JP2020509511A - 悪意のあるコンピューティングイベントを検出するためのシステム及び方法 - Google Patents

悪意のあるコンピューティングイベントを検出するためのシステム及び方法 Download PDF

Info

Publication number
JP2020509511A
JP2020509511A JP2019562252A JP2019562252A JP2020509511A JP 2020509511 A JP2020509511 A JP 2020509511A JP 2019562252 A JP2019562252 A JP 2019562252A JP 2019562252 A JP2019562252 A JP 2019562252A JP 2020509511 A JP2020509511 A JP 2020509511A
Authority
JP
Japan
Prior art keywords
computing
propensity score
malicious
event
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019562252A
Other languages
English (en)
Other versions
JP6756933B2 (ja
Inventor
ヴィルジョーン・ピーター
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Gen Digital Inc
Original Assignee
Symantec Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Symantec Corp filed Critical Symantec Corp
Publication of JP2020509511A publication Critical patent/JP2020509511A/ja
Application granted granted Critical
Publication of JP6756933B2 publication Critical patent/JP6756933B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

悪意のあるコンピューティングイベントを検出するための開示されるコンピュータ実装方法は、(i)企業内で検出された複数のコンピューティングイベントについて、現在利用可能なセキュリティ情報に基づいて各コンピューティングイベントの初期傾向スコアを判定することと、(ii)各コンピューティングイベントの初期傾向スコアを閾値傾向スコアと比較することによって、悪意のある又は悪意のないものとして各コンピューティングイベントの初期分類を判定することと、(iii)各コンピューティングイベントについて、(a)新しいセキュリティ情報に基づいて更新された傾向スコアと、(b)更新された分類と、を判定することと、(iv)各コンピューティングイベントの初期分類がコンピューティングイベントの更新された分類と一致する頻度を判定することによって、閾値傾向スコアが悪意のあるコンピューティングイベントを正しく識別する程度を計算することと、(v)閾値傾向スコアが悪意のあるコンピューティングイベントを正しく識別する程度に基づいて閾値傾向スコアを調整することと、を含み得る。

Description

(関連出願の相互参照)
本願は、代理人整理番号007160.1272U1によって識別され、「Systems and Methods for Evaluating Security Services」と題された、2017年2月14日出願の、Pieter Viljoenによる米国特許出願第15/432,905号の全体を参照により組み込む。
個人及び組織は、所有するコンピューティングデバイスを異常な活動及び/又は望ましくない活動に対して保護するために、様々なソフトウェアセキュリティシステムを頻繁に使用する。そのようなセキュリティシステムは、エンドポイントデバイス上で潜在的に悪意のあるコンピューティングイベント又は挙動を検出し、次いで、これらのインシデントが不審さの一定の閾値又は程度を満たすかどうかを判定し得る。この閾値を満たすコンピューティングイベントは悪意のあるものとして分類され得、セキュリティシステムは、これらのイベントに関与するファイル又はオブジェクトを、エンドポイントデバイスを害することからブロック、削除、又は他の方法で防止し得る。
残念ながら、従来のセキュリティサービスは、企業内の悪意のあるコンピューティングイベントを正確に又は効率的に識別することができない場合がある。例えば、ファイルが企業で最初に見られるときに、従来のアンチマルウェア技術がそのファイルの評判の知識を欠いていると、アンチマルウェア技術は、ファイルの評判を示す情報が後の時点で利用可能になるとしても、そのファイルに関連したセキュリティ脅威を検出し損なう恐れがある。加えて、従来のセキュリティシステムは、顧客がマルウェア検出プロセスを自身の企業のニーズに合わせて調整することを許可しない場合がある。例えば、従来のセキュリティシステムは、個々の企業によって要求又は必要とされるセキュリティサービスに関係なく、悪意のあるコンピューティングイベントを分類する標準又はデフォルトのメトリックを複数の企業にわたって実装し得る。したがって、本開示は、悪意のあるコンピューティングイベントを検出するためのシステム及び方法に対するニーズを特定し、それに対処する。
より詳細に後述するように、本開示は、悪意のあるコンピューティングイベントを検出するための様々なシステム及び方法を説明する。一実施例では、悪意のあるコンピューティングイベントを検出するための方法は、(i)企業内で検出された複数のコンピューティングイベントについて、現在利用可能なセキュリティ情報に基づいてコンピューティングイベントが悪意のあるものである可能性を示す各コンピューティングイベントの初期傾向スコアを判定することと、(ii)各コンピューティングイベントの初期傾向スコアを、悪意のあるコンピューティングイベントを示す最小傾向スコアを表す閾値傾向スコアと比較することによって、悪意のある又は悪意のないものとして各コンピューティングイベントの初期分類を判定することと、(iii)コンピューティングイベントに対する初期傾向スコアが判定された後に、各コンピューティングイベントについて、(a)初期傾向スコアが判定されたときに利用できなかった新しいセキュリティ情報に基づいて更新された傾向スコアと、(b)更新された傾向スコアを閾値傾向スコアと比較することによって更新された分類と、を判定することと、(iv)各コンピューティングイベントの初期分類がコンピューティングイベントの更新された分類と一致する頻度を判定することによって、閾値傾向スコアが悪意のあるコンピューティングイベントを正しく識別する程度を計算することと、(v)閾値傾向スコアが悪意のあるコンピューティングイベントを正しく識別する程度に基づいて閾値傾向スコアを調整することによって、企業をセキュリティ脅威から保護することと、を含み得る。
一部の実施例では、コンピューティングイベントは、企業内のエンドポイントデバイス上にファイルをダウンロードする試みを含み得る。それに加えて、又は代替的に、コンピューティングイベントは、企業内から外部エンティティに機密情報を配信する試み、及び/又は外部エンティティによる機密情報にアクセスする試みを含み得る。
一部の実施形態では、方法は、バックエンドセキュリティサーバにおいて、企業内の少なくとも1つのエンドポイントデバイスにインストールされたセキュリティエージェントから少なくとも1つのコンピューティングイベントを受信することを更に含み得る。このような実施形態では、方法はまた、コンピューティングイベントが検出された時点でのエンドポイントデバイスの構成の少なくとも一部分を受信することも含み得る。それに加えて、これらの実施形態では、コンピューティングイベントの更新された傾向スコアを判定することは、新しいセキュリティ情報を使用してエンドポイントデバイスの構成を再分析することを含み得る。
一部の実施例では、各コンピューティングイベントの初期分類がコンピューティングイベントの更新された分類と一致する頻度を判定することは、悪意のあるものとしての初期分類と悪意のないものとしての更新された分類とを有するコンピューティングイベントの割合を計算することによって、閾値傾向スコアにより生成された偽陽性率を判定することを含み得る。それに加えて、又は代替的に、頻度を判定することは、悪意のないものとしての初期分類と悪意のあるものとしての更新された分類とを有するコンピューティングイベントの割合を計算することによって、閾値傾向スコアにより生成された偽陰性率を判定することを含み得る。これらの実施例では、閾値傾向スコアが悪意のあるコンピューティングイベントを正しく識別する程度を計算することは、偽陰性率に対する偽陽性率の比を計算することを含み得る。
これらの実施例では、方法は、企業内に実装されたセキュリティサービスの所望の厳格性に対応する偽陽性対偽陰性の所望の比を企業から受信することを更に含み得る。一般に、偽陽性対偽陰性の高い比は厳格なセキュリティサービスに対応し得る。これらの実施例では、閾値傾向スコアを調整することは、コンピューティングイベントの初期傾向スコア及び更新された傾向スコアの遡及的分析に基づいて、偽陽性対偽陰性の所望の比を生成する最適な閾値傾向スコアを判定することを含み得る。
更に、これらの実施例では、方法は、初期傾向スコアが偽陽性であったコンピューティングイベントを識別することと、同様のコンピューティングイベントが悪意のないものとして分類されるように、識別されたコンピューティングイベントを企業内のホワイトリストに追加することと、を含み得る。方法はまた、識別されたコンピューティングイベントをホワイトリストに追加した後に、閾値傾向スコアを減少させることも含み得る。
一実施形態では、悪意のあるコンピューティングイベントを検出するためのシステムは、メモリに記憶されているいくつかのモジュールを含み得、これには、(i)スコアリングモジュールであって、企業内で検出された複数のコンピューティングイベントのそれぞれについて、(a)現在利用可能なセキュリティ情報に基づいてコンピューティングイベントが悪意のあるものである可能性を示す各コンピューティングイベントの初期傾向スコアと、(b)初期傾向スコアが判定されたときに利用できなかった新しいセキュリティ情報に基づいて更新された傾向スコアと、を判定する、スコアリングモジュールと、(ii)分類モジュールであって、(a)各コンピューティングイベントの初期傾向スコアを、悪意のあるコンピューティングイベントを示す最小傾向スコアを表す閾値傾向スコアと比較することによって、悪意のある又は悪意のないものとしての各コンピューティングイベントの初期分類と、(b)更新された傾向スコアを閾値傾向スコアと比較することによって、更新された分類と、を判定する、分類モジュールと、(iii)各コンピューティングイベントの初期分類がコンピューティングイベントの更新された分類と一致する頻度を判定することによって、閾値傾向スコアが悪意のあるコンピューティングイベントを正しく識別する程度を計算する計算モジュールと、(iv)閾値傾向スコアが悪意のあるコンピューティングイベントを正しく識別する程度に基づいて閾値傾向スコアを調整することによって、企業をセキュリティ脅威から保護するセキュリティモジュールと、が含まれる。加えて、システムは、スコアリングモジュール、分類モジュール、計算モジュール、及びセキュリティモジュールを実行するように構成された少なくとも1つの物理プロセッサを含み得る。
一部の実施例では、上述の方法は、非一時的コンピュータ可読媒体上のコンピュータ可読命令としてコード化されてもよい。例えば、コンピュータ可読媒体は、コンピューティングデバイスの少なくとも1つのプロセッサによって実行されるとき、コンピューティングデバイスに、(i)企業内で検出された複数のコンピューティングイベントについて、現在利用可能なセキュリティ情報に基づいてコンピューティングイベントが悪意のあるものである可能性を示す各コンピューティングイベントの初期傾向スコアを判定させ、(ii)各コンピューティングイベントの初期傾向スコアを、悪意のあるコンピューティングイベントを示す最小傾向スコアを表す閾値傾向スコアと比較することによって、悪意のある又は悪意のないものとして各コンピューティングイベントの初期分類を判定させ、(iii)コンピューティングイベントに対する初期傾向スコアが判定された後に、各コンピューティングイベントについて、(a)初期傾向スコアが判定されたときに利用できなかった新しいセキュリティ情報に基づいて更新された傾向スコアと、(b)更新された傾向スコアを閾値傾向スコアと比較することによって更新された分類と、を判定させ、(iv)各コンピューティングイベントの初期分類がコンピューティングイベントの更新された分類と一致する頻度を判定することによって、閾値傾向スコアが悪意のあるコンピューティングイベントを正しく識別する程度を計算させ、(v)閾値傾向スコアが悪意のあるコンピューティングイベントを正しく識別する程度に基づいて閾値傾向スコアを調整することによって、企業をセキュリティ脅威から保護させ得る、1つ以上のコンピュータ実行可能命令を含んでもよい。
上述の実施形態のいずれかによる特徴は、本明細書に記載される一般原理に従って、互いに組み合わせて使用されてもよい。これら及び他の実施形態、特徴、及び利点は、添付の図面及び特許請求の範囲と併せて以下の発明を実施するための形態を読むことによって更に十分に理解されるだろう。
添付の図面は、いくつかの例示的な実施形態を図示するものであり、本明細書の一部である。以下の説明と併せて、これらの図面は、本開示の様々な原理を実証及び説明する。
悪意のあるコンピューティングイベントを検出するための例示的なシステムのブロック図である。 悪意のあるコンピューティングイベントを検出するための追加の例示的なシステムのブロック図である。 悪意のあるコンピューティングイベントを検出するための例示的な方法のフローチャートである。 例示的な傾向スコアの経時的な変化のグラフである。 閾値傾向スコアの変化に対する例示的な偽陽性率及び偽陰性率の変化のグラフである。 本明細書に記載及び/又は図示される実施形態のうちの1つ以上を実装することができる例示的なコンピューティングシステムのブロック図である。 本明細書に記載及び/又は図示される実施形態のうちの1つ以上を実装することができる例示的なコンピューティングネットワークのブロック図である。
図面を通して、同一の参照符号及び記述は、必ずしも同一ではないが、類似の要素を示す。本明細書で説明される例示的実施形態は、様々な修正物及び代替的な形態が可能であるが、特定の実施形態が例として図面に示されており、本明細書に詳細に記載される。しかしながら、本明細書に記載される例示的実施形態は、開示される特定の形態に限定されることを意図しない。むしろ、本開示は、添付の特許請求の範囲内にある全ての修正物、等価物、及び代替物を網羅する。
本開示は、概して、悪意のあるコンピューティングイベントを検出するためのシステム及び方法を対象とする。以下でより詳細に説明するように、エンドポイントデバイス上で検出された不審なファイル、挙動、及び他のコンピューティングイベントの属性を記録することにより、開示されるシステム及び方法は、イベントが検出された直後のイベントの初期傾向スコアと、イベントに関連する追加のセキュリティ情報が利用可能になったときの更新された傾向スコアと、の両方を判定し得る。加えて、本明細書に記載されるシステム及び方法は、イベントを悪意のある又は悪意のないものとして分類するために使用されるセキュリティメトリックの性能を評価するために、コンピューティングイベントについて記録された情報に対して遡及的分析を実施してもよい。次いで、開示されるシステム及び方法は、企業のセキュリティニーズを最も効果的に満たすために、これらの分析を使用して企業内のセキュリティポリシーを調整し得る。
加えて、本明細書に記載されるシステム及び方法は、企業によって要求される特定のレベルの厳格性又は寛容性に従ってマルウェア及び他のセキュリティ脅威を分類する最適化された閾値に基づいて悪意のあるファイルを検出することにより、企業内のコンピューティングデバイスの機能を改善し得る。これらのシステム及び方法はまた、イベントが発生した後の不審なコンピューティングイベントの効率的かつ正確な分類を可能にすることによって(例えば、コンピューティングイベントについての記録された履歴情報の分析に基づく)、マルウェア検出の分野(特に、遡及的な静的検出の分野)も改善し得る。
以下に、図1及び図2を参照して、悪意のあるコンピューティングイベントを検出するための例示的なシステムの詳細な説明を提供する。対応するコンピュータ実装方法の詳細な説明も図3に関連して提供される。例示的な傾向スコアの経時的な変化の詳細な説明は、図4に提供される。加えて、閾値傾向スコアの変化に対する例示的な偽陽性率及び偽陰性率の変化の詳細な説明は、図5に関連して提供される。最後に、本明細書に記載の実施形態のうちの1つ以上を実装することができる例示的なコンピューティングシステム及びネットワークアーキテクチャの詳細な説明が、それぞれ、図6及び図7に関連して提供される。
図1は、悪意のあるコンピューティングイベントを検出するための例示的なシステム100のブロック図である。この図に図示されるように、例示的なシステム100は、1つ以上のタスクを実施するための1つ以上のモジュール102を含み得る。以下でより詳細に説明するように、例示的なシステム100は、企業内で検出された複数のコンピューティングイベントについて、(i)現在利用可能なセキュリティ情報に基づいてコンピューティングイベントが悪意のあるものである可能性を示す各コンピューティングイベントの初期傾向スコアと、(ii)初期傾向スコアが判定されたときに利用できなかった新しいセキュリティ情報に基づいて更新された傾向スコアと、を判定するスコアリングモジュール104を含み得る。加えて、例示的なシステム100は、各コンピューティングイベントについて、(i)コンピューティングイベントの初期傾向スコアを、悪意のあるコンピューティングイベントを示す最小傾向スコアを表す閾値傾向スコアと比較することによって、悪意のある又は悪意のないものとしての初期分類と、(ii)コンピューティングイベントの更新された傾向スコアを閾値傾向スコアと比較することによって、更新された分類と、を判定する、分類モジュール106を含み得る。
以下でより詳細に説明するように、例示的なシステム100はまた、各コンピューティングイベントの初期分類がコンピューティングイベントの更新された分類と一致する頻度を判定することによって、閾値傾向スコアが悪意のあるコンピューティングイベントを正しく識別する程度を計算する計算モジュール108も含み得る。最後に、例示的なシステム100は、閾値傾向スコアが悪意のあるコンピューティングイベントを正しく識別する程度に基づいて閾値傾向スコアを調整することによって、企業をセキュリティ脅威から保護するセキュリティモジュール110を含み得る。別々の要素として図示されるが、図1のモジュール102のうちの1つ以上は、単一のモジュール又はアプリケーションの部分を表してもよい。
特定の実施形態では、図1のモジュール102のうちの1つ以上は、コンピューティングデバイスによって実行されると、コンピューティングデバイスに1つ以上のタスクを実施させ得る、1つ以上のソフトウェアアプリケーション又はプログラムを表し得る。例えば、より詳細に後述するように、モジュール102のうちの1つ以上は、図2に示されるデバイス(例えば、セキュリティサーバ206)などの1つ以上のコンピューティングデバイスに記憶され、その上で作動するように構成されている、モジュールを表し得る。図1のモジュール102のうちの1つ以上はまた、1つ以上のタスクを実施するように構成されている1つ以上の専用コンピュータの全て又は一部を表し得る。
図1に示すように、例示的なシステム100はまた、メモリ140などの1つ以上のメモリデバイスも含み得る。メモリ140は、一般に、データ及び/又はコンピュータ可読命令を記憶することができる任意のタイプ又は形態の揮発性又は不揮発性の記憶デバイス又は媒体を表す。一実施例では、メモリ140は、モジュール102のうちの1つ以上を記憶、ロード、及び/又は維持してもよい。メモリ140の例としては、非限定的に、ランダムアクセスメモリ(RAM)、リードオンリーメモリ(ROM)、フラッシュメモリ、ハードディスクドライブ(HDD)、ソリッドステートドライブ(SSD)、光ディスクドライブ、キャッシュ、それらのうちの1つ以上の変形形態若しくは組み合わせ、及び/又は任意の他の好適な記憶メモリが挙げられる。
図1に示すように、例示的なシステム100はまた、物理プロセッサ130などの1つ以上の物理プロセッサも含み得る。物理プロセッサ130は、一般に、コンピュータ可読命令を解釈及び/又は実行することができる任意のタイプ又は形態のハードウェア実装処理ユニットを表す。一実施例では、物理プロセッサ130は、メモリ140に記憶されているモジュール102のうちの1つ以上にアクセスし、かつ/又はそれを変更することができる。それに加えて、又は代替的に、物理プロセッサ130は、悪意のあるコンピューティングイベントの検出を容易にするために、モジュール102のうちの1つ以上を実行し得る。物理プロセッサ130の例としては、非限定的に、マイクロプロセッサ、マイクロコントローラ、中央処理装置(CPU)、ソフトコアプロセッサを実装するフィールドプログラマブルゲートアレイ(FPGA)、特定用途向け集積回路(ASIC)、それらのうちの1つ以上の部分、それらのうちの1つ以上の変形形態若しくは組み合わせ、及び/又は任意の他の好適な物理プロセッサが挙げられる。
図1に示すように、例示的なシステム100はまた、1つ以上の追加要素120も含み得る。一実施例では、追加要素120は、初期傾向スコア122及び更新された傾向スコア126などの1つ以上の傾向スコアを含み得る。初期傾向スコア122は、一般に、企業内で検出された一連のコンピューティングイベントのセキュリティ特性の第1の定量的な査定又は評価を表す。特に、初期傾向スコア122は、コンピューティングイベントが検出されたときにセキュリティサービスによって利用可能であった又は既知であったセキュリティ情報又はセキュリティ試験に基づき得る。加えて、更新された傾向スコア126は、一般に、初期傾向スコア122が判定されたときに利用できなかった新しいセキュリティ情報に基づいた、コンピューティングイベントのセキュリティ特性の任意のタイプ又は形態のその後の査定又は評価を表す。
追加要素120はまた、初期分類124及び更新された分類128など、1つ以上の分類も含み得る。初期分類124は、一般に、初期傾向スコア122の任意の定性的な査定を表す。一実施形態では、初期分類124は、初期傾向スコア122を閾値傾向スコアと比較することによって生成され得る。加えて、更新された分類128は、一般に、更新された傾向スコア126の任意の定性的な査定を表す。
図1の例示的なシステム100は、様々な方法で実装され得る。例えば、例示的なシステム100のうちの全て又は一部は、図2における例示的なシステム200の部分を表してもよい。図2に示すように、システム200は、ネットワーク204を介してセキュリティサーバ206と通信している、企業202内の1つ以上のコンピューティングデバイスを含み得る。一実施例では、モジュール102の機能の全て又は一部は、セキュリティサーバ206及び/又は任意の他の好適なコンピューティングシステムによって実施され得る。より詳細に後述するように、図1によるモジュール102のうちの1つ以上は、セキュリティサーバ206の少なくとも1つのプロセッサによって実行されるとき、セキュリティサーバ206が悪意のあるコンピューティングイベントを検出することを可能にし得る。
例えば、より詳細に後述するように、スコアリングモジュール104は、セキュリティサーバ206に、企業202内で検出されたコンピューティングイベント208について、現在のセキュリティ情報210に基づいてコンピューティングイベント208が悪意のあるものである可能性を示す初期傾向スコア122を判定させ得る。加えて、分類モジュール106は、セキュリティサーバ206に、初期傾向スコア122のそれぞれを閾値傾向スコア214と比較することによって、初期分類124を判定させ得る。初期傾向スコア122が判定された後、スコアリングモジュール104は、セキュリティサーバ206に、新しいセキュリティ情報212に基づいて更新された傾向スコア126を判定させ得る。加えて、分類モジュール106は、セキュリティサーバ206に、更新された傾向スコア126のそれぞれを閾値傾向スコア214と比較することによって、更新された分類128を判定させ得る。次に、計算モジュール108は、セキュリティサーバ206に、初期分類124が更新された分類128と一致する頻度216を判定することによって、閾値傾向スコア214が悪意のあるコンピューティングイベントを正しく識別する程度を計算させ得る。最後に、セキュリティモジュール110は、セキュリティサーバ206に、閾値傾向スコア214が悪意のあるコンピューティングイベントを正しく識別する程度に基づいて調整された閾値傾向スコア218を判定して、企業202をセキュリティ脅威から保護させ得る。
企業202は、一般に、セキュリティサービスに加入する又はこれを実装する任意のタイプ又は形態の個人、個人のグループ、ビジネス、又は組織を表す。一部の実施例では、企業202は、1つ以上のエンドポイントデバイスを含み得る。一実施形態では、企業202内のエンドポイントデバイスは、クライアント側セキュリティソフトウェア(例えば、セキュリティサービスによって管理されているソフトウェアエージェント)を動作させ得る。このようなエンドポイントデバイスの例としては、ラップトップ、タブレット、デスクトップ、サーバ、携帯電話、携帯情報端末(PDA)、マルチメディアプレーヤー、埋め込みシステム、ウェアラブルデバイス(例えば、スマートウォッチ、スマートグラスなど)、ゲーム機、それらのうちの1つ以上の変形形態若しくは組み合わせ、及び/又は他の任意の好適なコンピューティングデバイスなど、コンピュータ実行可能命令を読み取ることができる任意のタイプ又は形態のコンピューティングデバイスが挙げられる。
セキュリティサーバ206は、一般に、エンドポイントデバイス上で検出されたコンピューティングイベントを受信、分析、分類、及び/又は再分類することができる任意のタイプ又は形態のコンピューティングデバイスを表す。一実施例では、セキュリティサーバ206は、1つ以上の企業(企業202など)に対してセキュリティサービスを提供するバックエンドセキュリティサーバを表し得る。セキュリティサーバ206の追加の例としては、非限定的に、特定のソフトウェアアプリケーションを実行する、並びに/又は様々なセキュリティサービス、ウェブサービス、ストレージサービス、及び/若しくはデータベースサービスを提供するように構成された、アプリケーションサーバ、ウェブサーバ、ストレージサーバ、及び/又はデータベースサーバが挙げられる。図2では単一のエンティティとして示されているが、セキュリティサーバ206は、互いに連携して働く及び/又は動作する複数のサーバを含み得る及び/又はそれらを表し得る。
ネットワーク204は、一般に、通信若しくはデータ転送を容易にすることが可能な、任意の媒体又はアーキテクチャを表す。一実施例では、ネットワーク204は、企業202とセキュリティサーバ206との間の通信を容易にし得る。この実施例では、ネットワーク204は、無線接続及び/又は有線接続を使用して、通信又はデータ転送を容易にしてもよい。ネットワーク204の例としては、非限定的に、イントラネット、広域ネットワーク(WAN)、ローカルエリアネットワーク(LAN)、パーソナルエリアネットワーク(PAN)、インターネット、電力線通信(PLC)、セルラーネットワーク(例えば、Global System for Mobile Communications(GSM(登録商標))ネットワーク)、それらのうちの1つ以上の部分、それらのうちの1つ以上の変形形態若しくは組み合わせ、及び/又は任意の他の好適なネットワークが挙げられる。
図3は、悪意のあるコンピューティングイベントを検出するための例示的なコンピュータ実装方法300のフローチャートである。図3に示されるステップは、図1のシステム100、図2のシステム200、及び/又はそれらのうちの1つ以上の変形形態若しくは組み合わせを含む、任意の好適なコンピュータ実行可能コード及び/又はコンピューティングシステムによって実施され得る。一実施例では、図3に示されるステップの各々は、アルゴリズムを表してもよく、そのアルゴリズムの構造は、複数のサブステップを含み、かつ/又はそれらによって表され、それらの実施例が以下により詳細に提供される。
図3に示すように、ステップ302において、本明細書に記載されるシステムのうちの1つ以上は、企業内で検出された複数のコンピューティングイベントについて、現在利用可能なセキュリティ情報に基づいてコンピューティングイベントが悪意のあるものである可能性を示す各コンピューティングイベントの初期傾向スコアを判定し得る。例えば、スコアリングモジュール104は、図2のセキュリティサーバ206の一部として、企業202内で検出されたコンピューティングイベント208の初期傾向スコア122を判定し得る。
「コンピューティングイベント」という用語は、本明細書で使用するとき、一般に、コンピューティングデバイス上で又はこれと関連して検出された任意のタイプ又は形態のインシデント、挙動、又はアクションを指す。一部の実施例では、コンピューティングイベントは、コンピューティングデバイスのセキュリティ状態を潜在的に損なう恐れがある、コンピューティングデバイスの構成(例えば、ソフトウェア、設定、データ、ファイル、プログラムなど)の任意の改変を表し得る。例えば、コンピューティングイベントは、エンドポイントデバイスのユーザがエンドポイントデバイス上でファイル又はプログラムをダウンロード、インストール、又は実行する試みを表し得る。他の実施例では、コンピューティングイベントは、ユーザがエンドポイントデバイスから(例えば、電子メッセージ又は取り外し可能な記憶デバイスを介して)情報を配信する試みを表し得る。代替的に、コンピューティングイベントは、外部エンティティが(例えば、侵入、フィッシング攻撃、及び/又は他のセキュリティ侵害を介して)エンドポイントデバイス内の情報にアクセスする試みを表し得る。
開示されるシステムは、様々な方法でエンドポイントデバイス上のコンピューティングイベントを検出し得る。一部の実施例では、セキュリティモジュール110は、企業内のエンドポイントデバイスの全て又は一部にソフトウェアセキュリティエージェントを配備し得る。これらのエージェントは、セキュリティ脅威を潜在的に示す任意のタイプ又は形態のコンピューティングイベントについてエンドポイントデバイスを監視し得る。例えば、配備されたエージェントは、エンドポイントデバイスのユーザがインストール又は実行を試みるファイルを識別し得る。加えて、セキュリティエージェントは、エンドポイントデバイスに及びエンドポイントデバイスから配信された電子メール及び他の電子メッセージの内容を監視し得る。それに加えて、又は代替的に、配備されたエージェントは、ユーザが自身のエンドポイントデバイスを介してアクセスしたネットワークリソース(例えば、サーバ、ウェブサイト、クラウドベースのアプリケーションなど)を識別し得る。
企業内に配備されたセキュリティエージェントは、検出されたコンピューティングイベントに関する様々な情報を識別し得る。一部の実施例では、エージェントは、コンピューティングイベントに関与するファイルの挙動を識別し得る。例えば、セキュリティエージェントは、エンドポイントデバイス上の検出されたファイルと他のプログラムとの間の相互作用を記録し得る。同様に、セキュリティエージェントは、ファイルによってアクセス又は改変されたコンピューティングリソース(例えば、レジストリ、データベース、又はネットワークリソース)を識別し得る。加えて、セキュリティエージェントは、ファイルのハッシュを識別及び/又は生成し得る。更なる実施例では、セキュリティエージェントは、エンドポイントデバイス及び/又はエンドポイントデバイスのユーザの設定など、コンピューティングイベントが検出されたエンドポイントデバイスについて関連するコンテキスト又は構成の詳細を識別し得る。加えて、セキュリティエージェントは、コンピューティングイベントが発生した時点(例えば、日付及び/又は時刻又は日)を記録し得る。
更に、一部の実施例では、セキュリティエージェントは、コンピューティングイベントの1つ以上のセキュリティ特性を判定し得る。例えば、セキュリティエージェントは、コンピューティングイベントの属性をマルウェア定義又はシグネチャ(例えば、悪意のあることが知られているファイル、オブジェクト、又は挙動のハッシュ)と比較し得る。一実施形態では、セキュリティエージェントは、セキュリティエージェントを管理するセキュリティサービスによって提供されたマルウェア定義又は他のセキュリティ情報を使用して、コンピューティングイベントを分析し得る。セキュリティエージェントは、セキュリティ情報にローカルに(例えば、情報は、セキュリティエージェントが動作しているエンドポイントデバイス上に直接記憶され得る)又はリモートに(例えば、情報は、クラウドベースのデータベース又はバックエンドセキュリティサーバに記憶され得る)のいずれかでアクセスし得る。
セキュリティエージェントがコンピューティングイベントに関する情報を識別した後、エージェントは、情報をバックエンドセキュリティサーバ(図2のセキュリティサーバ206など)に送信し得る。企業内のセキュリティエージェントは、そのような情報をリアルタイムで(例えば、検出直後に)又は定期的に(例えば、バッチで)スコアリングモジュール104に配信し得る。検出されたコンピューティングイベントに関する情報を受信した後、スコアリングモジュール104は、コンピューティングイベントに対して初期傾向スコアを判定し得る。
「傾向スコア」という用語は、本明細書で使用するとき、一般に、コンピューティングイベントのセキュリティ特性の任意のタイプ又は形態の査定又は評価を指す。一部の実施例では、傾向スコアは、コンピューティングイベントが悪意のあるものである(例えば、エンドポイントデバイスのセキュリティ状態又は性能に対して有害である)可能性を定量化し得る。具体的な実施例として、不審なファイルを伴うコンピューティングイベントの傾向スコアは、ファイルがマルウェアのインスタンス(例えば、ウイルス、ワーム、スパイウェア、アドウェアなど)である確率を示し得る。別の実施例では、エンドポイントデバイスからデータを転送しようとする試みを伴うコンピューティングイベントの傾向スコアは、転送されるデータが機密情報を含む可能性及び/又はデータの受信者が機密情報にアクセスする権限を与えられていない可能性を定量化し得る。
「初期傾向スコア」という用語は、本明細書で使用するとき、一般に、コンピューティングイベントに対して判定された第1の傾向スコアを指す。一部の実施例では、初期傾向スコアは、コンピューティングイベントが検出された直後に、及び/又は検出されたコンピューティングイベントに関する情報がバックエンドセキュリティサーバに送信された後に、計算され得る。以下でより詳細に説明するように、「更新された傾向スコア」という用語は、一般に、初期傾向スコアが判定された後に判定される、コンピューティングイベントの任意の傾向スコアを指す。
スコアリングモジュール104は、コンピューティングイベントに対して実施された任意のタイプのセキュリティ分析又は試験に基づいてコンピューティングイベントの初期傾向スコアを判定し得る。一部の実施形態では、スコアリングモジュール104は、コンピューティングイベントを検出したセキュリティエージェントによって識別されたコンピューティングイベントのセキュリティ特性に基づいて、コンピューティングイベントの初期傾向スコアを判定し得る。例えば、スコアリングモジュール104は、セキュリティエージェントで現在利用可能なセキュリティ情報に基づいてセキュリティエージェントによって計算された初期傾向スコアをセキュリティエージェントから直接受信し得る。それに加えて、又は代替的に、スコアリングモジュール104は、セキュリティサーバ内に記憶されている現在利用可能なセキュリティ情報に基づいてバックエンドセキュリティサーバにてコンピューティングイベントに対するセキュリティ分析を実施することによって、コンピューティングイベントの初期傾向スコアを判定し得る。
「セキュリティ情報」という用語は、本明細書で使用するとき、一般に、悪意のある又は悪意のないことが知られているコンピューティングイベントの特性を表す又は示す、任意のタイプ又は形態のデータを指す。セキュリティ情報の例としては、非限定的に、悪意のあるファイルのハッシュ、悪意のあるコンピューティング挙動の表現、信頼性のあるファイルのホワイトリスト、悪意のあるファイルのブラックリスト、及び/又はセキュリティサービスがコンピューティングイベントの評判又は信頼性を判定するために使用し得る任意の追加のデータ、試験、若しくは分析が挙げられる。加えて、「現在利用可能なセキュリティ情報」という用語は、本明細書で使用するとき、一般に、セキュリティサービスがコンピューティングイベントに対して初期傾向スコアを判定する時点において、セキュリティサービスに既知である又はセキュリティサービスによってアクセス可能である、任意のセキュリティ情報を指す。以下でより詳細に説明するように、「新しいセキュリティ情報」という用語は、一般に、コンピューティングイベントの初期傾向スコアが判定された後に、セキュリティサービスに既知となった又はセキュリティサービスによってアクセス可能となった、任意のセキュリティ情報を指す。
一部の実施例では、スコアリングモジュール104は、所定の範囲又はスケール内の数として傾向スコアを表し得る。例えば、スコアリングモジュール104は、コンピューティングイベントに0〜5の傾向スコアを割り当て得、スコア0は、悪意のないことが確認されたコンピューティングイベントを示し、スコア5は、非常に悪意のあることが確認されたコンピューティングイベントを示す。コンピューティングイベントに対して実施されるセキュリティ分析が決定的でない(例えば、現在利用可能なセキュリティ情報が、コンピューティングイベントのわずかに悪意のある若しくは悪意のない特性を示すか、又はコンピューティングイベントについて現在既知のセキュリティ情報がない)場合、スコアリングモジュール104は、コンピューティングイベントに、傾向スコア範囲の中央のスコアを割り当て得る。
図3に戻ると、ステップ304において、本明細書に記載されるシステムのうちの1つ以上は、各コンピューティングイベントの初期傾向スコアを、悪意のあるコンピューティングイベントを示す最小傾向スコアを表す閾値傾向スコアと比較することによって、悪意のある又は悪意のないものとして各コンピューティングイベントの初期分類を判定し得る。例えば、分類モジュール106は、図2のセキュリティサーバ206の一部として、初期傾向スコア122を閾値傾向スコア214と比較することによって、コンピューティングイベント208の初期分類124を判定し得る。
「分類」という用語は、本明細書で使用するとき、一般に、コンピューティングイベントに対する傾向スコアの任意の定性的な分類を指す。一実施形態では、分類モジュール106は、二進法を使用して傾向スコアを分類し得る。例えば、分類モジュール106は、「悪意のある」又は「悪意のない」のいずれかとしてコンピューティングイベントを分類し得る。「初期分類」という用語は、本明細書で使用するとき、一般に、コンピューティングイベントの初期閾値傾向スコアに基づいた、コンピューティングイベントの任意の分類を指す。以下でより詳細に説明するように、「更新された分類」という用語は、一般に、コンピューティングイベントの更新された傾向スコアに基づいた分類など、コンピューティングイベントの任意のその後の分類を指す。
本明細書に記載されるシステムは、様々な方法でコンピューティングイベントの初期分類を判定し得る。一部の実施例では、分類モジュール106は、コンピューティングイベントの初期傾向スコアを閾値傾向スコアと比較することによって、コンピューティングイベントの分類を判定し得る。「閾値傾向スコア」という用語は、本明細書で使用するとき、一般に、悪意のあるコンピューティングイベントを示す最小又はカットオフ傾向スコアを表す任意の傾向スコアを指す。一部の実施例では、閾値傾向スコアは、標準の又は事前設定された閾値傾向スコアを表し得る(例えば、開示されるシステムは、企業内で実装される閾値傾向スコアを自動的に定義し得る)。他の実施例では、閾値傾向は、企業によって指定され得るか、又は企業に合わせて調整され得る。
スコアリングモジュール104がコンピューティングイベントの初期傾向スコアを判定した後、分類モジュール106は、初期傾向スコアを閾値傾向スコアと比較し得る。初期傾向スコアが、閾値傾向スコアと同じである、又は閾値傾向スコアよりも高い程度の悪意性を示す場合、分類モジュール106は、コンピューティングイベントを悪意のあるものとして分類し得る。初期傾向スコアが閾値傾向スコアよりも低い程度の悪意性を示す場合、分類モジュール106は、コンピューティングイベントを悪意のないものとして分類し得る。
一部の実施形態では、セキュリティモジュール110は、悪意のあるコンピューティングイベントを検出したことに応じて、1つ以上のセキュリティ措置を実施し得る。例えば、セキュリティモジュール110は、クライアント側セキュリティエージェント(悪意のあるコンピューティングイベントを検出したセキュリティエージェントなど)に、コンピューティングイベントに関連した任意のファイル又はアクションをブロック及び/又は削除するように指示し得る。加えて、開示されるシステムは、悪意のある及び悪意のないコンピューティングイベントの両方の属性を記録及び記憶し得る。
図3に戻ると、ステップ306において、本明細書に記載されるシステムのうちの1つ以上は、コンピューティングイベントに対する初期傾向スコアが判定された後に、各コンピューティングイベントについて、(i)初期傾向スコアが判定されたときに利用できなかった新しいセキュリティ情報に基づいて更新された傾向スコアと、(b)更新された傾向スコアを閾値傾向スコアと比較することによって更新された分類と、を判定し得る。例えば、初期傾向スコア122が判定された後、スコアリングモジュール104は、図2のセキュリティサーバ206の一部として、新しいセキュリティ情報212に基づいて更新された傾向スコア126を判定し得る。加えて、分類モジュール106は、図2のセキュリティサーバ206の一部として、更新された分類128を判定し得る。
本明細書に記載されるシステムは、様々な方法でコンピューティングイベントの更新された傾向スコアを判定し得る。一部の実施例では、スコアリングモジュール104は、1つ以上のコンピューティングイベントに対する初期傾向スコアが判定された後に、新しいセキュリティ情報が利用可能になったことを判定し得る。例えば、スコアリングモジュール104は、セキュリティサービスが新しいマルウェアシグネチャ又は定義を識別又は生成したことを判定し得る。それに加えて、又は代替的に、スコアリングモジュール104は、セキュリティサービスが悪意のあるファイルのブラックリスト及び/又は正当なファイルのホワイトリストを更新したことを判定し得る。更なる実施例では、スコアリングモジュール104は、悪意のあるファイルを識別することができる新しい挙動査定又は追加のセキュリティ試験を識別し得る。一部の実施形態では、スコアリングモジュール104は、複数のエンドポイントデバイス上で及び/又は複数の企業内で検出されたコンピューティングイベントのインスタンスを分析することに基づいてセキュリティサービスによって生成された特定のコンピューティングイベントに関連する新しいセキュリティ情報を識別し得る。
コンピューティングイベントに関連する新しいセキュリティ情報が利用可能であることを判定した後、スコアリングモジュール104は、コンピューティングイベントについて以前に記録された情報を新しいセキュリティ情報と比較し得る。例えば、スコアリングモジュール104は、コンピューティングイベントに関与するファイルのハッシュを悪意のあるファイルの最近生成されたハッシュと比較し得る。別の実施例では、スコアリングモジュール104は、新しいセキュリティ情報を使用して、コンピューティングイベントの検出を取り巻くイベントを分析し得る。一般に、スコアリングモジュール104は、新しいセキュリティ情報を使用して、(ステップ302に関連して上述したように)初期傾向スコアを判定するために使用される任意の方法によって、コンピューティングイベントの更新された傾向スコアを判定し得る。特に、スコアリングモジュール104は、コンピューティングイベントについて以前に記録された情報のみに基づいて、コンピューティングイベントの更新された傾向スコアを判定し得る。例えば、スコアリングモジュール104は、コンピューティングイベントが検出されたときのエンドポイントデバイスの状態を表すコンテキスト情報を再分析又は再生することによって、コンピューティングイベントの更新された傾向スコアを判定し得る。
スコアリングモジュール104がコンピューティングイベントの更新された傾向スコアを判定した後、分類モジュール106は、コンピューティングイベントの更新された分類を判定し得る。具体的には、分類モジュール106は、更新された傾向スコアを閾値傾向スコア(即ち、コンピューティングイベントの初期分類を判定するために使用された閾値傾向スコア)と比較することによって、コンピューティングイベントの更新された分類を判定し得る。
図3に戻ると、ステップ306において、記載されるシステムの1つ以上は、各コンピューティングイベントの初期分類がコンピューティングイベントの更新された分類と一致する頻度を判定することによって、閾値傾向スコアが悪意のあるコンピューティングイベントを正しく識別する程度を計算し得る。例えば、計算モジュール108は、図2のセキュリティサーバ206の一部として、初期分類124がそれに対応する更新された分類128と一致する頻度216を判定することによって、閾値傾向スコア214が悪意のあるコンピューティングイベントを正しく識別する程度を計算し得る。
本明細書に記載されるシステムは、初期分類が更新された分類と一致する頻度を様々な方法で判定し得る。一部の実施例では、計算モジュール108は、閾値傾向スコアが悪意のあるコンピューティングイベントを正しく識別する偽陽性率及び/又は偽陰性率を判定し得る。計算モジュール108は、閾値傾向スコアに基づいて悪意のあるものとしての初期分類と悪意のないものとしての更新された分類とを有するコンピューティングイベントの割合を計算することによって、閾値傾向スコアにより生成された偽陽性率を判定し得る。同様に、計算モジュール108は、悪意のないものとしての初期分類と悪意のあるものとしての更新された分類とを有するコンピューティングイベントの割合を計算することによって、閾値傾向スコアにより生成された偽陰性率を判定し得る。以下でより詳細に説明するように、そのような比率は、セキュリティサービスの有効性及び/又は厳格性の程度を示し得る又は定量化し得る。
閾値傾向スコアによって生成された偽陽性及び偽陰性を識別する実施例として、図4は、傾向スコア対時間のグラフ402を示す。図4に示すように、グラフ402は、傾向スコアが7日間(即ち、0〜6日目)にわたって変化したときの、4つの例示的なコンピューティングイベント(即ち、コンピューティングイベント404、406、408、及び410)の初期及び更新された傾向スコアをプロットしている。この実施例では、スコアリングモジュール104は0〜5のスケール内の数として傾向スコアを表し得、5の傾向スコアは非常に悪意のあるコンピューティングイベントを示し、0の傾向スコアは正当なコンピューティングイベントを示す。また、この実施例では、分類モジュール106は、閾値傾向スコア412(即ち、4の傾向スコア)に基づいてコンピューティングイベントの分類を判定し得る。
図4の実施例では、スコアリングモジュール104は、0日目に、コンピューティングイベント404が5の初期傾向スコアを有すると判定し得る。閾値傾向スコア412に基づいて、分類モジュール106は、コンピューティングイベント404の初期分類は悪意のあるものと判定し得る。2日目に、スコアリングモジュール104は、コンピューティングイベント404を新しいセキュリティ情報に基づいて再評価し得る。図4の実施例では、スコアリングモジュール104は、新しいセキュリティ情報がコンピューティングイベント404の新しいセキュリティ特性を明らかにしないと判定し得る。このため、開示されるシステムは、コンピューティングイベント404の更新された傾向スコア及び更新された分類が初期傾向スコア及び初期分類と同じであると判定し得る。この実施例では、計算モジュール108は、コンピューティングイベント404が真陽性を表すと判定し得る。
また、図4の実施例では、スコアリングモジュール104は、0日目に、コンピューティングイベント406が3の初期分類を有すると判定し得る。閾値傾向スコア412に基づいて、分類モジュール106は、コンピューティングイベント406の初期分類は悪意のないものと判定し得る。しかしながら、3日目に、スコアリングモジュール104は、新しいセキュリティ情報が、コンピューティングイベント406の更新された傾向スコアが5であることを示すと判定し得る。このため、分類モジュール106は、コンピューティングイベント406の更新された分類は悪意のあるものと判定し得る。この実施例では、計算モジュール108は、コンピューティングイベント406が偽陰性を表すと判定し得る。
図4の実施例を続けると、2日目に、スコアリングモジュール104は、コンピューティングイベント408が1の初期傾向スコアを有すると判定し得る。したがって、分類モジュール106は、コンピューティングイベント408が悪意のないものとしての初期分類を有すると判定し得る。3日目に、スコアリングモジュール104は、コンピューティングイベント408に関連する新しいセキュリティ情報を識別し得る。しかしながら、この新しいセキュリティ情報は、コンピューティングイベント408の新しいセキュリティ特性を示し得ず、したがって、モジュール102は、コンピューティングイベント408の更新された傾向スコア及び更新された分類が初期傾向スコア及び初期分類に一致すると判定し得る。この実施例では、計算モジュール108は、コンピューティングイベント408が真陰性を表すと判定し得る。
最後に、図4の実施例では、スコアリングモジュール104は、4日目に、コンピューティングイベント410が5の初期傾向スコアを有すると判定し得る。したがって、分類モジュール106は、コンピューティングイベント410の初期分類は悪意のあるものと判定し得る。しかしながら、6日目に、スコアリングモジュール104は、新しいセキュリティ情報が、コンピューティングイベント410の更新された傾向スコアが1であることを示すと判定し得る。したがって、分類モジュール106は、コンピューティングイベント420の更新された分類は悪意のないものと判定し得る。この実施例では、計算モジュール108は、コンピューティングイベント410が偽陽性を表すと判定し得る。
一部の実施例では、計算モジュール108は、企業内で検出された各コンピューティングイベントの初期分類が偽陽性、真陽性、偽陰性、又は真陰性であるかどうかを判定し得る。計算モジュール108は、これらの査定を記録し、次いで、各カテゴリーに入るコンピューティングイベントの全体的な割合を判定し得る。一部の実施例では、計算モジュール108は、偽陽性対偽陰性の比を計算することによって、悪意のあるコンピューティングイベントを正確に識別する閾値傾向スコアの能力を更に評価し得る。以下でより詳細に説明するように、このような比は、閾値傾向スコア及び/又は閾値傾向スコアを実装するセキュリティサービスの厳格性を示し得る又は表し得る。
図3に戻ると、ステップ310において、本明細書に記載されるシステムのうちの1つ以上は、閾値傾向スコアが悪意のあるコンピューティングイベントを正しく識別する程度に基づいて閾値傾向スコアを調整することによって、企業をセキュリティ脅威から保護し得る。例えば、セキュリティモジュール110は、図2のセキュリティサーバ206の一部として、調整された閾値傾向スコア218を生成することによって企業202をセキュリティ脅威から保護し得る。
開示されるシステムは、様々な方法で閾値傾向スコアを調整し得る。一部の実施例では、セキュリティモジュール110は、企業のセキュリティニーズに従って閾値傾向スコアを調整し得る。例えば、セキュリティモジュール110は、企業から、企業内に実装されたセキュリティサービスに対して所望のレベルの厳格性又は重大度を受信し得る。一実施形態では、企業は、セキュリティモジュール110に、許容可能な偽陽性率及び/又は許容可能な偽陰性率を示し得る。別の実施形態では、企業は、偽陽性対偽陰性の所望の比を示し得る。一般に、高い偽陽性率(又は偽陽性対偽陰性の高い比)は、厳格なセキュリティサービスを示す。例えば、偽陰性よりも多くの偽陽性を検出するセキュリティサービスは、真陽性を検出する可能性がより高くなる。しかしながら、多数の偽陽性は、ユーザの利便性を損ね、及び/又は企業内の生産性を妨げる恐れがある。したがって、極秘の又は機密性の高い情報を取り扱う企業は、より機密性の低い情報を取り扱う企業よりも高い偽陽性対偽陰性の比を要求し得る。
企業に対するセキュリティサービスの所望の厳格性の指示を受信した後、セキュリティモジュール110は、企業内で検出されたコンピューティングイベントの偽陽性率及び/又は偽陰性率を分析して、企業の最適な閾値傾向スコアを判定し得る。例えば、セキュリティモジュール110は、企業のコンピューティングイベントの傾向スコアに対して遡及的分析を実施し得る。この遡及的分析は、様々な理論的な又は試験的な閾値傾向スコアを使用して偽陽性率及び/又は偽陰性率を計算することを伴い得る。具体的には、セキュリティモジュール110は、コンピューティングイベントに対する様々な試験的な閾値傾向スコア並びに実際の初期及び更新された傾向スコアを使用して、1つ以上のコンピューティングイベントに対する理論的な初期分類及び理論的な更新された分類を判定し得る。次いで、セキュリティモジュール110は、各試験的な閾値傾向スコアによって生成された偽陽性率及び偽陰性率を計算し得る。最後に、セキュリティモジュール110は、所望の又は適当な偽陽性率及び/又は偽陰性率を生成する閾値傾向スコアを選択し得る。
履歴的な傾向スコアに基づいて偽陽性率及び偽陰性率を判定する実施例として、図5は、閾値傾向スコアに対する偽陽性率及び偽陰性率のグラフ502を示す。図5に示すように、グラフ502は、企業内に実装され得る様々な閾値傾向スコアに対して偽陽性率504及び偽陰性率506の値をプロットしている。この実施例では、低い閾値傾向スコアにおいて、偽陽性率504は高く、偽陰性率506は低い(厳格なセキュリティシステムに対応する)。閾値傾向スコアが増加するにつれて、偽陽性率504は減少し、偽陰性率506は増加する(寛容なセキュリティシステムに対応する)。一実施形態では、セキュリティモジュール110は、そのような情報を使用して、企業の最適な閾値傾向スコアを選択し得る。例えば、企業が偽陽性対偽陰性の比に1を要求すると、セキュリティモジュール110は、最適な閾値傾向スコアは3であると判定し得る。企業が偽陽性対偽陰性の比に0.25を要求すると、セキュリティモジュール110は、最適な閾値傾向スコアは4であると判定し得る。
一般に、セキュリティモジュール110は、企業内で検出されたコンピューティングイベントを記述している記録されたセキュリティ情報の任意の追加又は代替の遡及的分析に基づいて、企業の閾値傾向スコアを調整し得る。加えて、セキュリティモジュール110は、そのような遡及的分析に基づいて、企業内の他のセキュリティポリシー又はルールを調整、作成、又は削除し得る。例えば、セキュリティモジュール110は、偽陽性であると判定された(又は、低い閾値傾向スコアが実装されると偽陽性になるであろう)コンピューティングイベントを、許可された又は正当なイベントを識別するホワイトリストに追加することによって、企業内の偽陽性を低減し得る。このようにして、これらのコンピューティングイベントの繰り返し発生するインスタンスは、悪意のないものとして正確に識別される。更に、一部の実施例では、セキュリティモジュール110は、偽陽性コンピューティングイベントをホワイトリストに追加した後、企業の閾値傾向スコアを下げ得る。このため、セキュリティモジュール110は、有害なセキュリティ脅威から企業を依然として検出しながら、低い偽陰性率と偽陽性率の両方を企業に提供し得る。
図3〜図5に関連して上述したように、セキュリティサービスは、企業のセキュリティニーズに従って、悪意のある又は悪意のないものとしてコンピューティングイベントを正確かつ効率的に分類する、企業の最適な閾値傾向スコアを判定し得る。例えば、セキュリティサービスは、企業内で検出された潜在的に悪意のあるコンピューティングイベントに関する情報を収集及び記憶し得る。セキュリティサービスは、イベントが最初に検出されたとき、現在利用可能なセキュリティ情報に基づいて、コンピューティングイベントを分析及びスコアリングし得る。具体的には、セキュリティサービスは、イベントの傾向スコアを計算し、企業内に実装された閾値に対して傾向スコアを比較し得る。その後の時点で、セキュリティサービスは、新しいセキュリティ試験(例えば、マルウェアシグネチャ)が利用可能になると、イベントを(イベントについて記憶された情報に基づいて)再分析し得る。このようにして、セキュリティサービスは、企業内で以前に検出されたコンピューティングイベントの分類を適切に更新し得る。
一連のコンピューティングイベントに対して初期及び更新された傾向スコアを判定した後、セキュリティサービスは、偽陽性率及び偽陰性率(例えば、最初に誤って分類されたコンピューティングイベントの比率)を判定することによって、企業に対して現在の閾値傾向スコアの有効性を評価し得る。加えて、セキュリティサービスは、企業の所望のレベルの偽陽性及び/又は偽陰性に基づいて、閾値傾向スコアを調整し得る。例えば、コンピューティングイベントの初期及び更新された傾向スコアに対して遡及的分析を実施することによって、セキュリティサービスは、企業の要求された偽陽性率及び偽陰性率を生成する閾値傾向スコアを識別し得る。
図6は、本明細書に記載及び/又は図示される実施形態のうちの1つ以上を実装することができる例示的なコンピューティングシステム610のブロック図である。例えば、コンピューティングシステム610のうちの全て又は一部は、単独で又は他の要素と組み合わせてのいずれかで、本明細書に記載されるステップのうちの1つ以上(図3に示されるステップのうちの1つ以上など)を実施し得、及び/又はそれを実施するための手段であり得る。コンピューティングシステム610のうちの全て又は一部はまた、本明細書に記載及び/若しくは図示される任意の他のステップ、方法、若しくはプロセスを実施してもよく、並びに/又はそれを実施するための手段であってもよい。
コンピューティングシステム610は、コンピュータ可読命令を実行することができる任意のシングル又はマルチプロセッサのコンピューティングデバイス又はシステムを幅広く表す。コンピューティングシステム610の例としては、非限定的に、ワークステーション、ラップトップ、クライアント側端末、サーバ、分散型コンピューティングシステム、ハンドヘルドデバイス、又は他の任意のコンピューティングシステム若しくはデバイスが挙げられる。その最も基本的な構成において、コンピューティングシステム610は、少なくとも1つのプロセッサ614及びシステムメモリ616を含んでもよい。
プロセッサ614は、一般に、データを処理すること又は命令を解釈及び実行することができる任意のタイプ又は形態の物理的処理ユニット(例えば、ハードウェア実装型中央処理ユニット)を表す。特定の実施形態では、プロセッサ614は、ソフトウェアアプリケーション又はモジュールから命令を受信し得る。これらの命令は、プロセッサ614に、本明細書に記載及び/又は図示される例示的な実施形態のうちの1つ以上の機能を実施させ得る。
システムメモリ616は、一般に、データ及び/又は他のコンピュータ可読命令を記憶することができる任意のタイプ又は形態の揮発性又は不揮発性の記憶デバイス又は媒体を表す。システムメモリ616の例としては、非限定的に、ランダムアクセスメモリ(RAM)、リードオンリーメモリ(ROM)、フラッシュメモリ、又は任意の他の好適なメモリデバイスが挙げられる。必須ではないが、特定の実施形態では、コンピューティングシステム610は、揮発性メモリユニット(例えば、システムメモリ616など)、及び不揮発性記憶デバイス(例えば、詳細に後述するような、一次記憶デバイス632など)の両方を含んでもよい。一実施例では、図1のモジュール102のうちの1つ以上は、システムメモリ616内にロードされ得る。
一部の実施例では、システムメモリ616は、プロセッサ614による実行のために、オペレーティングシステム640を記憶及び/又はロードし得る。一実施例では、オペレーティングシステム640は、コンピュータハードウェア及びソフトウェアリソースを管理し、並びに/又はコンピューティングシステム610上のコンピュータプログラム及び/若しくはアプリケーションに共通のサービスを提供する、ソフトウェア、を含み得る及び/又はそれを表し得る。オペレーティングシステム640の例としては、非限定的に、LINUX、JUNOS、MICROSOFT WINDOWS(登録商標)、WINDOWS(登録商標) MOBILE、MAC OS、APPLEのIOS、UNIX(登録商標)、GOOGLE CHROME OS、GOOGLEのANDROID(登録商標)、SOLARIS、それらのうちの1つ以上の変形形態、及び/又は任意の他の好適なオペレーティングシステムが挙げられる。
特定の実施形態では、例示的なコンピューティングシステム610はまた、プロセッサ614及びシステムメモリ616に加えて、1つ以上の構成要素又は要素も含み得る。例えば、図6に示すように、コンピューティングシステム610は、メモリコントローラ618、入力/出力(I/O)コントローラ620、及び通信インターフェース622を含み得、これらのそれぞれは、通信基盤612を介して相互接続され得る。通信基盤612は、一般に、コンピューティングデバイスの1つ以上の構成要素間の通信を容易にすることができる、任意のタイプ又は形態の基盤を表す。通信基盤612の例としては、非限定的に、通信バス(産業標準構成(ISA)、周辺装置相互接続(PCI)、PCIエクスプレス(PCIe)、又は類似のバスなど)、及びネットワークが挙げられる。
メモリコントローラ618は、一般に、メモリ若しくはデータを扱うこと、又はコンピューティングシステム610の1つ以上の構成要素間の通信を制御すること、ができる、任意のタイプ又は形態のデバイスを表す。例えば、特定の実施形態では、メモリコントローラ618は、通信基盤612を介して、プロセッサ614、システムメモリ616、及びI/Oコントローラ620の間の通信を制御してもよい。
I/Oコントローラ620は、一般に、コンピューティングデバイスの入出力機能を調整及び/又は制御することができる、任意のタイプ又は形態のモジュールを表す。例えば、特定の実施形態では、I/Oコントローラ620は、プロセッサ614、システムメモリ616、通信インターフェース622、ディスプレイアダプタ626、入力インターフェース630、及び記憶インターフェース634などの、コンピューティングシステム610の1つ以上の要素間におけるデータの転送を制御又は容易にし得る。
図6に示すように、コンピューティングシステム610はまた、ディスプレイアダプタ626を介してI/Oコントローラ620に連結された少なくとも1つのディスプレイデバイス624も含み得る。ディスプレイデバイス624は、一般に、ディスプレイアダプタ626によって転送された情報を視覚的に表示することができる、任意のタイプ又は形態のデバイスを表す。同様に、ディスプレイアダプタ626は、一般に、ディスプレイデバイス624上に表示するために通信基盤612から(又は当該技術分野において既知であるように、フレームバッファから)グラフィックス、テキスト、及び他のデータを転送するように構成されている任意のタイプ又は形態のデバイスを表す。
図6に示すように、例示的なコンピューティングシステム610はまた、入力インターフェース630を介してI/Oコントローラ620に連結された少なくとも1つの入力デバイス628も含み得る。入力デバイス628は、一般に、コンピュータ又は人間のいずれかが生成した入力を例示的なコンピューティングシステム610に提供することができる任意のタイプ又は形態の入力デバイスを表す。入力デバイス628の例としては、非限定的に、キーボード、ポインティングデバイス、音声認識デバイス、それらのうちの1つ以上の変形形態若しくは組み合わせ、及び/又は任意の他の入力デバイスが挙げられる。
それに加えて、又は代替的に、例示的なコンピューティングシステム610は、追加のI/Oデバイスを含み得る。例えば、例示的なコンピューティングシステム610は、I/Oデバイス636を含み得る。この実施例では、I/Oデバイス636は、コンピューティングシステム610との人間の相互作用を容易にするユーザインターフェースを含み得る及び/又はそれを表し得る。I/Oデバイス636の例としては、非限定的に、コンピュータマウス、キーボード、モニタ、プリンタ、モデム、カメラ、スキャナ、マイクロフォン、タッチスクリーンデバイス、それらのうちの1つ以上の変形形態若しくは組み合わせ、及び/又は任意の他のI/Oデバイスが挙げられる。
通信インターフェース622は、例示的なコンピューティングシステム610と1つ以上の追加のデバイスとの間の通信を容易にすることができる、任意のタイプ又は形態の通信デバイス又はアダプタを幅広く表す。例えば、特定の実施形態では、通信インターフェース622は、コンピューティングシステム610と、追加のコンピューティングシステムを含む私設又は公衆ネットワークとの間の通信を容易にし得る。通信インターフェース622の例としては、非限定的に、有線ネットワークインターフェース(ネットワークインターフェースカードなど)、無線ネットワークインターフェース(無線ネットワークインターフェースカードなど)、モデム、及び任意の他の好適なインターフェースが挙げられる。少なくとも1つの実施形態では、通信インターフェース622は、インターネットなどのネットワークへの直接リンクを介してリモートサーバへの直接接続を提供し得る。通信インターフェース622はまた、例えば、ローカルエリアネットワーク(イーサネット(登録商標)ネットワークなど)、パーソナルエリアネットワーク、電話若しくはケーブルネットワーク、セルラー電話接続、衛星データ接続、又は他の任意の好適な接続を通して、このような接続を間接的に提供してもよい。
特定の実施形態では、通信インターフェース622はまた、外部バス又は通信チャネルを介したコンピューティングシステム610と1つ以上の追加のネットワーク又は記憶デバイスとの間の通信を容易にするように構成されたホストアダプタも表し得る。ホストアダプタの例としては、非限定的に、小型コンピュータシステムインターフェース(SCSI)ホストアダプタ、ユニバーサルシリアルバス(USB)ホストアダプタ、米国電気電子学会(IEEE)1394ホストアダプタ、アドバンストテクノロジーアタッチメント(ATA)、パラレルATA(PATA)、シリアルATA(SATA)、及び外部SATA(eSATA)ホストアダプタ、ファイバーチャネルインターフェースアダプタ、イーサネット(登録商標)アダプタなどが挙げられる。通信インターフェース622はまた、コンピューティングシステム610が分散型又はリモートコンピューティングに関与することを可能にしてもよい。例えば、通信インターフェース622は、実行のために、リモートデバイスから命令を受信しても、リモートデバイスに命令を送信してもよい。
一部の実施例では、システムメモリ616は、プロセッサ614による実行のために、ネットワーク通信プログラム638を記憶及び/又はロードし得る。一実施例では、ネットワーク通信プログラム638は、コンピューティングシステム610が、別のコンピューティングシステム(図6には図示せず)とのネットワーク接続642を確立すること、及び/又は通信インターフェース622を介して他のコンピューティングシステムと通信すること、を可能にする、ソフトウェアを含み得る及び/又はそれを表し得る。この実施例では、ネットワーク通信プログラム638は、ネットワーク接続642を介して他のコンピューティングシステムに送信される発信トラフィックの流れを指示し得る。それに加えて、又は代替的に、ネットワーク通信プログラム638は、プロセッサ614と関連してネットワーク接続642を介して他のコンピューティングシステムから受信された着信トラフィックの処理を指示し得る。
図6にはこのようには示されていないが、ネットワーク通信プログラム638は、代替的に、通信インターフェース622に記憶及び/又はロードされ得る。例えば、ネットワーク通信プログラム638は、通信インターフェース622に組み込まれたプロセッサ及び/又は特定用途向け集積回路(ASIC)によって実行されるソフトウェア及び/又はファームウェアの少なくとも一部分を含み得る及び/又はそれを表し得る。
図6に示すように、例示的なコンピューティングシステム610はまた、記憶インターフェース634を介して通信基盤612に連結された、一次記憶デバイス632及びバックアップ記憶デバイス633も含み得る。記憶デバイス632及び633は、一般に、データ及び/又は他のコンピュータ可読命令を記憶することができる、任意のタイプ又は形態の記憶デバイス又は媒体を表す。例えば、記憶デバイス632及び633は、磁気ディスクドライブ(例えば、いわゆるハードドライブ)、ソリッドステートドライブ、フロッピーディスクドライブ、磁気テープドライブ、光ディスクドライブ、フラッシュドライブなどであり得る。記憶インターフェース634は、一般に、記憶デバイス632及び633とコンピューティングシステム610の他の構成要素との間でデータを転送するための、任意のタイプ又は形態のインターフェース又はデバイスを表す。一実施例では、図1の追加の要素120は、一次記憶デバイス632内に記憶及び/又はロードされ得る。
特定の実施形態では、記憶デバイス632及び633は、コンピュータソフトウェア、データ、又は他のコンピュータ可読情報を記憶するように構成された取り外し可能な記憶ユニットから読み取る及び/又はそれに書き込むように構成され得る。好適な取り外し可能な記憶ユニットの例としては、非限定的に、フロッピーディスク、磁気テープ、光ディスク、フラッシュメモリデバイスなどが挙げられる。記憶デバイス632及び633はまた、コンピュータソフトウェア、データ、又は他のコンピュータ可読命令がコンピューティングシステム610内にロードされることを可能にするための、他の同様の構造体又はデバイスを含んでもよい。例えば、記憶デバイス632及び633は、ソフトウェア、データ、又は他のコンピュータ可読情報を読み書きするように構成され得る。記憶デバイス632及び633はまた、コンピューティングシステム610の一部であってもよく、又は他のインターフェースシステムを通してアクセスされる別個のデバイスであってもよい。
他の多くのデバイス又はサブシステムが、コンピューティングシステム610に接続され得る。反対に、図6に示す構成要素及びデバイスの全てが、本明細書に記載及び/又は図示される実施形態を実践するために存在する必要があるわけではない。上記で言及したデバイス及びサブシステムはまた、図6に示されるものとは異なる方法で相互接続されてもよい。コンピューティングシステム610はまた、任意の数のソフトウェア、ファームウェア、及び/又はハードウェア構成を用いてもよい。例えば、本明細書で開示する例示的な実施形態のうちの1つ以上は、コンピュータ可読媒体上で、コンピュータプログラム(コンピュータソフトウェア、ソフトウェアアプリケーション、コンピュータ可読命令、又はコンピュータ制御論理とも称される)としてコード化されてもよい。「コンピュータ可読媒体」という用語は、本明細書で使用するとき、一般に、コンピュータ可読命令を格納又は保有することができる、任意の形態のデバイス、キャリア、又は媒体を指す。コンピュータ可読媒体の例としては、非限定的に、搬送波などの伝送型媒体、並びに磁気記憶媒体(例えば、ハードディスクドライブ、テープドライブ、及びフロッピーディスク)、光学記憶媒体(例えば、コンパクトディスク(CD)、デジタルビデオディスク(DVD)、及びブルーレイ(BLU−RAY(登録商標))ディスク)、電子記憶媒体(例えば、ソリッドステートドライブ及びフラッシュメディア)、並びに他の分散システムなどの非一時的媒体が挙げられる。
コンピュータプログラムを包含するコンピュータ可読媒体は、コンピューティングシステム610内にロードされ得る。コンピュータ可読媒体に記憶されたコンピュータプログラムのうちの全て又は一部は、次いで、システムメモリ616内に、並びに/又は記憶デバイス632及び633の様々な部分内に記憶され得る。プロセッサ614によって実行されるとき、コンピューティングシステム610内にロードされたコンピュータプログラムは、プロセッサ614に、本明細書に記載及び/若しくは図示される例示的な実施形態のうちの1つ以上の機能を実施させ得、並びに/又はそれらを実施するための手段とならせ得る。それに加えて、又は代替的に、本明細書に記載及び/又は図示される例示的な実施形態のうちの1つ以上は、ファームウェア及び/又はハードウェアに実装されてもよい。例えば、コンピューティングシステム610は、本明細書に開示される例示的な実施形態のうちの1つ以上を実装するように適合された特定用途向け集積回路(ASIC)として構成され得る。
図7は、クライアントシステム710、720、及び730、並びにサーバ740及び745がネットワーク750に連結され得る例示的なネットワークアーキテクチャ700のブロック図である。上で詳述したように、ネットワークアーキテクチャ700のうちの全て又は一部は、単独で又は他の要素と組み合わせてのいずれかで、本明細書に開示されるステップのうちの1つ以上(図3に示されるステップのうち1つ以上など)を実施し得、及び/又はそれを実施するための手段であり得る。ネットワークアーキテクチャ700のうちの全て又は一部はまた、本開示に記載される他のステップ及び特徴を実施するために使用されてもよく、並びに/又はそれを実施するための手段であってもよい。
クライアントシステム710、720、及び730は、一般に、図6の例示的なコンピューティングシステム610など、任意のタイプ又は形態のコンピューティングデバイス又はシステムを表す。同様に、サーバ740及び745は、一般に、様々なデータベースサービスを提供する及び/又は特定のソフトウェアアプリケーションを実行するように構成された、アプリケーションサーバ又はデータベースサーバなどのコンピューティングデバイス又はシステムを表す。ネットワーク750は、一般に、例えば、イントラネット、WAN、LAN、PAN、又はインターネットを含む、任意の電気通信ネットワーク又はコンピュータネットワークを表す。一実施例では、クライアントシステム710、720、及び/若しくは730、並びに/又はサーバ740及び/若しくは745は、図1のシステム100のうちの全て又は一部を含み得る。
図7に示すように、1つ以上の記憶デバイス760(1)〜(N)は、サーバ740に直接取り付けられ得る。同様に、1つ以上の記憶デバイス770(1)〜(N)は、サーバ745に直接取り付けられ得る。記憶デバイス760(1)〜(N)及び記憶デバイス770(1)〜(N)は、一般に、データ及び/又は他のコンピュータ可読命令を記憶することができる、任意のタイプ又は形態の記憶デバイス又は媒体を表す。特定の実施形態では、記憶デバイス760(1)〜(N)及び記憶デバイス770(1)〜(N)は、ネットワークファイルシステム(NFS)、サーバメッセージブロック(SMB)、又は共通インターネットファイルシステム(CIFS)などの様々なプロトコルを使用してサーバ740及び745と通信するように構成されたネットワーク接続ストレージ(NAS)デバイスを表し得る。
サーバ740及び745はまた、ストレージエリアネットワーク(SAN)ファブリック780に接続されてもよい。SANファブリック780は、一般に、複数の記憶デバイス間の通信を容易にすることができる、任意のタイプ又は形態のコンピュータネットワーク又はアーキテクチャを表す。SANファブリック780は、サーバ740及び745と、複数の記憶デバイス790(1)〜(N)及び/又はインテリジェント記憶アレイ795と、の間の通信を容易にし得る。SANファブリック780はまた、記憶デバイス790(1)〜(N)及びインテリジェント記憶アレイ795が、クライアントシステム710、720、及び730にローカルに取り付けられたデバイスとして現れるような方式で、ネットワーク750並びにサーバ740及び745を介して、クライアントシステム710、720、及び730と、記憶デバイス790(1)〜(N)及び/又はインテリジェント記憶アレイ795と、の間の通信を容易にしてもよい。記憶デバイス760(1)〜(N)及び記憶デバイス770(1)〜(N)と同様に、記憶デバイス790(1)〜(N)及びインテリジェント記憶アレイ795は、一般に、データ及び/又は他のコンピュータ可読命令を記憶することができる、任意のタイプ又は形態の記憶デバイス又は媒体を表す。
特定の実施形態では、図6の例示的なコンピューティングシステム610を参照すると、図6の通信インターフェース622などの通信インターフェースは、各クライアントシステム710、720、及び730とネットワーク750との間の接続を提供するために使用され得る。クライアントシステム710、720、及び730は、例えば、ウェブブラウザ又は他のクライアントソフトウェアを使用して、サーバ740又は745上の情報にアクセスすることが可能であり得る。かかるソフトウェアは、クライアントシステム710、720、及び730が、サーバ740、サーバ745、記憶デバイス760(1)〜(N)、記憶デバイス770(1)〜(N)、記憶デバイス790(1)〜(N)、又はインテリジェント記憶アレイ795によってホストされたデータにアクセスすることを可能にし得る。図7は、データを交換するために(インターネットなどの)ネットワークを使用することを示しているが、本明細書に記載及び/又は図示される実施形態は、インターネット又は任意の特定のネットワークベースの環境に限定されない。
少なくとも1つの実施形態では、本明細書に開示される例示的な実施形態のうちの1つ以上の全て又は一部は、コンピュータプログラムとしてコード化され、サーバ740、サーバ745、記憶デバイス760(1)〜(N)、記憶デバイス770(1)〜(N)、記憶デバイス790(1)〜(N)、インテリジェント記憶アレイ795、又はこれらの任意の組み合わせ上にロードされ、これらによって実行され得る。本明細書に開示される例示的な実施形態のうちの1つ以上の全て又は一部はまた、コンピュータプログラムとしてコード化され、サーバ740に記憶され、サーバ745によって実行され、ネットワーク750を通じてクライアントシステム710、720、及び730に分散されてもよい。
上で詳述したように、コンピューティングシステム610及び/又はネットワークアーキテクチャ700の1つ以上の構成要素は、単独で又は他の要素と組み合わせてのいずれかで、悪意のあるコンピューティングイベントを検出するための例示的な方法の1つ以上のステップを実施し得、及び/又はそれを実施するための手段であり得る。
前述の開示は、特定のブロック図、フローチャート、及び実施例を使用して様々な実施形態を記載しているが、本明細書に記載及び/又は図示されるそれぞれのブロック図の構成要素、フローチャートの工程、動作、及び/又は構成要素は、個別にかつ/又は集合的に、広範なハードウェア、ソフトウェア、又はファームウェア(若しくはそれらの任意の組み合わせ)の構成を使用して実装されてもよい。それに加えて、同じ機能性を達成するように他の多くのアーキテクチャを実装することができるので、他の構成要素内に包含される構成要素のいかなる開示も、本質的に例示と見なされるべきである。
一部の実施例では、図1の例示的なシステム100のうちの全て又は一部は、クラウドコンピューティング環境又はネットワークベースの環境の一部を表してもよい。クラウドコンピューティング環境は、インターネットを介して、様々なサービス及びアプリケーションを提供してもよい。これらのクラウドベースのサービス(例えば、サービスとしてのソフトウェア、サービスとしてのプラットフォーム、サービスとしての基盤など)は、ウェブブラウザ又は他のリモートインターフェースを通してアクセス可能であってもよい。本明細書に記載する様々な機能は、リモートデスクトップ環境又は他の任意のクラウドベースのコンピューティング環境を通して提供されてもよい。
様々な実施形態では、図1の例示的なシステム100のうちの全て又は一部は、クラウドベースのコンピューティング環境内におけるマルチテナンシーを容易にしてもよい。換言すれば、本明細書に記載するソフトウェアモジュールは、本明細書に記載する機能のうちの1つ以上に対するマルチテナンシーを容易にするように、コンピューティングシステム(例えば、サーバ)を構成してもよい。例えば、本明細書に記載するソフトウェアモジュールのうちの1つ以上は、2つ以上のクライアント(例えば、顧客)がサーバ上で作動しているアプリケーションを共有するのを可能にするように、サーバをプログラムしてもよい。このようにプログラムされたサーバは、複数の顧客(即ち、テナント)の間で、アプリケーション、オペレーティングシステム、処理システム、及び/又は記憶システムを共有してもよい。本明細書に記載するモジュールのうちの1つ以上はまた、ある顧客が別の顧客のデータ及び/又は設定情報にアクセスできないように、顧客ごとにマルチテナントアプリケーションのデータ及び/又は設定情報を分割してもよい。
様々な実施形態によれば、図1の例示的なシステム100のうちの全て又は一部は、仮想環境内で実装されてもよい。例えば、本明細書に記載するモジュール及び/又はデータは、仮想機械内で常駐及び/又は実行してもよい。本明細書で使用するとき、「仮想機械」という用語は、一般に、仮想機械マネージャ(例えば、ハイパーバイザ)によってコンピューティングハードウェアから抽出される、任意のオペレーティングシステム環境を指す。それに加えて、又は代替的に、本明細書に記載するモジュール及び/又はデータは、仮想化層内で常駐及び/又は実行してもよい。本明細書で使用するとき、「仮想化層」という用語は、一般に、オペレーティングシステム環境にオーバーレイする、並びに/あるいはそこから抽出される、任意のデータ層及び/又はアプリケーション層を指す。仮想化層は、基礎となる基本オペレーティングシステムの一部であるかのように仮想化層を提示する、ソフトウェア仮想化ソリューション(例えば、ファイルシステムフィルタ)によって管理されてもよい。例えば、ソフトウェア仮想化ソリューションは、最初に基本ファイルシステム及び/又はレジストリ内の場所に方向付けられる呼び出しを、仮想化層内の場所にリダイレクトしてもよい。
一部の実施例では、図1の例示的なシステム100のうちの全て又は一部は、モバイルコンピューティング環境の部分を表してもよい。モバイルコンピューティング環境は、携帯電話、タブレットコンピュータ、電子ブックリーダ、携帯情報端末、ウェアラブルコンピューティングデバイス(例えば、ヘッドマウントディスプレイを備えたコンピューティングデバイス、スマートウォッチなど)などを含む、広範なモバイルコンピューティングデバイスによって実装されてもよい。一部の実施例において、モバイルコンピューティング環境は、例えば、バッテリ電力への依存、任意の所与の時間での1つのみのフォアグラウンドアプリケーションの提示、リモート管理特性、タッチスクリーン特性、位置及び移動データ(例えば、グローバルポジショニングシステム、ジャイロスコープ、加速度計などによって提供される)、システムレベルの構成への修正を制限する、及び/又は第3者のソフトウェアが他のアプリケーションの挙動を検査する能力を限定する制限されたプラットフォーム、アプリケーションのインストールを(例えば、認可されたアプリケーションストアからのみ生じるように)制限する制御などを含む、1つ以上の個別の特性を有することができる。本明細書で説明される様々な機能は、モバイルコンピューティング環境に対して提供され得る、及び/又はモバイルコンピューティング環境と相互作用し得る。
それに加えて、図1の例示的なシステム100のうちの全て又は一部は、情報管理のための1つ以上のシステムの部分を表してもよく、それと相互作用してもよく、それによって生成されるデータを消費してもよく、かつ/又はそれによって消費されるデータを生成してもよい。本明細書で使用するとき、「情報管理」という用語は、データの保護、組織化、及び/又は記憶を指してもよい。情報管理のためのシステムの例としては、非限定的に、記憶システム、バックアップシステム、アーカイブシステム、複製システム、高可用性システム、データ検索システム、仮想化システムなどを挙げることができる。
一部の実施形態では、図1の例示的なシステム100のうちの全て又は一部は、情報セキュリティのための1つ以上のシステムの部分を表してもよく、それによって保護されるデータを生成してもよく、かつ/又はそれと通信してもよい。本明細書で使用するとき、「情報セキュリティ」という用語は、保護されたデータに対するアクセスの制御を指してもよい。情報セキュリティのためのシステムの例としては、非限定的に、管理されたセキュリティサービスを提供するシステム、データ損失防止システム、本人認証システム、アクセス制御システム、暗号化システム、ポリシー遵守システム、侵入検出及び防止システム、電子証拠開示システムなどを挙げることができる。
一部の実施例によれば、図1の例示的なシステム100のうちの全て又は一部は、エンドポイントセキュリティのための1つ以上のシステムの部分を表してもよく、それと通信してもよく、かつ/又はそれから保護を受けてもよい。本明細書で使用するとき、「エンドポイントセキュリティ」という用語は、不正及び/若しくは違法な使用、アクセス、並びに/又は制御からのエンドポイントシステムの保護を指してもよい。エンドポイント保護のためのシステムの例としては、非限定的に、アンチマルウェアシステム、ユーザ認証システム、暗号化システム、プライバシーシステム、スパムフィルタリングサービスなどを挙げることができる。
本明細書に記載及び/又は図示されるプロセスパラメータ及び工程の順序は、単なる例として与えられるものであり、所望に応じて変更することができる。例えば、本明細書に図示及び/又は記載される工程は特定の順序で図示又は考察されることがあるが、これらの工程は、必ずしも図示又は考察される順序で実施される必要はない。本明細書に記載される及び/又は図示される様々な例示的な方法はまた、本明細書に記載される及び/又は図示される工程のうちの1つ以上を省略してもよく、又は開示されるものに加えて追加の工程を含んでもよい。
種々の実施形態が、完全に機能的なコンピューティングシステムに関連して本明細書に記載され及び/又は図示されているが、これら例示的な実施形態のうちの1つ以上は、実際に配布を行うために使用されるコンピュータ可読記憶媒体の特定のタイプに関わらず、多様な形態のプログラム製品として配布され得る。本明細書に開示される実施形態はまた、特定のタスクを実施するソフトウェアモジュールを使用して実装されてもよい。これらのソフトウェアモジュールは、コンピュータ可読記憶媒体又はコンピューティングシステムに記憶されてもよい、スクリプト、バッチ、若しくは他の実行可能ファイルを含んでもよい。一部の実施形態では、これらのソフトウェアモジュールは、本明細書に開示される例示的な実施形態のうちの1つ以上を実施するようにコンピューティングシステムを構成してもよい。
それに加えて、本明細書に記載するモジュールのうちの1つ以上は、データ、物理的デバイス、及び/又は物理的デバイスの表現を、1つの形態から別の形態へと変換してもよい。例えば、本明細書に列挙されるモジュールのうちの1つ以上は、企業内で検出された変換されるコンピューティングイベントを受信し、閾値傾向スコアが悪意のあるコンピューティングイベントを正確に識別する程度にコンピューティングイベントを変換し、変換の結果を企業に出力し、変換の結果を使用して閾値傾向スコアを適切に調整し、変換の結果をサーバ又はデータベースに記憶し得る。それに加えて、又は代替的に、本明細書に列挙されるモジュールのうちの1つ以上は、コンピューティングデバイス上で実行し、コンピューティングデバイスにデータを格納し、並びに/あるいは別の方法でコンピューティングデバイスと相互作用することによって、プロセッサ、揮発性メモリ、不揮発性メモリ、及び/又は物理的コンピューティングデバイスの他の任意の部分を、1つの形態から別の形態へと変換してもよい。
上述の記載は、本明細書に開示される例示的な実施形態の様々な態様を他の当業者が最良に利用するのを可能にするために提供されてきた。この例示的な記載は、網羅的であることを意図するものではなく、又は開示される任意の正確な形態に限定することを意図するものではない。本開示の趣旨及び範囲から逸脱することなく、多くの修正及び変形が可能である。本明細書に開示される実施形態は、あらゆる点で例示的であり、限定的ではないものと見なされるべきである。本開示の範囲を決定する際に、添付の特許請求の範囲及びそれらの等価物を参照するべきである。
別途記載のない限り、「〜に接続される」及び「〜に連結される」という用語(並びにそれらの派生語)は、本明細書及び特許請求の範囲で使用するとき、直接的接続及び間接的接続(即ち、他の要素若しくは構成要素を介する)の両方を許容するものとして解釈されるものである。それに加えて、「a」又は「an」という用語は、本明細書及び特許請求の範囲で使用するとき、「〜のうち少なくとも1つ」を意味するものとして解釈されるものである。最後に、簡潔にするため、「含む」及び「有する」という用語(並びにそれらの派生語)は、本明細書及び特許請求の範囲で使用するとき、「備える」という単語と互換性があり、同じ意味を有する。

Claims (20)

  1. 悪意のあるコンピューティングイベントを検出するためのコンピュータ実装方法であって、前記方法の少なくとも一部分が、少なくとも1つのプロセッサを備えるコンピューティングデバイスによって実行され、前記方法が、
    企業内で検出された複数のコンピューティングイベントのそれぞれについて、現在利用可能なセキュリティ情報に基づいて前記コンピューティングイベントが悪意のあるものである可能性を示す初期傾向スコアを判定することと、
    各コンピューティングイベントの前記初期傾向スコアを、悪意のあるコンピューティングイベントを示す最小傾向スコアを表す閾値傾向スコアと比較することによって、悪意のある又は悪意のないものとして各コンピューティングイベントの初期分類を判定することと、
    前記コンピューティングイベントに対する前記初期傾向スコアが判定された後に、各コンピューティングイベントについて、
    前記初期傾向スコアが判定されたときに利用できなかった新しいセキュリティ情報に基づいて更新された傾向スコアと、
    前記更新された傾向スコアを前記閾値傾向スコアと比較することによって更新された分類と、を判定することと、
    各コンピューティングイベントの前記初期分類が前記コンピューティングイベントの前記更新された分類と一致する頻度を判定することによって、前記閾値傾向スコアが悪意のあるコンピューティングイベントを正しく識別する程度を計算することと、
    前記閾値傾向スコアが悪意のあるコンピューティングイベントを正しく識別する前記程度に基づいて前記閾値傾向スコアを調整することによって、前記企業をセキュリティ脅威から保護することと、を含む、方法。
  2. 前記複数のコンピューティングイベントが、
    前記企業内のエンドポイントデバイス上にファイルをダウンロードする試みと、
    前記企業内から外部エンティティに機密情報を配信する試みと、
    前記外部エンティティによる、前記企業内の前記機密情報にアクセスする試みと、のうちの少なくとも1つを含む、請求項1に記載の方法。
  3. バックエンドセキュリティサーバにおいて、前記企業内の少なくとも1つのエンドポイントデバイスにインストールされたセキュリティエージェントから前記複数のコンピューティングイベントを受信することを更に含む、請求項1に記載の方法。
  4. 前記エンドポイントデバイス上で検出された少なくとも1つのコンピューティングイベントを受信することは、前記コンピューティングイベントが検出された時点での前記エンドポイントデバイスの構成の少なくとも一部分を受信することを更に含み、
    前記コンピューティングイベントの前記更新された傾向スコアを判定することは、前記新しいセキュリティ情報を使用して前記エンドポイントデバイスの前記構成を再分析することを含む、請求項3に記載の方法。
  5. 各コンピューティングイベントの前記初期分類が前記コンピューティングイベントの前記更新された分類と一致する前記頻度を判定することが、
    悪意のあるものとしての初期分類と悪意のないものとしての更新された分類とを有するコンピューティングイベントの割合を計算することによって、前記閾値傾向スコアにより生成された偽陽性率を判定することと、
    悪意のないものとしての初期分類と悪意のあるものとしての更新された分類とを有するコンピューティングイベントの割合を計算することによって、前記閾値傾向スコアにより生成された偽陰性率を判定することと、を含む、請求項1に記載の方法。
  6. 前記閾値傾向スコアが悪意のあるコンピューティングイベントを正しく識別する前記程度を計算することが、前記偽陰性率に対する前記偽陽性率の比を計算することを含む、請求項5に記載の方法。
  7. 前記閾値傾向スコアを調整することが、
    前記企業内に実装されたセキュリティサービスの所望の厳格性に対応する偽陽性対偽陰性の所望の比を前記企業から受信することであって、偽陽性対偽陰性の高い比は厳格なセキュリティサービスに対応する、ことと、
    前記複数のコンピューティングイベントの前記初期傾向スコア及び前記更新された傾向スコアの遡及的分析に基づいて、前記偽陽性対偽陰性の所望の比を生成する最適な閾値傾向スコアを判定することと、を含む、請求項6に記載の方法。
  8. 初期傾向スコアが偽陽性であったコンピューティングイベントを識別することと、
    同様のコンピューティングイベントが悪意のないものとして分類されるように、前記識別されたコンピューティングイベントを前記企業内のホワイトリストに追加することと、を更に含む、請求項5に記載の方法。
  9. 前記閾値傾向スコアを調整することが、前記識別されたコンピューティングイベントを前記ホワイトリストに追加した後に、前記閾値傾向スコアを減少させることを含む、請求項8に記載の方法。
  10. 悪意のあるコンピューティングイベントを検出するためのシステムであって、前記システムが、
    メモリに記憶されているスコアリングモジュールであって、企業内で検出された複数のコンピューティングイベントのそれぞれについて、
    現在利用可能なセキュリティ情報に基づいて前記コンピューティングイベントが悪意のあるものである可能性を示す初期傾向スコアと、
    前記初期傾向スコアが判定されたときに利用できなかった新しいセキュリティ情報に基づいて更新された傾向スコアと、を判定する、スコアリングモジュールと、
    メモリに記憶されている分類モジュールであって、各コンピューティングイベントについて、
    前記コンピューティングイベントの前記初期傾向スコアを、悪意のあるコンピューティングイベントを示す最小傾向スコアを表す閾値傾向スコアと比較することによって、悪意のある又は悪意のないものとしての初期分類と、
    前記コンピューティングイベントの前記更新された傾向スコアを前記閾値傾向スコアと比較することによって、更新された分類と、を判定する、分類モジュールと、
    メモリに記憶されている計算モジュールであって、各コンピューティングイベントの前記初期分類が前記コンピューティングイベントの前記更新された分類と一致する頻度を判定することによって、前記閾値傾向スコアが悪意のあるコンピューティングイベントを正しく識別する程度を計算する、計算モジュールと、
    メモリに記憶されているセキュリティモジュールであって、前記閾値傾向スコアが悪意のあるコンピューティングイベントを正しく識別する前記程度に基づいて前記閾値傾向スコアを調整することによって、前記企業をセキュリティ脅威から保護する、セキュリティモジュールと、
    前記スコアリングモジュール、前記分類モジュール、前記計算モジュール、及び前記セキュリティモジュールを実行するように構成された少なくとも1つの物理プロセッサと、を備える、システム。
  11. 前記複数のコンピューティングイベントが、
    前記企業内のエンドポイントデバイス上にファイルをダウンロードする試みと、
    前記企業内から外部エンティティに機密情報を配信する試みと、
    前記外部エンティティによる、前記企業内の前記機密情報にアクセスする試みと、のうちの少なくとも1つを含む、請求項10に記載のシステム。
  12. バックエンドセキュリティサーバ内に実装された、前記スコアリングモジュールが、前記企業内の少なくとも1つのエンドポイントデバイスにインストールされたセキュリティエージェントから前記複数のコンピューティングイベントを更に受信する、請求項10に記載のシステム。
  13. 前記スコアリングモジュールは、前記コンピューティングイベントが検出された時点での前記エンドポイントデバイスの構成の少なくとも一部分を更に受信し、
    前記スコアリングモジュールは、前記新しいセキュリティ情報を使用して前記エンドポイントデバイスの前記構成を再分析することによって、前記コンピューティングイベントの前記更新された傾向スコアを判定する、請求項12に記載のシステム。
  14. 前記計算モジュールが、
    悪意のあるものとしての初期分類と悪意のないものとしての更新された分類とを有するコンピューティングイベントの割合を計算することによって、前記閾値傾向スコアにより生成された偽陽性率を判定することと、
    悪意のないものとしての初期分類と悪意のあるものとしての更新された分類とを有するコンピューティングイベントの割合を計算することによって、前記閾値傾向スコアにより生成された偽陰性率を判定することと、によって、各コンピューティングイベントの前記初期分類が前記コンピューティングイベントの前記更新された分類と一致する前記頻度を判定する、請求項10に記載のシステム。
  15. 前記計算モジュールが、前記偽陰性率に対する前記偽陽性率の比を計算することによって、前記閾値傾向スコアが悪意のあるコンピューティングイベントを正しく識別する前記程度を計算する、請求項14に記載のシステム。
  16. 前記セキュリティモジュールが、
    前記企業内に実装されたセキュリティサービスの所望の厳格性に対応する偽陽性対偽陰性の所望の比を前記企業から受信することであって、偽陽性対偽陰性の高い比は厳格なセキュリティサービスに対応する、ことと、
    前記複数のコンピューティングイベントの前記初期傾向スコア及び前記更新された傾向スコアの遡及的分析に基づいて、前記偽陽性対偽陰性の所望の比を生成する最適な閾値傾向スコアを判定することと、によって、前記閾値傾向スコアを調整する、請求項15に記載のシステム。
  17. 前記セキュリティモジュールが更に、
    初期傾向スコアが偽陽性であったコンピューティングイベントを識別し、
    同様のコンピューティングイベントが悪意のないものとして分類されるように、前記識別されたコンピューティングイベントを前記企業内のホワイトリストに追加する、請求項16に記載のシステム。
  18. 前記セキュリティモジュールが、前記識別されたコンピューティングイベントを前記ホワイトリストに追加した後に、前記閾値傾向スコアを減少させることによって、前記閾値傾向スコアを調整する、請求項17に記載のシステム。
  19. 1つ以上のコンピュータ可読命令を含む非一時的コンピュータ可読媒体であって、前記命令は、コンピューティングデバイスの少なくとも1つのプロセッサによって実行されるとき、前記コンピューティングデバイスに、
    企業内で検出された複数のコンピューティングイベントのそれぞれについて、現在利用可能なセキュリティ情報に基づいて前記コンピューティングイベントが悪意のあるものである可能性を示す初期傾向スコアを判定させ、
    各コンピューティングイベントの前記初期傾向スコアを、悪意のあるコンピューティングイベントを示す最小傾向スコアを表す閾値傾向スコアと比較することによって、悪意のある又は悪意のないものとして各コンピューティングイベントの初期分類を判定させ、
    前記コンピューティングイベントに対する前記初期傾向スコアが判定された後に、各コンピューティングイベントについて、
    前記初期傾向スコアが判定されたときに利用できなかった新しいセキュリティ情報に基づいて更新された傾向スコアと、
    前記更新された傾向スコアを前記閾値傾向スコアと比較することによって更新された分類と、を判定させ、
    各コンピューティングイベントの前記初期分類が前記コンピューティングイベントの前記更新された分類と一致する頻度を判定することによって、前記閾値傾向スコアが悪意のあるコンピューティングイベントを正しく識別する程度を計算させ、
    前記閾値傾向スコアが悪意のあるコンピューティングイベントを正しく識別する前記程度に基づいて前記閾値傾向スコアを調整することによって、前記企業をセキュリティ脅威から保護させる、コンピュータ可読媒体。
  20. 前記複数のコンピューティングイベントが、
    前記企業内のエンドポイントデバイス上にファイルをダウンロードする試みと、
    前記企業内から外部エンティティに機密情報を配信する試みと、
    前記外部エンティティによる、前記企業内の前記機密情報にアクセスする試みと、のうちの少なくとも1つを含む、請求項19に記載のコンピュータ可読媒体。
JP2019562252A 2017-02-14 2018-02-13 悪意のあるコンピューティングイベントを検出するためのシステム及び方法 Active JP6756933B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/431,795 US10320818B2 (en) 2017-02-14 2017-02-14 Systems and methods for detecting malicious computing events
US15/431,795 2017-02-14
PCT/US2018/017945 WO2018152087A1 (en) 2017-02-14 2018-02-13 Systems and methods for detecting malicious computing events

Publications (2)

Publication Number Publication Date
JP2020509511A true JP2020509511A (ja) 2020-03-26
JP6756933B2 JP6756933B2 (ja) 2020-09-16

Family

ID=61283365

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019562252A Active JP6756933B2 (ja) 2017-02-14 2018-02-13 悪意のあるコンピューティングイベントを検出するためのシステム及び方法

Country Status (5)

Country Link
US (1) US10320818B2 (ja)
EP (1) EP3583535A1 (ja)
JP (1) JP6756933B2 (ja)
CN (1) CN110383278A (ja)
WO (1) WO2018152087A1 (ja)

Families Citing this family (46)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2526501A (en) 2013-03-01 2015-11-25 Redowl Analytics Inc Modeling social behavior
US10320818B2 (en) * 2017-02-14 2019-06-11 Symantec Corporation Systems and methods for detecting malicious computing events
US11888859B2 (en) 2017-05-15 2024-01-30 Forcepoint Llc Associating a security risk persona with a phase of a cyber kill chain
US10999296B2 (en) 2017-05-15 2021-05-04 Forcepoint, LLC Generating adaptive trust profiles using information derived from similarly situated organizations
US10318729B2 (en) 2017-07-26 2019-06-11 Forcepoint, LLC Privacy protection during insider threat monitoring
WO2019136282A1 (en) * 2018-01-04 2019-07-11 Opaq Networks, Inc. Control maturity assessment in security operations environments
US10965697B2 (en) 2018-01-31 2021-03-30 Micro Focus Llc Indicating malware generated domain names using digits
US11108794B2 (en) * 2018-01-31 2021-08-31 Micro Focus Llc Indicating malware generated domain names using n-grams
US10911481B2 (en) 2018-01-31 2021-02-02 Micro Focus Llc Malware-infected device identifications
CN110324274B (zh) * 2018-03-28 2022-05-31 华为技术有限公司 控制终端接入网络的方法及网元
US11314787B2 (en) 2018-04-18 2022-04-26 Forcepoint, LLC Temporal resolution of an entity
RU2708356C1 (ru) * 2018-06-29 2019-12-05 Акционерное общество "Лаборатория Касперского" Система и способ двухэтапной классификации файлов
US11810012B2 (en) 2018-07-12 2023-11-07 Forcepoint Llc Identifying event distributions using interrelated events
US11755584B2 (en) 2018-07-12 2023-09-12 Forcepoint Llc Constructing distributions of interrelated event features
US11436512B2 (en) 2018-07-12 2022-09-06 Forcepoint, LLC Generating extracted features from an event
US10949428B2 (en) 2018-07-12 2021-03-16 Forcepoint, LLC Constructing event distributions via a streaming scoring operation
US11811799B2 (en) 2018-08-31 2023-11-07 Forcepoint Llc Identifying security risks using distributions of characteristic features extracted from a plurality of events
US11025659B2 (en) 2018-10-23 2021-06-01 Forcepoint, LLC Security system using pseudonyms to anonymously identify entities and corresponding security risk related behaviors
US11171980B2 (en) 2018-11-02 2021-11-09 Forcepoint Llc Contagion risk detection, analysis and protection
US11295011B2 (en) * 2019-01-08 2022-04-05 Vmware, Inc. Event-triggered behavior analysis
US11245720B2 (en) 2019-06-06 2022-02-08 Micro Focus Llc Determining whether domain is benign or malicious
GB201913893D0 (en) * 2019-09-26 2019-11-13 Palantir Technologies Inc Cybersecurity event detection system and method
US11477214B2 (en) * 2019-12-10 2022-10-18 Fortinet, Inc. Cloud-based orchestration of incident response using multi-feed security event classifications with machine learning
US11570197B2 (en) 2020-01-22 2023-01-31 Forcepoint Llc Human-centric risk modeling framework
US11630901B2 (en) 2020-02-03 2023-04-18 Forcepoint Llc External trigger induced behavioral analyses
US11429697B2 (en) 2020-03-02 2022-08-30 Forcepoint, LLC Eventually consistent entity resolution
US11836265B2 (en) 2020-03-02 2023-12-05 Forcepoint Llc Type-dependent event deduplication
US11563756B2 (en) 2020-04-15 2023-01-24 Crowdstrike, Inc. Distributed digital security system
US11645397B2 (en) 2020-04-15 2023-05-09 Crowd Strike, Inc. Distributed digital security system
US11568136B2 (en) 2020-04-15 2023-01-31 Forcepoint Llc Automatically constructing lexicons from unlabeled datasets
US11616790B2 (en) 2020-04-15 2023-03-28 Crowdstrike, Inc. Distributed digital security system
US11861019B2 (en) 2020-04-15 2024-01-02 Crowdstrike, Inc. Distributed digital security system
US11711379B2 (en) 2020-04-15 2023-07-25 Crowdstrike, Inc. Distributed digital security system
US11516206B2 (en) 2020-05-01 2022-11-29 Forcepoint Llc Cybersecurity system having digital certificate reputation system
US11544390B2 (en) 2020-05-05 2023-01-03 Forcepoint Llc Method, system, and apparatus for probabilistic identification of encrypted files
US11895158B2 (en) 2020-05-19 2024-02-06 Forcepoint Llc Cybersecurity system having security policy visualization
RU2762528C1 (ru) * 2020-06-19 2021-12-21 Акционерное общество "Лаборатория Касперского" Способ обработки событий информационной безопасности перед передачей на анализ
US11704387B2 (en) 2020-08-28 2023-07-18 Forcepoint Llc Method and system for fuzzy matching and alias matching for streaming data sets
US11190589B1 (en) 2020-10-27 2021-11-30 Forcepoint, LLC System and method for efficient fingerprinting in cloud multitenant data loss prevention
US11836137B2 (en) 2021-05-19 2023-12-05 Crowdstrike, Inc. Real-time streaming graph queries
US20240289458A1 (en) * 2021-06-11 2024-08-29 Telefonaktiebolaget Lm Ericsson (Publ) Method and Device Relating to Decision-Making Threshold
EP4396703A1 (en) * 2021-09-03 2024-07-10 Open Text Holdings, Inc. Systems and methods for asset based event prioritization for remote endpoint security
US12034751B2 (en) 2021-10-01 2024-07-09 Secureworks Corp. Systems and methods for detecting malicious hands-on-keyboard activity via machine learning
CN114003904B (zh) * 2021-12-31 2022-03-08 北京微步在线科技有限公司 情报共享方法、装置、计算机设备及存储介质
US12015623B2 (en) 2022-06-24 2024-06-18 Secureworks Corp. Systems and methods for consensus driven threat intelligence
US20240106838A1 (en) * 2022-09-23 2024-03-28 Secureworks Corp. Systems and methods for detecting malicious events

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006066982A (ja) * 2004-08-24 2006-03-09 Hitachi Ltd ネットワーク接続制御システム
JP2015522874A (ja) * 2012-06-08 2015-08-06 クラウドストライク インコーポレイテッド カーネルレベル・セキュリティ・エージェント
JP2016536667A (ja) * 2013-10-04 2016-11-24 ビットディフェンダー アイピーアール マネジメント リミテッド マルウェア検出のための複雑なスコアリング

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9525696B2 (en) * 2000-09-25 2016-12-20 Blue Coat Systems, Inc. Systems and methods for processing data flows
US7287280B2 (en) * 2002-02-12 2007-10-23 Goldman Sachs & Co. Automated security management
US7257630B2 (en) * 2002-01-15 2007-08-14 Mcafee, Inc. System and method for network vulnerability detection and reporting
US20040049698A1 (en) * 2002-09-06 2004-03-11 Ott Allen Eugene Computer network security system utilizing dynamic mobile sensor agents
US7437760B2 (en) * 2002-10-10 2008-10-14 International Business Machines Corporation Antiviral network system
WO2006036763A2 (en) * 2004-09-22 2006-04-06 Cyberdefender Corporation System for distributing information using a secure peer-to-peer network
US7730538B2 (en) * 2006-06-02 2010-06-01 Microsoft Corporation Combining virus checking and replication filtration
US20110047618A1 (en) * 2006-10-18 2011-02-24 University Of Virginia Patent Foundation Method, System, and Computer Program Product for Malware Detection, Analysis, and Response
US8572184B1 (en) * 2007-10-04 2013-10-29 Bitdefender IPR Management Ltd. Systems and methods for dynamically integrating heterogeneous anti-spam filters
US8667583B2 (en) * 2008-09-22 2014-03-04 Microsoft Corporation Collecting and analyzing malware data
US8572007B1 (en) 2010-10-29 2013-10-29 Symantec Corporation Systems and methods for classifying unknown files/spam based on a user actions, a file's prevalence within a user community, and a predetermined prevalence threshold
CN103138986B (zh) * 2013-01-09 2016-08-03 天津大学 一种基于可视分析的网站异常访问行为的检测方法
US9679131B2 (en) * 2013-01-25 2017-06-13 Cybereason Inc. Method and apparatus for computer intrusion detection
US9942246B2 (en) * 2013-09-02 2018-04-10 Shine Security Ltd. Preemptive event handling
US9710648B2 (en) * 2014-08-11 2017-07-18 Sentinel Labs Israel Ltd. Method of malware detection and system thereof
US9602525B2 (en) * 2015-02-27 2017-03-21 Cisco Technology, Inc. Classification of malware generated domain names
WO2016177437A1 (en) * 2015-05-05 2016-11-10 Balabit S.A. Computer-implemented method for determining computer system security threats, security operations center system and computer program product
US9699205B2 (en) 2015-08-31 2017-07-04 Splunk Inc. Network security system
US10599837B2 (en) * 2016-03-31 2020-03-24 International Business Machines Corporation Detecting malicious user activity
US20180041533A1 (en) * 2016-08-03 2018-02-08 Empow Cyber Security Ltd. Scoring the performance of security products
US10320818B2 (en) * 2017-02-14 2019-06-11 Symantec Corporation Systems and methods for detecting malicious computing events
US10243977B1 (en) * 2017-06-21 2019-03-26 Symantec Corporation Automatically detecting a malicious file using name mangling strings

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006066982A (ja) * 2004-08-24 2006-03-09 Hitachi Ltd ネットワーク接続制御システム
JP2015522874A (ja) * 2012-06-08 2015-08-06 クラウドストライク インコーポレイテッド カーネルレベル・セキュリティ・エージェント
JP2016536667A (ja) * 2013-10-04 2016-11-24 ビットディフェンダー アイピーアール マネジメント リミテッド マルウェア検出のための複雑なスコアリング

Also Published As

Publication number Publication date
WO2018152087A1 (en) 2018-08-23
CN110383278A (zh) 2019-10-25
JP6756933B2 (ja) 2020-09-16
US10320818B2 (en) 2019-06-11
US20180234434A1 (en) 2018-08-16
EP3583535A1 (en) 2019-12-25

Similar Documents

Publication Publication Date Title
JP6756933B2 (ja) 悪意のあるコンピューティングイベントを検出するためのシステム及び方法
JP6689992B2 (ja) 潜在的ランサムウェアを検出することに応答してファイルバックアップを変更するためのシステム及び方法
US10284587B1 (en) Systems and methods for responding to electronic security incidents
JP6364547B2 (ja) セキュリティイベントを標的型攻撃として分類するシステム及び方法
US20200082081A1 (en) Systems and methods for threat and information protection through file classification
US9838405B1 (en) Systems and methods for determining types of malware infections on computing devices
US9256727B1 (en) Systems and methods for detecting data leaks
US10735468B1 (en) Systems and methods for evaluating security services
US10489587B1 (en) Systems and methods for classifying files as specific types of malware
JP2019516160A (ja) セキュリティ脅威を検出するためのシステム及び方法
US9805204B1 (en) Systems and methods for determining that files found on client devices comprise sensitive information
US10574700B1 (en) Systems and methods for managing computer security of client computing machines
CA2915068C (en) Systems and methods for directing application updates
US10250588B1 (en) Systems and methods for determining reputations of digital certificate signers
US9385869B1 (en) Systems and methods for trusting digitally signed files in the absence of verifiable signature conditions
JP2019515388A (ja) セキュリティリスクプロファイルを決定するためのシステム及び方法
US8528090B2 (en) Systems and methods for creating customized confidence bands for use in malware detection
US9332025B1 (en) Systems and methods for detecting suspicious files
US10366233B1 (en) Systems and methods for trichotomous malware classification
US9934378B1 (en) Systems and methods for filtering log files
US9166995B1 (en) Systems and methods for using user-input information to identify computer security threats
JP2020510939A (ja) データ損失防止ポリシーを施行するためのシステム及び方法
US9900330B1 (en) Systems and methods for identifying potentially risky data users within organizations
US9942248B1 (en) Systems and methods for adjusting behavioral detection heuristics
US10169584B1 (en) Systems and methods for identifying non-malicious files on computing devices within organizations

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190731

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190731

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20190805

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200709

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200818

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200827

R150 Certificate of patent or registration of utility model

Ref document number: 6756933

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250