DE112016001742T5 - Integrierte Gemeinschafts- und Rollenentdeckung in Unternehmensnetzwerken - Google Patents
Integrierte Gemeinschafts- und Rollenentdeckung in Unternehmensnetzwerken Download PDFInfo
- Publication number
- DE112016001742T5 DE112016001742T5 DE112016001742.1T DE112016001742T DE112016001742T5 DE 112016001742 T5 DE112016001742 T5 DE 112016001742T5 DE 112016001742 T DE112016001742 T DE 112016001742T DE 112016001742 T5 DE112016001742 T5 DE 112016001742T5
- Authority
- DE
- Germany
- Prior art keywords
- community
- role
- network graph
- node
- nodes
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 claims abstract description 32
- 238000000034 method Methods 0.000 claims abstract description 17
- 230000002159 abnormal effect Effects 0.000 claims abstract description 15
- 238000004088 simulation Methods 0.000 claims abstract description 6
- 238000001514 detection method Methods 0.000 claims description 21
- 239000011159 matrix material Substances 0.000 claims description 20
- 230000000903 blocking effect Effects 0.000 claims description 3
- 230000004044 response Effects 0.000 claims description 3
- 238000012545 processing Methods 0.000 description 10
- 239000013598 vector Substances 0.000 description 8
- 230000003993 interaction Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 4
- 230000005856 abnormality Effects 0.000 description 3
- 230000002547 anomalous effect Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 3
- 239000003795 chemical substances by application Substances 0.000 description 3
- 150000001875 compounds Chemical class 0.000 description 3
- 238000004590 computer program Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000005070 sampling Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000001143 conditioned effect Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000012952 Resampling Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 238000011524 similarity measure Methods 0.000 description 1
- 230000032258 transport Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0421—Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Algebra (AREA)
- Mathematical Physics (AREA)
- Probability & Statistics with Applications (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Optimization (AREA)
- Mathematical Analysis (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
- INFORMATION ÜBER ZUGEHÖRIGE ANMELDUNG
- Diese Anmeldung beansprucht die Priorität von 62/148,232, eingereicht am 16. April 2015, welche hierin in ihrer Gesamtheit durch Bezugnahme enthalten ist.
- HINTERGRUND
- Technisches Gebiet
- Die vorliegende Erfindung betrifft Computer- und Netzwerksicherheit und insbesondere eine integrierte Entdeckung einer Kotengemeinschaft und -rolle in solchen Netzwerken.
- Beschreibung des zugehörigen Standes der Technik
- Unternehmensnetzwerke sind Schlüsselsysteme in Unternehmen, und sie tragen die überwiegende Mehrheit von auftragsentscheidender Information. Als Ergebnis ihrer Wichtigkeit sind diese Netzwerke oft die Ziele eines Angriffs. Kommunikationen auf Unternehmensnetzwerken werden daher häufig überwacht und analysiert, um anomale Netzwerkkommunikation zu erfassen, als ein Schritt in Richtung zu einem Erfassen von Angriffen.
- Jedoch ist eine genaue und effektive Erfassung schwierig, wenn dem System Wissen über eine Gemeinschaft und Rollen fehlt. Eine Gemeinschaft repräsentiert die Arbeitsgruppe, zu welcher eine Maschine gehört, während eine Rolle die Funktion der Maschine repräsentiert (z. B. als ein Email-Server, als ein Datenserver, als ein persönlicher Desktop, etc.). Es ist oft für Anwender nicht möglich, ein genaues Bild über eine Gemeinschaft und eine Rolle für ein gesamtes Netzwerk zur Verfügung zu stellen.
- Existierende Ansätze für eine Gemeinschafts- und Rollenerfassung behandeln die Fragen separat, wie beispielsweise ein Erfassen von Rollen ohne ein Berücksichtigen von Gemeinschaftsstrukturen und ein Erfassen einer Gemeinschaft eines Knotens, während seine Rolle ignoriert wird, wenn tatsächlich Gemeinschaften und Rollen eng gekoppelt sind und in realen Netzwerken nicht getrennt werden können.
- ZUSAMMENFASSUNG
- Ein Verfahren zum Erfassen von anomalen Kommunikationen enthält ein Simulieren eines Netzwerkgraphen basierend auf Gemeinschafts- und Rollenetiketten bzw. -labels von jedem Knoten im Netzwerkgraph basierend auf einer oder mehreren Verbindungsregeln. Die Gemeinschafts- und Rollenetiketten von jedem Knoten werden basierend auf Unterschieden zwischen dem simulierten Netzwerkgraph und einem echten Netzwerkgraph eingestellt. Die Simulation und die Einstellung werden wiederholt, bis der simulierte Netzwerkgraph zum echten Netzwerkgraph konvergiert, um eine schließliche Gruppe von Gemeinschafts- und Rollenetiketten zu bestimmen. Es wird basierend auf der schließlichen Gruppe von Gemeinschafts- und Rollenetiketten bestimmt, ob eine Netzwerkkommunikation anomal ist.
- Ein System zum Erfassen von anomalen Kommunikationen enthält ein Gemeinschafts- und Rollen-Erfassungsmodul mit einem Prozessor, der konfiguriert ist, um einen Netzwerkgraph basierend auf Gemeinschafts- und Rollenetiketten von jedem Knoten im Netzwerkgraph basierend auf einer oder mehreren Verbindungsregeln zu simulieren, um die Gemeinschafts- und Rollenetiketten von jedem Knoten basierend auf Unterschieden zwischen dem simulierten Netzwerkgraphen und einem echten Netzwerkgraphen einzustellen und um die Simulation und die Einstellung zu wiederholen, bis der simulierte Netzwerkgraph zum echten Netzwerkgraph konvergiert, um eine schließliche Gruppe von Gemeinschafts- und Rollenetiketten zu bestimmen. Ein Anomalitäts-Erfassungsmodul ist konfiguriert, um basierend auf der schließlichen Gruppe von Gemeinschafts- und Rollenetiketten zu bestimmen, ob eine Netzwerkkommunikation anomal ist.
- Diese und andere Merkmale und Vorteile werden aus der folgenden detaillierten Beschreibung von illustrativen Ausführungsformen davon offensichtlich werden, die in Verbindung mit den beigefügten Zeichnungen zu lesen ist.
- KURZE BESCHREIBUNG DER ZEICHNUNGEN
- Die Offenbarung wird Details in der folgenden Beschreibung bevorzugter Ausführungsformen unter Bezugnahme auf die folgenden Figuren zur Verfügung stellen, wobei:
-
1 auf einen Netzwerkgraph gerichtet ist, der Gemeinschaften und Rollen von Knoten gemäß den vorliegenden Prinzipien repräsentiert. -
2 ein Block-/Ablaufdiagramm eines Verfahrens zum Entdecken von Gemeinschafts- und Rollenzugehörigkeiten und zum Erfassen von Anomalitäten gemäß den vorliegenden Prinzipien ist. -
3 ein Block-/Ablaufdiagramm eines Verfahrens zum Erfassen von Anomalitäten gemäß den vorliegenden Prinzipien ist. -
4 ein Blockdiagramm eines Systems zum Entdecken von Gemeinschafts- und Rollenzugehörigkeiten und zum Erfassen von Anomalitäten gemäß den vorliegenden Prinzipien ist. -
5 ein Blockdiagramm eines Verarbeitungssystems gemäß den vorliegenden Prinzipien ist. - DETAILLIERTE BESCHREIBUNG BEVORZUGTER AUSFÜHRUNGSFORMEN
- Gemäß den vorliegenden Prinzipien erfassen die vorliegenden Ausführungsformen Gemeinschaften und Rollen in einem Netzwerk auf eine integrierte Weise. Insbesondere ist jeder Knoten in einem Netzwerk nicht nur mit einer Gemeinschaftszugehörigkeit assoziiert, sondern auch mit einer Rollenzugehörigkeit, so dass das System sowohl Gemeinschafts- als auch Rollenstrukturen gleichzeitig erfassen kann. Wenn zwei Knoten versuchen, zu interagieren (z. B., wenn eine Kante zwischen zwei Knoten auf dem Graphen ausgebildet wird, der das Netzwerk repräsentiert), werden sowohl Gemeinschafts- als auch Rollenzugehörigkeiten berücksichtigt, wenn bestimmt wird, wie wahrscheinlich die Verbindung ist, und somit, ob die Verbindung als anomal angesehen werden kann. Die Gemeinschaft und die Rolle von jedem Knoten werden bei einer Ausführungsform gemäß einem abtastbasierten Lernen nach Gibbs bestimmt.
- Nimmt man nun im Detail Bezug auf die Figuren, in welchen gleiche Bezugszeichen dieselben oder ähnliche Elemente darstellen, und anfänglich auf
1 , ist ein beispielhaftes Computernetzwerk100 gemäß einer Ausführungsform der vorliegenden Prinzipien illustrativ gezeigt. Das Netzwerk100 ist aus einer Gruppe von Knoten101 gebildet, von welchen jeder eine Rolle und eine Gemeinschaft hat. Bei der Ausführungsform der1 haben die mit102 bezeichneten Knoten eine Gemeinschaft108 , während die mit104 bezeichneten Knoten eine Gemeinschaft110 haben. Es sollte beachtet werden, dass der Netzwerkgraph100 kein physikalisches Netzwerk darstellt, sondern stattdessen Kommunikationen zwischen den Knoten101 darstellt, wobei jede Kante des Graphen eine Kommunikationsverbindung darstellt. Es gibt im Prinzip nichts, was einen Knoten102 von der Gemeinschaft108 von einem Ausbilden einer Verbindung mit einem Knoten104 in der Gemeinschaft110 abhält. Jedoch werden die vorliegenden Ausführungsformen die Gemeinschaften und Rollen der Knoten101 bei einem Bestimmen berücksichtigen, ob diese Verbindung anomal ist. Die Koten101 sind hierin derart beschrieben, dass sie individuelle Vorrichtungen repräsentieren, aber es sollte verstanden werden, dass bei einigen Ausführungsformen ein einziger Knoten101 mehrere Vorrichtungen enthalten kann, und gegensätzlich eine einzige Vorrichtung ein Host für mehrere Knoten101 sein kann. Gleichermaßen kann ein einziger Knoten101 mehrere Rollen besetzen. - Es sollte verstanden werden, dass die Knoten
101 in unterschiedlichen Gemeinschaften eine geringe Wahrscheinlichkeit einer Interaktion miteinander haben werden (z. B. eine geringe Wahrscheinlichkeit zum Ausbilden einer Verbindung). Jedoch ist eine Ausnahme im Fall eines Knotens106 , der eine spezifische Rolle hat, wie beispielsweise ein Router oder eine Brücke. In diesem Fall kann der Knoten106 zu einer, beiden, oder keiner der Gemeinschaften108 und110 gehören, und seine Rolle als Vermittler zwischen diesen zwei Gemeinschaften wird seine Wahrscheinlichkeit zum Ausbilden von Verbindungen mit anderen Knoten101 stark beeinflussen. Dies kann rollenbasierte Verbindung im Hintergrund genannt werden. Es ist aber zu beachten, dass Gemeinschaften nicht mit physikalischen Netzwerksegmenten identifiziert werden müssen – eine Gemeinschaft kann stattdessen einfach beispielsweise eine Abteilung oder eine andere Organisationsstruktur repräsentieren, die häufig innerhalb sich selbst und relativ selten mit anderen Abteilungen kommuniziert. - Gleichermaßen werden, wenn zwei Knoten in derselben Gemeinschaft sind, sie mit einer höheren Wahrscheinlichkeit interagieren, aber Rollen sind auch ein strenger Faktor. Beispielsweise kann ein Dateienserver
103 innerhalb der Gemeinschaft108 häufiger mit Anwenderendgeräten102 interagieren als diese Knoten102 miteinander interagieren. Dies kann rollenbasierte Verbindung innerhalb der Gemeinschaft genannt werden. - Nimmt man nun Bezug auf
2 , ist ein Verfahren zum Erfassen von anomalen Verbindungen gezeigt. Ein Block202 erzeugt eine Strukturmatrixdarstellung eines Blaupausen- bzw. Entwurfsgraphen, der ein heterogener Graph ist, der aus einer historischen Datengruppe von Kommunikationen im Netzwerk100 gebildet ist, wobei die Knoten101 physikalische Vorrichtungen an einem Unternehmensnetzwerk darstellen und Kanten die normalen Kommunikationsmuster unter den Knoten101 wiedergeben. Für jedes Paar von Knoten in der Strukturmatrix erzeugt ein Block204 Gemeinschafts- und Rollenetiketten bzw. -labels. Die Anfangsetiketten, die durch den Block204 erzeugt sind, können zufällig sein oder können gemäß einer Anfangsinformation erzeugt werden, die verfügbar ist (z. B. basierend auf bekannter Software, die auf jeweiligen Knoten101 installiert ist, oder basierend auf einer existierenden Netzwerkkarte). - Ein Block
