JP2018521430A - コンピュータネットワークにおけるセキュリティを管理する方法及び装置 - Google Patents
コンピュータネットワークにおけるセキュリティを管理する方法及び装置 Download PDFInfo
- Publication number
- JP2018521430A JP2018521430A JP2018510311A JP2018510311A JP2018521430A JP 2018521430 A JP2018521430 A JP 2018521430A JP 2018510311 A JP2018510311 A JP 2018510311A JP 2018510311 A JP2018510311 A JP 2018510311A JP 2018521430 A JP2018521430 A JP 2018521430A
- Authority
- JP
- Japan
- Prior art keywords
- security
- module
- algorithm
- data
- sub
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 128
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 322
- 230000006399 behavior Effects 0.000 claims abstract description 162
- 230000004044 response Effects 0.000 claims abstract description 118
- 238000004458 analytical method Methods 0.000 claims abstract description 88
- 230000008447 perception Effects 0.000 claims abstract description 51
- 230000009471 action Effects 0.000 claims abstract description 44
- 238000012552 review Methods 0.000 claims abstract description 44
- 238000001514 detection method Methods 0.000 claims abstract description 43
- 230000012010 growth Effects 0.000 claims abstract description 38
- 238000012544 monitoring process Methods 0.000 claims abstract description 34
- 238000012545 processing Methods 0.000 claims abstract description 34
- 238000000926 separation method Methods 0.000 claims abstract description 20
- 238000010801 machine learning Methods 0.000 claims abstract description 7
- 230000007123 defense Effects 0.000 claims abstract description 5
- 230000008569 process Effects 0.000 claims description 100
- 238000007726 management method Methods 0.000 claims description 85
- 230000003068 static effect Effects 0.000 claims description 52
- 241000270322 Lepidosauria Species 0.000 claims description 50
- 230000006870 function Effects 0.000 claims description 35
- 239000000203 mixture Substances 0.000 claims description 25
- 238000012502 risk assessment Methods 0.000 claims description 24
- 230000008859 change Effects 0.000 claims description 23
- 230000003252 repetitive effect Effects 0.000 claims description 17
- 238000003860 storage Methods 0.000 claims description 16
- 238000012913 prioritisation Methods 0.000 claims description 14
- 238000012546 transfer Methods 0.000 claims description 14
- 239000002131 composite material Substances 0.000 claims description 13
- 230000007773 growth pattern Effects 0.000 claims description 13
- 230000000694 effects Effects 0.000 claims description 11
- 230000007774 longterm Effects 0.000 claims description 11
- 238000012795 verification Methods 0.000 claims description 11
- 230000007704 transition Effects 0.000 claims description 9
- 230000008901 benefit Effects 0.000 claims description 8
- 230000010354 integration Effects 0.000 claims description 8
- 238000011161 development Methods 0.000 claims description 7
- 238000013475 authorization Methods 0.000 claims description 5
- 230000010365 information processing Effects 0.000 claims description 5
- 238000012360 testing method Methods 0.000 claims description 5
- 238000000151 deposition Methods 0.000 claims description 4
- 238000009826 distribution Methods 0.000 claims description 4
- 239000000284 extract Substances 0.000 claims description 4
- 238000012986 modification Methods 0.000 claims description 4
- 230000004048 modification Effects 0.000 claims description 4
- 238000010223 real-time analysis Methods 0.000 claims description 4
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 claims description 2
- 230000002265 prevention Effects 0.000 claims description 2
- 238000001784 detoxification Methods 0.000 claims 2
- 150000001875 compounds Chemical class 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 33
- 230000008520 organization Effects 0.000 description 21
- 238000012216 screening Methods 0.000 description 16
- 238000011835 investigation Methods 0.000 description 13
- 241000282412 Homo Species 0.000 description 12
- 238000011156 evaluation Methods 0.000 description 10
- 230000006698 induction Effects 0.000 description 10
- 238000013473 artificial intelligence Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 5
- 230000000737 periodic effect Effects 0.000 description 5
- 230000003449 preventive effect Effects 0.000 description 5
- 238000011012 sanitization Methods 0.000 description 5
- 230000015572 biosynthetic process Effects 0.000 description 4
- 230000000739 chaotic effect Effects 0.000 description 4
- 238000006243 chemical reaction Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000012549 training Methods 0.000 description 4
- 230000005856 abnormality Effects 0.000 description 3
- 230000003542 behavioural effect Effects 0.000 description 3
- 238000013434 data augmentation Methods 0.000 description 3
- 238000009795 derivation Methods 0.000 description 3
- 238000002955 isolation Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000007935 neutral effect Effects 0.000 description 3
- 238000011282 treatment Methods 0.000 description 3
- 238000010200 validation analysis Methods 0.000 description 3
- 230000002547 anomalous effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000001364 causal effect Effects 0.000 description 2
- 239000012634 fragment Substances 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 230000008439 repair process Effects 0.000 description 2
- 238000003786 synthesis reaction Methods 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 206010024774 Localised infection Diseases 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000004931 aggregating effect Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000003466 anti-cipated effect Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000009118 appropriate response Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000003190 augmentative effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 208000014797 chronic intestinal pseudoobstruction Diseases 0.000 description 1
- 239000003086 colorant Substances 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 235000009508 confectionery Nutrition 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000012936 correction and preventive action Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 238000011842 forensic investigation Methods 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012804 iterative process Methods 0.000 description 1
- 238000011068 loading method Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 230000000069 prophylactic effect Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000005067 remediation Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000005316 response function Methods 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 238000007493 shaping process Methods 0.000 description 1
- 238000002791 soaking Methods 0.000 description 1
- 230000001629 suppression Effects 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01C—MEASURING DISTANCES, LEVELS OR BEARINGS; SURVEYING; NAVIGATION; GYROSCOPIC INSTRUMENTS; PHOTOGRAMMETRY OR VIDEOGRAMMETRY
- G01C21/00—Navigation; Navigational instruments not provided for in groups G01C1/00 - G01C19/00
- G01C21/38—Electronic maps specially adapted for navigation; Updating thereof
- G01C21/3863—Structures of map data
- G01C21/387—Organisation of map data, e.g. version management or database structures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
- G06N5/022—Knowledge engineering; Knowledge acquisition
- G06N5/025—Extracting rules from data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N5/00—Details of television systems
- H04N5/04—Synchronising
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N5/00—Details of television systems
- H04N5/04—Synchronising
- H04N5/06—Generation of synchronising signals
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Artificial Intelligence (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Remote Sensing (AREA)
- Radar, Positioning & Navigation (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Medical Informatics (AREA)
- Computational Linguistics (AREA)
- Automation & Control Theory (AREA)
- Databases & Information Systems (AREA)
- Multimedia (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 真のインシデントを特定するために、毎秒天文学的な数のイベントおよびアラートを分析し、続いて、該当する/許可された/指定された関係者に真のインシデントを転送し、最終処理および/または自動処理/修正処置を行うために、当該真のインシデントに対して、可変インシデント型または閾値基準に基づくトリアージを行う、ネットワークセキュリティフレームワークを提供する。【解決手段】 コンピュータネットワークにおけるセキュリティを管理するための方法および装置は、反復型知的成長、反復的進化、および進化系統の各アルゴリズム、情報型識別部、共謀検知、メディアスキャナ、特権分離分析、ユーザリスク管理、および外来エンティティ管理の各のサブアルゴリズム、ならびに、セキュリティ挙動、案出、人為脅威、自動成長誘導、応答/汎用パーサ、セキュリティ審査モジュール、及び監視連携システムの各モジュール、を備える。各アルゴリズムには、マルウェア予測追跡、サイバースペースにおける秘密オペレーションによる秘密機械学習返報、論理的推論によるゼロデータベースの演繹型リアルタイム防御、クラウドおよび階層化情報セキュリティによる重要インフラストラクチャー防護および返報、およびクリティカルシンキング・メモリ・パーセプション、が含まれる。【選択図】図1
Description
関連出願の相互参照
本出願は、「コンピュータネットワークにおけるセキュリティを管理する方法および装置」と題する、2015年5月4日出願の米国仮特許出願第62/156,884号、「サイバーセキュリティアルゴリズム」と題する、2015年7月28日出願の米国仮特許出願第62/198,091号、「サイバーセキュリティサブアルゴリズム」と題する、2015年8月18日出願の米国仮特許出願第62/206,675号、「CIPOベースの反復型知的成長および反復型進化と」題する、2015年8月27日出願の米国仮特許出願第62/210,546号、「サイバーセキュリティスイート」と題する、2015年9月18日出願の米国仮特許出願第62/220,914号、「サイバースペースにおける秘密オペレーションによる秘密機械学習返報」と題する、2016年1月24日出願の米国仮特許出願第62/286,437号、「論理的推論によるゼロデータベースの演繹型リアルタイム防御」と題する、2016年2月11日出願の米国仮特許出願第62/294,258号、「クラウドおよび階層化情報セキュリティ(CTIS)による重要インフラストラクチャー防護および返報(CIPR)」と題する、2016年3月13日出願の米国仮特許出願第62/307,558号、および「クリティカルシンキングメモリおよびパーセプション(CTMP)」と題する、2016年4月16日出願の米国仮特許出願第62/323,657号、の優先権を主張し、それらの開示を参照することにより、本明細書に記載されているかのように、本明細書に組み入れる。
本出願は、「コンピュータネットワークにおけるセキュリティを管理する方法および装置」と題する、2015年5月4日出願の米国仮特許出願第62/156,884号、「サイバーセキュリティアルゴリズム」と題する、2015年7月28日出願の米国仮特許出願第62/198,091号、「サイバーセキュリティサブアルゴリズム」と題する、2015年8月18日出願の米国仮特許出願第62/206,675号、「CIPOベースの反復型知的成長および反復型進化と」題する、2015年8月27日出願の米国仮特許出願第62/210,546号、「サイバーセキュリティスイート」と題する、2015年9月18日出願の米国仮特許出願第62/220,914号、「サイバースペースにおける秘密オペレーションによる秘密機械学習返報」と題する、2016年1月24日出願の米国仮特許出願第62/286,437号、「論理的推論によるゼロデータベースの演繹型リアルタイム防御」と題する、2016年2月11日出願の米国仮特許出願第62/294,258号、「クラウドおよび階層化情報セキュリティ(CTIS)による重要インフラストラクチャー防護および返報(CIPR)」と題する、2016年3月13日出願の米国仮特許出願第62/307,558号、および「クリティカルシンキングメモリおよびパーセプション(CTMP)」と題する、2016年4月16日出願の米国仮特許出願第62/323,657号、の優先権を主張し、それらの開示を参照することにより、本明細書に記載されているかのように、本明細書に組み入れる。
本発明は、サイバーセキュリティ上のアラートまたはイベントを検証するために手動で行っているプロセスを、自動化して処理するためのフレームワークに関する。より詳細には、本発明は、修正処置を行うために、イベント/データを部分ごとに分割し、それらの相互関係を検討することにより、イベント/データを系統的に検査するシステムに関する。
FireEye,Inc.のレポートである、「数の駆け引き:多過ぎて捌ききれない量のアラート」、によれば、セキュリティアラートの件数が急激に増加したことで、セキュリティアラートに対してタイムリーかつ効果的に管理および対処することに、組織は苦慮している。アラートが把握され正しくカテゴリ化されるとしても、その途方もない量に圧倒されてしまう。そしてそれらのアラートに迅速に対応しなければ、壊滅的な結果を招く可能性がある。この大量のアラートにより要求される管理レベルは、大部分の企業が現実的に維持できるレベルを越えている。あらゆるレベルのセキュリティ要員がデータの山をかき分け、誤警報や重複する警報に向き合っている。セキュリティチームは、ノイズの入ったデータをより分け、アラートを選別しているが、それでも、上位のレベルで処理する必要のあるものがあまりに多過ぎる。アメリカ合衆国においては、37%の組織が1ヶ月に5万件以上のアラートに直面している。これに対応するITセキュリティの専門家は、通常、セキュリティ上の責任を多く担っているが、このことが、アラートを見逃す可能性をより高くしている。負担が重すぎてアナリストがアラートをくまなく審査するのに十分な時間がない、あるいはアナリストがアラートの調査における専門家でない場合、損害の大きなミスが生じる。アラートの半数以上は疑陽性であり、ノイズは重大な問題である。これらのアラートが関係付けられ重複が排除されていなければ、恐らくこの数はさらに多くなる。なぜなら、これらのアラートの3分の1以上は、冗長なものであるからである。これら全てのことが、プラットフォームが、ただ無駄なデータをあまりに多く生成するというシナリオに加わる。さらに悪いことには、全てのアラートを審査するために、貴重な時間が無駄になっている。この審査プロセスにはコストが掛かる。冗長なアラートを自動的に無視するプロセスを有している会社は60%未満に過ぎない。アラートを自動的に無視しているというのは、これらの会社が、半分以下の時間で、実際に悪意のイベントを含むアラートに手動で対応していることを意味している。危険なアラートの審査は、第一段階にすぎない。そして、アナリストは、あるアラートが実際の攻撃をさすものあるのかを特定し,セキュリティが損なわれたシステムを修復し、損害を減ずるために科学捜査的な調査を完結させる必要がある。初期段階の審査時間における遅延は、いかなるものでもこのプロセス全体をペースダウンさせる。プロセスを最終的に成功させるためには、アラートが正確にカテゴリ化されなければならない。仮に、危険なアラートが低い優先順位にラベリングされ、迅速な応答がなされない場合、悲惨な結果を招きうる。あまりにも多くの場合、企業は、どのようにこのプロセスを改善すべきかを決定することはなく、どちらかといえばただ現状を維持しようとしているのである。もし企業のリソースが再配分されれば、アラート管理は軽快で効率的なものになるかもしれない。組織は、先を見越したテストの実行、ポリシーの審査、およびアラートプロセスをよりうまく管理するための新たな戦略を含む代替案を検討する必要がある。
Zaitsevへの米国特許第8776241号には、イベント収集モジュール、イベント分析モジュール、およびソリューションモジュールを備える、コンピュータネットワークにおけるセキュリティ関連インシデントの自動分析システム、が開示されている。イベント収集モジュールは、複数のクライアントコンピュータからインシデント関連情報を取得する。イベント分析モジュールは、インシデント関連情報に基づき、最初のインシデントの原因に関係し、最初のインシデントの根本原因を示す一連のイベントを再構築する。ソリューションモジュールは、クライアントコンピュータの役に立つ勧告を練り上げる。勧告は当該一連のイベントに基づいており、最初のインシデントに応答することに特化した修正/防止処置を含んでいる。
Thielamayによる米国特許出願第20060191007号には、中央管理センター、ハードウェアおよびソフトウェアの情報を中枢データベースに集めるセキュリティ体制モジュール、既知のセキュリティ脆弱性のための環境に対してポーリングを行う監査モジュール、セキュリティ勧告を取得して処理する脅威分析モジュール、ネットワークセキュリティの全体的な健全性を閲覧するための上級管理者ダッシュボードモジュール、システムリスクを分析するための定義済みメトリックを提供するリスク分析モジュール、現時点およびこれまでにあったセキュリティ課題の保存および追跡のためのトラブルチケット発行モジュール、インフラストラクチャーにおける問題の分析および解決を行う解決モジュール、データを照合して環境の整合性を保証する相関関係エンジンモジュール、および、システムのセキュリティを破ろうとする際に不正なユーザが使用する技術を特定するインシデント発見モジュール、を備える自動化されたセキュリティ監視および管理フレームワークが開示されている。
Winkler、他への米国特許第8457996号には、モデルベースの事業継続管理フレームワークが開示されている。ビジネスプロセスモデルハンドラが、有向グラフにしたがって配置されている複数のタスクを含むビジネスプロセスモデルを決定する。複数のタスクの一部が、それらのタスクを実行するための要件と紐付いている。情報技術トポロジーモデルハンドラが、少なくとも複数のタスクの一部を実行するために使用される、ネットワークに接続されたリソースとともに、情報技術トポロジーモデルを決定する。挙動モデルジェネレータが、挙動情報ライブラリからリソースの挙動を決定し、複数のタスクとそれぞれの要件が、リソースと、複数のタスクそれぞれの挙動と結びつけられている、挙動モデルを生成する。継続アナライザが、挙動モデルに基づいて継続性分析結果を提供する。
Houston、他への米国特許第7921459号には、ネットワーク上のセキュリティイベントを管理するためのシステムおよび方法が開示されている。システムは、監視されているコンピューティングネットワークに置かれたセキュリティ装置からのセキュリティイベントデータを収集するイベント管理ソフトウェアモジュールを利用している。セキュリティイベントデータの処理においては、イベントマネージャモデルが、データを整形して管理可能なデータのサマリを作成できる。イベントマネージャモデルは、セキュリティイベントデータと、そのデータに対して実行されたあらゆる処理の結果の保管もサポートしている。セキュリティイベントデータは、セキュリティイベントへの応答のために使用するため、イベントマネージャによって特定される。Newton、他への米国特許第8209759号には、セキュリティインシデントマネージャが開示されており、セキュリティインシデントマネージャは、攻撃の分析におけるイベントおよびネットワークフローを含んでいる。未加工イベントが、監視されているデバイスによってレポートされ、インシデントマネージャは、未加工イベントに対応する各種デバイスに対してネットワークフローを要求できる。そしてマネージャは、自身の次の処理工程を決定するために、そのイベントの重大度、該当性、および信憑性に、可変のスコアを割り当てる。確実で効果的な攻撃と見受けられるイベントが、違反であると分類される。
"The Numbers Game: How Many Alerts are too Many to Handle?"、 FireEye, Inc. 2015年1月
本発明の目的は、真のインシデントを特定するために、毎秒天文学的な数のイベントおよびアラートを分析し、続いて、該当する/許可された/指定された関係者に真のインシデントを転送し、最終処理および/または自動処理/修正処置を行うために、当該真のインシデントに対して、種々のインシデント型または閾値基準に基づくトリアージを行う、ネットワークセキュリティフレームワークを提供することである。
各コンピュータデバイスに、セキュリティ選別プログラムがインストールされている。セキュリティ選別プログラムは、インシデント候補を見つけ出すために、コンピュータデバイスを通過するネットワークトラフィックを選別する。所定の選別ルールのもとでインシデント候補を見つけた場合、セキュリティ選別プログラムはアラートを生成する。当該インシデント候補がインシデントではないと判断された場合、二次レベルモジュールが、その選別ルールを変更するためのフィードバックソリューションを作成し、選別ルールフィードバックレポートを生成し、各コンピュータデバイスに送信する。この選別ルールフィードバックレポートには、選別ルールを変更するためのフィードバックソリューションが含まれている。
第一の選別判定基準は疑陽性である。インシデント候補が疑陽性であると判断された場合、第一層モジュールが、疑陽性レポートを生成してコンピュータデバイスのセキュリティ選別プログラムに送信する。疑陽性レポートには、選別ルールを変更するためのソリューションが含まれている。
第一レベルモジュールは、インシデント候補を記述する既定のインシデント評価フォームにデータを入力し、データが入力されたインシデント評価フォームを、特定のフォーム検証ルールのもとで検証する。既定のインシデント評価フォームおよび特定のフォーム検証ルールが、指定された部署ごとに異なる分類に関連している。
本発明のセキュリティサーバは、セキュリティアラートまたはイベントを分析し、企業/組織の各種の事業または職能部門の要求および要件に基づき、トリアージ(カテゴリ化、関係付け、優先順位付け、さらなる調査および応答のため、担当者(法務、人事、プライバシー、情報開示、サイバーセキュリティ、ポリシー、運用、CSIRC(コンピュータセキュリティインシデント対応機能)、SOC(セキュリティオペレーションセンター)、総括監察官、セキュリティ、等)へのイベント割り当て)を実行し、あるいは前述の企業/組織の各種の事業または職能部門の要件に基づき修正処置を実行することで、セキュリティ脅威を修復し、損害を減ずるために有用な科学捜査情報を提供/利用する。
本発明のシステムはデバイス(例えば、サーバ、または小規模な配置用の他の機器)で稼働させることができ、あるいは、毎秒天文学的な数のイベントおよびアラートを処理するために、仮想(多数のクライアント向け)または専用(各クライアント向け)のクラウドベース環境で実行させることができる。
本発明の重要な特性は以下の通りである。
1)システムは、イベントおよびアラートの分析を通じてインシデントを即座に押さえ込むことを可能にするため、何が起こったのかを発見する。
2)システムは、以下のことを決定するために、インシデントの人的要素を読み解くための科学捜査プロセスにかかる時間を、自動化を通じて、ミリ秒、秒、または分単位にまで削減する。
a.何が為されたのか
b.なぜそれが為されたのか
c.どこでそれが起きたのか
d.いつそれが起きたのか
e.どのようにしてそれが起きたのか
f.誰がそれを為したのか
g.サイバーセキュリティインシデント/攻撃に関する特性
i.それは企業/組織/エンティティにとって重大であるか
ii.あるいは、単なる気晴らし目的の個人またはグループのコンピュータハッカー(データが機密性のものではない、等)であるか
iii.その他
3)システムは、インシデントが再び発生することを防ぐために、任意の影響を即座に押さえ込み脆弱性に対処するにはどうすればよいかを決定する。
1)システムは、イベントおよびアラートの分析を通じてインシデントを即座に押さえ込むことを可能にするため、何が起こったのかを発見する。
2)システムは、以下のことを決定するために、インシデントの人的要素を読み解くための科学捜査プロセスにかかる時間を、自動化を通じて、ミリ秒、秒、または分単位にまで削減する。
a.何が為されたのか
b.なぜそれが為されたのか
c.どこでそれが起きたのか
d.いつそれが起きたのか
e.どのようにしてそれが起きたのか
f.誰がそれを為したのか
g.サイバーセキュリティインシデント/攻撃に関する特性
i.それは企業/組織/エンティティにとって重大であるか
ii.あるいは、単なる気晴らし目的の個人またはグループのコンピュータハッカー(データが機密性のものではない、等)であるか
iii.その他
3)システムは、インシデントが再び発生することを防ぐために、任意の影響を即座に押さえ込み脆弱性に対処するにはどうすればよいかを決定する。
セキュリティイベントは、ネットワークサービスまたはITサービスの日常的なオペレーションにおける変化であり、セキュリティポリシー違反が発生した可能性、あるいはセキュリティ防御処置が失敗した可能性があることを示している。
イベントの最初の兆候は、ソフトウェアで定義されたアラートから、あるいは、ネットワークサービスが重くなったことをエンドユーザがヘルプデスクに知らせることによってもたらされるかもしれない。
コンピュータデバイスには、任意のセキュリティイベントジェネレータまたはデバイス、つまり、ルータ、コンピュータ(ノートパソコン、PC、タブレット、等)、モバイルデバイス、等が含まれる。
第二層モジュールの人間によるインシデント検証分析は、正確さ、効率、および有効性を保証するため、人間、あるいはイベントの生成から修正処置までのセキュリティイベント分析ライフサイクル全体を自動化する、セキュリティイベントアナライザによって実行することができる。
本発明の要点は以下の通りである。(1)情報分析への階層化アプローチ、(2)各層における粒度レベル、(3)部署固有の粒度、(4)組織および各部署(組織内の部署、例えば、総括監察官、法務、金融、プライバシー、ネットワークセキュリティ、等)固有の要件およびポリシーに基づいて、イベント生成から修正処置までのセキュリティイベントライフサイクル全体の分析を自動化すること。
この目的を達成するため、本発明は、セキュリティイベントを処理するコンピュータセキュリティシステムを提供し、コンピュータセキュリティシステムは、複数のサブアルゴリズムを備える挙動モジュールであって、各サブアルゴリズムが、既定のセキュリティ問題に関連した既定のカテゴリに対応する、挙動モジュールと、挙動モジュールの出力に基づくセキュリティ分析を提供する、コンビネーションモジュールを備える。
複数のサブアルゴリズムは、並行して実行され、各サブアルゴリズムが、入力を処理し、出力を格納する。情報処理リクエストが、少なくとも1つのサブアルゴリズムに送信され、各サブアルゴリズムは、セキュリティイベントのデータを処理し、各サブアルゴリズムの結果が、そのサブアルゴリズムのためのデータベースに格納される。
システムは、予め定められた確信度レベルを超える前記複数のサブアルゴリズムの結果を選別する、高確信度フィルタをさらに備える。コンビネーションリクエストが、コンビネーションアルゴリズムに送信され、コンビネーションアルゴリズムは、コンビネーションリクエストの型に応じて2つ以上のサブアルゴリズムを合成し、コンビネーションアルゴリズムは、既定の判定基準に基づいて結果を選択する。
システムは、ポリシーと挙動との組み合わせに基づいてセキュリティイベントのカテゴリを決定する、カテゴリ化モジュールと、セキュリティイベントの挙動パターンに基づいてセキュリティイベントを選り分ける、パターンマッチングモジュールをさらに備え、カテゴリ化モジュールは、パターンマッチングモジュールからの選別済みイベントのカテゴリを決定する。
挙動モジュールは挙動データベースと接続され、挙動データベースは複数のカテゴリを含むメタデータを格納する。複数のカテゴリはそれぞれ、参照識別子、第一概念、第二概念、およびアルゴリズムが決定した関連性インデックスを含む。システムは、入力されたイベントを無害化ポリシーに基づいて選別する、無害化モジュールをさらに備える。
本発明はさらに、多数のセキュリティイベントの背景をチェックし、多数のセキュリティイベント間のパターンおよび関係を決定する、共謀検知サブアルゴリズムと、未知データの型を決定し、選択したデータ型への確信度を申告し、確信度が既定のレベルよりも低い場合は失敗フラグを返す、情報型識別サブアルゴリズムを備える、サイバーセキュリティシステムを提供する。
共謀検知サブアルゴリズムにおいては、セキュリティイベントが情報型識別サブアルゴリズムによってパースされ、情報型識別サブアルゴリズムは、セキュリティイベントに該当する属性を導出し、属性は、外部のポリシー及び挙動の解釈によってチェックされ、セキュリティイベントが処理のための閾値を超えているかどうかが確認される。
セキュリティイベントに対して導出されたイベント属性が固有DBに格納され、導出されたイベント属性の全ての組み合わせが作成され、組み合わせは予め定められた許可ルールによって選択され、選択された組み合わせは、既定の類似係数を調べるために、固有DBに対して照会される。
幽霊ドメイン名への対策を講じるため、既定の類似係数は、同一の社会保障番号および同一の発生時刻を有すること、同一のIP LANサブネット範囲、同一の個人電話番号、および同一の個人アドレスを有すること、同一ドメイン名の異なる電子メールアドレスを有すること、同一ドメイン名に属する種々の電子メールアドレスを有すること、ならびに、あるドメイン名と、ドメイン名が指すと考えられるIPアドレスを有すること、を含んでいる。共謀検知サブアルゴリズムによるチェックの結果が、管理コンソールに通知される。
システムは、外来の脅威によって企業の隔離ネットワークに求められるものに基づいて、外来の脅威の重大度をアップグレードまたはダウングレードし、外来の脅威への認知を高めるために、第三者情報を受信する、外来エンティティ管理サブアルゴリズムと、あるユーザの記録に対して、既定のリスク係数に基づき総合リスク査定を判定する、ユーザリスク管理サブアルゴリズム、をさらに備える。
外来エンティティ管理サブアルゴリズムにおいては、セキュリティイベントが情報型識別サブアルゴリズムによってパースされ、当該セキュリティイベントに関与している、ネットワーク上の発信元およびユーザが導出され、当該セキュリティイベントのネットワーク上の発信元は、セキュリティ警戒リストに照らしてチェックされ、ユーザ情報がセキュリティ警戒リストで見つかった場合、当該ユーザは、ユーザリスク査定サブアルゴリズムによりチェックされる。チェックの結果が、外部のポリシー及び挙動に左右される、既定の閾値に基づいて考慮されて集約され、集約された結果が固有データベースに格納される。
情報型識別サブアルゴリズムにおいては、並列化を目的として、提供される未知データについては、入力は一括で行われている。情報型識別サブアルゴリズムは、当該未知データの属性を抽出し、属性には、長さ、数字/文字比、特殊文字が含まれる。抽出された属性は、DBのデータポイントと照合される。DBのデータポイントは、照合のために選択されたものである。照合のために、まずキャッシュがチェックされる。情報型識別サブアルゴリズムは、確信度レベルを求めるために照合結果を処理する。当該結果の確信度レベルが既定の閾値より低い場合、結果は切り捨てられる。既定の閾値は動的であってもよい。型親和性と属性の構成とを関係づけるためにパターン検知が実行され、高確信度を有するパターンはキャッシュに格納され、DBは計算されたパターンを含まないが、型と属性の静的な関係付けを含む。処理された結果がAPIに合わせて編集され、出力される。
システムは、メディアスキャナサブアルゴリズムであって、任意のメディアをスキャンし、このメディアの予期された構成に対して、違法な情報の転送、および一貫性のない/疑わしい挙動がないかチェックする、メディアスキャナサブアルゴリズム、をさらに備える。メディアスキャナサブアルゴリズムにおいては、メディアパースが実行され、与えられたメディア内の情報内で疑われるポイントがハイライトされ、疑われるポイントは、メタデータまたはこのメディアのRAWフォーマットに隠されている可能性があり、このメディアのデータおよびメタデータがスキャンされる。
情報内で疑われるポイントは、情報型識別サブアルゴリズムによって処理され、そこでユーザIDが処理されてユーザリスク管理サブアルゴリズムに渡され、他の全ての情報が、汎用パーサに渡される。汎用パーサは、リスクオブジェクトDBと連携することで、ファイル内に存在する危険な関連性を探す。危険な関連性が見つかった場合、このメディアは転送がブロックされ、リスクオブジェクトが生成され、ユーザリスク管理サブアルゴリズムには、このセキュリティイベントへの、該当するユーザの関与が通知される。
システムは、特権分離分析サブアルゴリズムであって、任意のユーザやプロセスがそれらに許可された特権割り当ての範囲内にあるかどうかを判定し、絶え間なく起動され、確認したあらゆる特権違反を、マスタープロセスおよびセカンダリプロセスにレポートし、セカンダリプロセスは、マスタープロセスがその特権違反に対して処置を行ったことについてダブルチェックを行う、特権分離分析サブアルゴリズムをさらに備える。特権分離分析サブアルゴリズムにおいては、ユーザ許可イベントが送信され、ユーザIDトークンと、リクエストされたアクセス/変更の場所が、情報型識別サブアルゴリズムにより抽出され、スレッドマネージャへ送られる。スレッドマネージャは、場所情報を受信し、アクセス/変更が許可されているのが誰かを調べるために、場所データベースを呼び出す、場所スレッドマネージャを備える。
場所許可バンクは、当該場所の許可要件を固有DB2から受信し、ユーザセキュリティリスクのため、予防措置としてどこかの場所をブロックすべきかどうかを判断するあるスレッドからの問い合わせを受け、予防措置レベルの閾値は、外部のポリシー及び挙動を経由して決定される。スレッドマネージャは、ユーザ情報を受信し、アクセス/変更が許可されている場所はどこかを調べるために、ユーザデータベースを呼び出し、また、このユーザに対して予防ポリシーの範囲でブロックすべき危険な場所を得るために、ユーザリスク管理サブアルゴリズムを呼び出す、ユーザスレッドマネージャを備える。
ユーザ許可バンクは、当該ユーザの許可属性を固有DB1から受信し、場所スレッドマネージャから、当該ユーザがこの場所においてリクエストされた処置を行うことを許可されているかどうかを確認する問い合わせを受ける。許可アグリゲータは、場所スレッドマネージャとユーザスレッドマネージャの結果を論理的に合成し、合成された結果を出力する。
ユーザリスク管理サブアルゴリズムにおいては、既定のリスク係数は、以前のポリシー違反、過度な使用状況、および遂行された疑わしい操作を含む。ユーザIDトークンが入力され、リスクの重大性の複数の関連オブジェクトを伴った、総合リスク査定パーセンテージが出力され、これらのオブジェクトは、さらなる分析のため、他のサブアルゴリズムから個別にアクセス可能である。当該ユーザに関するリスクオブジェクトが入力され、そのリスクオブジェクトと当該ユーザとの紐付けが記録される。ユーザIDトークンが、リスク査定レポートの生成、またはリスクオブジェクト参照をデポジットするために提供され、ユーザのリスク履歴が、デポジットされたリスクオブジェクト参照を使用して構築される。
リスクオブジェクト参照が提供される場合、今後の参照のため、データベース内へのデポジットが行われる。リスクオブジェクト参照のデポジットが行われない場合、スレッドマネージャはレポートの作成を要求し、当該ユーザのリスク履歴を査定するために、固有データベースにおいて、該当するユーザIDが調べられる。リスク格付が、リスクオブジェクトに対するリスク格付を与える固有DBから抽出され、リスク格付と、抽出されたリスクオブジェクトを使用して、最終集約レポートが作成され、出力に送られ、包括的主要リスクインデックスも出力に送られ、ユーザの直接リスク係数を特定するために使用される。
本発明はさらに、反復型知的成長の方法を提供し、方法は、初期ルールセットの入力を受信する工程と、複数のパーソナリティトレイトの入力を受信する工程であって、パーソナリティトレイトは、セキュリティイベントに対して働くべき反応的性質を定義する、工程と、パーソナリティトレイトを選び、そのパーソナリティトレイトを進化系統に割り当てる工程と、前記工程を、他の進化系統に対して、全てのパーソナリティトレイトについて繰り返す工程と、進化系統を実行する工程であって、進化系統はそれぞれ、与えられたパーソナリティトレイトにしたがって複数の世代を進化させる、工程、を備える。各進化系統の操作は、他の進化系統の操作からは仮想的に隔離されている。
パーソナリティトレイトは、i)関係の度合いに基づいてCPU時間を使用する、現実的なトレイト、ii)個人またはコンピュータシステムを含む、任意のエンティティについて、以前にセキュリティインシデントがあったかどうかに基づいてCPU時間を使用する、非寛容的なトレイト、iii)修正処置の利用可能性に基づいてCPU時間を使用する、日和見的なトレイト、またはiv)寛容さまたは許容範囲がほとんどない仮定に基づいてCPU時間を使用する、厳密で予防的なトレイト、を含む。CPU時間は、CPUサイクル数/秒で計測される。
監視および連携システムは、セキュリティイベントを、疑似セキュリティ脅威(AST)システムから進化系統に投入し、セキュリティ挙動クラウドから、セキュリティイベントに関連するセキュリティ応答を中継するものであり、進化系統のいずれかが、与えられたセキュリティ課題を解決できないという不定状態に対している場合は、その進化系統の実行が破棄され、破棄された進化系統のパーソナリティトレイトが変更され、変更されたパーソナリティトレイトは別の進化系統に割り当てられ、破棄された進化系統のセキュリティイベントは、この別の進化系統に投入され、この別の進化系統が実行され、監視および連携システムは、進化系統のパフォーマンスを出力し、パーソナリティトレイトを変更するための入力を受信する。
相互参照モジュールが、任意のセキュリティイベントへのセキュリティシステム応答を分析し、セキュリティシステム応答が意味のあるものであるかを判断し、このセキュリティシステム応答を、トレイトタグ付けモジュールに送る。トレイトタグ付けモジュールは、セキュリティシステム応答を、トレイトタグ付けモジュールに提供されたパーソナリティ型にしたがって分類する。トレイト連携モジュールは、パーソナリティトレイト同士の関係を分析し、分析結果がセキュリティ挙動クラウドに渡され、セキュリティ挙動クラウドは、分析結果を監視/連携システムに渡す。
本発明はさらに、サイバー脅威インテリジェンス識別統合および分析システムを提供し、サイバー脅威インテリジェンス識別統合および分析システムは、2つの親形状を受信し、2つの親形状をハイブリッド形状にマージするインテリジェントセレクタであって、親形状はデータの抽象的な構造を表す、インテリジェントセレクタと、システムが使用されているアルゴリズムの型を定義するモードモジュールであって、インテリジェントセレクタは、当該アルゴリズムの型に基づいてマージする部分を決定する、モードモジュールと、形状がどのようにマージされるべきかを決めるための、カスタム化データの入力を受信する、静的基準モジュールを備える。カスタム化データは、格付けの優先順位付け、所望のデータ比、およびモードモジュールによって定義されているアルゴリズムの型に応じて行われるマージを指揮するデータを含む。
インテリジェントセレクタは、静的基準モジュールにより提供されるカスタム化データに基づき、生データ比較を2つの親形状に対して行う、生データ比較モジュールを備え、生データ比較モジュールは、関連する変更点および非変更点を出力し、インテリジェントセレクタは、カスタム化データに基づいて変更点の重要性を格付けし、変更点と非変更点が、静的基準のカスタム化データおよび、モードのアルゴリズムの型に基づいてハイブリッド形状にマージされ、マージは、データの比分布、データの重要性、およびデータ間の関係の調整を含み、比モード、優先順位モード、およびスタイルモードが、システムにプリセットされている。
比モードにおいては、静的基準によって設定された比に応じて、共通している情報の量が選別され、この比が大きく設定されている場合は、大量の形状データがそのままハイブリッド形状にマージされ、この比が小さく設定されている場合は、ハイブリッド形状の大半が過去の反復状態結果とは大きく異なるように構築される。優先順位モードにおいては、ある形状の中の同じ箇所で、ある特徴の定義が双方のデータセットで競合しているときは、優先順位付けプロセスが起動し、重立った特徴と、共通しているために隠される特徴を選び出し、ただ1つのトレイトだけがハイブリッド形状を占有できる場合は、優先順位付けプロセスが起動する。スタイルモードにおいては、このようにして、共通するポイントがマージされ、静的基準とモードによって、このモジュールが、ある一方を他方にマージすることを優先させるように指揮されている。
セキュリティイベントを、それらに対する応答とともに照会しやすくするために、トレイトの組成と、インデックス付けされたセキュリティ関心ポイント(POI)が提供され、POIはセキュリティPOIプールに格納され、POIは、トレイトインデックスにつなげられており、セキュリティ問題に関するパーソナリティトレイトが照会されたとき、該当するPOIがPOIプールで検索され、該当するイベント+応答ストレージが取り出されて返され、POIインタフェースモジュールにおいては、パーソナリティトレイトはPOIに紐付いている。
システムはさらに、応答パーサであって、セキュリティイベントを記述するデータとセキュリティイベントへの応答が受信され、セキュリティ挙動モジュールは既知のPOIを提供し、セキュリティイベントにタグ付けされたパーソナリティトレイトのための入力が受信される、相互参照モジュールと、パーソナリティトレイトの既定と過去のセキュリティ挙動からのパターン相関に基づいて、セキュリティ応答とパーソナリティトレイトを紐付ける、トレイトタグ付けモジュールと、トレイトタグ付けモジュールからトレイトの組成を受信し、その内部的な互換性を査定する、トレイト連携モジュール、を備える、応答パーサを備える。セキュリティイベント、応答、およびトレイトは、セキュリティ挙動クラウドに格納される。
セキュリティルールセットが、疑似エクスプロイトでテストされ、エクスプロイトが実行された後、当該エクスプロイトが機能し、さらにエクスプロイトDBに組み込まれるべきとされた場合は、結果フィードバックモジュールが結果を提供し、情報リリースモジュールが、次のエクスプロイトをどのようなものにするべきかについて、詳細な情報を案出モジュールに提供し、情報は、情報リリースモジュールとエクスプロイトDBの間でマージされ、当該エクスプロイトは、全ての進化系統が、同じエクスプロイトで同時並行的にテストされるバッチとして実行され、案出モジュールは、情報リリースモジュールの結果に基づいて、従来の複数のエクスプロイトの長所が用いられ、エクスプロイトの既知の弱点を回避した、ハイブリッドエクスプロイトを生成する。
管理監督モジュールが、エクスプロイトの格納状況および使用状況の発達を監視し、エクスプロイトが、外部からの入力によって生成/変更/削除され、複数のエクスプロイトの、ある条件下における過去の動作状況、およびエクスプロイトの重要性を記述している、既知の挙動履歴に沿って格納されている。
システムはさらに、案出モジュールが、ある系統の次の世代を生成している、監視/連携システムを備えており、2つの入力形状が、セキュリティ挙動クラウドからの編集済みセキュリティ挙動と、セキュリティ審査モジュールからの変数であり、得られたハイブリッド形状が反復操作プロセッサに送られ、反復操作プロセッサは、案出モジュールから送られたハイブリッド形状を処理して新しい世代を組み立て、新しい世代を、該当する進化系統にロードし、セキュリティ審査モジュールは、進化系統からレポート変数を受信して疑似セキュリティ脅威(AST)システムに対するセキュリティ上のパフォーマンスを評価し、今後の審査のためにレポートを出力してこのレポートを案出モジュールに送信し、次の世代の反復操作を行い、セキュリティ挙動クラウドは、該当するイベント+応答をセキュリティ審査モジュールに供給し、判定基準がトレイトインデックスクエリを通じて決定され、パフォーマンスが良いという評価をセキュリティ審査モジュールが受信したときは、セキュリティ挙動クラウドの中でこのエクスプロイトを打ち破るべく、より良いエクスプロイトを見つけようとし、トレイトの組成がセキュリティ挙動クラウドに提供され、セキュリティ挙動クラウドは、世代ルールセットをどのように構成すべきかを指揮するために、トレイトの組成を案出モジュールに提供する。
自動成長誘導システムが、外部制御と監視/連携システムの間に介在し、モジュール型により所望のモジュールの挙動が何かが判別され、強制フィードバックが、あるモジュールが新たな命令を受けるたびに、自分の現在の条件を知らせることによる応答であり、ハイレベルマスター変数が、外部から静的基準に入力され、前回の所望の結果と実際の結果を受け、案出モジュールは新たな所望の結果を判別し、被制御モジュールの状況および状態を含む実際の結果が、モジュール追跡DBに格納され、実際の結果が、当該モジュールおよび案出モジュールによってモジュール追跡DBに入力され、モジュール追跡DBは、被制御モジュールのために内部的に選ばれた成長パターンを反映した入力形状を、案出モジュールに提供し、案出モジュールは、当該モジュールのための新しい制御を、モジュール追跡部および当該モジュール自身に送り、モジュール追跡部が単一のインスタンスで稼働し、多数のモジュールを同時に扱うために分割されていることを除けば、複数のモジュールが並行して制御されており、実際のモジュール履歴から導出された情報を含む、被制御モジュールからのフィードバックが、現実DBに格納され、理論DBは、案出モジュールにより提供された、当該モジュールのための理論上の制御を含んでおり、制御が予期されたとおり実行される場合は、同一の成長パターンが守られ、制御の実行が奇異な場合は、代わりの成長パターンが採用される。
システムはさらに、構成における理論上の変化を考慮するために既存のマルウェアが反復操作される、マルウェア予測追跡アルゴリズムを備え、理論上の時間が経過するにつれて、マルウェアは案出モジュールと連携しながら進化し、カテゴリAは、認識され削除されたことが実証された履歴を有する、確認済みのマルウェア脅威を表し、カテゴリBは、システムがその存在を知っているが、絶対的な確信をもって認識および削除することができないマルウェアを表し、カテゴリCは、システムにとってあらゆる面で完全に未知であるマルウェアを表し、マルウェア予測プロセスは、カテゴリAから開始され、既知のマルウェアが案出モジュールに送られ、現時点で未知のマルウェアを表わす、バリエーションの候補を含むハイブリッド形状を生成し、そして、カテゴリBに基づき、理論的なプロセスは、未知の脅威がどのようなものであるかについての最良の推定結果を表しており、カテゴリCに基づくプロセスは、システムが知らない、予測しようとしている実際の脅威を表しており、既知で確認済みの反復操作の遷移を表すために、あるパターンが生成され、遷移パターンは、現時点で未知の脅威を予測するために使用される。
システムはさらに、信用プラットフォーム内セキュリティ情報同期サービスを備えた、クラウドおよび階層化情報セキュリティによる重要インフラストラクチャー防護および返報(CIPR/CTIS)を備え、マネージドネットワークおよびセキュリティサービスプロバイダ(MNSP)内の多数のセキュリティアルゴリズム間で情報が流れ、企業イントラネット、エクストラネット、およびインターネット内の全ての企業トラフィックが、リアルタイムで遡及的なセキュリティ分析のために、VPN経由でMNSPクラウドに中継され、遡及的セキュリティ分析においては、イベントと、それぞれのセキュリティ応答とトレイトが、今後の問い合わせのために格納されインデックス付けされ、共謀検知は、多数のセキュリティイベントに対する定期的な素性チェックを提供し、パターンや関係を判定しようと試み、並行する複数の進化系統が発達し選択され、反復操作された世代が、同一のASTバッチに適応し、最良のパーソナリティトレイトを有する系統が、最終的にはこのセキュリティ脅威に対して最も良く耐えることになり、リアルタイムセキュリティ分析においては、構文モジュールが、コンピュータのコードを読み書きするためのフレームワークを提供しており、目標モジュールは構文モジュールを用いてコードから目標を導出し、この目標を、自身の複合目標フォーマットに出力し、企業ネットワークとデータベースが、仮想環境内に複製され、取扱注意のデータが模擬(偽の)データと置き換えられ、単一擬態は、仮想難読化(保護)が分析的に完結したときに使用される、返報の形状を提供し、内部整合性チェックが、外来コードの全ての内部機能の辻褄が合っていることをチェックし、外来コード改訂が、構文モジュールと目標モジュールを使用し、外来コードを複合目標フォーマットにまとめ、秘密コード検知が、データおよび送信パケット内に密かに埋め込まれたコードを検知し、外来コードがシステムの目的全体にフィットしているかを判断するために、マップ化された要求および目標の階層構造が参照される。
システムはさらに、企業システム内のあらゆるデジタル転送が、LIZARDのインスタンスを経由して中継される、論理的推論によるゼロデータベースの演繹型リアルタイム防御(LIZARD)を備え、企業の外部へ出力される、または企業システムの外部から入力される全ての情報の経路は、LIZARD VPNおよびLIZARDクラウドを経由し、反復操作モジュール(IM)が、静的コア(SC)を使用して、ダイナミックシェル(DS)のコードベースを構文的に変更し、変更されたバージョンのLIZARDが、疑似セキュリティ脅威(AST)によって、多数のさまざまなセキュリティシナリオのもとで(並行して)ストレステストを受け、LIZARDが行った判断の信頼性が低い場合、データ返送中継が、今後のLIZARDの反復操作結果を改善するために、該当するデータをASTに中継し、疑似セキュリティ脅威(AST)は、反復操作プロセスを実行可能にするために、シミュレートされたセキュリティ脅威を伴う仮想テスト環境を生成し、LIZARDの静的コアが、論理的に必要な機能を、初期のより簡易な機能から導出し、構文モジュール機能によって直接読み解かれる任意の(汎用)コードを、任意に選ばれた既知のコンピュータ言語に変換し、コードロジックをより簡易な形状にまとめて、相互に接続された機能のマップを生成し、反復操作拡張は、目標の関連性を参照し、詳細と複雑性を追加して、単純なゴールを複合目標に進化させ、仮想難読化モジュールは、コードを徐々にかつ部分的に仮想化された偽の環境に浸すことで、コードを乱雑にし、制限し、マルウェアが、仮定に基づいて企業セキュリティシステムを迂回し、LIZARDが、入力されたコードのブロックの意図/目標について、低確信度の査定を有しており、疑問の余地のあるコードが密かに、データの半分が模擬(偽の)データと知的に混合されている環境に割り当てられ、実データ同期部が、混合環境に与えられるデータを、どの優先順位で与えるのかを知的に選択し、模擬データジェネレータは、偽造かつ無用なデータを作成するためのテンプレートとして、実データ同期部を使用する。
システムはさらに、二重スパイが、取扱注意のファイルのコピーを目立たずに入手し、入手したファイルが、企業ネットワークの外側の詐欺的な宛先サーバに送られる、サイバースペースモジュールにおける秘密オペレーションによる秘密機械学習および返報を備え、リアルタイム分析および長期間分析のために伝達される標準ログが生成され、リアルタイム分析が、悪意のある活動をほぼ即時に認識して、それた実行する前に停止させ、長期間分析が、分析により多くの時間を掛けることによって、悪意のある挙動を認識する。
システムはさらに、クリティカルシンキング・メモリ・パーセプションアルゴリズムであって、観察者のエミュレーションを生成し、全てのパーセプションポイント候補が、このような観察者エミュレーションを使用してテスト/比較される、クリティカルシンキング・メモリ・パーセプションアルゴリズムを備え、選ばれたパーセプションの優先順位が、重み付けの降順で選択され、ポリシーが切り捨てを選択する方法を定め、パーセプションおよび該当する重み付けが、そのインデックスとしての比較可能可変フォーマット(CVF)とともに格納され、データ強化ログから導出されたCVFが、パーセプションストレージのデータベース検索における判定基準として使用され、メトリック処理は、選択パターンマッチングアルゴリズム(SPMA)のセキュリティ応答からの変数をリバースエンジニアリングし、このセキュリティ応答の一部と、これに対応するシステムメタデータを使用して、セキュリティ応答の元のパーセプションを再現し、従来の構文ベースの情報カテゴリ化によって、デバッグおよびアルゴリズム追跡が、個別のカテゴリに分割され、このカテゴリは、セキュリティ上のリスクおよび対象と相関関係を有する、個別のセキュリティ応答をまとめ上げて生成するために使用される。
本発明は、以下の添付図面と併せて詳細な説明を読むことで、より十分に理解される。
本発明に係るサイバーアラートアナライザのタスクフローを示す、流れ図である。
インターネットへのアウトバウンドトラフィックからの、ノード間データフローの例とともにサイバーアラートアナライザの各機能を示す、概略図である。
処理済みのデータ/イベントを(自身の第一層モジュールの分析機能に基づいて)組織の該当する部署に分配する、サイバーアラートアナライザを示す、概略図である。
コンピュータネットワークを示す、概略図である。
コンピュータデバイスを示す、概略図である。
本発明に係るセキュリティ管理方法を示す、流れ図である。
本発明に係るセキュリティサーバを示す、概略図である。
サイバーアラートアナライザの多層構造を示す、概略図である。
プロセス/ワークフローの全容であり、サイバーインシデントアナライザにおいて各種の概念が組み合わされる様子を示している。
サイバーインシデントアナライザにおいて、挙動分析が専門のまたは「サブの」アルゴリズムに分けられていく様子を示している。
サイバーインシデントアナライザのポリシーおよび挙動を示している。
共謀検知サブアルゴリズムを示す、概略図である。
外来エンティティ管理サブアルゴリズムを示す、概略図である。
情報型識別サブアルゴリズムを示す、概略図である。
メディアスキャナサブアルゴリズムを示す、概略図である。
特権分離分析サブアルゴリズムを示す、概略図である。
ユーザリスク管理サブアルゴリズムを示す、概略図である。
前述の各サブアルゴリズムを使用するセキュリティケースシナリオを示す、概略図である。
反復型知的成長アルゴリズムを示す、概略図である。
反復的進化アルゴリズムを示す、概略図である。
サイバー脅威インテリジェンス識別統合および分析アルゴリズムを示す概略図である。
休眠マルウェアセキュリティユースケースを示す、概略図である。
案出アルゴリズムを示す、概略図である。
セキュリティ挙動クラウドを示す、概略図である。
応答パーサアルゴリズムを示す、概略図である。
サイバー上の犯罪的で異常な挙動の検知および分析を示す、概略図である。
疑似セキュリティ脅威アルゴリズムを示す、概略図である。
監視/連携システムアルゴリズムを示す、概略図である。
セキュリティ審査モジュールアルゴリズムを示す、概略図である。
自動成長誘導アルゴリズムを示す、概略図である。
マルウェア予測追跡アルゴリズムを示す、概略図である。
反復的成長アルゴリズムおよび反復的進化アルゴリズムの依存構造を示す、概略図である。
進化系統および情報型識別サブアルゴリズムの依存構造を示す、概略図である。
共謀検知、メディアスキャナ、および特権分離分析の各サブアルゴリズムの依存構造を示す、概略図である。
ユーザリスク管理サブアルゴリズム依存構造を示す、概略図である。
外来エンティティ管理および応答パーサの各サブアルゴリズムの依存構造を示す、概略図である。
セキュリティ挙動クラウドの依存構造を示す、概略図である。
案出アルゴリズムの依存構造を示す、概略図である。
疑似セキュリティ脅威アルゴリズムの依存構造を示す、概略図である。
自動成長誘導の依存構造を示す、概略図である。
セキュリティ審査モデルの依存構造を示す、概略図である。
監視連携システムの依存構造を示す、概略図である。
セキュリティ攻撃動機と、それを読み解く手段の全容である。
ハードウェア/ソフトウェアベンダや法執行機関などの第三者と連携する、信用プラットフォームを示す、概略図である。
マネージドネットワークおよびセキュリティサービスプロバイダ(MNSP)をマネージドネットワークおよびセキュリティサービスプロバイダ(MNSP)構成する、各アルゴリズムの全容を示す、概略図である。
論理的推論によるゼロデータベースの演繹型リアルタイム防御(LIZARD)アルゴリズムの全容を示す、概略図である。
秘密のオペレーション上の分析およびアルゴリズムによる適切なソリューションに関する犯人の攻撃元区分を列挙する、概略図である。
クリティカルシンキング・メモリ・パーセプション(CTMP)アルゴリズムの機能的全容を示す、概略図である。
クリティカルシンキング・メモリ・パーセプション(CTMP)アルゴリズムの依存構造を示す、概略図である。
セキュリティイベントを処理するコンピュータセキュリティシステムを示す、概略図である。
サイバーセキュリティシステムとそのサブアルゴリズムを示す、概略図である。
反復型知的成長の方法を示す、流れ図である。
疑陽性とは、異常であるまたは悪意があると識別された、正常または予定通りの任意の挙動である。疑陽性が起こり得るのは、(1)正当なアプリケーションの中には、IETF RFCに厳密には従っていないものもあり、そのようなアプリケーションが稼働しているときに、当該RFCに書かれているシグネチャが疑陽性の引き金になる可能性があり、(2)異常検知システムの訓練段階で遭遇しなかったアプリケーションが稼働しようとすると、そのアプリケーションがアラートの引き金になりやすく、(3)あるシグネチャの記述が広範に過ぎることがあるために正当なトラフィックと不当な両方のトラフィックを含んでしまう可能性があり、(4)ある組織のある領域では異常な挙動が容認されうる一方で、それが他の領域では非常に疑わしい場合がある、からである。例として、NBT(NetBIOS over TCP/IP)トラフィックは、Windows LAN環境では一般的であるが、インターネット上では通常予期されるものではない。上記は疑陽性が起こり得るリストの全てでなはいが、IDS、ファイアウォール、DLP、及び他のサイバーセキュリティアプリケーション/システムは、疑陽性が起こり得る最もありふれた場所である。疑陽性は、サイバーセキュリティシステムを実装する人間が直面する最大の問題の一つである。疑陽性によって生じる重大な問題は、その疑陽性が正当なアラートを容易に圧倒してしまうことである。疑陽性を引き起こすたった1つのルールが、何千ものアラートをたやすく短時間に生じ得る。1人のアナリストが5分毎に1件のアラートを審査できると仮定すると、そのアナリストは1日におよそ100件のアラートを審査できることになる。5分おきに1件のアラートを審査するとなると、徹底した分析を行うには速すぎるが、アラートの中には徹底した分析を必要としないとものもあり、分析にかかる平均時間を減らせると仮定できる。これらの数値を目にすると、少数の疑陽性が正当なアラートを圧倒し得ることは明白である。疑陽性を繰り返し引き起こすルールによるアラートは無視されたり無効化されたりすることが多い。それから後、組織はその問題となっているルールが探していた攻撃を、実質的に看過するようになる。ほとんどどのようなルールであっても疑陽性は生じ得る。サイバーセキュリティシステム管理の技術は、該当する攻撃を組織に看過させることなく、いかに疑陽性を最小限にするかを学習することである。
図1〜3を参照して、本発明は、イベント/データを部分ごとに分割し、それらの相互関係を検討することで、そのイベント/データを系統的に検査するシステムを提供する。
民用既製品または他のソフトウェアを備えたコンピュータやデバイス等のICTシステムから生成されたデータイベントは、氏名、アドレス、社会保障番号、雇用主番号、特定の文言、画像、ファイル型、ファイルのサイズ、日付、曜日、月、年、時刻等を含む固有の判定基準に基づくデータ/イベントを生成する。
このようなデータ/イベントは、種々の判定基準により検証され、その判断基準には疑陽性、真陽性、ノイズ等がある。
このシステムのワークフローは、データ/イベントの分割、データ/イベントの処理、及び転送通知の各プロセスを有する。
データ/イベントの分割は、例えば、職能組織(行動指針グループ/人事、総括監察官、プライバシー、情報開示、ポリシー、セキュリティ、労働組合、等)、重大度(高、中、低、等)、データ量(ファイルサイズ、項目数等)、及びインテリジェンスカテゴリ、などを含む判定基準に基づいている。
データ/イベントの処理は、例えば、与えられた判定基準(例えば、疑陽性、プライバシー関連、等かどうか)に基づいている。処理は、特定の職能組織にいるスタッフに承認等を求めるための処置レポート/フォームにデータを入力することを含む。フォームは、組織固有の要件、判定基準、等に基づいて作成される(例えば、プライバシーフォーム、情報開示フォーム、人事フォーム、等)。
データ処理の後、与えられた判定基準(例えば、疑陽性、プライバシー関連等)に従い、メールを転送する、または他の方法で、フォームへの承認を求める通知がそれぞれの組織/人物に送信される。より重大な/付加的な判定基準(例えば、1日、1週間、1月、等に、同一の個人から5件以上のインシデントがある、通知が総括監察官宛である、等)に対しては、通知は着手される処置に基づき、マネージャ、上層部、特定の組織へ送信される。
レポート(及び/またはアラート)はリアルタイムまたは準リアルタイムベースで即時に、そして静的または動的に与えられる。レポートの内容は、例えば、いくつかのインシデント、ならびに、組織別及び型別に特定の情報、等を含み得る。
サイバーセキュリティシステムからのセキュリティイベントを審査すると、このシステム(サイバーイベントアナライザ)は、そのセキュリティイベントが真陽性か疑陽性かを検証する(疑陽性以外の、他の判定基準が扱われ得る)。セキュリティイベントが疑陽性でないと検証された場合、サイバーイベントアナライザは、セキュリティイベントが、(1)疑われる意図的または無許可の情報開示、(2)疑われる意図的でない情報開示、または(3)疑われる内部ポリシー違反、等であるかどうかを判断する。サイバーイベントアナライザは、3つの場合全てに共通して、(a)インシデント候補として分類するための、特定のフォーム/レポートへのデータの入力、(b)インシデントとして分類するための、フォームの内容の検証、(c)さらなる処置のため、CUI/ダッシュボード上に完成したフォームを表示することによる、それぞれの組織への通知、及び、(d)万が一ネガティブインシデントである場合にポリシー変更を行うための、インシデント収集システムへのフィードバック、および/または(e)組織固有の判定基準に基づく修正処置、の各タスクを実行する。
図1を参照して、本発明の階層構造を再び手短に説明する。第一層モジュールは、与えられたネットワークイベントに対して疑陽性検証を行う。第一層モジュールは、外部ネットワークセキュリティシステムから提供されたアラートを検証してもよいし、自分自身でコンピュータネットワーク内のデータ通信をモニターしてもよい。第二層モジュールは、総括監察官、プライバシー、セキュリティ、等を含む判定基準に基づいて、部署特定の分別を行う。第3層モジュールは、インシデントの明確化を行う。つまり、第3層モジュールは、コンピュータネットワークで生成されたあるアラートに関連するデータ通信が、本当にそのネットワークへの脅威であるかどうかを分析し判断する。第4層モジュールは、修正処置、セキュリティ脅威修復、科学捜査情報レポート、および被害軽減などの査定を行う。
図4および6を参照して、コンピュータネットワーク10における組織12のセキュリティ管理の方法を説明する。ネットワーク10は、複数のコンピュータデバイス14を有する。方法は、1台または複数台のコンピュータデバイスから生成されたアラート、およびそのアラートに関連するインシデント候補のためのデータ、を受信することS01、インシデント候補についてデータを分析することS02、第一の選別判定基準のもとで、そのインシデント候補がセキュリティ脅威であるかどうかを判断することS03、および、そのインシデント候補がセキュリティ脅威でないと判断された場合、第一の調査ルールのもとでそのインシデント候補について第一の調査を行うことS04。
図3を参照すると、組織12は複数の部署16を有する。第一の調査のステップS04では、そのインシデント候補を組織12に属する複数の部署16の1つに割り当てる。
方法はさらに、そのインシデント候補を指定された部署にレポートすることS05、および、指定された部署が、インシデント候補がインシデントであるかどうかを判断することS06、を有する。
インシデントを判断するステップS06は、第2の調査ルールのもとで第2の調査を行うステップS07を有する。第2の調査ルールは、部署固有の判定基準(例えば、プライバシーインシデント、情報開示インシデント、犯罪インシデント、セキュリティインシデント、等)を含む。
方法はさらに、アラートまたはインシデント候補がインシデントであるとされた場合に、リスク査定プロセスを行うステップS08、を有する。
第一の調査ルールは、インシデント候補のためのデータの感度に関連する調査判定基準にしたがって部署を割り当て、各部署の役割を割り当てている。
調査判定基準は、インシデント候補のためのデータが、疑われる意図的情報開示であるかどうか、インシデント候補のためのデータが、疑われる無許可の情報開示であるかどうか、および、インシデント候補のためのデータが、疑われるポリシー違反であるかどうか、を含んでいる。
インシデント候補のためのデータが、意図的または意図的でないが無許可の疑われる情報開示と判断された場合、電子的犯罪を扱う部署18が指定され、インシデント候補のためのデータが、意図でないが許可された疑われる情報開示であると判断された場合、プライバシーインシデントを管理する部署20が指定され、そこで、インシデント候補のためのデータがそれ以外と判断された場合、セキュリティオペレーションセンターの機能を有する部署22が指定される。
図5を参照すると、各コンピュータデバイス14に、セキュリティ選別プログラム24がインストールされている。セキュリティ選別プログラム24は、インシデント候補を見つけ出すために、コンピュータデバイス14を通過するネットワークトラフィックを選別する。所定の選別ルール28のもとでインシデント候補を見つけた場合、セキュリティ選別プログラム24はアラート30を生成する。あるいは、各コンピュータデバイスにインストールされているセキュリティ選別プログラムをインストールする必要なしに前述の機能を実行するために、ネットワークまたはサイバーセキュリティの選別サーバ/デバイスが、任意の企業/組織のインバウンド/アウトバウンドトラフィックをモニターすることができる。
方法はさらに、インシデント候補26がインシデント34ではないと判断された場合に、選別ルール28を変更するためのフィードバックソリューション32を作成することS09、そして、選別ルールフィードバックレポート36を生成して各コンピュータデバイスに送信することS10の各ステップを有する。この選別ルールフィードバックレポート36には、選別ルール28を変更するためのフィードバックソリューション32が含まれている。
本実施形態において、第一の選別判定基準は疑陽性である。方法はさらに、インシデント候補26が疑陽性であるかどうかを判断するステップS03において、インシデント候補26が疑陽性であると判断された場合、疑陽性レポート38を生成して各コンピュータデバイス14のセキュリティ選別プログラム24に送信するステップS11を有する。
疑陽性レポートを生成するステップS11において、疑陽性レポート38には、選別ルール28を変更するためのソリューションが含まれている。
方法はさらに、インシデント候補26を調査するステップS04の後で、インシデント候補26を記述する既定のインシデント評価フォームにデータを入力するステップS12、および、データが入力されたインシデント評価フォーム40を既定のフォーム検証ルールのもとで検証するステップS13、を有する。既定のインシデント評価フォームおよび既定のフォーム検証ルールが、指定された部署ごとに異なるカテゴリに関連している。
図7を参照すると、セキュリティサーバ44は、組織12のコンピュータネットワーク10におけるセキュリティを管理している。セキュリティサーバ44は、コンピュータネットワーク10と通信可能に結合された第一レベルモジュール46を備え、1台または複数台のコンピュータデバイス14から生成されたアラート30、およびアラート30に関連するインシデント候補26のためのデータ、を受信し、インシデント候補26についてデータを分析し、インシデント候補26が疑陽性であるかどうかを判断し、そしてインシデント候補26が疑陽性でないと判断された場合、第一の調査ルールのもとで、インシデント候補26について調査を行う。
セキュリティサーバ44はさらに、第一レベルモジュール46と動作可能に接続された二次レベルモジュール48を備える。各部署16は、二次レベルモジュール48を有している。第一レベルモジュール46は、組織12に属する複数の部署16のうちの1つが有する二次レベルモジュール48に、インシデント候補26を割り当てる。
第一レベルモジュール46は、指定された部署16が有する二次レベルモジュール48に、インシデント候補26をレポートする。指定された部署16が有する二次レベルモジュール48は、インシデント候補26がインシデント34であるかどうかを判断する。
二次レベルモジュール48は、第2の調査ルールのもとで、インシデントを判断する。
インシデント候補26がインシデント34であると判断された場合、二次レベルモジュール48は、リスク査定プロセスを実行する。
インシデント候補26がインシデント34ではないと判断された場合、二次レベルモジュール48が、選別ルール28を変更するためのフィードバックソリューション32を作成し、選別ルールフィードバックレポート36を生成し、各コンピュータデバイス14に送信する。
インシデント候補26が疑陽性であると判断された場合、第一レベルモジュール46が疑陽性レポート38を生成してコンピュータデバイス14のセキュリティ選別プログラム24に送信する。
第一レベルモジュール46は、インシデント候補26を記述する既定のインシデント評価フォーム40にデータを入力し、データが入力されたインシデント評価フォーム46を、既定のフォーム検証ルール42のもとで検証する。このようにして、特定のインシデントに対処するための修正処置が、組織/部署固有の判定基準、ポリシー、法令、等に基づいて提供される。
図9〜11は、サイバーセキュリティのためのアルゴリズムの詳細を示している。1つの主要な挙動アルゴリズム(多数のサブアルゴリズムから入力を受信する)は、組織の挙動によって駆動され、(1)動的ポリシー、(2)自動分析、(3)即時/リアルタイムの修正処置、および(4)挙動、ポリシーおよびその他のルール変更、のために必要に応じて適宜人員を投入することを確実なものにする。
これらのアルゴリズムは、(1)異常、(2)データのパターン/完全マッチング、(3)動的データ/フロー分析(リアルタイム)、(4)経験的知識および/または履歴データ/証拠、(5)自己学習、および(6)インテリジェント仮想エージェントを有する人工知能(AI)を利用している。
図9は、プロセス/ワークフローの全容を示しており、各種の概念が組み合わされる様子を示している。
・挙動モジュールは、「メタデータ」からなるDBにアクセスする。
・DB内の「メタデータ」には種々のカテゴリが存在しており、一つ一つのカテゴリが、サブアルゴリズムで代表される。
・このようなデータは、本質的に、種々の概念と確信度の格付けとのつながりを引き出すものである。カテゴリは典型的には4つのカラム:参照識別子、概念a、概念b、アルゴリズムが決定する関連性インデックス(該当するサブアルゴリズムの出力を意味する)が含まれている。
・汎用の「コンビネーション」アルゴリズムは、種々のカテゴリ間の有益なリンクを合成する。
・汎用のアルゴリズムからの結果出力に基づいて、反応が決定される。
・挙動モジュールは、「メタデータ」からなるDBにアクセスする。
・DB内の「メタデータ」には種々のカテゴリが存在しており、一つ一つのカテゴリが、サブアルゴリズムで代表される。
・このようなデータは、本質的に、種々の概念と確信度の格付けとのつながりを引き出すものである。カテゴリは典型的には4つのカラム:参照識別子、概念a、概念b、アルゴリズムが決定する関連性インデックス(該当するサブアルゴリズムの出力を意味する)が含まれている。
・汎用の「コンビネーション」アルゴリズムは、種々のカテゴリ間の有益なリンクを合成する。
・汎用のアルゴリズムからの結果出力に基づいて、反応が決定される。
上記の論理フローは、図9に示す、列挙されたポイントを包含する。鍵になるのは、並列に実行される複数のサブアルゴリズムを有することと、入力を処理し出力を格納することである(たとえその出力の品質が低いまたは未知のものかもしれないとしても)。そして、汎用のアルゴリズムは、この情報プールから最も該当する情報を得るために、ある簡易な格付けを実施し、挙動モジュール全体の最終結果を出力し、それと同時に、メタデータの品質を向上させるために、いくつかのデータベース行を変更/削除することによって、DBへのフィードバックを行う。このことは、次の図で明瞭かつ詳細に説明する。
図10は、挙動分析がどのように専門の、または「サブの」アルゴリズムに分けられていくのかを示している。メインの、または「コンビネーション」アルゴリズムは、主要セキュリティ分析などの所望の最終結果を伝達しており、一方で、専門のまたは「サブの」アルゴリズムは、個々のタイプのセキュリティ問題をカテゴリする(あるアルゴリズムは社会保障番号を分析し、別のアルゴリズムは場所の分析を実施し、また別のアルゴリズムは名前を分析する、等のように)。
サブアルゴリズムはコンビネーションアルゴリズムとは独立して生成され、結果をDBに入力する(たとえ、その結果が低品質なものであっても)。コンビネーションアルゴリズムの補佐をする「高確信度フィルタ」は、有意で高品質な結果が出力されることを確実にすることに携わるものである。DBに低品質な結果が格納されていることは重要である。なぜなら、それらの低品質な結果も、高品質なものへと発達する可能性があるからである。
例えば、あるサブアルゴリズムが場所に関する異常を捉えたようであるが、それを証明する証拠が非常に少ない(低い確信度)。時間の経過とともに、より多くのデータを通じて、その異常がついには、コンビネーションアルゴリズムが高確信度フィルタ経由で捉える高い確信度のセキュリティ脅威に発達し、人間に届けられる最終出力に伝達される。低確信度のものが低確信度なままであることも時にはあるものの、低確信度なものの価値はその可能性にあるので、低確信度のままであることが許容される。
図11は、ポリシーおよび挙動を示している。
図9を詳細に説明する。このフローチャートは、情報分析のメインシーケンスを表している。
・入力されたイベントはまず、いくぶん簡易で静的なポリシールールに基づいて無害化される。
・パターンマッチングモジュールは、確立された挙動パターンを、会社/企業のデータベースと合わせて使用し、非常に弱いアラート(実質的な疑陽性)を除去する。疑陽性は未だ記録されているものの、人間による審査の可能性があるため、「スパムフィルタ」風の場所に置かれる。
・イベントが初期パターンマッチング層を通過する場合、イベントはカテゴリプロセスを通過し、カテゴリプロセスは、ポリシーと挙動の組み合わせを利用して、部署およびアラートの重大度を決定する。
・相応しい部署および重大度の情報を伴ったこのようなイベントは、該当する部署のコンソール(固有コンソール)に表示され、また汎用コンソールにも表示される。汎用コンソールは、全てのセキュリティ活動を閲覧することに関心のある、いくつかの部門の従業員に適用される。
・実行が推奨される処置がAIによって利用可能になる場合には、該当するコンソールにその処置が表示される。
・入力されたイベントはまず、いくぶん簡易で静的なポリシールールに基づいて無害化される。
・パターンマッチングモジュールは、確立された挙動パターンを、会社/企業のデータベースと合わせて使用し、非常に弱いアラート(実質的な疑陽性)を除去する。疑陽性は未だ記録されているものの、人間による審査の可能性があるため、「スパムフィルタ」風の場所に置かれる。
・イベントが初期パターンマッチング層を通過する場合、イベントはカテゴリプロセスを通過し、カテゴリプロセスは、ポリシーと挙動の組み合わせを利用して、部署およびアラートの重大度を決定する。
・相応しい部署および重大度の情報を伴ったこのようなイベントは、該当する部署のコンソール(固有コンソール)に表示され、また汎用コンソールにも表示される。汎用コンソールは、全てのセキュリティ活動を閲覧することに関心のある、いくつかの部門の従業員に適用される。
・実行が推奨される処置がAIによって利用可能になる場合には、該当するコンソールにその処置が表示される。
図10を詳細に説明する。独立スレッドマネージャが、該当するサブアルゴリズムに情報処理リクエスト(「サブリクエスト」)を送信する。そのサブアルゴリズムは、非常に寛容な/甘いフィルタを使用して、別途用意された自身のデータベーステーブルに処理済データを格納する。このフィルタは、元は低品質であった結果から、高品質の結果の候補を徐々に築き上げるようなものとして調整される。別途用意されたスレッドマネージャは、並行してリクエストをコンビネーションアルゴリズムに送信する。コンビネーションアルゴリズムは、コンビネーションリクエストの型によっていくつかのサブアルゴリズムの組み合わせを使用する。結果は、高品質/高確信度の基準に基づいて選択される。
図11を詳細に説明する。
ポリシー:
人間は、実際はルールデータベースに置かれている静的ルールを直接作成/変更する。人間は、「大規模ルール」の作成を通じて、複数の静的ルールセットを作成してもよい。大規模ルールに属する小規模ルールは自動的に導出される。
挙動:
人間は、イベント情報を受け取り、分類の度合いの候補及び/または着手すべき処置についてのオプションが与えられる。このような判断は、二者択一の「yes」か「no」(および「スキップ」)に基づいて行われるかもしれない。このような挙動履歴はすべて記録され、そこから、変化が徐々に起こる安定した状態における動的ルールがルールデータベースに反映される。
ポリシー:
人間は、実際はルールデータベースに置かれている静的ルールを直接作成/変更する。人間は、「大規模ルール」の作成を通じて、複数の静的ルールセットを作成してもよい。大規模ルールに属する小規模ルールは自動的に導出される。
挙動:
人間は、イベント情報を受け取り、分類の度合いの候補及び/または着手すべき処置についてのオプションが与えられる。このような判断は、二者択一の「yes」か「no」(および「スキップ」)に基づいて行われるかもしれない。このような挙動履歴はすべて記録され、そこから、変化が徐々に起こる安定した状態における動的ルールがルールデータベースに反映される。
人的管理部は、該当するAIがそのような履歴に基づいて行った判断とともに、人間の挙動履歴を監督する。人的管理部は、静的ルール作成変更に関する監督も行う。
共謀検知
図12は、共謀検知サブアルゴリズムを示している。このサブアルゴリズムは、多数の「共謀」セキュリティイベントに対する定期的な素性チェックを提供し、一見無関係なセキュリティイベント同士のパターンや関係を判定しようと試みる。出力は、主に人間のサイバーセキュリティアナリストの便宜のためであって、さらなるAI的な処置を行うためではない。
図12は、共謀検知サブアルゴリズムを示している。このサブアルゴリズムは、多数の「共謀」セキュリティイベントに対する定期的な素性チェックを提供し、一見無関係なセキュリティイベント同士のパターンや関係を判定しようと試みる。出力は、主に人間のサイバーセキュリティアナリストの便宜のためであって、さらなるAI的な処置を行うためではない。
重大なセキュリティイベントは、情報型識別部50によってパースされ、該当する全ての属性の情報(IPアドレス、時刻、場所、社会保障番号、等)が導出される。これらの変数は、外部のポリシー及び挙動の解釈によってチェックされ、これらのイベント属性が、処理のための閾値を超えているかどうかが確認される。
本実施形態において、
抽出された情報は以下の通りである
ユーザIDトークン:A1B2C3
IPアドレス:112.20.190.176
タイムスタンプ:1439226504
閾値チェック:Yes。このセキュリティイベントは処理されるに十分なほど重大である。
抽出された情報は以下の通りである
ユーザIDトークン:A1B2C3
IPアドレス:112.20.190.176
タイムスタンプ:1439226504
閾値チェック:Yes。このセキュリティイベントは処理されるに十分なほど重大である。
並列属性52を参照すると、導出された全ての属性が特定のDBに登録され、共謀検知サブアルゴリズムの将来の反復操作結果のために使用される。
本実施形態において、
警戒すべき対象の属性をここに示す。
ユーザIDトークン:A1B2C3
IPアドレス:112.20.190.176
タイムスタンプ:1439226504
警戒すべき対象の属性をここに示す。
ユーザIDトークン:A1B2C3
IPアドレス:112.20.190.176
タイムスタンプ:1439226504
並行比較54を参照すると、類似度を調べるために、ありとあらゆる可能な組み合わせの属性がまとめられ、特定のDBに対して照会される。類似度を調べるために検索される仮定のセキュリティイベントは以下の通りである。
1)同一の社会保障番号および同一の発生時刻を有する複数のセキュリティイベント。
2)同一のIP LANサブネット範囲、同一の個人電話番号、および同一の個人アドレスを有する複数のセキュリティイベント。
3)同一ドメイン名に属する種々の電子メールアドレスを有する複数のセキュリティイベント。
4)幽霊ドメイン名への対策を講じるために、ドメイン名と、ドメイン名が指すと考えられるIPアドレスを有する、複数のセキュリティイベント。
1)同一の社会保障番号および同一の発生時刻を有する複数のセキュリティイベント。
2)同一のIP LANサブネット範囲、同一の個人電話番号、および同一の個人アドレスを有する複数のセキュリティイベント。
3)同一ドメイン名に属する種々の電子メールアドレスを有する複数のセキュリティイベント。
4)幽霊ドメイン名への対策を講じるために、ドメイン名と、ドメイン名が指すと考えられるIPアドレスを有する、複数のセキュリティイベント。
プレゼンテーション56を参照すると、これまでに作成された、何らかの該当する傾向または関係が、人間が読める形式に処理され、管理コンソールに通知され、コンソールのデータが更新されてあらゆる有意な変化が反映される。
本実施形態において、
コンソール管理スクリーンに、中国に端を発する、高危険度の協調攻撃が表示される。
コンソール管理スクリーンに、中国に端を発する、高危険度の協調攻撃が表示される。
外来エンティティ管理
図13に、外来エンティティ管理サブアルゴリズムを示す。このサブアルゴリズムは、認知された外来の脅威によって企業の隔離ネットワークに求められるものに基づいて、それら脅威の重大度を絶えずアップグレード/ダウングレードすることにより、それら外来の脅威を管理している。このサブアルゴリズムは、外来の脅威らしきものへのパーセプションを高めるために、第三者情報も受信する。
図13に、外来エンティティ管理サブアルゴリズムを示す。このサブアルゴリズムは、認知された外来の脅威によって企業の隔離ネットワークに求められるものに基づいて、それら脅威の重大度を絶えずアップグレード/ダウングレードすることにより、それら外来の脅威を管理している。このサブアルゴリズムは、外来の脅威らしきものへのパーセプションを高めるために、第三者情報も受信する。
ネットワークイベント58が、情報型識別サブアルゴリズムによってパースされる。情報型識別サブアルゴリズムは、図14を参照して後述する。ネットワーク上の発信元および関係するユーザ(該当する場合)は、求められる2つの主要変数である。
本実施形態において、
ネットワーク上の発信元:112.20.190.176
ユーザIDトークン:A1B2C3
ネットワーク上の発信元:112.20.190.176
ユーザIDトークン:A1B2C3
このネットワーク上の発信元は、セキュリティ警戒リスト60に照らしてチェックされ、セキュリティ警戒リスト60は、信用できる第二者または第三者によって保守される。第二者または第三者は、企業の組織機構の内にあっても外にあってもよい。
本実施形態において、第二者または第三者曰く:このIPアドレスには、ある好ましからぬセキュリティ上の前歴がある。
ユーザ情報が見つかった場合、そのユーザは、ユーザリスク査定サブアルゴリズム62によりチェックされる。
本実施形態において、
ユーザリスク管理:ユーザA1B2C3は、リスク係数が75%であり、取扱注意の社会保障番号を扱わせるべきではない。
ユーザリスク管理:ユーザA1B2C3は、リスク係数が75%であり、取扱注意の社会保障番号を扱わせるべきではない。
リスク集約部64を参照して、外部のポリシー及び挙動に左右される閾値に基づいて、全ての該当する結果が考慮され集約される場合。
本実施形態において、
現時点のポリシーおよび挙動に基づいて、このIPアドレスは、システムの利用を長期にわたり禁止すべきである。
現時点のポリシーおよび挙動に基づいて、このIPアドレスは、システムの利用を長期にわたり禁止すべきである。
デポジット66を参照すると、学習された新しい情報はいずれも、今後の参考のため、特定のデータベースに登録される。
本実施形態において、
DBへのデポジット:IPアドレス112.20.190.176は禁止されている。
ユーザリスク管理へのデポジット:ユーザA1B2C3は、考えられていたよりさらに危険であり、このユーザに関する情報を、いくらかここに示す。
DBへのデポジット:IPアドレス112.20.190.176は禁止されている。
ユーザリスク管理へのデポジット:ユーザA1B2C3は、考えられていたよりさらに危険であり、このユーザに関する情報を、いくらかここに示す。
情報型識別部
図14に、情報型識別サブアルゴリズムを示す。このサブアルゴリズムは、未知データの型/性質を判定する。このサブアルゴリズムは、未知データが社会保障番号、自宅住所、電話番号、等のどれであるかを判断できる。このサブアルゴリズムは、自身が選択したデータ型への確信度を申告し、その確信度が低すぎる場合は、失敗フラグを返す。
図14に、情報型識別サブアルゴリズムを示す。このサブアルゴリズムは、未知データの型/性質を判定する。このサブアルゴリズムは、未知データが社会保障番号、自宅住所、電話番号、等のどれであるかを判断できる。このサブアルゴリズムは、自身が選択したデータ型への確信度を申告し、その確信度が低すぎる場合は、失敗フラグを返す。
参照符号68を参照すると、未知データが入力されている。実際のコードでは、並列化を目的として、入力は一括で行われている。
本実施形態において、
123−45−6789が入力で与えられている。
123−45−6789が入力で与えられている。
属性の抽出70を参照すると、長さ、数字/文字比、特殊文字などの属性が、導出される。
本実施形態において、
属性は、9つの数字、数字/文字比が100%、2つのダッシュを有する、である。
属性は、9つの数字、数字/文字比が100%、2つのダッシュを有する、である。
DB共通部分判定72を参照すると、照合のためにDBのデータポイントが選択される。
本実施形態において、
データベースへの照会:9つの数字、数字/文字比が100%、2つのダッシュを有すると定義されたデータ型は存在するか?
データベースへの照会:9つの数字、数字/文字比が100%、2つのダッシュを有すると定義されたデータ型は存在するか?
キャッシュバイパス74を参照すると、照合のために、まずキャッシュがチェックされる。
本実施形態において、
キャッシュへの照会:前回、これと似たリクエストをした。そのときの返答は何か?また、どのくらい確信があったか?(もしあれば)
キャッシュへの照会:前回、これと似たリクエストをした。そのときの返答は何か?また、どのくらい確信があったか?(もしあれば)
確信限界の計算76を参照すると、確信度レベルを求めるために結果が処理される。
本実施形態において、
社会保障番号の判定基準に100%一致した。よって、これが社会保障番号であることに、100%の確信がある。
社会保障番号の判定基準に100%一致した。よって、これが社会保障番号であることに、100%の確信がある。
低確信度の除去78を参照すると、結果に対する確信について閾値切捨が適用される。閾値は動的であってもよい。
本実施形態において、
確信が100%であるので、これが社会保障番号であるという判断が出力に回される。
確信が100%であるので、これが社会保障番号であるという判断が出力に回される。
確信パターンのキャッシュ80を参照すると、型親和性と属性の構成とを関係づけるためにパターン検知が実行される。高確信度を有するパターンはキャッシュに格納され、DBは計算されたパターンを含まないが、型と属性の静的な関連付けを含む。
本実施形態において、
パターンルールの生成:全体の長さが11で、の文字列が存在する場合、9つの数字と2つのダッシュが含まれている場合、これが社会保障番号であることは100%確かなので、DBに問い合わせることもしない。
パターンルールの生成:全体の長さが11で、の文字列が存在する場合、9つの数字と2つのダッシュが含まれている場合、これが社会保障番号であることは100%確かなので、DBに問い合わせることもしない。
出力82を参照すると、結果がAPIに合わせて編集され、出力される。
本実施形態において、
APIのシンタックスへの出力:これが社会保障番号であることは、100%確かである。
APIのシンタックスへの出力:これが社会保障番号であることは、100%確かである。
メディアスキャナ
図15に、メディアスキャナサブアルゴリズムを示す。
図15に、メディアスキャナサブアルゴリズムを示す。
このサブアルゴリズムには、文書/写真等が与えられ、このようなメディアの予期された構成に対して、違法な情報の転送、および一貫性のない/疑わしい挙動がないかチェックする。
メディアイベント84を参照すると、(初期メディアパース)、文書/写真が受信され、メディアパースが実行され、情報内で疑われるポイントがハイライトされる。疑われるポイントには、メタデータ、または文書等のRAWフォーマットに隠された情報が含まれる。
本実施形態において、
データおよびメタデータがスキャンされる。
データおよびメタデータがスキャンされる。
情報型識別部86を参照すると、情報の疑われる重要なポイントが、情報型識別部によって処理される。ユーザIDは、どんなものでもユーザリスク管理サブアルゴリズムに渡される。他の全ての情報が、汎用パーサに渡される。
本実施形態において、
関心ポイントの候補が見つかった
見つかったユーザIDトークン:A1B2C3
複数の社会保障番号が見つかった
関心ポイントの候補が見つかった
見つかったユーザIDトークン:A1B2C3
複数の社会保障番号が見つかった
参照番号88、90、および92を参照すると、汎用パーサは、リスクオブジェクトDBと連携することで、ファイル内に存在する、極めて危険な関連性を探す。例えば:文書内のある社会保障番号が、リスクオブジェクトDBで見つかっており、この社会保障番号は、この24時間でリークされたことが疑われていると判明している。よって、この文書は最終的には転送をブロックされ、リスクオブジェクトが生成され、ユーザリスク管理アルゴリズムには、このインシデントへの、該当するユーザの関与が、通知される。
本実施形態において、
見つかった社会保障番号のうちの1つが、この24時間でリークされた社会保障番号を有する共通の文書に存在する。
見つかった社会保障番号のうちの1つが、この24時間でリークされた社会保障番号を有する共通の文書に存在する。
参照番号94を参照すると、このファイルをブロックするか許可するかの判断を行うために、結果が合成され、パースされる。
本実施形態において、
見つかったユーザは高いリスク係数を有し、複数の社会保障番号の漏洩で不正の前歴を有しており、このファイル内の社会保障番号の1つが他のファイルに見つかっており、この他のファイルには、この24時間でリークされた他の社会保障番号が含まれている。
これら全ての情報により、このメディアの搬送をブロックする。
見つかったユーザは高いリスク係数を有し、複数の社会保障番号の漏洩で不正の前歴を有しており、このファイル内の社会保障番号の1つが他のファイルに見つかっており、この他のファイルには、この24時間でリークされた他の社会保障番号が含まれている。
これら全ての情報により、このメディアの搬送をブロックする。
特権分離分析
図16に、特権分離分析サブアルゴリズムを示す。このサブアルゴリズムは、任意のユーザやプロセスがそれらに許可された特権割り当ての範囲内にあるかどうかを判定する。このサブアルゴリズムは、絶え間なく起動されるよう設計されており、任意のユーザやプロセスに、それらが活動しているセクターに存在することが許可されているかどうかを判定するウォッチドッグプロセスである。このプロセスは、マスタープロセスから背景情報を与えられ、自らは能動的に情報を探さない。いかなる特権違反も、確認されると直ちにマスタープロセスとセカンダリプロセスにレポートされ、セカンダリプロセスは、マスタープロセスが結局その特権違反に対して何らかの行為を行ったのかをダブルチェックしている。
図16に、特権分離分析サブアルゴリズムを示す。このサブアルゴリズムは、任意のユーザやプロセスがそれらに許可された特権割り当ての範囲内にあるかどうかを判定する。このサブアルゴリズムは、絶え間なく起動されるよう設計されており、任意のユーザやプロセスに、それらが活動しているセクターに存在することが許可されているかどうかを判定するウォッチドッグプロセスである。このプロセスは、マスタープロセスから背景情報を与えられ、自らは能動的に情報を探さない。いかなる特権違反も、確認されると直ちにマスタープロセスとセカンダリプロセスにレポートされ、セカンダリプロセスは、マスタープロセスが結局その特権違反に対して何らかの行為を行ったのかをダブルチェックしている。
ユーザ許可イベント96が送信される。このようなイベントは直接人間によるものとは限らず、許可を検証される必要のあるユーザアカウントを使用するプロセスである場合もある。ユーザIDトークンと、リクエストされたアクセス/変更の場所が、情報型識別サブアルゴリズムにより抽出され、該当するスレッドマネージャへ送られる。
本実施形態において、
見つかったユーザIDトークン:A1B2C3
リクエストされた場所:人事部の社会保障番号フォルダへの許可がリクエストされた:読み取り専用(変更なし)
見つかったユーザIDトークン:A1B2C3
リクエストされた場所:人事部の社会保障番号フォルダへの許可がリクエストされた:読み取り専用(変更なし)
場所スレッドマネージャ98を参照すると、スレッドマネージャは、場所情報を受信し、アクセス/変更が許可されているのが誰であるかを調べるために、場所データベースを呼び出す。
本実施形態において、
データベースへの質問:人事部の社会保障番号フォルダからファイルを読み出すことが可能な全ての人は?
データベースへの質問:人事部の社会保障番号フォルダからファイルを読み出すことが可能な全ての人は?
ユーザスレッドマネージャ100を参照すると、このスレッドマネージャは、ユーザ情報を受信し、アクセス/変更が許可されている場所はどこかを調べるために、ユーザデータベースを呼び出す。また、このスレッドマネージャは、この特定のユーザに対して予防ポリシーの範囲でブロックすべき、危険な場所の候補を得るために、ユーザリスク管理サブアルゴリズムも呼び出す。
本実施形態において、
ユーザA1B2C3は、このリストにある25個のフォルダからの読み出しが許可されている。
ユーザリスク管理サブアルゴリズムによると、このユーザに対して、これらのフォルダへのアクセスをブロックすべきである。
ユーザA1B2C3は、このリストにある25個のフォルダからの読み出しが許可されている。
ユーザリスク管理サブアルゴリズムによると、このユーザに対して、これらのフォルダへのアクセスをブロックすべきである。
ユーザ許可バンク102は、当該ユーザの許可属性を固有DB1から受信し、場所スレッドマネージャから、当該ユーザがこの場所においてリクエストされた処置を行うことを許可されているかどうかを確認する問い合わせを受ける。その結果は、許可アグリゲータに登録される。
本実施形態において、
ユーザA1B2C3は、人事部の社会保障番号フォルダに対する読み出しと書き込みが可能である。
ユーザA1B2C3は、人事部の社会保障番号フォルダに対する読み出しと書き込みが可能である。
場所許可バンク104は、当該場所の許可要件を固有DB2から受信し、ユーザセキュリティリスクのため、予防措置としてどこかの場所をブロックすべきかどうかを判断するあるスレッドからの問い合わせを受ける。予防措置レベルの閾値は、外部のポリシー及び挙動を経由して決定される。
本実施形態において、
人事部の社会保障番号フォルダは、ユーザA1B2C3により読み出し可能である。しかし、このユーザは75%の危険度があり、また社会保障番号を扱うことについて不正の前歴があるため、予防措置として、このユーザをブロックすべきである。
人事部の社会保障番号フォルダは、ユーザA1B2C3により読み出し可能である。しかし、このユーザは75%の危険度があり、また社会保障番号を扱うことについて不正の前歴があるため、予防措置として、このユーザをブロックすべきである。
許可アグリゲータ106は、ユーザ許可バンク102と場所許可バンク104の双方の結果ストリームを論理的に合成し、自身の意見を出力へ送る。
本実施形態において、
ユーザA1B2C3は、人事部の社会保障番号フォルダに存在するいかなるものへの読み出しもブロックされている。
ユーザA1B2C3は、人事部の社会保障番号フォルダに存在するいかなるものへの読み出しもブロックされている。
ユーザリスク管理
図17に、ユーザリスク管理サブアルゴリズムを示す。このサブアルゴリズムは、ユーザ(従業員または他の人間の可能性がある)の記録に対する総合リスク査定を求める。リスク要因は、以前のポリシー違反、過度な使用状況、遂行された疑わしい操作、等である。必須の入力は、ユーザIDトークンであり、出力は、リスクの重大性の種々の関連オブジェクトを伴った総合リスク査定パーセンテージである。これらのオブジェクトは、さらなる分析のため、他のサブアルゴリズムから個別にアクセス可能である。任意の入力は、当該ユーザに関連するリスクオブジェクト参照である。そして、ユーザリスク管理サブアルゴリズムは、リスクオブジェクトと当該ユーザとの紐付けを記録し、デフォルトではリスク査定を出力しない。
図17に、ユーザリスク管理サブアルゴリズムを示す。このサブアルゴリズムは、ユーザ(従業員または他の人間の可能性がある)の記録に対する総合リスク査定を求める。リスク要因は、以前のポリシー違反、過度な使用状況、遂行された疑わしい操作、等である。必須の入力は、ユーザIDトークンであり、出力は、リスクの重大性の種々の関連オブジェクトを伴った総合リスク査定パーセンテージである。これらのオブジェクトは、さらなる分析のため、他のサブアルゴリズムから個別にアクセス可能である。任意の入力は、当該ユーザに関連するリスクオブジェクト参照である。そして、ユーザリスク管理サブアルゴリズムは、リスクオブジェクトと当該ユーザとの紐付けを記録し、デフォルトではリスク査定を出力しない。
ユーザIDトークン108が、リスク査定レポートの生成、またはリスクオブジェクト参照のデポジットのいずれかのために提供される。このようなデポジットは、ユーザのリスク履歴を構築するために行われ、このような使用状況のケースについては、有意な出力は与えられない。
本実施形態において、
ユーザIDトークン:A1B2C3のリスクオブジェクト参照:なし
ユーザIDトークン:A1B2C3のリスクオブジェクト参照:なし
リスクオブジェクト参照110が提供されると、将来の参照のためにデータベースへのデポジットが行われ、アルゴリズムインスタンスは実行を終える。
本実施形態において、
リスクオブジェクト参照は与えられていないので、DBへのデポジットは行われない
リスクオブジェクト参照は与えられていないので、DBへのデポジットは行われない
レポートの開始112を参照すると、リスクオブジェクト参照のデポジットは行われない。そこで、スレッドマネージャはレポートの作成を要求する。当該ユーザのリスク履歴を査定するために、固有データベースにおいて、該当するユーザIDが調べられる。
本実施形態において、
DBで見つかったユーザIDトークンA1B2C3には、この1週間で3件のセキュリティインシデントがあり、この1年で12件のセキュリティインシデントがある。
DBで見つかったユーザIDトークンA1B2C3には、この1週間で3件のセキュリティインシデントがあり、この1年で12件のセキュリティインシデントがある。
参照番号114(オブジェクトの取得)を参照すると、固有DBへの問い合わせによって生成されたオブジェクト参照が具体化される。当該オブジェクトの完全な詳細が、他のアルゴリズムがアクセス可能なオブジェクトDBから抽出される。
本実施形態において、
リスクオブジェクト192および866を、DBから取得する。
リスクオブジェクト192および866を、DBから取得する。
参照番号116を参照すると、全てのリスク詳細が格付けされる。リスク格付が、固有DBから抽出される。固有DBは、各種のリスクオブジェクトに対するリスク格付を与える。リスク格付と、抽出されたリスクオブジェクトを使用して、最終集約レポートが作成され、出力に送られる。包括的主要リスクインデックスも出力に送られ、他のモジュールがユーザの直接リスク係数を迅速に特定するために使用される。
本実施形態において、
リスクオブジェクト192および866を考慮すると、リスク格付によって、これらの非常に不正なセキュリティ違反行為を、我々は考慮すべきであることがわかる。このユーザは、外来の詐欺的なエンティティに社会保障番号を漏洩したことが確認されている。したがって、このユーザに対しては、企業の社会保障番号へのアクセスをブロックし、場合によっては全てのメールトラフィックさえもブロックすることを強く推奨する。
リスクインデックス:75%
リスクオブジェクト192および866を考慮すると、リスク格付によって、これらの非常に不正なセキュリティ違反行為を、我々は考慮すべきであることがわかる。このユーザは、外来の詐欺的なエンティティに社会保障番号を漏洩したことが確認されている。したがって、このユーザに対しては、企業の社会保障番号へのアクセスをブロックし、場合によっては全てのメールトラフィックさえもブロックすることを強く推奨する。
リスクインデックス:75%
セキュリティケースシナリオ
図18に、上述のサブアルゴリズムが使用されるセキュリティケースシナリオを示す。このシナリオでは、15個の社会保障番号が、ある従業員によってメールに記載され、会社ネットワークの外部に送信される。このメールが、通常のセキュリティチェックとして、メディアスキャナに送られる。メディアスキャナサブアルゴリズムが、メールにある15個の社会保障番号を検知し、これに危険度高のフラグを立てる。コンビネーションリクエストモジュールは、さらに当該セキュリティ脅威の重大度を測定するために、リスクオブジェクトDB、ユーザリスク管理サブアルゴリズム、特権分離サブアルゴリズム、および外来エンティティ管理サブアルゴリズムを参照する。この処理では、各サブアルゴリズムが、静的ポリシーおよび動的挙動の全てのインスタンスを、個別に査定する。各サブアルゴリズムは、セキュリティイベントについて独自のコンテキストを解釈するために必要な該当ルールを査定する。
リスクオブジェクトDBは、セキュリティインシデントを列挙しているリスクオブジェクトを含むものであり、15個の社会保障番号うち2個が過去に漏洩したことがあり、したがって本イベントは高危険度であることを返す。ユーザリスク管理サブアルゴリズムは、総合的なリスクを判定するものであり、当該従業員は危険で、過去に取扱注意の情報を漏洩させる挙動をとったことを返す。特権分離分析サブアルゴリズムは、ある処置/イベントが許可されているかどうかを判断するものであり、当該従業員が会社の外へ出るメールに15個の社会保障番号を含めることを許可されていなかったことを返す。外来エンティティ管理サブアルゴリズムは、非企業体の総合的なリスクを決定するものであり、メールで意図された受信者が高危険度で、詐欺的で、会社ネットワークの外にいることを返す。この結果に基づいて、修正処置がとられる。このイベントのリスクにより、(1)会社の外へ出るメールはブロックされ、(2)当該従業員についての、インバウンドおよびアウトバウンドトラフィックはすべてブロックされ、(3)該当する管理が通知される。
図18に、上述のサブアルゴリズムが使用されるセキュリティケースシナリオを示す。このシナリオでは、15個の社会保障番号が、ある従業員によってメールに記載され、会社ネットワークの外部に送信される。このメールが、通常のセキュリティチェックとして、メディアスキャナに送られる。メディアスキャナサブアルゴリズムが、メールにある15個の社会保障番号を検知し、これに危険度高のフラグを立てる。コンビネーションリクエストモジュールは、さらに当該セキュリティ脅威の重大度を測定するために、リスクオブジェクトDB、ユーザリスク管理サブアルゴリズム、特権分離サブアルゴリズム、および外来エンティティ管理サブアルゴリズムを参照する。この処理では、各サブアルゴリズムが、静的ポリシーおよび動的挙動の全てのインスタンスを、個別に査定する。各サブアルゴリズムは、セキュリティイベントについて独自のコンテキストを解釈するために必要な該当ルールを査定する。
リスクオブジェクトDBは、セキュリティインシデントを列挙しているリスクオブジェクトを含むものであり、15個の社会保障番号うち2個が過去に漏洩したことがあり、したがって本イベントは高危険度であることを返す。ユーザリスク管理サブアルゴリズムは、総合的なリスクを判定するものであり、当該従業員は危険で、過去に取扱注意の情報を漏洩させる挙動をとったことを返す。特権分離分析サブアルゴリズムは、ある処置/イベントが許可されているかどうかを判断するものであり、当該従業員が会社の外へ出るメールに15個の社会保障番号を含めることを許可されていなかったことを返す。外来エンティティ管理サブアルゴリズムは、非企業体の総合的なリスクを決定するものであり、メールで意図された受信者が高危険度で、詐欺的で、会社ネットワークの外にいることを返す。この結果に基づいて、修正処置がとられる。このイベントのリスクにより、(1)会社の外へ出るメールはブロックされ、(2)当該従業員についての、インバウンドおよびアウトバウンドトラフィックはすべてブロックされ、(3)該当する管理が通知される。
反復型知的成長
図19に、さまざまなセキュリティ脅威に適応するにつれて、静的ルールセットが発達する様子を示している。連続する代々のルールセットが作成され、これらルールセットの進化は、「パーソナリティ」トレイトの定義によって行われる。このようなルールセットは、入力されたセキュリティアラートを処理し、最も所望の通知および修正処置を行うために使用される。
図19に、さまざまなセキュリティ脅威に適応するにつれて、静的ルールセットが発達する様子を示している。連続する代々のルールセットが作成され、これらルールセットの進化は、「パーソナリティ」トレイトの定義によって行われる。このようなルールセットは、入力されたセキュリティアラートを処理し、最も所望の通知および修正処置を行うために使用される。
参照符号116を参照すると、サイバーセキュリティアナリストは、進化の連鎖を開始するために、初期ルールセットを生成する。
本実施形態において、
人事部から送られたものでない、会社の外へ出るメールには、5個以上の社会保障番号を含めることができない。
人事部から送られたものでない、会社の外へ出るメールには、5個以上の社会保障番号を含めることができない。
参照符号118を参照すると、疑似セキュリティ脅威(AST)は、一貫したセキュリティ開発環境を提供する、隔離されたシステムである。
本実施形態において、
ASTシステムが、LAN上のコンピュータにマルウェアを感染させた。このマルウェアが、ネットワークの外に取扱注意の情報を送信し、感染したコンピュータを完全にロックした。
ASTシステムが、LAN上のコンピュータにマルウェアを感染させた。このマルウェアが、ネットワークの外に取扱注意の情報を送信し、感染したコンピュータを完全にロックした。
進化系統120は、一貫した「パーソナリティ」を有する複数の世代の連鎖の全体である。CPU時間が進むにつれ、世代は次第に動的になる。初期静的ルールセットは通用しなくなり、場合によっては消去されたり上書きされたりする。
本実施形態において、
進化系統Aは、厳密で予防的なトレイトを有し、このトレイトは、寛容さまたは許容範囲がほとんどない仮定を有する。
進化系統Aは、厳密で予防的なトレイトを有し、このトレイトは、寛容さまたは許容範囲がほとんどない仮定を有する。
系統パーソナリティ122は、セキュリティイベントに対して働くべき反応的性質を定義している変数の集合である。このようなトレイトは、人間によって直接定義され、現実および疑似のセキュリティ脅威への反応における人間の挙動を観察することにより関係付けられる。
どの一連の判断がトレイトxおよびyのものであるかを伝えられると、系統パーソナリティ122は、疑似セキュリティ脅威(AST)システムにより提供されたセキュリティシナリオにおけるそれらのトレイトを適用できる。
どの一連の判断がトレイトxおよびyのものであるかを伝えられると、系統パーソナリティ122は、疑似セキュリティ脅威(AST)システムにより提供されたセキュリティシナリオにおけるそれらのトレイトを適用できる。
本実施形態において、
このようなセキュリティシステムのためのトレイトの例
・現実的:関連が曖昧なセキュリティイベントが存在する場合は常に、アルゴリズムは、セキュリティ問題はないという、疑わしきは罰せずの原則を採る。代わりに、アルゴリズムは、より実際的で現実的な脅威にCPU時間を集中させる。
・非寛容的:ある個人やシステムが、前にセキュリティインシデントを起こしている場合、このようなエンティティを、より長期にわたって疑い深く扱う。
・日和見的:アルゴリズムは、修正処置の候補を認知するたびに、この修正処置を試して目的を果たすため、全ての可能性のある証拠を追及する。
このようなセキュリティシステムのためのトレイトの例
・現実的:関連が曖昧なセキュリティイベントが存在する場合は常に、アルゴリズムは、セキュリティ問題はないという、疑わしきは罰せずの原則を採る。代わりに、アルゴリズムは、より実際的で現実的な脅威にCPU時間を集中させる。
・非寛容的:ある個人やシステムが、前にセキュリティインシデントを起こしている場合、このようなエンティティを、より長期にわたって疑い深く扱う。
・日和見的:アルゴリズムは、修正処置の候補を認知するたびに、この修正処置を試して目的を果たすため、全ての可能性のある証拠を追及する。
反復的進化
図20および21に、並行する複数の進化系統が発達し選択される手法を示している。反復操作された世代が、同一の疑似セキュリティ脅威(AST)に適応し、最良のパーソナリティトレイトを有する系統が、結局はこのセキュリティ脅威に対して最もよく耐えることになる。
図20および21に、並行する複数の進化系統が発達し選択される手法を示している。反復操作された世代が、同一の疑似セキュリティ脅威(AST)に適応し、最良のパーソナリティトレイトを有する系統が、結局はこのセキュリティ脅威に対して最もよく耐えることになる。
CPU時間124は、ある期間にわたるCPUパワーの計測値である。CPU時間124は、CPUサイクル数/秒で計測される。1つの進化系統のための処理負荷量を、時間だけで測定するのは十分ではなく、コア数および各CPUのパワーが考慮されなくてはならない。
本実施形態において、
ペンティアム(登録商標)IIIでは千年かかる要求の処理が、ハスウェルプロセッサでは30分で済むかもしれない。
ペンティアム(登録商標)IIIでは千年かかる要求の処理が、ハスウェルプロセッサでは30分で済むかもしれない。
参照符号126を参照すると、全ての進化系統は、仮想的に隔離されており、それぞれの反復操作結果が、それら自身のパーソナリティの判定基準からのみに基づいていることを保証している。
本実施形態において、
系統Bは、系統Cが困難なセキュリティ課題を解決したことを全く知らず、自分自身のパーソナリティトレイトおよび学習データに依存してソリューションを求めなければならない。
系統Bは、系統Cが困難なセキュリティ課題を解決したことを全く知らず、自分自身のパーソナリティトレイトおよび学習データに依存してソリューションを求めなければならない。
監視/連携システム128は、疑似セキュリティ脅威(AST)システムからセキュリティイベントを投入し、セキュリティ挙動クラウド(全てが固有のパーソナリティトレイトに従っている)から、セキュリティイベントに関連するセキュリティ応答を中継するプラットフォームである。
本実施形態において、
この監視システムが、世代12を組み上げるのに必要なセキュリティ応答を、系統Bに提供した。
この監視システムが、世代12を組み上げるのに必要なセキュリティ応答を、系統Bに提供した。
疑似セキュリティ脅威(AST)130は、安定したセキュリティ開発環境を提供する、隔離されたシステムである。疑似セキュリティ脅威(AST)130は、システムにセキュリティ応答およびトレイトの種々の候補を認識させる練習および訓練をさせるためのセキュリティ訓練を、サイバーアナリストに提供する。
本実施形態において、
ASTシステムが、LAN上のコンピュータにマルウェアを感染させた。このマルウェアが、ネットワークの外に取扱注意の情報を送信し、感染したコンピュータを完全にロックした。
ASTシステムが、LAN上のコンピュータにマルウェアを感染させた。このマルウェアが、ネットワークの外に取扱注意の情報を送信し、感染したコンピュータを完全にロックした。
参照符号132を参照すると、いくつかの系統は、セキュリティ課題を解決できないという不定状態に達しているので、破棄されることがある。最も可能性が高い結論としては、パーソナリティを変更して新たな系統を生成しなければならないというものである。
本実施形態において、
系統Dは、100CPU時間単位の間、セキュリティ課題を解決できなかった。したがって、この系統全体を破棄した。
系統Dは、100CPU時間単位の間、セキュリティ課題を解決できなかった。したがって、この系統全体を破棄した。
参照符号134を参照すると(セキュリティ挙動クラウド)、サイバーセキュリティアナリストの挙動が処理され、進化系統が学習できるように格納される。
本実施形態において、
系統Aは、特定の現況と日和見的パーソナリティ型に一致するセキュリティ脅威に対する多数の反応を見つけた。すると、系統Aはそのような挙動を模倣するルールを生成する。
系統Aは、特定の現況と日和見的パーソナリティ型に一致するセキュリティ脅威に対する多数の反応を見つけた。すると、系統Aはそのような挙動を模倣するルールを生成する。
参照符号136を参照すると、サイバーアナリストは、各系統のパフォーマンスを確認し、加えて特化した変更を行うために、監視/連携システムを使用することができる。人間は、監視/連携システムに対して、直接命令を行う。つまり、手動で系統を中止させ、系統パーソナリティ等のマスター変数を変更する
本実施形態において、
サイバーアナリストは、系統Dのパーソナリティトレイトの合成が合理的でないためにパフォーマンスが悪いので、手動で系統Dを破棄した。
サイバーアナリストは、系統Dのパーソナリティトレイトの合成が合理的でないためにパフォーマンスが悪いので、手動で系統Dを破棄した。
参照符号138を参照すると、相互参照モジュールは、セキュリティイベントと、サイバーセキュリティアナリストによる応答との間を分析的につなげるものである。有意な処置を抽出した後、相互参照モジュールはこの処置をトレイトタグ付けモジュールに送る。セキュリティイベントは、現実のイベントまたはセキュリティ訓練のいずれかから与えられ得る。
本実施形態において、
サイバーアナリストは、1つのメールに許可されている社会保障番号の数の上限の90%を有するメールの危険度を手動で引き上げた。相互参照モジュールは、この処置ならびにこの処置について自ら宣言したパーソナリティの特徴(サイバーセキュリティアナリストにより定義されている)を記録した。
サイバーアナリストは、1つのメールに許可されている社会保障番号の数の上限の90%を有するメールの危険度を手動で引き上げた。相互参照モジュールは、この処置ならびにこの処置について自ら宣言したパーソナリティの特徴(サイバーセキュリティアナリストにより定義されている)を記録した。
トレイトタグ付けモジュール140は、パーソナリティ型に従う全ての挙動を分割する。
本実施形態において、
このサイバーセキュリティアナリストが、4つの社会保障番号を有するこのメールに危険であるとのフラグを立てた場合、トレイトタグ付けモジュールは、このアナリストが過去の複数のイベントにおいて挙動が共通しているが、自称用心深い人物でもあるので。この行為に対して予防的パーソナリティであるというフラグを立てる。
このサイバーセキュリティアナリストが、4つの社会保障番号を有するこのメールに危険であるとのフラグを立てた場合、トレイトタグ付けモジュールは、このアナリストが過去の複数のイベントにおいて挙動が共通しているが、自称用心深い人物でもあるので。この行為に対して予防的パーソナリティであるというフラグを立てる。
トレイト連携モジュール142は、種々のパーソナリティ間の関係を分析する。この情報は、セキュリティ挙動クラウドに渡され、その後監視/連携システムおよび各系統自身に渡される。セキュリティ挙動クラウドは、セキュリティイベント同士を関係づける機械学習プロセスからのデータを格納し、どのトレイトに依存してどの適切な反応を行うのかが特定される。
本実施形態において、
非寛容的および現実的パーソナリティは、使用される状況に共通するところが多く、同一のイベントに対しては、同様の反応を返す。
非寛容的および現実的パーソナリティは、使用される状況に共通するところが多く、同一のイベントに対しては、同様の反応を返す。
サイバー脅威インテリジェンス識別統合および分析(CTI3A)
図22に、サイバー脅威インテリジェンス識別統合および分析アルゴリズムを示す。定義:休眠マルウェアは、システムの一部である正常なコードをマスクする。そして、このコードがトリガされたとき、マルウェアは取扱注意の情報を外部のハッカーサーバへ送ろうとする。このマルウェアは、予め設定されたタイムスタンプ、内部のイベント(例えば金融データといったタイトルで保存されるファイル)、あるいは無害なメールを受信するなどの、外部から刺激されたイベントによってトリガされることができる。
既知で、検証済で、予測可能なパターンを有するマルウェアが、反復操作のために渡され、システムが直接対応したことのない、将来の未知のマルウェア候補が割り出される。反復操作された理論上のマルウェアと、既知のマルウェアが、会社のシステム(PCのファイル・プログラム、サーバのファイル、データベースのファイル、等)に見つかったコードのブロックと比較される。マルウェアシグネチャに重大な共通部分が存在する場合、マルウェアは検疫され、当該マルウェアが試みたトリガが早期に検知される。それらトリガの影響(つまり、会社の機密データを外部のハッカーサーバへ送信すること)は、実行前にブロックされる。
図22に、サイバー脅威インテリジェンス識別統合および分析アルゴリズムを示す。定義:休眠マルウェアは、システムの一部である正常なコードをマスクする。そして、このコードがトリガされたとき、マルウェアは取扱注意の情報を外部のハッカーサーバへ送ろうとする。このマルウェアは、予め設定されたタイムスタンプ、内部のイベント(例えば金融データといったタイトルで保存されるファイル)、あるいは無害なメールを受信するなどの、外部から刺激されたイベントによってトリガされることができる。
既知で、検証済で、予測可能なパターンを有するマルウェアが、反復操作のために渡され、システムが直接対応したことのない、将来の未知のマルウェア候補が割り出される。反復操作された理論上のマルウェアと、既知のマルウェアが、会社のシステム(PCのファイル・プログラム、サーバのファイル、データベースのファイル、等)に見つかったコードのブロックと比較される。マルウェアシグネチャに重大な共通部分が存在する場合、マルウェアは検疫され、当該マルウェアが試みたトリガが早期に検知される。それらトリガの影響(つまり、会社の機密データを外部のハッカーサーバへ送信すること)は、実行前にブロックされる。
案出
図23〜26に、前形状から新たなハイブリッド形状を知的に案出する処理を実行し、多数のアルゴリズムに処理を提供するプラグインモジュールとして使用される、案出モジュールを示す。
図23〜26に、前形状から新たなハイブリッド形状を知的に案出する処理を実行し、多数のアルゴリズムに処理を提供するプラグインモジュールとして使用される、案出モジュールを示す。
参照符号144を参照すると、2つの親形状(前形状)がインテリジェントセレクタに送られ、ハイブリッド形状が生成される。これらの親形状は、データの抽象的な構造を表すことができる。インテリジェントセレクタアルゴリズム146は、新たな特徴を選択し、ハイブリッド形状にマージする。
本実施形態において、
形状Aは、エクスプロイトDBによって導出されるセキュリティエクスプロイトの平均的なモデルを表している。形状Bは、セキュリティエクスプロイトに対してどのように反応したかに関するセキュリティルールセットによりリリースされた、新たな情報を表している。形状Bにある情報によって、生成されたハイブリッド形状は、形状Aが表しているものより優れたセキュリティエクスプロイトとすることができる。
形状Aは、エクスプロイトDBによって導出されるセキュリティエクスプロイトの平均的なモデルを表している。形状Bは、セキュリティエクスプロイトに対してどのように反応したかに関するセキュリティルールセットによりリリースされた、新たな情報を表している。形状Bにある情報によって、生成されたハイブリッド形状は、形状Aが表しているものより優れたセキュリティエクスプロイトとすることができる。
モード148は、案出モジュールが使用されているアルゴリズムの型を定義する。このように、インテリジェントセレクタは、使用されているアプリケーションに応じて、どの部分がマージするのに適切であるかを知っている。システムには、入力されたデータセットの型と所望の出力が何であるかを取り扱えるようマージプロセスを構成するために、複数のモードがプリセットされている。静的基準によって設定された比に応じて、共通している情報の量が選別される。この比が大きく設定されている場合は、大量の形状データがそのままハイブリッド形状にマージされる。この比が小さく設定されている場合は、ハイブリッド形状の大半が過去の反復操作結果とは大きく異なるように構築される。ある形状の中の同じ箇所で、ある特徴の定義が双方のデータセットで競合しているときは、優先順位付けプロセスが起動し、卓越した特徴と、共通しているために隠される特徴を選び出す。このようにして、共通するポイントがマージされる。大体の場合、ある特定のマージが発生する状況は多岐に亘っている。このため、静的基準とモードによって、このモジュールが、ある一方を他方にマージすることを優先させるように指揮されている。
本実施形態において、
モードが「疑似セキュリティ脅威」と設定されているので、インテリジェントセレクタは、予期された入力データが、エクスプロイトDBの代表(形状A)のものであり、また、セキュリティエクスプロイト(形状B)に対するルールセットの反応を詳細に記述している、新しくリリースされた情報のものであることを知っている。特徴付けられたモードが、有効なハイブリッド形状を生成するには、どのように新しいデータを古いデータとマージするのが最良なのかに関する詳細な方法を定義する。
モードが「疑似セキュリティ脅威」と設定されているので、インテリジェントセレクタは、予期された入力データが、エクスプロイトDBの代表(形状A)のものであり、また、セキュリティエクスプロイト(形状B)に対するルールセットの反応を詳細に記述している、新しくリリースされた情報のものであることを知っている。特徴付けられたモードが、有効なハイブリッド形状を生成するには、どのように新しいデータを古いデータとマージするのが最良なのかに関する詳細な方法を定義する。
形状がどのようにマージされるべきかを決めるための汎用カスタム化を提供する静的基準150が、サイバーセキュリティアナリストによって与えられている。このようなデータは、格付けの優先順位付け、所望のデータ比、および、どのモードが選択されているかに応じて行われるマージを指揮するデータを含み得る。
本実施形態において、
モードが「疑似セキュリティ脅威」と選択されたとすると、あるエクスプロイトが失敗した場合、そこから得られる結果は、このようなエクスプロイトの構成を強力に変えるため、エクスプロイトDBに多大な影響を与えるべきである。もし変更後においてもこのエクスプロイトが失敗し続ける場合は、このエクスプロイトを完全に放棄する。
モードが「疑似セキュリティ脅威」と選択されたとすると、あるエクスプロイトが失敗した場合、そこから得られる結果は、このようなエクスプロイトの構成を強力に変えるため、エクスプロイトDBに多大な影響を与えるべきである。もし変更後においてもこのエクスプロイトが失敗し続ける場合は、このエクスプロイトを完全に放棄する。
入力された形状の両方に対して、生データ比較152がサイバーセキュリティアナリストによって与えられた静的基準に応じて実行される。
本実施形態において、
生データ比較が実行された結果、静的基準により、これらの形状の大部分が互換可能であることがわかった。唯一の相違点は、形状Aが、静的基準によって「外来」であるとフラグを立てられた応答を含んでいることであった。このことは、エクスプロイトDBの代表である形状Bが、形状Aに見つかったある異常を包含/表現していないことを意味する。
生データ比較が実行された結果、静的基準により、これらの形状の大部分が互換可能であることがわかった。唯一の相違点は、形状Aが、静的基準によって「外来」であるとフラグを立てられた応答を含んでいることであった。このことは、エクスプロイトDBの代表である形状Bが、形状Aに見つかったある異常を包含/表現していないことを意味する。
参照符号154を参照すると、与えられた静的基準にしたがって、どの変更が重要あるいは重要でないのかが格付けされる。
本実施形態において
形状Bで表現されていない異常が形状Aで見つかったので、この異常が極めて重要であることを静的基準は認識している。よって、このことが結果的に、ハイブリッド形状ABを生成するためにマージプロセスにおいてなされる重立った変更になる。
形状Bで表現されていない異常が形状Aで見つかったので、この異常が極めて重要であることを静的基準は認識している。よって、このことが結果的に、ハイブリッド形状ABを生成するためにマージプロセスにおいてなされる重立った変更になる。
参照符号156(モード、比、優先順位、スタイル−をマージ)を参照すると、残すべきものと、異なっていると判明したものが、静的基準と、使用されているモードに基づき、ハイブリッド形状に再構成される。このようなバリエーションは、データの比分布、あるデータの重要性、そのデータが互いにどのように噛み合い/関連するかを含みうる。
本実施形態において、
異常の構成についての、格付けされた重要性が受信される。適切な調整がなされた後、静的基準によって導かれたプロセスが、この異常への反応が、このデータの他の箇所と互換性がないかどうかを判別する。そして、マージプロセスが、この異常の解決策がこのような既存のデータと効果的に調和するように、既存のデータを変更する。
異常の構成についての、格付けされた重要性が受信される。適切な調整がなされた後、静的基準によって導かれたプロセスが、この異常への反応が、このデータの他の箇所と互換性がないかどうかを判別する。そして、マージプロセスが、この異常の解決策がこのような既存のデータと効果的に調和するように、既存のデータを変更する。
参照符号158を参照すると、ただ1つのトレイトだけが、ある場所(赤くハイライトされている)を占有できる場合は、優先順位付けプロセスが、その特徴を選び出すために起動される。ある形状の中の同じ箇所で、ある特徴の定義が双方のデータセットで競合しているときは、優先順位付けプロセスが起動し、重立った特徴と、共通しているために隠される特徴を選び出す。
本実施形態において、
図では、2つの結論の候補が示されている。実際には、これらの形状のうち、恐らくただ1つだけが最終的な出力となる可能性がある。
図では、2つの結論の候補が示されている。実際には、これらの形状のうち、恐らくただ1つだけが最終的な出力となる可能性がある。
参照符号160を参照すると、大体の場合、特徴間には共通する形状があり、したがって、マージされたトレイトを有する形状が生成できる。このようにして、共通するポイントがマージされる。大体の場合、ある特定のマージが発生する状況は多岐に亘っている。このため、静的基準とモードによって、このモジュールが、ある一方を他方にマージすることを優先させるように指揮されている。
本実施形態において、
三角形と円形が入力形状として与えられたとき、「パックマン」の形が生成される。
三角形と円形が入力形状として与えられたとき、「パックマン」の形が生成される。
セキュリティ挙動
図27に、セキュリティ挙動モジュールを示す。イベントと、それぞれの応答とトレイトが、今後の問い合わせのために格納されインデックス付けされる。
図27に、セキュリティ挙動モジュールを示す。イベントと、それぞれの応答とトレイトが、今後の問い合わせのために格納されインデックス付けされる。
参照符号162(イベント+応答ストレージ)を参照すると、あるイベントとその応答が格納される。トレイトの組成が定義され、さらに、セキュリティイベントをそれらの適切な応答とともに照会しやすくするために、セキュリティ関心ポイント(POI)としてインデックス付けされる。
本実施形態において、
営業時間外に社会保障番号がFTP経由で転送されるイベントが格納される。この転送、加えてこの送信者と受信者に直接関連する全てのエンティティをブロックするという応答が、予防的応答としてマークされる。POIは、社会保障番号型とFTPプロトコルである。
営業時間外に社会保障番号がFTP経由で転送されるイベントが格納される。この転送、加えてこの送信者と受信者に直接関連する全てのエンティティをブロックするという応答が、予防的応答としてマークされる。POIは、社会保障番号型とFTPプロトコルである。
参照符号164(セキュリティPOIプール)を参照すると、参照のため、およびトレイトインデックスとをつなげるために、POIがここに格納されている。このようにして、誰かがあるトレイトをある判定基準とともに調べた場合、格納されたイベントが示される。これらのイベントは、POIインデックス経由で問い合わせられる。
本実施形態において、
社会保障番号を扱う、厳密で中立的なトレイトを調べるためのクエリが発行される。該当するPOIがPOIプールで調べられ、そして該当するイベント+応答ストレージが抽出され、返される。
社会保障番号を扱う、厳密で中立的なトレイトを調べるためのクエリが発行される。該当するPOIがPOIプールで調べられ、そして該当するイベント+応答ストレージが抽出され、返される。
外部クエリ166が、トレイトまたはイベント+応答のいずれかを調べるために実行される。
本実施形態において、
FTPプロトコルを扱うイベントを調べるためのクエリが発行される。該当するPOIがPOIプールで調べられ、そして該当するイベント+応答ストレージが取り出され、返される。
FTPプロトコルを扱うイベントを調べるためのクエリが発行される。該当するPOIがPOIプールで調べられ、そして該当するイベント+応答ストレージが取り出され、返される。
参照符号168(トレイトインデックス)を参照すると、POIインタフェースが、トレイトの統計データと、該当するイベント+応答を結びつけている。
本実施形態において、
楽観的パーソナリティが5個以上の社会保障番号が送出されるのをブロックするのかどうかを尋ねるために、トレイトクエリが実行される。POIインタフェースは、社会保障番号POIを調べ、楽観的パーソナリティがどうするのかを示すために、イベント+応答を取り出す。
楽観的パーソナリティが5個以上の社会保障番号が送出されるのをブロックするのかどうかを尋ねるために、トレイトクエリが実行される。POIインタフェースは、社会保障番号POIを調べ、楽観的パーソナリティがどうするのかを示すために、イベント+応答を取り出す。
応答パーサ
図28に、応答パーサモジュールを示す。応答パーサは、セキュリティシナリオに対する人間の反応を監視し、このようなセキュリティ応答を促した挙動トレイトの種類を判別する。
図28に、応答パーサモジュールを示す。応答パーサは、セキュリティシナリオに対する人間の反応を監視し、このようなセキュリティ応答を促した挙動トレイトの種類を判別する。
参照符号170を参照すると、記述データが、セキュリティシナリオ(現実のものかあれ訓練であるかに関わらず)から受信される。
本実施形態において、
セキュリティシナリオAは、会社の営業時間外に、異例の個数の社会保障番号がFTPポート経由で発行されることを記述している。
セキュリティシナリオAは、会社の営業時間外に、異例の個数の社会保障番号がFTPポート経由で発行されることを記述している。
参照符号172を参照すると、既知のセキュリティ関心ポイント(POI)が、セキュリティ挙動モジュールによって提供される。このようなPOIは、セキュリティシナリオの評価、および人間の応答と関連してどの部分が問題なのかを評価することの一助となる
本実施形態において、
社会保障番号が送信されることはPOIであり、これらの社会保障番号は、当該セキュリティシナリオにてハイライトされ、人間の応答において調べられる。
社会保障番号が送信されることはPOIであり、これらの社会保障番号は、当該セキュリティシナリオにてハイライトされ、人間の応答において調べられる。
参照符号174を参照すると、当該セキュリティ脅威に応答しているサイバーセキュリティアナリストは、それぞれの処置にあるトレイトをタグ付けする。この情報は、トレイトタグ付けモジュールに渡される。
本実施形態において、
サイバーセキュリティアナリストのジョンは、社会保障番号セキュリティ漏洩に対する自らの応答に、「厳密」で「悲観的」な応答であるとタグ付けした。
サイバーセキュリティアナリストのジョンは、社会保障番号セキュリティ漏洩に対する自らの応答に、「厳密」で「悲観的」な応答であるとタグ付けした。
参照符号176を参照すると、トレイトタグ付けモジュールは、当該セキュリティ応答とその応答トレイトとを関連付ける。この関連付けは、人間が自ら記述したトレイトと、過去のセキュリティ挙動からのパターン相関とを組み合わせることで行われる。パターン検知は、過去のセキュリティ挙動との共通部分がないかチェックし、自己規定されたタグ付けがある場合、パターン検知は、このタグ付けが、このモジュールの判断を裏付けるものであるかを調べるためにチェックを行う。これらの変数は、このモジュールのタグ付けの最終的な確信度を変更する。
本実施形態において、
過去のセキュリティ挙動は、セキュリティ応答Aが「悲観的」であり、自己記述されたトレイトが「中立的」であることを示している。
過去のセキュリティ挙動は、セキュリティ応答Aが「悲観的」であり、自己記述されたトレイトが「中立的」であることを示している。
参照符号178を参照すると、トレイト連携モジュールは、トレイトタグ付けモジュールからトレイトの組成を受信し、その内部的な互換性を査定する。
本実施形態において、
トレイトの組成は、強い悲観的トレイトと強い楽観的トレイトを含んでいる。これら2つのトレイトは、相互に排他的であり、よってこれらのトレイトの発行をキャンセルする。
トレイトの組成は、強い悲観的トレイトと強い楽観的トレイトを含んでいる。これら2つのトレイトは、相互に排他的であり、よってこれらのトレイトの発行をキャンセルする。
参照符号180を参照すると、初期セキュリティシナリオおよび、そのシナリオに対する、互換性のあるトレイトに沿った応答が、セキュリティ挙動クラウドにデポジットされる。
本実施形態において、
異例の個数の社会保障番号が営業時間外にFTPで送信されることへの応答は、その転送、およびこの送信者と受信者に関連する全てのエンティティをブロックすることである。この応答は、予防的トレイトを有するものとしてタグ付けされる。
異例の個数の社会保障番号が営業時間外にFTPで送信されることへの応答は、その転送、およびこの送信者と受信者に関連する全てのエンティティをブロックすることである。この応答は、予防的トレイトを有するものとしてタグ付けされる。
サイバー上の犯罪的で異常な挙動の検知および分析(CNADA)
図29に、サイバー上の犯罪的で異常な挙動の検知および分析アルゴリズムを示す。定義:あるウェブサイトを訪れたり、フィッシングメールでクリックしたり、感染したサムドライブ(フラッシュドライブ)を使用する等によって、休眠マルウェアがネットワークにおいて遠隔操作で送り込まれる。活性化の後、マルウェアは、とぎれとぎれの少量のアラートでは検知できないが、アルゴリズムが犯罪的活動を検知するのに必要なデータの量を提供する各種のソースから受信する大量のアラートによって検知できるような、犯罪的活動を実行する。個々のイベントのリスク査定は非常に低い。しかしながら、これらのイベントが大規模なパターンに翻訳されると、これらのイベントはひとまとまりで、大きなリスクおよび犯罪的活動が可能なコードの候補を表す。情報型識別部は、比較が正確に行えるよう、情報型/属性を検知する。共謀検知サブアルゴリズムは、類似度を調べるために、可能な全ての属性の組み合わせをDBに対してチェックする。共謀検知サブアルゴリズム多数のイベント(関係のあるおよび無関係のもの)を受信する。共謀検知サブアルゴリズムは、以前の重大なセキュリティイベントに対して、大規模なパターンの比較を実行する。共謀検知サブアルゴリズムは、その危険度および適切な修正処置が採られていることを報告する。修正処置段階では、攻撃に対して耐えることおよびマルウェアをねらうことにおける長所を示すセキュリティアラートの、自動反復世代(分析)を通じて、総合リスク査定が計算される。現行の世代は、95%というリスク査定を受信すると、知的に練り上げられた修正処置を提供する。
図29に、サイバー上の犯罪的で異常な挙動の検知および分析アルゴリズムを示す。定義:あるウェブサイトを訪れたり、フィッシングメールでクリックしたり、感染したサムドライブ(フラッシュドライブ)を使用する等によって、休眠マルウェアがネットワークにおいて遠隔操作で送り込まれる。活性化の後、マルウェアは、とぎれとぎれの少量のアラートでは検知できないが、アルゴリズムが犯罪的活動を検知するのに必要なデータの量を提供する各種のソースから受信する大量のアラートによって検知できるような、犯罪的活動を実行する。個々のイベントのリスク査定は非常に低い。しかしながら、これらのイベントが大規模なパターンに翻訳されると、これらのイベントはひとまとまりで、大きなリスクおよび犯罪的活動が可能なコードの候補を表す。情報型識別部は、比較が正確に行えるよう、情報型/属性を検知する。共謀検知サブアルゴリズムは、類似度を調べるために、可能な全ての属性の組み合わせをDBに対してチェックする。共謀検知サブアルゴリズム多数のイベント(関係のあるおよび無関係のもの)を受信する。共謀検知サブアルゴリズムは、以前の重大なセキュリティイベントに対して、大規模なパターンの比較を実行する。共謀検知サブアルゴリズムは、その危険度および適切な修正処置が採られていることを報告する。修正処置段階では、攻撃に対して耐えることおよびマルウェアをねらうことにおける長所を示すセキュリティアラートの、自動反復世代(分析)を通じて、総合リスク査定が計算される。現行の世代は、95%というリスク査定を受信すると、知的に練り上げられた修正処置を提供する。
疑似セキュリティ脅威
図30に、疑似セキュリティ脅威モジュールを示す。このモジュールは、セキュリティルールセットの効力をテストするための、仮想のセキュリティシナリオを提供する。各セキュリティ脅威は、セキュリティシナリオの意味のある比較が行えるように、重大度および型において一貫している。
図30に、疑似セキュリティ脅威モジュールを示す。このモジュールは、セキュリティルールセットの効力をテストするための、仮想のセキュリティシナリオを提供する。各セキュリティ脅威は、セキュリティシナリオの意味のある比較が行えるように、重大度および型において一貫している。
参照符号182を参照すると、セキュリティルールセットが、疑似エクスプロイトでテストされている。エクスプロイトが実行された後、当該エクスプロイトが機能し、さらに当該エクスプロイトをエクスプロイトDBに組み込むべきとされた場合は、「結果フィードバック」を通じて、即時に簡素な結果が提供される。「情報リリース」は、次のエクスプロイトをどのようなものにするべきかについて、詳細な情報を案出モジュールに提供する(情報は、「情報リリース」およびエクスプロイトDBの間でマージされる)。
本実施形態において、
セキュリティエクスプロイトAは、ルールセットを見抜くことができなかったので、エクスプロイトDBは、「結果フィードバック」を通じて当該エクスプロイトの評価を低くすることを、直ちに通知される。そして、案出モジュールは、新しい「情報リリース」および、エクスプロイトDBにある既存のエクスプロイトから、次のエクスプロイトを作成する。このように、新しく作成されたエクスプロイトは、その前のエクスプロイトが直面したのと同じ弱点に直面することがない。
セキュリティエクスプロイトAは、ルールセットを見抜くことができなかったので、エクスプロイトDBは、「結果フィードバック」を通じて当該エクスプロイトの評価を低くすることを、直ちに通知される。そして、案出モジュールは、新しい「情報リリース」および、エクスプロイトDBにある既存のエクスプロイトから、次のエクスプロイトを作成する。このように、新しく作成されたエクスプロイトは、その前のエクスプロイトが直面したのと同じ弱点に直面することがない。
参照符号184(編集されたセキュリティエクスプロイトバッチ)を参照すると、あるエクスプロイトが実行される。このエクスプロイトは、バッチとして実行され、バッチとは、全ての進化系統が、同じエクスプロイトで同時並行的にテストされることを意味している。このように、最良の系統を判別するために、各進化系統の間で正当な競争が行われる。
本実施形態において、
エクスプロイトバッチでテストされた5つの進化系統のうち、2つだけが、このエクスプロイトに耐えた。
エクスプロイトバッチでテストされた5つの進化系統のうち、2つだけが、このエクスプロイトに耐えた。
参照符号186を参照すると、モードは、案出モジュールが使用されているアルゴリズムの型を定義する。このように、インテリジェントセレクタは、使用されているアプリケーションに応じて、どの部分がマージするのに適切かを知っている。
本実施形態において、
モードが「疑似セキュリティ脅威」と設定されているので、インテリジェントセレクタは、予期された入力データが、エクスプロイトDBの代表(形状A)のものであり、また、セキュリティエクスプロイト(形状B)に対するルールセットの反応を詳細に記述している、新しくリリースされた情報のものであることを知っている。効果的なハイブリッド形状を生成するためには、新しいデータを古いデータにどのようにマージするのが最良なのかに関する詳細な方法を、設定されたモードが定義する。
モードが「疑似セキュリティ脅威」と設定されているので、インテリジェントセレクタは、予期された入力データが、エクスプロイトDBの代表(形状A)のものであり、また、セキュリティエクスプロイト(形状B)に対するルールセットの反応を詳細に記述している、新しくリリースされた情報のものであることを知っている。効果的なハイブリッド形状を生成するためには、新しいデータを古いデータにどのようにマージするのが最良なのかに関する詳細な方法を、設定されたモードが定義する。
参照符号188を参照すると、案出モジュールは、以前の複数のエクスプロイトの長所が用いられ、(「リリース情報」により既知である)エクスプロイトの既知の弱点を回避した、ハイブリッドエクスプロイトを知的に生成する。
本実施形態において、
セキュリティエクスプロイトAは、ルールセットを見抜くことができなかった。エクスプロイトBは、エクスプロイトAで見つかった弱点を解消し、エクスプロイトAを失敗させた弱点を迂回する重立った既知の長所をエクスプロイトDBから作り出すことによって生成されている。
セキュリティエクスプロイトAは、ルールセットを見抜くことができなかった。エクスプロイトBは、エクスプロイトAで見つかった弱点を解消し、エクスプロイトAを失敗させた弱点を迂回する重立った既知の長所をエクスプロイトDBから作り出すことによって生成されている。
監督管理190は、エクスプロイトの格納状況および使用状況の発達を監視および追跡するものである。このようなエクスプロイトは、サイバーセキュリティアナリストによって手動で生成/変更/削除される。
本実施形態において、
サイバーセキュリティアナリストは、あるエクスプロイトの発達パターンを1週間にわたって監視した。アナリストは、発達パターンの進展が改善していることに気付いているが、自らより良いエクスプロイトを生成した。アナリストは、古いエクスプロイトをエクスプロイトDBから削除し、自らの手で生成したエクスプロイトを組み込んだ。
サイバーセキュリティアナリストは、あるエクスプロイトの発達パターンを1週間にわたって監視した。アナリストは、発達パターンの進展が改善していることに気付いているが、自らより良いエクスプロイトを生成した。アナリストは、古いエクスプロイトをエクスプロイトDBから削除し、自らの手で生成したエクスプロイトを組み込んだ。
参照符号192(エクスプロイトDB)を参照すると、複数のエクスプロイトが、既知の挙動履歴(それらのエクスプロイトの、ある条件下における過去の動作状況)に沿って格納されている。エクスプロイトの重要性も格納され、それによって案出モジュールは、あるエクスプロイトについて既知の重要性を考慮することができる。
本実施形態において、
エクスプロイトAは、DB内で最も強力で信頼できるエクスプロイトのひとつである。エクスプロイトAは、様々な状況において、およびルールセットの変更に対して良く機能したという長い実績がある。エクスプロイトAは、エクスプロイトDBにおいて、高評価/高重要度とラベル付けされる。
エクスプロイトAは、DB内で最も強力で信頼できるエクスプロイトのひとつである。エクスプロイトAは、様々な状況において、およびルールセットの変更に対して良く機能したという長い実績がある。エクスプロイトAは、エクスプロイトDBにおいて、高評価/高重要度とラベル付けされる。
形状がどのようにマージされるべきかを決めるための汎用カスタム化を提供する静的基準194が、サイバーセキュリティアナリストによって与えられている。
このようなデータは、格付けの優先順位付け、所望のデータ比、および、どのモードが選択されているかに応じて行われるマージを指揮するデータを含み得る。
このようなデータは、格付けの優先順位付け、所望のデータ比、および、どのモードが選択されているかに応じて行われるマージを指揮するデータを含み得る。
本実施形態において、
モードが「疑似セキュリティ脅威」として選択されている。あるエクスプロイトが失敗した場合、そこから得られる結果は、このようなエクスプロイトの構成を強力に変えるため、エクスプロイトDBに多大な影響を与えている。もし変更後においてもこのエクスプロイトが失敗し続ける場合は、このエクスプロイトを完全に放棄する。
モードが「疑似セキュリティ脅威」として選択されている。あるエクスプロイトが失敗した場合、そこから得られる結果は、このようなエクスプロイトの構成を強力に変えるため、エクスプロイトDBに多大な影響を与えている。もし変更後においてもこのエクスプロイトが失敗し続ける場合は、このエクスプロイトを完全に放棄する。
監視/連携システム
図31に、監視/連携システムモジュールを示す。このモジュールは、進化系統と、データバンク/人間による介入の間を取り持つ。
図31に、監視/連携システムモジュールを示す。このモジュールは、進化系統と、データバンク/人間による介入の間を取り持つ。
参照符号196を参照すると、サイバーセキュリティのアナリストの挙動が処理され、進化系統が学習できるように格納される。
本実施形態において、
系統Aは、特定の状況と「日和見的」パーソナリティ型に一致したセキュリティ脅威に対する多数の反応を見つけた。すると、系統Aはそのような挙動を模倣するルールを生成する。
系統Aは、特定の状況と「日和見的」パーソナリティ型に一致したセキュリティ脅威に対する多数の反応を見つけた。すると、系統Aはそのような挙動を模倣するルールを生成する。
参照符号198を参照すると、ある系統の次の世代を生成するために、ここでは案出モジュールが使用されている。入力される2つの形状は、セキュリティ挙動クラウド196からの編集済みセキュリティ挙動と、セキュリティ審査モジュール204からの変数である。得られたハイブリッド形状は、反復操作プロセッサ202に送られる。
本実施形態において、
セキュリティ審査モジュールは、世代9が弱いと報告している。セキュリティ審査モジュールは、セキュリティ上の欠点をハイライトし、世代9を案出モジュールに渡す。案出モジュールは、既知のセキュリティ挙動を用いてマージプロセスを実行し、このセキュリティ上の欠点を解決する、より順応性のある世代を生成する。
セキュリティ審査モジュールは、世代9が弱いと報告している。セキュリティ審査モジュールは、セキュリティ上の欠点をハイライトし、世代9を案出モジュールに渡す。案出モジュールは、既知のセキュリティ挙動を用いてマージプロセスを実行し、このセキュリティ上の欠点を解決する、より順応性のある世代を生成する。
参照符号200を参照すると、形状がどのようにマージされるべきかを決めるための汎用カスタム化を提供する静的基準が、サイバーセキュリティアナリストによって与えられている。このようなデータは、格付けの優先順位付け、所望のデータ比、および、選択されているモードに応じて行われるマージを指揮するためのデータを含んでよい。
本実施形態において、
モードが、「反復操作プロセッサ」であると選択されている。「セキュリティ審査モジュール」から得られた情報は、現在の世代に、あるセキュリティ上の欠点があることを示している。この情報は、既知のセキュリティ挙動にマージされ、当該セキュリティ上の欠点を修復したハイブリッド世代が生成される。
モードが、「反復操作プロセッサ」であると選択されている。「セキュリティ審査モジュール」から得られた情報は、現在の世代に、あるセキュリティ上の欠点があることを示している。この情報は、既知のセキュリティ挙動にマージされ、当該セキュリティ上の欠点を修復したハイブリッド世代が生成される。
参照符号202を参照すると、反復操作プロセッサが案出モジュールから送られたハイブリッド形状を処理し、該当する進化系統に同化する新しい世代が組み立てられる。
本実施形態において、
案出モジュールが、世代10の構築ポイントを送信する。世代9の処理が中止され、世代10が仮想化環境にロードされ、セキュリティ脅威が活性化された。
案出モジュールが、世代10の構築ポイントを送信する。世代9の処理が中止され、世代10が仮想化環境にロードされ、セキュリティ脅威が活性化された。
参照符号204を参照すると、セキュリティ審査モジュールは、当該進化系統からレポート変数を受信し、疑似セキュリティ脅威(AST)システムに対する、当該進化系統のセキュリティ上のパフォーマンスを評価する。セキュリティ審査モジュールは、集めたレポートを、サイバーセキュリティアナリストが閲覧するために送り、また、次の世代の反復操作を行うため、案出モジュールに送る。
本実施形態において、
世代9は、あるセキュリティ上の欠点と同等の変数をレポートし、閲覧モジュールに通知され、案出モジュールは、このセキュリティ上の欠点を除外したハイブリッド形状(次の世代)を生成するのに必要な詳細を得た。
世代9は、あるセキュリティ上の欠点と同等の変数をレポートし、閲覧モジュールに通知され、案出モジュールは、このセキュリティ上の欠点を除外したハイブリッド形状(次の世代)を生成するのに必要な詳細を得た。
セキュリティ審査モジュール
図32に、セキュリティ審査モジュールを示す。セキュリティ審査モジュールは、専ら監視/連携システムに属している。
図32に、セキュリティ審査モジュールを示す。セキュリティ審査モジュールは、専ら監視/連携システムに属している。
案出モジュールは、ハイブリッド形状を反復操作プロセッサ206に送る。反復操作プロセッサ206は、次の世代をロードする技術的タスクを管理する。
本実施形態において、
案出モジュールが、世代10の構築ポイントを送信した。世代9の処理が中止され、世代10が仮想化環境にロードされ、セキュリティ脅威が活性化された。
案出モジュールが、世代10の構築ポイントを送信した。世代9の処理が中止され、世代10が仮想化環境にロードされ、セキュリティ脅威が活性化された。
セキュリティ挙動クラウド208を使用して、案出モジュールへ入力形状が提供され、該当するイベント+応答がセキュリティ審査モジュールに供給される。判定基準が、トレイトインデックスクエリを通じて決定される。
本実施形態において、
「極めて悲観的」なトレイトを求めて、トレイトインデックスクエリが実行された。悲観的なトレイトの組成全体に関するイベント+応答がセキュリティモジュールに提供され、ルールセットの弱点が検索された。セキュリティ挙動クラウドは、悲観的なハイブリッド形状の全体を生成するための入力として、基本形状も提供した。
「極めて悲観的」なトレイトを求めて、トレイトインデックスクエリが実行された。悲観的なトレイトの組成全体に関するイベント+応答がセキュリティモジュールに提供され、ルールセットの弱点が検索された。セキュリティ挙動クラウドは、悲観的なハイブリッド形状の全体を生成するための入力として、基本形状も提供した。
参照符号210を参照すると、パフォーマンスが悪いという評価をセキュリティ審査モジュールが受信したとき、案出モジュールがその欠点を克服すべく新しい世代に反復操作を行う。パフォーマンスが良いという評価をセキュリティ審査モジュールが受信したときは、このエクスプロイトを打ち破るべく、より良いエクスプロイトを見つけようとする。
本実施形態において、
このルールセットは極めて良いパフォーマンスを出したので、この世代を反復操作しなかった。代わりに、より強力でより該当するエクスプロイトがイベント+応答クエリで見つかり、このエクスプロイトをこの世代に対して実行しようとしている。
このルールセットは極めて良いパフォーマンスを出したので、この世代を反復操作しなかった。代わりに、より強力でより該当するエクスプロイトがイベント+応答クエリで見つかり、このエクスプロイトをこの世代に対して実行しようとしている。
参照符号212を参照すると、世代ルールセットをどのように構成すべきかのガイドラインを、セキュリティ挙動クラウドと、最終的には案出モジュールへ通知するために、系統パーソナリティからトレイトの組成が提供される。
本実施形態において、
この系統パーソナリティは、全体的に「厳密」なので、案出モジュールは、トレイトを保っている形状と、トレイトの特徴を受け取った。多くの反復操作を実行した後でさえも、このルールセットは「厳密」という全体的なパーソナリティをまだ保っている。
この系統パーソナリティは、全体的に「厳密」なので、案出モジュールは、トレイトを保っている形状と、トレイトの特徴を受け取った。多くの反復操作を実行した後でさえも、このルールセットは「厳密」という全体的なパーソナリティをまだ保っている。
自動成長誘導
図33〜36に、自動成長誘導モジュールを示す。自動成長誘導モジュールは、人間と、人間によって制御される機能の間に、あるレイヤを追加し、広範にわたるシステムの成長と保守をさらに自動化する。
図33〜36に、自動成長誘導モジュールを示す。自動成長誘導モジュールは、人間と、人間によって制御される機能の間に、あるレイヤを追加し、広範にわたるシステムの成長と保守をさらに自動化する。
参照符号214を参照すると、手動モードにおいて、サイバーセキュリティアナリストは、該当する変数を直接制御する。自動モードにおいては、アナリストが制御する変数の数はずっと少なく、制御プロセス全体は自動化され、システムの成長が全体的に誘導されている。
本実施形態において、
システムが自動モードと中立の環境に置かれる。システム全体が最適にセットアップされ、最終的に、全てのセキュリティ脅威の方式および企業ネットワークのカスタム環境に適応した。
システムが自動モードと中立の環境に置かれる。システム全体が最適にセットアップされ、最終的に、全てのセキュリティ脅威の方式および企業ネットワークのカスタム環境に適応した。
参照符号216を参照すると、リストアップされているのは、人間から直接制御される各種のモジュールである。自動成長誘導システムは、人間とそのモジュールの間に入り、つなげる役割を果たことができる。
本実施形態において、
自動成長誘導システムは、長期的により効果的な脅威を生成するよう疑似セキュリティ脅威モジュールを自動的に調整した。
自動成長誘導システムは、長期的により効果的な脅威を生成するよう疑似セキュリティ脅威モジュールを自動的に調整した。
参照符号218を参照すると、所望のモジュールの結果/挙動が何かを判別するために、モジュール型が提供される。強制フィードバックとは、あるモジュールが、新たな命令を与えられるたびに、自分の現在の条件を知らせる応答機構である。
本実施形態において、
モジュール型が、疑似セキュリティ脅威(AST)であると設定される。案出モジュールに、このモジュール型を伝えることにより、所望の結果が求められる。
モジュール型が、疑似セキュリティ脅威(AST)であると設定される。案出モジュールに、このモジュール型を伝えることにより、所望の結果が求められる。
参照符号220を参照すると、ハイレベル変数は少数であり、なお人間によって制御されている。ハイレベル変数は、システム全体を大規模かつ長期的に差配している。
本実施形態において、
「システムの安全性」という変数が高に設定されたので、システム全体が、ノンリスキーで、漸進的で、予測可能という設定にされた。
「システムの安全性」という変数が高に設定されたので、システム全体が、ノンリスキーで、漸進的で、予測可能という設定にされた。
参照符号222を参照すると、前回の所望の結果と実際の結果を受けて、案出モジュールが新たな所望の結果を判別する。
本実施形態において、新たな所望の結果とは、疑似セキュリティ脅威(AST)システムは、より攻撃的であるべきというものである。
参照符号224を参照すると、実際の結果(当該モジュールの状況および状態)が、モジュール追跡DBに格納される。この結果は、当該モジュール自身および案出モジュールによって直接入力される(この部分は、具体的には、将来実装されるかもしれない理論上の制御のためである)。モジュール追跡DB自身は、被制御モジュールのために内部的に選ばれた成長パターンを反映した入力形状を、案出モジュールに提供する。
本実施形態において、
モジュール追跡は、前回のパターンが機能しなかったので、代替パターンを内部的に選んだ。この新しいパターンのデータが、入力形状として案出モジュールに送信された。
モジュール追跡は、前回のパターンが機能しなかったので、代替パターンを内部的に選んだ。この新しいパターンのデータが、入力形状として案出モジュールに送信された。
参照符号226を参照すると、案出モジュールは、当該モジュールのための新しい制御を、モジュール追跡部および当該モジュール自身に送る。
本実施形態において、
案出モジュールは、ASTシステムのために、FTPプロトコルを伴う新しいエクスプロイトをASTシステムに教示する制御を生成した。
案出モジュールは、ASTシステムのために、FTPプロトコルを伴う新しいエクスプロイトをASTシステムに教示する制御を生成した。
参照符号228を参照すると、モジュール追跡部が単一のインスタンスで稼働し、多数のモジュールを同時に扱うために分割されていることを除けば、複数のモジュールが並行して制御されている。
・モジュール追跡部が単一のインスタンスで稼働し、多数のモジュールを同時に扱うために分割されていることを除けば、複数のモジュールが並行して制御されている。
・モジュール追跡部が単一のインスタンスで稼働し、多数のモジュールを同時に扱うために分割されていることを除けば、複数のモジュールが並行して制御されている。
本実施形態において、
2つの別々の処理スレッドにおいて、ASTシステムおよび進化系統コンテナの両方が同時に変更される。
2つの別々の処理スレッドにおいて、ASTシステムおよび進化系統コンテナの両方が同時に変更される。
参照符号230を参照すると、被制御モジュールからのフィードバックが、現実DBに格納される。フィードバックは、実際のモジュール履歴から導出された情報を示している。
本実施形態において、
ASTが、自身のセキュリティエクスプロイトのパフォーマンスが、全体的に極めて悪かったというフィードバックを送信した。
ASTが、自身のセキュリティエクスプロイトのパフォーマンスが、全体的に極めて悪かったというフィードバックを送信した。
参照符号232を参照すると、理論DBは、当該モジュールのための理論上の制御(所望の結果と混同しないように。所望の結果は、具体的には「制御」ではなく「結果」を扱っている)を含んでいる。これらの理論上の結果は、案出モジュールに入力される。
本実施形態において、
案出モジュールは、プロトコルのある新しいエクスプロイトを実行しているASTシステムに、理論上の制御を送信した。
案出モジュールは、プロトコルのある新しいエクスプロイトを実行しているASTシステムに、理論上の制御を送信した。
参照符号234を参照すると、制御が予期されたとおりに実行される場合、同一の成長パターンが守られ、その逆も成り立つ。成長パターンは、案出モジュールの入力に影響する。
本実施形態において、
新しいエクスプロイトの型を、立て続けにASTシステムに追加する成長パターンが機能している。よって、案出モジュールはこの成長パターンを存続させる。
新しいエクスプロイトの型を、立て続けにASTシステムに追加する成長パターンが機能している。よって、案出モジュールはこの成長パターンを存続させる。
マルウェア予測追跡
図37〜45に、マルウェア予測追跡アルゴリズムを示す。マルウェア予測追跡アルゴリズムは、マルウェア進化パターンを反復操作するために、案出モジュールを様々なスコープで強化するものである。これらの反復操作スコープは、マルウェア予測の長期的な分析において、種々の優先順位を表しており、マルウェア予測は、正確さと効率のトレードオフに直面する。既知の脅威が、未知の脅威の構成の範囲を予測するためのアナロジーとして使用される。
図37〜45に、マルウェア予測追跡アルゴリズムを示す。マルウェア予測追跡アルゴリズムは、マルウェア進化パターンを反復操作するために、案出モジュールを様々なスコープで強化するものである。これらの反復操作スコープは、マルウェア予測の長期的な分析において、種々の優先順位を表しており、マルウェア予測は、正確さと効率のトレードオフに直面する。既知の脅威が、未知の脅威の構成の範囲を予測するためのアナロジーとして使用される。
図37を参照すると、構成における理論上の変化を考慮するために、既存のマルウェアが反復操作される。理論上の時間が経過するにつれて、マルウェアは、案出モジュールと連携しながら進化する。
図38を参照すると、反復操作スコープは、反復操作毎のマルウェアの変化の度合いを表している。狭い反復操作スコープとは、最も予期された反復操作結果だけが処理されることを意味している。狭い反復操作スコープでは、CPU時間当たりの投資に対する見返りが大きいが、現実のマルウェアの形成を予測する可能性は低い。広い反復操作スコープとは、多くの反復操作結果が、たとえ現実世界における実際のマルウェアの進化を表す可能性が低くとも、処理されることを意味している。広い反復操作スコープでは、現実のマルウェアの形成を予測する可能性が高いが、正しい予測をするたびに、多くのCPU時間を犠牲にする。動的な反復操作スコープでは、任意の所望の効果的な判定基準に従って、広い反復操作スコープと狭い反復操作スコープを交互に行う。
図39を参照すると、カテゴリAは、認識され削除されたことが実証された履歴を有する、確認済みのマルウェア脅威を表している。カテゴリBは、システムがその存在を知っているが、絶対的な確信をもって認識および削除することができないマルウェアを表している。カテゴリCは、システムにとってあらゆる面で完全に未知であるマルウェアを表している。マルウェア予測プロセスは、既知のマルウェア脅威から開始される。連続する反復操作のそれぞれにおいて、反復操作は、極力多くのカテゴリBの脅威を守備範囲にしようとする。反復操作スコープが広い場合は、その反復操作は、より多くのカテゴリCの脅威を、副次的な優先順位として守備範囲とする。
図40および41を参照すると、マルウェア予測プロセスは、カテゴリAから開始される。既知のマルウェアが案出モジュールに送られ、現時点で未知のマルウェアを表わす、バリエーションの候補を含むハイブリッド形状を生成する。セキュリティ挙動クラウドにより、以前のセキュリティイベント+応答が案出モジュールに送られ、未知の脅威が予測される。そして、カテゴリBに基づき、理論的なプロセスは、未知の脅威がどのようなものであるかについての最良の推定結果を表している。アルゴリズムは、確認を一切行っていないが、過去のセキュリティ挙動に基づいて確信のある予測を行っている。カテゴリCに基づくプロセスは、システムの知らない、予測しようとしている実際の脅威を表している。通常、理論化された脅威は、現実の未知の脅威と全く同一のものとはならないが、それでも、シグネチャにおいて共通部分が多くあることによって、効果的な防御がもたらされる。
図42を参照すると、既知で確認済みの反復操作の遷移を表すために、あるパターンが生成される。遷移パターンは、その後、現時点で未知の脅威を予測するために使用される。遷移パターンは、既知のマルウェアが、何に進化する可能性があるのかを予測するために使用される。この新しいカラーセットが、初期の脅威とより良く一致するので、追加されているピースは、既知の反復操作において追加されたものとまったく同一のものではない。このことは、パターン反復操作が動的であり、また反復操作の特徴が初期入力に依存することを意味している。
図43および44を参照すると、カテゴリCに関連して、あるセキュリティシナリオで遭遇したか、実際に被害が出ているかのいずれかである未知の脅威が、既知の脅威として分析され格納される。そして、その未知の脅威は、カテゴリBにおいてなされた予測と比較される。予測と現実との間で比較が行われ、その結果がセキュリティ挙動クラウドに格納される。この情報は、案出モジュールに入力形状を提供している、新たにアップデートされたセキュリティ挙動クラウドを通じて、次回により良い予測を試みるために使用される。現実のセキュリティシナリオにおいて、将来いつかは連携が起こりうるので、未知の脅威が既知となる。そして、それまで未知だったマルウェアの構造を推定するにあたって、予測式がどのくらい正確であったのかを判別するため、比較が行われる。
図45を参照すると、図示されている例は、図形/色/位置と、機能/属性との間で作られうる、より高度な関係の候補を反映してはいないものの、いくつかの属性によって表される多くのマルウェアの例が示されている。例えば、4つの、種々の幾何学図形の組み合わせは、遺伝子型、つまりマルウェアの機能または属性の、構文上の組成を表している。これら4つのマルウェアの表現型は、マルウェアの機能または属性の、記述的かつ実際的な発現を表しており、これらの表現型は、(1)FTPプロトコル経由で詐欺的なコードを実行するファイル転送エクスプロイト、(2)SSHプロトコル経由で詐欺的なコードを実行するファイル転送エクスプロイト、(3)マルウェアが、意図されたターゲットのふりをする中間者傍受戦略、(4)このマルウェアは、意図されたファイルサーバターゲットのふりをして、ログインを試みているコンピュータから、ファイルにアクセスするために、SSHプロトコルを悪用する、である。
図46〜56は、本発明のネットワークセキュリティシステムのアルゴリズム及び/またはモジュール同士の依存マップを示す概略図である。
図46は、全体的なアルゴリズムの依存性を示す概略図である。反復型知的成長アルゴリズムは、代々のルールセットを生成し、「パーソナリティ」トレイトの定義を通じて進化を行わせる。このようなルールセットは、入力されたセキュリティアラートを処理し、最も望ましい通知および修正処置を行うために使用される。反復型知的成長アルゴリズムは、案出モジュール、疑似セキュリティ脅威モジュール、セキュリティ挙動モジュール、および進化系統モジュールに依存する。
反復的進化アルゴリズムにおいて、並行する複数の進化系統が発達し選択される。反復操作された世代が、同一の疑似セキュリティ脅威(AST)に適応し、最良のパーソナリティトレイトを有する系統が、最終的にはこのセキュリティ脅威に対して最も良く耐えることになる。反復的進化アルゴリズムは、監視連携システムモジュール、疑似セキュリティ脅威モジュール、セキュリティ挙動モジュール、および進化系統モジュールに依存する。
進化経路Xアルゴリズムは、仮想的に収められ隔離された一連のルールセットの世代である。進化の特徴および基準は、このような系統パーソナリティXによって定義される。自動成長誘導モジュール、反復的進化モジュール、および反復型知的成長モジュールは、進化経路Xアルゴリズムに依存する。
図47は、サブアルゴリズムの依存性を示す概略図である。情報型識別サブアルゴリズムは、未知データの型/性質を判定する。このサブアルゴリズムは、未知データが社会保障番号、自宅住所、電話番号、等のどれであるかを判断できる。共謀検知サブアルゴリズム、特権分離分析サブアルゴリズム、メディアスキャナサブアルゴリズム、外来エンティティ管理サブアルゴリズム、および犯罪的活動モジュールは、情報型識別サブアルゴリズムに依存する。
共謀検知サブアルゴリズムは、複数の「共謀」セキュリティイベントに対する定期的な素性チェックを提供し、一見無関係なセキュリティイベント同士のパターンや関係を判定しようと試みる。共謀検知サブアルゴリズムは、情報型識別サブアルゴリズムおよびセキュリティ挙動モジュールに依存する。
メディアスキャナサブアルゴリズムは、文書/写真等を受信し、このようなメディアの予期された構成に対して、違法な情報の転送、および一貫性のない/疑わしい挙動がないかチェックする。メディアスキャナサブアルゴリズムは、情報型識別サブアルゴリズム、およびユーザリスク管理サブアルゴリズムに依存する。セキュリティケースシナリオ1モジュールは、メディアスキャナサブアルゴリズムに依存する。
特権分離分析サブアルゴリズムは、絶え間なく起動されるプロセスであり、あるユーザまたはプロセスに、それらが活動しているセクターに存在することが許可されているかどうかを判定する。特権分離分析サブアルゴリズムは、情報型識別サブアルゴリズム、ユーザリスク管理サブアルゴリズム、およびセキュリティ挙動モジュールに依存する。セキュリティケースシナリオ1モジュールは、特権分離分析サブアルゴリズムに依存する。
ユーザリスク管理サブアルゴリズムは、あるユーザに対して総合リスク査定を判定する。リスク要因は、ポリシー違反、過度な使用状況、遂行された疑わしい操作、等を含む。ユーザリスク管理サブアルゴリズムは、セキュリティ挙動モジュールに依存する。メディアスキャナサブアルゴリズム、特権分離分析サブアルゴリズム、外来エンティティ管理サブアルゴリズム、およびセキュリティケースシナリオ1モジュールは、ユーザリスク管理サブアルゴリズムに依存する。
外来エンティティ管理サブアルゴリズムは、認知された外来の脅威によって企業の隔離ネットワークに求められるものに基づいて、それら脅威の重大度を絶えずアップグレードおよびダウングレードすることにより、それら外来の脅威を管理している。外来エンティティ管理サブアルゴリズムは、情報型識別サブアルゴリズム、ユーザリスク管理サブアルゴリズム、およびセキュリティ挙動モジュールに依存する。セキュリティケースシナリオ1モジュールは、外来エンティティ管理サブアルゴリズムに依存する。
図48〜56は、モジュールの依存性を示す概略図である。セキュリティ挙動モジュールにおいて、イベントと、それぞれのセキュリティ応答とトレイトが、今後の問い合わせのために格納されインデックス付けされる。共謀検知、特権分離分析、ユーザリスク管理、外来エンティティ管理の各サブアルゴリズム、反復的進化および反復型知的成長の各アルゴリズム、監視連携システム、休眠マルウェア、応答パーサ、セキュリティ審査、およびマルウェア予測追跡の各モジュールは、セキュリティ挙動モジュールに依存する。
案出モジュールは、前形状から新たなハイブリッド形状を知的に案出する処理を含み、多数のアルゴリズムに処理を提供するプラグインモジュールとして使用される。反復型知的成長アルゴリズム、ならびに疑似セキュリティ脅威、セキュリティ審査、監視連携システム、マルウェア予測追跡、自動成長誘導、および休眠マルウェアの各モジュールは、案出モジュールに依存する。
疑似セキュリティ脅威モジュールは、セキュリティルールセットの効力をテストするための、仮想のセキュリティシナリオを提供する。各セキュリティ脅威は、セキュリティシナリオの意味のある比較が行えるように、重大度および型において一貫している。疑似セキュリティ脅威モジュールは、案出モジュールに依存する。反復的進化および反復型知的成長の各アルゴリズム、および監視連携システム、セキュリティ審査、および自動成長誘導の各モジュールは、セキュリティ挙動モジュールに依存する。
自動成長誘導モジュールは、人間と、人間によって制御される機能の間に、あるレイヤを追加し、広範にわたるシステムの成長と保守をさらに自動化する。自動成長誘導モジュールは、進化系統Xアルゴリズム、ならびに、疑似セキュリティ脅威、応答パーサ、監視連携システム、および案出の各モジュールに依存する。
応答パーサモジュールは、セキュリティシナリオに対する人間の反応を監視し、このようなセキュリティ応答を促した挙動トレイトの種類を判別する。応答パーサモジュールは、セキュリティ挙動モジュールに依存する。反復的進化アルゴリズムおよび自動成長誘導モジュールは、応答パーサモジュールに依存する。
セキュリティ審査モジュールは、反復操作され進化したセキュリティ機構と疑似セキュリティ脅威を編成する。セキュリティ審査モジュールは、セキュリティ機構の進化を指導するのを助けるものであり、人間による分析のためのアクセスポイントである。セキュリティ審査モジュールは、案出、疑似セキュリティ脅威、およびセキュリティ挙動の各モジュールに依存する。反復型知的成長アルゴリズムおよび監視連携システムモジュールは、セキュリティ審査モジュールに依存する。
監視連携システムモジュールは、進化系統およびデータバンクと連携し、人間のために、洗練された制御/監視システムを提供する。監視連携システムモジュールは、案出、疑似セキュリティ脅威、セキュリティ挙動、およびセキュリティ審査の各モジュールに依存する。自動成長誘導モジュールおよび反復的進化アルゴリズムは、監視連携システムモジュールに依存する。
クラウドおよび階層化情報セキュリティによる重要インフラストラクチャー防護および返報(CIPR/CTIS)
図57は、最新サイバーセキュリティに関する、誰が、何を、何時、への質問に対する分析を示している。図58は、最新サイバーセキュリティに関する、何処で、何故、如何にして、への質問に対する分析を示している。図59は、信用プラットフォーム内セキュリティ情報同期サービスを示している。信用プラットフォームとは、セキュリティ情報およびサービスを共有することにより相互に便宜を得ている、検証が済んだ複数の会社およびシステムのグループである。図60は、マネージドネットワークおよびセキュリティサービスプロバイダ(MNSP)内にある、多数のセキュリティアルゴリズム間の情報の流れを示している。図61は、多数の法人(例えば、エネルギー会社)が、産業プライベートエクストラネットを経由して協力している様子を示している。このようなエクストラネットは、MNSPクラウドサービスに接続している。図62は、リアルタイムで遡及的なセキュリティ分析のために、企業イントラネット内の全ての企業トラフィックが、VPNを経由してMNSPクラウドに中継されることを示している。図63は、VPN経由でMNSPクラウドに情報を中継している、非企業環境(コーヒーショップ)内の企業デバイスを示している。図64は、I2GE(反復型知的成長および進化)についての遡及的セキュリティ処理を示している。
図57は、最新サイバーセキュリティに関する、誰が、何を、何時、への質問に対する分析を示している。図58は、最新サイバーセキュリティに関する、何処で、何故、如何にして、への質問に対する分析を示している。図59は、信用プラットフォーム内セキュリティ情報同期サービスを示している。信用プラットフォームとは、セキュリティ情報およびサービスを共有することにより相互に便宜を得ている、検証が済んだ複数の会社およびシステムのグループである。図60は、マネージドネットワークおよびセキュリティサービスプロバイダ(MNSP)内にある、多数のセキュリティアルゴリズム間の情報の流れを示している。図61は、多数の法人(例えば、エネルギー会社)が、産業プライベートエクストラネットを経由して協力している様子を示している。このようなエクストラネットは、MNSPクラウドサービスに接続している。図62は、リアルタイムで遡及的なセキュリティ分析のために、企業イントラネット内の全ての企業トラフィックが、VPNを経由してMNSPクラウドに中継されることを示している。図63は、VPN経由でMNSPクラウドに情報を中継している、非企業環境(コーヒーショップ)内の企業デバイスを示している。図64は、I2GE(反復型知的成長および進化)についての遡及的セキュリティ処理を示している。
参照符号236を参照すると、イベントと、それぞれのセキュリティ応答とトレイトが、今後の問い合わせのために格納されインデックス付けされる。
参照符号238を参照すると、共謀検知は、複数の「共謀」セキュリティイベントに対する定期的な素性チェックを提供し、一見無関係なセキュリティイベント同士のパターンや関係を判定しようと試みる。
参照符号240を参照すると、並行する複数の進化系統が発達し選択される。反復操作された世代が、同一のASTバッチに適応し、最良のパーソナリティトレイトを有する系統が、最終的にはこのセキュリティ脅威に対して最も良く耐えることになる。
図65は、LIZARDクラウドベースの暗号化セキュリティについてのリアルタイムセキュリティ処理を示している。参照符号246を参照すると、構文モジュールが、コンピュータのコードを読み書きするためのフレームワークを提供している。書き込みでは、構文モジュールは、PM(目標モジュール)から複合フォーマットの目標を受信し、コードを任意のコードの構文で書き込み、それによって、ヘルパ機能がこの任意のコードを(所望の言語に依存して)実際の実行可能コードへと翻訳できる。読み込みでは、構文モジュールは、PMが、コードの機能性の目標を導出できるよう、このコードの構文解釈を提供する。
参照符号248を参照すると、目標モジュールは、構文モジュールを用いて(図65)コードから目標を導出し、この目標を、自身の「複合目標フォーマット」に出力する。この目標は、SM(構文モジュール)によって解釈されたままのコードブロックの、意図された機能性を十分に記述している(たとえこのコードが、データ内に密かに埋め込まれていても)。
参照符号250を参照すると、企業ネットワークとデータベースが、仮想環境内に複製され、取扱注意のデータが模擬(偽の)データと置き換えられる。ターゲットの挙動に従って、環境がリアルタイム動的に変更され、システムのより多くの偽の要素、またはより多くの現実の要素が広範囲に含まれる。
参照符号252を参照すると、信号擬態は、仮想難読化(保護)が分析的に完結したときに通常使用される、返報の形状を提供する。信号擬態は、マルウェアがハッカーと通信するための構文を読み解くために、構文モジュールを使用する。信号擬態は、その後この通信を乗っ取り、取扱注意のデータをハッカーに送ることに成功という、誤った印象をマルウェアに与える(偽のデータが、ハッカーの虚像に対して送信されたとしても)。LIZARDは、マルウェアのエラーコードも現実のハッカーに送信し、このエラーコードがマルウェアから来たもののように思わせる。これによって、ハッカーの時間とリソースが、誤ったデバッグ作業という、脱線した作業に流用させられ、ついには、マルウェアが機能しなかったという誤った印象をもちながら、機能しているマルウェアを放棄させる。
参照符号254を参照すると、内部整合性チェックが、外来コードの全ての内部機能の辻褄が合っていることがチェックする。外来コード全体としての目標と内部的に相容れないコードの断片が存在しないことを確かめる。
参照符号256を参照すると、外来コード改訂が、構文モジュールと目標モジュールを使用し、外来コードを複合目標フォーマットにまとめる。その後、導出された目標を使用するコードセットを構築する。これによって、外来コードから読み解かれた所望の目標だけが企業内で実行され、意図しない機能が実行されることでシステムにアクセスすることのないことが保証される。
参照符号258を参照すると、秘密コード検知が、データおよび送信パケット内に密かに埋め込まれたコードを検知する。
参照符号260を参照すると、外来コードがシステムの目的全体にフィットしているかを判断するために、マップ化された要求および目標の階層構造が参照される。
図66に、知的情報の管理、閲覧、および制御を示す。
参照符号262を参照すると、多数のプラットフォームから情報ストリームがマージされ、タグ付けされつつ、汎用のレベル判定基準を使用して、必要で冗長な情報が除去されている。
参照符号264を参照すると、設定および導入サービスは、新たな企業の資産(コンピュータ、ノートパソコン、携帯電話)を、正しいセキュリティ設定と通信設定で導入するためのインタフェースである。あるデバイスが追加され設定が行われた後、セキュリティ設定と通信設定は、管理フィードバック制御を仲立ちにして、管理コンソールを通じて微調整される。設定および導入サービスは、新たな顧客/クライアントのユーザアカウントの導入も管理している。この導入は、ハードウェアとユーザアカウント、インタフェースのカスタマイズ、顧客/クライアント変数(例えば、ビジネスタイプ、製品タイプ等)のリストとの関連付けを含んでもよい。
参照符号266を参照すると、タグ付けされた情報のプールが、管理コンソールのユーザに該当する管轄範囲にしたがって、排他的に分割される。
参照符号268を参照すると、個々の脅威にしたがって情報が整理される。あらゆる型のデータは、ある脅威と関係付けられて多少の情報が追加されるか、あるいは削除される。
参照符号270を参照すると、プロセスのこの段階に至ると、残ったデータは、一群の島々のように見える。島はそれぞれ、サイバーセキュリティの脅威である。セキュリティアナリストの熟達のために、各プラットフォーム間で相互関係が結ばれる。脅威パターンを読み解くため、(LIZARDとは対照的に、I2GEから)履歴データがアクセスされ、CTMPが、クリティカルシンキング分析のために使用される。
参照符号272を参照すると、サイバーセキュリティの脅威が、俯瞰図(全体像)から認知される。このような脅威は、グラフィカルに表現するために、管理コンソールに渡される。脅威の仕組みに関連する、計算された測定値が、最終的に多数のプラットフォームからマージされているので、より多くの情報を得た状態で、脅威を管理する上での判断が自動的に実行される。
参照符号274を参照すると、自動化制御は、MNSP、TP(信用プラットフォーム)、3PS(サードパーティーサービス)の管理に関する制御を行うことにアルゴリズムがアクセスすることを表している。
参照符号276を参照すると、ポリシー作成、科学捜査、脅威の調査等を容易にするために使用できる、すべてのMNSPクラウド、信用プラットフォーム(TP)、追加のサードパーティーサービス(3PS)に基づくサービスの、ハイレベルな制御を提供している。このような管理制御は最終的に、カスタマイズ可能な適切な画像と効率的なプレゼンテーションとともに、管理コンソール(MC)上に明示される。これによって、必要に応じて拡大して詳細を見ることのできる単一のインタフェースから直接、システム(MNSP、TP、3PS)全体が効率的に制御・操作可能になっている。
参照符号278を参照すると、手動制御は、MNSP、TP、3PSの管理に関する制御を行うことに人間がアクセスすることを表している。
参照符号280を参照すると、ダイレクトマネジメントが、ヒューマンインターフェースを提供するために、手動制御を強化している。
参照符号282を参照すると、管理コンソールのユーザは、自分の管轄範囲および情報カテゴリアクセスの範囲を定義したログイン認証情報を使用する。
参照符号284を参照すると、データベクタの候補は、移動中のデータ、休止中のデータ、および使用中のデータで全てである。
参照符号286を参照すると、管理コンソールは、企業のさまざまな部署(経理、金融、人事、IT、法務、セキュリティ/総括監察官、プライバシー/情報公開、労働組合、等)および当事者(それぞれの部署のスタッフ、管理職、幹部)、加えて、第三者パートナー、法執行機関等向けの、カスタマイズ可能な画像を表示している。
参照符号288を参照すると、監視、ログ採取、レポート発行、イベントの関係付け、アラートの処理、ポリシー/ルールセット生成、修正処置、アルゴリズム調整、サービスプロビジョニング(新しい顧客/変更)、信用プラットフォームの利用、加えて、第三者サービス(第三者サービスプロバイダおよび第三者サービスベンダをからのレポートおよびアラート/ログ、等を受信することを含む)など、機能の候補の全てが、単一のビューに集約されている。
参照符号290を参照すると、画像は、境界、企業、データセンター、クラウド、リムーバブルメディア、モバイルデバイス等を表している。
参照符号292を参照すると、資格を有する専門家のチームが、多数のシステムの活動および状況を全体にわたって監視している。知的情報処理およびAIによる判断が行われているので、経験年数の少ない人員を少人数だけ雇うことができるため、コストを下げることが可能である。チームの第一の目的は、大規模な分析ポイントを処理しつつ、万一の際には、システムが所望の判定基準にしたがって発達し、処理を行っていることを検証することにおいて、代替となること。
LIZARD(論理的推論によるゼロデータベースの演繹型リアルタイム防御):クラウドベースの暗号化セキュリティ
図67は、企業システム内のあらゆるデジタル転送が、LIZARDのインスタンスを経由して中継される様子を示している。この転送がLAN上で行われる場合は、個々のエンドポイントで稼働するLIZARDの軽量版がセキュリティ手順を管理する。企業の外部へ出力される、または企業の外部から入力される全ての情報の経路は、LIZARD VPNおよびLIZARDクラウドを経由しなければならない。仮想難読化のような複雑な機能は、処理に必要なリソースの管理を埋め合わせるために、LIZARD軽量版からLIZARDクラウドへと中継される。図68は、LIZARDリアルタイムセキュリティアルゴリズムの概要を示している。
図67は、企業システム内のあらゆるデジタル転送が、LIZARDのインスタンスを経由して中継される様子を示している。この転送がLAN上で行われる場合は、個々のエンドポイントで稼働するLIZARDの軽量版がセキュリティ手順を管理する。企業の外部へ出力される、または企業の外部から入力される全ての情報の経路は、LIZARD VPNおよびLIZARDクラウドを経由しなければならない。仮想難読化のような複雑な機能は、処理に必要なリソースの管理を埋め合わせるために、LIZARD軽量版からLIZARDクラウドへと中継される。図68は、LIZARDリアルタイムセキュリティアルゴリズムの概要を示している。
参照符号294を参照すると、ダイナミックシェルは、反復操作を通じた変化を最も受けやすい。自身の目的を達成するために大きな計算量を必要とするモジュールは、通常、ダイナミックシェルに属する。というのも、これらのモジュールは、プログラマのチームが扱える計算量のレベルを凌駕しているからである。
参照符号296を参照すると、反復操作モジュール(IM)は、静的コア(SC)を使用して、「決定されたゴール」の定義された目標およびデータ返送中継(DRR)からのデータにしたがって、ダイナミックシェル(DS)のコードベースを構文的に変更する。この変更されたバージョンのLIZARDは、疑似セキュリティ脅威(AST)によって、多数のさまざまなセキュリティシナリオのもとで(並行して)ストレステストを受ける。最も成功した反復操作が、実稼働版として採用される。
参照符号298を参照すると、データ返送中継が示されている。LIZARDが行った判断の確信度が低い場合、データ返送中継は、今後のLIZARDの反復操作結果を改善するために、該当するデータをASTに中継する。LIZARD自身は、判断を行うためのデータに直接頼ることはなく、脅威を進化させることに関するデータが、今後のLIZARDの反復操作が行うかもしれない演繹的な意思決定に、間接的に寄与できる。
参照符号300を参照すると、疑似セキュリティ脅威(AST)は、反復操作プロセスを実行可能にするために、シミュレートされたセキュリティ脅威を伴う仮想テスト環境を生成する。犯罪的で悪意のあるサイバー活動の自然な進化の先を行くように、ASTの疑似的な進化は、十分に行われる。
参照符号302を参照すると、静的コアが示されている。LIZARDのこのレイヤは、自動化された反復操作による変化を最も受けにくく、その代わりに人間のプログラマによって直接変えられる。特に、最も内側の濃い赤の四角形は、自動化された反復操作の影響を全く受けない。この、最も内側のレイヤは、LIZARDの方向性と全体の能力を誘導するツリーの根のようなものである。
図69は、LIZARDの静的コアの概要を示している。参照符号304を参照すると、論理導出が、論理的に必要な機能を、初期のより簡易な機能から導出する。最終的な結果として、機能の依存性のツリー全体が、宣言された複合目標から構築される。
参照符号306を参照すると、コード翻訳が、構文モジュール機能によって直接読み解かれる任意の(汎用)コードを、任意に選ばれた既知のコンピュータ言語に変換する。既知のコンピュータ言語から任意のコードへの逆翻訳も行われる。
参照符号308を参照すると、論理削減が、コードロジックを、より簡易な形状にまとめて相互に接続された機能のマップを生成する。
参照符号310を参照すると、複合目標フォーマットが、目標全体を表している、相互に接続された複数の下位目標を格納するための格納フォーマットを表している。
参照符号312を参照すると、目標の関連性とは、挙動の機能および型がどの種類の目標を参照しているかを調べるための、ハードコーティングされた参考資料のことである。
参照符号314を参照すると、反復操作拡張は、目標の関連性を参照し、詳細と複雑性を追加して、単純なゴールを複合目標に進化させる。
参照符号316を参照すると、反復操作解釈は、相互に接続された機能を全て繋ぎ合わせ、かつ、目標の関連性を参照することにより、解釈された目標を生成する。
参照符号318を参照すると、外側コアが示されている。構文モジュール(SM)および目標モジュール(PM)は協力しあい、未知の外来コードから論理的な目標を導出し、また宣言された機能コードのゴールから実行可能コードを生成する。
図70は、LIZARDの静的コアの内側コアを示している。内側コアは、該当するサイバーセキュリティの専門家によって、直接かつ独占的にプログラムされた、システムの必須のコア機能を示している。
図71は、LIZARDのダイナミックシェルを示している。
参照符号320を参照すると、人間/信頼度の関係が示されている。平均的な関係は存在するものの、より静的/人間寄りのコードと、より信頼された/確立されたコードとの間には、直接的な因果関係のリンクが全く存在しない。
参照符号322を参照すると、新規の実験的なアルゴリズムが示されている。新しいモジュールが必要であることが、人間またはAIによって決定される
参照符号324を参照すると、内部整合性チェックは、外来コードの任意のブロックが作成した全ての内部機能の辻褄が合っているかどうかをチェックする。外来コード全体としての目標と内部的に相容れないコードの断片が存在しないことが確かめられる。
参照符号326を参照すると、外来コード改訂が示されている。外来コードの目標が導出された後、コードの一部あるいは全部が改訂され、改訂版だけが実行を許可される。ミラーテストにより、改訂版の入出力挙動が、元のコードのものと同じであることが確かめられる。このようにして、元のコードに存在する任意の隠されたエクスプロイトは使われなくなり、二度と実行されることがない。
参照符号328を参照すると、ASTオーバーフロー中継が示されている。システムが低確信度の判断しかできないときは、今後の反復操作の改善のために、データがASTに中継される。
参照符号330を参照すると、要求マップマッチングが示されている。外来コードがシステムの目的全体(例えば、パズル)にフィットしているかを判断するために、マップ化された要求および目標の階層構造が参照される。
参照符号332を参照すると、仮想難読化が示されている。コード、つまりマルウェアの候補を、徐々に、かつ部分的に仮想化された偽の環境に浸すことで、コードを乱雑にし、制限する。
参照符号334を参照すると、コード検疫が示されている。外来コードが、制限付の仮想環境(例えば、シャーレ)に隔離される。
参照符号336を参照すると、秘密コード検知が示されている。データおよび送信パケット内に密かに埋め込まれたコードが検知される。
図72は、仮想難読化を示している。参照符号338を参照すると、マルウェアが、仮定に基づいて企業ファイアウォール/侵入検知システム/ウイルス対策、等を、迂回する。
参照符号340を参照すると、LIZARDが、入力されたコードのブロックの意図/目標について、低確信度の査定を有している。無害なプロセスが、使用する資格を有する非常に重要なデータの使用を拒まれるリスクを緩和するため、そして、悪意のあるコードが取扱注意のデータを有することを許してしまうリスクを回避するため、疑問の余地のあるコードが密かに、データの半分が模擬(偽の)データと知的に混合されている環境に割り当てられる。
参照符号342を参照すると、実データ同期部は、混合環境に与えられるデータを、どの優先順位で与えるのかを知的に選択している、2つのレイヤのうちの1つである(もう一方は、データマネージャである)。このようにして、極めて取扱注意の情報は、疑われるマルウェアからはアクセスできず、周知で信用できることが確立されたコードだけに利用可能となる。
参照符号344を参照すると、模擬データジェネレータは、偽造かつ無用なデータを作成するためのテンプレートとして、実データ同期部を使用している。データ型、データフォーム、データ密度、データ詳細、等の属性が、実データから模倣され、システム全体にうまく統合されたように見える、本物に見えるデータを有するデータベース(不適切で奇異なデータがない)が生成される。
サイバースペースにおける秘密オペレーションによる秘密機械学習(MACINT)および返報
図73は、MACINT秘密オペレーションの概要を示しており、犯人が企業システムを悪用する様子を示している。
図73は、MACINT秘密オペレーションの概要を示しており、犯人が企業システムを悪用する様子を示している。
参照符号346を参照すると、二重スパイは、取扱注意のファイルのコピーを、目立たずに入手する。
参照符号348を参照すると、入手したファイルは、暗号化を経由し、企業ネットワークの外側の詐欺的な宛先サーバに送られる。このような暗号化(例えば、https)は、ポリシーによって許可されている。このため、この送信は、すぐにはブロックされない。
参照符号350を参照すると、標準ログが生成される。標準ログは、リアルタイム分析および長期間分析のために伝達される。
参照符号352を参照すると、ログ集約は、該当するデータを、リアルタイムスキャンおよび長期間スキャンに送る。
参照符号354を参照すると、リアルタイムスキャンは、悪意のある活動をほぼ即時に認識して、それた実行する前に停止させるために、不完全な状態で準備される。
参照符号356を参照すると、長期間スキャンは、分析により多くの時間を掛けることが出来るという利点を有するので、悪意のある挙動を最終的に認識する。
参照符号358を参照すると、任意の第三者のシステムに属するあるコンピュータが使用され、取扱注意のファイルを転送し、調査を逃れて当該任意の第三者に濡れ衣を着せる。
参照符号360を参照すると、窃盗犯は、その存在を隠し続けながら、彼らのボットネットを通じて取扱注意のファイルを受け取る。違法な恐喝と利益のために、取扱注意のファイルを使用し始める。
クリティカルシンキング・メモリ・パーセプション(CTMP)アルゴリズム
図74および75は、CTMPの機能的な概要を示している。図76は、CTMPの依存構造を示している。
図74および75は、CTMPの機能的な概要を示している。図76は、CTMPの依存構造を示している。
参照符号362を参照すると、観察者のエミュレーションが生成され、全てのパーセプションポイント候補が、このような観察者エミュレーションを使用してテスト/比較される。入力は、そのパーセプションポイントの候補の全てと、データ増強ログであり、一方で、出力は、このようなデータ増強ログから、このような選択されたパーセプションの組み合わせと、最良で、最も該当する、最も注意深い観察者によって生成される、結果としてのセキュリティ上の判断である。
参照符号364を参照すると、調整可能ポリシーは、観察者エミュレーションを実行するために強化されるパーセプションの数を定める。選ばれたパーセプションの優先順位が、重み付けの降順で選択される。そして調整可能ポリシーは、パーセンテージ、固定値、あるいは、より複雑な選択アルゴリズムではなく、切り捨てを選択する方法を定めることができる。
参照符号366を参照すると、データ増強ログから導出されたCVF(比較可能可変フォーマット)が、パーセプションストレージ(PS)のデータベース検索における判定基準として使用される。
参照符号368を参照すると、メトリック処理は、選択パターンマッチングアルゴリズム(SPMA)のセキュリティ応答からの変数をリバースエンジニアリングし、このアルゴリズムの知性から、パーセプションを「救い出す」。
参照符号370を参照すると、このセキュリティ応答の一部と、これに対応するシステムメタデータを使用して、セキュリティ応答の元のパーセプションを再現する。
参照符号372を参照すると、CTMPを決定するための最終ロジックが出力される。
参照符号374を参照すると、従来の構文ベースの情報カテゴリ化によって、デバッグおよびアルゴリズム追跡が、個別のカテゴリに分割される。そして、このカテゴリは、セキュリティ上のリスクおよび対象と相関関係を有する、個別のセキュリティ応答をまとめ上げて生成するために使用することができる。
参照符号376を参照すると、入力されたシステムメタデータが、意味のあるセキュリティ上の因果関係に分割される。
参照符号378を参照すると、全てのセキュリティ上の対象が、該当するリスクと応答とともに、包括的に仕分けられる。
参照符号380を参照すると、対象ナビゲータは、全ての適用可能な対象をスクロールする。
参照符号382を参照すると、対象データ投入部は、その対象と関係のある、適切なリスクと応答を抽出する。
参照符号384を参照すると、パーセプションがインデックス付けされて格納される。それらに該当する重み付けに加え、パーセプションが、そのインデックスとしての比較可能可変フォーマット(CVF)とともに格納される。このことは、入力クエリ検索としてCVFを受け取れるようにデータベースが最適化され、そして検索の結果は、パーセプションの取り合わせであることを意味している。
図77は、CTMPの依存構造を示している。参照符号386を参照すると、現時点で既知のパーセプションの視点から意味づけることのできる、データのパーセプションの視点が導出される。
参照符号388を参照すると、入力された生のログは、既知の知識を表している。このモジュールは、報告可能なログの限界を越えた、未知である可能性がある知識のスコープおよび型を推定する。このようにして、この結果生じるCTMPのクリティカルシンキング的な特徴によって、システムが直接知っている、または知らない、関与する知識の全ての可能なスコープを広げることができる。
参照符号390を参照すると、パーセプションの視点は、メトリックのカテゴリに分割される。
参照符号392を参照すると、個々のメトリックは、パーセプションの視点全体に戻される。
参照符号394を参照すると、多数のさまざまなパーセプションの視点のメトリックが、個々のデータベースに、カテゴリ別に格納される。メトリックの上限は、それぞれのメトリックDBのピーク知識によって表される。メトリックは、増強され複雑性が高められると、戻されてパーセプションの視点に変換され、クリティカルシンキングのために強化される。
参照符号396を参照すると、情報ストリームが、比較可能可変フォーマット(CVF)に変換される。
図78は、CTMPの依存構造を示している。参照符号398を参照すると、ルールセットのクリティカルシンキングスコープを拡張するために、既知のパーセプションが強化される。
参照符号400を参照すると、ルール構文導出から受信したパーセプションから、比較可能可変フォーマット(CVF)が形成される。新たに形成されたCVFは、パーセプションストレージ(PS)内で類似したインデックスを有する、該当するパーセプションを検索するために使用される。一致する候補が、ルール構文生成に戻される。
参照符号402を参照すると、入力されたデータから、無秩序なフィールドが形成される。既知の概念を認識するために、フィールドスキャンが行われる。
参照符号404を参照すると、全ての概念が、個別に、インデックスとして知られる別々の部分に最適化される。これらのインデックスは、無秩序なフィールドと連携するために、文字スキャナにより使用される。
参照符号406を参照すると、セキュリティインシデントログが、履行可能なルールを調べるためにスキャンされる。適用可能で履行可能なあらゆるルールが、セキュリティを向こうにする決定を生成するために実行される。
参照符号408を参照すると、メモリが無秩序なフィールドをスキャンすることにより、存在して履行可能であると確認されたルールが、該当する所望のクリティカルシンキング決定を生成するために実行される。
参照符号410を参照すると、RFP(ルール履行パーサ)は、ルールの個々の部分を、認識のタグとともに受信する。各部分は、メモリ認識(MR)によって、無秩序なフィールド内で見つかった、または見つからなかったとマークされる。そして、RFPは、どのルール全体、つまり、そのルールの全部分の合成が、無秩序なフィールド内でルール実行(RE)に値するほど十分に認識されたのかを、論理的に推論することができる。
参照符号412を参照すると、修正されたルールが分割され、型ごとにまとめられる。したがって、全ての処置、プロパティ、条件、およびオブジェクトが、別々に束ねられる。これによって、システムは、どの部分が無秩序なフィールド内で見つかっていて、どの部分が見つかっていないのかを判別することが可能となる。
参照符号414を参照すると、論理的な「白か黒か」ルールが、メトリックベースのパーセプションに変換される。多数のルールの複雑な配列が、さまざまな勾配の多数のメトリックにより表現される、単一で一様なパーセプションに変換される。
参照符号416を参照すると、ルール構文生成(RSG)は、パーセプションフォーマットに格納されている、前回確認されたパーセプションを受信する。ルール構文生成(RSG)は、パーセプションの内部的なメトリック構成に携わる。このような勾配ベースのメトリックの測定値は、元のパーセプションの入力/出力される情報のフローを列挙する、二値で論理的なルールセットに変換される。
本発明を、特許請求の範囲の観点から再び説明する。図1〜11および79を参照すると、セキュリティイベントを処理するコンピュータセキュリティシステムが、複数のサブアルゴリズムを備える挙動モジュールであって、各サブアルゴリズムが、既定のセキュリティ問題に関連した既定のカテゴリに対応する、挙動モジュールと、挙動モジュールの出力に基づくセキュリティ分析を提供する、コンビネーションモジュールを備える。
複数のサブアルゴリズムは、並行して実行され、各サブアルゴリズムは、入力を処理し、出力を格納する。情報処理リクエストが、少なくとも1つのサブアルゴリズムに送信され、各サブアルゴリズムは、セキュリティイベントのデータを処理し、各サブアルゴリズムの結果が、そのサブアルゴリズムのためのデータベースに格納される。
システムは、予め定められた確信度レベルを超える前記複数のサブアルゴリズムの結果を選別する、高確信度フィルタをさらに備える。コンビネーションリクエストが、コンビネーションアルゴリズムに送信され、コンビネーションアルゴリズムは、コンビネーションリクエストの型に応じて2つ以上のサブアルゴリズムを合成し、コンビネーションアルゴリズムは、既定の判定基準に基づいて結果を選択する。
システムは、ポリシーと挙動との組み合わせに基づいてセキュリティイベントのカテゴリを決定する、カテゴリ化モジュールと、セキュリティイベントの挙動パターンに基づいてセキュリティイベントを選り分ける、パターンマッチングモジュールをさらに備え、カテゴリ化モジュールは、パターンマッチングモジュールからの選別済みイベントのカテゴリを決定する。
挙動モジュールは挙動データベースと接続され、挙動データベースは複数のカテゴリを含むメタデータを格納する。複数のカテゴリはそれぞれ、参照識別子、第一概念、第二概念、およびアルゴリズムが決定した関連性インデックスを含む。システムは、入力されたイベントを無害化ポリシーに基づいて選別する、無害化モジュールをさらに備える。
図12〜18および80を参照すると、サイバーセキュリティシステムが、多数のセキュリティイベントの背景をチェックし、多数のセキュリティイベント間のパターンおよび関係を決定する、共謀検知サブアルゴリズムと、未知データの型を決定し、選択したデータ型への確信度を申告し、確信度が既定のレベルよりも低い場合は失敗フラグを返す、情報型識別サブアルゴリズムを備える。
図12を参照すると、共謀検知サブアルゴリズムにおいては、セキュリティイベントが情報型識別サブアルゴリズムによってパースされ、情報型識別サブアルゴリズムは、セキュリティイベントに該当する属性を導出し、属性は、外部のポリシー及び挙動の解釈によってチェックされ、セキュリティイベントが処理のための閾値を超えているかどうかが確認される。
セキュリティイベントに対して導出されたイベント属性が固有DBに格納され、導出されたイベント属性の全ての組み合わせが作成され、組み合わせは予め定められた許可ルールによって選択され、選択された組み合わせは、既定の類似係数を調べるために、固有DBに対して照会される。
幽霊ドメイン名への対策を講じるため、既定の類似係数は、同一の社会保障番号および同一の発生時刻を有すること、同一のIP LANサブネット範囲、同一の個人電話番号、および同一の個人アドレスを有すること、同一ドメイン名の異なる電子メールアドレスを有すること、同一ドメイン名に属する種々の電子メールアドレスを有すること、ならびに、あるドメイン名と、ドメイン名が指すと考えられるIPアドレスを有すること、を含んでいる。共謀検知サブアルゴリズムによるチェックの結果が、管理コンソールに通知される。
図13を参照すると、システムは、外来の脅威によって企業の隔離ネットワークに求められるものに基づいて、外来の脅威の重大度をアップグレードまたはダウングレードし、外来の脅威への認知を高めるために、第三者情報を受信する、外来エンティティ管理サブアルゴリズムと、あるユーザの記録に対して、既定のリスク係数に基づき総合リスク査定を判定する、ユーザリスク管理サブアルゴリズム、をさらに備える。
外来エンティティ管理サブアルゴリズムにおいては、セキュリティイベントが情報型識別サブアルゴリズムによってパースされ、当該セキュリティイベントに関与している、ネットワーク上の発信元およびユーザが導出され、当該セキュリティイベントのネットワーク上の発信元は、セキュリティ警戒リストに照らしてチェックされ、ユーザ情報がセキュリティ警戒リストで見つかった場合、当該ユーザは、ユーザリスク査定サブアルゴリズムによりチェックされる。チェックの結果が、外部のポリシー及び挙動に左右される、予め定められた閾値に基づいて考慮されて集約され、集約された結果が固有データベースに格納される。
図14を参照すると、情報型識別サブアルゴリズムにおいては、並列化を目的として、提供される未知データについては、入力は一括で行われている。情報型識別サブアルゴリズムは、当該未知データの属性を抽出し、属性には、長さ、数字/文字比、特殊文字が含まれる。抽出された属性は、DBのデータポイントと照合される。DBのデータポイントは、照合のために選択されたものである。照合のために、まずキャッシュがチェックされる。情報型識別サブアルゴリズムは、確信度レベルを求めるために照合結果を処理する。当該結果の確信度レベルが既定の閾値より低い場合、結果は切り捨てられる。既定の閾値は動的であってもよい。型親和性と属性の構成とを関係づけるためにパターン検知が実行され、高確信度を有するパターンはキャッシュに格納され、DBは計算されたパターンを含まないが型と属性の静的な関係付けを含む。処理された結果がAPIに合わせて編集され、出力される。
図15を参照すると、システムは、任意のメディアをスキャンし、このメディアの予期された構成に対して、違法な情報の転送、および一貫性のない/疑わしい挙動がないかチェックする、メディアスキャナサブアルゴリズム、をさらに備える。メディアスキャナサブアルゴリズムにおいては、メディアパースが実行され、与えられたメディア内の情報内で疑われるポイントがハイライトされ、疑われるポイントは、メタデータまたはこのメディアのRAWフォーマットに隠されている可能性があり、このメディアのデータおよびメタデータがスキャンされる。
情報内で疑われるポイントは、情報型識別サブアルゴリズムによって処理され、そこでユーザIDが処理されてユーザリスク管理サブアルゴリズムに渡され、他の全ての情報が、汎用パーサに渡される。汎用パーサは、リスクオブジェクトDBと連携することで、ファイル内に存在する危険な関連性を探す。危険な関連性が見つかった場合、このメディアは転送がブロックされ、リスクオブジェクトが生成され、ユーザリスク管理サブアルゴリズムには、このセキュリティイベントへの、該当するユーザの関与が通知される。処理された結果が合成されてパースされ、このメディアをブロックするか許可するかの判断が行われる。
図16を参照すると、システムは、任意のユーザやプロセスがそれらに許可された特権割り当ての範囲内にあるかどうかを判定し、絶え間なく起動され、確認したあらゆる特権違反を、マスタープロセスおよびセカンダリプロセスにレポートし、セカンダリプロセスは、マスタープロセスがその特権違反に対して処置を行ったことについてダブルチェックを行う、特権分離分析サブアルゴリズムをさらに備える。特権分離分析サブアルゴリズムにおいては、ユーザ許可イベントが送信され、ユーザIDトークンと、リクエストされたアクセス/変更の場所が、情報型識別サブアルゴリズムにより抽出され、スレッドマネージャへ送られる。スレッドマネージャは、場所情報を受信し、アクセス/変更が許可されているのが誰かを調べるために、場所データベースを呼び出す、場所スレッドマネージャを備える。
場所許可バンクは、当該場所の許可要件を固有DB2から受信し、ユーザセキュリティリスクのため、予防措置としてどこかの場所をブロックすべきかどうかを判断するあるスレッドからの問い合わせを受け、予防措置レベルの閾値は、外部のポリシー及び挙動を経由して決定される。スレッドマネージャは、ユーザ情報を受信し、アクセス/変更が許可されている場所はどこかを調べるために、ユーザデータベースを呼び出し、また、このユーザに対して予防ポリシーの範囲でブロックすべき危険な場所を得るために、ユーザリスク管理サブアルゴリズムを呼び出す、ユーザスレッドマネージャを備える。
ユーザ許可バンクは、当該ユーザの許可属性を固有DB1から受信し、場所スレッドマネージャから、当該ユーザがこの場所においてリクエストされた処置を行うことを許可されているかどうかを確認する問い合わせを受ける。許可アグリゲータは、場所スレッドマネージャとユーザスレッドマネージャの結果を論理的に合成し、合成された結果を出力する。
図17を参照すると、ユーザリスク管理サブアルゴリズムにおいては、既定のリスク係数は、以前のポリシー違反、過度な使用状況、および遂行された疑わしい操作を含む。ユーザIDトークンが入力され、リスクの重大性の複数の関連オブジェクトを伴った、総合リスク査定パーセンテージが出力され、これらのオブジェクトは、さらなる分析のため、他のサブアルゴリズムから個別にアクセス可能である。当該ユーザに関するリスクオブジェクトが入力され、そのリスクオブジェクトと当該ユーザとの紐付けが記録される。ユーザIDトークンが、リスク査定レポートの生成、またはリスクオブジェクト参照をデポジットするために提供され、ユーザのリスク履歴が、デポジットされたリスクオブジェクト参照を使用して構築される。
リスクオブジェクト参照が提供される場合、今後の参照のため、データベース内へのデポジットが行われる。リスクオブジェクト参照のデポジットが行われない場合、スレッドマネージャはレポートの作成を要求し、当該ユーザのリスク履歴を査定するために、固有データベースにおいて、該当するユーザIDが調べられる。リスク格付が、リスクオブジェクトに対するリスク格付を与える固有DBから抽出され、リスク格付と、抽出されたリスクオブジェクトを使用して、最終集約レポートが作成され、出力に送られ、包括的主要リスクインデックスも出力に送られ、ユーザの直接リスク係数を特定するために使用される。
図19〜21および図81を参照すると、本発明はさらに、反復型知的成長の方法を提供し、方法は、初期ルールセットの入力を受信する工程と、複数のパーソナリティトレイトの入力を受信する工程であって、パーソナリティトレイトは、セキュリティイベントに対して働くべき反応的性質を定義する、工程と、パーソナリティトレイトを選び、そのパーソナリティトレイトを進化系統に割り当てる工程と、前記工程を、他の進化系統に対して、全てのパーソナリティトレイトについて繰り返す工程と、進化系統を実行する工程であって、進化系統はそれぞれ、与えられたパーソナリティトレイトにしたがって複数の世代を進化させる、工程、を備える。各進化系統の操作は、他の進化系統の操作からは仮想的に隔離されている。
パーソナリティトレイトは、i)相関関係の度合いに基づいてCPU時間を使用する、現実的なトレイト、ii)個人またはコンピュータシステムを含む、任意のエンティティについて、以前のセキュリティインシデントがあったかどうかに基づいてCPU時間を使用する、非寛容的なトレイト、iii)修正処置の利用可能性に基づいてCPU時間を使用する、日和見的なトレイト、またはiv)寛容さまたは許容範囲がほとんどない仮定に基づいてCPU時間を使用する、厳密で予防的なトレイト、を含む。CPU時間は、CPUサイクル数/秒で計測される。
図20を参照すると、監視/連携システムは、セキュリティイベントを、疑似セキュリティ脅威(AST)システムから進化系統に投入し、セキュリティ挙動クラウドから、セキュリティイベントに関連するセキュリティ応答を中継するものであり、進化系統のいずれかが、与えられたセキュリティ課題を解決できないという不定状態に対している場合は、その進化系統の実行が破棄され、破棄された進化系統のパーソナリティトレイトが変更され、変更されたパーソナリティトレイトは別の進化系統に割り当てられ、破棄された進化系統のセキュリティイベントは、この別の進化系統に投入され、この別の進化系統が実行され、監視/連携システムは、進化系統のパフォーマンスを出力し、パーソナリティトレイトを変更するための入力を受信する。
図21を参照すると、相互参照モジュールが、任意のセキュリティイベントへのセキュリティシステム応答を分析し、セキュリティシステム応答が意味のあるものであるかを判断し、このセキュリティシステム応答を、トレイトタグ付けモジュールに送る。トレイトタグ付けモジュールは、セキュリティシステム応答を、トレイトタグ付けモジュールに提供されたパーソナリティ型にしたがって分類する。トレイト連携モジュールは、パーソナリティトレイト同士の関係を分析し、分析結果がセキュリティ挙動クラウドに渡され、セキュリティ挙動クラウドは、分析結果を監視/連携システムに渡す。
図22〜36を参照すると、本発明はさらに、サイバー脅威インテリジェンス識別統合および分析システムを提供し、サイバー脅威インテリジェンス識別統合および分析システムは、2つの親形状を受信し、2つの親形状をハイブリッド形状にマージするインテリジェントセレクタであって、親形状はデータの抽象的な構造を表す、インテリジェントセレクタと、システムが使用されているアルゴリズムの型を定義するモードモジュールであって、インテリジェントセレクタは、当該アルゴリズムの型に基づいてマージする部分を決定する、モードモジュールと、形状がどのようにマージされるべきかを決めるための、カスタム化データの入力を受信する、静的基準モジュールを備える。カスタム化データは、格付けの優先順位付け、所望のデータ比、およびモードモジュールによって定義されているアルゴリズムの型に応じて行われるマージを指揮するデータを含む。
図24を参照すると、インテリジェントセレクタは、静的基準モジュールにより提供されるカスタム化データに基づき、生データ比較を2つの親形状に対して行う、生データ比較モジュールを備え、生データ比較モジュールは、関連する変更点および非変更点を出力し、インテリジェントセレクタは、カスタム化データに基づいて変更点の重要性を格付けし、変更点と非変更点が、静的基準のカスタム化データおよび、モードのアルゴリズムの型に基づいてハイブリッド形状にマージされ、マージは、データの比分布、データの重要性、およびデータ間の関係の調整を含み、比モード、優先順位モード、およびスタイルモードが、システムにプリセットされている。
比モードにおいては、静的基準によって設定された比に応じて、共通している情報の量が選別され、この比が大きく設定されている場合は、大量の形状データがそのままハイブリッド形状にマージされ、この比が小さく設定されている場合は、ハイブリッド形状の大半が過去の反復操作結果とは大きく異なるように構築される。優先順位モードにおいては、ある形状の中の同じ箇所で、ある特徴の定義が双方のデータセットで競合しているときは、優先順位付けプロセスが起動し、重立った特徴と、共通しているために隠される特徴を選び出し、ただ1つのトレイトだけがハイブリッド形状を占有できる場合は、優先順位付けプロセスが起動する。スタイルモードにおいては、このようにして、共通するポイントがマージされ、静的基準とモードによって、このモジュールが、ある一方を他方にマージすることを優先させるように指揮されている。
図27を参照すると、セキュリティイベントを、それらに対する応答とともに照会しやすくするために、トレイトの組成と、インデックス付けされたセキュリティ関心ポイント(POI)が提供され、POIはセキュリティPOIプールに格納され、POIは、トレイトインデックスにつなげられており、セキュリティ問題に関するパーソナリティトレイトが照会されたとき、該当するPOIがPOIプールで検索され、該当するイベント+応答ストレージが取り出されて返され、POIインタフェースモジュールにおいては、パーソナリティトレイトはPOIに紐付いている。
図28を参照すると、システムはさらに、応答パーサであって、セキュリティイベントを記述するデータとセキュリティイベントへの応答が受信され、セキュリティ挙動モジュールは既知のPOIを提供し、セキュリティイベントにタグ付けされたパーソナリティトレイトのための入力が受信される、相互参照モジュールと、パーソナリティトレイトの既定と過去のセキュリティ挙動からのパターン相関に基づいて、セキュリティ応答とパーソナリティトレイトを紐付ける、トレイトタグ付けモジュールと、トレイトタグ付けモジュールからトレイトの組成を受信し、その内部的な互換性を査定する、トレイト連携モジュール、を備える、応答パーサを備える。セキュリティイベント、応答、およびトレイトは、セキュリティ挙動クラウドに格納される。
セキュリティルールセットが、疑似エクスプロイトでテストされ、エクスプロイトが実行された後、当該エクスプロイトが機能し、さらにエクスプロイトDBに組み込まれるべきとされた場合は、結果フィードバックモジュールが結果を提供し、情報リリースモジュールが、次のエクスプロイトをどのようなものにするべきかについて、詳細な情報を案出モジュールに提供し、情報は、情報リリースモジュールとエクスプロイトDBの間でマージされ、当該エクスプロイトは、全ての進化系統が、同じエクスプロイトで同時並行的にテストされるバッチとして実行され、案出モジュールは、情報リリースモジュールの結果に基づいて、従来の複数のエクスプロイトの長所が用いられ、エクスプロイトの既知の弱点を回避した、ハイブリッドエクスプロイトを生成する。
管理監督モジュールが、エクスプロイトの格納状況および使用状況の発達を監視し、エクスプロイトが、外部からの入力によって生成/変更/削除され、複数のエクスプロイトの、ある条件下における過去の動作状況、およびエクスプロイトの重要性を記述している、既知の挙動履歴に沿って格納されている。
図31を参照すると、システムはさらに、案出モジュールが、ある系統の次の世代を生成している、監視/連携システムを備えており、2つの入力形状が、セキュリティ挙動クラウドからの編集済みセキュリティ挙動と、セキュリティ審査モジュールからの変数であり、得られたハイブリッド形状が反復操作プロセッサに送られ、反復操作プロセッサは、案出モジュールから送られたハイブリッド形状を処理して新しい世代を組み立て、新しい世代を、該当する進化系統にロードし、セキュリティ審査モジュールは、進化系統からレポート変数を受信して疑似セキュリティ脅威(AST)システムに対するセキュリティ上のパフォーマンスを評価し、今後の審査のためにレポートを出力してこのレポートを案出モジュールに送信し、次の世代の反復操作を行い、セキュリティ挙動クラウドは、該当するイベント+応答をセキュリティ審査モジュールに供給し、判定基準がトレイトインデックスクエリを通じて決定され、パフォーマンスが良いという評価をセキュリティ審査モジュールが受信したときは、セキュリティ挙動クラウドの中でこのエクスプロイトを打ち破るべく、より良いエクスプロイトを見つけようとし、トレイトの組成がセキュリティ挙動クラウドに提供され、セキュリティ挙動クラウドは、世代ルールセットをどのように構成すべきかを指揮するために、トレイトの組成を案出モジュールに提供する。
図33〜36を参照すると、自動成長誘導システムが、外部制御と監視/連携システムの間に介在し、モジュール型により所望のモジュールの挙動が何かが判別され、強制フィードバックが、あるモジュールが新たな命令を受けるたびに、自分の現在の条件を知らせることによる応答であり、ハイレベルマスター変数が、外部から静的基準に入力され、前回の所望の結果と実際の結果を受け、案出モジュールは新たな所望の結果を判別し、被制御モジュールの状況および状態を含む実際の結果が、モジュール追跡DBに格納され、実際の結果が、当該モジュールおよび案出モジュールによってモジュール追跡DBに入力され、モジュール追跡DBは、被制御モジュールのために内部的に選ばれた成長パターンを反映した入力形状を、案出モジュールに提供し、案出モジュールは、当該モジュールのための新しい制御を、モジュール追跡部および当該モジュール自身に送り、モジュール追跡部が単一のインスタンスで稼働し、多数のモジュールを同時に扱うために分割されていることを除けば、複数のモジュールが並行して制御されており、実際のモジュール履歴から導出された情報を含む、被制御モジュールからのフィードバックが、現実DBに格納され、理論DBは、案出モジュールにより提供された、当該モジュールのための理論上の制御を含んでおり、制御が予期されたとおり実行される場合は、同一の成長パターンが守られ、制御の実行が奇異な場合は、代わりの成長パターンが採用される。
図37〜45を参照すると、システムはさらに、構成における理論上の変化を考慮するために既存のマルウェアが反復操作される、マルウェア予測追跡アルゴリズムを備え、理論上の時間が経過するにつれて、マルウェアは案出モジュールと連携しながら進化し、カテゴリAは、認識され削除されたことが実証された履歴を有する、確認済みのマルウェア脅威を表し、カテゴリBは、システムがその存在を知っているが、絶対的な確信をもって認識および削除することができないマルウェアを表し、カテゴリCは、システムにとってあらゆる面で完全に未知であるマルウェアを表し、マルウェア予測プロセスは、カテゴリAから開始され、既知のマルウェアが案出モジュールに送られ、現時点で未知のマルウェアを表わす、バリエーションの候補を含むハイブリッド形状を生成し、そして、カテゴリBに基づき、理論的なプロセスは、未知の脅威がどのようなものであるかについての最良の推定結果を表しており、カテゴリCに基づくプロセスは、システムが知らない、予測しようとしている実際の脅威を表しており、既知で確認済みの反復操作の遷移を表すために、あるパターンが生成され、遷移パターンは、現時点で未知の脅威を予測するために使用される。
図57〜66を参照すると、システムはさらに、信用プラットフォーム内セキュリティ情報同期サービスを備えた、クラウドおよび階層化情報セキュリティによる重要インフラストラクチャー防護および返報(CIPR/CTIS)を備え、マネージドネットワークおよびセキュリティサービスプロバイダ(MNSP)内の多数のセキュリティアルゴリズム間で情報が流れ、企業イントラネット、エクストラネット、およびインターネット内の全ての企業トラフィックが、リアルタイムで遡及的なセキュリティ分析のために、VPN経由でMNSPクラウドに中継され、遡及的セキュリティ分析においては、イベントと、それぞれのセキュリティ応答とトレイトが、今後の問い合わせのために格納されインデックス付けされ、共謀検知は、多数のセキュリティイベントに対する定期的な素性チェックを提供し、パターンや関係を判定しようと試み、並行する複数の進化系統が発達し選択され、反復操作された世代が、同一のASTバッチに適応し、最良のパーソナリティトレイトを有する系統が、最終的にはこのセキュリティ脅威に対して最も良く耐えることになり、リアルタイムセキュリティ分析においては、構文モジュールが、コンピュータのコードを読み書きするためのフレームワークを提供しており、目標モジュールは構文モジュールを用いてコードから目標を導出し、この目標を、自身の複合目標フォーマットに出力し、企業ネットワークとデータベースが、仮想環境内に複製され、取扱注意のデータが模擬(偽の)データと置き換えられ、単一擬態は、仮想難読化(保護)が分析的に完結したときに使用される、返報の形状を提供し、内部整合性チェックが、外来コードの全ての内部機能の辻褄が合っていることをチェックし、外来コード改訂が、構文モジュールと目標モジュールを使用し、外来コードを複合目標フォーマットにまとめ、秘密コード検知が、データおよび送信パケット内に密かに埋め込まれたコードを検知し、外来コードがシステムの目的全体にフィットしているかを判断するために、マップ化された要求および目標の階層構造が参照される。
図67〜72を参照すると、システムはさらに、企業システム内のあらゆるデジタル転送が、LIZARDのインスタンスを経由して中継される、論理的推論によるゼロデータベースの演繹型リアルタイム防御(LIZARD)を備え、企業の外部へ出力される、または企業システムの外部から入力される全ての情報の経路は、LIZARD VPNおよびLIZARDクラウドを経由し、反復操作モジュール(IM)が、静的コア(SC)を使用して、ダイナミックシェル(DS)のコードベースを構文的に変更し、変更されたバージョンのLIZARDが、疑似セキュリティ脅威(AST)によって、多数のさまざまなセキュリティシナリオのもとで(並行して)ストレステストを受け、LIZARDが行った判断の信頼性が低い場合、データ返送中継が、今後のLIZARDの反復操作結果を改善するために、該当するデータをASTに中継し、疑似セキュリティ脅威(AST)は、反復操作プロセスを実行可能にするために、シミュレートされたセキュリティ脅威を伴う仮想テスト環境を生成し、LIZARDの静的コアが、論理的に必要な機能を、初期のより簡易な機能から導出し、構文モジュール機能によって直接読み解かれる任意の(汎用)コードを、任意に選ばれた既知のコンピュータ言語に変換し、コードロジックをより簡易な形状にまとめて、相互に接続された機能のマップを生成し、反復操作拡張は、目標の関連性を参照し、詳細と複雑性を追加して、単純なゴールを複合目標に進化させ、仮想難読化モジュールは、コードを徐々にかつ部分的に仮想化された偽の環境に浸すことで、コードを乱雑にし、制限し、マルウェアが、仮定に基づいて企業セキュリティシステムを迂回し、LIZARDが、入力されたコードのブロックの意図/目標について、低確信度の査定を有しており、疑問の余地のあるコードが密かに、データの半分が模擬(偽の)データと知的に混合されている環境に割り当てられ、実データ同期部が、混合環境に与えられるデータを、どの優先順位で与えるのかを知的に選択し、模擬データジェネレータは、偽造かつ無用なデータを作成するためのテンプレートとして、実データ同期部を使用する。
図73を参照すると、システムはさらに、二重スパイが、取扱注意のファイルのコピーを目立たずに入手し、入手したファイルが、企業ネットワークの外側の詐欺的な宛先サーバに送られる、サイバースペースモジュールにおける秘密オペレーションによる秘密機械学習および返報を備え、リアルタイム分析および長期間分析のために伝達される標準ログが生成され、リアルタイム分析が、悪意のある活動をほぼ即時に認識して、それた実行する前に停止させ、長期間分析が、分析により多くの時間を掛けることによって、悪意のある挙動を認識する。
図74〜78を参照すると、システムはさらに、観察者のエミュレーションを生成し、全てのパーセプションポイント候補が、このような観察者エミュレーションを使用してテスト/比較される、クリティカルシンキング・メモリ・パーセプションアルゴリズムを備え、選ばれたパーセプションの優先順位が、重み付けの降順で選択され、ポリシーが切り捨てを選択する方法を定め、パーセプションおよび該当する重み付けが、そのインデックスとしての比較可能可変フォーマット(CVF)とともに格納され、データ強化ログから導出されたCVFが、パーセプションストレージのデータベース検索における判定基準として使用され、メトリック処理は、選択パターンマッチングアルゴリズム(SPMA)のセキュリティ応答からの変数をリバースエンジニアリングし、このセキュリティ応答の一部と、これに対応するシステムメタデータを使用して、セキュリティ応答の元のパーセプションを再現し、従来の構文ベースの情報カテゴリ化によって、デバッグおよびアルゴリズム追跡が、個別のカテゴリに分割され、このカテゴリは、セキュリティ上のリスクおよび対象と相関関係を有する、個別のセキュリティ応答をまとめ上げて生成するために使用される。
Claims (69)
- セキュリティイベントを処理するコンピュータセキュリティシステムであって、
(a)複数のサブアルゴリズムを備える挙動モジュールであって、各サブアルゴリズムが、既定のセキュリティ問題に関連した既定のカテゴリに対応する、挙動モジュールと、
(b)前記挙動モジュールの出力に基づくセキュリティ分析を提供する、コンビネーションモジュールとを備える、
コンピュータセキュリティシステム。 - 請求項1に記載のシステムにおいて、
前記複数のサブアルゴリズムは、並行して実行され、前記複数のサブアルゴリズムは、それぞれ入力を処理し出力を格納する、システム。 - 請求項2に記載のシステムにおいて、
情報処理リクエストが、少なくとも1つのサブアルゴリズムに送信され、各サブアルゴリズムは、前記セキュリティイベントのデータを処理し、各サブアルゴリズムの結果が、前記サブアルゴリズムのためのデータベースに格納される、システム。 - 請求項2に記載のシステムにおいて、
予め定められた確信度レベルを超える前記複数のサブアルゴリズムの結果を選別する、高確信度フィルタをさらに備える、システム。 - 請求項4に記載のシステムにおいて、
コンビネーションリクエストが、コンビネーションアルゴリズムに送信され、前記コンビネーションアルゴリズムは、前記コンビネーションリクエストの型に応じて2つ以上のサブアルゴリズムを合成し、前記コンビネーションアルゴリズムは、既定の判定基準に基づいて結果を選択する、システム。 - 請求項5に記載のシステムにおいて、
ポリシーと挙動との組み合わせに基づいて前記セキュリティイベントのカテゴリを決定する、カテゴリ化モジュールをさらに備える、システム。 - 請求項6に記載のシステムにおいて、
前記セキュリティイベントの挙動パターンに基づいて前記セキュリティイベントを選り分ける、パターンマッチングモジュールをさらに備え、前記カテゴリ化モジュールは、前記パターンマッチングモジュールからの選別済みイベントのカテゴリを決定する、システム。 - 請求項7に記載のシステムにおいて、
前記挙動モジュールは挙動データベースと接続され、前記挙動データベースは複数のカテゴリを含むメタデータを格納する、システム。 - 請求項8に記載のシステムにおいて、
前記複数のカテゴリはそれぞれ、参照識別子、第一概念、第二概念、およびアルゴリズムが決定した関連性インデックスを含む、システム。 - 請求項7に記載のシステムにおいて、
入力されたイベントを無害化ポリシーに基づいて選別する、無害化モジュールをさらに備える、システム。 - (i)多数のセキュリティイベントの素性をチェックし、前記セキュリティイベント間の関係を決定する、共謀検知サブアルゴリズムと、
(ii)未知データの型を決定し、選択した前記データ型への確信度を申告し、前記確信度が既定のレベルよりも低い場合は失敗フラグを返す、情報型識別サブアルゴリズムとを備える、
サイバーセキュリティシステム。 - 請求項11に記載のシステムにおいて、
前記共謀検知サブアルゴリズムでは、前記セキュリティイベントが前記情報型識別サブアルゴリズムによってパースされ、前記情報型識別サブアルゴリズムは、前記セキュリティイベントに該当する属性を導出し、前記属性は、外部のポリシー及び挙動の解釈によってチェックされ、前記セキュリティイベントが処理のための閾値を超えているかどうかが確認される、システム。 - 請求項12に記載のシステムにおいて、
前記セキュリティイベントに対して前記導出されたイベント属性は固有DBに格納され、前記導出されたイベント属性の全ての組み合わせが作成され、前記組み合わせは予め定められた許可ルールによって選択され、前記選択された組み合わせは、既定の類似係数を調べるために、固有DBに対して照会される、システム。 - 請求項13に記載のシステムにおいて、
幽霊ドメイン名への対策を講じるため、前記既定の類似係数は、同一の社会保障番号および同一の発生時刻を有すること、同一のIP LANサブネット範囲、同一の個人電話番号、および同一の個人アドレスを有すること、同一ドメイン名の異なる電子メールアドレスを有すること、同一ドメイン名に属する種々の電子メールアドレスを有すること、ならびに、あるドメイン名と、ドメイン名が指すと考えられるIPアドレスを有すること、を含んでいる、システム。 - 請求項13に記載のシステムにおいて、
前記共謀検知サブアルゴリズムによるチェックの結果が、管理コンソールに通知される、システム。 - 請求項11に記載のシステムにおいて、
外来の脅威によって企業の隔離ネットワークに求められるものに基づいて、前記外来の脅威の重大度をアップグレードまたはダウングレードし、外来の脅威への認知を高めるために、第三者情報を受信する、外来エンティティ管理サブアルゴリズムと、あるユーザの記録に対して、既定のリスク係数に基づき総合リスク査定を判定する、ユーザリスク管理サブアルゴリズム、をさらに備える、システム。 - 請求項16に記載のシステムにおいて、
前記外来エンティティ管理サブアルゴリズムでは、セキュリティイベントが前記情報型識別サブアルゴリズムによってパースされ、前記セキュリティイベントに関与している、ネットワーク上の発信元およびユーザが導出され、前記セキュリティイベントの前記ネットワーク上の発信元は、セキュリティ警戒リストに照らしてチェックされ、ユーザ情報が前記セキュリティ警戒リストで見つかった場合、前記ユーザは、前記ユーザリスク査定サブアルゴリズムによりチェックされる、システム。 - 請求項17に記載のシステムにおいて、
チェックの結果が、外部のポリシー及び挙動に左右される、既定の閾値に基づいて考慮されて集約され、集約された結果が固有データベースに格納される、システム。 - 請求項16に記載のシステムにおいて、
前記情報型識別サブアルゴリズムでは、並列化を目的として、提供される前記未知データについては、入力は一括で行われている、システム。 - 請求項19に記載のシステムにおいて、
前記情報型識別サブアルゴリズムは、前記未知データの属性を抽出し、属性には、長さ、数字/文字比、特殊文字が含まれる、システム。 - 請求項20に記載のシステムにおいて、
前記抽出された属性は、DBのデータポイントと照合され、DBのデータポイントは、照合のために選択されたものである、システム。 - 請求項21に記載のシステムにおいて、
照合のために、まずキャッシュがチェックされる、システム。 - 請求項22に記載のシステムにおいて、
前記情報型識別サブアルゴリズムは、確信度レベルを求めるために照合結果を処理する、システム。 - 請求項23に記載のシステムにおいて、
前記結果の確信度レベルが既定の閾値より低い場合、前記結果は切り捨てられ、前記既定の閾値は動的であってもよい、システム。 - 請求項23に記載のシステムにおいて、
型親和性と属性の構成とを関係づけるためにパターン検知が実行され、高確信度を有するパターンは前記キャッシュに格納され、前記DBは計算されたパターンを含まないが型と属性の静的な関連付けを含む、システム。 - 請求項25に記載のシステムにおいて、
処理された前記結果がAPIに合わせて編集され、編集された前記結果が出力される、システム。 - 請求項16に記載のシステムにおいて、
メディアスキャナサブアルゴリズムであって、任意のメディアをスキャンし、このメディアの予期された構成に対して、違法な情報の転送、および一貫性のない/疑わしい挙動がないかチェックする、メディアスキャナサブアルゴリズム、をさらに備える、システム。 - 請求項27に記載のシステムにおいて、
前記メディアスキャナサブアルゴリズムでは、メディアパースが実行され、与えられた前記メディア内の情報内で疑われるポイントがハイライトされ、疑われるポイントは、メタデータまたはこのメディアのRAWフォーマットに隠されている可能性があり、このメディアのデータおよびメタデータがスキャンされる、システム。 - 請求項27に記載のシステムにおいて、
前記情報内で疑われるポイントは、前記情報型識別サブアルゴリズムによって処理され、そこでユーザIDが処理されて前記ユーザリスク管理サブアルゴリズムに渡され、他の全ての情報が、汎用パーサに渡される、システム。 - 請求項27に記載のシステムにおいて、
前記汎用パーサは、リスクオブジェクトDBと連携することで、ファイル内に存在する危険な関連性を探す、システム。 - 請求項30に記載のシステムにおいて、
危険な関連性が見つかった場合、前記メディアは転送がブロックされ、リスクオブジェクトが生成され、前記ユーザリスク管理サブアルゴリズムには、このセキュリティイベントへの、該当するユーザの関与が通知される、システム。 - 請求項30に記載のシステムにおいて、
処理された結果が合成されてパースされ、前記メディアをブロックするか許可するかの判断が行われる、システム。 - 請求項16に記載のシステムにおいて、
特権分離分析サブアルゴリズムであって、任意のユーザやプロセスがそれらに許可された特権割り当ての範囲内にあるかどうかを判定し、絶え間なく起動され、確認したあらゆる特権違反を、マスタープロセスおよびセカンダリプロセスにレポートし、セカンダリプロセスは、前記マスタープロセスが前記特権違反に対して処置を行ったことについてダブルチェックを行う、特権分離分析サブアルゴリズムをさらに備える、システム。 - 請求項33に記載のシステムにおいて、
前記特権分離分析サブアルゴリズムでは、ユーザ許可イベントが送信され、ユーザIDトークンと、リクエストされたアクセス/変更の場所が、前記情報型識別サブアルゴリズムにより抽出され、スレッドマネージャへ送られる、システム。 - 請求項34に記載のシステムにおいて、
前記スレッドマネージャは、場所情報を受信し、アクセス/変更が許可されているのが誰かを調べるために、場所データベースを呼び出す、場所スレッドマネージャを備える、システム。 - 請求項35に記載のシステムにおいて、
場所許可バンクは、前記場所の許可要件を固有DB2から受信し、ユーザセキュリティリスクのため、予防措置としてどこかの場所をブロックすべきかどうかを判断するあるスレッドからの問い合わせを受け、予防措置レベルの閾値は、外部のポリシー及び挙動を経由して決定される、システム。 - 請求項36に記載のシステムにおいて、
前記スレッドマネージャは、ユーザ情報を受信し、アクセス/変更が許可されている場所はどこかを調べるために、ユーザデータベースを呼び出し、また、前記ユーザに対して予防ポリシーの範囲でブロックすべき危険な場所を得るために、前記ユーザリスク管理サブアルゴリズムを呼び出す、ユーザスレッドマネージャを備える、システム。 - 請求項37に記載のシステムにおいて、
ユーザ許可バンクが、前記ユーザの許可属性を固有DB1から受信し、前記場所スレッドマネージャから、前記ユーザがこの場所においてリクエストされた処置を行うことを許可されているかどうかを確認する問い合わせを受ける、システム。 - 請求項38に記載のシステムにおいて、
許可アグリゲータは、前記場所スレッドマネージャと前記ユーザスレッドマネージャの結果を論理的に合成し、合成された結果を出力する、システム。 - 請求項16に記載のシステムにおいて、
前記ユーザリスク管理サブアルゴリズムでは、前記既定のリスク係数は、以前のポリシー違反、過度な使用状況、および遂行された疑わしい操作を含む、システム。 - 請求項40に記載のシステムにおいて、
ユーザIDトークンが入力され、リスクの重大性の複数の関連オブジェクトを伴った、総合リスク査定パーセンテージが出力され、前記オブジェクトは、さらなる分析のため、他のサブアルゴリズムから個別にアクセス可能である、システム。 - 請求項41に記載のシステムにおいて、
前記ユーザに関するリスクオブジェクトが入力され、前記リスクオブジェクトと前記ユーザとの紐付けが記録される、システム。 - 請求項41に記載のシステムにおいて、
ユーザIDトークンが、リスク査定レポートの生成、またはリスクオブジェクト参照をデポジットするために提供され、ユーザのリスク履歴が、デポジットされた前記リスクオブジェクト参照を使用して構築される、システム。 - 請求項43に記載のシステムにおいて、
リスクオブジェクト参照が提供される場合、今後の参照のため、データベース内へのデポジットが行われる、システム。 - 請求項43に記載のシステムにおいて、
リスクオブジェクト参照のデポジットが行われない場合、前記スレッドマネージャはレポートの作成を要求し、前記ユーザのリスク履歴を査定するために、固有データベースにおいて、該当するユーザIDが調べられる、システム。 - 請求項43に記載のシステムにおいて、
リスク格付が、リスクオブジェクトに対するリスク格付を与える固有DBから抽出され、前記リスク格付と、抽出された前記リスクオブジェクトを使用して、最終集約レポートが作成され、出力に送られ、包括的主要リスクインデックスも出力に送られ、ユーザの直接リスク係数を特定するために使用される、システム。 - 反復型知的成長の方法であって、
a)初期ルールセットの入力を受信する工程と、
b)複数のパーソナリティトレイトの入力を受信する工程であって、前記パーソナリティトレイトは、セキュリティイベントに対して働くべき、反応的性質を定義している、工程と、
c)パーソナリティトレイトを選び、前記パーソナリティトレイトを進化系統に割り当てる工程と、
d)工程c)を、他の進化系統に対して、前記パーソナリティトレイトの全てについて、繰り返す工程と、
e)前記進化系統を実行する工程であって、前記進化系統はそれぞれ、与えられたパーソナリティトレイトにしたがって複数の世代を進化させる、工程を備え、
前記進化系統のそれぞれの前作は、前記他の進化系統の操作からは仮想的に隔離されている、方法。 - 請求項47に記載の方法において、
前記パーソナリティトレイトが、
i)相関関係の度合いに基づいてCPU時間を使用する、現実的なトレイト、
ii)個人またはコンピュータシステムを含む、任意のエンティティについて、以前にセキュリティインシデントがあったかどうかに基づいてCPU時間を使用する、非寛容的なトレイト、
iii)修正処置の利用可能性に基づいてCPU時間を使用する、日和見的なトレイト、または、
iv)寛容さまたは許容範囲がほとんどない仮定に基づいてCPU時間を使用する、厳密で予防的なトレイトを含み、
前記CPU時間は、CPUサイクル数/秒で計測される、方法。 - 請求項47に記載の方法において、
監視および連携システムは、セキュリティイベントを、疑似セキュリティ脅威(AST)システムから進化系統に投入し、セキュリティ挙動クラウドから、セキュリティイベントに関連するセキュリティ応答を中継するものであり、進化系統のいずれかが、与えられたセキュリティ課題を解決できないという不定状態に対している場合は、その進化系統の実行が破棄され、破棄された進化系統のパーソナリティトレイトが変更され、変更されたパーソナリティトレイトは別の進化系統に割り当てられ、破棄された進化系統のセキュリティイベントは、この別の進化系統に投入され、この別の進化系統が実行され、監視および連携システムは、進化系統のパフォーマンスを出力し、パーソナリティトレイトを変更するための入力を受信する、方法。 - 請求項47に記載の方法において、
相互参照モジュールが、任意のセキュリティイベントへのセキュリティシステム応答を分析し、セキュリティシステム応答が意味のあるものであるかを判断し、前記セキュリティシステム応答を、トレイトタグ付けモジュールに送る、方法。 - 請求項50に記載の方法において、
前記トレイトタグ付けモジュールは、前記セキュリティシステム応答を、前記トレイトタグ付けモジュールに提供されたパーソナリティ型にしたがって分類する、方法。 - 請求項51に記載の方法において、
トレイト連携モジュールは、前記パーソナリティトレイト同士の関係を分析し、分析結果が前記セキュリティ挙動クラウドに渡され、前記セキュリティ挙動クラウドは、前記分析結果を監視/連携システムに渡す、方法。 - a)2つの親形状を受信し、前記2つの親形状をハイブリッド形状にマージするインテリジェントセレクタであって、前記親形状がデータの抽象的な構造を表すことができる、インテリジェントセレクタと、
b)システムが使用されているアルゴリズムの型を定義するモードモジュールであって、前記インテリジェントセレクタは、前記アルゴリズムの型に基づいてマージする部分を決定する、モードモジュールと、
c)形状がどのようにマージされるべきかを決めるための、カスタム化データの入力を受信する、静的基準モジュール、を備える、
サイバー脅威インテリジェンス識別統合&分析システム。 - 請求項53に記載のシステムにおいて、
前記カスタム化データは、格付けの優先順位付け、所望のデータ比、および前記モードモジュールによって定義されている前記アルゴリズムの型に応じて行われるマージを指揮するデータを含む、システム。 - 請求項53に記載のシステムにおいて、
前記インテリジェントセレクタは、前記静的基準モジュールにより提供される前記カスタム化データに基づき、生データ比較を前記2つの親形状に対して行う、生データ比較モジュールを備え、前記生データ比較モジュールは、関連する変更点および非変更点を出力し、前記インテリジェントセレクタは、前記カスタム化データに基づいて前記変更点の重要性を格付けし、前記変更点と前記非変更点が、前記静的基準の前記カスタム化データおよび、モードの前記アルゴリズムの型に基づいてハイブリッド形状にマージされ、前記マージは、データの比分布、データの重要性、およびデータ間の関係の調整を含み、比モード、優先順位モード、およびスタイルモードが、前記システムにプリセットされている、システム。 - 請求項55に記載のシステムにおいて、
前記比モードでは、前記静的基準によって設定された比に応じて、共通している情報の量が選別され、前記比が大きく設定されている場合は、大量の形状データがそのまま前記ハイブリッド形状にマージされ、前記比が小さく設定されている場合は、ハイブリッド形状の大半が過去の反復操作結果とは大きく異なるように構築される、システム。 - 請求項55に記載のシステムにおいて、
前記優先順位モードでは、ある形状の中の同じ箇所で、ある特徴の定義が双方のデータセットで競合しているときは、優先順位付けプロセスが起動し、重立った特徴と、共通しているために隠される特徴を選び出し、ただ1つのトレイトだけが前記ハイブリッド形状を占有できる場合は、優先順位付けプロセスが起動する、システム。 - 請求項55に記載のシステムにおいて、
前記スタイルモードでは、共通するポイントがマージされ、前記静的基準とモードによって、このモジュールが、ある一方を他方にマージすることを優先させるように指揮されている、システム。 - 請求項53に記載のシステムにおいて、
セキュリティイベントを、それらに対する応答とともに照会しやすくするために、トレイトの組成と、インデックス付けされたセキュリティ関心ポイント(POI)が提供され、前記POIはセキュリティPOIプールに格納され、POIは、トレイトインデックスにつなげられており、セキュリティ問題に関するパーソナリティトレイトが照会されたとき、該当するPOIが前記POIプールで検索され、該当するイベント+応答ストレージが取り出されて返され、POIインタフェースモジュールにおいては、パーソナリティトレイトはPOIに紐付いている、システム。 - 請求項53に記載のシステムにおいて、
応答パーサであって、
a)セキュリティイベントを記述するデータと前記セキュリティイベントへの応答が受信され、セキュリティ挙動モジュールは既知のPOIを提供し、セキュリティイベントにタグ付けされたパーソナリティトレイトのための入力が受信される、相互参照モジュールと、
b)前記パーソナリティトレイトの既定と過去のセキュリティ挙動からのパターン相関に基づいて、前記セキュリティ応答とパーソナリティトレイトを紐付ける、トレイトタグ付けモジュールと、
c)トレイトタグ付けモジュールからトレイトの組成を受信し、その内部的な互換性を査定する、トレイト連携モジュール、を備える、応答パーサをさらに備え、
前記セキュリティイベント、応答、およびトレイトは、前記セキュリティ挙動クラウドに格納される、システム。 - 請求項53に記載のシステムにおいて、
セキュリティルールセットが、疑似エクスプロイトでテストされ、前記エクスプロイトが実行された後、前記エクスプロイトが機能し、さらにエクスプロイトDBに組み込まれるべきとされた場合は、結果フィードバックモジュールが結果を提供し、情報リリースモジュールが、次のエクスプロイトをどのようなものにするべきかについて、詳細な情報を前記案出モジュールに提供し、情報は、前記情報リリースモジュールと前記エクスプロイトDBの間でマージされ、前記エクスプロイトは、全ての進化系統が、同じエクスプロイトで同時並行的にテストされるバッチとして実行され、前記案出モジュールは、前記情報リリースモジュールの結果に基づいて、従来の複数のエクスプロイトの長所が用いられ、エクスプロイトの既知の弱点を回避した、ハイブリッドエクスプロイトを生成する、システム。 - 請求項61に記載のシステムにおいて、
管理監督モジュールが、エクスプロイトの格納状況および使用状況の発達を監視し、エクスプロイトが、外部からの入力によって生成/変更/削除され、前記エクスプロイトの、ある条件下における過去の動作状況、およびエクスプロイトの重要性を記述している、既知の挙動履歴に沿って格納されている、システム。 - 請求項53に記載のシステムにおいて、
監視/連携システムであって、前記案出モジュールが、ある系統の次の世代を生成している、監視/連携システムをさらに備えており、2つの入力形状が、セキュリティ挙動クラウドからの編集済みセキュリティ挙動と、セキュリティ審査モジュールからの変数であり、得られたハイブリッド形状が反復操作プロセッサに送られ、前記反復操作プロセッサは、前記案出モジュールから送られた前記ハイブリッド形状を処理して新しい世代を組み立て、前記新しい世代を、該当する進化系統にロードし、前記セキュリティ審査モジュールは、前記進化系統からレポート変数を受信して疑似セキュリティ脅威(AST)システムに対するセキュリティ上のパフォーマンスを評価し、今後の審査のためにレポートを出力して前記レポートを前記案出モジュールに送信し、前記次の世代の反復操作を行い、前記セキュリティ挙動クラウドは、該当するイベント+応答を前記セキュリティ審査モジュールに供給し、判定基準がトレイトインデックスクエリを通じて決定され、パフォーマンスが良いという評価を前記セキュリティ審査モジュールが受信したときは、前記セキュリティ挙動クラウドの中でエクスプロイトを打ち破るべく、より良いエクスプロイトを見つけようとし、トレイトの組成が前記セキュリティ挙動クラウドに提供され、前記セキュリティ挙動クラウドは、世代ルールセットをどのように構成すべきかを指揮するために、前記トレイトの組成を前記案出モジュールに提供する。 - 請求項63に記載のシステムにおいて、
自動成長誘導システムが、外部制御と前記監視/連携システムの間に介在し、モジュール型により所望のモジュールの挙動が何かが判別され、強制フィードバックが、あるモジュールが新たな命令を受けるたびに、自分の現在の条件を知らせることによる応答であり、ハイレベルマスター変数が、外部から前記静的基準に入力され、前回の所望の結果と実際の結果を受け、前記案出モジュールは新たな所望の結果を判別し、被制御モジュールの状況および状態を含む前記実際の結果が、モジュール追跡DBに格納され、前記実際の結果が、前記モジュールおよび案出モジュールによって前記モジュール追跡DBに入力され、前記モジュール追跡DBは、前記被制御モジュールのために内部的に選ばれた成長パターンを反映した入力形状を、前記案出モジュールに提供し、前記案出モジュールは、前記モジュールのための新しい制御を、モジュール追跡部および前記モジュール自身に送り、前記モジュール追跡部が単一のインスタンスで稼働し、多数のモジュールを同時に扱うために分割されていることを除けば、複数のモジュールが並行して制御されており、実際のモジュール履歴から導出された情報を含む、前記被制御モジュールからのフィードバックが、現実DBに格納され、理論DBは、前記案出モジュールにより提供された、前記モジュールのための理論上の制御を含んでおり、制御が予期されたとおり実行される場合は、同一の成長パターンが守られ、制御の実行が奇異な場合は、代わりの成長パターンが採用される、システム。 - 請求項53に記載のシステムにおいて、
構成における理論上の変化を考慮するために既存のマルウェアが反復操作される、マルウェア予測追跡アルゴリズムをさらに備え、理論上の時間が経過するにつれて、前記マルウェアは前記案出モジュールと連携しながら進化し、カテゴリAは、認識され削除されたことが実証された履歴を有する、確認済みのマルウェア脅威を表し、カテゴリBは、前記システムがその存在を知っているが、絶対的な確信をもって認識および削除することができないマルウェアを表し、カテゴリCは、前記システムにとってあらゆる面で完全に未知であるマルウェアを表し、前記マルウェア予測プロセスは、カテゴリAから開始され、既知のマルウェアが前記案出モジュールに送られ、現時点で未知のマルウェアを表わす、バリエーションの候補を含むハイブリッド形状を生成し、そして、カテゴリBに基づき、理論的なプロセスは、未知の脅威がどのようなものであるかについての最良の推定結果を表しており、カテゴリCに基づくプロセスは、前記システムが知らない、予測しようとしている実際の脅威を表しており、既知で確認済みの反復操作の遷移を表すために、あるパターンが生成され、遷移パターンは、現時点で未知の脅威を予測するために使用される、システム。 - 請求項53に記載のシステムにおいて、
信用プラットフォーム内セキュリティ情報同期サービスを備えた、クラウドおよび階層化情報セキュリティによる重要インフラストラクチャー防護および返報(CIPR/CTIS)をさらに備え、マネージドネットワークおよびセキュリティサービスプロバイダ(MNSP)内の多数のセキュリティアルゴリズム間で情報が流れ、企業イントラネット、エクストラネット、およびインターネット内の全ての企業トラフィックが、リアルタイムで遡及的なセキュリティ分析のために、VPN経由でMNSPクラウドに中継され、遡及的セキュリティ分析においては、イベントと、それぞれのセキュリティ応答とトレイトが、今後の問い合わせのために格納されインデックス付けされ、共謀検知は、多数のセキュリティイベントに対する定期的な素性チェックを提供し、パターンや関係を判定しようと試み、並行する複数の進化系統が発達し選択され、反復操作された世代が、同一のASTバッチに適応し、最良のパーソナリティトレイトを有する系統が、最終的には前記セキュリティ脅威に対して最も良く耐えることになり、リアルタイムセキュリティ分析においては、構文モジュールが、コンピュータのコードを読み書きするためのフレームワークを提供しており、目標モジュールは構文モジュールを用いてコードから目標を導出し、この目標を、自身の複合目標フォーマットに出力し、企業ネットワークとデータベースが、仮想環境内に複製され、取扱注意のデータが模擬(偽の)データと置き換えられ、単一擬態は、仮想難読化(保護)が分析的に完結したときに使用される、返報の形状を提供し、内部整合性チェックが、外来コードの全ての内部機能の辻褄が合っていることをチェックし、外来コード改訂が、前記構文モジュールと前記目標モジュールを使用し、外来コードを複合目標フォーマットにまとめ、秘密コード検知が、データおよび送信パケット内に密かに埋め込まれたコードを検知し、外来コードが前記システムの目的全体にフィットしているかを判断するために、マップ化された要求および目標の階層構造が参照される、システム。 - 請求項53に記載のシステムにおいて、
論理的推論によるゼロデータベースの演繹型リアルタイム防御(LIZARD)であって、企業システム内のあらゆるデジタル転送が、LIZARDのインスタンスを経由して中継される、論理的推論によるゼロデータベースの演繹型リアルタイム防御(LIZARD)をさらに備え、企業の外部へ出力される、または前記企業システムの外部から入力される全ての情報の経路は、LIZARD VPNおよびLIZARDクラウドを経由し、反復操作モジュール(IM)が、静的コア(SC)を使用して、ダイナミックシェル(DS)のコードベースを構文的に変更し、変更されたバージョンのLIZARDが、疑似セキュリティ脅威(AST)によって、多数のさまざまなセキュリティシナリオのもとで(並行して)ストレステストを受け、LIZARDが行った判断の信頼性が低い場合、データ返送中継が、今後のLIZARDの反復操作結果を改善するために、該当するデータをASTに中継し、疑似セキュリティ脅威(AST)は、反復操作プロセスを実行可能にするために、シミュレートされたセキュリティ脅威を伴う仮想テスト環境を生成し、LIZARDの前記静的コアが、論理的に必要な機能を、初期のより簡易な機能から導出し、構文モジュール機能によって直接読み解かれる任意の(汎用)コードを、任意に選ばれた既知のコンピュータ言語に変換し、コードロジックをより簡易な形状にまとめて、相互に接続された機能のマップを生成し、反復操作拡張は、目標の関連性を参照し、詳細と複雑性を追加して、単純なゴールを複合目標に進化させ、仮想難読化モジュールは、コードを徐々にかつ部分的に仮想化された偽の環境に浸すことで、コードを乱雑にし、制限し、マルウェアが、仮定に基づいて企業セキュリティシステムを迂回し、LIZARDが、入力されたコードのブロックの意図/目標について、低確信度の査定を有しており、疑問の余地のあるコードが密かに、データの半分が模擬(偽の)データと知的に混合されている環境に割り当てられ、実データ同期部が、混合環境に与えられるデータを、どの優先順位で与えるのかを知的に選択し、模擬データジェネレータは、偽造かつ無用なデータを作成するためのテンプレートとして、前記実データ同期部を使用する、システム。 - 請求項53に記載のシステムにおいて、
サイバースペースモジュールにおける秘密オペレーションによる秘密機械学習および返報であって、二重スパイが、取扱注意のファイルのコピーを目立たずに入手し、入手したファイルが、企業ネットワークの外側の詐欺的な宛先サーバに送られる、サイバースペースモジュールにおける秘密オペレーションによる秘密機械学習および返報をさらに備え、リアルタイム分析および長期間分析のために伝達される標準ログが生成され、前記リアルタイム分析が、悪意のある活動をほぼ即時に認識して、それた実行する前に停止させ、前記長期間分析が、分析により多くの時間を掛けることによって、悪意のある挙動を認識する、システム。 - 請求項53に記載のシステムにおいて、
クリティカルシンキング・メモリ・パーセプションアルゴリズムであって、観察者のエミュレーションを生成し、全てのパーセプションポイント候補が、前記観察者エミュレーションを使用してテスト/比較される、クリティカルシンキング・メモリ・パーセプションアルゴリズムを備え、選ばれたパーセプションの優先順位が、重み付けの降順で選択され、ポリシーが切り捨てを選択する方法を定め、パーセプションおよび該当する重み付けが、そのインデックスとしての比較可能可変フォーマット(CVF)とともに格納され、データ強化ログから導出されたCVFが、パーセプションストレージのデータベース検索における判定基準として使用され、メトリック処理は、選択パターンマッチングアルゴリズム(SPMA)のセキュリティ応答からの変数をリバースエンジニアリングし、前記セキュリティ応答の一部と、前記セキュリティ応答に対応するシステムメタデータを使用して、セキュリティ応答の元のパーセプションを再現し、従来の構文ベースの情報カテゴリ化によって、デバッグおよびアルゴリズム追跡が、個別のカテゴリに分割され、前記カテゴリは、セキュリティ上のリスクおよび対象と相関関係を有する、個別のセキュリティ応答をまとめ上げて生成するために使用される、システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021127934A JP7265797B2 (ja) | 2015-05-04 | 2021-08-04 | コンピュータネットワークにおけるセキュリティを管理する方法及び装置 |
Applications Claiming Priority (21)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201562156884P | 2015-05-04 | 2015-05-04 | |
| US62/156,884 | 2015-05-04 | ||
| US201562198091P | 2015-07-28 | 2015-07-28 | |
| US62/198,091 | 2015-07-28 | ||
| US201562206675P | 2015-08-18 | 2015-08-18 | |
| US62/206,675 | 2015-08-18 | ||
| US201562210546P | 2015-08-27 | 2015-08-27 | |
| US62/210,546 | 2015-08-27 | ||
| US201562220914P | 2015-09-18 | 2015-09-18 | |
| US62/220,914 | 2015-09-18 | ||
| US201662286437P | 2016-01-24 | 2016-01-24 | |
| US62/286,437 | 2016-01-24 | ||
| US201662294258P | 2016-02-11 | 2016-02-11 | |
| US62/294,258 | 2016-02-11 | ||
| US201662307558P | 2016-03-13 | 2016-03-13 | |
| US62/307,558 | 2016-03-13 | ||
| US201662323657P | 2016-04-16 | 2016-04-16 | |
| US62/323,657 | 2016-04-16 | ||
| PCT/US2016/030660 WO2017014823A2 (en) | 2015-05-04 | 2016-05-04 | Method and device for managing security in a computer network |
| US15/145,800 | 2016-05-04 | ||
| US15/145,800 US20160330219A1 (en) | 2015-05-04 | 2016-05-04 | Method and device for managing security in a computer network |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021127934A Division JP7265797B2 (ja) | 2015-05-04 | 2021-08-04 | コンピュータネットワークにおけるセキュリティを管理する方法及び装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018521430A true JP2018521430A (ja) | 2018-08-02 |
| JP6930742B2 JP6930742B2 (ja) | 2021-09-01 |
Family
ID=57222986
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018510311A Active JP6930742B2 (ja) | 2015-05-04 | 2016-05-04 | コンピュータネットワークにおけるセキュリティを管理する方法及び装置 |
| JP2021127934A Active JP7265797B2 (ja) | 2015-05-04 | 2021-08-04 | コンピュータネットワークにおけるセキュリティを管理する方法及び装置 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021127934A Active JP7265797B2 (ja) | 2015-05-04 | 2021-08-04 | コンピュータネットワークにおけるセキュリティを管理する方法及び装置 |
Country Status (16)
| Country | Link |
|---|---|
| US (2) | US20160330219A1 (ja) |
| EP (2) | EP3985576B1 (ja) |
| JP (2) | JP6930742B2 (ja) |
| KR (1) | KR20180015640A (ja) |
| CN (1) | CN107835982B (ja) |
| AU (3) | AU2016297439B2 (ja) |
| BR (1) | BR112017023869A2 (ja) |
| CA (1) | CA3022864A1 (ja) |
| DK (1) | DK3292471T3 (ja) |
| HK (1) | HK1252440A1 (ja) |
| IL (3) | IL296064B1 (ja) |
| NZ (1) | NZ737959A (ja) |
| PT (1) | PT3292471T (ja) |
| RU (1) | RU2017141988A (ja) |
| WO (1) | WO2017014823A2 (ja) |
| ZA (1) | ZA201708083B (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022074874A1 (ja) * | 2020-10-05 | 2022-04-14 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 情報取引管理システム、方法およびプログラム |
| WO2022239161A1 (ja) * | 2021-05-12 | 2022-11-17 | 日本電信電話株式会社 | 抽出方法、抽出装置及び抽出プログラム |
| WO2022239162A1 (ja) * | 2021-05-12 | 2022-11-17 | 日本電信電話株式会社 | 決定方法、決定装置及び決定プログラム |
| US11514173B2 (en) | 2020-12-02 | 2022-11-29 | International Business Machines Corporation | Predicting software security exploits by monitoring software events |
| WO2023073946A1 (ja) * | 2021-10-29 | 2023-05-04 | 日本電気株式会社 | データ処理装置、データ処理方法、および記録媒体 |
| US11836483B1 (en) | 2022-05-27 | 2023-12-05 | International Business Machines Corporation | Compatible and secure software upgrades |
Families Citing this family (166)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140250048A1 (en) | 2013-03-01 | 2014-09-04 | RedOwl Analytics, Inc. | Analyzing behavior in light of social context |
| WO2014134630A1 (en) | 2013-03-01 | 2014-09-04 | RedOwl Analytics, Inc. | Modeling social behavior |
| US11057399B2 (en) * | 2015-06-26 | 2021-07-06 | Nec Corporation | Information processing device, information processing system, information processing method, and storage medium for intrusion detection by applying machine learning to dissimilarity calculations for intrusion alerts |
| US10462183B2 (en) * | 2015-07-21 | 2019-10-29 | International Business Machines Corporation | File system monitoring and auditing via monitor system having user-configured policies |
| US10198582B2 (en) * | 2015-07-30 | 2019-02-05 | IOR Analytics, LLC | Method and apparatus for data security analysis of data flows |
| US9946853B1 (en) * | 2015-09-17 | 2018-04-17 | Symantec Corporation | Techniques for application code obfuscation |
| US9865156B2 (en) * | 2015-09-23 | 2018-01-09 | Schneider Electric Systems Usa, Inc. | System for contextualizing and resolving alerts |
| US11425169B2 (en) | 2016-03-11 | 2022-08-23 | Netskope, Inc. | Small-footprint endpoint data loss prevention (DLP) |
| US20170374076A1 (en) * | 2016-06-28 | 2017-12-28 | Viewpost Ip Holdings, Llc | Systems and methods for detecting fraudulent system activity |
| US10248788B2 (en) * | 2016-06-28 | 2019-04-02 | International Business Machines Corporation | Detecting harmful applications prior to installation on a user device |
| US10462173B1 (en) * | 2016-06-30 | 2019-10-29 | Fireeye, Inc. | Malware detection verification and enhancement by coordinating endpoint and malware detection systems |
| US11349852B2 (en) * | 2016-08-31 | 2022-05-31 | Wedge Networks Inc. | Apparatus and methods for network-based line-rate detection of unknown malware |
| US10542017B1 (en) * | 2016-10-13 | 2020-01-21 | Symantec Corporation | Systems and methods for personalizing security incident reports |
| WO2018080392A1 (en) * | 2016-10-24 | 2018-05-03 | Certis Cisco Security Pte Ltd | Quantitative unified analytic neural networks |
| US10089475B2 (en) * | 2016-11-25 | 2018-10-02 | Sap Se | Detection of security incidents through simulations |
| WO2018103035A1 (en) * | 2016-12-08 | 2018-06-14 | Zhejiang Dahua Technology Co., Ltd. | Methods and systems for processing log data |
| US10581879B1 (en) * | 2016-12-22 | 2020-03-03 | Fireeye, Inc. | Enhanced malware detection for generated objects |
| JP6756378B2 (ja) * | 2016-12-27 | 2020-09-16 | 日本電気株式会社 | 異常検出方法、システムおよびプログラム |
| US10708282B2 (en) * | 2017-03-27 | 2020-07-07 | International Business Machines Corporation | Unauthorized data access detection based on cyber security images |
| US10320559B2 (en) | 2017-03-30 | 2019-06-11 | Bank Of America Corporation | Network communication encoder using key pattern encryption |
| US10333906B2 (en) | 2017-03-30 | 2019-06-25 | Bank Of America Corporation | Network communication decoder using key pattern encryption |
| US10862916B2 (en) * | 2017-04-03 | 2020-12-08 | Netskope, Inc. | Simulation and visualization of malware spread in a cloud-based collaboration environment |
| US10999296B2 (en) | 2017-05-15 | 2021-05-04 | Forcepoint, LLC | Generating adaptive trust profiles using information derived from similarly situated organizations |
| US11888859B2 (en) | 2017-05-15 | 2024-01-30 | Forcepoint Llc | Associating a security risk persona with a phase of a cyber kill chain |
| US10318729B2 (en) | 2017-07-26 | 2019-06-11 | Forcepoint, LLC | Privacy protection during insider threat monitoring |
| US10635838B1 (en) * | 2017-07-31 | 2020-04-28 | EMC IP Holding Company LLC | Cloud based dead drop for isolated recovery systems |
| US10853349B2 (en) * | 2017-08-09 | 2020-12-01 | Vmware, Inc. | Event based analytics database synchronization |
| US10673831B2 (en) | 2017-08-11 | 2020-06-02 | Mastercard International Incorporated | Systems and methods for automating security controls between computer networks |
| US11687567B2 (en) | 2017-09-21 | 2023-06-27 | Vmware, Inc. | Trigger based analytics database synchronization |
| US10791128B2 (en) * | 2017-09-28 | 2020-09-29 | Microsoft Technology Licensing, Llc | Intrusion detection |
| US10803178B2 (en) | 2017-10-31 | 2020-10-13 | Forcepoint Llc | Genericized data model to perform a security analytics operation |
| US10922405B2 (en) * | 2017-11-01 | 2021-02-16 | Microsoft Technology Licensing, Llc | Data generation for data protection |
| US11074532B1 (en) * | 2017-11-06 | 2021-07-27 | Wells Fargo Bank, N.A. | Monitoring and analyzing risk data and risk dispositions |
| US10824734B2 (en) * | 2017-11-30 | 2020-11-03 | Bank Of America Corporation | System for recurring information security threat assessment |
| US10616261B2 (en) | 2017-11-30 | 2020-04-07 | Bank Of America Corporation | System for information security threat assessment based on data history |
| US10826929B2 (en) | 2017-12-01 | 2020-11-03 | Bank Of America Corporation | Exterior data deployment system using hash generation and confirmation triggering |
| CN108288226A (zh) * | 2018-01-30 | 2018-07-17 | 深圳市富途网络科技有限公司 | 一种股票账户的盈亏分享模块及方法 |
| US10628138B2 (en) * | 2018-02-09 | 2020-04-21 | International Business Machines Corporation | Automated management of undesired code use based on predicted valuation and risk analysis |
| US10609038B2 (en) * | 2018-02-20 | 2020-03-31 | Cyberark Software Ltd. | Discovering and evaluating privileged entities in a network environment |
| US10958681B2 (en) * | 2018-03-23 | 2021-03-23 | Cisco Technology, Inc. | Network security indicator of compromise based on human control classifications |
| US10735471B2 (en) * | 2018-04-09 | 2020-08-04 | Informatica Llc | Method, apparatus, and computer-readable medium for data protection simulation and optimization in a computer network |
| US11314787B2 (en) | 2018-04-18 | 2022-04-26 | Forcepoint, LLC | Temporal resolution of an entity |
| US11544374B2 (en) | 2018-05-07 | 2023-01-03 | Micro Focus Llc | Machine learning-based security threat investigation guidance |
| CN108769005B (zh) * | 2018-05-25 | 2021-06-04 | 深圳市量智信息技术有限公司 | 一种网络空间漏洞归并平台web系统 |
| CN108809984B (zh) * | 2018-06-13 | 2020-09-08 | 广东奥飞数据科技股份有限公司 | 一种基于时域的云计算智能安全系统 |
| WO2020005250A1 (en) * | 2018-06-28 | 2020-01-02 | Google Llc | Detecting zero-day attacks with unknown signatures via mining correlation in behavioral change of entities over time |
| US11755584B2 (en) | 2018-07-12 | 2023-09-12 | Forcepoint Llc | Constructing distributions of interrelated event features |
| US11436512B2 (en) | 2018-07-12 | 2022-09-06 | Forcepoint, LLC | Generating extracted features from an event |
| US11810012B2 (en) | 2018-07-12 | 2023-11-07 | Forcepoint Llc | Identifying event distributions using interrelated events |
| US10949428B2 (en) | 2018-07-12 | 2021-03-16 | Forcepoint, LLC | Constructing event distributions via a streaming scoring operation |
| US11228614B1 (en) * | 2018-07-24 | 2022-01-18 | Amazon Technologies, Inc. | Automated management of security operations centers |
| US11811799B2 (en) | 2018-08-31 | 2023-11-07 | Forcepoint Llc | Identifying security risks using distributions of characteristic features extracted from a plurality of events |
| US11328086B2 (en) * | 2018-09-06 | 2022-05-10 | Microsoft Technology Licensing, Llc | Privacy disclosure |
| CN110891044B (zh) * | 2018-09-11 | 2021-04-27 | 中国科学院信息工程研究所 | 一种网络测试场景中的npc生成及刻画方法 |
| EP3634018A1 (en) * | 2018-10-02 | 2020-04-08 | Siemens Aktiengesellschaft | System for data communication in a network of local devices |
| US10834142B2 (en) * | 2018-10-09 | 2020-11-10 | International Business Machines Corporation | Artificial intelligence assisted rule generation |
| US11025659B2 (en) | 2018-10-23 | 2021-06-01 | Forcepoint, LLC | Security system using pseudonyms to anonymously identify entities and corresponding security risk related behaviors |
| US11171980B2 (en) | 2018-11-02 | 2021-11-09 | Forcepoint Llc | Contagion risk detection, analysis and protection |
| US11399038B2 (en) * | 2018-11-06 | 2022-07-26 | Schlumberger Technology Corporation | Cybersecurity with edge computing |
| US10740930B2 (en) | 2018-11-07 | 2020-08-11 | Love Good Color LLC | Systems and methods for color selection and auditing |
| KR101974091B1 (ko) * | 2018-11-14 | 2019-04-30 | (주)시큐레이어 | 머신러닝 기반 쓰레드풀을 관리하는 방법 및 이를 사용한 컴퓨팅 장치 |
| CN109656531A (zh) * | 2018-12-11 | 2019-04-19 | 北京像素软件科技股份有限公司 | 游戏引导方法及装置 |
| US11601444B1 (en) * | 2018-12-31 | 2023-03-07 | Fireeye Security Holdings Us Llc | Automated system for triage of customer issues |
| JP7376593B2 (ja) * | 2018-12-31 | 2023-11-08 | インテル・コーポレーション | 人工知能を利用した安全保障システム |
| US11487873B2 (en) * | 2019-01-22 | 2022-11-01 | EMC IP Holding Company LLC | Risk score generation utilizing monitored behavior and predicted impact of compromise |
| US11115278B2 (en) * | 2019-02-25 | 2021-09-07 | Cisco Technology, Inc. | Learning by inference from brownfield deployments |
| JP7282195B2 (ja) * | 2019-03-05 | 2023-05-26 | シーメンス インダストリー ソフトウェア インコーポレイテッド | 組み込みソフトウェアアプリケーションのための機械学習ベースの異常検出 |
| EP3712721A1 (de) * | 2019-03-19 | 2020-09-23 | Siemens Aktiengesellschaft | Sicherheitsrelevante diagnosemeldungen |
| US20200314126A1 (en) * | 2019-03-27 | 2020-10-01 | Mcafee, Llc | Persona-based contextual security |
| US11201818B2 (en) * | 2019-04-04 | 2021-12-14 | Cisco Technology, Inc. | System and method of providing policy selection in a network |
| CN111913743B (zh) * | 2019-05-09 | 2023-04-14 | 杭州海康威视数字技术股份有限公司 | 数据处理方法及装置 |
| US11171971B2 (en) * | 2019-05-30 | 2021-11-09 | Verizon Patent And Licensing Inc. | Shadow profile and environment for mobile security |
| US11308211B2 (en) | 2019-06-18 | 2022-04-19 | International Business Machines Corporation | Security incident disposition predictions based on cognitive evaluation of security knowledge graphs |
| US11232384B1 (en) * | 2019-07-19 | 2022-01-25 | The Boston Consulting Group, Inc. | Methods and systems for determining cyber related projects to implement |
| US11218503B2 (en) * | 2019-07-19 | 2022-01-04 | Jpmorgan Chase Bank, N.A. | System and method for implementing a vulnerability management module |
| US20210034602A1 (en) * | 2019-07-30 | 2021-02-04 | International Business Machines Corporation | Identification, ranking and protection of data security vulnerabilities |
| US11086991B2 (en) | 2019-08-07 | 2021-08-10 | Advanced New Technologies Co., Ltd. | Method and system for active risk control based on intelligent interaction |
| US11340760B2 (en) * | 2019-09-06 | 2022-05-24 | Dropbox, Inc. | Generating a customized organizational structure for uploading content to a cloud-based storage system |
| US11477016B1 (en) | 2019-09-10 | 2022-10-18 | Wells Fargo Bank, N.A. | Systems and methods for post-quantum cryptography optimization |
| US11343270B1 (en) | 2019-09-10 | 2022-05-24 | Wells Fargo Bank, N.A. | Systems and methods for post-quantum cryptography optimization |
| US11240014B1 (en) | 2019-09-10 | 2022-02-01 | Wells Fargo Bank, N.A. | Systems and methods for post-quantum cryptography optimization |
| US11626983B1 (en) | 2019-09-10 | 2023-04-11 | Wells Fargo Bank, N.A. | Systems and methods for post-quantum cryptography optimization |
| CN116909655A (zh) * | 2019-09-30 | 2023-10-20 | 杭州海康机器人股份有限公司 | 数据处理方法及装置 |
| CN110673873B (zh) * | 2019-10-09 | 2022-11-01 | 成都安恒信息技术有限公司 | 一种基于审计的软件发布方法 |
| US11455294B2 (en) * | 2019-10-18 | 2022-09-27 | Sap Se | Information lifecycle management notification framework |
| US11526887B2 (en) | 2019-10-23 | 2022-12-13 | Optum, Inc. | Transaction authentication using multiple biometric inputs |
| US11068253B2 (en) * | 2019-10-25 | 2021-07-20 | Hewlett Packard Enterprise Development Lp | Software upgrade and downgrade using ghost entries |
| TWI812329B (zh) * | 2019-11-20 | 2023-08-11 | 美商奈米創尼克影像公司 | 用於判定網路攻擊及產生警告之製造系統及電腦實施方法 |
| US20210152555A1 (en) * | 2019-11-20 | 2021-05-20 | Royal Bank Of Canada | System and method for unauthorized activity detection |
| US11055652B1 (en) | 2019-11-22 | 2021-07-06 | Anvilogic, Inc. | System for sharing detection logic through a cloud-based exchange platform |
| US11399041B1 (en) | 2019-11-22 | 2022-07-26 | Anvilogic, Inc. | System for determining rules for detecting security threats |
| KR20210156309A (ko) * | 2019-11-27 | 2021-12-24 | (주)나무소프트 | 랜섬웨어 또는 피싱 공격 차단 방법 및 시스템 |
| FR3104761A1 (fr) * | 2019-12-12 | 2021-06-18 | Orange | Procédé de surveillance de données transitant par un équipement utilisateur |
| US20210182381A1 (en) * | 2019-12-12 | 2021-06-17 | Proofpoint, Inc. | Dynamic Message Analysis Platform for Enhanced Enterprise Security |
| US11645603B1 (en) * | 2019-12-17 | 2023-05-09 | Wells Fargo Bank, N.A. | Computer system for automatic alert assessment |
| KR102118588B1 (ko) * | 2019-12-19 | 2020-06-03 | 주식회사 유니온플레이스 | 전용 인공 지능 시스템 |
| US11799736B2 (en) * | 2019-12-27 | 2023-10-24 | Digital Guardian Llc | Systems and methods for investigating potential incidents across entities in networked environments |
| US11778048B2 (en) | 2020-01-08 | 2023-10-03 | Bank Of America Corporation | Automatically executing responsive actions upon detecting an incomplete account lineage chain |
| US11245704B2 (en) | 2020-01-08 | 2022-02-08 | Bank Of America Corporation | Automatically executing responsive actions based on a verification of an account lineage chain |
| US11570197B2 (en) | 2020-01-22 | 2023-01-31 | Forcepoint Llc | Human-centric risk modeling framework |
| US20210226969A1 (en) * | 2020-01-22 | 2021-07-22 | Forcepoint, LLC | Determining an Abstraction Level for Contents of an Entity Behavior Catalog |
| CN111291382B (zh) * | 2020-01-22 | 2022-04-08 | 上海电子信息职业技术学院 | 漏洞扫描系统 |
| US11856022B2 (en) | 2020-01-27 | 2023-12-26 | Netskope, Inc. | Metadata-based detection and prevention of phishing attacks |
| US11533175B1 (en) | 2020-01-30 | 2022-12-20 | Wells Fargo Bank, N.A. | Systems and methods for post-quantum cryptography on a smartcard |
| US11838410B1 (en) | 2020-01-30 | 2023-12-05 | Wells Fargo Bank, N.A. | Systems and methods for post-quantum cryptography optimization |
| US11449799B1 (en) | 2020-01-30 | 2022-09-20 | Wells Fargo Bank, N.A. | Systems and methods for post-quantum cryptography optimization |
| US11322050B1 (en) * | 2020-01-30 | 2022-05-03 | Wells Fargo Bank, N.A. | Systems and methods for post-quantum cryptography optimization |
| US11630901B2 (en) | 2020-02-03 | 2023-04-18 | Forcepoint Llc | External trigger induced behavioral analyses |
| EP4101125A4 (en) * | 2020-02-07 | 2024-03-13 | Mastercard Tech Canada Ulc | AUTOMATED WEB TRAFFIC ANOMALY DETECTION |
| KR102222080B1 (ko) * | 2020-02-24 | 2021-03-04 | 한국전자통신연구원 | 양자 개체 인증 장치 및 방법 |
| US11080109B1 (en) | 2020-02-27 | 2021-08-03 | Forcepoint Llc | Dynamically reweighting distributions of event observations |
| US11836265B2 (en) | 2020-03-02 | 2023-12-05 | Forcepoint Llc | Type-dependent event deduplication |
| US11429697B2 (en) | 2020-03-02 | 2022-08-30 | Forcepoint, LLC | Eventually consistent entity resolution |
| KR102312718B1 (ko) * | 2020-03-16 | 2021-10-14 | 주식회사 티앤디소프트 | 클라우드 서비스 보안 시스템 |
| US11892924B2 (en) * | 2020-03-20 | 2024-02-06 | UncommonX Inc. | Generation of an issue detection evaluation regarding a system aspect of a system |
| US11080032B1 (en) | 2020-03-31 | 2021-08-03 | Forcepoint Llc | Containerized infrastructure for deployment of microservices |
| US11290483B1 (en) | 2020-04-07 | 2022-03-29 | Anvilogic, Inc. | Platform for developing high efficacy detection content |
| US11568136B2 (en) | 2020-04-15 | 2023-01-31 | Forcepoint Llc | Automatically constructing lexicons from unlabeled datasets |
| US11757919B2 (en) | 2020-04-20 | 2023-09-12 | Kovrr Risk Modeling Ltd. | System and method for catastrophic event modeling |
| US11516206B2 (en) | 2020-05-01 | 2022-11-29 | Forcepoint Llc | Cybersecurity system having digital certificate reputation system |
| US11544390B2 (en) | 2020-05-05 | 2023-01-03 | Forcepoint Llc | Method, system, and apparatus for probabilistic identification of encrypted files |
| US11895158B2 (en) | 2020-05-19 | 2024-02-06 | Forcepoint Llc | Cybersecurity system having security policy visualization |
| US11368377B2 (en) * | 2020-05-21 | 2022-06-21 | Accenture Global Solutions Limited | Closed loop monitoring based privileged access control |
| CN111598268B (zh) * | 2020-05-22 | 2023-07-07 | 杭州安恒信息技术股份有限公司 | 一种电厂设备检测方法、系统、设备及计算机存储介质 |
| US20210383295A1 (en) * | 2020-06-05 | 2021-12-09 | Beijing Baidu Netcom Science And Technology Co., Ltd. | Method and apparatus for stress testing, electronic device and computer readable medium |
| RU2762528C1 (ru) * | 2020-06-19 | 2021-12-21 | Акционерное общество "Лаборатория Касперского" | Способ обработки событий информационной безопасности перед передачей на анализ |
| CN111813681B (zh) * | 2020-07-13 | 2022-09-09 | 兴业证券股份有限公司 | 一种动态用例优先级排序方法和装置 |
| CN111813683B (zh) * | 2020-07-14 | 2023-10-03 | 深圳前海移联科技有限公司 | 一种通用的软件测试环境自动同步方法 |
| US11483351B2 (en) * | 2020-08-26 | 2022-10-25 | Cisco Technology, Inc. | Securing network resources from known threats |
| US11704387B2 (en) | 2020-08-28 | 2023-07-18 | Forcepoint Llc | Method and system for fuzzy matching and alias matching for streaming data sets |
| US11736926B2 (en) * | 2020-09-21 | 2023-08-22 | Hewlett Packard Enterprise Development Lp | Handling an event message in a communications system |
| US11507962B2 (en) * | 2020-09-22 | 2022-11-22 | Ebay Inc. | Counterfeit item detection system |
| KR102260822B1 (ko) | 2020-10-22 | 2021-06-07 | (주)테이텀 | 클라우드 보안규정 준수여부 진단 및 관리 장치 |
| WO2022086549A1 (en) * | 2020-10-23 | 2022-04-28 | Hewlett-Packard Development Company, L.P. | Integration tests using mocked results from recorded unit test scenarios |
| US11190589B1 (en) | 2020-10-27 | 2021-11-30 | Forcepoint, LLC | System and method for efficient fingerprinting in cloud multitenant data loss prevention |
| CN112270136B (zh) * | 2020-11-20 | 2022-04-01 | 浙江大学 | 一种基于功能域的终端设备安全威胁模型的构建方法 |
| US20220191234A1 (en) * | 2020-12-15 | 2022-06-16 | Mastercard Technologies Canada ULC | Enterprise server and method with universal bypass mechanism for automatically testing real-time computer security services |
| CN112597497B (zh) * | 2020-12-25 | 2021-12-17 | 军工保密资格审查认证中心 | 基于多渠道独立交互的安全数据交换装置及方法 |
| CN112380542B (zh) * | 2021-01-18 | 2021-04-27 | 杭州弈鸽科技有限责任公司 | 基于错误场景生成的物联网固件漏洞挖掘方法及系统 |
| US11675584B1 (en) * | 2021-03-30 | 2023-06-13 | Amazon Technologies, Inc. | Visualizing dependent relationships in computer program analysis trace elements |
| US20230010019A1 (en) * | 2021-07-08 | 2023-01-12 | International Business Machines Corporation | System and method to optimize processing pipeline for key performance indicators |
| US11799768B1 (en) * | 2021-09-09 | 2023-10-24 | Amazon Technologies, Inc. | Lightweight reactive workflows through internal event generation and matching |
| CN113806740B (zh) * | 2021-09-30 | 2024-04-16 | 上海易念信息科技有限公司 | 一种钓鱼仿真测试方法、系统及电子设备 |
| US11366963B1 (en) * | 2021-10-06 | 2022-06-21 | Capital One Services, Llc | Systems and methods for using machine learning models to organize and select modular components for user interface templates |
| US11782784B2 (en) | 2021-10-25 | 2023-10-10 | Capital One Services, Llc | Remediation action system |
| US11941115B2 (en) | 2021-11-29 | 2024-03-26 | Bank Of America Corporation | Automatic vulnerability detection based on clustering of applications with similar structures and data flows |
| US11928221B2 (en) | 2021-11-29 | 2024-03-12 | Bank Of America Corporation | Source code clustering for automatically identifying false positives generated through static application security testing |
| WO2023128976A1 (en) * | 2021-12-29 | 2023-07-06 | Diattack Yazilim Bilisim Siber Guvenlik Ve Danismanlik Anonim Sirketi | A network protection system |
| KR102408247B1 (ko) * | 2021-12-30 | 2022-06-13 | (주)휴네시온 | 의료기기 네트워크 보안 장치 및 방법 |
| CN114726601B (zh) * | 2022-03-28 | 2023-06-02 | 北京计算机技术及应用研究所 | 一种基于图结构的信息安全仿真建模与验证评估方法 |
| CN114553596B (zh) * | 2022-04-21 | 2022-07-19 | 国网浙江省电力有限公司杭州供电公司 | 适用于网络安全的多维度安全情况实时展现方法及系统 |
| CN115238275B (zh) * | 2022-06-15 | 2023-10-24 | 徐州恒佳电子科技有限公司 | 一种基于安全态势感知的勒索软件检测方法及系统 |
| CN115134156B (zh) * | 2022-06-29 | 2024-01-30 | 中国电信股份有限公司 | 安全等级确定方法、装置、电子设备和可读存储介质 |
| US11658881B1 (en) | 2022-06-30 | 2023-05-23 | Bank Of America Corporation | System and method for predicting anomalous requests and preventing anomalous interactions in a network |
| CN115065551B (zh) * | 2022-07-27 | 2022-10-28 | 军事科学院系统工程研究院网络信息研究所 | 一种伴生式网络构建与共同演化方法 |
| CN115051879B (zh) * | 2022-08-17 | 2022-11-22 | 珠海市鸿瑞信息技术股份有限公司 | 基于机器学习的网络安全态势感知系统的数据分析系统 |
| CN115249149A (zh) * | 2022-09-21 | 2022-10-28 | 中国电子信息产业集团有限公司 | 数据流通系统及其安全管控系统和安全管控方法 |
| CN115470504B (zh) * | 2022-09-25 | 2023-07-14 | 陕西合友网络科技有限公司 | 结合人工智能的数据风险分析方法及服务器 |
| CN115905023A (zh) * | 2022-12-31 | 2023-04-04 | 成都易迪森科技有限公司 | 集成测试平台、测试方法和测试终端、存储介质及设备 |
| CN116894650A (zh) * | 2023-06-05 | 2023-10-17 | 云南大学 | 具有隐私保护的电子商务环境下多组织协同过程构建方法 |
| KR102584141B1 (ko) | 2023-06-22 | 2023-10-05 | 주식회사 이글루코퍼레이션 | 디지털 서비스 기반의 네트워크 보안 위협 대응 서버, 방법 및 프로그램 |
| KR102584160B1 (ko) | 2023-06-28 | 2023-10-05 | 주식회사 이글루코퍼레이션 | 마이터 어택 프레임워크를 활용한 네트워크 보안 선제적자동 대응 서버, 방법 및 프로그램 |
| CN117171810A (zh) * | 2023-09-04 | 2023-12-05 | 北京中电飞华通信有限公司 | 一种用于产业园区的低碳能源数据接入系统及方法 |
| CN116992460B (zh) * | 2023-09-25 | 2024-02-02 | 成都市蓉通数智信息技术有限公司 | 一种基于智能协同的软件运营管理系统 |
| CN117171176B (zh) * | 2023-11-03 | 2024-02-02 | 北京格蒂智能科技有限公司 | 一种基于人工智能的用电大数据自升级监管平台 |
| CN117749448B (zh) * | 2023-12-08 | 2024-05-17 | 广州市融展信息科技有限公司 | 一种网络潜在风险智能预警方法及装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009037545A (ja) * | 2007-08-03 | 2009-02-19 | National Institute Of Information & Communication Technology | マルウェアの類似性検査方法及び装置 |
| US20110023115A1 (en) * | 2009-07-21 | 2011-01-27 | Wright Clifford C | Host intrusion prevention system using software and user behavior analysis |
| JP2012533231A (ja) * | 2009-07-09 | 2012-12-20 | シーパケット ネットワークス, インコーポレイテッド | ネットワークトラフィックの転送、分類および監視を向上させる装置および方法 |
| US20130117853A1 (en) * | 2009-06-25 | 2013-05-09 | Check Point Software Technologies Ltd. | Methods for detecting malicious programs using a multilayered heuristics approach |
| JP2013533531A (ja) * | 2010-05-20 | 2013-08-22 | アクセンチュア グローバル サービスィズ リミテッド | 悪意のある攻撃の検出および分析 |
| JP2014515538A (ja) * | 2011-06-01 | 2014-06-30 | マカフィー, インコーポレイテッド | 署名を利用せずに悪意プロセスを検出するシステムおよび方法 |
| WO2014122662A1 (en) * | 2013-02-10 | 2014-08-14 | Cyber Active Security Ltd. | Method and product for providing a predictive security product and evaluating existing security products |
Family Cites Families (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001084775A2 (en) | 2000-04-28 | 2001-11-08 | Internet Security Systems, Inc. | System and method for managing security events on a network |
| US8010469B2 (en) * | 2000-09-25 | 2011-08-30 | Crossbeam Systems, Inc. | Systems and methods for processing data flows |
| US20110219035A1 (en) * | 2000-09-25 | 2011-09-08 | Yevgeny Korsunsky | Database security via data flow processing |
| US20070192863A1 (en) * | 2005-07-01 | 2007-08-16 | Harsh Kapoor | Systems and methods for processing data flows |
| US20030084322A1 (en) * | 2001-10-31 | 2003-05-01 | Schertz Richard L. | System and method of an OS-integrated intrusion detection and anti-virus system |
| US8132250B2 (en) * | 2002-03-08 | 2012-03-06 | Mcafee, Inc. | Message profiling systems and methods |
| GB2387681A (en) | 2002-04-18 | 2003-10-22 | Isis Innovation | Intrusion detection system with inductive logic means for suggesting new general rules |
| US7017186B2 (en) * | 2002-07-30 | 2006-03-21 | Steelcloud, Inc. | Intrusion detection system using self-organizing clusters |
| US7761923B2 (en) * | 2004-03-01 | 2010-07-20 | Invensys Systems, Inc. | Process control methods and apparatus for intrusion detection, protection and network hardening |
| US7424742B1 (en) * | 2004-10-27 | 2008-09-09 | Arcsight, Inc. | Dynamic security events and event channels in a network security system |
| US20060191007A1 (en) | 2005-02-24 | 2006-08-24 | Sanjiva Thielamay | Security force automation |
| US8209759B2 (en) | 2005-07-18 | 2012-06-26 | Q1 Labs, Inc. | Security incident manager |
| US8566269B2 (en) * | 2006-08-01 | 2013-10-22 | George Mason Intellectual Properties, Inc. | Interactive analysis of attack graphs using relational queries |
| US9015301B2 (en) * | 2007-01-05 | 2015-04-21 | Digital Doors, Inc. | Information infrastructure management tools with extractor, secure storage, content analysis and classification and method therefor |
| US9489647B2 (en) * | 2008-06-19 | 2016-11-08 | Csc Agility Platform, Inc. | System and method for a cloud computing abstraction with self-service portal for publishing resources |
| US11461785B2 (en) * | 2008-07-10 | 2022-10-04 | Ron M. Redlich | System and method to identify, classify and monetize information as an intangible asset and a production model based thereon |
| US8583574B2 (en) * | 2008-08-06 | 2013-11-12 | Delfigo Corporation | Method of and apparatus for combining artificial intelligence (AI) concepts with event-driven security architectures and ideas |
| US8135655B2 (en) * | 2008-10-02 | 2012-03-13 | Global Healthcare Exchange, Llc | Dynamic intelligent objects |
| US8881288B1 (en) * | 2008-10-28 | 2014-11-04 | Intelligent Automation, Inc. | Graphical models for cyber security analysis in enterprise networks |
| US9177144B2 (en) | 2008-10-30 | 2015-11-03 | Mcafee, Inc. | Structural recognition of malicious code patterns |
| US8220054B1 (en) * | 2008-10-31 | 2012-07-10 | Trend Micro, Inc. | Process exception list updating in a malware behavior monitoring program |
| CN101854340B (zh) * | 2009-04-03 | 2015-04-01 | 瞻博网络公司 | 基于访问控制信息进行的基于行为的通信剖析 |
| US20110106807A1 (en) * | 2009-10-30 | 2011-05-05 | Janya, Inc | Systems and methods for information integration through context-based entity disambiguation |
| US8832425B2 (en) * | 2009-12-01 | 2014-09-09 | Information Assurance Specialists, Inc. | Wide area network access management computer |
| US10574630B2 (en) * | 2011-02-15 | 2020-02-25 | Webroot Inc. | Methods and apparatus for malware threat research |
| EP2709029A4 (en) * | 2011-05-12 | 2014-10-29 | Nec Corp | FRAUD RECOGNITION SYSTEM, FRAUD DETECTION DEVICE, FRAUD DETECTION METHOD AND NON-VOLATILE MEDIUM |
| US8457996B2 (en) | 2011-05-27 | 2013-06-04 | Sap Ag | Model-based business continuity management |
| US8825565B2 (en) * | 2011-08-25 | 2014-09-02 | Numenta, Inc. | Assessing performance in a spatial and temporal memory system |
| US8504570B2 (en) * | 2011-08-25 | 2013-08-06 | Numenta, Inc. | Automated search for detecting patterns and sequences in data using a spatial and temporal memory system |
| US8776241B2 (en) | 2011-08-29 | 2014-07-08 | Kaspersky Lab Zao | Automatic analysis of security related incidents in computer networks |
| US9292690B2 (en) * | 2011-12-12 | 2016-03-22 | International Business Machines Corporation | Anomaly, association and clustering detection |
| US9063710B2 (en) * | 2013-06-21 | 2015-06-23 | Sap Se | Parallel programming of in memory database utilizing extensible skeletons |
| US9306962B1 (en) * | 2013-07-25 | 2016-04-05 | Niddel Corp | Systems and methods for classifying malicious network events |
| CN103516727A (zh) * | 2013-09-30 | 2014-01-15 | 重庆电子工程职业学院 | 网络主动防御系统及其更新方法 |
| US20150264073A1 (en) * | 2014-03-11 | 2015-09-17 | Vectra Networks, Inc. | System and method for detecting intrusions through real-time processing of traffic with extensive historical perspective |
| KR101589649B1 (ko) * | 2015-01-19 | 2016-01-28 | 한국인터넷진흥원 | 대량의 악성 코드 분석 시스템 및 방법 |
-
2016
- 2016-05-04 JP JP2018510311A patent/JP6930742B2/ja active Active
- 2016-05-04 DK DK16828168.1T patent/DK3292471T3/da active
- 2016-05-04 RU RU2017141988A patent/RU2017141988A/ru not_active Application Discontinuation
- 2016-05-04 US US15/145,800 patent/US20160330219A1/en not_active Abandoned
- 2016-05-04 CA CA3022864A patent/CA3022864A1/en active Pending
- 2016-05-04 NZ NZ737959A patent/NZ737959A/en unknown
- 2016-05-04 WO PCT/US2016/030660 patent/WO2017014823A2/en active Application Filing
- 2016-05-04 CN CN201680039621.8A patent/CN107835982B/zh active Active
- 2016-05-04 PT PT168281681T patent/PT3292471T/pt unknown
- 2016-05-04 BR BR112017023869A patent/BR112017023869A2/pt not_active Application Discontinuation
- 2016-05-04 KR KR1020177034708A patent/KR20180015640A/ko not_active Application Discontinuation
- 2016-05-04 EP EP21208409.9A patent/EP3985576B1/en active Active
- 2016-05-04 IL IL296064A patent/IL296064B1/en unknown
- 2016-05-04 EP EP16828168.1A patent/EP3292471B1/en active Active
- 2016-05-04 AU AU2016297439A patent/AU2016297439B2/en active Active
-
2017
- 2017-11-01 IL IL255376A patent/IL255376B/en unknown
- 2017-11-28 ZA ZA2017/08083A patent/ZA201708083B/en unknown
-
2018
- 2018-09-12 HK HK18111741.9A patent/HK1252440A1/zh unknown
-
2021
- 2021-07-19 US US17/379,042 patent/US20220014547A1/en active Pending
- 2021-08-04 JP JP2021127934A patent/JP7265797B2/ja active Active
- 2021-10-21 AU AU2021254601A patent/AU2021254601B2/en active Active
- 2021-12-27 IL IL289426A patent/IL289426B2/en unknown
-
2023
- 2023-11-13 AU AU2023263576A patent/AU2023263576A1/en active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009037545A (ja) * | 2007-08-03 | 2009-02-19 | National Institute Of Information & Communication Technology | マルウェアの類似性検査方法及び装置 |
| US20130117853A1 (en) * | 2009-06-25 | 2013-05-09 | Check Point Software Technologies Ltd. | Methods for detecting malicious programs using a multilayered heuristics approach |
| JP2012533231A (ja) * | 2009-07-09 | 2012-12-20 | シーパケット ネットワークス, インコーポレイテッド | ネットワークトラフィックの転送、分類および監視を向上させる装置および方法 |
| US20110023115A1 (en) * | 2009-07-21 | 2011-01-27 | Wright Clifford C | Host intrusion prevention system using software and user behavior analysis |
| JP2013533531A (ja) * | 2010-05-20 | 2013-08-22 | アクセンチュア グローバル サービスィズ リミテッド | 悪意のある攻撃の検出および分析 |
| JP2014515538A (ja) * | 2011-06-01 | 2014-06-30 | マカフィー, インコーポレイテッド | 署名を利用せずに悪意プロセスを検出するシステムおよび方法 |
| WO2014122662A1 (en) * | 2013-02-10 | 2014-08-14 | Cyber Active Security Ltd. | Method and product for providing a predictive security product and evaluating existing security products |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022074874A1 (ja) * | 2020-10-05 | 2022-04-14 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 情報取引管理システム、方法およびプログラム |
| JP2022060822A (ja) * | 2020-10-05 | 2022-04-15 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 情報取引管理システム、方法およびプログラム |
| US11514173B2 (en) | 2020-12-02 | 2022-11-29 | International Business Machines Corporation | Predicting software security exploits by monitoring software events |
| WO2022239161A1 (ja) * | 2021-05-12 | 2022-11-17 | 日本電信電話株式会社 | 抽出方法、抽出装置及び抽出プログラム |
| WO2022239162A1 (ja) * | 2021-05-12 | 2022-11-17 | 日本電信電話株式会社 | 決定方法、決定装置及び決定プログラム |
| WO2023073946A1 (ja) * | 2021-10-29 | 2023-05-04 | 日本電気株式会社 | データ処理装置、データ処理方法、および記録媒体 |
| US11836483B1 (en) | 2022-05-27 | 2023-12-05 | International Business Machines Corporation | Compatible and secure software upgrades |
Also Published As
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7265797B2 (ja) | コンピュータネットワークにおけるセキュリティを管理する方法及び装置 | |
| Islam et al. | A multi-vocal review of security orchestration | |
| US20210273961A1 (en) | Apparatus and method for a cyber-threat defense system | |
| US9930061B2 (en) | System and method for cyber attacks analysis and decision support | |
| Ruefle et al. | Computer security incident response team development and evolution | |
| Franklin et al. | Toward a visualization-supported workflow for cyber alert management using threat models and human-centered design | |
| Kalhoro et al. | Extracting key factors of cyber hygiene behaviour among software engineers: A systematic literature review | |
| CN113361933A (zh) | 一种跨企业协同的集中管控中心 | |
| Miloslavskaya | Information security management in SOCs and SICs | |
| Kaur et al. | An introduction to security operations | |
| Rawal et al. | Cybersecurity and Identity Access Management | |
| Kersten et al. | 'Give Me Structure': Synthesis and Evaluation of a (Network) Threat Analysis Process Supporting Tier 1 Investigations in a Security Operation Center | |
| Howes et al. | Enabling trustworthy spaces via orchestrated analytical security | |
| Raman et al. | HoneyNetCloud Investigation Model, A Preventive Process Model for IoT Forensics. | |
| Miloslavskaya et al. | Information visualisation in information security management for enterprises’s information infrastructure | |
| Ghauri | Digital Security Versus Private Information | |
| Ahmed | Data-driven framework and experimental validation for security monitoring of networked systems | |
| Jadhav et al. | in Data Privacy and Cybersecurity for Human Resource Systems | |
| Osorno et al. | Coordinated cybersecurity incident handling | |
| Vishnu | Analysis of Current Machine Learning and AI Techniques to Perform Automated Hacking | |
| Vlachos | BRIDGING THE GAP IN VULNERABILITY MANAGEMENT: A tool for centralized cyber threat intelligence gathering and analysis | |
| Udayakumar | Design and Deploy a Respond Solution | |
| Astanehparast | Ontologies for Insider Surveillance Indicators Rendering | |
| Mateus | Handling Cybersecurity Related Incidents in the Security Operation Center of the Polytechnic of Leiria | |
| Vignoli | Optimization of the Security Incident Management plan of NNIT A/s via the Integration of the Vulnerability Reports Creator |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190507 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200804 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20201029 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20201210 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210203 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210323 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210622 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210706 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210804 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6930742 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |