JP7101272B2 - データ来歴を介した自動脅威アラートトリアージ - Google Patents
データ来歴を介した自動脅威アラートトリアージ Download PDFInfo
- Publication number
- JP7101272B2 JP7101272B2 JP2020571643A JP2020571643A JP7101272B2 JP 7101272 B2 JP7101272 B2 JP 7101272B2 JP 2020571643 A JP2020571643 A JP 2020571643A JP 2020571643 A JP2020571643 A JP 2020571643A JP 7101272 B2 JP7101272 B2 JP 7101272B2
- Authority
- JP
- Japan
- Prior art keywords
- alert
- event
- score
- events
- route
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Debugging And Monitoring (AREA)
Description
本出願は2018年7月31日に出願された仮出願第62/712,431号及び2019年7月10日に出願された実用特許出願第16/507,353号に対する優先権を主張するものであり、いずれもその全体が参照により本明細書に組み込まれている。
侵入検知システム(IDS)および/またはセキュリティ情報イベント管理ツール(SIEM)などの自動脅威検知システム(TDS)は、企業規模のアクティビティを監視し、不審アクティビティに対して脅威アラートを生成することによって、脅威(例えば、知能型の持続的脅威(APT)など)に対抗するために、発見的および単一イベント(例えば、異常プロセスおよび/または悪意のあるファイル作成)を使用することができる。そして、各脅威アラートは、対応する不審アクティビティが悪意のあるもの(例えば、真のアラート)であるか、または良性のもの(例えば、偽陽性または偽陰性アラート)であるかを決定するために、サイバーアナリストによって調査され得る。しかしながら、TDSは、多数の偽のアラートを含む多数のアラートを生成することができる。さらに、場合によっては、偽のアラートが真のアラートと同様に見えることがある。例えば、ランソムウェアとZIPプログラムの両方が短時間で多くのファイルを読み書きすることができるので、単一のプロセスの挙動のみをチェックするランサムウェア検出器は、ZIPプログラムをランサムウェアとして誤って分類する可能性がある。
すべて
Claims (11)
- データ来歴を介して自動脅威アラートトリアージを実施するためのコンピュータ実施方法であって、
アラートトリアージシステムによって、アラートのセットおよびセキュリティ来歴データを受信し、前記セキュリティ来歴データは、アラートイベントおよび/または前記アラートイベントの影響につながるイベントのチェーンを再構築することによってアラートコンテキストを提供するものであり、
アラートイベントのセットの少なくとも1つのアラートイベントに対応する前記セキュリティ来歴データから導出された、システムオブジェクトを表すノードと前記システムオブジェクトの間の因果関係を表すエッジとを含む少なくとも1つの依存性グラフを受信し、前記少なくとも1つの依存性グラフから依存性イベントのシーケンスを含む各々の経路に対応する経路異常スコアの伝播に基づいて前記少なくとも1つの依存性グラフのサブグラフを取得することを含めて、前記アラートトリアージシステムによって、前記少なくとも1つのアラートイベントに割り当てられたアラート異常スコアに基づいて、良性のアクティビティに対応する前記アラートイベントのセット内の偽のアラートイベントから、悪意のあるアクティビティに対応する前記アラートイベントのセット内の真のアラートイベントを分離し、
前記アラートトリアージシステムによって、前記分離に基づいて、トリアージされたアラートイベントのセットを自動的に生成することを含み、
前記真のアラートイベントを前記偽のアラートイベントから分離することは、
逆方向および順方向トレースを使用することによって、しきい値パラメータ長を有するすべての経路を探索することを含めて、前記少なくとも1つの依存性グラフから前記経路を識別し、
前記経路異常スコアを各々のパスに割り当てることをさらに含み、
前記経路異常スコアを割り当てることは、システムイベントの遷移確率と前記依存性グラフの前記ノードに対応するINスコアおよびOUTスコアとに基づいて経路規則性スコアを計算し、前記経路規則性スコアに基づいて前記経路異常スコアを計算することを、さらに含む、方法。 - 前記少なくとも1つの依存性グラフを受信することは、前記セキュリティ来歴データに基づいて前記少なくとも1つの依存性グラフを生成することをさらに含む、請求項1に記載の方法。
- 前記システムイベントの遷移確率は、複数のピアシステムからオペレーティングシステムイベントを収集することによってイベントの頻度を格納するイベント頻度データベースを使用することによって、イベント頻度に基づいて構築された遷移行列から取得される、請求項1に記載の方法。
- 前記経路異常スコアを割り当てることは、経路長スコアの偏りを低減するために、減衰係数に基づいて前記経路規則性スコアを正規化することによって、前記経路異常スコアを計算することをさらに含む、請求項1に記載の方法。
- 前記サブグラフを取得することは、経路異常スコアのペア間の差をマージしきい値と比較することを含めて、前記経路異常スコアに基づいて依存性経路マージ動作を実行することをさらに含む、請求項1に記載の方法。
- 請求項1乃至5のいずれか一項に記載の方法の各手順をコンピュータに実行させるためのプログラム。
- データ来歴を介して自動脅威アラートトリアージを実施するためのシステムであって、
プログラムコードを記憶するための記憶装置と、
記憶装置に動作可能に結合され、前記記憶装置に格納されたプログラムコードを実行して、
アラートのセットおよびセキュリティ来歴データを受信し、前記セキュリティ来歴データは、アラートイベントおよび/または前記アラートイベントの影響につながるイベントのチェーンを再構築することによってアラートコンテキストを提供するものであり、
アラートイベントのセットの少なくとも1つのアラートイベントに対応する前記セキュリティ来歴データから導出された、システムオブジェクトを表すノードと前記システムオブジェクトの間の因果関係を表すエッジとを含む少なくとも1つの依存性グラフを受信し、前記少なくとも1つの依存性グラフから依存性イベントのシーケンスを含む各々の経路に対応する経路異常スコアの伝播に基づいて前記少なくとも1つの依存性グラフのサブグラフを取得することによって、前記少なくとも1つのアラートイベントに割り当てられたアラート異常スコアに基づいて、良性のアクティビティに対応する前記アラートイベントのセット内の偽のアラートイベントから、悪意のあるアクティビティに対応する前記アラートイベントのセット内の真のアラートイベントを分離し、
前記分離に基づいて、トリアージされたアラートイベントのセットを自動的に生成するように構成された、少なくとも一つのプロセッサ装置と、を含み、
前記少なくとも一つのプロセッサ装置は、
逆方向および順方向トレースを使用することによって、しきい値パラメータ長を有するすべての経路を探索することを含めて、前記少なくとも1つの依存性グラフから前記経路を識別し、
システムイベントの遷移確率と前記依存性グラフの前記ノードに対応するINおよびOUTスコアとに基づいて経路規則性スコアを計算し、前記経路規則性スコアに基づいて前記経路異常スコアを計算することによって、前記経路異常スコアを各々のパスに割り当てるようにさらに構成される、システム。 - 前記少なくとも一つのプロセッサ装置は、前記セキュリティ来歴データに基づいて前記少なくとも1つの依存性グラフを生成することによって前記少なくとも1つの依存性グラフを受信するようにさらに構成される、請求項7に記載のシステム。
- 前記システムイベントの遷移確率は、複数のピアシステムからオペレーティングシステムイベントを収集することによってイベントの頻度を格納するイベント頻度データベースを使用することによって、イベント頻度に基づいて構築された遷移行列から取得される、請求項7に記載のシステム。
- 前記少なくとも一つのプロセッサ装置は、経路長スコアの偏りを低減するために、減衰係数に基づいて前記経路規則性スコアを正規化することによって前記経路異常スコアを計算することによって、前記経路異常スコアを割り当てるようにさらに構成される、請求項7に記載のシステム。
- 前記少なくとも1つのプロセッサ装置は、経路異常スコアのペア間の差をマージしきい値と比較することによって前記経路異常スコアに基づいて依存性経路マージ動作を実行することによって、前記サブグラフを取得するようにさらに構成される、請求項7に記載のシステム。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201862712431P | 2018-07-31 | 2018-07-31 | |
US62/712,431 | 2018-07-31 | ||
US16/507,353 | 2019-07-10 | ||
US16/507,353 US11194906B2 (en) | 2018-07-31 | 2019-07-10 | Automated threat alert triage via data provenance |
PCT/US2019/041514 WO2020028008A1 (en) | 2018-07-31 | 2019-07-12 | Automated threat alert triage via data provenance |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2021529383A JP2021529383A (ja) | 2021-10-28 |
JP7101272B2 true JP7101272B2 (ja) | 2022-07-14 |
Family
ID=69228092
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020571643A Active JP7101272B2 (ja) | 2018-07-31 | 2019-07-12 | データ来歴を介した自動脅威アラートトリアージ |
Country Status (3)
Country | Link |
---|---|
US (1) | US11194906B2 (ja) |
JP (1) | JP7101272B2 (ja) |
WO (1) | WO2020028008A1 (ja) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112448836B (zh) * | 2019-09-04 | 2023-09-15 | 中兴通讯股份有限公司 | 故障根因确定方法、装置、服务器和计算机可读介质 |
US11902318B2 (en) | 2019-10-10 | 2024-02-13 | Alliance For Sustainable Energy, Llc | Network visualization, intrusion detection, and network healing |
US11503047B2 (en) * | 2020-03-13 | 2022-11-15 | International Business Machines Corporation | Relationship-based conversion of cyber threat data into a narrative-like format |
CN111581643B (zh) * | 2020-05-07 | 2024-02-02 | 中国工商银行股份有限公司 | 渗透攻击评价方法和装置、以及电子设备和可读存储介质 |
US11704185B2 (en) * | 2020-07-14 | 2023-07-18 | Microsoft Technology Licensing, Llc | Machine learning-based techniques for providing focus to problematic compute resources represented via a dependency graph |
US11741220B2 (en) * | 2020-08-14 | 2023-08-29 | Nec Corporation | Mining and integrating program-level context information into low-level system provenance graphs |
US11386206B2 (en) * | 2020-09-21 | 2022-07-12 | Dell Products L.P. | Alerting unusual activities in an enterprise production environment |
US11893005B2 (en) * | 2021-01-08 | 2024-02-06 | Blackberry Limited | Anomaly detection based on an event tree |
US11663329B2 (en) | 2021-03-09 | 2023-05-30 | International Business Machines Corporation | Similarity analysis for automated disposition of security alerts |
US20230344860A1 (en) * | 2022-04-24 | 2023-10-26 | Microsoft Technology Licensing, Llc | Organization-level ransomware incrimination |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070209074A1 (en) | 2006-03-04 | 2007-09-06 | Coffman Thayne R | Intelligent intrusion detection system utilizing enhanced graph-matching of network activity with context data |
US20120323829A1 (en) | 2011-06-17 | 2012-12-20 | Microsoft Corporation | Graph-based classification based on file relationships |
JP2016528656A (ja) | 2013-09-10 | 2016-09-15 | シマンテック コーポレーションSymantec Corporation | イベント相関グラフを使用してコンピューティングシステムに対する攻撃を検出するためのシステム及び方法 |
WO2016147944A1 (ja) | 2015-03-18 | 2016-09-22 | 日本電信電話株式会社 | マルウェア感染端末の検出装置、マルウェア感染端末の検出システム、マルウェア感染端末の検出方法およびマルウェア感染端末の検出プログラム |
JP2018500640A (ja) | 2014-11-05 | 2018-01-11 | エヌイーシー ラボラトリーズ アメリカ インクNEC Laboratories America, Inc. | 特徴的なサブトレースマイニングを使用する、経時的グラフにおける挙動クエリ構築のための方法及びシステム |
JP2018022248A (ja) | 2016-08-01 | 2018-02-08 | 株式会社日立製作所 | ログ分析システム、ログ分析方法及びログ分析装置 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8191139B2 (en) * | 2003-12-18 | 2012-05-29 | Honeywell International Inc. | Intrusion detection report correlator and analyzer |
US7991726B2 (en) * | 2007-11-30 | 2011-08-02 | Bank Of America Corporation | Intrusion detection system alerts mechanism |
US9292695B1 (en) * | 2013-04-10 | 2016-03-22 | Gabriel Bassett | System and method for cyber security analysis and human behavior prediction |
CN112615818B (zh) * | 2015-03-24 | 2021-12-03 | 华为技术有限公司 | 基于sdn的ddos攻击防护方法、装置及系统 |
US9742788B2 (en) * | 2015-04-09 | 2017-08-22 | Accenture Global Services Limited | Event correlation across heterogeneous operations |
US10305917B2 (en) | 2015-04-16 | 2019-05-28 | Nec Corporation | Graph-based intrusion detection using process traces |
US9699205B2 (en) * | 2015-08-31 | 2017-07-04 | Splunk Inc. | Network security system |
US10873596B1 (en) * | 2016-07-31 | 2020-12-22 | Swimlane, Inc. | Cybersecurity alert, assessment, and remediation engine |
US10666666B1 (en) * | 2017-12-08 | 2020-05-26 | Logichub, Inc. | Security intelligence automation platform using flows |
-
2019
- 2019-07-10 US US16/507,353 patent/US11194906B2/en active Active
- 2019-07-12 WO PCT/US2019/041514 patent/WO2020028008A1/en active Application Filing
- 2019-07-12 JP JP2020571643A patent/JP7101272B2/ja active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070209074A1 (en) | 2006-03-04 | 2007-09-06 | Coffman Thayne R | Intelligent intrusion detection system utilizing enhanced graph-matching of network activity with context data |
US20120323829A1 (en) | 2011-06-17 | 2012-12-20 | Microsoft Corporation | Graph-based classification based on file relationships |
JP2016528656A (ja) | 2013-09-10 | 2016-09-15 | シマンテック コーポレーションSymantec Corporation | イベント相関グラフを使用してコンピューティングシステムに対する攻撃を検出するためのシステム及び方法 |
JP2018500640A (ja) | 2014-11-05 | 2018-01-11 | エヌイーシー ラボラトリーズ アメリカ インクNEC Laboratories America, Inc. | 特徴的なサブトレースマイニングを使用する、経時的グラフにおける挙動クエリ構築のための方法及びシステム |
WO2016147944A1 (ja) | 2015-03-18 | 2016-09-22 | 日本電信電話株式会社 | マルウェア感染端末の検出装置、マルウェア感染端末の検出システム、マルウェア感染端末の検出方法およびマルウェア感染端末の検出プログラム |
JP2018022248A (ja) | 2016-08-01 | 2018-02-08 | 株式会社日立製作所 | ログ分析システム、ログ分析方法及びログ分析装置 |
Also Published As
Publication number | Publication date |
---|---|
WO2020028008A1 (en) | 2020-02-06 |
JP2021529383A (ja) | 2021-10-28 |
US11194906B2 (en) | 2021-12-07 |
US20200042700A1 (en) | 2020-02-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7101272B2 (ja) | データ来歴を介した自動脅威アラートトリアージ | |
EP3287927B1 (en) | Non-transitory computer-readable recording medium storing cyber attack analysis support program, cyber attack analysis support method, and cyber attack analysis support device | |
CN108494810B (zh) | 面向攻击的网络安全态势预测方法、装置及系统 | |
US11218510B2 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
US9912689B2 (en) | Anonymized network data collection and network threat assessment and monitoring systems and methods | |
US8028061B2 (en) | Methods, systems, and computer program products extracting network behavioral metrics and tracking network behavioral changes | |
US10728264B2 (en) | Characterizing behavior anomaly analysis performance based on threat intelligence | |
CN109842628A (zh) | 一种异常行为检测方法及装置 | |
US11586609B2 (en) | Abnormal event analysis | |
US10915625B2 (en) | Graph model for alert interpretation in enterprise security system | |
US20230129144A1 (en) | Malicious enterprise behavior detection tool | |
US20210136120A1 (en) | Universal computing asset registry | |
US11321066B2 (en) | Securing software installation through deep graph learning | |
CN113242267A (zh) | 一种基于类脑计算的态势感知方法 | |
US11055631B2 (en) | Automated meta parameter search for invariant based anomaly detectors in log analytics | |
JP2021530807A (ja) | コンピュータセキュリティインシデントを報告するためのシステムおよび方法 | |
RU148692U1 (ru) | Система мониторинга событий компьютерной безопасности | |
RU180789U1 (ru) | Устройство аудита информационной безопасности в автоматизированных системах | |
JP6616045B2 (ja) | 異種混在アラートのグラフベース結合 | |
Naukudkar et al. | Enhancing performance of security log analysis using correlation-prediction technique | |
CN111651753A (zh) | 用户行为分析系统及方法 | |
CN116738413B (zh) | 基于溯源图的反向传播攻击调查的方法、系统及装置 | |
US20230275908A1 (en) | Thumbprinting security incidents via graph embeddings | |
US20230246935A1 (en) | Detecting behavioral change of iot devices using novelty detection based behavior traffic modeling | |
Muse et al. | Online Log Analysis (OLA) for Malicious User Activities |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201222 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220208 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220426 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220607 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220704 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7101272 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |