JP6148323B2 - 計算機ネットワークにおいて調整グループ攻撃を識別する異常検出 - Google Patents

計算機ネットワークにおいて調整グループ攻撃を識別する異常検出 Download PDF

Info

Publication number
JP6148323B2
JP6148323B2 JP2015501782A JP2015501782A JP6148323B2 JP 6148323 B2 JP6148323 B2 JP 6148323B2 JP 2015501782 A JP2015501782 A JP 2015501782A JP 2015501782 A JP2015501782 A JP 2015501782A JP 6148323 B2 JP6148323 B2 JP 6148323B2
Authority
JP
Japan
Prior art keywords
network
edges
nodes
node
edge
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2015501782A
Other languages
English (en)
Other versions
JP2015511101A (ja
Inventor
チャールズ ニール ジョシュア
チャールズ ニール ジョシュア
トゥルコッテ メリッサ
トゥルコッテ メリッサ
アンドリュー ハード ニコラス
アンドリュー ハード ニコラス
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Los Alamos National Security LLC
Original Assignee
Los Alamos National Security LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Los Alamos National Security LLC filed Critical Los Alamos National Security LLC
Publication of JP2015511101A publication Critical patent/JP2015511101A/ja
Application granted granted Critical
Publication of JP6148323B2 publication Critical patent/JP6148323B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/02Knowledge representation; Symbolic representation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/02Knowledge representation; Symbolic representation
    • G06N5/022Knowledge engineering; Knowledge acquisition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/04Inference or reasoning models
    • G06N5/045Explanation of inference; Explainable artificial intelligence [XAI]; Interpretable artificial intelligence
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N7/00Computing arrangements based on specific mathematical models
    • G06N7/01Probabilistic graphical models, e.g. probabilistic networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/0001Systems modifying transmission characteristics according to link quality, e.g. power backoff
    • H04L1/0015Systems modifying transmission characteristics according to link quality, e.g. power backoff characterised by the adaptation strategy
    • H04L1/0019Systems modifying transmission characteristics according to link quality, e.g. power backoff characterised by the adaptation strategy in which mode-switching is based on a statistical approach
    • H04L1/002Algorithms with memory of the previous states, e.g. Markovian models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Evolutionary Computation (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Computational Linguistics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Medical Informatics (AREA)
  • Algebra (AREA)
  • Computational Mathematics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Quality & Reliability (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Debugging And Monitoring (AREA)

Description

[連邦権利の陳述]
アメリカ合衆国政府は、アメリカ合衆国エネルギー省(United States Department of Energy)と、ロスアラモス・ナショナル・セキュリティ社(Los Alamos National Security,LLC)との間の、ロスアラモス国立研究所(Los Alamos National Laboratory)の運営に関する契約番号DE−AC52−06NA25396に基づき本発明における権利を有する。
[関連出願に関する相互参照]
この出願は、2012年3月22日に出願された米国特許仮出願第61/614148の利益を主張するものである。この以前の出願された仮出願の内容は、参照により、その全体が、ここに組み込まれる。
本願発明は、概して、ネットワーク異常を検出することに関するものであり、より詳細には、計算機ネットワークへの調整グループ攻撃(coordinated group attack)を示す異常を検出することに関する。
複数の攻撃者による攻撃を検出することは、人間、または、自動化システム(例えば、ボットネット(Botnet))にせよ、コンピュータ・セキュリティでの関心において、重要性が増加しているものである。例えば、いくつかのアプローチは、それらの通信や活動トラフィックにおいて、同様の特性をシェアする時間にわたるコンピュータのクラスタリングに基づく方法を用いて、ボットネットを検出しようと試みた。これらの方法は、ネットワークの端部におけるネットワーク・トラフィックをモニターするが、内部のネットワーク・トラフィックをモニターするよりはむしろ、外部インターネット・プロトコル(「IP」)アドレスとの同様の接続を共有するネットワークの内部のホストを探すものである。これらの方法が検出することを目指すこのタイプの攻撃に対して、ネットワークにおいて、種々の障害を生じたホスト(compromised host)は、必ずしも、中央エンティティによってコントロールされるというわけではない。
別の従来の侵入検出システムは、ユーザ指定のルール・セットに基づいて、経時的にネットワーク活動のグラフをつくることによって、コンピュータ・ネットワークの上の大規模な悪意のある攻撃を検出することを狙っている。これらのネットワーク・イベントのグラフを提示することにより、アナリストが視覚的に、疑わしいネットワーク活動が起こっているか否かを決定することを可能にすると信じられている。しかしながら、何が異常であると思われるかは、ユーザに任され、調整された攻撃の手段としてのネットワークの中で起こっている重複した活動を探す提案はない。
侵入検出の研究のかなりの領域は、複数の侵入検出システムで生成された警告をクラスタリングすることを含む警告の相互関係の領域である。統計的検定が、時間におけるそれらの類似性と近接性とに基づいて、警告の相互関係を評価するのに用いられる。その狙いは、単一の脅威に複数の警告を与え、攻撃の異なるステージのより明確な見解を与え、アナリストが厳密に調べなければならない警告の量を減らすこと、によって、偽陽性(誤検知)を減らし、アナリストを支援することである。しかしながら、そのようなアプローチは、接続性における重複を具体的には探さない。
例えば、分散サービス拒否攻撃、または、大規模な密かなスキャンのようなオンライン・プラットホームの上で非常に広いスケールで調整された攻撃を検出することは、研究の別の主要な領域である。共同侵入検出システムは、ネットワークの範囲をわたる侵入検出システムにより生成された警告の上での、先に述べたような警告の相互関係を用いて、これらの調整された攻撃を検出しようとする。しかしながら、内部ネットワークの上での調整された攻撃についての方法は、述べられていなかった。したがって、内部ネットワークの上での調整された攻撃を識別するアプローチは、有益でありえる。
本願発明のある実施形態は、その問題にソリューション、および、充分に特定されず、認識されず、現在のネットワーク異常検出システムにより解決されていなかった当該技術におけるニーズを提供することができる。例えば、本願発明のいくつかの実施形態は、内部コンピュータ・ネットワークの上での調整グループ攻撃を識別するために、異常を検出する。
実施形態においては、コンピュータで実施される方法は、コンピューティング・システムにより、ノードと、エッジと、該異常グラフにおけるノードの入次数と、を備えるネットワークの異常グラフを決定することを含む。このコンピュータで実施される方法は、また、コンピューティング・システムにより、ポテンシャル・ターゲットとして少なくとも2に入次数を有するノードを指定するステップと、コンピューティング・システムにより、入ってくる接続を有さないノードを、潜在的に障害を生じたノードとして指定するステップとを含む。このコンピュータで実施される方法は、コンピューティング・システムにより、潜在的に障害を生じたノードが同一の潜在的ターゲット・ノードの1つ以上に接続するとき、そのネットワークでの調整された攻撃と潜在的に結びついたものとして、指定された潜在的に障害を生じたノードを出力するステップを含む。
別の実施形態において、装置は、少なくとも1つのプロセッサと、命令を含むメモリとを含む。この命令は、少なくとも1つのプロセッサによって実行されるとき、その少なくとも1つのプロセッサに、少なくとも1つの期間に、攻撃者のグループからの潜在的活動を意味する異常な行動を決定するために、期間にわたりネットワークをモニターさせるように構成される。その命令は、また、その少なくとも1つのプロセッサに、少なくとも1つの期間に、異常な行動と判断されるとき、潜在的グループ攻撃がネットワークで起こっていることの指標を提供させるように構成される。
さらに別の実施形態においては、システムは、ネットワークにおける異常を検出するように構成されたコンピュータ・プログラム命令を格納しているメモリと、その格納されたコンピュータ・プログラム命令を実行するように構成された複数の処理コアとを含む。この複数の処理コアは、ある期間に、ネットワークの異常グラフを生成するように構成される。この処理コアは、また、入次数のない複数ノードおよび共通ノード接続が、その期間存在するか否かを判断するように構成される。この処理コアは、このシステムが、入次数のない複数ノードおよび共通ノード接続が、異常グラフの1つ以上のサブグラフにおいて、存在すると判断するとき、ネットワークへの潜在的グループ攻撃の指標を生成するように、さらに構成される。
本願発明の適切な理解のために、参照は、付随する図面に対してなされなければならない。これらの図面は、本願発明のいくつかの実施形態のみを描いており、本願発明の範囲を制限するものではない。
図1Aは、本願発明の実施形態による、潜在的に異常な行動を見せているノード
Figure 0006148323
 のセットのサブグラフである。
図1bは、本願発明の実施形態による、グループ活動を見せているノードに縮小された異常サブグラフ
Figure 0006148323
 である。
図2は、本願発明の実施形態による、ネットワークの上での調整グループ攻撃を識別するために、異常を検出する方法を図示するフローチャートである。 図3は、本願発明の実施形態による、ネットワークの上での調整グループ攻撃を識別するために、異常を検出する方法を図示するフローチャートである。 図4は、本願発明の実施形態による、ネットワークの上での調整グループ攻撃を識別するために、異常を検出する方法を図示するフローチャートである。 図5は、本願発明の実施形態による、ネットワークの上でのグループ攻撃を検出するためのコンピューティング・システムのブロック図である。
本願発明のいくつかの実施形態は、内部コンピュータ・ネットワークにおける複数の、通常、調整攻撃者(すなわち、チーム)からの異常を検出する。ある実施形態において、この検出は、リアルタイムに実行することができる。そのような実施形態は、内部コンピュータ・ネットワークの上での異常検出の問題を考慮する。ここで、異常は、ネットワークへの攻撃を意味する。特に、いくつかの実施形態の狙いは、調整された攻撃を検出するために異常ベースの検出システムを使用することである。ここで、侵入者は、そのネットワークにおいて、いくつかのホストに障害を生じさせ、同時に、目標とする悪意のある活動を実行するために、これらのホストを使用する。
いくつかの実施形態におけるチームの態様は、非常に新規なものである。巧妙な敵対者は、通常、特に国家活動者の場合には、速くミッションを達成するために、同時攻撃者のチームを用いる。しかしながら、これは、統計学的に言えば、より大きな信号となる。複数の攻撃者がいるときには、異常な行動が、より一般的な傾向があるからである。したがって、いくつかの実施形態は、同時であるという性質を考慮して、各々の異常を独立して考慮するよりも、良い検出性能を出す。
大規模ネットワークにおいて配備を可能にするために、いくつかの実施形態は、ネットワーク・グラフにおけるすべてのノードとエッジを、まず最初に、独立したエンティティとして取り扱い、経時的に、グループ活動を意味する顕著な重複あるいは相関した行動に対する潜在的に異常なエッジを探す。そのようなグループ活動の例は、いくつかの特定の期間のなかで、すべてがノードの共通のセットに接続する障害を生じたノードであり得る。行動は、優先権米国仮特許出願第61/614148号(以下、「優先権出願」)で議論されているモデルのような基本的な統計確率モデルを使って学習された行動履歴からのいくつかの逸脱に基づいて、異常であると分類することができる。この独立の仮定の妥当性は、基本的な確率モデルに知らせる履歴データから各々のノードの、周期的な行動を学習することに依存する。次に、ノードがアクティブである期間、そのノードから発散しているエッジに沿った接続は、また、条件つきで独立して取り扱われる。合わせて、これらの2つの態様は、そのネットワークにおける各々のエッジに沿って活動レベルに対する確率モデルを提供する。
異常なエッジのこの集積は、優先権出願におけるいくつかのインプリメンテーションの方法論と同様のアイディアであることができる。そしてそれは、攻撃者の横断を検出する目的で、パスを形成するネットワークの中における異常なエッジを探すことができる。しかしながら、単一の障害を生じたノードから開始して、ネットワークを通して横断を探すよりはむしろ、いくつかの実施形態は、複数の障害を生じたノードからの接続での重複を検出することを狙う。侵入者は、通常、履歴データへのアクセスを有さないという事実ばかりでなく、ネットワークにおける彼らの活動の性質上、侵入者は、新しい行動のパターンをつくる傾向がある。
一旦、ハッカーが境界線内での防衛を貫通すると、ハッカーの識別は、政府や企業のネットワークを防衛するのに、最も重要なことである。攻撃者のチームを、彼らがコアネットワーク資産に侵入することができる前に、速く識別することは、攻撃された機関が、何百万ドルをも節約できることを意味する。もし、攻撃者が、ネットワークに居座り、コア・マシンに侵入することができてしまうと、唯一のソリューションは、典型的には、週とまではいわないまでも、何日もネットワークをシャットダウンすることしかない。これは、明らかに、ネットワークの機能性を取り除くことから、パブリック・リレーションのかなりの損傷を引き起こすという意味を有する。上記について、本願発明のいくつかの実施形態は、ハッカーのチームを検出するために、内部ネットワークをモニターする。この有益な特徴は、従来のシステムでは可能でく、また、従来のシステムでは認識されない。
いくつかの実施形態の統計的異常検出は、ネットワークにおける、各々のエッジ(または、少なくとも複数のエッジ)に沿って、モニタリング行動を含み、適合した確率モデルに関して、遠くの行動を探すことを含む。エッジが通常にふるまい続ける間は、観察されるデータは、コヒーレント更新処理スキームで確率モデルをさらに洗練するのに用いることができる。さもなければ、現在の行動がかなり過去の行動からそれる場合には、エッジを、異常であるとフラッグ付することができる。各時点において、確率モデルからのp値を、逸脱度の現在レベルを定量化するために、各々のエッジに沿って現在の行動に対して得ることができる。低いp値は、潜在的に異常な行動を示すことができる。
いくつかの実施形態の新規な態様は、時間のいくつかのウィンドウにわたって、異常なエッジと見えるものの中で、グループの活動の意味している顕著な重複あるいは相関した行動を探すことである。そのようなグループ活動の例は。いくつかの指定された期間の内で、すべてノードの共通セットに接続している障害を生じたノードであり得る。実質的に重なる異常な行動を観察することで、正常な挙動からの逸脱度は、統計的独立確率モデルでキャプチャされず、したがって、これは、異常検出システムの中で処理されなければならない、追加的な、関連した情報とみなすことができる。
重複を検出するために、異常なエッジを集計することは、優先権出願で議論された、いくつかのインプリメンテーションの方法論と同様のアイディアである。それは、攻撃者の横断を検出する目的で、パスを形成するネットワークにおいて、異常なエッジを探すことができる。しかしながら、本願発明のいくつかの実施形態において、単一の障害を生じたノードから開始して、ネットワークを通して横断を探すよりはむしろ、いくつかの障害を生じたノードからの接続での重複が検出される。どのように重複した活動を検出することができるかの短い例をつぎに述べる。
ネットワークにおける最近の行動は、フレックスタイム・ウィンドウの間に、すべての接続イベントを含むように考えることができる。このウィンドウwの幅は、アナリストの関心に適合するように選ぶことができる。しかしながら、この例で議論される実施形態は、調整活動を検出することに向けられているので、wは、グラフの全ての履歴と比較して小さくなければならない。
時間tにおいて、(V,E)を、最近の時間ウィンドウ(t−w,t)の間、アクティブである、すべての通信しているノードVと、すべてのエッジEからなる現在のグラフであるとする。各々のエッジ(i、j)∈Eに対して、それぞれのエッジが、その正常挙動からどれほど遠くにあるかを意味するp値pij,tが得られる。p値閾値T∈(0,1)に対して、このネットワークの異常グラフSt=(V ,E )は、閾値
Figure 0006148323
 の下で正のp値を有するエッジから形成される。
方程式(2)において、「s.t.」は、「...ように」を意味する。実際には、閾値Tは、トレーニング期間にわたって、平均的な異常グラフ・サイズ{|E |}が、所望の数を超えないように選ぶことができる。
潜在的偽エッジを除去するために、異常グラフを、1の入次数を有するノードへ接続するすべてのエッジを削除することによってさらに減少することができる。1つの例が、図1Aおよび図1Bに示される。この例は、グループ行動を表示する構造のグラフに集中する。図1Aにおいて、サブグラフ100は、潜在的に異常な行動を表示している一組のノードStを示す。図1Bにおいて、異常サブグラフ
Figure 0006148323
 110は、グループ活動を表示しているノードに減少された。各々のサブグラフは、グループ攻撃を表すことができ、複数の潜在的なグループ攻撃が検出された場合には、複数の異常サブグラフは、所定の期間、または、時間ウィンドウに生成されることができることに留意する。ゼロ入次数を有するノード、すなわち、入ってくる接続を受信しないノードは、陰影をつけて、疑わしい障害を生じたノード(図1Bを参照)と考えることができる。2以上の入次数を有するノードは、ターゲットであると考えることができる(たとえば、図1Aおよび図1Bの中のノード7と8)。ノードは、両方のカテゴリーに分類されることができ、入接続のないすべてのノードに、障害が生じているわけではないことに留意する。
グラフの弱連結サブグラフ(すなわち、コンポーネント)は、すべての有向エッジが無向エッジと置き替えた場合に、結果として生じるサブグラフが接続されるという特性を有する最大サブグラフである。各々の弱連結サブグラフ
Figure 0006148323
 は、潜在的に異常である、したがって、潜在的に、調整された攻撃の部分であると考えることができる。
重複のレベルを記述するために、グラフの各々の弱連結サブグラフA=(V,E)に対して、サマリ統計Oを計算することができる。サマリ統計の適切な選択は、求められている攻撃の性質にしたがって、変化するかもしれない。しかしながら、考慮することができるそのような統計の1つは、サブグラフの無向エッジの数
Figure 0006148323
 である。
単純にするために、観察された重複の統計は、いくつかの共通、しかし、未知の分布から、独立に、また、同様に配布されると考えることができる。トレーニング期間に、統計の観測値から計算される経験的な分布は、この未知数のノンパラメトリックな推定、および、潜在的に複雑な分布を提供することができる。
時間tにおけるネットワークの評価に戻ると、この経験的な分布に関するp値は、そのネットワークにおける、より異常な行動において重複のレベルでの、異常性の測定を提供するために、減少した異常グラフ
Figure 0006148323
 の各々の弱連結サブグラフに対して得ることができる。
図2は、本願発明の実施形態による、ネットワークへの調整グループ攻撃を識別するために、異常を検出する方法を図示しているフローチャート200である。いくつか実施形態において、図2の方法は、例えば、図5のコンピュータ・システム500により、実行することができる。この方法は、205でネットワークの異常グラフを決定することから始める。異常グラフは、ノードと、エッジと、その異常グラフのノードの入次数を含むことができる。次に、1の入次数を有するノードに入ってくるエッジは、210において異常グラフから削除される。
異常グラフの中の各々の弱連結サブグラフは、215において見つかる。重複のレベルを記述するために、220において、サマリ統計が、各々のサブグラフに対して計算される。2つ以上の入次数を有するノードは、225において潜在的ターゲットに指定される。入ってくる接続を有さないノードは、230において潜在的に障害を生じたノードに指定される。指定された潜在的に障害を生じたノードは、次に、潜在的に障害を生じたノードが同一の潜在的ターゲット・ノードの1つ以上に接続するとき、235において、ネットワークの上の調整された攻撃の部分であるとして出力される。
図3は、本願発明の実施形態による、ネットワークの上での調整グループ攻撃を識別するために、異常を検出する方法を図示するフローチャートである。いくつか実施形態において、図3の方法は、例えば、図5のコンピュータ・システム500により、実行することができる。この方法は、305において、少なくとも1つの期間に、攻撃者のグループからの潜在的活動を意味する異常な行動を決定するために、期間にわたってネットワークをモニターすることから始める。この異常な行動は、潜在的に障害を生じたノードのグループが、前記期間のうち少なくとも1つの期間に、共通ノードに接続しようと試みる、重複あるいは相関した行動を含むことができる。異常グラフにおけるネットワークの各エッジに対して、p値が決定される。このp値は、それぞれのエッジが、その正常挙動からどれほど遠くにあるかについて示す。異常グラフは、p値とp値閾値に基づいて形成することができる。
1の入次数を有するノードに入ってくるエッジは、310において異常グラフから削除される。異常グラフの中の各々の弱連結サブグラフは、315において見つかる。所定のサブグラフの無向エッジの数を用いて、320において、サマリ統計が、各々のサブグラフに対して計算される。グループ攻撃がネットワークにおいて生じている可能性があるという指標は、次に、前記期間のうち少なくとも1つの期間に、異常な行動と判断されるとき、325において、提供される。
図4は、本願発明の実施形態によって、ネットワークへの調整グループ攻撃を識別するために、異常を検出する方法を図示するフローチャートである。いくつか実施形態において、図4の方法は、例えば、図5のコンピュータ・システム500により、実行することができる。この方法は、405において、ある期間に、ネットワークの異常グラフを生成することから始める。p値が、その異常グラフの各エッジに対して決定される。このp値は、それぞれのエッジが、その正常挙動からどれほど遠くにあるかについて示す。異常グラフは、p値とp値閾値に基づいて、形成することができる。1の入次数を有するノードに入ってくるエッジは、410において異常グラフから削除される。異常グラフの中の各々の弱連結サブグラフは、415において見つかる。
入次数のない複数ノードおよび共通ノード接続が、420において、その期間に存在するか否かが判断される。そうであれば、ネットワークへの潜在的グループ攻撃の指標は、425において生成される。この指標は、入次数と共通のノード接続を有しない、潜在的に障害を生じたノードと、前記潜在的に障害を生じたノードが接続されている、2つ以上の入次数を有する潜在的ターゲット・ノードとを含むことができる。
図5は、本願発明の実施形態による、ネットワークの上でのグループ攻撃を検出するためのコンピューティング・システム500のブロック図である。コンピューティング・システム500は、情報を通信するための、バス505または他の通信メカニズムと、情報を処理するためのバス505に結合したプロセッサ510とを含む。プロセッサ510は、中央処理装置(「CPU」)またはASIC(「ASIC」)を含む一般または特定目的プロセッサデバイスの任意のタイプであることができる。プロセッサ510は、また、複数の処理コアを有することができ、少なくとも、コアのいくつかは、特定機能を実行するように構成することができる。コンピューティング・システム500は、情報と、プロセッサ510によって実行される命令を格納するためのメモリ515を更に含む。メモリ515は、ランダム・アクセス・メモリ(「RAM」)、読取り専用メモリ(「ROM」)、フラッシュ・メモリ、キャッシュ、磁気ディスクまたは光学ディスクなどの静的記憶装置、または、他のいかなるタイプの固定コンピュータ可読媒体またはその組合せのいかなる組合せからでも構成することができる。加えて、コンピューティング・システム500は、通信ネットワークにワイヤレスでアクセスを提供するためにトランシーバのような通信デバイス520を含む。
固定コンピュータ可読媒体は、プロセッサ510によってアクセスすることができるいかなる利用可能な媒体であっても良く、揮発性媒体と不揮発性媒体、取り外し可能媒体と取り外し不可能媒体、および、通信媒体を含むことができ、通信メディアは、コンピュータで読取り可能な命令、データ構造、プログラム・モジュールまたは例えば、搬送波または他の搬送機構のような変調データ信号の他のデータを含むことができ、いかなる情報配送媒体をも含む。
プロセッサ510は、さらに、バス505を介して、ユーザに情報を表示するために、液晶ディスプレイ(「LCD」)のようなディスプレイ525に結合される。キーボード530、および、コンピュータ・マウスのようなカーソル制御デバイス535が、さらに、ユーザがコンピューティング・システム500とインタフェースすることができるように、バス505に結合される。しかしながら、モバイル・コンピューティング・インプリメンテーションに対するもののような特定の実施形態において、物理キーボードとマウスは、存在することができず、ユーザは、ディスプレイ525および/またはタッチパッド(図示せず)を通してのみ、そのデバイスと対話することができる。入力デバイスのいかなるタイプ、および、組合せも、デザイン選択の問題として用いることができる。
1つの実施形態において、メモリ515は、プロセッサ510によって実行されるとき、機能を提供するソフトウェアモジュールを格納する。このモジュールは、コンピューティング・システム500のためのオペレーティングシステム540を含む。このモジュールは、本願発明の1つ以上の実施形態を用いて、グループ攻撃を検出するように構成されたグループ攻撃検出モジュール545を更に含む。コンピューティング・システム500は、追加的な機能を含む1つ以上の追加的な機能モジュール550を含むことができる。
当業者は、「システム」が、パーソナル・コンピュータ、サーバ、コンソール、パーソナル・デジタル・アシスタント(「PDA」)、携帯電話、タブレット・コンピューティング・デバイス、または、他の適切な計算デバイス、あるいは、デバイスの組合せとして具体化できることを理解する。上記の関数を、「システム」によって実行されるものとして提示することは、どんな形であれ本願発明の範囲を制限することを意図するものではなく、本願発明の多くの実施形態の1つの例を提供することを意図するものである。実際に、ここに開示された方法、システム、および、装置は、クラウド・コンピューティング・システムを含むコンピューティング技術と整合する局所化された形および分散化された形でインプリメントすることができる。
本願明細書に記載されたシステムの特徴のいくつかは、それらのインプリメンテーションの独立性を特に強調するために、モジュールとして提示されたことに留意する。例えば、モジュールは、カスタムメイドの超大規模集積回路(「VLSI」)またはゲートアレイ、例えば、論理チップなどの既製半導体、トランジスタ、または、他のディスクリート電子部品を備えるハードウェア回路としてインプリメントすることができる。
モジュールは、例えば、フィールド・プログラマブル・ゲートアレイ、プログラマブル・アレイ・ロジック、プログラマブル・ロジック・デバイス、グラフィクス処理ユニット、またはその他のようなプログラム可能なハードウェアデバイスでインプリメントすることもできる。モジュールは、また、少なくとも部分的には、プロセッサの種々のタイプによる実行のためにソフトウェアでインプリメントすることもできる実行可能コードの識別されたユニットは、たとえば、たとえば、オブジェクト、手続き、または機能として編成できるコンピュータ命令の1つ以上の物理ブロックあるいは論理ブロックを備えることができる。それでも、識別されたモジュールの実行可能形式は、物理的に、一緒に位置する必要はなく、異なる位置で格納された異種の命令を含むことができる。それは、論理的に一緒に結合されると、そのモジュールを含み、そのモジュールの上で述べた目的を達成する。さらに、モジュールは、コンピュータ読取り可能媒体に格納することができ、それは、たとえば、ハード・ディスク・ドライブ、フラッシュ・デバイス、RAM、テープ、あるいは、他のデータを格納するのに用いられるような媒体であることができる。
実際に、実行可能コードのモジュールは、単一の命令、または、多くの命令でありえ、いくつかの異なるコードセグメントに、異なるプログラムの間で、および、いくつかのメモリ・デバイスにわたって、配布することさえできる。同様に、運用データは識別することができ、モジュールの内でここに図示することができる。また、いかなる適切な形においても具体化することができ、データ構造のいかなる適切なタイプにおいても組織化することができる。この運用データは、単一のデータ・セットとして収集することができる、あるいは、異なる格納デバイスにわたることを含む異なる位置にわたって、配布することができ、少なくとも部分的には、単に、システムまたはネットワークの上のエレクトロニクス信号として存在することができる。
図2−図4において実行される方法のステップは、本願発明の実施形態にしたがう、少なくとも、図2−図4に記述された方法を実行するための非線形適応プロセッサに対するのエンコーディング命令を、コンピュータ・プログラムによって実行することができる。このコンピュータ・プログラムは、固定コンピュータ読取り可能媒体で具体化することができる。
コンピュータ読取り可能媒体は、ハード・ディスク・ドライブ、フラッシュ・デバイス、ランダム・アクセス・メモリ、テープ、あるいは、任意の他のデータを格納するのに用いられる媒体であることができる。しかし、これらに制限するものではない。コンピュータ・プログラムは、図2−図4におけて記述された方法をインプリメントするための非線形適応プロセッサを制御するためのコード化された命令を含むことができる。これは、また、コンピュータ読取り可能媒体に格納することができる。このコンピュータ・プログラムは、ハードウェア、ソフトウェア、または、ハイブリッド・インプリメンテーションにおいてインプリメントすることができる。コンピュータ・プログラムは、互いに有効に通信しているモジュールから構成することができ、これらのモジュールは、ディスプレイに情報または命令をパスするように設計されている。このコンピュータ・プログラムは、汎用コンピュータ、または、ASICの上で動作するように構成することができる。
本願発明の種々の実施形態の電子部品は、本願図面においては、一般的に記述され、図示されているので、多種多様な異なる構成で、配置し、設計することができることは容易に理解される。したがって、付属する図面に表現された本願発明のシステム、装置、方法、および、コンピュータ・プログラムの実施形態の詳しい説明は、特許請求の範囲を制限することを目的とするものではなく、単に、本願発明の選択された実施形態の表現だけのものである。
本明細書を通して記述された本願発明の特徴、構造、または、特性は、1つ以上の実施形態において、いかなる適切な態様においてでも組み合わせることができる。例えば、本願明細書を通じて、「特定の実施形態」、「いくつかの実施形態」への参照、あるいは、同様な言葉は、実施形態に関連して記述された特定の特徴、構造、または、特性が、本願発明の少なくとも1つの実施形態に含まれることを意味する。したがって、「特定の実施形態において、」、「いくつかの実施形態において、」、「他の実施形態において、」というフレーズ、あるいは、本願明細書を通して、同様の言葉の見た目は、かならずしも、すべてが、実施形態の同一のグループを参照しているものではない。また、記載された特徴、構造、または、特性は、1つ以上の実施形態において、いかなる適切な態様においてでも組み合わせることができる。
本願明細書を通じて、特徴、利点、または、同様の言葉への参照は、本願発明で実現することができる特徴および効果の全てが、本願発明のいかなる単一の実施形態でなければならない、または、単一の実施形態であることを意味しないことに留意する。むしろ、特徴および効果を参照する言葉は、実施形態に関連して記述された特定の特徴、優位点、または、特性は、本願発明の少なくとも1つの実施形態に含まれることを意味するためであると理解される。したがって、本願明細書を通して特徴および効果や同様の言葉に関する議論は、同一の実施形態を参照することができるが、必ずしも必要であるわけではない。
さらにまた、記載された特徴、優位点、および、本願発明の特性は、1つ以上の実施形態において、いかなる適切な態様ででも、組み合わせることができる。当業者は、本願発明は、特定の特徴の1つ以上、または、特定の実施形態の優位点が無くても、実施できることを認識する。他の例において、追加的な特徴および効果は、本願発明のすべての実施形態の中には存在しないような、ある実施形態において認識することができる。
当業者は、上で示したように、本願発明は、異なるステップの順序で、あるいは、開示されたものとは異なる構成におけるハードウェア要素を用いて実施することができることを容易に理解する。したがって、本願発明が、これらの好適な実施形態に基づいて記述されたが、当業者には、ある修正、バリエーション、および、代替的な構造は、明らかであり、また、本願発明の趣旨および範囲の中に留まっていることは明らかである。したがって、本願発明の範囲、境界を決定するためには、添付の特許請求の範囲を参照しなければならない。

