NL2020552B1 - Attribute-based policies for integrity monitoring and network intrusion detection - Google Patents

Attribute-based policies for integrity monitoring and network intrusion detection Download PDF

Info

Publication number
NL2020552B1
NL2020552B1 NL2020552A NL2020552A NL2020552B1 NL 2020552 B1 NL2020552 B1 NL 2020552B1 NL 2020552 A NL2020552 A NL 2020552A NL 2020552 A NL2020552 A NL 2020552A NL 2020552 B1 NL2020552 B1 NL 2020552B1
Authority
NL
Netherlands
Prior art keywords
host
link
attribute
policies
attributes
Prior art date
Application number
NL2020552A
Other languages
English (en)
Inventor
Costante Elisa
Original Assignee
Forescout Tech B V
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to NL2020552A priority Critical patent/NL2020552B1/en
Application filed by Forescout Tech B V filed Critical Forescout Tech B V
Priority to EP19726180.3A priority patent/EP3763099B1/en
Priority to US16/975,561 priority patent/US11641370B2/en
Priority to PCT/NL2019/050147 priority patent/WO2019172762A1/en
Priority to JP2020546891A priority patent/JP7654404B2/ja
Priority to AU2019232391A priority patent/AU2019232391B2/en
Priority to CA3092260A priority patent/CA3092260A1/en
Priority to IL276895A priority patent/IL276895B2/en
Application granted granted Critical
Publication of NL2020552B1 publication Critical patent/NL2020552B1/en
Priority to US18/122,919 priority patent/US11949704B2/en
Priority to US18/623,265 priority patent/US20240340299A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Claims (44)

  1. CONCLUSIES
    1. Werkwijze voor het detecteren van abnormaal gedrag in dataverkeer op een datacommunicatienetwerk, waarbij een eerste host en een tweede host zijn verbonden met het datacommunicatienetwerk, waarbij het dataverkeer op het datacommunicatienetwerk een link verschaft tussen de eerste host en de tweede host, waarbij de werkwijze omvat:
    a) het parsen van het dataverkeer voor het extraheren van protocolveldwaarden van een protocolbericht van het dataverkeer;
    b) het afleiden, uit de geëxtraheerde protocolveldwaarden, van attribuutwaarden van attributen van één van de eerste host, de tweede host, en de link;
    c) het selecteren uit een set met modellen, van een model dat betrekking heeft op de ene van de eerste host, de tweede host, en de link, waarbij de geselecteerde host meerdere attributen omvat voor het beschrijven van ene van de eerste host, de tweede host, en de link, waarbij ten minste één van de attributen een semantisch attribuut is, waarbij het semantische attribuut een semantische betekenis uitdrukt voor de ene van de eerste host, de tweede host, en de link,
    d) het updaten van het geselecteerde model met de afgeleide attribuutwaarden, wanneer de afgeleide attribuutwaarden niet zijn opgenomen in het geselecteerde model bij selectie;
    e) het beoordelen of het ge-update, geselecteerde model voldoet aan een set attribuut gebaseerde policies, waarbij elke attribuut gebaseerde policy een veiligheidsrandvoorwaarde definieert van het datacommunicatienetwerk gebaseerd op ten minste één van de attributen van de eerste host, de tweede host of de link, en
    f) het genereren van een alert signaal in het geval dat de attribuut gebaseerde policies aangeven dat het ge-update geselecteerde model ten minste één van de attributen gebaseerde policies schendt.
  2. 2. Werkwijze volgens conclusie 1, waarbij de ten minste ene semantische attribuutwaarde is afgeleid uit een combinatie van protocolveldwaarden die zijn verkregen van ten minste twee protocolberichten die over het datacommunicatienetwerk op verschillende punten in tijd zijn verzonden.
  3. 3. Werkwijze volgens conclusie 1 of 2, waarbij de set met modellen een model omvat voor de eerste host, een model voor de tweede host en een model voor de link, waarbij elke van de modellen ten minste één semantisch attribuut omvat.
  4. 4. Werkwijze volgens een van de voorgaande conclusies, waarbij de policies elk een uitkomst definiëren in het geval aan een conditie is voldaan, waarbij de conditie is gedefinieerd in termen dat een respectieve ten minste ene van de attributen een gedefinieerde attribuutwaarde heeft, waarbij de uitkomst van de attribuut gebaseerde policy aangeeft of het geselecteerde model toelaatbaar of niet toelaatbaar is.
  5. 5. Werkwijze volgens een van de voorgaande conclusies, waarbij de conditie van elke policy ten minste één semantische attribuutwaarde omvat.
  6. 6. Werkwijze volgens een van de voorgaande conclusies, waarbij b) het toepassen van regels omvat op de protocolveldwaarden, waarbij de regels attribuutwaarden toekennen aan attributen gebaseerd op de protocolveldwaarden.
  7. 7. Werkwijze volgens een van de voorgaande conclusies, waarbij b) het direct meppen van protocolvelden op attribuutwaarden omvat.
  8. 8. Werkwijze volgens een van de voorgaande conclusies, waarbij b) het toepassen omvat van een heuristic op het dataverkeer en het afleiden van de semantische attribuutwaarde gebruikmakend van de heuristic.
  9. 9. Werkwijze volgens een van de voorgaande conclusies, waarbij b) het toepassen van een classifier op het dataverkeer omvat en het afleiden van de semantische attribuutwaarde gebruikmakend van classifier.
  10. 10. Werkwijze volgens conclusie 9, verder omvattende het bepalen van een niveau van vertrouwen van de classifier en waarbij de attribuutwaarde alleen uit de classifier wordt afgeleid wanneer het niveau van vertrouwen boven een tevoren bepaald vertrouwensniveau is.
  11. 11. Werkwijze volgens een van conclusies 8-10, waarbij de attribuutwaarde die is verkregen gebruikmakend van heuristic prioriteit heeft boven de attribuutwaarde die is verkregen gebruikmakend van de classifier.
  12. 12. Werkwijze volgens een van de voorgaande conclusies, waarbij geen stimulus wordt geïnjecteerd in het datacommunicatienetwerk.
  13. 13. Werkwijze volgens een van de voorgaande conclusies, waarbij stappen b), c), d) en e) worden uitgevoerd voor de eerste host, voor de tweede host en voor de link, waarbij de set met modellen een model omvat dat gerelateerd is aan eerste host, een model dat gerelateerd is aan de tweede host, en een model dat gerelateerd is aan de link, waarbij de attribuut gebaseerde policies van de set met attribuut gebaseerde policies condities definiëren in termen van de attributen van de eerste host, de attributen van de tweede host en de attributen van de link.
  14. 14. Werkwijze volgens een van de voorgaande conclusies, waarbij de set met attribuut gebaseerde policies witte lijst policies omvat, waarbij de uitkomst van de witte lijst policies aangeeft of het geselecteerde model toelaatbaar is.
  15. 15. Werkwijze volgens een van de voorgaande conclusies, waarbij de set met attribuut gebaseerde policies zwarte lijst policies omvat, waarbij de uitkomst van de zwarte lijst policies aangeeft of het geselecteerde model niet toelaatbaar is.
  16. 16. Werkwijze volgens een van de voorgaande conclusies, verder omvattende het verschaffen van een consistentieregel, waarbij de consistentieregel consistente combinaties definieert van ten minste twee attributen van één van het model gerelateerd aan de eerste host, het model gerelateerd aan de tweede host en het model gerelateerd aan de link, omvattende • het verifiëren, op basis van de attributen die zijn afgeleid uit het gemonitorde dataverkeer, of het gemonitorde dataverkeer voldoet aan de consistentieregel, • het opslaan van de dataverkeer in een quarantaine in het geval het dataverkeer niet aan de consistentieregel voldoet.
  17. 17. Werkwijze volgens conclusie 16, waarbij het detecteren, op basis van de attributen die zijn afgeleid uit het gemonitorde dataverkeer, of het gemonitorde dataverkeer voldoet aan de consistentieregel, wordt uitgevoerd voorafgaand aan stap e).
  18. 18. Werkwijze volgens conclusie 16 of 17, waarbij de consistentieregel ten minste één omvat van een tijd van optreden van het dataverkeer en een locatie van optreden van het dataverkeer.
  19. 19. Werkwijze volgens een van conclusie 16-18 waarbij de consistentieregel die is gerelateerd aan de eerste host een attribuut van een andere host, bij voorkeur een attribuut van de tweede host, omvat.
  20. 20. Werkwijze volgens een van conclusies 16-19, waarbij een groep met hosts is gedefinieerd, waarbij de werkwijze het bepalen omvat of de host waaraan de attributen relateren is opgenomen in de groep, en het toepassen van de consistentieregel in het geval de host waaraan de attributen relateren, in de groep is opgenomen.
  21. 21. Werkwijze volgens een van conclusies 16-20, waarbij de consistentieregels worden geleerd gebruikmakend van machine-leren, bij voorkeur gebruikmakend van associatieregels.
  22. 22. Werkwijze volgens een van de voorgaande conclusies, waarbij de attribuut gebaseerde policy verder ten minste één van een tijd voor het uitvoeren van de actie, en een link via welke de actie wordt uitgevoerd, uitdrukt.
  23. 23. Werkwijze volgens een van de voorgaande conclusies, omvattende het leren van de attribuut gebaseerde policy uit het dataverkeer, waarbij het leren omvat:
    • het monitoren van het dataverkeer, • het afleiden van het host-attributen en linkattributen uit het gemonitorde dataverkeer, • het transformeren van het dataverkeer in een dataset met attribuut gebaseerde transacties, • het genereren van regels door het rekening houden met een frequentie van itemsets van de host-attribuutwaarden en link-attribuutwaarden in de dataset, waarbij elk van de regels een antecedent omvat die een conditie definieert en een consequent die een actie definieert, een vertrouwen en een supportniveau, • het bepalen voor elke regel van een vertrouwen dat specificeert hoe vaak de regel waar blijkt te zijn, en een support die specificeert hoe vaak de itemset die onderliggend is aan de regel in de dataset voorkomt, • het selecteren van regels gebaseerd op een niveau van support en een niveau van vertrouwen, • het vertalen van de regels in de attribuut gebaseerde policy door • het definiëren van de attribuut gebaseerde policy-conditie door het samenvoegen van de antecedent en de consequent van de geselecteerde regels, en • het definiëren van de attribuut gebaseerde policy-actie gebaseerd op het niveau van support en/of het niveau van vertrouwen.
  24. 24. Werkwijze volgens conclusie 23, waarbij het selecteren van regels gebaseerd op het niveau van support en het niveau van vertrouwen omvat:
    het selecteren, voor witte lijst policies, van regels waarvan het niveau van vertrouwen boven een tevoren bepaald positief niveau van vertrouwen is en met een niveau van support boven een tevoren bepaald niveau van support.
  25. 25. Werkwijze volgens conclusie 23 of 24, waarbij het selecteren van regels gebaseerd op het niveau van support en het niveau van vertrouwen omvat:
    het selecteren, voor zwarte lijst policies, van regels waarvan het niveau van vertrouwen onder een tevoren bepaald negatief niveau van vertrouwen is en met een niveau van support boven een tevoren bepaald niveau van support.
  26. 26. Werkwijze volgens een van conclusies 23-25, waarbij het genereren van regels uit de host-attributen en de linkattributen het toepassing van associatieregels op de host-attributen en de link-attributen omvat.
  27. 27. Werkwijze volgens een van conclusies 23-26, waarbij het genereren van regels uit de host-attributen en de link-attributen het toepassen van frequente items-set-extractie op de host-attributen en de link-attributen omvat.
  28. 28. Werkwijze volgens een van conclusies 23-27, waarbij het vertalen van de regels in de attributen gebaseerde policy verder omvat:
    het reduceren van het aantal policies door het verwijderen van redundante policies, waarbij een policy redundant is wanneer de conditie daarvan de gehele conditie van een andere policy omvat, in het geval van conflict waarbij twee policies dezelfde conditie delen terwijl de twee policies verschillende acties omvatten, verwijderen van de policy die minder support en vertrouwen heeft.
  29. 29. Werkwijze volgens een van de voorgaande conclusies, waarbij de set met attribuut gebaseerde policies de witte lijst policies omvat, waarbij de uitkomst van de witte lijst policies aangeven of het geselecteerde model toelaatbaar is, en waarbij, in het geval het model dat betrekking heeft op de eerste host, de tweede host of de link niet kan worden gematched met enige van de witte lijst policies, de datacommunicatie die betrekking heeft op de respectieve ene van de eerste host, de tweede host of de link wordt opgenoemd in een quarantaine.
  30. 30. Werkwijze volgens een van de voorgaande conclusies, waarbij, in het geval het netwerkbericht informatie draagt over een host of link waarvoor geen model beschikbaar is, de respectieve host voor link in een quarantaine wordt opgenoemd.
  31. 31. Werkwijze volgens conclusie 30, verder omvattende:
    het afleiden van attribuutwaarden die gerelateerd zijn aan de host of link die in de quarantaine is opgenoemd.
  32. 32. Werkwijze volgens conclusie 31, verder omvattende:
    het berekenen, uit de attribuutwaarden die gerelateerd zijn aan de host of link die in de quarantaine is opgenoemd, van een support voor een hypothese dat de host of link die in de quarantaine is opgenoemd legaal is, en het berekenen, uit de attribuutwaarden die gerelateerd zijn aan de host of link die in de quarantaine is genoemd, van een support voor een hypothese dat de host of link die in de quarantaine is opgenoemd kwaadaardig is.
  33. 33. Werkwijze volgens conclusie 32, waarbij het berekenen van de supports voor de hypothesen wordt herhaald wanneer de attribuutwaarden die gerelateerd zijn aan de host of link die in de quarantaine is genoemd geupdated zijn.
  34. 34. Werkwijze volgens een van conclusies 30- 33, waarbij de quarantaine omvat, voor de host en/of links die in de quarantaine zijn opgenoemd:
    een identificatie van de host of link, een lijst met bekende attribuutwaarden van de host of link, een support voor een hypothese dat de host of link legaal is, een support voor een hypothese dat de host of link kwaadaardig is, een identificatie van dataverkeer dat is gebruikt voor het bepalen van de support voor de hypotheses.
  35. 35. Werkwijze volgens een van conclusies 31-34, waarbij de werkwijze verder omvat: het checken, gebruikmakend van de consistentieregels, van de attribuutwaarden van de host of link in quarantaine op consistentie.
  36. 36. Werkwijze volgens een van conclusies 31-35, waarbij de werkwijze verder omvat: het beoordelen, gebruikmakend van de attribuut gebaseerde policies, of de attribuutwaarden van de host of link in quarantaine voldoen aan de set met attribuut gebaseerde policies.
  37. 37. Werkwijze volgens een van conclusies 31-36, verder omvattende:
    het afleiden van attribuut gebaseerde policies uit de host-attributen en de linkattributen van het dataverkeer dat in de quarantaine is opgeslagen.
  38. 38. Werkwijze volgens conclusie 37, waarbij een nieuwe witte lijst policy wordt afgeleid uit attribuutwaarden die zijn afgeleid uit protocolberichten die gerelateerd zijn aan de host of link in quarantaine, waarbij een frequentie van voorkomen van de protocolberichten die gerelateerd zijn aan de host of link in quarantaine, een witte lijst drempel overschrijdt.
  39. 39. Werkwijze volgens conclusie 37 of 38, waarbij het afleiden van attribuut gebaseerde policies uit de host-attributen en linkattributen van het dataverkeer dat in de quarantaine is opgeslagen omvat:
    • het (her) berekenen van de support voor de hypothese dat de host of link in de quarantaine legaal of kwaadaardig is elke keer dat dataverkeer dat gerelateerd is aan de host en/of links in quarantaine wordt waargenomen, • wanneer de support voor de hypothese dat de host of link in quarantaine legaal is groter is dan een witte lijst drempel, verwijderen van de host of link uit de quarantaine en gebruiken van het dataverkeer dat gerelateerd is aan de host of link voor het extraheren van nieuwe witte lijst policies, • wanneer de support voor de hypothese dat een host/link in quarantaine kwaadaardig is groter is dan een zwarte lijst drempel, genereren van een alert en gebruik maken van het dataverkeer dat gerelateerd is aan de host of link voor het extraheren van nieuwe zwarte lijst policies, • updaten van de huidige policies gebruikmakend van de geëxtraheerde nieuwe witte lijst of zwarte lijst policies.
  40. 40. Werkwijze volgens conclusie 39, waarbij het (her)berekenen van de support voor de hypothese dat de host of link in de quarantaine legaal of kwaadaardig is omvat: het berekenen van een soortgelijkheid van de host of link in quarantaine met een andere host of link.
  41. 41. Werkwijze volgens conclusie 39 of 40, waarbij het gebruiken van het dataverkeer dat
    5 gerelateerd is aan de host of link voor het extraheren van nieuwe witte lijst policies respectievelijk het gebruiken van het dataverkeer dat gerelateerd is aan de host of link voor het extraheren van nieuwe zwarte lijst policies omvat:
    het leren van de witte lijst policies respectievelijk de zwarte lijst policies volgens een van conclusies 23-28.
  42. 42. Een intrusie-detectiesysteem dat ingericht is voor het uitvoeren van de werkwijze volgens een van de voorgaande conclusies.
  43. 43. Een datacommunicatienetwerk omvattende het intrusie-detectiesysteem volgens 15 conclusie 42.
  44. 44. Een inrichting omvattende het intrusie-detectiesysteem volgens conclusie 42.
    Figure 1
    Figure 2
    network traffic _______________________________________________________________________________________________________/ message 1 message 2 message n
    M odels Update
    Policy Check
    Figure 3
    Observe
    Learn ^Learn policies © & consistency rules
    END whitelist policies
    Identify consistency rules
    N ew networkact i vit y
    0 Extract host and linksattributes blacklist policies
    Λ Are attributes consistent w.r.t no ” consistencyrules? ----CreateAlert— iyes Λ yes
    Act ivity matches blacklist policies?—►Create Alert—
    I no yes ’ — Are we st ill learning?
    I no yes Activitymat cheswhitelist?Reason undefined (?)
    Qoowe have enough evidence(in quarantine) no to classify t he act ivity?
    yes
    React & Adapt
    Self learning (using quarantine)
    Ishostorlink___n°.--------inquarantine? i—► alert list yes
    Log (J) Analyze alerts
    quarantine θυ pdate quarantine
    Alert
    END
    END
    END
    Figure 4
    Hosts DB
    Host OS IP vendor role A windows 10.10.1.1 ? SCADA B windows 10.10.1.2 Dell Terminal C linux 10.10.2.3 Dell DNS D proprietary 172.1.41.5 Siemens PLC
    Link DB
    Source Target Proto Port Message type Link type A B SMB 139 read file cross-network B A SMB 139 open file cross-network A D Modbus 502 read value local A D STEP7 53 reprogram local A C DNS 60 solve name local
    Figure 5
    Figure 6
    OS = Windows
    IP = 10.10.1.1 vendor = Delta V Emerson
    Host
    A
    role= DCS protos= {Modbus, SMB}
    OS = Windows
    IP = 10.10.1.2 vendor = Delta V Emerson
    Host
    B role = DCS protos= {Modbus, SMB}
    vendor = Delta V Emerson role = PLC
    OS = na
    IP = 172.1.41.5
    Host
    C
    protos= {Modbus}
    Host
    D
    OS = na
    IP= 172.1.41.6 vendor = Delta V Emerson role = PLC protos= {Modbus}
    ID Consistency rule
    1 if host.role c {PLC} then host.protos c {Modbus} 2 if host.role c {PLC} then host.role c {Master, RTU} 3 if host.OS == Windows then host.vendor c. {Dell}
    Figure 7
    Network traffic dataset
    ID L.H .OS Src L.H . Src vendor L.H .. Src role L.H .OS dst L.H . dst vendor L.H .role dst L.Proto L.DstPort L.Message Type 1 windows Dell Terminal windows Dell Terminal SMB 139 read file 2 windows Dell Terminal windows Dell Terminal SMB 139 open file 3 windows Dell SCADA proprietary Siemens PLC Modbus 502 read value 4 windows Dell SCADA proprietary Siemens PLC STEP7 53 reprogram
    Figure 8 network traffic
    rule mining rules translation to policy —► policy reduction -► policy conflict resolution final policies set
    Figure 9
    Quar< intine ID Target (G) Support legit (Hyp0) Support malicious (HypJ Evidence (E) Traffi c (M) 1 Host={id = 1,..} 0.60 0.80 0.81 1.00 0.00 0.00 0.00 0.00 New Host New Host Attribute Value (role = PLC) New Host Attribute Value (vendor= ABB) User feedback (host is legit) 2 Link={ id=3, L.H.src.id = 2 L.H.dst.id =1,..} 0.00 0.00 0.00 1.00 0.25 0.70 0.90 0.00 New Link (from host 2 (role=terminal) to host 1 (role =PLC)) New Link Attribute Value (L.MessageType = reprogram) Alert (terminal reprograms PLC) User feedback (Terminal can reprogram PLC) 3 Link= {id=2, H.src.id = 1 H.dst.id =15, ...} 0.50 0.10 New Link Attribute Value (L.MessageType=read)
    Figure 10
NL2020552A 2018-03-08 2018-03-08 Attribute-based policies for integrity monitoring and network intrusion detection NL2020552B1 (en)

Priority Applications (10)

Application Number Priority Date Filing Date Title
NL2020552A NL2020552B1 (en) 2018-03-08 2018-03-08 Attribute-based policies for integrity monitoring and network intrusion detection
US16/975,561 US11641370B2 (en) 2018-03-08 2019-03-07 Attribute-based policies for integrity monitoring and network intrusion detection
PCT/NL2019/050147 WO2019172762A1 (en) 2018-03-08 2019-03-07 Attribute-based policies for integrity monitoring and network intrusion detection
JP2020546891A JP7654404B2 (ja) 2018-03-08 2019-03-07 完全性監視及びネットワーク侵入検出のための属性ベースのポリシー
EP19726180.3A EP3763099B1 (en) 2018-03-08 2019-03-07 Attribute-based policies for integrity monitoring and network intrusion detection
AU2019232391A AU2019232391B2 (en) 2018-03-08 2019-03-07 Attribute-based policies for integrity monitoring and network intrusion detection
CA3092260A CA3092260A1 (en) 2018-03-08 2019-03-07 Attribute-based policies for integrity monitoring and network intrusion detection
IL276895A IL276895B2 (en) 2018-03-08 2019-03-07 Attributes-Based Security Policies For Integrity Monitoring And Network Intrusion Detection
US18/122,919 US11949704B2 (en) 2018-03-08 2023-03-17 Attribute-based policies for integrity monitoring and network intrusion detection
US18/623,265 US20240340299A1 (en) 2018-03-08 2024-04-01 Attribute-based policies for integrity monitoring and network intrusion detection

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
NL2020552A NL2020552B1 (en) 2018-03-08 2018-03-08 Attribute-based policies for integrity monitoring and network intrusion detection

Publications (1)

Publication Number Publication Date
NL2020552B1 true NL2020552B1 (en) 2019-09-13

Family

ID=62167860

Family Applications (1)

Application Number Title Priority Date Filing Date
NL2020552A NL2020552B1 (en) 2018-03-08 2018-03-08 Attribute-based policies for integrity monitoring and network intrusion detection

Country Status (1)

Country Link
NL (1) NL2020552B1 (nl)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1986391A1 (en) * 2007-04-23 2008-10-29 Mitsubishi Electric Corporation Detecting anomalies in signalling flows
US20110167493A1 (en) * 2008-05-27 2011-07-07 Yingbo Song Systems, methods, ane media for detecting network anomalies
US20170163666A1 (en) * 2015-12-07 2017-06-08 Prismo Systems Inc. Systems and Methods for Detecting and Responding To Security Threats Using Application Execution and Connection Lineage Tracing
US20170195197A1 (en) * 2011-07-26 2017-07-06 Security Matters B.V. Method and system for classifying a protocol message in a data communication network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1986391A1 (en) * 2007-04-23 2008-10-29 Mitsubishi Electric Corporation Detecting anomalies in signalling flows
US20110167493A1 (en) * 2008-05-27 2011-07-07 Yingbo Song Systems, methods, ane media for detecting network anomalies
US20170195197A1 (en) * 2011-07-26 2017-07-06 Security Matters B.V. Method and system for classifying a protocol message in a data communication network
US20170163666A1 (en) * 2015-12-07 2017-06-08 Prismo Systems Inc. Systems and Methods for Detecting and Responding To Security Threats Using Application Execution and Connection Lineage Tracing

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
GARCIA-TEODORO P ET AL: "Anomaly-based network intrusion detection: Techniques, systems and challenges", COMPUTERS & SECURITY, ELSEVIER SCIENCE PUBLISHERS. AMSTERDAM, NL, vol. 28, no. 1-2, 1 February 2009 (2009-02-01), pages 18 - 28, XP025839371, ISSN: 0167-4048, [retrieved on 20080827], DOI: 10.1016/J.COSE.2008.08.003 *

Similar Documents

Publication Publication Date Title
US11949704B2 (en) Attribute-based policies for integrity monitoring and network intrusion detection
US12363157B2 (en) Cyber security appliance for an operational technology network
US20240414211A1 (en) Cybersecurity components communicating and cooperating with one or more large language models
US12500901B2 (en) Method for cyber threat risk analysis and mitigation in development environments
US20250112940A1 (en) Framework for investigating events
US7966659B1 (en) Distributed learn mode for configuring a firewall, security authority, intrusion detection/prevention devices, and the like
US20240031380A1 (en) Unifying of the network device entity and the user entity for better cyber security modeling along with ingesting firewall rules to determine pathways through a network
CN115996146A (zh) 数控系统安全态势感知与分析系统、方法、设备及终端
US12244630B2 (en) Security threat alert analysis and prioritization
US20240223596A1 (en) Large scale security data aggregation, with machine learning analysis and use of that security data aggregation
WO2023218167A1 (en) Security threat alert analysis and prioritization
US20250030744A1 (en) Contextualized cyber security awareness training
CN119047836B (zh) 一种电力监控系统资产风险评估方法、装置、终端设备及存储介质
US20250323930A1 (en) System and method for modeling and prioritization of attack paths in network environments
US20240406195A1 (en) Interactive extension for a cybersecurity appliance
NL2020552B1 (en) Attribute-based policies for integrity monitoring and network intrusion detection
NL2020635B1 (en) Attribute-based policies for integrity monitoring and network intrusion detection
NL2020632B1 (en) Attribute-based policies for integrity monitoring and network intrusion detection
NL2020634B1 (en) Attribute-based policies for integrity monitoring and network intrusion detection
NL2020633B1 (en) Attribute-based policies for integrity monitoring and network intrusion detection
Mahmood et al. Enhancing Network Security: A Study on Classification Models for Intrusion Detection Systems
Werling Behavioral profiling of SCADA network traffic using machine learning algorithms
Fteiha et al. Enhancing IoT network security: a literature review of intrusion detection systems and their adaptability to emerging threats
SADIGOVA SMT-BASED VERIFICATION OF BUILDING MANAGEMENT SYSTEMS