MALICIOUS ENTERPRISE BEHAVIOR DETECTION TOOL

• Main Authors: TSARFATY, Yair, NEIL, Joshua Charles, BERTIGER, Anna Swanson, KAPLAN, David Natan, ARGYLE, Evan John, GRANIT, Lior
• Format: Patent
• Language: English; French
• Published: 06.01.2022
• Subjects: CALCULATING; COMPUTING; COUNTING; ELECTRIC DIGITAL DATA PROCESSING; PHYSICS

Embodiments of the present disclosure provide systems, methods, and non-transitory computer storage media for identifying malicious enterprise behaviors within a large enterprise. At a high level, embodiments of the present disclosure identify sub-graphs of behaviors within an enterprise based on probabilistic and deterministic methods. For example, starting with the node or edge having the highest risk score, embodiments of the present disclosure iteratively crawl a list of neighbors associated with the nodes or edges to identify subsets of behaviors within an enterprise that indicate potentially malicious activity based on the risk scores of each connected node and edge. In another example, embodiments select a target node and traverse the connected nodes via edges until a root-cause condition is met. Based on the traversal, a sub-graph is identified indicating a malicious execution path of traversed nodes with associated insights indicating the meaning or activity of the node. Des modes de réalisation de la présente divulgation concernent des systèmes, des procédés et des supports de stockage informatiques non transitoires pour identifier des comportements malveillants dans une grande entreprise. À un niveau élevé, des modes de réalisation de la présente divulgation permettent d'identifier des sous-graphes de comportements dans une entreprise sur la base de procédés probabilistes et déterministes. Par exemple, en commençant par le noeud ou le bord ayant le score de risque le plus élevé, des modes de réalisation de la présente divulgation permettent de parcourir de manière itérative une liste de voisins associés aux noeuds ou aux bords pour identifier des sous-ensembles de comportements dans une entreprise, qui indiquent une activité potentiellement malveillante sur la base des scores de risque de chaque noeud et bord connectés. Dans un autre exemple, des modes de réalisation permettent de sélectionner un noeud cible et de traverser les noeuds connectés via des bords jusqu'à ce qu'une condition de cause profonde soit satisfaite. Sur la base de la traversée, un sous-graphe est identifié indiquant un chemin d'exécution malveillant de noeuds traversés avec des aperçus associés indiquant la signification ou l'activité du noeud.