DE112016001742T5 - Integrierte Gemeinschafts- und Rollenentdeckung in Unternehmensnetzwerken - Google Patents

Integrierte Gemeinschafts- und Rollenentdeckung in Unternehmensnetzwerken Download PDF

Info

Publication number
DE112016001742T5
DE112016001742T5 DE112016001742.1T DE112016001742T DE112016001742T5 DE 112016001742 T5 DE112016001742 T5 DE 112016001742T5 DE 112016001742 T DE112016001742 T DE 112016001742T DE 112016001742 T5 DE112016001742 T5 DE 112016001742T5
Authority
DE
Germany
Prior art keywords
community
role
network graph
node
nodes
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112016001742.1T
Other languages
English (en)
Inventor
Lu-An Tang
Zhengzhang Chen
Ting Chen
Guofei Jiang
Fengyuan Xu
Haifeng Chen
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CLOUD BYTE LLC, NEWARK, US
Original Assignee
NEC Laboratories America Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Laboratories America Inc filed Critical NEC Laboratories America Inc
Publication of DE112016001742T5 publication Critical patent/DE112016001742T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0421Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Algebra (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Abstract

Verfahren und Systeme zum Erfassen von anomalen Kommunikationen enthalten ein Simulieren eines Netzwerkgraphen basierend auf Gemeinschafts- und Rollenetiketten bzw. -labels von jedem Knoten im Netzwerkgraphen basierend auf einer oder mehreren Verbindungsregeln. Die Gemeinschafts- und Rollenetiketten von jedem Knoten werden basierend auf Unterschieden zwischen dem simulierten Netzwerkgraphen und einem echten Netzwerkgraphen eingestellt. Die Simulation und die Einstellung werden wiederholt, bis der simulierte Netzwerkgraph zum echten Netzwerkgraphen konvergiert, um eine schließliche Gruppe von Gemeinschafts- und Rollenetiketten zu bestimmen. Es wird basierend auf der schließlichen Gruppe von Gemeinschafts- und Rollenetiketten bestimmt, ob eine Netzwerkkommunikation anomal ist.

