现
US20200175522A1 (en) Predicting online customer service requests based on clickstream key patterns
US10027686B2 (en) Parameter adjustment for pattern discovery
WO2019220363A1 (en) Creation and verification of behavioral baselines for the detection of cybersecurity anomalies using machine learning techniques
Rodríguez et al. A Process Mining-based approach for Attacker Profiling
Velpula et al. Behavior-anomaly-based system for detecting insider attacks and data mining
Myers Detecting cyber attacks on industrial control systems using process mining
Fessi et al. Data collection for information security system
Raut et al. Intrusion detection system using data mining approach
Odongo Security Information and Event Management Using Deep Learning Project Documentation
Cuzzocrea et al. Detecting and analyzing anomalies across historical data changes: A data-driven approach
Xuetao et al. A Typical Set Method of Intrusion Detection Technology Base on Computer Audit Data
Alsharif et al. Intrusion Detection System Based on User Behavior Using Data Mining Techniques.

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150804

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151104

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160426

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160519

R150 Certificate of patent or registration of utility model

Ref document number: 5941149

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360

R371 Transfer withdrawn

Free format text: JAPANESE INTERMEDIATE CODE: R371

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360

R371 Transfer withdrawn

Free format text: JAPANESE INTERMEDIATE CODE: R371

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250