MONITORING NETWORK SECURITY USING MACHINE LEARNING

System and methods for determining network threats are disclosed. For each entity operating in a network being monitored for network security, an example method obtains an observed metric value for each metric that characterizes actions performed by the entity. Each observed metric value may be inpu...

Full description

Saved in:
Bibliographic Details
Main Authors GOLDER, Scott, MUNSON, Art, HILLARD, Dustin Lundring Rigg, CAYTON, Lawrence
Format Patent
LanguageEnglish
French
Published 05.07.2018
Subjects
CALCULATING
COMPUTER SYSTEMS BASED ON SPECIFIC COMPUTATIONAL MODELS
COMPUTING
COUNTING
ELECTRIC COMMUNICATION TECHNIQUE
ELECTRIC DIGITAL DATA PROCESSING
ELECTRICITY
PHYSICS
TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHICCOMMUNICATION
Online AccessGet full text

Cover

More Information
Summary:System and methods for determining network threats are disclosed. For each entity operating in a network being monitored for network security, an example method obtains an observed metric value for each metric that characterizes actions performed by the entity. Each observed metric value may be input into a machine learning model that is specific to the metric in order to determine an anomaly score for the observed metric value that represents how anomalous the observed metric value is relative to an expected metric value for the metric. A threat score may then be determined for each entity from the anomaly scores for each metric. A security threat presentation that identifies one or more high-scoring entities according to the threat scores may be generated and provided for display on a user device. L'invention concerne un système et des procédés de détermination des menaces sur un réseau. Pour chaque entité fonctionnant dans un réseau à sécurité de réseau surveillée, un procédé donné à titre d'exemple permet d'obtenir une valeur métrique observée pour chaque mesure caractérisant des actions effectuées par l'entité. Chaque valeur métrique observée peut être entrée dans un modèle d'apprentissage automatique spécifique de la mesure afin de déterminer un score d'anomalie pour la valeur métrique observée représentant le degré d'anomalie de la valeur métrique par rapport à une valeur métrique attendue pour la mesure. Un score de menace peut ensuite être déterminé pour chaque entité à partir des scores d'anomalie pour chaque mesure. Une présentation de menace de sécurité identifiant une ou plusieurs entités à score élevé en fonction des scores de menace peut être générée et fournie pour un affichage sur un dispositif d'utilisateur.
Bibliography:Application Number: WO2017US69126