WIPO logo
Mobile | Deutsch | Español | Français | 日本語 | 한국어 | Português | Русский | 中文 | العربية |
PATENTSCOPE

Search International and National Patent Collections
World Intellectual Property Organization
Search
 
Browse
 
Translate
 
Options
 
News
 
Login
 
Help
 
Machine translation
1. (WO2016057994) DIFFERENTIAL DEPENDENCY TRACKING FOR ATTACK FORENSICS
Latest bibliographic data on file with the International Bureau   

Pub. No.:    WO/2016/057994    International Application No.:    PCT/US2015/055137
Publication Date: 14.04.2016 International Filing Date: 12.10.2015
IPC:
H04L 29/06 (2006.01), H04L 12/26 (2006.01)
Applicants: NEC LABORATORIES AMERICA, INC. [US/US]; 4 Independence Way, Suite 200 Princeton, NJ 08540 (US)
Inventors: LI, Zhichun; (US).
WU, Zhenyu; (US).
QIAN, Zhiyun; (US).
JIANG, Guofei; (US).
AKHOONDI, Masoud; (US).
KUSANO, Markus; (US)
Agent: TUTUNJIAN, John, G.; (US)
Priority Data:
14/879,876 09.10.2015 US
62/062,298 10.10.2014 US
Title (EN) DIFFERENTIAL DEPENDENCY TRACKING FOR ATTACK FORENSICS
(FR) SUIVI DE DÉPENDANCE DIFFÉRENTIELLE POUR LA RECHERCHE CRIMINALISTE D’ATTAQUES
Abstract: front page image
(EN)Methods and systems for intrusion attack recovery include monitoring (502) two or more hosts in a network to generate audit logs of system events. One or more dependency graphs (DGraphs) is generated (504) based on the audit logs. A relevancy score for each edge of the DGraphs is determined (510). Irrelevant events from the DGraphs are pruned (510) to generate a condensed backtracking graph. An origin is located by backtracking (512) from an attack detection point in the condensed backtracking graph.
(FR)La présente invention concerne des procédés et des systèmes permettant une récupération après attaque par intrusion, lesdits procédés consistant à surveiller (502) au moins deux hôtes dans un réseau afin de générer des journaux d’audits d’événements du système. Un ou plusieurs graphes de dépendance sont générés (504) sur la base des journaux d’audits. Une note de pertinence pour chaque arête des graphes de dépendance est déterminée (510). Des événements non pertinents sont éliminés des graphes de dépendance (510) afin de générer un graphe de retour arrière condensé. Une origine est localisée par le retour arrière (512) à partir d’un point de détection d’attaque dans le graphe de retour arrière condensé.
Designated States: AE, AG, AL, AM, AO, AT, AU, AZ, BA, BB, BG, BH, BN, BR, BW, BY, BZ, CA, CH, CL, CN, CO, CR, CU, CZ, DE, DK, DM, DO, DZ, EC, EE, EG, ES, FI, GB, GD, GE, GH, GM, GT, HN, HR, HU, ID, IL, IN, IR, IS, JP, KE, KG, KN, KP, KR, KZ, LA, LC, LK, LR, LS, LU, LY, MA, MD, ME, MG, MK, MN, MW, MX, MY, MZ, NA, NG, NI, NO, NZ, OM, PA, PE, PG, PH, PL, PT, QA, RO, RS, RU, RW, SA, SC, SD, SE, SG, SK, SL, SM, ST, SV, SY, TH, TJ, TM, TN, TR, TT, TZ, UA, UG, US, UZ, VC, VN, ZA, ZM, ZW.
African Regional Intellectual Property Organization (BW, GH, GM, KE, LR, LS, MW, MZ, NA, RW, SD, SL, ST, SZ, TZ, UG, ZM, ZW)
Eurasian Patent Organization (AM, AZ, BY, KG, KZ, RU, TJ, TM)
European Patent Office (AL, AT, BE, BG, CH, CY, CZ, DE, DK, EE, ES, FI, FR, GB, GR, HR, HU, IE, IS, IT, LT, LU, LV, MC, MK, MT, NL, NO, PL, PT, RO, RS, SE, SI, SK, SM, TR)
African Intellectual Property Organization (BF, BJ, CF, CG, CI, CM, GA, GN, GQ, GW, KM, ML, MR, NE, SN, TD, TG).
Publication Language: English (EN)
Filing Language: English (EN)