-
HINTERGRUND
-
Die Netzwerksicherheit wird im Informationszeitalter immer wichtiger. Netzwerkbedrohungen können verschiedene Formen annehmen (z. B. unbefugte Anfragen oder Datenübertragungen, Viren, Malware, große Mengen an Netzwerkverkehr, die darauf abzielen, die Netzwerkressourcen zu überlasten, und dergleichen). Viele Organisationen abonnieren Netzwerkbedrohungsdienste, die regelmäßig Informationen zu Netzwerkbedrohungen bereitstellen, z. B. Berichte mit Listen von Netzwerkbedrohungsindikatoren (z. B. Netzwerkadressen, Uniform Resource Identifiers (URIs) usw.) oder Bedrohungssignaturen (z. B. Malware-Dateikennungen) oder Bedrohungsverhalten (z. B. charakteristische Muster von fortschrittlichen dauerhaften Bedrohungen). Die von solchen Diensten bereitgestellten Informationen können von Organisationen genutzt werden, um Bedrohungen für ihre Netzwerke und damit verbundenen Assets zu identifizieren. Zum Beispiel können Netzwerkgeräte Netzwerkkommunikationen überwachen und etwaige Kommunikationen zwischen Endpunkten mit Netzwerkadressen identifizieren, die Bedrohungsindikatoren entsprechen.
-
Sobald diese Kommunikationsereignisse identifiziert sind, können sie protokolliert werden, und die Ereignisprotokolle können einem Cyberanalysesystem oder menschlichen Cyberanalysten zur weiteren Untersuchung der Art und Schwere der Bedrohungsereignisse und möglicher Abhilfemaßnahmen zur Verfügung gestellt werden. Typischerweise stellen das Cyberanalysesystem oder die Cyberanalysten fest, dass nur ein kleiner Teil dieser protokollierten Bedrohungsereignisse meldepflichtig ist, und zwar in dem Sinne, dass die Ereignisse den zuständigen Behörden gemeldet werden sollten, die für die Durchführung der zugehörigen Abhilfemaßnahmen und für die Gewährleistung der Sicherheit des Netzwerks verantwortlich sein können, und die für die Durchsetzung gesetzlicher Vorschriften oder die Meldung von Compliance-Verstößen zuständig sein können. In vielen modernen Firmennetzwerken übersteigt das Volumen und die Erstellungsrate von Ereignisprotokollen zu Netzwerkbedrohungen jedoch oft die Kapazitäten der menschlichen Cyberanalysten, alle Ereignisse zu untersuchen. Daher ist es unerlässlich, dass die Arbeit der Cyberanalysten effizient eingeteilt wird. Zu diesem Zweck sollten das Cyberanalysesystem oder die Cyberanalysten nur die Ereignisse untersuchen, die mit hoher Wahrscheinlichkeit meldepflichtige Ereignisse sind, und keine Zeit und Mühe mit der Untersuchung von Bedrohungsereignissen verschwenden, die wahrscheinlich nicht meldepflichtig sind. Dementsprechend besteht ein Bedarf an einer Beschleunigung des Cyberanalyse-Workflows.
-
ZUSAMMENFASSUNG
-
Das Folgende stellt eine vereinfachte Zusammenfassung dar, um ein grundlegendes Verständnis für einige Aspekte der Offenbarung zu vermitteln. Es ist weder beabsichtigt, die wichtigsten oder kritischen Elemente der Offenbarung zu identifizieren noch den Umfang der Offenbarung abzugrenzen. Die folgende Zusammenfassung stellt lediglich einige Konzepte der Offenbarung in vereinfachter Form als Auftakt zur nachfolgenden Beschreibung dar.
-
Aspekte dieser Offenbarung beziehen sich auf die Beschleunigung des Cyberanalyse-Workflows. Gemäß Ausführungsformen der Offenbarung kann eine TCP/IP-Netzwerkkommunikationsüberwachungsvorrichtung Bedrohungserkennungsregeln empfangen, die so konfiguriert sind, dass sie die Überwachungsvorrichtung veranlassen, Kommunikationsereignisse zu identifizieren, die den Bedrohungserkennungsregeln entsprechen. Diese Regeln können auch Aktionen beinhalten, die von der Überwachungsvorrichtung auf Pakete angewendet werden können, die den Regeln entsprechen. Beispielsweise können die Regeln die Überwachungsvorrichtung dazu veranlassen, ein Paket basierend auf den Regeln zu blockieren, zuzulassen, zu modifizieren/transformieren, zu protokollieren, zu erfassen oder andere Aktionen daran auszuführen. Die Überwachungsvorrichtung kann TCP/IP-Pakete empfangen, die Endpunkt-zu-Endpunkt-Kommunikationen bilden, und für jedes Paket und die zugehörige Kommunikation des Pakets kann die Überwachungsvorrichtung feststellen, dass das Paket und/oder die zugehörige Kommunikation Kriterien entsprechen, die durch eine oder mehrere Regeln zur Erkennung von Bedrohungen festgelegt sind. Die Kriterien können einem oder mehreren der Netzwerk-Bedrohungsindikatoren oder einer oder mehreren der Netzwerk-Bedrohungssignaturen oder einem oder mehreren der Netzwerk-Bedrohungsverhaltensmuster entsprechen.
-
Nach der Erkennung einer Bedrohung kann die Überwachungsvorrichtung das Paket protokollieren, das Paketprotokoll in einem Ereignisprotokoll für die zugehörige Kommunikation zusammenfassen und die Kommunikation als Bedrohungsereignis bezeichnen. Das Protokoll kann auch Kontextinformationen enthalten, wie z. B. die Erkennungskriterien, Umgebungsinformationen (z. B. Zeitstempel, Schnittstellen-IDs, Richtungsangaben), etwaige von der Überwachungsvorrichtung auf das Paket angewandte Aktionen, oder von der Überwachungsvorrichtung vorgenommene Änderungen am Paket. Die in diesen Ereignisprotokollen gespeicherten Informationen sollen eine Cyberanalyse des Risikos und der Auswirkungen des Bedrohungsereignisses sowie etwaige Abhilfemaßnahmen zur Minderung der Bedrohung erleichtern. Die Überwachungsvorrichtung kann auch die Pakete erfassen. Kopien der erfassten Pakete können in roher/unverarbeiteter Form gespeichert werden. Die einzelnen Pakete, aus denen sich die Kommunikation zusammensetzt, können zusammen gespeichert werden, um die Cyberanalyse des Bedrohungsereignisses weiter zu erleichtern.
-
Da die Überwachungsvorrichtung Ereignisprotokolle erstellt, können die Protokolle als Aufgaben in einer Arbeitswarteschlange in der Reihenfolge der Ankunftszeit gespeichert werden. Die Arbeitswarteschlange kann einem Cyberanalysten oder Cyberanalysesystem über eine Benutzerschnittstelle zur Unterstützung der Ereignisanalyse präsentiert werden. Über die Benutzerschnittstelle kann der Cyberanalyst oder das Cyberanalysesystem das Ereignisprotokoll an der Spitze der Warteschlange auswählen und mit der Untersuchung beginnen, wodurch der Cyberanalyse-Workflow-Prozess für das Ereignis eingeleitet wird Der Workflow kann wie folgt ablaufen: das Cyberanalysesystem oder der Cyberanalyst prüft die Informationen des Ereignisses und kann eine Untersuchung durchführen; kann eine Bestimmung der Art und des Schweregrads des Ereignisses vornehmen, z. B. feststellen, ob das Ereignis die Beschädigung oder den Verlust kritischer Ressourcen verursacht hat; kann feststellen, ob es möglicherweise Abschwächungs- oder Abhilfemaßnahmen gibt, z. B. feststellen, ob Malware von einem Host entfernt werden soll; und kann das Ereignis und etwaige Abmilderungs- oder Abhilfemaßnahmen als „Befund“ an die zuständigen Behörden melden, z. B. Geschäftsleitung und/oder Netzwerksicherheitsoperationen und/oder Aufsichtsbehörden, oder das Cyberanalysesystem oder der Cyberanalyst kann entscheiden, dass das Ereignis kein meldepflichtiger Befund ist, wobei in beiden Fällen der Workflow-Prozess abgeschlossen werden kann. Das Cyberanalysesystem kann die vom Cyberanalysesystem empfangenen Ereignisinformationen überprüfen und zusammenfassen. Die Zusammenfassung und/oder die Ereignisinformationen können einem Cyberanalytiker-Benutzergerät mit einer Anfrage zur Bereitstellung oder Bestimmung etwaiger fehlender Informationen präsentiert oder an dieses übertragen werden und können vorgeschlagene Bestimmungen von Art und Schweregrad des Ereignisses sowie vorgeschlagene Entschärfungs- oder Abhilfemaßnahmen enthalten. Wenn es sich bei dem Ereignis nicht um einen meldepflichtigen Befund handelt, wird die Arbeit des Cyberanalysten als „verschwendeter“ Aufwand betrachtet. Jegliche Zeit, die für die Untersuchung eines Ereignisses aufgewendet wird, das keinen meldepflichtigen Befund darstellt, kann als Ineffizienz betrachtet werden, die sich beispielsweise aufgrund von Opportunitätskosten negativ auf die Qualität der Cybersicherheit auswirken kann. Das heißt, die Zeit, die für die Untersuchung des nicht meldepflichtigen Ereignisses aufgewendet wurde, hätte stattdessen für die Untersuchung eines meldepflichtigen Befunds verwendet werden können.
-
Um meldepflichtige Befunde zu behandeln, muss eine Verwaltungsvorrichtung möglicherweise Maßnahmen für den Befund ergreifen, z. B. den Befund an Behörden melden, indem es Berichtnachrichten an Netzwerkgeräte der Behörden sendet, um die geltenden Vorschriften einzuhalten. Netzwerksicherheitsoperationen können für die Ausführung der mit dem Befund verbundenen Abhilfemaßnahmen verantwortlich sein. Nach Abschluss eines einzelnen Workflow-Prozesses kann das Cyberanalysesystem oder der Cyberanalyst eine Nachricht übertragen, um einen neuen Workflow-Prozess zu initiieren, indem er zur Auswahl eines nächsten zu analysierenden Ereignisses zurückkehrt, einen Workflow für das nächste Ereignis ausführen und feststellen, dass das nächste Ereignis entweder meldepflichtig oder nicht meldepflichtig ist. Dieser Workflow-Zyklus kann wiederholt werden, bis der Cyberanalyst seine Arbeitssitzung beendet hat oder bis die Arbeitswarteschlange geleert wurde.
-
Ein Hauptproblem bei Cybersicherheitsoperationen besteht darin, dass in einer typischen Cybersicherheitsumgebung mit Cyberanalysten, die herkömmliche Cyberanalyse-Anwendungen und -Tools verwenden, die Generierungsrate von Bedrohungsereignissen, oder äquivalent dazu die Ankunftsrate in der Arbeitswarteschlange, die Bearbeitungsrate eines Cyberanalysten für jedes Ereignis bei weitem übersteigen kann. Wenn der Cyberanalyse-Workflow-Zyklus zu langsam abläuft, kann der Rückstand oder die Warteschlange der zu bearbeitenden Ereignisse anwachsen, bis die maximale Größe der Warteschlange überschritten wird, woraufhin Ereignisse aus der Warteschlange verworfen werden können. Verworfene Ereignisse können nie untersucht werden, sodass es vorkommen kann, dass einige potenziell meldepflichtige Ereignisse möglicherweise nie entdeckt werden. Dies beeinträchtigt die Cybersicherheit.
-
Ein Ansatz zur Lösung des Problems besteht darin, die Bearbeitungsrate einer Warteschlange für Bedrohungsereignisse zu erhöhen. Eine Möglichkeit, dies zu tun, besteht darin, mehr Cyberanalysten hinzuzufügen, um eine Warteschlange für Bedrohungsereignisse zu bearbeiten. In typischen Umgebungen ist es jedoch nicht praktikabel, die Anzahl der Cyberanalysten so weit zu erhöhen, dass die Abarbeitungsrate der Warteschlange mit der Ereignisankunftsrate der Warteschlange übereinstimmt.
-
Eine andere Art, die Bearbeitungsrate zu erhöhen, besteht darin, die durchschnittliche Zykluszeit des Workflows zu reduzieren, beziehungsweise die durchschnittliche Betriebszeit pro Ereignis oder Aufgabe in der Warteschlange zu reduzieren, d. h. den Workflow zu beschleunigen. In einer typischen Umgebung kann es vorkommen, dass die meisten Ereignisse als risikoarm oder Fehleralarm eingestuft werden und daher nicht gemeldet werden müssen. Wenn es also eine Möglichkeit gibt, sicherzustellen, dass ein Cyberanalyst keine Zeit mit der Untersuchung von Ereignissen verbringt, die als nicht meldepflichtig eingestuft würden, dann ist die Zykluszeit für solche Ereignisse gleich null, und die durchschnittliche Zykluszeit des Workflows kann erheblich reduziert werden. Wenn es umgekehrt eine Möglichkeit gibt, sicherzustellen, dass ein Cyberanalyst nur Ereignisse untersucht, die als meldepflichtig eingestuft würden, kann die durchschnittliche Workflow-Zykluszeit erheblich reduziert werden. Bezüglich der Ereigniswarteschlange, können, anstatt die Ereignisse in der Warteschlange nach der Ankunftszeit zu ordnen, was dazu führt, dass die ältesten Ereignisse an der Spitze der Warteschlange stehen, die Ereignisse in der Warteschlange nach ihrer Meldepflichtwahrscheinlichkeit (engl.: likelihood of reportability) (ein Wahrscheinlichkeitswert in [0,1]) geordnet oder sortiert werden, was dazu führt, dass die Ereignisse, für die die Wahrscheinlichkeit einer Meldepflicht am höchsten ist, an der Spitze der Warteschlange stehen. Um die Ereignisse in der Warteschlange nach ihrer Meldepflichtwahrscheinlichkeit zu ordnen, kann ein Algorithmus, der die Wahrscheinlichkeit der Meldepflicht eines Ereignisses berechnet, auf jedes in der Warteschlange ankommende Ereignis angewendet werden, und anschließend kann das Ereignis in sortierter Reihenfolge in die Warteschlange eingefügt werden. Ereignisse mit einer geringen Wahrscheinlichkeit der Meldepflicht können von Cyberanalysten nie untersucht werden und können aus der Warteschlange entfernt werden; dann ist die Bearbeitungszeit für solche Ereignisse gleich null, und somit wird die durchschnittliche Workflow-Zykluszeit für Ereignisse in der Warteschlange reduziert, was zu einer Beschleunigung des Workflows führt.
-
Eine entscheidende Komponente zur Beschleunigung des Cyberanalyse-Workflows ist die Entwicklung von Algorithmen, die die Wahrscheinlichkeit der Meldepflicht eines Ereignisses berechnen. Bevor die Art solcher Algorithmen beschrieben wird, sei darauf hingewiesen, dass, wenn es Algorithmen gäbe, die die Wahrscheinlichkeit der Meldepflicht eines Ereignisses mit hoher Genauigkeit berechnen, kaum noch Bedarf an menschlichen Cyberanalysten zur Durchführung von Untersuchungen bestünde; sie könnten vollständig durch Roboter ersetzt werden. Bislang wurden solche hochpräzisen Algorithmen noch nicht entwickelt, und es wird allgemein angenommen, dass es Menschen nicht möglich ist, hochpräzise Algorithmen mit expliziten Programmiermethoden zu entwickeln. Außerdem können Algorithmen, die für ein bestimmtes Netzwerk oder einen bestimmten Bereich der Welt als genau gelten, als nicht genau gelten, wenn sie global auf Ereignisse in allen Cybersicherheitsumgebungen angewendet werden. Das heißt, dass Ereignisse, die in einer Umgebung als meldepflichtig angesehen werden, in einer anderen Umgebung möglicherweise nicht als meldepflichtig angesehen werden, da unterschiedliche Überlegungen darüber angestellt werden, welche Ereignisse als meldepflichtig anzusehen sind. Betrachtet man zum Beispiel zwei politische Nationen A und B, die sich gegenseitig feindlich gesinnt sind oder sich sogar im Kriegszustand befinden können. Angenommen, es gibt einen Malware-Verteilungsserver M, der an ein Netzwerk angeschlossen ist, das vom Militär der Nation A kontrolliert und betrieben wird. Jede vernetzte Kommunikation mit M kann potenziell eine Malware-Verteilung darstellen und sollte daher als Bedrohungsrisiko angesehen werden. Eine Kommunikation zwischen dem Malware-Verteilungsserver M und einem Host-Computer, der an ein von der Nation A kontrolliertes Netzwerk angeschlossen ist, wird jedoch von Nation A möglicherweise nicht als meldepflichtiges Ereignis angesehen; umgekehrt wird eine Kommunikation zwischen dem Malware-Verteilungsserver M und einem Host-Computer, der an ein von der Nation B kontrolliertes Netzwerk angeschlossen ist, von Nation B wahrscheinlich als meldepflichtiges Ereignis angesehen.
-
Es können zwei Arten von Algorithmen verwendet werden, um eine geschätzte Meldepflichtwahrscheinlichkeit für ein Ereignis zu bestimmen: (1) von Menschen entworfene (H/D) heuristische Algorithmen, die explizit programmiert werden können; und (2) maschinell entworfene oder maschinell erlernte (M/L) (engl.: machine learned algorithm) Algorithmen, die von einem maschinellen Lernsystem erzeugt werden können. Um Schätzungen für die Meldepflichtwahrscheinlichkeit eines Ereignisses zu ermitteln, können H/D-Algorithmen Ereignismerkmale klassifizieren und/oder Messgrößen für Ereignismerkmale mathematisch kombinieren, wie z. B. die Zuverlässigkeit des Bedrohungsindikators des Ereignisses (URls haben eine höhere Zuverlässigkeit als Domainnamen, und Domainnamen haben eine höhere Zuverlässigkeit als IP-Adressen), das Alter des Indikators, den (die) Threat Intelligence-Anbieter, der (die) den Indikator bereitgestellt hat (haben), die Reputation des (der) Threat Intelligence-Anbieters, die Reputation oder Risikobewertung, die dem Bedrohungsindikator von dem (den) Threat Intelligence- Anbieter(n) zugewiesen wurde, oder andere vom Menschen selektionierte Ereignismerkmale. Um die Meldepflichtwahrscheinlichkeit eines Ereignisses zu bestimmen, kombiniert ein M/L-Algorithmus in ähnlicher Weise Ereignismerkmale, indem er Ereignismerkmale mit zuvor identifizierten Bedrohungsereignissen korreliert. Im Gegensatz zu H/D-Algorithmen kann ein M/L-Algorithmus viel mehr Merkmale verwenden und diese Merkmale auf komplexere Weise kombinieren, z. B. durch die Berechnung nichtlinearer multivariabler Funktionen, die von Menschen nicht ohne weiteres entworfen oder explizit programmiert oder gut verstanden werden können. Die Merkmale und Kombinationen, die zu einer präzisen Bestimmung der Meldepflichtfähigkeit führen, können von maschinellen Lernsystemen erlernt werden, die Ansätze wie künstliche neuronale Netze (ANNs für „artificial neural networks“), genetische Programmierung (GP) und dergleichen verwenden, die typischerweise überwachte Lernverfahren verwenden. Ein maschinelles Lernsystem erzeugt einen M/L-Algorithmus, der einen Meldepflichtwahrscheinlichkeitswert für ein Bedrohungsereignis berechnet.
-
Dabei ist zu beachten, dass einige der Ereignismerkmale, die sowohl von den H/D-Algorithmen als auch von den M/L-Algorithmen verwendet werden, neu sind und als Teil der Offenbarung angesehen werden.
-
Um effektive M/L-Algorithmen zu erzeugen, benötigen maschinelle Lernsysteme, die überwachtes Lernen verwenden, oft eine erhebliche Menge an Trainingsdaten. Die Trainingsdaten bestehen aus Protokollen von Bedrohungsereignissen, die (von menschlichen Cyberanalysten) in meldepflichtige Befunde (positive Beispiele) und nicht meldepflichtige Ereignisse (negative Beispiele) kategorisiert wurden. Ein potenzielles Problem bei der Verwendung von M/L-Algorithmen zur Beschleunigung des Cyberanalyse-Workflows ist deshalb die Selbstblockade aufgrund unzureichender Trainingsdaten. Das heißt, die Generierung ausreichender Mengen von Trainingsdaten in einer praktikablen Zeitspanne, um hochpräzise M/L-Algorithmen für die Workflow-Beschleunigung zu erzeugen, kann selbst eine Workflow-Beschleunigung erfordern.
-
Um diese potenzielle Sackgasse zu vermeiden, können in der Zeitspanne, in der der M/L-Algorithmus aufgrund unzureichenden Trainings nicht ausreichend präzise ist, heuristische H/D-Algorithmen verwendet werden, um die Meldepflichtwahrscheinlichkeiten von Ereignissen zu bestimmen und dadurch eine gewisse Beschleunigung des Cyberanalyse-Workflows während des Erzeugens von Trainingsdaten zu erreichen. Die Trainingsdaten können verwendet werden, um M/L-Algorithmen zu generieren, die im Laufe der Zeit eine hohe Genauigkeit bei der Bestimmung der Meldepflichtwahrscheinlichkeit erreichen können. Dann können die M/L-Algorithmen auf Ereignisse in der Warteschlange angewendet werden, um die Ereignisse nach ihrer Meldepflichtwahrscheinlichkeit zu ordnen (möglicherweise in Kombination mit den H/D-Algorithmen für Meldepflichtwahrscheinlichkeit). Cyberanalysten untersuchen Ereignisse an der Spitze der Warteschlange (welche die Ereignisse mit der höchsten Meldepflichtwahrscheinlichkeit sein können) und schließen ihre Untersuchung, oder Workflow-Zyklus, ab, indem sie das Ereignis entweder als meldepflichtig oder als nicht meldepflichtig kennzeichnen. Jedes Ereignis, das ein Cyberanalysesystem oder Cyberanalyst untersucht und als meldepflichtig oder nicht meldepflichtig eingestuft hat, kann als Trainingsdaten in das maschinelle Lernsystem zurückgespeist werden, das dann zur Erstellung eines noch genaueren M/L-Algorithmus verwendet wird. Ereignisse in der sortierten Warteschlange, deren Meldepflichtwahrscheinlichkeit unter einem bestimmten Schwellenwert liegt (der vom Cyberanalysten subjektiv bestimmt werden kann), können aus der Warteschlange verworfen werden, und verworfene Ereignisse können nie untersucht werden. Wie weiter oben erwähnt, beschleunigt das Verwerfen von Ereignissen in der Warteschlange den Workflow.
-
Ein weiterer Grund für die Verwendung von H/D-Algorithmen in Kombination mit M/L-Algorithmen zur Verbesserung der Workflow-Beschleunigung ist die Behandlung unregelmäßiger und eigenwilliger Ereignisse. Es kann ein Bedrohungsereignis auftreten, das bei der Untersuchung durch einen Cyberanalysten als meldepflichtiges Ereignis eingestuft wird, das aber nicht gut mit den Mustern früherer meldepflichtiger Ereignisse übereinstimmt, die als Trainingsdaten für den M/L-Algorithmus verwendet wurden. Daher wird der M/L-Algorithmus dem Ereignis eine niedrige Meldepflichtwahrscheinlichkeit zuweisen, während der H/D-Algorithmus ihm eine höhere Meldepflichtwahrscheinlichkeit zuweisen kann. Um das Gesamtsystem robust gegenüber solchen Anomalien oder gegenüber Änderungen in den Mustern von Bedrohungsereignissen zu machen (wie es in der Cybersicherheit oft der Fall ist), können von H/D-Algorithmen berechnete Meldepflichtwahrscheinlichkeiten mit von M/L-Algorithmen berechneten Meldepflichtwahrscheinlichkeiten kombiniert werden, so dass die kombinierte Wahrscheinlichkeit immer größer oder gleich der größeren von der H/D-Wahrscheinlichkeit und der M/L-Wahrscheinlichkeit ist (aber immer kleiner oder gleich 1). Somit sollte, selbst wenn die M/L-Wahrscheinlichkeit niedrig ist, der kombinierte Meldepflichtwahrscheinlichkeitswert, der zum Sortieren des Ereignisses in der Warteschlange verwendet wird, größer oder gleich dem H/D-Wert sein.
-
Die von verschiedenen Algorithmen berechneten Meldepflichtwahrscheinlichkeiten können gewichtet werden. Die H/D-Algorithmen können mit von M/L-Algorithmen berechneten Meldepflichtwahrscheinlichkeiten kombiniert werden, so dass die kombinierte Meldepflichtwahrscheinlichkeit so gewichtet wird, dass einer der Algorithmen hervorgehoben wird. Das System kann so gewichtet werden, dass der H/D-Algorithmus hervorgehoben wird. Das System kann den H/D-Algorithmus dazu verwenden, eine kombinierte Zuverlässigkeit zu bestimmen, bis die Menge der Trainingsdaten, die zur Verfeinerung des M/L-Algorithmus verwendet werden, einen Schwellenwert erreicht hat. Mit zunehmender Menge an Trainingsdaten kann die Gewichtung verschoben werden, um ein Gleichgewicht zwischen der H/D-Wahrscheinlichkeit und der M/L-Wahrscheinlichkeit herzustellen.
-
Außerdem können die historischen Daten/Trainingsdaten, die zur Generierung von M/L-Algorithmen verwendet werden, spezifisch für ein bestimmtes System/eine bestimmte Organisation, ein bestimmtes Netzwerksegment oder einen bestimmten Netzwerkanalysten sein. So ist es beispielsweise möglich, dass ein Bedrohungsereignis (bzw. Bedrohungsereignisse), das (die) in einem Marktsegment/ Bereich kritischer Infrastrukturen als signifikant angesehen wird (werden) (d. h., dass es die Zeit und den Aufwand eines Cyberanalysten wert ist), in einem anderen Marktsegment/Bereich kritischer Infrastrukturen nicht als signifikant angesehen wird. Ebenso wird innerhalb eines bestimmten Segments ein Bedrohungsereignis, das von einer Organisation in einem bestimmten Segment als signifikant eingestuft wird, von einer anderen Organisation in demselben Segment nicht als signifikant angesehen. Darüber hinaus wird ein Bedrohungsereignis, das von einem Cyberanalysten als signifikant eingestuft wird, von einem anderen Cyberanalysten nicht als signifikant angesehen. Daher können die M/L-Algorithmen je nach Markt-/Netzwerksegment, Bereich kritischer Infrastrukturen, Organisation oder Cyberanalysten, die die Trainingsdaten für diesen Algorithmus liefern, variieren.
-
Die Trainingsdaten werden also verwendet, um Korrelationsmessalgorithmen zu entwickeln, die auf ein bestimmtes Segment, eine Organisation oder einen einzelnen Cyberanalysten „abgestimmt“ sind. Dies bedeutet auch, dass mehrere Korrelationsmessungsalgorithmen gleichzeitig verwendet werden können, wobei jeder Algorithmus an einem unterschiedlichen Satz Trainingsdaten maschinenerlernt/trainiert wird.
-
Eine TCP/IP-Kommunikationsüberwachungsvorrichtung, die als Cyber Threat Intelligence (CTI)-Gateway bezeichnet wird, kann so konfiguriert sein, dass sie Kommunikationen erkennt und protokolliert, die mit Bedrohungsindikatoren, Signaturen, Verhaltensmustern und dergleichen übereinstimmen. Wenn die Vorrichtung eine Bedrohungskommunikation oder ein Bedrohungsereignis erkennt, kann sie das Ereignis protokollieren und das Ereignisprotokoll an eine Arbeitswarteschlange weiterleiten, die Aufgaben für das Cyberanalysesystem oder Cyberanalysten zur Untersuchung enthält. Vor dem Einfügen des Ereignisprotokolls in die Warteschlange kann die Meldepflichtwahrscheinlichkeit des Ereignisses, ein Wahrscheinlichkeitswert zwischen 0 und 1, individuell sowohl von einem H/D-Algorithmus als auch von einem M/L-Algorithmus berechnet werden. Der Wahrscheinlichkeitswert des H/D-Algorithmus und der Wahrscheinlichkeitswert des M/L-Algorithmus können kombiniert werden, um einen integrierten Meldepflichtwahrscheinlichkeitswert, genannt R, zu erzeugen. Das Ereignisprotokoll kann in sortierter Reihenfolge in die Arbeitswarteschlange eingefügt werden, wobei das Sortierkriterium der Wert von R für jedes Ereignisprotokoll in der Warteschlange ist und größere R-Werte in der Nähe der Spitze der Warteschlange liegen. Eine Vorrichtung ruft das Ereignisprotokoll an der Spitze der Warteschlange ab (das das Ereignisprotokoll mit dem größten Wert von R unter allen Ereignisprotokollen in der Warteschlange sein kann), unterzieht es einer Pop-Operation oder entfernt es, und überträgt das Ereignisprotokoll zur Untersuchung an das Cyberanalysesystem oder den Cyberanalysten, und das Cyberanalysesystem oder der Cyberanalyst bestimmt, ob das Ereignis meldepflichtig oder nicht meldepflichtig ist. Wenn das Ereignis meldepflichtig ist, kann das Cyberanalysesystem oder das Cyberanalyst-Benutzergerät einen Bericht für das Ereignis erstellen, der eine Empfehlung für Abhilfemaßnahmen enthalten kann, oder das Cyberanalysesystem oder der Cyberanalyst kann Abhilfemaßnahmen durchführen oder empfehlen und diese Informationen in den Bericht aufnehmen. Das Ereignisprotokoll kann an das maschinelle Lernsystem weitergeleitet werden, um als Trainingsdaten verwendet zu werden, um die Genauigkeit des M/L-Algorithmus weiter zu verbessern. Der Bericht kann an die zuständigen Behörden übermittelt werden, die für die Gewährleistung der Netzwerksicherheit, die Durchführung von Abhilfemaßnahmen, die Einhaltung geltender Vorschriften, die Meldung von Compliance-Verstößen und dergleichen verantwortlich sind.
-
Der Workflow-Prozess und die Überwachungs- und Protokollierungsprozesse können kontinuierlich wiederholt werden. Die Überwachungsvorrichtung erkennt und protokolliert Bedrohungskommunikationsereignisse und leitet die Ereignisse an die Arbeitswarteschlange weiter. Ereignisse können in die Warteschlange in sortierter Reihenfolge nach ihren R-Werten eingefügt werden, die durch H/D- und M/L-Algorithmen berechnet werden können. Das Cyberanalysesystem oder die Cyberanalysten können Ereignisse von der Spitze der Warteschlange abrufen, anfordern oder übertragen bekommen, die Ereignisse untersuchen und sie als meldepflichtig oder nicht meldepflichtig kennzeichnen. Untersuchte Ereignisse, sowohl meldepflichtige als auch nicht meldepflichtige, können an das maschinelle Lernsystem zur Verwendung als Trainingsdaten für die Erzeugung genauerer M/L-Algorithmen gesendet werden. Das Cyberanalysesystem oder die Cyberanalysten untersuchen Ereignisprotokolle an der Spitze der Warteschlange, bis die R-Werte unter einen Schwellenwert fallen (der subjektiv sein kann). Ereignisprotokolle mit einem R-Wert unter einem bestimmten Schwellenwert können aus der Warteschlange verworfen werden, und verworfene Ereignisprotokolle können nie von Cyberanalysten untersucht werden.
-
Der oben beschriebene Prozess beschleunigt den Workflow, indem er die durchschnittliche Bearbeitungsrate bzw. Untersuchungszeit pro Ereignis in der Warteschlange reduziert. Das Cyber Threat Intelligence-Betriebssystem kann sicherstellen, dass Cyberanalysten nur Ereignisse mit hohen R-Werten untersuchen und keine Zeit mit der Untersuchung von Ereignissen mit niedrigen R-Werten (Ereignisse mit R-Werten unter einem bestimmten Schwellenwert) verbringen.
-
Figurenliste
-
Die vorliegende Offenbarung ist in den beigefügten Ansprüchen besonders hervorgehoben. Merkmale der Offenbarung werden bei Durchsicht der Offenbarung in ihrer Gesamtheit, einschließlich der beigefügten Zeichnungen, deutlicher.
-
Einige der hierin enthaltenen Merkmale sind beispielhaft und nicht einschränkend in den Figuren der beigefügten Zeichnungen dargestellt, in denen gleiche Bezugszeichen ähnliche Elemente bezeichnen, und in denen:
- 1 ein illustratives Funktionsdiagramm einer Cyber Threat Intelligence (CTI)-Betriebsumgebung zur Beschleunigung des Cyberanalyse-Workflows gemäß einem oder mehreren Aspekten der Offenbarung zeigt;
- 2 eine illustrative TCP/IP-Netzwerkumgebung für ein CTI-Betriebssystem mit Beschleunigung des Cyberanalyse-Workflows gemäß einem oder mehreren Aspekten der Offenbarung zeigt;
- 3 eine illustrative Funktionsumgebung für einen Cyberanalyse-Workflow-Anwendungsprozess gemäß einem oder mehreren Aspekten der Offenbarung zeigt;
- 4 einen repräsentativen, vom Menschen entworfenen (H/D) heuristischen Algorithmus zur Bestimmung der Meldepflichtwahrscheinlichkeit für ein Kommunikationsereignis, das von einem Cyber Threat Intelligence-Gateway erfasst wurde, in Übereinstimmung mit einem oder mehreren Aspekten der Offenbarung zeigt;
- 5 ein maschinelles Lernsystem zur Erzeugung von maschinell erlernten (M/L) Algorithmen zum Bestimmen der Meldepflichtwahrscheinlichkeit für ein Kommunikationsereignis, das von einem Cyber Threat Intelligence-Gateway erfasst wurde, gemäß einem oder mehreren Aspekten der Offenlegung zeigt;
- 6a und 6b Merkmale von Kommunikationsereignisprotokollen und zugehörige Maßnahmen auflisten, die als Eingabe für maschinelle Lernsysteme und für M/L-Algorithmen zur Bestimmung der Meldepflichtwahrscheinlichkeit für Kommunikationsereignisse, die von Cyber Threat Intelligence-Gateways gesammelt wurden, gemäß einem oder mehreren Aspekten der Offenbarung verwendet werden können.
-
AUSFÜHRLICHE BESCHREIBUNG
-
In der folgenden Beschreibung verschiedener illustrativer Ausführungsformen wird auf die begleitenden Zeichnungen verwiesen, die einen Teil dieses Dokuments bilden und in denen zur Veranschaulichung verschiedene Ausführungsformen gezeigt werden, in denen Aspekte der Offenbarung ausgeführt werden können. Es versteht sich, dass andere Ausführungsformen verwendet und strukturelle und funktionelle Änderungen vorgenommen werden können, ohne dass der Umfang der Offenbarung verlassen wird. Darüber hinaus wird auf bestimmte Anwendungen, Protokolle und Ausführungsformen verwiesen, in denen Aspekte der Offenbarung ausgeführt werden können. Es versteht sich, dass andere Anwendungen, Protokolle und Ausführungsformen verwendet und strukturelle und funktionelle Änderungen vorgenommen werden können, ohne dass der Umfang der Offenbarung verlassen wird.
-
In der folgenden Beschreibung werden verschiedene Verbindungen zwischen Elementen diskutiert. Diese Verbindungen sind allgemein und können, sofern nicht anders angegeben, direkt oder indirekt, verdrahtet oder drahtlos, physikalisch oder logisch definiert sein. In dieser Hinsicht ist die Beschreibung nicht als einschränkend gedacht.
-
1 zeigt ein illustratives Funktionsdiagramm einer Cyber Threat Intelligence (CTI)-Betriebsumgebung zur Beschleunigung des Cyberanalyse-Workflows gemäß einem oder mehreren Aspekten der Offenbarung. Bezugnehmend auf 1 kann das CTI-Betriebssystem 100 funktionale Komponenten eines typischen Cyber Threat Intelligence (CTI)-Betriebszyklus enthalten. Die CTI-Anforderungskomponente 110 erfasst Cyber-Bedrohungsdaten von verschiedenen Anbietern in Form von: Bedrohungsindikatoren, zum Beispiel IP-Adressen, Domainnamen und URls von ans Internet angeschlossenen Endpunkten, die von kriminellen Gruppierungen kontrolliert werden können; Bedrohungssignaturen, zum Beispiel ein MD5-Hash einer Malware-Datei; und Bedrohungsverhaltensmuster, zum Beispiel eine Datei mit einer .mp3-Erweiterung, die Systemaufrufe tätigt. Die CTI-Anforderungskomponente 110 verteilt die CTI an die Erfassungskomponente 120, die durch CTI-Gateways implementiert sein kann. CTI-Gateways können Netzwerk-Appliances sein, die Netzwerkkommunikationen auf Übereinstimmungen mit der CTI untersuchen. Die Erfassungskomponente oder das CTI-Gateway 120 kann sich innerhalb des Netzwerks A 150 befinden, an oder in der Nähe der Schnittstelle zwischen Netzwerk A 150 und Netzwerk B 160. Angenommen, zum Beispiel, ein Host-Desktop-Computer, der an Netzwerk A 150, zum Beispiel ein Firmen-LAN (Local Area Network), angeschlossen ist, sendet eine Web-Hypertext Transfer Protocol (HTTP)-Anfrage mit dem Uniform Resource Locator (URL) http://www.malwareserver.net/directorv-aaa/a87gah.exe an einen Webserver www.malware-server.net, der an Netzwerk B 160 angeschlossen ist, welches das Internet sein kann. Wenn die Erfassungskomponente oder das CTT-Gateway 120 Netzwerkkommunikationen für den Bedrohungsanzeiger www.malware-server.net sucht, erkennt sie die HTTP-Anfrage und kann die daraus resultierende HTTP-Sitzung als Bedrohungsereignis protokollieren. Die Erfassungskomponente oder das CTI-Gateway 120 sendet Bedrohungsereignisprotokolle an das Cyberanalyse-Anwendungssystem 130. Das Cyberanalyse-Anwendungssystem 130 kann Funktionen enthalten, die von Cyberanalysten unter Verwendung von Anwendungen zur Analyse von Bedrohungsereignissen, wie z. B. SIEM (security information and event management)-Anwendungen, ausgeführt werden, um die Ereignisse zu untersuchen und zu bestimmen, ob die Ereignisse den Behörden gemeldet werden sollten. Die Berichte können Abhilfemaßnahmen enthalten. Das Cyberanalyse-Anwendungssystem 130 sendet alle meldepflichtigen Befunde an Netzwerkgeräte des Authority-Systems 140. Die Netzwerkgeräte des Authority-Systems 140 können von Instanzen implementiert werden, die die Befugnis haben, die Abhilfemaßnahmen auszuführen, z. B. einen Host-Computer von einem Netzwerk zu trennen und ihn nach Malware zu durchsuchen. Das Cyberanalyse-Anwendungssystem 130 überträgt außerdem alle meldepflichtigen und nicht meldepflichtigen Ereignisse an das maschinelle Lernsystem 170, wo sie gespeichert und als Trainingsdaten verwendet werden können.
-
In einem CTI-Betriebssystem 100 ist oft das Cyberanalyse-Anwendungssystem 130 ein Engpass. Die Generierungsrate von Bedrohungsereignisprotokollen durch die Erfassungskomponente 120 bzw. die Ankunftsrate von Bedrohungsereignisprotokollen im Cyberanalyse-Anwendungssystem 130 übersteigt deutlich die Rate, mit der das Cyberanalyse-Anwendungssystem 130 die Bedrohungsereignisprotokolle verarbeitet oder die Rate, mit der die Cyberanalysten die Bedrohungsereignisse untersuchen. Das Ergebnis ist, dass nur ein kleiner Prozentsatz der Ereignisse untersucht werden kann. Darüber hinaus kann von den untersuchten Ereignissen oft nur ein kleiner Prozentsatz als meldepflichtige Befunde eingestuft werden. In einer typischen Firmennetzwerkumgebung kann es beispielsweise viele Port-Scan-Angriffe auf die öffentlich zugänglichen Server der Firma geben, die, zum Beispiel, von einer Netzwerk-Firewall leicht blockiert werden können. Diese blockierten Scan-Angriffsereignisse können protokolliert und an das Cyberanalyse-Anwendungssystem 130 gesendet werden, aber da die Angriffe häufig vorkommen können und blockiert wurden, werden sie von den Cyberanalysten nicht an die Behörden gemeldet. Das CTI-Betriebssystem 100 entschärft den Engpass, indem es Meldepflichtwahrscheinlichkeitswerte für die Ereignisse berechnet und die Ereignisse in der Arbeitswarteschlange nach ihrer Meldepflichtwahrscheinlichkeit ordnet, so dass die Cyberanalysten nur Ereignisse mit einer hohen Meldepflichtwahrscheinlichkeit untersuchen. Dadurch wird die durchschnittliche Bearbeitungszeit für die Untersuchung von Ereignissen erheblich reduziert und der Workflow der Cyberanalyse beschleunigt.
-
2 zeigt ein illustratives Systemdiagramm einer Netzwerkumgebung für die Beschleunigung des Cyberanalyse-Workflows gemäß einem oder mehreren Aspekten der Offenbarung. Bezugnehmend auf 2 kann das CTI-Betriebssystem 100 ein oder mehrere Netzwerke umfassen. Zum Beispiel kann das CTI-Betriebssystem 100 das Netzwerk A 150 und das Netzwerk B 160 umfassen. Das Netzwerk A 150 kann ein oder mehrere Netzwerke (z. B. Local Area Networks (LANs), Wide Area Networks (WANs), Virtual Private Networks (VPNs), Software-Defined Networks (SDNs) oder Kombinationen davon) umfassen, die z. B. mit einer oder mehreren Personen oder Einrichtungen (z. B. Regierungen, Firmen, Dienstleistern oder anderen Organisationen) verbunden sind. Netzwerk B 160 kann ein oder mehrere Netzwerke (z. B. LANs, WANs, VPNs, SDNs oder Kombinationen davon) umfassen, die das Netzwerk A 150 mit einem oder mehreren anderen Netzwerken (in 2 nicht dargestellt) verbinden. Beispielsweise kann das Netzwerk B 160 das Internet oder ein ähnliches Netzwerk oder Teile davon umfassen, das viele öffentliche und private Netzwerke wie das Netzwerk A 150 miteinander verbindet.
-
Das CTI-Betriebssystem 100 kann auch einen oder mehrere Hosts enthalten, wie z. B. Computer- oder Netzwerkgeräte (z. B. Server, Desktop-Computer, Laptop-Computer, Tablet-Computer, mobile Geräte, Smartphones, Router, Gateways, Switches, Access Points oder dergleichen). Beispielsweise kann das Netzwerk A 150 Endpunkte Host-A1 152 und Host-A2 154 sowie eine Host-Infrastruktur (in 2 nicht dargestellt) zur Unterstützung von Systemen wie einem Cyberanalyse-Anwendungssystem 130 und ein maschinelles Lernsystem 170 umfassen. Die Hosts 152 und 154 können z. B. HTTP-Client-Anwendungen (Webbrowser) unterstützen, die auf HTTP-Server (Webseiten) zugreifen, die ans Internet angeschlossen sind. Netzwerk A 150 kann auch eine Vielzahl von Erfassungskomponenten oder CTI-Gateway-Geräten 120 enthalten, die sich typischerweise am oder in der Nähe des Netzwerkrands befinden und den Netzwerkverkehr überprüfen, der über Netzwerkverbindungen 106 läuft, die Netzwerke wie Netzwerk A 150 und Netzwerk B 160 verbinden. Die Erfassungskomponenten oder CTI-Gateway-Geräte 120 können Bedrohungsereignisse erkennen, die CTI entsprechen, und die Ereignisse protokollieren und erfassen und die Protokolle an das Cyberanalyse-Anwendungssystem 130 zur Untersuchung durch Cyberanalysten senden.
-
Netzwerk B 160 kann Endpunkte Host-B1 162 und Host-B2 164 sowie eine Host-Infrastruktur (in 2 nicht dargestellt) zur Unterstützung der CTI-Anbietersysteme 112 und 114 umfassen. Die Host-Geräte 162 und 164 können zum Beispiel HTTP-Server-Anwendungen (Webseiten) unterstützen, die von kriminellen Gruppierungen betrieben oder kontrolliert werden können, die Endpunkte mit HTTP-Clients, z. B. die Host-Geräte 152 und 154, welche Sitzungen mit den HTTP-Servern aufbauen, gefährden können. Die CTI-Anbietersysteme 112 und 114 können mit Diensten verbunden sein, die Netzwerkbedrohungen überwachen (z. B. Bedrohungen, die mit den Bedrohungshosts (engl.: threat hosts) 162 und 164 verbunden sind) und Cyber Threat Intelligence-Berichte an Teilnehmer wie Erfassungskomponenten oder CTI-Gateways 120 und Cyberanalyse-Anwendungssysteme 130 weitergeben. Die Cyber Threat Intelligence-Berichte können Netzwerkbedrohungsindikatoren (z. B. Netzwerkadressen, Ports, vollqualifizierte Domainnamen (FQDNs), URLs (Uniform Resource Locators), URls (Uniform Resource Identifiers) oder dergleichen) enthalten, die mit den Netzwerkbedrohungen in Verbindung stehen; Netzwerkbedrohungssignaturen (z. B. MD5-Hashes von Malware-Dateien) und Verhaltensmuster von Netzwerkbedrohungen (z. B. Dateien mit Datenerweiterungen, die Prozesse ausführen können, Kommunikationen, die auf 12P-Knoten hinweisen, und dergleichen) sowie andere Informationen, die mit den Netzwerkbedrohungen verbunden sind, z. B. die Art der Bedrohung (z. B. Phishing-Malware, Botnet-Malware oder dergleichen), geografische Informationen (z. B. ITAR (International Traffic in Arms Regulations)-Land, OFAC (Office of Foreign Assets Control)-Land, geolP-Daten und dergleichen), anonyme Netzwerke und Darknets (z. B. Tor-Netzwerk, 12P-Netzwerk und dergleichen) und kriminelle Gruppierungen (z. B. das Russian Business Network (RBN), die Syrian Electronic Army (SEA), APTI und dergleichen).
-
3 zeigt eine illustrative Umgebung für einen Cyberanalyse-Workflow-Anwendungsprozess gemäß einem oder mehreren Aspekten der Offenbarung. Bezugnehmend auf 3 entspricht das Cyberanalyse-Anwendungssystem 130 dem in 1 und 2 dargestellten Cyberanalyse-Anwendungssystem 130. Das Cyberanalyse-Anwendungssystem 130 kann einen oder mehrere Prozessoren, Speicher und/oder Netzwerkschnittstellen enthalten. Die hier beschriebenen Funktionen und Schritte können in computerverwendbaren Daten oder computerausführbaren Anweisungen verkörpert sein, z. B. in einem oder mehreren Programmmodulen, die von einem oder mehreren Computern oder anderen Geräten ausgeführt werden, um eine oder mehrere hier beschriebene Funktionen auszuführen. Im Allgemeinen umfassen Programmmodule Routinen, Programme, Objekte, Komponenten, Datenstrukturen usw., die bestimmte Aufgaben ausführen oder bestimmte abstrakte Datentypen implementieren, wenn sie von einem oder mehreren Prozessoren in einem Computer oder einem anderen Datenverarbeitungsgerät ausgeführt werden. Die computerausführbaren Anweisungen können auf einem computerlesbaren Medium wie einer Festplatte, einer optischen Platte, einem Wechseldatenträger, einem Festkörperspeicher, RAM usw. gespeichert sein. Wie zu erkennen sein wird, kann die Funktionalität der Programmmodule in verschiedenen Ausführungsformen beliebig kombiniert oder verteilt werden. Darüber hinaus kann die Funktionalität ganz oder teilweise in Firmware oder Hardware-Äquivalenten, wie integrierten Schaltkreisen, anwendungsspezifischen integrierten Schaltkreisen (ASICs), feldprogrammierbaren Gate-Arrays (FPGAs) und dergleichen, verkörpert sein. Spezielle Datenstrukturen können verwendet werden, um einen oder mehrere Aspekte der Offenbarung effektiver zu implementieren, und solche Datenstrukturen werden als im Rahmen der hier beschriebenen computerausführbaren Anweisungen und computerverwendbaren Daten liegend betrachtet.
-
Die Eingabe in das Cyberanalyse-Anwendungssystem 130 sind Bedrohungsereignisprotokolle, die von der Erfassungskomponente oder dem CTI-Gateway-System 120 (extern zum Cyberanalyse-Anwendungssystem 130) erzeugt werden, die/das der Erfassungskomponente 120 wie in 1 dargestellt und der Erfassungskomponente oder dem CTI-Gateway-System 120 wie in 2 dargestellt entspricht. Die Erfassungskomponente oder das CTI-Gateway 120 erzeugt Bedrohungsereignisprotokolle, die von Kommunikationen abgeleitet werden können, die mit CTI übereinstimmen, die von CTI-Anbietern wie den in 2 dargestellten CTI-Anbietern 112 und 114 bereitgestellt werden, und die aktuell von der Erfassungskomponente oder dem CTI-Gateway 120 auf Netzwerkkommunikationen zwischen Netzwerken wie dem in 2 dargestellten Netzwerk A 150 und Netzwerk B 160 angewendet werden können.
-
Die Ereignisprotokolle können von der CTI-Anreicherungsvorrichtung 131 empfangen und verarbeitet werden. Die CTI-Anreicherungsvorrichtung 131 fügt zusätzliche Daten zu den Bedrohungsprotokollen hinzu, die von CTI-Anbietern stammen und zur Berechnung der Meldepflichtwahrscheinlichkeit verwendet werden können. Diese Datenanreicherung kann, zum Beispiel, die Namen aller CTI-Anbieter enthalten, die den (die) Indikator(en), die Signatur(en) oder das (die) Verhaltensmuster geliefert haben, die die Erfassungskomponente oder das CTI-Gateway 120 veranlasst haben, das Ereignisprotokoll zu erstellen; die Reputation des CTI-Anbieters oder dessen Risikobewertung für den (die) Indikator(en), die Signatur(en) oder das (die) Verhaltensmuster; das Alter des Indikators (der Indikatoren), der Signatur(en) oder des (der) Verhaltensmuster; die Klasse oder Kategorie der potenziellen Bedrohung; die Akteure, die die Bedrohung erzeugt haben; das Verhalten der Bedrohung und den Ressourcenschaden, den sie anrichten kann; und dergleichen.
-
Die angereicherten Ereignisprotokolle können von der Meldepflichtwahrscheinlichkeitschätzvorrichtung 132 empfangen und verarbeitet werden. Der Meldepflichtwahrscheinlichkeitschätzer 132 berechnet eine Wahrscheinlichkeit oder einen Wahrscheinlichkeitswert in [0,1], dass die Cyberanalysten oder das Cyberanalysesystem feststellen, dass das Ereignis ein meldepflichtiger Befund ist. Der Meldepflichtwahrscheinlichkeitschätzer 132 verwendet zwei Arten von Algorithmen, um die geschätzten Meldepflichtwahrscheinlichkeiten zu bestimmen: (1) heuristische, vom Menschen entworfene (H/D) Algorithmen; und (2) maschinell erlernte (M/L) Algorithmen. Beide Arten von Algorithmen können komplementäre Vorteile bieten. Menschliche Cyberanalysten gehen davon aus, dass H/D-Algorithmen bei der Bestimmung geschätzter Wahrscheinlichkeiten im Durchschnitt nicht so genau sind wie gut antrainierte M/L-Algorithmen, da die Bestimmung der Meldepflicht von Ereignissen menschliche Intelligenz, intellektuelle Fähigkeiten, logisches Denken sowie Kontextbewusstsein und -verständnis erfordert, die von Algorithmen, die vom Menschen unter Verwendung konventioneller Computerprogrammiersprachen und Methoden entworfen und explizit programmiert wurden, nicht ohne Weiteres nachgebildet werden können. Ein H/D-Algorithmus lernt nicht automatisch und verbessert daher nicht im Laufe der Zeit seine Leistung als Schätzer. Im Gegensatz dazu erkennen gut antrainierte M/L-Algorithmen komplexe Muster in Ereignismerkmalen, die zwischen Ereignissen, die meldepflichtige Befunde sein können, und Ereignissen, die keine meldepflichtigen Befunde sein können, unterscheiden. In der Tat hat ein M/L-Algorithmus gelernt, die Denkweise des menschlichen Cyberanalysten nachzubilden, wobei es sich dabei größtenteils um implizites Wissen handelt, das für Menschen nur schwer explizit als Computerlogik zu programmieren ist. Die Genauigkeit der M/L-Algorithmen bei der Schätzung der Meldepflichtwahrscheinlichkeit ist jedoch direkt mit der Qualität der Trainingsdaten korreliert, die als Eingabe in das maschinelle Lernsystem 170 in 2 verwendet werden. Qualitativ hochwertige Trainingsdaten bestehen aus großen Sätzen von meldepflichtigen Befunden (positiven Beispielen) und nicht meldepflichtigen Ereignissen (negativen Beispielen), die Ereignismerkmale aufweisen, die einen breiten Bereich möglicher Werte abdecken. Solange ein M/L-Algorithmus also nicht mit großen Sätzen positiver und negativer Beispiele gut antrainiert wurde, die eine ausreichend dichte Stichprobe des Merkmalsraums möglicher Ereignisse darstellen, ist nicht davon auszugehen, dass ein M/L-Algorithmus genaue Schätzungsbestimmungen liefert.
-
Im Laufe der Zeit, wenn den Trainingsdaten für das maschinelle Lernsystem (170 in 2) kumulativ mehr positive und negative Beispiele hinzugefügt werden, wird sich die Genauigkeit des M/L-Algorithmus bei der Bestimmung der Meldepflichtwahrscheinlichkeiten verbessern. Bis dahin kann es der Fall sein, dass für ein gegebenes neues Ereignis, das von dem Meldepflichtwahrscheinlichkeitschätzer 132 empfangen wird, der H/D-Algorithmus-Prozessor 133 genauer ist als der M/L-Algorithmus-Prozessor 134. Um Unzulänglichkeiten in den Trainingsdaten Rechnung zu tragen und der Zeit, die benötigt wird, um genügend Trainingsdaten zu erzeugen, die zu genauen Schätzungsbestimmungen durch den M/L-Algorithmus-Prozessor 134 führen, wird eine Möglichkeit zum Kombinieren einer durch den M/L-Algorithmus-Prozessor 134 erzeugten Bestimmung mit einer durch den H/D-Algorithmus-Prozessor 133 erzeugten Bestimmung benötigt. Der Meldepflichtwahrscheinlichkeitschätzer 132 kombiniert die beiden Bestimmungen, um eine einzige Wahrscheinlichkeitsbestimmung, den sogenannten R-Wert, zu erzeugen. Algorithmen zum Kombinieren der beiden Bestimmungen, um den R-Wert zu erzeugen, können viele Formen annehmen, aber eine Einschränkung ist, dass sie die Eigenschaft beibehalten sollten, dass der R-Wert eine Wahrscheinlichkeit ist, d. h. der R-Wert in [0, 1] liegt. Der berechnete R-Wert kann die Eigenschaft haben, dass der R-Wert größer oder gleich den beiden von den Algorithmus-Prozessoren H/D 133 und M/L 134 erzeugten Schätzungsbestimmungen ist (und weil es sich um eine Likelihood oder Wahrscheinlichkeit handelt, liegt der R-Wert in [0,1]). Beispielsweise kann der Meldepflichtwahrscheinlichkeitschätzer 132 einen einfachen Kombinationsalgorithmus verwenden, um den R-Wert auf den größeren der Ausgabewerte der Algorithmus-Prozessoren H/D 133 und M/L 134 zu setzen. Der Meldepflichtwahrscheinlichkeitschätzer 132 kann den berechneten R-Wert zu dem angereicherten Ereignisprotokoll hinzufügen und leitet das Protokoll an das Cyberanalyse-Arbeitswarteschlangensystem 135 weiter.
-
Das Cyberanalyse-Arbeitswarteschlangensystem 135 empfängt das angereicherte Ereignisprotokoll (mit einem zugewiesenen R-Wert) und fügt das angereicherte Ereignisprotokoll, das nun als Aufgabe für die Cyberanalysten oder das Cyberanalysesystem betrachtet werden kann, in der nach R-Wert sortierten Reihenfolge in die Cyberanalyse-Warteschlange ein. Zum Beispiel wird ein Ereignisprotokoll A mit einem R-Wert von X näher am Anfang oder der Spitze der Warteschlange platziert als ein Ereignisprotokoll B mit einem R-Wert von Y, wenn X größer oder gleich Y ist. Somit hat die Aufgabe an der Spitze der Warteschlange den größten R-Wert aller Aufgaben in der Warteschlange, und die Aufgabe am Ende der Warteschlange hat den kleinsten R-Wert aller Aufgaben in der Warteschlange.
-
Eine Forensik-Analyse-Anwendungseinrichtung 136, wie z. B. eine SIEM-Anwendung, ruft die Aufgabe an der Spitze der Warteschlange ab, unterzieht sie einer Pop-Operation/entfernt sie, empfängt die Aufgabe und präsentiert die Aufgabe über eine Schnittstelle (z. B. eine grafische Benutzerschnittstelle, die auf einem Display angezeigt wird) dem menschlichen Cyberanalysten. Der Cyberanalyst kann die Forensik-Analyse-Anwendungseinrichtung 136 verwenden, um das Ereignis zu untersuchen. Der Cyberanalyst kann in die Forensik-Analyse-Anwendung eine Entscheidungseinheit 137 eingeben, ob es sich bei dem Ereignis um einen meldepflichtigen Befund oder einen nicht meldepflichtigen Befund handelt, und kennzeichnet das Ereignisprotokoll entsprechend. Wenn JA, wird das Ereignis bzw. der meldepflichtige Befund an ein Berichterzeuger-Anwendungssystem 138 übertragen und von diesem empfangen, welches einen Bericht erstellt, der Abhilfemaßnahmen enthalten kann. Der vom Berichterzeuger 138 erzeugte Bericht wird an Authority System Netzwerkgeräte 140 gesendet (die sich außerhalb des Cyberanalyse-Anwendungssystems 130 befinden können und den Authority System Netzwerkgeräten 140 in 1 entsprechen), die von Instanzen betrieben werden können, die für die Durchsetzung der Einhaltung von Vorschriften verantwortlich sind und/oder die berechtigt sind, die Abhilfemaßnahmen durchzuführen. In Schritt 8 wird das analysierte Ereignis, bei dem es sich entweder um einen meldepflichtigen Befund (positives Beispiel) oder um ein nicht meldepflichtiges Ereignis (negatives Beispiel) handeln kann, in einem Trainingsdatenspeicher 171 gespeichert, der eine Komponente des maschinellen Lernsystems 170 (dargestellt in den 1, 2 und 5) ist.
-
Das Cyberanalyse-Anwendungssystem 130 bearbeitet wiederholt Aufgaben von der Spitze der Warteschlange, bis entweder die Arbeitswarteschlange leer ist oder der Cyberanalyst beschließt, die Arbeit einzustellen, weil der R-Wert der Aufgabe an der Spitze der Warteschlange unter einem bestimmten Schwellenwert liegt, so dass die weitere Arbeit die Arbeitseffizienz des Cyberanalysten auf ein inakzeptables Niveau senken würde. Wenn die letztgenannte Situation eintritt, kann das Cyberanalyse-Anwendungssystem 130 oder die zuständige Behörde die in der Warteschlange verbliebenen Aufgaben verwerfen. Die verworfenen Aufgaben können archiviert und zu einem späteren Zeitpunkt untersucht werden, z. B. wenn genügend Cyberanalysten-Arbeitskapazität verfügbar ist oder wenn eine weitere Analyse durch einen verbesserten M/L-Algorithmus einen erhöhten R-Wert anzeigt. Wenn eine neue Aufgabe (Ereignisprotokoll) eintrifft, deren R-Wert größer als der Schwellenwert ist, kann das Cyberanalyse-Anwendungssystem 130 automatisch eine Warnung an die Cyberanalysten übermitteln, z. B. über eine Benachrichtigung auf der Benutzeroberfläche, eine Textnachricht, eine E-Mail, einen Telefonanruf oder dergleichen.
-
4 zeigt eine beispielhafte vom Menschen entworfene (H/D) heuristische Algorithmus-Entscheidungstabelle (die im H/D-Algorithmus-Prozessor 133 in 3 implementiert sein kann) zur Bestimmung einer Meldepflichtwahrscheinlichkeit für ein Kommunikationsereignis, das von einem Cyber Threat Intelligence-Gateway erfasst wurde, gemäß einem oder mehreren Aspekten der Offenbarung. In diesem Fall handelt es sich bei der Cyber Threat Intelligence (CTI)-Kategorie um Bedrohungsindikatoren in Form von Netzwerkadressen (z. B. IP-Adressen, vollqualifizierte Domainnamen (FQDNs) und URLs). Die Ausgabe des H/D-Algorithmus-Prozessors 133 ist ein Meldepflichtwahrscheinlichkeitswert in [0, 1], der in der linken Spalte der Tabelle angezeigt wird. Die Eingabe in den Algorithmus-Prozessor 133 ist ein angereichertes Ereignisprotokoll, das Felder für den „lndikator_Typ“ („indicator_Type“), das „Indikator-Alter“ („lndicator_Age“) und den „CTI_Score“ enthält. lndikator_Typ-Werte umfassen „IP“ für einen IP-Adress-Indikator, „FQDN“ für einen FQDN-Indikator und „URL“ für einen URL-Indikator. Die lndikator_Alter- und CTI_Score-Felder und Werte können von der CTI-Anreicherungsvorrichtung 131 (in 3 dargestellt) erstellt werden. lndikator_Alter-Werte können Bereiche mit Einheiten von Tagen sein. CTI_Score-Werte können einer von {Hoch, Mittel, Niedrig} sein. Um eine Meldepflichtwahrscheinlichkeit zu bestimmen, kann der H/D-Algorithmus bedingte Logik und Boolesche Logik verwenden, die auf die Ereignisfeldwerte angewendet werden. Zum Beispiel kann die zweite Zeile der Tabelle eine Computerprogramm-Anweisung „IF ((lndicator_Type == FQDN)) AND ((0 <= lndicator_Age < 30) OR (CTI_Score == High))) THEN Reportability_Likelihood := 0.7“ darstellen. Die achte Zeile der Tabelle kann beispielsweise eine Computerprogramm-Anweisung „IF (((Indicator Type == FQDN) OR (lndicator_Type == IP)) AND (180 <= lndicator_Age)) THEN Reportability_Likelihood := 0.1“ darstellen.
-
Der H/D-Algorithmus verwendet eine Korrelation zwischen der Meldepflichtwahrscheinlichkeit eines Ereignisses und der Zuverlässigkeit und dem Alter des CTI-Indikators, der mit der Netzwerkadresse des Ereignisses übereingestimmt hat. Bei dieser Korrelation handelt es sich um von (menschlichen) Cyberanalysten bereitgestelltes heuristisches Wissen, das im H/D-Algorithmus von 4 erfasst ist. Die Zuverlässigkeit eines Indikators ist direkt in dem lndikator_Typ-Wert abgebildet. Indikatoren mit einem lndikator_Typ-Wert „URL“ haben die höchste Zuverlässigkeit, da eine URL auf eine einzelne vernetzte (schädliche) Ressource (z. B. eine ausführbare Malware-Datei) verweist. Aufgrund dieser Eins-zu-Eins-Zuordnung von Bedrohungsindikator zu Bedrohungsressource sollte die Wahrscheinlichkeit, dass das zugehörige Ereignis meldepflichtig ist, hoch sein. Indikatoren mit einem lndikator_Typ-Wert „FQDN“ haben eine geringere Zuverlässigkeit als „URL“, da ein einzelner FQDN mehreren URLs oder mehreren Netzwerkressourcen zugeordnet werden kann, von denen ein Teil nicht schädlich sein kann. Aufgrund dieser Eins-zu-Viel-Zuordnung eines einzelnen Bedrohungsindikators zu potenziell mehreren Ressourcen, von denen ein Teil nicht schädlich sein kann, sollte die Wahrscheinlichkeit, dass das zugehörige Ereignis meldepflichtig ist, geringer sein als die Meldepflichtwahrscheinlichkeit für ein Ereignis, das durch einen URL-Indikator erkannt wurde. In ähnlicher Weise haben Indikatoren mit einem Indikator-Typ-Wert „IP“ eine geringere Zuverlässigkeit als „FQDN“ und (übergangsweise) „URL“, da eine einzelne IP-Adresse mehreren FQDNs oder mehreren Netzwerkressourcen zugeordnet werden kann, von denen ein Teil nicht schädlich sein kann.
-
Der lndikator_Typ-Wert (oder äquivalent dazu die Zuverlässigkeit) kann als primäres Sortierkriterium und das Alter des Indikators (lndikator_Alter) als sekundäres Sortierkriterium betrachtet werden. Bezugnehmend auf 4 beeinflusst, für die lndikator_Typ-Werte „TQDN“ und „IP“, das Alter des Indikators die Meldepflichtwahrscheinlichkeit. Das Alter des Indikators ist die Anzahl der Tage seit der ersten Meldung des Indikators durch den Cyber Threat Intelligence-Anbieter bis zum heutigen Tag. Die Meldepflichtwahrscheinlichkeit sinkt mit zunehmendem Alter des Indikators. Vom CTI-Anbieter zugewiesene CTI-Score-Werte können ebenfalls als sekundäres Sortierkriterium verwendet werden. Für den in 4 dargestellten H/D-Algorithmus können CTI_Score und lndikator_Alter gleichwertig behandelt werden und somit einander ersetzen, wenn der CTI-Anbieter keine Werte für lndikator_Alter oder CTI_Score liefert.
-
5 zeigt ein beispielhaftes maschinelles Lernsystem 170 (das dem maschinellen Lernsystem 170 in 1 und 2 entspricht), das maschinell erlernte (M/L-)Algorithmen (wie einen Algorithmus für den M/L-Algorithmus-Prozessor 154 in 3) zur Bestimmung der Meldepflichtwahrscheinlichkeit für ein von einem Cyber Threat Intelligence-Gateway erfasstes Kommunikationsereignis gemäß einem oder mehreren Aspekten der Offenbarung erstellt. Die Eingabe für die Maschine zur Erzeugung von maschinellen Lernalgorithmen 172 sind angereicherte Ereignisprotokolle, die zuvor von Cyberanalysten analysiert, entweder als meldepflichtige Befunde (positive Beispiele) oder als nicht meldepflichtige Ereignisse (negative Beispiele) gekennzeichnet und in einem Trainingsdatenspeicher 171 zur späteren Verwendung als Trainingsdaten für eine Maschine zur Erzeugung von maschinellen Lernalgorithmen wie 172 gespeichert wurden. Die Ausgabe der Maschine zur Erzeugung von maschinellen Lernalgorithmen 172 ist ein maschinell erlernter Algorithmus (M/L-Algorithmus) für einen dem M/L-Algorithmus-Prozessor 134 in 3 entsprechenden M/L-Algorithmus-Prozessor 134, der die Meldepflichtwahrscheinlichkeit von Bedrohungsereignissen bestimmt.
-
Die Maschine zur Erzeugung von maschinellen Lernalgorithmen 172 kann ein beliebiger überwachter Lernalgorithmus sein, z. B. künstliche neuronale Netze, genetische Programmierung und dergleichen. Trainingsdaten für überwachte Lernalgorithmen bestehen aus gekennzeichneten Trainingsbeispielen; in der vorliegenden Offenbarung können die Trainingsbeispiele analysierte Ereignisprotokolle sein, die entweder als meldepflichtige Befunde (positive Beispiele, mit Kennzeichnungswert +1) oder als nicht meldepflichtige Ereignisse (negative Beispiele, mit Kennzeichnungswert 0) gekennzeichnet sind. Das Ziel des maschinellen Lernalgorithmus ist es, die Funktion F zu erlernen, die jede Eingabe, die ein Trainingsbeispiel in den Trainingsdaten ist, auf die Ausgabe abbildet, welche +1 für positive Trainingsbeispiele und 0 für negative Trainingsbeispiele ist. Nachdem die Maschine zur Erzeugung von maschinellen Lernalgorithmen 172 den M/L-Algorithmus erzeugt hat, der positive Trainingsbeispiele genau auf +1 und negative Trainingsbeispiele auf 0 abbildet, kann der M/L-Algorithmus-Prozessor 134 verwendet werden, um die Meldepflichtwahrscheinlichkeiten von neu erzeugten Ereignisprotokollen zu bestimmen. Das heißt, der M/L-Algorithmus-Prozessor 134 kann verwendet werden, um Ereignisprotokolle zu analysieren, die nicht als Trainingsbeispiele in den Trainingsdaten verwendet wurden. Der M/L-Algorithmus-Prozessor 134 kann dann in eine Meldepflichtwahrscheinlichkeitschätzvorrichtung (siehe 3) eingebettet werden, die eine Komponente in einem Cyberanalyse-Anwendungssystem 130 (siehe 3) sein kann.
-
Es sei darauf hingewiesen, dass die Wahl der Label-Werte 0 und +1 für die Trainingsbeispiele bewusst ist und Teil dieser Offenbarung ist. Da diese Label-Werte während des Trainings verwendet werden können, wird der resultierende M/L-Algorithmus-Prozessor 134 einen Wert zwischen 0 und +1 einschließlich, oder [0, 1], ausgeben, wenn der M/L-Algorithmus-Prozessor 134 verwendet wird, um ein Ereignisprotokoll (Eingabe) auszuwerten, das kein Trainingsbeispiel war. Somit kann die Ausgabe des M/L-Algorithmus 134 als eine Wahrscheinlichkeit interpretiert werden, dass das eingegebene Ereignisprotokoll ein meldepflichtiger Befund ist.
-
Die Genauigkeit einer Bestimmung des M/L-Algorithmus-Prozessors 134 hängt zum Teil von der Qualität der Trainingsdaten ab, die von der Maschine zur Erzeugung von maschinellen Lernalgorithmen 172 verwendet wurden, um den M/L-Algorithmus-Prozessor 134 zu erstellen. Die Qualität der Trainingsdaten und letztlich die Genauigkeit der Bestimmung hängt von der Qualität des aus dem Ereignisprotokoll abgeleiteten Merkmalsvektors ab. Der Merkmalsvektor für ein Ereignisprotokoll, und nicht die Rohdaten des Ereignisprotokolls, ist die eigentliche Eingabe für die Maschine zur Erzeugung von maschinellen Lernalgorithmen 172 und den M/L-Algorithmus-Prozessor 134. Ein Merkmalsvektor ist ein Array von numerischen Werten, wobei jeder numerische Wert ein Maß für ein Merkmal oder eine Eigenschaft des Ereignisses ist. Zum Beispiel ist die Größe, gemessen in Bytes, der Datei, die durch das Kommunikationsereignis übertragen wurde, ein Merkmal, das ein Element oder Elemente im Merkmalsvektor bilden kann. Ein qualitativ hochwertiger Merkmalsvektor ist ein solcher, der einen großen Satz hochgradig unkorrelierter Ereignismerkmale enthält, der (a) die Maschine zur Erzeugung von maschinellen Lernalgorithmen 172 dazu veranlasst, während des Trainings schnell auf den M/L-Algorithmus zu konvergieren; und (b) den M/L-Algorithmus-Prozessor 134 dazu veranlasst, genaue Meldepflichtwahrscheinlichkeiten zu erzeugen.
-
Die vorliegende Offenbarung umfasst Merkmale oder Eigenschaften eines Merkmalsvektors zur Verwendung bei der Bestimmung der Meldepflichtwahrscheinlichkeiten für die Beschleunigung des Cyberanalyse-Workflows. In 6a und 6b sind diese Eigenschaften und zugehörige Informationen aufgeführt. Es sei darauf hingewiesen, dass diese Eigenschaften und ihre zugehörigen Werte im Allgemeinen so konzipiert sein können, dass sie die menschliche Auffassung des Bedrohungsrisikos und damit die Meldepflichtwahrscheinlichkeit eines Ereignisses basierend auf den Werten von Feldern im Ereignisprotokoll messen oder quantifizieren.
-
„CTI-Prvdr-{1,IV}“ sind die Namen der N CTI-Anbieter-Entitäten (Bez. 112 und 114 in 2), die CTL, z. B. Bedrohungsindikatoren, Signaturen und Verhaltensmuster, an die Erfassungskomponente oder das CTI-Gateway 120 und das Cyberanalyse-Anwendungssystem 130 (Bez. 2) liefern. Diese CTI-Anbieter-Informationen werden dem Ereignisprotokoll von der CTI-Anreicherungsvorrichtung 131 (siehe 3) hinzugefügt. Der Zahlenwert eines CTI-Prvdr-X-Merkmals ist 1, wenn der CTI-Anbieter den Indikator/die Signatur/das Muster, der/die/das mit dem Ereignis übereinstimmt, in seiner CTI-Datenbank hat; andernfalls ist der Wert 0. Wird beispielsweise angenommen, dass es insgesamt acht (8) CTI-Anbieter-Entitäten gibt (und daher acht Merkmale CTI-Prvdr-1, CTI-Prvdr-2,....CTI-Prvclr-8), und für ein bestimmtes Ereignis haben drei (3) CTI-Anbieter-Entitäten CTI-Prvdr-2, CTI-Prvdr-5 und CTI-Prvdr-7 den Indikator/die Signatur/das Muster, der/die/das mit dem Ereignis übereinstimmt, in ihren CTI-Datenbanken; dann ist der zugehörige Merkmalsvektor (0, 1, 0, 0, 1, 0, 1, 0).
-
„Norm-PolyGram-Entropy-LL-e2LD“ ist ein normiertes Maß für die Informationsentropie der Polygram-Wahrscheinlichkeitsverteilung des führenden Labels der effektiven 2nd-Level-Domain des völlqualifizierten Domainnamens (FQDN), der im Ereignisprotokoll enthalten sein kann, wenn, zum Beispiel, das zugehörige Kommunikationsereignis eine HTTP-Sitzung zwischen einem HTTP-Client (z. B. einer Webbrowser-Anwendung) und einem HTTP-Server (z. B. einem Webserver) mit einem in einem Domainnamen-System wie dem Internet-DNS aufgeführten FQDN (z. B. www.company-web-server.com) ist. Informell ausgedrückt misst „Norm-PolyGram-Entropy-LL-e2LD“ die vom Menschen wahrgenommene Zufälligkeit eines Domainnamens, die die Intuition eines Cyberanalysten, dass ein solcher Domainname auf ein meldepflichtiges Ereignis hinweisen könnte, erfassen kann. Da Domainnamen von legitimen, unschädlichen ans Internet angeschlossenen Hosts oft von Menschen erstellt und aus für Menschen lesbaren Wörtern gebildet sein können (z. B. www.company-web-server.com), während Domainnamen von schädlichen ans Internet angeschlossenen Hosts oft maschinell erzeugte, zufällige Zeichenfolgen sein können und daher von Menschen nicht als Wörter erkannt werden (z. B. www.4aiu68dh3fj.com), kann dieses Maß einen gewissen Wert als ein Merkmal für einen M/L-Algorithmus 134 haben, um zu erlernen, zwischen Ereignissen, die meldepflichtige Befunde sein können und Ereignissen, die nicht meldepflichtig sein können, zu unterscheiden.
-
Formeller ausgedrückt ist der 2nd-Level-Domainname (2LD) eines FQDN, beispielsweise von „www.company-web-server.com“, „company-web-server.com“, und das führende Label (LL für „leading label“) der 2LD ist „company-web-server“. Der effektive 2nd -Level-Domainname (e2LD) beispielsweise des FQDN www.company-web-server.co.uk ist „company-web-server.co.uk“. Für FQDNs wie beispielsweise „www.company-webserver.co.uk“ erfasst der e2LD „company-web-server.co.uk“ die Inhaberschaft der Domain besser als der 2LD „co.uk“ und ist daher ein besseres Merkmal für die Verwendung in der vorliegenden Offenbarung als 2LD. Es sei erwähnt, dass der 2LD und der e2LD von „www.company-web-server.com“ identisch sein können, z. B. „company-web-server.com“. Ebenso sei erwähnt, dass für einige FQDNs, z. B. 447a7a44.ksfcradio.com, das führende Label der e3LD („447a7a44“), wenn eine e3LD existiert, das bessere Merkmal sein kann als das führende Label der e2LD; ähnlich verhält es sich mit der e4LD für einige FQDNs, z. B. 447a7a44.web.ksfcradio.com. Daher können zusätzliche Merkmale „Norm-PolyGram-Entropy-LL-e3LD“ und oder „Norm-PolyGram-Entropy-LL-e4LD“, wenn vorhanden, ebenso verwendet werden.
-
Der informationstheoretische Entropiewert für einen Satz von N Wahrscheinlichkeiten P = {p1, p2, p3, ... pN} wird als Entropy(P) = -Σi pi log2 pi (für i = 1 ... N) berechnet, wobei log2 die Logarithmusfunktion zur Basis 2 ist. In der vorliegenden Offenbarung ist eine Möglichkeit, die Entropy()-Funktion auf führende Labels von Domainnamen anzuwenden, die, zunächst als Wahrscheinlichkeitsverteilung die relativen Häufigkeiten oder Wahrscheinlichkeiten des Auftretens alphabetischer Zeichen in englischem Text zu wählen. So ist beispielsweise bekannt, dass der Buchstabe „e“ das häufigste alphabetische Zeichen ist, das in englischem Text verwendet wird, und sein empirischer Wahrscheinlichkeitswert beträgt ungefähr 13 %. Diese Verteilung wird dann auf jedes der alphabetischen Zeichen oder Unigramme in dem führenden Label der effektiven 2nd-Level-Domain angewendet. Beispielsweise für den Domainnamen „www.mysite.com“, wobei „mysite“ das führende Label der effektiven 2nd-Level-Domain ist, Pex1 = {p(„m“), p(„y“), p(„s“), p(„i“), p(„t“), p(„e“)}, wobei die Wahrscheinlichkeitswerte p(„[Buchstabe]“) aus einer empirischen Wahrscheinlichkeitsverteilung alphabetischer Zeichen oder Buchstaben in englischem Text ausgewählt werden können. Dann wird Entropy(Pex1) berechnet.
-
Ein Problem bei der Verwendung der obigen Entropy(Pex1)-Berechnung im Merkmal „Norm-PolyGram-Entropy-LL-e2LD“ ist, dass der Entropy(Pex1)-Wert für „www.mysite.com“ der gleiche ist wie für „www.eytmsi.com“; es wird also nicht zwischen zufälligen Zeichenfolgen und Zeichenfolgen für englische Wörter unterschieden, oder, im Kontext der vorliegenden Offenbarung, es wird nicht die menschliche Wahrnehmung, dass „eytmsi“ zufällig ist, und daher verdächtig, „mysite“ aber für Menschen lesbar ist, quantifiziert. Um eine bessere Unterscheidung zu erreichen und die menschliche Wahrnehmung zu erfassen, können anstelle von Wahrscheinlichkeitsverteilungen für Unigramme Wahrscheinlichkeitsverteilungen für Bigramme (aufeinanderfolgende Paare von Zeichen) oder Trigramme (aufeinanderfolgende Dreiergruppen von Zeichen), oder allgemein Polygramme, in englischem Text verwendet werden. Zum Beispiel ist der Satz an Bigrammen von „mysite“ {„my“, „ys“, „si“, „it“, „te“}, und der Satz an Trigrammen ist {„mys“, „ysi“, „sit“, „ite“}. Ebenso ist der Satz an Bigrammen von „eytmsi“ {„ey“, „yt“, „tm“, „ms“, „si“}. Dann ist für Pex2 = {p(„my“), p(„ys“), p(„si“), p(„it“), p(„te“)} und Pex3 = {p(„ey“), p(„yt“), p(„tm“), p(„ms“), p(„si“)}, wobei die Wahrscheinlichkeitswerte p(„[Bigramm]“) aus einer empirischen Wahrscheinlichkeitsverteilung von Bigrammen in englischem Text ausgewählt werden können, Entropy(Pex3) > Entropy(Pex2), womit das Konzept, dass die vom Menschen wahrgenommene Zufälligkeit von „eytmsi“ größer ist als die von „mysite“ messbar quantifiziert wird. Daher sollten bei der Berechnung dieses Merkmals „Norm-PolyGram-Entropy-LL-e2LD“ Bigramme oder Trigramme (oder allgemeiner Polygramme) anstelle von Unigrammen verwendet werden.
-
Da Domainnamen-Labels sowohl numerische Zeichen als auch Bindestriche enthalten dürfen, kann es sinnvoll sein, nicht-alphabetische Zeichen aus den Labels zu entfernen, bevor die Entropy()-Funktion auf die Wahrscheinlichkeitsverteilung der Polygramme eines Labels angewendet wird. Alternativ kann eine empirische Wahrscheinlichkeitsverteilung der Polygramme für Labels von Domainnamen, die von Menschen zu legitimen Zwecken erstellt wurden, verwendet werden.
-
Schließlich kann eine Normalisierung auf die Entropy()-Berechnung angewendet werden, um Unterschiede in der Zeichenfolgenlänge zu berücksichtigen, denn im Allgemeinen werden längere Zeichenfolgen größere Entropy()-Werte als kürzere Zeichenfolgen aufweisen. Zum Beispiel wird ein Mensch wahrnehmen, dass der Domainname www.aiiduvb.com die gleiche oder eine ähnliche Zufälligkeit aufweist wie www.ajiduvbgvxtz.com, wogegen der EntropyO-Wert für www.ajiduvbgvxtz.com ungefähr doppelt so hoch ist wie der von www.aiiduvb.com. Um die Unterschiede in der Länge der Zeichenfolgen zu normalisieren, teilt man den Entropy()-Wert durch den Logarithmus zur Basis 2 (log2 in der üblichen Schreibweise) der Größe des Satzes an Bigrammen oder Trigrammen, oder allgemeiner Polygrammen. Zum Beispiel hat der Satz an Bigrammen Pex2 = {„my“, „ys“, „si“, „it“, „te“} von „mysite“ die Größe = 5, also teilt man Entropy(Pex2) durch log2(5), um zu normalisieren.
-
„Numeric-Head-LL-e2or3LD‟ ist ein Boolesch-bewertetes Merkmal, das 1 (Wahr) ist, wenn das erste Zeichen des führenden Labels der effektiven 2nd-Level-Domain oder der effektiven 3rd-Level-Domain ein numerisches Zeichen (eine Dezimalziffer) ist, und andernfalls 0 (Falsch). Menschen, die legitime Domains erstellen, neigen dazu, keine numerischen Zeichen am Anfang (Kopf) eines Domainnamens zu verwenden; und daher kann ein menschlicher Cyberanalyst wahrnehmen, dass ein Domainnamen-Label mit einem numerischen Kopf verdächtig ist.
-
„String-Length-LL-e2LD-Bin-X-Y“ und „String-Length-LL-e3LD-Bin-X-Y“ sind Boolesch-bewertete Merkmale, die 1 (Wahr) sein können, wenn die in Bytes gemessene Zeichenfolgenlänge der führenden Labels der effektiven 2nd-Level-Domain oder der effektiven 3rd-Level-Domain im Bereich [X, Y] einschließlich liegt, und andernfalls 0 (Falsch). Eine bin-Unterteilung, zum Beispiel von Zeichenfolgenlängen kann [1,4], [5-8], [9-16], [17-32], [33, 63], and [64, inf] sein. Das letzte Bin [64, inf] steht für unzulässig lange Labels, die 63 Bytes nicht überschreiten sollten (RFC 1035). Mit dieser beispielhaften Bin-Unterteilung gibt es sechs (6) Merkmale mit Namen „String-Length-LL-e2LD-Bin-X-Y“ mit den Unterteilungsgrenzen entsprechenden „X-Y“-Werten.
-
„TLD-Category-{g, s, cc, other}“ sind Boolesch-bewertete Merkmale, die 1 (Wahr) sein können, wenn die Top-Level-Domain des FQDN, der im Ereignisprotokoll enthalten sein kann, in einer der lANA-definierten Top-Level-Domaingruppen gTLD, oder sTLD, oder ccTLD, oder anders („other“) ist; und ansonsten 0 (Falsch).
-
„Time-of-Day-Bin-X-Y“ sind Boolesch-bewertete Merkmale, die 1 (Wahr) sein können, wenn die Tageszeit, zu der das Ereignis aufgetreten ist, im Bereich [X, Y) liegt, und ansonsten 0 (Falsch). Eine Bin-Unterteilung, beispielsweise von Tageszeiten mit Cyber-Relevanz kann [0200, 0600), [0600-0800), [0800, 1000), [1000, 1200), [1200, 1400), [1400, 1600), [1600, 1800), [1800, 2200) und [2200, 0200) sein. Mit dieser beispielhaften Bin-Unterteilung gibt es neun (9) Merkmale mit den Namen „Time-of-Day-Bin-X-Y“ mit den Unterteilungsgrenzen entsprechenden „X-Y“-Werten.
-
„Weekend-or-Holiday“ ist ein Boolesche-bewertetes Merkmal, das 1 (wahr) ist, wenn der Tag, an dem das Ereignis auftrat, ein Wochenende oder ein Feiertag war, und andernfalls 0 (falsch).
-
„Flow-Byte -Count-Bin-X-Y“ sind Boolesch-bewertete Merkmale, die 1 (Wahr) sein können, wenn die in Bytes gemessene Größe der Inhaltsinformationen, z. B. der Nutzdaten (Payloads) der TCP- oder UDP-Pakete, des Ereignisses im Bereich [X, Y) liegt, und ansonsten 0 (Falsch). Eine Bin-Unterteilung der Größen kann z. B. [0,8), [8,64), [64,512), [512, 4K), [4K, 32K), [32K, 256K) und [256K, inf) sein. Bei dieser beispielhaften Bin-Unterteilung gibt es sieben (7) Merkmale mit den Namen „Flow-Byte-Count-Bin-X-Y“ mit den Unterteilungsgrenzen entsprechenden „X-Y“-Werten.
-
Der Wert des Merkmals „Percentage-Digits-FQDN“ liegt in [0, 1] und ist der Prozentsatz der numerischen Zeichen im FQDN.
-
Der Wert des Merkmals „Percentage-Hyphens-FQDN“ liegt in [0, 1 ] und ist der Prozentsatz der Bindestriche im FQDN.
-
Der Wert des Merkmals „Percentage-NonCompliant-Characters-FQDN‟ liegt in [0, 1] und ist der Prozentsatz der Zeichen im FQDN, die nicht mit RFC 1035 übereinstimmen, der besagt, dass Zeichen alphabetisch, numerisch, Bindestrich „-“ oder Punkt „.“ sein sollten.
-
„Direction-and-Breach-Category-X“ sind Boolesch-bewertete Merkmale, die 1 (Wahr) sein können, wenn das Ereignis mit der Direktionalität und der Verletzung der Kategorie X übereinstimmt, und ansonsten 0 (Falsch). Direktionalität ist eine von Intrusion oder Exfiltration, d. h. ein eingehender Angriff, der von außerhalb des geschützten Netzwerks initiiert wurde, oder ein ausgehender Angriff, der von innerhalb des geschützten Netzwerks initiiert wurde; und Verletzung ist eine von Erlaubt oder Blockiert, d. h. wurde der Kommunikation erlaubt (Erlaubt), die Netzwerkgrenze zu überschreiten, oder wurde die Kommunikation daran gehindert (Blockiert), die Netzwerkgrenze zu überschreiten, z. B. durch eine Netzwerk-Firewall oder ein CTI-Gateway. Somit kann es vier mögliche Kategorien für X geben, nämlich {Intrusion, erlaubt}, {Intrusion, blockiert}, {Exfiltration, erlaubt} und {Exfiltration, blockiert}, und somit vier (4) Merkmale mit der Bezeichnung „Direction-and-Breach-Category-{X}“. Diese Merkmale können sich auf die Bestimmungen der Meldepflichtwahrscheinlichkeit auswirken, da zum Beispiel ein Cyberanalyst mit geringerer Wahrscheinlichkeit ein Intrusions-Ereignis meldet, das blockiert wurde, als ein Exfiltrations-Ereignis, das erlaubt wurde.
-
Obwohl es nicht erforderlich ist, wird ein Fachmann erkennen, dass verschiedene hierin beschriebene Aspekte als ein Verfahren, eine Vorrichtung oder als ein oder mehrere computerlesbare Medien, die computerausführbare Anweisungen speichern, verkörpert werden können. Dementsprechend können diese Aspekte die Form einer reinen Hardware-Ausführung, einer reinen Software-Ausführung, einer reinen Firmware-Ausführung oder einer Ausführungsform annehmen, die Software-, Hardware- und Firmware-Aspekte in beliebiger Kombination kombiniert.
-
Wie hier beschrieben, können die verschiedenen Verfahren und Handlungen über ein oder mehrere Computergeräte und ein oder mehrere Netzwerke ausgeführt werden. Die Funktionalität kann auf beliebige Weise verteilt sein oder sich in einem einzigen Computergerät (z. B. einem Server, einem Client-Computer usw.) befinden.
-
Aspekte der Offenbarung wurden in Form von illustrativen Ausführungsformen beschrieben. Zahlreiche andere Ausführungsformen, Modifikationen und Variationen innerhalb des Rahmens und des Sinns der anhängenden Ansprüche werden dem Durchschnittsfachmann aus der Durchsicht dieser Offenbarung in den Sinn kommen. Beispielsweise wird ein Fachmann erkennen, dass die in den illustrativen Figuren dargestellten Schritte in einer anderen als der angegebenen Reihenfolge ausgeführt werden können und dass ein oder mehrere der dargestellten Schritte optional sein können.