JP6616045B2 - 異種混在アラートのグラフベース結合 - Google Patents
異種混在アラートのグラフベース結合 Download PDFInfo
- Publication number
- JP6616045B2 JP6616045B2 JP2019502545A JP2019502545A JP6616045B2 JP 6616045 B2 JP6616045 B2 JP 6616045B2 JP 2019502545 A JP2019502545 A JP 2019502545A JP 2019502545 A JP2019502545 A JP 2019502545A JP 6616045 B2 JP6616045 B2 JP 6616045B2
- Authority
- JP
- Japan
- Prior art keywords
- alerts
- host
- alert
- graph
- hosts
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims description 119
- 230000008569 process Effects 0.000 claims description 93
- 230000002159 abnormal effect Effects 0.000 claims description 5
- 238000012545 processing Methods 0.000 description 15
- 238000003012 network analysis Methods 0.000 description 13
- 238000010586 diagram Methods 0.000 description 12
- 230000015654 memory Effects 0.000 description 12
- 238000001514 detection method Methods 0.000 description 11
- 238000004891 communication Methods 0.000 description 7
- 238000004590 computer program Methods 0.000 description 4
- 238000005259 measurement Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000002547 anomalous effect Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0604—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
- H04L41/0609—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time based on severity or priority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Debugging And Monitoring (AREA)
Description
1.e1及びe2が異なるホストからのものである場合、距離は無限大である。
2.e1及びe2が同じホスト及び同じプロセスからのものである場合、距離はゼロである。
3.e1及びe2が、同じホスト及び異なるプロセスからのものである場合、プロセス距離はp1からp2までの最短経路の長さである。
ホスト内クラスタリングの細部は、以下でより詳細に説明する。
h1=h2
u1=u2
|t1−t2|<δ1
ここで、δ1は時間閾値である。このようにして、アラートのプロセスが短い期間に同じユーザによって実行された場合、隠れた関係性が同じホスト上のアラートに指定される。隠れた関係性に基づくクラスタリングのさらなる詳細は、以下で提供される。
σ(e)=wi・score(e)
ここで、wiは、検出器diの信用度の重みであり、score(e)は、報告された異常スコアである。
Claims (16)
- プロセッサを含むクラスタリングモジュールが異常イベントを報告するための方法であって、
前記クラスタリングモジュールが、
プロセスレベルイベントの状態をモデル化するプロセスグラフに基づいて2つのアラート間のプロセス距離を求め、
プロセス距離閾値未満であるプロセス距離を有するアラートを、ホスト内で共にクラスタリングすることで、アラートのセットをホスト内でクラスタリングし、
それぞれのクラスタにおけるアラート間の隠れた関係性に基づいて前記ホスト内でクラスタ化されたアラートを隠れた関係性でクラスタリングし、
前記ネットワークにおける接続イベント間の送信元及び宛先の関係性をモデル化するトポロジグラフに基づいて前記隠れた関係性でクラスタ化されたアラートをホスト間でクラスタリングし、
ユーザインフェースが、
ホスト間でクラスタ化されたアラートの信用度が、信用度の閾値レベルを超える場合、ホスト間でクラスタ化されたアラートを報告し、
前記アラートは個々のホストによって報告されたアラートであり、
隠れた関係性でクラスタリングすることが、閾値時間内の同じホストの同じユーザからのアラートを、共にクラスタリングすることを有する、方法。 - 前記プロセス距離が、前記プロセスグラフにおける同じホストの2つの異なるプロセス間の最短経路として計算される、請求項1に記載の方法。
- ホスト間でクラスタリングすることが、前記トポロジグラフにおけるそれぞれのホスト間のエッジを有し、閾値時間内で生じるアラートを、共にクラスタリングすることを有する、請求項1に記載の方法。
- 受信したアラートに基づいて前記プロセスグラフ及び前記トポロジグラフを構築することをさらに有する、請求項1に記載の方法。
- 前記プロセスグラフ及び前記トポロジグラフからの要素を、前記要素が閾値時間よりも古い最終接続時間値を有する場合に除去することをさらに含む、請求項4に記載の方法。
- ホスト間でクラスタ化されたアラートの信用度を、前記ホスト間でクラスタ化されたアラートで示される各プロセスの代表アラートのアラート信用度を合計することで計算することをさらに有する、請求項1に記載の方法。
- 各代表アラートのアラート信用度を、前記代表アラートを生成した検出器によって提供された異常スコアと前記検出器の重みとの積として計算することをさらに有する、請求項6に記載の方法。
- 前記検出器の前記重みが、前記検出器によって生成された誤アラートの数と前記検出器によって生成されたアラートの総数の比として計算される、請求項7に記載の方法。
- 異常イベントを報告するためのシステムであって、
プロセスレベルイベントの状態をモデル化するプロセスグラフに基づいて2つのアラート間のプロセス距離を求め、プロセス距離閾値未満であるプロセス距離を有するアラートを、ホスト内で共にクラスタリングすることで、アラートのセットをホスト内でクラスタリングを実行し、それぞれのクラスタにおけるアラート間の隠れた関係性に基づいて前記ホスト内でクラスタ化されたアラートに隠れた関係性でクラスタリングを実行し、前記ネットワークにおける接続イベント間の送信元及び宛先の関係性をモデル化するトポロジグラフに基づいて前記隠れた関係性でクラスタ化されたアラートにホスト間でクラスタリングを実行するように構成されたプロセッサを含むクラスタリングモジュールと、
ホスト間でクラスタ化されたアラートの信用度が、信用度の閾値レベルを超える場合、ホスト間でクラスタ化されたアラートを報告するように構成されたユーザインタフェースと、
を有し、
前記アラートは個々のホストによって報告されたアラートであり、
閾値時間内の同じホストの同じユーザからのアラートを、隠れた関係性で共にクラスタリングするようにさらに構成された、システム。 - 前記プロセス距離が、前記プロセスグラフにおける同じホストの2つの異なるプロセス間の最短経路として計算される、請求項9に記載のシステム。
- 前記クラスタリングモジュールが、前記トポロジグラフにおけるそれぞれのホスト間のエッジを有し、閾値時間内で生じるアラートを、ホスト間で共にクラスタ化するようにさらに構成された、請求項9に記載のシステム。
- 受信したアラートに基づいて前記プロセスグラフ及び前記トポロジグラフを構築するように構成されたブループリント更新モジュールをさらに有する、請求項9に記載のシステム。
- 前記ブループリント更新モジュールが、前記プロセスグラフ及び前記トポロジグラフからの要素を、前記要素が閾値時間よりも古い最終接続時間値を有する場合に除去するようにさらに構成される、請求項12に記載のシステム。
- 前記クラスタリングモジュールが、ホスト間でクラスタ化されたアラートの信用度を、前記ホスト間でクラスタ化されたアラートで示される各プロセスの代表アラートのアラート信用度を合計することで計算するようにさらに構成された、請求項9に記載のシステム。
- 前記クラスタリングモジュールが、各代表アラートのアラート信用度を、前記代表アラートを生成した検出器によって提供された異常スコアと前記検出器の重みとの積として計算するようにさらに構成された、請求項14に記載のシステム。
- 前記検出器の前記重みが、前記検出器によって生成された誤アラートの数と前記検出器によって生成されたアラートの総数の比として計算される、請求項15に記載のシステム。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201662317781P | 2016-04-04 | 2016-04-04 | |
US62/317,781 | 2016-04-04 | ||
US15/477,603 | 2017-04-03 | ||
US15/477,603 US10476749B2 (en) | 2016-04-04 | 2017-04-03 | Graph-based fusing of heterogeneous alerts |
PCT/US2017/025846 WO2017176676A1 (en) | 2016-04-04 | 2017-04-04 | Graph-based fusing of heterogeneous alerts |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019514315A JP2019514315A (ja) | 2019-05-30 |
JP6616045B2 true JP6616045B2 (ja) | 2019-12-04 |
Family
ID=60001443
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019502545A Active JP6616045B2 (ja) | 2016-04-04 | 2017-04-04 | 異種混在アラートのグラフベース結合 |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP6616045B2 (ja) |
WO (1) | WO2017176676A1 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11330007B2 (en) * | 2019-12-23 | 2022-05-10 | International Business Machines Corporation | Graphical temporal graph pattern editor |
CN111683086B (zh) * | 2020-06-05 | 2022-11-01 | 北京百度网讯科技有限公司 | 网络数据处理方法、装置、电子设备和存储介质 |
CN114760113B (zh) * | 2022-03-30 | 2024-02-23 | 深信服科技股份有限公司 | 一种异常告警检测方法、装置及电子设备和存储介质 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8098585B2 (en) * | 2008-05-21 | 2012-01-17 | Nec Laboratories America, Inc. | Ranking the importance of alerts for problem determination in large systems |
NL2002694C2 (en) * | 2009-04-01 | 2010-10-04 | Univ Twente | Method and system for alert classification in a computer network. |
US10977587B2 (en) * | 2010-04-01 | 2021-04-13 | Northrop Grumman Systems Corporation | System and method for providing impact modeling and prediction of attacks on cyber targets |
US9256828B2 (en) * | 2013-06-29 | 2016-02-09 | Huawei Technologies Co., Ltd. | Alarm correlation analysis method, apparatus and system |
-
2017
- 2017-04-04 JP JP2019502545A patent/JP6616045B2/ja active Active
- 2017-04-04 WO PCT/US2017/025846 patent/WO2017176676A1/en active Application Filing
Also Published As
Publication number | Publication date |
---|---|
JP2019514315A (ja) | 2019-05-30 |
WO2017176676A1 (en) | 2017-10-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10476749B2 (en) | Graph-based fusing of heterogeneous alerts | |
US20230080471A1 (en) | Endpoint agent and system | |
US11522882B2 (en) | Detection of adversary lateral movement in multi-domain IIOT environments | |
US11343268B2 (en) | Detection of network anomalies based on relationship graphs | |
US10728263B1 (en) | Analytic-based security monitoring system and method | |
US20240179153A1 (en) | System for monitoring and managing datacenters | |
US10476752B2 (en) | Blue print graphs for fusing of heterogeneous alerts | |
US10419466B2 (en) | Cyber security using a model of normal behavior for a group of entities | |
EP3107026B1 (en) | Event anomaly analysis and prediction | |
US20160308725A1 (en) | Integrated Community And Role Discovery In Enterprise Networks | |
US20220263860A1 (en) | Advanced cybersecurity threat hunting using behavioral and deep analytics | |
US10367838B2 (en) | Real-time detection of abnormal network connections in streaming data | |
US10476753B2 (en) | Behavior-based host modeling | |
JP2021529383A (ja) | データ来歴を介した自動脅威アラートトリアージ | |
Rahal et al. | A distributed architecture for DDoS prediction and bot detection | |
US10367842B2 (en) | Peer-based abnormal host detection for enterprise security systems | |
JP6616045B2 (ja) | 異種混在アラートのグラフベース結合 | |
CN113242267A (zh) | 一种基于类脑计算的态势感知方法 | |
Al-Utaibi et al. | Intrusion detection taxonomy and data preprocessing mechanisms | |
US10476754B2 (en) | Behavior-based community detection in enterprise information networks | |
JP2004336130A (ja) | ネットワーク状態監視システム及びプログラム | |
Jakhale | Design of anomaly packet detection framework by data mining algorithm for network flow | |
Najafi et al. | SIEMA: bringing advanced analytics to legacy security information and event management | |
WO2017176673A1 (en) | Blue print graphs for fusing of heterogeneous alerts | |
Kalutarage | Effective monitoring of slow suspicious activites on computer networks. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181115 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190625 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190904 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191029 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191106 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6616045 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |