KR20140059227A - 이벤트들의 시퀀스에서의 시간적 위치에 따른 기준 베이스라인에 기초하여 이벤트들의 평가를 위한 시스템 및 방법 - Google Patents

이벤트들의 시퀀스에서의 시간적 위치에 따른 기준 베이스라인에 기초하여 이벤트들의 평가를 위한 시스템 및 방법 Download PDF

Info

Publication number
KR20140059227A
KR20140059227A KR1020147006262A KR20147006262A KR20140059227A KR 20140059227 A KR20140059227 A KR 20140059227A KR 1020147006262 A KR1020147006262 A KR 1020147006262A KR 20147006262 A KR20147006262 A KR 20147006262A KR 20140059227 A KR20140059227 A KR 20140059227A
Authority
KR
South Korea
Prior art keywords
event
events
baseline
sequence
user
Prior art date
Application number
KR1020147006262A
Other languages
English (en)
Inventor
아누라그 싱글라
로버트 블록
Original Assignee
휴렛-팩커드 디벨롭먼트 컴퍼니, 엘.피.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 휴렛-팩커드 디벨롭먼트 컴퍼니, 엘.피. filed Critical 휴렛-팩커드 디벨롭먼트 컴퍼니, 엘.피.
Publication of KR20140059227A publication Critical patent/KR20140059227A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3006Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3065Monitoring arrangements determined by the means or processing involved in reporting the monitored data
    • G06F11/3072Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/067Generation of reports using time frame reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2125Just-in-time application of countermeasures, e.g., on-the-fly decryption, just-in-time obfuscation or de-obfuscation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2151Time stamp

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Quality & Reliability (AREA)
  • Mathematical Physics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Debugging And Monitoring (AREA)

Abstract

이벤트들의 평가를 위한 시스템 및 방법이 제공된다. 사용자-특정 기준 베이스라인은 시간적-순서의 이벤트들의 시퀀스들의 세트를 포함한다. 현재 세션에서 이벤트들의 시퀀스 중 하나의 이벤트가 수신된다. 이벤트가 그 이벤트의 속성 및 현재 세션의 이벤트들의 시퀀스 내의 이벤트의 시간적 위치를 이용하여 기준 베이스라인과 적어도 부분적으로 정합하는지에 대해 결정된다.

Description

이벤트들의 시퀀스에서의 시간적 위치에 따른 기준 베이스라인에 기초하여 이벤트들의 평가를 위한 시스템 및 방법{SYSTEMS AND METHODS FOR EVALUATION OF EVENTS BASED ON A REFERENCE BASELINE ACCORDING TO TEMPORAL POSITION IN A SEQUENCE OF EVENTS}
상호 참조
본 출원은 2011년 9월 9일에 출원되고 발명의 명칭이 "베이스라인으로부터의 편차에 기초하나의 이벤트들의 규칙 기반 분석"인 공동 계류중인 미국 특허 가출원 번호 61/532,968호를 우선권 주장한다(대리인 문서 번호 82844890, 이 출원은 모든 목적을 위해 이 문서에서 완전히 설명된 것처럼 참조로서 통합된다). 이 출원은 2008년 10월 1일에 출원되고 발명의 명칭이 "네트워크 시스템에서의 패턴 발견"인 미국 특허 번호 7,984,502호 전체를 참조로서 통합한다.
컴퓨터 네트워크 및 시스템은 현대 사업에 필수불가결한 도구가 되었다. 오늘날, 상상할 수 있는 모든 가상의 대상에 대하여 테라비트의 정보가 전 세계에 걸쳐 사용자들에 의해 그러한 네트워크들에 저장되고 액세스되고 있다. 이러한 정보의 대부분은, 어느 정도, 비밀이 있고 그의 보호가 바람직하다. 사기 검출 시스템(fraud detection system; FDS)을 포함하는 침입 검출 시스템(intrusion detection system; IDS)은 정보 및 자원의 비인가 사용을 검출하고 비인가자 및/또는 디바이스에 의한 컴퓨터 네트워크 및 그에 저장된 정보를 액세스하여 얻고자하는 시도를 적발하는데 도움을 주도록 개발되었다.
침입을 검출하는 것에 대해 인식 기반 접근법 및 행위 기반 접근법의 두 개의 상보적인 접근법이 있다. 오늘날 사용되는 많은 IDS 도구는 인식 기반이다. 인식 기반 침입 검출 기술은 캡처된 데이터를 기존 기술에 관한 정보와 비교하여 취약성을 이용하는 것을 수반한다. 정합이 검출되는 경우, 알람이 트리거된다. 한편, 행위 기반 침입 검출 기술은 시스템 또는 사용자의 정상적인 또는 예상되는 행위으로부터의 편차를 관찰함으로써 침입을 알아채도록 시도한다. 의심되는 편차가 관찰되면, 알람이 생성된다.
전통적인 보안 시스템은 이벤트들을 상관시키는 규칙들을 이용한다. 규칙들을 이용하여 사용자 활동 이벤트들을 분석하고 상관시켜 침입, 특히, 정상으로부터 편차가 있는 행위 패턴을 식별한다. 이들 메커니즘이 많은 상관 사용 경우들을 지원하는데 충분히 강력하지만, 복잡한 사기성 공격과 같은 일부 침입은 검출하지 못하거나 또는 상당히 복잡한 규칙들의 세트를 특정한 후 검출될 수 있다.
본 발명은 첨부 도면을 참조함으로써 더 잘 이해되고 다수의 특징 및 잇점이 자명해 질 수 있다.
도 1은 실시예에 따른 네트워크 보안 시스템의 위상 블록도이다.
도 2는 실시예에 따른 기준 베이스라인의 생성을 위한 프로세스 흐름도이다.
도 3은 실시예에 따라 기준 베이스라인으로부터의 편차에 기초하여 사용자 활동 이벤트들의 분석을 위한 프로세스 흐름도이다.
도 4는 실시예에 따라 응답 액션을 트리거하기 위한 프로세스 흐름도이다.
도 5는 실시예가 구현될 수 있는 컴퓨터 시스템을 도시한다.
보안 시스템은 잠재적인 수천개의 소스로부터 이벤트들을 수신한다. 이벤트들은 개별 디바이스들에 의해 식별되지 않을 보안 관련 지능을 제공하기 위해 규칙을 이용하여 교차 상관(cross-correlated)될 수 있다. 일반적으로, 상관은 상이한 소스들로부터의 상이하나의 이벤트들이, 상관 규칙들에 의해 정의되는 바와 같은, 공통 사건과 연관되는 것을 가리킬 수 있다. 특히, 상관은, 예를 들면, 이벤트들 중에서 관계들을 발견하고, 이들 관계들의 중요도를 추론하고, 이벤트들과 메타-이벤트들에 우선순위를 부여하고, 액션을 취하기 위한 프레임워크를 제공하는 것을 포함한다.
여기서 사용되는 바와 같이, 규칙 또는 "상관 규칙"은 절차이고, 수집, 그룹화, 및 트리거와 같은 다른 구성과 결합될 수 있는 단순한 또는 복잡한 조건들의 세트를 포함한다. 규칙은, 특정 조건들 및 패턴들에 대한 입력 이벤트들을 평가하기 위해; 규칙 상관뿐만 아니라 활동 리스트들, 세션 리스트들, 및 위협 레벨 계산들과 같은 다른 구성들을 이용하여 상이하나의 이벤트들로부터의 정보를 상관시키기 위해; 이벤트들의 중요도에 관한 의미를 추론하기 위해; 및 이벤트들에 응답하여 액션을 개시하기 위해 등과 같은 많은 방식에서 사용되고 있다.
환언하면, 규칙들은 이벤트 스트림들이 평가되는 조건들을 나타낸다. 평가의 결과는 이벤트 스트림들에서 의미를 도출하기 위한 정보를 제공한다. 정합이 결정되는 경우, 규칙은 응답으로 액션을 개시할 수 있다.
조건들에 부가하여, 규칙은 임계치(즉, 발생 횟수, 누계), 시간 지속기간, 결합 기준, 및/또는 수집 기준을 더 포함할 수 있다. 예를 들면:
(동일한 소스 IP 어드레스로부터) (1분) 내에 (10번의) (로그인 시도 실패)가 발생하면, (액션).
이 규칙을 위해, 조건은 "로그인 시도 실패"이고, 발생 횟수의 임계치는 "10"이고, 시간 지속 기간은 "1분"이며, 수집 기준은 "동일한 소스 IP 어드레스로부터"이다.
규칙 조건은 다양한 데이터 모델드를 참조할 수 있다. 예를 들면, 규칙 조건은 네트워크의 특성들 또는 필드들 및, 네트워크 상의 노드들 및/또는 머신들을 나타내는 자산 모델을 참조할 수 있다. 특성들은 개방 포트들, 운영 시스템, 취약성, 사업 분류 등을 포함할 수 있다.
규칙 조건은 또한 활동 리스트 및 세션 리스트와 같은 데이터 리스트를 참조할 수 있다. 세션 리스트들은 사용자들을 네트워크 상의 그들의 이벤트 트래픽과 연관시킨다. 보다 상세하게, 세션 리스트는 사용자 세션들에 연관된 시간 데이터(예를 들면, DHCP 세션 정보, VPN 세션 정보, 그들의 역할에 대한 사용자들로부터의 매핑, 및 그들 속성이 유효한 대응하는 시구간)를 유지하는 구성가능한 테이블이다.
활동 리스트는 이벤트들의 특정 필드들을 수집하는 구성가능한 테이블이다. 활동 리스트들은 시구간(예를 들면, 요일, 주 등)에 걸쳐 특정 이벤트들에 대한 트래킹을 제공한다. 수집된 데이터는 상관을 위해 이용가능해 질 수 있다. 예를 들면, 데이터 리스트는 대금 청구 주기 동안 특정 신용 카드를 이용하여 이루어진 구매 누계를 유지할 수 있다. 누계는, 예를 들면, 신용 카드 소지자가 신용 한계에 도달하는 것을 경고하기 위해 규칙에 의해 참조된다.
침입 검출의 맥락에서, 시간적-순서의 사용자 액션 이벤트들의 시퀀스 및 이들 이벤트들 각각 간의 시간 차이는 비정상과 비정상 행위를 식별하는데 관련이 있다. 보다 상세하게, 사용자의 활동과 그 사용자의 베이스라인 행위의 비교는 사기 검출을 위해 시간적 비정상 검출과 관련이 있다.
그러나, 규칙들은 일반적으로 성격상 정적이고 따라서 네트워크 및/또는 시스템 내의 모든 사용자들 중에서 활동들의 패턴들에서의 차이를 캡처하는데에는 충분하지 않다. 더욱이, 전통적인 규칙 엔진은, 전형적으로 정합하는 필드 값들에 기초하여 상이하나의 이벤트들을 연관시키는 단순한 결합 조건들, 및 임의 시구간에서 발생할 필요가 있는 이벤트들의 수를 특정하는 임계치 조건들을 이용하여 이벤트들을 상관시키는 규칙들의 명세가 가능하다. 이들 메커니즘들이 많은 표준 상관 사용 경우들을 지원하는데 충분히 강력하지만, 복잡한 사기 공격의 검출은 종종 이 방식에서 용이하게 특정될 수 있는 보다 복잡한 조건들을 요구한다.
더욱이, 복잡한 정적인 규칙들의 세트를 이용하여, 특정 이벤트 시퀀스 내에서 이벤트들의 시퀀스를 캡처하고 누락된 이벤트들을 검출할 수 있다. 두 개 이상의 이벤트들을 갖는 시퀀스에 대해, 모든 가능한 시퀀스 편차들을 검출하는 것은, 예를 들면, 상태 머신을 구현하기 위한 다른 규칙들을 연결하는 규칙들을 포함하여 기하급수적인 규칙들의 수를 생성하는 것을 요구할 것이다.
일 실시예에 따라, 웹 기반 금융 거래(계정 액세스) 행위의 비정상 및 사용자 액션 이벤트들의 다른 유형을 검출하기 위한 프레임워크가 개시된다. 사용자 특정 베이스라인은 시간적-순서의 이벤트들의 시퀀스의 식별된 패턴에 기초하여 및/또는 시퀀스 내의 이벤트들 각각 간의 시간 차이에 기초하여 결정된다. 규칙들은 온라인 세션의 특성들에 기초하여 온라인 거래가 사기성이 있을 것을 같은 때를 검출하는데 사용될 수 있다. 온라인 계정 또는 다른 세션(예를 들면, 웹 세션)과의 사용자의 상호작용에 대응하는 이벤트들이 사용자 특정 베이스라인에 대해 비교된다. 사용자의 베이스라인 또는 예상되는 행위으로부터의 상당한 편차는 잠재적 사기로서 플래깅될(flagged) 수 있다. 더욱이, 사기/의심이 가는 이벤트들은 보안 정보와 상관되어, 보안 시스템의 이전의 다른 섹션들로 태핑-인(tapping-in)함으로써 시스템의 보다 완전한 보기를 제공할 수 있다.
온라인 금융 거래 사기의 경우에, 검출은 사용자의 온라인 세션의 분석에 기초한다. 특정 사용자에 대해, 정상적인 온라인 세션은 특정 순서로 일곱개의 웹 페이지, 즉, 로그인 페이지, 홈 페이지, 계정 잔액 페이지, 자금 이체 페이지 방문을 수반할 수 있다. 이 예에서, 자금 이체 거래는 약 5분 내에 완료된다. 특정 순간에, 이 사용자가 이 거래를 위해 일반적인 단계를 건너뛰거나(즉, 계정 잔액 페이지를 네비게이트하지 않거나), 예상된 순서를 벗어난 단계들을 실행하거나, 세션 동안 거래를 완료하기 전에 단순히 20초를 소비하거나, 또는 예상된 단계들 간의 시간 간격이 그 사용자의 정상적인 행위으로부터 상당히 편차가 있다면, 이러한 변칙은 사기성 액세스를 나타낼 수 있다.
일 실시예에서, 이벤트들의 평가를 위한 시스템 및 방법이 제공된다. 시간적-순서가 있는 이벤트들의 시퀀스들의 세트를 포함하는 사용자 특정 기준 베이스라인이 생성된다. 현재 세션에서 이벤트들의 시퀀스 중 하나의 이벤트가 수신된다. 이벤트가 그 이벤트의 속성 및 현재 세션의 이벤트들의 시퀀스들 내의 이벤트의 시간적 위치를 이용하여 기준 베이스라인과 적어도 부분적으로 정합하는지에 대한 결정이 이루어진다. 규칙의 조건이 분석되고, 상관 이벤트가 생성된다.
도 1은 실시예에 따른 네트워크 보안 시스템(100)의 위상 블록도이다. 시스템(100)은 에이전트(12a-n), 적어도 하나의 관리자(14) 및 (브라우저 기반 버전을 포함할 수 있는) 적어도 하나의 콘솔(16)를 포함한다. 일부 실시예에서, 에이전트, 관리자 및/또는 콘솔은 단일 플랫폼에 결합되거나, (도시된 예에서와 같이) 두 개, 세 개 또는 그 이상의 플랫폼으로 분산될 수 있다. 다중 계층(multi-tier) 아키텍처의 사용은 컴퓨터 네트워크 또는 시스템이 성장함에 따라 확장성을 지원한다.
에이전트(12a-n)는 효율적인, 실시간(또는 거의 실시간) 로컬 이벤트 데이터 캡처 및 다양한 네트워크 보안 디바이스 및/또는 애플리케이션으로부터 필터링을 제공하는, 머신 판독가능 명령어인 소프트웨어 프로그램이다. 보안 이벤트들의 전형적인 소스는, 방화벽, 침입 검출 시스템 및 운영 시스템 로그와 같은 공통 네트워크 보안 디바이스이다. 에이전트(12a-n)는 이벤트 로그 또는 메시지를 생산하는 임의의 소스로부터의 이벤트를 수집할 수 있고, 네이티브 디바이스에서, 네트워크 내의 통합 포인트에서, 및/또는 SNMP(simple network management protocol) 트랩을 통해 동작할 수 있다.
에이전트(12a-n)는 수동 및 자동 프로세스들 모두를 통해 그리고 관련 구성 파일들을 통해 구성가능하다. 각각의 에이전트(12)는 정규화 컴포넌트, 시간 정정 컴포넌트, 수집 컴포넌트, 배칭(batching) 컴포넌트, 리졸버(resolver) 컴포넌트, 이송 컴포넌트 및/또는 부가 컴포넌트를 포함하는 적어도 하나의 소프트웨어 모듈을 포함할 수 있다. 이들 컴포넌트는 구성 파일 내의 적절한 커맨드를 통해 활성화 및/또는 비활성화될 수 있다.
관리자(14)는, 규칙 엔진(18) 및 중앙 이벤트 데이터베이스(20)를 이용하여, 에이전트들로부터 수신된 이벤트들을 추가로 통합, 필터링 및 교차 상관시키는 서버 기반 컴포넌트를 포함할 수 있다. 관리자(14)의 한 역할은 실시간 및 이력 이벤트 데이터 모두를 캡처하고 저장하여, 완전한 기업규모의 보안 활동 픽처를 (데이터베이스 관리자(22)를 통해) 구성하는 것이다. 관리자(14)는 또한, 중앙 관리, (적어도 하나의 통보기(24)를 통한) 통보, 및 보고뿐만 아니라, 인식 베이스(28) 및 케이스 관리 워크플로우를 제공한다. 관리자(14)는 임의의 컴퓨터 하드웨어 플랫폼 상에 배치될 수 있고, 일 실시예는 데이터베이스 관리 시스템을 이용하여 이벤트 데이터 저장 컴포넌트를 구현한다. 관리자(14)와 에이전트(12a-n) 간의 통신은 (예를 들면, 관리자(14)가 플랫폼 호스팅 에이전트(12a-n)로 커맨드를 전송할 수 있도록) 양방향이고 암호화될 수 있다. 몇몇 설치에서, 관리자(14)는 다수의 에이전트(12a-n)에 대한 집중기로서 동작할 수 있고 정보를 (예를 들면, 회사 본부에 배치된) 다른 관리자에게 전달할 수 있다.
관리자(14)는 또한 적어도 하나의 이벤트 관리자(26)를 포함하며, 이 관리자는 에이전트(12a-n) 및/또는 다른 관리자로부터 전송된 이벤트 데이터 메시지를 수신하고, 다른 관리자로부터의 이벤트 요약 데이터를 수신하는 것을 담당한다. 이벤트 관리자(26)는 또한 수정 이벤트 및 감사 이벤트와 같은 이벤트 데이터 메시지를 생성하는 것도 담당한다. 에이전트(12a-n)와의 양방향 통신이 구현되는 곳에서, 이벤트 관리자(26)를 이용하여 메시지를 에이전트(12a-n)로 전송할 수 있다. 에이전트-관리자 통신에 대해 암호화가 사용되면, 이벤트 관리자(26)는 에이전트(12a-n)로부터 수신된 메시지들을 암호해독하고 에이전트(12a-n)로 전송되는 임의의 메시지들을 암호화하는 것을 담당한다.
이벤트 데이터 메시지가 수신되었으면, 이벤트 데이터는 규칙 엔진(18)으로 전달된다. 규칙 엔진(18)은 규칙 정합을 식별하기 위해 이벤트 데이터를 상관 규칙과 교차 상관시키도록 구성된다.
규칙에 의해 트리거된 액션은 지정 목적지로 (예를 들면, 통보기(24)를 통해) 전송된 통보 (예를 들면, 보안 분석자에게 콘솔(16), 이베일 메시지, 전화 호출, 셀룰러 전화, 음성 사서함 및/또는 페이저 번호 또는 어드레스를 통해, 또는 팩시밀리 기계 등과 같은 또 다른 통신 디바이스 및/또는 어드레스로의 메시지에 의해 통보될 수 있다) 및/또는 (예를 들며, 에이전트(12) 등을 통한) 네트워크 디바이스로의 명령어를 포함할 수 있다.
콘솔(16)은, 보안 전문가가 하루하루 관리 및 이벤트 모니터링, 규칙 생성(rule authoring), 사고 검사 및 보고와 같은 운영 작업을 가능하게 하는 컴퓨터 (예를 들면, 워크스테이션) 기반 애플리케이션이다. 하나의 관리자(14)가 다수의 콘솔(16)을 지원할 수 있다.
몇몇 실시예에서, 콘솔(16)의 브라우저 기반 버전을 사용하여, 보안 이벤트, 인식 베이스 기사, 보고서, 통보 및 케이스로의 액세스를 제공할 수 있다. 즉, 관리자(114)는 콘솔(16)의 기능 중 일부 또는 전부를 제공하도록 개인 또는 핸드헬드 컴퓨터(콘솔(16)을 대신함) 상에 호스팅되는 웹 브라우저를 통해 액세스가능한 웹 서버 컴포넌트를 포함할 수 있다. 브라우저 액세스는 콘솔(16)로부터 떨어져 있는 보안 전문가 및 시간제 사용자에게 특히 유용하다. 콘솔(16)과 관리자(14) 간의 통신은 양방향이고 암호화될 수 있다.
전술한 아키텍처를 통해, 중압 집중화 또는 분산 환경이 지원될 수 있다. 이것은 조직이 시스템(100)의 단일 인스턴스를 구현하고 사용자들을 나누기 위해 액세스 제어 리스트를 사용하고자 원할 수 있기 때문에 유용하다. 대안으로, 조직은 다수의 그룹 각각에 대해 개별 시스템(100)을 배치하고 "마스터" 레벨에서 결과를 통합하기 위해 선택할 수 있다. 그러한 배치는 또한, 지리적으로 분산된 피어 그룹이 서로 표준 사업 시간에 현재 일하고 있는 그룹에 감독 책임을 이관함으로써 협력하는 "팔로워-더-선(follow-the-sun)" 배치를 달성할 수 있다. 시스템(100)은 또한, 사업부가 분리하여 일하고 중앙 관리 기능에 롤업(roll-up)을 지원하는 기업 서열에 배치될 수도 있다.
네트워크 보안 시스템(100)은 또한 비정상 검출 능력을 포함한다. 일 실시예에서, 관리자(14)는 또한 기초 베이스라인 모듈(31a), 기준 베이스라인 모듈(31b), 및 로컬 메모리(32)를 포함한다.
기초 베이스라인 모듈(31a)은, 이벤트 관리자(26)를 통한 적어도 하나의 에이전트(12a-n)로부터, 데이터베이스 관리자(22)를 통하나의 이벤트 데이터베이스(20)로부터, 또는 이벤트 관리자(26)로부터의 보안 이벤트들과 같은 이벤트들의 세트를 수신하도록 구성된다. 기초 베이스라인 모듈(31a)은 또하나의 이벤트에 제공되는 바에 따라 사용자 ID 및 세션 ID를 각각 이용하여 사용자마다 그리고 세션마다 이벤트들을 그룹화하도록 구성된다.
세션에 의한 그룹화는, 예를 들면, 이벤트의 세션 식별자(ID)(예를 들면, 웹 세션 식별자)에 따라 수행될 수 있다. 또 다른 실시예에서, 세션 기반 그룹화는 이벤트의 타임스탬프를 검사하고, 이벤트들의 세트가 세트 내의 이벤트들의 타임스탬프들이 시간 근접도에서 밀접한 동일한 세션의 일부라고 결정함으로써 수행될 수 있다. 환언하면, 이벤트들은 이벤트들(예를 들면, 거래) 중 시간 근접도에 의해 그룹화된다.
기초 베이스라인 모듈(31a)은 또한 세션 동안 취해진 사용자 액션들의 시퀀스 및 그들 액션들 간의 시간 차이를 식별하고, 베이스라인을 생성하도록 구성된다. 기초 베이스라인 모듈(31)은 데이터 리스트 모듈(30)의 활동 리스트 및/또는 세션 리스트와 같은 데이터 리스트에 기초 베이스라인을 저장하도록 구성된다.
기준 베이스라인 모듈(31b)은 수신된 이벤트들의 시퀀스를 분석하여 비정상을 식별하는 기준 베이스라인을 생성하도록 구성된다. 기준 베이스라인 모듈(31b)은 기초 베이스라인을 이용하여 사용자 마다의 이력 기록을 구성하는 시간적-순서의 이벤트들의 시퀀스들의 공통 및 개별 패턴들을 식별하도록 더 구성된다. 더욱이, 이벤트들의 개별 시퀀스에서 이벤트들 각각 간의 시간 차이가 결정된다.
기준 베이스라인 모듈(31b)은 또한, 특정 이벤트 플로우에 대해 모든 세션에 걸쳐 개별 이벤트들의 발생 횟수를 포함하는, 이벤트 플로우에 관한 통계를 계산하도록 구성된다. 베이스라인 모듈(31a) 및 기준 베이스라인 모듈(31b)은 도시된 바와 같이 스탠드얼론일 수 있거나, 또는 규칙 엔진(18)과 같은 다른 컴포넌트와 통합될 수 있다.
규칙 엔진(18)은, 이벤트 관리자(26)를 통한 에이전트(12a-n) 중 적어도 하나로부터, 데이터베이스 관리자(22)를 통하나의 이벤트 데이터베이스(20)로부터, 또는 이벤트 관리자(26)로부터 보안 이벤트들과 같은 이벤트들의 세트를 수신하도록 구성된다. 더욱이, 규칙 엔진(18)은 입력되는 이벤트들의 시퀀스 및 현재 세션의 (시간 차이를 포함하는) 시간 데이터를 특정 사용자와 연관된 기준 베이스라인에 비교하고, 현재 세션 정보가 기준 베이스라인과 정합하지 않는 곳에서 수행 개시 규칙을 개시한다.
네트워크 보안 시스템(100)은 또한 데이터 리스트 능력을 포함한다. 일 실시예에서, 관리자(14)는 또한 데이터 리스트 모듈(30) 및 로컬 메모리(32)를 포함한다. 데이터 리스트 모듈(30)은 세션 리스트 및/또는 활동 리스트를 유지하도록 구성된다. 더욱이, 데이터 리스트 모듈(30)은, 이벤트 관리자(26)를 통한 에이전트(12a-n) 중 적어도 하나로부터 또는 이벤트 관리자(26) 자체로부터의 보안 이벤트들과 같은 이벤트들의 세트를 수신하고, 및/또는 기초 베이스라인 모듈(31a) 및 기준 베이스라인 모듈(31b) 중 적어도 하나로부터의 사용자 특정 베이스라인을 수신하도록 구성된다. 세션 리스트 및/또는 활동 리스트는 로컬 메모리(32)의 테이블(즉, 마스터 테이블 및/또는 로컬 테이블)에 유지될 수 있다. 일 실시예에서, 데이터 리스트 테이블 내의 각각의 기록은 사용자 특정, 세션 특정 이벤트 플로우를 나타낸다. 예를 들면, 사용자가 금융 거래의 다중 세션에 참여하고 있다면, 단일 사용자에 대해 다수의 이벤트 플로우가 존재할 수 있다.
로컬 메모리(32)는 임의의 적절한 저장 매체일 수 있고, 관리자(14) 자체 상에, 관리자(14)를 포함하는 클러스터에, 또는 관리자(14)에 액세스할 수 있는 네트워크 노드 상에 위치될 수 있다.
베이스라인 생성
금융 거래 중에 사기를 포함하는 잠재적인 침입의 검출은, 사용자의 사업 패턴 또는 이력(예를 들면, 정상 또는 비정상) 행위의 패턴을 나타내는 기준 베이스라인의 생성에 의해 용이해진다. 기준 베이스라인에서의 이들 패턴을 사용하여 사용자의 행위에서의 비정상을 검출한다.
도 2는 실시예에 따른 기준 베이스라인의 생성을 위한 프로세스 흐름도이다. 도시된 프로세스 플로우(200)는 실행가능 명령어의 시퀀스들의 실행에 의해 수행될 수 있다. 또 다른 실시예에서, 프로세스 플로우(200)의 다양한 부분들은 네트워크 보안 시스템의 컴포넌트, 하드웨어 로직, 예를 들면, ASIC(Application-Specific Integrated Circuit) 등의 배치에 의해 수행된다. 예를 들면, 프로세스 플로우(200)의 블록들은 네트워크 보안 시스템의 기초 베이스라인 모듈에서 실행가능 명령어들의 시퀀스들의 실행에 의해 수행될 수 있다. 기초 베이스라인 모듈은, 예를 들면, 네트워크 보안 시스템 내의 관리자에 배치될 수 있다. 더욱이, 프로세스 플로우(200)의 블록들은 네트워크 보안 시스템의 기준 베이스라인 모듈에서 실행가능 명령어들의 시퀀스들의 실행에 의해 수행될 수 있다. 기준 베이스라인 모듈은, 예를 들면, 네트워크 보안 시스템 내의 관리자에 배치될 수 있다.
네트워크 보안 시스템은 보안 이벤트 및 애플리케이션 이벤트와 같은 이벤트를 모니터링하고 분석한다. 웹 기반 금융 거래의 맥락에서, 애플리케이션 이벤트는 사용자 활동 이벤트/금융 거래 이벤트, 예를 들면, 웹 클릭을 통해 은행 잔고를 검토하고, 사용자의 신용 카드 계정의 입출금의 자금 이체를 개시하고, 수취인을 부가하고, 계정 정보를 갱신하는 등의, 예를 들면, 온라인 금융 시스템을 통한 사용자의 네비게이션을 포함할 수 있다. 일 실시예에서, 특정 사용자에 의해 그리고 특정 세션(예를 들면, 웹 세션, 로그인 세션 등) 동안 금융 시스템을 통한 각각의 페이지별 순회(pagy-by-page traversal)가 이벤트 플로우에서 그룹화된다. 따라서, 이벤트 플로우는 사용자마다 그리고 세션마다에 대하나의 이벤트들의 수집물이다. 이벤트의 사용자 및/또는 세션 정보는 이벤트 내의 필드들로부터 결정될 수 있다. 이벤트들은 보안 이벤트, 애플리케이션 이벤트(예를 들면, 금융 거래 이벤트), 및 보안 시스템이 감독하고 있는 시스템에 배치된 에이전트들에 의해 생성된 다른 유형의 이벤트를 포함한다.
단계 210에서, 기초 베이스라인이 결정된다. 여기서 사용되는 바와 같이, 기초 베이스라인은 특정 사용자와 연관된 이력 이벤트 플로우들 및 시간 차이 정보의 세트이다. 기초 베이스라인은 다수의 세션의 이벤트 플로우들을 포함할 수 있다. 이들 이벤트 플로우들은 사용자와 연관된 이력 기록을 구성한다. 일 실시예에서, 이벤트 플로우는 사용자마다 그리고 세션마다 시간적-순서의 이벤트들의 시퀀스로 조직화된다. 더욱이, 시퀀스 내의 이벤트들 각각 간의 시간 차이 및/또는 세션 내에서 소비된 전체 시간이 각각의 이벤트 플로우에 대해 결정된다. 하나의 이벤트와 그 다음의 순차 이벤트 간의 시간 차이는 하나의 이벤트의 발생 시간과 그 다음 순차 이벤트의 발생 시간 간의 차이를 취함으로써 결정될 수 있다.
아래의 테이블 1은, 데이터 리스트의 이벤트 테이블 내에 포함될 수 있는 바와 같이, 사용자 1과 연관된 부분 기초 베이스라인의 예이다.
<테이블 1>
Figure pct00001
이벤트 플로우는 사용자의 "정상" 행위를 나타낸다. 또 다른 실시예에서, 이벤트 플로우는 "비정상" 행위를 나타낸다. 예를 들면, 사후분석을 수행하여, 이벤트 플로우가 정상 또는 비정상인 것으로 플래깅된다.
일 실시예에서, 기초 베이스라인은 거래 로그, 이벤트 데이터 베이스 등으로부터 (사용자 액션 이벤트들의 시퀀스들을 포함하는) 기존 이력 이벤트 플로우들 상에, 예를 들면, 배치(batch) 동작으로서 구성된다. 다음에, 기초 베이스라인은 새로운 이벤트들이, 예를 들면, 보안 시스템 내의 관리자에 의해 수신됨에 따라, 실시간으로 또는 배치 모드에서 업데이트될 수 있다.
단계 220에서, 기초 베이스라인에 기초하여 개별의 시간적-순서의 이벤트들의 시퀀스를 식별한다. 일 실시예에서, 기초 베이스라인과 연관된 타이밍 데이터 및 이벤트 플로우들이 분석되고 특정 사용자의 행위 또는 사업 패턴이 결정된다. 패턴 인식 또는 식별은, 패턴이 식별될 때, 개별의 이벤트들의 시퀀스가 시간적-순서의 이벤트들의 시퀀스로서 표현되도록 사용자 특정 기초 베이스라인에 이벤트 플로우들을 합병하는 것을 포함할 수 있다.
일 실시예에서, 금융 시스템을 통한 사용자의 실제 페이지별 순회의 이력은 패턴들을 위해 분석된다. 예를 들면, 월별 신용 카드 청구서에 대한 지불을 예정하기 전에, 사용자가 전형적으로 신용 카드 온라인 사이트 상의 로그인 페이지와의 세션을 시작하여, 계정 잔액을 보고, 현재 지불 기간에 대한 거래 요약을 보며, 마지막으로 지불 예정 페이지를 네비게이션한다는 것을 기초 베이스라인으로부터 어렴풋하게 알 수 있다. 이러한 패턴이 다음에 시간적-순서의 이벤트들의 시퀀스로서 표현된다.
더욱이, 패턴 발견이 수행될 수 있고, 예를 들면, 여기서, 사용자 특정 기초 베이스라인에서 특정 이벤트의 발생 횟수가 추적되고, 기초 베이스라인 및 발생 횟수를 사용하여 사용자 활동의 지원 그래프가 생성될 수 있다. 패턴 발견은 그 전체가 참조로서 여기서 통합되는, 2008년 10월 1일에 출원된 미국 특허 번호 7,984,502에 더 개시되어 있다. 다른 패턴 발견 방법 또한 적용될 수 있다.
단계 230에서, 기초 베이스라인에 기초하여 이벤트들의 시퀀스에 대한 타이밍 데이터가 결정된다. 일 실시예에서, 타이밍 데이터는, 최소 시간, 최대 시간, 평균 시간, 및 표준 편차와 같은 이벤트들의 시퀀스에 관한 다양한 통계를 포함한다.
일 실시예에서, 이벤트들의 동일한 시퀀스 또는 서브세트를 갖는 (특정 사용자에 대한) 기초 베이스라인 내의 모든 이벤트 플로우들이 함께 그룹화된다. 이전에 설명된 바와 같이, 각각의 이벤트 플로우 또한 플로우 내의 각각이 순차 이벤트 간의 시간 차이에 관한 데이터를 포함한다. 예를 들면, 테이블 1에 도시된 바와 같이, 하나의 이벤트 플로우(즉, 세션 ID 3)에서, 로그인 페이지로부터 계정 잔액 페이지 보기까지의 네비게이션 간 시간 차이는 5초이다. 또 다른 이벤트 플로우(즉, 세션 ID 4)에서, 이들 두 페이지 간의 시간 차이는 7초일 수 있다.
최소 시간 통계는 세션의 과정 중 이벤트 플로우에서 하나의 특정 이벤트로부터 그 다음 순차 이벤트(또는 또 다른 나중에 발생하는 이벤트)까지 이동할 때 사용자에 의해 역사적으로 수행된 최소 시간일 수 있다. 테이블 1에 도시된 예를 이용하면, 로그온 페이지로부터 계정 잔액 페이지 보기로 이동하는 것을 포함하는 세 개의 이벤트 플로우가 존재한다. 이 예에서, 로그온 페이지로부터 계정 잔액 페이지 보기로 이동하기 위한 최소 시간은 5초이다.
최대 시간 통계는 세션의 과정 중 이벤트 플로우에서 하나의 이벤트로부터 그 다음 순차 이벤트(또는 또 다른 나중에 발생하는 이벤트)까지 이동할 때 역사적으로 실행되는 대부분의 시간일 수 있다. 테이블 1에 도시된 예를 이용하면, 로그인 페이지로부터 계정 잔액 페이지 보기로 이동하기 위한 최대 시간은 7초이다.
유사하게, 평균 시간 통계는 하나의 특정 이벤트로부터 그 다음 순차 이벤트(또는 또 다른 나중에 발생하는 이벤트)까지 역사적으로 발생하는 모든 이벤트 플로우들의 통계적 평균일 수 있다. 테이블 1에 도시된 예를 이용하면, 로그인 페이지로부터 계정 잔액 페이지 보기로 이동하기 위한 평균 시간은 6초이다. 동일한 페이지별 이동에 대한 표준 편차 통계는 이 예에서는 1초이다. 다른 시간 기반 통계 또는 결정될 수 있다.
단계 240에서, 개별의 이벤트들의 시퀀스 및 연관된 타이밍 데이터에 기초하여 기준 베이스라인이 생성된다. 여기서 사용되는 바와 같이, 기준 베이스라인은 사업 또는 행위의 사용자 특정 패턴을 나타내는 것으로 식별된 개별의 시간적-순서의 이벤트들의 시퀀스의 세트이다. 기준 베이스라인은 또한 각각의 개별의 이벤트들의 시퀀스와 연관된 타이밍 데이터를 포함한다.
기준 베이스라인에서의 패턴 및 타이밍 데이터를 이용하여 사용자의 행위에서의 비정상을 검출한다. 일 실시예에서, 고정 스케줄에 대해 기준 베이스라인이 생성되고 및/또는 업데이트된다. 기준 베이스라인은, 예를 들면, 금융 시스템과 같은 시스템과의 상호작용 및 시스템의 진행중인 사용자 사용에 대한 변화를 반영하기 위해 주기적으로 업데이트된다. 기준 베이스라인에 대한 업데이트는 대응하는 기초 베이스라인에 대해 수행되는 업데이트에 기초할 수 있다.
테이블 2는, 테이블 1의 부분적 기초 베이스라인에 기초하여 생성될 수 있는 바와 같이, 사용자 1과 연관된 부분적 기준 베이스라인의 예이다. 아래의 테이블 2의 부분적 기준 베이스라인은 타이밍 데이터(예를 들면, 타이밍 통계)를 포함한다.
<테이블 2>
Figure pct00002
테이블 2의 부분적 기준 베이스라인에서 적어도 세 개의 개별 기준 패턴이 식별된다. 각각의 이벤트에 대해 두 개의 타이밍 통계의 속성, 즉, 시퀀스에서 이전 이벤트로부터의 평균 시간 차이, 및 시퀀스에서 이전 이벤트로부터의 표준 편차 시간 차이가 포함되어 있다. 또한, 기준 베이스라인에 다른 다양한 타이밍 통계가 포함될 수 있다.
비정상 검출
이전에 설명된 바와 같이, 금융 거래 중의 사기를 포함하는 잠재적 침입의 검출은 기준 베이스라인의 사용에 의해 용이해진다. 보다 상세하게, 기준 베이스라인 내의 개별 시퀀스들을 이용하여 사용자의 행위에서의 비정상을 검출한다. 현재 세션 내의 이벤트들의 시퀀스들은 규칙들에 따라 분석된다. 규칙 평가는 기준 베이스라인 내의 이력 패턴들에 대해 현재 세션의 시퀀스들을 비교하는 것을 포함할 수 있다. 기준 베이스라인으로부터의 상당한 편차는 규칙 위반 및 비정상의 검출 결과일 수 있고, 이것이 잠재적인 침입으로 나타내어질 수 있다.
도 3은 실시예에 따라 기준 베이스라인으로부터의 편차에 기초하여 사용자 활동 이벤트들의 분석을 위한 프로세스 흐름도이다. 도시된 프로세스 플로우(300)는 실행가능한 명령어들의 시퀀스들의 실행에 의해 수행될 수 있다. 또 다른 실시예에서, 프로세스 플로우(300)의 다양한 부분들은 네트워크 보안 시스템의 컴포넌트들, 하드웨어 로직, 예를 들면, ASIC(Application-Specific Integrated Circuit)의 배치 등에 의해 수행된다. 예를 들면, 프로세스 플로우(300)의 블록들은 네트워크 보안 시스템의 규칙 엔진에서 실행가능한 명령어들의 시퀀스들의 실행에 의해 수행될 수 있다. 규칙 엔진은, 예를 들면, 네트워크 보안 시스템의 관리자에 배치될 수 있다.
이전에 설명된 바와 같이, 네트워크 보안 시스템은 보안 이벤트들과 같은 이벤트들을 모니터링하고 분석한다. 보다 상세하게, 이벤트들이 규칙들에 대해 평가된다. 규칙들은 특정 조건을 특정할 수 있고, 이것은 시간적-순서의 이벤트들의 시퀀스들 및 시퀀스의 그들 이벤트들 간의 시간 차이의 평가를 수반한다. 그러한 규칙의 예는:
규칙 1
(금융 비정상이) (사용자 ID 에 의해) (사용자 ID 에 대해 시간 차이의 표준 편차가 1 표준 편차까지) 발생하면, (액션).
이 규칙에 대해, 조건은 "거래 비정상"이고, 여기서, 사용자의 현재 세션에 대하나의 이벤트들의 시퀀스는 그 사용자에 대한 기준 베이스라인과 정합하는데 실패한다. 더욱이, 규칙 정합을 찾기 위한 유효의 임계치 범위는 "사용자 ID에 대해 시간 차이의 표준 편차가 1 표준 편차까지"이고, 수집 기준은 "사용자 ID에 의해"이다.
전형적으로, 규적 조건들은, 활동의 단일 패턴이 거래 시스템의 모든 사용자들에게 적용한다는 점에서 정적이다. 여기서 설명되는 바와 같이, 이 예에서의 규칙 조건은 비정상이 존재하는지를 결정하기 위해 이벤트들의 시퀀스를 추적하는 것을 수반한다. 현재 세션의 시퀀스가 평가될 때, 사용자 특정 기준 베이스라인은 비교 포인트로서 사용된다. 따라서, 여기서 설명되는 규칙들은 정적이 아니고, 그 대신, 규칙 조건들은 각각의 사용자에 대해 활동의 특정 패턴을 이용하여 현재 세션의 이벤트들의 시퀀스를 평가하도록 표현된다.
더욱이, 많은 규칙 조건들은 성질상 불 방식(Boolean)이고, 조건들은 만족되거나 그렇지 않다. 여기서 설명되는 바와 같이, 규칙들은 규칙 조건을 만족하기 위한 유형 범위를 고려한 편차 임계치 또는 다른 유형의 임계치를 특정할 수 있다. 편차 임계치는 타이밍 데이터 및/또는 시간적 위치 데이터에 부가하여, 복제, 누락, 및/또는 순서에서 벗어난(out-of-order) 이벤트들을 고려하도록 표현될 수 있다. 또한, 동일한 규칙의 일부인 불 방식 조건들이 있을 수 있다.
단계 305에서, 현재 세션에 대하나의 이벤트가 수신된다. 각각의 이벤트가 수신됨에 따라, 다양한 규칙들에 대해 실시간으로 평가된다.
규칙 평가는 현재 세션에 대한 플로우의 이벤트들을 사용자 특정 기준 베이스라인에 반복하여 정합시키는 것을 수반한다. 환언하면, 비교가 수행되고, 현재 세션의 플로우에서 수신된 이벤트가 기준 베이스라인의 패턴에 정합하는지가 결정된다. 일 실시예에서, 규칙 엔진이 이러한 비교를 수행한다.
특히, 단계 310에서, 사용자 특정 기준 베이스라인에서 (이벤트들의 개별 시퀀스로서 표현되는) 식별된 패턴과 적어도 부분적인 정합이 존재하는지가 결정된다. 특히, 수신된 이벤트와 연관된 사용자 ID가 결정된다. 그 사용자 ID에 특정한 기준 베이스라인이 식별된다.
수신된 이벤트가 기준 베이스라인에 비교된다. 특히, 현재 세션의 이벤트 플로우 내의 이벤트의 시간적 위치가 결정된다. 예를 들면, 플로우 내의 다른 이벤트들 중 가장 이른 발생 시간을 갖는 이벤트가 제1 시간 위치를 가질 수 있고, 두번째의 이른 발생 시간을 갖는 이벤트가 제2 시간 위치를 가질 수 있다. 수신된 이벤트는 동일한 시간 위치를 갖는 기준 베이스라인 내의 이벤트들에 비교된다. 더우기, 수신된 이벤트의 속성(예를 들면, 이벤트 유형)이 기준 베이스라인 내의 이벤트들의 동일한 속성에 비교된다.
수신된 이벤트의 발생 시간과 현재 세션의 이전 이벤트의 발생 시간과의 시간 차이 또는 다른 타이밍 정보가 추적된다. 시간 위치를 비교하는 것에 부가하여, 일 실시예에서, 수신된 이벤트와 연관된 시간 차이가 기준 베이스라인 내의 타이밍 데이터에 비교된다.
시간 위치, 타이밍 정보, 또는 다른 속성에 기초하여 비교하는 중에, 정합의 결정은 정적이고 및/또는 편차 임계치에 기초할 수 있다. 편차 임계치는 정합이 여전히 결정되는 허용오차(예를 들면, 유효 범위)를 특정한다. 허용오차는 규칙 조건으로서 구현될 수 있다.
예를 들면, 사용자 특정 기준 베이스라인은 이벤트 1에 이어 7초의 평균 시간 차이를 갖는 이벤트 2의 시퀀스를 포함할 수 있다. 기준 베이스라인은 이들 특정 이벤트들 간의 평균 시간 차이를 리스트하는 속성을 포함할 수 있다. 규칙-정합의 목적을 위해, 현재 세션의 이벤트들의 시퀀스는 시간 차이가 기준 베이스라인 내의 평균 시간 차이로부터 2초의 표준 편자 내에 있는한 기준 베이스라인과 정합하는 것으로 간주될 수 있다. 이 예에서 설명되는 바와 같이, 허용오차가 누락 이벤트들 또는 예상되는 순서에서 벗어나 발생하는 이벤트들에 표현되도록, 편차 임계치는 타이밍 데이터에 대해, 또는 시간 위치와 같은 또 다른 속성에 대해 표현될 수 있다. 예를 들면, 기준 베이스에서 시퀀스 내의 몇몇 이벤트들의 발생이 없다는 것은 허용될 수 있는 반면, 다른 것들의 비발생은 허용되지 않을 수 있다.
수신된 이벤트를 평가할 때, 부분적인 정합도 발견되지 않으면, 단계 315에서, 수신된 이벤트가 일부인 시퀀스와 기준 베이스라인 간에 시퀀스 정합은 없다고 결정된다.
단계 317에서, 규칙 조건의 결과가 결정된다. 기준 베이스라인은 "정상" 사용자 행위 및/또는 "비정상" 사용자 행위를 나타내는 시퀀스들을 포함할 수 있다. 일 실시예에서, 기준 베이스라인이 "정상" 사용자 행위를 나타내는 단지 그들 시퀀스들을 포함하는 곳에서, 기준 베이스라인과 정합하지 않는 현재 세션의 임의의 입력되는 시퀀스는 의심스러운 것으로 간주되고, 규칙 조건은, 단계 317에서, "참"(여기서 조건은 비정상 행위를 찾음), 즉, 규칙 개시(rule fire)를 리턴한다. 기준 베이스라인이 "비정상" 사용자 행위를 나타내는 단지 그들 시퀀스들을 포함하는 곳에서, 기준 베이스라인과 정합하지 않는 현재 세션의 임의의 입력되는 시퀀스는 비의심일 것으로 간주되고, 규칙 조건은 단계 317에서 "거짓"을 리턴한다.
또 다른 실시예에서, 기준 베이스라인이 "비정상" 및 "정사" 사용자 행위를 나타내는 그들의 시퀀스들을 포함하는 곳에서, 기준 베이스라인과 정합하지 않는 현재 세션의 입력되는 시퀀스, 규칙 조건은 "참"을 리턴하고, 그 결과 사용자의 액션이 (이력에 기초하여) 예상치 않은 것이고 검사되어야 하기 때문에 규칙 개시를 가져온다. 이러한 유형의 규칙 개시로부터 생성된 경고는, 예를 들면, 비정상 시퀀스가 정합되었다기 보다는, 낮은 우선 순위 레벨과 연관될 수 있다. 또 다른 실시예에서, 규칙 조건은, 예를 들면, 정책 목표가 거짓 긍정의 가능성을 최소화하는 것이거나 정합된 비정상 시퀀스들에 대해 규칙 개시를 제한하는 것이라면, "거짓"을 리턴한다.
수신된 이벤트를 평가할 때, 단계 310에서 부분 정합이 발견되면, 단계 320에서 완전 정합이 있는지가 결정된다. 여기서 사용되는 바와 같이, 현재 세션 내의 이벤트들의 플로우가 기준 베이스라인 내의 전체의 이벤트들의 시퀀스와 정합하는 곳에서 발생한다. 완전한 정합이 없다면, 프로세싱은 단계 305에서 계속되며, 여기서, 현재 시퀀스의 또 다른 이벤트가 수신된다. 단계 310 및 320에서의 비교는 단일 단계로서, 그리고 이벤트들이 관리자에 의해 수신됨에 따라 이벤트별로 실시간으로 발생할 수 있다. 정합은 또한 합계에 대해 현재 세션의 이벤트들의 세트에서 한번 동작하는 것을 수행될 수 있다.
단계 320에서 완전한 정합이 결정되는 곳에서, 단계 325에서 시퀀스 정합이 발견된다고 결정된다. 이전에 언급한 바와 같이, 단계 330에서, 규칙 조건의 결과가 결정된다. 기준 베이스라인은 "정상" 사용자 행위 및/또는 "비정상" 사용자 행위를 나타내는 시퀀스들을 포함할 수 있다. 일 실시예에서, 기준 베이스라인이 "정상" 사용자 행위를 나타내는 단지 그들의 시퀀스들을 포함하는 곳에서, 기준 베이스라인과 정합하는 현재 세션의 임의의 입력되는 시퀀스는 비의심일 것으로 간주되고 규칙 조건은 "거짓"을 리턴한다(여기서 조건은 비정상 행위를 찾는다). 기준 베이스라인이 "비정상" 사용자 행위를 나타내는 단지 그들의 시퀀스들을 포함하는 곳에서, 기준 베이스라인과 정합하는 현재 세션의 임의의 입력되는 시퀀스는 의심스러운 것으로 간주되고, 규칙 조건은 "참"을 리턴한다.
또 다른 실시예에서, 기준 베이스라인은 "비정사" 및/또는 "정상" 사용자 행위를 나타내는 시퀀스들을 포함한다. 현재 세션의 입력되는 플로우가 기준 베이스라인과 정합하는 곳에서, 기준 베이스라인에서의 정합 시퀀스가 "비정상" 또는 "정상"으로서 플래깅되거나 마킹될지가 결정된다. 정합이 "비정상" 시퀀스를 가지면, 규칙 조건은 "참"을 리턴하고, 정합이 "정상" 시퀀스를 가지면, 규칙 조건은 "거짓"을 리턴한다.
설명의 목적을 위해, 특정 사용자와 연관된 기준 베이스라인은 테이블 2에 도시된 바와 같은 세 개의 기준 베이스라인을 포함할 수 있다: 일 예에서, 1) 이벤트 A(로그온), 이벤트 B(계정 잔액 보기), 이벤트 C(요약), 및 이벤트 D(지불 예정); 2) 이벤트 A(로그온), 이벤트 B(계정 잔액 보기), 이벤트 E(수취인 추가); 및 3) 이벤트 A(로그온), 및 이벤트 F(보상 요약). 전술한 규칙 1과 같은 규칙이 현재 세션의 이벤트들에 대해 평가된다.
현재 세션에서, 예를 들면, 이벤트 A는 단계 305에서 수신된다. 이벤트 A가 기준 베이스라인 시퀀스들에 비교된다. 모든 세 개의 시퀀스들이 이벤트 A로 시작함에 따라, 적어도 부분적 정합이 있다고 결정된다. 정합이 없는 곳에서, 예를 들면, 이벤트 G가 단계 305에서 수신되면, 단계 315에서 시퀀스 정합이 없다고 결정된다. 기준 베이스라인이 정상 행위를 나타내는 시퀀스들을 포함하는 곳에서, 시퀀스 정합이 없다는 결정은 현재 세션의 이벤트들을 의심스러운 곳으로 특징짓는 것을 초래한다. 규칙 조건은 응답으로 단계 317에서 "참"을 리턴할 수 있다.
비교는 단계 310에서 단계 320으로 계속되고, 여기서, 현재 세션에 대해 이미 수신된 이벤트들의 플로우(및 타이밍 정보)에 기초하여 완전한 정합이 있는지가 결정된다. 아직 완전한 정합이 없다면, 시스템은 후속의 수신된 이벤트들과의 정합을 계속해서 시도한다. 특히, 프로세싱은 단계 305로 계속되고, 여기서, 또 다른 이벤트가 수신된다. 따라서, 정합/비교 프로세스가 반복적인 방식으로 발생한다. 후속 반복에서, 단계 310에서, 이벤트들의 현재 플로우가 적어도 부분적으로 정합될 수 있는지가 결정된다.
상기 예로 계속하면, 이벤트 B가 이벤트 A의 5초 내에 제2 반복으로 수신되면, 현재 세션의 플로우(이제 이벤트 A에 이어 이벤트 B를 포함함)가 규칙 1에 특정된 편차 허용오차에 기초하여 기준 패턴 ID 1과 기준 패턴 ID 2 모두와 적어도 부분적으로 정합한다고 결정된다.
단계 320에서, 아직까지 완전한 정합이 있는지가 결정된다. 이 포인트에서, 현재 플로우는 단지 이벤트 A 및 이벤트 B를 포함한다. 기준 패턴 ID 1과의 완전한 정합이 되게 하기 위해, 현재 세션의 플로우는 또한 편차 허용오차 내의 이벤트 C 및 D를 포함해야 한다. 유사하게, 기준 패턴 ID 2와의 완전한 정합이 되게 하기 위해, 플로우는 또한 편차 허용오차 내의 이벤트 E를 포함해야 한다. 따라서, 완전한 정합은 없다. 다음에, 시스템은 다시 반복하고, 단계 305에서 그 다음 이벤트가 수신된다.
완전한 정합이 단계 325에서 결정되면, 규칙 조건들이 단계 330에서 결정된다. 기준 베이스라인이 정상 행위를 나타내는 시퀀스들을 포함하는 곳에서, 현재 세션 이벤트들은 정상으로서 특징지워지고 규칙 조건은 단계 330에서 "거짓"을 리턴한다.
일 실시예에서, 기준 베이스라인은 정상 활동 및/또는 비정상 활동의 시퀀스들을 포함할 수 있다. 환언하면, 사용자가 과거에 취한, 따라서, 기준 베이스라인에 표시될 수 있는 이벤트 시퀀스가 정상 이벤트 플로우 또는 비정상 플로윌 수 있다. 예를 들면, 사용자가 특정 시퀀스를 실행하는 제1 시간, 현재 플로우가 단계 310에서 정합하지 않으면, 그 결과 단계 315에서 시퀀스 정합이 없다고 결정된다.
기초 베이스라인 및/또는 기준 베이스라인을 업데이트하기 위해, 도 2의 기준 베이스라인 생성 플로우에 새로운 시퀀스가 피드백될 수 있다. 시스템은, 예를 들면, 사후 분석이 수행된 후까지, 이러한 현재 시퀀스가 정상 행위인지 또는 비정상 행위인지 알지 못한다. 사후 분석 동안, 사용자는 접촉될 수 있고 활동이 유효하게 되도록 요구받을 수 있다. 사용자는 그 결과를 입력할 수 있고, 그에 의해 새로운 시퀀스를 정상 또는 비정상으로서 플래깅할 수 있다. 정상이라면, 미래에 정합하는 이벤트 시퀀스들이 정합을 발견하고 규칙을 개시하지 않도록 새로운 시퀀스가 기초 베이스라인에 부가된다. 비정상이라면, 이 패턴에 대한 미래의 정합은 규칙이 개시되게 야기하도록 베이스라인에 부가되지만 비정상으로서 플래깅될 수 있다.
따라서, 도 3에 도시된 바와 같이, 플로우 정합이 발견되지 않거나, 비정상 및/또는 의심스러운 것으로 플래깅되는 플로우와의 정합이 발견되면 규칙이 개시될 수 있다.
도 4는 실시예에 따라 응답 액션을 트리거하기 위한 프로세스 흐름도이다. 도시된 프로세스 플로우(400)는 실행가능 명령어들의 시퀀스들의 실행에 의해 수행될 수 있다. 또 다른 실시예에서, 프로세스 플로우(400)의 다양한 부분들은 네트워크 보안 시스템의 컴포넌트들, 하드웨어 로직, 예를 들면, ASIC(Application-Specific Integrated Circuit)의 배열 등에 의해 수행된다. 예를 들면, 프로세스 플로우(400)의 블록들은 네트워크 보안 시스템의 규칙 엔진에서 실행가능 명령어들의 시퀀스들의 실행에 의해 수행될 수 있다. 규칙 엔진은, 예를 들면, 네트워크 보안 시스템 내에서 관리자에 배치될 수 있다.
단계 410에서, 예를 들면, 현재 세션 내의 이벤트가 규칙에 대해 평가된 후 규칙 조건이 "참"을 리턴했다고 결정된다. 단계 415에서, 응답으로 액션이 트리거될 수 있다.
규칙들에 의해 트리거된 액션들은 미리 정래진 커맨드 또는 스크립트를 실행, 데이터 리스트를 업데이트, 변경을 로깅, 변경을 콘솔 또는 통보 피지명인에게 전송, 누적 활동에 기초하여 변경에 대한 고객(custom) 보안 레벨들을 설정, 소스를 의심스런 소스의 리스트에 부가, 목표를 취약 리스트에 부가, 또 다른 규칙을 트리거, 또는 이들 액션들의 임의의 조합을 실행하는 것을 포함할 수 있다.
더욱이, 액션은 또 다른 규칙을 트리거링하는 것을 포함할 수 있다. 예를 들면, 온라인 계정과의 사용자의 상호작용에 대응하는 거래 이벤트들로부터의 정보는 네트워크 보안 이벤트들과 더 상관되고 제한되지는 않지만 자산 모델, 동시의 공격들의 존재 및 검출된 비정상이 사기의 가능성을 증가시킬 수 있음에 따라, 시스템에서 진행중인 다른 공격들 및 다양한 머신들의 취약성을 포함하는 네트워크 인프라스트럭처의 인식과 더 상관될 수 있다. 따라서, 다수의 데이터 소스에 대해 상관이 수행될 수 있다.
환언하면, 개별 규칙은, 예를 들면, 목표 호스트에 대해 사기 관련 규칙 개시를 찾고 또한 보안 관련 규칙 개시 규칙을 찾는 규칙 조건들을 포함할 수 있다. 조건들이 만족되면, 상관이 수행되고, 이에 의해 보안 데이터와의 거래 또는 사기 기반 이벤트 인식을 브릿징할 수 있다.
일 실시예에서, 액션은 상관 이벤트를 생성하는 것을 포함한다. 상관 이벤트는 규칙 특정 정보에 부가하여 규칙을 트리거한 베이스 이벤트들에 관한 정보를 포함할 수 있다. 일 실시예에서, 상관 이벤트는 조건-정합을 위해 사용될 수 있고 따라서 다수의 규칙들을 체인화할 수 있다.
도 5는 실시예가 구현될 수 있는 컴퓨터 시스템을 도시한다. 시스템(500)은 전술한 임의의 컴퓨터 시스템을 구현하는데 사용될 수 있다. 버스(524)를 통해 전기적으로 결합될 수 있는 하드웨어 구성요소들을 포함하는 컴퓨터 시스템(500)이 도시되어 있다. 하드웨어 구성요소들은 적어도 하나의 중앙 처리 유닛(CPU; 502), 적어도 하나의 입력 디바이스(504), 및 적어도 하나의 출력 디바이스(506)를 포함할 수 있다. 컴퓨터 시스템(500)은 또한 적어도 하나의 저장 디바이스(508)를 포함할 수 있다. 예를 들면, 저장 디바이스(508)는 디스크 드라이브, 광학 저장 디바이스, 프로그래밍가능하고, 플래시-업데이트가능한 RAM(random access memory) 및/또는 ROM(read-only memory) 등과 같은 고체 상태 저장 디바이스와 같은 디바이스를 포함할 수 있다.
컴퓨터 시스템(500)은 부가적으로 컴퓨터 판독가능 저장 매체 판독기(512), 통신 시스템(514)(예를 들면, 모뎀, 네트워크 카드(무선 또는 유선), 적외선 통신 디바이스 등), 및 전술한 RAM 및 ROM 디바이스를 포함할 수 있는 작업 메모리(518)를 포함할 수 있다. 몇몇 실시예에서, 컴퓨터 시스템(500)은 또한 디지털 신호 프로세서(dSP), 특수 목적의 프로세서 등을 포함할 수 있는 프로세싱 가속 유닛(516)을 포함할 수 있다.
컴퓨터 판독가능 저장 매체 판독기(512)는, 원격, 로컬, 고정, 및/또는 분리가능한 저장 매체 플러스 컴퓨터 판독가능 정보(예를 들면, 명령어 및 데이터)를 일시적 및/또는 더 영구적으로 포함, 저장, 전송, 및 검색하기 위한 임의의 유형의 비일시적 저장 매체를 포괄적으로 나타내는 컴퓨터 판독가능 저장 매체(510)에 함께(그리고 일 실시예의 저장 디바이스(508)와 결합하여) 또한 접속될 수 있다. 컴퓨터 판독가능 저장 매체(510)는 하드웨어 저장 디바이스(예를 들면, RAM, ROM, EPROM(erasable programmable ROM), EEPROM(electrically erasable programmable ROM), 하드 드라이브, 및 플래시 메모리)와 같이 비일시적일 수 있다. 통신 시스템(514)은 데이터가 네트워크 및/또는 시스템(500)에 대해 전술한 임의의 다른 컴퓨터와 교환되게 할 수 있다. 컴퓨터 판독가능 저장 매체(510)는 규칙 엔진(525), 기초 베이스라인 모듈(526), 및 기준 베이스라인 모듈(527)을 포함한다.
컴퓨터 시스템(500)은 또한, 운영 시스템(520) 및/또는 (클라이언트 애플리케이션, 웹 브라우저, 중간 계층(mid-tier) 애플리케이션 등일 수 있는) 애플리케이션 프로그램과 같은 다른 코드(522)를 포함하는, 작업 메모리(518) 내에 현재 위치된 것으로 도시된, 머신 판독가능 명령어인 소프트웨어 구성요소를 포함할 수 있다. 컴퓨터 시스템(500)의 대체 실시예는 전술한 것으로부터 다수의 변형예를 가질 수 있다는 것이 이해되어야 한다. 예를 들면, 맞춤형 하드웨어 또한 사용될 수 있고 및/또는 특정 구성요소가 하드웨어, 소프트웨어(애플릿과 같은 휴대용 소프트웨어 포함), 또는 양쪽 모두에서 구현될 수 있다. 더욱이, 네트워크 입력/출력 디바이스와 같은 다른 컴퓨팅 디바이스로의 접속이 이용될 수 있다.
명세서 및 도면은, 적절하게, 제한적 의미보다는 오히려 예시적인 것으로 간주되어야 한다. 그러나, 다양한 수정 및 변경이 이루어질 수 있다는 것은 자명할 것이다.
본 명세서(임의의 첨부되는 청구범위, 요약 및 도면 포함)에 개시된 각각의 특징은, 명시적으로 달리 설명되지 않으면, 동일한, 등가의 또는 유사한 목적을 제공하는 대체 특징으로 대체될 수 있다. 따라서, 명시적으로 달리 설명되지 않으면, 개시된 각각의 특징은 일반적인 일련의 등가의 또는 유사한 특징들의 일 예이다.

Claims (15)

  1. 이벤트들의 평가를 위한 방법으로서,
    컴퓨팅 디바이스에 의해, 시간적-순서의 이벤트들의 시퀀스들의 세트를 포함하는 사용자-특정 기준 베이스라인을 생성하는 단계와,
    현재 세션에서 이벤트들의 시퀀스 중 하나의 이벤트를 수신하는 단계와,
    상기 이벤트가 상기 이벤트의 속성을 사용하고 상기 현재 세션에서 이벤트들의 시퀀스 내의 이벤트의 시간적 위치에 기초하여 상기 기준 베이스라인과 적어도 부분적으로 정합하는지를 결정하는 단계와,
    상기 이벤트가 상기 기준 베이스라인과 적어도 부분적으로 정합하는지의 결정에 기초하여 규칙의 조건을 분석하는 단계를 포함하는
    이벤트 평가 방법.
  2. 제1항에 있어서,
    상기 기준 베이스라인은 시간적-순서의 이벤트들의 시퀀스들의 세트 내에 각각의 시퀀스와 연관된 타이밍 데이터를 더 포함하고, 상기 세트 내의 각각의 시퀀스는 상기 사용자와 연관된 이력 이벤트들의 개별 패턴인
    이벤트 평가 방법.
  3. 제1항에 있어서,
    상기 이벤트가 상기 기준 베이스라인과 적어도 부분적으로 정합하는지를 결정하는 단계는,
    상기 수신된 이벤트와 연관된 사용자 식별자에 기초하여 복수의 기준 베이스라인들 중 상기 사용자-특정 기준 베이스라인을 식별하는 단계와,
    상기 수신된 이벤트의 시간적 위치와 동일한 시간적 위치를 갖는, 상기 기준 베이스라인의 시퀀스 내에서 하나의 이벤트를 선택하는 단계와,
    상기 수신된 이벤트의 속성을 상기 기준 베이스라인 내의 상기 하나의 이벤트의 동일한 속성과 비교하는 단계 - 상기 수신된 이벤트의 속성은 이벤트 유형임 -를 포함하는
    이벤트 평가 방법.
  4. 제3항에 있어서,
    상기 이벤트가 상기 기준 베이스라인과 적어도 부분적으로 정합하는지를 결정하는 단계는 상기 수신된 이벤트의 속성이 상기 규칙의 조건 내에 특정된 편차 임계치 내에 있는지 결정하는 단계를 더 포함하는
    이벤트 평가 방법.
  5. 제1항에 있어서,
    상기 시간적-순서의 이벤트들의 시퀀스들의 세트 내의 적어도 하나의 시퀀스는 정상적 사용자 행위로서 또는 비정상적 사용자 행위로서 플래깅되는(flagged)
    이벤트 평가 방법.
  6. 제5항에 있어서,
    상기 규칙의 조건을 분석하는 단계는,
    상기 이벤트가 정상적 사용자 행위로서 플래깅되는 적어도 하나의 시퀀스와 정합되면, 상기 규칙 조건이 "거짓"이라고 결정하는 단계와,
    상기 이벤트가 비정상적 사용자 행위로서 플래깅되는 적어도 하나의 시퀀스와 정합되면, 상기 규칙 조건이 "참"이라고 결정하는 단계를 포함하는
    이벤트 평가 방법.
  7. 제1항에 있어서,
    상기 수신된 이벤트가 상기 기준 베이스라인과 적어도 부분적으로 정합하는지를 결정하는 단계는,
    현재 세션에서 상기 수신된 이벤트의 발생 시간과 이벤트들의 시퀀스 중 이전에 수신된 이벤트의 발생 시간과의 시간 차이를 추적하는 단계와,
    상기 시간 차이를 상기 기준 베이스라인의 타이밍 데이터와 비교하는 단계를 포함하는
    이벤트 평가 방법.
  8. 제1항에 있어서,
    상기 시간적-순서의 이벤트들의 시퀀스들의 세트 내의 각각의 시퀀스는 타이밍 데이터와 연관되고, 상기 타이밍 데이터는 기초 베이스라인에서의 이벤트들의 발생 시간을 이용하여 생성된 통계를 포함하는
    이벤트 평가 방법.
  9. 이벤트들의 평가를 위한 시스템으로서,
    프로세서와,
    상기 프로세서에 연결되고, 복수의 사용자-특정 기준 베이스라인들을 포함하는 데이터 리스트를 저장하도록 구성되는 메모리를 포함하고,
    상기 프로세서는,
    상기 복수의 사용자-특정 기준 베이스라인들 중 제1 사용자-특정 기준 베이스라인을 생성하고 - 상기 제1 사용자-특정 기준 베이스라인은 시간적-순서의 이벤트들의 시퀀스들의 세트를 포함함 - ,
    현재 세션에서 이벤트들의 시퀀스 중 하나의 이벤트를 수신하고,
    상기 이벤트가 상기 이벤트의 속성을 사용하고 상기 현재 세션에서 이벤트들의 시퀀스 내의 이벤트의 시간적 위치에 기초하여 상기 기준 베이스라인과 적어도 부분적으로 정합하는지를 결정하고,
    상기 이벤트가 상기 기준 베이스라인과 적어도 부분적으로 정합하는지의 결정에 기초하여 규칙의 조건을 분석하며,
    상관 이벤트를 생성하도록 구성되는
    이벤트 평가 시스템.
  10. 제9항에 있어서,
    상기 기준 베이스라인은 시간적-순서의 이벤트들의 시퀀스들의 세트 내에 각각의 시퀀스와 연관된 타이밍 데이터를 더 포함하고, 상기 세트 내의 각각의 시퀀스는 상기 사용자와 연관된 이력 이벤트들의 개별 패턴인
    이벤트 평가 시스템.
  11. 제9항에 있어서,
    상기 프로세서는,
    상기 수신된 이벤트와 연관된 사용자 식별자에 기초하여 복수의 기준 베이스라인들 중 상기 사용자-특정 기준 베이스라인을 식별하고,
    상기 수신된 이벤트의 시간적 위치와 동일한 시간적 위치를 갖는, 상기 기준 베이스라인의 시퀀스 내에서의 하나의 이벤트를 선택하며,
    상기 수신된 이벤트의 속성 - 상기 수신된 이벤트의 속성은 이벤트 유형임 - 을 상기 기준 베이스라인 내의 상기 하나의 이벤트의 동일한 속성과 비교함으로써 상기 이벤트가 상기 기준 베이스라인과 적어도 부분적으로 정합하는지를 결정하도록 구성되는
    이벤트 평가 시스템.
  12. 제11항에 있어서,
    상기 프로세서는, 상기 수신된 이벤트의 속성이 상기 규칙의 조건 내에 특정된 편차 임계치 내에 있는지 결정함으로써 상기 이벤트가 상기 기준 베이스라인과 적어도 부분적으로 정합하는지를 결정하도록 구성되는
    이벤트 평가 시스템.
  13. 제9항에 있어서,
    상기 시간적-순서의 이벤트들의 시퀀스들의 세트 내의 적어도 하나의 시퀀스는 정상적 사용자 행위로서 또는 비정상적 사용자 행위로서 플래깅되는
    이벤트 평가 시스템.
  14. 이벤트들을 평가하도록 데이터 프로세서를 제어하기 위한 복수의 명령어를 저장하는 비일시적 컴퓨터 판독가능 매체로서,
    상기 복수의 명령어는 상기 데이터 프로세서로 하여금,
    복수의 사용자-특정 기준 베이스라인들 중 제1 사용자-특정 기준 베이스라인을 생성하게 하고 - 상기 제1 사용자-특정 기준 베이스라인은 시간적-순서의 거래 이벤트들의 시퀀스들의 세트를 포함하고, 각각의 이벤트는 금융 거래의 일부임 - ,
    현재 세션에서 거래 이벤트들의 시퀀스 중 하나의 거래 이벤트를 수신하게 하고,
    상기 거래 이벤트가 상기 거래 이벤트의 속성을 사용하고 상기 현재 세션에서 거래 이벤트들의 시퀀스 내의 거래 이벤트의 시간적 위치에 기초하여 상기 기준 베이스라인과 적어도 부분적으로 정합하는지를 결정하게 하고,
    상기 거래 이벤트가 상기 기준 베이스라인과 적어도 부분적으로 정합하는지의 결정에 기초하여 규칙의 조건을 분석하게 하고,
    상기 거래 이벤트를 보안-관련 이벤트와 상관시키게 하는 명령어들을 포함하는
    비일시적 컴퓨터 판독가능 매체.
  15. 제14항에 있어서,
    상기 데이터 프로세서로 하여금 상기 이벤트가 상기 기준 베이스라인과 적어도 부분적으로 정합하는지 결정하도록 하는 명령어는, 상기 데이터 프로세서로 하여금,
    상기 수신된 이벤트와 연관된 사용자 식별자에 기초하여 복수의 기준 베이스라인들 중 상기 사용자-특정 기준 베이스라인을 식별하게 하고,
    상기 수신된 이벤트의 시간적 위치와 동일한 시간적 위치를 갖는, 상기 기준 베이스라인의 시퀀스 내에서 하나의 이벤트를 선택하게 하고,
    상기 수신된 이벤트의 속성 - 상기 수신된 이벤트의 속성은 이벤트 유형임 - 을 상기 기준 베이스라인 내의 상기 하나의 이벤트의 동일한 속성과 비교하게 하는 명령어들을 포함하는
    비일시적 컴퓨터 판독가능 매체.
KR1020147006262A 2011-09-09 2011-10-20 이벤트들의 시퀀스에서의 시간적 위치에 따른 기준 베이스라인에 기초하여 이벤트들의 평가를 위한 시스템 및 방법 KR20140059227A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201161532968P 2011-09-09 2011-09-09
US61/532,968 2011-09-09
PCT/US2011/057139 WO2013036269A1 (en) 2011-09-09 2011-10-20 Systems and methods for evaluation of events based on a reference baseline according to temporal position in a sequence of events

Publications (1)

Publication Number Publication Date
KR20140059227A true KR20140059227A (ko) 2014-05-15

Family

ID=47832481

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020147006262A KR20140059227A (ko) 2011-09-09 2011-10-20 이벤트들의 시퀀스에서의 시간적 위치에 따른 기준 베이스라인에 기초하여 이벤트들의 평가를 위한 시스템 및 방법

Country Status (7)

Country Link
US (1) US9646155B2 (ko)
EP (1) EP2754049A4 (ko)
JP (1) JP5941149B2 (ko)
KR (1) KR20140059227A (ko)
CN (1) CN103765820B (ko)
BR (1) BR112014005119A2 (ko)
WO (1) WO2013036269A1 (ko)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190080300A (ko) * 2017-12-28 2019-07-08 주식회사 포스코아이씨티 비정상 제어데이터 탐지 시스템
KR20190080301A (ko) * 2017-12-28 2019-07-08 주식회사 포스코아이씨티 제어데이터의 정상 시퀀스 패턴 생성 시스템 및 방법
KR20210072132A (ko) * 2016-12-21 2021-06-16 쓰레트 스택, 인코퍼레이티드 클라우드 기반 운영 체제 이벤트 및 데이터 액세스 감시를 위한 시스템 및 방법
KR20210102897A (ko) * 2018-12-10 2021-08-20 비트데펜더 아이피알 매니지먼트 엘티디 행동 위협 탐지를 위한 시스템 및 방법
KR20210102896A (ko) * 2018-12-10 2021-08-20 비트데펜더 아이피알 매니지먼트 엘티디 행동 위협 탐지를 위한 시스템 및 방법
KR102401047B1 (ko) * 2021-10-14 2022-05-24 국방과학연구소 전자 장치의 미사일 시스템 데이터 분석 방법

Families Citing this family (66)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8612802B1 (en) 2011-01-31 2013-12-17 Open Invention Network, Llc System and method for statistical application-agnostic fault detection
US8510596B1 (en) 2006-02-09 2013-08-13 Virsec Systems, Inc. System and methods for run time detection and correction of memory corruption
US9948324B1 (en) 2011-01-31 2018-04-17 Open Invention Network, Llc System and method for informational reduction
US10191796B1 (en) * 2011-01-31 2019-01-29 Open Invention Network, Llc System and method for statistical application-agnostic fault detection in environments with data trend
KR101566363B1 (ko) * 2011-12-16 2015-11-06 한국전자통신연구원 규칙 기반 보안 이벤트 연관성 분석장치 및 방법
US9195631B1 (en) 2012-03-26 2015-11-24 Emc Corporation Providing historical data to an event-based analysis engine
US9286311B2 (en) * 2012-06-14 2016-03-15 Santhosh Adayikkoth Real-time filtering of relevant events from a plurality of events
US10037546B1 (en) * 2012-06-14 2018-07-31 Rocket Fuel Inc. Honeypot web page metrics
US9354762B1 (en) 2012-06-26 2016-05-31 Emc International Company Simplifying rules generation for an event-based analysis engine by allowing a user to combine related objects in a rule
US9430125B1 (en) 2012-06-27 2016-08-30 Emc International Company Simplifying rules generation for an event-based analysis engine
US9053307B1 (en) 2012-07-23 2015-06-09 Amazon Technologies, Inc. Behavior based identity system
US9166961B1 (en) 2012-12-11 2015-10-20 Amazon Technologies, Inc. Social networking behavior-based identity system
US9098804B1 (en) * 2012-12-27 2015-08-04 Emc International Company Using data aggregation to manage a memory for an event-based analysis engine
US9679131B2 (en) * 2013-01-25 2017-06-13 Cybereason Inc. Method and apparatus for computer intrusion detection
US9240996B1 (en) * 2013-03-28 2016-01-19 Emc Corporation Method and system for risk-adaptive access control of an application action
US20140324552A1 (en) * 2013-04-25 2014-10-30 International Business Machines Corporation Analysis and annotation of interactions obtained from network traffic
US10269029B1 (en) 2013-06-25 2019-04-23 Amazon Technologies, Inc. Application monetization based on application and lifestyle fingerprinting
US9921827B1 (en) 2013-06-25 2018-03-20 Amazon Technologies, Inc. Developing versions of applications based on application fingerprinting
US9262470B1 (en) 2013-06-25 2016-02-16 Amazon Technologies, Inc. Application recommendations based on application and lifestyle fingerprinting
US9727821B2 (en) * 2013-08-16 2017-08-08 International Business Machines Corporation Sequential anomaly detection
US9548993B2 (en) * 2013-08-28 2017-01-17 Verizon Patent And Licensing Inc. Automated security gateway
US10079841B2 (en) 2013-09-12 2018-09-18 Virsec Systems, Inc. Automated runtime detection of malware
JP6201614B2 (ja) * 2013-10-11 2017-09-27 富士通株式会社 ログ分析装置、方法およびプログラム
KR101568197B1 (ko) 2014-01-23 2015-11-11 한국과학기술원 이벤트 기반의 신호 처리 장치 및 방법
US11405410B2 (en) 2014-02-24 2022-08-02 Cyphort Inc. System and method for detecting lateral movement and data exfiltration
US20160078365A1 (en) * 2014-03-21 2016-03-17 Philippe Baumard Autonomous detection of incongruous behaviors
EP3161715A1 (en) 2014-06-24 2017-05-03 Virsec Systems, Inc. System and methods for automated detection of input and output validation and resource management vulnerability
CN107077412B (zh) 2014-06-24 2022-04-08 弗塞克系统公司 单层或n层应用的自动化根本原因分析
US9800615B2 (en) * 2014-09-09 2017-10-24 Bank Of America Corporation Real-time security monitoring using cross-channel event processor
US10027689B1 (en) * 2014-09-29 2018-07-17 Fireeye, Inc. Interactive infection visualization for improved exploit detection and signature generation for malware and malware families
US9773112B1 (en) * 2014-09-29 2017-09-26 Fireeye, Inc. Exploit detection of malware and malware families
US9952916B2 (en) * 2015-04-10 2018-04-24 Microsoft Technology Licensing, Llc Event processing system paging
US9760426B2 (en) 2015-05-28 2017-09-12 Microsoft Technology Licensing, Llc Detecting anomalous accounts using event logs
US10089465B2 (en) * 2015-07-24 2018-10-02 Bitdefender IPR Management Ltd. Systems and methods for tracking malicious behavior across multiple software entities
WO2017018377A1 (ja) * 2015-07-30 2017-02-02 日本電信電話株式会社 分析方法、分析装置、および分析プログラム
TWI615730B (zh) * 2015-11-20 2018-02-21 財團法人資訊工業策進會 以應用層日誌分析為基礎的資安管理系統及其方法
JP6679943B2 (ja) * 2016-01-15 2020-04-15 富士通株式会社 検知プログラム、検知方法および検知装置
JP6827266B2 (ja) * 2016-01-15 2021-02-10 富士通株式会社 検知プログラム、検知方法および検知装置
CA3018368A1 (en) 2016-03-24 2017-09-28 Carbon Black, Inc. Systems and techniques for guiding a response to a cybersecurity incident
US10515062B2 (en) * 2016-05-09 2019-12-24 Sumo Logic, Inc. Searchable investigation history for event data store
AU2017285429B2 (en) 2016-06-16 2022-03-31 Virsec Systems, Inc. Systems and methods for remediating memory corruption in a computer application
US10601845B2 (en) * 2016-09-06 2020-03-24 Radware, Ltd. System and method for predictive attack sequence detection
AU2017326353A1 (en) * 2016-09-14 2019-04-04 Carbon Black, Inc. Cybersecurity incident detection based on unexpected activity patterns
US10922189B2 (en) 2016-11-02 2021-02-16 Commvault Systems, Inc. Historical network data-based scanning thread generation
US10389810B2 (en) 2016-11-02 2019-08-20 Commvault Systems, Inc. Multi-threaded scanning of distributed file systems
US10395016B2 (en) * 2017-01-24 2019-08-27 International Business Machines Corporation Communication pattern recognition
US10628278B2 (en) * 2017-01-26 2020-04-21 International Business Machines Corporation Generation of end-user sessions from end-user events identified from computer system logs
US10812503B1 (en) 2017-04-13 2020-10-20 United Services Automobile Association (Usaa) Systems and methods of detecting and mitigating malicious network activity
US10607005B2 (en) 2017-06-20 2020-03-31 Ca, Inc. Systems and methods for labeling automatically generated reports
JP6756680B2 (ja) * 2017-08-25 2020-09-16 Kddi株式会社 情報処理装置、情報処理方法、及び情報処理プログラム
EP3810430A4 (en) 2018-06-22 2022-01-26 Hewlett-Packard Development Company, L.P. SUPPORT ALIGNMENTS USING MULTIPLE PASSES
US20200097579A1 (en) * 2018-09-20 2020-03-26 Ca, Inc. Detecting anomalous transactions in computer log files
CN111124846B (zh) * 2018-10-31 2023-05-30 千寻位置网络有限公司 在线定位时长的统计方法及装置、定位服务系统
CN109885648A (zh) * 2018-12-29 2019-06-14 清华大学 基于剧本的字幕场景和说话人信息自动标注方法和系统
US11336668B2 (en) * 2019-01-14 2022-05-17 Penta Security Systems Inc. Method and apparatus for detecting abnormal behavior of groupware user
CN111651753A (zh) * 2019-03-04 2020-09-11 顺丰科技有限公司 用户行为分析系统及方法
CN111818111B (zh) * 2019-04-11 2021-10-15 华为技术有限公司 一种主机及服务器
US11743271B2 (en) * 2019-05-22 2023-08-29 Computed Future, Inc Systems and methods for detecting and mitigating cyber security threats
KR102282843B1 (ko) * 2019-05-31 2021-07-27 주식회사 포스코아이씨티 스위칭 장치를 이용하는 비정상 제어데이터 탐지시스템
WO2020241959A1 (ko) * 2019-05-31 2020-12-03 주식회사 포스코아이씨티 비정상 제어데이터 탐지시스템
US11431584B2 (en) * 2019-06-08 2022-08-30 NetBrain Technologies, Inc. Dynamic golden baseline
US11165815B2 (en) 2019-10-28 2021-11-02 Capital One Services, Llc Systems and methods for cyber security alert triage
US20220318081A1 (en) * 2021-03-30 2022-10-06 Traceable Inc. Automatic generation of an api interface description
US20230043793A1 (en) * 2021-08-04 2023-02-09 Verizon Patent And Licensing Inc. Anomaly detection using user behavioral biometrics profiling method and apparatus
US11799768B1 (en) * 2021-09-09 2023-10-24 Amazon Technologies, Inc. Lightweight reactive workflows through internal event generation and matching
US20240126881A1 (en) * 2022-10-13 2024-04-18 Stanislaw Maria Aleksander Lewak Program Execution Anomaly Detection for CyberSecurity

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6601048B1 (en) * 1997-09-12 2003-07-29 Mci Communications Corporation System and method for detecting and managing fraud
US7089428B2 (en) * 2000-04-28 2006-08-08 Internet Security Systems, Inc. Method and system for managing computer security information
US6725287B1 (en) * 2000-11-09 2004-04-20 Elity Systems, Inc. Method and system for capturing streaming data by an actionable information engine
US6996551B2 (en) * 2000-12-18 2006-02-07 International Business Machines Corporation Apparata, articles and methods for discovering partially periodic event patterns
JP2003141158A (ja) * 2001-11-06 2003-05-16 Fujitsu Ltd 順序を考慮したパターンを用いた検索装置および方法
US7895649B1 (en) * 2003-04-04 2011-02-22 Raytheon Company Dynamic rule generation for an enterprise intrusion detection system
US20050203881A1 (en) * 2004-03-09 2005-09-15 Akio Sakamoto Database user behavior monitor system and method
US7509677B2 (en) * 2004-05-04 2009-03-24 Arcsight, Inc. Pattern discovery in a network security system
US7523504B2 (en) * 2004-08-02 2009-04-21 Netiq Corporation Methods, systems and computer program products for evaluating security of a network environment
US7424742B1 (en) * 2004-10-27 2008-09-09 Arcsight, Inc. Dynamic security events and event channels in a network security system
US7815106B1 (en) 2005-12-29 2010-10-19 Verizon Corporate Services Group Inc. Multidimensional transaction fraud detection system and method
US7251584B1 (en) 2006-03-14 2007-07-31 International Business Machines Corporation Incremental detection and visualization of problem patterns and symptoms based monitored events
US7953677B2 (en) * 2006-12-22 2011-05-31 International Business Machines Corporation Computer-implemented method, computer program and system for analyzing data records by generalizations on redundant attributes
EP3553713A1 (en) 2008-06-12 2019-10-16 Guardian Analytics, Inc. Modeling users for fraud detection and analysis
JP5011234B2 (ja) * 2008-08-25 2012-08-29 株式会社日立情報システムズ 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム
US8490187B2 (en) 2009-03-20 2013-07-16 Microsoft Corporation Controlling malicious activity detection using behavioral models
US8595176B2 (en) 2009-12-16 2013-11-26 The Boeing Company System and method for network security event modeling and prediction

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210072132A (ko) * 2016-12-21 2021-06-16 쓰레트 스택, 인코퍼레이티드 클라우드 기반 운영 체제 이벤트 및 데이터 액세스 감시를 위한 시스템 및 방법
KR20190080300A (ko) * 2017-12-28 2019-07-08 주식회사 포스코아이씨티 비정상 제어데이터 탐지 시스템
KR20190080301A (ko) * 2017-12-28 2019-07-08 주식회사 포스코아이씨티 제어데이터의 정상 시퀀스 패턴 생성 시스템 및 방법
KR20210102897A (ko) * 2018-12-10 2021-08-20 비트데펜더 아이피알 매니지먼트 엘티디 행동 위협 탐지를 위한 시스템 및 방법
KR20210102896A (ko) * 2018-12-10 2021-08-20 비트데펜더 아이피알 매니지먼트 엘티디 행동 위협 탐지를 위한 시스템 및 방법
KR102401047B1 (ko) * 2021-10-14 2022-05-24 국방과학연구소 전자 장치의 미사일 시스템 데이터 분석 방법

Also Published As

Publication number Publication date
WO2013036269A1 (en) 2013-03-14
BR112014005119A2 (pt) 2017-04-18
EP2754049A4 (en) 2015-08-26
EP2754049A1 (en) 2014-07-16
JP5941149B2 (ja) 2016-06-29
JP2014531647A (ja) 2014-11-27
US20140165140A1 (en) 2014-06-12
CN103765820B (zh) 2016-10-26
CN103765820A (zh) 2014-04-30
US9646155B2 (en) 2017-05-09

Similar Documents

Publication Publication Date Title
KR20140059227A (ko) 이벤트들의 시퀀스에서의 시간적 위치에 따른 기준 베이스라인에 기초하여 이벤트들의 평가를 위한 시스템 및 방법
US20220210200A1 (en) Ai-driven defensive cybersecurity strategy analysis and recommendation system
US8220056B2 (en) Threat management system and method
CN103718170B (zh) 用于事件的分布式基于规则的相关的系统和方法
CN104811428B (zh) 利用社交关系数据验证客户端身份的方法、装置及系统
US7509677B2 (en) Pattern discovery in a network security system
US9531755B2 (en) Field selection for pattern discovery
EP3215945B1 (en) A system for detecting threats using scenario-based tracking of internal and external network traffic
US20130067582A1 (en) Systems, methods and devices for providing device authentication, mitigation and risk analysis in the internet and cloud
EP3085023B1 (en) Communications security
US20190044961A1 (en) System and methods for computer network security involving user confirmation of network connections
CN104509034A (zh) 模式合并以识别恶意行为
WO2014096761A1 (en) Network security management
JP6616045B2 (ja) 異種混在アラートのグラフベース結合
Hermanowski Open source security information management system supporting it security audit
Dorigo Security information and event management
Velpula et al. Behavior-anomaly-based system for detecting insider attacks and data mining
KR102540904B1 (ko) 빅데이터 기반의 취약보안 관리를 위한 보안 토탈 관리 시스템 및 보안 토탈 관리 방법
FR3023040A1 (fr) Systeme de cyberdefence d&#39;un systeme d&#39;information, programme d&#39;ordinateur et procede associes
US20150341374A1 (en) Unified interface for analysis of and response to suspicious activity on a telecommunications network
Xuetao et al. A Typical Set Method of Intrusion Detection Technology Base on Computer Audit Data
CN117897702A (zh) 用于自动评估网络流量签名的质量的系统和方法
Kolli et al. Performance study of security mechanism for mobile agent domain

Legal Events

Date Code Title Description
N231 Notification of change of applicant
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid