CN105191257A - 用于检测多阶段事件的方法和装置 - Google Patents
用于检测多阶段事件的方法和装置 Download PDFInfo
- Publication number
- CN105191257A CN105191257A CN201480026542.4A CN201480026542A CN105191257A CN 105191257 A CN105191257 A CN 105191257A CN 201480026542 A CN201480026542 A CN 201480026542A CN 105191257 A CN105191257 A CN 105191257A
- Authority
- CN
- China
- Prior art keywords
- event
- stage
- parameter
- transition
- multistage
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N7/00—Computing arrangements based on specific mathematical models
- G06N7/01—Probabilistic graphical models, e.g. probabilistic networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Data Mining & Analysis (AREA)
- Mathematical Physics (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Algebra (AREA)
- Computational Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Pure & Applied Mathematics (AREA)
- Probability & Statistics with Applications (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Debugging And Monitoring (AREA)
Abstract
一种对***进行监测以检测在所监测的***中的多阶段事件的发生的多阶段检测器(100),该多阶段事件检测器包括:一个或更多个事件检测检测器单元(142、144),该事件检测检测器单元用于检测在所监测的***上正在发生的可观测事件;一个或更多个参数生成检测器单元(152、154),该参数生成检测器单元用于生成根据所监测***的行为而随时间改变的参数值;隐性状态确定器(120),该隐性状态确定器用于基于一个或更多个事件检测检测器单元的输出确定***的关注状态的可能序列;以及过渡确定器(130),该过渡确定器用于基于将由所述一个或更多个参数生成检测器单元中的一个或更多个所生成的参数或一组参数的一组值和与不同的过渡的发生相关联的相应参数或一组参数的多组值或多个预先指定的函数进行比较,来确定可能的过渡的发生。
Description
技术领域
本发明涉及用于从观测数据确定***行为的方法和装置,具体地用于检测多阶段事件。更具体地说,本发明涉及用于基于对网络或子网络的设备的行为的观测、或在网络或子网络上流动的业务流的观测、或诸如第三方社交媒体网站等的第三方设备的行为的观测,来检测诸如在连接到互联网的计算设备的计算机网络或子网络上的恶意网络攻击的行为的方法和装置。
背景技术
随着所谓“网络攻击”(此处被用作通用术语来涵盖如包括分布式拒绝服务(DDOS)的拒绝服务(DOS)、利用恶意软件(例如,作为DOS攻击的一部分或者简单地为了窃取信息(例如,客户的***详细信息)等)攻击和试图感染目标计算机设备的活动)复杂性的增加,它们变得既更难于利用单一检测器进行检测,同时它们又趋于越来越像多阶段攻击地发生,其经过可以由有经验的安全技术专家辨识(为不同的阶段)的若干不同的阶段。
因此,尽管存在已知的用于检测与多阶段网络攻击的各种不同的典型阶段相关联的各种不同的检测器处的恶意业务流和/或活动的已知特征(signature)的监测器,但是通常难以仅使用单一监测器(或甚至孤立工作的多个不同的监测器)检测复杂的多阶段攻击。相反,这种复杂的多阶段攻击通常仅可以通过将各种不同的活动(一般由不同的检测器检测)联系在一起并作为单个多阶段攻击的多个方面一起对它们进行检查而被成功检测到。
例如,DDOS攻击通常以特定目标组织的一些不好的公共关系(PR)被在新闻或者社交媒体网站上观察到开始,或以目标组织的某些新的弱点被公开开始。随后潜在攻击者会开始谈论该目标并开始交流针对攻击的想法,并且招募其它攻击者或与其它攻击者联合力量。在此后的某时,对携带特定的DOS有效负荷的蠕虫的检测可以被观测到。然后,可以在与目标组织相关联的目标网络上观测到扫描活动,和/或特定的HTTP请求量可能增加并且可以检测到装载有DOS恶意软件的受牵连的/感染的机器。最终,从在特定协调时间从目标组织网络的内部和外部两者的多个机器启动攻击,以击垮与目标组织相关联的至关重要的服务。
如上所述,这样的多阶段攻击经常可以击败个别点检查,并仅可以通过将攻击的各种不同的阶段联系到一起并且一起检查而被检测到。例如,登录失败是相当普遍的,并且不太可能导致重大安全事故。然而,登录失败,随后成功登陆,并获取管理权限(由恶意的未经授权的用户),并且然后安装(恶意)软件,并且随后观测到在网络上流动的异常业务流非常有可能合计为攻击成功的表示。
用于通过寻找攻击的这些不同的多个阶段来自动或者半自动地识别攻击的各种方法已被提出,并且这种方案的选择被阐述如下:
Do-hyeonLee、Doo-youngKim、Jae-ilJung的“Multi-stageIntrusionDetectionSystemUsingHiddenMarkovModel(HMM)Algorithm”(2008InternationalConferenceonInformationScienceandSecurity)提出了使用HMM算法的多阶段入侵检测***(IDS)构架,并提出了一种用于通过对在入侵的各个阶段发生的特征的评估来确定入侵/攻击的方法。使用“特征入侵信号”(即,规则集)来检测在各个阶段使用的入侵技术(例如,进行网络探测)。各个攻击阶段具有执行独立检测功能的检测代理。其对从网络线路收集到的数据进行分析,以(使用规则集)识别那些已知是入侵的信号。由检测代理检测到的信号序列随后被合成,并且使用HMM算法确定所合成的检测到的序列是否对应于入侵序列。这篇论文中所描述的方法和***旨在产生更好的IDS,其能够将在不同的时间点的“本地”警报(即,入侵信号)关联,以识别最终的入侵/攻击对象。各个检测代理(针对各个阶段)似乎是与每个其它检测代理相互独立,因此其不具有任何来自关于某一攻击目标的先前阶段的信息。相反,仅当代理的检测信号被合成时,才执行关联(例如,使用相同的目的地IP地址)。***不考虑(例如)诸如社交媒体中的讨论、或被宣布的新的弱点这样的外部因素。
Ourston等的“ApplicationsofHiddenMarkovModelstoDetectingMulti-stageNetworkAttacks”(Proceedingsofthe36thHawaiiInternationalConferenceonSystemSciences-2003)描述了一种用于使用隐马尔可夫模型(HMM)检测多阶段攻击的方法并将HMM方法的有效性与其它机器学习技术进行比较。该论文相当掩盖确定可见状态值的精确方式,大概是因为无论使用什么方法来实现对于被比较的机器学习技术都是相同的,使得无论选择什么方法该对比都应仍是有效的。然而,他们建议使用多个检测器并预处理这些检测器的输出,并且他们建议由人工专家来执行警报类型(例如,端口探测)和入侵类别(例如,初始侦察)之间的一些映射。但是该映射似乎在可观测值和隐性状态之间,因此未使提供给HMM模型的可观测值的性质清楚。在任何事件中,这篇论文的主要结论是HMM非常适合于检测多阶段网络攻击的任务。
US2012/0329426描述了用于检测攻击是否当前正被施加到蜂窝设备上的攻击检测***。所描述的实施方式包括三种不同类型的检测器—基于规则的检测器、基于支持向量机的检测器和隐马尔可夫模型检测器。这些操作中的每个都彼此独立,并且然后不同设备的结果被组合以基于关于是否发生攻击的不同类型的检测器的评估而给出一致决策,但是不存在将不同类型的检测器的结果组合以评估正发生什么种类的攻击或评估(在多阶段攻击中)攻击当前已经达到什么阶段。
XianfengSong等的“AWeakHiddenMarkovModelbasedintrusiondetectionmethodforwirelesssensornetworks”(ProceedingsoftheinterneationalConferenceonIntelligentComputingandIntegratedSystems(ICISS)2010,pages887-889)描述了用于使用弱隐马尔可夫模型(W-HMM)检测无线传感器网络中的入侵的方法。W_HMM是常规HMM的非参数版本,其中状态过渡概率被缩减为可达性的规则。该***定义了观测结果的任意给定组与预定义的观测结果的常规序列的偏差距离,并且如果观测结果的任意给定组的偏差距离超出阀值偏差距离,则视为正在发生攻击。
所有试图在相对复杂的***(其中在交叠的时间段内超过一个多阶段事件可能正在发生)中检测多阶段事件发生的***所面临的困难是,如何有效地保持对单独的多阶段事件发生的跟踪并且不被交叠的多阶段事件的检测所混淆,以及另外如何有效地处理以下的可能性,即在多阶段事件的早期阶段多阶段事件可能不能与具有相似或相同的初始行为的其它事件辨别(或难以区分)。
发明内容
根据本发明的第一方面,提供了一种对***进行监测以检测在所监测的***中的多阶段事件的发生的多阶段事件检测器,该多阶段事件检测器包括:一个或更多个事件检测检测器单元,该一个或更多个多阶段事件检测器用于检测在所监测的***上的可观测的事件的发生;一个或更多个参数生成检测器单元,该一个或更多个参数生成检测器单元用于生成根据所监测的***的行为而随时间改变的参数值(其中,各个参数生成检测器单元可与事件检测检测器单元相一致);隐性状态确定器,该隐性状态确定器用于基于一个或更多个事件检测检测器单元的输出确定***的关注状态的可能序列;以及过渡确定器,该过渡确定器用于基于将由一个或更多个参数生成检测器单元中的一个或更多个参数生成检测器单元所生成的参数或一组参数的一组值和与不同的过渡的发生相关联的相应参数或一组参数的多组值或多个预先指定的函数进行比较来确定可能的过渡的发生。
优选地,隐性状态确定器包括***的模型,该***的模型指定***能够占用(即,处于)的多个不同的隐性状态(或关注状态)、可以由事件检测检测器单元(直接或间接)确定的多个可见状态、以及一组概率,该一组概率至少包括表示***从一个隐性状态过渡到另一隐性状态的概率的多个过渡概率以及表示特定可见状态由事件检测检测器单元确定(或检测到)的概率的多个产生概率。优选地,该模型(实际上)是隐马尔可夫模型(HMM)并且最优选的是一阶HMM。优选地,如上面所引用的Ourston的论文中所提及的,包含在模型内的各种概率值的值使用诸如最大似然过程(maximumlikelihoodprocedure)的自动训练过程来生成,同时隐性以及可见状态的指定是由人工专家使用对多阶段事件检测器的接口来指定。
由过渡确定器做出的确定可以以多个不同方式被使用,以改善隐性状态确定器的操作(按照在它曾独立于过渡确定器工作的情况下那样操作)。
例如,所述确定可被用作在隐性状态确定器已经做出隐性状态的特定估计序列的确定之后的验证/反驳步骤(或者或许只是由隐性状态确定器对***的当前可能(隐性)状态的估计的验证或反驳—即,如果HMM确定最有可能的是***已经从阶段_1过渡到阶段_2,如果过渡确定器识别可能的过渡已经发生到阶段_2(例如,如果其识别到从参数生成检测器单元的输出浮现的模式,该模式给出对从阶段_1到阶段_2的过渡的匹配的相当高的概率,该过渡并且将该模式与我们预期的针对从阶段_1到阶段_2的过渡行为进行比较-如果匹配,则我们验证由HMM所作出的决定,否则我们推断这样的过渡实际上还没有发生,而与HMM做出的评估无关。
在第二个示例中,由过渡确定器做出的决定可被用作一种帮助多阶段事件检测器来仅基于隐性状态的部分序列来预测可能的将来的隐性状态或对不同的多阶段事件进行区别的手段(特别是,其中不同的事件共享初始状态序列,并仅依据序列的后续部分的隐性状态序列进行区别(例如,如果第一多阶段事件遵循阶段_1、阶段_2、阶段_3序列,第二多阶段事件遵循阶段_1阶段_2、阶段_4序列,同时多阶段事件检测器还未看到***已经移至多阶段事件的阶段_3或者阶段_4的证据,这将很难判定正在见证第一多阶段事件还是第二多阶段事件))。例如,可能的是,***包括根据第一多阶段事件的与从阶段_1到阶段_2的第一过渡相关联的第一预先指定的函数,和与也从阶段_1到阶段_2的第二过渡相关联的第二预先指定的函数,但是以与第一预先设定的函数不同的方式,并且相反与第二多阶段事件相关联而不是与第一多阶段事件相关联。在这种情况下,如果过渡确定器确定其已经发现比第一预先设定的函数更加接近地匹配第二预先设定的函数的过渡的证据,则多阶段事件检测器可确定更有可能见证第二多阶段事件而不是第一多阶段事件。优选地,过渡确定器至少确定指定可信度的信任值,以该信任值已经确定匹配预先设定的过渡函数的过渡的发生。可以使用诸如线性回归的技术,以生成表示由一个或更多个参数生成检测器单元生成的参数的一组生成的值对和一个或更多个预先设定的类型的过渡相关联的多个预先设定的函数中的一个或更多个函数的拟合程度的分数。这里,过渡确定器的输出是表示一组参数值与预先指定的过渡类型的匹配程度的一组信任值,然而在一些实施方式中,这样的信任值可以与形成由隐性状态确定器所使用的模型的一部分的过渡概率相结合,例如,通过将它们相乘在一起(可能在对信任值和过渡概率中的一方或另一方或二者应用加权之后)并且然后归一化(例如,继续用上面给定的示例,如果过渡确定器生成已看到匹配第二预先指定的函数的过渡的为0.8的信任值,和已看到匹配第一预先指定的函数的过渡的为0.1的信任值,并且如果隐性状态确定器正使用包括从阶段_2状态过渡到阶段_3状态的为0.5的过渡概率和从阶段_2状态过渡到阶段_4状态的为0.3的过渡概率的HMM,则多阶段事件检测器可以结合这些来判定出最有可能观察到第二类型的多阶段事件(具有序列阶段_1、阶段_2、阶段_4)而不是第一类型多阶段事件,因为0.8*0.3>0.1*0.5,即0.24>0.05)。
在第三示例中,由过渡确定器做出的决定可被用于修正在隐性状态确定器所使用的模型中所使用的某些参数。例如,过渡确定器进行的对已将由参数生成检测器单元生成的一系列参数值与多个预先指定的函数中的一个函数进行匹配(例如,通过为该匹配指定超出某一阀值的信任值)的确定可得到隐性状态确定器所使用的HMM模型将它的概率值的某些概率值修正,并然后利用修正后的概率针对事件检测检测器单元的输出运行(或再次运行)HMM模型。例如,过渡确定器的已观测到第二过渡类型(根据上面的示例,对应于作为涉及序列阶段_1、阶段_2、阶段_4的多阶段事件的一部分的从阶段_1到阶段_2的过渡)的确定可导致从阶段_1状态到阶段_2状态和/或从阶段_2状态到阶段_4状态的过渡的过渡概率增加(在后一种情况下,优选地,以牺牲阶段_2状态到阶段_3状态的过渡概率为代价),和/或诸如特定的可见状态或者由阶段_2状态和/或阶段_4状态二者之一或者二者所产生的状态等的概率的其它概率可被修正。
在由过渡确定器做出的确定如何可被用于影响多阶段事件检测器的行为的第四示例中,可采用纯隐性模型方法,其中过渡本身被建模为独立状态,并且过渡确定器的输出被用作可见状态确定器,其与事件检测检测器单元相结合以生成整体可见状态,该整体可见状态随后被隐性状态确定器所使用以生成隐性状态的估计序列,该隐性状态的估计序列包括多阶段事件的阶段以及多阶段事件的阶段之间的过渡。在这种情况下,参数生成检测器单元以及过渡确定器的操作可被认为在隐性状态确定器的最终操作之前实施的预处理步骤。为了将以该方式(对应于这个第四示例)使用过渡确定器的实施方式与以更类似于上面的前三个示例的方式使用过渡确定器的实施方式进行区别,在前的这种实施方式可被称为纯隐性状态模型实施方式,而后者可被称为混合模型实施方式(由于诸如HMM的隐性状态模型与过渡确定模型相结合被使用,而不是只使用过渡确定器作为隐性状态模型的预处理部分)。
优选地,多阶段事件检测器被使用来检测多阶段计算机网络攻击。如上所讨论的本发明的实施方式尤其适用于检测多阶段计算机网络攻击(例如,网络攻击),因为它们能够很好地应对在阶段之间具有较长并多变的过渡的冗长的攻击。此外,它们可以通过利用多阶段事件的阶段对准隐性状态来使用相对简单并因此强健同时精确的具有相对较少的隐性状态的隐性状态模型。这使得检测器的操作和输出对于人工用户来说更容易理解,这在机器学习***中通常是重要的因素,并且由于由人工专家用户来输入将与某些多阶段事件(例如,某些类型的网络攻击)相关联的条件的使用而在某些实施方式中尤其有帮助。
在一些实施方式中,过渡确定器可被用于帮助将时间段划分成多阶段事件的阶段以及阶段之间的过渡。因此,在一些实施方式中,多阶段事件检测器输出作为构成一系列多阶段事件的阶段以及阶段之间的过渡的时间段的表示,并且将这些阶段中的每个与时间段相关联以供检测器的使用者的后续分析。
根据本发明的第二方面,提供了一种多阶段事件检测器,该多阶段事件检测器包括可操作以生成主进程和子进程的进程生成器,各个主进程和子进程可操作以生成及发起一个或更多个检测代理,这些检测代理中的每个可操作以通过检测触发事件或者一系列事件的发生而被触发,并在被如此触发时报告返回至其发生进程或子进程,并且其中,各个进程或子进程可操作以从通过向父进程或子进程或向整体控制器报告对多阶段事件或其部分的检测,对从被触发的检测代理接收报告进行响应,或以生成及发起检测代理或者子进程。
优选地,多阶段事件检测器还包括条件的存储和用户接口,通过该用户接口安全专家用户可以将被用于生成检测代理所使用的触发事件条件的值输入到存储。优选地,检测器允许安全专家用户通过描述其多个阶段并设置一些与各个阶段以及阶段之间的各个过渡相关联的测量/阀值来人工定义多阶段事件场景。
优选地,多阶段事件检测器可操作以如果在全部事件已经发生或者已经被检测到之前确定多阶段事件正在发生则告知用户。
优选地,检测器包括存储许多不同模式的模式数据库,每个模式与不同类型的多阶段事件相关联。每个模式优选地包括阶段的唯一序列(尽管超过一个模式可以对应于单个类型的多阶段事件-例如,被分类为分布式拒绝服务类型的攻击的事件的类型可以与超过一个模式相关联)。
优选地,进程生成器生成用于存储在模式数据库中的各个模式的主进程。优选地,事件检测器可操作以在交叠的时间段内发生但借助于区分特征彼此可区分的相同类型的不同多阶段事件之间区分。在实施方式中,这可以以下面的方式来实现。当由主进程实例化的检测代理被触发作为触发的一部分时,其识别事件的区分特征;然后,该触发使得主进程实例化子进程,该子进程生成寻找指示主进程的模式的第二阶段已经被触发的触发的检测代理的,其中,触发条件包括取决于由主进程实例化的检测代理所识别到的区分特征的方面。
在一些实施方式中,第二方面的检测代理中的每个构成第一方面的事件检测检测器单元。此外,在一些实施方式(它们中的一些可以与前面的句段中所提及的实施方式中的一些一致)中,由子进程生成的各个检测代理所寻找的触发条件根据来自隐性状态确定器(诸如,形成本发明的第一方面的一部分的隐性状态确定器)的输出被指定。例如,主进程可以被实例化来寻找对应于包括阶段_1、阶段_2、阶段_4的阶段序列的模式。可以由主进程利用一般的指示多阶段事件已经伴随阶段_1的发生而开始的触发条件集来生成初始阶段_1检测代理。根据该通过遵循触发条件被触发的检测代理,其可以将指示至少区分特征(例如,目标身份)和可见状态标识符的触发消息报告回主进程,其中主进程可以与形成该主进程所使用的隐性状态模型的一部分的可见状态相关联。该主进程随后生成至少生成阶段_2检测代理的子进程。阶段_2检测代理的触发条件可以包括对将被涉及的相同的区分特征的需求。这还可以取决于隐性状态确定器的关于将导致隐性状态确定器确定***已经过渡到阶段_2状态的可见状态的评定。然后,这将导致将必然导致检测器作为整体确定被跟踪的事件已进入所期望的阶段_2状态的触发器。
在一些实施方式中,超过一个检测代理可以被实例化,尽管它们与单个的触发条件相关联。例如,如果触发条件取决于遵循一个物理***上的一个条件以及不同***上的另一个条件,则一个代理可以被实例化用于监测一个***而另一个用于监测另一个***。
本发明的进一步的方面涉及对应于本发明的第一方面和第二方面的方法,并且涉及用于根据本发明的第一方面或第二方面中的一个使计算机能够作为多阶段事件检测器操作或者用于根据本发明的一个方面使计算机或者其它处理器控制的设备或设备组来实施方法的处理器指令。进一步的方面涉及携带这种处理器指令的载体,优选地诸如磁或光存储盘或者固态存储设备的非临时性载体。
附图说明
为了可以更好的理解本发明,现在将参照附图仅以示例的方式描述本发明的实施方式,其中:
图1是根据本发明的实施方式的包括多阶段事件检测器的计算机网络的示意图;
图2是更加详细地示出图1的多阶段事件检测器的监测引擎的示意图;
图3是根据第二实施方式的图1的多阶段事件检测器的监测引擎的示意图;
图4是由图3的监测代理生成的主进程的示意图;
图5是作为从与阶段1触发条件相关联的检测代理接收触发器响应的结果的图4的主进程和由该主进程生成的子进程的示意图;
图6是作为从与阶段2触发条件相关联的检测代理接收触发器响应的结果的图4的主进程和由该主进程生成的第二子进程的示意图;
图7是根据第三实施方式的图1的多阶段事件检测器的监测引擎的示意图。
具体实施方式
图1示出了根据几个实施方式的包括多事件检测器的计算机网络***,其中,这些实施方式仅在监测引擎100的结构和功能方面不同。下面参照图2(第一实施方式)、图3、图4、图5和图6(第二实施方式)以及图7(第三实施方式)更加详细地讨论第一实施方式、第二实施方式和第三实施方式。
如图1所示,***包括用户1、连接到被监测的网络或可替换的信息源的数据馈送2、4、6和多阶段事件监测器10(在下面进行更加详细的讨论)。
数据馈送2、4、6的性质与本发明不是特别相关,并且因此在本文中将不做更加详细的讨论。但是(例如)数据馈送2可以对应于用于从互联网(尤其是诸如Twitter和Facebook等的社交网站,以及新闻网站和博客等)提取信息的引擎;数据馈送4可以对应于基于网络的入侵检测设备,其监测与正由监测器10监测的一个或更多个组织相关联的一个或更多个计算机网络;以及数据馈送6可以对应于从基于主机的入侵检测***收集数据的引擎,该入侵检测***中的每个与属于被监测的组织等的单个设备相关联。
监测器10包括用于允许用户将信息输入到该监测器以及用于从该监测器提取关于所检测到的事件的信息等的图形用户界面部件20。该监测器还包括关键绩效指标(KPI)、数据挖掘和统计库单元30,该数据挖掘和统计库单元30被用于辅助用户指定某些可以被用于帮助生成触发条件的可观测事件,或者最终被下面进行更加详细地讨论的监测引擎100所使用的可见或可观测的事件。监测器10附加地包括攻击模式单元40。其存储各种预先指定的多阶段事件(诸如,某些网络攻击)的模式,尤其在这些攻击遵循的通常顺序方面(例如,阶段_1、阶段_2、阶段_4)。监测器10附加地包括可以以多种不同的方式(例如,GUI20上的电子邮件、文字讯息、闪烁的指示符等)将警报发送给关注用户的报警引擎。监测器10附加地包括数据源管理器60和多个数据源连接器和提取器72、74、76。该数据源管理器管理接合到数据馈送2、4、6的数据源连接器和提取器72、74、76。最后,监测器附加地包括下面进行更加详细地讨论的监测器引擎100。
KPI、数据挖掘和统计库单元30存储KPI,该KPI是来自数据源的测量结果或可观测的事件并且它们被用于帮助尝试确定是否发生多阶段事件,以及如果是那么已经达到什么阶段。在本实施方式中,用户1创建各种条件(例如,触发条件、过渡函数等),其依赖于数据源连接器和提取器能够从数据馈送提取的某些KPI,可能在由控制器10的一个或更多个元件(可能包括单元30本身)进行一些预处理之后。为了支持由用户1创建条件和过渡函数,单元30提供诸如分组/秒、k比特/秒、点击数/小时、点击数/数据、事件/分钟等的现存的KPI的列表,以及这些可以如何被修改(例如,去往或来自特定网络地址或地址范围的分组/秒等)。用户也可以基于这些KPI来指定条件,例如上下阀值、在指定的持续时间内参数变化的梯度、梯度是增大还是减小等。用户还可以针对特定的条件指定用于KPI的信息应来自何处(例如,来自哪个数据馈送),并且可以基于多个参数、参数的函数、子条件等的逻辑组合形成复杂条件。所有这些都被存储在单元30中。此外,当创建这些测量结果的同时,存在可用于探索数据源以通过也包含在KPI、数据挖掘和统计库单元30中的数据挖掘和统计工具来分析历史数据(例如,在先前识别的多阶段事件等的期间生成的数据,如果涉及先前识别的多阶段事件的这些数据是可用的)的工具。
攻击模式单元允许用户指定他(她)想要监测器10能够跟踪和检测等的某些多阶段事件。每个模式包括各种不同的多阶段事件预计经过的阶段。模式一旦被生成,它们就会被存储在攻击模式数据库中。存在版本管理。用HMM对这些模式进行编码以由监测引擎针对数据馈送来执行。除了针对各个模式创建的阶段外,攻击模式单元40还包括模型(可能使用应用于历史数据的线性回归模型或者技术),该模型除指定多阶段事件经过的阶段的顺序,其主要属性可以由用户1指定。例如,用户可以基于某些测量结果(例如,上面所讨论的KPI)指定可能预计会在某些特定阶段之间以某一近似速率增长的某一参数。这些可以通过使用用户可获得的或直接创建的许多公知技术和工具中的任一种(例如,基于线性回归技术)从历史数据中获悉。
将主要关注多阶段事件中所经过的阶段的序列的隐性状态模型(例如HMM)组合并且对这些阶段之间的变化建模使本发明的实施方式能够利用多阶段事件的时间方面的优势。这解决了与已有的HMM对多阶段事件检测的应用相关的三个关键问题,尤其是多阶段网络攻击的检测。如上所述,存在HMM对多阶段事件检测技术的的一些已知的应用-它们中的大多数监测阶段以及用于各个阶段的信号。还存在使用HMM对阶段过渡进行建模的工作。然而,所有这些在监测可疑活动的连续进度方面存在困难。本发明的实施方式提供一种工具,该工具使人工专家能够创建阶段模式,并且针对各个阶段指定什么源可被用于测量当事件已到达特定的阶段时期望发生的事件。一旦这些阶段被创建,则用户可以附加地指定某些参数可以在阶段之间预计如何变化的函数(例如,用户可指定与其值通常在阶段之间改变的变量有关的某些曲线的形状)。这些函数可以对阶段之间细微的改变进行建模。然后,这些函数可以依次被用于处理活动的很多模糊测量。这些函数的细节(例如,表示在阶段之间过渡期间的参数变化的曲线的改变方向)可以以对于人工专家来说更容易指定的方式更好地对实际情况下更加复杂的情况进行建模,并因此可以减轻人工用户的专业知识。为了辅助人工专家,这些函数可以基于用户1可以指定(或从历史情况中检索)的阶段之间的数据点通过诸如线性回归技术的自动或半自动机器学习技术获悉。指定某些可观测的参数在阶段之间的过渡期间如何改变的函数的这种使用还可以有助于使得由监测器产生的误报的数量最小化,误报是多阶段以及其它种类的复杂事件的监测器常有的问题。
数据源连接器和提取器72、74、76处理数据源相关的问题,包括连接和关键字段的提取。所有这些元数据都被存储在数据源管理器60中。该数据源管理器维持多个表格。这些表格中的至少一个包括数据源id、数据源名称和关键字段,以及用于各个数据馈送2、4、6的数据提取的方法等。在监测器10的一般性操作期间,数据源连接器和提取器72、74、76提取信息并将其发送到以下面将更加详细地描述的方式执行其监测的监测引擎100,并且如果该监测引擎100检测到其认为可能是可疑的任何事件,则生成通知,该通知被传递给报警引擎50,并因此确保生成通知给用户1。
如上所述,监测引擎在不同的实施方式中有所不同。第一实施方式的监测引擎100在图2中被更加详细地例示。该监测引擎主要解决如何提供相对简单的隐性状态模型的问题,该隐性状态模型连同过渡确定器共同使用以提供精确的多事件检测。第二实施方式的监测引擎200(图3中例示)主要解决如何通过生成多个单独的进程来跟踪单个事件(或者可能可疑的事件等)来处理以交叠的方式发生的各种不同的多阶段事件的问题。最后,图7中所例示的第三实施方式的监测引擎300结合第一实施方式和第二实施方式二者的特征来同时处理所有这些问题。
如图2中所示,监测引擎100包括存储器101、处理器单元102、使监测引擎100能够与监测器10的其它元件进行通信的接口104。存储器内所存储的是当由处理器102执行时使相关功能模块运行的各种代码集,所述功能模块起到如下面所描述的相对于各自代码集的作用。为了方便说明,代码集和相关功能模块二者在下面可彼此相交换地来参考并使用相同的附图标记。与执行与本发明有关的功能的监测引擎的操作相关的代码集是控制器代码集110,该控制器代码集110负责使监测引擎100执行该监测引擎的其它功能模块的全面控制;隐性状态模型代码集120,与其相关的功能模块操纵隐性状态模型,以确定针对相应的可见状态值的序列的可能的隐性状态序列;过渡确定器代码集130,与其相关的功能模块执行与将观测到的参数值的序列与预先指定的过渡函数进行比较以寻找可能的匹配相关的功能;事件检测检测器单元代码集142、144,其相应的功能模块配合并处理从数据源连接器和提取器72、74、76输入的数据,以(在控制器模块110的控制下)生成隐性状态确定器120使用的可见事件和/或可见状态值;以及参数生成器代码集152、154,其功能模块也配合并处理从数据源连接器和提取器72、74、76输入的数据,以(在控制器模块110的控制下)生成过渡确定器130使用的参数值。
总的来说,监测引擎100负责从数据馈送2、4、6接收数据,以及识别(单个)多阶段事件的阶段的(推测的)发生。概括地说,该监测引擎100通过使用标准HMM作为隐性状态模型以确定阶段的评估的序列(多阶段事件通过其已经取得进展),同时使用来自过渡确定器的信息来辅助做出最终关于什么事件(如果有的话)正发生以及这样的事件持续发生可能带来的后果(如果有的话)的判定以及可采取的减轻事件的负面影响的任何步骤来实现此。部分通过多阶段事件,隐性状态确定器120识别事件被认为到目前为止已经通过的阶段的部分评估的序列,并且然后(即,一旦认为已经到达特定阶段),监测引擎100选择所有包含部分评估的阶段序列的模式(或者可能在另选实施方式中,所有包含当前评估的阶段的模式),并且随后监测通常包含其值已被指示为与由人工用户1预定的过渡函数相关并且如上所讨论的存储在进攻模式单元40中的预定的参数的进展。
值得注意的是,这与用于多阶段攻击检测器的HMM的现有使用多少有些不同,其中,针对给出的可观测序列O1、O2、...Ot,其为每个定义的HMM计算该序列的概率,并且HMM的最高概率被称为入侵。如果没有与整个多阶段事件相关联的观测的完整序列,这种检测器不善于检测多事件攻击正发生。本实施方式不以该方式使用隐性状态确定器。而是在监测器10接收连续观测(流数据馈送),并计算测量(或者阈值或参数值等),并且然后继续从流输入数据计算这些测量,并且可以确定改变状态。其基于这些状态(这些状态可以只是部分序列)以及过渡信息选择模式(并由此选择可疑的事件-例如,攻击类型)。为了在即使能够准确确认会发生什么事件之前被认为在适于发出警报的时刻(或阶段)能够发出警报,其还继续该监测以及阶段序列和过渡的评估(这可能只在事件已经完成之后是可能的,这可能对于成功减轻该事件的最坏影响来说太晚了)。
当监测器10开始监测新的事件时,监测器10最初只是简单地等待来自事件检测检测器单元的一些相关的结果。在本实施方式中,用户1已经指定的这些查找事件是关注事件的发生的指示。当在控制器110的控制下事件被观测到时,其中控制器确定引起***的可见状态改变,控制器确定事件可能发生,并记录该可能的事件处于相关的阶段(例如,阶段_1)。隐性状态确定器也可以在该点被调用,以根据潜在的隐性状态模型(该隐性状态模型在本实施方式中是一阶HMM)通过处理可见状态的序列确定可能的当前隐性状态(该当前隐性状态对应于事件的阶段(例如,阶段_1)-其中,单阶段可以与包括一些无害的和一些有害的事件的多个不同的事件相关联)。过渡确定器也可在此阶段被调用,以看其是否能够证实从初始没有事件发生的阶段到所推测的事件的当前阶段可能发生的过渡。来自过渡确定器的输出可以被用于反驳事件正在发生的结论,或者可以指示已经到达不同的阶段,或者其可以支持由隐性状态确定器得出的结论。控制器将来自两个确定器120和130的证据相结合,并然后决定是否应向报警引擎发送通知(这可能是这种情况,如果与所确定的阶段相关联的所有可能的事件是有害的,则(可能)需要最好采取减轻措施)。随着附加证据从数据馈送到达,作为由检测器单元142,144和参数生成器152,154所处理的,这些进程利用被用于确定对应于由过渡确定器确定的事件的阶段的可能序列的新的可能的隐性状态序列的隐性状态确定器被重复。当事件的所推测的阶段的部分序列与多个不同类型的事件(特别是如果这些事件中的某些被认为是极其有害的)一致时,过渡确定器可以被用于尝试剔除一些可能类型的事件。如果在这样的剔除之后仅有害的可能的事件保留,则控制器使得适当的通知被发送到警报生成单元,以导致生成给用户的识别可疑的检测到的事件发生的警报。
现在转向图3至图6,在第二实施方式中,代替第一实施方式中的监测引擎100,在监测器10中使用根据本发明的第二实施方式的另选的监测引擎200。如图3所示,监测引擎200包括其改进的存储器201、控制器代码集210和进程生成器代码集260。这些中的每个产生相应的功能模块210、260,功能模块210、260的功能在下面进行讨论。在图3中还示出在存储器201中是各种进程和检测代理。这些正在运行由进程生成器或者由进程中的一个生成的执行的线程。这种软件技术的操作在多线程计算的领域是很好理解的,并且将不会在此进行任何详细描述。
如上所述,本实施方式尤其解决的问题是如何管理监测器10和外部***(数据馈送2、4、6)之间的通信,以检索关于已通过“触发器”或用于多阶段事件的不同阶段的触发器识别到的特定的多阶段事件的所需的“即时”信息(诸如,攻击方案、已经以不同的攻击可以在重叠事件发生并彼此干扰中被分离出来并且单独监测的这样的方式存储在攻击模式单元40中的多个模式。例如,潜在的DDoS(分布式拒绝服务)攻击的阶段_1可能是被Twitter发帖者(poster)极其频繁地(如一个小时内10次)使用的特定的关键字。该信息需要从适当的工具(例如,持续监测Twitter帖子(post)的数据馈送2)被检索并且检查。
由于预计将存在许多包含在数据库中的模式,其中,每个模式可以针对它的阶段具有不同的测量和触发,因此需要***的方法,以从相应的外部***收集即时反馈并继续该模式的后续阶段。需要注意的是,单个模式也可以同时具有多种状态或“路径”,然而,每个路径可以是在不同的阶段中。此外,虽然存在阶段的序列,但是也预计某些阶段可能被跳过。
考虑特定的“DDoS攻击”模式的示例:该模式的阶段_1是在Twitter中的关键字的检测;该模式的阶段_2是极高的入站分组业务的检测(针对特定的IP地址);该模式的阶段_3是在防火墙处的TCP状态耗尽业务的检测。该模式的第一路径可能是基于在Twitter中的讨论,“公司A”很可能正成为攻击的目标(阶段_1)。(同一)模式的第二条路径可能是在防火墙处正经历TCP状态耗尽业务(阶段_3)的另一个“公司B”。因此,不同的路径由当模式引擎评估来自外部***的即时反馈时被识别的不同的攻击的受害者(例如,不同的网络)导致。
由监测引擎200提供的上述困难的解决方案将应用软件代理方法,以处理监测器10和外部***2、4、6之间的通信。存在不同类型的软件代理(即,进程),这些软件代理在它们被激活/发送之前可以被单独参数化,以从不同的外部***检索所需的信息。
在每个模式(实例)开始具有针对不可知的目标的被实例化的单独运行的主进程(例如,主进程1272和主进程2274)(见图3和4)。在此进程272中,模式的各个阶段实例将已经根据阶段需要什么信息以允许移至下一阶段(由人工用户指定的并存储在进攻模式单元40中的触发条件)创建并参数化软件代理291、292、296、297、298(参见图4)。如图4中所示,由于阶段(例如,阶段3)期望来自两个不同的***(例如,来自数据馈送2和数据馈送4)的触发信息,因此阶段也可以具有超过一个软件代理(软件代理3A296和软件代理3B297)。
在本实施方式中,各个阶段预订来自其软件代理的触发信号。在此实施方式中,目标不可知的初始触发条件由人工用户准确指定(例如,是否在指定时间段内检测到超出指定数量的与所监测的目标组织相关联的目标项)。各个软件代理将有能力连接至相应的外部***,查询数据并基于由阶段实例给定的触发条件(例如,阀值)对其进行检查。如果满足条件,则软件代理将向阶段/模式实例发送触发信号。否则,软件代理可能休眠一定时间(例如,<T>ms)并且在稍后的时间再次查询及检查数据。根据阶段实例是否完全依赖于来自先前阶段的信息(例如,受害目标),模式中的任何阶段可以从开始就发送/激活其软件代理(即,同时针对单个模式的多个活动的代理)。
一旦阶段1实例从其软件代理接收到触发,则其创建模式的新的子进程,该子进程随后包含后续的预定它们的相应的软件代理的阶段实例(图4)。该子进程将形成模式的一条“路径”以继续下一步,并且将保持活动直至其达到最终阶段或者由人工分析师手动破坏或者在特定的超时后自动被破坏。为丰富其预测分析能力,定时信息(例如,关于两个触发信号之间的运行事件)将通过模式引擎来记录。每次创建子进程之后,模式的主进程将保持活动并保留来自软件代理的期望触发信号,这可能导致模式的不同路径的创建。此处要注意的关键点是,子进程生成用于任何代理(例如,图5所示的由子进程282生成的软件代理-2293,以及对应于由图3中的子进程1_1282创建的检测代理1_1-2293)的触发条件,它实例化哪个(尽管其基于由用户1预先指定的一般目标不可知条件)哪个就被修改为对特定的目标组织是特有的(但是要注意,这仅仅是一个事件区别于另一个事件的一个示例方式,并且可能在不同的实施方式中使用的其它的区分特征),使得就不同的有所区别的多阶段事件而言,其将不会由被满足的相似的条件所触发。
如前所述,有可能的是,如果从软件代理接收到后续阶段所需的触发信号,则一个或更多个阶段将被跳过。图6示出了模式的阶段1从未从其代理接收到触发信号,但是阶段2从其代理接收到信号并因此与剩余后续阶段一起创建新的子进程的情境(针对由主进程的阶段2代理检测到的目标)。
上述第二实施方式不需要使用隐性状态确定器或者过渡确定器,并且简单的实现可以仅依赖于由用户1所指定的简单的触发条件。然而,第三实施方式结合第一和第二实施方式二者的优势,并在图7中被示出。通常,同样命名的部件以与它们各自在第一和第二实施方式中所对应的相同的方式操作,并因此将不再详细讨论。为此目的,需充分注意的是,利用这样的实施方式,与各个软件代理相关联的触发条件可以基于隐性状态和过渡确定器的输出来生成,以生成使用隐性状态模型和过渡模型的动力动态发展的复杂的触发条件。
例如,如上第9页所述,通过由子进程生成的各个检测代理寻求的触发条件可以根据来自隐性状态确定器的输出来指定。例如,主进程可被实例化寻找对应于包括阶段_1、阶段_2、阶段_4的阶段序列的模式。初始阶段_1检测代理可以由主进程利用指示多阶段事件已经以阶段_1的发生而开始的一般的触发条件集来生成。根据通过遵循触发条件而触发的该检测代理,其可以将指示至少区分特征(例如,目标身份)和可见状态标识符的触发消息报告回主进程,其中,主进程可以与形成该主进程所使用的隐性状态模型的一部分的可见状态相关联。然后,该主进程可以生成至少生成阶段_2检测代理的子进程。阶段_2检测代理的触发条件可以包括对将被涉及到的相同的区分特征的需求。这还可以取决于隐性状态确定器的关于将导致隐性状态确定器确定***已经过渡到阶段_2状态的可见状态的评定。然后,这将导致触发器,该触发器引发检测器作为整体确定被跟踪的事件已经进入阶段_2状态。
Claims (5)
1.一种对***进行监测以检测在所监测的***中的多阶段事件的发生的多阶段事件检测器,所述多阶段事件检测器包括:
一个或更多个事件检测检测器单元,所述一个或更多个事件检测检测器单元用于检测在所监测的***上的能够观测的事件的发生;
一个或更多个参数生成检测器单元,所述一个或更多个参数生成检测器单元用于生成根据所监测的***的行为而随时间改变的参数值;
隐性状态确定器,所述隐性状态确定器用于基于所述一个或更多个事件检测检测器单元的输出确定所述***的关注状态的可能序列;以及
过渡确定器,所述过渡确定器用于基于将由所述一个或更多个参数生成检测器单元中的一个或更多个参数生成检测器单元所生成的参数或一组参数的一组值和与不同的过渡的发生相关联的相应参数或一组参数的多组值或多个预先指定的函数进行比较,来确定可能的过渡的发生。
2.根据权利要求1所述的多阶段事件检测器,其中,所述隐性状态确定器包括被监测的所述***的模型,所述***的模型指定:所述***能够占用的多个不同的隐性状态;多个可见状态,所述可见状态能够被所述事件检测检测器单元确定;以及一组概率,所述一组概率至少包括表示所述***从一个隐性状态过渡到另一隐性状态的概率的多个过渡概率以及表示针对所述***的特定的给定隐性状态占用,特定可见状态由所述事件检测检测器单元确定的概率的多个产生概率。
3.根据权利要求2所述的多阶段事件检测器,其中,所述模型是隐马尔可夫模型。
4.根据权利要求2或3所述的多阶段事件检测器,其中,包含在所述模型中的各种概率值的值使用自动训练过程来生成。
5.一种检测被监测的***内多阶段事件的发生的方法,所述方法包括以下步骤:
检测在所监测的***上能够观测的事件的发生;
生成根据所监测的***的行为而随时间改变的参数值;
基于所述一个或更多个事件检测检测器单元的输出确定所述***的关注状态的可能序列;
基于将由所述一个或更多个参数生成检测器单元中的一个或更多个参数生成检测器单元所生成的参数或一组参数的一组值和与不同的过渡的发生相关联的相应参数或一组参数的多组值或多个预先指定的函数进行比较,来确定可能的过渡的发生;以及
根据所确定的所述***的关注状态的可能序列与可能的过渡的发生的确定的组合来确定多阶段事件正在进行。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP13250052.1 | 2013-03-29 | ||
EP13250052.1A EP2785009A1 (en) | 2013-03-29 | 2013-03-29 | Method and apparatus for detecting a multi-stage event |
PCT/GB2014/000130 WO2014155052A1 (en) | 2013-03-29 | 2014-03-31 | Method and apparatus for detecting a multi-stage event |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105191257A true CN105191257A (zh) | 2015-12-23 |
CN105191257B CN105191257B (zh) | 2018-12-14 |
Family
ID=48128230
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201480026542.4A Active CN105191257B (zh) | 2013-03-29 | 2014-03-31 | 用于检测多阶段事件的方法和装置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US9870470B2 (zh) |
EP (2) | EP2785009A1 (zh) |
CN (1) | CN105191257B (zh) |
WO (1) | WO2014155052A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107463841A (zh) * | 2016-06-02 | 2017-12-12 | 卡巴斯基实验室股份制公司 | 检测恶意计算机***的***和方法 |
CN107809764A (zh) * | 2017-09-21 | 2018-03-16 | 浙江理工大学 | 一种基于Markov链的多事件探测方法 |
Families Citing this family (36)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2785008A1 (en) | 2013-03-29 | 2014-10-01 | British Telecommunications public limited company | Method and apparatus for detecting a multi-stage event |
US10193922B2 (en) * | 2015-01-13 | 2019-01-29 | Level 3 Communications, Llc | ISP blacklist feed |
CN107431695A (zh) * | 2015-03-06 | 2017-12-01 | 诺基亚技术有限公司 | 用于在线投票***中的互助共谋攻击检测的方法和装置 |
US9876814B2 (en) * | 2015-05-11 | 2018-01-23 | Cisco Technology, Inc. | Detecting domains generated by a domain generation algorithm |
US10185832B2 (en) * | 2015-08-12 | 2019-01-22 | The United States Of America As Represented By The Secretary Of The Army | Methods and systems for defending cyber attack in real-time |
NL2015680B1 (en) | 2015-10-29 | 2017-05-31 | Opt/Net Consulting B V | Anomaly detection in a data stream. |
US10204211B2 (en) | 2016-02-03 | 2019-02-12 | Extrahop Networks, Inc. | Healthcare operations with passive network monitoring |
EP3252645B1 (en) * | 2016-06-02 | 2019-06-26 | AO Kaspersky Lab | System and method of detecting malicious computer systems |
US10262132B2 (en) * | 2016-07-01 | 2019-04-16 | Entit Software Llc | Model-based computer attack analytics orchestration |
US9729416B1 (en) | 2016-07-11 | 2017-08-08 | Extrahop Networks, Inc. | Anomaly detection using device relationship graphs |
US10476673B2 (en) | 2017-03-22 | 2019-11-12 | Extrahop Networks, Inc. | Managing session secrets for continuous packet capture systems |
US10063434B1 (en) | 2017-08-29 | 2018-08-28 | Extrahop Networks, Inc. | Classifying applications or activities based on network behavior |
US9967292B1 (en) | 2017-10-25 | 2018-05-08 | Extrahop Networks, Inc. | Inline secret sharing |
US10264003B1 (en) * | 2018-02-07 | 2019-04-16 | Extrahop Networks, Inc. | Adaptive network monitoring with tuneable elastic granularity |
US10389574B1 (en) | 2018-02-07 | 2019-08-20 | Extrahop Networks, Inc. | Ranking alerts based on network monitoring |
US10038611B1 (en) | 2018-02-08 | 2018-07-31 | Extrahop Networks, Inc. | Personalization of alerts based on network monitoring |
US10270794B1 (en) | 2018-02-09 | 2019-04-23 | Extrahop Networks, Inc. | Detection of denial of service attacks |
US10116679B1 (en) | 2018-05-18 | 2018-10-30 | Extrahop Networks, Inc. | Privilege inference and monitoring based on network behavior |
US10411978B1 (en) | 2018-08-09 | 2019-09-10 | Extrahop Networks, Inc. | Correlating causes and effects associated with network activity |
US10594718B1 (en) | 2018-08-21 | 2020-03-17 | Extrahop Networks, Inc. | Managing incident response operations based on monitored network activity |
US10353764B1 (en) * | 2018-11-08 | 2019-07-16 | Amplero, Inc. | Automated identification of device status and resulting dynamic modification of device operations |
US10965702B2 (en) | 2019-05-28 | 2021-03-30 | Extrahop Networks, Inc. | Detecting injection attacks using passive network monitoring |
US11595434B2 (en) | 2019-05-30 | 2023-02-28 | Morgan State University | Method and system for intrusion detection |
US11165814B2 (en) | 2019-07-29 | 2021-11-02 | Extrahop Networks, Inc. | Modifying triage information based on network monitoring |
US10742530B1 (en) | 2019-08-05 | 2020-08-11 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
US11388072B2 (en) | 2019-08-05 | 2022-07-12 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
US10742677B1 (en) | 2019-09-04 | 2020-08-11 | Extrahop Networks, Inc. | Automatic determination of user roles and asset types based on network monitoring |
US11165823B2 (en) | 2019-12-17 | 2021-11-02 | Extrahop Networks, Inc. | Automated preemptive polymorphic deception |
US11463466B2 (en) | 2020-09-23 | 2022-10-04 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
US11310256B2 (en) | 2020-09-23 | 2022-04-19 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
US11792213B2 (en) | 2021-05-18 | 2023-10-17 | Bank Of America Corporation | Temporal-based anomaly detection for network security |
US11799879B2 (en) | 2021-05-18 | 2023-10-24 | Bank Of America Corporation | Real-time anomaly detection for network security |
US11588835B2 (en) | 2021-05-18 | 2023-02-21 | Bank Of America Corporation | Dynamic network security monitoring system |
US11349861B1 (en) | 2021-06-18 | 2022-05-31 | Extrahop Networks, Inc. | Identifying network entities based on beaconing activity |
US11296967B1 (en) | 2021-09-23 | 2022-04-05 | Extrahop Networks, Inc. | Combining passive network analysis and active probing |
US11843606B2 (en) | 2022-03-30 | 2023-12-12 | Extrahop Networks, Inc. | Detecting abnormal data access based on data similarity |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070150427A1 (en) * | 2005-12-22 | 2007-06-28 | Honeywell International Inc. | Recognition plan/goal abandonment |
CN101505304A (zh) * | 2009-03-24 | 2009-08-12 | 北京理工大学 | 一种基于概率推理的网络入侵意图识别方法 |
CN102075516A (zh) * | 2010-11-26 | 2011-05-25 | 哈尔滨工程大学 | 一种网络多步攻击识别和预测方法 |
US20120329426A1 (en) * | 2011-06-27 | 2012-12-27 | Kario Daniel | System and method for monitoring the security of cellular device communication |
Family Cites Families (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5465321A (en) | 1993-04-07 | 1995-11-07 | The United States Of America As Represented By The Administrator Of The National Aeronautics And Space Administration | Hidden markov models for fault detection in dynamic systems |
WO2002019077A2 (en) | 2000-09-01 | 2002-03-07 | Sri International, Inc. | Probabilistic alert correlation |
US7058821B1 (en) | 2001-01-17 | 2006-06-06 | Ipolicy Networks, Inc. | System and method for detection of intrusion attacks on packets transmitted on a network |
US7076803B2 (en) | 2002-01-28 | 2006-07-11 | International Business Machines Corporation | Integrated intrusion detection services |
US8046835B2 (en) | 2002-10-23 | 2011-10-25 | Frederick S. M. Herz | Distributed computer network security activity model SDI-SCAM |
US7603711B2 (en) | 2002-10-31 | 2009-10-13 | Secnap Networks Security, LLC | Intrusion detection system |
US20040123141A1 (en) | 2002-12-18 | 2004-06-24 | Satyendra Yadav | Multi-tier intrusion detection system |
EP1629651A1 (en) | 2003-05-30 | 2006-03-01 | International Business Machines Corporation | Detecting network attacks |
US7509677B2 (en) * | 2004-05-04 | 2009-03-24 | Arcsight, Inc. | Pattern discovery in a network security system |
US8108929B2 (en) | 2004-10-19 | 2012-01-31 | Reflex Systems, LLC | Method and system for detecting intrusive anomalous use of a software system using multiple detection algorithms |
US8356350B2 (en) | 2004-11-29 | 2013-01-15 | Telecom Italia S.P.A. | Method and system for managing denial of service situations |
US7941856B2 (en) | 2004-12-06 | 2011-05-10 | Wisconsin Alumni Research Foundation | Systems and methods for testing and evaluating an intrusion detection system |
US7757283B2 (en) | 2005-07-08 | 2010-07-13 | Alcatel Lucent | System and method for detecting abnormal traffic based on early notification |
US20070226164A1 (en) * | 2006-03-21 | 2007-09-27 | Honeywell International Inc. | Type variables and/or temporal constraints in plan recognition |
US7930256B2 (en) * | 2006-05-23 | 2011-04-19 | Charles River Analytics, Inc. | Security system for and method of detecting and responding to cyber attacks on large network systems |
US8205244B2 (en) | 2007-02-27 | 2012-06-19 | Airdefense, Inc. | Systems and methods for generating, managing, and displaying alarms for wireless network monitoring |
EP2009865A1 (en) | 2007-06-25 | 2008-12-31 | Alcatel Lucent | Method of providing an access control system |
US8595834B2 (en) * | 2008-02-04 | 2013-11-26 | Samsung Electronics Co., Ltd | Detecting unauthorized use of computing devices based on behavioral patterns |
GB0822619D0 (en) * | 2008-12-11 | 2009-01-21 | Scansafe Ltd | Malware detection |
FI20096394A0 (fi) * | 2009-12-23 | 2009-12-23 | Valtion Teknillinen | Tunkeutumisen havaitseminen viestintäverkoissa |
US8424072B2 (en) * | 2010-03-09 | 2013-04-16 | Microsoft Corporation | Behavior-based security system |
WO2013184211A2 (en) * | 2012-03-22 | 2013-12-12 | Los Alamos National Security, Llc | Anomaly detection to identify coordinated group attacks in computer networks |
US8677485B2 (en) | 2012-07-13 | 2014-03-18 | Hewlett-Packard Development Company, L.P. | Detecting network anomaly |
EP2785008A1 (en) | 2013-03-29 | 2014-10-01 | British Telecommunications public limited company | Method and apparatus for detecting a multi-stage event |
-
2013
- 2013-03-29 EP EP13250052.1A patent/EP2785009A1/en not_active Ceased
-
2014
- 2014-03-31 CN CN201480026542.4A patent/CN105191257B/zh active Active
- 2014-03-31 WO PCT/GB2014/000130 patent/WO2014155052A1/en active Application Filing
- 2014-03-31 EP EP14717163.1A patent/EP2979425B1/en active Active
- 2014-03-31 US US14/781,185 patent/US9870470B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070150427A1 (en) * | 2005-12-22 | 2007-06-28 | Honeywell International Inc. | Recognition plan/goal abandonment |
CN101505304A (zh) * | 2009-03-24 | 2009-08-12 | 北京理工大学 | 一种基于概率推理的网络入侵意图识别方法 |
CN102075516A (zh) * | 2010-11-26 | 2011-05-25 | 哈尔滨工程大学 | 一种网络多步攻击识别和预测方法 |
US20120329426A1 (en) * | 2011-06-27 | 2012-12-27 | Kario Daniel | System and method for monitoring the security of cellular device communication |
Non-Patent Citations (2)
Title |
---|
D. OURSTON,ET AL: ""Applications of hidden Markov models to detecting multi-stage network attacks"", 《SYSTEM SCIENCES, 2003. PROCEEDINGS OF THE 36TH ANNUAL HAWAII INTERNATIONAL CONFERENCE ON》 * |
XIANFENG SONG,ET AL: ""A Weak Hidden Markov Model Based Intrusion Detection Method For Wireless Sensor Networks"", 《INTELLIGENT COMPUTING AND INTEGRATED SYSTEMS (ICISS), 2010 INTERNATIONAL CONFERENCE ON》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107463841A (zh) * | 2016-06-02 | 2017-12-12 | 卡巴斯基实验室股份制公司 | 检测恶意计算机***的***和方法 |
CN107809764A (zh) * | 2017-09-21 | 2018-03-16 | 浙江理工大学 | 一种基于Markov链的多事件探测方法 |
CN107809764B (zh) * | 2017-09-21 | 2020-12-08 | 浙江理工大学 | 一种基于Markov链的多事件探测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN105191257B (zh) | 2018-12-14 |
US9870470B2 (en) | 2018-01-16 |
EP2979425B1 (en) | 2019-05-08 |
US20160055335A1 (en) | 2016-02-25 |
EP2785009A1 (en) | 2014-10-01 |
WO2014155052A1 (en) | 2014-10-02 |
EP2979425A1 (en) | 2016-02-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105191257A (zh) | 用于检测多阶段事件的方法和装置 | |
US9836600B2 (en) | Method and apparatus for detecting a multi-stage event | |
CN102546638B (zh) | 一种基于场景的混合入侵检测方法及*** | |
US9369484B1 (en) | Dynamic security hardening of security critical functions | |
CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
US20180307832A1 (en) | Information processing device, information processing method, and computer readable medium | |
CN105357482B (zh) | 一种视频监控***、前端设备和安全准入设备 | |
Yu et al. | A novel framework for alert correlation and understanding | |
CN103237308A (zh) | 一种车载自组织网络的分布式入侵检测方法 | |
EP4141715A1 (en) | Anomaly detection | |
CN106685996A (zh) | 基于hmm模型的账号异常登录检测方法 | |
KR20140088712A (ko) | 개인정보 접근감시 시스템 및 그 방법 | |
CN107277070A (zh) | 一种计算机网络入侵防御***及入侵防御方法 | |
CN112609765A (zh) | 一种基于面部识别挖掘机安全控制方法及*** | |
EP2911362B1 (en) | Method and system for detecting intrusion in networks and systems based on business-process specification | |
CN102982267A (zh) | 一种安全防护的方法和***和终端 | |
CN104346246B (zh) | 故障预测方法和装置 | |
CN113779566A (zh) | 一种计算机网络安全态势感知***及方法 | |
CN115499245B (zh) | 一种基于关联检测的事中实时告警方法和*** | |
CN116095683B (zh) | 无线路由器的网络安全防护方法及装置 | |
CN117609990B (zh) | 一种基于场景关联分析引擎的自适应安全防护方法及装置 | |
US12021878B2 (en) | Unauthorized activity detection based on spatially aware devices | |
JP7059741B2 (ja) | 不正操作検出装置、不正操作検出方法および不正操作検出プログラム | |
CN117955729A (zh) | 一种基于流量的恶意软件检测方法、装置及电子设备 | |
CN117395056A (zh) | 数据防护方法、装置、非易失性存储介质及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |