JP2017516411A - サイバーセキュリティシステム - Google Patents

サイバーセキュリティシステム Download PDF

Info

Publication number
JP2017516411A
JP2017516411A JP2016567760A JP2016567760A JP2017516411A JP 2017516411 A JP2017516411 A JP 2017516411A JP 2016567760 A JP2016567760 A JP 2016567760A JP 2016567760 A JP2016567760 A JP 2016567760A JP 2017516411 A JP2017516411 A JP 2017516411A
Authority
JP
Japan
Prior art keywords
analysis
engine
data
message
real
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016567760A
Other languages
English (en)
Other versions
JP6196397B2 (ja
Inventor
ロバート・エル・グロスマン
ジェイムズ・イー・ヒース
ラッセル・ディ・リチャードソン
キース・ビー・アレクサンダー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
IronNet Cybersecurity Inc
Original Assignee
IronNet Cybersecurity Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by IronNet Cybersecurity Inc filed Critical IronNet Cybersecurity Inc
Publication of JP2017516411A publication Critical patent/JP2017516411A/ja
Application granted granted Critical
Publication of JP6196397B2 publication Critical patent/JP6196397B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Alarm Systems (AREA)

Abstract

イベント処理しスコア警告及び緩和アクション生成するサイバーセキュリティシステム。システムはデータ受信し処理しイベント作成のセンサ、イベント処理し分析ワークフロー作成の分散型分析プラットフォーム、及び分析ワークフローによりイベント処理しスコア付けエンジンメッセージ生成のコア付けエンジンを含む。システムは分析ワークフロー及び分析ワークフローとイベント処理ルールによりスコア付けエンジンメッセージと分散型分析プラットフォームメッセージを処理し脅威情報メッセージを作成し伝送するリアルタイム分析エンジンも含む。脅威情報メッセージはブロードキャストメッセージ緩和メッセージ及びモデル更新メッセージを含む。システムは分析モデル分析モデルのセット又は分析ワークフローと、論理セグメント内部アクティビティのインプットのソースと、及び論理セグメント内で生じる異常アクティビティの衝撃緩和するアクションのセットと、関連する論理セグメントも含む。

Description

関連出願へのクロスリファレンス
この出願は、発明の名称が「サイバーセキュリティシステム」である、2014年10月21日出願の米国特許仮出願第62/066769号の、35U.S.C.119(e)の優先権を主張するものであり、その内容は全体として本明細書に組み込まれる。
従来、サイバーセキュリティシステムは、大規模ネットワークでのデバイスの差異を説明する能力、及び、リアルタイムの実施する能力にて制限をされている。大規模ネットワークでは、多数のデバイスが存在し、それらの振る舞いは全く異なるものである。従来のアプローチは、ネットワークのための、若しくは、ネットワーク内のデバイスの個々のタイプ(ネットワーク内のワークステーション、サーバ、スイッチ、ルータ、など)のための、単純な振る舞いのモデルを開発することである。このアプローチの問題は、このタイプのアプローチは個別のデバイス間の差異をキャプチャしない、ということである。従来のサイバーセキュリティシステムの別の制限は、十分なデータが蓄積され、予備データ分析により調査され、及び分析された後に、従来の振る舞いのモデルが手作業で構築される、ということである。従来のシステムは、手作業でモデルを構築する人物、関心エンティティについての従前の状態情報、及び、多重のパスでデータを処理して分散の若しくはディスクベースのデータを要求できる分散の/バッチの分析を、要求することが多い。
予測モデリングのための或る技術は周知であるが、本明細書に記載のアプローチは、区分された分析モデリングを、システムが個々のマイクロセグメントのための適切な緩和イベントを採ることができる、あるタイプのデータセンターマイクロセグメンテーションと、統合するのに用いられ得る。言い換えれば、ある実施形態によると、大企業ネットワークは、まず、同質のデータセンターマイクロセグメント内のエンティティの振る舞いに基づく多数の同質のデータセンターマイクロセグメント、エンティティと相互作用するユーザ、及び、マイクロセグメント内のパケット及びフローに、分割される。特に、多数のセグメントは、一つ若しくはそれ以上のそのようなセグメントのためのデータを収集できるセンサが配置されている企業体内で形成される。モデルは続いて個々のセグメントのために構築され、個々のセグメントはセンサ及びスコア付けエンジンによりモニタされ、適宜である緩和アクションがその特定のマイクロセグメントのために採られる。言い換えれば、イベントベースのモデリング及び多重のモデルの使用は、リアルタイムのスコア付けエンジン、及びデータセンターマイクロセグメンテーションと統合され、このことにより、個々のマイクロセグメントのための適宜の緩和イベントの実効的適用が可能となる。
二つの異なる利用例を用いて、(特別なケースが振る舞いのモデルである)分析モデルの構築と、分析モデルのスコア付けとを分離することは、リアルタイムシステムのモニタリング及び警告の生成における標準的技術であるが、高性能ESBに亘って通信する多重のセンサ及び多重のスコア付けエンジンの使用、ESBに亘って送信されるメッセージを用いて、分析のためのポターブルフォーマット(PFA)などのモデル交換フォーマット(MIF)モデルを更新する能力、各々がリアルタイム分析エンジン(RTAE)への脅威情報メッセージを用いてESBに亘って通信する、多重のスコア付けエンジンからのイベント毎のエビデンスの収集、及び、ESBに亘って適宜の緩和イベント(緩和TIM)を送り出すためのRTAEによるこれらTIMの処理は、モデル交換フォーマットドキュメントを新しいものと置換することのみ可能であるデータのシングルストリームを処理する単独のスコア付けエンジンに対する、個別の意義深い進展である。
開示される本発明の主旨によると、システム、方法、及び非一時的コンピュータ読み取り可能媒体が、イベントを処理してスコア付け、警告、及び緩和アクションを生成するサイバーセキュリティシステムを提供するべく、提示される。
ある実施形態では、開示される本発明の主旨は、イベントを処理してスコア、警告、及び緩和アクションを生成するサイバーセキュリティシステムを含む。ある実施形態では、システムは、複数のセンサを含み、複数のセンサの各々は、ネットワークからセンサデータを受信し、センサデータを処理してイベントを作成し、及び、イベントを伝送するように構成されている。ある実施形態では、システムは、分散型分析プラットフォームを含み、分散型分析プラットフォームは、前記複数のセンサからイベントを受信し、イベントを処理して分析ワークフローを作成し、ここで分析ワークフローの各々は一つ若しくはそれ以上の論理セグメントと関連付けられており、及び、分析ワークフロー及び分散型分析プラットフォームメッセージを伝送するように構成されている。ある実施形態では、システムは、複数のスコア付けエンジンを含み、前記複数のスコア付けエンジンの各々は、分散型分析プラットフォームから分析ワークフローを受信し、戦記複数のセンサの少なくとも一つからイベントを受信し、分析ワークフローを用いて、受信したイベントを処理してスコア付けエンジンメッセージを生成し、及び、スコア付けエンジンメッセージを伝送するように構成されている。ある実施形態では、システムは、リアルタイム分析エンジンを含み、前記リアルタイム分析エンジンは、前記分散型分析プラットフォームから分析ワークフローを受信し、分析ワークフローとイベント処理ルールを受信し、前記複数のスコア付けエンジンからスコア付けエンジンメッセージを受信し、前記分散型分析プラットフォームから分散型分析プラットフォームメッセージを受信し、並びに、前記分散型分析プラットフォームからの分析ワークフロー、及び、分析ワークフローとイベント処理ルールを用いて、スコア付けエンジンメッセージと分散型分析プラットフォームメッセージを処理して脅威情報メッセージを作成するように構成されている。ある実施形態では、脅威情報メッセージは、前記リアルタイム分析エンジンが伝送するように構成されている、ブロードキャストメッセージと、緩和メッセージであって、前記リアルタイム分析エンジンによる処理が、緩和アクションが異常アクティビティのインパクトを限定することを示すとき、前記一つ若しくはそれ以上の論理セグメントのうちの第1の論理セグメントと関連付けられる緩和アクションを採るために、前記リアルタイム分析エンジンが前記緩和メッセージをコントロールプレーンエンジンに伝送するように構成されている、緩和メッセージと、
及び、モデル更新メッセージであって、前記リアルタイム分析エンジンによる処理が、モデル更新メッセージが異常アクティビティの検出率と偽陽性率の減少との少なくとも一つを改善することを示すとき、一つ若しくはそれ以上の分析ワークフローを更新するために、前記リアルタイム分析エンジンがモデル更新メッセージを伝送するように構成されている、モデル更新メッセージと、のうちの少なくとも一つを含む。ある実施形態では、前記一つ若しくはそれ以上の論理セグメントの各々は、分析モデル、分析モデルのセット、若しくは分析ワークフローと、論理セグメント内部のアクティビティについてのインプットの一つ若しくはそれ以上のソースと、及び、論理セグメント内部で発生する異常アクティビティのインパクトを緩和する、アクションのセットと、関連する。
ある実施形態では、前記複数のセンサ、前記複数のスコア付けエンジン、前記分散型分析プラットフォーム、前記リアルタイム分析エンジン、及び、前記コントロールプレーンエンジンが、帯域外ネットワークを用いて接続している。
ある実施形態では、前記複数のセンサ、前記複数のスコア付けエンジン、前記分散型分析プラットフォーム、前記リアルタイム分析エンジン、及び、前記コントロールプレーンエンジンが、企業体システムバスに亘って関連するメッセージを送信することにより通信する。
ある実施形態では、前記複数のセンサ、前記複数のスコア付けエンジン、前記分散型分析プラットフォーム、前記リアルタイム分析エンジン、及び、前記コントロールプレーンエンジンが、企業体システムバスに亘って関連するメッセージを送信することにより通信する。
ある実施形態では、
更に、摂取アクタモジュールを含み、
前記摂取アクタモジュールは、
サードパーティアプリケーションとサードパーティデバイスのうちの少なくとも一つからサードパーティアプリケーションデータを受信し、
前記複数のスコア付けエンジン、前記分散型分析プラットフォーム、及び前記リアルタイム分析エンジンのうちの少なくとも一つによる更なる処理のために、サードパーティアプリケーションデータを伝送する
ように構成されている。
ある実施形態では、
前記複数のセンサ、前記複数のスコア付けエンジン、前記分散型分析プラットフォーム、前記リアルタイム分析エンジン、前記コントロールプレーンエンジン、及び前記摂取アクタモジュールが、帯域外ネットワークを用いて接続している。
ある実施形態では、
前記複数のセンサ、前記複数のスコア付けエンジン、前記分散型分析プラットフォーム、前記リアルタイム分析エンジン、前記コントロールプレーンエンジン、及び前記摂取アクタモジュールが、企業体システムバスに亘って関連するメッセージを送信することにより通信する。
ある実施形態では、
前記スコア付けエンジンが更に、
モデル更新メッセージを受信し、及び、
イベントの処理と同時に、更新メッセージを処理する
ように構成されている。
ある実施形態では、
ブロードキャストメッセージ、緩和メッセージ、及びモデル更新メッセージのうちの少なくとも一つを作成するために、
前記リアルタイム分析エンジンは更に、
前記複数のスコア付けエンジン、前記分散型分析プラットフォーム、及び前記複数のセンサのうちの少なくとも一つから、第1の時間に第1のアウトプットを受信し、
第1のアウトプットに対応する第1の状態情報を検索し、
第1のアウトプットデータで第1の状態情報を更新し、
前記リアルタイム分析エンジンと関連付けられる分析ワークフローにより、更新された第1の状態情報を処理して、処理された更新された第1の状態情報を作成し、
処理された更新された第1の状態情報を前記リアルタイム分析エンジン内に格納し、
前記複数のスコア付けエンジン、前記分散型分析プラットフォーム、及び前記複数のセンサのうちの少なくとも一つから、第2の時間に第2のアウトプットを受信し、
第2のアウトプットに対応する第2の状態情報を検索し、
第2のアウトプットデータで第2の状態情報を更新し、
前記リアルタイム分析エンジンと関連付けられる分析ワークフローにより、更新された第2の状態情報を処理して、処理された更新された第2の状態情報を作成し、
処理された更新された第2の状態情報に基づいて、ブロードキャストメッセージ、緩和メッセージ、及びモデル更新メッセージのうちの少なくとも一つを作成し、
並びに、
処理された更新された第2の状態情報を前記リアルタイム分析エンジン内に格納する
ように構成されている。
ある実施形態では、
前記リアルタイム分析エンジンは更に、
前記複数のスコア付けエンジン、前記分散型分析プラットフォーム、及び前記複数のセンサのうちの少なくとも一つから、第3の時間に中間アウトプットを受信し、ここで、第3の時間は第1の時間の後であり且つ第2の時間の前であり、
中間アウトプットに対応する中間状態情報を検索し、
中間アウトプットデータで中間状態情報を更新し、
前記リアルタイム分析エンジンと関連付けられる分析ワークフローにより、更新された中間状態情報を処理して、処理された更新された中間状態情報を作成し、
並びに、
処理された更新された中間状態情報を前記リアルタイム分析エンジン内に格納する
ように構成されている。
ある実施形態では、
分析ワークフローは、モデル交換フォーマットドキュメントを含み、
モデル交換フォーマットドキュメントは、
分析モデルの合成と、
分析モデルの区分と、
分析モデルのアンサンブルと、
ルールによる分析モデルの合成と、
前処理及び後処理段階による分析モデルの合成と、及び、
分析ワークフローと
をサポートし、
前処理及び後処理段階は、データ変換とデータ凝集を含み、
分析ワークフローの各々は、分析モデル、ルール、データ変換、データ凝集、並びに、分析モデル、ルール、データ変換、データ凝集、区分及びアンサンブルの合成、のうちの少なくとも一つを、含む。
ある実施形態では、
前記リアルタイム分析エンジンは更に、
分析ワークフローの一つ若しくはそれ以上への変更が閾値を超えるときに、更新された振る舞いモデルを前記複数のスコア付けエンジンの一つ若しくはそれ以上に伝送する
ように構成されている。
ある実施形態では、
イベントは、
ネットワークフローについてのデータ、パケットについてのデータ、エンティティについてのデータ、ユーザについてのデータ、ワークステーションとサーバについてのデータ、ルータとスイッチについてのデータ、外部ネットワークエンティティについてのデータ、並びに、ネットワークと相互作用する内部及び外部デバイスについてのデータのうちの、少なくとも一つを含む。
ある実施形態では、
前記複数のセンサと前記複数のスコア付けエンジンとのうちの、一つ若しくはそれ以上が、単独のアプリケーション内に統合される。
ある実施形態では、
前記リアルタイム分析エンジンが、前記複数のスコア付けエンジンのうちの一つ若しくはそれ以上と統合する。
ある実施形態では、
緩和アクションは、
少なくとも一つのポートを閉じること、
少なくとも一つのパケットデータを修正すること、
パケット若しくはフローの伝送をコントロールすること、
サブネットをブロックすること、
一つ若しくはそれ以上のインターネットプロトコル(IP)若しくはIPの範囲をブロックすること、及び、
一つ若しくはそれ以上の内部の若しくは外部のIPをブロックすること
のうちの少なくとも一つを含む。
ある実施形態では、
緩和アクションは、
サーバ及びワークステーションのオフラインの少なくとも一つを採ること、
プロテクトされた画像から、新しい可視化サーバと新しい可視化ワークステーションのうちの少なくとも一つを形成すること、及び、
サーバとワークステーションのうちの少なくとも一つと関連付けられるアクションをブロックすること
のうちの少なくとも一つを含む。
ある実施形態では、
異常アクティビティは、
偵察、セキュリティ上の弱点を突く手段、侵入、情報漏洩、インサイダ脅威、及び攻撃のうちの、少なくとも一つを含む。
ある実施形態では、
緩和アクションは、
少なくとも一つのパケットを修正すること、
パケット若しくはフローの伝送をコントロールすること、及び、
異常アクティビティと関連付けられるエンティティに対する許可及びアクセス権を除去することのうちの、少なくとも一つを含み、
許可及びアクセス権を除去することは、
ネットワークアクセスをブロックすること、
ネットワークデバイスへのアクセスをブロックすること、
サーバへのアクセスをブロックすること、
ワークステーションへのアクセスをブロックすること、及び、
他のコンピュータデバイスへのアクセスをブロックすること
のうちの、少なくとも一つを含む。
ある実施形態では、
異常アクティビティは、内部の悪いアクタと外部の悪いアクタとのうちの、少なくとも一つと関連付けられる。
ある実施形態では、
更に可視化エンジンを含み、可視化エンジンはモニタを含み、
可視化エンジンは、
リアルタイム分析エンジンによるスコア付けエンジンメッセージの処理と関連付けられる統計及びグラフィック画像を受信し、及び、
モニタ上に統計及びグラフィック画像を表示する
ように構成されている。
ある実施形態では、
本明細書に記載の複数のサイバーセキュリティシステムを含む、サイバーセキュリティシステムが開示され、
複数のサイバーセキュリティシステムの各々は、選択した脅威情報メッセージを、他のサイバーセキュリティシステムの一つ若しくはそれ以上と交換するように構成されており、
選択した脅威情報メッセージは、暗号化されて、情報を伝送するための機密メカニズムを提供し、
選択した脅威情報メッセージ内の情報は、伝送するサイバーセキュリティシステムに関する機密の内部情報を曝すことはしない。
ある実施形態では、
外部の脅威情報メッセージを、互換性のあるサードパーティシステムと交換するように構成されており、
外部の脅威情報メッセージは、暗号化されて、情報を伝送するための機密メカニズムを提供し、
外部の脅威情報メッセージ内の情報は、外部の脅威情報メッセージを伝送するシステムに関する機密の内部情報を曝すことはせず、及び、
外部の脅威情報メッセージは、共通のモデル交換フォーマットでフォーマットされる。
ある実施形態では、
前記分散型分析プラットフォームは更に、
スコア付けエンジンメッセージを受信し、及び、
スコア付けエンジンメッセージを処理して脅威情報メッセージを作成する
ように構成されている。
ある実施形態では、
ブロードキャストメッセージは、情報メッセージ、サイバーイベントメッセージ、及び警告メッセージのうちの、少なくとも一つを含む。
ある実施形態では、
前記複数の論理セグメントの各々は、
ネットワークの分割、ネットワーク上のトラフィックの分割、ネットワーク上のユーザの分割、ネットワーク上のデバイスの分割、サードパーティデータに基づく分割、並びに、ネットワーク、ネットワーク上のトラフィック、ネットワーク上のユーザ、ネットワーク上のデバイス、及び、サードパーティデータに、関する複数の分割の少なくとも一つと関連するデータのうちの、少なくとも一つと関連付けられる。
ある実施形態では、
少なくとも第1の分割は、少なくとも第2の分割とオーバラップする。
ある実施形態では、
前記複数のセンサ、前記複数のスコア付けエンジン、前記分散型分析プラットフォーム、前記リアルタイム分析エンジン、前記コントロールプレーンエンジン、及び、摂取アクタモジュールが、企業体システムバスに亘って関連するメッセージを送信することにより通信する。
ある実施形態では、開示される本発明の主旨は、イベントを処理してスコア、警告、及び緩和アクションを生成するサイバーセキュリティシステムを含む。ある実施形態では、システムは、複数のセンサを含み、前記複数のセンサの各々は、ネットワークからセンサデータを受信し、センサデータを処理してイベントを作成し、及び、イベントを伝送する
ように構成されている。ある実施形態では、システムは、分散型分析プラットフォームを含み、前記分散型分析プラットフォームは、前記複数のセンサからイベントを受信し、イベントを処理して分析ワークフローを作成し、ここで分析ワークフローの各々は一つ若しくはそれ以上の論理セグメントと関連付けられており、及び、分析ワークフロー及び分散型分析プラットフォームメッセージを伝送するように構成されている。ある実施形態では、システムは、スコア付けエンジンを含み、前記スコア付けエンジンは、分散型分析プラットフォームから分析ワークフローを受信し、前記複数のセンサの少なくとも一つからイベントを受信し、分析ワークフローを用いて、イベントを処理してスコア付けエンジンメッセージを生成し、及び、スコア付けエンジンメッセージを伝送するように構成されている。ある実施形態では、リアルタイム分析エンジンを含み、前記リアルタイム分析エンジンは、前記分散型分析プラットフォームから分析ワークフローを受信し、分析ワークフローとイベント処理ルールを受信し、スコア付けエンジンメッセージを受信し、前記分散型分析プラットフォームから分散型分析プラットフォームメッセージを受信し、並びに、前記分散型分析プラットフォームからの分析ワークフロー、及び、分析ワークフローとイベント処理ルールを用いて、スコア付けエンジンメッセージと分散型分析プラットフォームメッセージを処理して脅威情報メッセージを作成するように構成されている。ある実施形態では、脅威情報メッセージは、前記リアルタイム分析エンジンが伝送するように構成されている、ブロードキャストメッセージと、緩和メッセージであって、前記リアルタイム分析エンジンによる処理が、緩和アクションが異常アクティビティのインパクトを限定することを示すとき、前記一つ若しくはそれ以上の論理セグメントのうちの第1の論理セグメントと関連付けられる緩和アクションを採るために、前記リアルタイム分析エンジンが前記緩和メッセージをコントロールプレーンエンジンに伝送するように構成されている、緩和メッセージと、及び、モデル更新メッセージであって、前記リアルタイム分析エンジンによる処理が、モデル更新メッセージが異常アクティビティの検出率と偽陽性率の減少との少なくとも一つを改善することを示すとき、一つ若しくはそれ以上の分析ワークフローを更新するために、前記リアルタイム分析エンジンがモデル更新メッセージを伝送するように構成されている、モデル更新メッセージと、のうちの少なくとも一つを含む。ある実施形態では、前記一つ若しくはそれ以上の論理セグメントの各々は、分析モデル、分析モデルのセット、若しくは分析ワークフローと、論理セグメント内部のアクティビティについてのインプットの一つ若しくはそれ以上のソースと、及び、論理セグメント内部で発生する異常アクティビティのインパクトを緩和する、アクションのセットと、関連する。
本開示の発明の主旨の、これら及び他の機能は、以下の図面、詳細な説明、及び請求項を検討した後に、より十分理解されるであろう。当然のことながら、本明細書で用いられる表現及び用語は記述のためのものであり、限定として見なされるべきでは無い。
以下の図面と関連して考慮すると、開示される本発明の主旨についての以下の詳細な説明を参照して、開示される本発明の主旨の種々の目的、特性、及び利点がより十分に理解され得るのであり、該図面では同じ参照番号は同じ要素を特定する。
図1は、本開示のある実施形態に係る、サイバーセキュリティフレームワークを示すシステム図である。 図2は、本開示のある実施形態に係る、三つのネットワークに亘って実装されるサイバーセキュリティフレームワークを示すシステム図である。 図3は、本開示のある実施形態に係る、企業体ネットワークの異なる部分にて挿入されるネットワークタップを示すシステム図である。 図4は、本開示のある実施形態に係るスコア付けエンジンを示すブロック図である。 図5は、本開示のある実施形態に係る、リアルタイム分析エンジンによりメッセージを処理して送信する方法を示すフローチャートである。 図6Aは、本開示のある実施形態に係る、インプット若しくはイベントの処理を直接示すフローチャートである。 図6Bは、本開示のある実施形態に係る、一つ若しくはそれ以上の持続状態を個々のイベントと関連付けることを示すフローチャートである。 図6Cは、本開示のある実施形態に係る、分析モデルの前処理及び後処理を示すフローチャートである。 図7は、本開示のある実施形態に係る、分析モデルを生成するためのネットワークトラフィックの処理を示すフローチャートであり、該ネットワークトラフィックはスコア付けエンジンにインポートされる。 図8Aは、本開示のある実施形態に係る、モデルのアンサンブルを示すシステム図である。 図8Bは、本開示のある実施形態に係る、モデルの合成若しくは連鎖を示すシステム図である。 図8Cは、本開示のある実施形態に係る、区分されたモデルを示すシステム図である。 図9は、本開示のある実施形態に係る、サイバーセキュリティフレームワーク内のコンポーネント間のデータの流れを描写するフローチャートである。 図10は、本開示のある実施形態に係る、サイバーセキュリティフレームワークの外的脅威への応答を示すシステム図である。 図11は、本開示のある実施形態に係る、サイバーセキュリティフレームワークの内的脅威への応答を示すシステム図である。
以下の記載では、開示される本発明の主旨の十全の理解を提供するために、開示される本発明の主旨のシステム及び方法、並びに、それらシステム及び方法が動作し得る環境などに関して、多数の具体的な説明を設けている。しかしながら、当業者には当然ながら、開示される本発明の主旨は、そのような具体的な説明が無くても実施し得るものであり、周知であるような特性は、開示される本発明の主旨の不必要な複雑さを回避するために、詳細には記載していない。更に、当然のことながら、以下に示す実施形態は例示であり、開示される本発明の主旨の範囲内である他のシステムや方法もある、と考えられる。
本開示のある実施形態は、サイバーセキュリティフレームワークを作成することに関する。サイバーセキュリティフレームワークは、モニタリング、分析、及び展開を簡略化しつつ、分散型企業体において、略リアルタイムでの検出及び緩和アクションを実施する。
ある実施形態の本明細書に記載のプロセスは、帯域外ESB及び帯域外ネットワークを使用し、このことにより、分散型分析プラットフォーム;略リアルタイムのスコア付け;脅威情報メッセージ(TIM)、緩和イベント、及び、システムの種々のコンポーネントによるモデル更新についての略リアルタイムの処理;並びに、分析の可視化、モニタリング、及びダッシュボードへの更新により;大量の、ネットワークフローデータ、パケット(PCAP)データのファイル、システムログデータ、外的脅威データ、及び、他の関心データを、処理できる。
サイバー環境内の代表的アクションは、サイバー分析データの分析、振る舞いモデルを構築すること、振る舞いモデルスコア付け、振る舞いモデルを更新すること、警告を送信すること、警告を評価すること、コマンドを送信すること、コントロール及び緩和アクション、リアルタイムの可視化、及び、強調フレームワークを操作することを、含む。
システムアーキテクチャ
図1は、本開示のある実施形態に係る、サイバーセキュリティフレームワークを示すシステム図である。図1は、(ここではサイバーセンサとも称される)センサ102、摂取アクタ104、分散型分析プラットフォーム106、スコア付けエンジン108、リアルタイム分析エンジン(RTAE)110、可視化エンジン112、コントロールプレーンエンジン114、及び、分散型企業体サービスバス(ESB)116を、示す。本開示のある実施形態では、センサ102及びスコア付けエンジン108は、単独の統合アプリケーションに組み合わされる。図1は、エンドポイント120、データプレーン122、サーバ及びワークステーション126、サイバーオペレーション(ops)スタッフ及びサイバーアナリスト128、サードパーティアプリケーション、サードパーティアプリケーション、ソース及びデバイス130、並びに、ファイヤウオール、スイッチ、及びルータ132を含む、更なるシステムコンポーネントも示す。
図1の要素の各々を以下により詳細に説明する。端的には、センサ102は、企業体データプレーン122からデータをキャプチャして処理し、ESB116にデータを渡し、そこでデータは更なる処理のためにルート付けされる。データプレーン122は、エンドポイント120、サーバ及びワークステーション126、並びに、ファイヤウオール、スイッチ及びルータ132からを含む、企業体ネットワーク上の種々のデバイスから、及び、企業体ネットワーク上の種々のデバイスへ、データを送信する。コントロールプレーンエンジン114は、ESB116から処理されたデータを受信し、スイッチ、ルータ及びファイヤウオール132を含むネットワークデバイスを構成し、並びに、再構成するスコア付けエンジン108はESB116からデータを受信し、ストリーム内の個々のイベントに対して、一つ若しくはそれ以上の分析モデルを用いて処理し、スコアを含む、アウトプット、警告及びメッセージ、それに加えて関連情報を生成する。摂取アクタ104は、サードパーティアプリケーション、ソース及びデバイスからデータをキャプチャして処理し、そのデータをESBに送信し、ここでデータは更なる処理のためにルート付けされる。(分析クラウドとも称され得る)分散型分析プラットフォーム106は、大量のデータを分析して種々の分析結果を生成するために用いられ得る、分散型コンピュータプラットフォームである。分散型分析プラットフォーム106は、ESB116、摂取アクタ104、RTAE110、及び視覚化エンジン112からのデータを受信し、それらへ送信する。RTAE110は、ESB116及び分散型分析プラットフォーム106からデータを受信し、GPUなどの、分散型メモリ及び専用プロセッサを用いて略リアルタイムの計算を実施し、略リアルタイムの可視化を作成し、並びに、多重のスコア付けエンジン108及び他のソースからのデータを処理することにより緩和アクションに関する略リアルタイムの決定を作成する。可視化エンジン、ダッシュボード及びモニタ112は、ESB116、RTAE110及び分析エンジン106からデータを受信し、それらへデータを送信し、サイバーops及びアナリスト128に、図1に記載する他の要素の可視的表現を提供する。可視化エンジン、ダッシュボード及びモニタ112は、ユーザ構成可能なダッシュボードを提供し、リアルタイム情報を提供し及びRTAE110からのリアルタイムクエリをサポートし、分散型分析プラットフォーム106を用いて分析の結果を提供して可視化し、並びに、エンティティ、警告、イベント、PCAPデータ、フローデータ、グラフに対してクエリする相互作用能力を提供することができる。
図2に示すように、本開示のある実施形態では、サイバーセキュリティフレームワークは、三つのネットワークに亘って実装され得る。図2は、企業体データプレーン122、企業体コントロールプレーン204、及び、帯域外システムネットワーク206を示す。本開示のある実施形態では、企業体サービスバス116は、帯域外システムネットワークに亘って展開される。帯域外システムネットワーク206は、サイバーセンサ102、分散型分析プラットフォーム106、RTAE110、スコア付けエンジン108、コントロールプレーンエンジン114、及び緩和エージェント210を接続する。ある実施形態では、以下のコンポーネントの二つ若しくはそれ以上が、ESB116を介して帯域外ネットワークの他のコンポーネントと通信する。サイバーセンサ102、分散型分析プラットフォーム106、RTAE110、スコア付けエンジン108、コントロールプレーンエンジン114、及び、緩和エージェント210。
ある実施形態では、コントロールプレーンエンジン114は、企業体コントロールプレーン204を介して緩和エージェント210に緩和メッセージを送信し得る。緩和エージェント210は、コントロールプレーンエンジン114内に埋め込まれることが可能であり、又は、システムの他のコンポーネントにて若しくは企業体の他のデバイス若しくはコンポーネントにて、埋め込まれ若しくは統合され得る。例えば、緩和エージェント210は、コントロールプレーンエンジン114と統合され、メッセージを企業体コントロールプレーンに送信してポート若しくはブロックIPを閉じ得る。緩和エージェント210は、緩和アクションをコントロールプレーンに送信し、該コントロールプレーンは続いて、ルータ若しくはスイッチ内のテーブルを修正するなどの、アクションを採る。緩和アクションは、ポートを閉じる、エンドデバイス、サーバ若しくはネットワークサービスを分離する、サブネットを分離するなどの、結果となる修正を含む。別の例は、緩和エージェント210が、パケットを修正する、又は、パケット若しくはフローの送信を変更する緩和アクションを、企業体データプレーン上のネットワークデバイスに送信し得ること、である。
ある実施形態では、(本明細書でサイバーセンサとも称される)センサ102が企業体データプレーン122上に位置する。以下により詳細に説明するように、センサ102は、企業体データプレーン122上のデータを収集して処理し、処理したデータを帯域外システムネットワーク206に送信する。ある実施形態では、サイバーセンサ102は、スコア付けエンジン108に直接接続し得(例えば、ESB116を介して接続するのでは無く)、若しくは、スコア付けエンジン108と統合し得る。
図2に示すように、企業体ネットワークはデータプレーン122として機能し、企業体のネットワークに亘って通過するデータの大部分を運搬する。更に、企業体によっては、コントロール情報をスイッチ、ルータ、ファイヤウオール132、及び他のネットワークデバイスに通信するためにコントロールプレーン204を用いることもある。コントロールプレーン204とデータプレーン122とは、論理上独立しており、同じ物理ネットワークを共有しても、しなくてもよい。本開示のある実施形態では、システムコンポーネントが通信のために使用する帯域外システムネットワーク206もある。この開示では、帯域外とは、企業体データプレーン122及びコントロールプレーン204から、独立の物理ネットワークのことである。
本開示のある実施形態では、帯域外システムネットワーク206は、企業体データプレーン122よりも高い容量を有する。例えば、企業体データプレーンが10Gネットワークであるならば、帯域外システムネットワークは40Gネットワークであればよい。企業体データプレーンが40Gネットワークであるならば、帯域外システムネットワークは100Gネットワークである。
ある実施形態では、図1の上部に記載のコンポーネントは、同じネットワーク内部に配置される。例えば、ある実施形態では、企業体プレーン122及びコントロールプレーン204は、分散型分析プラットフォーム106、スコア付けエンジン108、リアルタイム分析エンジン(RTAE)110、視覚化エンジン112、及びコントロールプレーンエンジン114と、同じネットワークにある。
本開示のある実施形態では、本明細書、例えば、図1に記載のサイバーセキュリティシステムは、複数の物理的若しくは論理的配置で展開され得る。展開されるサイバーセキュリティシステムの各々は、サイバーセキュリティシステムの一つ若しくはそれ以上と、選択した脅威情報メッセージを交換するように構成され得る。ある実施形態では、選択した脅威情報メッセージは暗号化されて、情報を伝送するための機密メカニズムを提供する。ある実施形態では、選択した脅威情報メッセージ内の伝送される情報は、危険に晒される特定の内部デバイスや攻撃を受ける特定の内部IPなどの、伝送するサイバーセキュリティシステムに関する機密の内部情報を曝すことはしないが、攻撃のタイプ、外部IP等に関する情報を代わりに含む。
本開示のある実施形態では、本明細書に記載のサイバーセキュリティシステムは、互換性のあるサードパーティシステムと外的脅威情報メッセージを交換するように構成され得る。外的脅威情報メッセージは暗号化されて、情報を伝送するための機密メカニズムを提供し得る。ある実施形態では、外的脅威情報メッセージ内の情報は、危険に晒される特定の内部デバイスや攻撃を受ける特定の内部IPなどの、サードパーティに関する機密の内部情報を曝すことはしないが、攻撃のタイプ、外部IP等に関する情報を代わりに含む。外的脅威情報メッセージは、スコア付けエンジン、分散型分析プラットフォーム、及びリアルタイム分析エンジンにより理解される、振る舞いモデルのための共通モデル情報フォーマットにより、フォーマットされ得る。
図1及び図2を共に取り上げて、以下より詳細に説明する。
企業体サービスバス116、メッセージ及びトピック
本開示のある実施形態では、帯域外システムネットワークは、通信のため分散型企業体サービスバス(ESB)116を使用する。分散型ESB116は、言語やプラットフォームに依存せず、AMQP、NSQ、ZeroMQ、RabitMQ、adeptia ESB Suite、IBM WebSphere ESB、Microsoft BizTalk Server、及びOracle Enterprise Service Busを含むがそれらに限定されない、任意の企業体サービスバスを含み得る。ESB116は、メッセージを信頼性高く配信し、大抵の実施形態では、非常に高いスループットを有する。一般に、企業体サービスバスは、種々のデバイスからの通信をモニタし、ルート付けし、更に分解する。デバイスは、エンドポイント120及びデータプレーン122を含み得る。エンドポイントは、ワークステーションサーバ、パーソナルコンピュータ、及び、携帯電話やタブレットなどの携帯デバイスなどの、エンドユーザデバイス120を含む。データプレーン122は、ファイヤウオール、スイッチ及びルータ132などの、ネットワークトラフィックを運搬するデバイスを含む。更に、ファイヤウオール、スイッチ、ルータ132、及び、コントロールプレーンの一部である他のデバイスへの、コントロールプレーントラフィックも、帯域外システムネットワークに渡される。
ある実施形態では、ESB116上のメッセージは通常、トピックと称されることが多い、各々が自身のキューを伴う、独立のストリームに分割され、従って、一つのトピックに関連するメッセージは、別のトピックに関連するメッセージに干渉しない。例示の実装の本開示はトピックを用いてESB116内に独立のキューを形成し、これにより、スコア付けエンジンにより処理される様々なタイプのイベント、様々なシステムコンポーネントに渡されるメッセージ、様々なタイプのTIMなどは全て異なるキューを有する。
処理、分析及び視覚化のために二つの主たるやり方、即ちセンサ102経由で及び摂取アクタ104経由で、帯域外システムネットワークにデータが渡される。センサ102と摂取アクタ104について以下より詳細に説明する。データの処理及び分析は結果として、更なるレコード及び(脅威情報メッセージ)TIMを形成し、それらは帯域外ESBに渡され、更にデータの処理及び分析は結果として、リアルタイムの視覚化及び種々のレポートを形成する。それらの全てについて以下より詳細に説明する。
センサ102
データがシステムに入る一つのやり方は、センサを経由するものである。センサ102は、企業体データプレーン122及び企業体コントロールプレーン204からデータをキャプチャして処理し、そのデータを更なる処理のために帯域外システムネットワークに渡す。ネットワークタップは、センサ102の一部であるが、リアルタイムの処理をサポートするための、ネットワークの可視性及びネットワークトラフィックのミラーリングのために、キーポイントにて挿入される。センサ102は、図7及び図9に付随する記載にて以下より詳細に説明する。端的には、センサ102はパケットを処理して、処理したパケットに関連するレコード及びフローを構築する。
ある実施形態では、少なくとも三つのポートがある。受信データポート、発信データポート、及びモニタポートである。全て、又は、センサにより判別される選択したデータのいずれかが、モニタポート上でミラーリングされる。モニタポート上のデータは処理されて、以下に説明する帯域外ESB116に渡されるレコードを生成する。システムのある実施形態では、センサ及びタップにコマンド及びコントロール情報を提供する第4のポートもある。第4のポートは、どのデータが収集されて処理されているかを変更し、加えて或るパケットを発信ポートに渡さないなどの、或る緩和アクションを採るのに、用いられ得る。例えば、特定のIP、ポート、抽出データ、若しくは計算特性と関連するパケットがブロックされ得る。
図3は、本開示のある実施形態に係る、企業体ネットワークの様々な部分において挿入されるネットワークタップを示すシステム図である。I302は、企業体ネットワークと外部インターネット320との間の企業体ゲートウエイにおけるネットワークタップ314である。I302は、ファイヤウオール312前の、ネットワークタップ314上の可視性ポイントであり、外部スイッチ310上に配置され得る。I302は、カスタマインフラストラクチャの外部直面インタフェースであり、統計的及び分析的モデルを用いる第一の機会と、並びに、プロービング、侵入、ネットワーク偵察、企業体への攻撃、及び、有害因子による他の振る舞いを検出する、属性の処理を開始する(例えば、脅迫的な振る舞いの背後の主体を特定する)、及び振る舞いのインパクトを停止する若しくは制約する適宜の応答を展開する、他の技術とを表す。従来、I302インタフェースは、情報インフラストラクチャの外側と内側との間の境界である。通常、これは、企業体全体の外部直面インタフェースであるが、これらの目的のためには、I302は、任意の情報インフラストラクチャ、つまり、企業体、コンテナ、クラウド若しくはワークグループの外側境界インタフェース、若しくは外部直面インタフェースということになり得る。I302は、カスタマが、通常、ルータアクセスコントロールリスト(ACL)若しくは商業的ファイヤウオールソリューションを用いて、第1段階のプロテクションを概略、実装するポイントである。通常、これらのデバイスは、保守的な(大抵は制約的な)アクセスコントロールポリシを実施しており、インフラストラクチャのための主要なプロテクションポイントを表す。多数のサイトに対して、I302インタフェースはネットワークアドレス変換(NAT)でもあり、該ネットワークアドレス変換(NAT)はパケットアドレスを変更して外部エンティティへのインフラストラクチャ識別子の露出を最小限にする。Iにて見られる悪いアクタのタイプは以下を含む。
1)外部ディフェンスを発見して貫通するリモートの試み;
2)外側インフラストラクチャを貫通する外部の、しかし局所のストラテジ;
3)インサイダ仲介の外部アクセスの変更;
4)内部促進の外部アクセス;
5)伝統的なサイバー開発;及び
6)インフラストラクチャルートキットベースの開発。
304及びI306は、企業体内部の内部直面インタフェースであり、企業体内部の異常サイバーアクティビティは、本明細書では内部アタックと称する。I304は、企業体ファイヤウオール312と内部企業体ネットワークの残りとの間に配置される。センサーアプリケーションI306は、企業体内部の横方向ネットワークトラフィック内への可視性を可能にする。Iネットワークタップ306は、内部スイッチ316上に位置し、ウエブサーバ、企業体サーバ、ワークステーション、デスクトップ、及び他のそのようなデバイスなどの、デバイスへのトラフィックを見ることができる。I308は、企業体コントロールプレーン上でデータを処理できるネットワークデバイスである。概略、システムの多くの展開では、最も簡素なネットワークを除き、タイプI306及びI308の多重センサがある。いくつかの複雑なネットワークに対しては、タイプI302及びI304の多重センサがあり得る。
ある実施形態では、I302、I304、I306及びI308からのデータ及びアクティビティは、継続して相関付けられて格納され、コントロールプレーンインタフェースを介して全ての企業体ネットワーク及びコンポーネントにコマンドを出してコントロールする。スコア付けエンジン108及び振る舞いモデルと連動するセンサ102並びにRTAE110は、TIMを生成し、該TIMは、ESB116に沿って通され企業体及びネットワークコンポーネントにより消費されてリアルタイムコマンド及びコントロールアクションをサポートする、TIM緩和及びTIMモデル更新メッセージを含む。本開示のある実施形態で用いられる緩和TIM及びモデル更新TIMの例を、以下説明する。端的には、本開示のある実施形態の緩和TIMの例は、特定のポートを閉じる、若しくは特定のデバイスを分離するメッセージである。本開示のある実施形態のモデル更新TIMの例は、企業体ネットワーク内の振る舞いに基づく、振る舞いモデルワークフローの後処理要素内の警告の閾値を低くすることである。より詳細には、スコア付けエンジン108はモデル更新TIMを解析し、この例の適宜のPFA要素内の閾値などの、更新すべきPFAドキュメントの適宜のコンポーネントを特定し、更に、閾値の現在値を、モデル更新TIM内で供給される新しい閾値と置き換える。本開示のある実施形態のモデル更新TIMの別の例は、分析モデルの係数、即ち、分析モデルの前若しくは後処理PFAコンポーネントの係数を変更することである。
摂取アクタ104
データがシステムに入る第二のやり方は、摂取アクタ104を介することである。摂取アクタ104は、サードパーティアプリケーション(apps)、ソース及びデバイス130からのデータを処理するように設計され得る。サードパーティアプリケーション(apps)、ソース及びデバイス130は、他のシステムコンポーネントと、ワークステーション、サーバ、及び企業体ネットワーク上の他のコンピュータデバイスと、ホストベースのセキュリティシステムを含む他のセキュリティアプリケーションにより生成される情報ストリームと、脅威についての情報、IPの評判、レスポンスポリシゾーン(RPZ)情報及び関連情報を含む、外部サードパーティのデータのソースと、同じ企業体の他の地理的に分散された位置におけるか、若しくは、他の企業体と関連するか、のいずれかである、同じアーキテクチャを伴う他のシステムと、並びに、異なるアーキテクチャを伴うが情報を交換するための同意済みのフォーマットに追随する他のシステムとを、含み得る。
摂取アクタ104は、前述のソースの一つから、若しくはESBから直接、処理すべきインプットデータを受信する。処理後、摂取アクタ104は、他のシステムコンポーネントによる更なる処理のために、ESB116に処理されたイベントを配信し戻す。摂取アクタ104は、サードパーティアプリケーション(apps)、ソース及びデバイス130から、処理すべきデータを受信し、更なる処理のためにインプットデータがESB116、RTAE110、若しくは分散型分析プラットフォーム106に伝送され得るように要求される、データ処理及びコンバージョンを実行する。ある実施形態では、摂取アクタ104における処理は、インプットデータを取り出してインプットデータを、ESB116、RTAE110、若しくは分散型分析プラットフォーム106に適するフォーマットにコンバートすることを、含む。
スコア付けエンジン108
スコア付けエンジン108は、分析モデル(若しくは分析ワークフロー)をインポートし得るモジュールであり、ネットワークから及び他のシステムモジュールからデータを取り出す。分析モデルがインポートされると、スコア付けエンジンは、データのストリームを読むことができ、ストリーム内の個々のイベントに対して、一つ若しくはそれ以上の分析モデルを用いてイベントを処理し、スコア、警告及びメッセージ、更には関連情報を含む、アウトプットを生成する。スコア付けエンジン108、及び、スコア付けエンジン108と関連するデータフローを、図7、9、4に伴う記載にて以下より詳細に説明する。
前述のように、スコア付けエンジン108は、ネットワーク速度にてデータを統計の及び振る舞いのモデルでスコア付けし得るモジュールである。モデルは、履歴データから若しくはストリーミングデータから、オフラインで構築され得る。ある実施形態では、スコア付けエンジン108は、警告などの、メタデータデータやスコアを含む、スコア付けエンジンメッセージを発し得る。ある実施形態では、以下に詳細に説明するように、スコア付けエンジンはPFA準拠である。スコア付けエンジン108は、クラスタモデル、ベースラインモデル、ベイジアンネットワーク、若しくは回帰及び分類ツリーなどの、統計の、予測の、及びデータマイニングのモデルを用いて、データをスコア付けし得る。モデルは、履歴データに基づいてオフラインで構築され得る。モデルは、以下に詳細に説明するように、ストリーミング分析モデルであってもよい。
図4は、本開示のある実施形態に係るスコア付けエンジンを示すブロック図である。図4は、スコア付けエンジンへのインプット402、PFAドキュメント404、PFA実行エンジン406、分析モデルのための格納された状態情報408、モデル更新TIM410、及びアウトプット412を示す。スコア付けエンジンへのインプット402は、イベントのストリームであればよく、より一般的には、データレコードであればよい。スコア付けエンジン108は、PFA実行エンジン406を用いてインプット402を処理する。PFAは、分析のためのインプットが分析アウトプットを生成するためにどのように変換され統合されるか、を記載する言語である。PFA実行エンジンは、インプットをスコア付けエンジンへ取り入れて、PFAドキュメント404内に(本明細書では分析ワークフローと称される)処理及び手順に続くアウトプットを生成する。例えば、PFAドキュメント404は、分類及び回帰ツリーを記載してもよい。PFA実行エンジン406は、分類及び回帰ツリーへインプットを取り入れて、分類及び回帰ツリーのアウトプットを生成する。スコア付けエンジン108は、格納された状態情報を含み、この状態情報をPFAドキュメント404にて特定されるように更新する。ある実施形態では、分析処理を更新するために、スコア付けエンジン108は、新しいPFAドキュメント404をインポートする。
本開示のある実施形態では、スコア付けエンジン108内の分析処理は、一つ若しくはそれ以上のモデル更新TIMをスコア付けエンジン108へ送信することによっても更新され得、該モデル更新TIMは、モデル更新TIMにより特定されるように、PFAドキュメントの適宜のコンポーネントを更新する。前述のように、更新は、閾値への、若しくは、分析モデルの一部であるアルゴリズムの係数への、変更を含み得る。このタイプの更新は、本明細書では小更新と称しているが、スコア付けエンジンによるデータの処理を停止すること無く、データミッドストリームのストリームへ、スコア付けエンジンにより適用され得る。全体のPFAドキュメント404をスイッチアウトすることなどの、より大きい更新も可能である。
より一般的には、本開示のある実施形態のスコア付けエンジン108は、モデルインターチェンジフォーマットに基づくことができる。例示のモデルインターチェンジフォーマットは、PFA仕様内のセル及びプールによりサポートされるリード・コピー・アップデートポリシにより提供されるような、モデルによるデータレコードのスコア付けと同時の、モデル情報の更新を許容する仕様に、基づく。リード・コピー・アップデートポリシにより、PFAドキュメント404は、ドキュメントのあるコンポーネントの更新と同時に、スコア付けエンジンにより読み取りされ得る。本明細書のある実施形態に記載するように、略リアルタイムのスコア付けは、モデルの同時更新を伴うモデルを用いて、データの同時のスコア付けをサポートすることに関連する。より一般的には、本開示のための例示のモデルインターチェンジフォーマットは、分析モデルのアウトプットを渡すことをサポートする変換及び統合、他の分析モデルのインプットへの変換及び統合、変換及び統合による、分析モデル及びデータの分析処理を記載する仕様に基づく。
分散型分析プラットフォーム106
分散型分析プラットフォーム106若しくは分析クラウドは、大量のデータを分析して種々の分析結果を生成するために用いられ得る、分散型コンピュータプラットフォームである。分散型分析プラットフォーム106は、HadoopやMapRなどの分散型ファイルシステムと、若しくは、HBase、Accumulo、MapR−DBなどの非リレーショナル(例えば、NoSQL)データベースとの、両方を用いて、分析のための大量のデータを保持し得る。本開示のある実施形態では、分散型分析プラットフォーム106は、Sparkによりサポートされるもののような、MapReduce及び反復MapReduce計算のためのサポートを含む分散型コンピュータプラットフォームである。本開示のある実施形態の分散型分析プラットフォーム106は、ディスク上、メモリ内のいずれかの、若しくはディスク上とメモリ内の両方の、データによる反復計算を実行するためのサポートも、更に加えて、NoSQLデータベースのための、並びに、Hadoop、MapR、Spark、若しくは他の分散型コンピュータプラットフォームなどのシステム内の分散データと連動する他の専用アプリケーション及びツールのための、サポートも、含む。分散型分析プラットフォーム106は、RESTベースのAPIも含み、
これにより、種々のシステムコンポーネントは、データや情報を生成した分散型分析プラットフォームの範囲内での特定の分析、処理若しくはコンポーネントからは独立して、一様に、分散型分析プラットフォーム106内のデータ及び情報にアクセスし得る。
分散型分析プラットフォーム106は、分散型ESB116を介してセンサ102及び摂取アクタ104からデータを受信する。本開示のある実施形態では、分散型分析プラットフォーム106は、摂取アクタ104から直接にもデータを受信する。
分散型分析プラットフォーム106からの、複数のタイプのアウトプットがある。以下のものを含む。ESB116に送信され、ESB116からコントロールプレーンエンジン114に送信される、脅威情報メッセージ(TIM);(以下により詳細に説明するように)RTAE110に送信され、RTAE110から可視化エンジン、ダッシュボード及びモニタ112に送信されるデータの可視化を記載する、データ及びデータ構造;スコア付けエンジン108のための分析モデルを記載するのに用いられ得る他の言語に加えて、(以下詳細に説明するような)分析のためのポータブルフォーマット(PFA)で記載される、分析モデルを含む、分析ワークフロー、である。
分散型分析プラットフォーム106は、ネットワークデバイス、サーバ、及び他のデバイスからの、フローデータ(例えば、ネットワークフローストリーム及びデータファイル)、パケットデータ(例えば、PCAPファイル)、及びログファイルの、多数の収集から振る舞いモデルを、収集し、クリーンにし、統合し、及び構築する。環境は、稼動するのに数分から数時間若しくはより長くかかり得る、機械ベースの学習アルゴリズムのために、デザインされる。アウトプットは、振る舞いモデルを含み得る、分析ワークフロー、及び、(本明細書では分析プラットフォームメッセージとも称する)分散型分析プラットフォームTIMである。ある実施形態では、分析ワークフローは多数の区分されたモデルを含み、区分されたモデルの各々は論理セグメントと関連する。ある実施形態では、分析ワークフローは、多数の区分されたワークフローを含み、区分されたワークフローの各々は、論理セグメントと関連する。ある実施形態では、この環境は、新しい脅威のデータサイエンティスト及びサポートディスカバリ、並びに、他の環境のための分析モデルの生成のために、デザインされる。
分散型分析プラットフォーム106は、潜在的マルウエアの封じ込めのためのバーチャルマシンを含み得る、バーチャルマシンインフラストラクチャも含み得る。マルウエアはバーチャルマシンで実行され得、該バーチャルマシンはサイバーセキュリティフレームワークから分離される。ある実施形態では、バーチャルマシンは、リナックス(登録商標)コンテナを含む。
リアルタイム分析エンジン110
RTAE110は、ESB116及び分散型分析プラットフォーム106からデータを受信し、複数の機能を実行する。それら機能は、分散型メモリや、GPUなどの専用プロセッサを用いて、派生される、凝集される、及び変換されるデータの、略リアルタイムの計算を実行すること、ネットワークアクティビティ、企業体エンティティやユーザやフローの振る舞い、潜在的脅威、相関振る舞いなどの、略リアルタイムの可視化を形成すること、並びに、多重のスコア付けエンジン及び他のソースからのデータを処理することにより緩和作用に関する略リアルタイムの決定を形成することを、含む。緩和アクションに関する略リアルタイムの決定を形成することは、図10と図11に伴う記述にて議論する。ある実施形態では、分散型分析プラットフォーム106から受信するデータは、分析ワークフロー及び分散型分析メッセージを含む。ある実施形態では、RTAE110は、スコア付けエンジンからのスコア付けエンジンメッセージや、分散型分析プラットフォーム、ユーザ設定されたセッティング、及びサードパーティ分析システムの結果のうちの、少なくとも一つからの分析ワークフロー及びイベント処理ルールも、受信する。略リアルタイムの可視化は、表示のため、可視化エンジン、ダッシュボード、及びモニタ112に渡される。ある実施形態では、緩和イベントに関する略リアルタイムの決定は、コマンド及びコントロール(C2)メッセージ(例えば、緩和TIM)に構築され、ESB116に渡され、それらはコントロールプレーンエンジン114により処理され、続いて以下のような種々の緩和イベント若しくはアクションを採る。ポートを閉じること、パケットを修正すること、サブネットをブロックすること、一つ若しくはそれ以上のインターネットプロトコル(IP)若しくはIPの範囲をブロックすること、一つ若しくはそれ以上の内部の若しくは外部のIPをブロックすること、パケット若しくはフローの伝送をコントロールすること、サーバ及びワークステーションのオフラインの少なくとも一つを採ること、プロテクトされた画像から新しい可視化サーバと新しい可視化ワークステーションのうちの少なくとも一つを形成すること、サーバとワークステーションのうちの少なくとも一つと関連するアクションをブロックすること、などである。ある実施形態では、緩和アクションは、異常アクティビティと関連するエンティティに対する許可及びアクセス権を除去することも含み得る。許可及びアクセス権を除去することは、ネットワークアクセスをブロックすること、ネットワークデバイスへのアクセスをブロックすること、サーバへのアクセスをブロックすること、ワークステーションへのアクセスをブロックすること、及び、他のコンピュータデバイスへのアクセスをブロックすること、のうちの少なくとも一つを含み得る。ある実施形態では、RTAE110は、一つ若しくはそれ以上のスコア付けエンジンと共に単独のアプリケーションに統合される。
ある実施形態では、RTAE110は、リアルタイム分析のための、極めて多数の並列コンピュータスレッドを管理する、GPUベースの環境を提供する。RTAEデータベースは、洗練された分析のための、大規模のデータ処理タスクを略リアルタイムで稼動する全てのコンピュータアクタによっても、利用され得る。RTAE110は、可視化エンジン、ダッシュボード及びモニタ112で企業体のステータスを要約するリアルタイム統計エンジン、並びに、多重のセンサ102からのTIMを処理し、もしあれば適宜の緩和アクションを計算し、及び(スコア、警告、更新、緩和アクションなどを含む)適宜のTIMを送信するリアルタイムエンジンを、含む。RTAE110は、REST−ベースのAPIも含み、これにより、種々のシステムコンポーネントは、データ若しくは情報を生成したRTAE110内の特定の分析、処理若しくはコンポーネントとは無関係に、一様にRTAE110のデータ及び情報にアクセスし得る。データの量、及び要求される略リアルタイム計算により、本開示のある実施形態にて用いられるGPUなどの、大量のデータを並列で処理し得る専用プロセッサが、RTAE110で用いられる。
RTAE110は、脅威情報メッセージ(TIM)と称するコマンド及びコントロール(C2)メッセージを、サイバーセキュリティフレームワークの他のコンポーネントにも送信し得る。例えば、RTAE110は、分析、可視化及び警告を更新すること、コントロールプレーン及び分散型センサ更新のための緩和アクションなどの、広範囲のイベントベースのアクションを実行する。RTAE110により管理されるフローエージェントは同様に、パブリケーション及びサブスクリプションリクエスト、並びに、どのメタチャネルが特定のトピック、タイプ、及びコンセプトと関連するかを、有効にする、多種のエージェントのための情報を提供する。
本開示のある実施形態では、RTAE110は、一つ若しくはそれ以上の振る舞いモデルから送信される緩和TIMを生成する。ある実施形態では、TIMは、スコア付けエンジン108によりESB116に送信される。種々のTIMは、RTAE110により収集され、処理され、統合され、及び、別のモデルに入力され、このことは、新しいモデルからの結果に依存して、結果として緩和となり得る。ある実施形態では、RTAE110は、ESB116に亘って、一つ若しくはそれ以上の緩和エージェント210へ緩和TIMを通信し、緩和TIMは、ポートを閉じることなどの、特定の緩和アクションを採るインストラクションを含む。
図5は、本開示のある実施形態に係る、リアルタイム分析エンジンによりメッセージを処理して送信する方法を示す、フローチャートである。
ステップ502を参照して、TIMなどの、第1の一つ若しくはそれ以上のメッセージが、一つ若しくはそれ以上のスコア付けエンジン、分散型分析プラットフォーム若しくは他のシステムコンポーネントから、RTAE110により受信される。本明細書にてより詳細に記載するように、第1のメッセージは、スコア付けエンジン若しくは分散型分析プラットフォームにより生成されるTIMを含み得る。TIMは、警告と、若しくは、PFAドキュメントの小さい修正を作成することと、関連するデータを含み得る。RTAE110は、分散型分析エンジン及び分析ワークフローからの分析ワークフロー、並びに、イベント処理ルールも受信し得る。ある実施形態では、分析ワークフロー及びイベント処理ルールは、分析モデル若しくは分析ワークフローと関連する閾値を特定し得る。例えば、分析ワークフロー及びイベント処理ルールは、スコアが或る閾値を超える或る分析ワークフローと関連する全てのアクティビティは、異常アクティビティとして分類される、と特定し得る。本明細書に記載するように、異常アクティビティは、偵察、セキュリティ上の弱点を突く手段、侵入、情報漏洩、インサイダ脅威、及び攻撃を、含み得る。
ステップ504を参照して、RTAE110は、分析ワークフロー、並びに、分析ワークフロー及びイベント処理ルールを用いて、受信したTIMを処理する。ある実施形態では、エンティティ情報がTIMから検索され、関連する状態情報がRTAE110から検索され、更に、状態情報が、受信したTIMから抽出される情報で更新される。ある実施形態では、格納された状態情報は、センサ、スコア付けエンジン、及び分散型分析プラットフォームのうちの、少なくとも一つから従前に受信されたメッセージと関連付けられる。
ステップ506を参照して、RTAE110は、処理に基づいて以下のアクションを採り得る。
i)ブロードキャストメッセージを伝送すること。
ii)更新されるモデルが検出率を向上させ得る、若しくは現モデルの偽陽性率を減少し得ると、RTAE110が判別すると、モデル更新をスコア付けエンジンに伝送すること。
iii)受信したTIMが侵入若しくは推定侵入、又は他の異常アクティビティを示すと、RTAE110が判別すると、コントロールプレーンエンジン及び緩和エージェントを用いて緩和アクションを伝送すること。
iv)分析ワークフローの変更が閾値を超えると、分析モデルを伝送すること。
v)更なるTIMを受信することを待機すること。
ある実施形態では、RTAE110の処理は、何らかのアクションが採られるべきかどうか判別するための、更新された状態情報を分析することも、含み得る。ある実施形態では、RTAE110は、スコア付けエンジン、分散型分析プラットフォーム、及び複数のセンサから、最初に第1のアウトプットを受信した後に、ブロードキャストメッセージ、緩和メッセージ、及びモデル更新メッセージのうちの一つを送信し得る。ある実施形態では、RTAE110は、緩和メッセージ、及びモデル更新メッセージのうちの一つを送信する前に、スコア付けエンジン、分散型分析プラットフォーム、及び複数のセンサから複数のアウトプットを受信することを、待機する。
前述のように、RTAE110は、処理に基づいて緩和TIM、モデル更新TIM、及び分析モデルのうちの一つを伝送し得る。例えば、ポートと関連するセンサ及びスコア付けエンジンにより検出される、ポートにおける推定侵入を示す、RTAE110により受信されるTIMは、結果として、送信されるTIMとなり得、これによりポートを閉じることとなる。同時に、RTAE110は、同じ受信されたTIMに基づいて、侵入、若しくは侵入に関する効果をよりよく説明する、スコア付けエンジン内のパラメータを変更するモデル更新を、全てのスコア付けエンジンに送信し得る。RTAE110が、スコア付けエンジン若しくは他のシステムコンポーネントが変更の閾値量よりも重要な変更を要求すると、判別するならば、RTAE110は、モデル更新の代わりに、更新された振る舞いモデルを送信し得る。ある実施形態では、RTAE110は、ブロードキャストメッセージも送信し得、該ブロードキャストメッセージは、サイバーベントメッセージと警告メッセージのうちの、少なくとも一つを含み得る。
コントロールプレーンエンジン114
コントロールプレーンエンジン114は、モニタすること、構成すること、並びに、スイッチ、ルータ及びファイヤウオールを含むネットワークデバイスを再構成することに、関連する。コントロールプレーンエンジン114は、緩和アクションと採ること、緩和エージェントと通信すること、コントロールプレーンに関する警告を送信すること、並びに、可視化エンジン、ダッシュボード、及びモニタ112がコントロールプレーンインフラストラクチャの状況認識を提供できるようにデータを供給することの、責任を負う。この文脈での状況認識は、コントロールプレーンのエンティティのサマリ、コントロールプレーン上の現在のトラフィック、コントロールプレーン上の通常のトラフィック、もしあれば、現在のトラフィックと通常のトラフィックとの間の偏差、並びに、通常のアクティビティ、潜在的に悪いアクタに関するアクティビティ、若しくは、関連する振る舞い、に関する他の情報を提供する、情報のことである。ある実施形態では、コントロールプレーンエンジン114は、RTAE110、スコア付けエンジン108、及び分散型分析プラットフォーム106から、緩和TIMを取得する。
コントロールプレーンエンジン114は、リアルタイムコマンド及びコントロールメッセージを生成するC2計算アクタを含む。予め計画されるアクションは、特定のIPをブロックすること、疑わしいワークステーションを分離すること、若しくはパケットフローをリダイレクトすることなど、コントロールプレーン及びデータプレーンの全体に亘って、管理される。
コントロールプレーンエンジン114は、DNS、DHCP、及びIPアドレスマネジメント(DDI)140を含む。DDIモジュール140は、グローバルデバイスグラフ、コントロールフロー内部のトラストプロトコルID、並びに、デバイス及びフローフィンガプリントを、含む。グローバルデバイスグラフは、全てのネットワークデバイス及びアクティビティの視覚表示を含む。コントロールフロー内部のトラストプロトコルIDは、パケット内部の暗号化されたストリングを含む。デバイス及びフローフィンガプリントは、コントロールプレーンにより管理され、ダイナミックホスト接続プロトコル(DHCP)を利用してネットワーク上で全てのデバイスを一意的にフィンガプリントする。
他のシステムコンポーネント
他のシステムコンポーネントは、全てのコンポーネントによりアクセス可能であるレジストリ(図示せず)を含む。ある実施形態では、レジストリは、共通して用いられるサービスについての高度に利用可能なデータ、データ構造、メッセージフォーマット、及び、システムの開発及び動作を簡易化する他の情報を、含む。
振る舞いモデリング及びリアルタイムスコア付け
本開示のある実施形態では、振る舞いモデルは、サイバー侵入の可能性、(外部のアクタでも「インサイダ」でも)悪いアクタの存在、及び、サイバーアナリストにより手動の試験でも緩和デバイスの自動アクションでも、アクションを保証する他の振る舞いを、定量化するのに利用される。
本開示では、振る舞いモデルは、統計、データマイニング、若しくは他のタイプのアルゴリズムのことであり、該他のタイプのアルゴリズムは、インプット(若しくは「イベント」)を採り、インプットを処理して特性を計算し、特性を処理してアウトプット(「スコア」)を計算する。本明細書に記載のイベントは、通常、一つずつ処理される、一時的に順序付けされるインプットのストリームのことである。
図6A〜図6C、図7及び図8A〜図8Cは、本開示のある実施形態に係る、振る舞いモデルによりイベントが表され得る様々なやり方を示すシステム図である。
リアルタイム分析若しくは略リアルタイム分析のために、イベントが、イベント毎に表され、且つイベント毎にスコア付けされ、種々のやり方でアウトプットを生成する。図6Aは、本発明のある実施形態に係る、インプット若しくはイベントの処理を直接示すフローチャートである。データ属性602は、特性604を生成するのに用いられる。ある実施形態では、特性604は、データ属性を変換若しくは統合することにより形成される。例えば、データ属性がフローレコードに対応するならば、フローが短期間フローであるとき、例示の特性は1に等しいバイナリ変数を含み得、そうで無いとき例示の特性は0に等しいバイナリ特性を含み得る。特性604は次に、モデル606により処理されてモデルアウトプット608を生成する。図6Bは、本開示のある実施形態に係る、一つ若しくはそれ以上の(本明細書では状態ベクタとも称する)特性ベクタを個々のイベントと関連付けることを示すフローチャートである。イベントが受信され(610)、データ属性がイベントに対して判別される(612)。データ属性は、イベントに対する特性を生成するのに用いられる(614)。新しいイベントが処理されると、関連する格納された特性ベクタ若しくは特性ベクタは、イベントからイベントへ持続性があり、検索されて新しいイベントからのデータで更新される(616)。特性ベクタが更新された(618)後、それは振る舞いモデルへのインプットとして用いられて(620)アウトプットを生成する(622)。個々のイベントで更新される特性ベクタの例は、(例えば、10秒の移動時間ウインドウの範囲内の)特定時間のウインドウでの正規化数のフローである。図6Cは、本開示のある実施形態に係る、分析モデルの前処理638と後処理640を示すフローチャートである。データ前処理638は、テータを変換若しくは統合し、特性ベクタを作成し、更に、データを分析モデル630に渡す前に、所望のように他の処理を実行する。後処理640は変換して統合し、更なるアウトプットを計算し、更に、所望のように他の処理を実行する。後処理の例として、後処理モジュールは、種々の統計をまとめて、評価し、統計的に有効であると考えられる十分なイベントをモデルが見たかどうか判別する。統計的に有効であれば、スコアは送信される。そうでなければ、スコアは抑えられる。図6A、図6B及び図6Cに示す方法に対して、多数のモデルが使用可能であり、図8A、図8B及び図8Cに付随する記載にて以下により詳細に述べるように、一つ若しくはそれ以上のモデルのアウトプットは、一つ若しくはそれ以上の他のモデルのインプットとして用いられる。
分析におけるデータのバッチ処理に対して、インプットは、ファイルに若しくは多数のファイルに、集結され、ファイルは処理されて分析モデルと関連するアウトプットを生成する。上述のように、サイバーアプリケーションで典型的であるデータのサイズに対して、分散型分析プラットフォームが、分析処理のために用いられる。
イベントを処理してアウトプットを生成するのに用いられるモデル自身は、様々なやり方でも生成され得る。図7及び図9にて、以下に示すように、分散型分析プラットフォーム106は、モデルへのインプットを処理して分析モデルを生成するのに用いられ得る。本開示のある実施形態では、モデルは、PFAなどの、モデル交換フォーマットで表現され、モデル交換フォーマットでのモデルは、分散型分析プラットフォームを用いるバッチ処理にて、又は、スコア付けエンジンを用いるストリーミングの方法で、スコア付けイベントに対して、用いられ得る。本開示の実施形態の一つでは、PFAモデルは、二つの他のシステムコンポーネントによっても、つまり、RTAE及びスコア付けエンジン自身によっても、生成され得る。
図7は、本開示のある実施形態に係る、分析モデルを生成するためのネットワークトラフィックの処理を示すシステム図である。図7は、ネットワークトラフィック702、イベントレコード及びファイルビルダ704、PFAモデルリポジトリ706、パケットプロセッサ708、スコア710、イベントデータのバッチ分析からのインサイト712、イベント720、インポートされたPFAモデル722、強化ネットワークフロー及びPCAPファイル724、エクスポートされたPFAモデル726、センサ102、分散型分析プラットフォーム106、及びスコア付けエンジン108を、示す。
ネットワークトラフィック702は、センサ102により収集される。センサ102はパケットプロセッサ708を含み、該パケットプロセッサ708は、回線速度(即ち、データがネットワークを介して移動している速度)にてパケットデータを処理するように設計されている。パケットプロセッサ708は、高度に最適化されたソフトウエアスタックを、及び、本開示のある実施形態では専用ハードウエアを、用いて、回線速度でパケットデータを処理することができる。ある実施形態では、ゼロコピー技術が、パケット処理実行を改善するために用いられる。パケット処理は、デスティネーション及びソースポート及びIP、プロトコルフラグ、及び、TCPパケット、UDPパケット等の他の属性などの、パケットの属性を抽出すること、具体的プロトコルを特定するために抽出された属性の組み合わせを調べること、並びに、ダイナミックホスト構成プロトコル(DHCP)データ、ジオロケーションデータなどの、他のデータで情報を強化することを、含む。同じソース及びデスティネーションIP及びポートに対応する多数のパケットからの情報は、ESB116を介してスコア付けエンジン108に渡されるフローレコードをイベントレコード及びファイルビルダ704により生成するように処理される。本開示のある実施形態では、単独の若しくは多数のパケットからの情報は、ESB116を介してスコア付けエンジン108に渡される他のタイプのイベントを生成するように処理される。例えば、本開示のある実施形態では、個々のパケットは、スコア付けエンジン108により個別にスコア付けされ得る。一つ若しくはそれ以上のプロトコルタイプに対応するものなどの、選択されたパケット、又は他の属性若しくは特性は、スコア付けされ得る。又は、パケットの組み合わせはスコア付けエンジン108により処理され得る。多数のパケットは、又、イベントレコード及びファイルビルダ704により処理され、分散型分析プラットフォーム106に渡されるパケットのファイル(PCAPファイル)を生成する。本開示のある実施形態では、センサ102は、センサ102は、エンティティエンジンと共同してデータを処理する。エンティティエンジンの役割は、IPアドレスがDHCPを用いる企業体環境の範囲内でしばしば変更するので一意的なエンティティ識別子でフローイベント及びPCAPファイルを強化すること、である。
センサ102は、リアルタイムのスコア付けのために、ESB116に亘ってイベント720をスコア付けエンジン108に伝送する。ある実施形態では、スコア付けエンジン108は、多数のモデルの記述、モデルへのインプットを前処理する方法、モデルのアウトプットを後処理する方法、イベントを区分されたモデルに送信する方法などを含む、PFAモデルリポジトリ706からPFAファイル722を読み取る。ある実施形態では、インポートされたPFAファイル722は、分析ワークフローを表現できる。ある実施形態では、分析ワークフローは、多数の区分された分析ワークフローを含み、各々は論理セグメントと関連する。例えば、図8Aは、多数の分析モデルのアウトプットがどのように組み合わされて単独のアウトプットを生成し得るかを示し、図8Bは、一つの分析モデルのアウトプットが二つ若しくはそれ以上の他の分析モデルへのインプットとしてどのように用いられ得るかを示す。分析モデルは、クラスタモデル、ベースラインモデル、分類及び回帰モデル、ニューラルネットワーク、ランダムフォレスト、ベイジアンモデル、並びに、当該分野のエキスパートに周知の他の統計及び機械学習分析モデルのいずれかを、含むが、それらに限定されない。スコア付けエンジン108は、個々のイベントのスコアを変換し、スコアを含むTIM、イベント通知若しくは警告通知、モデル更新TIM、及び、緩和TIM710を含む、多数のタイプのTIMを作成する。ある実施形態では、スコア付けエンジン108は、受信したイベント情報から、更なるイベント特性を構築し得る。ある実施形態では、センサ102は、RTAE110によりコントロールされ、該RTAE110は、収集されたパケット及びフローのタイプ、イベント及びフローがセンサにより処理される方法を、変更し得る。
センサ102は、又、ネットワークフローレコード及びPCAPファイル724を分散型分析プラットフォーム106に伝送する。センサにより伝送されるデータは、観察されるエンティティについてのデータ及びメタデータ、ネットワークトラフィックについてのデータ及びメタデータ、ユーザに関するデータ及びメタデータ、ワークステーション及びサーバについてのデータ及びメタデータ、ルータ及びスイッチについてのデータ及びメタデータ、外部ネットワークエンティティについてのデータ及びメタデータ、並びに、ネットワークと相互作用する内部及び外部デバイスについてのデータ及びメタデータのうちの、少なくとも一つを加えることにより、強化され得る。分散型分析プラットフォーム106は、統計的アルゴリズム、機械学習アルゴリズム、及び、スコア付けエンジンにより実行され得る分析モデルを構築する他のアルゴリズムを、用いることを含む、多数の方法で、受信した情報を処理する。前述のような多数の方法での、受信した情報の処理の例は、イベントデータ、フローデータ、及び、本開示のいずれかで言及する他のデータのバッチ処理である。このように処理するデータの分析により、異常な若しくは疑わしい振る舞いの存在などの、サイバー振る舞い712についてのインサイトとなり得る。これらのモデルは、モデル交換フォーマット、例えば、PFAモデルリポジトリ706へのPFAモデル、としてエクスポートされ得る。PFAモデルは、スコア付けエンジン108により受信され、PFAモデルの現存の収集に加えられ、このことにより、イベントを処理するための、スコア付けエンジン108によりアクセスされるPFAドキュメントの収集が変更される。分散型分析プラットフォーム106は、又、バッチ712内のイベントをスコア付けし得る。
本開示のある実施形態では、インプットは、センサ102により生成されるネットワークフローレコード、センサ102により生成されるパケットレコード、ネットワークデバイス、ワークステーション、サーバ、若しくは他のシステムからのログファイルからセンサ102により抽出されるレコード、又は、或る他のメカニズムを介して抽出されるレコードで、あればよい。
本開示のある実施形態では、インプットは、ネットワークデバイス、ユーザなどの、エンティティと関連するイベントであり、また、インプットは、そのエンティティのための持続情報を格納する一つ若しくはそれ以上の状態ベクタを検索し、イベントからの情報を用いて状態ベクタを更新し、続いてモデルへのインプットとして更新状態ベクタを用いることにより、処理される。
本開示のある実施形態では、図2に関して前述するように、一つ若しくはそれ以上のセンサ102が、保護される企業体からデータを収集して処理し、イベントベースのレコードを生成し、イベントベースのレコードをシステムのESB116に渡し、並びに、一つ若しくはそれ以上のスコア付けエンジン108が、ESB116からイベントベースのレコードを読み出し、及び、イベントベースのレコードを処理して種々のアウトプットを生成する。
本開示のある実施形態では、ネットワークデータが処理される際に回線速度にてサイバー振る舞い、及びサイバー振る舞いでの変更を検出するために、分析モデルがスコア付けエンジン108内で展開される。スコア付けエンジン108内で展開される分析モデルは、サイバーネットワーク内での多数の様々な使用ケースのために利用され得る。例えば、スコア付けエンジン108内の分析モデルは、ネットワークデバイス、ワークステーション、サーバなどの予期せぬ変更を検出するのに用いられ得る。予期せぬ変更は、例えば、ネットワーク上のデバイスの通信パターン(「関心のコミュニティ」)の変更によるものを含む、複数の方法で規定され得る。この場合、ベースラインモデルを含む、様々なタイプのモデルが、変更を検出するのに用いられ得る。変更を検出するのにベースラインモデルを用いることは、インサイダ若しくは側方運動脅威を検出するのにも採用され得る。スコア付けエンジン108は、ソースに亘って疑わしい振る舞いを蓄積するのにも用いられ得る。例えば、或るフローは、或る国から夜に発生し得る。これらのフローの一部が、失敗したログイン試行と関連することも見出されると、これらのフローの全てに関連するリスクが引き上げられる。リスクスコアが閾値を渡すと、警告が送信される。
本開示のある実施形態では、多数のモデルが存在し、様々なやり方で組み合わされ得る。図8Aは、本開示のある実施形態に係る、モデルのアセンブルを示すシステム図である。分析モデル1〜n(802〜804)は組み合わされ、単独のアウトプットスコア806を得る。分析モデルは、平均化、投票、若しくはモデルを組み合わせる任意の方法を用いて組み合わされ得る。例えば、投票は、(単独のインプットに対応する)多数のモデルからカテゴリのアウトプットを組み合わせるのに用いられ、その場合、モデルのアウトプットとして最も頻繁に発生するカテゴリが、アンサンブルのアウトプットとして選択される。図8Bは、本開示のある実施形態に係る、モデルの合成若しくは連鎖を示すシステム図である。分析モデル1(810)は、分析モデル2a(812)及び分析モデル2b(814)にインプットとして供給される。分析モデル2a(812)及び分析モデル2b(814)のアウトプットは、分析モデル3(816)へのインプットとして用いられ得る。ある実施形態では、分析モデル1(810)、分析モデル2a(812)、分析モデル2b(814)及び分析モデル3(816)は、どんなモデルでもよい。例えば、モデルは、モデルの特定のサブセットに限定されない。モデルは、任意の構成で共に連鎖し得る。図8Cは、本開示のある実施形態に係る、区分されたモデルを示すシステム図である。個々のモデル820・・・822は、区分を識別する一意的なキーと関連付けられる。モデルは、一般に異なる区分間で異なるので、同じインプットイベントは、種々の区分と関連して、種々の異なるモデルに対応して、多数の異なるアウトプットを作成する。
本開示のある実施形態では、分析のためのポータブルフォーマット(PFA)が用いられる。前述の多数のモデルのうちの三つのタイプをサポートするからであるが、予測モデルマークアップ言語などの、他のモデル交換フォーマット(MIF)はモデルの合成の限定されたタイプしかサポートせず、例えば、PFAによりサポートされるような、一つ若しくはそれ以上のモデルのアウトプットの、一つ若しくはそれ以上の他のモデルのインプットへの任意の共の連鎖はサポートしない。
本開示のある実施形態では、一つ若しくはそれ以上のスコア付けエンジン内にインポートされるMIFドキュメントをエクスポートするモデル作成者が用いられる。システムのある実施形態では、MIFドキュメントは、ESB116に亘ってスコア付けエンジン108に送信され、ある実施形態では、MIFドキュメントは、分散型分析プラットフォーム106をスコア付けエンジン108にリンクする帯域外ネットワークを含む、別のメカニズムを介してスコア付けエンジン108にロードされる。ある実施形態では、MIFドキュメントは、PFAドキュメントである。
本開示のある実施形態では、モデルのアウトプットである、複数の様々なタイプのTIMが在る。これらは、
i)将来の潜在的分析のために格納されるインプットイベントと関連するスコア、
ii)更なる処理のために格納されるインプットイベントと関連するスコア、
iii)モデル更新TIM、及び、
iv)緩和TIM
を含む。
振る舞いモデルを更新すること
図9は、本開示のある実施形態に係る、サイバーセキュリティフレームワーク内のコンポーネント間のデータの流れを描写するフローチャートである。
前に簡単に、以下にてより詳細に記載するように、RTAE110、並びに、コントロールプレーンエンジンモジュール及びエージェントは、緩和アクションを採り得る。例えば、スコア付けエンジン108内の分析モデルは、四つのやり方の一つで更新され得る。第一に、新しい分析モデルが、バッチ分析ジョブで作成され、モデル交換フォーマット902にエクスポートされ得る。本開示のある実施形態では、バッチ分析ジョブは、分散型分析プラットフォーム106内で稼動し、PFAとしてエクスポートされる。バッチ分析ジョブは、インプットとして、ネットワークフローデータ、PCAPデータ、及び他のシステムやセンサからのデータなどの、センサ102からのデータを用いる。第二に、新しい分析モデルが、RTAEを用いて略リアルタイムで作成され、モデル交換フォーマット904でエクスポートされ得る。本開示のある実施形態では、RTAE110は、PFAとしてモデルをエクスポートする。第三に、モデル自身の変更が、モデル更新TIM410を介して為され得る。モデル更新TIM410は、特定の値、変数、及びPFAドキュメント内のPFA要素が全体のPFAドキュメントを置換すること無く更新され得るような、情報を含み得る。PFAドキュメントはサイズが大きいことがあるので、RTAE110によるTIM及び他の情報の処理結果であるモデル更新TIMを用いて、特定の値及び要素を更新できることは、データが処理される速度に寄与するものである。第四に、イベントが処理されると(908)(エンティティに関連する状態情報に対する)パラメータ若しくはモデルの他のコンポーネント914が更新される、モデルがストリーミングモデルである場合に、分析モデル自身のパラメータが更新される。この文脈でのストリーミングモデルは、スコア付けエンジンを介して通過する際に一度だけ処理されるデータから構築される分析モデルである。これは、前述のような、バッチ分析により構築される分析モデルと対照的であり、該バッチ分析では、データレコードは、分散型分析プラットフォーム106と関連するディスクなどの、ディスクに持続するものであり、特定のアルゴリズム若しくは分析が要求する回数だけ、読み出されて処理され得る。
前述のように、ある実施形態では、センサ102は、ネットワークトラフィックからインプットイベントを受信する。インプットイベントのタイプは、ネットワークパケットからのイベント、ネットワークフローからのイベント、モニタリングシステムからのイベント、ログファイルからのイベント、並びに、他のシステム及びアプリケーションからのイベントを、含み得る。更に前述のように、スコア付けエンジン108のアウトプットは、TIMを含み得る。ある実施形態では、TIMは、将来の潜在的分析のために格納されるイベントと関連するスコア、更なる動的処理のために送信されるイベントと関連するスコア、モデル更新TIM、及び、緩和TIMを、含み得る。
本開示の要素は、多数のスコア付けエンジン108、多数のセンサ102、若しくは、システムの他のコンポーネントが同時にメッセージをESB116に送信し、スコア付けエンジン108が同時に更新され得る、ということである。本開示のある実施形態では、多数のスコア付けエンジン108があり、該多数のスコア付けエンジン108はモデル更新TIMを読み取る。言い換えれば、多数のセンサ102が用いられ、モデル更新TIMがESB116に亘って送信されてスコア付けエンジン108を同時に更新し得る;単独のセンサ102がモデル更新TIMを送信して多数のスコア付けエンジン108を同時に更新し得る;又は、多数のセンサ及び多数のスコア付けエンジン108がモデル更新TIMを送信して、多数のセンサ102を用いて多数のスコア付けエンジン108を同時に更新し得る。ある実施形態では、本明細書に記載のシステムは、多数のセンサ102に接続する一つのみのスコア付けエンジン108を含む。
本開示のある実施形態では、モデル更新TIMがスコア付けエンジンによるイベントのスコア付けと同時に処理されて、それ(PFAドキュメント)をモデル更新TIMにより更新するためにスコア付けエンジンを停止する必要がないように、スコア付けエンジン108はデザインされる。PFAスタンダードが上述のように同時性をサポートする言語コンポーネントを含むので、スコア付けエンジン108がイベントをスコア付けするのと同時にPFAドキュメントへの変更を処理するという、この能力が存在する。本開示のある実施形態では、スコア付けエンジン108の実装は、PFAスタンダードによりサポートされる種々の同時要素をサポートする。
RTAE110は、スコア付けエンジン108及び他のシステムモジュールからのTIM及びイベントを処理し、緩和アクションを判別する。緩和アクションを含むTIMは、緩和エージェントに送信され、該緩和エージェントは緩和アクションを実行し、ある実施形態では、該緩和エージェントはコントロールプレーンを用いて、ルータやスイッチなどの、コントロールネットワークデバイスを変更する。ある実施形態では、RTAE110、スコア付けエンジン、及び関連するシステムモジュールは、帯域外システムネットワークに亘って稼動するESB116上に、存在する。
本開示のコンポーネントは、様々なやり方で組み合わせられ得る多数のモデルを用い得る分析フレームワークのためのサポートである。様々なやり方は以下のものを含む。
i)区分されたモデル。該区分されたモデルではインプットが個別のモデルの一つ若しくはそれ以上に送信され、個々のモデルは、特定の期間、特定のネットワークセグメントなどの、一つ若しくはそれ以上の制約と関連づけされる。
ii)アンサンブル。該アンサンブルでは、モデルへのインプットが共通であり、二つ若しくはそれ以上のアウトプットが単独のアウトプットに組み合わされる。
iii)モデルの構成。該構成では、一つ若しくはそれ以上のアウトプットが、別のモデルのインプットとして用いられる。
ある実施形態では、モデルは、新しい振る舞いや、モデル技術での向上などの、変更された条件を考慮に入れるように、周期的に再構築される若しくは再トレーニングされる必要がある。新しいモデルが作成されると、新しいモデルは、(例えば、チャンピオン−チャレンジャ方法を用いて)勝者を選ぶために、現在のモデルに対して対比され得る。
ある実施形態では、処理は、人間が読み取り可能であり聞き取り可能である。モデルは又、徐々に更新される。このことにより、モデルは生成に移行され、十分に有効且つ適宜の履歴のトレーニングデータを待機するのでは無く、生のデータから構築され得る。
既に述べたTIMのタイプに加えて、本開示の重要なコンポーネントは、外部のTIMの使用である。外部のTIMとは、システムのインスタンスを採用するか、若しくは、本開示に記載のシステムにより用いられるTIMと相互運用し得るTIMを生成する他のシステムのインスタンスを採用するかの、いずれかである、他の企業体により、企業体の外部で生成されるTIMのことである。
外部のTIMは前述のように稼動するが、以下のような例外がある。本開示に記載するシステムの他のインスタンスに対応する外部のTIMは、それらを生成した企業体の識別情報を含まず、その代わりに、本開示に記載のシステムを稼働する二つ以上の企業体間で共有され得る、外部IP、PFAドキュメントに対する新しい閾値やコンポーネント、新しい後処理のルールなど、についての情報などの情報を、含む。
本開示のある実施形態では、外部のTIMは、第1の企業体のRTAE110により作成され、第1の企業体から第2の企業体の渡される前に暗号化され、第2の企業体により復号化され、第2の企業体のRTAE110に渡される。第2の企業体のRTAE110により受信された後、外部のTIMは、内部のTIMが処理されるのと同様に、処理される。
外部のTIMは、それらを受信する企業体のRTAE110により自動的に処理され得、企業体間で共有される他のタイプの脅威情報とは異なり、手作業で処理されるようにはデザインされない。
本開示のある実施形態では、外部のTIMは、外部のTIMを共有する種々の企業体により実現されるコンベンション及びスタンダードを用いて、他のシステムにより生成され得る。例えば、TIMは、企業体内部での横方向の移動と、若しくは企業体からのデータの引き出しと、関連するもののような、或るタイプの警告の対する閾値を変更する情報を含み得る。外部のTIMを受け容れて送信する一つの企業体が、これらのタイプの一つの脅威を検出すると、それ(一つの企業体)は、外部のTIMを受け容れる他の企業体に送信され得る、外部のTIMを自動的に生成し得、該他の企業体は続いて、外部のTIMを処理し得、第1の企業体により観察される攻撃に対する閾値を下げるアクションを採り得る。
ストリーム分析
本開示のある実施形態では、ストリーム分析が、スコア付けエンジン108内部で用いられ、モデルによりスコア付けされるエンティティと関連する状態のみを更新することに対比して、モデルのパラメータ、モデル内で用いられる特性、若しくはモデル自身の構造を更新する。本開示のある実施形態では、第1のスコアが後処理にて受信されると、種々の統計が蓄積されて評価され、モデルが、統計的に有効であると考えられる十分なイベントを見たかどうかを判別する。統計的に有効であれば、スコアは外に送信され、そうでなければ、スコアは抑制される。
例えば、モデル内の一つ若しくはそれ以上の特性と関連する分布についての変数若しくは他の統計属性が、計算され得、これらの統計値が閾値を下回ると、スコアはモデルにより発せられ得る。
サイバー分析に対するマイクロセグメント
ある実施形態では、企業体は、企業体と相互作用する内部及び外部のエンティティを含む、独立してモデル化されモニタされ及び緩和され得る、論理セグメントに、分割され得る。論理セグメントは、本明細書ではマイクロサイバーセグメントとも称する。以下に記載するように、個々の論理セグメントは、
i)分析モデル、分析モデルのセット、若しくは、分析ワークフローのうちの、少なくとも一つ;
ii)論理セグメント内部のアクティビティについての、インプットの一つ若しくはそれ以上のソース(例えば、タップポイント);及び、
iii)論理セグメント内部で発生する異常アクティビティのインパクトを緩和するための、アクションのセット
と、関連し得る。
ある実施形態にて本開示は、数千から数十万の若しくはそれ以上の、マイクロサイバーセグメントを利用する。本開示のある実施形態では、企業体をマイクロサイバーセグメントに分割する様々なやり方が用いられ、対象のサイバーの振る舞いに依存して、分析モデルが用いられ、緩和が用いられる。言い換えれば、ある実施形態では、様々な、オーバラップすることも多い、マイクロサイバーセグメントが同時に用いられる。
マイクロサイバーセグメントは、一つ若しくはそれ以上のディメンジョンを用いて、企業体を分割することにより、規定される。ディメンジョンは、IPやネットワークセグメントを含むネットワークの属性;デバイスのタイプなどを含むモデル化されたデバイスの属性;特定の時間ウインドウの間のフローの数や、一つのデバイスが別のデバイスと通信する際に形成されるグラフの濃度などの、ネットワワーク若しくはデバイスの特性;用いられるプロトコルのタイプなどの、デバイスに関連するフローの特性;ユーザのタイプやユーザの役割などを含む、ネットワークと相互作用する内部の及び外部のエンティティの属性及び特性;時間、曜日などの時間次元、を用いて規定される。
マイクロサイバーセグメントは、一つのディメンジョンを用いて、そのディメンジョンを様々な領域に分割して様々なセグメントを形成することにより;又は、二つ若しくはそれ以上のディメンジョンの積を採り、個々のディメンジョンを分割してマルチディメンジョンのセグメントを形成することにより、形成され得る。
様々なセグメントへの分割が為されると、そのセグメントのエンティティと関連するデータに対する独立の分析モデルが計算される。これを為すため、ある実施形態は、そのセグメントと関連する、エンティティ、ユーザ、若しくはフローのための関連データをモニタするセンサを使用して、データを収集して処理する。
マイクロサイバーセグメントをモニタリングしてモデル化することに加えて、そのセグメントのための、一つ若しくはそれ以上の緩和アクションが規定される。緩和アクションは、スイッチ及びルータが最早データをそのセグメントのエンティティに送信しないように、そのセグメントと関連するエンティティをブラックリスト化すること;そのセグメントのエンティティと関連するポートをブラックリスト化すること;セグメントへ若しくはセグメントから、流れるデータを修正すること;セグメントへの若しくはセグメントからの、トラフィックを再方向付けすること;セグメントのデバイスと関連するエンティティをクリーンインストールから再スタートすること;エンティティのセキュリティを増すために可視化技術を用いること若しくはターゲット技術を移動すること、などを、含む。
適宜の区分に関して決定するための基準の一つは、セグメントが分析モデルによりモデル化され得るそれらのサイバー分析振る舞いにて十分に一様であるセグメントを形成することである。例えば、セグメント内のモデルの一つ若しくはそれ以上の特性若しくは他のコンポーネントと関連する分布についての変数若しくは他の統計属性が、閾値を下回り、更に経時的に安定するまで、セグメントは分割され得る。ある実施形態では、分割は、ネットワークの分割、ネットワーク上のトラフィックの分割、ネットワーク上のユーザの分割、ネットワーク上のデバイスの分割、サードパーティデータを含む他のデータに基づく分割、並びに、ネットワーク、ネットワーク上のトラフィック、ネットワーク上のユーザ、ネットワーク上のデバイス、及び、サードパーティデータに、関する複数の分割の少なくとも一つと関連するデータを、含み得る。ある実施形態では、一つ若しくはそれ以上の分割は、別の分割とオーバラップし得る。
本開示のある実施形態では、個々のマイクロサイバーセグメントと関連する分析モデルは、PFAなどのモデル交換フォーマットで表され、マイクロサイバーセグメントが回線速度にてモニタされ緩和イベントが、イベントがスコア付けエンジンによりスコア付けされるのと略リアルタイムで送出され得るように、スコア付けエンジンは用いられる。
仮想環境を用いてターゲット防御を移動させる
ある実施形態では、RTAE110は、対応する仮想ネットワークを含む仮想環境を、作成し、管理し、及び解体するためにマイクロサイバーセグメントと統合される仮想防御モジュール(VDM)を含む。仮想ネットワークは、図3にて、前述するようなI及びIからIへの経路情報を含む、これらの仮想環境と関連付けられる。仮想防御モジュール150は、IDIとIDIを受信する。前述のように、IDIはファイヤウオールの外部で受信するデータを含み、IDIはファイヤウオールの内部で受信するデータを含む。ある実施形態では、IDは、サイバーセキュリティフレームワーク内部の全てのネットワーク及びデータパケットに対する、暗号化された、不変の、グローバル一意IDであり、該グローバル一意IDにより、マシンは、「疑わしい」アクティビティから「許容される」アクティビティを一意的に分離することができる。IDにより、現実世界の環境と仮想世界の環境が並列化され、それらの管理、視覚化、分析、警告などに加えて、同時に動作することができる。IDにより、一意的ベースライン及び分析が、全てのパケットの処理及び利用履歴を通してずっとサイバーセキュリティフレームワークに入り込む全てのパケットの全体履歴に基づくことが可能となる。ある実施形態では、マシン速度に対して可能とされたイベントトリガは、IDパケットが検出される際の予め計画された緩和(例えば、横方向の移動、権限の無いインフラストラクチャの変更、権限の無いVPN、スプーフなど)である。
ある実施形態では、仮想旁行モジュール150は、IDを伴う安全な仮想マシン若しくは仮想コンテナを利用し、動的複雑さのための、「信頼される」及び「信頼されない」の両方の、物理的及び仮想的環境を、形成して管理する。このように、「仮想攻撃表面」は、疑わしいアクティビティを特定するために形成され得る。このことは、攻撃者に、数百から数万の(「信頼されない」)仮想環境から現実の(「信頼される」)企業体データ及び処理を区別することを強制し、このことにより、攻撃者が成功する可能性を劇的に減少させ、検出及び緩和の可能性を増大させる。DDIインフラストラクチャは、仮想及び現実の世界のネットワーク及びコンポーネントの、範囲内及び間での、パケットフロー及び相互接続を操作するのにも、利用され得る。仮想防御モジュール150は、スコア付けエンジンによりトリガされる予め計画されるアクションに対して、コントロールプレーンの疑わしいアクティビティから特定の仮想環境へ、動的に再方向付けすることができる。信頼関係は、コンテナ、そのコンテンツ、及びフレームワークの間で実現可能であり、このことにより、サイバーセキュリティフレームワークの範囲内での全てのデータ及びマシンプロセスへの、ポリシーベースのアクセスコントロールのための、アイデンティティアクセスマネジメント(IDAM)及び属性ベースのアクセスコントロール(ABAC)に対する使用が、拡張される。
例示の検出及び緩和
図10は、本開示のある実施形態に係る、サイバーセキュリティフレームワークの外的脅威への応答を示すシステム図である。プロセスは、外部の悪いアクタ1006が攻撃を開始すること、センサ102/スコア付けエンジン1 1002が脅威を検出してTIM1005を発行すること、RTAE110がメッセージを受信して緩和について判別しESB116に発行すること、コントロールプレーンエンジン114が緩和TIM1008の範囲内で緩和アクション(MA)1003を受信すること、センサ102及びスコア付けエンジン2 1004がモデル更新TIM906を受信して状態を更新すること、並びに、コントロールプレーンエンジン114がポートを閉じるアクションを採ることを、含む。スコア付けエンジン1 1002及びスコア付けエンジン2 1004は、本明細書に記載のスコア付けエンジン108と同様の機能を有する。
ステップ1011にて、外部の悪いアクタ1006により開始される攻撃が、IDS及びファイヤウオールのアクセスコントロールリスト(ACL)をバイパスし、ファイヤウオール132を通過する。
ステップ1012では、センサ102は、外部の脅威1006からのパケット及びフローを処理する。スコア付けエンジン1 1002は、それが脅威イベントを検出すると、TIM1005を生成する。スコア付けエンジン1 1002は、脅威イベント及びTIM1005を分散型ESB116に発行する。
ステップ1013では、RTAE110は、ESB116により送信される脅威イベント及びTIMを受信する。RTAE110は、スコア付けエンジン1 1002からのTIM1005を処理し、RTAE110は、TIM1005に基づいて緩和に関して判別する。
ステップ1014では、RTAE110は緩和に関して判別する。RTAE110は、モデル更新TIM906と緩和TIM1008の一つをESB116上で接続する全ての要素に発行する。
ステップ1015では、コントロールプレーンエンジン114は、IP評判変更と関連する緩和TIM1008を受信し、その結果、IPやポートをブロックすることや、異常アクティビティの分析を警告することなどの、アクションとなる。コントロールプレーンエンジン114は、外部のアクタ1006により用いられるポートを閉じることにより、緩和アクション1003を採る。
ステップ1016では、スコア付けエンジン2 1004、及びESB116上に接続する他のスコア付けエンジンは、RTAE110からモデル更新TIM906を受信し、それらのスコア付けの振る舞いを変更して、類似の振る舞いを採用する悪いアクタをより良く検出する。
図11は、本開示のある実施形態に係る、サイバーセキュリティフレームワークの内的脅威への応答を示すシステム図である。プロセスは、内部の悪いアクタ1106が攻撃を開始すること、センサ102/スコア付けエンジン1 1002が脅威を検出してTIM1005を発行すること、RTAE110がメッセージを受信すること、RTAE110が緩和について判別しESB116に発行すること、コントロールプレーンエンジン114が緩和TIM1008を受信すること、センサ102及びスコア付けエンジン2 1004がモデル更新TIM906を受信して状態を更新すること、並びに、コントロールプレーンエンジン114がポートを閉じるアクションを採ることを、含む。スコア付けエンジン1 1002及びスコア付けエンジン2 1004は、本明細書に記載のスコア付けエンジン108と同様の機能を有する。
ステップ1111にて、内部の悪いアクタ1106は、企業体ネットワークの範囲内で、ネットワーク偵察(例えば、危機的なスパイの偵察)を開始する。
ステップ1112では、センサ102は、内部の脅威と関連するパケット及びフローを処理する。スコア付けエンジン1102は、パケット及びフローからイベントを形成し、TIM1005をESB116に送信する。
ステップ1113では、RTAE110は、ESB116により送信されるTIMを受信する。RTAE110は、TIMに基づいて緩和に関して判別する。RTAE110は、緩和TIM1008をESB116に亘って、コントロールプレーンエンジン114へ、並びに、ファイヤウオール、ルータ、スイッチ132、又は、ワークステーション、サーバ若しくはモバイルデバイスなどのエンドポイント120などの、データプレーン122内で、緩和アクションと提携する全てのエンティティへ、発行する。
ステップ1114では、緩和TIMは、ESB116に送信される。
ステップ1115では、コントロールプレーンエンジン114は、緩和TIM1008を受信する。コントロールプレーンエンジン114は、内部のアクタ1106により用いられるポートを閉じることによりアクションを採る。
ステップ1116では、スコア付けエンジン2 1004(及び、ESB116上の、任意の他のスコア付けエンジン)は、RTAE110からモデル更新TIM906を受信し、それらのスコア付けの振る舞いを変更して、類似の振る舞いを伴う悪いアクタをより良く検出する。
本明細書に記載の発明の主旨は、デジタル電子回路で、若しくは、本明細書で開示する構造及びその構造上の等価物を含む、コンピュータソフトウエア、ファームウエア、若しくはハードウエアで、又は、それらの組み合わせで、実装され得る。本明細書に記載の発明の主旨は、情報キャリア(例えば、機械読み取り可能格納装置)で明白に具体化される、若しくは、データ処理装置(例えば、プログラム可能プロセッサ、コンピュータ、若しくはマルチプルコンピュータ)により実行される、若しくは、動作をコントロールする、伝搬信号で具体化される、一つ若しくはそれ以上のコンピュータプログラムなどの、一つ若しくはそれ以上のコンピュータプログラムプロダクトとして、実装され得る。(プログラム、ソフトウエア、ソフトウエアアプリケーション、若しくはコードとしても知られる)コンピュータプログラムは、コンパイル言語やインタプリタ言語を含む、任意の形式のプログラミング言語で、記述可能であり、スタンドアローンプログラムとして、又は、モジュール、コンポーネント、若しくはコンピュータ環境で用いるのに適した他のユニットとして、を含む、任意の形式で展開され得る。コンピュータプログラムは、必ずしもファイルに対応する必要は無い。プログラムは、他のプログラムやデータを保持するファイルの一部で、本プログラム専用の単独のファイルで、又は、多数の統合されたファイル(例えば、一つ若しくはそれ以上のモジュール、サブプログラム、若しくは、コードのポーションを、格納するファイル)で、格納され得る。コンピュータプログラムは、一つのコンピュータ上で、又は、一つの場所における、若しくは、多数の場所に亘って分散して通信ネットワークにより相互接続される、多数のコンピュータ上で、実行されるように展開され得る。
本明細書に記載の本発明の主旨の方法ステップを含む、本明細書に記載の処理及びロジックフローは、インプットデータに拠って動作しアウトプットを生成することにより本明細書に記載の本発明の主旨の機能を実施する、一つ若しくはそれ以上のコンピュータプログラムを実行する一つ若しくはそれ以上のプログラム可能プロセッサにより、実施され得る。例えば、FPGA(フィールドプログラマブルゲートアレイ)やASIC(特定用途向け集積回路)などの、専用論理回路によっても、処理及びロジックフローは実施可能であり、それら専用論理回路として、本明細書に記載の本発明の主旨の装置は実装され得る。
コンピュータプログラムの実行に適するプロセッサは、例えば、GPUなどの、汎用と専用との両方のマイクロプロセッサを含み、また、任意の種類のデジタルコンピュータの任意の一つ若しくはそれ以上のプロセッサを含む。概略、プロセッサは、リードオンリメモリ若しくはランダムアクセスメモリ、又は両方から、命令及びデータを受信する。コンピュータの本質的要素は、命令を実行するプロセッサと、命令及びデータを格納する一つ若しくはそれ以上のメモリデバイスである。概略、コンピュータは、例えば、磁気ディスク、光磁気ディスク、若しくは光ディスクなどの、データを格納する一つ若しくはそれ以上の大容量記憶装置を含み、又は、それら大容量記憶装置からデータを受信し若しくはそれらへデータを送信するように動作自在に結合する。コンピュータプログラム命令及びデータを具体化するのに適する情報キャリアは、全ての形式の不揮発メモリを含み、例えば、半導体メモリデバイス(例えば、EPROM、EEPROM、及びフラッシュメモリデバイス);磁気ディスク(例えば、内部ハードディスクやリムーバブルディスク);光磁気ディスク、及び光ディスク(例えば、CD及びDVDディスク)を含む。プロセッサ及びメモリは、専用論理回路により補完され、又は、組み合わされ得る。
ユーザとの相互作用を提供するために、本明細書に記載の本発明の主旨はコンピュータ上で実装され得るのであり、該コンピュータは、情報をユーザに表示する、例えば、LCD(液晶ディスプレイ)、LED(発光ダイオード)、OLED(有機発光ダイオード)、若しくはCRT(ブラウン管)などの、ディスプレイデバイス、並びに、ユーザがインプットをコンピュータに提供する、キーボード及びポインティングデバイス(例えば、マウス若しくはトラックボール)を、有する。他の種類のデバイスが、ユーザとの相互作用も提供するように用いられ得る。例えば、ユーザに提供されるフードバックは、どの形式の知覚フィードバック(例えば、視覚フィードバック、聴覚フィードバック、若しくは触覚フィードバック)でもよく、ユーザからのインプットは、音響の、音声の、若しくは触覚のインプットを含む、任意の形式で受信されてもよい。
本明細書に記載の本発明の主旨は、コンピュータシステムで実装可能であり、該コンピュータシステムは、一つ若しくはそれ以上のバックエンドコンポーネント(例えば、データサーバ)、ミドルウエアコンポーネント(例えば、アプリケーションサーバ)、若しくは、フロントエンドコンポーネント(例えば、介してユーザが本明細書に記載の本発明の主旨の実装と相互作用し得る、グラフィックユーザインタフェースやウェブブラウザを有するクライアントコンピュータ)、又は、それらバックエンド、ミドルウエア、及びフロントエンドコンポーネントの任意の組み合わせを、含み、それらは、物理ハードウエア上のもの、仮想環境上のもの、若しくはリナックスコンテナなどのアプリケーションを展開するコンテナベースの技術を用いるものの、いずれかである。システムのコンポーネントは、任意の形式若しくは媒体のデジタルデータ通信、例えば、通信ネットワークにより、相互接続され得る。通信ネットワークの例は、ローカルエリアネットワーク(LAN)や、例えば、インターネットなどのワイドエリアネットワーク(WAN)を含む。
当然のことながら、本開示の発明の主旨は、その利用において、以下の記載で説明する、若しくは図面に示す構成の詳細及びコンポーネントの配置に、限定されない。本開示の発明の主旨は、他の実施形態でもよく、様々なやり方で実施され扱われ得る。更に、当然のことながら、本明細書で用いる表現及び用語は、記述の目的のものであり、限定として捉えるべきではない。
よって、本開示が依拠するアイデアは、本開示の発明の主旨の複数の目的を実践する他の構造、方法、及び方法の設計の基礎として、容易に利用され得る、ということは当業者には明白であろう。従って、重要なことは、請求項が本開示の発明の主旨の精神及び範囲から乖離しない限りにおいて、請求項はそのような等価の構成を含むと考えるべきである、ということである。
前述の例示の実施形態にて本開示の発明の主旨を記載し示したが、当然のことながら、本開示は例としてのみ為されたものであり、本開示の発明の主旨の実装の詳細における多数の変更は、本開示の発明の主旨の精神及び範囲から乖離することなく為され得るのであり、本開示の発明の主旨は以下の請求項によってのみ限定される。
102・・・センサ、106・・・分散型分析プラットフォーム、108・・・スコア付けエンジン、116・・・分散型企業体サービスバス(ESB)116。

Claims (29)

  1. イベントを処理してスコア、警告、及び緩和アクションを生成するサイバーセキュリティシステムにおいて、
    複数のセンサと、
    分散型分析プラットフォームと、
    複数のスコア付けエンジンと、及び、
    リアルタイム分析エンジンと
    を含み、
    前記複数のセンサの各々は、
    ネットワークからセンサデータを受信し、
    センサデータを処理してイベントを作成し、及び、
    イベントを伝送する
    ように構成されており、
    前記分散型分析プラットフォームは、
    前記複数のセンサからイベントを受信し、
    イベントを処理して分析ワークフローを作成し、ここで分析ワークフローの各々は一つ若しくはそれ以上の論理セグメントと関連付けられており、及び、
    分析ワークフロー及び分散型分析プラットフォームメッセージを伝送する
    ように構成されており、
    前記複数のスコア付けエンジンの各々は、
    分散型分析プラットフォームから分析ワークフローを受信し、
    戦記複数のセンサの少なくとも一つからイベントを受信し、
    分析ワークフローを用いて、受信したイベントを処理してスコア付けエンジンメッセージを生成し、及び、
    スコア付けエンジンメッセージを伝送する
    ように構成されており、
    並びに、
    前記リアルタイム分析エンジンは、
    前記分散型分析プラットフォームから分析ワークフローを受信し、
    分析ワークフローとイベント処理ルールを受信し、
    前記複数のスコア付けエンジンからスコア付けエンジンメッセージを受信し、
    前記分散型分析プラットフォームから分散型分析プラットフォームメッセージを受信し、並びに、
    前記分散型分析プラットフォームからの分析ワークフロー、及び、分析ワークフローとイベント処理ルールを用いて、スコア付けエンジンメッセージと分散型分析プラットフォームメッセージを処理して脅威情報メッセージを作成する
    ように構成されており、
    脅威情報メッセージは、
    前記リアルタイム分析エンジンが伝送するように構成されている、ブロードキャストメッセージと、
    緩和メッセージであって、前記リアルタイム分析エンジンによる処理が、緩和アクションが異常アクティビティのインパクトを限定することを示すとき、前記一つ若しくはそれ以上の論理セグメントのうちの第1の論理セグメントと関連付けられる緩和アクションを採るために、前記リアルタイム分析エンジンが前記緩和メッセージをコントロールプレーンエンジンに伝送するように構成されている、緩和メッセージと、
    及び、
    モデル更新メッセージであって、前記リアルタイム分析エンジンによる処理が、モデル更新メッセージが異常アクティビティの検出率と偽陽性率の減少との少なくとも一つを改善することを示すとき、一つ若しくはそれ以上の分析ワークフローを更新するために、前記リアルタイム分析エンジンがモデル更新メッセージを伝送するように構成されている、モデル更新メッセージと
    のうちの少なくとも一つを含み、
    前記一つ若しくはそれ以上の論理セグメントの各々は、
    分析モデル、分析モデルのセット、若しくは分析ワークフローと、
    論理セグメント内部のアクティビティについてのインプットの一つ若しくはそれ以上のソースと、及び、
    論理セグメント内部で発生する異常アクティビティのインパクトを緩和する、アクションのセットと
    関連する、
    システム。
  2. 前記複数のセンサ、前記複数のスコア付けエンジン、前記分散型分析プラットフォーム、前記リアルタイム分析エンジン、及び、前記コントロールプレーンエンジンが、帯域外ネットワークを用いて接続している、請求項1に記載のシステム。
  3. 前記複数のセンサ、前記複数のスコア付けエンジン、前記分散型分析プラットフォーム、前記リアルタイム分析エンジン、及び、前記コントロールプレーンエンジンが、企業体システムバスに亘って関連するメッセージを送信することにより通信する、請求項1に記載のシステム。
  4. 前記複数のセンサ、前記複数のスコア付けエンジン、前記分散型分析プラットフォーム、前記リアルタイム分析エンジン、及び、前記コントロールプレーンエンジンが、企業体システムバスに亘って関連するメッセージを送信することにより通信する、請求項2に記載のシステム。
  5. 更に、摂取アクタモジュールを含み、
    前記摂取アクタモジュールは、
    サードパーティアプリケーションとサードパーティデバイスのうちの少なくとも一つからサードパーティアプリケーションデータを受信し、
    前記複数のスコア付けエンジン、前記分散型分析プラットフォーム、及び前記リアルタイム分析エンジンのうちの少なくとも一つによる更なる処理のために、サードパーティアプリケーションデータを伝送する
    ように構成されている、請求項1に記載のシステム。
  6. 前記複数のセンサ、前記複数のスコア付けエンジン、前記分散型分析プラットフォーム、前記リアルタイム分析エンジン、前記コントロールプレーンエンジン、及び前記摂取アクタモジュールが、帯域外ネットワークを用いて接続している、請求項5に記載のシステム。
  7. 前記複数のセンサ、前記複数のスコア付けエンジン、前記分散型分析プラットフォーム、前記リアルタイム分析エンジン、前記コントロールプレーンエンジン、及び前記摂取アクタモジュールが、企業体システムバスに亘って関連するメッセージを送信することにより通信する、請求項5に記載のシステム。
  8. 前記スコア付けエンジンが更に、
    モデル更新メッセージを受信し、及び、
    イベントの処理と同時に、更新メッセージを処理する
    ように構成されている、請求項1に記載のシステム。
  9. ブロードキャストメッセージ、緩和メッセージ、及びモデル更新メッセージのうちの少なくとも一つを作成するために、
    前記リアルタイム分析エンジンは更に、
    前記複数のスコア付けエンジン、前記分散型分析プラットフォーム、及び前記複数のセンサのうちの少なくとも一つから、第1の時間に第1のアウトプットを受信し、
    第1のアウトプットに対応する第1の状態情報を検索し、
    第1のアウトプットデータで第1の状態情報を更新し、
    前記リアルタイム分析エンジンと関連付けられる分析ワークフローにより、更新された第1の状態情報を処理して、処理された更新された第1の状態情報を作成し、
    処理された更新された第1の状態情報を前記リアルタイム分析エンジン内に格納し、
    前記複数のスコア付けエンジン、前記分散型分析プラットフォーム、及び前記複数のセンサのうちの少なくとも一つから、第2の時間に第2のアウトプットを受信し、
    第2のアウトプットに対応する第2の状態情報を検索し、
    第2のアウトプットデータで第2の状態情報を更新し、
    前記リアルタイム分析エンジンと関連付けられる分析ワークフローにより、更新された第2の状態情報を処理して、処理された更新された第2の状態情報を作成し、
    処理された更新された第2の状態情報に基づいて、ブロードキャストメッセージ、緩和メッセージ、及びモデル更新メッセージのうちの少なくとも一つを作成し、
    並びに、
    処理された更新された第2の状態情報を前記リアルタイム分析エンジン内に格納する
    ように構成されている、請求項1に記載のシステム。
  10. 前記リアルタイム分析エンジンは更に、
    前記複数のスコア付けエンジン、前記分散型分析プラットフォーム、及び前記複数のセンサのうちの少なくとも一つから、第3の時間に中間アウトプットを受信し、ここで、第3の時間は第1の時間の後であり且つ第2の時間の前であり、
    中間アウトプットに対応する中間状態情報を検索し、
    中間アウトプットデータで中間状態情報を更新し、
    前記リアルタイム分析エンジンと関連付けられる分析ワークフローにより、更新された中間状態情報を処理して、処理された更新された中間状態情報を作成し、
    並びに、
    処理された更新された中間状態情報を前記リアルタイム分析エンジン内に格納する
    ように構成されている、請求項9に記載のシステム。
  11. 分析ワークフローは、モデル交換フォーマットドキュメントを含み、
    モデル交換フォーマットドキュメントは、
    分析モデルの合成と、
    分析モデルの区分と、
    分析モデルのアンサンブルと、
    ルールによる分析モデルの合成と、
    前処理及び後処理段階による分析モデルの合成と、及び、
    分析ワークフローと
    をサポートし、
    前処理及び後処理段階は、データ変換とデータ凝集を含み、
    分析ワークフローの各々は、分析モデル、ルール、データ変換、データ凝集、並びに、分析モデル、ルール、データ変換、データ凝集、区分及びアンサンブルの合成、のうちの少なくとも一つを、含む、
    請求項1に記載のシステム。
  12. 前記リアルタイム分析エンジンは更に、
    分析ワークフローの一つ若しくはそれ以上への変更が閾値を超えるときに、更新された振る舞いモデルを前記複数のスコア付けエンジンの一つ若しくはそれ以上に伝送する
    ように構成されている、請求項1に記載のシステム。
  13. イベントは、
    ネットワークフローについてのデータ、パケットについてのデータ、エンティティについてのデータ、ユーザについてのデータ、ワークステーションとサーバについてのデータ、ルータとスイッチについてのデータ、外部ネットワークエンティティについてのデータ、並びに、ネットワークと相互作用する内部及び外部デバイスについてのデータのうちの、少なくとも一つを含む、請求項1に記載のシステム。
  14. 前記複数のセンサと前記複数のスコア付けエンジンとのうちの、一つ若しくはそれ以上が、単独のアプリケーション内に統合される、請求項1に記載のシステム。
  15. 前記リアルタイム分析エンジンが、前記複数のスコア付けエンジンのうちの一つ若しくはそれ以上と統合する、請求項1に記載のシステム。
  16. 緩和アクションは、
    少なくとも一つのポートを閉じること、
    少なくとも一つのパケットデータを修正すること、
    パケット若しくはフローの伝送をコントロールすること、
    サブネットをブロックすること、
    一つ若しくはそれ以上のインターネットプロトコル(IP)若しくはIPの範囲をブロックすること、及び、
    一つ若しくはそれ以上の内部の若しくは外部のIPをブロックすること
    のうちの少なくとも一つを含む、請求項1に記載のシステム。
  17. 緩和アクションは、
    サーバ及びワークステーションのオフラインの少なくとも一つを採ること、
    プロテクトされた画像から、新しい可視化サーバと新しい可視化ワークステーションのうちの少なくとも一つを形成すること、及び、
    サーバとワークステーションのうちの少なくとも一つと関連付けられるアクションをブロックすること
    のうちの少なくとも一つを含む、請求項1に記載のシステム。
  18. 異常アクティビティは、
    偵察、セキュリティ上の弱点を突く手段、侵入、情報漏洩、インサイダ脅威、及び攻撃のうちの、少なくとも一つを含む、請求項1に記載のシステム。
  19. 緩和アクションは、
    少なくとも一つのパケットを修正すること、
    パケット若しくはフローの伝送をコントロールすること、及び、
    異常アクティビティと関連付けられるエンティティに対する許可及びアクセス権を除去することのうちの、少なくとも一つを含み、
    許可及びアクセス権を除去することは、
    ネットワークアクセスをブロックすること、
    ネットワークデバイスへのアクセスをブロックすること、
    サーバへのアクセスをブロックすること、
    ワークステーションへのアクセスをブロックすること、及び、
    他のコンピュータデバイスへのアクセスをブロックすること
    のうちの、少なくとも一つを含む、請求項18に記載のシステム。
  20. 異常アクティビティは、内部の悪いアクタと外部の悪いアクタとのうちの、少なくとも一つと関連付けられる、請求項18に記載のシステム。
  21. 更に可視化エンジンを含み、可視化エンジンはモニタを含み、
    可視化エンジンは、
    リアルタイム分析エンジンによるスコア付けエンジンメッセージの処理と関連付けられる統計及びグラフィック画像を受信し、及び、
    モニタ上に統計及びグラフィック画像を表示する
    ように構成されている、請求項1に記載のシステム。
  22. 複数の、請求項1に記載のシステムを含む、サイバーセキュリティシステムにおいて、
    複数のサイバーセキュリティシステムの各々は、選択した脅威情報メッセージを、他のサイバーセキュリティシステムの一つ若しくはそれ以上と交換するように構成されており、
    選択した脅威情報メッセージは、暗号化されて、情報を伝送するための機密メカニズムを提供し、
    選択した脅威情報メッセージ内の情報は、伝送するサイバーセキュリティシステムに関する機密の内部情報を曝すことはしない、
    サイバーセキュリティシステム。
  23. 外部の脅威情報メッセージを、互換性のあるサードパーティシステムと交換するように構成されており、
    外部の脅威情報メッセージは、暗号化されて、情報を伝送するための機密メカニズムを提供し、
    外部の脅威情報メッセージ内の情報は、外部の脅威情報メッセージを伝送するシステムに関する機密の内部情報を曝すことはせず、及び、
    外部の脅威情報メッセージは、共通のモデル交換フォーマットでフォーマットされる、
    請求項1に記載のシステム。
  24. 前記分散型分析プラットフォームは更に、
    スコア付けエンジンメッセージを受信し、及び、
    スコア付けエンジンメッセージを処理して脅威情報メッセージを作成する
    ように構成されている、請求項1に記載のシステム。
  25. ブロードキャストメッセージは、情報メッセージ、サイバーイベントメッセージ、及び警告メッセージのうちの、少なくとも一つを含む、請求項1に記載のシステム。
  26. 前記複数の論理セグメントの各々は、
    ネットワークの分割、ネットワーク上のトラフィックの分割、ネットワーク上のユーザの分割、ネットワーク上のデバイスの分割、サードパーティデータに基づく分割、並びに、ネットワーク、ネットワーク上のトラフィック、ネットワーク上のユーザ、ネットワーク上のデバイス、及び、サードパーティデータに、関する複数の分割の少なくとも一つと関連するデータのうちの、少なくとも一つと関連付けられる、請求項1に記載のシステム。
  27. 少なくとも第1の分割は、少なくとも第2の分割とオーバラップする、請求項26に記載のシステム。
  28. 前記複数のセンサ、前記複数のスコア付けエンジン、前記分散型分析プラットフォーム、前記リアルタイム分析エンジン、前記コントロールプレーンエンジン、及び、摂取アクタモジュールが、企業体システムバスに亘って関連するメッセージを送信することにより通信する、請求項27に記載のシステム。
  29. イベントを処理してスコア、警告、及び緩和アクションを生成するサイバーセキュリティシステムにおいて、
    複数のセンサと、
    分散型分析プラットフォームと、
    スコア付けエンジンと、及び、
    リアルタイム分析エンジンと
    を含み、
    前記複数のセンサの各々は、
    ネットワークからセンサデータを受信し、
    センサデータを処理してイベントを作成し、及び、
    イベントを伝送する
    ように構成されており、
    前記分散型分析プラットフォームは、
    前記複数のセンサからイベントを受信し、
    イベントを処理して分析ワークフローを作成し、ここで分析ワークフローの各々は一つ若しくはそれ以上の論理セグメントと関連付けられており、及び、
    分析ワークフロー及び分散型分析プラットフォームメッセージを伝送する
    ように構成されており、
    前記スコア付けエンジンは、
    分散型分析プラットフォームから分析ワークフローを受信し、
    前記複数のセンサの少なくとも一つからイベントを受信し、
    分析ワークフローを用いて、イベントを処理してスコア付けエンジンメッセージを生成し、及び、
    スコア付けエンジンメッセージを伝送する
    ように構成されており、
    並びに、
    前記リアルタイム分析エンジンは、
    前記分散型分析プラットフォームから分析ワークフローを受信し、
    分析ワークフローとイベント処理ルールを受信し、
    スコア付けエンジンメッセージを受信し、
    前記分散型分析プラットフォームから分散型分析プラットフォームメッセージを受信し、並びに、
    前記分散型分析プラットフォームからの分析ワークフロー、及び、分析ワークフローとイベント処理ルールを用いて、スコア付けエンジンメッセージと分散型分析プラットフォームメッセージを処理して脅威情報メッセージを作成する
    ように構成されており、
    脅威情報メッセージは、
    前記リアルタイム分析エンジンが伝送するように構成されている、ブロードキャストメッセージと、
    緩和メッセージであって、前記リアルタイム分析エンジンによる処理が、緩和アクションが異常アクティビティのインパクトを限定することを示すとき、前記一つ若しくはそれ以上の論理セグメントのうちの第1の論理セグメントと関連付けられる緩和アクションを採るために、前記リアルタイム分析エンジンが前記緩和メッセージをコントロールプレーンエンジンに伝送するように構成されている、緩和メッセージと、
    及び、
    モデル更新メッセージであって、前記リアルタイム分析エンジンによる処理が、モデル更新メッセージが異常アクティビティの検出率と偽陽性率の減少との少なくとも一つを改善することを示すとき、一つ若しくはそれ以上の分析ワークフローを更新するために、前記リアルタイム分析エンジンがモデル更新メッセージを伝送するように構成されている、モデル更新メッセージと
    のうちの少なくとも一つを含み、
    前記一つ若しくはそれ以上の論理セグメントの各々は、
    分析モデル、分析モデルのセット、若しくは分析ワークフローと、
    論理セグメント内部のアクティビティについてのインプットの一つ若しくはそれ以上のソースと、及び、
    論理セグメント内部で発生する異常アクティビティのインパクトを緩和する、アクションのセットと
    関連する、
    システム。
JP2016567760A 2014-10-21 2015-10-16 サイバーセキュリティシステム Active JP6196397B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201462066769P 2014-10-21 2014-10-21
US62/066,769 2014-10-21
PCT/US2015/056082 WO2016109005A2 (en) 2014-10-21 2015-10-16 Cybersecurity system

Publications (2)

Publication Number Publication Date
JP2017516411A true JP2017516411A (ja) 2017-06-15
JP6196397B2 JP6196397B2 (ja) 2017-09-13

Family

ID=55589164

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016567760A Active JP6196397B2 (ja) 2014-10-21 2015-10-16 サイバーセキュリティシステム

Country Status (12)

Country Link
US (1) US9306965B1 (ja)
EP (1) EP3095034B1 (ja)
JP (1) JP6196397B2 (ja)
CN (1) CN106170772B (ja)
CA (1) CA2934311C (ja)
ES (1) ES2736099T3 (ja)
HK (1) HK1225475A1 (ja)
IL (1) IL251719B (ja)
LT (1) LT3095034T (ja)
PL (1) PL3095034T3 (ja)
SG (1) SG11201703164RA (ja)
WO (1) WO2016109005A2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3451615A1 (en) 2017-08-28 2019-03-06 Fujitsu Limited Cyber attack information processing apparatus and method
JP2019062272A (ja) * 2017-09-25 2019-04-18 PIPELINE Security株式会社 サイバーセキュリティフレームワークボックス
US20190279042A1 (en) * 2018-03-06 2019-09-12 Tazi Al Systems, Inc. Human understandable online machine learning system
WO2019220833A1 (ja) * 2018-05-18 2019-11-21 株式会社島津製作所 診断支援システムおよび診断支援装置

Families Citing this family (120)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9137205B2 (en) 2012-10-22 2015-09-15 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9565213B2 (en) 2012-10-22 2017-02-07 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9203806B2 (en) 2013-01-11 2015-12-01 Centripetal Networks, Inc. Rule swapping in a packet network
US9124552B2 (en) 2013-03-12 2015-09-01 Centripetal Networks, Inc. Filtering network data transfers
US9094445B2 (en) 2013-03-15 2015-07-28 Centripetal Networks, Inc. Protecting networks from cyber attacks and overloading
US10749905B2 (en) * 2017-07-31 2020-08-18 Amdocs Development Limited System, method, and computer program providing security in network function virtualization (NFV) based communication networks and software defined networks (SDNS)
US20160164917A1 (en) * 2014-12-03 2016-06-09 Phantom Cyber Corporation Action recommendations for computing assets based on enrichment information
US10230742B2 (en) * 2015-01-30 2019-03-12 Anomali Incorporated Space and time efficient threat detection
US9264370B1 (en) 2015-02-10 2016-02-16 Centripetal Networks, Inc. Correlating packets in communications networks
US20160292591A1 (en) * 2015-04-02 2016-10-06 Sas Institute Inc. Streamlined analytic model training and scoring system
US9866576B2 (en) 2015-04-17 2018-01-09 Centripetal Networks, Inc. Rule-based network-threat detection
US11757920B2 (en) * 2015-10-28 2023-09-12 Qomplx, Inc. User and entity behavioral analysis with network topology enhancements
US11089045B2 (en) * 2015-10-28 2021-08-10 Qomplx, Inc. User and entity behavioral analysis with network topology enhancements
US10681074B2 (en) 2015-10-28 2020-06-09 Qomplx, Inc. System and method for comprehensive data loss prevention and compliance management
JP6693114B2 (ja) * 2015-12-15 2020-05-13 横河電機株式会社 制御装置及び統合生産システム
US9917856B2 (en) 2015-12-23 2018-03-13 Centripetal Networks, Inc. Rule-based network-threat detection for encrypted communications
US11729144B2 (en) * 2016-01-04 2023-08-15 Centripetal Networks, Llc Efficient packet capture for cyber threat analysis
US10152596B2 (en) * 2016-01-19 2018-12-11 International Business Machines Corporation Detecting anomalous events through runtime verification of software execution using a behavioral model
US10262133B1 (en) 2016-01-20 2019-04-16 Cyarx Technologies Ltd. System and method for contextually analyzing potential cyber security threats
US10742667B1 (en) * 2016-01-20 2020-08-11 Cyarx Technologies Ltd. System and method for dynamical modeling multi-dimensional security event data into a graph representation
US10354066B2 (en) 2016-02-26 2019-07-16 Cylance Inc. Retention and accessibility of data characterizing events on an endpoint computer
US10341856B2 (en) * 2016-05-10 2019-07-02 FirstPoint Mobile Guard Ltd. System and method for securing communication and information of mobile devices through a controlled cellular communication network
CN107360120B (zh) 2016-05-10 2019-06-11 华为技术有限公司 虚拟网络功能的审计方法和装置
GB2566657B8 (en) 2016-06-30 2022-04-13 Sophos Ltd Proactive network security using a health heartbeat
LT3338205T (lt) * 2016-07-14 2019-06-25 IronNet Cybersecurity, Inc. Modeliavimas ir virtualia realybe pagrįsta kibernetinės elgsenos sistema
US9961100B2 (en) * 2016-07-29 2018-05-01 Accenture Global Solutions Limited Network security analysis system
KR101865690B1 (ko) * 2016-08-04 2018-06-12 주식회사 시큐다임 Https 기반 통신의 가시성 확보를 위한 네트워크 보안 감시 시스템 및 방법
US10313384B1 (en) * 2016-08-11 2019-06-04 Balbix, Inc. Mitigation of security risk vulnerabilities in an enterprise network
US10402564B2 (en) * 2016-08-16 2019-09-03 Nec Corporation Fine-grained analysis and prevention of invalid privilege transitions
US10157285B2 (en) 2016-10-14 2018-12-18 Bank Of America Corporation Dynamic requirements mapping
US10212184B2 (en) 2016-10-27 2019-02-19 Opaq Networks, Inc. Method for the continuous calculation of a cyber security risk index
US10581915B2 (en) * 2016-10-31 2020-03-03 Microsoft Technology Licensing, Llc Network attack detection
US11018970B2 (en) 2016-10-31 2021-05-25 Nicira, Inc. Monitoring resource consumption for distributed services
US10171510B2 (en) 2016-12-14 2019-01-01 CyberSaint, Inc. System and method for monitoring and grading a cybersecurity framework
US11258681B2 (en) 2016-12-16 2022-02-22 Nicira, Inc. Application assessment and visibility for micro-segmentation of a network deployment
US10699012B2 (en) 2017-01-11 2020-06-30 Cylance Inc. Endpoint detection and response utilizing machine learning
US20180219884A1 (en) * 2017-01-27 2018-08-02 Hewlett Packard Enterprise Development Lp Changing the deployment status of a pre-processor or analytic
US10346610B1 (en) * 2017-01-31 2019-07-09 EMC IP Holding Company LLC Data protection object store
US10728264B2 (en) * 2017-02-15 2020-07-28 Micro Focus Llc Characterizing behavior anomaly analysis performance based on threat intelligence
WO2018149530A1 (en) * 2017-02-17 2018-08-23 NEC Laboratories Europe GmbH Method for operating a network
CN108632214B (zh) * 2017-03-20 2022-02-22 中兴通讯股份有限公司 一种实现移动目标防御的方法及装置
US11049026B2 (en) 2017-03-20 2021-06-29 Micro Focus Llc Updating ground truth data in a security management platform
US10387298B2 (en) 2017-04-04 2019-08-20 Hailo Technologies Ltd Artificial neural network incorporating emphasis and focus techniques
US11238334B2 (en) 2017-04-04 2022-02-01 Hailo Technologies Ltd. System and method of input alignment for efficient vector operations in an artificial neural network
US11544545B2 (en) 2017-04-04 2023-01-03 Hailo Technologies Ltd. Structured activation based sparsity in an artificial neural network
US11551028B2 (en) 2017-04-04 2023-01-10 Hailo Technologies Ltd. Structured weight based sparsity in an artificial neural network
US11615297B2 (en) 2017-04-04 2023-03-28 Hailo Technologies Ltd. Structured weight based sparsity in an artificial neural network compiler
US10819714B2 (en) 2017-04-26 2020-10-27 Cylance Inc. Endpoint detection and response system with endpoint-based artifact storage
US10698625B2 (en) 2017-05-15 2020-06-30 Accenture Global Solutions Limited Data pipeline architecture for analytics processing stack
US9998895B1 (en) 2017-06-28 2018-06-12 Motorola Solutions, Inc. Apparatus and method for real-time public safety evidentiary data collection
US9936360B1 (en) 2017-06-28 2018-04-03 Motorola Solutions, Inc. Apparatus and method for real-time public safety evidentiary data collection
US10306341B2 (en) 2017-06-28 2019-05-28 Motorola Solutions, Inc. Method and apparatus for determining sensor data reliability at an incident scene for real-time and post-incident processing
US10503899B2 (en) 2017-07-10 2019-12-10 Centripetal Networks, Inc. Cyberanalysis workflow acceleration
US10284526B2 (en) 2017-07-24 2019-05-07 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US11233777B2 (en) 2017-07-24 2022-01-25 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US10705868B2 (en) * 2017-08-07 2020-07-07 Modelop, Inc. Dynamically configurable microservice model for data analysis using sensors
CN109511129A (zh) * 2017-09-15 2019-03-22 中国移动通信集团广东有限公司 一种无线网络安全检测方法和装置
US10887369B2 (en) 2017-09-25 2021-01-05 Splunk Inc. Customizable load balancing in a user behavior analytics deployment
US11436471B2 (en) * 2017-10-13 2022-09-06 Panasonic Intellectual Property Corporation Of America Prediction model sharing method and prediction model sharing system
US10902121B2 (en) 2017-10-19 2021-01-26 International Business Machines Corporation Policy-based detection of anomalous control and data flow paths in an application program
US10728256B2 (en) 2017-10-30 2020-07-28 Bank Of America Corporation Cross channel authentication elevation via logic repository
US10721246B2 (en) * 2017-10-30 2020-07-21 Bank Of America Corporation System for across rail silo system integration and logic repository
US10621341B2 (en) 2017-10-30 2020-04-14 Bank Of America Corporation Cross platform user event record aggregation system
WO2019084693A1 (en) * 2017-11-06 2019-05-09 Cyber Defence Qcd Corporation Methods and systems for monitoring cyber-events
US10742673B2 (en) * 2017-12-08 2020-08-11 Nicira, Inc. Tracking the dynamics of application-centric clusters in a virtualized datacenter
CN108243189B (zh) * 2018-01-08 2020-08-18 平安科技(深圳)有限公司 一种网络威胁管理方法、装置、计算机设备及存储介质
US10607021B2 (en) 2018-01-26 2020-03-31 Bank Of America Corporation Monitoring usage of an application to identify characteristics and trigger security control
JP7065498B2 (ja) * 2018-02-03 2022-05-12 アレグロスマート株式会社 データオーケストレーションプラットフォーム管理
US10659484B2 (en) 2018-02-19 2020-05-19 Cisco Technology, Inc. Hierarchical activation of behavioral modules on a data plane for behavioral analytics
US10824950B2 (en) 2018-03-01 2020-11-03 Hcl Technologies Limited System and method for deploying a data analytics model in a target environment
US11962610B2 (en) * 2018-03-05 2024-04-16 EzoTech Inc. Automated security testing system and method
US20200410001A1 (en) * 2018-03-22 2020-12-31 Apomatix Inc. Networked computer-system management and control
US10862864B2 (en) * 2018-04-04 2020-12-08 Sophos Limited Network device with transparent heartbeat processing
US11140195B2 (en) 2018-04-04 2021-10-05 Sophos Limited Secure endpoint in a heterogenous enterprise network
US10972431B2 (en) 2018-04-04 2021-04-06 Sophos Limited Device management based on groups of network adapters
US11271950B2 (en) 2018-04-04 2022-03-08 Sophos Limited Securing endpoints in a heterogenous enterprise network
US11616758B2 (en) 2018-04-04 2023-03-28 Sophos Limited Network device for securing endpoints in a heterogeneous enterprise network
CA3040367A1 (en) * 2018-04-16 2019-10-16 Interset Software, Inc. System and method for custom security predictive models
WO2019220182A1 (en) * 2018-05-17 2019-11-21 Pratik Sharma Application specific security functions in network
US10333898B1 (en) 2018-07-09 2019-06-25 Centripetal Networks, Inc. Methods and systems for efficient network protection
US11132440B2 (en) * 2018-11-01 2021-09-28 Foundation Of Soongsil University-Industry Cooperation Hybrid trust execution environment based android security framework, android device equipped with the same and method of executing trust service in android device
IL263956A (en) * 2018-12-24 2020-06-30 Amzel Moshe Systems and methods for early detection, warning and prevention of cyber threats
EP3925194B1 (en) * 2019-02-13 2023-11-29 Obsidian Security, Inc. Systems and methods for detecting security incidents across cloud-based application services
US11196759B2 (en) * 2019-06-26 2021-12-07 Microsoft Technology Licensing, Llc SIEM system and methods for exfiltrating event data
US11632386B2 (en) 2019-07-19 2023-04-18 Rochester Institute Of Technology Cyberattack forecasting using predictive information
US11210262B2 (en) * 2019-09-25 2021-12-28 Sap Se Data ingestion application for internet of devices
US11588854B2 (en) 2019-12-19 2023-02-21 Vmware, Inc. User interface for defining security groups
US11477223B2 (en) * 2020-01-15 2022-10-18 IronNet Cybersecurity, Inc. Systems and methods for analyzing cybersecurity events
US11522880B2 (en) 2020-07-09 2022-12-06 International Business Machines Corporation Analytics engine for data exploration and analytics
US11144862B1 (en) 2020-09-02 2021-10-12 Bank Of America Corporation Application mapping and alerting based on data dependencies
US11811421B2 (en) 2020-09-29 2023-11-07 Hailo Technologies Ltd. Weights safety mechanism in an artificial neural network processor
US11221929B1 (en) 2020-09-29 2022-01-11 Hailo Technologies Ltd. Data stream fault detection mechanism in an artificial neural network processor
US11263077B1 (en) 2020-09-29 2022-03-01 Hailo Technologies Ltd. Neural network intermediate results safety mechanism in an artificial neural network processor
US11237894B1 (en) 2020-09-29 2022-02-01 Hailo Technologies Ltd. Layer control unit instruction addressing safety mechanism in an artificial neural network processor
US11874900B2 (en) 2020-09-29 2024-01-16 Hailo Technologies Ltd. Cluster interlayer safety mechanism in an artificial neural network processor
US11366901B2 (en) 2020-10-07 2022-06-21 Bank Of America Corporation System and method for identifying insider threats in source code
US11303666B1 (en) 2020-10-14 2022-04-12 Expel, Inc. Systems and methods for intelligent cyber security threat detection and mitigation through an extensible automated investigations and threat mitigation platform
US11362996B2 (en) 2020-10-27 2022-06-14 Centripetal Networks, Inc. Methods and systems for efficient adaptive logging of cyber threat incidents
CN112800413B (zh) * 2021-02-26 2024-03-15 上海派拉软件股份有限公司 一种权限信息推送方法、装置、设备及存储介质
US11496477B2 (en) 2021-03-05 2022-11-08 Aceiss, Inc. Systems and methods for onboarding and managing applications over networks
US11159546B1 (en) 2021-04-20 2021-10-26 Centripetal Networks, Inc. Methods and systems for efficient threat context-aware packet filtering for network protection
US11856023B2 (en) * 2021-05-25 2023-12-26 IronNet Cybersecurity, Inc. Identification of invalid advertising traffic
US11374964B1 (en) 2021-06-24 2022-06-28 Airgap Networks Inc. Preventing lateral propagation of ransomware using a security appliance that dynamically inserts a DHCP server/relay and a default gateway with point-to-point links between endpoints
US11916957B1 (en) 2021-06-24 2024-02-27 Airgap Networks Inc. System and method for utilizing DHCP relay to police DHCP address assignment in ransomware protected network
US11252183B1 (en) 2021-06-24 2022-02-15 Airgap Networks Inc. System and method for ransomware lateral movement protection in on-prem and cloud data center environments
US11711396B1 (en) 2021-06-24 2023-07-25 Airgap Networks Inc. Extended enterprise browser blocking spread of ransomware from alternate browsers in a system providing agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links
US11303673B1 (en) 2021-06-24 2022-04-12 Airgap Networks Inc. System and method for preventing lateral propagation of ransomware using a security appliance that functions as a DHCP relay on a shared network
US11757933B1 (en) 2021-06-24 2023-09-12 Airgap Networks Inc. System and method for agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links
US11303669B1 (en) 2021-06-24 2022-04-12 Airgap Networks Inc. System and method for tunneling endpoint traffic to the cloud for ransomware lateral movement protection
US11757934B1 (en) 2021-06-24 2023-09-12 Airgap Networks Inc. Extended browser monitoring inbound connection requests for agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links
US11695799B1 (en) 2021-06-24 2023-07-04 Airgap Networks Inc. System and method for secure user access and agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links
US11722519B1 (en) 2021-06-24 2023-08-08 Airgap Networks Inc. System and method for dynamically avoiding double encryption of already encrypted traffic over point-to-point virtual private networks for lateral movement protection from ransomware
US11323474B1 (en) * 2021-07-28 2022-05-03 Airgap Networks, Inc. System and method for determining endpoint compatibility with subnet prefix of all-ones for lateral propagation prevention of ransomware
US11736520B1 (en) 2021-06-24 2023-08-22 Airgap Networks Inc. Rapid incidence agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links
US11930027B2 (en) * 2021-12-28 2024-03-12 Nozomi Networks Sagl Method for evaluating quality of rule-based detections
US11475375B1 (en) * 2022-04-25 2022-10-18 Morgan Stanley Services Group Inc. Risk assessment with automated escalation or approval
CN115426198B (zh) * 2022-11-01 2023-03-24 杭州安恒信息技术股份有限公司 一种情报信息处理方法、装置、设备及存储介质
EP4380106A1 (en) * 2022-11-30 2024-06-05 Juniper Networks, Inc. Intelligent firewall flow processor
US11956117B1 (en) 2023-05-22 2024-04-09 Google Llc Network monitoring and healing based on a behavior model
CN116702154B (zh) * 2023-06-08 2024-02-23 唐山旭华智能科技有限公司 一种基于大数据安全评估的分析系统及方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120072983A1 (en) * 2010-09-20 2012-03-22 Sonalysts, Inc. System and method for privacy-enhanced cyber data fusion using temporal-behavioral aggregation and analysis

Family Cites Families (65)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2276526A1 (en) 1997-01-03 1998-07-09 Telecommunications Research Laboratories Method for real-time traffic analysis on packet networks
US6088804A (en) 1998-01-12 2000-07-11 Motorola, Inc. Adaptive system and method for responding to computer network security attacks
US6279113B1 (en) 1998-03-16 2001-08-21 Internet Tools, Inc. Dynamic signature inspection-based network intrusion detection
US6134664A (en) 1998-07-06 2000-10-17 Prc Inc. Method and system for reducing the volume of audit data and normalizing the audit data received from heterogeneous sources
US6321338B1 (en) 1998-11-09 2001-11-20 Sri International Network surveillance
WO2000034867A1 (en) 1998-12-09 2000-06-15 Network Ice Corporation A method and apparatus for providing network and computer system security
US6681331B1 (en) 1999-05-11 2004-01-20 Cylant, Inc. Dynamic software system intrusion detection
US6671811B1 (en) 1999-10-25 2003-12-30 Visa Internation Service Association Features generation for use in computer network intrusion detection
US6769066B1 (en) 1999-10-25 2004-07-27 Visa International Service Association Method and apparatus for training a neural network model for use in computer network intrusion detection
US6519703B1 (en) 2000-04-14 2003-02-11 James B. Joyce Methods and apparatus for heuristic firewall
US20030051026A1 (en) * 2001-01-19 2003-03-13 Carter Ernst B. Network surveillance and security system
US7290283B2 (en) 2001-01-31 2007-10-30 Lancope, Inc. Network port profiling
US7458094B2 (en) 2001-06-06 2008-11-25 Science Applications International Corporation Intrusion prevention system
US7331061B1 (en) 2001-09-07 2008-02-12 Secureworks, Inc. Integrated computer security management system and method
US7543056B2 (en) 2002-01-15 2009-06-02 Mcafee, Inc. System and method for network vulnerability detection and reporting
US7448084B1 (en) * 2002-01-25 2008-11-04 The Trustees Of Columbia University In The City Of New York System and methods for detecting intrusions in a computer system by monitoring operating system registry accesses
US7225343B1 (en) * 2002-01-25 2007-05-29 The Trustees Of Columbia University In The City Of New York System and methods for adaptive model generation for detecting intrusions in computer systems
ATE374493T1 (de) 2002-03-29 2007-10-15 Global Dataguard Inc Adaptive verhaltensbezogene eindringdetektion
US7603711B2 (en) 2002-10-31 2009-10-13 Secnap Networks Security, LLC Intrusion detection system
US7454499B2 (en) 2002-11-07 2008-11-18 Tippingpoint Technologies, Inc. Active network defense system and method
US7376969B1 (en) 2002-12-02 2008-05-20 Arcsight, Inc. Real time monitoring and analysis of events from multiple network security devices
US7483972B2 (en) * 2003-01-08 2009-01-27 Cisco Technology, Inc. Network security monitoring system
US7603710B2 (en) * 2003-04-03 2009-10-13 Network Security Technologies, Inc. Method and system for detecting characteristics of a wireless network
US8640234B2 (en) 2003-05-07 2014-01-28 Trustwave Holdings, Inc. Method and apparatus for predictive and actual intrusion detection on a network
US7386883B2 (en) 2003-07-22 2008-06-10 International Business Machines Corporation Systems, methods and computer program products for administration of computer security threat countermeasures to a computer system
JP3922375B2 (ja) 2004-01-30 2007-05-30 インターナショナル・ビジネス・マシーンズ・コーポレーション 異常検出システム及びその方法
US20050198363A1 (en) * 2004-02-05 2005-09-08 Yibei Ling Preserving HTTP sessions in heterogeneous wireless environments
US7406606B2 (en) 2004-04-08 2008-07-29 International Business Machines Corporation Method and system for distinguishing relevant network security threats using comparison of refined intrusion detection audits and intelligent security analysis
EP1589716A1 (en) 2004-04-20 2005-10-26 Ecole Polytechnique Fédérale de Lausanne (EPFL) Method of detecting anomalous behaviour in a computer network
US8458793B2 (en) 2004-07-13 2013-06-04 International Business Machines Corporation Methods, computer program products and data structures for intrusion detection, intrusion response and vulnerability remediation across target computer systems
EP1817648B1 (en) 2004-11-26 2020-09-16 Telecom Italia S.p.A. Instrusion detection method and system, related network and computer program product therefor
US7784099B2 (en) 2005-02-18 2010-08-24 Pace University System for intrusion detection and vulnerability assessment in a computer network using simulation and machine learning
US7814548B2 (en) 2005-09-13 2010-10-12 Honeywell International Inc. Instance based learning framework for effective behavior profiling and anomaly intrusion detection
US8079080B2 (en) 2005-10-21 2011-12-13 Mathew R. Syrowik Method, system and computer program product for detecting security threats in a computer network
WO2007070838A2 (en) * 2005-12-13 2007-06-21 Crossbeam Systems, Inc. Systems and methods for processing data flows
WO2008051258A2 (en) 2005-12-21 2008-05-02 University Of South Carolina Methods and systems for determining entropy metrics for networks
CA2531410A1 (en) 2005-12-23 2007-06-23 Snipe Network Security Corporation Behavioural-based network anomaly detection based on user and group profiling
US20070204345A1 (en) 2006-02-28 2007-08-30 Elton Pereira Method of detecting computer security threats
US7809740B2 (en) 2006-03-29 2010-10-05 Yahoo! Inc. Model for generating user profiles in a behavioral targeting system
US7739082B2 (en) 2006-06-08 2010-06-15 Battelle Memorial Institute System and method for anomaly detection
US8443443B2 (en) 2006-10-04 2013-05-14 Behaviometrics Ab Security system and method for detecting intrusion in a computerized system
US7840377B2 (en) 2006-12-12 2010-11-23 International Business Machines Corporation Detecting trends in real time analytics
MX2009008376A (es) 2007-02-08 2009-12-14 Behavioral Recognition Systems Sistema de reconocimiento conductual.
US8015133B1 (en) * 2007-02-20 2011-09-06 Sas Institute Inc. Computer-implemented modeling systems and methods for analyzing and predicting computer network intrusions
US8392997B2 (en) 2007-03-12 2013-03-05 University Of Southern California Value-adaptive security threat modeling and vulnerability ranking
US7770203B2 (en) 2007-04-17 2010-08-03 International Business Machines Corporation Method of integrating a security operations policy into a threat management vector
US8707431B2 (en) 2007-04-24 2014-04-22 The Mitre Corporation Insider threat detection
US8296850B2 (en) 2008-05-28 2012-10-23 Empire Technology Development Llc Detecting global anomalies
US8326987B2 (en) 2008-11-12 2012-12-04 Lin Yeejang James Method for adaptively building a baseline behavior model
US8572736B2 (en) 2008-11-12 2013-10-29 YeeJang James Lin System and method for detecting behavior anomaly in information access
US8769684B2 (en) 2008-12-02 2014-07-01 The Trustees Of Columbia University In The City Of New York Methods, systems, and media for masquerade attack detection by monitoring computer user behavior
US8239668B1 (en) 2009-04-15 2012-08-07 Trend Micro Incorporated Computer security threat data collection and aggregation with user privacy protection
US8260779B2 (en) * 2009-09-17 2012-09-04 General Electric Company Systems, methods, and apparatus for automated mapping and integrated workflow of a controlled medical vocabulary
US20120137367A1 (en) 2009-11-06 2012-05-31 Cataphora, Inc. Continuous anomaly detection based on behavior modeling and heterogeneous information analysis
US8528091B2 (en) 2009-12-31 2013-09-03 The Trustees Of Columbia University In The City Of New York Methods, systems, and media for detecting covert malware
US8424091B1 (en) 2010-01-12 2013-04-16 Trend Micro Incorporated Automatic local detection of computer security threats
US8863279B2 (en) 2010-03-08 2014-10-14 Raytheon Company System and method for malware detection
US8473415B2 (en) 2010-05-04 2013-06-25 Kevin Paul Siegel System and method for identifying a point of compromise in a payment transaction processing system
US9032521B2 (en) 2010-10-13 2015-05-12 International Business Machines Corporation Adaptive cyber-security analytics
EP3522492A1 (en) 2012-03-22 2019-08-07 Triad National Security, LLC Path scanning for the detection of anomalous subgraphs, anomaly/change detection and network situational awareness
US8813228B2 (en) * 2012-06-29 2014-08-19 Deloitte Development Llc Collective threat intelligence gathering system
US8973140B2 (en) 2013-03-14 2015-03-03 Bank Of America Corporation Handling information security incidents
US8898784B1 (en) 2013-05-29 2014-11-25 The United States of America, as represented by the Director, National Security Agency Device for and method of computer intrusion anticipation, detection, and remediation
US20140364973A1 (en) 2013-06-06 2014-12-11 Zih Corp. Method, apparatus, and computer program product for monitoring health, fitness, operation, or performance of individuals
US9898741B2 (en) 2013-07-17 2018-02-20 Visa International Service Association Real time analytics system

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120072983A1 (en) * 2010-09-20 2012-03-22 Sonalysts, Inc. System and method for privacy-enhanced cyber data fusion using temporal-behavioral aggregation and analysis

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3451615A1 (en) 2017-08-28 2019-03-06 Fujitsu Limited Cyber attack information processing apparatus and method
US11075953B2 (en) 2017-08-28 2021-07-27 Fujitsu Limited Cyber attack information processing apparatus and method
JP2019062272A (ja) * 2017-09-25 2019-04-18 PIPELINE Security株式会社 サイバーセキュリティフレームワークボックス
US20190279042A1 (en) * 2018-03-06 2019-09-12 Tazi Al Systems, Inc. Human understandable online machine learning system
WO2019220833A1 (ja) * 2018-05-18 2019-11-21 株式会社島津製作所 診断支援システムおよび診断支援装置
JPWO2019220833A1 (ja) * 2018-05-18 2021-04-08 株式会社島津製作所 診断支援システム、診断支援装置および診断支援方法
JP7115693B2 (ja) 2018-05-18 2022-08-09 株式会社島津製作所 診断支援システム、診断支援装置および診断支援方法

Also Published As

Publication number Publication date
EP3095034A2 (en) 2016-11-23
SG11201703164RA (en) 2017-05-30
CA2934311C (en) 2017-06-13
IL251719B (en) 2019-07-31
WO2016109005A2 (en) 2016-07-07
LT3095034T (lt) 2019-09-25
CN106170772B (zh) 2018-04-17
EP3095034B1 (en) 2019-05-29
IL251719A0 (en) 2017-06-29
JP6196397B2 (ja) 2017-09-13
PL3095034T3 (pl) 2019-11-29
WO2016109005A3 (en) 2016-09-09
HK1225475A1 (zh) 2017-09-08
US20160112443A1 (en) 2016-04-21
US9306965B1 (en) 2016-04-05
EP3095034A4 (en) 2017-09-06
CA2934311A1 (en) 2016-09-02
ES2736099T3 (es) 2019-12-26
CN106170772A (zh) 2016-11-30

Similar Documents

Publication Publication Date Title
JP6196397B2 (ja) サイバーセキュリティシステム
EP3800856B1 (en) A cyber security appliance for a cloud infrastructure
Ullah et al. Architectural tactics for big data cybersecurity analytics systems: a review
US10530789B2 (en) Alerting and tagging using a malware analysis platform for threat intelligence made actionable
JP6916112B2 (ja) ネットワークデータ特性評価のシステムと方法
US10320813B1 (en) Threat detection and mitigation in a virtualized computing environment
US10200389B2 (en) Malware analysis platform for threat intelligence made actionable
US10230749B1 (en) Automatically grouping malware based on artifacts
WO2017151515A1 (en) Automatically grouping malware based on artifacts
WO2020150453A1 (en) Classification of network packet data
Fetjah et al. Toward a big data architecture for security events analytic
US11415425B1 (en) Apparatus having engine using artificial intelligence for detecting behavior anomalies in a computer network
US11397808B1 (en) Attack detection based on graph edge context
US20210092159A1 (en) System for the prioritization and dynamic presentation of digital content
Mir et al. An Enhanced Implementation of Security Management System (SSMS) using UEBA in Smart Grid based SCADA Systems
US11856023B2 (en) Identification of invalid advertising traffic
US11930039B1 (en) Metric space modeling of network communication
Oral et al. Real-Time System Log Monitoring/Analytics Framework

Legal Events

Date Code Title Description
A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20170327

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170411

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170707

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170801

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170817

R150 Certificate of patent or registration of utility model

Ref document number: 6196397

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250