JP6585131B2 - ネットワークの異常検出システムのためのグラフ・データベース分析 - Google Patents

ネットワークの異常検出システムのためのグラフ・データベース分析 Download PDF

Info

Publication number
JP6585131B2
JP6585131B2 JP2017169630A JP2017169630A JP6585131B2 JP 6585131 B2 JP6585131 B2 JP 6585131B2 JP 2017169630 A JP2017169630 A JP 2017169630A JP 2017169630 A JP2017169630 A JP 2017169630A JP 6585131 B2 JP6585131 B2 JP 6585131B2
Authority
JP
Japan
Prior art keywords
network
graph
data
node
event
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017169630A
Other languages
English (en)
Other versions
JP2018049602A (ja
Inventor
パターソン,ジョシュア
エヴァン ウェンド,マイケル
エヴァン ウェンド,マイケル
クラウス,キース
ウィリアム ディバレンティン,ルイス
ウィリアム ディバレンティン,ルイス
リン バーケット,ロビン
リン バーケット,ロビン
Original Assignee
アクセンチュア グローバル ソリューションズ リミテッド
アクセンチュア グローバル ソリューションズ リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アクセンチュア グローバル ソリューションズ リミテッド, アクセンチュア グローバル ソリューションズ リミテッド filed Critical アクセンチュア グローバル ソリューションズ リミテッド
Publication of JP2018049602A publication Critical patent/JP2018049602A/ja
Application granted granted Critical
Publication of JP6585131B2 publication Critical patent/JP6585131B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/27Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/901Indexing; Data structures therefor; Storage structures
    • G06F16/9024Graphs; Linked lists
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/231Hierarchical techniques, i.e. dividing or merging pattern sets so as to obtain a dendrogram
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2218/00Aspects of pattern recognition specially adapted for signal processing
    • G06F2218/12Classification; Matching

Description

本明細書は、1つ以上のグラフ・データベースのリアルタイム・イベント分析により、コンピュータ・ネットワークに対する悪意ある脅威を検出することに関する。
コンピュータ・ネットワークは、インターネットによりアクセス可能な多様なデジタル・コンテンツを含む共有リソースに個人またはユーザがアクセスすることを可能にする複数のコンピューティング資産を含む。コンピュータ・ネットワークは、パーソナル・エリア・ネットワーク、ローカル/バーチャル・エリア・ネットワーク、ワイド・エリア・ネットワーク、またはその他任意の種類の、コンピューティング・デバイスの集合に関連するネットワーク・アーキテクチャ内の1つ以上のノードを構成するよう互いに接続されたコンピュータのセットであることもある。
インターネットに対するアクセスおよび特定のネットワーク外のその他ウェブ・リソースに対するアクセスは、サイバー・セキュリティの多様な課題を提示する。したがって、コンピュータ・ネットワーク内のコンピューティング資産には、悪意あるユーザがネットワーク内の1つ以上の資産に権限なしにアクセスすることによるデータ漏洩または攻撃が生じやすい場合がある。
本明細書は、進行中のネットワーク脅威を識別するためにコンピュータ・ネットワーク・エンタープライズ中の複合的な洞察力を提供する、スケーラブル且つ加速型の、悪意ある脅威の検出システムについて記載する。記載される主題は、ネットワーク・アクティビティのパターンに基づき個々の脅威を検出するために解析的プロセスを利用するシステムおよび方法を含む。本主題はさらに、ネットワーク・イベント・グラフを生成するためにログ・データを処理することと、ネットワーク内の悪意あるアクティビティの可能性の指標を検出するためにグラフ照会を応用することとに関する。照会結果に基づき、ネットワーク・イベントが分析されて、悪意ある行為者および/またはプログラム・コードによるコンピュータ・ネットワーク資産に対する権限のないアクセスの発生が、識別および/または軽減され得る。したがって、本願明細書に記載された教示を応用することで、サイバー脅威のより効果的且つ適時の検出が達成される。
本明細書に記載される主題の革新的な側面は、コンピュータに実装された方法に具現化できる。本方法は、データ分析デバイスによって、コンピューティング・ネットワークにおけるコンピュータ・ネットワーク・イベントに関連するパラメータを含む複数のログ・データ・エントリを受信するステップと、1つ以上のパラメータをデータ分析デバイスによって抽出するステップであって、パラメータはリアルタイムで抽出される、抽出するステップとを含む。本方法は、データ分析デバイスによって、第1グラフ・メトリックまたは第2グラフ・メトリックのうちの少なくとも1つに基づいてネットワーク・イベント・グラフを生成するステップを含み、第1および第2グラフ・メトリックは、抽出された1つ以上のパラメータに基づく。本方法は、ネットワーク・イベント・グラフに対して実行された照会に基づいて、データ分析デバイスによって、コンピューティング・ネットワークに関連する異常なイベントまたはコンピューティング・ネットワークに関連する悪意あるイベントのうちの少なくとも1つを検出するステップをさらに含む。
これらの実装および他の実装はそれぞれ、任意選択で、以下の特徴のうちの1つ以上を含むことができる。例えば一部の実装では、検出するステップは、少なくとも1つのプライマリ・ノードとのデータ通信に関与した1つ以上のセカンダリ・ノードを検出するために、ネットワーク・イベント・グラフに対して1つ以上の照会を実行することを含む。この実装の一側面では、少なくとも1つのプライマリ・ノードは、異常なイベントまたは悪意あるイベントのうちの少なくとも1つに直接関連している。別の側面では、本方法は、少なくとも1つのプライマリ・ノードと相関を有する少なくとも1つのターシャリ・ノードを識別するために、データ分析デバイスによって、1つ以上のセカンダリ・ノードのネットワーク通信アクティビティを分析するステップをさらに含む。
一部の実装では、本方法は、ネットワーク・イベント・グラフならびに第1および第2グラフ・メトリックを、データ分析デバイスの第1ストレージ媒体に記憶するステップをさらに含む。この実装の一側面では、第1ストレージ媒体は、グラフ・データベースまたはグラフィックス処理ユニット(GPU)加速グラフ・データベースのうちの少なくとも1つである。別の側面では、本方法は、第1グラフ・メトリックおよび第2グラフ・メトリックをデータ分析デバイスの第2ストレージ媒体に記憶するステップであって、第1ストレージ媒体に記憶されるように第1および第2グラフ・メトリックをフォーマットすることを含む、該第2ストレージ媒体に記憶するステップをさらに含む。別の実装では、抽出するステップは、1つ以上のパラメータをリアルタイムで抽出するために、データ・ストリーム処理エンジンを使用して抽出、変換、ロード関数を適用することを含む。
この側面および他の側面の他の実装は、対応するシステム、装置、および本方法のアクションを実行するよう構成されコンピュータ・ストレージ・デバイスにコードされたコンピュータ・プログラムを含む。1つ以上のコンピュータのシステムは、ソフトウェア、ファームウェア、ハードウェア、またはシステムにインストールされたそれらの組み合わせによって、動作時にシステムにアクションを実行させるように構成できる。1つ以上のコンピュータ・プログラムは、命令を有することによって、データ処理装置により実行されると装置にアクションを実行させるように構成できる。
進行中のネットワーク脅威を識別するためにコンピュータ・ネットワーク・エンタープライズ中の複合的な洞察力を提供する、スケーラブル且つ加速型の、悪意ある脅威の検出システムを提供する。
例示のデータ分析デバイスを含む例示のコンピューティング・ネットワークのブロック図を示す。 図1のデータ分析デバイスに関連する1つ以上のグラフおよび時系列分析機能の例を表すブロック図を示す。 図1の例示のコンピューティング・ネットワークにおける悪意ある脅威検出のための例示のプロセスのフローチャートを示す。 図1のデータ分析デバイスに関連する1つ以上のグラフ分析機能の例を表すブロック図を示す。 図1の例示のコンピューティング・ネットワークにおける悪意ある脅威検出のための別の例示のプロセスのフローチャートを示す。 図1のコンピューティング・ネットワークの中のノードに適用可能な例示のノード構造および関連するリスク・スコアを示す。
本明細書に記載される主題の1つ以上の実装の詳細が、添付の図面および以下の説明に記載される。本主題の他の潜在的な特徴、側面、および利点は、本記載、図面、および特許請求の範囲から明らかとなる。
別々の図面内の同じ参照番号および名称は、同様の構成要素を示す。
本明細書は、多様なネットワーク保護ツールからの複数のログ・ファイルの取得と、データ分析デバイスによるログ・データのコンバートとを含むシステムおよび方法について記載する。データ分析デバイスは、コンピュータ・ネットワークに対する悪意ある脅威の検出を可能にするために、取得されたデータにグラフおよび時系列に基づく解析的測度を適用する1つ以上のモジュールを含む。グラフ分析および時系列分析測度を適用することで、取得されたログ・データを、1つ以上のノードおよびエッジを有するグラフィカル・ネットワークとして視覚化することができる。
例示の実装では、グラフ分析測定は、1)ログ・ファイルにより示されるネットワーク・イベント・データの周期的な時間間隔での収集および記憶、2)収集および記憶に応答したネットワーク・イベント・データに対するグラフ解析測度の適用、ならびに3)収集および記憶が生じる各時間間隔に対する所定レートでのグラフ解析計算の更新を含む。ネットワーク・イベント・データに関連する一定のパラメータがパースまたは抽出されるとき、時系列分析の前に、分析デバイスによるデータのエンリッチ化が生じる。特定のノードのネットワーク・アクティビティにおける突然または急激な変動を明らかにするべくパラメータ値をベースラインまたは閾値に対し比較および対照するために、時系列分析測度が、抽出されたパラメータに適用される。ネットワーク・アクティビティにおける突然の予期せぬ任意の変動に基づき、悪意ある脅威の検出が可能になる。一部の実装では、異常または特異なコンピュータ・ネットワーク・イベントの検出は、悪意ある脅威につながる徴候を明らかにすることができる。
本明細書はさらに、異なるネットワーク・セキュリティ・デバイスにより提供された大量のログ・データに対する多数の照会を受けることができる1つ以上のネットワーク・イベント・グラフを生成することを含む、システムおよび方法について記載する。ログ・データは、分配デバイスにより受信されリアルタイムで処理されることが可能である。処理されたログ・データから関連性のあるパラメータおよび特徴を抽出するために、抽出関数を適用できる。抽出されたデータを使用して、1つ以上のネットワーク・イベント・グラフを生成することができる。ネットワーク・イベント・グラフに関係するデータは、照会を受信するよう構成された1つ以上のグラフ・データベースに保存できる。コンピュータ・ネットワークの中のプライマリ・ノードに影響を及ぼしている進行中のサイバー・セキュリティ脅威を迅速に検出するために、複雑な照会を少なくとも1つのグラフ・データベースに提出できる。さらに、照会結果は、プライマリ・ノードへの接続を有することに部分的に基づき侵害されているかもしれない1つ以上のセカンダリ・ノードを識別することができる。
図1は、例示のデータ分析デバイスを含む例示のコンピューティング・ネットワーク100のブロック図を示す。ネットワーク100は、コンピューティング資産104a/b/c、ネットワーク保護ツール106、セキュリティ情報イベント管理デバイス110(SIEM(security information event management)110)、およびデータ分析デバイス112(以下「デバイス112」)を含む。ユーザ102は、コンピューティング資産104a/b/cとやり取りする。単一のユーザ102が示されているが、ネットワーク100は複数のユーザ102を含むことができる。一部の実装では、コンピューティング資産104a/b/cは、ユーザ102が、ネットワーク100内外のデータ通信トラフィックを生成する様々なコンピュータ関係アクティビティに関与できるようにする。アクティビティとしては、例えば、イントラネット・サイトにアクセスすること、電子メール通信文の草稿を書いて送信すること、文書を印刷すること、インターネット108にアクセスすること、ファイル・サーバおよびクラウド・ベースのアプリケーションなどの共有されたローカルおよび外部リソースにアクセスすることを挙げることができる。
コンピューティング資産104a/b/cとしては、標準的なラップトップおよびデスクトップ・コンピュータ、プリント・サーバおよびプリンタ/コピー機デバイス、電子メール・サーバ、アプリケーション・サーバ、ルータ、スイッチ、イントラネットおよび関係するファイル・サーバ、またはコンピュータ・ネットワークに関連するその他任意のコンピューティング・デバイスもしくは資産を挙げることができる。例えば、コンピューティング資産104aをラップトップ/デスクトップ・コンピュータとすることができ、資産104bを電子メール・サーバとすることができ、資産104cをルータとすることができる。図1には3つのコンピューティング資産104a/b/cが示されているが、一部の実装では、ネットワーク100は、ユーザ102が上述のコンピュータ関係のアクティビティに関与できるように協働する、より多数またはより少数の資産104を含んでもよい。
図のように、コンピューティング資産104a/b/cは、ネットワーク保護ツール106とデータ通信している。保護ツール106は、ネットワーク100に様々なネットワーク・セキュリティ機能を提供する。例示のネットワーク・セキュリティ機能は、データ・パケットまたはその他データ・トラフィックがネットワーク100に入らないように、および/またはネットワーク100から出ないようにブロックまたはフィルタリングすることを含む。さらに、例示のネットワーク保護ツール106としては、ファイアウォール、プロキシ・サーバ、侵入検知システム、侵入防止システム、パケット・スニフィング・デバイス、脆弱性スキャニング・デバイス、またはコンピュータ・ネットワークと関連するその他任意のネットワーク・セキュリティ・デバイスが挙げられる。
さらに詳しく後述するとおり、一部の実装では、集合的にネットワーク保護ツール106を構成する1つ以上のツール/デバイスはそれぞれ、ネットワーク100内で生じるセキュリティおよび非セキュリティ関係のイベントまたはアクティビティに関連する一定のパラメータまたは属性を含むログ・データ/ファイルを周期的に生成するよう設計または構成できる。図のように、ネットワーク保護ツール106の個々のデバイスにより生成される各ログ・ファイルは、データ通信パス122bを通してデバイス112に提供できる。
図のように、ネットワーク保護ツール106の1つ以上のツール/デバイスは、それぞれSIEM110またはデバイス112のうちの1つとデータ通信している。コンピュータおよび/またはネットワーク動作に関して、SIEM110は、コンピューティング資産104a/b/c、ネットワーク保護ツール106、および明示的に記載はされないがコンピュータ・ネットワーク(すなわちネットワーク100)内に存在することが周知である1つ以上の他のコンピューティング・デバイスに関する、多様なシステム・イベント・データおよびシステム情報データの収集および記憶を提供する。
SIEM110は、ネットワーク100内で生じるコンピューティング・アクティビティ(例えばドメイン名システム(DNS:Domain Name System)トラフィック)に関連するイベントまたは情報に関するログ・データを生成、追跡、または監視する。ネットワーク保護ツール106のデバイスとよく似て、SIEM110も、ネットワーク100内のイベントまたはアクティビティに関連する一定のパラメータまたは属性を含むログ・データ/ファイルを周期的に生成するよう設計または構成できる。一部の実装では、SIEM110は、保護ツール106の各デバイスからログ・ファイルを受信し、各ログ・ファイルを、データ通信パス122aを通してデバイス112に提供する。他の実装では、SIEM110は、保護ツール106の各デバイスからログ・ファイルを受信し、各ログ・ファイルをより大きなログ・ファイルに集約し、且つ/またはログ・ファイルに関連する共通の属性に基づいて各ログ・ファイルを相関させる。図1に示されているとおり、SIEM110からのログ・データは、データ通信パス122aを通してデバイス112に提供される。
図1に示されているとおり、デバイス112は、SIEM110またはネットワーク保護ツール106のうちの1つに接続または結合可能である。一部の実装では、デバイス112は、データ通信パス122aを通してSIEM110に接続または結合される。同じく、一部の実装では、デバイス112は、データ通信パス122bを通して、またはSIEM110およびデータ通信パス122aを通して間接的に、ネットワーク保護ツール106に接続または結合可能である。さらに別の実装では、デバイス112は、データ通信パス122aを通してSIEM110と、さらにはデータ通信パス122bを通してかまたはSIEM110およびデータ通信パス122aを通して間接的にかのいずれかでネットワーク保護ツール106と、の両方に同時に結合可能である。
デバイス112は、処理ユニット114およびモジュール120aを含む。図4を参照してさらに詳しく後述されるとおり、一部の代わりの実装では、デバイス112は、1つ以上のストリーム解析測度および抽出関数をデータ・ストア118内のログ・データに適用して1つ以上のネットワーク・イベント・グラフを発生させる特定の命令論理またはプログラム・コードを含む、モジュール120bを含むことができる。
一部の実施形態では、処理ユニット114は、1つ以上のプロセッサ(例えばマイクロプロセッサまたは中央処理ユニット(CPU:central processing unit))、グラフィックス処理ユニット(GPU:graphics processing unit)、特定用途向け集積回路(ASIC:application specific integrated circuit)、または異なるプロセッサの組み合わせを含むことができる。他の実施形態では、デバイス112は、本明細書に記載される判定および計算のうちの1つ以上を実行するための追加の処理オプションを提供する、他のコンピューティング・リソース/デバイス(例えばクラウド・ベースのサーバ)を含むことができる。
処理ユニット114は、1つ以上のメモリ・ユニットまたはメモリ・バンクを含むことができる。一部の実装では、処理ユニット114は、本明細書に記載された1つ以上の機能をモジュール120aおよびデバイス112に実行させるために、メモリに記憶されたプログラム済み命令を実行する。処理ユニット114のメモリは、1つ以上の非一時的機械可読ストレージ媒体を含むことができる。非一時的機械可読ストレージ媒体は、ソリッド・ステート・メモリ、磁気ディスク、および光ディスク、ポータブル・コンピュータ・ディスケット、ランダム・アクセス・メモリ(RAM:random access memory)、読み取り専用メモリ(ROM:read−only memory)、消去可能プログラム可能読み取り専用メモリ(例えばEPROM(erasable programmable readonly memory)、EEPROM、またはフラッシュメモリ)、あるいは情報を記憶できるその他任意の有形の媒体を含むことができる。
上述のとおり、ネットワーク保護ツール106およびSIEM110はそれぞれ、ネットワーク100内で生じるセキュリティおよび非セキュリティ関係のイベントまたはアクティビティ(例えばデータ通信、パケット情報、および/またはデータ・フロー/トラフィック・パターン)に関連する一定のパラメータまたは属性を含むログ・データ/ファイルを周期的に生成する。よって、ログ・データ・ストア118は、ネットワーク保護ツール106およびSIEM110により生成されたログ・ファイルを含む。
モジュール120aは、1つ以上のグラフ解析測度および1つ以上の時系列分析測度をデータ・ストア118の中のログ・データに適用する一定の命令論理またはプログラム・コードを含むことができる。図2を参照してさらに詳しく後述するとおり、デバイス112のモジュール120aは、ログ・データをグラフィカル・フォーマットに構造化し、構造化されたログ・データに1つ以上のグラフ解析測度を適用して、中心性および重要度測度に基づきノードをエンリッチ化するよう構成可能である。モジュール120aはさらに、時系列分析に基づく解析測度をグラフィカル・データに適用して、ネットワーク100内の特定のノードについて示される重要度の予期せぬ突然の変動または変化を検出するよう構成可能である。モジュール120aは、図1においてはデバイス112の一部として示されているが、別の実施形態では、処理ユニット114と独立してグラフィカル分析および/または時系列分析測定を実行するスタンドアロンのデータ分析デバイスとすることができる。
図2は、図1のデバイス112に関連する1つ以上のグラフ分析および時系列分析機能を表すブロック図を示す。ログ・データ・ストア118は、1つ以上のログ・データ・タイプを含むことができ、モジュール120aは、1つ以上のサブモジュールを含むことができる。図のように、ログ・データ・ストア118は、ユーザ・ログ202、ベンダ・ログ204、およびシステム・ログ206などの1つ以上のログ・データ・タイプを含む。さらにモジュール120aは、抽出、変換、およびロード(ETL:extraction,transformation,and loading)208サブモジュール、データ・ストア・サブモジュール210、グラフィックス処理ユニット212、およびhadoop分散ファイル・システム(HDFS:hadoop distributed file system)214を含む。
ユーザ・ログ202は、ネットワーク100内で生じるユーザ特有のアクティビティまたはイベントに対応することができる。例示のユーザ・イベントとしては、ユーザ102によるネットワーク100および/またはコンピューティング資産104a/b/cに対する認証、ユーザ102によるネットワーク100および/またはコンピューティング資産104a/b/cへのログイン試行、ユーザ102によるファイル・アクセス、ユーザ102による電子メール通信文の送受信、またはコンピュータ・ネットワークにおいて典型的に生じるその他任意の関係するユーザ・アクティビティが挙げられる。ベンダ・ログ204およびシステム・ログ206は、SIEM110により、さらに/またはネットワーク保護ツール106の1つ以上のデバイスにより生成されるデバイス特有のログ・データ(例えば事前構成済みのベンダ設定に基づく)とすることができる。
ETL208は、1つ以上のタイプのログ・データをデータ・ストア118から受信し、受信したログ・データに対して抽出関数、変換関数、およびロード関数のうちの1つを実行する。一部の実装では、ETL208の抽出関数は、ログ・データ・ストア118の中の複数のログ・エントリを分析して、ログ・エントリの望ましいサブセットを抽出する。次に、ETL208の変換関数が、ルックアップ・テーブルまたは他の関係する変換方法を使用してルールを適用し、抽出されたログ・エントリのサブセットを望ましい状態にコンバートまたは変換する。最後に、ETL208のロード関数が使用されて、結果として生じたデータが、HDFS214またはデータ・ストア210などのターゲット・データベースに書き込まれる。
後述のとおり、ネットワーク100の1つ以上のデバイスにより生成されたログ・データは、グラフ・ネットワークまたはモデルとして視覚化でき、各ノードは、例えばコンピューティング資産104a/b/cまたはユーザ102を表現し、各エッジは、例えば特定のノードのネットワーク・アクティビティに関連するパラメータを含む具体的なログ・エントリを表現する。一部の実装では、パラメータは例えば、データを送信するコンピューティング資産104(またはネットワーク100外の資産)の送信元インターネット・プロトコル(IP:internet protocol)アドレスおよびデータを受信するコンピューティング資産104(またはネットワーク100外の資産)の宛先IPアドレスを含む。グラフ・モデルのエッジは、特定の送信元IPアドレスおよび宛先IPアドレスを含むログ・エントリ数の重み付けされた量とすることができる。
GPU212は、HDFS214に記憶されている抽出済みログ・エントリに少なくとも部分的に基づき、ネットワーク100のグラフィカル・モデルを発生させる。抽出済みログ・エントリは、ネットワーク100内で悪意あるアクティビティが生じている可能性の指標としての役割を潜在的に果たし得る対象パラメータを少なくとも1つ含む。ネットワーク100内で生じる一定のアクティビティまたはイベントに関連するパラメータ(例えば対象パラメータ)が、モジュール120により自動的に、またはネットワーク100の管理を監督する管理者もしくはセキュリティ担当者により手動で識別され得る。
一部の実装では、パラメータを選択するのに使用されるアクティビティ/イベントとしては、例えば、特定の送信元IPアドレスが特定の宛先IPアドレスにアウトバウンド接続を試行していること、既知のアクティビティ傾向に基づき特定の送信元IPアドレスにより典型的に試行される閾値数を超える数のアウトバウンド接続を当該送信元IPアドレスが試行していること、第1の送信元IPアドレスまたはコンピューティング資産104がウイルスまたはマルウェアなどの悪意あるプログラム・コードに感染していると分かっている第2の送信元IPアドレスまたはコンピューティング資産104に接続または結合されていること、特定のユーザ102が特定ファイルまたはネットワーク100のサブネットワークに対するアクセスまたは認証を試行していることの徴候、あるいはその他、ユーザ102、コンピューティング資産104、もしくは送信元/宛先IPアドレスが関与していて且つ特異であるまたは1つ以上のサイバー・セキュリティ脆弱性が疑われる指標であると理解され得るネットワーク100関連のアクティビティを挙げることができる。
一部の実装では、ネットワーク100のグラフィカル・モデルを発生させることは、モジュール120aにより、ポイント・イン・タイム・パーティショニング(PTP:point−in−time partitioning)を含む周期的なログ・データ更新を実行することを含む。PTPの実行に際し、HDFS214に提供される抽出済みログ・エントリの新たな更新(経過時間窓(past time window)に対応)毎に、その経過時間窓のデータがHDFS214により収集/受信され、GPU212によってグラフ解析メトリックの新たなセットが計算されてデータ・ストア210に記憶される。一部の実装では、グラフィカル・モデルまたは解析メトリック・セットが、隣接行列および圧縮疎行列のうちの少なくとも1つとしてデータ・ストア210に記憶される。各時間窓に対してグラフ解析計算がどの程度頻繁に実行されるかに対応する更新レートは、管理者の好みによって異なり得る。各グラフ解析計算は、ネットワーク100の特定のノード/パラメータ(例えばユーザ102のユーザID、送信元IPアドレス、宛先IPアドレス、送信元ユーザID、または宛先ユーザID)に関連するグラフ解析メトリックのセットを発生させる。
一部の例では、GPU212がグラフ解析メトリックの新規または後続のセットを1時間毎に計算するように、毎時間の更新レートを有するようモジュール120aを構成できる。更新レートは変化してもよく、毎時間、毎日、毎週、またはネットワーク100の管理者が望むその他任意のレートとすることができる。経過時間窓は、グラフ解析計算のために使用される時間窓のサイズ(例えば1日、2日、5日などの時間単位)に対応する。一部の実装では、モジュール120aは、2日の経過時間窓を有するよう構成でき、それにより、GPU212に提供される抽出済みログ・エントリは、過去2日間に生じたネットワーク・アクティビティ・ログに対応する。更新レートとよく似て、経過時間窓も管理者の好みによって異なることができる。
モジュール120aは、GPU212により実行されたグラフ解析測定に関連する1つ以上のエンリッチ化関数を含むことができる。一部の実装では、エンリッチ化関数は、ネットワーク100の中の1つ以上のノードの特定のネットワーク・アクティビティ(例えばデータ・トラフィック/パケットの送信または受信)に関連する時間属性を各ログ・エントリに関してパースするために、抽出済みログ・エントリに対して適用される。さらに、パースされた時点における対応するグラフ解析測度を、ネットワーク・アクティビティに関連する送信元ノード/IPアドレスおよび宛先ノード/IPアドレスに関してエンリッチ化できる。一部の例では、上述のとおり、時間属性のエンリッチ化は、ログ・エントリの経過時間窓(ログ・エントリの過去2日間)に対して時間属性(EST午前11時)をパースして経過時間窓にわたる特定のノードまたはパラメータに関するログ・エントリの内容を分析することを含むことができる。
グラフ分析/解析測度は、PageRank測度、媒介中心性測度、三角形数え上げ測度、あるいはその他、ログ・エントリに含まれるノードまたはパラメータの繰り返し起こる特性を分析するべく構成された1つ以上のグラフ解析測度のうちの少なくとも1つを含むことができる。コンピュータ・ネットワーク分析に関しては、グラフ解析測度を使用して、グラフ内で最も重要な頂点(例えばノード・アクティビティ/イベント)を識別する中心性の指標を検出することができる。応用として、コンピュータ・ネットワークの中で最もアクティブなノードを識別することを挙げることができる。例えばネットワーク100では、グラフ解析測度を使用することで、閾値レベルのアクティビティを超えるネットワーク・アクティビティ(例えば閾値を上回る特定のファイル/リソースへのアクセス試行、閾値を上回るデータ・パケットの送信/受信など)に関与したユーザ102またはコンピューティング資産104(送信元/宛先IP)を識別または検出することができる。
データ・ストア210は、検索照会の機能性を含む時系列データ・ストアである。一部の実装では、データ・ストア210は、時系列データの記憶および取得のためのメカニズムを提供する非構造化照会言語(NoSQL:non−structured query language)データベースとすることができる。データ・ストア210は、ネットワーク100の特定のノードに関連する時系列データを受信および記憶するよう構成される。図2に示されるとおり、データ・ストア210は、GPU212から受信される時系列データを記憶することができる。一部の実装では、データは、GPU212によって生成された1つ以上のグラフ・メトリック・セットに対してGPU212により実行される時系列処理に基づき発生する。時系列データを発生させるためにGPU212により使用される例示の時系列分析法としては、例えば、時系列回帰法、自己回帰法、管理図に基づく方法、マルコフ・ジャンプ法、またはその他、少なくとも部分的にGPU212によって実装可能な任意の時系列分析法を挙げることができる。
時系列データを生成する処理方法は複数ある。例えば、1つの方法は、HDFS214を使用して実装可能な従来型の時系列算定関数を使用することを伴う。図のように、時系列データを生成した後、次にHDFS214は、生成されたデータを記憶および後続の分析のためにNoSQLデータ・ストア210に提供することができる。時系列データを生成する別の方法は、例えば、抽出済みのログ・データをGPUクラスタに提供し、計算/算定を実行して時系列データを生成し、次に、生成されたデータをNoSQLデータ・ストア210に記憶することにより、GPU212に固有の算定関数を利用することを含む。別の実装では、ETL208によりログ・データに対して実行された算定に少なくとも部分的に基づいて時系列データを生成できる。したがって、データ・ストア210は、ETL208の1つ以上の関数の適用後に生成されたコンピュータ・ネットワーク・イベントに関連するパラメータを含むログ・エントリを受信することができる。時系列分析法の適用は、時系列分析データを生成するプロセスとは異なる。故に、上述の時系列分析法を、データ・ストア210に記憶された時系列分析データに対して適用して、ネットワーク100に対する悪意ある脅威を最終的に識別することができる。
一部の例では、時系列分析は、所与の期間の使用を有効化して、ネットワーク100の特定のノードに関連する抽出済みログ・データ・エントリまたはグラフ・メトリックを発生順にさせる。時系列グラフは、時間の進行に伴う属性または変数の値の変化を含め、属性値を順序づけて表示するグラフィカル・データ・セットを含むことができる。値とベースラインまたは閾値とを比較するなど、多様な統計的検討を時系列データに対して実行できる。一部の例では、時系列グラフは、少なくとも2つのログ・データ・パラメータの分析に基づいて構築でき、時間/日付値は、少なくとも2つのパラメータのうちの少なくとも1つのパラメータである。日付/時間の増分がプロットされ、他のパラメータまたは変数に関連する値がその日付/時間増分に対してプロットされ得る。
したがって、或る特定のパラメータ値は、系列の中の特定の日付/時間に対応し、指定された時間範囲にわたってパラメータ値が分析されて、ベースラインまたは閾値に対する値の突然のまたは予期せぬ変動を検出することができる。値の突然のまたは予期せぬ変動は、ネットワーク100の特定ノードの相対的重要度の増大に対応し得る。一部のノードは、そのノードの既知のイベント・プロファイルと比較して、そのノードらしくない、故に特異と思われる、上昇した重要度係数を示すかもしれない。特異な挙動を示すノード、またはそれらしくないネットワーク・アクティビティに関与したノードは、そのノードが、コンピュータ・ウイルスまたはマルウェアなどの悪意あるプログラム・コードにより侵害されまたはそれに感染したことの指標となり得る。
一部の実装では、デバイス112は、特定のノードが並外れて高い重要度係数を示すときに、生成される偽陽性指摘の数を削減するよう構成された偽陽性処理(FPH:false positive handling)機能性を含むことができる。デバイス112のFPH機能は、それらしくない高重要度係数を示しているように思われる特定のノードに適用されるホワイトリスト機能を有効化することを含むことができる。そのようなノードは、例えば一定期間中に実行される割り当てられたジョブに基づき相対的重要度の突然の変動を周期的に生成させる、「既知の優良ノード」として識別できる。例示の既知の優良ノードとしては、ネットワーク脆弱性スキャナ、電子メール・サーバ、ウェブ・リソース・サーバ、あるいはその他、特定の状況が原因で重要度係数の上昇を示すことが分かっている任意のコンピューティング資産104またはユーザ102(または他のデバイス)を挙げることができる。したがってFPH機能は、対応が必要なネットワーク・セキュリティ事例数を減少させ、したがってネットワーク管理者の作業負荷を削減するべく、一定の既知の優良ノードをホワイトリストに載せるために使用可能である。
図3は、1つ以上のグラフ解析メトリックと、ネットワーク100に関連するデバイスから取得されたログ・データの少なくともサブセットに対して実行される時系列分析とに基づく、悪意ある脅威検出のための例示のプロセス300のフローチャートを示す。プロセス300は、ブロック302にて開始し、デバイス112によって、ネットワーク100に関連するフィールドを含むログ・データをデータ・ストア118から受信することを含む。上述のとおり、フィールドは例えば、ノードおよび時間属性を含むことができる。ノードは例えば、第1コンピューティング資産または送信元IP、第2コンピューティング資産または宛先IP、送信元ユーザ、あるいは宛先ユーザのうちの1つを含むことができる。一部の実装では、フィールドは、ネットワーク100外のコンピューティング資産、ユーザ、またはIPアドレスに対応してもよい。ブロック304にて、プロセス300は、デバイス112のモジュール120aが、ログ・データ・ストア118に含まれるログ・エントリから抽出された少なくとも1つのフィールドに部分的に基づいてネットワーク100に関連するグラフィカル・モデルを構築する/発生させることを含む。
ブロック306にてプロセス300は、デバイス112のモジュール120aが、グラフィカル・モデルに関連するグラフ時系列特徴を生成することを含み、この特徴はネットワーク100のノードにも関連する。上述のとおり、一部の実装では、この特徴は、グラフ解析モデルから求められた重要度測度とすることができる。一方、他の実装では、この特徴は、ノードがネットワーク100内での、またはネットワーク100外のコンピューティング資産とのネットワーク・アクティビティに関与する回数とすることができる。ブロック308にてプロセス300は、識別された時系列特徴に対してモジュール120aが時系列分析を実行することを含む。一部の実装では、この特徴は、以前の挙動(例えばベースライン・アクティビティ・プロファイルもしくは傾向データ)またはGPU212により生成されたグラフ解析特徴により示される重要度係数に基づいて分析される。
ブロック310にてプロセス300は、識別されたパラメータに関して作成された時系列モデルに基づき、ネットワーク100に関連する異常なイベントまたはネットワーク100に関連する悪意あるイベント/脅威のうちの少なくとも1つを判定または検出する。一部の実装では、識別された特徴の時系列分析は、特定ノードの相対的重要度係数か、または或るノードに関連する識別された特徴(および特徴の値)かに生じた、突然の予期せぬ変動を検出できるようにする。ネットワーク・セキュリティの文脈では、悪意あるイベントまたは脅威とは、通常はネットワーク所有者の認識も許可もないままに、機密情報またはデータに対して、破損、破壊、アクセス拒否、スパイ、または盗取などの有害なまたは望まれない影響を生じさせる目的で、不正なユーザおよび/またはコンピュータ・プログラム(例えばマルウェア、ウイルス、スパイウェア、またはボットネット)が、ネットワーク100に権限なしにアクセスすることの発生、またはその可能性と説明することができる。
図4は、図1のデータ分析デバイスに関連する1つ以上のグラフ処理および分析機能の例を表すブロック図を示す。図のように、モジュール120bは、メッセージング・デバイス402、ストリーム解析(SA:stream analytics)デバイス404、中間データ・ストレージ406、データ・ストア410、第1グラフ・データベース(GDB:graph database)412、および第2GDB414を含む。図のように、SAデバイス404は、図2を参照して上述したETLサブモジュール208に似た方式で機能するETLサブモジュール408を含むことができる。一部の実装では、モジュール120bは、データ分析デバイス112内でモジュール120aとは独立して動作する。例えばデバイス112は、モジュール120aの代わりにモジュール120bを含むことができ、その一方で別の例では、デバイス112はモジュール120bおよびモジュール120aの両方を含むことができる。デバイス112がモジュール120bおよびモジュール120aの両方を含む場合、データ・ストア118は、ログ・データの第1部分をモジュール120aに提供し、ログ・データの第2部分をモジュール120bに提供することができる。別の実装では、モジュール120aが発生させた時系列分析データを、後述の方法に基づく追加処理のためにモジュール120bに提供できる。
モジュール120aは、データ処理測度およびグラフ解析測度をデータ・ストア118の中のログ・データに適用する一定の命令論理またはプログラム・コードを含むことができる。デバイス112のモジュール120bは、ログ・データをグラフィカル・フォーマットに構造化して、1つ以上のネットワーク・イベント・グラフを発生させるよう構成可能である。モジュール120bは、データ・ストア410、GDB412、またはGDB414のうちの少なくとも1つにグラフィカル・データを記憶するようさらに構成可能である。次にユーザは、多様な照会をモジュール120bのグラフ・データベースに提出して、照会結果に基づいて1つ以上の悪意ある脅威を検出し、またはネットワーク100内のノード(単数または複数)に関連する悪意あるプログラム・コードを検出してもよい。図1にはデバイス112の一部であるものとして示されているが、他の実施形態においてモジュール120bは、処理ユニット114とは独立してグラフィカル分析および/またはログ・データ処理を実行してネットワーク・イベント・グラフを生成するスタンドアロンのデータ分析デバイスとすることができる。
モジュール120b内でのログ・データのフローに関して、SAデバイス404は、1つ以上のタイプのログ・データをデータ・ストア118から受信し、ETL408を使用して、受信したログ・データに対して抽出関数、変換関数、およびロード関数のうちの1つを実行する。一部の実装では、ETL408の抽出関数は、ログ・データ・ストア118の中の複数のログ・エントリを分析して、ログ・エントリの望ましいサブセットを抽出する。次に、ETL408の変換関数が、ルックアップ・テーブルまたは他の関係する変換方法を使用してルールを適用し、抽出されたログ・エントリのサブセットを望ましい状態にコンバートまたは変換する。最後に、結果として生じたデータが、ターゲット・データベースまたはストレージ媒体に書き込まれるようETL408のロード関数が使用される。
モジュール120bは、複雑なネットワーク・イベント処理を提供するために利用されてもよい。モジュール120bによって新たなログ・データが受信されるのに伴い、ログ・データはストリーム解析(SA)エンジン404により迅速に処理可能である。一部の実装では、SAエンジン404は、ETLモジュール408を使用して、1つ以上のETL関数を適用し、受信されたログ・データを処理およびフォーマットする。図のように、SAデバイス404は、抽出または修正されたログ・データ・エントリを、ストレージ406、データ・ストア410、第1GDB412、または第2GDB414のうちの少なくとも1つに提供する。記憶されたデータを照会して、悪意あるネットワーク・アクティビティがネットワーク100内で生じているかどうかを判定または検出することができる。一部の実装では、モジュール120bをモジュール120aとともに使用して、モジュール120aが発生させたグラフ解析および/または時系列データを利用する相補スコアリング・エンジンを提供することができる。例えばモジュール120bは、悪意あるネットワーク・イベントの検出に基づき、且つネットワーク100内の他のコンピューティング・ノードに特定の悪意あるイベントが影響を及ぼした確率に基づき、リスク・スコアを割り当てることができる。
一部の実装では、データ・ストア118からの新たなログ・データ・エントリは、特定のノードが悪意あるプログラム・コード(例えばマルウェア、ボットネット、トロイなど)に以前感染した別のノードと通信したかどうかを判断するために、モジュール120によってリアルタイムで分析される。時間パラメータは、抽出されたログ・エントリに適用して、例えば過去10分、過去1時間、過去1日、または過去1週間のうちにノード間の通信が生じたかどうかを判断することができる。さらに、数ヶ月または数年のタイム・スパンで生じた通信など、より長い期間の分析も可能である。
現在のリアルタイム・ネットワーク・イベント分析法では、複数の構造照会言語(SQL:structure query language)結合を使用する必要があり、これを達成するには大量の時間および計算リソースが必要である。SQL結合句は、リレーショナル・データベースの中の1つ以上のテーブルから列を組み合わせる。結合関数は、テーブルとして保存またはそのまま使用可能なデータ・セットを作成することができる。JOINは、1つ(自己テーブル)または2つ以上のテーブルから、それぞれに共通する値を使用することで列を組み合わせる手段である。1秒未満の時間でSQL結合を処理するための現行方法では、典型的には1分あたり100,000イベントのシステム・スループットが必要であり、サイバー・セキュリティのアナリストが大量の抽出済みログ・データに対して複雑な照会を実行しようとするときに問題となり得る。
本明細書に記載されるシステムおよび方法を利用すると、ネットワーク・イベント・グラフ構造を含む1つ以上のグラフ・データベースを使用して、サイバー・セキュリティ・イベントを検出するために複雑な照会を迅速に処理できる。モジュール120bのグラフ・データベース(GDB:graph database)ストレージ412および414は、例えば、特定の第1/プライマリ・ノード(悪意あるコードに感染している)が特定の第2ノードとのデータ通信に関与した(例えばデータ・パケットをやり取りした)かどうか、およびその特定の第2ノードが特定の第3ノードとのデータ通信に関与したかどうかを判断するために、照会を処理できるようにする。したがって、特定のノードが悪意あるコードに感染したプライマリ・ノードに直接または間接の接続を有することに基づいて、2つ以上のノード間の分離度が識別されてリスク・スコアが割り当てられ得る。
モジュール120b内のログ・データのフローを再び参照する。ログ・データは、例えば第1IPアドレスが、第2IPアドレスにデータ・パケットを提供したこと、または第2IPアドレスとのデータ通信に関与したことを示すサイバー・セキュリティ・イベントを含むことができる。サイバー・セキュリティ・イベントを含むログ・データは、メッセージング・デバイス402に提供される。一部の実装では、メッセージング・デバイス402は、サイバー・セキュリティ・イベントを含むログ・データがデータ・ストア118から取得されてSAデバイス404に提供され/SAデバイス404により受信されることを保証するよう構成されたメッセージング・キューとすることができる。したがって、メッセージング・デバイス402は、SAデバイス404による処理を必要とするメッセージ(例えばログ・データ・エントリ)の行列、シーケンス、またはバッチを含むことができる。
SAデバイス404は、1つ以上のETL関数を適用するよう構成された例示のデータ・ストリーム処理エンジンとすることができる。一部の実装では、メッセージ・ストリームは、SAデバイス404によって、関連性のあるまたは望まれる情報または特徴を抽出して、抽出された特徴をストレージ406、データ・ストア410、またはGDB414のうちの1つに提供することによりリアルタイムで処理される。さらに詳しく後述するとおり、抽出された特徴は、照会可能なネットワーク・イベント・グラフを発生させるためにGDB412またはGDB414により使用される。抽出可能な特徴としては、例えば、悪意あるコードに感染したことが分かっているノード、コンピューティング資産のホスト名、統一リソース・ロケータ(URL:Uniform Resource Locator)、IPアドレス、ユーザ名、またはコンピューティング・ネットワーク100のノードに関連するその他任意の情報が挙げられる。
グラフ構造またはネットワーク・イベント・グラフが生成されると、モジュール120b内のネットワーク・イベント・グラフを記憶するグラフ・データベース(例えばGDB412、414)に対して1つ以上の照会を提出できる。一部の実装では、照会は例えば、モジュール120bに結合された照会端末を介して提出できる。一例では、照会は、特定のIPアドレス(例えばプライマリ・ノード/ノード0)がどのIPアドレスとデータ通信のやり取りをしたかを探索することを含むことができ、グラフ・データベースは、第1セットのIPアドレス(例えばセカンダリ・ノード/ノード(単数または複数)1)を含む結果を提供することができる。次に、第1セットのIPアドレスがどのIPアドレスとデータ通信をやり取りしたかを判断するために後続の照会を提出でき、グラフ・データベースは、第2セットのIPアドレス(例えばターシャリ・ノード/ノード(単数または複数)2)を含む結果を提供することができる。第2セットのIPアドレスは、第1セットのIPアドレスに対して1次または直接接続を、さらにプライマリ・ノードとして説明されたIPアドレスに対して2次または間接接続を有することができる。
図6に示されているとおり、照会結果はツリーまたはノード構造として表すことができ、追加の照会を提出して、プライマリ・ノードに対する検出された接続に基づきツリーを拡大することができる。前の段落で上述した例では、プライマリ・ノードは、悪意あるコードに最近感染したノードとすることができる。したがって、照会をモジュール120bに提出することで、ほかのどのノードが悪意あるコードに感染した可能性があり得るか、またはそうでなければサイバー・セキュリティ攻撃を受けやすい/影響されやすいと考えられるかが判断される。したがって、モジュール120bおよびデータ分析デバイス112は、現状では従来のネットワーク・データベースに対し提出することもそれによって処理することも不可能な複雑な照会を提出することによって、大量のログ・データ・エントリを精査および分析するための柔軟性を提供する。
一部の実装では、モジュール120bは中間ストレージ406を含むことができ、他の実装では、モジュール120bはストレージ406を含まない。ストレージ406は、ネットワーク・イベント・グラフのストレージとして使用されるデータベースとストリーム処理エンジンであるSAデバイス404との間の中間段階として使用可能な、一種の抽出済みログ・データ・ストレージである。一部の実装では、ストレージ406は、モジュール120b内でGDB414への直接ストリーミングが有効でないときに使用される。例えば、SAデバイス404とGDB414との間のデータまたはファイル・フォーマットの矛盾が理由で、GDB414に受け入れられるフォーマットにコンバートするために、中間ストレージ406を使用して受信データを処理できる。
ネットワーク・イベント・グラフは、GDB412、414のうちの1つにグラフ・フォーマットで記憶される。これらのグラフ・データベースは、ネットワーク100の様々なノード間の通信パターンを判断するためにグラフ形式で照会できる。一部の実装では、照会はGDB412、414に直接提出されるが、上述のとおりユーザは、データ分析デバイス112に結合した別個の端末を通してデータベースに対する照会を行うことができる。本願明細書に記載される他の実装では、照会に応答しての結果または回答は、照会/質問を受信したグラフ・データベースにより提供される。一部の実装では、GDB412は、GPU加速グラフ・データベースであり、GDB414に対して異なるデータベースである。GPU加速GDB412を使用または構成することで、GDB414と比べて加速されたグラフィカル分析を実行できる。例えばGDB412は、より高速なグラフィカル処理関数を利用して、GDB414により使用されるイベント・データの標本サイズと比較してより小さいノード/ネットワーク・イベント・データの標本サイズを含むネットワーク・イベント・グラフを発生させることができる。
図2を参照して上述したとおり、ネットワーク100のデバイスにより生成されたログ・データは、ネットワーク100の中のコンピューティング・ノードに関連する様々なサイバー・セキュリティ・イベントを含むグラフ・ネットワークとして視覚化できる。ノードは例えば、コンピューティング資産104a/b/cまたはユーザ102を表現することができ、エッジは例えば、特定のノードのネットワーク・アクティビティに関連するパラメータまたは特徴を含む具体的なログ・エントリを表現することができる。一部の実装では、特徴は例えば、データを送信するコンピューティング資産104(またはネットワーク100外の資産)の送信元インターネット・プロトコル(IP)アドレスと、データを受信するコンピューティング資産104(またはネットワーク100外の資産)の宛先IPアドレスとを含む。グラフ・モデルのエッジは、特定の送信元IPアドレスおよび宛先IPアドレスを含むログ・エントリ数の重み付けされた量とすることができる。
図5は、ネットワーク100のコンピューティング資産104a/b/cに関連するサイバー・セキュリティ・イベントに基づくネットワーク・イベント・グラフを使用して悪意ある脅威の検出をするための別の例示のプロセス500のフローチャートを示す。プロセス500は、メッセージング・デバイス402が、ネットワーク100内の様々なコンピューティング資産からの異なる多様なログ・データ・エントリを含むサイバー・セキュリティ・イベントをデータ・ストア118から受信する、ブロック502にて開始する。メッセージング・デバイス402は、受信されたログ・エントリが処理されて、モジュール120bの1つ以上のグラフ・データベースに記憶された例示のネットワーク・イベント・グラフに追加されるよう、該ログ・エントリをSAデバイス404に送り込む。ブロック504にて、プロセス500は、SAデバイス404およびETL408が、関連性ある特定の情報をサイバー・セキュリティ・イベントに関連するログ・データ・エントリから抽出することを含む。一部の実装において、関連性のある情報は、IPアドレス、ユーザ名、ホスト名、URLなどの特徴を含むことができる。さらに、関連性のある情報は、リアルタイムまたは準リアルタイムで抽出できる。
ブロック506にてプロセス500は、関連性のある抽出済み情報を使用して、頂点およびエッジを構築することを含み、これらはデータ・ストア410、GDB412、またはGDB414のうちの少なくとも1つでの記憶用に提供される。ブロック508にて、初期のネットワーク・イベント・グラフを生成でき、または、既存のネットワーク・イベント・グラフが新たな頂点およびエッジにより更新されて更新されたグラフ構造/モデルが発生する。ブロック510にてプロセス500は、ユーザがGDB412またはGDB414のうちの少なくとも1つに照会を提出することによりネットワーク・イベント・データ分析を実行することを含む。上述のとおり、提出される照会は、GDB412またはGDB414に記憶されたネットワーク・イベント・グラフを対象とし、ネットワーク100の様々なノード間の相関または接続に基づきネットワーク100に関連する悪意ある脅威を検出するために使用される。
図6は、図1のコンピューティング・ネットワークの中のノードに適用可能な例示のノード構造600および関連するリスク・スコアを示す。構造600は、プライマリ・ノード602、セカンダリ・ノード604、ターシャリ・ノード606a/b/c、および他のノード608を含む。一部の実装では、構造600は、複数のセカンダリ・ノード604、複数のターシャリ・ノード606a/b/c、および複数の他のノード608を含むことができる。図のように、セカンダリ・ノード(単数または複数)604は、例えばプライマリ・ノード602への1次/直接接続を有するコンピューティング資産104a/b/cまたはIPアドレスを含むことができる。同様に、ターシャリ・ノード606a/b/cは、プライマリ・ノード602への2次/間接接続を有するコンピューティング資産104a/b/cまたはIPアドレスを含むことができる。
上述のとおり、モジュール120bは、例えばプライマリ・ノード602(例えば悪意あるコードに感染している)がセカンダリ・ノード(単数または複数)604とのデータ通信に関与した(例えばデータ・パケットをやり取りした)かどうか、およびセカンダリ・ノード(単数または複数)604が1つ以上のターシャリ・ノード606a/b/cとのデータ通信に関与したかどうかを判断するための照会処理を可能にする。したがって、図6は、2つ以上のノード間に存在し得る分離度と、例えば特定のノードが悪意あるコードに感染したプライマリ・ノードに対し直接または間接の接続を有することに基づいて割り当てられ得るリスク・スコアとを示す。
図6に示されているとおり、プライマリ・ノード602は、感染したまたは侵害されたノードであり、よって、最高リスク・スコアを有する。セカンダリ・ノード604は、プライマリ・ノード602への直接接続を有し、その結果として、中〜高リスク・スコアを有する。ターシャリ・ノード606a/b/cは、セカンダリ・ノード604への直接接続を有するが、プライマリ・ノード602に対しては間接接続を有し、よって、ノード606a/b/cは、セカンダリ・ノード604に割り当てられたリスク・スコアよりもわずかに低いリスク・スコア(中リスク)を有する。よって、ネットワーク100の中の他の1つ以上のノード608は、それらのプライマリ・ノード602に対する分離度に基づき、より低いまたはより高い相対リスク・スコアを有してもよい。一部の実装では、リスク・スコアは、GDB412またはGDB414に記憶されるメタデータ・タグを使用して特定のノードに割り当てられる。
照会結果は、ノード・ツリーまたはノード構造600として表すことができ、追加の照会を提出して、プライマリ・ノード602に対する検出された接続に基づき他のノード608を含めるようノード構造600を拡大することができる。プライマリ・ノードは、悪意あるコードに最近感染したノードとすることができる。したがって、照会をモジュール120bに提出することで、ほかのどのノードが悪意あるコードに感染した可能性があり得るか、またはそうでなければサイバー・セキュリティ攻撃を受けやすい/影響されやすいと考えられるかが判断される。リスク・スコアは、悪意あるネットワーク・イベントの検出に基づき、且つネットワーク100内の他のコンピューティング・ノードに悪意ある特定のイベントが影響を及ぼした確率に基づき割り当てることができる。
本主題の実施形態、および本明細書に記載された機能動作は、デジタル電子回路において、または有形に具現化されたコンピュータ・ソフトウェアもしくはファームウェアにおいて、または本明細書で開示された構造およびその構造上の等価物を含むコンピュータ・ハードウェアにおいて、またはそのうちの1つ以上の組み合わせにおいて実装できる。本明細書に記載された主題の実施形態は、1つ以上のコンピュータ・プログラム、すなわちデータ処理装置により実行されるよう、またはデータ処理装置の動作を制御するよう、有形の非一時的プログラム保持体上にコードされたコンピュータ・プログラム命令の1つ以上のモジュールなどとして実装できる。あるいは、またはさらに、プログラム命令は、例えば機械により生成された電気、光、または電磁信号などの人工的に生成される伝播信号上にコードでき、該信号は、データ処理装置による実行のために適切な受信器装置に送信するべく情報をコードするために生成される。コンピュータ・ストレージ媒体は、機械可読ストレージ・デバイス、機械可読ストレージ基板、ランダムもしくは逐次アクセス・メモリ・デバイス、またはその1つ以上の組み合わせとすることができる。
コンピュータ・プログラム(プログラム、ソフトウェア、ソフトウェア・アプリケーション、モジュール、ソフトウェア・モジュール、スクリプト、またはコードと呼ばれることも記載されることもある)は、コンパイル型もしくはインタープリタ型言語、または宣言型もしくは手続き型言語を含む任意の形式のプログラミング言語で書くことができ、スタンドアロン・プログラムとして、またはモジュール、コンポーネント、サブルーチン、あるいはコンピューティング環境用に適した他のユニットとしてを含め、任意の形態で展開できる。コンピュータ・プログラムは、ファイル・システムの中のファイルに対応することもあるが、必須ではない。プログラムは、例えばマークアップ言語ドキュメントに格納される1つ以上のスクリプトなど、他のプログラムまたはデータを保持するファイルの一部、対象のプログラム専用の単一ファイル、あるいは例えば1つ以上のモジュール、サブプログラム、またはコードの一部を格納する複数ファイルなどの複数の連携ファイルに格納可能である。コンピュータ・プログラムは、1つのコンピュータ上、または1つの場所に位置するかもしくは複数の場所に分散し通信ネットワークにより相互接続された複数のコンピュータ上で実行されるよう展開可能である。
本明細書に記載されたプロセスおよび論理フローは、入力データに作用し出力を生成することにより機能を実行する1つ以上のコンピュータ・プログラムを実行する1つ以上のプログラマブル・コンピュータにより実行できる。プロセスおよび論理フローはさらに、例えばFPGA(field programmable gate array:フィールド・プログラマブル・ゲート・アレイ)、ASIC(特定用途向け集積回路)、またはGPU(汎用グラフィックス処理ユニット)などの専用論理回路により実行可能であり、装置はさらに、該専用論理回路として実装可能である。
コンピュータ・プログラムを実行するのに適したコンピュータは、例として、汎用もしくは専用マイクロプロセッサまたはその両方、あるいはその他任意の種類の中央処理ユニットに基づくことができる。一般に、中央処理ユニットは、読み取り専用メモリまたはランダム・アクセス・メモリまたは両方から命令およびデータを受信する。コンピュータの必須要素は、命令を実施または実行する中央処理ユニット、ならびに命令およびデータを記憶する1つ以上のメモリ・デバイスである。一般に、コンピュータはさらに、例えば磁気、光磁気ディスク、もしくは光ディスクなど、データを記憶する1つ以上の大容量ストレージ・デバイスを含むか、またはそれからデータを受信するよう、もしくはそれにデータを転送するよう動作上結合されるか、またはその両方である。なお、コンピュータはそのようなデバイスを有しなくてもよい。さらにコンピュータは、ごく少数の例を挙げると、モバイル電話、携帯情報端末(PDA:personal digital assistant)、モバイル・オーディオまたはビデオ・プレーヤ、ゲーム機、全地球測位システム(GPS:Global Positioning System)受信器、または例えばユニバーサル・シリアル・バス(USB:universal serial bus)フラッシュ・ドライブなどのポータブル・ストレージ・デバイスなど、別のデバイスに組み込むことができる。
コンピュータ・プログラム命令およびデータを記憶するのに適したコンピュータ可読媒体は、あらゆる形式の不揮発性メモリ、媒体、およびメモリ・デバイスを含み、例として、例えばEPROM、EEPROM、およびフラッシュ・メモリ・デバイスなどの半導体メモリ・デバイス、例えば内蔵ハード・ディスクまたはリムーバブル・ディスクなどの磁気ディスク、光磁気ディスク、ならびにCD ROMおよびDVD−ROMディスクなどが含まれる。プロセッサおよびメモリは、専用論理回路により補完されること、またはそれに組み込まれることが可能である。
ユーザとのやり取りを提供するために、本明細書に記載されている主題の実施形態は、ユーザに情報を表示するための、例えばCRT(cathode ray tube:陰極線管)またはLCD(liquid crystal display:液晶ディスプレイ)モニタなどのディスプレイ・デバイス、ならびにユーザが入力をコンピュータに提供することができるキーボードおよび、例えばマウス、またはトラックボールなどのポインティング・デバイスを有するコンピュータ上に実装できる。他の種類のデバイスを、同じくユーザとのやり取りを提供するために使用可能である。例えば、ユーザに提供されるフィードバックは、例えば視覚フィードバック、聴覚フィードバック、または触覚フィードバックなど、任意の形式の感覚フィードバックとすることができ、ユーザからの入力は、音響、スピーチ、または触覚入力を含め、任意の形式で受信可能である。さらに、コンピュータは、例えばウェブ・ブラウザから受信されたリクエストに応答してウェブ・ページをユーザのクライアント・デバイス上のウェブ・ブラウザへ送信するなど、ユーザにより使用されるデバイスにドキュメントを送信し該デバイスからドキュメントを受信することで、ユーザとやり取りできる。
本明細書に記載されている主題の実施形態は、例えばデータ・サーバとしてなど、バックエンド・コンポーネントを含むコンピューティング・システム、または、例えばアプリケーション・サーバなど、ミドルウェア・コンポーネントを含むコンピューティング・システム、または、例えば本明細書に記載されている主題の実装とのやり取りをユーザがすることができるグラフィカル・ユーザ・インターフェースもしくはウェブ・ブラウザを有するクライアント・コンピュータなど、フロント・エンド・コンポーネントを含むコンピューティング・システム、またはそのようなバックエンド、ミドルウェア、もしくはフロント・エンド・コンポーネントの1つ以上の任意の組み合わせにおいて実装できる。システムのコンポーネントは、例えば通信ネットワークなど、任意の形態または媒体のデジタル・データ通信により相互接続可能である。通信ネットワークの例としては、ローカル・エリア・ネットワーク(「LAN(local area network)」)、および例えばインターネットなどのワイド・エリア・ネットワーク(「WAN(wide area network)」)が挙げられる。
コンピューティング・システムは、クライアントおよびサーバを含むことができる。クライアントとサーバとは、一般に、互いに遠隔にあり、典型的には通信ネットワークを介してやり取りする。クライアントとサーバとの関係は、各コンピュータ上で実行され互いにクライアント−サーバ関係を有するコンピュータ・プログラムにより生じる。
本明細書は具体的な実装の詳細を多数含むが、これらは、任意の発明の範囲または特許請求の範囲に対する制限として解釈されるべきではなく、むしろ特定の発明の特定の実施形態に特有であり得る特徴の記載として解釈されるべきである。別々の実施形態との関連で本明細書に記載されている特定の特徴は、単一の実施形態において組み合わせて実装されることも可能である。逆に、単一の実施形態との関連で記載されている様々な特徴が、複数の実施形態で別々に、または任意の適切な一部組み合わせで実装されることも可能である。さらに、各特徴は、特定の組み合わせで動作するよう上記に記載されることもあり、当初そのように請求されることさえもあるが、場合によっては、請求される組み合わせの1つ以上の特徴が、その組み合わせから削除されることが可能であり、請求される組み合わせは、一部組み合わせまたは一部組み合わせの変形物を対象とし得る。
同じく、各動作は特定の順序で図面に表されているが、これは、所望の結果を達成するために、当該の動作が示されている特定の順序もしくは順番で実行されること、または示されているすべての動作が実行されることを要求するものと理解されてはならない。特定の状況では、マルチタスクおよび並列処理が有利なこともある。さらに、上述の実施形態における様々なシステム・モジュールおよびコンポーネントの分離は、すべての実施形態においてそのような分離を要求するものと理解されてはならず、当然のことながら、記載されているプログラム・コンポーネントおよびシステムは、一般に、単一ソフトウェア製品に統合されること、または複数のソフトウェア製品にパッケージ化されることが可能である。
本主題の特定の実施形態が記載された。他の実施形態は、添付の特許請求の範囲に記載の範囲内にある。例えば、特許請求の範囲に列挙されたアクションは、異なる順序で実行でき、それでも所望の結果を達成し得る。一例として、添付の図面に表したプロセスは、所望の結果を達成するために、必ずしも示された特定の順序または順番を要求するものではない。特定の実装では、マルチタスクおよび並列処理が有利なこともある。
102 ユーザ
104a、104b、104c コンピューティング資産
106 ネットワーク保護ツール(ファイアウォール、IDS、プロキシ・ログなど)
108 インターネット
110 セキュリティ情報/イベント・マネージャ(SIEM)
112 データ分析デバイス
114 処理ユニット
118 データ・ストア
120a/b グラフ解析モジュール
122a、122b データ通信パス

Claims (8)

  1. データ分析デバイスによって、コンピューティング・ネットワークにおけるコンピュータ・ネットワーク・イベントに関連するパラメータを含む複数のログ・データ・エントリを受信するステップと、
    前記データ分析デバイスによって1つ以上のパラメータを抽出するステップであって、前記パラメータはリアルタイムで抽出される、前記抽出するステップと、
    前記データ分析デバイスによって、第1グラフ・メトリックまたは第2グラフ・メトリックのうちの少なくとも1つに基づいてネットワーク・イベント・グラフを生成するステップであって、前記第1および第2グラフ・メトリックは、前記抽出された1つ以上のパラメータに基づく、前記生成するステップと、
    前記ネットワーク・イベント・グラフに対して実行された照会、およびホワイトリスト機能を有効化する偽陽性処理(FPH:false positive handling)機能であって、前記ホワイトリスト機能とは前記コンピューティング・ネットワークにおいて相対的重要度の突然の変動を周期的に生成させる前記コンピューティング・ネットワーク内の既知の優良ノードを識別するために適用される機能である、前記偽陽性処理機能に基づいて、前記データ分析デバイスによって、前記コンピューティング・ネットワークに関連する異常なイベントまたは前記コンピューティング・ネットワークに関連する悪意あるイベントのうちの少なくとも1つが発生したかどうかを検出するステップと、
    を含む、コンピュータに実装された方法。
  2. 検出するステップは、少なくとも1つのプライマリ・ノードとのデータ通信に関与した1つ以上のセカンダリ・ノードを検出するために、前記ネットワーク・イベント・グラフに対して1つ以上の照会を実行することを含む、請求項1に記載の方法。
  3. 前記少なくとも1つのプライマリ・ノードは、前記異常なイベントまたは前記悪意あるイベントのうちの少なくとも1つに直接関連している、請求項2に記載の方法。
  4. 前記少なくとも1つのプライマリ・ノードと相関を有する少なくとも1つのターシャリ・ノードを識別するために、前記データ分析デバイスによって、前記1つ以上のセカンダリ・ノードのネットワーク通信アクティビティを分析するステップ
    をさらに含む、請求項3に記載の方法。
  5. 前記ネットワーク・イベント・グラフならびに前記第1および第2グラフ・メトリックを、前記データ分析デバイスの第1ストレージ媒体に記憶するステップ
    をさらに含む、請求項1に記載の方法。
  6. 前記第1ストレージ媒体は、グラフ・データベースまたはグラフィックス処理ユニット(GPU)加速グラフ・データベースのうちの少なくとも1つである、請求項5に記載の方法。
  7. 前記第1グラフ・メトリックおよび前記第2グラフ・メトリックを前記データ分析デバイスの第2ストレージ媒体に記憶するステップであって、前記第1ストレージ媒体に記憶されるように前記第1および第2グラフ・メトリックをフォーマットすることを含む、前記第2ストレージ媒体に記憶するステップ
    をさらに含む、請求項6に記載の方法。
  8. 抽出するステップは、1つ以上のパラメータをリアルタイムで抽出するために、データ・ストリーム処理エンジンを使用して抽出、変換、ロード関数を適用することを含む、請求項1に記載の方法。
JP2017169630A 2016-09-06 2017-09-04 ネットワークの異常検出システムのためのグラフ・データベース分析 Active JP6585131B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US201662384128P 2016-09-06 2016-09-06
US62/384,128 2016-09-06

Publications (2)

Publication Number Publication Date
JP2018049602A JP2018049602A (ja) 2018-03-29
JP6585131B2 true JP6585131B2 (ja) 2019-10-02

Family

ID=59858507

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017169630A Active JP6585131B2 (ja) 2016-09-06 2017-09-04 ネットワークの異常検出システムのためのグラフ・データベース分析

Country Status (4)

Country Link
US (2) US10530796B2 (ja)
EP (1) EP3291120B1 (ja)
JP (1) JP6585131B2 (ja)
AU (1) AU2017221858B2 (ja)

Families Citing this family (86)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10382534B1 (en) 2015-04-04 2019-08-13 Cisco Technology, Inc. Selective load balancing of network traffic
US11005682B2 (en) 2015-10-06 2021-05-11 Cisco Technology, Inc. Policy-driven switch overlay bypass in a hybrid cloud network environment
US10523657B2 (en) 2015-11-16 2019-12-31 Cisco Technology, Inc. Endpoint privacy preservation with cloud conferencing
US10686792B1 (en) * 2016-05-13 2020-06-16 Nuvolex, Inc. Apparatus and method for administering user identities across on premise and third-party computation resources
US10958667B1 (en) 2016-06-03 2021-03-23 Mcafee Llc Determining computing system incidents using node graphs
US10659283B2 (en) 2016-07-08 2020-05-19 Cisco Technology, Inc. Reducing ARP/ND flooding in cloud environment
US10263898B2 (en) 2016-07-20 2019-04-16 Cisco Technology, Inc. System and method for implementing universal cloud classification (UCC) as a service (UCCaaS)
WO2018017151A1 (en) * 2016-07-21 2018-01-25 Level 3 Communications, Llc System and method for voice security in a telecommunications network
US10706144B1 (en) * 2016-09-09 2020-07-07 Bluerisc, Inc. Cyber defense with graph theoretical approach
US10476896B2 (en) 2016-09-13 2019-11-12 Accenture Global Solutions Limited Malicious threat detection through time series graph analysis
US11044162B2 (en) 2016-12-06 2021-06-22 Cisco Technology, Inc. Orchestration of cloud and fog interactions
US10326817B2 (en) 2016-12-20 2019-06-18 Cisco Technology, Inc. System and method for quality-aware recording in large scale collaborate clouds
US10334029B2 (en) 2017-01-10 2019-06-25 Cisco Technology, Inc. Forming neighborhood groups from disperse cloud providers
US10552191B2 (en) 2017-01-26 2020-02-04 Cisco Technology, Inc. Distributed hybrid cloud orchestration model
US10904278B2 (en) * 2017-05-26 2021-01-26 Alien Vault, Inc. Detection system for network security threats
US10892940B2 (en) 2017-07-21 2021-01-12 Cisco Technology, Inc. Scalable statistics and analytics mechanisms in cloud networking
US10521584B1 (en) * 2017-08-28 2019-12-31 Amazon Technologies, Inc. Computer threat analysis service
US10353800B2 (en) * 2017-10-18 2019-07-16 Cisco Technology, Inc. System and method for graph based monitoring and management of distributed systems
US10956437B1 (en) 2017-10-21 2021-03-23 Teletracking Technologies, Inc. Systems and methods for implementing secure database requests in a role-based application environment
US10547629B2 (en) * 2017-11-05 2020-01-28 Rapid7, Inc. Detecting malicious network activity using time series payload data
US20220232025A1 (en) 2017-11-27 2022-07-21 Lacework, Inc. Detecting anomalous behavior of a device
US11765249B2 (en) 2017-11-27 2023-09-19 Lacework, Inc. Facilitating developer efficiency and application quality
US11973784B1 (en) 2017-11-27 2024-04-30 Lacework, Inc. Natural language interface for an anomaly detection framework
US11979422B1 (en) 2017-11-27 2024-05-07 Lacework, Inc. Elastic privileges in a secure access service edge
US11894984B2 (en) 2017-11-27 2024-02-06 Lacework, Inc. Configuring cloud deployments based on learnings obtained by monitoring other cloud deployments
US10419469B1 (en) 2017-11-27 2019-09-17 Lacework Inc. Graph-based user tracking and threat detection
US11770398B1 (en) 2017-11-27 2023-09-26 Lacework, Inc. Guided anomaly detection framework
US11785104B2 (en) 2017-11-27 2023-10-10 Lacework, Inc. Learning from similar cloud deployments
US11792284B1 (en) 2017-11-27 2023-10-17 Lacework, Inc. Using data transformations for monitoring a cloud compute environment
US11818156B1 (en) 2017-11-27 2023-11-14 Lacework, Inc. Data lake-enabled security platform
US11849000B2 (en) 2017-11-27 2023-12-19 Lacework, Inc. Using real-time monitoring to inform static analysis
US20220232024A1 (en) 2017-11-27 2022-07-21 Lacework, Inc. Detecting deviations from typical user behavior
US10785239B2 (en) * 2017-12-08 2020-09-22 Mcafee, Llc Learning maliciousness in cybersecurity graphs
US10992519B2 (en) 2018-03-26 2021-04-27 Alien Vault, Inc. Storage system for network information
US11372893B2 (en) 2018-06-01 2022-06-28 Ntt Security Holdings Corporation Ensemble-based data curation pipeline for efficient label propagation
US10855702B2 (en) 2018-06-06 2020-12-01 Reliaquest Holdings, Llc Threat mitigation system and method
US11709946B2 (en) 2018-06-06 2023-07-25 Reliaquest Holdings, Llc Threat mitigation system and method
US10303688B1 (en) * 2018-06-13 2019-05-28 Stardog Union System and method for reducing data retrieval delays via prediction-based generation of data subgraphs
US10949428B2 (en) * 2018-07-12 2021-03-16 Forcepoint, LLC Constructing event distributions via a streaming scoring operation
US11271939B2 (en) * 2018-07-31 2022-03-08 Splunk Inc. Facilitating detection of suspicious access to resources
CN109344294B (zh) * 2018-08-14 2023-03-31 创新先进技术有限公司 特征生成方法、装置、电子设备及计算机可读存储介质
KR102225040B1 (ko) * 2018-08-29 2021-03-09 한국과학기술원 인공 지능 기반의 통합 로그 관리 방법 및 그 시스템
US11496493B2 (en) * 2018-09-19 2022-11-08 Nec Corporation Dynamic transaction graph analysis
US11463472B2 (en) * 2018-10-24 2022-10-04 Nec Corporation Unknown malicious program behavior detection using a graph neural network
US11354325B2 (en) * 2018-10-25 2022-06-07 Bank Of America Corporation Methods and apparatus for a multi-graph search and merge engine
RU2710985C1 (ru) * 2019-03-28 2020-01-14 федеральное государственное автономное образовательное учреждение высшего образования "Санкт-Петербургский политехнический университет Петра Великого" (ФГАОУ ВО "СПбПУ") Способ оценки устойчивости киберфизической системы к компьютерным атакам
US11252185B2 (en) * 2019-03-28 2022-02-15 NTT Security Corporation Graph stream mining pipeline for efficient subgraph detection
US11863580B2 (en) 2019-05-31 2024-01-02 Varmour Networks, Inc. Modeling application dependencies to identify operational risk
US11575563B2 (en) 2019-05-31 2023-02-07 Varmour Networks, Inc. Cloud security management
US11711374B2 (en) 2019-05-31 2023-07-25 Varmour Networks, Inc. Systems and methods for understanding identity and organizational access to applications within an enterprise environment
USD926809S1 (en) 2019-06-05 2021-08-03 Reliaquest Holdings, Llc Display screen or portion thereof with a graphical user interface
USD926810S1 (en) 2019-06-05 2021-08-03 Reliaquest Holdings, Llc Display screen or portion thereof with a graphical user interface
USD926200S1 (en) 2019-06-06 2021-07-27 Reliaquest Holdings, Llc Display screen or portion thereof with a graphical user interface
USD926782S1 (en) 2019-06-06 2021-08-03 Reliaquest Holdings, Llc Display screen or portion thereof with a graphical user interface
USD926811S1 (en) 2019-06-06 2021-08-03 Reliaquest Holdings, Llc Display screen or portion thereof with a graphical user interface
US11323463B2 (en) * 2019-06-14 2022-05-03 Datadog, Inc. Generating data structures representing relationships among entities of a high-scale network infrastructure
US11023896B2 (en) * 2019-06-20 2021-06-01 Coupang, Corp. Systems and methods for real-time processing of data streams
US11271824B2 (en) 2019-07-25 2022-03-08 Vmware, Inc. Visual overlays for network insights
US11005727B2 (en) * 2019-07-25 2021-05-11 Vmware, Inc. Visual overlays for network insights
US20210056071A1 (en) * 2019-08-22 2021-02-25 Siemens Corporation Method for generating a coherent representation for at least two log files
CN110673994B (zh) * 2019-09-20 2023-05-12 北京百度网讯科技有限公司 数据库测试方法及装置
US11178042B2 (en) * 2019-10-14 2021-11-16 Red Hat, Inc. Protocol and state analysis in a dynamic routing network
CN110991616B (zh) * 2019-12-02 2024-04-05 北京工业大学 一种基于删减型前馈小世界神经网络出水bod预测方法
US11538047B2 (en) * 2019-12-19 2022-12-27 Accenture Global Solutions Limited Utilizing a machine learning model to determine attribution for communication channels
US10873592B1 (en) 2019-12-23 2020-12-22 Lacework Inc. Kubernetes launch graph
US11188571B1 (en) 2019-12-23 2021-11-30 Lacework Inc. Pod communication graph
US11201955B1 (en) 2019-12-23 2021-12-14 Lacework Inc. Agent networking in a containerized environment
CN111092900B (zh) * 2019-12-24 2022-04-05 北京北信源软件股份有限公司 服务器异常连接和扫描行为的监控方法和装置
US11551230B2 (en) * 2020-01-14 2023-01-10 Visa International Service Association Security attack detections for transactions in electronic payment processing networks
US11595418B2 (en) * 2020-07-21 2023-02-28 T-Mobile Usa, Inc. Graphical connection viewer for discovery of suspect network traffic
KR102403881B1 (ko) * 2020-09-08 2022-05-31 주식회사 소테리아 이벤트의 인과관계 가시화 장치 및 그 방법
CN112085104B (zh) * 2020-09-10 2024-04-12 杭州中奥科技有限公司 一种事件特征提取方法、装置、存储介质及电子设备
US11552974B1 (en) * 2020-10-30 2023-01-10 Splunk Inc. Cybersecurity risk analysis and mitigation
CN112688810B (zh) * 2020-12-23 2023-04-07 苏州三六零智能安全科技有限公司 网络资产信息获取方法、设备及可读存储介质
US11818152B2 (en) 2020-12-23 2023-11-14 Varmour Networks, Inc. Modeling topic-based message-oriented middleware within a security system
US11876817B2 (en) 2020-12-23 2024-01-16 Varmour Networks, Inc. Modeling queue-based message-oriented middleware relationships in a security system
US20220229903A1 (en) * 2021-01-21 2022-07-21 Intuit Inc. Feature extraction and time series anomaly detection over dynamic graphs
US11777978B2 (en) * 2021-01-29 2023-10-03 Varmour Networks, Inc. Methods and systems for accurately assessing application access risk
AU2022200807A1 (en) * 2021-02-08 2022-08-25 Varmour Networks, Inc. Systems and Methods for Understanding Identity and Organizational Access to Applications within an Enterprise Environment
JP7157200B1 (ja) * 2021-03-31 2022-10-19 エヌ・ティ・ティ・コミュニケーションズ株式会社 分析装置、分析方法及び分析プログラム
US11727142B2 (en) 2021-04-08 2023-08-15 International Business Machines Corporation Identifying sensitive data risks in cloud-based enterprise deployments based on graph analytics
US11734316B2 (en) 2021-07-08 2023-08-22 Varmour Networks, Inc. Relationship-based search in a computing environment
US20230038196A1 (en) * 2021-08-04 2023-02-09 Secureworks Corp. Systems and methods of attack type and likelihood prediction
EP4137946A1 (fr) * 2021-08-19 2023-02-22 Bull SAS Procédé de représentation d'un système informatique distribué par plongement de graphe
CN114301706B (zh) * 2021-12-31 2023-07-21 上海纽盾科技股份有限公司 基于目标节点中现有威胁的防御方法、装置及系统
CN114706992B (zh) * 2022-02-17 2022-09-30 中科雨辰科技有限公司 一种基于知识图谱的事件信息处理系统

Family Cites Families (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6735548B1 (en) 2001-04-10 2004-05-11 Cisco Technology, Inc. Method for automated network availability analysis
US20030188189A1 (en) * 2002-03-27 2003-10-02 Desai Anish P. Multi-level and multi-platform intrusion detection and response system
JP2004046742A (ja) * 2002-07-15 2004-02-12 Ntt Data Corp 攻撃分析装置、センサ、攻撃分析方法及びプログラム
US8359650B2 (en) * 2002-10-01 2013-01-22 Skybox Secutiry Inc. System, method and computer readable medium for evaluating potential attacks of worms
JPWO2006077666A1 (ja) * 2004-12-28 2008-06-19 国立大学法人京都大学 観測データ表示装置、観測データ表示方法、観測データ表示プログラムおよびそれを記録したコンピュータ読み取り可能な記録媒体
US8266697B2 (en) * 2006-03-04 2012-09-11 21St Century Technologies, Inc. Enabling network intrusion detection by representing network activity in graphical form utilizing distributed data sensors to detect and transmit activity data
US7624448B2 (en) * 2006-03-04 2009-11-24 21St Century Technologies, Inc. Intelligent intrusion detection system utilizing enhanced graph-matching of network activity with context data
US20090097418A1 (en) 2007-10-11 2009-04-16 Alterpoint, Inc. System and method for network service path analysis
US8881288B1 (en) * 2008-10-28 2014-11-04 Intelligent Automation, Inc. Graphical models for cyber security analysis in enterprise networks
US8674993B1 (en) 2009-10-14 2014-03-18 John Fleming Graph database system and method for facilitating financial and corporate relationship analysis
US8682812B1 (en) * 2010-12-23 2014-03-25 Narus, Inc. Machine learning based botnet detection using real-time extracted traffic features
US8762298B1 (en) * 2011-01-05 2014-06-24 Narus, Inc. Machine learning based botnet detection using real-time connectivity graph based traffic features
US9098798B2 (en) * 2011-05-26 2015-08-04 Massachusetts Institute Of Technology Methods and apparatus for prediction and modification of behavior in networks
US9032527B2 (en) * 2012-01-11 2015-05-12 Hewlett-Packard Development Company, L.P. Inferring a state of behavior through marginal probability estimation
AU2013272215B2 (en) 2012-03-22 2017-10-12 Imperial Innovations Limited Anomaly detection to identify coordinated group attacks in computer networks
US8973100B2 (en) * 2013-01-08 2015-03-03 Facebook, Inc. Trust-based authentication in a social networking system
US9202052B1 (en) * 2013-06-21 2015-12-01 Emc Corporation Dynamic graph anomaly detection framework and scalable system architecture
JP2015022038A (ja) 2013-07-17 2015-02-02 富士ゼロックス株式会社 画像形成装置
US9203765B2 (en) 2013-08-30 2015-12-01 Cisco Technology, Inc. Flow based network service insertion using a service chain identifier
US9231962B1 (en) * 2013-11-12 2016-01-05 Emc Corporation Identifying suspicious user logins in enterprise networks
US10021116B2 (en) * 2014-02-19 2018-07-10 HCA Holdings, Inc. Network segmentation
JP5640166B1 (ja) * 2014-03-31 2014-12-10 株式会社ラック ログ分析システム
US9916187B2 (en) * 2014-10-27 2018-03-13 Oracle International Corporation Graph database system that dynamically compiles and executes custom graph analytic programs written in high-level, imperative programming language
US9940472B2 (en) * 2015-01-08 2018-04-10 International Business Machines Corporation Edge access control in querying facts stored in graph databases
US10230742B2 (en) * 2015-01-30 2019-03-12 Anomali Incorporated Space and time efficient threat detection
US10614126B2 (en) 2015-05-21 2020-04-07 Oracle International Corporation Textual query editor for graph databases that performs semantic analysis using extracted information
US9407652B1 (en) * 2015-06-26 2016-08-02 Palantir Technologies Inc. Network anomaly detection
US9946719B2 (en) * 2015-07-27 2018-04-17 Sas Institute Inc. Distributed data set encryption and decryption
US9537880B1 (en) * 2015-08-19 2017-01-03 Palantir Technologies Inc. Anomalous network monitoring, user behavior detection and database system
US9699205B2 (en) * 2015-08-31 2017-07-04 Splunk Inc. Network security system
US10324773B2 (en) * 2015-09-17 2019-06-18 Salesforce.Com, Inc. Processing events generated by internet of things (IoT)
US10044745B1 (en) * 2015-10-12 2018-08-07 Palantir Technologies, Inc. Systems for computer network security risk assessment including user compromise analysis associated with a network of devices
US10630706B2 (en) * 2015-10-21 2020-04-21 Vmware, Inc. Modeling behavior in a network
US10248910B2 (en) 2015-10-28 2019-04-02 Fractal Industries, Inc. Detection mitigation and remediation of cyberattacks employing an advanced cyber-decision platform
US10331495B2 (en) * 2016-02-05 2019-06-25 Sas Institute Inc. Generation of directed acyclic graphs from task routines
US10015182B1 (en) * 2016-06-30 2018-07-03 Symantec Corporation Systems and methods for protecting computing resources
US10476896B2 (en) 2016-09-13 2019-11-12 Accenture Global Solutions Limited Malicious threat detection through time series graph analysis

Also Published As

Publication number Publication date
JP2018049602A (ja) 2018-03-29
US20180069885A1 (en) 2018-03-08
AU2017221858A1 (en) 2018-03-22
US20200145441A1 (en) 2020-05-07
US10530796B2 (en) 2020-01-07
AU2017221858B2 (en) 2018-10-11
EP3291120B1 (en) 2021-04-21
EP3291120A1 (en) 2018-03-07
US11212306B2 (en) 2021-12-28

Similar Documents

Publication Publication Date Title
JP6585131B2 (ja) ネットワークの異常検出システムのためのグラフ・データベース分析
JP6599946B2 (ja) 時系列グラフ分析による悪意ある脅威の検出
EP3195560B1 (en) Lateral movement detection
US10121000B1 (en) System and method to detect premium attacks on electronic networks and electronic devices
US11122063B2 (en) Malicious domain scoping recommendation system
CN109074454B (zh) 基于赝象对恶意软件自动分组
JP2018530066A (ja) 低信頼度のセキュリティイベントによるセキュリティインシデントの検出
US20210360032A1 (en) Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance
EP3921750B1 (en) Dynamic cybersecurity peer identification using groups
US11647037B2 (en) Penetration tests of systems under test
JP2012527691A (ja) アプリケーションレベルセキュリティのためのシステムおよび方法
CN107360198B (zh) 可疑域名检测方法及系统
Chen et al. Efficient suspicious URL filtering based on reputation
WO2018213061A2 (en) Timely causality analysis in homegeneous enterprise hosts
Lukova-Chuiko et al. Threat Hunting as a Method of Protection Against Cyber Threats.
US20210112082A1 (en) Computer security system for ingesting and analyzing network traffic
US10367835B1 (en) Methods and apparatus for detecting suspicious network activity by new devices
WO2023163820A1 (en) Graph-based analysis of security incidents
CN114900375A (zh) 一种基于ai图分析的恶意威胁侦测方法
Yüksel et al. Towards useful anomaly detection for back office networks
US10491615B2 (en) User classification by local to global sequence alignment techniques for anomaly-based intrusion detection

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170904

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20171228

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180718

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181002

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20181227

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20190228

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190329

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20190329

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20190401

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190827

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190904

R150 Certificate of patent or registration of utility model

Ref document number: 6585131

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250