JP2014524169A5

JP2014524169A5 - プロトコルフィンガープリント取得および評価相関のためのシステム、装置、プログラム、および方法

Info

Publication number: JP2014524169A5
Application number: JP2014514938A
Authority: JP
Filing date: 2012-06-27
Publication date: 2015-05-28
Anticipated expiration: 2032-06-27

Description

これに替えてまたは加えて、３１６において、ユーザインターフェースは、プロトコルフィンガープリントに基づいて全ての未知のプロトコルについての情報、および、ある実施形態では、アプリケーション署名に基づいて既知の全てのアプリケーション／プロトコルについての統計を表示してもよい。例えば、フィンガープリントに関連付けられた１０個の独立したプロトコルが存在する場合、ユーザインターフェースは、未知のプロトコルに関する情報を表示してもよい。アドミニストレータまたはその他ユーザは、３１８においてユーザインターフェースを介して、スレットインテリジェンスサーバ３０にクエリを送信して、プロトコルフィンガープリントに関する更なるデータを受け取ってもよく、それにより、ＧＴＩデータを有する情報を充実させることができる。例えば、クエリによって、リモートホストアドレスの地理的分布（すなわち、未知のプロトコルについての外部ＩＰが位置する国）のような、プロトコルフィンガープリントについてのグローバルデータ、未知のプロトコル（例えば、悪質なまたは未知の）を使用するリモートホストの評価、および、未知のプロトコルを報告するサイトの数（プロトコルがローカル現象であるのか、または、対象となる脅威であるのかを示す）といった、プロトコルフィンガープリントのグローバルデータを取得してもよい。より具体的な例では、アメリカの銀行では、未知のプロトコルのフィンガープリントを取得し、スレットインテリジェンスサーバ３０が、フィンガープリントがロシアのネットワークアドレスで最も頻度高く使用されていると判断すると、アドミニストレータは、この情報に基づいて未知のプロトコルをブロックすることができる。更に、未知のプロトコルに関する知識を収集して、記述的情報およびメタデータを、プロトコルと関連付けることができる。例えば、未知のプロトコルがファイアウォールによって発見され、スレットインテリジェンスサーバに投稿された場合、プロトコルが後にＡＰＴと関連付けられる場合には、スレットインテリジェンスサーバは、ファイアウォールまたはアドミニストレータに警告を行ってもよい。

Claims

ネットワーク接続を介して受信したデータパケットが未認識のプロトコルを使用しているかを決定する段階と、
前記未認識のプロトコルを示す前記データパケットの特性を抽出する段階であって、前記特性は、前記データパケットの振る舞いと関連付けられた１以上の特性と、前記データパケットのコンテンツと関連付けられた１以上の特性とを含み、前記データパケットの前記コンテンツと関連付けられた前記１以上の特性は、前記データパケットの前記コンテンツのエントロピーを含む、前記抽出する段階と、
前記ネットワーク接続を介して受信した前記データパケットから抽出された前記特性に基づいて、フィンガープリントを生成する段階と、
前記フィンガープリントに基づいて評価値をリクエストする段階と、
受信した前記評価値が、前記フィンガープリントが悪質なアクティビティと関連付けられていると示した場合には、前記ネットワーク接続に対してポリシーアクションを実行する段階と、を備える方法。
前記フィンガープリントを監査ログに格納する段階を更に備える請求項１に記載の方法。
前記フィンガープリントに基づいて、プロトコルについての情報を表示する段階を更に備える請求項１または２に記載の方法。
前記評価値は更に、前記ネットワーク接続に関連付けられたネットワークアドレスに基づく請求項１から３の何れか一項に記載の方法。
前記評価値は、前記フィンガープリントと関連付けられたプロトコル評価、および、前記ネットワーク接続に関連付けられた接続評価に基づく請求項１から４の何れか一項に記載の方法。
前記ポリシーアクションは、前記ネットワーク接続をブロックすることを含む請求項１から５の何れか一項に記載の方法。
前記ポリシーアクションは、アドミニストレータに警告することを含む請求項１から６の何れか一項に記載の方法。
前記フィンガープリントが後に悪質なアクティビティと関連付けられた場合には、警告を受信する段階を更に備える請求項１から７の何れか一項に記載の方法。
前記フィンガープリントに関連付けられたグローバルデータをリクエストする段階と、
前記フィンガープリントに基づく前記グローバルデータを表示する段階と、を更に備える請求項１から８の何れか一項に記載の方法。
１以上のプロセッサおよびメモリを備えるシステムであって、
ネットワーク接続を介して受信したデータパケットが未認識のプロトコルを使用しているかを決定する手段と、
前記未認識のプロトコルを示す前記データパケットの特性を抽出する手段であって、前記特性は、前記データパケットの振る舞いと関連付けられた１以上の特性と、前記データパケットのコンテンツと関連付けられた１以上の特性とを含み、前記データパケットの前記コンテンツと関連付けられた前記１以上の特性は、前記データパケットの前記コンテンツのエントロピーを含む、前記抽出する手段と、
前記ネットワーク接続を介して受信した前記データパケットから抽出された前記特性に基づいて、フィンガープリントを生成する手段と、
前記フィンガープリントに基づいて評価値をリクエストする手段と、
受信した前記評価値が、前記フィンガープリントが悪質なアクティビティと関連付けられていると示した場合には、前記ネットワーク接続に対してポリシーアクションを実行する手段と、を更に備えるシステム。
前記フィンガープリントを監査ログに格納する手段を更に備える請求項１０に記載のシステム。
前記フィンガープリントに基づいて、プロトコルについての情報を表示する手段を更に備える請求項１０または１１に記載のシステム。
前記評価値は更に、前記ネットワーク接続に関連付けられたネットワークアドレスに基づく請求項１０から１２の何れか一項に記載のシステム。
前記評価値は、前記フィンガープリントと関連付けられたプロトコル評価、および、前記ネットワーク接続に関連付けられた接続評価に基づく請求項１０から１３の何れか一項に記載のシステム。
前記ポリシーアクションは、前記ネットワーク接続をブロックすることを含む請求項１０から１４の何れか一項に記載のシステム。
前記ポリシーアクションは、アドミニストレータに警告することを含む請求項１０から１５の何れか一項に記載のシステム。
前記フィンガープリントが後に悪質なアクティビティと関連付けられた場合には、警告を受信する手段を更に備える請求項１０から１６の何れか一項に記載のシステム。
フィンガープリントエンジンと、
前記フィンガープリントエンジンと関連する命令を実行可能な１以上のプロセッサとを備え、
前記１以上のプロセッサは、
ネットワーク接続を介して受信したデータパケットが未認識のプロトコルを使用しているかを決定する段階と、
前記未認識のプロトコルを示す前記データパケットの特性を抽出する段階であって、前記特性は、前記データパケットの振る舞いと関連付けられた１以上の特性と、前記データパケットのコンテンツと関連付けられた１以上の特性とを含み、前記データパケットの前記コンテンツと関連付けられた前記１以上の特性は、前記データパケットの前記コンテンツのエントロピーを含む、前記抽出する段階と、
前記ネットワーク接続を介して受信した前記データパケットから抽出された前記特性に基づいて、フィンガープリントを生成する段階と、
前記フィンガープリントに基づいて評価値をリクエストする段階と、
受信した前記評価値が、前記フィンガープリントが悪質なアクティビティと関連付けられていると示した場合には、前記ネットワーク接続に対してポリシーアクションを実行する段階と、を含むオペレーションを実行する、装置。
前記オペレーションは更に、前記フィンガープリントを監査ログに格納する段階を有する請求項１８に記載の装置。
前記オペレーションは更に、前記フィンガープリントに基づいて、プロトコルについての情報を表示する段階を有する請求項１８または１９に記載の装置。
前記評価値は更に、前記ネットワーク接続に関連付けられたネットワークアドレスに基づく請求項１８から２０の何れか一項に記載の装置。
前記評価値は、前記フィンガープリントと関連付けられたプロトコル評価、および、前記ネットワーク接続に関連付けられた接続評価に基づく請求項１８から２１の何れか一項に記載の装置。
前記ポリシーアクションは、前記ネットワーク接続をブロックすることを含む請求項１８から２２の何れか一項に記載の装置。
前記ポリシーアクションは、アドミニストレータに警告することを含む請求項１８から２３の何れか一項に記載の装置。
前記１以上のプロセッサは、前記フィンガープリントが後に悪質なアクティビティと関連付けられた場合には、警告を受信する段階を更に有する前記オペレーションを実行する請求項１８から２４の何れか一項に記載の装置。
コンピュータに、請求項１から９のいずれか１項に記載の方法を実行させるためのプログラム。