206 simuliert dann die Interaktionen von Knotenpaaren zwischen unterschiedlichen Gemeinschaften und Rollen. Die Simulation basiert auf einer Gruppe von Regeln für bekannte Interaktionen zwischen Gemeinschaftselementen und gemäß Rollen. Beispielsweise werden die Knoten104 , die durch die Etiketten derart markiert sind, dass sie Elemente der Gemeinschaft110 sind, eine simulierte Verbindung zwischen ihnen haben. Bei einem anderen Beispiel können Server/Client-Rollenbeziehungen als Verbindungen dargestellt werden. Diese Simulation wird verwendet, um eine simulierte Graphen-Blaupause zu erzeugen. Ein Block207 verwendet die simulierte Graphen-Blaupause, um eine synthetische Strukturmatrix für den simulierten Graphen auszubilden. - Wenn es Diskrepanzen zwischen der Strukturmatrix und der synthetischen Strukturmatrix gibt, stellt ein Block
208 die Gemeinschafts- und Rollenetiketten ein, um die simulierten Verbindungen näher zu den aktuellen Verbindungen im Blaupausengraphen zu bringen. Ein Block210 bestimmt dann, ob die synthetische Matrix zu der reellen Strukturmatrix konvergiert ist, so dass die Verbindungen im simulierten Graphen mit denjenigen des Blaupausengraphen übereinstimmen. Eine Konvergenz kann erfüllt sein, wenn die synthetische Strukturmatrix identisch zur reellen Strukturmatrix ist, oder kann alternativ auf einer Ähnlichkeitsmetrik bzw. auf einem Ähnlichkeitsmaß für die Matrizen basieren, wobei eine Konvergenz erreicht wird, wenn das Ähnlichkeitsmaß unter einer Schwelle ist. Wenn es so ist, verwendet ein Block212 die erfassten Gemeinschafts- und Rollenetiketten, um zu bestimmen, ob es eine Anomalität gibt. Wenn es nicht so ist, kehrt eine Verarbeitung zurück zum Block206 , bis die synthetische Matrix konvergiert. - Bei einem Beispiel einer Anomalitätserfassung soll ein erster Knoten n1 betrachtet werden, der das Rollenetikett ”Datenbankserver” hat und ein Gemeinschaftsetikett ”Systemteam”. Ein zweiter Knoten n2 hat das Rollenetikett ”Emailserver” und das Gemeinschaftsetikett ”Betriebsteam”. Wenn eine neue Netzwerkverbindung zwischen n1 und n2 erfasst wird, kann das System bestimmen, dass der Datenbankserver von einem Team selten eine legitimierte Notwendigkeit haben wird, mit dem Emailserver von einem anderen Team zu kommunizieren (wobei eine solche Information durch den Domänenanwender eingestellt wird). Der Block
212 kann dann bestimmen, dass eine Eindringung aufgetreten ist. - Die Zuordnung von Etiketten im Block
204 kann als ein jeweiliger Gemeinschaftszugehörigkeitsvektor πi und ein jeweiliger Rollenzugehörigkeitsvektor θi für jeden Knoten i durchgeführt werden. Wenn ein Paar von Knoten (i, j) versucht, eine Verbindung auszubilden, werden ihre Gemeinschafts- und Rollen-ZugehörigkeitszuordnungenZ c / ij, Z c / ji, Z r / ij, Z r / ji Z c / ij Z r / ij - Die Frage, ob eine Verbindung ausgebildet ist, wird als ein Bernoulli-Ereignis basierend auf den Gemeinschafts- und Rollenzuordnungen der zwei Knoten und einem Interaktionsparameter B, der die InteraktionsWahrscheinlichkeit zwischen zwei Gemeinschafts- und Rollen-Zuordnungstupeln, wie beispielsweise durch
Z c / ij, Z r / ij - Die Parameter π, θ und B werden als Zufallsvariablen behandelt, mit Beta-Prior bzw. Beta-A-prior-Verteilung an jedem Eintrag von B. Der Ausdruck Bεpq ist eine Bernoulli-Verteilung und πi und θi haben eine Multinomialverteilung mit Dirichlet-Prioren. Das vorliegende Modell kann dann wie folgt zusammengefasst werden:
- Für jeden Eintrag (δ, p, q) in B:
ZeichnenBδpq~Beta(ξ 1 / δpq, ξ 2 / δpq). - Für jeden Knoten i:
Zeichnen eines Gemeinschaftszugehörigkeitsvektors πi~Dirichlet(αc)
Zeichnen eines Rollenzugehörigkeitsverteilungsvektors θi~Dirichlet(αr) - Für jedes Knotenpaar (i, j):
Zeichnen der Gemeinschaft des Knotens iZ c / ij~Multinomial(πi)
Zeichnen der Gemeinschaft des Knotens jZ c / ji~Multinomial(πj)
Zeichnen der Rolle des Knotens iZ r / ij~Multinomial(θi)
Zeichnen der Rolle des Knotens jZ r / ji~Multinomial(θi)
Zeichnen der Verbindung Eij~Bernoulli - Unter dem obigen generativen Modell kann, wenn die Strukturmatrix Eij beobachtet wird, die spätere Verteilung von versteckten Variablen, wie beispielsweise Zugehörigkeitsvektoren, abgeleitet werden. Bei gegebenen Netzwerkkommunikationsdaten, werden die spätere Verteilung und insbesondere das spätere Ermitteln der Variablen im Modell abgeleitet. Aufgrund der komplizierten Integrale über versteckte Zustände bei der späteren Ableitung ist eine genaue Ableitung schwer zu bewältigen. Die vorliegenden Ausführungsformen verwenden daher eine Gibbs-Abtastinferenz, obwohl es verstanden werden sollte, dass stattdessen andere Typen von Inferenz bzw. Ableitung verwendet werden können.
- Bei einer Gibbs-Abtastung wird eine Markov-Kette beibehalten. Die Kette erreicht sequentiell ihren nächsten Zustand durch Abtasten einer Variablen aus ihrer Verteilung, wenn sie auf aktuelle Werte von allen der anderen Variablen konditioniert ist. Wenn sich die Markov-Kette einer Gleichgewichtsverteilung nähert, werden die nachfolgenden Abtastungen aus der Sollverteilung erzeugt. Unter Verwendung einer kollabierten Gibbs-Abtastung werden direkte Abtastungen der Dirichlet-Zugehörigkeitsvariablen π und θ durch Ausintegrieren von diesen Variablen vermieden. Somit werden nur die Zugehörigkeitszuordnungen eines Paars von Knoten (i, j) gemäß der konditionalen Verteilung des Paars gleichzeitig abgetastet. Die konditionale Verteilung P wird daher berechnet, die die Gemeinschafts- und Rollenzuordnungen des Paars von Knoten (i, j) repräsentiert, bei gegebener Strukturmatrix Eij und gegebenen aktuellen Zuordnungen der anderen Knotenpaare. Die konditionale Verteilung P ist definiert als: wobei
a = Z c / ij, b = Z c / ji, p = Z r / ij, q = Z r / ji, hia n –ij / δ(a,b)pq+ –ij / δ(a,b)pq– - Es ist beachtenswert, dass die konditionale Verteilung P proportional zu zwei Teilen ist: der Rate von Verbindung/Nichtverbindung, die den Gemeinschafts- und Rollenzuordnungen der zwei Knoten zugeteilt ist, und dem Verhältnis (nach einer Normalisierung) von Gemeinschafts- und Rollen-Zugehörigkeitszuordnungen von beiden Knoten. Beide Teile werden durch Ausschließen ihrer aktuellen Zuordnungen berechnet.
- Die Markov-Kette kann dann durch eine gegebene Gemeinschafts- und Rollen-Zugehörigkeitszuordnung für alle Knotenpaare initialisiert werden. Die Kette kann durch sequentielles erneutes Abtasten von Zuordnungen von jedem Paar von Knoten, konditioniert auf den Rest, laufen gelassen werden. Wenn einmal die Zuordnungen eines Paars von Knoten aktualisiert sind, werden die Zähler n, m und h auch aktualisiert. Nach ausreichenden Iterationen nähert sich die Markov-Kette der Gleichgewichtsverteilung. Die nachfolgenden Abtastungen der Gemeinschafts- und Rollen-Zuordnungen können gesammelt werden, um die spätere Verteilung der Variablen zu schätzen.
- Die Gemeinschaftszugehörigkeit des Knotens i ist Dirichlet-verteilt und ihr Mittel bei einer aten Dimension ist: wobei Kc die Anzahl von Gemeinschaften ist und αc der Dirichlet-Hyperparameter für πi ist. Die Rollenzugehörigkeit des Knotens i ist auch Dirichlet-verteilt und ihr Mittel bei der pten Dimension ist gegeben durch: wobei Kr die Anzahl von Rollen ist und αr der Dirichlet-Hyperparameter für θi ist. Der Interaktionstensor B ist Beta-verteilt, wobei das Mittel von jedem Eintrag geschätzt wird durch:
- Die Blöcke
206 und207 berechnen daher die konditionale Verteilung für jedes Paar von Knoten (i, j) und der Block208 bestimmt Πiα, θip und Bkpq. - Hier beschriebene Ausführungsformen können gänzlich Hardware sein, gänzlich Software sein oder sowohl Hardware- als auch Softwareelemente enthaltend sein. Bei einer bevorzugten Ausführungsform ist die vorliegende Erfindung in Software implementiert, die Firmware, residente Software, einen Microcode, etc. enthält, aber nicht darauf beschränkt ist.
- Ausführungsformen können ein Computerprogrammprodukt enthalten, auf das von einem computernutzbaren oder computerlesbaren Medium zugreifbar ist, das einen Programmcode zur Verwendung durch einen Computer oder irgendein Anweisungsausführungssystem oder in Verbindung damit zur Verfügung stellt. Ein computernutzbares oder computerlesbares Medium kann irgendein Gerät enthalten, das das Programm zur Verwendung durch das Anweisungsausführungssystem, das Gerät oder die Vorrichtung oder in Verbindung damit speichert, kommuniziert, verbreitet oder transportiert. Das Medium kann magnetisch, optisch, elektronisch, elektromagnetisch, Infrarot oder ein Halbleitersystem (oder ein Gerät oder eine Vorrichtung) oder ein Verbreitungsmedium sein. Das Medium kann ein computerlesbares Speichermedium enthalten, wie beispielsweise einen Halbleiter oder einen Festkörperspeicher, ein Magnetband, eine entfernbare Computerdiskette, einen Direktzugriffsspeicher (RAM), einen Nurlesespeicher (ROM), eine feste magnetische Platte und eine optische Platte, etc.
- Jedes Computerprogramm kann konkret in einem maschinenlesbaren Speichermedium oder einer Vorrichtung gespeichert sein (z. B. Programmspeicher oder Magnetplatte), das oder die durch einen allgemeinen oder speziellen programmierbaren Computer lesbar ist, zum Konfigurieren und Steuern einer Operation eines Computers, wenn die Speichermedien oder die Vorrichtung durch den Computer gelesen wird, um die hierin beschriebenen Prozeduren durchzuführen. Das erfinderische System kann auch derart angesehen werden, dass es in einem computerlesbaren Speichermedium verkörpert ist, das mit einem Computerprogramm konfiguriert ist, wobei das Speichermedium so konfiguriert ist, dass es veranlasst, dass ein Computer auf eine spezifische und vordefinierte Weise arbeitet, um die hierin beschriebenen Funktionen durchzuführen.
- Ein Datenverarbeitungssystem, das zum Speichern und/oder Ausführen eines Programmcodes geeignet ist, kann wenigstens einen Prozessor enthalten, der direkt oder indirekt mit Speicherelementen durch einen Systembus gekoppelt ist. Die Speicherelemente können einen lokalen Speicher enthalten, der während einer aktuellen Ausführung des Programmcodes verwendet wird, einen Massenspeicher und Cache-Speicher, die eine temporäre Speicherung von wenigstens einigem des Programmcodes zur Verfügung stellen, um die Anzahl von Zeiten zu reduzieren, zu welchen ein Code während einer Ausführung aus einem Massenspeicher ausgelesen wird. Eingabe/Ausgabe- oder I/O-Vorrichtungen (die Tastaturen, Anzeigen, Zeigevorrichtungen, etc. enthalten, aber nicht darauf beschränkt sind), können mit dem System entweder direkt oder durch dazwischenliegende I/O-Steuerungen gekoppelt sein.
- Netzwerkadapter können auch mit dem System gekoppelt sein, um zu ermöglichen, dass das Datenverarbeitungssystem mit anderen Datenverarbeitungssystemen oder entfernten Druckern oder Speichervorrichtungen durch dazwischenliegende private oder öffentliche Netze gekoppelt wird. Modems, ein Kabelmodem und Ethernetkarten sind nur einige der aktuell erhältlichen Typen von Netzwerkadaptern.
- Nimmt man nun Bezug auf
3 , ist ein Verfahren zum Durchführen einer Eindringungserfassung basierend auf einer integrierten Netzwerkebenen-Analyse gezeigt, die sowohl Gemeinschafts- als auch Rolleninformation enthält. Ein Block302 sammelt Daten von Agenten, die an jedem der Knoten101 installiert sind. Die Agenten sammeln Information in Bezug auf jede Knotenaktivitäten, einschließlich beispielsweise Aktivitäten auf Hostebene (z. B. Anwender-zu-Prozess-Ereignisse, Prozess-zu-Datei-Ereignisse, Anwender-zu-Registratur-Ereignisse, etc.) und Aktivitäten auf Netzwerkebene (z. B. TCP- und UDP-Verbindungen mit anderen Knoten101 im Netzwerk100 ). - Ein Block
304 führt eine Analyse auf Netzwerkebene unter Verwendung der gesammelten Information durch. Die Analyse auf Netzwerkebene ist oben detaillierter beschrieben und integriert sowohl Knotengemeinschaftszugehörigkeit als auch Knotenrollenzugehörigkeit, um anomale Kommunikationen zu erfassen. Ein Block306 führt eine Analyse auf Hostebene basierend auf der gesammelten Information durch, um zu bestimmen, ob ein anomales Verhalten lokal innerhalb eines einzelnen Knotens101 aufgetreten ist. - Ein Block
308 integriert die Anomalitäten auf Netzwerkebene und Hostebene, um Eindringungserfassungsereignisse zu liefern. Dies kann weiterhin eine Kontextanalyse enthalten, um Interaktionen zwischen Anomalitäten auf Netzwerkebene und Hostebene zu erfassen, wie beispielsweise unter Beachtung, dass bestimmte Anomalitäten auf Hostebene und Netzwerkebene eine größere Wichtigkeit haben können, wenn sie zusammen auftreten. Ein Block310 präsentiert dann die erfassten Eindringungsereignisse zu einem Anwender zur Überprüfung und für eine weitere Aktion. Bei einigen Ausführungsformen kann ein Block312 automatisch auf das Eindringungserfassungsereignis reagieren. Die Reaktion kann beispielsweise ein Blockieren bestimmter Kommunikationen auf Netzwerkebene, ein Beschränken eines Zugriffs auf der Ebene eines individuellen Hosts, ein Ändern von Sicherungsstrategien und ein Liefern von Alarmierungen zu interessierten Parteien, wie beispielsweise einen Systemadministrator, enthalten. Der Block312 kann die spezifische Eindringungsinformation berücksichtigen, die durch den Block308 bestimmt ist, um einen besten Aktionsverlauf zu bestimmen. - Nimmt man nun Bezug auf
4 , ist ein Netzwerkebenen-Anomalitätserfassungssystem400 gezeigt. Das Erfassungssystem400 enthält einen Hardwareprozessor402 und einen Speicher404 sowie eine Netzwerkschnittstelle405 . Das System400 enthält weiterhin bestimmte funktionelle Module, die bei einigen Ausführungsformen als Software implementiert sein können, die im Speicher404 gespeichert ist und durch den Prozessor402 ausgeführt wird. Bei anderen Ausführungsformen können die funktionellen Module als eine oder mehrere diskrete Hardwarekomponenten implementiert sein, wie beispielsweise in der Form eines anwendungsspezifischen integrierten Chips oder eines feldprogrammierbaren Gate-Arrays. - Das System
400 sammelt historische Daten406 in Bezug auf das Netzwerk100 über die Netzwerkschnittstelle405 und speichert die historischen Daten406 im Speicher404 . Diese historischen Daten406 enthalten Information, die Kommunikationen zwischen Knoten101 auf dem Netzwerk100 wiedergibt, und werden durch Agenten bei dem individuellen Knoten101 zur Verfügung gestellt, die berichten, was jeder jeweilige Knoten101 tut. Die historischen Daten406 werden verwendet, um einen Blaupausengraphen410 des Netzwerks100 zu bilden, wobei die Knoten101 des Blaupausengraphen individuelle Hosts auf dem Netzwerk100 darstellen und Kanten normale Kommunikationen zwischen den Kommunikationen101 darstellen. - Ein Gemeinschafts- und Rollen-Erfassungsmodul
408 entdeckt automatisch die Gemeinschafts- und Rollenzugehörigkeiten von jedem Knoten101 im Netzwerk100 , wie es oben detailliert beschrieben ist. Das Gemeinschafts- und Rollen-Erfassungsmodul408 verwendet den Prozessor402 , um den Blaupausengraphen410 zu analysieren, und liefert Zugehörigkeitsvektoren θ und π. Ein Anomalitäts-Erfassungsmodul412 verwendet die Zugehörigkeitsvektoren und den Blaupausengraphen, um ankommende Information über aktuelle Netzwerkkommunikationen zu überprüfen und um zu bestimmen, ob eine gegebene Kommunikation anomal ist. Das Anomalitätserfassungsmodul412 verwendet weiterhin die ankommenden Netzwerkkommunikationen, um Einstellungen am Blaupausengraphen410 durchzuführen, was infolge zu Einstellungen in Bezug auf die Gemeinschafts- und Rollenzugehörigkeiten führen kann. - Nimmt man nun Bezug auf
5 , ist ein beispielhaftes Verarbeitungssystem500 gezeigt, das das Netzwerkebenen-Anomalitätserfassungssystem400 darstellen kann. Das Verarbeitungssystem500 enthält wenigstens einen Prozessor (CPU)504 , der operativ mit anderen Komponenten über einen Systembus502 gekoppelt ist. Ein Cache506 , ein Nurlesespeicher (ROM)508 , ein Direktzugriffsspeicher (RAM)510 , ein Eingabe/Ausgabe-(I/O-)Adapter520 , ein Klangadapter530 , ein Netzwerkadapter540 , ein Anwenderschnittstellenadapter550 und ein Anzeigeadapter560 sind operativ mit dem Systembus502 gekoppelt. - Eine erste Speichervorrichtung
522 und eine zweite Speichervorrichtung524 sind operativ mit dem Systembus502 durch den I/O-Adapter520 gekoppelt. Die Speichervorrichtungen522 und524 können irgendeine einer Plattenspeichervorrichtung (z. B. eine magnetische oder optische Plattenspeichervorrichtung), eine Festkörper-Magnetvorrichtung, und so weiter sein. Die Speichervorrichtungen522 und524 können derselbe Typ von Speichervorrichtung oder unterschiedliche Typen von Speichervorrichtungen sein. - Ein Lautsprecher
532 ist operativ mit dem Systembus502 durch den Klangadapter530 gekoppelt. Ein Transceiver542 ist operativ mit dem Systembus502 durch den Netzwerkadapter540 gekoppelt. Eine Anzeigevorrichtung562 ist operativ mit dem Systembus502 durch den Anzeigeadapter560 gekoppelt. - Eine erste Anwendereingabevorrichtung
552 , eine zweite Anwendereingabevorrichtung554 und eine dritte Anwendereingabevorrichtung556 sind operativ mit dem Systembus502 durch den Anwenderschnittstellenadapter550 gekoppelt. Die Anwendereingabevorrichtungen552 ,554 und556 können irgendetwas von einer Tastatur, einer Maus, einer Folientastatur bzw. kleinen Tastatur, einer Bilderfassungsvorrichtung, einer Bewegungserfassungsvorrichtung, einem Mikrofon, einer Vorrichtung, die die Funktionalität von wenigstens zwei der vorangehenden Vorrichtungen enthält, und so weiter sein. Natürlich können andere Typen von Eingabevorrichtungen auch verwendet werden, während der Sinngehalt der vorliegenden Prinzipien beibehalten wird. Die Anwendereingabevorrichtungen552 ,554 und556 können derselbe Typ von Anwendereingabevorrichtungen oder unterschiedliche Typen von Anwendereingabevorrichtungen sein. Die Anwendereingabevorrichtungen552 ,554 und556 werden verwendet, um Information zum System500 einzugeben und von diesem auszugeben. - Natürlich kann das Verarbeitungssystem
500 auch andere Elemente (nicht gezeigt) enthalten, wie es ohne weiteres durch Fachleute auf dem Gebiet in Erwägung gezogen wird, sowie bestimmte Elemente weglassen. Beispielsweise können im Verarbeitungssystem500 in Abhängigkeit von der bestimmten Implementierung desselben verschiedene andere Eingabevorrichtungen und/oder Ausgabevorrichtungen enthalten sein, wie es ohne weiteres von Fachleuten auf dem Gebiet verstanden wird. Beispielsweise können verschiedene Typen von drahtlosen und/oder verdrahteten Eingabe- und/oder Ausgabevorrichtungen verwendet werden. Darüber hinaus können zusätzliche Prozessoren, Steuerungen, Speicher und so weiter bei verschiedenen Konfigurationen auch verwendet werden, wie es ohne weiteres von Fachleuten auf dem Gebiet erkannt wird. Diese und andere Variationen des Verarbeitungssystems500 sind bereits von Fachleuten auf dem Gebiet in Erwägung gezogen worden, welchen die Lehren der hierin zur Verfügung gestellten vorliegenden Prinzipien gegeben sind. - Das Vorangehende ist derart zu verstehen, dass es in jeder Hinsicht illustrativ und beispielhaft, aber nicht beschränkend ist, und der Schutzumfang der hierin offenbarten Erfindung ist nicht aus der detaillierten Beschreibung zu bestimmen, sondern vielmehr aus den Ansprüchen, wie sie gemäß der vollen Breite interpretiert werden, die durch die Patentgesetze zugelassen ist. Es ist zu verstehen, dass die hierin gezeigten und beschriebenen Ausführungsformen nur illustrativ für die Prinzipien der vorliegenden Erfindung sind und dass Fachleute auf dem Gebiet verschiedene Modifikationen implementieren können, ohne vom Schutzumfang und Sinngehalt der Erfindung abzuweichen. Fachleute auf dem Gebiet könnten verschiedene andere Merkmalskombinationen implementieren, ohne vom Schutzumfang und Sinngehalt der Erfindung abzuweichen. Somit sind Aspekte der Erfindung mit den Details und der Besonderheit beschrieben worden, die durch die Patentgesetze erforderlich sind, und das, was beansprucht und erwünscht ist, durch die Buchstaben des Patentgesetzes geschützt zu werden, ist in den beigefügten Ansprüchen dargelegt.
Claims (18)
- Verfahren zum Erfassen anomaler Kommunikationen, umfassend: Simulieren eines Netzwerkgraphen basierend auf Gemeinschafts- und Rollenetiketten bzw. -labels von jedem Knoten im Netzwerkgraphen basierend auf einer oder mehreren Verbindungsregeln; Einstellen der Gemeinschafts- und Rollenetiketten von jedem Knoten basierend auf Unterschieden zwischen dem simulierten Netzwerkgraphen und einem echten Netzwerkgraphen; Wiederholen des Simulierens und Einstellens, bis der simulierte Netzwerkgraph zur echten Netzwerkgraphen konvergiert, um eine schließliche Gruppe von Gemeinschafts- und Rollenetiketten zu bestimmen; und basierend auf der schließlichen Gruppe von Gemeinschafts- und Rollenetiketten Bestimmen, ob eine Netzwerkkommunikation anomal ist.
- Verfahren nach Anspruch 1, wobei ein Einstellen der Gemeinschafts- und Rollenetiketten von jedem Knoten ein Bestimmen einer konditionalen Verteilung für jedes Paar von Knoten in einem Netzwerkgraphen basierend auf einer Rate einer Verbindung für ein Gemeinschafts- und Rollenetikett von jedem Knoten in dem Paar von Knoten und einem Verhältnis von Gemeinschafts- und Rollenetiketten von beiden Knoten umfasst.
- Verfahren nach Anspruch 1, weiterhin ein Bestimmen von anfänglichen Gemeinschafts- und Rollenetiketten für jeden einer Vielzahl von Knoten umfassend.
- Verfahren nach Anspruch 3, wobei ein Bestimmen von anfänglichen Gemeinschafts- und Rollenetiketten ein zufälliges Zuordnen eines Gemeinschafts- und Rollenetiketts zu jedem Knoten umfasst.
- Verfahren nach Anspruch 1, wobei der echte Netzwerkgraph auf historischen Kommunikationen zwischen den Knoten basiert.
- Verfahren nach Anspruch 1, wobei ein Wiederholen des Simulierens und des Einstellens ein Bestimmen einer echten Strukturmatrix basierend auf dem echten Netzwerkgraphen und einer synthetischen Strukturmatrix basierend auf dem simulierten Netzwerkgraphen umfasst.
- Verfahren nach Anspruch 6, wobei ein Wiederholen des Simulierens und des Einstellens weiterhin ein Bestimmen, ob der simulierte Netzwerkgraph zum echten Netzwerkgraphen konvergiert ist, durch Bestimmen einer Ähnlichkeit der synthetischen Strukturmatrix mit der echten Strukturmatrix umfasst.
- Verfahren nach Anspruch 1, wobei ein Bestimmen, ob eine Netzwerkkommunikation anomal ist, ein Bestimmen einer Wahrscheinlichkeit dessen umfasst, dass die Netzwerkkommunikation zwischen einem assoziierten ersten Knoten und einem zweiten Knoten basierend auf den Gemeinschafts- und Rollenetiketten des jeweiligen ersten und des jeweiligen zweiten Knotens stattfindet.
- Verfahren nach Anspruch 1, weiterhin ein automatisches Reagieren auf ein erfasstes Eindringungsereignis umfassend, wobei die Reaktion eines oder mehreres von einem Blockieren der Netzwerkkommunikation, einem Beschränken eines Zugriffs, einem Ändern von Sicherheitsstrategien und einem Alarmieren eines Systemadministrators umfasst.
- System zum Erfassen von anomalen Kommunikationen, umfassend: ein Gemeinschafts- und Rollen-Erfassungsmodul mit einem Prozessor, der konfiguriert ist, um einen Netzwerkgraphen basierend auf Gemeinschafts- und Rollenetiketten von jedem Knoten im Netzwerkgraphen basierend auf einer oder mehreren Verbindungsregeln zu simulieren, um die Gemeinschafts- und Rollenetiketten von jedem Knoten basierend auf Unterschieden zwischen dem simulierten Netzwerkgraphen und einem echten Netzwerkgraphen einzustellen und um die Simulation und die Einstellung zu wiederholen, bis der simulierte Netzwerkgraph zum echten Netzwerkgraphen konvergiert, um eine schließliche Gruppe von Gemeinschafts- und Rollenetiketten zu bestimmen; und ein Anomalitätserfassungsmodul, das konfiguriert ist, um basierend auf der schließlichen Gruppe von Gemeinschafts- und Rollenetiketten zu bestimmen, ob eine Netzwerkkommunikation anomal ist.
- System nach Anspruch 10, wobei das Gemeinschafts- und Rollen-Erfassungsmodul weiterhin konfiguriert ist, um eine konditionale Verteilung für jedes Paar von Knoten in einer Netzwerkgraph basierend auf einer Rate einer Verbindung für ein Gemeinschafts- und Rollenetikett von jedem Knoten im Paar von Knoten und einem Verhältnis von Gemeinschafts- und Rollenetiketten von beiden Knoten zu bestimmen.
- System nach Anspruch 10, wobei das Gemeinschafts- und Rollen-Erfassungsmodul weiterhin konfiguriert ist, um anfängliche Gemeinschafts- und Rollenetiketten für jeden einer Vielzahl von Knoten zu bestimmen.
- System nach Anspruch 12, wobei das Gemeinschafts- und Rollen-Erfassungsmodul weiterhin konfiguriert ist, um ein Gemeinschafts- und Rollenetikett zufällig zu jedem Knoten zuzuordnen.
- System nach Anspruch 10, wobei der echte Netzwerkgraph auf historischen Kommunikationen zwischen den Knoten basiert.
- System nach Anspruch 10, wobei das Gemeinschafts- und Rollen-Erfassungsmodul weiterhin konfiguriert ist, um eine echte Strukturmatrix basierend auf dem echten Netzwerkgraphen und eine synthetische Strukturmatrix basierend auf dem simulierten Netzwerkgraphen zu bestimmen.
- System nach Anspruch 15, wobei das Gemeinschafts- und Rollen-Erfassungsmodul weiterhin konfiguriert ist, um zu bestimmen, ob der simulierte Netzwerkgraph zum echten Netzwerkgraphen konvergiert ist, durch Bestimmen einer Ähnlichkeit der synthetischen Strukturmatrix mit der echten Strukturmatrix.
- System nach Anspruch 10, wobei das Anomalitätserfassungsmodul weiterhin konfiguriert ist, um eine Wahrscheinlichkeit dafür zu bestimmen, dass die Netzwerkkommunikation zwischen einem assoziierten ersten Knoten und einem zweiten Knoten stattfindet, basierend auf den Gemeinschafts- und Rollenetiketten der jeweiligen ersten und zweiten Knoten.
- System nach Anspruch 10, wobei das Anomalitätserfassungsmodul weiterhin konfiguriert ist, um automatisch auf ein erfasstes Eindringungsereignis zu reagieren, wobei die Reaktion eines oder mehreres von einem Blockieren der Netzwerkkommunikation, einem Beschränken eines Zugriffs, einem Ändern von Sicherheitsstrategien und einem Alarmieren eines Systemadministrators umfasst.
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201562148232P | 2015-04-16 | 2015-04-16 | |
US62/148,232 | 2015-04-16 | ||
US15/098,861 US20160308725A1 (en) | 2015-04-16 | 2016-04-14 | Integrated Community And Role Discovery In Enterprise Networks |
US15/098,861 | 2016-04-14 | ||
PCT/US2016/027659 WO2016168531A1 (en) | 2015-04-16 | 2016-04-15 | Integrated community and role discovery in enterprise networks |
Publications (1)
Publication Number | Publication Date |
---|---|
DE112016001742T5 true DE112016001742T5 (de) | 2018-01-18 |
Family
ID=57126207
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE112016001742.1T Pending DE112016001742T5 (de) | 2015-04-16 | 2016-04-15 | Integrierte Gemeinschafts- und Rollenentdeckung in Unternehmensnetzwerken |
Country Status (4)
Country | Link |
---|---|
US (1) | US20160308725A1 (de) |
JP (1) | JP6545819B2 (de) |
DE (1) | DE112016001742T5 (de) |
WO (1) | WO2016168531A1 (de) |
Families Citing this family (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10230743B1 (en) | 2016-05-12 | 2019-03-12 | Wells Fargo Bank, N.A. | Rogue endpoint detection |
US11310247B2 (en) * | 2016-12-21 | 2022-04-19 | Micro Focus Llc | Abnormal behavior detection of enterprise entities using time-series data |
US10397258B2 (en) | 2017-01-30 | 2019-08-27 | Microsoft Technology Licensing, Llc | Continuous learning for intrusion detection |
US10491616B2 (en) | 2017-02-13 | 2019-11-26 | Microsoft Technology Licensing, Llc | Multi-signal analysis for compromised scope identification |
US10476673B2 (en) | 2017-03-22 | 2019-11-12 | Extrahop Networks, Inc. | Managing session secrets for continuous packet capture systems |
CN107743072B (zh) * | 2017-07-04 | 2020-07-17 | 中国电力科学研究院 | 高效可扩展的网络仿真场景生成方法 |
US10885185B2 (en) * | 2017-10-24 | 2021-01-05 | Nec Corporation | Graph model for alert interpretation in enterprise security system |
US9967292B1 (en) | 2017-10-25 | 2018-05-08 | Extrahop Networks, Inc. | Inline secret sharing |
US10389574B1 (en) | 2018-02-07 | 2019-08-20 | Extrahop Networks, Inc. | Ranking alerts based on network monitoring |
US10038611B1 (en) | 2018-02-08 | 2018-07-31 | Extrahop Networks, Inc. | Personalization of alerts based on network monitoring |
US10270794B1 (en) | 2018-02-09 | 2019-04-23 | Extrahop Networks, Inc. | Detection of denial of service attacks |
US10411978B1 (en) | 2018-08-09 | 2019-09-10 | Extrahop Networks, Inc. | Correlating causes and effects associated with network activity |
US10594718B1 (en) | 2018-08-21 | 2020-03-17 | Extrahop Networks, Inc. | Managing incident response operations based on monitored network activity |
US10965702B2 (en) * | 2019-05-28 | 2021-03-30 | Extrahop Networks, Inc. | Detecting injection attacks using passive network monitoring |
US11165814B2 (en) | 2019-07-29 | 2021-11-02 | Extrahop Networks, Inc. | Modifying triage information based on network monitoring |
US11388072B2 (en) | 2019-08-05 | 2022-07-12 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
US10742530B1 (en) | 2019-08-05 | 2020-08-11 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
US10742677B1 (en) | 2019-09-04 | 2020-08-11 | Extrahop Networks, Inc. | Automatic determination of user roles and asset types based on network monitoring |
US11165823B2 (en) | 2019-12-17 | 2021-11-02 | Extrahop Networks, Inc. | Automated preemptive polymorphic deception |
CN111147504B (zh) * | 2019-12-26 | 2022-11-22 | 深信服科技股份有限公司 | 威胁检测方法、装置、设备和存储介质 |
CN111209317A (zh) * | 2020-01-15 | 2020-05-29 | 同济大学 | 一种知识图谱异常社区检测方法及装置 |
CN111694643B (zh) * | 2020-05-12 | 2023-04-11 | 中国科学院计算技术研究所 | 一种面向图神经网络应用的任务调度执行***及方法 |
EP4218212A1 (de) | 2020-09-23 | 2023-08-02 | ExtraHop Networks, Inc. | Überwachung von verschlüsseltem netzwerkverkehr |
US11463466B2 (en) | 2020-09-23 | 2022-10-04 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
US11349861B1 (en) | 2021-06-18 | 2022-05-31 | Extrahop Networks, Inc. | Identifying network entities based on beaconing activity |
US11296967B1 (en) | 2021-09-23 | 2022-04-05 | Extrahop Networks, Inc. | Combining passive network analysis and active probing |
CN114726601B (zh) * | 2022-03-28 | 2023-06-02 | 北京计算机技术及应用研究所 | 一种基于图结构的信息安全仿真建模与验证评估方法 |
US11843606B2 (en) | 2022-03-30 | 2023-12-12 | Extrahop Networks, Inc. | Detecting abnormal data access based on data similarity |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3922375B2 (ja) * | 2004-01-30 | 2007-05-30 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 異常検出システム及びその方法 |
US7583587B2 (en) * | 2004-01-30 | 2009-09-01 | Microsoft Corporation | Fault detection and diagnosis |
CA2531410A1 (en) * | 2005-12-23 | 2007-06-23 | Snipe Network Security Corporation | Behavioural-based network anomaly detection based on user and group profiling |
US7808916B1 (en) * | 2005-12-28 | 2010-10-05 | At&T Intellectual Property Ii, L.P. | Anomaly detection systems for a computer network |
KR100951144B1 (ko) * | 2007-10-19 | 2010-04-07 | 한국정보보호진흥원 | 업무 모델 기반의 네트워크 취약점 점검 시스템 및 방법 |
KR101380768B1 (ko) * | 2012-09-14 | 2014-04-02 | 주식회사 그루스 | 네트워크의 트래픽 상황을 시각화하여 표시하는 시뮬레이션 장치 및 방법 |
-
2016
- 2016-04-14 US US15/098,861 patent/US20160308725A1/en not_active Abandoned
- 2016-04-15 WO PCT/US2016/027659 patent/WO2016168531A1/en active Application Filing
- 2016-04-15 DE DE112016001742.1T patent/DE112016001742T5/de active Pending
- 2016-04-15 JP JP2017553873A patent/JP6545819B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2018512823A (ja) | 2018-05-17 |
US20160308725A1 (en) | 2016-10-20 |
JP6545819B2 (ja) | 2019-07-17 |
WO2016168531A1 (en) | 2016-10-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE112016001742T5 (de) | Integrierte Gemeinschafts- und Rollenentdeckung in Unternehmensnetzwerken | |
DE69934102T2 (de) | System und verfahren zur model-mining von komplexen informationtechnologiesystemen | |
DE112019004913T5 (de) | Erfassen von unangemessener aktivität in anwesenheit von nicht authentifizierten api-anforderungen unter verwendung von künstlicher intelligenz | |
DE112016002806T5 (de) | Eindringdetektion auf Graphenbasis unter Verwendung von Prozessspuren | |
EP4033387A1 (de) | Cyber-sicherheit | |
DE102022201746A1 (de) | Verwaltung von rechenzentren mit maschinellem lernen | |
US20220078188A1 (en) | Change Monitoring and Detection for a Cloud Computing Environment | |
DE60116877T2 (de) | System und verfahren zum erfassen von ereignissen | |
DE112016005290T5 (de) | Anomliefusion auf temporalen kausalitätsgraphen | |
DE202018006616U1 (de) | Beschleunigung des Arbeitsablaufs von Cyberanalysen | |
DE112011104487T5 (de) | Verfahren und System zur prädiktiven Modellierung | |
EP1223709A2 (de) | Verfahren und Vorrichtung zum rechnergestützten Überwachen eines Telekommunikationsnetzes | |
DE112019003431T5 (de) | Regelerzeugung mithilfe von künstlicher intelligenz | |
DE112021006232T5 (de) | Proaktive anomalieerkennung | |
Bagrow et al. | Robustness and modular structure in networks | |
Boschetti et al. | TVi: A visual querying system for network monitoring and anomaly detection | |
CN102611713A (zh) | 基于熵运算的网络入侵检测方法和装置 | |
Mir et al. | A differentially private graph estimator | |
DE102012218699A1 (de) | Passives überwachen virtueller systeme mittels agentenlosem offline-indexieren | |
DE112021000689T5 (de) | Attestierung von neuronalen abläufen | |
DE102021130396A1 (de) | Datenzugriffsüberwachung und -steuerung | |
DE112021003657T5 (de) | Fehlerlokalisierung für cloud-native anwendungen | |
Corchado et al. | Detecting compounded anomalous SNMP situations using cooperative unsupervised pattern recognition | |
Promrit et al. | Traffic flow classification and visualization for network forensic analysis | |
DE112020004770B4 (de) | Verwaltung einer übertragungshäufigkeit für edge-einheiten eines verteilten netzwerkverbundes |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed | ||
R079 | Amendment of ipc main class |
Free format text: PREVIOUS MAIN CLASS: H04L0029060000 Ipc: H04L0012260000 |
|
R079 | Amendment of ipc main class |
Free format text: PREVIOUS MAIN CLASS: H04L0012260000 Ipc: H04L0043000000 |
|
R081 | Change of applicant/patentee |
Owner name: CLOUD BYTE LLC, NEWARK, US Free format text: FORMER OWNER: NEC LABORATORIES AMERICA, INC., PRINCETON, N.J., US Owner name: IP WAVE PTE LTD., SG Free format text: FORMER OWNER: NEC LABORATORIES AMERICA, INC., PRINCETON, N.J., US Owner name: NEC ASIA PACIFIC PTE LTD., SG Free format text: FORMER OWNER: NEC LABORATORIES AMERICA, INC., PRINCETON, N.J., US Owner name: NEC CORP., JP Free format text: FORMER OWNER: NEC LABORATORIES AMERICA, INC., PRINCETON, N.J., US |
|
R082 | Change of representative |
Representative=s name: VOSSIUS & PARTNER PATENTANWAELTE RECHTSANWAELT, DE |
|
R081 | Change of applicant/patentee |
Owner name: CLOUD BYTE LLC, NEWARK, US Free format text: FORMER OWNER: NEC CORP., TOKYO, JP Owner name: IP WAVE PTE LTD., SG Free format text: FORMER OWNER: NEC CORP., TOKYO, JP Owner name: NEC ASIA PACIFIC PTE LTD., SG Free format text: FORMER OWNER: NEC CORP., TOKYO, JP |
|
R081 | Change of applicant/patentee |
Owner name: CLOUD BYTE LLC, NEWARK, US Free format text: FORMER OWNER: NEC ASIA PACIFIC PTE LTD., SINGAPORE, SG Owner name: IP WAVE PTE LTD., SG Free format text: FORMER OWNER: NEC ASIA PACIFIC PTE LTD., SINGAPORE, SG |
|
R081 | Change of applicant/patentee |
Owner name: CLOUD BYTE LLC, NEWARK, US Free format text: FORMER OWNER: IP WAVE PTE LTD., SINGAPORE, SG |