Description

  • INFORMATION ÜBER ZUGEHÖRIGE ANMELDUNG
  • Diese Anmeldung beansprucht die Priorität von 62/148,232, eingereicht am 16. April 2015, welche hierin in ihrer Gesamtheit durch Bezugnahme enthalten ist.
  • HINTERGRUND
  • Technisches Gebiet
  • Die vorliegende Erfindung betrifft Computer- und Netzwerksicherheit und insbesondere eine integrierte Entdeckung einer Kotengemeinschaft und -rolle in solchen Netzwerken.
  • Beschreibung des zugehörigen Standes der Technik
  • Unternehmensnetzwerke sind Schlüsselsysteme in Unternehmen, und sie tragen die überwiegende Mehrheit von auftragsentscheidender Information. Als Ergebnis ihrer Wichtigkeit sind diese Netzwerke oft die Ziele eines Angriffs. Kommunikationen auf Unternehmensnetzwerken werden daher häufig überwacht und analysiert, um anomale Netzwerkkommunikation zu erfassen, als ein Schritt in Richtung zu einem Erfassen von Angriffen.
  • Jedoch ist eine genaue und effektive Erfassung schwierig, wenn dem System Wissen über eine Gemeinschaft und Rollen fehlt. Eine Gemeinschaft repräsentiert die Arbeitsgruppe, zu welcher eine Maschine gehört, während eine Rolle die Funktion der Maschine repräsentiert (z. B. als ein Email-Server, als ein Datenserver, als ein persönlicher Desktop, etc.). Es ist oft für Anwender nicht möglich, ein genaues Bild über eine Gemeinschaft und eine Rolle für ein gesamtes Netzwerk zur Verfügung zu stellen.
  • Existierende Ansätze für eine Gemeinschafts- und Rollenerfassung behandeln die Fragen separat, wie beispielsweise ein Erfassen von Rollen ohne ein Berücksichtigen von Gemeinschaftsstrukturen und ein Erfassen einer Gemeinschaft eines Knotens, während seine Rolle ignoriert wird, wenn tatsächlich Gemeinschaften und Rollen eng gekoppelt sind und in realen Netzwerken nicht getrennt werden können.
  • ZUSAMMENFASSUNG
  • Ein Verfahren zum Erfassen von anomalen Kommunikationen enthält ein Simulieren eines Netzwerkgraphen basierend auf Gemeinschafts- und Rollenetiketten bzw. -labels von jedem Knoten im Netzwerkgraph basierend auf einer oder mehreren Verbindungsregeln. Die Gemeinschafts- und Rollenetiketten von jedem Knoten werden basierend auf Unterschieden zwischen dem simulierten Netzwerkgraph und einem echten Netzwerkgraph eingestellt. Die Simulation und die Einstellung werden wiederholt, bis der simulierte Netzwerkgraph zum echten Netzwerkgraph konvergiert, um eine schließliche Gruppe von Gemeinschafts- und Rollenetiketten zu bestimmen. Es wird basierend auf der schließlichen Gruppe von Gemeinschafts- und Rollenetiketten bestimmt, ob eine Netzwerkkommunikation anomal ist.
  • Ein System zum Erfassen von anomalen Kommunikationen enthält ein Gemeinschafts- und Rollen-Erfassungsmodul mit einem Prozessor, der konfiguriert ist, um einen Netzwerkgraph basierend auf Gemeinschafts- und Rollenetiketten von jedem Knoten im Netzwerkgraph basierend auf einer oder mehreren Verbindungsregeln zu simulieren, um die Gemeinschafts- und Rollenetiketten von jedem Knoten basierend auf Unterschieden zwischen dem simulierten Netzwerkgraphen und einem echten Netzwerkgraphen einzustellen und um die Simulation und die Einstellung zu wiederholen, bis der simulierte Netzwerkgraph zum echten Netzwerkgraph konvergiert, um eine schließliche Gruppe von Gemeinschafts- und Rollenetiketten zu bestimmen. Ein Anomalitäts-Erfassungsmodul ist konfiguriert, um basierend auf der schließlichen Gruppe von Gemeinschafts- und Rollenetiketten zu bestimmen, ob eine Netzwerkkommunikation anomal ist.
  • Diese und andere Merkmale und Vorteile werden aus der folgenden detaillierten Beschreibung von illustrativen Ausführungsformen davon offensichtlich werden, die in Verbindung mit den beigefügten Zeichnungen zu lesen ist.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • Die Offenbarung wird Details in der folgenden Beschreibung bevorzugter Ausführungsformen unter Bezugnahme auf die folgenden Figuren zur Verfügung stellen, wobei:
  • 1 auf einen Netzwerkgraph gerichtet ist, der Gemeinschaften und Rollen von Knoten gemäß den vorliegenden Prinzipien repräsentiert.
  • 2 ein Block-/Ablaufdiagramm eines Verfahrens zum Entdecken von Gemeinschafts- und Rollenzugehörigkeiten und zum Erfassen von Anomalitäten gemäß den vorliegenden Prinzipien ist.
  • 3 ein Block-/Ablaufdiagramm eines Verfahrens zum Erfassen von Anomalitäten gemäß den vorliegenden Prinzipien ist.
  • 4 ein Blockdiagramm eines Systems zum Entdecken von Gemeinschafts- und Rollenzugehörigkeiten und zum Erfassen von Anomalitäten gemäß den vorliegenden Prinzipien ist.
  • 5 ein Blockdiagramm eines Verarbeitungssystems gemäß den vorliegenden Prinzipien ist.
  • DETAILLIERTE BESCHREIBUNG BEVORZUGTER AUSFÜHRUNGSFORMEN
  • Gemäß den vorliegenden Prinzipien erfassen die vorliegenden Ausführungsformen Gemeinschaften und Rollen in einem Netzwerk auf eine integrierte Weise. Insbesondere ist jeder Knoten in einem Netzwerk nicht nur mit einer Gemeinschaftszugehörigkeit assoziiert, sondern auch mit einer Rollenzugehörigkeit, so dass das System sowohl Gemeinschafts- als auch Rollenstrukturen gleichzeitig erfassen kann. Wenn zwei Knoten versuchen, zu interagieren (z. B., wenn eine Kante zwischen zwei Knoten auf dem Graphen ausgebildet wird, der das Netzwerk repräsentiert), werden sowohl Gemeinschafts- als auch Rollenzugehörigkeiten berücksichtigt, wenn bestimmt wird, wie wahrscheinlich die Verbindung ist, und somit, ob die Verbindung als anomal angesehen werden kann. Die Gemeinschaft und die Rolle von jedem Knoten werden bei einer Ausführungsform gemäß einem abtastbasierten Lernen nach Gibbs bestimmt.
  • Nimmt man nun im Detail Bezug auf die Figuren, in welchen gleiche Bezugszeichen dieselben oder ähnliche Elemente darstellen, und anfänglich auf 1, ist ein beispielhaftes Computernetzwerk 100 gemäß einer Ausführungsform der vorliegenden Prinzipien illustrativ gezeigt. Das Netzwerk 100 ist aus einer Gruppe von Knoten 101 gebildet, von welchen jeder eine Rolle und eine Gemeinschaft hat. Bei der Ausführungsform der 1 haben die mit 102 bezeichneten Knoten eine Gemeinschaft 108, während die mit 104 bezeichneten Knoten eine Gemeinschaft 110 haben. Es sollte beachtet werden, dass der Netzwerkgraph 100 kein physikalisches Netzwerk darstellt, sondern stattdessen Kommunikationen zwischen den Knoten 101 darstellt, wobei jede Kante des Graphen eine Kommunikationsverbindung darstellt. Es gibt im Prinzip nichts, was einen Knoten 102 von der Gemeinschaft 108 von einem Ausbilden einer Verbindung mit einem Knoten 104 in der Gemeinschaft 110 abhält. Jedoch werden die vorliegenden Ausführungsformen die Gemeinschaften und Rollen der Knoten 101 bei einem Bestimmen berücksichtigen, ob diese Verbindung anomal ist. Die Koten 101 sind hierin derart beschrieben, dass sie individuelle Vorrichtungen repräsentieren, aber es sollte verstanden werden, dass bei einigen Ausführungsformen ein einziger Knoten 101 mehrere Vorrichtungen enthalten kann, und gegensätzlich eine einzige Vorrichtung ein Host für mehrere Knoten 101 sein kann. Gleichermaßen kann ein einziger Knoten 101 mehrere Rollen besetzen.
  • Es sollte verstanden werden, dass die Knoten 101 in unterschiedlichen Gemeinschaften eine geringe Wahrscheinlichkeit einer Interaktion miteinander haben werden (z. B. eine geringe Wahrscheinlichkeit zum Ausbilden einer Verbindung). Jedoch ist eine Ausnahme im Fall eines Knotens 106, der eine spezifische Rolle hat, wie beispielsweise ein Router oder eine Brücke. In diesem Fall kann der Knoten 106 zu einer, beiden, oder keiner der Gemeinschaften 108 und 110 gehören, und seine Rolle als Vermittler zwischen diesen zwei Gemeinschaften wird seine Wahrscheinlichkeit zum Ausbilden von Verbindungen mit anderen Knoten 101 stark beeinflussen. Dies kann rollenbasierte Verbindung im Hintergrund genannt werden. Es ist aber zu beachten, dass Gemeinschaften nicht mit physikalischen Netzwerksegmenten identifiziert werden müssen – eine Gemeinschaft kann stattdessen einfach beispielsweise eine Abteilung oder eine andere Organisationsstruktur repräsentieren, die häufig innerhalb sich selbst und relativ selten mit anderen Abteilungen kommuniziert.
  • Gleichermaßen werden, wenn zwei Knoten in derselben Gemeinschaft sind, sie mit einer höheren Wahrscheinlichkeit interagieren, aber Rollen sind auch ein strenger Faktor. Beispielsweise kann ein Dateienserver 103 innerhalb der Gemeinschaft 108 häufiger mit Anwenderendgeräten 102 interagieren als diese Knoten 102 miteinander interagieren. Dies kann rollenbasierte Verbindung innerhalb der Gemeinschaft genannt werden.
  • Nimmt man nun Bezug auf 2, ist ein Verfahren zum Erfassen von anomalen Verbindungen gezeigt. Ein Block 202 erzeugt eine Strukturmatrixdarstellung eines Blaupausen- bzw. Entwurfsgraphen, der ein heterogener Graph ist, der aus einer historischen Datengruppe von Kommunikationen im Netzwerk 100 gebildet ist, wobei die Knoten 101 physikalische Vorrichtungen an einem Unternehmensnetzwerk darstellen und Kanten die normalen Kommunikationsmuster unter den Knoten 101 wiedergeben. Für jedes Paar von Knoten in der Strukturmatrix erzeugt ein Block 204 Gemeinschafts- und Rollenetiketten bzw. -labels. Die Anfangsetiketten, die durch den Block 204 erzeugt sind, können zufällig sein oder können gemäß einer Anfangsinformation erzeugt werden, die verfügbar ist (z. B. basierend auf bekannter Software, die auf jeweiligen Knoten 101 installiert ist, oder basierend auf einer existierenden Netzwerkkarte).
  • Ein Block 206 simuliert dann die Interaktionen von Knotenpaaren zwischen unterschiedlichen Gemeinschaften und Rollen. Die Simulation basiert auf einer Gruppe von Regeln für bekannte Interaktionen zwischen Gemeinschaftselementen und gemäß Rollen. Beispielsweise werden die Knoten 104, die durch die Etiketten derart markiert sind, dass sie Elemente der Gemeinschaft 110 sind, eine simulierte Verbindung zwischen ihnen haben. Bei einem anderen Beispiel können Server/Client-Rollenbeziehungen als Verbindungen dargestellt werden. Diese Simulation wird verwendet, um eine simulierte Graphen-Blaupause zu erzeugen. Ein Block 207 verwendet die simulierte Graphen-Blaupause, um eine synthetische Strukturmatrix für den simulierten Graphen auszubilden.
  • Wenn es Diskrepanzen zwischen der Strukturmatrix und der synthetischen Strukturmatrix gibt, stellt ein Block 208 die Gemeinschafts- und Rollenetiketten ein, um die simulierten Verbindungen näher zu den aktuellen Verbindungen im Blaupausengraphen zu bringen. Ein Block 210 bestimmt dann, ob die synthetische Matrix zu der reellen Strukturmatrix konvergiert ist, so dass die Verbindungen im simulierten Graphen mit denjenigen des Blaupausengraphen übereinstimmen. Eine Konvergenz kann erfüllt sein, wenn die synthetische Strukturmatrix identisch zur reellen Strukturmatrix ist, oder kann alternativ auf einer Ähnlichkeitsmetrik bzw. auf einem Ähnlichkeitsmaß für die Matrizen basieren, wobei eine Konvergenz erreicht wird, wenn das Ähnlichkeitsmaß unter einer Schwelle ist. Wenn es so ist, verwendet ein Block 212 die erfassten Gemeinschafts- und Rollenetiketten, um zu bestimmen, ob es eine Anomalität gibt. Wenn es nicht so ist, kehrt eine Verarbeitung zurück zum Block 206, bis die synthetische Matrix konvergiert.
  • Bei einem Beispiel einer Anomalitätserfassung soll ein erster Knoten n1 betrachtet werden, der das Rollenetikett ”Datenbankserver” hat und ein Gemeinschaftsetikett ”Systemteam”. Ein zweiter Knoten n2 hat das Rollenetikett ”Emailserver” und das Gemeinschaftsetikett ”Betriebsteam”. Wenn eine neue Netzwerkverbindung zwischen n1 und n2 erfasst wird, kann das System bestimmen, dass der Datenbankserver von einem Team selten eine legitimierte Notwendigkeit haben wird, mit dem Emailserver von einem anderen Team zu kommunizieren (wobei eine solche Information durch den Domänenanwender eingestellt wird). Der Block 212 kann dann bestimmen, dass eine Eindringung aufgetreten ist.
  • Die Zuordnung von Etiketten im Block 204 kann als ein jeweiliger Gemeinschaftszugehörigkeitsvektor πi und ein jeweiliger Rollenzugehörigkeitsvektor θi für jeden Knoten i durchgeführt werden. Wenn ein Paar von Knoten (i, j) versucht, eine Verbindung auszubilden, werden ihre Gemeinschafts- und Rollen-Zugehörigkeitszuordnungen Z c / ij, Z c / ji, Z r / ij, Z r / ji gemäß einer multinominalen Verteilung gezeichnet bzw. gezogen, parametrisiert durch ihre Zugehörigkeitsverteilungsvektoren, wobei Z c / ij die Gemeinschaftszuordnung des Knotens i für das Paar von Knoten (i, j) ist und Z r / ij die Rollenzuordnung des Kotens i für das Paar von Knoten (i, j) ist.
  • Die Frage, ob eine Verbindung ausgebildet ist, wird als ein Bernoulli-Ereignis basierend auf den Gemeinschafts- und Rollenzuordnungen der zwei Knoten und einem Interaktionsparameter B, der die InteraktionsWahrscheinlichkeit zwischen zwei Gemeinschafts- und Rollen-Zuordnungstupeln, wie beispielsweise durch Z c / ij, Z r / ij gekennzeichnet, dargestellt.
  • Die Parameter π, θ und B werden als Zufallsvariablen behandelt, mit Beta-Prior bzw. Beta-A-prior-Verteilung an jedem Eintrag von B. Der Ausdruck Bεpq ist eine Bernoulli-Verteilung und πi und θi haben eine Multinomialverteilung mit Dirichlet-Prioren. Das vorliegende Modell kann dann wie folgt zusammengefasst werden:
  • Für jeden Eintrag (δ, p, q) in B:
    Zeichnen Bδpq~Beta(ξ 1 / δpq, ξ 2 / δpq).
  • Für jeden Knoten i:
    Zeichnen eines Gemeinschaftszugehörigkeitsvektors πi~Dirichlet(αc)
    Zeichnen eines Rollenzugehörigkeitsverteilungsvektors θi~Dirichlet(αr)
  • Für jedes Knotenpaar (i, j):
    Zeichnen der Gemeinschaft des Knotens i Z c / ij~Multinomial(πi)
    Zeichnen der Gemeinschaft des Knotens j Z c / ji~Multinomial(πj)
    Zeichnen der Rolle des Knotens i Z r / ij~Multinomial(θi)
    Zeichnen der Rolle des Knotens j Z r / ji~Multinomial(θi)
    Zeichnen der Verbindung Eij~Bernoulli
    Figure DE112016001742T5_0002
  • Unter dem obigen generativen Modell kann, wenn die Strukturmatrix Eij beobachtet wird, die spätere Verteilung von versteckten Variablen, wie beispielsweise Zugehörigkeitsvektoren, abgeleitet werden. Bei gegebenen Netzwerkkommunikationsdaten, werden die spätere Verteilung und insbesondere das spätere Ermitteln der Variablen im Modell abgeleitet. Aufgrund der komplizierten Integrale über versteckte Zustände bei der späteren Ableitung ist eine genaue Ableitung schwer zu bewältigen. Die vorliegenden Ausführungsformen verwenden daher eine Gibbs-Abtastinferenz, obwohl es verstanden werden sollte, dass stattdessen andere Typen von Inferenz bzw. Ableitung verwendet werden können.
  • Bei einer Gibbs-Abtastung wird eine Markov-Kette beibehalten. Die Kette erreicht sequentiell ihren nächsten Zustand durch Abtasten einer Variablen aus ihrer Verteilung, wenn sie auf aktuelle Werte von allen der anderen Variablen konditioniert ist. Wenn sich die Markov-Kette einer Gleichgewichtsverteilung nähert, werden die nachfolgenden Abtastungen aus der Sollverteilung erzeugt. Unter Verwendung einer kollabierten Gibbs-Abtastung werden direkte Abtastungen der Dirichlet-Zugehörigkeitsvariablen π und θ durch Ausintegrieren von diesen Variablen vermieden. Somit werden nur die Zugehörigkeitszuordnungen eines Paars von Knoten (i, j) gemäß der konditionalen Verteilung des Paars gleichzeitig abgetastet. Die konditionale Verteilung P wird daher berechnet, die die Gemeinschafts- und Rollenzuordnungen des Paars von Knoten (i, j) repräsentiert, bei gegebener Strukturmatrix Eij und gegebenen aktuellen Zuordnungen der anderen Knotenpaare. Die konditionale Verteilung P ist definiert als:
    Figure DE112016001742T5_0003
    wobei a = Z c / ij, b = Z c / ji, p = Z r / ij, q = Z r / ji, hia die Zahl des Knotens i ist, der einer Gemeinschaft a zugeordnet ist, mip die Zahl des Knotens i ist, der der Rolle b zugeordnet ist, n –ij / δ(a,b)pq+ eine Zahl von verbundenen Knotenpaaren mit Gemeinschaftszuordnungen a und b und Rollenzuordnungen p und q ist, n –ij / δ(a,b)pq– eine Zahl von nicht verbundenen Knotenpaaren mit Gemeinschaftszuordnungen a und b und Rollenzuordnungen p und q ist, ξ1 und ξ2 skalare Beta-Hyperparameter für (k, p, q) im Interaktionstensor B sind.
  • Es ist beachtenswert, dass die konditionale Verteilung P proportional zu zwei Teilen ist: der Rate von Verbindung/Nichtverbindung, die den Gemeinschafts- und Rollenzuordnungen der zwei Knoten zugeteilt ist, und dem Verhältnis (nach einer Normalisierung) von Gemeinschafts- und Rollen-Zugehörigkeitszuordnungen von beiden Knoten. Beide Teile werden durch Ausschließen ihrer aktuellen Zuordnungen berechnet.
  • Die Markov-Kette kann dann durch eine gegebene Gemeinschafts- und Rollen-Zugehörigkeitszuordnung für alle Knotenpaare initialisiert werden. Die Kette kann durch sequentielles erneutes Abtasten von Zuordnungen von jedem Paar von Knoten, konditioniert auf den Rest, laufen gelassen werden. Wenn einmal die Zuordnungen eines Paars von Knoten aktualisiert sind, werden die Zähler n, m und h auch aktualisiert. Nach ausreichenden Iterationen nähert sich die Markov-Kette der Gleichgewichtsverteilung. Die nachfolgenden Abtastungen der Gemeinschafts- und Rollen-Zuordnungen können gesammelt werden, um die spätere Verteilung der Variablen zu schätzen.
  • Die Gemeinschaftszugehörigkeit des Knotens i ist Dirichlet-verteilt und ihr Mittel bei einer aten Dimension ist:
    Figure DE112016001742T5_0004
    wobei Kc die Anzahl von Gemeinschaften ist und αc der Dirichlet-Hyperparameter für πi ist. Die Rollenzugehörigkeit des Knotens i ist auch Dirichlet-verteilt und ihr Mittel bei der pten Dimension ist gegeben durch:
    Figure DE112016001742T5_0005
    wobei Kr die Anzahl von Rollen ist und αr der Dirichlet-Hyperparameter für θi ist. Der Interaktionstensor B ist Beta-verteilt, wobei das Mittel von jedem Eintrag geschätzt wird durch:
    Figure DE112016001742T5_0006
  • Die Blöcke 206 und 207 berechnen daher die konditionale Verteilung für jedes Paar von Knoten (i, j) und der Block 208 bestimmt Π, θip und Bkpq.
  • Hier beschriebene Ausführungsformen können gänzlich Hardware sein, gänzlich Software sein oder sowohl Hardware- als auch Softwareelemente enthaltend sein. Bei einer bevorzugten Ausführungsform ist die vorliegende Erfindung in Software implementiert, die Firmware, residente Software, einen Microcode, etc. enthält, aber nicht darauf beschränkt ist.
  • Ausführungsformen können ein Computerprogrammprodukt enthalten, auf das von einem computernutzbaren oder computerlesbaren Medium zugreifbar ist, das einen Programmcode zur Verwendung durch einen Computer oder irgendein Anweisungsausführungssystem oder in Verbindung damit zur Verfügung stellt. Ein computernutzbares oder computerlesbares Medium kann irgendein Gerät enthalten, das das Programm zur Verwendung durch das Anweisungsausführungssystem, das Gerät oder die Vorrichtung oder in Verbindung damit speichert, kommuniziert, verbreitet oder transportiert. Das Medium kann magnetisch, optisch, elektronisch, elektromagnetisch, Infrarot oder ein Halbleitersystem (oder ein Gerät oder eine Vorrichtung) oder ein Verbreitungsmedium sein. Das Medium kann ein computerlesbares Speichermedium enthalten, wie beispielsweise einen Halbleiter oder einen Festkörperspeicher, ein Magnetband, eine entfernbare Computerdiskette, einen Direktzugriffsspeicher (RAM), einen Nurlesespeicher (ROM), eine feste magnetische Platte und eine optische Platte, etc.
  • Jedes Computerprogramm kann konkret in einem maschinenlesbaren Speichermedium oder einer Vorrichtung gespeichert sein (z. B. Programmspeicher oder Magnetplatte), das oder die durch einen allgemeinen oder speziellen programmierbaren Computer lesbar ist, zum Konfigurieren und Steuern einer Operation eines Computers, wenn die Speichermedien oder die Vorrichtung durch den Computer gelesen wird, um die hierin beschriebenen Prozeduren durchzuführen. Das erfinderische System kann auch derart angesehen werden, dass es in einem computerlesbaren Speichermedium verkörpert ist, das mit einem Computerprogramm konfiguriert ist, wobei das Speichermedium so konfiguriert ist, dass es veranlasst, dass ein Computer auf eine spezifische und vordefinierte Weise arbeitet, um die hierin beschriebenen Funktionen durchzuführen.
  • Ein Datenverarbeitungssystem, das zum Speichern und/oder Ausführen eines Programmcodes geeignet ist, kann wenigstens einen Prozessor enthalten, der direkt oder indirekt mit Speicherelementen durch einen Systembus gekoppelt ist. Die Speicherelemente können einen lokalen Speicher enthalten, der während einer aktuellen Ausführung des Programmcodes verwendet wird, einen Massenspeicher und Cache-Speicher, die eine temporäre Speicherung von wenigstens einigem des Programmcodes zur Verfügung stellen, um die Anzahl von Zeiten zu reduzieren, zu welchen ein Code während einer Ausführung aus einem Massenspeicher ausgelesen wird. Eingabe/Ausgabe- oder I/O-Vorrichtungen (die Tastaturen, Anzeigen, Zeigevorrichtungen, etc. enthalten, aber nicht darauf beschränkt sind), können mit dem System entweder direkt oder durch dazwischenliegende I/O-Steuerungen gekoppelt sein.
  • Netzwerkadapter können auch mit dem System gekoppelt sein, um zu ermöglichen, dass das Datenverarbeitungssystem mit anderen Datenverarbeitungssystemen oder entfernten Druckern oder Speichervorrichtungen durch dazwischenliegende private oder öffentliche Netze gekoppelt wird. Modems, ein Kabelmodem und Ethernetkarten sind nur einige der aktuell erhältlichen Typen von Netzwerkadaptern.
  • Nimmt man nun Bezug auf 3, ist ein Verfahren zum Durchführen einer Eindringungserfassung basierend auf einer integrierten Netzwerkebenen-Analyse gezeigt, die sowohl Gemeinschafts- als auch Rolleninformation enthält. Ein Block 302 sammelt Daten von Agenten, die an jedem der Knoten 101 installiert sind. Die Agenten sammeln Information in Bezug auf jede Knotenaktivitäten, einschließlich beispielsweise Aktivitäten auf Hostebene (z. B. Anwender-zu-Prozess-Ereignisse, Prozess-zu-Datei-Ereignisse, Anwender-zu-Registratur-Ereignisse, etc.) und Aktivitäten auf Netzwerkebene (z. B. TCP- und UDP-Verbindungen mit anderen Knoten 101 im Netzwerk 100).
  • Ein Block 304 führt eine Analyse auf Netzwerkebene unter Verwendung der gesammelten Information durch. Die Analyse auf Netzwerkebene ist oben detaillierter beschrieben und integriert sowohl Knotengemeinschaftszugehörigkeit als auch Knotenrollenzugehörigkeit, um anomale Kommunikationen zu erfassen. Ein Block 306 führt eine Analyse auf Hostebene basierend auf der gesammelten Information durch, um zu bestimmen, ob ein anomales Verhalten lokal innerhalb eines einzelnen Knotens 101 aufgetreten ist.
  • Ein Block 308 integriert die Anomalitäten auf Netzwerkebene und Hostebene, um Eindringungserfassungsereignisse zu liefern. Dies kann weiterhin eine Kontextanalyse enthalten, um Interaktionen zwischen Anomalitäten auf Netzwerkebene und Hostebene zu erfassen, wie beispielsweise unter Beachtung, dass bestimmte Anomalitäten auf Hostebene und Netzwerkebene eine größere Wichtigkeit haben können, wenn sie zusammen auftreten. Ein Block 310 präsentiert dann die erfassten Eindringungsereignisse zu einem Anwender zur Überprüfung und für eine weitere Aktion. Bei einigen Ausführungsformen kann ein Block 312 automatisch auf das Eindringungserfassungsereignis reagieren. Die Reaktion kann beispielsweise ein Blockieren bestimmter Kommunikationen auf Netzwerkebene, ein Beschränken eines Zugriffs auf der Ebene eines individuellen Hosts, ein Ändern von Sicherungsstrategien und ein Liefern von Alarmierungen zu interessierten Parteien, wie beispielsweise einen Systemadministrator, enthalten. Der Block 312 kann die spezifische Eindringungsinformation berücksichtigen, die durch den Block 308 bestimmt ist, um einen besten Aktionsverlauf zu bestimmen.
  • Nimmt man nun Bezug auf 4, ist ein Netzwerkebenen-Anomalitätserfassungssystem 400 gezeigt. Das Erfassungssystem 400 enthält einen Hardwareprozessor 402 und einen Speicher 404 sowie eine Netzwerkschnittstelle 405. Das System 400 enthält weiterhin bestimmte funktionelle Module, die bei einigen Ausführungsformen als Software implementiert sein können, die im Speicher 404 gespeichert ist und durch den Prozessor 402 ausgeführt wird. Bei anderen Ausführungsformen können die funktionellen Module als eine oder mehrere diskrete Hardwarekomponenten implementiert sein, wie beispielsweise in der Form eines anwendungsspezifischen integrierten Chips oder eines feldprogrammierbaren Gate-Arrays.
  • Das System 400 sammelt historische Daten 406 in Bezug auf das Netzwerk 100 über die Netzwerkschnittstelle 405 und speichert die historischen Daten 406 im Speicher 404. Diese historischen Daten 406 enthalten Information, die Kommunikationen zwischen Knoten 101 auf dem Netzwerk 100 wiedergibt, und werden durch Agenten bei dem individuellen Knoten 101 zur Verfügung gestellt, die berichten, was jeder jeweilige Knoten 101 tut. Die historischen Daten 406 werden verwendet, um einen Blaupausengraphen 410 des Netzwerks 100 zu bilden, wobei die Knoten 101 des Blaupausengraphen individuelle Hosts auf dem Netzwerk 100 darstellen und Kanten normale Kommunikationen zwischen den Kommunikationen 101 darstellen.
  • Ein Gemeinschafts- und Rollen-Erfassungsmodul 408 entdeckt automatisch die Gemeinschafts- und Rollenzugehörigkeiten von jedem Knoten 101 im Netzwerk 100, wie es oben detailliert beschrieben ist. Das Gemeinschafts- und Rollen-Erfassungsmodul 408 verwendet den Prozessor 402, um den Blaupausengraphen 410 zu analysieren, und liefert Zugehörigkeitsvektoren θ und π. Ein Anomalitäts-Erfassungsmodul 412 verwendet die Zugehörigkeitsvektoren und den Blaupausengraphen, um ankommende Information über aktuelle Netzwerkkommunikationen zu überprüfen und um zu bestimmen, ob eine gegebene Kommunikation anomal ist. Das Anomalitätserfassungsmodul 412 verwendet weiterhin die ankommenden Netzwerkkommunikationen, um Einstellungen am Blaupausengraphen 410 durchzuführen, was infolge zu Einstellungen in Bezug auf die Gemeinschafts- und Rollenzugehörigkeiten führen kann.
  • Nimmt man nun Bezug auf 5, ist ein beispielhaftes Verarbeitungssystem 500 gezeigt, das das Netzwerkebenen-Anomalitätserfassungssystem 400 darstellen kann. Das Verarbeitungssystem 500 enthält wenigstens einen Prozessor (CPU) 504, der operativ mit anderen Komponenten über einen Systembus 502 gekoppelt ist. Ein Cache 506, ein Nurlesespeicher (ROM) 508, ein Direktzugriffsspeicher (RAM) 510, ein Eingabe/Ausgabe-(I/O-)Adapter 520, ein Klangadapter 530, ein Netzwerkadapter 540, ein Anwenderschnittstellenadapter 550 und ein Anzeigeadapter 560 sind operativ mit dem Systembus 502 gekoppelt.
  • Eine erste Speichervorrichtung 522 und eine zweite Speichervorrichtung 524 sind operativ mit dem Systembus 502 durch den I/O-Adapter 520 gekoppelt. Die Speichervorrichtungen 522 und 524 können irgendeine einer Plattenspeichervorrichtung (z. B. eine magnetische oder optische Plattenspeichervorrichtung), eine Festkörper-Magnetvorrichtung, und so weiter sein. Die Speichervorrichtungen 522 und 524 können derselbe Typ von Speichervorrichtung oder unterschiedliche Typen von Speichervorrichtungen sein.
  • Ein Lautsprecher 532 ist operativ mit dem Systembus 502 durch den Klangadapter 530 gekoppelt. Ein Transceiver 542 ist operativ mit dem Systembus 502 durch den Netzwerkadapter 540 gekoppelt. Eine Anzeigevorrichtung 562 ist operativ mit dem Systembus 502 durch den Anzeigeadapter 560 gekoppelt.
  • Eine erste Anwendereingabevorrichtung 552, eine zweite Anwendereingabevorrichtung 554 und eine dritte Anwendereingabevorrichtung 556 sind operativ mit dem Systembus 502 durch den Anwenderschnittstellenadapter 550 gekoppelt. Die Anwendereingabevorrichtungen 552, 554 und 556 können irgendetwas von einer Tastatur, einer Maus, einer Folientastatur bzw. kleinen Tastatur, einer Bilderfassungsvorrichtung, einer Bewegungserfassungsvorrichtung, einem Mikrofon, einer Vorrichtung, die die Funktionalität von wenigstens zwei der vorangehenden Vorrichtungen enthält, und so weiter sein. Natürlich können andere Typen von Eingabevorrichtungen auch verwendet werden, während der Sinngehalt der vorliegenden Prinzipien beibehalten wird. Die Anwendereingabevorrichtungen 552, 554 und 556 können derselbe Typ von Anwendereingabevorrichtungen oder unterschiedliche Typen von Anwendereingabevorrichtungen sein. Die Anwendereingabevorrichtungen 552, 554 und 556 werden verwendet, um Information zum System 500 einzugeben und von diesem auszugeben.
  • Natürlich kann das Verarbeitungssystem 500 auch andere Elemente (nicht gezeigt) enthalten, wie es ohne weiteres durch Fachleute auf dem Gebiet in Erwägung gezogen wird, sowie bestimmte Elemente weglassen. Beispielsweise können im Verarbeitungssystem 500 in Abhängigkeit von der bestimmten Implementierung desselben verschiedene andere Eingabevorrichtungen und/oder Ausgabevorrichtungen enthalten sein, wie es ohne weiteres von Fachleuten auf dem Gebiet verstanden wird. Beispielsweise können verschiedene Typen von drahtlosen und/oder verdrahteten Eingabe- und/oder Ausgabevorrichtungen verwendet werden. Darüber hinaus können zusätzliche Prozessoren, Steuerungen, Speicher und so weiter bei verschiedenen Konfigurationen auch verwendet werden, wie es ohne weiteres von Fachleuten auf dem Gebiet erkannt wird. Diese und andere Variationen des Verarbeitungssystems 500 sind bereits von Fachleuten auf dem Gebiet in Erwägung gezogen worden, welchen die Lehren der hierin zur Verfügung gestellten vorliegenden Prinzipien gegeben sind.
  • Das Vorangehende ist derart zu verstehen, dass es in jeder Hinsicht illustrativ und beispielhaft, aber nicht beschränkend ist, und der Schutzumfang der hierin offenbarten Erfindung ist nicht aus der detaillierten Beschreibung zu bestimmen, sondern vielmehr aus den Ansprüchen, wie sie gemäß der vollen Breite interpretiert werden, die durch die Patentgesetze zugelassen ist. Es ist zu verstehen, dass die hierin gezeigten und beschriebenen Ausführungsformen nur illustrativ für die Prinzipien der vorliegenden Erfindung sind und dass Fachleute auf dem Gebiet verschiedene Modifikationen implementieren können, ohne vom Schutzumfang und Sinngehalt der Erfindung abzuweichen. Fachleute auf dem Gebiet könnten verschiedene andere Merkmalskombinationen implementieren, ohne vom Schutzumfang und Sinngehalt der Erfindung abzuweichen. Somit sind Aspekte der Erfindung mit den Details und der Besonderheit beschrieben worden, die durch die Patentgesetze erforderlich sind, und das, was beansprucht und erwünscht ist, durch die Buchstaben des Patentgesetzes geschützt zu werden, ist in den beigefügten Ansprüchen dargelegt.

Claims (18)

  1. Verfahren zum Erfassen anomaler Kommunikationen, umfassend: Simulieren eines Netzwerkgraphen basierend auf Gemeinschafts- und Rollenetiketten bzw. -labels von jedem Knoten im Netzwerkgraphen basierend auf einer oder mehreren Verbindungsregeln; Einstellen der Gemeinschafts- und Rollenetiketten von jedem Knoten basierend auf Unterschieden zwischen dem simulierten Netzwerkgraphen und einem echten Netzwerkgraphen; Wiederholen des Simulierens und Einstellens, bis der simulierte Netzwerkgraph zur echten Netzwerkgraphen konvergiert, um eine schließliche Gruppe von Gemeinschafts- und Rollenetiketten zu bestimmen; und basierend auf der schließlichen Gruppe von Gemeinschafts- und Rollenetiketten Bestimmen, ob eine Netzwerkkommunikation anomal ist.
  2. Verfahren nach Anspruch 1, wobei ein Einstellen der Gemeinschafts- und Rollenetiketten von jedem Knoten ein Bestimmen einer konditionalen Verteilung für jedes Paar von Knoten in einem Netzwerkgraphen basierend auf einer Rate einer Verbindung für ein Gemeinschafts- und Rollenetikett von jedem Knoten in dem Paar von Knoten und einem Verhältnis von Gemeinschafts- und Rollenetiketten von beiden Knoten umfasst.
  3. Verfahren nach Anspruch 1, weiterhin ein Bestimmen von anfänglichen Gemeinschafts- und Rollenetiketten für jeden einer Vielzahl von Knoten umfassend.
  4. Verfahren nach Anspruch 3, wobei ein Bestimmen von anfänglichen Gemeinschafts- und Rollenetiketten ein zufälliges Zuordnen eines Gemeinschafts- und Rollenetiketts zu jedem Knoten umfasst.
  5. Verfahren nach Anspruch 1, wobei der echte Netzwerkgraph auf historischen Kommunikationen zwischen den Knoten basiert.
  6. Verfahren nach Anspruch 1, wobei ein Wiederholen des Simulierens und des Einstellens ein Bestimmen einer echten Strukturmatrix basierend auf dem echten Netzwerkgraphen und einer synthetischen Strukturmatrix basierend auf dem simulierten Netzwerkgraphen umfasst.
  7. Verfahren nach Anspruch 6, wobei ein Wiederholen des Simulierens und des Einstellens weiterhin ein Bestimmen, ob der simulierte Netzwerkgraph zum echten Netzwerkgraphen konvergiert ist, durch Bestimmen einer Ähnlichkeit der synthetischen Strukturmatrix mit der echten Strukturmatrix umfasst.
  8. Verfahren nach Anspruch 1, wobei ein Bestimmen, ob eine Netzwerkkommunikation anomal ist, ein Bestimmen einer Wahrscheinlichkeit dessen umfasst, dass die Netzwerkkommunikation zwischen einem assoziierten ersten Knoten und einem zweiten Knoten basierend auf den Gemeinschafts- und Rollenetiketten des jeweiligen ersten und des jeweiligen zweiten Knotens stattfindet.
  9. Verfahren nach Anspruch 1, weiterhin ein automatisches Reagieren auf ein erfasstes Eindringungsereignis umfassend, wobei die Reaktion eines oder mehreres von einem Blockieren der Netzwerkkommunikation, einem Beschränken eines Zugriffs, einem Ändern von Sicherheitsstrategien und einem Alarmieren eines Systemadministrators umfasst.
  10. System zum Erfassen von anomalen Kommunikationen, umfassend: ein Gemeinschafts- und Rollen-Erfassungsmodul mit einem Prozessor, der konfiguriert ist, um einen Netzwerkgraphen basierend auf Gemeinschafts- und Rollenetiketten von jedem Knoten im Netzwerkgraphen basierend auf einer oder mehreren Verbindungsregeln zu simulieren, um die Gemeinschafts- und Rollenetiketten von jedem Knoten basierend auf Unterschieden zwischen dem simulierten Netzwerkgraphen und einem echten Netzwerkgraphen einzustellen und um die Simulation und die Einstellung zu wiederholen, bis der simulierte Netzwerkgraph zum echten Netzwerkgraphen konvergiert, um eine schließliche Gruppe von Gemeinschafts- und Rollenetiketten zu bestimmen; und ein Anomalitätserfassungsmodul, das konfiguriert ist, um basierend auf der schließlichen Gruppe von Gemeinschafts- und Rollenetiketten zu bestimmen, ob eine Netzwerkkommunikation anomal ist.
  11. System nach Anspruch 10, wobei das Gemeinschafts- und Rollen-Erfassungsmodul weiterhin konfiguriert ist, um eine konditionale Verteilung für jedes Paar von Knoten in einer Netzwerkgraph basierend auf einer Rate einer Verbindung für ein Gemeinschafts- und Rollenetikett von jedem Knoten im Paar von Knoten und einem Verhältnis von Gemeinschafts- und Rollenetiketten von beiden Knoten zu bestimmen.
  12. System nach Anspruch 10, wobei das Gemeinschafts- und Rollen-Erfassungsmodul weiterhin konfiguriert ist, um anfängliche Gemeinschafts- und Rollenetiketten für jeden einer Vielzahl von Knoten zu bestimmen.
  13. System nach Anspruch 12, wobei das Gemeinschafts- und Rollen-Erfassungsmodul weiterhin konfiguriert ist, um ein Gemeinschafts- und Rollenetikett zufällig zu jedem Knoten zuzuordnen.
  14. System nach Anspruch 10, wobei der echte Netzwerkgraph auf historischen Kommunikationen zwischen den Knoten basiert.
  15. System nach Anspruch 10, wobei das Gemeinschafts- und Rollen-Erfassungsmodul weiterhin konfiguriert ist, um eine echte Strukturmatrix basierend auf dem echten Netzwerkgraphen und eine synthetische Strukturmatrix basierend auf dem simulierten Netzwerkgraphen zu bestimmen.
  16. System nach Anspruch 15, wobei das Gemeinschafts- und Rollen-Erfassungsmodul weiterhin konfiguriert ist, um zu bestimmen, ob der simulierte Netzwerkgraph zum echten Netzwerkgraphen konvergiert ist, durch Bestimmen einer Ähnlichkeit der synthetischen Strukturmatrix mit der echten Strukturmatrix.
  17. System nach Anspruch 10, wobei das Anomalitätserfassungsmodul weiterhin konfiguriert ist, um eine Wahrscheinlichkeit dafür zu bestimmen, dass die Netzwerkkommunikation zwischen einem assoziierten ersten Knoten und einem zweiten Knoten stattfindet, basierend auf den Gemeinschafts- und Rollenetiketten der jeweiligen ersten und zweiten Knoten.
  18. System nach Anspruch 10, wobei das Anomalitätserfassungsmodul weiterhin konfiguriert ist, um automatisch auf ein erfasstes Eindringungsereignis zu reagieren, wobei die Reaktion eines oder mehreres von einem Blockieren der Netzwerkkommunikation, einem Beschränken eines Zugriffs, einem Ändern von Sicherheitsstrategien und einem Alarmieren eines Systemadministrators umfasst.
DE112016001742.1T 2015-04-16 2016-04-15 Integrierte Gemeinschafts- und Rollenentdeckung in Unternehmensnetzwerken Pending DE112016001742T5 (de)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201562148232P 2015-04-16 2015-04-16
US62/148,232 2015-04-16
US15/098,861 US20160308725A1 (en) 2015-04-16 2016-04-14 Integrated Community And Role Discovery In Enterprise Networks
US15/098,861 2016-04-14
PCT/US2016/027659 WO2016168531A1 (en) 2015-04-16 2016-04-15 Integrated community and role discovery in enterprise networks

Publications (1)

Publication Number Publication Date
DE112016001742T5 true DE112016001742T5 (de) 2018-01-18

Family

ID=57126207

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112016001742.1T Pending DE112016001742T5 (de) 2015-04-16 2016-04-15 Integrierte Gemeinschafts- und Rollenentdeckung in Unternehmensnetzwerken

Country Status (4)

Country Link
US (1) US20160308725A1 (de)
JP (1) JP6545819B2 (de)
DE (1) DE112016001742T5 (de)
WO (1) WO2016168531A1 (de)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10230743B1 (en) 2016-05-12 2019-03-12 Wells Fargo Bank, N.A. Rogue endpoint detection
US11310247B2 (en) * 2016-12-21 2022-04-19 Micro Focus Llc Abnormal behavior detection of enterprise entities using time-series data
US10397258B2 (en) 2017-01-30 2019-08-27 Microsoft Technology Licensing, Llc Continuous learning for intrusion detection
US10491616B2 (en) 2017-02-13 2019-11-26 Microsoft Technology Licensing, Llc Multi-signal analysis for compromised scope identification
US10476673B2 (en) 2017-03-22 2019-11-12 Extrahop Networks, Inc. Managing session secrets for continuous packet capture systems
CN107743072B (zh) * 2017-07-04 2020-07-17 中国电力科学研究院 高效可扩展的网络仿真场景生成方法
US10885185B2 (en) * 2017-10-24 2021-01-05 Nec Corporation Graph model for alert interpretation in enterprise security system
US9967292B1 (en) 2017-10-25 2018-05-08 Extrahop Networks, Inc. Inline secret sharing
US10389574B1 (en) 2018-02-07 2019-08-20 Extrahop Networks, Inc. Ranking alerts based on network monitoring
US10038611B1 (en) 2018-02-08 2018-07-31 Extrahop Networks, Inc. Personalization of alerts based on network monitoring
US10270794B1 (en) 2018-02-09 2019-04-23 Extrahop Networks, Inc. Detection of denial of service attacks
US10411978B1 (en) 2018-08-09 2019-09-10 Extrahop Networks, Inc. Correlating causes and effects associated with network activity
US10594718B1 (en) 2018-08-21 2020-03-17 Extrahop Networks, Inc. Managing incident response operations based on monitored network activity
US10965702B2 (en) * 2019-05-28 2021-03-30 Extrahop Networks, Inc. Detecting injection attacks using passive network monitoring
US11165814B2 (en) 2019-07-29 2021-11-02 Extrahop Networks, Inc. Modifying triage information based on network monitoring
US11388072B2 (en) 2019-08-05 2022-07-12 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US10742530B1 (en) 2019-08-05 2020-08-11 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US10742677B1 (en) 2019-09-04 2020-08-11 Extrahop Networks, Inc. Automatic determination of user roles and asset types based on network monitoring
US11165823B2 (en) 2019-12-17 2021-11-02 Extrahop Networks, Inc. Automated preemptive polymorphic deception
CN111147504B (zh) * 2019-12-26 2022-11-22 深信服科技股份有限公司 威胁检测方法、装置、设备和存储介质
CN111209317A (zh) * 2020-01-15 2020-05-29 同济大学 一种知识图谱异常社区检测方法及装置
CN111694643B (zh) * 2020-05-12 2023-04-11 中国科学院计算技术研究所 一种面向图神经网络应用的任务调度执行***及方法
EP4218212A1 (de) 2020-09-23 2023-08-02 ExtraHop Networks, Inc. Überwachung von verschlüsseltem netzwerkverkehr
US11463466B2 (en) 2020-09-23 2022-10-04 Extrahop Networks, Inc. Monitoring encrypted network traffic
US11349861B1 (en) 2021-06-18 2022-05-31 Extrahop Networks, Inc. Identifying network entities based on beaconing activity
US11296967B1 (en) 2021-09-23 2022-04-05 Extrahop Networks, Inc. Combining passive network analysis and active probing
CN114726601B (zh) * 2022-03-28 2023-06-02 北京计算机技术及应用研究所 一种基于图结构的信息安全仿真建模与验证评估方法
US11843606B2 (en) 2022-03-30 2023-12-12 Extrahop Networks, Inc. Detecting abnormal data access based on data similarity

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3922375B2 (ja) * 2004-01-30 2007-05-30 インターナショナル・ビジネス・マシーンズ・コーポレーション 異常検出システム及びその方法
US7583587B2 (en) * 2004-01-30 2009-09-01 Microsoft Corporation Fault detection and diagnosis
CA2531410A1 (en) * 2005-12-23 2007-06-23 Snipe Network Security Corporation Behavioural-based network anomaly detection based on user and group profiling
US7808916B1 (en) * 2005-12-28 2010-10-05 At&T Intellectual Property Ii, L.P. Anomaly detection systems for a computer network
KR100951144B1 (ko) * 2007-10-19 2010-04-07 한국정보보호진흥원 업무 모델 기반의 네트워크 취약점 점검 시스템 및 방법
KR101380768B1 (ko) * 2012-09-14 2014-04-02 주식회사 그루스 네트워크의 트래픽 상황을 시각화하여 표시하는 시뮬레이션 장치 및 방법

Also Published As

Publication number Publication date
JP2018512823A (ja) 2018-05-17
US20160308725A1 (en) 2016-10-20
JP6545819B2 (ja) 2019-07-17
WO2016168531A1 (en) 2016-10-20

Similar Documents

Publication Publication Date Title
DE112016001742T5 (de) Integrierte Gemeinschafts- und Rollenentdeckung in Unternehmensnetzwerken
DE69934102T2 (de) System und verfahren zur model-mining von komplexen informationtechnologiesystemen
DE112019004913T5 (de) Erfassen von unangemessener aktivität in anwesenheit von nicht authentifizierten api-anforderungen unter verwendung von künstlicher intelligenz
DE112016002806T5 (de) Eindringdetektion auf Graphenbasis unter Verwendung von Prozessspuren
EP4033387A1 (de) Cyber-sicherheit
DE102022201746A1 (de) Verwaltung von rechenzentren mit maschinellem lernen
US20220078188A1 (en) Change Monitoring and Detection for a Cloud Computing Environment
DE60116877T2 (de) System und verfahren zum erfassen von ereignissen
DE112016005290T5 (de) Anomliefusion auf temporalen kausalitätsgraphen
DE202018006616U1 (de) Beschleunigung des Arbeitsablaufs von Cyberanalysen
DE112011104487T5 (de) Verfahren und System zur prädiktiven Modellierung
EP1223709A2 (de) Verfahren und Vorrichtung zum rechnergestützten Überwachen eines Telekommunikationsnetzes
DE112019003431T5 (de) Regelerzeugung mithilfe von künstlicher intelligenz
DE112021006232T5 (de) Proaktive anomalieerkennung
Bagrow et al. Robustness and modular structure in networks
Boschetti et al. TVi: A visual querying system for network monitoring and anomaly detection
CN102611713A (zh) 基于熵运算的网络入侵检测方法和装置
Mir et al. A differentially private graph estimator
DE102012218699A1 (de) Passives überwachen virtueller systeme mittels agentenlosem offline-indexieren
DE112021000689T5 (de) Attestierung von neuronalen abläufen
DE102021130396A1 (de) Datenzugriffsüberwachung und -steuerung
DE112021003657T5 (de) Fehlerlokalisierung für cloud-native anwendungen
Corchado et al. Detecting compounded anomalous SNMP situations using cooperative unsupervised pattern recognition
Promrit et al. Traffic flow classification and visualization for network forensic analysis
DE112020004770B4 (de) Verwaltung einer übertragungshäufigkeit für edge-einheiten eines verteilten netzwerkverbundes

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0029060000

Ipc: H04L0012260000

R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000

R081 Change of applicant/patentee

Owner name: CLOUD BYTE LLC, NEWARK, US

Free format text: FORMER OWNER: NEC LABORATORIES AMERICA, INC., PRINCETON, N.J., US

Owner name: IP WAVE PTE LTD., SG

Free format text: FORMER OWNER: NEC LABORATORIES AMERICA, INC., PRINCETON, N.J., US

Owner name: NEC ASIA PACIFIC PTE LTD., SG

Free format text: FORMER OWNER: NEC LABORATORIES AMERICA, INC., PRINCETON, N.J., US

Owner name: NEC CORP., JP

Free format text: FORMER OWNER: NEC LABORATORIES AMERICA, INC., PRINCETON, N.J., US

R082 Change of representative

Representative=s name: VOSSIUS & PARTNER PATENTANWAELTE RECHTSANWAELT, DE

R081 Change of applicant/patentee

Owner name: CLOUD BYTE LLC, NEWARK, US

Free format text: FORMER OWNER: NEC CORP., TOKYO, JP

Owner name: IP WAVE PTE LTD., SG

Free format text: FORMER OWNER: NEC CORP., TOKYO, JP

Owner name: NEC ASIA PACIFIC PTE LTD., SG

Free format text: FORMER OWNER: NEC CORP., TOKYO, JP

R081 Change of applicant/patentee

Owner name: CLOUD BYTE LLC, NEWARK, US

Free format text: FORMER OWNER: NEC ASIA PACIFIC PTE LTD., SINGAPORE, SG

Owner name: IP WAVE PTE LTD., SG

Free format text: FORMER OWNER: NEC ASIA PACIFIC PTE LTD., SINGAPORE, SG

R081 Change of applicant/patentee

Owner name: CLOUD BYTE LLC, NEWARK, US

Free format text: FORMER OWNER: IP WAVE PTE LTD., SINGAPORE, SG