JP6557774B2 - プロセストレースを用いたグラフベースの侵入検知 - Google Patents
プロセストレースを用いたグラフベースの侵入検知 Download PDFInfo
- Publication number
- JP6557774B2 JP6557774B2 JP2018502363A JP2018502363A JP6557774B2 JP 6557774 B2 JP6557774 B2 JP 6557774B2 JP 2018502363 A JP2018502363 A JP 2018502363A JP 2018502363 A JP2018502363 A JP 2018502363A JP 6557774 B2 JP6557774 B2 JP 6557774B2
- Authority
- JP
- Japan
- Prior art keywords
- entities
- graph
- score
- entity
- valid
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
Claims (20)
- 悪意のあるプロセスを検知するための方法であって、
コンピュータが、
システムのエンティティを表す頂点とそれぞれのシステムのエンティティ間のイベントを表す辺とを有する、各辺が2つのシステムのエンティティ間のそれぞれのイベントに対応する1つまたは複数のタイムスタンプを備えたグラフとしてシステムデータをモデル化し、
起こり得る攻撃に関連する有効な経路パターンの集合を生成し、
前記グラフ上でランダムウォークを用いて、前記グラフ及び前記有効な経路パターンに基づいて前記システムにおける1つまたは複数のイベントシーケンスを疑わしいと判定する、方法。 - 前記システムのエンティティは、前記システムにおけるファイル、前記システムにおけるプロセス、前記システムにおけるUNIX(登録商標)ソケット及び前記システムにおけるインターネットソケットを備える、請求項1に記載の方法。
- 前記有効なパターンは、前記システムのエンティティタイプの特性に基づいて判定される、請求項1に記載の方法。
- 前記有効な経路パターンは、過去の侵入攻撃に基づく経験によりセキュリティ専門家から提供される定義に基づいて判定される、請求項3に記載の方法。
- 前記1つまたは複数のイベントシーケンスを疑わしいと判定することは、前記コンピュータが、前記グラフ内で候補経路の幅優先探索を実施することを有する、請求項1に記載の方法。
- 前記幅優先探索は、前記辺のタイムスタンプに基づく時間順制約を備える、請求項5に記載の方法。
- 前記1つまたは複数のイベントシーケンスが疑わしいと判定することは、前記コンピュータが、辺上の前記エンティティがそれらのエンティティに関して通常の役割から偏移していると判定することを有する、請求項1に記載の方法。
- エンティティがそれらのエンティティに関して前記通常の役割から偏移していると判定することは、前記コンピュータが、送信者エンティティの送信者スコア及び受信者エンティティの受信者スコアを判定することを有する、請求項7に記載の方法。
- 1つまたは複数のイベントシーケンスを疑わしいと判定することは、前記コンピュータが、各イベントシーケンスにおける各エンティティの前記送信者スコア及び受信者スコアに基づいて異常スコアを計算することを有する、請求項8に記載の方法。
- 1つまたは複数のイベントシーケンスを疑わしいと判定することは、前記コンピュータが、ボックスコックスベキ変換を用いて異常スコアを正規化することを有する、請求項9に記載の方法。
- 悪意のあるプロセスを検知するためのシステムであって、
システムのエンティティを表す頂点とそれぞれのシステムのエンティティの間のイベントを表す辺とを有する、各辺が2つのシステムのエンティティ間のそれぞれのイベントに対応する1つまたは複数のタイムスタンプを備えたグラフとしてシステムデータをモデル化するように構成されたモデリングモジュールと、
起こり得る攻撃に関連した有効な経路パターンの集合を生成し、前記グラフ上でランダムウォークを用いて、前記グラフ及び前記有効な経路パターンに基づいて前記システムにおける1つまたは複数のイベントシーケンスを疑わしいと判定するように構成されたプロセッサを備える、悪意のあるプロセス経路発見モジュールと、
を有する、システム。 - 前記システムのエンティティは、前記システムにおけるファイル、前記システムにおけるプロセス、前記システムにおけるUNIX(登録商標)ソケット及び前記システムにおけるインターネットソケットを備える、請求項11に記載のシステム。
- 前記悪意のあるプロセス経路発見モジュールは、前記システムのエンティティタイプの特性に基づいて有効なパターンを判定するようにさらに構成された、請求項11に記載のシステム。
- 前記悪意のあるプロセス経路発見モジュールは、過去の侵入攻撃に基づく経験によりセキュリティ専門家から提供される定義に基づいて有効な経路パターンを判定するようにさらに構成された、請求項13に記載のシステム。
- 前記悪意のあるプロセス経路発見モジュールは、前記グラフ内で候補経路の幅優先探索を実施するようにさらに構成された、請求項11に記載のシステム。
- 前記幅優先探索は、前記辺のタイムスタンプに基づく時間順制約を備える、請求項15に記載のシステム。
- 前記悪意のあるプロセス経路発見モジュールは、辺上の前記エンティティがそれらのエンティティに関して通常の役割から偏移しているか否かを判定するようにさらに構成された、請求項11に記載のシステム。
- 前記悪意のあるプロセス経路発見モジュールは、送信者エンティティの送信者スコアと受信者エンティティの受信者スコアとを判定するようにさらに構成された、請求項17に記載のシステム。
- 前記悪意のあるプロセス経路発見モジュールは、各イベントシーケンスにおける各エンティティの前記送信者スコア及び受信者スコアに基づいて異常スコアを計算するようにさらに構成された、請求項18に記載のシステム。
- 前記悪意のあるプロセス経路発見モジュールは、ボックスコックスベキ変換を用いて異常スコアを正規化するようにさらに構成された、請求項19に記載のシステム。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201562196404P | 2015-07-24 | 2015-07-24 | |
| US62/196,404 | 2015-07-24 | ||
| US15/213,896 US10305917B2 (en) | 2015-04-16 | 2016-07-19 | Graph-based intrusion detection using process traces |
| US15/213,896 | 2016-07-19 | ||
| PCT/US2016/043040 WO2017019391A1 (en) | 2015-07-24 | 2016-07-20 | Graph-based intrusion detection using process traces |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018526728A JP2018526728A (ja) | 2018-09-13 |
| JP6557774B2 true JP6557774B2 (ja) | 2019-08-07 |
Family
ID=57885033
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018502363A Active JP6557774B2 (ja) | 2015-07-24 | 2016-07-20 | プロセストレースを用いたグラフベースの侵入検知 |
Country Status (3)
| Country | Link |
|---|---|
| JP (1) | JP6557774B2 (ja) |
| DE (1) | DE112016002806T5 (ja) |
| WO (1) | WO2017019391A1 (ja) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11159549B2 (en) | 2016-03-30 | 2021-10-26 | British Telecommunications Public Limited Company | Network traffic threat identification |
| EP3437290B1 (en) | 2016-03-30 | 2020-08-26 | British Telecommunications public limited company | Detecting computer security threats |
| US11194915B2 (en) | 2017-04-14 | 2021-12-07 | The Trustees Of Columbia University In The City Of New York | Methods, systems, and media for testing insider threat detection systems |
| EP3891636B1 (en) | 2018-12-03 | 2025-06-11 | British Telecommunications public limited company | Detecting vulnerable software systems |
| EP3663951B1 (en) | 2018-12-03 | 2021-09-15 | British Telecommunications public limited company | Multi factor network anomaly detection |
| US11989289B2 (en) | 2018-12-03 | 2024-05-21 | British Telecommunications Public Limited Company | Remediating software vulnerabilities |
| US11960610B2 (en) | 2018-12-03 | 2024-04-16 | British Telecommunications Public Limited Company | Detecting vulnerability change in software systems |
| EP3891639B1 (en) | 2018-12-03 | 2024-05-15 | British Telecommunications public limited company | Detecting anomalies in computer networks |
| EP3681124B8 (en) | 2019-01-09 | 2022-02-16 | British Telecommunications public limited company | Anomalous network node behaviour identification using deterministic path walking |
| CN111651761B (zh) * | 2019-03-04 | 2023-04-14 | 腾讯科技(深圳)有限公司 | 一种黑产电子设备检测方法、装置、服务器及存储介质 |
| US11483326B2 (en) | 2019-08-30 | 2022-10-25 | Palo Alto Networks, Inc. | Context informed abnormal endpoint behavior detection |
| CN112487421B (zh) * | 2020-10-26 | 2024-06-11 | 中国科学院信息工程研究所 | 基于异质网络的安卓恶意应用检测方法及系统 |
| JP7753639B2 (ja) * | 2021-01-22 | 2025-10-15 | コニカミノルタ株式会社 | ケア対応支援プログラムおよびケア対応支援システム |
| CN114780957B (zh) * | 2022-03-23 | 2025-01-24 | 阿里云计算有限公司 | 脚本检测方法、装置、设备和存储介质 |
| US12143477B2 (en) * | 2022-09-13 | 2024-11-12 | Capital One Services, Llc | Secure cryptographic transfer using multiparty computation |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7773812B2 (en) * | 2005-04-11 | 2010-08-10 | Microsoft Corporation | Method and system for performing searches and returning results based on weighted criteria |
| US7624448B2 (en) * | 2006-03-04 | 2009-11-24 | 21St Century Technologies, Inc. | Intelligent intrusion detection system utilizing enhanced graph-matching of network activity with context data |
| US7768921B2 (en) * | 2006-10-30 | 2010-08-03 | Juniper Networks, Inc. | Identification of potential network threats using a distributed threshold random walk |
| US8161550B2 (en) * | 2007-01-23 | 2012-04-17 | Knowledge Based Systems, Inc. | Network intrusion detection |
| US8010482B2 (en) * | 2008-03-03 | 2011-08-30 | Microsoft Corporation | Locally computable spam detection features and robust pagerank |
| JP5121622B2 (ja) * | 2008-08-05 | 2013-01-16 | 日本電信電話株式会社 | アクセス先スコアリング方法およびそのプログラム |
| JP2011053893A (ja) * | 2009-09-01 | 2011-03-17 | Hitachi Ltd | 不正プロセス検知方法および不正プロセス検知システム |
-
2016
- 2016-07-20 DE DE112016002806.7T patent/DE112016002806T5/de active Pending
- 2016-07-20 WO PCT/US2016/043040 patent/WO2017019391A1/en not_active Ceased
- 2016-07-20 JP JP2018502363A patent/JP6557774B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2018526728A (ja) | 2018-09-13 |
| WO2017019391A1 (en) | 2017-02-02 |
| DE112016002806T5 (de) | 2018-03-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6557774B2 (ja) | プロセストレースを用いたグラフベースの侵入検知 | |
| US10305917B2 (en) | Graph-based intrusion detection using process traces | |
| Han et al. | Unicorn: Runtime provenance-based detector for advanced persistent threats | |
| US10728263B1 (en) | Analytic-based security monitoring system and method | |
| US11463472B2 (en) | Unknown malicious program behavior detection using a graph neural network | |
| US20230412620A1 (en) | System and methods for cybersecurity analysis using ueba and network topology data and trigger - based network remediation | |
| US10298607B2 (en) | Constructing graph models of event correlation in enterprise security systems | |
| US10289841B2 (en) | Graph-based attack chain discovery in enterprise security systems | |
| Hu et al. | Attack scenario reconstruction approach using attack graph and alert data mining | |
| JP7302019B2 (ja) | システムレベルセキュリティのための階層的挙動行動のモデル化および検出システムおよび方法 | |
| JP5972401B2 (ja) | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム | |
| Sharma et al. | DFA-AD: a distributed framework architecture for the detection of advanced persistent threats | |
| US20160308725A1 (en) | Integrated Community And Role Discovery In Enterprise Networks | |
| US12615267B2 (en) | Thumbprinting security incidents via graph embeddings | |
| Wang et al. | Attentional heterogeneous graph neural network: Application to program reidentification | |
| JP2016091402A (ja) | リスク評価システムおよびリスク評価方法 | |
| CN111200575B (zh) | 一种基于机器学习的信息系统恶意行为的识别方法 | |
| Nafea et al. | Efficient non-linear covert channel detection in TCP data streams | |
| Angelini et al. | An attack graph-based on-line multi-step attack detector | |
| Jeon et al. | An Effective Threat Detection Framework for Advanced Persistent Cyberattacks. | |
| Yuan et al. | Mining software component interactions to detect security threats at the architectural level | |
| CN118890211A (zh) | Apt攻击行为的检测方法、系统及可读存储介质 | |
| WO2018071356A1 (en) | Graph-based attack chain discovery in enterprise security systems | |
| Cheng et al. | A novel probabilistic matching algorithm for multi-stage attack forecasts | |
| Sukhwani et al. | A survey of anomaly detection techniques and hidden markov model |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180123 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20181219 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190122 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190220 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190702 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190712 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6557774 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |