JP6184270B2 - 将来のネットワーク攻撃を検知及び予測するために、様々な指標と過去の攻撃事例を相関させ、攻撃に関する指標のプロファイルを作成するシステム及び方法 - Google Patents
将来のネットワーク攻撃を検知及び予測するために、様々な指標と過去の攻撃事例を相関させ、攻撃に関する指標のプロファイルを作成するシステム及び方法 Download PDFInfo
- Publication number
- JP6184270B2 JP6184270B2 JP2013193560A JP2013193560A JP6184270B2 JP 6184270 B2 JP6184270 B2 JP 6184270B2 JP 2013193560 A JP2013193560 A JP 2013193560A JP 2013193560 A JP2013193560 A JP 2013193560A JP 6184270 B2 JP6184270 B2 JP 6184270B2
- Authority
- JP
- Japan
- Prior art keywords
- attacks
- attack
- detect
- detection
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/535—Tracking the activity of the user
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
DDoS攻撃検知用に最も広く検討されているアプローチは、不正検知ベースアプローチであり、このアプローチは、一般的に教師なし学習に基づいており、攻撃を予測又は検知するためにルール又はモデルを構築する時点での攻撃の情報を用いていない。不正検知ベースアプローチは、既存のアプローチのパフォーマンスを評価するために攻撃の情報を用いているが、アプローチ自体を改善することは行われていない。
近年、DDoS攻撃の時系列的な解析が行われているが、この研究は、時間軸のどの部分が攻撃に対応するかということを解析していない。この研究は、いくつかの時系列要素を捕捉するが、主な欠点は、誤検知(false positives)及び検出漏れ(false negatives)又は検知ミスが多いことである。
教師あり学習のアプローチは、複雑であるが感度の高いルールを構築するために、非線形時系列解析及び既知の攻撃の情報を用いて、誤検知(false positives)及び検知漏れ(false negatives)の数を低減し、検知待ち時間を低減する。また、教師あり学習のアプローチは、攻撃信号が相対的に弱い場合であっても緊急性の高い攻撃を予測することもできる。
本発明は、ネットワークの与えられた宛先又はノードのセットにおける攻撃を検出することを目的とする。そのために、6つの異なる指標を用いて対象の宛先に対するネットワークトラフィックの異なる特性をモニタする。各指標は、特定の特性がトラフィック内で観察されるかどうかを決定し、2つのバイナリ値(OFFなら「0」、ON又は攻撃を受けたら「1」)の一方を取る。指標は、それらのノードの各々に対して定められたトラフィックの属性を分析することにより算出される。なお、攻撃時のノードを検知することを対象としているため、ここでは、ノードに対して定められたトラフィックを分析することに注目している。以下の指標のセットを用いる。1.ボリュームベース:バイト、パケット、及びターゲットノードへのフローで測定されるトラフィック量。2.偽装ベース:偽装されたソースアドレスが観察される率。3.ソースIPダイバーシティベース:ユニークなソースアドレスが観察される率。4.IPジオロケーション(geo−location)ベース:ユニークな地理的ソースが観察される率。5.SYN比分析:非SYN TCPパケットに対するSYNの率。6.悪意のあるソースIP:ソースとしてブラックリスト化されたIPアドレスを観察する率。
L個(=この場合6個)の異なる指標が攻撃の分析、検知及び予測のために取得可能であると仮定する。以下の図は、攻撃の検知及び予測のためのデータ収集プロセスを説明するものである。
a.サイズtのタイムウィンドウ及びタイムウィンドウをスライドさせるオーバーラップインターバルτを確定する。
b.タイムウィンドウは、開始時間tbeg及び終了時間tendにより特定される。
c.各タイムウィンドウに対し、i.RTFF(real time flow filter)アラートデータベースから、各宛先IP(匿名であってもよい)及び各指標に関し、tbegからtendまでの間にアラートが挙がった回数を取り出す。指標のアラートデータベースは、指標がセット/攻撃を受けている、及びクリアされたことについてのみを記録し、指標が特定されていない場合には、現時点の状態は、過去で最も近いところの状態とする(攻撃を受けている/クリアされている)。これは、データベースのテーブルを少なくするために行われる。これにより、指標の値がデータベースにはっきりと記録されていない場合は現在の値を直近に記録された値とみなす。ii.そのタイムウィンドウ内での指標の閾値を記録する。iii.オペレータのアラートデータベースから、与えられたタイムウィンドウの宛先に対するDDoSアラートであるとされた情報を取り出す。iv.宛先、個々の宛先、サブセット、ネットワーク等の収集の複数のレベルの粒度に適用することができるが、現時点では、宛先毎の攻撃を検知及び予測することに着目する。よって、各宛先に対して、各指標が攻撃を受けた(アラートを挙げた)回数、それらの閾値及びオペレータのDDoSシステムからのアラートがあったかどうかを示すブーリアンフィールド(Boolean field)を含む、サイズが固定され、かつタイムスタンプが付けられたベクトルを作成する。
d.タイムウィンドウを次のタイムウィンドウ、つまり、期間[tend−τ,tend−τ+t)へずらす。
e.対象となる全ての宛先の、分析のための期間内のタイムウィンドウのシーケンスに関するベクトルを収集する。
f.分析の期間[0,T]内での複数の宛先から収集されるデータのベクトルは、相関分析のための中心位置で収集され、攻撃を検知及び予測するパターン及びルールを作成する。データの概念的なビューは、図2に示される。
a)データ分析及び検知/予測のためのモデルを構築する間に、DDoS攻撃が起きている宛先に関する情報(各宛先への攻撃の期間を含む)を用いる。
b)学習時のフィードバックの使用によって、教師あり学習が、より関連性のある、より正確なモデルを作成することができる。
c)検知問題の式
a.考慮するための過去のタイムウィンドウのサイズ(h)を経験的に決定する。
b.ウィンドウwi、におけるRTFFアラートを挙げることについての履歴情報を組み入れる新たなベクトルVwiを作成する。例えば、Vwi=[vwi−h,vwi−h+1,・・・,vwi]、である。
c.検知関数fdetectをトレーニングするための以下の組み合わせを作成する。
i.トレーニングデータを((Vw1,kw1),(Vw2,kw2),・・・,(Vwn,kwn))とする。データ内に総数n個のウィンドウがあると仮定する。ここで、Vwiは、上記のb.で作成されるベクトルであり、kwiは、DDoSアタックがタイムウィンドウwiの最後の宛先で観察されたかどうかを示す。
d.検知関数SVMsを学習するために教師あり学習(例えば、SVM)を用いることは、高度で複雑な決定ルールを見い出すことができ、実際に決定ルールを最先端の学習アルゴリズムとする良好な理論的特性及び良好なパフォーマンスを有することができる。以上のように、SVMを用いた教師あり学習及び上記のc.で説明されたトレーニングデータの詳細を簡潔に説明した。
a)原則的に、予測は、検知とほぼ同様である。
a.予測と検知との差は、トレーニングデータの式にある。
b.検知の場合には、現時点でのウィンドウでのDDoSアラートと突き合わせるアラートを出力することが目的である。
c.予測の場合には、将来起こるウィンドウでのDDoSアラートと突き合わせるアラートを出力することが目的である(このような情報は収集されたデータで取得可能である)。
d.そのため、予測と検知との差は、トレーニングデータの式にある。
b)攻撃予測のためのトレーニングデータの式
a.予測したい将来におけるステップ数sを決定する。
b.考慮するための過去のタイムウィンドウのサイズ(h)を経験的に決定する。
c.ウィンドウwi、におけるRTFFアラートを挙げることについての履歴情報を組み入れる新たなベクトルVwiを作成する。例えば、Vwi=[vwi−h,vwi−h+1,・・・,vwi]である。
d.検知関数fpredをトレーニングするための以下の組み合わせを作成する。
i.トレーニングデータを((Vw1,kw1+s),(Vw2,kw2+s),・・・,(Vwn,kwn+s))とする。データ内に総数n+s個のウィンドウがあると仮定する。
ここでVwiは、上記のc.で作成されたベクトルであり、kwi+sは、DDoSアタックがタイムウィンドウwiの最後の後、つまりウィンドウwi+sの最後の宛先sのステップで観察されたかどうかを示す。
e.検知関数fpredを学習するために同様の教師あり学習(例えば、SVM)を用いる。
f.正確さを向上させるために、RBFカーネルによるSVMを用いているが、SVMにより作成される検知及び予測ルールは、人間が読んで理解できる形式ではない。そのため、人間の専門家又はネットワークオペレータが理解できるルールを学習するために決定木アプローチを使用してもよい。
システムは、これらパラメータの異なる値が検証された交差検定アプローチを用いて、それらを経験的に判断する。そして、最も良いパフォーマンスを挙げたものが選択されて用いられる。
上記で示したように、攻撃を検知及び予測するために同一の方法を用いる。検知と予測との違いは、トレーニングデータの式にある。検知については、ターゲットラベルは、ベクトルの最新のウィンドウの最後におけるネットワークの状態である。一方、予測については、ターゲットラベルは、将来のインターバルの固定された数における宛先(攻撃下又は非攻撃下)の状態である。ここでは、検知関数fdetect及び予測関数fpredを学習するための教師あり学習アプローチについて説明する。
決定ルールは、数1を有す。
トレーニング段階において、与えられたラベル付けされたデータは、αiの係数の値及び二次プログラム(2)を解くことにより閾値bを求めるために用いられる。
これは、コンピュータ的に負荷の大きなステップであるが、オフラインで解くことができ、一回程度(once or infrequently)解く必要がある。検知及び予測のための学習における違いは、トレーニングデータの式のみである。システムは、複数の宛先から収集された、集められたトレーニングデータ、又は個々の宛先から収集されたデータを用いて予測関数fpred(又は検知関数fdetect)を学習することができる。
テスト段階は、新たな観測xの関数(1)を評価するために、学習の結果(トレーニング段階で求められたαiの係数及び閾値b)を用いる。関数評価は、コンピュータ的に低廉であり、リアルタイムで行われうる。関数(1)の評価は、攻撃を検知又は予測するためのラベルを作成する。関数fpredを評価することによりラベルが作成されたときに、システムは、攻撃を予測する。また、関数fdetectを評価することによりラベルが作成されたときに、システムは、攻撃を検知する。
機械学習リサーチの一部として予測アルゴリズムを設計することの背景は、学習の理論的な観点からの問題を分析及び定式化することを可能にした。これは、指標が強くなく、攻撃信号が弱い場合に、攻撃を予測するために不可欠な特性をモデル化することを可能にした。
i.過去に観測した攻撃のバリエーションであるゼロデイ攻撃を検知することが可能となった。
ii.徐々にトラフィック量及び他の特性を変化させることを含むステルス攻撃を検知できる。
iii.様々な指標を使用することにより、システムは、より安定かつ詳細な攻撃の検知を実現できる。指標は、(トラフィック)量、偽装されたIPs、ソースIPダイバーシティ、IPジオロケーション、SYN比及び悪意のあるソースIPsのポテンシャル変化を測定する。
iv.(i)観察されたトラフィック内の直近のトレンドに基づく指標から継続的かつ自動的に閾値を適用すること、及び(ii)ネットワーク攻撃を検知及び予測するためのルールを適用するために逐一学習することにより、新たな攻撃及びそれらの変形を早急に学習することを適用できる。
v.緊急性の高い攻撃をネットワークに影響が及ぶ前に予測できる。
vi.(トレーニングデータの一部として改善が提供された場合に)改善を提供できる。
vii.攻撃を検知及び予測するためのシグネチャ時系列パターン及びルールを発見又は生成できる。
viii.指標が攻撃に対して支配的及び/又は決定的な役割となるかについての情報を提供できる。
Claims (1)
- 起こり得る攻撃又は異常態様の指標であって、少なくともソースIPのダイバーシティベース及びIPジオロケーションベースを含む前記指標を用いてトラフィック特性をエンコードし、ネットワーク攻撃を正確に検知するために前記指標のセットのコード化された値における時系列パターンを参照する、方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201261702453P | 2012-09-18 | 2012-09-18 | |
US61/702,453 | 2012-09-18 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014060722A JP2014060722A (ja) | 2014-04-03 |
JP6184270B2 true JP6184270B2 (ja) | 2017-08-23 |
Family
ID=50275925
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013193560A Expired - Fee Related JP6184270B2 (ja) | 2012-09-18 | 2013-09-18 | 将来のネットワーク攻撃を検知及び予測するために、様々な指標と過去の攻撃事例を相関させ、攻撃に関する指標のプロファイルを作成するシステム及び方法 |
Country Status (2)
Country | Link |
---|---|
US (1) | US9386030B2 (ja) |
JP (1) | JP6184270B2 (ja) |
Families Citing this family (109)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9503470B2 (en) * | 2002-12-24 | 2016-11-22 | Fred Herz Patents, LLC | Distributed agent based model for security monitoring and response |
US9503463B2 (en) * | 2012-05-14 | 2016-11-22 | Zimperium, Inc. | Detection of threats to networks, based on geographic location |
US9565213B2 (en) | 2012-10-22 | 2017-02-07 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
US9137205B2 (en) | 2012-10-22 | 2015-09-15 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
US9853995B2 (en) * | 2012-11-08 | 2017-12-26 | AO Kaspersky Lab | System and method for restricting pathways to harmful hosts in computer networks |
US9141791B2 (en) * | 2012-11-19 | 2015-09-22 | Hewlett-Packard Development Company, L.P. | Monitoring for anomalies in a computing environment |
US9774517B2 (en) * | 2012-11-26 | 2017-09-26 | EMC IP Holding Company LLC | Correlative monitoring, analysis, and control of multi-service, multi-network systems |
US9203806B2 (en) | 2013-01-11 | 2015-12-01 | Centripetal Networks, Inc. | Rule swapping in a packet network |
US9124552B2 (en) | 2013-03-12 | 2015-09-01 | Centripetal Networks, Inc. | Filtering network data transfers |
US9094445B2 (en) | 2013-03-15 | 2015-07-28 | Centripetal Networks, Inc. | Protecting networks from cyber attacks and overloading |
US9747446B1 (en) * | 2013-12-26 | 2017-08-29 | Fireeye, Inc. | System and method for run-time object classification |
WO2015149062A1 (en) * | 2014-03-28 | 2015-10-01 | Zitovault, Inc. | System and method for predicting impending cyber security events using multi channel behavioral analysis in a distributed computing environment |
US9497215B2 (en) * | 2014-07-23 | 2016-11-15 | Cisco Technology, Inc. | Stealth mitigation for simulating the success of an attack |
US9378079B2 (en) | 2014-09-02 | 2016-06-28 | Microsoft Technology Licensing, Llc | Detection of anomalies in error signals of cloud based service |
US20160179063A1 (en) * | 2014-12-17 | 2016-06-23 | Microsoft Technology Licensing, Llc | Pipeline generation for data stream actuated control |
US9264370B1 (en) | 2015-02-10 | 2016-02-16 | Centripetal Networks, Inc. | Correlating packets in communications networks |
US10057283B2 (en) * | 2015-02-17 | 2018-08-21 | Accenture Global Solutions Limited | Volumetric event forecasting tool |
US9866576B2 (en) | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
US11350254B1 (en) | 2015-05-05 | 2022-05-31 | F5, Inc. | Methods for enforcing compliance policies and devices thereof |
CN108804925B (zh) * | 2015-05-27 | 2022-02-01 | 北京百度网讯科技有限公司 | 用于检测恶意代码的方法和*** |
US9553885B2 (en) * | 2015-06-08 | 2017-01-24 | Illusive Networks Ltd. | System and method for creation, deployment and management of augmented attacker map |
US10382484B2 (en) | 2015-06-08 | 2019-08-13 | Illusive Networks Ltd. | Detecting attackers who target containerized clusters |
US10454950B1 (en) * | 2015-06-30 | 2019-10-22 | Fireeye, Inc. | Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks |
US10050999B1 (en) * | 2015-09-22 | 2018-08-14 | Amazon Technologies, Inc. | Security threat based auto scaling |
US9825989B1 (en) | 2015-09-30 | 2017-11-21 | Fireeye, Inc. | Cyber attack early warning system |
US10560483B2 (en) * | 2015-10-28 | 2020-02-11 | Qomplx, Inc. | Rating organization cybersecurity using active and passive external reconnaissance |
US9948663B1 (en) * | 2015-12-07 | 2018-04-17 | Symantec Corporation | Systems and methods for predicting security threat attacks |
US10193906B2 (en) * | 2015-12-09 | 2019-01-29 | Checkpoint Software Technologies Ltd. | Method and system for detecting and remediating polymorphic attacks across an enterprise |
US9985982B1 (en) * | 2015-12-21 | 2018-05-29 | Cisco Technology, Inc. | Method and apparatus for aggregating indicators of compromise for use in network security |
US11757946B1 (en) * | 2015-12-22 | 2023-09-12 | F5, Inc. | Methods for analyzing network traffic and enforcing network policies and devices thereof |
US9917856B2 (en) | 2015-12-23 | 2018-03-13 | Centripetal Networks, Inc. | Rule-based network-threat detection for encrypted communications |
US20170195132A1 (en) * | 2015-12-30 | 2017-07-06 | Iix, Inc. | Data Monitoring/Aggregation For Evaluating Connections Between Networks |
US11729144B2 (en) | 2016-01-04 | 2023-08-15 | Centripetal Networks, Llc | Efficient packet capture for cyber threat analysis |
CA3051164A1 (en) * | 2016-01-24 | 2017-07-27 | Syed Kamran HASAN | Computer security based on artificial intelligence |
US9906551B2 (en) * | 2016-02-09 | 2018-02-27 | International Business Machines Corporation | Forecasting and classifying cyber-attacks using crossover neural embeddings |
US9998480B1 (en) | 2016-02-29 | 2018-06-12 | Symantec Corporation | Systems and methods for predicting security threats |
RU2634211C1 (ru) | 2016-07-06 | 2017-10-24 | Общество с ограниченной ответственностью "Траст" | Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак |
RU2649793C2 (ru) | 2016-08-03 | 2018-04-04 | ООО "Группа АйБи" | Способ и система выявления удаленного подключения при работе на страницах веб-ресурса |
US11182476B2 (en) * | 2016-09-07 | 2021-11-23 | Micro Focus Llc | Enhanced intelligence for a security information sharing platform |
RU2634209C1 (ru) * | 2016-09-19 | 2017-10-24 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью |
KR101750760B1 (ko) | 2016-11-24 | 2017-07-11 | (주)유엠로직스 | 스마트 홈 서비스의 비정상 행위 탐지 시스템 및 그 방법 |
JP6712944B2 (ja) * | 2016-12-13 | 2020-06-24 | Kddi株式会社 | 通信予測装置、通信予測方法及び通信予測プログラム |
RU2637477C1 (ru) | 2016-12-29 | 2017-12-04 | Общество с ограниченной ответственностью "Траст" | Система и способ обнаружения фишинговых веб-страниц |
CN108259426B (zh) * | 2016-12-29 | 2020-04-28 | 华为技术有限公司 | 一种DDoS攻击检测方法及设备 |
RU2671991C2 (ru) | 2016-12-29 | 2018-11-08 | Общество с ограниченной ответственностью "Траст" | Система и способ сбора информации для обнаружения фишинга |
US10367832B2 (en) | 2017-01-27 | 2019-07-30 | Rapid7, Inc. | Reactive virtual security appliances |
US10397258B2 (en) | 2017-01-30 | 2019-08-27 | Microsoft Technology Licensing, Llc | Continuous learning for intrusion detection |
US10771495B2 (en) | 2017-03-02 | 2020-09-08 | General Electric Company | Cyber-attack detection and neutralization |
WO2018164767A1 (en) * | 2017-03-09 | 2018-09-13 | General Electric Company | Cyber-attack detection and neutralization |
CN107104959B (zh) * | 2017-04-20 | 2023-01-13 | 北京东方棱镜科技有限公司 | 一种云环境中异常行为检测方法与装置 |
US11343237B1 (en) | 2017-05-12 | 2022-05-24 | F5, Inc. | Methods for managing a federated identity environment using security and access control data and devices thereof |
US10447525B2 (en) | 2017-06-05 | 2019-10-15 | Microsoft Technology Licensing, Llc | Validating correlation between chains of alerts using cloud view |
US10855700B1 (en) * | 2017-06-29 | 2020-12-01 | Fireeye, Inc. | Post-intrusion detection of cyber-attacks during lateral movement within networks |
US10503899B2 (en) | 2017-07-10 | 2019-12-10 | Centripetal Networks, Inc. | Cyberanalysis workflow acceleration |
US10284526B2 (en) | 2017-07-24 | 2019-05-07 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
US11233777B2 (en) | 2017-07-24 | 2022-01-25 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
JP6890498B2 (ja) * | 2017-08-04 | 2021-06-18 | 株式会社日立製作所 | ネットワーク装置、パケットを処理する方法、及びプログラム |
US11797668B2 (en) | 2017-10-11 | 2023-10-24 | Mitsubishi Electric Corporation | Sample data generation apparatus, sample data generation method, and computer readable medium |
WO2019091697A1 (en) | 2017-11-07 | 2019-05-16 | British Telecommunications Public Limited Company | Dynamic security policy |
EP3707633B1 (en) | 2017-11-07 | 2021-12-15 | British Telecommunications public limited company | Security configuration determination |
RU2689816C2 (ru) | 2017-11-21 | 2019-05-29 | ООО "Группа АйБи" | Способ для классифицирования последовательности действий пользователя (варианты) |
US11503051B2 (en) * | 2018-01-11 | 2022-11-15 | Perspecta Labs Inc. | Migration of traffic flows |
EP3511856A1 (en) * | 2018-01-16 | 2019-07-17 | Nokia Solutions and Networks Oy | Method, apparatus and computer readable medium to detect at least one change in continuous data |
RU2677361C1 (ru) | 2018-01-17 | 2019-01-16 | Общество с ограниченной ответственностью "Траст" | Способ и система децентрализованной идентификации вредоносных программ |
RU2668710C1 (ru) | 2018-01-17 | 2018-10-02 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Вычислительное устройство и способ для обнаружения вредоносных доменных имен в сетевом трафике |
RU2676247C1 (ru) | 2018-01-17 | 2018-12-26 | Общество С Ограниченной Ответственностью "Группа Айби" | Способ и компьютерное устройство для кластеризации веб-ресурсов |
RU2677368C1 (ru) | 2018-01-17 | 2019-01-16 | Общество С Ограниченной Ответственностью "Группа Айби" | Способ и система для автоматического определения нечетких дубликатов видеоконтента |
RU2680736C1 (ru) | 2018-01-17 | 2019-02-26 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Сервер и способ для определения вредоносных файлов в сетевом трафике |
RU2681699C1 (ru) | 2018-02-13 | 2019-03-12 | Общество с ограниченной ответственностью "Траст" | Способ и сервер для поиска связанных сетевых ресурсов |
JP6883535B2 (ja) * | 2018-02-20 | 2021-06-09 | Kddi株式会社 | 攻撃予測装置、攻撃予測方法及び攻撃予測プログラム |
US11134090B1 (en) | 2018-06-04 | 2021-09-28 | Target Brands, Inc. | Network security analysis and malware detection using multiple types of malware information |
US10735442B1 (en) * | 2018-06-04 | 2020-08-04 | Target Brands, Inc. | Network security analysis and malware detection using multiple types of malware information |
US10686807B2 (en) * | 2018-06-12 | 2020-06-16 | International Business Machines Corporation | Intrusion detection system |
US10333898B1 (en) | 2018-07-09 | 2019-06-25 | Centripetal Networks, Inc. | Methods and systems for efficient network protection |
CN108881283B (zh) * | 2018-07-13 | 2021-08-20 | 杭州安恒信息技术股份有限公司 | 评估网络攻击的模型训练方法、装置及储存介质 |
US10333976B1 (en) | 2018-07-23 | 2019-06-25 | Illusive Networks Ltd. | Open source intelligence deceptions |
US10404747B1 (en) | 2018-07-24 | 2019-09-03 | Illusive Networks Ltd. | Detecting malicious activity by using endemic network hosts as decoys |
US10382483B1 (en) | 2018-08-02 | 2019-08-13 | Illusive Networks Ltd. | User-customized deceptions and their deployment in networks |
US10826756B2 (en) | 2018-08-06 | 2020-11-03 | Microsoft Technology Licensing, Llc | Automatic generation of threat remediation steps by crowd sourcing security solutions |
US10911479B2 (en) * | 2018-08-06 | 2021-02-02 | Microsoft Technology Licensing, Llc | Real-time mitigations for unfamiliar threat scenarios |
US10333977B1 (en) | 2018-08-23 | 2019-06-25 | Illusive Networks Ltd. | Deceiving an attacker who is harvesting credentials |
US10432665B1 (en) | 2018-09-03 | 2019-10-01 | Illusive Networks Ltd. | Creating, managing and deploying deceptions on mobile devices |
RU2708508C1 (ru) | 2018-12-17 | 2019-12-09 | Общество с ограниченной ответственностью "Траст" | Способ и вычислительное устройство для выявления подозрительных пользователей в системах обмена сообщениями |
RU2701040C1 (ru) | 2018-12-28 | 2019-09-24 | Общество с ограниченной ответственностью "Траст" | Способ и вычислительное устройство для информирования о вредоносных веб-ресурсах |
JP7186637B2 (ja) * | 2019-02-21 | 2022-12-09 | 三菱電機株式会社 | 検知ルール群調整装置および検知ルール群調整プログラム |
EP3842968B1 (en) | 2019-02-27 | 2024-04-24 | "Group IB" Ltd. | Method and system for identifying a user according to keystroke dynamics |
US11252169B2 (en) | 2019-04-03 | 2022-02-15 | General Electric Company | Intelligent data augmentation for supervised anomaly detection associated with a cyber-physical system |
US11343266B2 (en) | 2019-06-10 | 2022-05-24 | General Electric Company | Self-certified security for assured cyber-physical systems |
CN112543168A (zh) * | 2019-09-20 | 2021-03-23 | 中移(苏州)软件技术有限公司 | 网络攻击的检测方法、装置、服务器及存储介质 |
TW202347125A (zh) * | 2019-11-20 | 2023-12-01 | 美商奈米創尼克影像公司 | 用於判定網路攻擊及產生警告之製造系統及電腦實施方法 |
KR102134653B1 (ko) * | 2019-11-25 | 2020-07-16 | 한국인터넷진흥원 | 익스플로잇 공격에 대한 탐지 정확도를 향상시키기 위한 룰 최적화 장치 및 그 방법 |
RU2728497C1 (ru) | 2019-12-05 | 2020-07-29 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система определения принадлежности программного обеспечения по его машинному коду |
RU2728498C1 (ru) | 2019-12-05 | 2020-07-29 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система определения принадлежности программного обеспечения по его исходному коду |
RU2743974C1 (ru) | 2019-12-19 | 2021-03-01 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Система и способ сканирования защищенности элементов сетевой архитектуры |
US11632385B2 (en) * | 2020-02-03 | 2023-04-18 | University Of South Florida | Computer networking with security features |
SG10202001963TA (en) | 2020-03-04 | 2021-10-28 | Group Ib Global Private Ltd | System and method for brand protection based on the search results |
CN113542204B (zh) * | 2020-04-22 | 2023-04-07 | 中国电信股份有限公司 | 防护规则生成方法、装置和存储介质 |
US11475090B2 (en) | 2020-07-15 | 2022-10-18 | Group-Ib Global Private Limited | Method and system for identifying clusters of affiliated web resources |
RU2743619C1 (ru) | 2020-08-06 | 2021-02-20 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система генерации списка индикаторов компрометации |
CN112019547B (zh) * | 2020-08-28 | 2023-04-07 | 中移(杭州)信息技术有限公司 | 网络流量评估方法、攻击检测方法、服务器及存储介质 |
US11362996B2 (en) | 2020-10-27 | 2022-06-14 | Centripetal Networks, Inc. | Methods and systems for efficient adaptive logging of cyber threat incidents |
KR102287394B1 (ko) * | 2020-12-21 | 2021-08-06 | 한국인터넷진흥원 | 익스플로잇 공격 유형 분류 방법 및 그 장치 |
US11947572B2 (en) | 2021-03-29 | 2024-04-02 | Group IB TDS, Ltd | Method and system for clustering executable files |
CN113098735B (zh) * | 2021-03-31 | 2022-10-11 | 上海天旦网络科技发展有限公司 | 面向推理的应用流量和指标向量化方法及*** |
NL2030861B1 (en) | 2021-06-01 | 2023-03-14 | Trust Ltd | System and method for external monitoring a cyberattack surface |
CN113810386B (zh) * | 2021-08-27 | 2023-09-26 | 北京航空航天大学杭州创新研究院 | 一种从大数据中提取用于网络安全的训练数据方法和装置 |
CN114189353A (zh) * | 2021-11-05 | 2022-03-15 | 西安理工大学 | 一种基于铁路调度集***的网络安全风险预测方法 |
CN114422186B (zh) * | 2021-12-21 | 2024-05-28 | 深信服科技股份有限公司 | 一种攻击检测方法、装置、电子设备及存储介质 |
CN116405269B (zh) * | 2023-03-22 | 2024-01-26 | 中国华能集团有限公司北京招标分公司 | 一种网络撞库攻击检测方法 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4484663B2 (ja) * | 2004-02-02 | 2010-06-16 | 株式会社サイバー・ソリューションズ | 不正情報検知システム及び不正攻撃元探索システム |
US7584507B1 (en) * | 2005-07-29 | 2009-09-01 | Narus, Inc. | Architecture, systems and methods to detect efficiently DoS and DDoS attacks for large scale internet |
JP2007074383A (ja) * | 2005-09-07 | 2007-03-22 | Yokogawa Electric Corp | 情報システム |
WO2007055222A1 (ja) * | 2005-11-08 | 2007-05-18 | Tohoku University | ネットワーク異常検知方法およびネットワーク異常検知システム |
-
2013
- 2013-09-17 US US14/029,474 patent/US9386030B2/en not_active Expired - Fee Related
- 2013-09-18 JP JP2013193560A patent/JP6184270B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
US9386030B2 (en) | 2016-07-05 |
JP2014060722A (ja) | 2014-04-03 |
US20140082730A1 (en) | 2014-03-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6184270B2 (ja) | 将来のネットワーク攻撃を検知及び予測するために、様々な指標と過去の攻撃事例を相関させ、攻撃に関する指標のプロファイルを作成するシステム及び方法 | |
CN112651006B (zh) | 一种电网安全态势感知*** | |
Moustafa et al. | Big data analytics for intrusion detection system: Statistical decision-making using finite dirichlet mixture models | |
JP6703613B2 (ja) | データストリームにおける異常検出 | |
CN102957579B (zh) | 一种网络异常流量监测方法及装置 | |
CN108632224B (zh) | 一种apt攻击检测方法和装置 | |
US7962611B2 (en) | Methods, systems and computer program products for detecting flow-level network traffic anomalies via abstraction levels | |
US20070226803A1 (en) | System and method for detecting internet worm traffics through classification of traffic characteristics by types | |
JP2018533897A5 (ja) | ||
CN105577679A (zh) | 一种基于特征选择与密度峰值聚类的异常流量检测方法 | |
Fernandes Jr et al. | Autonomous profile-based anomaly detection system using principal component analysis and flow analysis | |
CN103441982A (zh) | 一种基于相对熵的入侵报警分析方法 | |
Ren et al. | An online adaptive approach to alert correlation | |
JP2005065294A (ja) | ネットワーク・トラフィックにおける変更のスケッチベースの検出方法および装置 | |
Eslahi et al. | Periodicity classification of HTTP traffic to detect HTTP Botnets | |
KR20150091775A (ko) | 비정상 행위 탐지를 위한 네트워크 트래픽 분석 방법 및 시스템 | |
Dhakar et al. | A novel data mining based hybrid intrusion detection framework | |
Moustafa et al. | A network forensic scheme using correntropy-variation for attack detection | |
CN114143037A (zh) | 一种基于进程行为分析的恶意加密信道检测方法 | |
Ban et al. | Detection of botnet activities through the lens of a large-scale darknet | |
CN102801719B (zh) | 基于主机流量功率谱相似性度量的僵尸网络检测方法 | |
JP2008118242A (ja) | 異常トラヒック検出方法およびその装置およびプログラム | |
Chae et al. | Adaptive threshold selection for trust-based detection systems | |
Rodriguez et al. | Improving network security through traffic log anomaly detection using time series analysis | |
Putra et al. | Prototyping distributed botnet detection system in computer networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140123 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160128 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20161028 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161108 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170124 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170627 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170725 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6184270 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |