Processing

Please wait...

Settings

Settings

Goto Application

1. WO2022005706 - DEEP LEARNING-BASED ANALYSIS OF SIGNALS FOR THREAT DETECTION

Publication Number WO/2022/005706
Publication Date 06.01.2022
International Application No. PCT/US2021/036308
International Filing Date 08.06.2021
IPC
G06F 21/55 2013.1
GPHYSICS
06COMPUTING; CALCULATING OR COUNTING
FELECTRIC DIGITAL DATA PROCESSING
21Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
55Detecting local intrusion or implementing counter-measures
Applicants
  • MICROSOFT TECHNOLOGY LICENSING, LLC [US]/[US]
Inventors
  • AGRANONIK, Arie
  • KELS, Shay
  • RAZ, Ofer
Agents
  • CHOI, Daniel
  • BARKER, Doug
  • CHATTERJEE, Aaron C.
  • CHEN, Wei-Chen Nicholas
  • SWAIN, Cassandra T.
  • CHURNA, Timothy
  • DINH, Phong
  • EVANS, Patrick
  • GABRYJELSKI, Henry
  • GUPTA, Anand
  • HWANG, William C.
  • JARDINE, John S.
  • LEE, Sunah
  • LEMMON, Marcus
  • MARQUIS, Thomas
  • MEYERS, Jessica
  • ROPER, Brandon
  • SPELLMAN, Steven
  • SULLIVAN, Kevin
  • WALKER, Matt
  • WIGHT, Stephen A.
  • WISDOM, Gregg
  • WONG, Ellen
  • WONG, Thomas S.
  • ZHANG, Hannah
  • AKHTER, Julia
  • KADOURA, Judy M.
  • NIU, Bo
  • OLANIRAN, Qudus
  • BROWN, Renee
Priority Data
16/917,17730.06.2020US
Publication Language English (en)
Filing Language English (EN)
Designated States
Title
(EN) DEEP LEARNING-BASED ANALYSIS OF SIGNALS FOR THREAT DETECTION
(FR) ANALYSE BASÉE SUR L'APPRENTISSAGE PROFOND DE SIGNAUX POUR LA DÉTECTION DE MENACES
Abstract
(EN) Embodiments of the present disclosure provide systems, methods, and non-transitory computer storage media for identifying malicious behavior using a trained deep learning model. At a high level, embodiments of the present disclosure utilize a trained deep learning model that takes a sequence of ordered signals as input to generate a score that indicates whether the sequence is malicious or benign. Initially, process data is collected from a client. After the data is collected, a virtual process tree is generated based on parent and child relationships associated with the process data. Subsequently, embodiments of the present disclosure aggregate signal data with the process data such that each signal is associated with a corresponding process in a chronologically ordered sequence of events. The ordered sequence of events is vectorized and fed into the trained deep learning model to generate a score indicating the level of maliciousness of the sequence of events.
(FR) Des modes de réalisation de la présente invention concernent des systèmes, des procédés et des supports de stockage informatiques non transitoires pour identifier un comportement malveillant à l'aide d'un modèle d'apprentissage profond entraîné. À un niveau élevé, des modes de réalisation de la présente invention utilisent un modèle d'apprentissage profond entraîné qui prend une séquence de signaux ordonnés en tant qu'entrée pour générer un score qui indique si la séquence est malveillante ou bénigne. Initialement, des données de processus sont collectées à partir d'un client. Lorsque les données sont collectées, un arbre de processus virtuel est généré sur la base de relations parent et enfant associées aux données de processus. Par la suite, des modes de réalisation de la présente invention agrègent des données de signal avec les données de traitement de telle sorte que chaque signal est associé à un processus correspondant dans une séquence d'événements chronologiquement ordonnée. La séquence ordonnée d'événements est vectorisée et introduite dans le modèle d'apprentissage profond entraîné pour générer un score indiquant le niveau de malveillance de la séquence d'événements.
Related patent documents
Latest bibliographic data on file with the International Bureau