Some content of this application is unavailable at the moment.
If this situation persist, please contact us atFeedback&Contact
1. (WO2018182969) COMPUTER SECURITY ATTACK DETECTION USING DISTRIBUTION DEPARTURE
Latest bibliographic data on file with the International Bureau    Submit observation

Pub. No.: WO/2018/182969 International Application No.: PCT/US2018/022286
Publication Date: 04.10.2018 International Filing Date: 14.03.2018
IPC:
G06F 21/50 (2013.01) ,H04L 29/06 (2006.01)
G PHYSICS
06
COMPUTING; CALCULATING; COUNTING
F
ELECTRIC DIGITAL DATA PROCESSING
21
Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
50
Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
H ELECTRICITY
04
ELECTRIC COMMUNICATION TECHNIQUE
L
TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
29
Arrangements, apparatus, circuits or systems, not covered by a single one of groups H04L1/-H04L27/136
02
Communication control; Communication processing
06
characterised by a protocol
Applicants:
MICROSOFT TECHNOLOGY LICENSING, LLC [US/US]; One Microsoft Way Redmond, Washington 98052-6399, US
Inventors:
GABAEV, Yuri; US
IWANIR, Elad; US
TAMIR, Gal; US
Agent:
MINHAS, Sandip S.; US
CHEN, Wei-Chen Nicholas; US
DRAKOS, Katherine J.; US
HINOJOSA, Brianna L.; US
HOLMES, Danielle J.; US
SWAIN, Cassandra T.; US
WONG, Thomas S.; US
CHOI, Daniel; US
HWANG, William C.; US
WIGHT, Stephen A.; US
CHATTERJEE, Aaron C.; US
Priority Data:
15/469,53926.03.2017US
Title (EN) COMPUTER SECURITY ATTACK DETECTION USING DISTRIBUTION DEPARTURE
(FR) DÉTECTION D'ATTAQUE DE SÉCURITÉ INFORMATIQUE PAR UN ÉCART DE DISTRIBUTION
Abstract:
(EN) Described technologies automatically detect computing system security attacks. Departure of occurrence distributions, which are based on leading digit(s) of digital item occurrence data, from model distributions that correspond to particular data sources, indicates a presence likelihood for particular attack types. Some model distributions exhibit Benford's Phenomenon. Described mechanisms detect security attack types such as ransomware, bitcoin mining, and others, using particular corresponding data sources such as file extensions, processor statistics, etc. Mechanisms detect security attacks without a captured baseline of healthy normal behavior, and without relying on malware code signatures. When an item occurrence distribution departs from a model distribution by at least a predefined degree, the technology elelctronically raises a security attack alert. Then countermeasures may be asserted for a possible type X security attack on the computing system. Countermeasures may include more computationally intensive tests for determining the precise extent or precise nature of an attack, for instance.
(FR) Les technologies décrites détectent automatiquement des attaques de sécurité de système informatique. L'écart de distributions d'occurrences, qui sont basées sur un ou des chiffres les plus significatifs de données d'occurrences d'entité numérique, de distributions de modèle qui correspondent à des sources de données particulières, indique une probabilité de présence de types d'attaques particuliers. Certaines distributions de modèles présentent un phénomène de Benford. L'invention concerne également des mécanismes qui détectent des types d'attaques de sécurité tels que le rançongiciel, le minage de bitcoin, et d'autres, à l'aide de sources de données correspondantes particulières telles que des extensions de fichiers, des statistiques de processeur, etc. Des mécanismes détectent des attaques de sécurité sans ligne de base capturée de comportement normal sain, et sans s'appuyer sur des signatures de code de logiciel malveillant. Lorsqu'une distribution d'occurrences d'entité s'écarte d'une distribution de modèle d'au moins un degré prédéfini, la technologie déclenche électroniquement une alerte d'attaque de sécurité. Il est ensuite possible d'établir des contre-mesures pour une attaque de sécurité de type X éventuelle sur le système informatique. Des contre-mesures peuvent comprendre des tests plus intensifs informatiquement afin de déterminer l'étendue précise ou la nature précise d'une attaque, par exemple.
front page image
Designated States: AE, AG, AL, AM, AO, AT, AU, AZ, BA, BB, BG, BH, BN, BR, BW, BY, BZ, CA, CH, CL, CN, CO, CR, CU, CZ, DE, DJ, DK, DM, DO, DZ, EC, EE, EG, ES, FI, GB, GD, GE, GH, GM, GT, HN, HR, HU, ID, IL, IN, IR, IS, JO, JP, KE, KG, KH, KN, KP, KR, KW, KZ, LA, LC, LK, LR, LS, LU, LY, MA, MD, ME, MG, MK, MN, MW, MX, MY, MZ, NA, NG, NI, NO, NZ, OM, PA, PE, PG, PH, PL, PT, QA, RO, RS, RU, RW, SA, SC, SD, SE, SG, SK, SL, SM, ST, SV, SY, TH, TJ, TM, TN, TR, TT, TZ, UA, UG, US, UZ, VC, VN, ZA, ZM, ZW
African Regional Intellectual Property Organization (ARIPO) (BW, GH, GM, KE, LR, LS, MW, MZ, NA, RW, SD, SL, ST, SZ, TZ, UG, ZM, ZW)
Eurasian Patent Office (AM, AZ, BY, KG, KZ, RU, TJ, TM)
European Patent Office (EPO) (AL, AT, BE, BG, CH, CY, CZ, DE, DK, EE, ES, FI, FR, GB, GR, HR, HU, IE, IS, IT, LT, LU, LV, MC, MK, MT, NL, NO, PL, PT, RO, RS, SE, SI, SK, SM, TR)
African Intellectual Property Organization (BF, BJ, CF, CG, CI, CM, GA, GN, GQ, GW, KM, ML, MR, NE, SN, TD, TG)
Publication Language: English (EN)
Filing Language: English (EN)