REAL TIME DETECTION OF CYBER THREATS USING BEHAVIORAL ANALYTICS

REAL TIME DETECTION OF CYBER THREATS USING BEHAVIORAL ANALYTICS

Real time detection of cyber threats using behavioral analytics is disclosed. An example method includes obtaining, in real time, attributes for an entity within a population of entities, the attributes being indicative of entity behavior; building an entity probability model using the attributes an...

Ausführliche Beschreibung

Gespeichert in:
Bibliographische Detailangaben
Hauptverfasser: DODSON, Stephen, VEASEY, Thomas
Format: Patent
Sprache:eng ; fre
Schlagworte:
CALCULATING
COMPUTER SYSTEMS BASED ON SPECIFIC COMPUTATIONAL MODELS
COMPUTING
COUNTING
ELECTRIC DIGITAL DATA PROCESSING
PHYSICS
Online-Zugang:Volltext bestellen
Tags: Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
Beschreibung
Zusammenfassung:Real time detection of cyber threats using behavioral analytics is disclosed. An example method includes obtaining, in real time, attributes for an entity within a population of entities, the attributes being indicative of entity behavior; building an entity probability model using the attributes and associated values collected over a period of time; and establishing a control portion of the entity probability model associated with a portion of the period of time. The example method includes comparing any of the entity attribute values and the entity probability model for other portions of the period of time to the control portion to identify one or more anomalous differences, and executing a remediation action based thereon. Some embodiments include determining a set comprising the anomalous differences and additional anomalous differences for the entity or the entity's peer group, and calculating the set's overall probability to determine if the entity is malicious. L'invention concerne la détection en temps réel de menaces informatiques en utilisant des analyses comportementales. Un exemple de procédé consiste à obtenir, en temps réel, des attributs pour une entité au sein d'une population d'entités, les attributs indiquant un comportement d'entité; construire un modèle de probabilité d'entité en utilisant les attributs et des valeurs associées collectées sur une période; et établir une portion de commande du modèle de probabilité d'entité associé à une portion de la période. L'exemple de procédé comprend la comparaison de l'une quelconque des valeurs d'attribut d'entité et du modèle de probabilité d'entité pour d'autres portions de la période avec la portion de commande afin d'identifier une ou plusieurs différences anormales, et l'exécution d'une action corrective sur la base de celles-ci. Certains modes de réalisation comprennent la détermination d'un ensemble comprenant les différences anormales et des différences anormales supplémentaires pour l'entité ou le groupe homologue de l'entité, et le calcul de la probabilité globale de l'ensemble afin de déterminer si l'entité est malveillante.