WIPO logo
Mobile | Deutsch | Español | Français | 日本語 | 한국어 | Português | Русский | 中文 | العربية |
PATENTSCOPE

Search International and National Patent Collections
World Intellectual Property Organization
Search
 
Browse
 
Translate
 
Options
 
News
 
Login
 
Help
 
Machine translation
1. (WO2015035559) SYSTEMS AND METHODS FOR USING EVENT-CORRELATION GRAPHS TO DETECT ATTACKS ON COMPUTING SYSTEMS
Latest bibliographic data on file with the International Bureau   

Pub. No.:    WO/2015/035559    International Application No.:    PCT/CN2013/083228
Publication Date: 19.03.2015 International Filing Date: 10.09.2013
IPC:
G06F 21/56 (2013.01)
Applicants: SYMANTEC CORPORATION [US/US]; 350 Ellis Street Mountain View, California 94043 (US)
Inventors: ROUNDY, Kevin Alejandro; (US).
GUO, Fanglu; (US).
BHATKAR, Sandeep; (US).
CHENG, Tao; (CN).
FU, Jie; (CN).
LI, Zhi Kai; (CN).
SHOU, Darren; (US).
SAWHNEY, Sanjay; (US).
TAMERSOY, Acar; (US).
KHALIL, Elias; (US)
Agent: CHINA SINDA INTELLECTUAL PROPERTY LTD.; B11th Floor, Focus Place, 19 Financial Street Xicheng District Beijing 100033 (CN)
Priority Data:
Title (EN) SYSTEMS AND METHODS FOR USING EVENT-CORRELATION GRAPHS TO DETECT ATTACKS ON COMPUTING SYSTEMS
(FR) SYSTÈMES ET MÉTHODES D'UTILISATION DE GRAPHIQUES DE CORRÉLATION D'ÉVÉNEMENTS POUR LA DÉTECTION D'ATTAQUES SUR DES SYSTÈMES INFORMATIQUES
Abstract: front page image
(EN)A computer-implemented method for using event-correlation graphs to detect attacks on computing systems may include (1) detecting a suspicious event involving a first actor within a computing system, (2) constructing an event-correlation graph that includes a first node that represents the first actor, a second node that represents a second actor, and an edge that interconnects the first node and the second node and represents a suspicious event involving the first actor and the second actor, (3) calculating, based at least in part on the additional suspicious event, an attack score for the event-correlation graph, (4) determining that the attack score is greater than a predetermined threshold, and (5) determining, based at least in part on the attack score being greater than the predetermined threshold, that the suspicious event may be part of an attack on the computing system. Various other methods, systems, and computer-readable media are also disclosed.
(FR)Une méthode appliquée par ordinateur d'utilisation de graphiques de corrélation d'événements pour la détection d'attaques sur des systèmes informatiques peut inclure (1) la détection d'un événement suspect impliquant un premier acteur au sein d'un système informatique, (2) la construction d'un graphique de corrélation d'événements qui inclut un premier nœud qui représente le premier acteur, un deuxième nœud qui représente un deuxième acteur, et une frontière qui interconnecte le premier nœud et le deuxième nœud et représente un événement suspect impliquant le premier acteur et le deuxième acteur, (3) le calcul, basé au moins en partie sur l'événement suspect supplémentaire, d’un score d'attaque pour le graphique de corrélation d'événements, (4) la détermination de la supériorité ou non du score d'attaque vis-à-vis d'un seuil prédéterminé, et (5) la détermination, basée au moins en partie sur le fait que le score d'attaque est supérieur au seuil prédéterminé, du fait que l'événement suspect peut faire partie ou non d'une attaque sur le système informatique. La présente invention concerne également divers autres systèmes, méthodes et supports lisibles par des systèmes informatiques.
Designated States: AE, AG, AL, AM, AO, AT, AU, AZ, BA, BB, BG, BH, BN, BR, BW, BY, BZ, CA, CH, CL, CN, CO, CR, CU, CZ, DE, DK, DM, DO, DZ, EC, EE, EG, ES, FI, GB, GD, GE, GH, GM, GT, HN, HR, HU, ID, IL, IN, IS, JP, KE, KG, KN, KP, KR, KZ, LA, LC, LK, LR, LS, LT, LU, LY, MA, MD, ME, MG, MK, MN, MW, MX, MY, MZ, NA, NG, NI, NO, NZ, OM, PA, PE, PG, PH, PL, PT, QA, RO, RS, RU, RW, SA, SC, SD, SE, SG, SK, SL, SM, ST, SV, SY, TH, TJ, TM, TN, TR, TT, TZ, UA, UG, US, UZ, VC, VN, ZA, ZM, ZW.
African Regional Intellectual Property Organization (BW, GH, GM, KE, LR, LS, MW, MZ, NA, RW, SD, SL, SZ, TZ, UG, ZM, ZW)
Eurasian Patent Organization (AM, AZ, BY, KG, KZ, RU, TJ, TM)
European Patent Office (AL, AT, BE, BG, CH, CY, CZ, DE, DK, EE, ES, FI, FR, GB, GR, HR, HU, IE, IS, IT, LT, LU, LV, MC, MK, MT, NL, NO, PL, PT, RO, RS, SE, SI, SK, SM, TR)
African Intellectual Property Organization (BF, BJ, CF, CG, CI, CM, GA, GN, GQ, GW, KM, ML, MR, NE, SN, TD, TG).
Publication Language: English (EN)
Filing Language: English (EN)