Some content of this application is unavailable at the moment.
If this situation persist, please contact us atFeedback&Contact
1. (WO2017034668) DETECTING SUSPICIOUS FILE PROSPECTING ACTIVITY FROM PATTERNS OF USER ACTIVITY
Latest bibliographic data on file with the International Bureau   

Pub. No.: WO/2017/034668 International Application No.: PCT/US2016/039910
Publication Date: 02.03.2017 International Filing Date: 28.06.2016
IPC:
G06F 21/55 (2013.01)
G PHYSICS
06
COMPUTING; CALCULATING; COUNTING
F
ELECTRIC DIGITAL DATA PROCESSING
21
Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
50
Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
55
Detecting local intrusion or implementing counter-measures
Applicants:
SYMANTEC CORPORATION [US/US]; 350 Ellis Street Mountain View, CA 94043, US
Inventors:
PARKER-WOOD, Aleatha; US
GARDNER, Andrew; US
Agent:
BRILL, Jeffrey; US
Priority Data:
14/836,80426.08.2015US
Title (EN) DETECTING SUSPICIOUS FILE PROSPECTING ACTIVITY FROM PATTERNS OF USER ACTIVITY
(FR) DÉTECTION D'UNE ACTIVITÉ DE PROSPECTION DE FICHIER SUSPECT À PARTIR DE MOTIFS D'ACTIVITÉ D'UTILISATEUR
Abstract:
(EN) Suspicious file prospecting activity is detected based on patterns of file system access. A user's file system access is monitored over a specific time period. A sequence of the file accesses (e.g., represented as path names) made by the user during the time period is recorded. Distances between the recorded file accesses are determined, for example as edit distances. A distance sequence is recorded, comprising a record of the determined distances. The distance sequence is reduced to one or more baseline statistics describing the pattern of the user's access of the file system during the given period of time. At least one subsequent anomaly in the user' s access of the file system is detected, by comparing at least one subsequently calculated statistic representing at least one subsequent pattern of the user's file system access to the at least one baseline statistic.
(FR) La présente invention concerne une activité de prospection de fichier suspect qui est détectée en se basant sur des motifs d'accès à un système de fichiers. Un accès à un système de fichiers de l'utilisateur est surveillé sur une période de temps spécifique. Une séquence des accès aux fichiers (par exemple, représentés sous la forme de noms de chemin) réalisés par l'utilisateur pendant la période de temps est enregistrée. Les distances entre les accès enregistrés aux fichiers sont déterminées, par exemple en tant que distances d'édition. Une séquence de distances est enregistrée, comprenant un enregistrement des distances déterminées. La séquence de distances est réduite à une ou plusieurs statistiques de référence décrivant le motif de l'accès de l'utilisateur au système de fichiers pendant la période de temps donnée. Au moins une anomalie ultérieure lors d'un accès de l'utilisateur au système de fichiers est détectée, en comparant au moins une statistique calculée par la suite représentant au moins un motif ultérieur de l'accès de l'utilisateur au système de fichiers à la ou aux statistiques de référence.
front page image
Designated States: AE, AG, AL, AM, AO, AT, AU, AZ, BA, BB, BG, BH, BN, BR, BW, BY, BZ, CA, CH, CL, CN, CO, CR, CU, CZ, DE, DK, DM, DO, DZ, EC, EE, EG, ES, FI, GB, GD, GE, GH, GM, GT, HN, HR, HU, ID, IL, IN, IR, IS, JP, KE, KG, KN, KP, KR, KZ, LA, LC, LK, LR, LS, LU, LY, MA, MD, ME, MG, MK, MN, MW, MX, MY, MZ, NA, NG, NI, NO, NZ, OM, PA, PE, PG, PH, PL, PT, QA, RO, RS, RU, RW, SA, SC, SD, SE, SG, SK, SL, SM, ST, SV, SY, TH, TJ, TM, TN, TR, TT, TZ, UA, UG, US, UZ, VC, VN, ZA, ZM, ZW
African Regional Intellectual Property Organization (ARIPO) (BW, GH, GM, KE, LR, LS, MW, MZ, NA, RW, SD, SL, ST, SZ, TZ, UG, ZM, ZW)
Eurasian Patent Office (AM, AZ, BY, KG, KZ, RU, TJ, TM)
European Patent Office (EPO) (AL, AT, BE, BG, CH, CY, CZ, DE, DK, EE, ES, FI, FR, GB, GR, HR, HU, IE, IS, IT, LT, LU, LV, MC, MK, MT, NL, NO, PL, PT, RO, RS, SE, SI, SK, SM, TR)
African Intellectual Property Organization (BF, BJ, CF, CG, CI, CM, GA, GN, GQ, GW, KM, ML, MR, NE, SN, TD, TG)
Publication Language: English (EN)
Filing Language: English (EN)