JP2020521383A5

JP2020521383A5 -

Info

Publication number: JP2020521383A5
Application number: JP2019563833A
Authority: JP
Filing date: 2018-05-18
Publication date: 2021-08-12
Anticipated expiration: 2038-05-18

Claims

組織が管理する内部ネットワークに対するセキュリティ脅威を識別するためのコンピュータ実装方法であって、前記方法が、
現在前記内部ネットワークに存在する内部インターネットプロトコール（ＩＰ）アドレスを識別するステップと、
前記内部ネットワークに対応するネットフローを取得するステップであって、
特定の時間間隔でインターネットを通過した全てのトラフィックを表すグローバルネットフローを取得すること、によるもの、および、
前記ネットフローを取得するために前記グローバルネットフローをフィルタリングすることであって、
（ｉ）前記内部ネットワークから始まる前記グローバルネットフローにおける第１トラフィック、および、（ｉｉ）前記内部ネットワークについて定められた前記グローバルネットフローにおける第２トラフィックを識別することにより、かつ、
前記第１トラフィックおよび前記第２トラフィックを、前記ネットフローとして精査されるように１つのデータセットへと統合することによるもの、であり、
前記ネットフローは、前記特定の時間間隔で前記内部ネットワークを通過した全てのトラフィックを表す、
ステップと、前記内部ＩＰアドレスと前記内部ネットワーク上に現在存在しない外部ＩＰアドレスとの間の通信を検出するために前記ネットフローを精査するステップと、
前記外部ＩＰアドレスで実行されているサービスから応答を引出すように設計されたクエリを送信することにより、前記外部ＩＰアドレスをプローブするステップと、
前記外部ＩＰアドレスで実行されている前記サービスから前記応答を受信するステップと、
前記ネットフローと前記応答に基づいて前記内部ネットワークに対するリスクレベルを評価するステップであって、前記リスクレベルが、前記内部ＩＰアドレスと前記外部ＩＰアドレスとの間の前記通信によってもたらされる潜在的な害を表示する、ステップと、
を備える、コンピュータ実装方法。
前記グローバルネットフローが、１つまたは複数のインターネットサービスプロバイダ（ＩＳＰ）から取得される、請求項１に記載のコンピュータ実装方法。
当該プローブするステップが、
現在前記内部ネットワークの外部に存在する複数の外部ＩＰアドレスの各外部ＩＰアドレスに、別々のクエリを送信するステップを、
備える、請求項１に記載のコンピュータ実装方法。
別個のクエリが、前記インターネットプロトコールバージョン４（ＩＰｖ４）空間内に存在する各外部ＩＰアドレスに、送信される、請求項３に記載のコンピュータ実装方法。
別個のクエリが、前記インターネットプロトコールバージョン６（ＩＰｖ６）空間内に存在する各外部ＩＰアドレスに、送信される、請求項３に記載のコンピュータ実装方法。
前記クエリが、前記外部ＩＰアドレスに送信された複数のクエリの１つであり、そして前記複数のクエリの各クエリが、前記対応する外部ＩＰアドレスで実行される複数のサービスの異なるサービスから応答を引出すように設計されている、請求項１に記載のコンピュータ実装方法。
プロセッサによって実施されると、前記プロセッサに実行させる操作が、格納されている非一時的コンピュータ可読媒体であって、前記操作が、
複数のソースから特定の時間間隔でインターネットを通過した全てのトラフィックを含むグローバルネットフローを取得するステップと、
組織に関連付けられている内部ネットワークについてローカルネットフローを取得するために前記グローバルネットフローをフィルタリングするステップであって、
（ｉ）前記内部ネットワークから始まる前記グローバルネットフローにおける第１トラフィック、および、（ｉｉ）前記内部ネットワークについて定められた前記グローバルネットフローにおける第２トラフィックを識別することにより、かつ、
前記第１トラフィックおよび前記第２トラフィックを、前記ローカルネットフローとして精査されるように１つのデータセットへと統合することによるもの、であり、
前記ローカルネットフローは、前記特定の時間間隔で前記内部ネットワークを通過した全てのトラフィックを含む、
ステップと、
前記内部ネットワークに存在する内部インターネットプロトコール（ＩＰ）アドレスと、前記内部ネットワークに存在しない外部ＩＰアドレスとに関与する通信アクティビティを検出するために、前記ローカルネットフローを精査するステップと、
前記内部ＩＰアドレス、前記外部ＩＰアドレス、または前記通信アクティビティに関与するデータパケットの特性に基づいて、前記通信アクティビティによって前記内部ネットワークにもたらされるリスクを評価するステップと、
を備える、非一時的コンピュータ可読媒体。
前記通信アクティビティが、前記内部ＩＰアドレスから前記外部ＩＰアドレスへの、前記内部ネットワークの境を越える前記データパケットの送信に関与する、請求項７に記載の非一時的コンピュータ可読媒体。
前記通信アクティビティが、前記外部ＩＰアドレスから前記内部ＩＰアドレスへの、前記内部ネットワークの境を越える前記データパケットの送信に関与する、請求項７に記載に記載の非一時的コンピュータ可読媒体。
前記特性が、前記データパケットのサイズである、請求項７に記載の非一時的コンピュータ可読媒体。
前記操作が、さらに、
前記外部ＩＰアドレスから応答を引出すように設計されているクエリを送信することにより、前記外部ＩＰアドレスをプローブするステップと、
前記外部ＩＰアドレスから応答を受信するステップであって、不正アクセスに対して脆弱であると判断されたサービスが、前記外部ＩＰアドレスで実行されているか否かを検出するために、当該評価するステップが、前記応答を分析するステップを備える、ステップと
を備える、請求項７に記載の非一時的コンピュータ可読媒体。
前記操作が、さらに、
前記外部ＩＰアドレスで実行されている特定のサービスから応答を引出すように設計されているクエリを送信することにより、前記外部ＩＰアドレスをプローブするステップと、
前記応答の受信に応じて、前記特定のサービスが、現在前記外部ＩＰアドレスで実行されていると決定するステップと、
を備える、請求項７に記載の非一時的コンピュータ可読媒体。
前記操作が、さらに、
前記内部ＩＰアドレスから応答を引出すように設計されているクエリを送信することにより、前記内部ＩＰアドレスをプローブするステップと、
前記内部ＩＰアドレスから前記応答を受信するステップであって、当該評価するステップが、前記不正アクセスに対して脆弱であると決定されたサービスが、前記内部ＩＰアドレスで実行されているか否かを検出するために、前記応答を分析するステップを備える、ステップと、
を備える、請求項１１に記載の非一時的コンピュータ可読媒体。
前記操作が、さらに、
精査中の前記内部ネットワークの履歴ローカルネットフローを精査するステップと、
前記履歴ローカルネットフローに少なくとも部分的に基づいて、閾値を生成するステップと、
前記ローカルネットフローを前記閾値と比較するステップであって、当該比較するステップにより、前記内部ネットワークが、前記履歴ローカルネットフローに基づいて予想されるよりも大きなトラフィック量を処理しているか否かについての決定を行うことが可能になる、ステップと、
を備える、請求項７に記載の非一時的コンピュータ可読媒体。
前記操作が、さらに、
前記外部ＩＰアドレスを、セキュリティリスクの増加に関連付けられていることが知られている前記外部ＩＰアドレスのリストと比較するステップ、
を備える、請求項７に記載の非一時的コンピュータ可読媒体。
組織が管理するネットワークに対するセキュリティ脅威を識別するための命令を含むメモリを備える電子デバイスであって、前記命令が、プロセッサによって実行されると、前記プロセッサに、次の動作：
特定の時間間隔でインターネットを通過した全てのトラフィックを含むグローバルネットフローを取得する動作；
ローカルネットフローを取得するために、前記グローバルネットフローをフィルタリングする動作であって、
（ｉ）前記ネットワークから始まる前記グローバルネットフローにおける第１トラフィック、および、（ｉｉ）前記ネットワークについて定められた前記グローバルネットフローにおける第２トラフィックを識別することにより、かつ、
前記第１トラフィックおよび前記第２トラフィックを、前記ローカルネットフローとして精査されるように１つのデータセットへと統合することによるもの、であり、
前記ローカルネットフローは、前記特定の時間間隔で前記ネットワークを通過した全てのトラフィックを含む、
動作；
前記ネットワークの境を越えたデータパケットの交換に関与する全ての通信アクティビティを識別するために、前記ローカルネットフローを解析する動作であって、各通信アクティビティが、前記ネットワーク上にある第１のインターネットプロトコール（ＩＰ）アドレスと、前記ネットワーク上にない第２のＩＰアドレスに関与する、動作；
通信アクティビティごとに、ターゲットＩＰアドレスで実行されているサービスから応答を引出すように設計されたクエリを送信することにより、前記第１のＩＰアドレスまたは前記第２のＩＰアドレスをプローブする動作；
送信されたクエリに対する全ての応答を含むアクティブプロービングデータを、その後の精査のためにリポジトリに格納する動作；そして
前記ローカルネットフローと前記アクティブプロービングデータに基づいて、前記ネットワークへの各通信アクティビティによってもたらされるリスクを評価する動作、
を行わせる、電子デバイス。
前記命令が、さらに、前記プロセッサに、以下の動作：
前記ネットワーク上に存在する前記通信アクティビティに関与する全てのＩＰアドレスの第１のリストを生成する動作；
前記第１のリストを、前記組織によって監視されている全てのＩＰアドレスの第２のリストと比較する動作；
前記第１のリストと前記第２のリストの間に不一致があると決定する動作；そして
前記組織によって現在監視されていない前記ローカルネットフローで発見された少なくとも１つのＩＰアドレスを指定する通知を生成する動作；
を行わせる、請求項１６に記載の電子デバイス。
当該プローブする動作が、定期的に実行される、請求項１６に記載の電子デバイス。
前記命令が、さらに、前記プロセッサに、以下の動作：
統一されたワークフローを作成するために、前記アクティブプロービングデータと前記ローカルネットフローとを統合する動作；および
前記統一されたワークフローに基づいて、前記ネットワークのアーキテクチャのモデルを形成する動作、
を行わせる、請求項１６に記載の電子デバイス。
前記複数のソースは、インターネットサービスプロバイダ（ＩＳＰ）、前記内部ネットワークの境に沿って装備されたフローコレクタ、前記組織によって管理されるデータベース、または、これらの任意の組み合わせ、を含む、
請求項１１に記載の非一時的コンピュータ可読媒体。