Claims (20)

  1. コンピューティング・システムにより、ノードと、エッジと、該異常グラフにおけるノードの入次数と、を備えるネットワークの異常グラフを決定するステップと、
    前記コンピューティング・システムにより、潜在的ターゲットとして少なくとも2の入次数を有するノードを指定するステップと、
    前記コンピューティング・システムにより、入ってくる接続を有さないノードを、潜在的に障害を生じたノードとして指定するステップと、
    前記コンピューティング・システムにより、前記潜在的に障害を生じたノードが、同一の潜在的ターゲット・ノードの少なくとも1つに接続するとき、前記ネットワークでの調整された攻撃と潜在的に結びついたものとして、前記指定された潜在的に障害を生じたノードを出力するステップと、
    を含む、コンピュータで実施される方法。
  2. 請求項1のステップは、前記コンピューティング・システムにより、時間ウィンドウの間、周期的に実行される、請求項1に記載のコンピュータで実施される方法。
  3. 前記コンピューティング・システムにより、前記異常グラフから1の入次数を有するノードに入って来るエッジを削除するステップをさらに含む請求項1に記載のコンピュータで実施される方法。
  4. 前記コンピューティング・システムにより、前記異常グラフにおける各々の弱連結サブグラフを決定するステップをさらに含む請求項1に記載のコンピュータで実施される方法。
  5. 所与のサブグラフにおける無向エッジの数を用いて、各サブグラフにつきOkに対するサマリ統計を計算するステップであって、
    該サマリ統計は、
    Figure 0006148323
     で決定され、ここで、eijおよびejiは、前記所与のサブグラフのエッジの集合Ekにおけるエッジをあらわす、ステップをさらに含む請求項4に記載のコンピュータで実施される方法。
  6. 前記コンピューティング・システムは、前記異常グラフにおける前記ノードおよびエッジの全てを、独立したエンティティとして扱うように構成される、請求項1に記載のコンピュータで実施される方法。
  7. p値閾値T∈(0,1)に対して、前記ネットワークの異常グラフ
    Figure 0006148323
     が、閾値

    Figure 0006148323
     の下で正のp値を有する前記エッジから形成され、ここで、E は、Sのエッジの集合、V は、Sのノードの集合、pij,tは、所与のエッジ(i,j)∈Eにたいするp値である、請求項1に記載のコンピュータで実施される方法。
  8. 少なくとも1つのプロセッサと、コンピュータ・プログラム命令を格納しているメモリと、を備える装置であって、
    前記コンピュータ・プログラム命令は、前記少なくとも1つのプロセッサによって実行されるとき、前記少なくとも1つのプロセッサに、
    少なくとも1つの期間に、攻撃者のグループからの潜在的活動を意味する異常な行動を決定するために、期間にわたりネットワークをモニターさせ、
    ここで、該異常な行動を決定することは、入次数のない複数ノードおよび共通ノード接続が、前記少なくとも1つの期間に存在するか否かの決定に基づくものであり、
    少なくとも1つの期間に、異常な行動と判断されるとき、潜在的グループ攻撃がネットワークで起こっていることの指標を提供させる
    ように構成される、装置。
  9. 前記異常な行動は、潜在的に障害を生じたノードのグループが、前記期間のうち少なくとも1つの期間に、共通ノードに接続しようと試みる、重複あるいは相関した行動を含む、請求項8に記載の装置。
  10. 前記コンピュータ・プログラム命令は、前記少なくとも1つのプロセッサに、前記ネットワークにおける各エッジに対するp値を決定させるように、さらに構成され、ここで、該p値は、それぞれのエッジが、その正常挙動からどれほど遠くにあるかについて示す、請求項8に記載の装置。
  11. p値閾値T∈(0,1)に対して、前記コンピュータ・プログラム命令は、前記少なくとも1つのプロセッサに、閾値
    Figure 0006148323
     の下で正のp値を有する端部からネットワークの異常グラフ
    Figure 0006148323
     を形成させるように、さらに構成され、
    ここで、E は、Sのエッジの集合、V は、Sのノードの集合、pij,tは、所与のエッジ(i,j)∈Eに対するp値である、
    請求項10に記載の装置。
  12. 前記コンピュータ・プログラム命令は、前記少なくとも1つのプロセッサに、前記異常グラフから1の入次数を有するノードに入って来るエッジを削除させるように、さらに構成される、請求項11に記載の装置。
  13. 前記コンピュータ・プログラム命令は、前記少なくとも1つのプロセッサに、前記異常グラフにおける各々の弱連結サブグラフを決定させるように、さらに構成される、請求項11に記載の装置。
  14. 前記コンピュータ・プログラム命令は、前記少なくとも1つのプロセッサに、前記所与のサブグラフにおける無向エッジの数を用いて、各サブグラフにつきOに対するサマリ統計を計算させるように、さらに構成され、該サマリ統計は、
    Figure 0006148323
     で決定され、
    ここで、eijおよびejiは、前記所与のサブグラフのエッジの集合Eにおけるエッジをあらわす、
    請求項13に記載の装置。
  15. ネットワークにおける異常を検出するように構成されたコンピュータ・プログラム命令を格納しているメモリと、
    前記格納されたコンピュータ・プログラム命令を実行するように構成された複数の処理コアと、
    を備えるシステムであって、
    前記複数の処理コアは、ある期間に、ネットワークの異常グラフを生成し、入次数のない複数ノードおよび共通ノード接続が、該期間に存在するか否かを判断し、前記システムが、入次数のない複数ノードおよび共通ノード接続が、前記異常グラフの1つ以上のサブグラフにおいて、存在すると判断するとき、前記ネットワークへの潜在的グループ攻撃の指標を生成するように構成されている、
    システム。
  16. 前記指標は、入次数を有しない潜在的に障害を生じたノードと、共通ノード接続と、前記潜在的に障害を生じたノードが接続されている、2以上の入次数を有する潜在的ターゲット・ノードとを含む、請求項15に記載のシステム。
  17. 前記複数の処理コアは、前記ネットワークにおける各エッジに対するp値を決定するようにさらに構成され、該p値は、それぞれのエッジが、その正常挙動からどれほど遠くにあるかについて示す、請求項15に記載のシステム。
  18. p値閾値T∈(0,1)に対して、前記処理コアは、閾値
    Figure 0006148323
     の下で正のp値を有する端部からネットワークの異常グラフ
    Figure 0006148323
     を形成するように、さらに構成され、ここで、E は、Sのエッジの集合、V は、Sのノードの集合、pij,tは、所与のエッジ(i,j)∈Eに対するp値である、請求項17に記載のシステム。
  19. 前記処理コアは、前記異常グラフから1の入次数を有するノードに入って来るエッジを削除するように、さらに構成される、請求項15に記載のシステム。
  20. 前記処理コアは、前記異常グラフにおける各々の弱連結サブグラフを決定するように、さらに構成される、請求項15に記載のシステム。
JP2015501782A 2012-03-22 2013-03-14 計算機ネットワークにおいて調整グループ攻撃を識別する異常検出 Expired - Fee Related JP6148323B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201261614148P 2012-03-22 2012-03-22
US61/614,148 2012-03-22
PCT/US2013/031463 WO2013184211A2 (en) 2012-03-22 2013-03-14 Anomaly detection to identify coordinated group attacks in computer networks

Publications (2)

Publication Number Publication Date
JP2015511101A JP2015511101A (ja) 2015-04-13
JP6148323B2 true JP6148323B2 (ja) 2017-06-14

Family

ID=49213611

Family Applications (3)

Application Number Title Priority Date Filing Date
JP2015501782A Expired - Fee Related JP6148323B2 (ja) 2012-03-22 2013-03-14 計算機ネットワークにおいて調整グループ攻撃を識別する異常検出
JP2015501780A Expired - Fee Related JP6139656B2 (ja) 2012-03-22 2013-03-14 異常部分グラフの検出のための道探査及び異常/変更検出及び網状況認知のためのdns要求及びホストエージェントの使用
JP2017088048A Expired - Fee Related JP6378395B2 (ja) 2012-03-22 2017-04-27 異常部分グラフの検出のための道探査及び異常/変更検出及び網状況認知のためのdns要求及びホストエージェントの使用

Family Applications After (2)

Application Number Title Priority Date Filing Date
JP2015501780A Expired - Fee Related JP6139656B2 (ja) 2012-03-22 2013-03-14 異常部分グラフの検出のための道探査及び異常/変更検出及び網状況認知のためのdns要求及びホストエージェントの使用
JP2017088048A Expired - Fee Related JP6378395B2 (ja) 2012-03-22 2017-04-27 異常部分グラフの検出のための道探査及び異常/変更検出及び網状況認知のためのdns要求及びホストエージェントの使用

Country Status (7)

Country Link
US (11) US9374380B2 (ja)
EP (3) EP2828752B1 (ja)
JP (3) JP6148323B2 (ja)
CN (2) CN104303152B (ja)
AU (8) AU2013272211B2 (ja)
CA (2) CA2868076C (ja)
WO (2) WO2013184206A2 (ja)

Families Citing this family (133)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6148323B2 (ja) 2012-03-22 2017-06-14 ロス アラモス ナショナル セキュリティー,リミテッド ライアビリティー カンパニーLos Alamos National Security,Llc 計算機ネットワークにおいて調整グループ攻撃を識別する異常検出
US20140041032A1 (en) * 2012-08-01 2014-02-06 Opera Solutions, Llc System and Method for Detecting Network Intrusions Using Statistical Models and a Generalized Likelihood Ratio Test
US9813307B2 (en) * 2013-01-28 2017-11-07 Rackspace Us, Inc. Methods and systems of monitoring failures in a distributed network system
US9483334B2 (en) * 2013-01-28 2016-11-01 Rackspace Us, Inc. Methods and systems of predictive monitoring of objects in a distributed network system
US9397902B2 (en) 2013-01-28 2016-07-19 Rackspace Us, Inc. Methods and systems of tracking and verifying records of system change events in a distributed network system
US8996889B2 (en) * 2013-03-29 2015-03-31 Dropbox, Inc. Portable computing device with methodologies for client-side analytic data collection
EP2785009A1 (en) * 2013-03-29 2014-10-01 British Telecommunications public limited company Method and apparatus for detecting a multi-stage event
EP2785008A1 (en) * 2013-03-29 2014-10-01 British Telecommunications public limited company Method and apparatus for detecting a multi-stage event
US9443075B2 (en) * 2013-06-27 2016-09-13 The Mitre Corporation Interception and policy application for malicious communications
US10579684B2 (en) * 2014-01-31 2020-03-03 MAX-PLANCK-Gesellschaft zur Förderung der Wissenschaften e.V. Computer-implemented method and apparatus for determining a relevance of a node in a network
US11782995B2 (en) * 2014-01-31 2023-10-10 MAX-PLANCK-Gesellschaft zur Förderung der Wissenschaften e.V. Computer-implemented method and apparatus for determining a relevance of a node in a network
WO2016022705A1 (en) * 2014-08-05 2016-02-11 AttackIQ, Inc. Cyber security posture validation platform
US10666676B1 (en) * 2014-08-18 2020-05-26 Trend Micro Incorporated Detection of targeted email attacks
WO2016060067A1 (ja) * 2014-10-14 2016-04-21 日本電信電話株式会社 特定装置、特定方法および特定プログラム
JP6196397B2 (ja) 2014-10-21 2017-09-13 アイアンネット・サイバーセキュリティ・インコーポレイテッドIronNet Cybersecurity, Inc. サイバーセキュリティシステム
WO2016164050A1 (en) * 2015-04-10 2016-10-13 Hewlett Packard Enterprise Development Lp Network anomaly detection
US10476754B2 (en) * 2015-04-16 2019-11-12 Nec Corporation Behavior-based community detection in enterprise information networks
US10305917B2 (en) * 2015-04-16 2019-05-28 Nec Corporation Graph-based intrusion detection using process traces
US10015175B2 (en) * 2015-04-16 2018-07-03 Los Alamos National Security, Llc Detecting anomalous behavior via user authentication graphs
WO2016190868A1 (en) * 2015-05-28 2016-12-01 Hewlett Packard Enterprise Development Lp Processing network data using a graph data structure
EP3287909B1 (en) * 2015-06-02 2019-07-03 Nippon Telegraph and Telephone Corporation Access classification device, access classification method, and access classification program
US9779222B2 (en) * 2015-06-25 2017-10-03 Extreme Networks, Inc. Secure management of host connections
US10430721B2 (en) * 2015-07-27 2019-10-01 Pivotal Software, Inc. Classifying user behavior as anomalous
US10425447B2 (en) * 2015-08-28 2019-09-24 International Business Machines Corporation Incident response bus for data security incidents
US20210281609A1 (en) * 2015-10-28 2021-09-09 Qomplx, Inc. Rating organization cybersecurity using probe-based network reconnaissance techniques
US11968239B2 (en) 2015-10-28 2024-04-23 Qomplx Llc System and method for detection and mitigation of data source compromises in adversarial information environments
US10673887B2 (en) * 2015-10-28 2020-06-02 Qomplx, Inc. System and method for cybersecurity analysis and score generation for insurance purposes
US10560483B2 (en) * 2015-10-28 2020-02-11 Qomplx, Inc. Rating organization cybersecurity using active and passive external reconnaissance
US20220255926A1 (en) * 2015-10-28 2022-08-11 Qomplx, Inc. Event-triggered reauthentication of at-risk and compromised systems and accounts
US11388198B2 (en) 2015-10-28 2022-07-12 Qomplx, Inc. Collaborative database and reputation management in adversarial information environments
US20210226928A1 (en) * 2015-10-28 2021-07-22 Qomplx, Inc. Risk analysis using port scanning for multi-factor authentication
US11468368B2 (en) * 2015-10-28 2022-10-11 Qomplx, Inc. Parametric modeling and simulation of complex systems using large datasets and heterogeneous data structures
US10742647B2 (en) * 2015-10-28 2020-08-11 Qomplx, Inc. Contextual and risk-based multi-factor authentication
US11297109B2 (en) 2015-10-28 2022-04-05 Qomplx, Inc. System and method for cybersecurity reconnaissance, analysis, and score generation using distributed systems
US11563741B2 (en) * 2015-10-28 2023-01-24 Qomplx, Inc. Probe-based risk analysis for multi-factor authentication
US11070592B2 (en) 2015-10-28 2021-07-20 Qomplx, Inc. System and method for self-adjusting cybersecurity analysis and score generation
NL2015680B1 (en) * 2015-10-29 2017-05-31 Opt/Net Consulting B V Anomaly detection in a data stream.
CN105426764A (zh) * 2015-11-16 2016-03-23 北京航空航天大学 一种基于子模优化的并行异常子图检测方法与系统
US10375095B1 (en) * 2015-11-20 2019-08-06 Triad National Security, Llc Modeling behavior in a network using event logs
US10148690B2 (en) * 2015-12-21 2018-12-04 Symantec Corporation Accurate real-time identification of malicious BGP hijacks
US9985982B1 (en) * 2015-12-21 2018-05-29 Cisco Technology, Inc. Method and apparatus for aggregating indicators of compromise for use in network security
WO2017145591A1 (ja) * 2016-02-26 2017-08-31 日本電信電話株式会社 分析装置、分析方法および分析プログラム
CN105824754B (zh) * 2016-03-17 2018-11-13 广州多益网络股份有限公司 客户端程序的Python异常捕获和上传的方法
US10333815B2 (en) * 2016-03-17 2019-06-25 Nec Corporation Real-time detection of abnormal network connections in streaming data
US10218727B2 (en) 2016-03-24 2019-02-26 Cisco Technology, Inc. Sanity check of potential learned anomalies
US10389741B2 (en) * 2016-03-24 2019-08-20 Cisco Technology, Inc. Edge-based detection of new and unexpected flows
US10389606B2 (en) * 2016-03-25 2019-08-20 Cisco Technology, Inc. Merging of scored records into consistent aggregated anomaly messages
US10893059B1 (en) 2016-03-31 2021-01-12 Fireeye, Inc. Verification and enhancement using detection systems located at the network periphery and endpoint devices
US10826933B1 (en) * 2016-03-31 2020-11-03 Fireeye, Inc. Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints
CN105871865A (zh) * 2016-04-26 2016-08-17 浪潮集团有限公司 基于OpenFlow的IaaS云安全状态转移分析系统
JP6503141B2 (ja) * 2016-06-17 2019-04-17 日本電信電話株式会社 アクセス分類装置、アクセス分類方法及びアクセス分類プログラム
CA3001040C (en) 2016-07-14 2018-07-17 IronNet Cybersecurity, Inc. Simulation and virtual reality based cyber behavioral systems
WO2018044462A1 (en) * 2016-08-31 2018-03-08 3M Innovative Properties Company Systems and methods for modeling, analyzing, detecting, and monitoring fluid networks
EP3291120B1 (en) 2016-09-06 2021-04-21 Accenture Global Solutions Limited Graph database analysis for network anomaly detection systems
US10476896B2 (en) 2016-09-13 2019-11-12 Accenture Global Solutions Limited Malicious threat detection through time series graph analysis
US10129274B2 (en) * 2016-09-22 2018-11-13 Adobe Systems Incorporated Identifying significant anomalous segments of a metrics dataset
TWI648650B (zh) * 2017-07-20 2019-01-21 中華電信股份有限公司 閘道裝置、其惡意網域與受駭主機的偵測方法及非暫態電腦可讀取媒體
CN107483438A (zh) * 2017-08-15 2017-12-15 山东华诺网络科技有限公司 一种基于大数据的网络安全态势感知预警系统和方法
CN111542811B (zh) * 2017-09-26 2023-12-12 摩根大通国家银行 增强网络安全的监视
CN111279192B (zh) * 2017-11-08 2022-04-01 利乐拉瓦尔集团及财务有限公司 确定食品批次中微生物风险水平的方法
US11184369B2 (en) * 2017-11-13 2021-11-23 Vectra Networks, Inc. Malicious relay and jump-system detection using behavioral indicators of actors
US10567156B2 (en) 2017-11-30 2020-02-18 Bank Of America Corporation Blockchain-based unexpected data detection
CN108234492B (zh) * 2018-01-02 2020-05-22 国网四川省电力公司信息通信公司 考虑负荷数据虚假注入的电力信息物理协同攻击分析方法
AT520746B1 (de) * 2018-02-20 2019-07-15 Ait Austrian Inst Tech Gmbh Verfahren zur Erkennung von anormalen Betriebszuständen
US11296960B2 (en) 2018-03-08 2022-04-05 Nicira, Inc. Monitoring distributed applications
DE102018206737A1 (de) * 2018-05-02 2019-11-07 Robert Bosch Gmbh Verfahren und Vorrichtung zur Kalibrierung eines Systems zur Erkennung von Eindringversuchen in einem Rechnernetzwerk
CN108990089B (zh) * 2018-06-21 2022-02-22 中国铁道科学研究院集团有限公司通信信号研究所 移动通信网络多探测窗口联合检测分析方法
RU2697958C1 (ru) * 2018-06-29 2019-08-21 Акционерное общество "Лаборатория Касперского" Система и способ обнаружения вредоносной активности на компьютерной системе
WO2020033404A1 (en) * 2018-08-07 2020-02-13 Triad National Security, Llc Modeling anomalousness of new subgraphs observed locally in a dynamic graph based on subgraph attributes
US11122065B2 (en) 2018-08-14 2021-09-14 Vmware, Inc. Adaptive anomaly detection for computer systems
US10684909B1 (en) * 2018-08-21 2020-06-16 United States Of America As Represented By Secretary Of The Navy Anomaly detection for preserving the availability of virtualized cloud services
US11005868B2 (en) * 2018-09-21 2021-05-11 Mcafee, Llc Methods, systems, and media for detecting anomalous network activity
US11171975B2 (en) * 2018-09-25 2021-11-09 Cisco Technology, Inc. Dynamic inspection of networking dependencies to enhance anomaly detection models in a network assurance service
US11228603B1 (en) * 2018-09-27 2022-01-18 Juniper Networks, Inc. Learning driven dynamic threat treatment for a software defined networking environment
US10956566B2 (en) 2018-10-12 2021-03-23 International Business Machines Corporation Multi-point causality tracking in cyber incident reasoning
US11184374B2 (en) 2018-10-12 2021-11-23 International Business Machines Corporation Endpoint inter-process activity extraction and pattern matching
US11941054B2 (en) * 2018-10-12 2024-03-26 International Business Machines Corporation Iterative constraint solving in abstract graph matching for cyber incident reasoning
US11194910B2 (en) * 2018-11-02 2021-12-07 Microsoft Technology Licensing, Llc Intelligent system for detecting multistage attacks
CN109302418B (zh) * 2018-11-15 2021-11-12 东信和平科技股份有限公司 一种基于深度学习的恶意域名检测方法及装置
EP3663951B1 (en) 2018-12-03 2021-09-15 British Telecommunications public limited company Multi factor network anomaly detection
US11989307B2 (en) 2018-12-03 2024-05-21 British Telecommunications Public Company Limited Detecting vulnerable software systems
WO2020114921A1 (en) 2018-12-03 2020-06-11 British Telecommunications Public Limited Company Detecting vulnerability change in software systems
US11973778B2 (en) 2018-12-03 2024-04-30 British Telecommunications Public Limited Company Detecting anomalies in computer networks
US11989289B2 (en) 2018-12-03 2024-05-21 British Telecommunications Public Limited Company Remediating software vulnerabilities
CN109753797B (zh) * 2018-12-10 2020-11-03 中国科学院计算技术研究所 针对流式图的密集子图检测方法及系统
EP3681124B8 (en) * 2019-01-09 2022-02-16 British Telecommunications public limited company Anomalous network node behaviour identification using deterministic path walking
US11095540B2 (en) * 2019-01-23 2021-08-17 Servicenow, Inc. Hybrid anomaly detection for response-time-based events in a managed network
CN109889515B (zh) * 2019-02-13 2020-08-28 北京航空航天大学 一种基于非参数统计的僵尸网络发现方法
EP3948604B1 (en) * 2019-03-27 2023-03-22 British Telecommunications public limited company Computer security
EP3948603B1 (en) * 2019-03-27 2023-03-22 British Telecommunications public limited company Pre-emptive computer security
EP3948605B1 (en) 2019-03-27 2023-02-15 British Telecommunications public limited company Adaptive computer security
CN110149421B (zh) * 2019-05-30 2021-11-26 世纪龙信息网络有限责任公司 域名系统的异常监测方法、系统、装置和计算机设备
US11719563B2 (en) 2019-07-03 2023-08-08 Red Hat, Inc. Distributed anomaly detection using combinable measurement value summaries
CN110247932A (zh) * 2019-07-04 2019-09-17 北京润通丰华科技有限公司 一种实现dns服务防御的检测系统和方法
US10911335B1 (en) * 2019-07-23 2021-02-02 Vmware, Inc. Anomaly detection on groups of flows
US11398987B2 (en) 2019-07-23 2022-07-26 Vmware, Inc. Host-based flow aggregation
US11140090B2 (en) 2019-07-23 2021-10-05 Vmware, Inc. Analyzing flow group attributes using configuration tags
US11340931B2 (en) 2019-07-23 2022-05-24 Vmware, Inc. Recommendation generation based on selection of selectable elements of visual representation
US11188570B2 (en) 2019-07-23 2021-11-30 Vmware, Inc. Using keys to aggregate flow attributes at host
US11743135B2 (en) 2019-07-23 2023-08-29 Vmware, Inc. Presenting data regarding grouped flows
US11288256B2 (en) 2019-07-23 2022-03-29 Vmware, Inc. Dynamically providing keys to host for flow aggregation
US11349876B2 (en) 2019-07-23 2022-05-31 Vmware, Inc. Security policy recommendation generation
US11436075B2 (en) 2019-07-23 2022-09-06 Vmware, Inc. Offloading anomaly detection from server to host
US11176157B2 (en) 2019-07-23 2021-11-16 Vmware, Inc. Using keys to aggregate flows at appliance
CN110460658B (zh) * 2019-08-05 2022-05-10 上海红阵信息科技有限公司 一种基于拟态构造的分布式存储构建方法
TWI717831B (zh) * 2019-09-11 2021-02-01 財團法人資訊工業策進會 攻擊路徑偵測方法、攻擊路徑偵測系統及非暫態電腦可讀取媒體
CN110602101B (zh) * 2019-09-16 2021-01-01 北京三快在线科技有限公司 网络异常群组的确定方法、装置、设备及存储介质
US11418526B2 (en) 2019-12-20 2022-08-16 Microsoft Technology Licensing, Llc Detecting anomalous network activity
US11425150B1 (en) 2020-01-10 2022-08-23 Bank Of America Corporation Lateral movement visualization for intrusion detection and remediation
US11321213B2 (en) 2020-01-16 2022-05-03 Vmware, Inc. Correlation key used to correlate flow and con text data
US11503054B2 (en) 2020-03-05 2022-11-15 Aetna Inc. Systems and methods for identifying access anomalies using network graphs
CN111526119B (zh) * 2020-03-19 2022-06-14 北京三快在线科技有限公司 异常流量检测方法、装置、电子设备和计算机可读介质
US11677775B2 (en) * 2020-04-10 2023-06-13 AttackIQ, Inc. System and method for emulating a multi-stage attack on a node within a target network
US20210336947A1 (en) * 2020-04-27 2021-10-28 Microsoft Technology Licensing, Llc Rogue certificate detection
CN113628124B (zh) * 2020-05-08 2024-01-16 深圳清华大学研究院 Isp与视觉任务联合优化方法、系统、介质和电子设备
US11831664B2 (en) 2020-06-03 2023-11-28 Netskope, Inc. Systems and methods for anomaly detection
US11556636B2 (en) 2020-06-30 2023-01-17 Microsoft Technology Licensing, Llc Malicious enterprise behavior detection tool
EP3945708A1 (de) * 2020-07-29 2022-02-02 Siemens Aktiengesellschaft Dynamisches vorhalten von kontextabhängigen rechnergestützten funktionalitäten in mobilen, verteilten edge clouds
US20220091572A1 (en) * 2020-09-22 2022-03-24 Rockwell Automation Technologies, Inc. Integrating container orchestration systems with operational technology devices
CN112187833B (zh) * 2020-11-09 2021-12-17 浙江大学 一种拟态waf中的ai+正则双匹配检测方法
US20220167171A1 (en) * 2020-11-20 2022-05-26 At&T Intellectual Property I, L.P. Security anomaly detection for internet of things devices
CN112769595B (zh) * 2020-12-22 2023-05-09 阿波罗智联(北京)科技有限公司 异常检测方法、装置、电子设备及可读存储介质
US20220229903A1 (en) * 2021-01-21 2022-07-21 Intuit Inc. Feature extraction and time series anomaly detection over dynamic graphs
US11785032B2 (en) 2021-01-22 2023-10-10 Vmware, Inc. Security threat detection based on network flow analysis
US11991187B2 (en) 2021-01-22 2024-05-21 VMware LLC Security threat detection based on network flow analysis
US11765195B2 (en) 2021-02-16 2023-09-19 Icf International Distributed network-level probabilistic attack graph generation
JP2022168612A (ja) * 2021-04-26 2022-11-08 シャープ株式会社 機器管理システム、機器管理方法、及び機器管理プログラム
US11831667B2 (en) 2021-07-09 2023-11-28 Vmware, Inc. Identification of time-ordered sets of connections to identify threats to a datacenter
CN113254674B (zh) * 2021-07-12 2021-11-30 深圳市永达电子信息股份有限公司 一种网络安全设备知识推理方法、装置、系统及存储介质
US11949701B2 (en) 2021-08-04 2024-04-02 Microsoft Technology Licensing, Llc Network access anomaly detection via graph embedding
US11792151B2 (en) 2021-10-21 2023-10-17 Vmware, Inc. Detection of threats based on responses to name resolution requests
CN114884688B (zh) * 2022-03-28 2023-07-04 天津大学 一种跨多属性网络的联邦异常检测方法
US20240012802A1 (en) * 2022-07-08 2024-01-11 Salesforce, Inc. Mechanisms for serializing triples of a database store

Family Cites Families (56)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6671811B1 (en) * 1999-10-25 2003-12-30 Visa Internation Service Association Features generation for use in computer network intrusion detection
US7113988B2 (en) 2000-06-29 2006-09-26 International Business Machines Corporation Proactive on-line diagnostics in a manageable network
AU3054102A (en) 2000-11-30 2002-06-11 Lancope Inc Flow-based detection of network intrusions
US7168093B2 (en) 2001-01-25 2007-01-23 Solutionary, Inc. Method and apparatus for verifying the integrity and security of computer networks and implementation of counter measures
US7228566B2 (en) 2001-07-10 2007-06-05 Core Sdi, Incorporated Automated computer system security compromise
US6647975B2 (en) * 2001-12-05 2003-11-18 Terry Whitfield Convertible ball projecting apparatus having a replaceable fork assembly
ATE374493T1 (de) 2002-03-29 2007-10-15 Global Dataguard Inc Adaptive verhaltensbezogene eindringdetektion
US7603711B2 (en) 2002-10-31 2009-10-13 Secnap Networks Security, LLC Intrusion detection system
US20040122803A1 (en) 2002-12-19 2004-06-24 Dom Byron E. Detect and qualify relationships between people and find the best path through the resulting social network
US7483972B2 (en) 2003-01-08 2009-01-27 Cisco Technology, Inc. Network security monitoring system
US8386377B1 (en) 2003-05-12 2013-02-26 Id Analytics, Inc. System and method for credit scoring using an identity network connectivity
JP3922375B2 (ja) 2004-01-30 2007-05-30 インターナショナル・ビジネス・マシーンズ・コーポレーション 異常検出システム及びその方法
US20050203881A1 (en) 2004-03-09 2005-09-15 Akio Sakamoto Database user behavior monitor system and method
EP1589716A1 (en) 2004-04-20 2005-10-26 Ecole Polytechnique Fédérale de Lausanne (EPFL) Method of detecting anomalous behaviour in a computer network
WO2006016362A2 (en) 2004-08-09 2006-02-16 Verix Ltd. Method and system for analyzing multidimensional data
US7941856B2 (en) 2004-12-06 2011-05-10 Wisconsin Alumni Research Foundation Systems and methods for testing and evaluating an intrusion detection system
JP4890468B2 (ja) 2004-12-31 2012-03-07 インテル コーポレイション ベイズ・ネットワーク構造学習のデータ分割及びクリティカル・セクション
US7904962B1 (en) * 2005-03-10 2011-03-08 George Mason Intellectual Properties, Inc. Network attack modeling, analysis, and response
US8077718B2 (en) 2005-08-12 2011-12-13 Microsoft Corporation Distributed network management
WO2008051258A2 (en) 2005-12-21 2008-05-02 University Of South Carolina Methods and systems for determining entropy metrics for networks
US7624448B2 (en) 2006-03-04 2009-11-24 21St Century Technologies, Inc. Intelligent intrusion detection system utilizing enhanced graph-matching of network activity with context data
US7530105B2 (en) * 2006-03-21 2009-05-05 21St Century Technologies, Inc. Tactical and strategic attack detection and prediction
WO2007143226A2 (en) 2006-06-09 2007-12-13 Massachusetts Institute Of Technology Generating a multiple-prerequisite attack graph
US9438501B2 (en) 2006-08-21 2016-09-06 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Multi-scale network traffic generator
JP2008113409A (ja) 2006-10-04 2008-05-15 Alaxala Networks Corp トラフィック制御システム及び管理サーバ
WO2008067442A2 (en) * 2006-11-29 2008-06-05 Wisconsin Alumni Research Foundation Method and apparatus for network anomaly detection
JPWO2008084729A1 (ja) 2006-12-28 2010-04-30 日本電気株式会社 アプリケーション連鎖性ウイルス及びdns攻撃発信元検知装置、その方法及びそのプログラム
EP2145281B1 (en) 2007-04-12 2013-11-20 Core Sdi, Incorporated System, method and computer readable medium for providing network penetration testing
CA2691666C (en) 2007-06-26 2014-03-18 Core Sdi Incorporated System and method for simulating computer network attacks
EP2056559B1 (en) 2007-11-02 2017-05-17 Deutsche Telekom AG Method and system for network simulation
CN101547445B (zh) * 2008-03-25 2011-06-01 上海摩波彼克半导体有限公司 移动通信网络中基于移动性进行入侵异常检测的系统和方法
US8844033B2 (en) * 2008-05-27 2014-09-23 The Trustees Of Columbia University In The City Of New York Systems, methods, and media for detecting network anomalies using a trained probabilistic model
US9246768B2 (en) 2008-06-18 2016-01-26 Camber Corporation Systems and methods for a simulated network attack generator
US8650630B2 (en) 2008-09-18 2014-02-11 Alcatel Lucent System and method for exposing malicious sources using mobile IP messages
CN101655787A (zh) * 2009-02-24 2010-02-24 天津大学 加入攻击路径形式化分析的威胁建模方法
US20110030059A1 (en) * 2009-07-30 2011-02-03 Greenwald Lloyd G Method for testing the security posture of a system
WO2011031777A2 (en) 2009-09-08 2011-03-17 Core Sdi, Incorporated System and method for probabilistic attack planning
US8397298B2 (en) 2009-12-08 2013-03-12 At&T Intellectual Property I, L.P. Method and system for content distribution network security
KR20110067264A (ko) 2009-12-14 2011-06-22 성균관대학교산학협력단 네트워크 이상징후 탐지장치 및 방법
US8375255B2 (en) 2009-12-23 2013-02-12 At&T Intellectual Property I, Lp Device and method for detecting and diagnosing correlated network anomalies
CN101778112B (zh) * 2010-01-29 2013-01-23 中国科学院软件研究所 一种网络攻击检测方法
JP5532241B2 (ja) 2010-07-15 2014-06-25 日本電信電話株式会社 高パケットレートフロー検出装置及び高パケットレートフロー検出方法
US8762298B1 (en) 2011-01-05 2014-06-24 Narus, Inc. Machine learning based botnet detection using real-time connectivity graph based traffic features
US8621618B1 (en) 2011-02-07 2013-12-31 Dell Products, Lp System and method for assessing whether a communication contains an attack
US8434150B2 (en) 2011-03-24 2013-04-30 Microsoft Corporation Using social graphs to combat malicious attacks
US8627473B2 (en) 2011-06-08 2014-01-07 At&T Intellectual Property I, L.P. Peer-to-peer (P2P) botnet tracking at backbone level
US8955133B2 (en) 2011-06-09 2015-02-10 Microsoft Corporation Applying antimalware logic without revealing the antimalware logic to adversaries
US20140165207A1 (en) 2011-07-26 2014-06-12 Light Cyber Ltd. Method for detecting anomaly action within a computer network
US9792430B2 (en) * 2011-11-03 2017-10-17 Cyphort Inc. Systems and methods for virtualized malware detection
US9450973B2 (en) * 2011-11-21 2016-09-20 At&T Intellectual Property I, L.P. Method and apparatus for machine to machine network security monitoring in a communications network
US8588764B1 (en) 2012-01-26 2013-11-19 Sprint Communications Company L.P. Wireless network edge guardian
JP6148323B2 (ja) 2012-03-22 2017-06-14 ロス アラモス ナショナル セキュリティー,リミテッド ライアビリティー カンパニーLos Alamos National Security,Llc 計算機ネットワークにおいて調整グループ攻撃を識別する異常検出
US8863293B2 (en) 2012-05-23 2014-10-14 International Business Machines Corporation Predicting attacks based on probabilistic game-theory
US9710646B1 (en) 2013-02-26 2017-07-18 Palo Alto Networks, Inc. Malware detection using clustering with malware source information
US9185124B2 (en) 2013-02-27 2015-11-10 Sayan Chakraborty Cyber defense systems and methods
US9680855B2 (en) 2014-06-30 2017-06-13 Neo Prime, LLC Probabilistic model for cyber risk forecasting

Also Published As

Publication number Publication date
AU2017200969A1 (en) 2017-03-02
JP2015514356A (ja) 2015-05-18
US9374380B2 (en) 2016-06-21
US20160277433A1 (en) 2016-09-22
AU2017200969B2 (en) 2018-07-19
US10015183B1 (en) 2018-07-03
CA2868076C (en) 2017-02-14
US10122741B2 (en) 2018-11-06
EP2828752A4 (en) 2016-02-17
US9038180B2 (en) 2015-05-19
US10530799B1 (en) 2020-01-07
AU2013272211A1 (en) 2014-10-02
EP2828753B1 (en) 2019-05-08
AU2017254815A1 (en) 2017-11-16
WO2013184211A3 (en) 2014-03-13
WO2013184206A3 (en) 2014-02-20
CA2868076A1 (en) 2013-12-12
US9560065B2 (en) 2017-01-31
US9825979B2 (en) 2017-11-21
AU2013272215B2 (en) 2017-10-12
AU2019210493B2 (en) 2021-02-04
CN104303152A (zh) 2015-01-21
JP6139656B2 (ja) 2017-05-31
US10243984B2 (en) 2019-03-26
US20200028864A1 (en) 2020-01-23
AU2013272211B2 (en) 2016-11-24
AU2016234999B2 (en) 2018-03-01
EP2828753A2 (en) 2015-01-28
AU2019216687A1 (en) 2019-09-05
US20140068769A1 (en) 2014-03-06
AU2019210493A1 (en) 2019-08-15
US20180109544A1 (en) 2018-04-19
AU2016234999A1 (en) 2016-10-20
US20150020199A1 (en) 2015-01-15
CA2868054A1 (en) 2013-12-12
CN104303153B (zh) 2017-06-13
EP2828753A4 (en) 2015-12-23
JP6378395B2 (ja) 2018-08-22
AU2018203393B2 (en) 2019-06-06
US20180278641A1 (en) 2018-09-27
AU2018203393A1 (en) 2018-06-28
EP2828752A2 (en) 2015-01-28
US9699206B2 (en) 2017-07-04
US20150180889A1 (en) 2015-06-25
WO2013184211A2 (en) 2013-12-12
AU2019216687B2 (en) 2021-03-04
EP2828752B1 (en) 2020-04-29
AU2013272215A1 (en) 2014-10-09
CN104303153A (zh) 2015-01-21
WO2013184206A2 (en) 2013-12-12
CN104303152B (zh) 2017-06-13
US20130254895A1 (en) 2013-09-26
JP2017143578A (ja) 2017-08-17
EP3522492A1 (en) 2019-08-07
CA2868054C (en) 2018-06-26
US10728270B2 (en) 2020-07-28
US20170163668A1 (en) 2017-06-08
AU2017254815B2 (en) 2019-05-02
US20190182281A1 (en) 2019-06-13
JP2015511101A (ja) 2015-04-13

Similar Documents

Publication Publication Date Title
JP6148323B2 (ja) 計算機ネットワークにおいて調整グループ攻撃を識別する異常検出
US20150047026A1 (en) Anomaly detection to identify coordinated group attacks in computer networks
US10728263B1 (en) Analytic-based security monitoring system and method
US9043905B1 (en) System and method for insider threat detection
Savage et al. Anomaly detection in online social networks
US11153331B2 (en) Detection of an ongoing data breach based on relationships among multiple network elements
US20180189697A1 (en) Methods and apparatus for processing threat metrics to determine a risk of loss due to the compromise of an organization asset
US10931706B2 (en) System and method for detecting and identifying a cyber-attack on a network
Awan et al. Identifying cyber risk hotspots: A framework for measuring temporal variance in computer network risk
EP3961520A1 (en) Method and system for secure online-learning against data poisoning attack
Roundy et al. Smoke detector: cross-product intrusion detection with weak indicators
Addai et al. Prevention and Detection of Network Attacks: A Comprehensive Study
De Vries Towards a roadmap for development of intelligent data analysis based cyber attack detection systems
CN113127855A (zh) 安全防护系统及方法
US20230275907A1 (en) Graph-based techniques for security incident matching
US20230275908A1 (en) Thumbprinting security incidents via graph embeddings
US20230156020A1 (en) Cybersecurity state change buffer service
US20230161874A1 (en) Malware protection based on final infection size
Inbamani et al. Cyber Security For Intelligent Systems
Kumar et al. Intrusion Detection for the Internet of Things
Jidiga et al. Anomaly Detection Using Generic Machine Learning Approach With a Case Study of Awareness
Srinivasan Keylogger Malware Detection Using Machine Learning Model for Platform-Independent Devices
Kaur et al. Cyber-Physical System Security Attack Detection Methods and Models
CN116996306A (zh) 入侵攻击路径溯源方法、装置、电子设备及介质
Singh et al. Comparative Analysis of IDS Approaches and their Techniques

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20151221

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160908

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20161004

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161201

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170418

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170518

R150 Certificate of patent or registration of utility model

Ref document number: 6148323

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313117

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees