LAYERED ANALYSIS FOR NETWORK SECURITY RISK DETECTION

• Main Authors: PARIKH, Jugal, MOMENI MILAJERDI, Sadegh, JAKUBOWSKI, Mariusz H
• Format: Patent
• Language: English; French
• Published: 02.12.2021
• Subjects: CALCULATING; COMPUTING; COUNTING; ELECTRIC COMMUNICATION TECHNIQUE; ELECTRIC DIGITAL DATA PROCESSING; ELECTRICITY; PHYSICS; TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHICCOMMUNICATION

Events within a computer system are grouped in order to identify security threats and, in some cases, perform an action to mitigate the threat. In some aspects, a computing system event that meets a criterion, are identified. A first layer of computing resources is determined which includes computing resources referenced during the computing system event. A second layer of computing resources is then determined, the second layer including one or more of a parent process or file loaded by the first layer processes, a process writing to a file included in the first layer of computing resources, or a previous version of a file included in the first layer of computing resources. Similarities between computing resource pairs in the first and second layers are determined, and a group of high similarity pairs related to each other is identified. In some embodiments, a mitigating action is identified based on the group. Des événements dans un système informatique sont groupés afin d'identifier des menaces de sécurité et, dans certains cas, effectuer une action pour atténuer la menace. Dans certains aspects, un événement de système informatique, qui satisfait un critère, est identifié. Une première couche de ressources informatiques est déterminée, laquelle comprend des ressources informatiques référencées pendant l'événement du système informatique. Une seconde couche de ressources informatiques est ensuite déterminée, la seconde couche comprenant un ou plusieurs processus parents ou un fichier chargé par les procédés de première couche, une écriture de processus dans un fichier inclus dans la première couche de ressources informatiques, ou une version précédente d'un fichier inclus dans la première couche de ressources informatiques. Des similarités entre des paires de ressources informatiques dans les première et seconde couches sont déterminées, et un groupe de paires de similarité élevée se rapportant l'un à l'autre est identifié. Dans certains modes de réalisation, une action d'atténuation est identifiée sur la base du groupe.