BR122023023454A2 - Método para crescimento iterativo da inteligência - Google Patents
Método para crescimento iterativo da inteligência Download PDFInfo
- Publication number
- BR122023023454A2 BR122023023454A2 BR122023023454-5A BR122023023454A BR122023023454A2 BR 122023023454 A2 BR122023023454 A2 BR 122023023454A2 BR 122023023454 A BR122023023454 A BR 122023023454A BR 122023023454 A2 BR122023023454 A2 BR 122023023454A2
- Authority
- BR
- Brazil
- Prior art keywords
- security
- module
- evolution
- data
- trait
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 109
- 230000012010 growth Effects 0.000 title claims abstract description 38
- 230000004044 response Effects 0.000 claims abstract description 116
- 238000004458 analytical method Methods 0.000 claims abstract description 82
- 230000037361 pathway Effects 0.000 claims abstract description 49
- 230000003993 interaction Effects 0.000 claims abstract description 39
- 238000012544 monitoring process Methods 0.000 claims abstract description 36
- 230000003542 behavioural effect Effects 0.000 claims description 76
- 230000009471 action Effects 0.000 claims description 28
- 241000700605 Viruses Species 0.000 abstract description 72
- 230000006399 behavior Effects 0.000 abstract description 62
- 238000012552 review Methods 0.000 abstract description 39
- 230000008447 perception Effects 0.000 abstract description 36
- 238000001514 detection method Methods 0.000 abstract description 28
- 238000002955 isolation Methods 0.000 abstract description 17
- 230000007123 defense Effects 0.000 abstract description 7
- 230000008569 process Effects 0.000 description 82
- 238000007726 management method Methods 0.000 description 74
- 238000010586 diagram Methods 0.000 description 51
- 230000003068 static effect Effects 0.000 description 44
- 230000006870 function Effects 0.000 description 31
- 239000000203 mixture Substances 0.000 description 31
- 230000008520 organization Effects 0.000 description 24
- 238000012545 processing Methods 0.000 description 21
- 238000012502 risk assessment Methods 0.000 description 21
- 238000011835 investigation Methods 0.000 description 15
- 238000012546 transfer Methods 0.000 description 13
- 230000000694 effects Effects 0.000 description 12
- 238000012913 prioritisation Methods 0.000 description 12
- 238000012986 modification Methods 0.000 description 11
- 230000004048 modification Effects 0.000 description 11
- 241000282412 Homo Species 0.000 description 10
- 230000007773 growth pattern Effects 0.000 description 10
- 230000007774 longterm Effects 0.000 description 10
- 238000006243 chemical reaction Methods 0.000 description 9
- 230000005540 biological transmission Effects 0.000 description 8
- 238000012795 verification Methods 0.000 description 8
- 239000008186 active pharmaceutical agent Substances 0.000 description 7
- 230000007704 transition Effects 0.000 description 7
- 238000013473 artificial intelligence Methods 0.000 description 6
- 230000008859 change Effects 0.000 description 6
- 230000000739 chaotic effect Effects 0.000 description 6
- 230000001419 dependent effect Effects 0.000 description 6
- 230000003449 preventive effect Effects 0.000 description 6
- 238000012360 testing method Methods 0.000 description 6
- 230000002547 anomalous effect Effects 0.000 description 5
- 230000008901 benefit Effects 0.000 description 5
- 238000011161 development Methods 0.000 description 5
- 230000018109 developmental process Effects 0.000 description 5
- 230000010354 integration Effects 0.000 description 5
- 238000012216 screening Methods 0.000 description 5
- 238000003860 storage Methods 0.000 description 5
- 230000000875 corresponding effect Effects 0.000 description 4
- 238000005259 measurement Methods 0.000 description 4
- 239000003795 chemical substances by application Substances 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 230000002596 correlated effect Effects 0.000 description 3
- 238000009826 distribution Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 230000010365 information processing Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000002156 mixing Methods 0.000 description 3
- 230000007935 neutral effect Effects 0.000 description 3
- 238000004088 simulation Methods 0.000 description 3
- 230000001960 triggered effect Effects 0.000 description 3
- 230000000007 visual effect Effects 0.000 description 3
- 230000002776 aggregation Effects 0.000 description 2
- 238000004220 aggregation Methods 0.000 description 2
- 230000009118 appropriate response Effects 0.000 description 2
- 230000015572 biosynthetic process Effects 0.000 description 2
- 230000001010 compromised effect Effects 0.000 description 2
- 238000007405 data analysis Methods 0.000 description 2
- 238000000151 deposition Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 239000000446 fuel Substances 0.000 description 2
- 230000008570 general process Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000010223 real-time analysis Methods 0.000 description 2
- 230000002829 reductive effect Effects 0.000 description 2
- 230000002441 reversible effect Effects 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 239000013598 vector Substances 0.000 description 2
- 238000012800 visualization Methods 0.000 description 2
- 235000004522 Pentaglottis sempervirens Nutrition 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000001364 causal effect Effects 0.000 description 1
- 208000014797 chronic intestinal pseudoobstruction Diseases 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 238000012936 correction and preventive action Methods 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 239000000945 filler Substances 0.000 description 1
- 238000011049 filling Methods 0.000 description 1
- 238000011842 forensic investigation Methods 0.000 description 1
- 231100001261 hazardous Toxicity 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000011068 loading method Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000003278 mimic effect Effects 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 238000010397 one-hybrid screening Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000002250 progressing effect Effects 0.000 description 1
- 238000005067 remediation Methods 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 238000005204 segregation Methods 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
- 238000012559 user support system Methods 0.000 description 1
Abstract
Método e dispositivo para gerenciamento de segurança em uma rede de computadores que inclui algoritmos de crescimento de inteligência iterativa, evolução iterativa e vias de evolução; subalgoritmos de identificador de tipo de informação, detecção de conspiração, digitalizador de mídia, análise de isolamento de privilégio, gerenciamento de risco ao usuário e gerenciamento de entidades externas; e módulos de comportamento de segurança, criatividade, ameaça artificial, orientação de crescimento automatizado, analisador de resposta/genérico, módulo de revisão de segurança e sistema de interação de monitoramento. As aplicações incluem rastreamento previsto de vírus de computador, retribuição de inteligência clandestina através de operações ocultas no espaço virtual, defesa anterior em tempo real da base de dados zero logicamente inferida, proteção e retribuição de infraestrutura crítica através de nuvem e segurança de informações escalonadas, e pensamento crítico, memória e percepção
Description
[001] O presente pedido reivindica a prioridade do Pedido Provisório No 62/156.884, depositado em 4 de maio de 2015, intitulado Método e dispositivo para gerenciamento de segurança em uma rede de computadores; o Pedido Provisório No 62/198.091, depositado em 28 de julho de 2015, intitulado Algoritmo de segurança virtual; Pedido Provisório No 62/206.675, depositado em 18 de agosto de 2015, intitulado Subalgoritmos de segurança virtual; Pedido Provisório No 62/210.546, depositado em 27 de agosto de 2015, intitulado CIPO com base em crescimento de inteligência iterativa e evolução iterativa; Pedido Provisório No 62/220.914, depositado em 18 de setembro de 2015, intitulado Suite de segurança virtual; Pedido Provisório No 62/286.437, depositado em 24 de janeiro de 2016, intitulado Retribuição de inteligência de máquina clandestina através de operações secretas no espaço virtual; Pedido Provisório No 62/294.258, depositado em 11 de fevereiro de 2016, intitulado Base de dados zero logicamente inferida de defesa previamente em tempo real; Pedido Provisório No 62/307.558, depositado em 13 de março de 2016, intitulado Proteção e retribuição de infraestrutura crítica (CIPR) através de segurança de informação em nuvem e escalonada (CTIS); Pedido Provisório No 62/323.657, depositado em 16 de abril de 2016, intitulado Memória e percepção de pensamento crítico (CTMP), cujas revelações são incorporadas por referência conforme aqui estabelecidas.
[002] A presente invenção está relacionada a uma estrutura para automatização do processo manual de alerta de segurança virtual ou verificação e processamento de evento. Mais especificamente, a presente invenção está relacionada a um sistema para examinar eventos/dados de forma metódica ao separar em partes e estudar suas correlações a fim de realizar medida corretiva.
[003] De acordo com o relatório da FireEye, Inc., O jogo de números: Quantos alertas são demais para manusear, devido ao número rapidamente crescente de alertas de segurança, as organizações apresentam dificuldade em gerenciar e agir em alertas de segurança de uma forma oportuna e eficaz. Mesmo quando os alertas são capturados e classificados corretamente, o grande volume é esmagador. E quando não são respondidos rapidamente, as consequências podem ser desastrosas. O volume elevado de alertas exige um nível de gerenciamento que excede o que a maioria das empresas é capaz de manter de forma realista. A equipe de segurança enfrenta em todos os níveis vagando por dados, alarmes falsos e alertas duplicados. Apesar de as equipes de segurança filtrarem dados ruidosos e alertas de refugo, muito ainda precisa ser endereçado aos níveis superiores. Nos EUA, 37% das organizações enfrentam mais de 50k de alertas por mês. Os especialistas de segurança em TI que respondem são normalmente encarregados com diversas responsabilidades de segurança, porém, o que faz com que os alertas perdidos sejam mais prováveis. Quando os analistas não têm tempo suficiente para analisar completamente os alertas devido ao excesso de função, ou não são especialistas em investigação de alerta, resulta em erros dispendiosos. O ruído é uma questão significativa, com mais da metade dos alertas sendo falso positivos. Este número provavelmente seria ainda maior se os alertas não tiverem sido correlacionados desduplicados, uma vez que mais de um terço deles é redundante. Tudo isto se soma a um cenário onde as plataformas estão gerando dados excessivos, que são simplesmente ineficazes. Pior ainda, estão desperdiçando horas preciosas para rever tudo. Este processo de revisão é dispendioso. Menos de 60% das empresas possuem um processo para ignorar automaticamente os alertas redundantes, o que significa que estão respondendo mutuamente a alertas que contêm um evento real malicioso menos da metade do tempo. As revisões de alertas críticos são apenas a primeira etapa. Em seguida, os analistas precisam identificar se um alerta é um ataque real, remediar quaisquer sistemas comprometidos e concluir as investigações forenses para atenuar os danos. Qualquer atraso no tempo de revisão inicial retarda todo o processo. Os alertas devem ser precisamente classificados para o sucesso final. Se um alerta crítico é rotulado como baixa prioridade e não recebe uma resposta rápida, pode provar-se desastroso. Muito frequentemente, as empresas estão simplesmente tentando prosseguir em vez de determinar como melhorar o processo. Caso sejam realocados recursos, o gerenciamento de alerta pode tornar-se ágil e eficiente. As organizações precisam considerar alternativas que incluem teste pró-ativo, revisão de política e novas iniciativas para gerenciar melhor o processo de alerta.
[004] US 8776241 B2 para Zaitsev revela um sistema de análise automática de segurança relacionado a incidentes em redes de computadores, o que inclui um módulo de coleta de evento, um módulo de análise de evento e um módulo de solução. O módulo de coleta de evento obtém informações relacionadas ao incidente a partir de uma pluralidade de computadores de clientes. O módulo de análise de evento reconstrói uma cadeia de eventos casualmente relacionados ao primeiro incidente, e indicativo de uma causa principal do primeiro incidente com base nas informações relacionadas ao incidente. O módulo de solução formula uma recomendação para o uso pelo computador do cliente. A recomendação é baseada na cadeia de eventos e inclui ação corretiva/preventiva para responder ao primeiro incidente.
[005] US 20060191007 A1, por Thielamay, revela uma estrutura de monitoramento e gerenciamento de segurança automatizada que inclui um centro de gerenciamento central, um módulo de posição de segurança que reúne informações de hardware e software em uma base de dados centralizada, um módulo de audição que pesquisa um ambiente para conhecer as fraquezas na segurança, um módulo de análise de risco que obtém e processa avisos de segurança, um módulo de painel executivo para visualizar a saúde de segurança da rede, um módulo de análise de risco que provê métricas predefinidas para analisar riscos ao sistema, um módulo de emissão de problemas para o armazenamento e rastreio de problemas à segurança reais e do histórico, um módulo de resolução que analisa e resolve problemas na infraestrutura, um módulo de mecanismo de correlação que compara os dados e garante a uniformidade no ambiente; e um módulo de descoberta de incidente que identifica as técnicas usadas por pessoas não autorizadas na tentativa de comprometer um sistema.
[006] US 8457996 B2, para Winkler et al., revela uma estrutura de gerenciamento de continuidade empresarial baseada em modelo. Um manipulador de modelo de processo empresarial determina um modelo de processo empresarial que inclui tarefas dispostas de acordo com um gráfico dirigido. Algumas das tarefas estão associadas a exigências para executar as tarefas. Um manipulador de modelo de topologia da tecnologia da informação determina um modelo de topologia de tecnologia da informação com recursos conectados usados para realizar pelo menos algumas das tarefas. Um gerador de modelo comportamental determina os comportamentos dos recursos a partir de uma biblioteca de informações comportamentais, e gera um modelo comportamental no qual as tarefas e suas respectivas exigências estão conectadas aos recursos e aos seus respectivos comportamentos. Um analisador de continuidade provê uma análise de continuidade com base no modelo comportamental.
[007] US 7921459 B2, para Houston et al., revela um sistema e método para gerenciamento de eventos de segurança em uma rede. O sistema emprega um módulo de software de gerenciamento de evento que coleta dados dos dispositivos de segurança localizados na rede informática monitorada. No processamento dos dados de evento de segurança, o módulo gestor de evento pode formatar os dados e criar resumos gerenciáveis dos dados. O gestor de evento também suporta o armazenamento dos dados de evento de segurança e os resultados de qualquer processamento relacionado nos dados. Os dados de evento de segurança podem ser identificados pelo gestor de evento para uso ao responder a um evento de segurança. US 8209759 B2 para Newton et al. revela um gestor de incidente de segurança, que inclui eventos e fluxos de rede na análise de um ataque. Os eventos brutos são relatados pelos dispositivos monitorados e o gerenciador de incidente pode solicitar fluxos de rede de diversos dispositivos que correspondem a um evento bruto. O gerenciador então designa uma pontuação variável à gravidade, à relevância e à credibilidade do evento para determinar suas próximas etapas de processamento. Estes eventos que parecem ser um ataque provável e efetivo são classificados como infrações.
[008] Um objetivo da presente invenção é prover uma estrutura de segurança de rede que realize análise de googol ou googolplex de eventos e alertas por segundo a fim de determinar incidentes verdadeiros e a realização subsequente seleção nos incidentes verdadeiros com base no tipo de incidente diverso ou critérios limiares para encaminhá-lo à parte relevante/autorizada/designada para o manuseio final e/ou manuseio/realização automática de ação corretiva.
[009] Um programa de rastreio de segurança é instalado em cada um dos dispositivos informáticos. O programa de rastreio de segurança rastreia o tráfego da rede através do dispositivo informático para descobrir um possível incidente. Quando o programa de rastreio de segurança encontra um possível incidente em determinadas regras de rastreio, o programa de rastreio de segurança gera um alerta. O segundo módulo de nível realiza uma solução de resposta para modificar as regras de rastreio caso o possível incidente não seja definido como um incidente; e gerar e enviar um relatório de resposta de regras de rastreio aos dispositivos informáticos. O relatório de resposta às regras de rastreio compreende a solução de resposta para modificar as regras de rastreio.
[010] O primeiro critério de filtragem é falso positivo. O primeiro módulo de hierarquia gera e envia um relatório falso positivo aos programas de rastreio de segurança dos dispositivos informáticos, se o possível incidente é considerado um falso positivo. O relatório de falso positivo compreende uma solução para modificar as regras de rastreio.
[011] O primeiro módulo de nível preenche um formulário de avaliação de incidente predeterminado que descreve o possível incidente; e verifica o formulário de avaliação de incidente preenchido sob as regras de verificação de formulário predeterminado. O formulário de avaliação de incidente predeterminado e as regras de verificação de formulário predeterminado estão relacionados a uma categoria que é diferente para cada um dos departamentos designados.
[012] O servidor de segurança da presente invenção analisa um alerta ou evento de segurança e realização a seleção (categoriza, correlaciona, prioriza, designa eventos a alguém (jurídico, RH, Confidencial, Revelação, Segurança virtual, Política, Operações, CSIRC, SOC, Inspetor Geral, Segurança, etc.) para mais investigação e resposta) com base nas necessidades e exigências de diversas divisões operacionais comerciais e funcionais de uma empresa/organização ou realiza medida corretiva com base nas exigências das divisões operacionais comerciais ou funcionais de uma empresa/organização para remediar o risco à segurança e prover/utilizar informações forenses disponíveis para mitigar danos.
[013] O sistema da presente invenção pode ser executado em um dispositivo (ou seja, servidor ou outra máquina para menores implantações) ou pode ser realizado em um ambiente com base em nuvem virtual (para muitos clientes) ou dedicada (para cada cliente individual) a fim de processar dezenas de googol ou googolplex de eventos e alertas por segundo.
[014] PRINCIPAIS ATRIBUTOS DA INVENÇÃO SÃO OS
[015] O sistema revela o que aconteceu a fim de permitir contenção imediata através de análise dos eventos e alertas.
[016] O sistema reduz o tempo para o processo forense em milisegundos, segundos e/ou minutos para compreender o elemento humano do incidente através da automatização a fim de determinar: a. O que foi realizado b. Por que foi realizado c. Onde ocorreu d. Quando ocorreu e. Como ocorreu f. Quem realizou g. Atribuição relacionada ao incidente/ataque à segurança virtual i. É crítico para a empresa/organização/entidade ii. Ou apenas um indivíduo ou grupo de “piratas cibernéticos” por diversão (os dados não são de natureza confidencial, etc.) iii. Outros
[017] 3) O sistema decide como incluir qualquer impacto imediatamente e tratar as vulnerabilidades a fim de evitar que aconteçam novamente.
[018] Um evento de segurança é uma alteração nas operações diárias de uma rede ou serviço de tecnologia da informação, indicando que uma política de segurança pode ter sido violada ou uma proteção de segurança pode ter falhado.
[019] A primeira indicação de um evento pode vir de um alerta definido pelo software ou por usuários finais que notificam um suporte ao usuário de que os serviços da rede foram desacelerados.
[020] Os dispositivos informáticos incluem qualquer gerador ou dispositivo de evento de segurança: roteador, Computador (laptop, PC, tablet, etc.), dispositivo móvel, etc.
[021] A análise de verificação de incidente humano no segundo módulo hierárquico pode ser realizada pelo ser humano ou pelo Analisador de evento de segurança, automatizando, assim, todo ciclo de análise de evento de segurança da geração de evento para ação corretiva para garantir precisão, eficiência e eficácia.
[022] Os principais pontos da presente invenção são os seguintes: (1) abordagem hierárquica para análise de informação, (2) nível de granularidade dentro de cada hierarquia, (3) granularidade específica ao departamento, (4) análise automatizada de todo o ciclo do evento de segurança desde a geração de evento até a medida corretiva com base na organização e exigências e políticas específicas a cada departamento individual (dentro da organização, por exemplo, Inspetor Geral, Jurídico, Financeiro, Sigilo, Segurança de Rede, etc.).
[023] Para atingir o objetivo, a presente invenção provê um sistema de segurança informática que processa um evento de segurança compreendendo um módulo comportamental que compreende uma pluralidade de subalgoritmos, em que cada subalgoritmo corresponde a uma categoria predeterminada, a qual está relacionada a uma questão de segurança predeterminada; e um módulo de combinação que provê uma análise de segurança com base saída do módulo comportamental.
[024] Os subalgoritmos são executados em paralelo, e cada um dos subalgoritmos processa entrada e produz saída. Uma solicitação de processamento de informação é enviada a pelo menos um subalgoritmo, em que cada subalgoritmo processa os dados do evento de segurança, em que o resultado de cada um dos subalgoritmos é armazenado em uma base de dados para o subalgoritmo.
[025] O sistema compreende ainda um filtro de confiança elevada que filtra os resultados dos subalgoritmos que estão acima de um nível de confiança predeterminado. Uma solicitação de combinação é enviada ao algoritmo de combinação, em que o algoritmo de combinação combina dois ou mais subalgoritmos, dependendo do tipo da solicitação de combinação, em que o algoritmo de combinação seleciona o resultado com base em um critério predeterminado.
[026] O sistema compreende ainda um módulo de categorização que determina a categoria do evento de segurança com base na combinação de política e comportamento, e um módulo de correspondência de padrão que filtra o evento de segurança com base no padrão comportamental do evento de segurança, e em que o módulo de categorização que determina a categoria do evento filtrado a partir do módulo de correspondência de padrão.
[027] O módulo comportamental é conectado a uma base de dados comportamental, em que a base de dados comportamental armazena metadados que compreendem a pluralidade de categorias. Cada uma das categorias compreende uma identificação de referência, um primeiro conceito, um segundo conceito e um índice de associação determinado pelo algoritmo. O sistema compreende ainda um módulo de saneamento que filtra um evento recebido com base em uma política de saneamento.
[028] A presente invenção provê ainda um sistema de segurança virtual que compreende um subalgoritmo de detecção de conspiração, que verifica o histórico de diversos eventos de segurança, e determina padrões e correlações entre os eventos de segurança; e um subalgoritmo identificador do tipo de informação, que determina o tipo de dados desconhecidos, e declara sua confiança no tipo de dados que foi escolhido, e devolve um sinal de falha caso a confiança seja menor que um nível predeterminado.
[029] No subalgoritmo de detecção de conspiração, o evento de segurança é analisado pelo subalgoritmo identificador do tipo de informação, que origina atributos relevantes do evento de segurança, em que os atributos são verificados pela política externa e interpretação comportamental para observar se o evento passa o limiar a ser processado.
[030] Os atributos de evento derivado para o evento de segurança são armazenados em uma base de dados específica, em que todas as combinações para os atributos de evento derivado são realizadas, em que as combinações são selecionadas pela regra de auxílio predeterminada, em que as combinações selecionadas são consultadas em oposição à base de dados específica para fatores de similaridade predeterminados.
[031] Os fatores de similaridade predeterminados incluem possuir o mesmo SSN e horário de dia de ocorrência, inclusive a mesma faixa de sub-rede IP LAN e número de telefone pessoal e endereço pessoal, inclusive o mesmo nome de domínio em diferentes endereços de email, e inclusive um nome de domínio e o endereço IP que se supõem destacar para lutar contra nomes de domínio fantasma. Os resultados verificados pelo subalgoritmo de detecção de conspiração são notificados a um painel de gerenciamento.
[032] O sistema compreende ainda um subalgoritmo de gerenciamento de entidades externas, que atualiza ou desvaloriza a gravidade das ameaças externas com base nas solicitações das ameaças externas feitas a uma rede isolada de uma empresa, e recebe informações de terceiros para aumentar sua percepção de ameaças externas, e um subalgoritmo de gerenciamento de risco ao usuário, que determina a avaliação de risco geral para um registro de usuário com base em fatores de risco predeterminados.
[033] No subalgoritmo de gerenciamento de entidades externas, um evento de segurança é analisado pelo subalgoritmo identificador do tipo de informação para originar uma origem e usuário de rede envolvidos para o evento de segurança, em que a origem de rede do evento de segurança é verificada quanto a uma lista de vigilância de segurança, em que se as informações do usuário foram descobertas na lista de vigilância de segurança, então o usuário é verificado pelo subalgoritmo de avaliação de risco ao usuário. Os resultados de verificação são considerados e agregados com base nos limiares predeterminados que são influenciados pela política e comportamento externos, em que os resultados agregados são armazenados em uma base de dados específica.
[034] No subalgoritmo identificador do tipo de informação, para os dados desconhecidos providos, entrada em massa é oferecida para fins de paralelização. O subalgoritmo identificador do tipo de informação extrai os atributos dos dados desconhecidos, inclusive comprimento, número, proporção de letra e caracteres especiais. Os atributos extraídos são comparados aos pontos dos dados da base de dados, que são selecionados para comparação. O cache é verificado primeiro para comparações. O subalgoritmo identificador do tipo de informação processa os resultados comparados quanto aos níveis de confiança. Se o nível de confiança dos resultados é menor que um limiar predeterminado, os resultados são corte, em que o limiar predeterminado pode ser dinâmico. A detecção de padrão é realizada para correlacionar a afinidade de tipo com composição de atributo, em que os padrões de confiança elevados são armazenados no cache, em que a base de dados não contém padrões calculados, mas contém correlações estáticas entre o tipo e o atributo. Os resultados processados são compilados para se adaptarem ao API e os resultados compilados são produzidos.
[035] O sistema compreende ainda um subalgoritmo digitalizador de mídia, que digitaliza uma determinada mídia e verifica quanto a transferência de informações ilegais e comportamento inconsistente/suspeito para a composição esperada de tal mídia. No subalgoritmo digitalizador de mídia, uma análise de mídia é realizada para destacar pontos suspeitos de informação na determinada mídia, em que os pontos suspeitos podem ser ocultos em metadados, ou no formato básico da mídia, em que os dados e metadados da mídia são digitalizados.
[036] Os pontos suspeitos de informações são processados pelo subalgoritmo identificador do tipo de informação, em que as identidades do usuário assim processadas passam pelo subalgoritmo de gerenciamento de risco ao usuário, em que todas as demais informações passam por um analisador genérico. O analisador genérico interage com uma base de dados de objetos de risco para descobrir associações perigosas que estão no arquivo. Caso seja descoberta uma associação perigosa, bloqueia-se a mídia de ser transferida, cria-se um objeto de risco e o subalgoritmo de gerenciamento de risco ao usuário é notificado sobre o envolvimento de usuário relevante com o evento de segurança. Os resultados processados são combinados e analisados para produzirem uma decisão de se bloquear ou permitir a mídia.
[037] O sistema compreende ainda um subalgoritmo de análise de isolamento de privilégio, que determina se um usuário ou processo encontra-se dentro de sua atribuição de privilégio permitido, que é constantemente acionada, e relata quaisquer violações de privilégio confirmadas a um processo principal e um processo secundário que verifica duplamente que o processo principal tomou medidas para as violações. No subalgoritmo de análise de isolamento de privilégio, um evento de permissão ao usuário é enviado, um código de identificação de usuário e localização solicitada de acesso/modificação é extraída pelo subalgoritmo identificador do tipo de informação e enviada a um gerenciador de ameaça. O gerenciador de ameaça compreende um gerenciador de ameaça de localização, que recebe as informações de localização e aciona uma base de dados de localização para a qual se permite acessar/modificar.
[038] Um banco de permissão de localização recebe as solicitações de permissão de localização pela base de dados específica 2, e é consultado quanto a uma ameaça que decide se determinadas localizações devem ser bloqueadas como uma precaução devido a um risco à segurança de usuário, em que o limiar para o nível de precaução é determinado por meio de política externa e comportamento. O gerenciador de ameaça compreende um gerenciador de ameaça ao usuário, que recebe as informações do usuário e aciona uma base de dados do usuário para a qual se permite acessar/modificar as localizações, e aciona o subalgoritmo de gerenciamento de risco ao usuário para obter localizações perigosas que devem ser bloqueadas para o usuário em uma política preventiva.
[039] Um banco de permissão ao usuário recebe os atributos de permissão do usuário pela base de dados específica 1, e é consultado pelo gerenciados de ameaça de localização para observar se é permitido ao usuário realizar a ação solicitada nesta localização. Um agregador de permissões combina logicamente os resultados pelo gerenciados de ameaça de localização e o gerenciador de ameaça ao usuário, e produz o resultado combinado.
[040] No subalgoritmo de gerenciamento de risco ao usuário, os fatores de risco predeterminados incluem violações à política anterior, uso excessivo e operações suspeitas promovidas. Um código de identificação de usuário é recebido, e uma porcentagem de avaliação de risco geral com uma pluralidade de objetos relacionados que são de interesse de risco é produzida, em que os objetos podem ser acessados independentemente por meio de outros subalgoritmos para análise adicional. Um objeto de risco que está relacionado ao usuário é recebido, em que a associação do usuário com o objeto de risco é registrada. Um código de identificação de usuário é provido para gerar um relatório de avaliação de risco ou depositar uma referência de objeto de risco, em que o histórico de risco de um usuário é construído com as referências de objeto de risco depositadas.
[041] Caso seja provida uma referência de objeto de risco, é realizado então o depósito na base de dados para referência futura. Caso não seja realizado nenhum depósito de referência de objeto de risco, e o gerenciador de ameaça solicita que um relatório seja realizado, em que uma identificação de usuário relevante é consultada em uma base de dados específica para avaliar o histórico de risco do usuário. As taxas de risco são recuperadas de uma base de dados específica, que fornece uma classificação de risco para objetos de risco, em que o uso das taxas de risco e os objetos de risco recuperados, um relatório conjunto final é produzido e enviado para a saída, em que um índice de risco principal abrangente também é enviado para a saída para identificar um fator de risco imediato do usuário.
[042] A invenção provê ainda um método para crescimento iterativo inteligente que compreende as etapas de recebimento de entrada de um conjunto de regras inicial; recebimento de entrada de uma pluralidade de traços pessoais, em que os traços pessoais definem as características reacionárias que devem ser exercidas nos eventos de segurança; escolha de um traço pessoal e designação do traço pessoal a uma via de evolução; repetição da via anterior para outras vias de evolução para todas as características pessoais; e execução das vias de evolução, em que cada uma das vias de evolução desenvolve uma pluralidade de gerações de acordo com seu determinado traço de personalidade. A operação de cada uma das vias de evolução é virtualmente isolada da operação das outras vias de evolução.
[043] Os traços pessoais compreendem i) um traço realista que usa tempo de CPU baseado no grau de correlação; ii) um traço desfavorável que usa o tempo de CPU com base em se houve um incidente de segurança anterior para uma determinada entidade, que compreende um sistema individual ou de informática; iii) um traço oportunista que usa o tempo de CPU com base na disponibilidade de uma medida corretiva; ou iv) um traço rigoroso ou prudente que usa o tempo de CPU com base em pouco perdão ou tolerância de suposição. O tempo de CPU é medido em ciclos/segundo de CPU.
[044] Um sistema de monitoramento e interação injeta os eventos de segurança a partir de um sistema de ameaça a artificial (AST) para as vias de evolução, e retransmite as respostas de segurança associadas aos eventos de segurança de uma nuvem de comportamento de segurança, em que caso qualquer uma das vias de evolução atinja um estado indefinido de ser incapaz de solucionar o determinado problema de segurança, a execução da via de evolução é abandonada, em que o traço de personalidade da via de evolução abandonada é modificado, em que o traço de personalidade modificado é designado à outra via de evolução e o evento de segurança da via de evolução abandonada é injetada em outra via de evolução, e em que a outra via de evolução é executada, em que o sistema de monitoramento e interação produz o desempenho das vias de evolução, e recebe a entrada para modificação do traço pessoal.
[045] Um módulo de referência cruzada analisa um sistema de segurança para um determinado evento de segurança, decide se a resposta do sistema de segurança é significativa, envia a resposta do sistema de segurança a um módulo de marcação de ameaça. O módulo de marcação de ameaça classifica a resposta do sistema de segurança de acordo com os tipos de personalidade providos ao módulo de marcação de ameaça. Um módulo de interação de traço analisa a correlação entre os traços de personalidade, em que o resultado da análise é enviado à nuvem de comportamento de segurança, em que a nuvem de comportamento de segurança envia o resultado da análise ao sistema de monitoramento e interação.
[046] A invenção provê ainda um sistema de identificação, integração e análise de inteligência de ameaça virtual que compreende um seletor inteligente que recebe duas formas principais, em que as formas principais representam constructos abstratos de dados, e combina as duas formas principais em uma forma híbrida; um módulo de modo que define o tipo de um algoritmo no qual o sistema é usado, em que o seletor inteligente decide as partes a combinar com base no tipo do algoritmo; e um módulo de critérios estáticos que recebe a entrada de dados de personalização para quais formas devem ser combinadas. Os dados de personalização compreendem priorizações de classificação, proporções desejadas de dados e dados para combinação direta que são dependentes do tipo de algoritmo definido pelo módulo de modo.
[047] O seletor inteligente compreende um módulo de comparação básica que realiza a comparação básica nas duas formas principais com base nos dados de personalização providos pelo módulo de critérios estáticos, em que o módulo de comparação básica produz alterações e não alterações, em que o seletor inteligente classifica a importância das alterações com base nos dados de personalização, em que as alterações e as não alterações são combinadas em uma forma híbrida com base nos dados de personalização dos critérios estáticos e no tipo do algoritmo do modo, em que a combinação compreende o ajuste de distribuição de proporção de dados, importância de dados e relação entre os dados, em que um modo de proporção, um modo de prioridade e um modo de estilo são pré-ajustados no sistema.
[048] No modo de proporção, a quantidade de informações de sobreposição é filtrada de acordo com a proporção estabelecida pelos Critérios Estatísticos, em que se a proporção é estabelecida como grande, então uma grande quantidade de dados de forma que permaneceu compatível será combinada na forma híbrida, em que se a proporção é estabelecida como pequena, então a maioria da forma híbrida será construída para ter uma forma muito diferente de suas iterações anteriores. No modo de prioridade, quando os conjuntos de dados competem para definir um recurso no mesmo local no formulário, ocorre um processo de priorização para escolher quais recursos são mais evidentes e quais estão sobrepostos e ocultos, em que quando apenas uma ameaça pode ocupar na forma híbrida, ocorre um processo de priorização. No modo de estilo, a forma na qual os pontos de sobreposição são combinados, em que os Critérios Estáticos e o modo direcionam este módulo a preferir uma determinada combinação em vez de outra.
[049] Uma composição de traço e os Pontos de Interesse (POI) de segurança indexada são providos para consultar eventos de segurança com suas respostas, em que os POIs são armazenados em um grupo de POI de segurança e os POIs são ligados ao índice de traço, em que quando um traço de personalidade em relação a uma questão de segurança é consultado, os POIs relevantes são procurados no grupo de POI e o armazenamento de Evento e Resposta relevante é recuperado e devolvido, em que em um módulo de interface de POI, os traços pessoais estão associados aos POIs.
[050] O sistema compreende ainda um analisador de resposta, que compreende um módulo de referência cruzada, no qual aqueles dados que descrevem um evento de segurança e uma resposta ao evento de segurança são recebidos; o módulo comportamental de segurança provê POI conhecido, e entrada para um traço de personalidade marcado para um evento de segurança é recebido; um módulo de marcação de traço que associa a resposta de segurança ao traço pessoal com base na descrição do traço pessoal e correlação de padrão a partir do último comportamento de segurança; e um módulo de interação de traço que recebe uma composição de traço a partir do módulo de marcação de traço e avalia sua compatibilidade interna. O evento de segurança, resposta, traço são armazenados na nuvem comportamental de segurança.
[051] Um conjunto de regra de segurança é testado com uma exploração artificial, em que após ser realizada a exploração, o módulo de resposta de resultado provê o resultado caso a exploração seja trabalhada e caso deva ser incorporada à base de dados de Exploração, em que o módulo de liberação de informação provê detalhes ao módulo de criatividade para como a próxima exploração deve se parecer, em que as informações são combinadas entre o módulo de liberação de informação e a base de dados de exploração, em que a exploração é realizada como um grupo no qual todas as vias de evolução são testadas em paralelo e simultaneamente com a mesma exploração, em que o módulo de criatividade produz uma exploração híbrida que usa as forças de explorações anteriores e evita fraqueza conhecida nas explorações com base no resultado pelo módulo de liberação de informação.
[052] Um módulo de gerenciamento de supervisão monitora os desenvolvimentos em um armazenamento de exploração e uso, em que as explorações são produzidas/modificadas/removidas pelas entradas externas, em que as explorações são armazenadas com o histórico comportamental conhecido que descreve como as explorações foram realizadas no passado em determinadas condições e importância de exploração.
[053] O sistema compreende ainda um sistema de monitoramento/interação, no qual o módulo de criatividade produz a próxima geração para uma via, em que duas formas de entrada são comportamento de segurança compilado a partir da nuvem comportamental de segurança, e variáveis de um módulo de revisão de segurança, em que a forma híbrida resultante é enviada a um processador de iteração, em que o processador de iteração processa a forma híbrida enviada do módulo de criatividade, e monta uma nova geração, e carrega a nova geração na via de evolução relevante, em que o módulo de revisão de segurança recebe variáveis de relatório da via de evolução, e avalia seu desempenho de segurança contra o sistema de Ameaça à Segurança Artificial (AST), produz relatório para revisão adicional e envia o relatório ao módulo de criatividade para repetir a próxima geração, em que a nuvem comportamental de segurança fornece eventos e respostas relevantes ao módulo de revisão de segurança, em que os critérios são determinados por meio de uma consulta ao índice de traço, em que se uma boa avaliação de desempenho é recebida, o módulo de revisão de segurança tenta encontrar uma melhor exploração para romper a exploração na nuvem comportamental de segurança, em que a composição de traços é provida à nuvem comportamental de segurança e a nuvem comportamental de segurança provê a composição de traços ao módulo de criatividade para guiar como o conjunto de regra de geração deve ser composto.
[054] Um sistema de orientação de crescimento automatizado interfere entre o controle externo e o sistema de monitoramento e interação, em que um tipo de módulo detecta qual é o comportamento de módulo desejado, e em que a resposta forçada é uma resposta por módulo que informa sobre sua atual condição sempre que recebe novas instruções, em que as variáveis principais de nível elevado são inseridas externamente aos critérios estáticos, em que o módulo de criatividade difere um novo resultado desejado após ter recebido o resultado desejado anterior e o resultado real, em que o resultado real que compreende o status e o estado do módulo controlado é armazenado na base de dados de rastreamento de módulo, em que a base de dados de rastreamento de módulo é preenchida pelo módulo e pelo módulo de criatividade, em que a base de dados de rastreamento de módulo provê uma forma de entrada ao módulo de criatividade que reflete internamente o padrão de crescimento escolhido para o módulo controlado, em que o módulo de criatividade envia os novos controles para o módulo, ao rastreador de módulo e o próprio módulo, em que os módulos são controlados em paralelo, exceto se o rastreamento de módulo opera em um modo único e é dividido para lidar com diversos módulos simultaneamente, em que a resposta do módulo controlado, que compreende informações derivadas do histórico de módulo real, é armazenada na base de dados realista, em que a base de dados teórica contém controles teóricos para o módulo, que são providos pelo módulo de criatividade, em que se um controle realiza-se conforme o esperado, então o mesmo padrão de crescimento é mantido, e se um controle realiza-se de forma diferente, então é adotado o padrão de crescimento alternativo.
[055] O sistema compreende ainda um algoritmo de rastreamento de vírus de computador previsível, no qual um vírus de computador existente é repetido para considerar as variações teóricas na composição, em que, conforme o tempo teórico progride, o vírus de computador evolui interagindo com o módulo de criatividade, em que a CATEGORIA A representa ameaçadas de vírus de computador confirmadas com histórico comprovado de reconhecimento e remoção, a CATEGORIA B representa o vírus de computador que o sistema sabe existir, mas não pode reconhecer nem remover com absoluta confiança e a CATEGORIA C representa o vírus de computador que é completamente desconhecido ao sistema em toda a forma possível, em que o processo se inicia da categoria A, em que o vírus de computador conhecido é enviado ao módulo de criatividade para produzir uma forma híbrida que inclui possíveis variações que representam o vírus de computador atualmente desconhecido, em que, então com base na categoria B, um processo teórico representa a melhor estimativa de como é uma ameaça desconhecida, em que um processo baseado na categoria C representa a ameaça real que o sistema não tem ciência e tenta prever, em que é produzido um padrão para representar a transição de uma iteração conhecida e confirmada, em que o padrão de transição é usado para prever uma ameaça atualmente desconhecida.
[056] O sistema compreende ainda uma proteção e retribuição de infraestrutura crítica através da segurança de informações em nuvem e escalonadas (CIPR/CTIS) que compreende serviço de sincronização de informações de segurança de plataforma de confiança, em que as informações fluem entre diversos algoritmos de segurança em uma rede gerenciada e o provedor de serviços de segurança (MNSP), em que todo o tráfego da empresa em uma intranet, extranet e internet empresarial é transmitido à nuvem do MNSP por meio de VPN para análise de segurança em tempo real e retrospectiva, em que a análise de segurança retrospectiva, os eventos e suas respostas de segurança e traços são armazenados e indexados para futuras consultas, a detecção de conspiração provê uma verificação de histórico de rotina para diversos eventos de segurança e tenta determinar os padrões e correlações, vias de evolução paralelas são maturadas e selecionadas, as gerações iterativas se adaptam ao mesmo grupo AST, e a via com melhores traços de personalidade terminam resistindo à maioria das ameaças de segurança, em que a análise de segurança em tempo real, módulo de sintaxe provê uma estrutura para código de computador de leitura e escrita, módulo de propósito usa o módulo de sintaxe para originar um propósito do código, e produz tal propósito em seu próprio formato de propósito complexo, a rede e a base de dados da empresa são clonadas em um ambiente virtual, e os dados sensíveis são substituídos por dados simulados (falsos), a imitação de sinal provê uma forma de retribuição usada quando a conclusão analítica de obscurecimento virtual (proteção) foi atingida, em que verifica se todas as funções internas de um código externo fazem sentido, usa os módulos de sintaxe e propósito para reduzir o código externo a um formato de propósito complexo, detecta o código incorporado de forma convertida em pacotes de dados e transmissão, em que uma hierarquia mapeada de necessidade e propósito é mencionada para decidir se o código externo se ajusta no objetivo geral do sistema.
[057] O sistema compreende ainda uma defesa prévia em tempo real de base de dados zero logicamente determinada (LIZARD), na qual toda transferência digital dentro do sistema empresarial é originada através de um exemplo de LIZARD, em que todas as informações enviadas/recebidas de fora do sistema empresarial são canalizadas por meio do VPN de LIZARD e nuvem do LIZARD, em que o módulo de iteração (IM) usa o núcleo estático (SC) para modificar sintaticamente a base de código de proteção dinâmica (DS), em que a versão modificada é testada quanto à tensão em paralelo com diversos e variantes cenários de segurança pela ameaça à segurança artificial (AST), em que se o LIZARD toma uma decisão de baixa confiança, ele transmite dados relevantes ao AST para melhorar as futuras interações do LIZARD, em que o AST cria um ambiente de teste virtual com ameaças simuladas à segurança para possibilitar o processo de iteração, em que o núcleo estático do LIZARD origina funções logicamente necessárias a partir de funções inicialmente mais simples, converte o código arbitrário (genérico) que é compreendido diretamente pelo módulo de sintaxe e reduz a lógica do código a formas mais simples para produzir um mapa de funções interconectadas, em que a expansão de iteração adicional detalhes e complexidade para desenvolver um objetivo simples em um propósito complexo ao mencionar associações de propósito, em que o módulo de obscurecimento virtual confunde e restringe o código ao submergi-los gradual e parcialmente em um ambiente falso virtualizado, em que o vírus de computador desvia hipoteticamente o sistema de segurança empresarial, o LIZARD possui uma baixa avaliação de confiança da intenção/propósito do bloco recebido de código, o código questionável é alocado de forma convertida a um ambiente no qual metade dos dados é misturada de forma inteligente aos dados simulados (falsos), o sincronizador de dados reais seleciona de forma inteligente os dados a serem fornecidos aos ambientes misturados e em qual prioridade, e o gerador de dados simulados usa o sincronizador de dados reais como um modelo para criar dados falsificados e inúteis.
[058] O sistema compreende ainda uma máquina clandestina de inteligência e retribuição através de operações de cobertura no módulo de espaço virtual, no qual um agente duplo hibernado captura silenciosamente uma cópia de um arquivo sensível e o arquivo capturado é enviado para fora da rede empresarial para um servidor de destino falso, em que são gerados registros padrão que são entregues para análise em tempo real e longo prazo, em que a análise em tempo real realiza um reconhecimento quase instantâneo da atividade maliciosa para interrompê-la antes da execução, e a análise de longo prazo reconhece o comportamento malicioso depois de mais tempo de análise.
[059] O sistema compreende ainda um algoritmo de pensamento crítico, memória e percepção que produz uma imitação do observador e testa/compara todos os possíveis pontos de percepção com estas variações de imitações de observador, em que a prioridade das percepções escolhidas é selecionada de acordo com o peso em ordem descendente, em que a política dita a forma de seleção de um corte, em que as percepções e peso relevante são armazenados com formato variável comparável (CVF) conforme seu índice, em que o CVF derivado dos registros potencializados de dados é usado como critério em uma procura na base de dados de um armazenamento de percepção, em que um módulo de processamento métrico reverte a engenharia das variáveis da resposta de segurança do algoritmo de correspondência de padrão selecionado (SPMA), em que uma parte da resposta de segurança e seus metadados do sistema correspondente são usados para replicar a percepção original da resposta de segurança, em que a depuração e o traço do algoritmo são separados em categorias distintas usando a categorização tradicional de informações baseada em sintaxe, em que as categorias são usadas para organizar e produzir resposta de segurança distinta com uma correlação com os riscos e temas de segurança.
[060] A invenção será mais completamente compreendida pela referência à descrição detalhada em conjunto com as figuras a seguir, em que:
[061] A Fig. 1 é um fluxograma que mostra um fluxo de tarefa de um analisador de alerta virtual, de acordo com a presente invenção;
[062] A Fig. 2 é um diagrama esquemático que mostra as funções do analisador de alerta virtual com um exemplo de um fluxo de dados entre os nós do tráfego enviado à Internet;
[063] A Fig. 3 é um diagrama esquemático que mostra que o analisador de alerta virtual distribui os dados/eventos processados aos departamentos relevantes de uma organização (com base em sua função de análise de módulo de hierarquia 1);
[064] A Fig. 4 é um diagrama esquemático que mostra uma rede de computadores;
[065] A Fig. 5 é um diagrama esquemático que mostra um dispositivo informático;
[066] A Fig. 6 é um fluxograma que mostra um método de gerenciamento de segurança, de acordo com a presente invenção;
[067] A Fig. 7 é um diagrama esquemático que mostra um servidor de segurança, de acordo com a presente invenção;
[068] A Fig. 8 é um diagrama esquemático que mostra a estrutura multi-hierárquica do analisador de alerta virtual;
[069] A Fig. 9 mostra o processo geral/fluxo de trabalho, que demonstra como os diversos conceitos são orquestrados no analisador de incidente virtual;
[070] A Fig. 10 ilustra como a análise comportamental deve ser dividida em algoritmos especializados ou ‘subalgoritmos’ no analisador de incidente virtual;
[071] A Fig. 11 ilustra a Política e Comportamento do analisador de incidente virtual;
[072] A Fig. 12 é um diagrama esquemático que mostra o subalgoritmo de detecção de conspiração;
[073] A Fig. 13 é um diagrama esquemático que mostra o subalgoritmo de gerenciamento de entidades externas;
[074] A Fig. 14 é um diagrama esquemático que mostra o subalgoritmo identificador do tipo de informação;
[075] A Fig. 15 é um diagrama esquemático que mostra o subalgoritmo digitalizador de mídia;
[076] A Fig. 16 é um diagrama esquemático que mostra o subalgoritmo de análise de isolamento de privilégio;
[077] A Fig. 17 é um diagrama esquemático que mostra o subalgoritmo de gerenciamento de risco ao usuário;
[078] A Fig. 18 é um diagrama esquemático que mostra um cenário de caso de segurança que usa os subalgoritmos mencionados acima;
[079] A Fig. 19 é um diagrama esquemático que mostra o algoritmo de crescimento de inteligência iterativa;
[080] A Fig. 20 é um diagrama esquemático que mostra o algoritmo de evolução iterativa;
[081] A Fig. 21 é um diagrama esquemático que mostra o algoritmo de integração e análise de identificação de inteligência de ameaça virtual;
[082] A Fig. 22 é um diagrama esquemático que mostra o caso de uso de segurança de vírus de computador latente;
[083] As Figs. 23 a 26 são diagramas esquemáticos que mostram o algoritmo de criatividade;
[084] A Fig. 27 é um diagrama esquemático que mostra a nuvem comportamental de segurança;
[085] A Fig. 28 é um diagrama esquemático que mostra o algoritmo do analisador de resposta;
[086] A Fig. 29 é um diagrama esquemático que mostra o algoritmo de detecção e análise de comportamento virtual nefasto e anômalo;
[087] A Fig. 30 é um diagrama esquemático que mostra o algoritmo de ameaça à segurança artificial;
[088] A Fig. 31 é um diagrama esquemático que mostra o algoritmo do sistema de monitoramento/interação;
[089] A Fig. 32 é um diagrama esquemático que mostra o algoritmo do módulo de revisão de segurança;
[090] As Figs. 33 a 36 são diagramas esquemáticos que mostram o algoritmo de orientação de crescimento automático;
[091] As Figs. 37 a 45 são diagramas esquemáticos que mostram o algoritmo de rastreamento previsível de vírus de computador;
[092] A Fig. 4 6 é um diagrama esquemático que mostra as estruturas de dependência para os algoritmos de crescimento iterativo e evolução iterativa;
[093] A Fig. 47 é um diagrama esquemático que mostra as estruturas de dependência para as vias de evolução e o subalgoritmo identificador do tipo de informação;
[094] A Fig. 48 é um diagrama esquemático que mostra as estruturas de dependência para a detecção de conspiração de subalgoritmos, digitalizador de mídia e análise de isolamento de privilégio;
[095] A Fig. 49 é um diagrama esquemático que mostra a estrutura de dependência para o subalgoritmo de gerenciamento de risco ao usuário;
[096] A Fig. 50 é um diagrama esquemático que mostra a estrutura de dependência para o gerenciamento de entidades externas de subalgoritmos e o analisador de resposta;
[097] A Fig. 51 é um diagrama esquemático que mostra a estrutura de dependência para a nuvem comportamental de segurança;
[098] A Fig. 52 é um diagrama esquemático que mostra a estrutura de dependência para o algoritmo de criatividade;
[099] A Fig. 53 é um diagrama esquemático que mostra a estrutura de dependência para o algoritmo de ameaça à segurança artificial;
[100] A Fig. 54 é um diagrama esquemático que mostra a estrutura de dependência para orientação de crescimento automatizado;
[101] A Fig. 55 é um diagrama esquemático que mostra a estrutura de dependência para o modelo de revisão de segurança;
[102] A Fig. 56 é um diagrama esquemático que mostra a estrutura de dependência para o sistema de iteração de monitoramento;
[103] As Figs. 57 a 58 são uma visão geral de motivos de ataque à segurança e meios para compreendê-los;
[104] A Fig. 59 é um diagrama esquemático que mostra a interação da plataforma de confiança com terceiros como vendedores de hardware/software e aplicação da lei.
[105] As Figs. 60 a 66 são diagramas esquemáticos que mostram a visão geral dos algoritmos que compõem o Provedor de Serviços de Rede Gerenciada e de Segurança (MNSP);
[106] As Figs. 67 a 72 são diagramas esquemáticos que mostram a visão geral do algoritmo de Defesa prévia em tempo real da base de dados zero logicamente inferida (LIZARD);
[107] A Fig. 73 é um diagrama esquemático que enumera o vetor de ataque de um criminoso em relação a uma análise sobre as operações de cobertura e soluções algorítmicas apropriadas;
[108] As Figs. 74 a 75 são diagramas esquemáticos que mostra a visão geral de funcionalidade do algoritmo de Pensamento Crítico, Memória e Percepção (CTMP);
[109] As Figs. 76 a 78 são diagramas esquemáticos que mostram a estrutura de dependência do algoritmo do Pensamento Crítico, Memória e Percepção (CTMP);
[110] A Fig. 79 é um diagrama esquemático que mostra um sistema de segurança informática que processa um evento de segurança;
[111] A Fig. 80 é um diagrama esquemático que mostra um sistema de segurança virtual com seus subalgoritmos; e
[112] A Fig. 81 é um fluxograma que mostra um método para crescimento de inteligência iterativa.
[113] Um falso positivo é qualquer comportamento normal ou esperado identificado como anômalo ou malicioso. Os falsos positivos podem ocorrer devido a (1) algumas aplicações legítimas não seguirem rigorosamente os RFCs do IETF, e as assinaturas escritas ao RFC poderem acionar quando tais aplicações são executadas; (2) uma aplicação não observada no estágio de treinamento de um sistema de detecção de anomalia provavelmente acionará um alerta quando a aplicação tentar executar; (3) uma assinatura poder ser escrita muito amplamente e, assim, incluir o tráfego legítimo e ilegítimo; (4) comportamento anômalo em uma área de uma organização pode ser aceitável quando altamente suspeito em outra. Como um exemplo, o tráfego NBT é normal em um ambiente de LAN Windows, mas geralmente inesperado na Internet. Esta não é uma lista completa, mas a maioria dos lugares comuns que os IDS, Firewalls, DLP e outras aplicações/sistemas de segurança virtual podem ter falsos positivos. Os falsos positivos são um dos maiores problemas que alguém enfrenta ao implementar um sistema de segurança virtual. O principal problema que os falsos positivos criam é que podem ser facilmente abafados em alertas legítimos. Uma única regra que causa falsos positivos pode facilmente criar dezenas de alertas em um curto período de tempo. Caso presuma-se que um analista possa revisar um alerta a cada cinco minutos, o analista pode revisar em torno de 100 alertas por dia. A revisão de um alerta a cada cinco minutos é muito rápida para a análise completa, mas podemos presumir que alguns alertas não necessitarão de análise completa, reduzindo o tempo médio de análise. Observando estes números, é óbvio que apenas um pequeno número de falsos positivos pode abafar os alertas legítimos. Os alertas para regras que causam falsos positivos repetidos geralmente são ignorados ou desabilitados. Deste ponto em diante a organização está efetivamente cega para o ataque à regra problemática que estava procurando. Quase qualquer regra pode criar um falso positivo. A técnica de gerenciamento de sistema de segurança virtual está aprendendo como minimizar os falsos positivos sem cegar a organização aos ataques relevantes.
[114] Em referência às Figs. 1 a 3, a presente invenção provê um sistema para examinar eventos/dados de forma metódica ao separar em partes e estudar sua inter-relações.
[115] Os eventos de dados gerados dos sistemas ICT, como computadores, dispositivos, etc., com COTS ou outros dados/eventos gerados por software com base nos critérios específicos que incluem Nome, Endereço, número de segurança social, número de identificação do empregador, Palavra Específica, Imagem, Tipo de Arquivo, Tamanho do Arquivo, Data, Dia, Mês, Ano, Horário, etc.
[116] Estes dados/eventos são verificados com variedade de critérios, que incluem Falsos Positivos, Verdadeiros Positivos, Ruído, etc.
[117] O fluxo de trabalho do sistema inclui processos de separação de dados/eventos; processamento de dados/eventos; e encaminhamento de notificação.
[118] A separação de dados/eventos é baseada, por exemplo, em critérios que incluem a Organização Funcional (HCO/HR, IG, Confidencial, Revelação, Política, Segurança, Sindicato, etc.); Gravidade (Elevada, Média, Baixa, etc.); Quantidade de dados (Tamanho do arquivo, número de itens, etc.); e Categorias de inteligência, etc.
[119] O processamento de dados/eventos é baseado, por exemplo, em Determinados critérios (por exemplo, se falso negativo, sigilo relacionado, etc.). O processamento inclui preenchimento de um relatório/formulário de ação para a equipe na organização funcional específica para aprovação, etc. Formulários criados com base nas exigências específicas da organização, critérios, etc. (por exemplo, Formulário de sigilo, Formulário de revelação, Formulário de RH, etc.)
[120] Após o processamento de dados, de acordo com os determinados critérios (por exemplo, Falso Negativo, Sigilo relacionado, etc.), é enviada notificação à respectiva organização/pessoa para aprovação de FORMULÁRIO por encaminhamento por e-mail ou outro método. Para critérios mais sérios/adicionais (por exemplo, 5 ou mais incidentes do mesmo indivíduo em um dia, semana, mês, etc., notificação ao Inspetor General, etc.), é enviada a Notificação ao gerente, gerenciamento superior, organização específica com base na ação iniciada.
[121] Os relatórios (e/ou alarmes) são fornecidos instantaneamente em tempo real ou quase real; estático ou dinâmico. O teor do relatório, por exemplo, pode incluir número de incidentes e informações específicas por organização e por tipo, etc.
[122] Na revisão de um evento de segurança do Sistema de segurança virtual, este sistema (Analisador de evento virtual) verificará se é um Verdadeiro Positivo vs um Falso positivo (outros critérios além de Falsos Positivos podem ser tratados). Se o evento de segurança é verificado como não sendo um falso positivo, então o sistema determina se o evento de segurança é (1) Revelação Intencional Suspeita ou Não autorizada, (2) Revelação suspeita não intencional ou (3) Violação suspeita da política interna, etc. Comum para todos os três casos, o sistema realiza as tarefas de (a) Preenchimento de formulário/relatório específico para classificar como um potencial incidente, (b) Verificação do teor do formulário para classificar como incidente, (c) Notificação à respectiva organização para medida adicional através de exibição do formulário preenchido em um GUI/painel e (d) Resposta ao sistema de coleta de incidente para modificação de política em caso de incidente negativo, e/ou (e) medida corretiva baseada nos critérios específicos da organização.
[123] Em referência à Fig. 1, a estrutura de hierarquia da presente invenção é brevemente explicada novamente. O módulo de hierarquia 1 realiza a verificação de falso positivo para um determinado evento de rede. O módulo de hierarquia 1 pode verificar alertas providos por um sistema de segurança de rede externa, ou pode monitorar as comunicações de dados em uma rede de computadores por si só. O módulo de hierarquia 2 realiza a segregação específica de departamento nos critérios que incluem IG, sigilo, segurança, etc. O módulo de hierarquia 3 realiza classificação de incidente. Ou seja, o módulo de hierarquia 3 analisa e decide se uma comunicação de dados associada a um alerta gerado na rede de computadores é realmente uma ameaça à rede. O módulo de hierarquia 4 realiza a avaliação que inclui medida corretiva, remediação de ameaça à segurança, relatório de informações forenses e mitigação de danos.
[124] Em referência às Figs. 4 e 6, é explicado um método de segurança de gerenciamento em uma rede de computadores 10 para uma organização 12. A rede 10 compreende uma pluralidade de dispositivos informáticos 14. O método compreende o recebimento de um alerta gerado de um ou mais dispositivos informáticos, e de dados para um possível incidente associado ao alerta S01; análise dos dados para possível incidente S02; decisão de se o possível incidente é uma ameaça à segurança em um primeiro critério de filtragem S03; e primeira investigação do possível incidente nas primeiras regras de investigação, caso seja decidido que o possível incidente não é uma ameaça à segurança S04.
[125] Em referência à Fig. 3, a organização 12 compreende uma pluralidade de departamentos 16. A etapa S04 da primeira investigação designa o possível incidente a um dos departamentos 16 da organização 12.
[126] O método compreende ainda o relato do possível incidente ao departamento designado S05; e decisão pelo departamento designado de se o possível incidente é um incidente S06.
[127] A etapa S06 de decisão do incidente compreende uma etapa de segunda investigação nas segundas regras de investigação S07. As segundas regras de investigação compreendem critérios específicos do departamento (por exemplo, incidente de sigilo, incidente de revelação, incidente criminal, incidente de segurança, etc.).
[128] O método compreende ainda uma etapa de realização de um processo de avaliação de risco caso o alerta ou o possível incidente seja decidido como um Incidente S08.
[129] As primeiras regras de investigação designam um departamento de acordo com os critérios de investigação relacionados à sensibilidade dos dados para o possível Incidente, e papel de cada departamento.
[130] Os critérios de investigação incluem se os dados para o possível incidente são revelação intencional suspeita ou não; se os dados para o possível incidente são revelação não autorizada suspeita ou não; e se os dados para o possível incidente são violação de política suspeita ou não.
[131] Caso seja decidido que os dados para possível incidente são revelação suspeita intencional ou intencional, não autorizada, designa-se um departamento 18 que lida com crimes eletrônicos; caso seja decidido que os dados para o possível incidente são revelação suspeita não intencional, mas autorizada, designa-se um departamento 20 que gerencia o incidente de sigilo; em que caso seja decidido que os dados para o possível incidente são outros, designa-se um departamento 22 que possui a função de centro de operação de segurança.
[132] Em referência à Fig. 5, um programa de seleção de segurança 24 é instalado em cada um dos dispositivos informáticos 14. O programa de seleção de segurança 24 seleciona o tráfego de rede através do dispositivo informático 14 para encontrar um possível incidente. Quando o programa de seleção de segurança 24 encontra um possível incidente nas determinadas regras de seleção 28, o programa de seleção de segurança 24 gera um alerta 30. Alternativamente, uma rede ou servidor/dispositivo de seleção de segurança virtual pode monitorar o tráfego de entrada/de saída a partir de uma determinada empresa/organização a fim de realizar as funções mencionadas acima se a necessidade de instalação de programas de seleção de segurança que são instalados em cada um dos dispositivos informáticos.
[133] O método compreende ainda as etapas de realizar uma solução de resposta 32 para modificar as regras de seleção 28 caso seja decidido que o possível incidente 26 não é um incidente 34, S09; e geração e envio de um relatório de resposta às regras de seleção 36 para os dispositivos informáticos S10. O relatório de resposta às regras de seleção 36 compreende a solução de resposta 32 para modificar as regras de seleção 28.
[134] Nesta realização, os primeiros critérios de filtragem são falsos positivos. O método compreende ainda uma etapa S11 de geração e envio de um relatório de falso positivo 38 aos programas de seleção de segurança 24 dos dispositivos informáticos 14, caso seja decidido que o possível incidente 26 é um falso positivo na etapa S03 de decisão de se o possível incidente 26 é um falso positivo.
[135] Na etapa S11 de geração de um relatório falso positivo, o relatório falso positivo 38 compreende uma solução para modificar as regras de seleção 28.
[136] O método compreende ainda uma etapa S12 de preenchimento de um formulário de avaliação de incidente predeterminado que descreve o possível incidente 26 após a etapa S04 de investigação do possível incidente 26; e uma etapa S13 de verificação de preenchimento do formulário de avaliação de incidente 40 de acordo com as regras de verificação de formulário predeterminadas. O formulário de avaliação de incidente predeterminado e as regras de verificação de formulário predeterminado estão relacionados a uma categoria que é diferente para cada um dos departamentos designados 16.
[137] Em referência à Fig. 7, um servidor de segurança 44 gerencia a segurança na rede de computadores 10 para a organização 12. O servidor de segurança 44 compreende um primeiro módulo de nível 46, que é acoplado de forma comunicativa à rede de computadores 10; recebe um alerta 30 gerado a partir de um ou mais dispositivos informáticos 14, e os dados para um possível incidente 26 associado ao alerta 30; analisa os dados quanto a possível incidente 26; decide se o possível incidente 26 é um falso positivo; e investiga o possível incidente 26 nas primeiras regras de investigação, caso seja decidido que o possível incidente 26 não é um falso positivo.
[138] O servidor de segurança 44 compreende ainda um segundo módulo de nível 48, que é conectado de forma operacional ao primeiro módulo de nível 46. Cada departamento 16 compreende o segundo módulo de nível 48. O primeiro módulo de nível 46 designa o possível incidente 26 ao segundo módulo de nível 48 de um dos departamentos 16 da organização 12.
[139] O primeiro módulo de nível 46 relata o possível incidente 26 ao segundo módulo de nível 48 do departamento designado 16. O segundo módulo de nível 48 do departamento designado 16 decide se o possível incidente 26 é um incidente 34.
[140] O segundo módulo de nível 48 decide o incidente de acordo com as segundas regras de investigação.
[141] O segundo módulo de nível 48 realiza um processo de avaliação de risco caso seja decidido que o possível incidente 26 é um incidente 34.
[142] O segundo módulo de nível 48 realiza uma solução de resposta 32 para modificar as regras de seleção 28 caso seja decidido que o possível incidente 26 não é um incidente 34; e gera e envia um relatório de resposta às regras de seleção 36 aos dispositivos informáticos 14.
[143] O primeiro módulo de nível 46 gera e envia um relatório falso positivo 38 aos programas de seleção de segurança 24 dos dispositivos informáticos 14, caso seja decidido que o possível incidente 26 é um falso positivo.
[144] O primeiro módulo de nível 46 preenche um formulário de avaliação de incidente predeterminado 40, que descreve o possível incidente 26; e verifica o preenchimento do formulário de avaliação de incidente 4 6 de acordo com as regras de verificação de formulário predeterminado 42, provendo assim uma medida corretiva para tratar do incidente específico com base nos critérios específicos, política, leis, etc., da organização/departamento.
[145] As Figs. 9 a 11 ilustram detalhes sobre os algoritmos para segurança virtual. Um algoritmo comportamental principal (recebimento de entrada de diversos subalgoritmos), que é acionado pelo comportamento organizacional garante (l) Política dinâmica, (2) Análise automatizada, (3) Medida corretiva instantânea/em tempo real e (4) Entrada humana para comportamento, política e demais modificações de regra conforme e quando necessário.
[146] Estes algoritmos utilizam Inteligência Artificial (AI), que inclui (1) Anomalias, (2) Correspondência de padrão/dados exatos, (3) Análise de dados dinâmicos/fluxo (em tempo real), (4) Dados/evidência heurísticos e/ou históricos, (5) Autoaprendizagem e (6) Agentes virtuais inteligentes.
[147] A Fig. 9 mostra o processo geral/fluxo de trabalho, que demonstra como os diversos conceitos são orquestrados. • O módulo comportamental acessará uma base de dados que consiste de 'metadados'. • Há diferentes categorias de 'metadados'na base de dados, cada um representado por um subalgoritmo. • Estes dados essencialmente desenham conexões para diferentes conceitos com uma classificação de confiança. Uma categoria típica teria 4 colunas: identificação de referência, conceito a, conceito b, índice de associação determinado de algoritmo (isto significa a saída do subalgoritmo relevante). • Um algoritmo de ‘combinação’ genérica combina ligações úteis entre diferentes categorias. • Determina-se uma reação com base na saída resultante do algoritmo genérico.
[148] O fluxo lógico acima abrange os pontos enumerados representados na Fig. 9. O principal é ter diversos subalgoritmos executados em paralelo, processando entrada e armazenando saída mesmo se a saída puder ser de qualidade baixa ou desconhecida. O algoritmo genérico então realiza a mesma classificação simples para obter as informações mais relevantes deste grupo de informações, e deve produzir o resultado de todo o módulo comportamental, e simultaneamente resposta para a base de dados por meio de modificação/remoção de determinadas linhas para aumentar a qualidade dos metadados. Isto é articulado mais detalhadamente no segundo diagrama.
[149] A Fig. 10 ilustra a análise comportamental que deve ser dividida nos algoritmos especializados ou 'subalgoritmos'. O algoritmo principal ou de 'combinação' é o que está entregando o resultado final desejado, como uma análise de segurança importante, enquanto os algoritmos categorizariam os tipos individuais de questões de segurança (como um analisa os Números de segurança social, outro realiza a análise de localização, outro analisa nomes, etc.).
[150] Os subalgoritmos são gerados independentes do algoritmo de combinação para preencher a base de dados com resultados, mesmo que sejam de baixa qualidade. O aliado do algoritmo de combinação, o 'filtro de confiança elevada', estaria lidando em garantir que resultados de alta qualidade significativa sejam produzidos. Ter resultados de baixa qualidade armazenados na base de dados é importante devido ao seu potencial em maturar para alta qualidade.
[151] Por exemplo, um subalgoritmo pode ter selecionado uma anomalia de localização, mas possui pouquíssima evidência para prová-la (baixa confiança). Conforme o tempo transcorre, ele passa por mais dados e eventualmente esta anomalia se maturou em uma ameaça à segurança de alta confiança, que é então selecionada pelo algoritmo de combinação por meio do filtro de confiança elevada e entregue na saída final que atinge seres humanos. Algumas vezes, embora uma baixa confiança permaneça de baixa confiança, está tudo bem, porque seu valor está em seu potencial.
[152] A Fig. 11 ilustra a Política e Comportamento.
[153] A Fig. 9 é explicada em detalhes. Este fluxograma representa a principal sequência de análise de informações. • Um evento recebido é primeiramente tratado com base em regras de política um pouco simples e estáticas. • Um módulo de correspondência de padrão usa os padrões comportamentais estabelecidos em conjunto com a base de dados da companhia/empresa para filtrar alertas muito fracos (essencialmente falsos positivos). Os falsos positivos ainda são registrados, mas colocados em uma localização estilo 'filtro de spam'para possível revisão humana. • Se um evento passa a camada de correspondência de padrão inicial, ele passa por um processo de categorização, que utiliza uma combinação de política e comportamento para determinar o departamento e gravidade de um alerta. • Tal evento, com o departamento apropriado e informações de gravidade, é exibido ao console de departamento relevante (console específico), e também ao console genérico, que se aplica a determinados ramos de funcionários que possuem interesse em visualizar toda a atividade de segurança. • Medida recomendada para se realizar é exibida ao console relevante, caso seja disponibilizada por AI.
[154] A Fig. 10 é explicada em detalhes. Um gerenciador de ameaça independente envia informações que processam solicitações ao subalgoritmo relevante (“Subsolicitação”). Este subalgoritmo armazena os dados processados em sua própria tabela de base de dados separada, com um filtro muito flexível/generoso. O filtro é ajustado de tal forma que os resultados de alta qualidade potenciais possam ser gradualmente construídos a partir do que foi originalmente um resultado de baixa qualidade. Um gerenciador de ameaça separado em paralelo envia solicitações ao algoritmo de combinação, que usa uma combinação de determinados subalgoritmos, dependendo do tipo de solicitação de combinação. Os resultados são selecionados com base em um critério de alta qualidade/confiança.
[155] A Fig. 11 é explicada em detalhes. POLÍTICA:
[156] Os seres humanos criam/modificam diretamente as regras estáticas que entram em vigor na base de dados de regras. Os seres humanos também podem criar grupos de regras estáticas por meio da criação de 'regras de larga escala', das quais as regras de baixa escala são automaticamente derivadas. COMPORTAMENTO:
[157] Os seres humanos recebem as informações do evento e recebem opções para possíveis graus de classificação e/ou medidas a tomar. Estas decisões possivelmente podem ser tomadas de forma binária de 'sim' ou 'não' (e 'pular'). Todo este histórico comportamental é registrado e, a partir daí, as regras dinâmicas em um constante estado de alteração gradual são refletidas na base de dados de regras.
[158] Uma divisão de gerenciamento humano supervisiona o histórico comportamental humano em conjunto com as decisões de AI relevantes que foram tomadas com base neste histórico. A divisão de gerenciamento também possui a supervisão para modificação da criação de regra estática.
[159] A Fig. 12 mostra o subalgoritmo de detecção de conspiração. Este subalgoritmo provê uma verificação de histórico de rotina para diversos eventos de segurança ‘conspiratórios’ e tenta determinar os padrões e correlações entre eventos de segurança aparentemente não relacionados. A saída é primariamente para analistas humanos de segurança virtual para se beneficiar de, e não para medida AI adicional. Um evento de segurança significativo é analisado pelo Identificador de tipo de informações 50 para originar todos os atributos relevantes de informações (endereço IP, horário, localização, SSN, etc.). As variáveis são verificadas por uma política externa e interpretação comportamental para observar se os atributos do evento passam pelo limiar para serem processados.
[160] Na realização:
[161] Informações recuperadas:
[162] Código de identificação de usuário: A1B2C3
[163] Endereço IP: 112.20.190.176
[164] Marcação de hora: 1439226504
[165] Verificação de limiar: Sim, este evento de segurança é significativo o bastante para ser processado.
[166] Em referência aos atributos paralelos 52, todos os atributos derivados são enviados à base de dados específica para serem usados para futuras iterações deste subalgoritmo.
[167] Na realização:
[168] Aqui se encontram os atributos de algo para ficar atento:
[169] Código de identificação de usuário: A1B2C3
[170] Endereço IP: 112.20.190.176
[171] Marcação de hora: 1439226504
[172] Em referência à comparação paralela 54, toda possível combinação permitida de atributos é organizada e consultada contra a base de dados específica quanto a similaridades. Os eventos de segurança hipotéticos que são pesquisados quanto a similaridade são: 1) Eventos de segurança que possuem o mesmo SSN e horário de dia de ocorrência. 2) Eventos de segurança que incluem a mesma variação de sub-rede de LAN IP e número de telefone pessoal e endereço pessoal. 3) Eventos de segurança que incluem o mesmo nome de domínio em diferentes endereços de email. 4) Eventos de segurança que incluem um nome de domínio e supõem-se que o endereço IP aponte, para lutar contra nomes de domínio fantasmas.
[173] Em referência à apresentação 56, quaisquer tendências ou conexões relevantes que foram realizadas são processadas na forma de leitura por seres humanos, e o painel de gerenciamento é notificado para atualizar seus dados para refletir quaisquer alterações significativas.
[174] Na realização:
[175] Mostra na tela de gerenciamento de console que há um risco elevado de ataque coordenado que se origina da China.
[176] A Fig. 13 mostra o subalgoritmo de gerenciamento de entidades externas. Este subalgoritmo gerencia as ameaças externas percebidas pela atualização/desvalorização constante de sua gravidade com base nas solicitações realizadas para a rede isolada da empresa. Também recebe informações de terceiros para ampliar sua percepção de possíveis ameaças externas.
[177] Um evento de rede 58 é analisado pelo Subalgoritmo identificador do tipo de informação, que é explicado posteriormente em referência à Fig. 14. A origem da rede e o usuário envolvido (se aplicável) são as duas principais variáveis que são solicitadas.
[178] Na realização:
[179] Origem da Rede: 112.20.190.176
[180] Código de identificação de usuário: A1B2C3
[181] A origem da rede é verificada contra uma lista de vigilância de segurança 60, a qual é mantida por uma segunda ou terceira parte de confiança. Pode estar dentro ou fora da estrutura da empresa.
[182] Na realização: A parte de confiança diz: Este endereço IP possui algum histórico de segurança ruim.
[183] Se as informações do usuário tiverem sido descobertas, então o usuário é verificado pelo Subalgoritmo de avaliação de risco ao usuário 62.
[184] Na realização:
[185] Gerenciamento de risco ao usuário: Usuário A1B2C3 possui um fator de risco de 75%, e não deve permitir- se lidar com SSNs sensíveis.
[186] Em referência à agregação de risco 64, se todos os resultados relevantes são considerados e agregados com base nos limiares que são influenciados pela política externa e comportamento.
[187] Na realização:
[188] Com base na política e comportamento atuais, este endereço IP deve ser banido do sistema por um período longo.
[189] Em referência ao depósito 66, quaisquer novas informações que sejam aprendidas são submetidas à base de dados específica para futura referência.
[190] Na realização:
[191] Depósito na base de dados: O endereço IP 112.20.190,176 foi banido. Depósito no Gerenciamento de risco ao usuário: Usuário A1B2C3 é ainda mais arriscado do que você acreditava, aqui está mais algumas informações sobre ele.
[192] A Fig. 14 mostra o subalgoritmo identificador do tipo de informação. Este subalgoritmo determina o tipo/natureza dos dados desconhecidos. Pode-se determinar se os dados desconhecidos são um número de segurança social, endereço residencial, número de telefone, etc. O subalgoritmo também declara sua confiança no tipo de dados que foi escolhido, e se a confiança é muito baixa, devolverá uma sinalização de insucesso.
[193] Em referência ao 68, são providos os dados desconhecidos. O código real oferecerá entrada em massa para fins de paralelização.
[194] Na realização:
[195] 123-45-6789 é provido à entrada.
[196] Em referência aos atributos de extrato 70, os atributos são derivados como comprimento, proporção de número/letra e caracteres especiais.
[197] Na realização:
[198] Os atributos são aqueles que são 9 números, proporção de 100% de número e letra, e possui 2 hífens.
[199] Em referência à determinação de sobreposição de base de dados 72, os pontos de dados da base de dados são selecionados por comparação.
[200] Na realização:
[201] Consulta à base de dados: Há tipos de dados que são definidos como tendo 9 números? Com proporção de 100% de número para letra? E 2 hífens?
[202] Em referência ao desvio de cache 74, o Cache é verificado primeiramente por comparações.
[203] Na realização:
[204] Consulta ao cache: A última vez que tive uma solicitação como esta, qual foi sua resposta (caso haja) e você estava confiante?
[205] Em referência às margens de confiança calculadas 76, os resultados são processados para os níveis de confiança.
[206] Na realização:
[207] 100% dos critérios para um SSN foram correspondidos, portanto, 100% confiante que este é um SSN.
[208] Em referência ao filtro de baixa confiança 78, o corte limiar para a confiança de resultados é aplicado, o limiar pode ser feito dinamicamente.
[209] Na realização:
[210] Devido à confiança ser 100%, a decisão de que este é um SSN passará para a saída.
[211] Em referência aos padrões de confiança de cache 80, a detecção de padrão é realizada para correlacionar a afinidade de tipo com a composição de atributo. Os altos padrões de confiança são armazenados no cache, a base de dados não contém padrões calculados, mas contém correlações estáticas entre o tipo e o atributo.
[212] Na realização:
[213] Criar uma regra padrão: Caso haja um conjunto com um comprimento total de 11, contém 9 números e 2 hífens, então não se comunica com a base de dados, porque tenho 100% de certeza que este é um SSN.
[214] Em referência à saída 82, os resultados são compilados para se adaptar ao API e a saída é realizada.
[215] Na realização:
[216] Saída na sintaxe de API: Tenho 100% de certeza que este é um SSN.
[217] A Fig. 15 mostra o subalgoritmo digitalizador de mídia.
[218] Este subalgoritmo é provido a um documento/foto, etc., e verifica transferência de informações ilegais e comportamento inconsistente/suspeito para a composição esperada de tal mídia.
[219] Em referência ao evento de mídia 84, (análise de mídia inicial), o documento/foto é recebido, uma análise de mídia é realizada para destacar os pontos suspeitos de informações.
[220] Isto pode incluir informações ocultas em metadados, ou no formato básico do documento, etc.
[221] Na realização:
[222] Os dados e metadados são digitalizados.
[223] Em referência ao identificador do tipo de informação 86, pontos importantes suspeitos de informação são processados pelo Identificador do tipo de informação. Quaisquer identidades de usuário passam pelo Subalgoritmo de gerenciamento de risco ao usuário. Todas as demais informações são encaminhadas para um analisador genérico.
[224] Na realização:
[225] Possíveis pontos de interesse encontrados:
[226] Código de identificação de usuário encontrado: A1B2C3
[227] Diversos SSNs encontrados.
[228] Em referência a 88, 90, 92, o analisador interage com a Base de dados de objetos de risco para encontrar quaisquer associações significativamente perigosas que estejam no arquivo. Por exemplo: Um SSN no documento foi descoberto na base de dados de objetos de risco e descobriu-se que o SSN era suspeito de ter sido vazado nas últimas 24 horas. Portanto, o documento é finalmente bloqueado de ser transferido, foi criado um objeto de risco e o algoritmo do gerenciamento de risco ao usuário foi notificado do envolvimento do usuário relevante com o incidente.
[229] Na realização:
[230] Um dos SSNs encontrados existe em um documento comum com um SSN que foi vazado nas últimas 24 horas.
[231] Em referência a 94, os resultados são combinados e analisados para produzir uma decisão de se bloquear ou permitir o arquivo.
[232] Na realização:
[233] O usuário descobriu possuir um fator de risco elevado, a um histórico ruim com vazamentos de SSN e um dos SSNs no arquivo foi descoberto em outro arquivo que inclui outro SSN que foi vazado no período de 24 horas.
[234] Devido a todas estas informações, a mídia é bloqueada do trânsito.
[235] A Fig. 16 mostra o subalgoritmo de análise de isolamento de privilégio. Este subalgoritmo determina se um usuário ou processo está dentro de sua alocação de privilégio permitida. É projetado para ser constantemente recorrido, e é um processo de vigilância que determina se é permitido que um usuário ou processo esteja em seu setor de atividade. O processo é alimentado por informações de histórico por um processo mestre e não procura ativamente informações por si só. Quaisquer violações de privilégio confirmadas são imediatamente relatadas ao processo mestre e um processo secundário, que verifica duplamente que aquele processo mestre realizou eventualmente algo.
[236] Um evento de permissão de usuário 96 é enviado. Este evento não deve necessariamente ser um ser humano direto, mas também um processo que usa uma conta de usuário da qual as permissões precisam ser verificadas. O código de identificação de usuário e localização solicitada de acesso/modificação é extraído pelo subalgoritmo identificador do tipo de informação e enviado ao gerenciador de ameaça relevante.
[237] Na realização:
[238] Código de identificação de usuário encontrado: A1B2C3
[239] Localização solicitada: Pasta SSN de Recursos Humanos
[240] Permissões solicitadas: Apenas leitura (sem modificação)
[241] Em referência ao gerenciador de ameaça de localização 98, o gerenciador de ameaça recebe as informações de localização e recorre à base de dados de localização para quem é permitido acessar/modificar.
[242] Na realização:
[243] Consulte a base de dados: Quem são todas as pessoas que são permitidas ler arquivos da pasta SSN de Recursos Humanos?
[244] Em referência ao gerenciador de ameaça ao usuário 100, o gerenciador de ameaça recebe as informações do usuário e recorre à base de dados do usuário para quais localizações são permitidas acessar/modificar. Também recorre ao subalgoritmo de gerenciamento de risco ao usuário para obter quaisquer potenciais localizações perigosas que devam ser bloqueadas para este usuário específico dentro de uma política preventiva.
[245] Na realização:
[246] Permite-se ao usuário A1B2C3 a leitura a partir da lista de 25 pastas. De acordo com o Subalgoritmo de gerenciamento de risco ao usuário, este usuário deve ser bloqueado do acesso a esta pasta.
[247] O banco de permissão ao usuário 102 recebe os atributos de permissão ao usuário pela base de dados específica 1, e é consultado pelo gerenciador de ameaça de localização para observar se é permitido ao usuário realizar a ação solicitada nesta localização. O resultado é enviado a um agregador de permissões.
[248] Na realização:
[249] Permite-se ao usuário A1B2C3 a leitura e escrita a partir da pasta SSN de Recursos Humanos.
[250] O banco de permissão de localização 104 recebe as exigências de permissão da localização pela base de dados específica 2, e é consultado por um gerenciador de ameaça que decide se determinadas localizações devem ser bloqueadas como uma precaução devido ao risco à segurança do usuário. O limiar para o nível de precaução é determinado por meio de política externa e comportamento.
[251] Na realização:
[252] A pasta SSN de Recursos Humanos pode ser lida pelo Usuário A1B2C3. No entanto, ele deve ser bloqueado como uma precaução devido ao perigo de 75% e possuir um histórico ruim de lidar com SSNs.
[253] Um agregador de permissões 106 combina logicamente ambos os fluxos de resultados e envia seu veredito à saída.
[254] Na realização:
[255] Usuário A1B2C3 foi bloqueado de ler algo na pasta SSN de Recursos Humanos.
[256] A Fig. 17 mostra o subalgoritmo de gerenciamento de risco ao usuário. Este subalgoritmo determina a avaliação de risco geral para um registro de usuário (que pode ser um empregado ou outro). Os fatores de risco incluem violações anteriores à política, uso excessivo, operações suspeitas aprovadas, etc. A entrada obrigatória é um código de identificação de usuário, e a saída é uma porcentagem de avaliação de risco geral com diversos objetos relacionados que são de interesse de risco. Estes objetos podem ser acessados independentemente por meio de outros subalgoritmos para análise adicional. A entrada opcional é uma Referência ao Objeto de Risco que está relacionada ao usuário. O subalgoritmo registraria então a associação do usuário com o objeto de risco, por não cumprimento não produziria uma avaliação de risco.
[257] O código de identificação de usuário 108 é provido tanto para gerar um relatório de avaliação de risco quanto depositar uma referência ao objeto de risco. Este depósito serve para construir um histórico de risco do usuário e, em tal caso de uso, nenhuma saída significativa é fornecida.
[258] Na realização:
[259] Código de identificação de usuário: A1B2C3. Referência ao objeto de risco: Nenhuma
[260] Caso seja provida uma referência ao objeto de risco 110, então o depósito é realizado na base de dados para futura referência e o exemplo de algoritmo concluiu seu funcionamento.
[261] Na realização:
[262] Nenhuma referência de objeto de risco provida, portanto, nenhum depósito à base de dados.
[263] Em referência ao relatório de início 112, não foi realizado nenhum depósito de referência de objeto de risco, portanto, o gerenciador de ameaça solicita que seja realizado um relatório. A ID de usuário relevante é pesquisada na base de dados específica para avaliar o histórico de risco do usuário.
[264] Na realização:
[265] Código de identificação de usuário A1B2C3 encontrado na base de dados, possui 3 incidentes de segurança na última semana e 12 no último ano.
[266] Em referência a 114 (obter objetos), as referências de objeto que foram produzidas pela consulta à base de dados específica são materializadas. Os detalhes completos do objeto são recuperados de uma base de dados de objeto que é acessível aos demais algoritmos.
[267] Na realização:
[268] Obter objeto de risco 192 e 866 da base de dados.
[269] Em referência a 116, todos os detalhes de risco são classificados. As taxas de risco são recuperadas da base de dados específica, que fornece uma classificação de risco para determinados tipos de objetos de risco. Usando as taxas de risco e os objetos de risco recuperados, é produzido um relatório agregador final e enviado à saída. Um índice de risco principal abrangente também é enviado à saída, para que outros módulos identifiquem rapidamente o fator de risco imediato a um usuário.
[270] Na realização:
[271] Considerando os objetos de risco 192 e 866, as taxas de risco mostram que devemos considerar estas infrações de segurança realmente muito ruins. Confirmou-se que o usuário estava vazando números de SSN a uma entidade externa falsa. Portanto, recomendo muitíssimo que este usuário seja bloqueado do acesso aos SSNs da empresa, e potencialmente até de todo tráfego de email.
[272] Índice de risco: 75%
[273] A Fig. 18 mostra um cenário de caso de segurança no qual os subalgoritmos explicados acima são utilizados. No cenário, 15 Números de segurança social são redigidos em um email por um funcionário e enviados para fora da rede da empresa. O email é enviado ao digitalizados de mídia como verificação de segurança típica. O subalgoritmo digitalizador de mídia detecta 15 números de segurança social no email, marcando-os assim como risco elevado. Um módulo de solicitação de combinação consulta uma base de dados de objeto de risco, o Subalgoritmo de gerenciamento de risco ao usuário, o subalgoritmo de isolamento de privilégio e o subalgoritmo de gerenciamento de entidades externas para medir ainda a gravidade da ameaça à segurança. Neste processo, todos os casos de política estática e comportamento dinâmico são acessados independentemente em cada subalgoritmo. Cada subalgoritmo avalia as regras relevantes que são necessárias para interpretar seu próprio contexto de um evento de segurança. A base de dados de objeto de risco, que contém objetos de risco que enumeram cada um incidente de segurança, retorna que 2 dos 15 SSNs foram vazados no passado, portanto, este evento atual é de risco elevado. O subalgoritmo de gerenciamento de risco ao usuário, que determina o risco geral do usuário, retorna que o funcionário é perigoso e possui comportamento prévio de vazamento de informações sensíveis. O subalgoritmo de análise de isolamento de privilégio, que decide se uma determinada ação/evento é permitido ou não, retorna que não é permitido ao funcionário incluir 15 SSNs em um email enviado. Os subalgoritmo de gerenciamento de entidades externas, que determina o risco geral de uma entidade não empresarial, retorna que o destinatário pretendido do e-mail é de risco elevado, falso e rede de empresa externa. A medida corretiva é tomada com base nos resultados. Devido ao risco do evento: (1) o email enviado é bloqueado; (2) todo o tráfego recebido e enviado para o funcionário é bloqueado e (3) o gerenciamento relevante é notificado.
[274] A Fig. 19 mostra a forma que um conjunto de regra estático é maturado conforme se adapta às ameaças de segurança variantes. Uma sequência de conjunto de regras geracional é produzida, sua evolução sendo canalizada por meio das definições de traço de 'personalidade'. Estes conjuntos de regra são usados para processar alertas de segurança de entrada e realizar a notificação e medida corretiva mais desejadas.
[275] Em referência a 116, os analistas de segurança virtual criam um conjunto de regra inicial para iniciar a cadeia de evolução.
[276] Na realização:
[277] Um email enviado que não é enviado do departamento de RH não pode ter > 5 números de segurança social.
[278] Em referência a 118, as Ameaças à segurança artificial (AST) é um sistema isolado que provê um ambiente compatível de exploração da segurança.
[279] Na realização:
[280] O sistema AST infectou um computador na LAN com vírus de computador. Este vírus de computador enviou informações sensíveis para fora da rede e bloqueou permanentemente o computador infectado.
[281] Uma via de evolução 120 é uma cadeia completa de gerações com 'personalidade' compatível. As gerações se tornam crescentemente dinâmicas conforme o tempo do CPU progride. O conjunto de regra estático inicial se torna menos predominante e potencialmente apagado ou anulado.
[282] Na realização:
[283] A via de evolução A possui um traço de ser rigorosa e cautelosa, com pouco perdão ou tolerância de suposição.
[284] A personalidade da via 122 é um grupo de variáveis que define as características reacionárias que devem ser exercidas nos eventos de segurança. Estes traços são definidos pelo ser humano diretamente e correlacionados ao observar o comportamento humano em reação a ameaças reais e artificiais à segurança.
[285] Ao saber qual grupo de decisões são de traços x e y, pode-se aplicar estes traços nos cenários de segurança providos pelo sistema de ameaças à segurança artificial (AST).
[286] Na realização:
[287] Exemplo de traços para tal sistema de segurança:
[288] - Realista: Sempre que há um determinado evento de segurança com uma correlação obscura, ele fornece o benefício de dúvida de que não há problema de segurança. O algoritmo então foca mais o tempo do CPU nas ameaças realistas e atuais.
[289] - Implacável: Se um determinado indivíduo ou sistema passou por um incidente de segurança anterior, ele tratará tal entidade de forma suspeita por um período mais longo.
[290] - Oportunista: Sempre que o algoritmo percebe uma potencial medida corretiva, ele buscará toda evidência possível para tentar e atingir tal medida corretiva.
[291] A Figs. 20, 21 descrevem o método no qual as vias de evolução paralelas são maturadas e selecionadas. As gerações iterativas adaptam-se às mesmas ameaças à segurança artificial (AST), e a via com os melhores traços de personalidade terminam resistindo às ameaças de segurança em sua maioria.
[292] O tempo do CPU 124 é uma medida da energia do CPU ao longo do tempo. Ele pode ser medido em ciclos/segundo do CPU. Usar o tempo isoladamente para medir a quantidade de exposição de processamento que uma via de evolução recebe não é suficiente, uma vez que a quantidade de núcleos e energia de cada CPU deve ser considerada.
[293] Na realização:
[294] Processar uma solicitação em que um Pentium III leva mil anos, pode levar 30 minutos com um processador Haswell.
[295] Em referência a 126, todas as vias de evolução são isoladas virtualmente para garantir que suas iterações sejam baseadas exclusivamente nos critérios de suas próprias personalidades.
[296] Na realização:
[297] A via B está completamente desinformada de que a Via C solucionou um problema de segurança difícil, e deve contar com seus próprios traços de personalidade e aprender dados para calcular uma solução.
[298] O sistema de monitoramento/interação 128 é a plataforma que injeta os eventos de segurança do sistema de Sistema de ameaça à segurança artificial (AST) e transmite as respostas de segurança associadas a partir da nuvem comportamental de segurança (tudo de acordo com os traços de personalidade especificados).
[299] Na realização:
[300] O sistema de monitoramento proveu à Via B as respostas de segurança necessárias para formular a Geração 12.
[301] As ameaças à segurança artificial (AST) 130 são um sistema isolado que provê um ambiente de exploração da segurança compatível. Ele provê simulações de segurança para analistas virtuais praticarem e treinarem o sistema a reconhecer diferentes potenciais respostas de segurança e traços.
[302] Na realização:
[303] O sistema AST infectou um computador na LAN com o vírus de computador. Este vírus de computador enviou informações sensíveis para fora da rede e bloqueou permanentemente o computador infectado.
[304] Em referência a 132, determinadas vias podem ser destruídas por atingirem um estado indefinido de serem incapazes de solucionar um problema de segurança. O resultado mais provável é que uma nova via deva ser gerada com uma personalidade modificada.
[305] Na realização:
[306] A Via D foi incapaz de solucionar um problema de segurança por uma centena de unidades de tempo de CPU. Portanto, toda a via foi destruída.
[307] Em referência a 134 (nuvem comportamental de segurança), o comportamento dos analistas de segurança virtual é processado e armazenado de modo que as vias de evolução possam aprender a partir delas.
[308] Na realização:
[309] A Via A encontrou diversas reações para ameaças à segurança que corresponderam à situação específica e ao tipo de personalidade otimista. A Via A então criou regras que imitam tal comportamento.
[310] Em referência a 136, os analistas virtuais são capazes de usar o sistema de monitoramento/interação para visualizar o desempenho das vias, bem como realizar modificações personalizadas. Os seres humanos fornecem ordens diretas ao sistema de monitoramento/interação, ou seja, abortam manualmente uma via, alteram variáveis principais em uma personalidade da via, etc.
[311] Na realização:
[312] Um analista virtual destrói manualmente a Via D porque observou que seu fraco desempenho se deve a uma combinação absurda de traços de personalidade.
[313] Em referência a 138, o Módulo de referência cruzada é a ponte analítica entre um evento de segurança e a resposta feita por um analista de segurança virtual. Após extrair uma medida significativa, ele a envia ao módulo de marcação de traço. Os eventos de segurança podem vir de eventos reais ou simulações de segurança.
[314] Na realização:
[315] Um analista virtual aumentou manualmente o risco de um email que apresentou 90% do limite permitido de SSNs por email. O Módulo de referência cruzada registrou a ação, bem como a característica de personalidade autoproclamada desta ação (que foi definida pelo analista de segurança virtual).
[316] O Módulo de marcação de traço 140 divide todo o comportamento de acordo com o(s) tipo(s) de personalidade.
[317] Na realização:
[318] Quando este analista de segurança virtual marcou este email com 4 SSNs como perigoso, o módulo marcou este como uma precaução devido à sua sobreposição comportamental com eventos anteriores, mas também devido ao analista ser uma pessoa cautelar autoproclamada.
[319] O Módulo de interação de traço 142 analisa a correlação entre diferentes personalidades. Estas informações são passadas à Nuvem comportamental de segurança, que então é passada para o sistema de monitoramento/interação e as próprias vias. A nuvem comportamental de segurança armazena os dados do processo de aprendizagem com máquina, que correlaciona os eventos de segurança, e qual resposta apropriada para realizar dependendo de quais traços são especificados.
[320] Na realização:
[321] As personalidades Implacável e Realista possuem uma grande sobreposição no uso e retorno de respostas similares para o mesmo evento.
[322] A Fig. 22 mostra o algoritmo de integração e análise de identificação de inteligência de ameaça virtual. Definição: O vírus de computador latente mascara-se como código normal que é parte do sistema, e quando é acionado, tenta enviar informações sensíveis a um servidor pirata externo. O vírus de computador pode ser acionado de uma marcação de tempo pré-programada, um evento interno (arquivo salvo com título, por exemplo, dados financeiros) ou um evento externamente estimulado, como o recebimento de um email inócuo.
[323] O vírus de computador com padrões conhecidos, comprovados e previsíveis são passados para iteração para determinar o potencial futuro e o vírus de computador desconhecido que o sistema ainda não interage diretamente. O vírus de computador teórico e iterado e o vírus de computador conhecido são comparados a blocos de código encontrados no sistema da empresa (arquivos/programas de PC(s), arquivos do Servidor(es), arquivos da(s) base(s) de dados, etc.). Caso haja uma sobreposição significativa na assinatura do vírus de computador, ele é mantido em quarentena e quaisquer tentativas de estímulo são detectadas precocemente. Suas consequências (ou seja, envio de dados confidenciais da empresa para um servidor pirata externo) são bloqueadas antes da viabilização.
[324] As Figs. 23 a 26 mostram o módulo de criatividade que realize o processo de criação de forma inteligente de novas formas híbridas fora das formas anteriores, e é usado como uma ligação no módulo para algoritmos múltiplos de serviço.
[325] Em referência a 144, duas formas principais (formas anteriores) são enviadas ao seletor inteligente para produzir uma forma híbrida. Estas formas podem representar constructos abstratos de dados. O algoritmo do seletor inteligente 146 seleciona e combina os novos recursos em uma forma híbrida.
[326] Na realização:
[327] A Forma A representa um modelo médio de uma exploração de segurança originada de uma base de dados de exploração. A Forma B representa uma nova liberação de informações por um conjunto de regra de segurança sobre como ele reagiu a uma exploração de segurança. As informações na Forma B permitem que a forma híbrida produzida seja uma melhor exploração de segurança que aquela que a Forma A representa.
[328] O modo 148 define o tipo de algoritmo no qual o módulo de criatividade está sendo usado. Desta forma, o Seletor inteligente sabe quais partes são apropriadas para combinar, dependendo da aplicação que está sendo usada. O sistema pré-configurou os modos para configurar o processo de combinação para lidar com os tipos de conjuntos de dados de entrada e qual é o tipo de saída desejada. A quantidade de informações de sobreposição é filtrada, de acordo com a proporção estabelecida pelos Critérios estáticos. Se a proporção é estabelecida como grande, então uma grande quantidade de dados de formulário que permaneciam compatíveis será combinada na forma híbrida. Se a proporção é estabelecida como pequena, então a maioria da forma híbrida que será construída possui uma forma muito diferente de suas iterações anteriores. Quando os conjuntos de dados competem para definir um recurso no mesmo local no formulário, um processo de priorização ocorre pAra escolher quais recursos são importantes e quais são sobrepostos e ocultos. A maneira na qual os pontos de sobreposição são combinados. Na maior parte do tempo, há diversas maneiras nas quais pode ocorrer uma combinação específica, portanto, os critérios estáticos e o modo direcionam este módulo a preferir uma determinada combinação em vez de outra.
[329] Na realização:
[330] O modo é estabelecido como 'Ameaça à segurança artificial', portanto, o seletor inteligente sabe que os dados de entrada esperados são de uma representação da base de dados de exploração (Forma A) e de informações recém- liberadas que detalharam uma reação do conjunto de regra para uma exploração de segurança (Forma B). O modo atribuído define o método detalhado sobre como melhor combinar os novos dados com os antigos para produzir uma forma híbrida eficaz.
[331] Os critérios estáticos 150 são providos por um analista de segurança virtual, que provê personalizações genéricas para como as formas devem ser combinadas. Estes dados podem incluir priorizações de classificação, proporções desejadas de dados e dados para combinação direta, que é dependente de qual modo é selecionado.
[332] Na realização:
[333] Se o modo é selecionado como 'Ameaça à segurança artificial', então as informações resultantes de uma falha de exploração devem influenciar intensamente a base de dados de exploração a variar fortemente a composição de tal exploração. Se a exploração continua falhando após estas variações, então abandone completamente a exploração.
[334] Uma comparação básica 152 é realizada em ambas as formas de entrada, dependente dos critérios estáticos providos pelo analista de segurança virtual.
[335] Na realização:
[336] Após uma comparação básica ter sido realizada, a grande maioria das formas foi compatível, de acordo com os critérios estáticos. As únicas diferenças encontradas foram que a Forma A incluiu uma resposta que foi marcada pelos critérios estáticos como 'externa'. Isto significa que a Forma B de representação da base de dados de exploração não abrange/representa uma determinada anomalia que foi encontrada na Forma A.
[337] Em referência a 154, classificar o que é importante e não importante, de acordo com os critérios estáticos providos.
[338] Na realização:
[339] Devido a uma anomalia ter sido encontrada na Forma A que não é representada na Forma B, os critérios estáticos reconhecem que esta anomalia é de importância crucial, portanto, resulta em uma modificação latente realizada no processo de combinação para produzir a Forma híbrida AB,
[340] Em referência a 156 (combinação - modo, proporção, prioridade, estilo). O que permanece igual e o que se descobriu ser diferente são remontados em uma forma híbrida com base nos critérios estáticos e no Modo que está sendo usado. Estas variações podem incluir a distribuição de proporção de dados, importância de determinados dados e como os dados devem se enredar/relacionar.
[341] Na realização:
[342] A importância de classificação da composição da anomalia é recebida. Após os ajustes apropriados serem realizados, um processo que é guiado pelos critérios estáticos identifica se aquela reação à anomalia é incompatível com as demais partes dos dados. O processo de combinação então modifica estes dados preexistentes de modo que a correção da anomalia possa se misturar de forma eficaz aos dados preexistentes.
[343] Em referência a 158, apenas quando um traço pode ocupar um determinado ponto (destacado em vermelho), então ocorre um processo de priorização para escolher qual recurso. Quando ambos os conjuntos de dados competem para definir um recurso no mesmo local na forma, ocorre um processo de priorização para escolher quais recursos são mais latentes e quais são sobrepostos e ocultos.
[344] Na realização:
[345] No diagrama, os dois possíveis resultados são mostrados. Na realidade, apenas uma destas formas pode ser a saída final.
[346] Em referência a 160, na maior parte do tempo, há formas sobrepostas entre os recursos, portanto, uma forma com traços combinados pode ser produzida. A maneira na qual os pontos de sobreposição são combinados. Na maior parte do tempo, há diversas maneiras de uma combinação específica poder ocorrer, portanto, os critérios estáticos e modo direcionam este módulo a preferir uma determinada combinação em vez de outra.
[347] Na realização:
[348] Quando um triângulo e um círculo são providos como formas de entrada, um formato de 'pac-man' pode ser produzido.
[349] A Fig. 27 mostra o módulo comportamental de segurança. Os eventos, e suas respectivas respostas e traços, são armazenados e indexados para futuras consultas.
[350] Em referência a 162 (armazenamento de evento + resposta), um evento e sua respectiva resposta são armazenados. A composição de traço é definida, bem como os Pontos de Interesse (POI) de segurança indexados para consultar facilmente os eventos de segurança com suas respostas apropriadas.
[351] Na realização:
[352] O evento de SSNs sendo transferidos por meio de FTP durante horas é armazenado. A resposta de bloqueio da transferência, bem como cada entidade relacionada diretamente ao remetente e destinatário é marcada como resposta preventiva. O POI é o tipo de SSN e o protocolo FTP.
[353] Em referência a 164 (grupo de POI de segurança), os POIs são armazenados aqui por referências, e para ligar com o índice de traço. Desta forma, se alguém procurar um traço com alguns critérios, verão eventos que estão armazenados. Estes eventos são consultados por meio dos índices de POI.
[354] Na realização:
[355] Uma consulta para procurar traços rigorosos e neutros que lidam com SSNs é enviada. Os POIs relevantes são procurados no grupo de POI, e o armazenamento relevante de Evento + Resposta é recuperado e devolvido.
[356] Uma consulta externa 166 é realizada para procurar Traços ou Eventos + Respostas.
[357] Na realização:
[358] Uma consulta para procurar eventos que lidam com o protocolo FTP é enviada. Os POIs relevantes são procurados no grupo de POI, e o armazenamento relevante de Evento + Resposta é recuperado e devolvido.
[359] Em referência a 168 (índice de traço), a interface de POI conecta as estatísticas de traço com os Eventos + Respostas relevantes.
[360] Na realização:
[361] É realizada uma consulta de traço para perguntar se uma personalidade otimista bloquearia mais de 5 SSNs enviados para fora. A interface de POI procura o POI de SSN, e recupera os Eventos + Respostas para ilustrar o que uma personalidade otimista faria.
[362] A Fig. 28 mostra o módulo analisador de resposta. O analisador de resposta monitora as reações humanas a cenários de segurança e difere o tipo de traços comportamentais que alimentam uma resposta de segurança.
[363] Em referência a 170, os Dados descritivos do cenário de segurança (quer seja real ou uma simulação) são recebidos.
[364] Na realização:
[365] O cenário de segurança A descreve uma quantidade atípica de SSNs sendo enviada por meio de uma porta FTP durante o horário da empresa.
[366] Em referência a 172, os Pontos de Interesse (POI) de segurança conhecidos são providos pelo Módulo comportamental de segurança. Estes POIs ajudam na avaliação do cenário de segurança e quais partes importam na conjunção com a resposta humana.
[367] Na realização:
[368] O SSN sendo enviado é um POI, de modo que são destacados no cenário de segurança e são procurados na resposta humana.
[369] Em referência a 174, o analista de segurança virtual que está respondendo a ameaça à segurança marca cada ação com um determinado traço. Estas informações são enviadas ao Módulo de marcação de traço.
[370] Na realização:
[371] O analista de segurança virtual John marcou sua resposta ao vazamento de segurança de SSN como uma resposta 'rigorosa' e 'pessimista'.
[372] Em referência a 176, o Módulo de marcação de traço associa a resposta de segurança ao seu respectivo traço. Isto é realizado com uma mistura de traços autoprevistos pelo ser humano e a correlação de padrão do comportamento de segurança anterior. A detecção de padrão verifica a sobreposição com o comportamento de segurança anterior, e então, caso haja marcação de autoprevisão, verifica para observar se isto comprova a decisão do módulo. Estas variáveis alteram a confiança final na marcação do módulo.
[373] Na realização:
[374] O comportamento de segurança anterior indica que a resposta de segurança A é 'pessimista', e o traço autodescrito é 'neutro'.
[375] Em referência a 178, o Módulo de interação de traço recebe uma Composição de traço do Módulo de marcação de traço, e avalia sua compatibilidade interna.
[376] Na realização:
[377] A Composição de traço inclui um forte traço pessimista e um forte traço otimista. Estes dois são mutuamente exclusivos, portanto, o envio do traço é cancelado.
[378] Em referência a 180, o cenário de segurança inicial é sua resposta com os traços compatíveis são depositados na nuvem comportamental de segurança.
[379] Na realização:
[380] A resposta a uma quantidade atípica de SSNs sendo enviada sobre FTP durante o horário deve bloquear a transação e cada entidade relacionada ao remetente e destinatário. Isto é marcado como tendo um traço preventivo.
[381] A Fig. 29 mostra um algoritmo de detecção e análise de comportamento virtual nefasto e anômalo. Definição: Vírus de computador latente é remotamente plantado em uma rede ao visitar um website, clicar em um email de phishing ou usar um pen drive infectado, etc. Após a ativação, o vírus de computador realiza atividade nefasta que não é detectável a partir de uma pequena quantidade isolada de alertas, mas ao contrário, um grande volume de alertas recebidos de uma variedade de fontes que provem o volume de dados necessários para o algoritmo detectar a atividade nefasta. Os eventos individuais possuem uma avaliação de risco muito baixo. No entanto, quando são interpretados para um padrão de larga escala, representam coletivamente um grande risco e potencial código capaz de atividade nefasta. O identificador de tipo de informação detecta o tipo/atributo de informações, de modo que possa ser realizada uma comparação precisa. O subalgoritmo de detecção de conspiração verifica todas as possíveis combinações de atributo contra a base de dados para quaisquer similaridades. O subalgoritmo de detecção de conspiração recebe diversos eventos (relacionados e não relacionados). Ele realiza uma comparação de padrão de larga escala com os eventos de segurança significativos anteriores. Ele relata o risco e a medida corretiva apropriada é tomada. No estágio de medida corretiva, uma avaliação de risco geral é calculada através de gerações iteradas automatizadas (análise) de alertas de segurança que demonstraram força em resistir a ataques e direcionamento de vírus de computador. A geração ativa recebe a avaliação de risco de 95% e provê uma medida corretiva inteligentemente formulada.
[382] A Fig. 30 mostra um módulo de ameaça à segurança artificial. Este módulo provê um cenário de segurança hipotético para testar a eficácia dos conjuntos de regras de segurança. As ameaças à segurança são compatíveis em gravidade e tipo para prover uma comparação significativa de cenários de segurança.
[383] Em referência a 182, um conjunto de regras de segurança que é testado com uma exploração artificial. Após ser realizada uma exploração, a 'Resposta de Resultado' provê um resultado imediato e simples caso a exploração tenha sido trabalhada e caso deva ser incorporada à base de dados de exploração. A 'Liberação de Informações' provê detalhes ao Módulo de criatividade sobre como a próxima exploração deve se parecer (as informações são combinadas entre a 'Liberação de Informações' e a base de dados de exploração).
[384] Na realização:
[385] A exploração de segurança A falhou em penetrar o conjunto de regra, portanto, a base de dados de exploração é imediatamente notificada para desvalorizar a exploração por meio da 'Resposta de Resultado'. Então o módulo de criatividade forma a próxima exploração por meio de nova 'Liberação de Informação' e as explorações preexistentes na base de dados de exploração. Desta forma, a exploração recém- realizada não enfrenta a mesma fraqueza que a anterior enfrentou.
[386] Em referência a 184 (grupo de exploração de segurança compilada), é realizada uma exploração. É realizada como um grupo, o que significa que todas as vias de evolução foram testadas em paralelo e simultaneamente com exatamente a mesma exploração. Desta forma, uma competição legítima entre elas pode ser realizada para discernir a melhor via.
[387] Na realização:
[388] Das 5 vias de evolução que foram testadas no grupo de exploração, apenas 2 resistiram à exploração.
[389] Em referência a 186, o modo define o tipo de algoritmo daquele módulo de criatividade que está sendo usado. Desta forma, o Seletor inteligente sabe quais partes são adequadas para combinar, dependendo da aplicação que é usada.
[390] Na realização:
[391] O Modo é ajustado como 'Ameaça à segurança artificial', assim o seletor inteligente sabe que os dados de entrada esperados são de uma representação da base de dados de exploração (Forma A) e que as informações recém-liberadas detalharam uma reação do conjunto de regra a uma exploração de segurança (Forma B). O modo atribuído define o método detalhado sobre como melhor combinar os novos dados com os antigos para produzir uma forma híbrida eficaz.
[392] Em referência a 188, o Módulo de criatividade produz de forma inteligente uma exploração híbrida que usa as forças das explorações anteriores e evita fraquezas conhecidas nas explorações (conforme sabido pelas ‘Informações Liberadas’).
[393] Na realização:
[394] A exploração de segurança A falhou em penetrar o conjunto de regra. A exploração B é produzida ao remover a fraqueza que foi encontrada na exploração A e tornar proeminentes as forças conhecidas da base de dados de exploração que envolvem a fraqueza que causou a falha da exploração A.
[395] O gerenciamento de supervisão 190 serve para monitorar e rastrear os desenvolvimentos no armazenamento e uso da exploração. Estas explorações podem ser produzidas/modificadas/removidas manualmente pelos analistas de segurança virtual.
[396] Na realização:
[397] O analista de segurança virtual monitorou um determinado padrão de desenvolvimento de exploração por uma semana. Ele observou que seu progresso está melhorando, no entanto, ele mesmo produz uma melhor exploração. Ele remove a antiga da base de dados de exploração e conecta em sua exploração produzida manualmente.
[398] Em referência a 192 (base de dados de exploração), as explorações são armazenadas com o histórico comportamental conhecido (como as explorações realizadas no passado em determinadas condições). A importância da exploração também é armazenada, de modo que o Módulo de criatividade possa considerar a importância conhecida de uma exploração.
[399] Na realização:
[400] A exploração A é uma das explorações mais fortes e confiáveis na base de dados. Ela possui um longo histórico de bom trabalho em condições variantes e contra conjuntos de regra variantes. É rotulada como valor/importância elevado na base de dados de exploração.
[401] Os critérios estáticos 194 são providos por um analista de segurança virtual, que provê as personalizações genéricas para como as formas devem ser combinadas. Estes dados podem incluir priorizações de classificação, proporções desejadas de dados e dados para combinação direta, que é dependente de qual modo é selecionado.
[402] Na realização:
[403] O modo é selecionado como 'Ameaça à segurança artificial'. As informações resultantes de uma falha de exploração influenciam profundamente a base de dados de exploração para variar fortemente a composição de tal exploração. Se a exploração continua falhando após estas variações, então se abandona a exploração completamente.
[404] A Fig. 31 mostra o módulo do sistema de monitoramento/interação. Este módulo é o intermediário entre as vias de evolução e os bancos de dados/intervenção humana.
[405] Em referência a 196, o comportamento dos analistas de segurança virtual é processado e armazenado, de modo que as vias de evolução possam aprender com eles.
[406] Na realização:
[407] A Via A encontrou várias reações de ameaças à segurança que corresponderam à situação específica e ao tipo de personalidade otimista. A Via A então cria regras que imitam este comportamento.
[408] Em referência a 198, o Módulo de criatividade é usado aqui para produzir a próxima geração para uma via. As duas formas de entrada são comportamento de segurança compilado do 196 e variáveis do módulo de revisão de segurança 204. A forma híbrida resultante é enviada ao Processador de iteração 202.
[409] Na realização:
[410] O módulo de revisão de segurança relatou a geração 9 como fraca. Ele destaca os erros de segurança e o transmite para o Módulo de criatividade. O Módulo de criatividade realiza seu processo de combinação com o comportamento de segurança conhecido para produzir uma geração mais flexível que soluciona a falha de segurança.
[411] Em referência a 200, os critérios estáticos são providos por um analista de segurança virtual que provê personalizações genéricas para como as formas devem ser combinadas. Estes dados podem incluir as priorizações de classificação, proporções desejadas de dados e os dados para combinação direta, que é dependente de que modo é selecionado.
[412] Na realização:
[413] O Modo é selecionado como 'Processador de iteração'. As informações resultantes do 'Módulo de revisão de segurança' indicam uma falha de segurança na geração atual. Estas informações são combinadas com o comportamento de segurança conhecido para produzir uma geração híbrida que repara a falha de segurança.
[414] Em referência a 202, o Processador de iteração processa a forma híbrida enviada do Módulo de criatividade, e monta uma nova geração que se integra na via de evolução relevante.
[415] Na realização:
[416] O Módulo de criatividade enviou os pontos de constructo para a geração 10. O processamento da geração 9 foi suspenso, a geração 10 foi carregada no ambiente virtualizado e as ameaças de segurança foram ativadas.
[417] Em referência a 204, o módulo de revisão de segurança recebe variáveis de relatório da via de evolução para avaliar seu desempenho de segurança contra o Sistema de ameaça à segurança artificial (AST). Ele envia o relatório montado para a visualização do analista de segurança virtual, e para o Módulo de criatividade iterar a próxima geração.
[418] Na realização:
[419] A geração 9 relatou variáveis que se igualam a uma falha de segurança, de modo que o módulo de visualização foi notificado e o Módulo de criatividade recebeu os detalhes necessários para produzir uma forma híbrida (próxima geração) que omite tais falhas de segurança.
[420] A Fig. 32 mostra o módulo de revisão de segurança, que pertence exclusivamente ao sistema de monitoramento/interação.
[421] O Módulo de criatividade envia uma forma híbrida para o Processador de iteração 206, que gerencia as tarefas técnicas de carregamento da próxima geração.
[422] Na realização:
[423] O Módulo de criatividade enviou os pontos de constructo para a Geração 10. O processamento da Geração 9 foi suspenso, a Geração 10 foi carregada no ambiente virtualizado e as ameaças de segurança foram ativadas.
[424] A nuvem comportamental de segurança 208 é usada para prover uma forma de entrada para o Módulo de criatividade e fornecer Eventos + Respostas relevantes ao Módulo de revisão de segurança. Os critérios são determinados por meio de uma Consulta ao índice de traço.
[425] Na realização:
[426] Foi realizada uma Consulta ao índice de traço para 'muito pessimista'. Portanto, os Eventos + Respostas que estão relacionados a uma composição de traço geral pessimista foram providos ao módulo de segurança para procurar fraqueza no conjunto de regra. A nuvem comportamental de segurança também proveu uma forma básica para a entrada criar uma forma híbrida pessimista geral.
[427] Em referência a 210, quando é recebida uma avaliação de desempenho insuficiente, o Módulo de criatividade itera uma nova geração para tentar superar as falhas. Se é recebida uma boa avaliação de desempenho, o Módulo de revisão de segurança tenta encontrar uma melhor exploração para romper a exploração.
[428] Na realização:
[429] O conjunto de regra realizou muito bem, assim a geração não foi iterada, mas, ao contrário, uma exploração relevante mais forte foi encontrada na consulta de Eventos + Respostas, e está próximo a ser executada contra a geração.
[430] Em referência a 212, a personalidade de via provê uma composição de traço para informar a nuvem comportamental de segurança e eventualmente o Módulo de criatividade sobre diretrizes de como o conjunto de regra geracional deve ser composto.
[431] Na realização:
[432] Como esta personalidade de via é, no geral, 'rigorosa', o Módulo de criatividade recebeu formas que mantêm os traços e características de traços. Mesmo após muitas iterações, o conjunto de regra ainda mantém uma personalidade geral de 'rigorosa'.
[433] As Figs. 33 a 36 mostram o módulo de orientação de crescimento automatizado, que auxilia uma camada entre o ser humano e as funções controladas por seres humanos para automatizar mais o crescimento do sistema e manutenção em larga escala.
[434] Em referência a 214, no modo manual, o analista de segurança virtual controla diretamente as variáveis relevantes. No modo automático, o analista controla muito menos variáveis e todo o processo de controle é automatizado para guiar o crescimento do sistema em larga escala.
[435] Na realização:
[436] O sistema foi colocado em Modo automático e as configurações neutras, portanto, todo o sistema foi melhor ajustado para eventualmente se adaptar a todas as formas de ameaças à segurança e ao ambiente de personalização da rede empresarial.
[437] Em referência a 216, estão listados os diversos módulos que recebem controle direto de seres humanos e, portanto, o sistema de orientação de crescimento automatizado, e atua como uma ponte entre o ser humano e o módulo.
[438] Na realização:
[439] O sistema de orientação de crescimento automatizado liga automaticamente o módulo de ameaça à segurança artificial para prover ameaças mais eficazes em longo prazo.
[440] Em referência a 218, é provido o tipo do módulo para discernir qual é o resultado/comportamento do módulo desejado. A resposta forçada é um mecanismo de resposta em que um módulo informa sobre sua condição atual toda vez que recebe novas instruções.
[441] Na realização:
[442] O tipo de módulo é estabelecido como Ameaça à segurança artificial (AST), portanto, o resultado desejado é calculado ao dizer ao Módulo de criatividade qual é o tipo.
[443] Em referência a 220, as variáveis de nível elevado são poucas em número e ainda são controladas pelos seres humanos. Elas direcionam todo o sistema em larga escala e de longo prazo.
[444] Na realização:
[445] A variável 'segurança do sistema' foi estabelecida como elevada, portanto, todo o sistema foi estabelecido como configurações não perigosas, graduais e previsíveis.
[446] Em referência a 222, o Módulo de criatividade discerne um novo resultado desejado após ter recebido o resultado desejado anterior e o resultado atual.
[447] Na realização: O novo resultado desejado é aquele que o Sistema de ameaça à segurança artificial (AST) deve ser mais agressivo.
[448] Em referência a 224, o resultado atual (status e estado do módulo) é armazenado na base de dados de rastreamento do módulo. Isto é preenchido diretamente pelo próprio módulo e o Módulo de criatividade (esta parte especificamente serve para controles teóricos que podem ser implementados no futuro). A base de dados de rastreamento de módulo provê ela mesma uma forma de entrada para o Módulo de criatividade, que reflete o padrão de crescimento internamente escolhido para o módulo controlado.
[449] Na realização:
[450] O rastreamento de módulo escolhe internamente um padrão alternativo devido ao fato do anterior não estar trabalhando. Este novo padrão de dados foi enviado ao Módulo de criatividade como uma forma de entrada.
[451] Em referência a 226, o Módulo de criatividade envia os novos controles para o módulo, para o rastreador de módulo e o próprio módulo.
[452] Na realização:
[453] O Módulo de criatividade produzido controla o sistema AST que o ensinou uma nova exploração com o protocolo FTP.
[454] Em referência a 228, os módulos são controlados em paralelo, exceto para o rastreamento de módulo, que opera em um único modo e é dividido para lidar com diversos módulos simultaneamente.
[455] - Os módulos são controlados em paralelo, exceto para o rastreamento de módulo, que opera em um único modo e é dividido para lidar com diversos módulos simultaneamente.
[456] Na realização:
[457] O sistema AST e o receptáculo da via de evolução foram modificados simultaneamente em duas ameaças de processamento separadas.
[458] Em referência a 230, a resposta do módulo controlado é armazenada na base de dados realista, que representa as informações originadas do histórico do módulo atual.
[459] Na realização:
[460] O AST envia a resposta de que suas explorações de segurança estavam atuando muito insuficientemente no geral.
[461] Em referência a 232, a base de dados teórica contém controles teóricos (não confundir com resultados desejados, que lidam especificamente com resultados e não controles) para o módulo. Estes resultados teóricos são preenchidos pelo Módulo de criatividade.
[462] Na realização:
[463] O Módulo de criatividade enviou o controle teórico do sistema AST realizando uma nova exploração do protocolo FTP.
[464] Em referência a 234, se um controle é realizado conforme o esperado, aquele mesmo padrão de crescimento é mantido, e o inverso é verdadeiro. Os padrões de crescimento afetam a entrada do Módulo de criatividade
[465] Na realização:
[466] O padrão de crescimento adiciona rapidamente novos tipos de exploração ao sistema AST que está trabalhando, assim o Módulo de criatividade persiste neste padrão de crescimento.
[467] RASTREAMENTO PREVISTO DE VÍRUS DE COMPUTADOR
[468] As Figs. 37 a 45 mostram o algoritmo de rastreamento previsto de vírus de computador, que impulsiona o Módulo de criatividade a interar os padrões de evolução do vírus de computador com diversos escopos. Estes escopos de iteração representam diferentes prioridades na análise em longo prazo da previsão do vírus de computador, que enfrenta uma troca entre a precisão e a eficiência. Ameaças conhecidas são usadas como uma analogia para prever a faixa e composição de ameaças conhecidas.
[469] Em referência à Fig. 37, o vírus de computador existente é iterado para considerar variações teóricas na composição. Conforme o tempo teórico progride, o vírus de computador evolui interagindo com o módulo de criatividade.
[470] Em referência à Fig. 38, o escopo de iteração representa o grau de variação do vírus de computador por iteração. Um escopo de iteração restrito significa apenas que as iterações mais esperadas são processadas. Uma iteração restrita possui um alto retorno no investimento por tempo de CPU, mas é menos provável de prever formação de vírus de computador real. Um escopo de iteração ampla significa que muitas iterações são processadas, mesmo que sejam improváveis de representar uma evolução de vírus de computador atual na vida real. Um escopo de iteração ampla é mais provável de prever uma formação de vírus de computador real, mas à custa do aumento do tempo de CPU por previsão correta. Um escopo de iteração dinâmica alterna-se ente a ampla e a restrita, de acordo com quaisquer critérios desejados e eficazes.
[471] Em referência à Fig. 39, a CATEGORIA A representa ameaças de vírus de computador confirmadas com histórico comprovado de reconhecimento e remoção. A CATEGORIA B representa o vírus de computador que o sistema sabe existir, mas não é capaz de reconhecer nem remover com absoluta confiança. A CATEGORIA C representa o vírus de computador que é completamente desconhecido ao sistema em toda forma possível. O processo de previsão de vírus de computador se inicia com as ameaças de vírus de computador conhecido. Para cada iteração bem-sucedida, a iteração tenta cobrir o máximo de ameaças da Categoria B possível. Se o escopo da iteração é mais amplo, ele cobre mais ameaças da Categoria C como uma prioridade secundária.
[472] Em referência às Fig. 40 a 41, o processo se inicia a partir da categoria A. O vírus de computador conhecido é enviado ao Módulo de criatividade para produzir uma forma híbrida que inclui possíveis variações que representam vírus de computador atualmente conhecido. Pela nuvem comportamental de segurança, os Eventos de segurança + Respostas anteriores são enviados ao Módulo de criatividade para prever a ameaça conhecida. Então, com base na categoria B, um processo teórico representa a melhor estimativa de como é uma ameaça desconhecida. O algoritmo não possui confirmação, mas realizou uma previsão confiante com base no comportamento de segurança anterior. Um processo baseado na categoria C representa a ameaça atual que o sistema não tem ciência e tenta prever. Normalmente, a ameaça teorizada não será exatamente idêntica à ameaça desconhecida real ainda que uma sobreposição ampla na assinatura ainda produza uma defesa eficaz.
[473] Em referência à Fig. 42, é produzido um padrão para representar a transição de uma iteração conhecida e confirmada. O padrão de transição é então usado para prever uma ameaça atualmente desconhecida. O padrão de transição é usado para prever qual vírus de computador conhecido pode se desenvolver. As peças adicionadas não são exatamente iguais àquelas que foram adicionadas na iteração conhecida, porque este grupo de cor correspondeu melhor à ameaça inicial. Isto significa que a iteração de padrão é dinâmica e as características iterativas dependem da entrada inicial.
[474] Em referência às Figs. 43 a 44, em relação à categoria C, uma ameaça desconhecida que foi enfrentada por um cenário de segurança ou encontrada em estado selvagem é analisada e armazenada como uma ameaça conhecida. Então é comparada á previsão que foi realizada na Categoria B. É realizada uma comparação entre a previsão e a realidade, e os resultados são armazenados na nuvem comportamental de segurança. Estas informações serão usadas para realizar uma melhor previsão na próxima vez por meio da nuvem comportamental de segurança recém-atualizada provendo uma forma de entrada para o Módulo de criatividade. A ameaça desconhecida se torna conhecida devido à interação eventual no cenário de segurança real. Então, é realizada uma comparação para discernir quão preciso foi na estimativa da estrutura do vírus de computador anteriormente desconhecido.
[475] Em referência à Fig. 45, apesar de os exemplos mostrados não refletirem a correlação potencialmente mais avançada que pode ser realizada entre formato/cor/posição e função/atributo, muitos exemplos de vírus de computador são ilustrados que podem ser representados por determinados atributos. Por exemplo, as quatro combinações de diferentes formatos geométricos representam genótipo, uma composição sintática das funções ou atributos do vírus de computador. Os quatro fenótipos de vírus de computador representam a manifestação descritiva e prática das funções ou atributos de vírus de computador, que são (1) uma exploração de transferência de arquivo que executa o código falso por meio do protocolo FTP; (2) uma exploração de transferência de arquivo que executa o código falso por meio do protocolo SSH; (3) uma estratégia de interceptação de intermediário. O vírus de computador finge ser o alvo protendido; e (4) este vírus de computador finge ser o alvo do servidor de arquivo pretendido e explora o protocolo SSH usado para acessar os arquivos a partir do computador, tentando se registrar.
[476] As Figs. 46 a 56 são diagramas esquemáticos que mostram um mapa de dependência entre os algoritmos e/ou os módulos para o sistema de segurança da rede da presente invenção.
[477] A Fig. 4 6 é um diagrama esquemático que mostra as dependências para os algoritmos gerais. O algoritmo de crescimento de inteligência iterativa produz conjuntos de regra geracionais e os canais da evolução por meio das definições de traço de 'personalidade'. Estes conjuntos de regras são usados para processar os alertas de segurança recebidos e realizar a notificação e medida preventiva mais desejadas. O algoritmo de crescimento de inteligência iterativa depende do módulo de criatividade, do módulo de ameaça à segurança artificial, do módulo comportamental de segurança e do módulo da via de evolução.
[478] No algoritmo de evolução iterativa, vias de evolução paralelas são maturadas e selecionadas. As gerações iterativas se adaptam às mesmas Ameaças à segurança artificial (AST), e a via com os melhores traços de personalidade terminam resistindo mais às ameaças de segurança. O algoritmo de evolução iterativa depende do monitoramento do módulo de sistema de iteração, do módulo de ameaça à segurança artificial, do módulo comportamental de segurança e do módulo da via de evolução.
[479] O algoritmo da via de evolução X é uma série de gerações de conjunto de regras virtualmente contida e isolada. As características de evolução e o critério são definidos pela personalidade de via X. O módulo de orientação de crescimento automático, o módulo de evolução iterativa e o módulo de crescimento de inteligência iterativa dependem do algoritmo da via de evolução X.
[480] A Fig. 47 é um diagrama esquemático que mostra as dependências para os subalgoritmos. O Subalgoritmo identificador do tipo de informação determina o tipo/natureza de dados desconhecidos. Ele pode determinar se os dados desconhecidos são um número de segurança social, endereço residencial, número de telefone, etc. O subalgoritmo de detecção de conspiração, o subalgoritmo de análise de isolamento de privilégio, o subalgoritmo digitalizador de mídia, o subalgoritmo de gerenciamento de entidades externas, e o módulo de atividade nefasta dependem do subalgoritmo identificador do tipo de informação.
[481] O Subalgoritmo de detecção de conspiração provê uma verificação de histórico de rotina para diversos eventos de segurança de 'conspiração' e tenta determinar os padrões e correlações entre eventos de segurança aparentemente não relacionados. O subalgoritmo de detecção de conspiração depende do subalgoritmo identificador do tipo de informação e do módulo comportamental de segurança.
[482] O Subalgoritmo digitalizador de mídia recebe um documento/foto, etc., e verifica a transferência de informações ilegais e comportamento incompatível/suspeito para a composição esperada de tal mídia. O subalgoritmo digitalizador de mídia depende do subalgoritmo identificador do tipo de informação e do subalgoritmo de gerenciamento de risco ao usuário. O módulo de cenário de caso de segurança 1 depende do subalgoritmo digitalizador de mídia.
[483] O Subalgoritmo de análise de isolamento de privilégio é um processo consistentemente recorrido que determina se é permitido que um usuário ou processo esteja em seu setor de atividade. O subalgoritmo de análise de isolamento de privilégio depende do subalgoritmo identificador do tipo de informação, do subalgoritmo de gerenciamento de risco ao usuário e do módulo comportamental de segurança. O módulo de cenário de caso de segurança 1 depende do subalgoritmo de análise de isolamento de privilégio.
[484] O Subalgoritmo de gerenciamento de risco ao usuário determina a avaliação de risco geral para um usuário. Os fatores de risco incluem violações de política, uso excessivo, operações suspeitas promovidas, etc. O subalgoritmo de gerenciamento de risco ao usuário depende do módulo comportamental de segurança. O subalgoritmo digitalizador de mídia, o subalgoritmo de análise de isolamento de privilégio, o subalgoritmo de gerenciamento de entidades externas e o módulo de cenário de caso de segurança 1 depende do subalgoritmo de gerenciamento de risco ao usuário.
[485] O Subalgoritmo de gerenciamento de entidades externas gerencia ameaças externas percebidas pela atualização e desvalorização constante de sua gravidade com base em solicitações que realizam para a rede isolada da empresa. O subalgoritmo de gerenciamento de entidades externas depende do subalgoritmo identificador do tipo de informação, do subalgoritmo de gerenciamento de risco ao usuário e do módulo comportamental de segurança. O módulo de cenário de caso de segurança 1 depende do subalgoritmo de gerenciamento de entidades externas.
[486] As Figs. 48 a 56 são diagramas esquemáticos que mostram as dependências para os módulos. No Módulo comportamental de segurança, os eventos e suas respostas de segurança e os traços são armazenados e indexados para consultas futuras. Os subalgoritmos da detecção de conspiração, a análise de isolamento de privilégio, o gerenciamento de risco ao usuário, o gerenciamento de entidades externas; algoritmos da evolução iterativa e o crescimento de inteligência iterativa; módulos do sistema de interação de monitoramento, o vírus de computador latente, o analisador de resposta, o módulo de revisão de segurança e o rastreamento previsto do vírus de computador dependem do módulo comportamental de segurança.
[487] O módulo de criatividade inclui o processo de criação de forma inteligente de novas formas híbridas fora das formas anteriores, e é usado como uma ligação no módulo a algoritmos de diversos serviços. O algoritmo de crescimento de inteligência iterativa e os módulos da ameaça à segurança artificial, a revisão de segurança, o sistema de iteração de monitoramento, o rastreamento de previsão de vírus de computador, orientação de crescimento automatizado e o vírus de computador latente dependem do módulo de criatividade.
[488] O módulo de ameaça de segurança artificial provê um cenário de segurança hipotético para testar a eficácia dos conjuntos de regra de segurança. As ameaças à segurança são compatíveis em gravidade e tipo a fim de prover uma comparação significativa dos cenários de segurança. O módulo de ameaça à segurança artificial depende do módulo de criatividade. Os algoritmos da evolução iterativa e do crescimento de inteligência iterativa; e módulos do sistema de interação de monitoramento, a revisão de segurança e a orientação de crescimento automatizado dependem do módulo comportamental de segurança.
[489] O módulo de orientação de crescimento automatizado adiciona uma camada entre o ser humano e as funções controladas por ser humano para automatizar mais o crescimento e manutenção em geral. O módulo de orientação de crescimento automático depende do algoritmo da via de evolução X, e dos módulos da ameaça de segurança artificial, do analisador de resposta, do sistema de interação de monitoramento e da criatividade.
[490] O módulo de analisador de resposta monitora as reações humanas a cenários de segurança e discerne o tipo de ameaças comportamentais que alimentam tal resposta à segurança. O módulo de analisador de resposta depende do módulo comportamental de segurança. O algoritmo de evolução iterativa e o módulo de orientação de crescimento automatizado dependem do módulo analisador de resposta.
[491] O módulo de revisão de segurança coordena os mecanismos de segurança iterados e desenvolvidos com a Ameaça à segurança artificial. Isto ajuda a orientar a evolução dos mecanismos de segurança e é um ponto de acesso para análise humana. O módulo de revisão de segurança depende dos módulos da criatividade, da ameaça à segurança artificial e comportamento de segurança. O algoritmo de crescimento de inteligência iterativa e o módulo de sistema de interação de monitoramento dependem do módulo de revisão de segurança.
[492] O módulo do sistema de interação de monitoramento interage com as vias de evolução e dos bancos de dados e provê um sistema de controle/monitoramento sofisticado para o ser humano. O módulo de sistema de interação de monitoramento depende dos módulos da criatividade, da ameaça à segurança artificial, do comportamento de segurança e da revisão de segurança. O módulo de orientação de crescimento automático e o algoritmo de evolução iterativa dependem do módulo do sistema de interação de monitoramento.
[493] A Fig. 57 mostra uma análise para as questões quem, o quê e quando em relação à segurança virtual moderna. A Fig. 58 mostra uma análise para as questões onde, por quê e como em relação à segurança virtual moderna. A Fig. 59 mostra o serviço de sincronização de informações de segurança da plataforma de confiança. A plataforma de confiança é uma congregação de empresas e sistemas verificados que se beneficiam mutuamente entre si ao compartilhar as informações de segurança e serviços. A Fig. 60 mostra o fluxo de informações entre diversos algoritmos de segurança no Provedor de rede gerida e serviços de segurança (MNSP). A Fig. 61 mostra quão múltiplas são as corporações (ou seja, empresas de energia) por meio de uma extranet privada industrial. Esta extranet conecta-se ao serviço de nuvem MNSP. A Fig. 62 mostra a retransmissão de todo o tráfego da empresa, dentro de uma intranet empresarial, para a nuvem de MNSP por meio de VPN para análise de segurança em tempo real e retrospectiva. A Fig. 63 mostra um dispositivo empresarial em um ambiente não empresarial (lanchonete) que retransmite informações para a nuvem de MNSP por meio de VPN. A Fig. 64 mostra o Processamento de segurança retrospectiva em relação ao crescimento de inteligência iterativa e evolução I2GE.
[494] Em referência a 236, os eventos e suas respostas de segurança e traços são armazenados e indexados para futuras consultas.
[495] Em referência a 238, a detecção de conspiração provê uma verificação de histórico de rotina para diversos eventos de segurança de 'conspiração' e tenta determinar padrões e correlações entre eventos de segurança aparentemente não relacionados.
[496] Em referência a 240, as vias de evolução paralelas são maturadas e selecionadas. As gerações iterativas se adaptam ao mesmo grupo AST, e a via com os melhores traços de personalidade termina resistindo mais às ameaças à segurança.
[497] A Fig. 65 mostra o Processamento de segurança em tempo real em relação à Segurança codificada com base na nuvem de LIZARD. Em referência a 246, Módulo de sintaxe provê uma estrutura para código de computador de leitura e escrita. Para escrita, recebe um propósito complexo formatado a partir de PM, então recebe o código na sintaxe de código arbitrário, então uma função auxiliar pode transferir aquele código arbitrário para código real executável (dependendo do idioma desejado). Para leitura; provê interpretação sintática de código para PM para originar um propósito para a funcionalidade de cada código.
[498] Em referência a 248, o Módulo de propósito usa o Módulo de sintaxe (Fig. 65A) para originar um propósito a partir do código, e produz tal propósito em seu próprio 'formato de propósito complexo'. Tal propósito deve descrever adequadamente a funcionalidade pretendida de um bloco de código (mesmo se este código estiver secretamente incorporado nos dados), conforme interpretado pelo SM.
[499] Em referência a 250, a rede empresarial e a base de dados são clonadas em um ambiente virtual, e os dados sensíveis são substituídos por dados simulados (falsos). Dependendo do comportamento do alvo, o ambiente pode ser alterado dinamicamente em tempo real para incluir elementos mais falsos ou elementos mais reais do sistema em geral.
[500] Em referência a 252, a Imitação de sinal provê que uma forma de retribuição geralmente usada quando a conclusão analítica de obscurecimento virtual (Proteção) foi atingida. A imitação de sinal usa o Módulo de sintaxe para compreender uma sintaxe comunicativa do vírus de computador com seus hackers. Então, desvia tal comunicação para fornecer ao vírus de computador a falsa impressão de que enviou de forma bem-sucedida os dados sensíveis de volta aos hackers (embora os dados falsos tenham sido enviados a uma ilusão virtual do hacker). Os hackers reais também enviaram o código de erro do vírus de computador pelo LIZARD, fazendo parecer que ele surgiu do vírus de computador. Isto desvia o tempo e recursos do hacker para falsa depuração tangente, e eventualmente abandonando o vírus de computador de trabalho com a falsa impressão de que ele não funciona.
[501] Em referência a 254, verifica-se que todas as funções internas de um código externo fazem sentido. Garante-se que não há uma peça de código que seja internamente inconsistente com o propósito do código externo como um todo.
[502] Em referência a 256, usam-se os módulos de sintaxe e propósito para reduzir o código externo a um formato de propósito complexo, então ele constrói o conjunto de códigos usando o propósito derivado. Isto garante que apenas o propósito desejado e entendido do código externo seja executado dentro da empresa, e quaisquer execuções de função não pretendida não obtenha acesso ao sistema.
[503] Em referência a 258, detecta-se o código secretamente incorporado nos pacotes de dados e transmissão.
[504] Em referência a 260, uma hierarquia mapeada de necessidade e propósito é mencionada para decidir se o código externo se ajusta no objetivo geral do sistema.
[505] A Fig. 66 mostra o gerenciamento, visualização e controle de informação inteligente.
[506] Em referência a 262, usam-se critérios de nível genérico para filtrar informações não importantes e redundantes, enquanto combina e marca fluxos de informações das plataformas múltiplas.
[507] Em referência a 264, o serviço de configuração e implantação é uma interface para implantar novos ativos da empresa (computadores, laptops, telefones móveis) com a configuração de segurança e configuração de conectividade corretas. Após um dispositivo ser adicionado e configurado, pode ser ajustado por meio do Painel de gerenciamento com os controles de resposta de gerenciamento como um intermediário. Este serviço também gerencia a implantação de novas contas de usuário de consumidor/cliente. Esta implantação pode incluir a associação de hardware às contas de usuário, personalização de interface, lista de variáveis de consumidor/cliente (ou seja, tipo empresarial, tipo de produto, etc.).
[508] Em referência a 266, o grupo direcionado de informações é separado exclusivamente de acordo com a jurisdição relevante do usuário do painel de gerenciamento.
[509] Em referência a 268, as informações são organizadas de acordo com as ameaças individuais. Cada tipo de dados é correlacionado a uma ameaça, o que adiciona detalhe, ou é removido.
[510] Em referência a 270, neste estágio do processo, os dados restantes agora se parecem com um aglomerado de ilhas, cada ilha sendo uma ameaça à segurança virtual. As correlações são realizadas entre as plataformas para maturar a análise de segurança. Os dados de histórico são acessados (a partir do FGE, em oposição ao LIZARD) para compreender os padrões de ameaça, e o CTMP é usado para análise de pensamento crítico.
[511] Em referência a 272, a ameaça à segurança virtual é percebida a partir da vista da perspectiva do pássaro (imagem grande). Tal ameaça é enviada para o painel de gerenciamento para uma representação gráfica. Uma vez que as medições calculadas que pertencem à mecânica da ameaça são finalmente combinadas de diversas plataformas, uma decisão de gerenciamento de ameaça mais informada pode ser automaticamente realizada.
[512] Em referência a 274, os controles automatizados representam o acesso do algoritmo para controlar os controles relacionados ao gerenciamento de MNSP, TP, 3PS.
[513] Em referência a 276, oferecem-se controles de alto nível de toda nuvem de MNSP, plataforma de confiança (TP), serviços adicionais de terceiros (3PS) com base nos serviços que podem ser usados para facilitar a realização de política, investigações forenses e de ameaça, etc. Tais controles de gerenciamento são eventualmente manifestados no Painel de gerenciamento (MC), com visuais e apropriadamente personalizados e eficiência de apresentação. Isto permite o controle eficaz e manipulação de todos os sistemas (MNSP, TP, 3PI) diretamente de uma única interface que pode ampliar em detalhes, conforme necessário.
[514] Em referência a 278, os controles manuais representam o acesso humano para controlar gerenciamento relacionado aos controles de MNSP, TP, 3PS,
[515] Em referência a 280, o gerenciamento direto impulsiona os controles manuais para prover interface humana.
[516] Em referência a 282, o usuário do Painel de gerenciamento usa suas credenciais de registro, que definem sua jurisdição e escopo do acesso à categoria de informação.
[517] Em referência a 284, todos os possíveis vetores de dados são dados em movimento, dados em repouso e dados em uso.
[518] Em referência a 286, representam-se visuais personalizáveis para diversos departamentos da empresa (contabilidade, financeiro, RH, IT, jurídico, Segurança/Inspetor Geral, sigilo/revelação, sindicato, etc.) e acionistas (equipe, gerentes, executivos em cada respectivo departamento), bem como parceiros terceirizados, execução de lei, etc.
[519] Em referência a 288, uma vista única de todas a possíveis capacidades, como monitoramento, registro, relato, correlação de evento, processamento de alerta, criação de política/conjunto de regra, medida corretiva, ajuste de algoritmo, prestação de serviço (novos clientes/modificações), uso de plataforma de confiança, bem como serviços terceirizados (inclusive recebimento de relatórios e alertas/registros, etc., de prestadores de serviço e vendedores terceirizados).
[520] Em referência a 290, os visuais que representando perímetro, empresa, centro de dados, nuvem, mídia removível, dispositivos móveis, etc.
[521] Em referência a 292, uma equipe de profissionais qualificados monitora a atividade e status de diversos sistemas no painel. Devido ao processamento inteligente de informações e as decisões de AI terem sido tomadas, os custos podem ser reduzidos ao contratar menos pessoas com menos anos de experiência. O propósito principal da equipe é ser uma camada de recuo na verificação de que o sistema está maturando e progredindo de acordo com os critérios desejados, enquanto realiza pontos de análise de larga escala.
[522] A Fig. 67 mostra como cada transferência digital dentro do Sistema da empresa é transmitida através de um caso de LIZARD. Se ocorre a transferência em uma LAN, a versão leve de LIZARD que roda nos pontos finais individuais gerenciarão os procedimentos de segurança. Todas as informações enviadas/recebidas de fora da empresa devem ser canalizadas por meio do VPN de LIZARD e Nuvem de LIZARD. As funções complexas, como obscurecimento virtual, são transmitidas do LIZARD leve para a nuvem de LIZARD para compensar o processamento do gerenciamento de recursos. A Fig. 68 mostra uma visão geral do algoritmo de segurança em tempo real de LIZARD.
[523] Em referência a 294, a proteção dinâmica é mais propensa a alterar a iteração da via. Os módulos que exigem alto grau de complexidade para atingir seu objetivo geralmente incluem-se aqui; conforme eles ultrapassam os níveis de complexidade, uma equipe de programadores pode assumir.
[524] Em referência a 296, o Módulo de iteração (IM) usa o núcleo estático (SC) para modificar sintaticamente a base do código da proteção dinâmica (DS), de acordo com o propósito definido em 'Objetivos Fixados' e dados da transmissão de retorno de dados (DRR). Esta versão modificada do LIZARD é então testada quanto a tensão (em paralelo) com cenários de segurança múltiplos e variáveis pela Ameaça à segurança artificial (AST). A iteração mais bem-sucedida é adotada como versão de funcionamento atual.
[525] Em referência a 298, representa-se a transmissão de retorno de dados. Caso o LIZARD realize uma decisão de baixa confiança, ele transmite os dados relevantes ao AST para melhorar as futuras iterações do LIZARD. O próprio LIZARD não depende diretamente dos dados para tomar decisões, mas os dados nas ameaças em desenvolvimento podem se beneficiar indiretamente de uma tomada de decisão anterior de que uma futura iteração do LIZARD possa ser realizada.
[526] Em referência a 300, a Ameaça à segurança artificial (AST) cria um ambiente de teste virtual com ameaças à segurança simuladas para habilitar o processo de iteração. A evolução artificial do AST está suficiente comprometida para manter avante a evolução orgânica de atividade criminal virtual maliciosa.
[527] Em referência a 302, representa-se o núcleo estático. Esta camada do LIZARD é a menos propensa a alteração por meio de iteração automatizada e, ao contrário, é alterada diretamente por programadores humanos. Especialmente o quadrado vermelho escuro mais profundo, que não é influenciado nem um pouco pelas iterações automatizadas. Esta camada mais profunda é como a raiz da árvore que guia a direção e capacidade geral do LIZARD.
[528] A Fig. 69 mostra uma visão geral do núcleo estático do LIZARD. Em referência a 304, originam-se as funções logicamente necessárias a partir de funções inicialmente mais simples. O resultado final é que toda a árvore de dependências de função é construída a partir de um propósito complexo declarado.
[529] Em referência a 306, converte-se o código arbitrário (genérico), que é entendido diretamente pelas funções do Módulo de sintaxe, a qualquer linguagem de computador conhecida. O inverso de traduzir linguagens de computador conhecidas para o código arbitrário também é realizado.
[530] Em referência a 308, reduz-se a lógica do código a formas mais simples para produzir um mapa de funções interconectadas.
[531] Em referência a 310, representa-se um formato de armazenamento para armazenar subpropósitos interconectados que representam o propósito geral.
[532] Em referência a 312, uma referência de hardcoded para a qual as funções e tipos de comportamento referem a qual tipo propósito.
[533] Em referência a 314, a expansão de iteração adiciona detalhe e complexidade para desenvolver um objetivo simples em um propósito complexo por referência a Associações de propósito.
[534] Em referência a 316, a interpretação de iteração passa através de todas as funções interconectadas e produz um propósito interpretado por referência a Associações de propósito.
[535] Em referência a 318, representa-se o núcleo externo. O Módulo de sintaxe (SM) e o Módulo de propósito (PM) trabalham juntos para originar um propósito lógico de código externo desconhecido e produzir código executável a partir de um objetivo de código de função declarada.
[536] A Fig. 70 mostra o núcleo externo do núcleo estático do LIZARD. Representam-se as funções do núcleo essencial do sistema, que são direta e exclusivamente programadas pelos peritos em segurança virtual relevantes.
[537] A Fig. 71 mostra a proteção dinâmica do LIZARD.
[538] Em referência a 320, representa-se a relação humana/de confiança. Apesar de haver uma correlação média, não há ligação causal direta entre o código ser mais estático/humano e o código ser mais confiável/estabelecido.
[539] Em referência a 322, representa-se um algoritmo novo e experimental. A necessidade de um novo módulo pode ser decidida por seres humanos ou AI.
[540] Em referência a 324, a verificação de consistência interna verifica se todas as funções internas de um bloco de código externo fazem sentido. Garante-se que não há uma peça de código que seja internamente inconsistente com o propósito do código externo como um todo.
[541] Em referência a 326, representa-se a Reescrita de código externo após originar o propósito de código externo, reescreve-se ambas as partes ou o próprio código como um todo e permite-se apenas que a reescrita seja executada. Verifica-se o teste do espelho para garantir que a dinâmica de entrada/saída da reescrita seja igual ao original. Desta forma, quaisquer explorações ocultas no código original tornam-se redundantes e nunca são executadas.
[542] Em referência a 328, representa-se a transmissão de excesso de AST. Os dados são transmitidos ao AST para futura melhora de iteração quando o sistema só pode realizar uma decisão de baixa confiança.
[543] Em referência a 330, representa-se a Correspondência de mapa necessária. Uma hierarquia mapeada de necessidade e propósito é mencionada para decidir se o código externo se ajusta ao objetivo geral do sistema (ou seja, um quebra-cabeça).
[544] Em referência a 332, representa-se o obscurecimento virtual. Códigos confusos e restritos e, portanto, potencial vírus de computador, ao submergi-los gradual e parcialmente em um ambiente virtualizado falso.
[545] Em referência a 334, representa-se a Quarentena do código. Isola-se o código externo em um ambiente virtual restrito (ou seja, uma placa de Petri).
[546] Em referência a 336, representa-se uma Detecção de código discreta. Detecta-se o código discretamente incorporado nos pacotes de dados e transmissão.
[547] A Fig. 72 mostra o obscurecimento virtual. Em referência a 338, o vírus de computador desvia hipoteticamente o Sistema/Antivírus de detecção de firewall/intrusão da empresa, etc.
[548] Em referência a 340, o LIZARD possui uma avaliação de baixa confiança da intenção/propósito do bloco recebido de código. De modo a mitigar o risco de ter um processo inocente privado de dados intitulados cruciais e para também evitar o risco de permitir que o código malicioso tenha dados sensíveis, o código questionável é discretamente alocado a um ambiente no qual metade dos dados são dados misturados de forma inteligente a dados simulados (falsos).
[549] Em referência a 342, o Sincronizador de dados reais é um de duas camadas (a outra cada sendo o Gerenciador de dados) que seleciona de forma inteligente os dados a serem fornecidos para ambientes mistos e em qual prioridade. Desta forma, as informações altamente sensíveis são inacessíveis ao vírus de computador suspeito, e disponíveis apenas para o código que é bem conhecido e estabelecido como confiável.
[550] Em referência a 344, o Gerador de dados falsos usa o Sincronizador de dados reais como modelo para criar dados falsificados e inúteis. Os atributos, como tipo de dados, formato dos dados, densidade dos dados, detalhe dos dados, etc., são imitados a partir dos dados reais para produzir uma base de dados com dados de aparência realista que parecem bem integrados ao sistema em geral (nenhum dado irrelevante e estranho).
[551] A Fig. 73 mostra a visão geral de operações discretas de MACINT, como explorações criminais de um sistema empresarial.
[552] Em referência a 346, o Agente duplo hibernado captura silenciosamente uma cópia de um arquivo sensível.
[553] Em referência a 348, o arquivo capturado é enviado por meio de codificação para fora da Rede empresaria para o servidor de destino falso. Tal codificação (ou seja, https) é permitida por política, portanto, a transmissão não é imediatamente bloqueada.
[554] Em referência a 350, os registros padrão são gerados, os quais são entregues para análise em tempo real e em longo prazo.
[555] Em referência a 352, a agregação de registro envia dados relevantes para digitalizações em tempo real e em longo prazo.
[556] Em referência a 354, o tempo real é preparado para realizar um reconhecimento quase instantâneo da atividade maliciosa para interrompê-la antes da execução.
[557] Em referência a 356, a Digitalização em longo prazo reconhece eventualmente o comportamento malicioso devido à sua vantagem de ter mais tempo para análise.
[558] Em referência a 358, um computador que pertence ao sistema de uma terceira parte arbitrária é usado para transferir o arquivo sensível para se livrar da investigação e estrutura da terceira parte arbitrária.
[559] Em referência a 360, os ladrões recebem o arquivo sensível enquanto mantêm uma presença oculta por meio de sua rede de bots. Avançam para usar o arquivo sensível para extorsão ilegal e lucro. ALGORITMO DE PENSAMENTO CRÍTICO, MEMÓRIA E PERCEPÇÃO (CTMP)
[560] As Figs. 74 a 75 exibem a visão geral de funcionalidade de CTMP. A Fig. 7 6 mostra a estrutura de dependência de CTMP.
[561] Em referência a 362, produz-se uma emulação do observador, e testam-se/comparam-se todos os possíveis pontos de percepção com tais variações das emulações do observador. Enquanto a entrada é todos os possíveis pontos de percepção mais os registros de dados potencializados, a saída é a decisão de segurança resultante produzida de tais registros potencializados de acordo com o observador melhor, mais relevante e mais cauteloso com tal mistura de percepções selecionadas.
[562] Em referência a 364, a política ajustável dita a quantidade de percepções que são impulsionadas a realizar uma emulação do observador. A prioridade de percepções escolhidas é selecionada de acordo com o peso em ordem decrescente. A política pode então ditar a maneira de seleção de um corte, quer seja uma porcentagem, número fixo ou um algoritmo mais complexo de seleção.
[563] Em referência a 366, o CVF derivado dos registros potencializados de dados é usado como critério em uma pesquisa na base de dados do Armazenamento de percepção (PS).
[564] Em referência a 368, o processamento métrico reverte a engenharia das variáveis a partir da resposta de segurança do algoritmo de correspondência de padrão selecionado (SPMA) para percepções de 'salvamento' de tal inteligência do algoritmo.
[565] Em referência a 370, usa-se uma parte da resposta de segurança e seus metadados do sistema correspondente para replicar a percepção original da resposta de segurança.
[566] Em referência a 372, a lógica final para determinar a saída de CTMP.
[567] Em referência a 374, depuração e rastro de algoritmo são separados em categorias distintas usando a sintaxe tradicional com base na categorização de informação. Estas categorias podem então ser usadas para organizar e produzir resposta de segurança distinta com uma correlação com os riscos e temas de segurança.
[568] Em referência a 376, os metadados do sistema de entrada são separados em relações de causa e efeito de segurança significativas.
[569] Em referência a 378, agrupa-se de forma abrangente todos os temas de segurança com riscos e respostas relevantes.
[570] Em referência a 380, o navegador de assunto percorre todos os assuntos aplicáveis.
[571] Em referência a 382, o preenchedor de assunto recupera o risco e resposta apropriados correlacionados ao assunto.
[572] Em referência a 384, as percepções são indexadas e armazenadas. As percepções, além de seu peso relevante, são armazenadas com o formato variável comparável (CVF) conforme seu índice. Isto significa que a base de dados é otimizada para receber um CVF conforme pesquisa de consulta de entrada, e o resultado será uma diversidade de percepções.
[573] A Fig. 77 mostra a estrutura de dependência de CTMP. Em referência a 386, origina-se ângulos de percepção de dados que podem ser envolvidos dos ângulos de percepções atuais conhecidos.
[574] Em referência a 388, os registros básicos recebidos representam conhecimento sabido. Este Módulo estima o escopo e tipo de possível conhecimento desconhecido que está além do alcance dos registros relatáveis. Desta forma, os recursos de pensamento crítico subsequentes do CTMP podem impulsionar o potencial escopo de todo conhecido envolvido, conhecido e desconhecido diretamente pelo sistema.
[575] Em referência a 390, os ângulos de percepção são separados em categorias de métricas.
[576] Em referência a 392, as métricas individuais são revertidas novamente em ângulos totais de percepção.
[577] Em referência a 394, as métricas de ângulos diversos e variáveis de percepção são armazenadas categoricamente em base de dados individuais. O limite superior é representado pelo conhecimento máximo de cada base de dados de métrica individual. Após o aprimoramento e enriquecimento de complexidade, as métricas são devolvidas para serem convertidas novamente em ângulos de percepção e serem impulsionadas para pensamento crítico.
[578] Em referência a 396, o fluxo de informações é convertido em formato variável comparável (CVF).
[579] A Fig. 78 mostra a estrutura de dependência de CTMP. Em referência a 398, as percepções conhecidas são impulsionadas a se expandir ao escopo de conjuntos de regras de pensamento crítico.
[580] Em referência a 400, um formato variável comparável (CVF) é formado a partir da percepção recebida da derivação de sintaxe de regra. O CVF recém-formado é pesquisado para percepções relevantes no armazenamento de percepção (PS) com índices similares. As correspondências potenciais são devolvidas à geração de sintaxe de regra.
[581] Em referência a 402, é formado um campo caótico a partir dos dados de entrada. A digitalização de campo é realizada para reconhecer conceitos conhecidos.
[582] Em referência a 404, os conceitos totais são individualmente otimizados em partes separadas conhecidas como índices. Estes índices são usados pelos digitalizadores de letras para interagir com o campo caótico.
[583] Em referência a 406, os registros de incidente de segurança são digitalizados para as regras cumpridas. Quaisquer regras aplicáveis e cumpridas são executadas para produzir as decisões de acionamento de segurança.
[584] Em referência a 408, as regras que foram confirmadas como presentes e preenchidas de acordo com a digitalização da memória do campo caótico são executadas para produzir as decisões de pensamento crítico desejadas e relevantes.
[585] Em referência a 410, o RFP (Analisador de preenchimento de regra) recebe as partes individuais da regra com uma marcação de reconhecimento. Cada parte é marcada como tendo sido descoberta, ou não descoberta, no campo caótico pelo Reconhecimento de Memória (MR). O RFP pode então deduzir logicamente quais regras totais, a combinação de todas as suas partes, foram suficientemente reconhecidas no campo caótico para merecer a Execução de Regra (RE).
[586] Em referência a 412, as regras corretas são separadas e organizadas por tipo. Portanto, todas as ações, propriedades, condições e objetos são acumulados separadamente. Isto possibilita que o sistema discirna quais partes foram descobertas no campo caótico e quais partes não foram.
[587] Em referência a 414, as regras lógicas de 'branco e preto' são convertidas para métricas com base nas percepções. A disposição complexa de diversas regras é convertida em uma única percepção uniforme que é expressa por meio de diversas métricas de diferentes gradientes.
[588] Em referência a 416, recebem-se as percepções anteriormente confirmadas que são armazenadas no formato de Percepção. Interage com a composição métrica interna da percepção. Tais medidas baseadas em gradiente são convertidas a conjuntos de regras binários e lógicos que emulam o fluxo de informações de entrada/saída da percepção original.
[589] A presente invenção é explicada novamente em relação às reivindicações. Em referência às Figs. 1 a 11 e à Fig. 79, um sistema de segurança informática que processa um evento de segurança compreendendo um módulo comportamental que compreende uma pluralidade de subalgoritmos, em que cada subalgoritmo corresponde a uma categoria predeterminada, que é relacionada a uma questão de segurança predeterminada; e um módulo de combinação que provê uma análise de segurança baseada na saída do módulo comportamental.
[590] Os subalgoritmos são executados em paralelo, e cada um dos subalgoritmos processa a entrada e armazena a saída. Uma solicitação de processamento de informações é enviada a pelo menos um subalgoritmo, em que cada subalgoritmo processa os dados do evento de segurança, em que o resultado de cada um dos subalgoritmos é armazenado em uma base de dados para o subalgoritmo.
[591] O sistema compreende ainda um filtro de confiança elevada que filtra o resultado dos subalgoritmos que estão acima de um nível de confiança predeterminado. Uma solicitação de combinação é enviada ao algoritmo de combinação, em que o algoritmo de combinação combina dois ou mais subalgoritmos, dependendo do tipo da solicitação de combinação, em que o algoritmo de combinação seleciona o resultado com base em um critério predeterminado.
[592] O sistema compreende ainda um módulo de categorização que determina a categoria do evento de segurança com base na combinação de política e comportamento, e um módulo de correspondência de padrão que filtra o evento de segurança com base no padrão comportamental do evento de segurança, e em que o módulo de categorização que determina a categoria do evento filtrado do módulo de correspondência de padrão.
[593] O módulo comportamental é conectado a uma base de dados comportamental, em que a base de dados comportamental armazena metadados que compreendem a pluralidade de categorias. Cada uma das categorias compreende uma identificação de referência, um primeiro conceito, um segundo conceito e um índice de associação determinado de algoritmo. O sistema compreende ainda um módulo de saneamento que filtra um evento recebido com base em uma política de saneamento.
[594] Em referência às Figs. 12 a 18 e 80, um sistema de segurança virtual compreende um subalgoritmo de detecção de conspiração, que verifica o histórico de diversos eventos de segurança e determina os padrões e correlações entre os eventos de segurança; e um subalgoritmo identificador do tipo de informação, que determina o tipo de dados desconhecidos e declara sua confiança no tipo de dados que foi escolhido, e devolve uma marcação de falha caso a confiança seja menor que um nível predeterminado.
[595] Em referência à Fig. 12, no subalgoritmo de detecção de conspiração, o evento de segurança é analisado pelo subalgoritmo identificador do tipo de informação, que origina os atributos relevantes do evento de segurança, em que os atributos são verificados pela política externa e interpretação de comportamento para observar se o evento passa o limiar para ser processado.
[596] Os atributos de evento derivado para o evento de segurança são armazenados em uma base de dados específica, em que todas as combinações para os atributos de evento derivado são realizadas, em que as combinações são selecionadas pela regra de auxílio predeterminada, em que as combinações selecionadas são consultadas contra a base de dados específica para fatores de similaridade predeterminados.
[597] Os fatores de similaridade predeterminados incluem possuir o mesmo SSN e horário de dia de ocorrência, inclusive a mesma variação e sub-rede de LAN do IP e número de telefone pessoal e endereço pessoal, inclusive o mesmo nome de domínio em diferentes endereços de email, e inclusive um nome de domínio e supõem-se que o endereço IP aponte para, para lutar contra nomes de domínio fantasma. Os resultados verificados pelo subalgoritmo de detecção de conspiração são notificados para um painel de gerenciamento.
[598] Em referência à Fig. 13, o sistema compreende ainda um subalgoritmo de gerenciamento de entidades externas, que atualiza ou desvaloriza a gravidade de ameaças externas com base nas solicitações de ameaças externas realizadas para uma rede isolada de uma empresa, e recebe informações de terceiros para ampliar sua percepção de ameaças externas, e um subalgoritmo de gerenciamento de risco ao usuário, que determina a avaliação de risco geral para um registro de usuário com base nos fatores de risco predeterminados.
[599] No subalgoritmo de gerenciamento de entidades externas, um evento de segurança é analisado pelo subalgoritmo identificador do tipo de informação para originar a origem da rede e o usuário envolvido para o evento de segurança, em que a origem da rede do evento de segurança é verificada contra uma lista de vigilância de segurança, em que se as informações do usuário foram encontradas na lista de vigilância de segurança, então o usuário é verificado pelo subalgoritmo de avaliação de risco ao usuário. Os resultados de verificação são considerados e agregados com base nos limiares predeterminados, que são influenciados pela política externa e comportamento, em que os resultados agregados são armazenados em uma base de dados específica.
[600] Em referência à Fig. 14, no subalgoritmo identificador do tipo de informação, para os dados desconhecidos providos, a entrada em massa é oferecida para fins de paralelização. O subalgoritmo identificador do tipo de informação extrai os atributos dos dados desconhecidos, inclusive comprimento, número, proporção de letra e caracteres especiais. Os atributos extraídos são comparados aos pontos de dados da base de dados, que são selecionados para comparação. O cache é verificado primeiramente para comparações. O subalgoritmo identificador do tipo de informação processa os resultados comparados para níveis de confiança. Se o nível de confiança dos resultados é menor que um limiar predeterminado, os resultados são cortados, em que o limiar predeterminado pode ser dinâmico. A detecção de padrão é realizada para correlacionar a afinidade de tipo com a composição de atributo, em que os altos padrões de confiança são armazenados no cache, em que a base de dados não contém padrões calculados, mas contém correlações estáticas entre o tipo e atributo. Os resultados processados são compilados para se adequar ao API e os resultados compilados são produzidos.
[601] Em referência à Fig. 15, o sistema compreende ainda um subalgoritmo digitalizador de mídia, que digitaliza a determinada mídia e verifica quanto à transferência de informações ilegais e comportamento inconsistente/suspeito para a composição esperada de tal mídia. No subalgoritmo digitalizador de mídia, uma análise de mídia é realizada para destacar os pontos suspeitos de informações na determinada mídia, em que os pontos suspeitos podem estar ocultos nos metadados, ou no formato básico da mídia, em que os dados e metadados da mídia são digitalizados.
[602] Os pontos suspeitos de informações são processados pelo subalgoritmo identificador do tipo de informação, em que os processos de identidades do usuário são assim analisados para o Subalgoritmo de gerenciamento de risco ao usuário, em que todas as demais informações passam por um analisador genérico. O analisador genérico interage com uma base de dados de objetos de risco para descobrir associações perigosas que estão no arquivo. Se uma associação perigosa é descoberta, bloqueia-se a mídia de ser transferida, cria-se um objeto de risco e o Subalgoritmo de gerenciamento de risco ao usuário é notificado do envolvimento de um usuário relevante com o evento de segurança. Os resultados processados são combinados e analisados para produzir uma decisão de se bloquear ou permitir a mídia.
[603] Em referência à Fig. 16, o sistema compreende ainda um subalgoritmo de análise de isolamento de privilégio, que determina se um usuário ou processo encontra- se dentro de sua alocação de privilégio permitido, que é constantemente recorrido, e relata quaisquer violações de privilégio confirmadas para um processo mestre e um processo secundário, que verifica duplamente que o processo mestre tomou medida para as violações. No subalgoritmo de análise de isolamento de privilégio, é enviado um evento de permissão de usuário, um código de identificação de usuário e a localização solicitada de acesso/modificação é extraída pelo subalgoritmo identificador do tipo de informação e enviado para um gerenciador de ameaça. O gerenciador de ameaça compreende um gerenciador de ameaça de localização, que recebe informações de localização e recorre a uma base de dados de localização para quem permite-se acessar/modificar.
[604] Um banco de permissão de localização recebe as solicitações de permissão de localização pela base de dados específica 2, e é consultado por uma ameaça que decide se determinadas localizações devem ser bloqueadas como uma prevenção devido a um risco à segurança do usuário, em que o limiar para o nível de precaução é determinado por meio da política externa e comportamento. O gerenciador de ameaça compreende um gerenciador de ameaça ao usuário, que recebe informações do usuário e recorre a uma base de dados do usuário para quais localizações são permitidas acessar/modificar, e recorre ao Subalgoritmo de gerenciamento de risco ao usuário para obter localizações perigosas que devem ser bloqueadas para o usuário em uma política preventiva.
[605] Um banco de permissão ao usuário recebe os atributos de permissão do usuário pela base de dados específica 1, e é consultado pelo gerenciador de ameaça à localização para observar se permite que o usuário realize a medida solicitada nesta localização. Um agregador de permissões combina logicamente os resultados pelo gerenciador de ameaça à localização e pelo gerenciador de ameaça ao usuário, e produz o resultado combinado.
[606] Em referência à Fig. 17, no subalgoritmo de gerenciamento de risco ao usuário, os fatores de risco predeterminados incluem violações de política anterior, uso excessivo e operações suspeitas promovidas. Um código de identificação de usuário é recebido, e uma porcentagem de avaliação de risco geral com uma pluralidade de objetos relacionados que são de interesse de risco é produzida, em que os objetos podem ser acessados independentemente por meio de outros subalgoritmos para análise adicional. Um objeto de risco que está relacionado ao usuário é recebido, em que a associação do usuário com o objeto de risco é registrada. Um código de identificação de usuário é provido para gerar um relatório de avaliação de risco ou depositar uma referência de objeto de risco, em que o histórico de risco do usuário é construído com as referências do objeto de risco depositadas.
[607] Caso seja provida uma referência de objeto de risco, então é realizado o depósito na base de dados para referência futura. Caso nenhum depósito de referência de objeto de risco seja realizado, e o gerenciador de ameaça solicite que um relatório seja realizado, em que um ID de usuário relevante seja procurado em uma base de dados específica para avaliar o histórico de risco do usuário. As taxas de risco são recuperadas de uma base de dados específica, que fornece uma classificação de risco para objetos de risco, em que o uso das taxas de risco e dos objetos de risco recuperados, um relatório de agregado final é produzido e enviado à saída, em que um índice de risco principal abrangente também é enviado à saída, para identificação de um fator de risco imediato do usuário.
[608] Em referência às Figs. 19 a 21 e Fig. 81, a invenção provê ainda um método para crescimento de inteligência iterativa que compreende as etapas de recebimento de entrada de um conjunto de regra inicial; recebimento de entrada de uma pluralidade de traço de personalidade, em que o traço pessoal define as características reacionárias que devem ser exercidas nos eventos de segurança; escolha de um traço pessoal e designação do traço pessoal a uma via de evolução; repetição do anterior para as demais vias de evolução para todos os traços de personalidade; e execução das vias de evolução, em que cada uma das vias de evolução envolve uma pluralidade de gerações de acordo com seu determinado traço de personalidade. A operação de cada uma das vias de evolução é virtualmente isolada da operação das demais vias de evolução.
[609] Os traços pessoais compreendem i) um traço realista que usa o tempo do CPU com base no grau de correlação; ii) um traço implacável que usa o tempo do CPU com base em se houve um incidente de segurança anterior para uma determinada entidade, que compreende um sistema individual ou informático; iii) um traço oportunista que usa o tempo do CPU com base na disponibilidade de uma medida corretiva; ou iv) um traço restrito e cautelar que usa o tempo do CPU com base em pouco perdão ou tolerância de suposição. O tempo do CPU é medido em ciclos/segundo do CPU.
[610] Em referência à Fig. 20, um sistema de monitoramento e interação injeta eventos de segurança de um sistema de ameaça à segurança artificial (AST) nas vias de evolução, e transmite as respostas de segurança associadas aos eventos de segurança a partir de uma nuvem comportamental de segurança, em que, caso qualquer uma das vias de evolução atinja um estado indefinido de ser incapaz de solucionar o determinado problema de segurança, a execução da via de evolução é abandonada, em que o traço de personalidade da via de evolução abandonada é modificado, em que o traço de personalidade modificado é designado a outra via de evolução e o evento de segurança da via de evolução abandonada é injetado em outra via de evolução, e em que a outra via de evolução é executada, em que o sistema de monitoramento e interação produz o desempenho das vias de evolução, e recebe a entrada para a modificação do traço pessoal.
[611] Em referência à Fig. 21, um módulo de referência cruzada analisa uma resposta do sistema de segurança para um determinado evento de segurança, decide se uma resposta do sistema de segurança é significativa, envia a resposta do sistema de segurança para um módulo de marcação de traço. O módulo de marcação de traço classifica a resposta do sistema de segurança de acordo com os tipos de personalidade providos ao módulo de marcação de traço. Um módulo de interação de traço analisar a correlação entre os traços de personalidade, em que o resultado de análise passa para a nuvem comportamental de segurança, em que a nuvem comportamental de segurança passa o resultado de análise para o sistema de monitoramento e interação.
[612] Em referência às Figs. 22 a 36, a invenção provê ainda um sistema de identificação, integração e análise de inteligência de ameaça virtual que compreende um seletor inteligente que recebe duas formas principais, em que as formas principais representam os constructos abstratos de dados, e combina as duas formas principais em uma forma híbrida; um módulo de modo que define o tipo de um algoritmo no qual o sistema é usado, em que o seletor inteligente decide que as partes a combinar com base no tipo do algoritmo; e um módulo de critérios estáticos que recebe entrada de dados de personalização para quais formas devem ser combinadas. Os dados de personalização compreendem priorizações de classificação, proporções desejadas de dados e dados para combinação direta, que é dependente do tipo de algoritmo definido pelo módulo de modo.
[613] Em referência à Fig. 24, o seletor inteligente compreende um módulo de comparação básica que realiza a comparação básica sobre as duas formas principais com base nos dados de personalização providos pelo módulo de critérios estáticos, em que o módulo de comparação básica produz em relação a alterações e não alterações, em que o seletor inteligente classifica a importância das alterações com base nos dados de personalização, em que as alterações e não alterações são combinadas em uma forma híbrida com base nos dados de personalização dos critérios estáticos e no tipo do algoritmo do modo, em que a combinação compreende ajuste da distribuição de proporção de dados, importância de dados e relação entre os dados, em que um modo de proporção, um modo de prioridade e um modo de estilo são preestabelecidos no sistema.
[614] No modo de proporção, a quantidade de informações de sobreposição é filtrada de acordo com a proporção estabelecida pelos critérios estáticos, em que, caso a proporção seja estabelecida como grande, então uma grande quantidade de dados da forma que permaneceu compatível será combinada na forma híbrida, em que, caso a proporção seja estabelecida como pequena, então a maior parte da forma híbrida construída possui uma forma muito diferente de suas iterações anteriores. No modo de prioridade, quando ambos os conjuntos de dados competem para definir um recurso no mesmo lugar na forma, ocorre um processo de priorização para escolher quais recursos são tornados proeminentes e quais são sobrepostos e ocultos, em que, quando apenas um traço pode ocupar a forma híbrida, ocorre um processo de priorização. No modo de estilo, a maneira na qual os pontos de sobreposição são combinados, em que os critérios estáticos e o modo direcionam este módulo a preferir uma determinada combinação em vez de outra.
[615] Em referência à Fig. 27, uma composição de traço e pontos de interesse (POI) de segurança indexados são providos para consultar eventos de segurança com suas respostas, em que os POIs são armazenados em um grupo de POIs de segurança, e os POIs são ligados ao índice de traço, em que quando um traço de personalidade em relação a uma questão de segurança é consultado, os POIs relevantes são procurados no grupo de POI e o armazenamento de Evento e Resposta relevante são recuperados e devolvidos, em que um módulo de interface de POI, traços pessoais são associados aos POIs.
[616] Em referência à Fig. 28, o sistema compreende ainda um analisador de resposta, que compreende um módulo de referência cruzada, no qual os dados que descrevem um evento de segurança e uma resposta ao evento de segurança são recebidos; o módulo comportamental de segurança provê POI conhecidos, e entrada para um traço de personalidade marcado para um evento de segurança é recebida; um módulo de marcação de traço que associa a resposta de segurança ao traço pessoal com base na prescrição do traço pessoal e correlação de padrão a partir de um comportamento de segurança anterior; e um módulo de interação de traço que recebe uma composição de traço do módulo de marcação de traço, e avalia sua compatibilidade interna. O evento de segurança, resposta, traço são armazenados na nuvem comportamental de segurança.
[617] Um conjunto de regras de segurança é testado com uma exploração artificial, em que, após a exploração ser realizada, o módulo de resposta de resultado provê o resultado caso a exploração funcione e caso deva ser incorporada à base de dados de exploração, em que o Módulo de liberação de informação provê detalhes ao módulo de criatividade para como a próxima exploração deve se parecer, em que as informações são combinadas entre o módulo de liberação de informação e a base de dados de exploração, em que a exploração é realizada como um grupo no qual todas as vias de evolução foram testadas em paralelo e simultaneamente com a mesma exploração, em que o módulo de criatividade produz uma exploração híbrida que usa as forças das explorações anteriores e evita fraquezas conhecidas nas explorações baseadas no resultado pelo módulo de liberação de informação.
[618] Um módulo de gerenciamento de supervisão monitora os desenvolvimentos em um armazenamento e uso de exploração, em que as explorações são produzidas/modificadas/removidas pelas entradas externas, em que as explorações são armazenadas com o histórico comportamental conhecido que descreve como as explorações realizadas no passado em determinadas condições e importância de exploração.
[619] Em referência à Fig. 31, o sistema compreende ainda um sistema de monitoramento/interação, no qual o módulo de criatividade produz a próxima geração para uma via, em que duas formas de entrada são comportamento de segurança compilado da nuvem comportamental de segurança, e variáveis de um módulo de revisão de segurança, em que a forma híbrida resultante é enviada para um processador de iteração, em que o processador de iteração processa a forma híbrida enviada do módulo de criatividade, e monta uma nova geração, e carrega a nova geração na via de evolução relevante, em que o módulo de revisão de segurança recebe variáveis de relatório da via de evolução, e avalia seu desempenho de segurança contra o Sistema de ameaça à segurança artificial (AST), produz o relatório para revisão adicional e envia o relatório ao módulo de criatividade para iterar a próxima geração, em que a nuvem comportamental de segurança fornece eventos e respostas relevantes ao módulo de revisão de segurança, em que os critérios são determinados por meio de uma consulta de índice de traço, em que, caso uma boa avaliação de desempenho seja recebida, o módulo de revisão de segurança tente encontrar uma melhor exploração para romper a exploração na nuvem comportamental de segurança, em que as composições de traço são providas à nuvem comportamental de segurança e a nuvem comportamental de segurança provê as composições de traço ao módulo de criatividade para guiar como o conjunto de regra geracional deve composto.
[620] Em referência às Figs. 33 a 36, um sistema de orientação de crescimento automatizado interfere entre o controle externo e o sistema de monitoramento e interação, em que um tipo de módulo discerne qual é o comportamento do módulo desejado, e em que a resposta forçada é uma resposta por um módulo que informa sobre sua condição atual toda vez que recebe novas instruções, em que as variáveis mestres de nível elevado são recebidas externamente aos critérios estáticos, em que o módulo de criatividade discerne um novo resultado desejado após receber o resultado desejado anterior e o resultado atual, em que o resultado atual que compreende o status e estado do módulo controlado é armazenado na base de dados de rastreamento de módulo, em que a base de dados de rastreamento de módulo é preenchida pelo módulo e pelo módulo de criatividade, em que a base de dados de rastreamento de módulo provê uma forma de entrada ao módulo de criatividade que reflete o padrão de crescimento internamente escolhido para o módulo controlado, em que o módulo de criatividade envia os novos controles para o módulo, para o rastreador do módulo e para o próprio módulo, em que os módulos são controlados em paralelo, exceto que o rastreamento de módulo opere em um único caso e é dividido para lidar com diversos módulos simultaneamente, em que a resposta do módulo controlado, que compreende as informações originadas do histórico do atual, é armazenada na base de dados realista, em que base de dados teórica contém controles teóricos para o módulo, que são providos pelo módulo de criatividade, em que, caso um controle se realize conforme o esperado, então o mesmo padrão de crescimento é mantido, e, caso um controle se realize de forma diferente, então o padrão de crescimento alternativo é adotado.
[621] Em referência às Figs. 37 a 45, o sistema compreende ainda um algoritmo de rastreamento previsto de vírus de computador, no qual um vírus de computador existente é iterado para considerar as variações teóricas na composição, em que, conforme o tempo teórico progride, o vírus de computador evolui interagindo com o módulo de criatividade, em que a CATEGORIA A representa as ameaças de vírus de computador confirmadas com histórico comprovado de reconhecimento e remoção, a CATEGORIA B representa o vírus de computador que o sistema sabe existir, mas é incapaz de reconhecer ou remover com absoluta confiança, e a CATEGORIA C representa o vírus de computador que é completamente desconhecido ao sistema em toda forma possível, em que o processo se inicia da categoria A, em que o vírus de computador conhecido é enviado ao módulo de criatividade para produzir uma forma híbrida que inclui possíveis variações que representam vírus de computador atualmente desconhecido, em que, então com base na categoria B, um processo teórico representa a melhor estimativa de como é uma ameaça desconhecida, em quem processo com base na categoria C representa a ameaça atual que o sistema não tem ciência e tenta prever, em que um padrão é produzido para representar a transição de uma iteração conhecida e confirmada, em que o padrão de transição é usado para prever uma ameaça atualmente desconhecida.
[622] Em referência às Figs. 57 a 66, o sistema compreende ainda uma proteção e retribuição de infraestrutura crítica através de nuvem e segurança de informações escalanodas (CIPR/CTIS) que compreende o serviço de sincronização de informações de segurança da plataforma de confiança, em que os fluxos de informação entre os diversos algoritmos de segurança em uma rede gerida e provedor de serviços de segurança (MNSP), em que todo o tráfego da empresa em uma rede empresarial, extranet e internet é transmitido para a nuvem do MNSP por meio do VPN para análise de segurança em tempo real e retrospectiva, em que na análise de segurança retrospectiva, eventos e suas respostas e traços são armazenados e indexados para futuras consultas, a detecção de conspiração provê uma verificação de histórico de rotina para diversos eventos de segurança e tenta determinar padrões e correlações, vias de evolução paralelas são maturadas e selecionadas, a gerações iterativas adaptam-se ao mesmo grupo de AST, e a via com os melhores traços de personalidade termina resistindo à maioria das ameaças de segurança, em que na análise de segurança de tempo real, o módulo de sintaxe provê uma estrutura para código de computador de leitura e escrita, o módulo de propósito usa o módulo de sintaxe para originar um propósito a partir do código e produz tal propósito em seu próprio formato de propósito complexo, a rede e a base de dados da empresa são clonadas em uma ambiente virtual, e os dados sensíveis são substituídos por dados simulados (falsos), a imitação de sinal provê uma forma de retribuição usada quando a conclusão analítica de obscurecimento virtual (proteção) foi atingida, em que ela verifica que todas as funções internas de uma código externo fazem sentido, usa os módulos de sintaxe e propósito para reduzir o código externo para um formato de propósito complexo, detecta o código secretamente incorporado nos pacotes de dados e transmissão, em que uma hierarquia mapeada de necessidade e propósito é mencionada para decidir se o código externo se adapta ao objetivo geral do sistema.
[623] Em referência às Figs. 67 a 72, o sistema compreende ainda uma defesa anterior em tempo real de base de dados zero logicamente inferida (LIZARD), no qual toda transferência digital no sistema da empresa é transmitido através de um caso de LIZARD, em que todas as informações enviadas/recebidas de fora do sistema da empresa são canalizadas por meio do VPN do LIZARD e da nuvem do LIZARD, em que o módulo de iteração (IM) usa o núcleo estático (SC) modifica sintaticamente a base de código da proteção dinâmica (DS), em que a versão modificada é testada quanto à tensão em paralelo com cenários de segurança múltiplos e diferentes pela ameaça à segurança artificial (AST) , em que, caso o LIZARD realize uma decisão de baixa confiança, ele transmita os dados relevantes para a AST para melhorar as futuras iterações de LIZARD, em que o AST cria um ambiente de teste virtual com ameaças de segurança simulada para possibilitar o processo de iteração, em que o núcleo estático do LIZARD origina as funções logicamente necessárias de funções inicialmente mais simples, converte o código arbitrário (genérico) que é diretamente compreendido pelo módulo de sintaxe, e reduz a lógica de código para formas mais simples para produzir um mapa das funções interconectadas, em que a expansão de iteração adiciona detalhe e complexidade para envolver um objetivo simples em um propósito complexo por referência a associações de propósito, em que o módulo de obscurecimento virtual confunde e restringe o código ao submergi-los gradual e parcialmente em um ambiente falso virtualizado, em que o vírus de computador desvia hipoteticamente o sistema de segurança da empresa, o LIZARD possui uma avaliação de baixa confiança da intenção/propósito do bloco recebido de código, o código questionável é alocado de forma secreta a um ambiente no qual metade dos dados é misturada de forma inteligente a dados simulados (falsos), o sincronizador de dados reais seleciona de forma inteligente os dados fornecidos a ambientes mistos e em qual prioridade, e o gerador de dados simulados usa o sincronizador de dados reais como modelo para criar dados falsificados e inúteis.
[624] Em referência à Fig. 73, o sistema compreende ainda uma inteligência e retribuição de máquina clandestina através de operações ocultas no módulo de espaço virtual, no qual um agente duplo hibernado captura silenciosamente uma cópia de um arquivo sensível e o arquivo capturado é enviado para fora de uma rede da empresa para um servidor de destino falso, em que os registros padrão são gerados, que são entregues para análise em tempo real e de longo prazo, em que a análise de tempo real realiza um reconhecimento quase instantâneo da atividade maliciosa para interrompê-la antes da execução, e a análise de longo prazo reconhece o comportamento malicioso após mais tempo de análise.
[625] Em referência às Figs. 74 a 78, o sistema compreende ainda um algoritmo de pensamento crítico, memória e percepção que produz uma emulação do observador, e testa/compara todos os possíveis pontos de percepção com tais variações das emulações do observador, em que a prioridade de percepções escolhidas é selecionada de acordo com o peso em ordem descendente, em que a política dita a maneira de seleção de um corte, em que as percepções e peso relevante são armazenados com formato variável comparável (CVF) conforme seu índice, em que o CVF originado dos registros potencializados de dados é usado como critério em uma procura na base de dados de um armazenamento de percepção, em que um módulo de processamento métrico reverte a engenharia das variáveis da resposta de segurança do algoritmo de correspondência de padrão selecionado (SPMA), em que uma parte da resposta de segurança e seus metadados do sistema correspondente são usados para replicar a percepção original da resposta de segurança, em que a depuração e traço do algoritmo são separados em categorias distintas usando a sintaxe tradicional com base na categorização de informações, em que as categorias são usadas para organizar e produzir resposta de segurança distinta com uma correlação para riscos e temas de segurança.
Claims (6)
1. MÉTODO PARA CRESCIMENTO ITERATIVO DA INTELIGÊNCIA caracterizado por compreender etapas de: a) receber informações de um conjunto de regras inicial; b) receber aportes de uma pluralidade de traços de personalidade, sendo que o traço pessoal define características reacionárias que devem ser exercidas em eventos de segurança; c) escolher um traço pessoal e atribuir o traço pessoal a uma via de evolução; d) repetir a etapa c) para outras vias de evolução para todos os traços de personalidade; e e) executar as vias de evolução, em que cada uma das vias de evolução evolui uma pluralidade de gerações de acordo com seu determinado traço de personalidade; em que a operação de cada uma das vias de evolução é virtualmente isolada da operação das outras vias de evolução.
2. MÉTODO, de acordo com a reivindicação 1, caracterizado pelos traços pessoais compreenderem: i) um traço realista que utiliza o tempo de CPU baseado no grau de correlação; ii) um traço implacável que utiliza o tempo de CPU com base na existência de um incidente de segurança anterior para uma determinada entidade, que compreende um indivíduo ou um sistema informático; iii) um traço oportunista que utiliza o tempo de CPU com base na disponibilidade de uma ação corretiva; ou iv) um traço estrito e cauteloso que utiliza o tempo de CPU com base em pouco perdão ou tolerância a suposições; em que o tempo de CPU é medido em ciclos/segundo de CPU.
3. MÉTODO, de acordo com a reivindicação 1, caracterizado por um sistema de monitoramento e interação injetar eventos de segurança de um sistema de ameaça artificial à segurança (AST) nas vias de evolução e retransmitir respostas de segurança associadas aos eventos de segurança de uma nuvem de comportamento de segurança, em que, caso qualquer uma das vias de evolução atinja um estado indefinido de incapacidade de solucionar o determinado problema de segurança, a execução da via de evolução é abandonada, em que o traço de personalidade da via de evolução abandonada é modificado, em que o traço de personalidade modificado é atribuído à outra via de evolução e o evento de segurança da via de evolução abandonada é injetado na outra via de evolução, e em que a outra via de evolução é executada, em que o sistema de monitoramento e interação produz o desempenho das vias de evolução e recebe informações para modificar o traço pessoal.
4. MÉTODO, de acordo com a reivindicação 1, caracterizado por um módulo de referência cruzada analisar uma resposta do sistema de segurança para um determinado evento de segurança, decidir se uma resposta do sistema de segurança é significativa e enviar a resposta do sistema de segurança para um módulo de marcação de traço.
5. MÉTODO, de acordo com a reivindicação 4, caracterizado pelo módulo de marcação de traço classificar a resposta do sistema de segurança de acordo com os tipos de personalidade fornecidos ao módulo de marcação de traço.
6. MÉTODO, de acordo com a reivindicação 5, caracterizado por um módulo de interação de traço analisar a correlação entre os traços de personalidade, em que o resultado da análise passa para a nuvem comportamental de segurança, em que a nuvem comportamental de segurança passa o resultado da análise para o sistema de monitoramento e interação.
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US62/156,884 | 2015-05-04 | ||
| US62/294,258 | 2016-02-11 | ||
| US62/307,558 | 2016-03-13 | ||
| US62/323,657 | 2016-04-16 | ||
| US15/145,800 | 2016-05-04 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| BR122023023454A2 true BR122023023454A2 (pt) | 2024-04-09 |
Family
ID=
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2021254601B2 (en) | Method and device for managing security in a computer network | |
| Xiong et al. | Threat modeling–A systematic literature review | |
| US20210273961A1 (en) | Apparatus and method for a cyber-threat defense system | |
| US20240098100A1 (en) | Automated sandbox generator for a cyber-attack exercise on a mimic network in a cloud environment | |
| Lombardi et al. | From DevOps to DevSecOps is not enough. CyberDevOps: an extreme shifting-left architecture to bring cybersecurity within software security lifecycle pipeline | |
| Engström et al. | Automated security assessments of Amazon Web services environments | |
| Malik et al. | Dynamic risk assessment and analysis framework for large-scale cyber-physical systems | |
| BR122023023454A2 (pt) | Método para crescimento iterativo da inteligência | |
| KR102720484B1 (ko) | 컴퓨터 네트워크에서의 보안 관리를 위한 방법 및 장치 | |
| Thakore | A quantitative methodology for evaluating and deploying security monitors | |
| US20240220303A1 (en) | Cyber security system for cloud environment analytics | |
| Horan | Open-Source Intelligence Investigations: Development and Application of Efficient Tools | |
| Viegas et al. | Corporate information security processes and services | |
| Ahmed | Data-driven framework and experimental validation for security monitoring of networked systems | |
| Wright | Forensics management | |
| Islam | Architecture-centric support for security orchestration and automation | |
| KR20240154696A (ko) | 컴퓨터 네트워크에서의 보안 관리를 위한 방법 및 장치 | |
| Nebbione | Valutazione della Sicurezza di Reti Informatiche tramite Intelligenza Artificiale: Un Approccio basato su Grafi | |
| Resende | Gestor de Risco aplicado à área de cibersegurança | |
| Balaji et al. | Strengthening Cloud Security For Unauthorized Access Prevention | |
| Strasburg | A framework for cost-sensitive automated selection of intrusion response | |
| Vanharanta | Integrating Attack Graph Analysis System in Semi-Isolated Network Environment | |
| Busby et al. | Deliverable 3.1-Methodology for Risk Assessment and | |
| Kempinski | QAROT: Quantitatively Assessing cyber security Risks in Operational Technology | |
| SADLEK | Automated Identification of Cyber Threat Scenarios |