CN111542811B - 增强网络安全的监视 - Google Patents
增强网络安全的监视 Download PDFInfo
- Publication number
- CN111542811B CN111542811B CN201880072618.5A CN201880072618A CN111542811B CN 111542811 B CN111542811 B CN 111542811B CN 201880072618 A CN201880072618 A CN 201880072618A CN 111542811 B CN111542811 B CN 111542811B
- Authority
- CN
- China
- Prior art keywords
- activity
- computing device
- employee
- baseline
- identified
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 title claims description 28
- 238000000034 method Methods 0.000 claims abstract description 54
- 230000009471 action Effects 0.000 claims abstract description 18
- 230000000694 effects Effects 0.000 claims description 44
- 230000006399 behavior Effects 0.000 claims description 19
- 230000008520 organization Effects 0.000 claims description 13
- 238000004891 communication Methods 0.000 claims description 7
- 238000012986 modification Methods 0.000 claims description 6
- 230000004048 modification Effects 0.000 claims description 6
- 238000009434 installation Methods 0.000 claims description 4
- 238000012545 processing Methods 0.000 claims description 4
- 230000001747 exhibiting effect Effects 0.000 claims description 2
- 238000013475 authorization Methods 0.000 claims 3
- 230000005713 exacerbation Effects 0.000 claims 1
- 230000008569 process Effects 0.000 description 11
- 238000001514 detection method Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000013349 risk mitigation Methods 0.000 description 4
- 238000012546 transfer Methods 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000008685 targeting Effects 0.000 description 2
- 230000002730 additional effect Effects 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/065—Generation of reports related to network devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
通过以下来检测网络攻击的***和方法:选择用户的群组并监视这些用户的计算机***是否存在指示一系列动作的行为,所述一系列动作反映指示网络攻击的行为。
Description
相关申请的交叉引用
本申请要求于2017年9月26日提交的申请号为62/563,351的美国临时申请的优先权,其全部内容通过引用合并于此。
技术领域
本发明总体上涉及检测针对较大型组织内的群组的网络攻击,更具体地,涉及不需要预定签名库即可检测攻击的安全监视。
背景技术
网络攻击越来越频繁,并且可能对个人和组织造成严重的负面影响。除了频率增加以外,网络攻击变得越来越复杂,通常以组织内的特定个人或群组为目标。检测这些攻击的已知方法涉及监视这些个人或群组的计算机中与先前识别的恶意软件(malicioussoftware,malware)相关联的程序或数据文件的出现。其他已知方法涉及监视这些计算机的存储器中的特定区域,以检测与恶意软件相关联的更改。这两种方法都是硬件密集型的,并且依赖于对先前识别的恶意软件的检测。因此,这样的方法可能会降低计算机***的性能,并有无法检测到新恶意软件变体的风险。所需要的是这样的一种检测网络攻击的方法:该方法不会显著影响受监视计算机的性能,并且不需要搜索特定攻击的检测算法或不要求先前遇到过该攻击软件。
发明内容
本发明的示例性实施例包括通过监视属于高风险(at-risk)用户或群组的计算机的行为来检测网络攻击的方法。一些示例性实施例依赖于网络攻击的可预测行为(即,杀伤链方法论),以便检测可疑攻击并提供警报。在一个这样的示例性实施例中,监视预定计算机群组以检测预定义触发事件的发生。一旦检测到触发事件,该方法将监视计算机群组,以便检测与正在进行的网络攻击相一致的一系列行为。
为了管理由本发明的示例性实施例监视和记录的数据量,网络攻击的可能目标被基于如下的因素预先识别出,所述因素将使所述目标对这样的攻击特别有吸引力。在识别出可能目标之后,将用例应用于检测与可能的网络攻击相一致的计算机***行为。一旦检测到这样的行为,便会向负责监视和调查潜在计算机***威胁的一方提供警报或其他通知。
附图说明
参考以下描述和附图,将更好地理解本发明的这些及其他特征和优点,其中:
图1表示示例性计算机网络;
图2示出了根据本发明的示例性实施例的用于检测网络攻击的***;
图3示出了根据本发明的示例性实施例的在***内实现处理以识别用于监视的用户群组的数据流;
图4示出了根据本发明的示例性实施例的在***内实现处理以创建基线数据的数据流;
图5是示出根据本发明的示例性实施例的将清单馈送到基线生成器和相关性/警报功能的传递的数据流程图;
图6是检测网络攻击的示例性监视***的图示;以及
图7是根据本发明的示例性实施例的图6的***的用户界面。
具体实施方式
图1表示示例性计算机***100,其包括分配给组织内的用户104或组织内的用户104可用的多个计算机102。连接计算机102的是网络108。网络可以与例如打印机(未示出)和存储器110的各种服务通信。如112处所示,网络108通常将连接到互联网114。这样的连接可配备有保护***116,其试图提供一些保护以抵御外部网络威胁。不幸的是,这些网络威胁变得越来越复杂,并且通常以个人用户104或用户104的群组为目标。在某些网络攻击中,这些群组和用户是被识别为有权访问网络威胁希望获得访问权或以其他方式利用的组织资产或功能。例如,目标群组或用户可能负责敏感数据或有权访问财务记录。网络攻击通常遵循一系列步骤,这些步骤可使用被称为“杀伤链(Kill Chain)”的定义过程进行分类。通常,这些步骤为:识别攻击者希望作为目标的用户或用户群组;开发一种预期获得对被网络威胁作为目标的资产或功能的访问权的攻击方法;传递攻击,即利用用户或群组安装攻击方法,与外部资源进行通信以接收指令或传递信息;以及试图执行旨在破坏或窃取来自组织的信息或资产的动作。本发明的实施例利用这些预期的杀伤链步骤来检测攻击。
图2示出了根据本发明的示例性实施例的图1的计算机***,该计算机***进一步被配置为形成安全监视***200。在202示出了基线生成和监视***。如图所示,基线生成和监视***202包括基线生成器204、相关性/警报生成器206和计时器208。***200与基线存储数据库210通信。然而,***200的其他实施例可被配置为使得数据库210位于基线生成和监视***202的内部。
在本发明的示例性实施例中,识别包括高风险用户的用户104的群组。通常,该群组将是整个组织用户池300的子集。如图3所示,使用三个主要源来识别用户302的样本。第一源304位于负责实施本发明的风险缓解群组(例如,***200)的内部。风险缓解群组通过确定需要更详细地监视哪类人员、资产或基础设施来识别潜在的网络攻击目标。风险缓解群组还可考虑潜在目标在组织中的关键性、分类或风险水平,以便识别要根据本发明的实施例进行监视的目标。如图3所示,威胁情报可用作第二源306,以帮助识别潜在网络攻击目标。第二源306包括组织外信息并且用于识别如下的目标,所述目标可能由于其作用或根据各种公开披露已被公众识别。第二源306还包括公开可用信息,该信息公开了近期以由组织及其商业同行维护的基础设施或业务流程为目标的攻击。该公开可用信息可被风险缓解群组用来识别高风险目标。例如,对于可能向网络攻击源公开组织内负责特别敏感信息的那些个人或群组的披露,可对公开可用信息进行审查。然后,可选择这些个人或群组进行监视。第三源308可用于识别对于网络攻击目标可能特别敏感的那些用户或群组。
一旦识别出个人用户104或用户104的群组,就开发了网络攻击用例。这些用例是通过考虑本文所述的杀伤链方法论开发的。杀伤链方法论是指一系列步骤,这些步骤通常是作为准备和执行针对个人或群组的攻击的一部分完成的。如本文所述,杀伤链方法论步骤已被修改为特别适用于网络攻击。特别是,针对以下步骤开发了用例:传递攻击、安装攻击方法、与外部源进行通信以接收指令或传递信息、以及尝试执行向网络攻击者提供所需结果的动作。
为了更好地理解本发明可如何使用杀伤链方法论来检测网络攻击,将详细研究各种用例。在示例性实施例中,用于传递攻击的步骤的用例考虑了与已识别的高风险群组的成员的电子邮件通信。用例可将电子邮件识别为攻击者试图向目标传递恶意软件代码。然后,用例可考虑以下动作:例如监视发送至高风险群组的电子邮件来自新发送电子邮件地址、新发送域,或具有监视***以前从未遇到过的附件类型。因此,根据用例,检测到这些用例场景中任何一个可指示潜在攻击的初始阶段。但是,用户偶尔接收到来自新地址的电子邮件或接收到该用户或群组以前从未接收到的附件,这并不罕见。因此,示例性实施例利用杀伤链方法论来识别哪些附加动作可指示正在进行的网络攻击,并且将基于其他杀伤链方法论步骤使用附加用例来监视附加可疑动作。
可疑动作可包括旨在提供攻击方期望的信息或结果的安装、通信或动作。因此,在本发明的示例性实施例中,针对杀伤链方法论的安装步骤开发了用例。这样的用例监视诸如以下事件的发生:创建新处理、安装新服务或程序、或发生在与高风险群组的成员相关联的计算机上的注册修改。
其他用例可包括杀伤链方法论的命令和控制步骤。在这种或类似用例中,可监视与用户或用户群组相关联的计算机***的传出通信中是否发生了诸如新代理连接、新用户代理或建立新用户连接之类的事件。其他用例可包括可疑动作,其指示攻击者正尝试利用恶意软件或用户凭证被盗造成的漏洞。例如,这种用例可监视诸如新资源授权、新尝试访问或新传出数据连接之类的动作。
尽管有本文提供的示例,但可根据要监视的人员、资产和基础设施以及要防止的攻击的性质,来开发和实现其他用例。
一旦为特定高风险群组开发了用例,就可开发每个用例的基线。如图4所示,通过组合特定群组402的成员的列表、本文所述包含触发事件的用例404以及包括可能包含触发事件的事件的事件日志406,来开发基线。例如,如果用例404指示触发事件是接收到来自群组成员先前未遇到过的地址的电子邮件,则事件日志406可包括群组402的成员先前从其接收到电子邮件的所有电子邮件地址的列表。将该信息规范化(normalization)408,存储在数据存储设备410中,并进行搜索以识别特定群组的“正常”行为或基线。在***200的示例性实施例中,“规范化”是指分析数据的处理,该处理考虑了与各种数据源相关联的数据的频率、量和其他特征,使得与常规不同(例如,大于或小于大多数)的数据源不会不当地影响所得基线。结果为包括群组的正常行为和活动的列表(主白名单),可应用于用例考虑的事件的类型。为每个用例创建这样的主白名单。例如,在当前描述的***200的实施例中,这些白名单包含由群组402识别的电子邮件地址的列表、在与特定群组的成员相关联的***上执行的安装的列表、由与特定群组的成员相关联的***执行的通信的列表、以及由与特定群组的成员相关联的***执行的动作的列表。
如图5所示,在***200的示例性实施例中,清单数据馈送(inventory data feed)502被提供给执行图4所示功能的基线生成器504。以这种方式,可利用来自清单数据馈送502的新信息持续地更新被监视的活动的基线。该更新允许基线或白名单考虑本质上是良性的新行为。例如,如果特定群组将部署新软件工具,则该群组的成员可能会接收到来自提供该工具的软件供应商的电子邮件和软件访问信息。这些将表现为来自陌生源的新邮件,其可能指示网络攻击。但是,在此示例中,将根据新软件工具和关联电子邮件确定这些电子邮件是正常的基线行为。因此,通过用传入数据持续更新基线数据,基线数据将反映最新群组基线行为。
除了向基线生成器504提供数据之外,清单数据馈送502还经历数据查询处理506,其将清单数据馈送与基线生成器504的输出进行比较。如果数据查询处理506检测到未在白名单410上找到的事件,则将该事件与通过考虑本文所述的杀伤链方法论而开发的用例508进行比较。如果检测到的事件满足用例的条件,则可将该事件和表现出触发用例的行为的计算机的标识记录在摘要索引510中,以供进一步监视。
相关性/警报处理512被应用于摘要索引数据510。在图6中示出了相关性/警报处理512的示例性实施例。处理512使用与杀伤链方法论602相对应的各种用例600。当摘要索引数据510中的事件满足与“传递”步骤相对应的用例604时,该事件被相关性/警报处理512记录。然后,相关性/警报处理512监视剩余用例606-612。如果索引数据中的事件满足这些剩余用例606-612中的一个或多个,则生成警报614。本发明的实施例可能需要在预定时间段内满足大于一定数量的用例。如图6所示,通过从新地址接收604电子邮件来检测“传递”用例。在网络攻击中,攻击者可在被攻击的用户计算机上发起新处理的创建606,从而满足“安装”用例。可通过创建新代理连接608来识别“命令和控制”用例。“动作”用例可通过发起新尝试的访问610和新传出数据连接612被满足。每个用例可具有满足该用例的多个条件。这样,存在检测到的事件的多个组合,这些组合将导致生成警报。在某些示例性实施例中,在生成警报614之前,一个以上的杀伤链方法论步骤必须被满足。但是,在其他实施例中,被多个用例实例满足的单个杀伤链方法论步骤将生成警报614。除了被满足以生成警报的杀伤链方法论步骤用例的各种组合之外,一些示例性实施例还可能要求对杀伤链方法论步骤和用例的满足发生在预定时间段内。例如,在一个这样的示例性实施例中,表示杀伤链方法论的三个步骤的用例必须在生成警报614之前的48小时内被满足,而在另一示例性实施例中,如果三个用例在更长的时间段(例如7天)内被满足,则生成警报。这些时间段和用例的组合仅仅是示例。本领域的普通技术人员将理解,本发明的其他实施例可具有导致生成警报614的时间段和用例的不同组合。
在一些实施例中,由相关性/警报生成器206生成的警报包括被满足用例的摘要以及表示触发每个特定用例的数据的信息。例如,这样的摘要可包括用例的列表以及这些用例被检测到的事件满足的次数。这样的信息允许安全管理员或计算机用户跟踪可疑活动并采取被认为必要的动作。用户面板700可显示与各种用例群组702.1至702.4有关的数据和被满足用例的相应计数703。面板700可提供由用户布置的相关性数据704,以突出针对被监视用户和用户群组的可疑网络攻击活动。为了示出趋势行为,用户面板700呈现对满足用例的活动发生中的变化的指示。例如,在所示的用户面板700中,存在706指示从新发送域接收到的电子邮件出现15次。如图7中的708所示,此数字表示自上次测量周期以来这样的传递减少了40%。这样的变化允许用户根据用例识别和调查活动的变化,以检测可能的网络攻击。这样的用户面板700的示例性实施例还可包括清单馈送数据和各种警报指示,其用以突出网络攻击可能正在进行的可能性。
尽管已经通过对本发明的示例性实施例的描述说明了本发明,并且虽然示例性实施例已经进行了相当详细的描述,但是申请人无意将本发明的范围限制或以任何方式限制为这样的细节。例如,所示出的特定用例并非旨在进行限制,本领域的普通技术人员将理解,本发明的各种实施方式所使用的用例取决于受监视的特定***。因此,力求覆盖落入本文所述的总体发明构思的精神和范围内的所有这样的用例及其等同物。其他优点和修改对本领域技术人员将是显而易见的。而且,一个实施例中描述的元件可容易地适用于其他实施例。因此,本发明在其更宽的方面不限于所示出和描述的具体细节、代表性设备以及说明性示例。本领域技术人员还将发现对所示出的这些实施例的明显的各种改变和修改。因此,可在不脱离总体发明构思的精神或范围的情况下偏离这样的细节。
Claims (18)
1.一种用于检测与企业的潜在安全漏洞相关联的行为的***,所述***包括:
计算设备;
与所述计算设备通信的网络;
与所述网络通信的基线生成和监视***;
与所述网络通信的相关性和警报生成器;以及
存储指令的至少一个存储器,当所述指令被执行时,促使所述基线生成和监视***执行以下操作:
从雇员池识别所述企业中表现出加剧所述潜在安全漏洞的风险的雇员,所述计算设备与所述识别的雇员相关联,所述雇员池包括多个企业雇员;
通过使用网络攻击方法,基于所识别的雇员开发多个用例,所述网络攻击方法涉及为准备网络攻击和执行所述网络攻击而完成的一系列动作;
存储与指示所述潜在安全漏洞的多个用例对应的预定用例的列表;
确定与所述计算设备相关联的所述列表中每个所述预定用例的基线;
监视所述计算设备是否发生超出所述确定的基线并且满足至少一个所述用例的条件的第一行为;
在发生了所述第一行为时,监视所述计算设备是否发生与所述第一行为有关的第二行为;以及
在发生了所述第二行为时,使用所述相关性和警报生成器生成警报。
2.根据权利要求1所述的***,其中,所述基线生成和监视系还被配置为基于以下来确定所述加剧的风险:
所述识别的雇员的关键性、
组织外威胁情报、以及
来自所述识别的雇员作为成员的组织的输入。
3.根据权利要求1所述的***,其中,所述至少一个存储器存储包括与所述计算设备相关联的活动的历史的事件日志。
4.根据权利要求3所述的***,其中,所述指令包括第一附加指令,所述第一附加指令在被执行时促使所述基线生成和监视***执行以下操作:
规范化存储在所述事件日志中的所述计算设备活动;以及
基于所述确定的基线和所述规范化的计算设备活动生成活动白名单。
5.根据权利要求4所述的***,其中,所述指令还包括第二附加指令,所述第二附加指令在被执行时促使所述基线生成和监视***执行以下操作:
分析包括资产清单信息的数据馈送以识别新资产;以及
将与部署所述识别的新资产有关的预测活动添加到所述生成的活动白名单中。
6.根据权利要求1所述的***,其中,与所述计算设备相关联的所述预定用例的基线是针对以下中的至少一项确定的:
电子邮件活动、
处理活动、
安装、
注册修改、
新代理连接、
新用户代理、
新用户连接、
新资源授权、
新尝试的访问、和
新传出数据连接。
7.一种用于检测与企业的潜在安全漏洞相关联的行为的方法,所述方法包括:
从雇员池识别所述企业中表现出加剧所述潜在安全漏洞的风险的雇员,所述雇员池包括多个企业雇员;
通过使用网络攻击方法,基于所识别的雇员开发多个用例,所述网络攻击方法涉及为准备网络攻击和执行所述网络攻击而完成的一系列动作;
提供与指示所述潜在安全漏洞的多个用例对应的预定用例的列表;
确定与所述识别的雇员的计算设备相关联的所述列表中每个所述预定用例的基线;
监视所述识别的雇员的计算设备是否发生超出所述确定的基线并且满足至少一个所述用例的条件的第一行为;以及
在发生了所述第一行为时,则生成警报。
8.根据权利要求7所述的方法,还包括:
将与所述识别的雇员的计算设备相关联的活动的历史存储在事件日志中。
9.根据权利要求8所述的方法,还包括:
规范化存储在所述事件日志中的计算设备活动;以及
基于所述确定的基线和所述规范化的计算设备活动生成活动白名单。
10.根据权利要求9所述的方法,其中,监视所述计算设备的步骤包括:
检测未包括在所述生成的活动白名单中的活动;以及
使用所述用例来确定所述检测到的活动是否指示所述潜在安全漏洞。
11.根据权利要求9所述的方法,还包括:
分析包括资产清单信息的数据馈送,以识别新资产;以及
将与部署所述识别的新资产有关的预测活动添加到所述生成的活动白名单中。
12.根据权利要求7所述的方法,其中,所述雇员是基于以下来识别的:
所述雇员的关键性、
组织外威胁情报、和
来自所述识别的雇员作为成员的组织的输入。
13.根据权利要求7所述的方法,其中,与所述识别的雇员的计算设备相关联的预定用例的基线是针对以下中的至少一项来确定的:
电子邮件活动、
处理活动、
安装、
注册修改、
新代理连接、
新用户代理、
新用户连接、
新资源授权、
新尝试的访问、和
新传出数据连接。
14.一种用于检测与企业的潜在安全漏洞相关联的行为的方法,所述方法包括:
从雇员池识别所述企业中表现出加剧所述潜在安全漏洞的风险的雇员,所述雇员池包括多个企业雇员;
提供指示所述潜在安全漏洞的预定用例的列表;
在事件日志中存储与所述识别的雇员的计算设备相关联的活动的历史;
确定与所述识别的雇员的计算设备相关联的所述列表中每个所述预定用例的基线,所述基线针对以下中的至少一项来确定:电子邮件活动、处理活动、安装、注册修改、新代理连接、新用户代理、新用户连接、新资源授权、新尝试的访问、和新传出数据连接;
基于所述确定的基线和存储在所述事件日志中的活动的历史,生成活动白名单;
通过使用网络攻击方法,基于所识别的雇员开发多个用例,所述网络攻击方法涉及为准备网络攻击和执行所述网络攻击而完成的一系列动作;
监视所述识别的雇员的计算设备,以检测未包括在所述生成的活动白名单中的第一活动;
将所述检测到的第一活动与所述用例进行比较来确定所述第一活动是否满足至少一个所述用例的条件;
在确定所述第一活动满足所述条件时,监视所述识别的雇员的计算设备是否存在与所述第一活动有关的第二活动;以及
在发生了所述第二活动时,则生成警报。
15.根据权利要求14所述的方法,其中,识别表现出加剧潜在安全漏洞的风险的雇员是基于以下:
雇员的关键性、
组织外威胁情报、和
来自所述识别的雇员作为成员的组织的输入。
16.根据权利要求14所述的方法,还包括以下步骤:规范化存储在所述事件日志中的计算设备活动。
17.根据权利要求16所述的方法,其中,生成活动白名单的步骤使用所述规范化的计算设备活动。
18.根据权利要求14所述的方法,还包括以下步骤:
分析包括资产清单信息的数据馈送,以识别新资产;以及
将网络上的预测与部署所述识别的新资产有关的活动添加到所述活动白名单中。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201762563351P | 2017-09-26 | 2017-09-26 | |
| US62/563,351 | 2017-09-26 | ||
| PCT/US2018/052812 WO2019067513A1 (en) | 2017-09-26 | 2018-09-26 | ENHANCED CYBER SECURITY MONITORING |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111542811A CN111542811A (zh) | 2020-08-14 |
| CN111542811B true CN111542811B (zh) | 2023-12-12 |
Family
ID=65808217
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880072618.5A Active CN111542811B (zh) | 2017-09-26 | 2018-09-26 | 增强网络安全的监视 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US11122066B2 (zh) |
| EP (1) | EP3688589A4 (zh) |
| CN (1) | CN111542811B (zh) |
| SG (1) | SG11202002802TA (zh) |
| WO (1) | WO2019067513A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| SG11202002802TA (en) * | 2017-09-26 | 2020-04-29 | Jpmorgan Chase Bank Na | Cyber security enhanced monitoring |
| US10812499B2 (en) * | 2017-11-09 | 2020-10-20 | Accenture Global Solutions Limited | Detection of adversary lateral movement in multi-domain IIOT environments |
| TWI672605B (zh) * | 2017-11-29 | 2019-09-21 | 財團法人資訊工業策進會 | 應用層行為辨識系統與方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104303152A (zh) * | 2012-03-22 | 2015-01-21 | 洛斯阿拉莫斯国家安全股份有限公司 | 用于在计算机网络中识别协同群组攻击的异常检测 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6347374B1 (en) * | 1998-06-05 | 2002-02-12 | Intrusion.Com, Inc. | Event detection |
| US6671811B1 (en) * | 1999-10-25 | 2003-12-30 | Visa Internation Service Association | Features generation for use in computer network intrusion detection |
| GB0022485D0 (en) * | 2000-09-13 | 2000-11-01 | Apl Financial Services Oversea | Monitoring network activity |
| MXPA03006024A (es) * | 2001-01-02 | 2005-02-14 | Trusecure Corp | Metodo orientado a objetos, sistema y medio para administracion de riesgos al crear interdependencia entre objetos, criterios y metricas. |
| US7089592B2 (en) * | 2001-03-15 | 2006-08-08 | Brighterion, Inc. | Systems and methods for dynamic detection and prevention of electronic fraud |
| FI20010552A0 (fi) * | 2001-03-19 | 2001-03-19 | Stonesoft Oy | Tilatietojen käsittely verkkoelementtiklusterissa |
| US20060034305A1 (en) * | 2004-08-13 | 2006-02-16 | Honeywell International Inc. | Anomaly-based intrusion detection |
| US9215244B2 (en) * | 2010-11-18 | 2015-12-15 | The Boeing Company | Context aware network security monitoring for threat detection |
| US9258321B2 (en) * | 2012-08-23 | 2016-02-09 | Raytheon Foreground Security, Inc. | Automated internet threat detection and mitigation system and associated methods |
| US9292695B1 (en) | 2013-04-10 | 2016-03-22 | Gabriel Bassett | System and method for cyber security analysis and human behavior prediction |
| US9191403B2 (en) * | 2014-01-07 | 2015-11-17 | Fair Isaac Corporation | Cyber security adaptive analytics threat monitoring system and method |
| WO2016066438A1 (en) * | 2014-10-31 | 2016-05-06 | Telefonaktiebolaget L M Ericsson (Publ) | Network management using adaptive policy |
| US9699205B2 (en) * | 2015-08-31 | 2017-07-04 | Splunk Inc. | Network security system |
| SG11202002802TA (en) * | 2017-09-26 | 2020-04-29 | Jpmorgan Chase Bank Na | Cyber security enhanced monitoring |
-
2018
- 2018-09-26 SG SG11202002802TA patent/SG11202002802TA/en unknown
- 2018-09-26 US US16/142,283 patent/US11122066B2/en active Active
- 2018-09-26 CN CN201880072618.5A patent/CN111542811B/zh active Active
- 2018-09-26 EP EP18861578.5A patent/EP3688589A4/en active Pending
- 2018-09-26 WO PCT/US2018/052812 patent/WO2019067513A1/en unknown
-
2021
- 2021-08-06 US US17/395,839 patent/US11722505B2/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104303152A (zh) * | 2012-03-22 | 2015-01-21 | 洛斯阿拉莫斯国家安全股份有限公司 | 用于在计算机网络中识别协同群组攻击的异常检测 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3688589A1 (en) | 2020-08-05 |
| CN111542811A (zh) | 2020-08-14 |
| US20210377291A1 (en) | 2021-12-02 |
| US11122066B2 (en) | 2021-09-14 |
| US20190098036A1 (en) | 2019-03-28 |
| WO2019067513A1 (en) | 2019-04-04 |
| EP3688589A4 (en) | 2021-06-23 |
| US11722505B2 (en) | 2023-08-08 |
| SG11202002802TA (en) | 2020-04-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11271955B2 (en) | Platform and method for retroactive reclassification employing a cybersecurity-based global data store | |
| US10728263B1 (en) | Analytic-based security monitoring system and method | |
| US10893068B1 (en) | Ransomware file modification prevention technique | |
| Cheng et al. | Enterprise data breach: causes, challenges, prevention, and future directions | |
| US20210248230A1 (en) | Detecting Irregularities on a Device | |
| JP6334069B2 (ja) | 悪意のあるコードの検出の精度保証のためのシステムおよび方法 | |
| US10587640B2 (en) | System and method for attribution of actors to indicators of threats to a computer system and prediction of future threat actions | |
| US20190207966A1 (en) | Platform and Method for Enhanced Cyber-Attack Detection and Response Employing a Global Data Store | |
| US10708290B2 (en) | System and method for prediction of future threat actions | |
| CN109155774B (zh) | 用于检测安全威胁的***和方法 | |
| US11722505B2 (en) | Cyber security enhanced monitoring | |
| US9183377B1 (en) | Unauthorized account monitoring system and method | |
| US20200028876A1 (en) | Phishing detection and targeted remediation system and method | |
| US11240275B1 (en) | Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture | |
| US20170155683A1 (en) | Remedial action for release of threat data | |
| Zakaria et al. | Early detection of windows cryptographic ransomware based on pre-attack api calls features and machine learning | |
| Kono et al. | An unknown malware detection using execution registry access | |
| Alchi et al. | Demystifying ransomware: classification, mechanism and anatomy | |
| Malkawe et al. | Toward an early assessment for Ransomware attack vulnerabilities | |
| Yasmeen et al. | Zero-day and zero-click attacks on digital banking: a comprehensive review of double trouble | |
| US11934515B2 (en) | Malware deterrence using computer environment indicators | |
| US11449605B2 (en) | Systems and methods for detecting a prior compromise of a security status of a computer system | |
| US20230252138A1 (en) | Cybersecurity workflow management using autodetection | |
| CN108737359B (zh) | 用于固定环境的资安防护***及其资安防护方法 | |
| Grima | Ransomware Activity Detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40026043 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |