SYSTEM AND METHOD FOR IMPROVED ANOMALY DETECTION USING RELATIONSHIP GRAPHS

An anomaly-detection system that gathers information relating to the relationships between entities and represents these relationships in a graph that interconnects each pair of related entities. The graph may represent a computer network, in which each node corresponds to a respective device in the network and each edge between two nodes indicates that the devices represented by the nodes exchanged communication with one another in the past. the system monitors each of the entities in the graph, by continually computing a single-entity anomaly score (SEAS) for the entity. If the SEAS exceeds a first threshold the system generates an alert. Otherwise, the system checks whether the SEAS exceeds a second, lower threshold. If so, the system computes a subgraph anomaly score (SAS) for the entity's subgraph. If the SAS exceeds a SAS threshold, an alert is generated. By computing the SAS in this manner resources are conserved. L'invention concerne un système de détection d'anomalie qui rassemble des informations relatives aux relations entre des entités et représente ces relations dans un graphe qui interconnecte chaque paire d'entités en relation. Le graphe peut représenter un réseau informatique, chaque nœud correspondant à un dispositif respectif dans le réseau et chaque arête entre deux nœuds indiquant que les dispositifs représentés par les nœuds ont échangé une communication l'un avec l'autre dans le passé. Le système surveille chacune des entités dans le graphe, en calculant en continu un score d'anomalie d'entité unique (SEAS) pour l'entité. Si le SEAS dépasse un premier seuil, le système génère une alerte. Sinon, le système vérifie si le SEAS dépasse un second seuil, inférieur. Si tel est le cas, le système calcule un score d'anomalie de sous-graphe (SAS) pour le sous-graphe de l'entité. Si le SAS dépasse un seuil de SAS, une alerte est générée. Cette manière de calculer le SAS économise les ressources.