METHODS AND SYSTEM FOR IDENTIFYING INFRASTRUCTURE ATTACK PROGRESSIONS

A novel enterprise security solution allows for precise interception and surgical response to attack progression, in real time, as it occurs across a distributed infrastructure. The solution includes a data monitoring and management framework that continually models system level host and network act...

Ausführliche Beschreibung

Gespeichert in:

Bibliographische Detailangaben
Hauptverfasser:	GHOSH, Abhijit, MUKHERJEE, Niloy, KIM, Eun-Gyu
Format:	Patent
Sprache:	eng ; fre
Schlagworte:	CALCULATING COMPUTING COUNTING ELECTRIC COMMUNICATION TECHNIQUE ELECTRIC DIGITAL DATA PROCESSING ELECTRICITY PHYSICS TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHICCOMMUNICATION
Online-Zugang:	Volltext bestellen
Tags:	Tag hinzufügen Keine Tags, Fügen Sie den ersten Tag hinzu!

Beschreibung
Zusammenfassung:	A novel enterprise security solution allows for precise interception and surgical response to attack progression, in real time, as it occurs across a distributed infrastructure. The solution includes a data monitoring and management framework that continually models system level host and network activities as mutually exclusive infrastructure wide execution sequences and bucketizes them into unique execution trails. A multimodal intelligent security middleware detects indicators of compromise in real-time on top of subsets of each unique execution trail using rule based behavioral analytics, machine learning based anomaly detection, and other sources. Each detection result dynamically contributes to aggregated risk scores at execution trail level granularities. These scores can be used to prioritize and identify highest risk attack trails to end users, along with steps that such end users can perform to mitigate further damage and progression of an attack. La présente invention concerne une nouvelle solution de sécurité d'entreprise qui permet une interception précise et une réponse chirurgicale à une progression d'attaque, en temps réel, au fur et à mesure qu'elle se produit à travers une infrastructure distribuée. La solution comprend une structure de surveillance de données et de gestion qui modélise en continu des activités d'hôte et de réseau de niveau de système en tant que séquences d'exécution large d'infrastructure mutuellement exclusives et les brochette en pistes d'exécution uniques. Un intergiciel de sécurité intelligent multimodal détecte des indicateurs de compromis en temps réel sur des sous-ensembles de chaque piste d'exécution unique à l'aide d'une analyse comportementale basée sur des règles, d'une détection d'anomalie basée sur l'apprentissage automatique et d'autres sources. Chaque résultat de détection contribue dynamiquement à des scores de risque agrégés à des granularités de niveau de piste d'exécution. Ces scores peuvent être utilisés pour hiérarchiser et identifier des pistes d'attaque à risque le plus élevé pour des utilisateurs finaux, ainsi que des étapes qui permettent à ces utilisateurs finaux d'atténuer davantage les dommages et la progression d'une attaque.