JP2020530922A - エッジネットワーキングのエンドポイントを動的にモデリングおよびグループ化する方法、システム、およびデバイス - Google Patents
エッジネットワーキングのエンドポイントを動的にモデリングおよびグループ化する方法、システム、およびデバイス Download PDFInfo
- Publication number
- JP2020530922A JP2020530922A JP2020503272A JP2020503272A JP2020530922A JP 2020530922 A JP2020530922 A JP 2020530922A JP 2020503272 A JP2020503272 A JP 2020503272A JP 2020503272 A JP2020503272 A JP 2020503272A JP 2020530922 A JP2020530922 A JP 2020530922A
- Authority
- JP
- Japan
- Prior art keywords
- endpoint
- network
- data
- devices
- endpoints
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000006855 networking Effects 0.000 title claims description 58
- 230000000694 effects Effects 0.000 claims description 76
- 238000000034 method Methods 0.000 claims description 75
- 238000004891 communication Methods 0.000 claims description 50
- 230000008569 process Effects 0.000 claims description 41
- 238000013473 artificial intelligence Methods 0.000 claims description 33
- 230000002547 anomalous effect Effects 0.000 claims description 29
- 238000012544 monitoring process Methods 0.000 claims description 21
- 238000003860 storage Methods 0.000 claims description 19
- 230000026676 system process Effects 0.000 claims description 18
- 241000700605 Viruses Species 0.000 claims description 9
- 238000010200 validation analysis Methods 0.000 claims description 6
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 claims description 3
- 238000010586 diagram Methods 0.000 abstract description 30
- 230000003542 behavioural effect Effects 0.000 abstract description 14
- 230000004044 response Effects 0.000 abstract description 9
- 238000011156 evaluation Methods 0.000 abstract 1
- 239000003795 chemical substances by application Substances 0.000 description 256
- 238000007726 management method Methods 0.000 description 198
- 230000006399 behavior Effects 0.000 description 58
- 238000004458 analytical method Methods 0.000 description 16
- 238000012545 processing Methods 0.000 description 16
- 235000014510 cooky Nutrition 0.000 description 15
- 230000009471 action Effects 0.000 description 12
- 230000008901 benefit Effects 0.000 description 10
- 230000005540 biological transmission Effects 0.000 description 10
- 230000015654 memory Effects 0.000 description 10
- 238000012986 modification Methods 0.000 description 10
- 230000004048 modification Effects 0.000 description 10
- 238000012800 visualization Methods 0.000 description 10
- 238000013507 mapping Methods 0.000 description 8
- 238000001514 detection method Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 230000008859 change Effects 0.000 description 5
- 230000001010 compromised effect Effects 0.000 description 5
- 230000001276 controlling effect Effects 0.000 description 5
- 238000010801 machine learning Methods 0.000 description 5
- 230000002265 prevention Effects 0.000 description 5
- 239000000243 solution Substances 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 230000002155 anti-virotic effect Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 238000013480 data collection Methods 0.000 description 3
- 238000005067 remediation Methods 0.000 description 3
- 238000007619 statistical method Methods 0.000 description 3
- 206010000117 Abnormal behaviour Diseases 0.000 description 2
- 244000035744 Hura crepitans Species 0.000 description 2
- 101100217298 Mus musculus Aspm gene Proteins 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 2
- 238000004220 aggregation Methods 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 239000002245 particle Substances 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000035755 proliferation Effects 0.000 description 2
- 230000001105 regulatory effect Effects 0.000 description 2
- 238000012502 risk assessment Methods 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 235000011034 Rubus glaucus Nutrition 0.000 description 1
- 244000235659 Rubus idaeus Species 0.000 description 1
- 235000009122 Rubus idaeus Nutrition 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000004931 aggregating effect Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 239000007844 bleaching agent Substances 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 229910052799 carbon Inorganic materials 0.000 description 1
- 239000006229 carbon black Substances 0.000 description 1
- 230000008602 contraction Effects 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000010460 detection of virus Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 238000004374 forensic analysis Methods 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 238000005096 rolling process Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 238000003892 spreading Methods 0.000 description 1
- 230000009747 swallowing Effects 0.000 description 1
- 230000001131 transforming effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/61—Installation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44521—Dynamic linking or loading; Link editing at or after load time, e.g. Java class loading
- G06F9/44526—Plug-ins; Add-ons
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
- H04L41/046—Network management architectures or arrangements comprising network management agents or mobile agents therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0895—Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
- H04L41/122—Discovery or management of network topologies of virtualised topologies, e.g. software-defined networks [SDN] or network function virtualisation [NFV]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/40—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/34—Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Medical Informatics (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Databases & Information Systems (AREA)
- Evolutionary Computation (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Hardware Redundancy (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本明細書に記載される様々な実施形態は、ネットワーク内のエンドポイントコンピュータデバイスからデータを収集する、エンドポイントのモデル化およびグループ分けの管理システムを開示する。実施形態によっては、エンドポイント上にインストールされたエージェントは、システムに深い可視性を提供するカーネルレベルでリアルタイム情報を収集することができる。実施形態によっては、本エンドポイントのモデル化およびグループ分けの管理システムは、エージェントによって収集されたデータの評価に応答して、挙動の類似性を識別することができる。実施形態によっては、本エンドポイントのモデル化およびグループ分けの管理システムは、エンドポイントの挙動の類似性および/または差異に基づいて、論理グループなどのグループ、およびクラスタエンドポイントを動的にモデル化することができる。実施形態によっては、本エンドポイントのモデル化およびグループ分けの管理システムは、挙動モデルをエージェントに送信して、エージェントが異変および/またはセキュリティ上の脅威を自律的に識別することを可能にする。【選択図】図2
Description
本明細書で開示される実施形態は、一般に、エッジネットワーキングのエンドポイントを動的にモデリングおよびグループ化するためのシステムおよび方法、特に、エンドポイントのコンピュータープロセスおよび電子通信への深い可視性によって可能になる技術的な行動分析に基づいてエンドポイントをモデリングおよびグループ化するためのシステムおよび方法に関する。
開示
エンタープライズネットワークに接続されたコンピューターエンドポイントでのウイルス、マルウェア、ランサムウェアなどの検出は、これらのシステムに保存されている機密情報とソフトウェアプログラムの維持と保護を担当する情報技術者にとって大規模な問題である。前述の課題は、ファイアウォールやデータアクセス管理システムの背後または内部に配置されたハードウェアに限定されなくなった今日の複雑なエンタープライズネットワークによってさらに複雑になる。クラウドコンピューティングストレージ施設とソフトウェア・アズ・ア・サービス(SaaS)機能の開発、およびスマートフォン、ラップトップ、タブレット、その他のデバイスなどのモバイルデバイスの急増により、通常、これらはすべてエンタープライズファイアウォールの外側にあり、エンタープライズネットワークは、ファイアウォールおよび/またはデータアクセス管理システムの背後または内部にあるハードウェアに含まれているだけではない。
エンタープライズネットワークに接続されたコンピューターエンドポイントでのウイルス、マルウェア、ランサムウェアなどの検出は、これらのシステムに保存されている機密情報とソフトウェアプログラムの維持と保護を担当する情報技術者にとって大規模な問題である。前述の課題は、ファイアウォールやデータアクセス管理システムの背後または内部に配置されたハードウェアに限定されなくなった今日の複雑なエンタープライズネットワークによってさらに複雑になる。クラウドコンピューティングストレージ施設とソフトウェア・アズ・ア・サービス(SaaS)機能の開発、およびスマートフォン、ラップトップ、タブレット、その他のデバイスなどのモバイルデバイスの急増により、通常、これらはすべてエンタープライズファイアウォールの外側にあり、エンタープライズネットワークは、ファイアウォールおよび/またはデータアクセス管理システムの背後または内部にあるハードウェアに含まれているだけではない。
むしろ、エンタープライズネットワークは、大まかに言って、固定境界ネットワークではなく、今や弾力性のあるネットワークである。したがって、最新のネットワークにより適したコンピュータネットワークのセキュリティ、管理、制御、アクセス、および監視のための新しいシステムと方法が必要である。
要約
この要約の目的のために、本発明の或る態様、利点、および新規の特徴を、本明細書で記載する。本発明の特定の実施形態に従って、そのような利点のすべてが必ずしも達成されるとは限らないことを理解されたい。したがって、例えば、当業者は、本明細書で教示または示唆され得る他の利点を必ずしも達成することなく、本明細書で教示される1つの利点または利点群を達成する方法で本発明を実施または実行できることを認識するであろう。
この要約の目的のために、本発明の或る態様、利点、および新規の特徴を、本明細書で記載する。本発明の特定の実施形態に従って、そのような利点のすべてが必ずしも達成されるとは限らないことを理解されたい。したがって、例えば、当業者は、本明細書で教示または示唆され得る他の利点を必ずしも達成することなく、本明細書で教示される1つの利点または利点群を達成する方法で本発明を実施または実行できることを認識するであろう。
いくつかの実施形態では、本明細書で説明するのは、エラスティックなコンピュータネットワークのセキュリティおよび完全性を保護するための動的エンドポイントベースのエッジネットワーキングシステムであり、そのシステムは以下を含む:複数のエージェント、ここで、複数のエージェントのそれぞれは、エラスティックなコンピュータネットワークを形成する複数のエンドポイントデバイスの1つであるターゲットエンドポイントデバイスにインストールされ、各複数のエージェントは、オペレーティングシステムプロセスの可視性およびターゲットエンドポイントデバイスのネットワークコミュニケーションを得るためにインストールするエージェント上の、ターゲットエンドポイントデバイスのオペレーティングシステムにアクセスすること;オペレーターおよびターゲットエンドポイントデータを得るターゲットエンドポイントデバイスのネットワークシステム、少なくとも1つのシステムプロセス、またはターゲットエンドポイントデバイスのネットワークプロセスに関する情報を構成するターゲットエンドポイントデータを監視すること;ターゲットエンドポイントデータを中央サーバシステムに伝達すること;ローカルセキュリティプロトコル、ターゲットエンドポイントデータに少なくとも部分的に基づいたターゲットエンドポイントデバイス上の1つ以上のローカル異常インジケータの使用を識別すること;並びにローカルセキュリティプロトコルに少なくとも部分的に基づいて、エンドポイントレベルで1つ以上のローカル異常インジケータに応答すること、ここで、ローカルセキュリティプロトコルは、複数のエンドポイントデバイスのそれぞれのローカルセキュリティを確保するように設計された1つ以上のルールセット、ポリシー、またはアクセス権を構成し;また中央サーバシステムは以下を構成する: 複数のコンピュータ実行可能命令を格納するように構成された1つ以上のコンピュータ読み取り可能なストレージデバイス;1つ以上のコンピュータ可読ストレージデバイスと通信する1つ以上のハードウェアコンピュータプロセッサであって、以下のことを行う中央サーバシステムの原因となるための、複数のコンピュータ実行可能な指示を実行するために構成された1つ以上のハードウェアコンピュータプロセッサ:ターゲットエンドポイントデバイス上にインストールされた各複数エージェントからのターゲットエンドポイントデータを受理すること:ネットワーク全体のアクティビティパターンを識別する各複数のエージェントから受理したターゲットエンドポイントを分析すること;ネットワーク全体のセキュリティプロトコルを使用して、特定されたネットワーク全体のアクティビティパターンに少なくとも部分的に基づいて、複数のエンドポイントデバイス全体のネットワークレベルで1つ以上のネットワーク全体の異常インジケータを識別すること;並びにネットワーク全体のセキュリティプロトコルに少なくとも部分的に基づいて、複数のエンドポイントデバイスにわたるネットワークレベルの1つ以上のネットワーク全体の異常インジケータに応答することである。
いくつかの実施形態では、本明細書で提供されるのは、動的エンドポイントベースのエッジネットワーキングシステムであり、ターゲットエンドポイントデバイスのオペレーティングシステムプロセスおよびネットワーク通信を監視することは、ターゲットエンドポイントアクティビティを継続的に検証および認証することを含む。
いくつかの実施形態では、本明細書では、複数のエンドポイントデバイスが1つ以上の携帯電話、サーバ、仮想マシン、ラップトップ、タブレット、デスクトップコンピュータ、モノのインターネット(IoT)デバイス、固定電話、ウェアラブルデバイス、またはスマートホームデバイスを含む動的なエンドポイントベースのエッジネットワーキングシステムが提供される。
いくつかの実施形態では、本明細書で提供されるのは、動的なエンドポイントベースのエッジネットワーキングシステムであり、ローカル異常インジケータは、ターゲットエンドポイントデバイス上の悪意のあるソフトウェアのアクティビティを構成する。
いくつかの実施形態では、悪意のあるソフトウェアには、ウイルス、マルウェア、ランサムウェア、アドウェア、スパイウェア、トロイの木馬、ワーム、ルートキット、スケアウェア、ローグウェア、アクティブコンテンツソフトウェア、または論理爆弾が含まれる。
いくつかの実施形態では、本明細書で提供されるのは、悪意のあるソフトウェアがゼロデイソフトウェアを構成する、動的なエンドポイントベースのエッジネットワーキングシステムである。
いくつかの実施形態では、本明細書で提供されるのは、動的エンドポイントベースのエッジネットワーキングシステムであり、ローカルセキュリティプロトコルに基づく1つ以上のローカル異常インジケータへの応答は、ターゲットデバイスの1つ以上のオペレーティングシステムプロセスまたはネットワーク通信をコントロールすることを構成する。
いくつかの実施形態では、ここで提供されるのは、動的なエンドポイントベースのエッジネットワーキングシステムであり、ローカルセキュリティプロトコルに基づく1つ以上のローカル異常インジケータへの応答は、ターゲットデバイスの1つ以上のオペレーティングシステムプロセスまたはネットワーク通信を制限することを含む。
いくつかの実施形態では、ここで提供されるのは、動的エンドポイントベースのエッジネットワーキングシステムであり、1つ以上のオペレーティングシステムプロセスまたはターゲットデバイスのネットワーク通信を制限することで、ターゲットエンドポイントにある悪意のあるソフトウェアを効果的に分離する。
いくつかの実施形態では、本明細書で提供されるのは、複数のエンドポイントデバイスのうちの少なくとも1つのエンドポイントデバイスが、コンピュータネットワークファイアウォールの外側に位置する、動的エンドポイントベースのエッジネットワーキングシステムである。
いくつかの実施形態では、本明細書で提供されるのは、動的エンドポイントベースのエッジネットワーキングシステムであり、1つ以上の中央サーバシステムまたは複数のエージェントは、ターゲットエンドポイントデータを分析して、ターゲットエンドポイントの典型的なネットワークアクセス行動および典型的なプロセッサ行動を決定するように、さらに構成される。
いくつかの実施形態では、本明細書で提供されるのは、動的なエンドポイントベースのエッジネットワーキングシステムであり、ターゲットエンドポイントの決定された典型的なネットワークアクセス行動および典型的なプロセッサ行動は、ローカルセキュリティプロトコルを更新するために使用される。
いくつかの実施形態では、本明細書で提供されるのは、動的エンドポイントベースのエッジネットワーキングシステムであり、1つ以上の人工知能(AI)技術が1つ以上の中央サーバシステムまたは複数のエージェントによって使用され、ターゲットエンドポイントデータを分析し、ターゲットエンドポイントの典型的なネットワークアクセス行動および典型的なプロセッサ行動を分析する。
いくつかの実施形態では、本明細書で提供されるのは、動的エンドポイントベースのエッジネットワーキングシステムであり、中央サーバシステムは、複数のエンドポイントの1つ以上のエンドポイントを、さらにエンドポイントクラスタにグループ化する原因となり、エンドポイントクラスタの1つ以上のエンドポイントは、1つ以上の同様の処理またはネットワークアクセスパターンを構成することである。
いくつかの実施形態では、本明細書で提供されるのは、動的エンドポイントベースのエッジネットワーキングシステムであり、中央サーバシステムはさらに、共通ローカルセキュリティプロトコルを生成し、エンドポイントクラスタの1つ以上のエンドポイントのそれぞれに割り当てる。
いくつかの実施形態では、本明細書で提供されるのは、動的エンドポイントベースのエッジネットワーキングシステムであり、複数のエージェントのそれぞれは、ターゲットエンドポイントデバイスのポイントインタイム検証を実行するようにさらに構成され、ポイントインタイム検証は、ターゲットのエンドポイントデバイスにローカル異常インジケータが存在する。
いくつかの実施形態では、本明細書で提供されるのは、動的エンドポイントベースのエッジネットワーキングシステムであり、ローカル異常インジケータは、ターゲットエンドポイントデバイス上のローカル異常活動のパターンである。
いくつかの実施形態では、ここで提供されるのは、動的エンドポイントベースのエッジネットワーキングシステムであり、ローカルセキュリティプロトコルまたはネットワーク全体のセキュリティプロトコルの1つ以上が、ネットワーク管理者によって手動で設定される。
いくつかの実施形態では、本明細書で提供されるのは、動的なエンドポイントベースのエッジネットワーキングシステムであり、ローカルセキュリティプロトコルまたはネットワーク全体のセキュリティプロトコルの1つ以上は、事前設定されたルールセットに基づいている。
いくつかの実施形態では、本明細書で提供される動的エンドポイントベースのエッジネットワーキングシステムでは、ローカルセキュリティプロトコルまたはネットワーク全体のセキュリティプロトコルの1つ以上が、中央サーバシステムまたは複数のエージェントの1つ以上によって自動的に生成および割り当てられる。
いくつかの実施形態では、本明細書で提供されるのは、動的なエンドポイントベースのエッジネットワーキングシステムであり、複数のエンドポイントデバイスのそれぞれに対して一意のローカルセキュリティプロトコルが生成される。
いくつかの実施形態では、本明細書で提供されるのは、動的エンドポイントベースのエッジネットワーキングシステムであり、ローカルセキュリティプロトコルは、ターゲットエンドポイントデバイスの1つ以上のオペレーティングシステムプロセスまたはネットワーク通信に基づいて、1つ以上の中央サーバまたは複数のエージェントによって動的に更新される。
いくつかの実施形態では、本明細書で提供されるのは、動的なエンドポイントベースのエッジネットワーキングシステムであり、ローカルセキュリティプロトコルは、ターゲットエンドポイントデバイスと複数のエンドポイントデバイスの別のエンドポイントデバイスの間、ターゲットエンドポイントデバイスと外部サービスまたはシステムの間、もしくはターゲットポイントデバイスと内部サービスまたはシステムの間のアクセスを制限または許可するための1つ以上のポリシーを含む。
いくつかの実施形態では、本明細書で提供されるのは、動的エンドポイントベースのエッジネットワーキングシステムであり、複数のエージェントは、可視ネットワークをスキャンして、ネットワーク内またはネットワークに近接するデバイスを識別するよう、さらに構成される。
いくつかの実施形態では、本明細書で提供されるのは、動的エンドポイントベースのエッジネットワーキングシステムであり、スキャンは、発見プロトコルを利用して、ネットワーク内またはネットワークに近接するデバイスを識別し、そこからデータを取得することを含む。
いくつかの実施形態では、本明細書で提供されるのは、動的エンドポイントベースのエッジネットワーキングシステムであり、ネットワーク内またはネットワークに近接するデバイスから取得したデータは、オペレーティングシステムタイプ、デバイスタイプ、IPアドレス、またはMACアドレスの1つ以上を構成する。
いくつかの実施形態では、本明細書で提供されるのは、動的なエンドポイントベースのエッジネットワーキングシステムであり、ローカルセキュリティプロトコルに基づく1つ以上のローカル異常インジケータへの応答は、ターゲットエンドポイントデバイスへのアクセスを除く、ターゲットエンドポイントデバイスのデータアクセス権の変更の1つ以上を含むユーザによって、またはターゲットエンドポイントデバイスをロックする。
いくつかの実施形態では、ここで提供されるのは、エラスティックなコンピュータネットワークのセキュリティと整合性を保護するためのコンピュータ実装方法であり、エラスティックなコンピュータネットワークを形成する複数のエンドポイントデバイスの各ソフトウェアエージェントをインストールすること;各ソフトウェアエージェントによって、オペレーティングシステムプログラムおよびエンドポイントデバイスのネットワーク通信の可視性を取得するためにインストールしたソフトウェアエージェント上の、エンドポイントデバイスのオペレーティングシステムにアクセスすること;ソフトウェアエージェントによって、オペレーティングシステムおよびエンドポイントデータ、少なくとも1つのシステムプロセスまたはエンドポイントデバイスのネットワークプロセスに関する情報を構成するエンドポイントデータを得る、エンドポイントデバイスのネットワーク通信を監視すること;各ソフトウェアエージェントによって、エンドポイントデータを中央サーバシステムに伝達すること;ローカルセキュリティプロトコルを使用するソフトウェアエージェントによって、エンドポイントデータの少なくとも一か所に基づくエンドポイント上の1つ以上のローカル以上インジケータを認識すること;各ソフトウェアエージェントによって、ローカルセキュリティプロトコル上の少なくとも一か所に基づく、エンドポイント上の1つ以上のローカル異常インジケータに応答すること、ここで、ローカルセキュリティプロトコルは、 複数のエンドポイントデバイスの各ローカルセキュリティを確保するように設計された1つ以上のルールセット、ポリシー、またはアクセス権を構成する;中央サーバシステムによって、各複数のエンドポイントデバイス上の各ソフトウェアエージェントからエンドポイントデータを受理すること;ネットワーク全体のアクティビティパターンを識別する各複数のエンドポイントデバイス上の各ソフトウェアエージェントより受理したエンドデータを分析すること;ネットワーク全体のセキュリティプロトコルを使用する中央サーバシステムによって、識別されたネットワーク全体のアクティブパターンの少ない一か所を基にした、複数のエンドポイントデバイスにわたるネットワークレベルの1つ以上のネットワーク全体の異常インジケータを識別すること;並びに 中央サーバシステムによって、ネットワーク全体のセキュリティプロトコル上の少なくとも一か所に基づく、複数のエンドポイントデバイスにわたるネットワークレベルの1つ以上のネットワーク全体の異常インジケータに応答すること、ここで、中央サーバシステムは、コンピュータプロセッサと電子記憶媒体を構成する。
いくつかの実施形態では、本明細書で提供されるのは、複数のエンドポイントデバイスのうちの、少なくとも1つのエンドポイントデバイスが、コンピュータネットワークファイアウォールの外側に位置する、コンピュータ実装方法である。
いくつかの実施形態では、本明細書で提供されるのは、複数のエンドポイントデバイスの一部について共通のローカルセキュリティプロトコルが生成され、複数のエンドポイントデバイスの別の部分について、一意のローカルセキュリティプロトコルが生成される、コンピュータ実装方法が提供されることである。
本明細書で説明される装置および方法のより良い理解は、添付の図面と併せて以下の説明を参照することにより理解されるであろう。
図1Aは、ファイアウォールおよび/またはデータアクセス管理システムに基づく、従来のエンタープライズネットワーク境界を示すブロック図である;
図1Bは、外部デバイスおよびクラウドサービスを伴う、ファイアウォールおよび/またはデータアクセス管理システムに基づく、従来のエンタープライズネットワーク境界を示す、ブロック図である;
図1Cは、いくつかの実施形態による、エンドポイントモデリングおよびグループ化管理システムおよびエンドポイントにインストールされたエージェントを使用する、ネットワーク境界を示す、ブロック図である;
図1Dは、いくつかの実施形態による、インストールされたエージェントを伴う、エンドポイントのグループ化を示すブロック図である;
図1Eは、いくつかの実施形態による、グループ化にアクセス制限を適用するように構成できる、エンドポイントモデリングおよびグループ化管理システムによるグループ化を示す、ブロック図である;
図1Fは、いくつかの実施形態による、様々なグループ化を示す、ブロック図である;
図1Gは、いくつかの実施形態による、境界内および境界外エンドポイントの様々なグループ化を示す、ブロック図である;
図1Hは、いくつかの実施形態による、異なるアクセス制限を伴う様々なグループ化を示す、ブロック図である;
図1Iは、いくつかの実施形態による、異常な行動の識別を示すブロック図である;
図1Jは、 いくつかの実施形態による、非管理エンドポイントへのエージェントの展開を示す、ブロック図である;
図2は、いくつかの実施形態による、人工知能(AI)を使用する、例示的なエッジネットワークを示す図である;
図3は、いくつかの実施形態による、完全にエラスティックなエッジグリッド内の、エッジネットワークを示す図である;
図4は、いくつかの実施形態による、エンドポイントモデリングおよびグループ化管理システムを示す概略図である;
図5は、いくつかの実施形態による、エンドポイントモデリングおよびグループ化管理システムの1つ以上の実施形態を実装するための、ソフトウェアを実行するように構成された、コンピュータハードウェアシステムを示すブロック図である;
図6は、いくつかの実施形態による、エンドポイントからデータを収集する、1つ以上のエージェントを示すブロック図である;
図7は、いくつかの実施形態による、エージェントが収集できるデータの、グラフィカルユーザインターフェースである;
図8は、エンドポイントモデリングおよびグループ化管理システムの、いくつかの実施形態による、エージェントから収集されたデータの分析に基づいた、1つ以上のエージェントへの、1つ以上のモデルの伝達を示す、フロー図である;
図9は、いくつかの実施形態による、グループビューのグラフィカルユーザインターフェースである;
図10は、いくつかの実施形態による、グループ、データセンタ、およびサービスをリストするダッシュボードの、グラフィカルユーザインターフェースである;
図11は、いくつかの実施形態による、グループおよび関連する違反の、グラフィカルユーザインターフェースである;
図12は、いくつかの実施形態による、2つのサーバおよび2つのサービスへのアクセスコントロールを伴うグループの、グラフィカルユーザインターフェースである;
図13は、いくつかの実施形態による、サーバへのアクセスコントロール、2つのサービス、およびローカルデータベースファイルストレージを伴う、グループのグラフィカルユーザインターフェースである;並びに
図14は、いくつかの実施形態による、グループおよび関連する特性のリストの、グラフィカルユーザインターフェースである。
詳細な説明
いくつかの実施形態、例、および実例を以下に開示するが、本明細書に記載の本発明は、具体的に開示された実施形態、実例、および実例を超え、本発明の他の使用および明白な修正および同等物を含むことが当業者によって理解されるであろう。本発明の実施形態は、添付の図面を参照して記載され、類似の数字は全体を通して類似の要素を指す。本明細書で提示される説明で使用される用語は、本発明の特定の特定の実施形態の詳細な説明と併せて、使用されているという理由だけで、限定または限定的に解釈されることを意図しない。加えて、本発明の実施形態は、いくつかの新規な特徴を構成することができ、単一の特徴がその望ましい属性を単独で担い、または本明細書に記載の発明を実施するのに不可欠ではない。
いくつかの実施形態、例、および実例を以下に開示するが、本明細書に記載の本発明は、具体的に開示された実施形態、実例、および実例を超え、本発明の他の使用および明白な修正および同等物を含むことが当業者によって理解されるであろう。本発明の実施形態は、添付の図面を参照して記載され、類似の数字は全体を通して類似の要素を指す。本明細書で提示される説明で使用される用語は、本発明の特定の特定の実施形態の詳細な説明と併せて、使用されているという理由だけで、限定または限定的に解釈されることを意図しない。加えて、本発明の実施形態は、いくつかの新規な特徴を構成することができ、単一の特徴がその望ましい属性を単独で担い、または本明細書に記載の発明を実施するのに不可欠ではない。
エンタープライズネットワークに接続されたコンピューターエンドポイントでのウイルス、スパイウェア、トロイの木馬、ランサムウェアなどの悪意のあるソフトウェア(以下、総称して「マルウェア」と呼ぶ)の検出は、それらのシステムに保存される情報とソフトウェアプログラムの維持と保護を担当する情報技術者にとって大規模な問題である。前述の課題は、ファイアウォールおよび/またはデータアクセス管理システムの背後または内部に配置された、ハードウェアに限定されなくなった、今日の複雑なエンタープライズネットワークによって、さらに複雑になる。クラウドコンピューティングストレージ施設とサービスとしてのソフトウェア(SaaS)機能の開発、およびスマートフォン、ラップトップ、タブレット、その他のデバイスなどのモバイルデバイスの急増により、これらはすべて一般にエンタープライズファイアウォールの外側にあり、エンタープライズネットワークファイアウォールおよび/またはデータアクセス管理システム内の外部からネットワークと通信する複数のハードウェアデバイスで構成される。
むしろ、エンタープライズネットワークは、大まかに言って、固定境界ネットワークと反対の、エラスティックネットワークになった。エラスティックネットワークでは、企業データおよび/またはエンタープライズソフトウェアシステムをマルウェアから保護するという課題はより複雑になる、なぜならIT管理者がファイアウォールおよび/またはデータアクセス管理システム内のコンピューティングデバイスだけでなく、相互作用するコンピューティングデバイスも保護する必要があるからである。例えば、 特に、モバイルデバイスがファイアウォールを通過し、ファイアウォール内のシステムとデータまたはファイアウォール内のエンドポイントに接続されている、他のクラウドコンピューティングシステムにアクセスする許可を持っている場合、エンタープライズファイアウォールおよび/またはデータアクセス管理システムの外部にあり、ウイルスまたは悪意のあるソフトウェアに感染しているモバイルデバイスは、エンタープライズデータおよび/またはエンタープライズファイアウォールおよび/またはデータアクセス管理システム内のシステムを侵害する可能性がある。
特定のアンチウイルスシステムは、既知のウイルス、マルウェア、ランサムウェアなどの検出にのみ焦点を当てており、そのようなシステムはゼロデイ(意味、以前は不明)マルウェアからの保護をほとんど提供しない。現在のマルウェアの多くは、ソフトウェアファイルに関連付けられた新しいデジタル署名を作成するなど、自身を継続的に変身させ、このようなマルウェアの「ブラックリスト」デジタル著名に依存する従来のアンチウイルスシステムによる検出を回避できるように構成されている。従って、特に、エンタープライズネットワークがファイアウォールやデータアクセス管理システム内だけでなく、エラスティックエッジネットワークまたはグリッドのファイアウォールおよび/またはデータアクセス管理システムの外部にも存在するコンピューティング環境では、既知および未知のマルウェアから企業データおよび/またはソフトウェアシステムを保護するように構成されたシステムが必要である。
前述の課題に対処するために、本開示は、エンドポイントデバイスのプロセスおよび/またはネットワークアクセスを自動的かつ動的に制御するためのシステム、方法、およびデバイスを示し、そのようなデバイスは、エンタープライズファイアウォールおよび/またはデータアクセス管理システムの内部または外部に配置される。エンドポイントのプロセスおよび/またはネットワークアクセスをコントロールすることは有益である。なぜなら エンドポイントが影響する場合、ここに開示されたシステムは、エンドポイントを防止するように構成できるため、エンドポイントで動作しているマルウェアが特定のネットワーク接続にアクセスしたり、特定のプロセスを実行したりすることを防ぐことができ、これらはすべて、マルウェアをコントロールしたり、マルウェアの到達範囲を制限したり、マルウェアが他のシステムに拡散したり、企業データを操作したりするのを防ぐことができる。
言い換えれば、ここに開示されたシステムは、エンドポイントがエンタープライズファイアウォールおよび/またはデータアクセス管理システムの内外に存在するか否かに関わらず、エラスティックネットワーク上のすべてのエンドポイントデバイスに対して安全な保護環境を作成するように構成できる。或る実施形態では、システムは、エラスティックネットワーク内のすべてまたは一部のエンドポイントの動作特性の分析に基づいて、エラスティックネットワーク内のエンドポイントに対して安全な保護環境を作成し、エンドポイントに付与するデータアクセスおよび/またはネットワークアクセス権限を決定するように構成できる。多くの場合、マルウェアにより、エンドポイントはプロセスを実行したり、エンドポイントが通常実行またはアクセスしない特定のネットワークパスにアクセスしたりする。従って、異常なパフォーマンスプロセスおよび/または異常なネットワークアクセスを防止することによって、システムは、ウイルス、マルウェア、ランサムウェアなどが、エンドポイントデバイスおよび/またはエンタープライズシステムやデータの損害の原因を防ぐことができる。
いくつかの実施形態では、ここに開示されているシステム、デバイス、および方法は、システム内のさまざまなレベルの粒度で、エンドポイントデータを継続的に収集し、個々のエンドポイントおよび全体としてのネットワークの信頼性を永続的に検証および確立できる、初期の「ゼロトラスト」セキュリティアーキテクチャを作成する概念に基づいて設計できる。既存のセキュリティモデルは、ポイントインタイム認証に基づくため、認証と認証の間に、エンドポイントデバイスまたはネットワークの整合性を確保することができない。本明細書で説明されるシステム、デバイス、および方法は、ポイントインタイム認証を提供できるがいくつかの実施形態では、設計の重要な側面は、ネットワークとそのさまざまなエンドポイントデバイスの整合性の検証の継続的な性質と、ユーザのIDの検証である。いくつかの実施形態では、この検証は、個々のエンドポイント、グループ、およびネットワーク全体の使用パターンの人工知能(AI)による分析を通じて確立される。いくつかの実施形態では、この分析の中心は、エンドポイントデバイスからのデータの継続的な監視と収集、およびユーザ、エンドポイントデバイス、グループ、サブネットワーク、ネットワークセグメント、またはネットワーク全体のベースライン使用量の決定である。 一旦、確立されると、ベースラインの使用状況を継続的に更新し、現在の使用状況と比較して、ユーザおよびエンドポイントデバイスを永続的に認証できる。言い換えれば、本明細書に記載されるシステムは、ネットワークレベルから個々のユーザおよび/またはエンドポイントデバイスに至るまで、様々なレベルの粒度での使用の期待を確立し、その期待を現在の実際の使用と比較して、常に検証を実行できる。いくつかの実施形態では、システムは、エンドポイントデバイスおよびエンドポイントデバイスを使用するユーザの両方の整合性を個別に検証することが可能である。
或る実施形態では、本明細書に開示するシステムは、エンドポイントにエージェントをインストールするように構成できる。或る実施形態では、エージェントは、エンドポイントで発生する、プロセスおよび/またはネットワークトラフィックを分析するように、構成できる。或る実施形態では、エージェントは、このような分析データを中央コンピューティングサーバシステムに伝達するように構成できる。或る実施形態では、中央コンピューティングサーバシステムは、データを分析して、エンドポイントの一般的なネットワークアクセス動作および/または一般的なプロセッサ動作を決定するように構成できる。或る実施形態では、エージェントは、データを分析して、エンドポイントの典型的なネットワークアクセス動作および/または典型的なプロセッサ動作を決定するように構成されており、或る実施形態では、エージェントと中央サーバの両方が、エンドポイントのこのような動作分析を実行するように構成される。或る実施形態では、人工知能(AI)技術は、そのような行動分析を実行するために、エージェントおよび/または中央サーバによって採用される。このような動作分析に基づいて、エージェントおよび/または中央サーバは、エンドポイントの典型的なプロセスおよび/またはネットワークアクセスパターンを決定および/またはモデル化するように構成できる。
或る実施形態では、このシステムは、エラスティックネットワーク内の複数のエンドポイントで動作する複数のエージェントを備える。或る実施形態では、複数のエンドポイントで動作する複数のエージェントは、中央サーバと通信しており、および/または上記で開示された同じ行動分析を実行する。或る実施形態では、本明細書で開示されるシステムは、同じおよび/または同様の処理および/またはネットワークアクセスパターンを有するとして、複数のエンドポイントのサブセットをグループ化および/またはモデル化するように構成される。或る実施形態では、本明細書に開示されるシステムは、複数のエンドポイントのさまざまな決定されたグループに、特定のプロセスおよび/または複数のさまざまな決定されたグループに対するネットワークアクセスをコントロールするための1つ以上のルールまたはルールセットに自動的および/または動的に割り当てるように構成することができるいくつかの実施形態では、他のシステム、サーバ、コンピュータ、仮想マシンなどを含むがこれらに限定されないエンドポイントデバイスの組み込みエージェントおよび/またはセキュリティエージェントを介したシステムは、エンドポイントデバイスを監視し、個人にポリシーを適用する機能を備える。いくつかの実施形態では、組み込みエージェントは、バイナリの特定時点のユーザ認証ツールとしてではなく、継続的な検証および認証モニターとして機能する。
いくつかの実施形態では、システムは、エンドポイントデバイスにインストールされた複数のエージェントを構成し、エージェントはエンドポイントデバイスのセキュリティを確保するように設計される。いくつかの実施形態では、セキュリティの確保には、たとえばエージェントがデバイスで発生するほぼすべてのアクティビティを監視できるように、ベースレベルで、デバイスにアクセスすることが含まれる。いくつかの実施形態では、エンドポイントアクティビティへの中断のないアクセスにより、エージェントは、エンドポイントデバイスおよび/またはエンドポイントデバイスを使用するユーザが、システムの期待内および/またはそのための予想される典型的な使用またはアクティビティまたはプロセス内で動作していることを時間の経過とともに検証できる。いくつかの実施形態では、エージェントは、各時点で、エンドポイントデバイスで異常なアクティビティが発生していないことを検証できる。いくつかの実施形態では、システムは、エンドポイントデバイスのオペレーティングシステムのほぼすべての側面を継続的に監視できるため、任意の時点で発生する異常、および異常な動作のパターンを認識して、エンドポイントが侵害されたか安全でないかを判断できる。さらに、いくつかの実施形態では、システムは、監視を通じて、実装されたセキュリティルールが違反しているかどうかを判断したり、エンドポイント機能に対する様々なコントロールまたは制限を実装したり、もしくはシステムまたはネットワーク管理者によって定義されたその他のアクションを実行したりできる。いくつかの実施形態では、これらのアクションとコントロールは、個々のエンドポイントレベルで実装される。いくつかの実施形態では、これらのアクションまたはコントロールは、定義済みまたは未定義のエンドポイントのグループ、またはネットワークレベル全体で実装される。いくつかの実施形態では、中央集中型システムは、ネットワークにインストールされたすべてのエージェントからデータを収集して、ネットワーク全体の使用パターンを識別することができます。これにより、単一のエンドポイントのデータでは識別が困難または不可能な脆弱性や問題を中央システムで識別できる。例えば、1つ以上のエンドポイントでの特定の使用または使用パターンは、そこにインストールされたエージェントによって単独で異常として識別されない場合がありますが、他のエンドポイントまたはネットワークの実質的にすべてのエンドポイントからのデータと組み合わされると、それによって異常として識別される場合がある。いくつかの実施形態では、本明細書に記載されたエージェントベースのシステムは、個々のエンドポイントセキュリティとネットワーク全体のセキュリティを提供する階層化セキュリティソリューションを提供できる。
いくつかの実施形態では、本明細書に記載されたシステムは、エンドポイントアクティビティの低レベルのクロスプラットフォーム監視を提供する。いくつかの実施形態では、システムは、異常として識別されるエンドポイントアクティビティを決定する、一連のルールを創造、定義、および/または動的に変更するように構成される。いくつかの実施形態では、一連のルールは、機械学習の側面、所定のルールセット、および/または管理者管理によって定義できる。
システムがIT管理者の作業を減らすことができるため、および/またはシステムが人間のオペレーターよりもそのような行動パターンを決定できるため、システムがそのような行動分析を実行することは有利である。システムがIT管理者の作業を削減し、および/またはシステムがそのような開発し、および/またはそのようなルールをエンドポイントに割り当てることができるため、特にエンタープライズネットワークが、エンタープライズネットワークに接続された数百、数千、および/または数百万のエンドポイントデバイスを含む状態では、システムが1つ以上のルールまたはルールセットを1つ以上のエンドポイントに自動的および/または動的に割り当てると、有利な場合がある。
いくつかの実施形態では、システムのもう1つの中心的な機能は、アクセスポリシーの創造、生成、および実装であり、これは、ベースラインの使用または使用の予想を決定することに基づくことができる。いくつかの実施形態では、生成されたアクセスポリシーは、特定のエンドポイント上の特定のユーザが特定の時間にアクセスできるエンドポイント、サービス、サーバ、プログラムなどの概要を提供する。いくつかの実施形態では、アクセスポリシーは、エージェントを介したエンドポイントの継続的な監視から収集されたデータと、ユーザやエンドポイントデバイスのベースライン使用量の決定を通じて統合される。いくつかの実施形態では、各個人および/またはエンドポイントデバイスに適用されるアクセスポリシーの集合体は、全体としてネットワークアクセスポリシーを構成する。いくつかの実施形態では、アクセスポリシーは、ユーザおよび/またはエンドポイントデバイスのベースライン使用から、直接、推論または生成され、AI分析を通じて、手動または自動で更新できる。いくつかの実施形態では、ネットワークはエンドポイントデバイスと中央サーバにインストールされた個々のエージェントによって管理できるため、アクセスポリシーは、ネットワークの全てのレベルで実装できる。
或る実施形態では、エージェントは、複数のエンドポイントのさまざまな決定されたグループに、特定のプロセスおよび/または複数のエンドポイントのさまざまな決定されたグループに対するネットワークアクセスをコントロールするための1つ以上のルールまたはルールセットを割り当てるように構成する。或る実施形態では、中央サーバは、複数のエンドポイントのさまざまな決定されたグループに、特定のプロセスおよび/または複数のエンドポイントのさまざまな決定されたグループに対するネットワークアクセスを制御するための1つ以上のルールまたはルールセットを割り当てるように構成される。或る実施形態では、システムは、エージェントと中央サーバの両方を使用して、複数のエンドポイントのさまざまな決定されたグループに、複数の決定されたグループの特定のプロセスおよび/またはネットワークアクセスを制御するための、1つ以上のルールまたはルールセットを割り当てるように構成する。
或る実施形態では、特定のエンドポイントで動作するエージェントは、1つ以上のルールまたはルールセットを適用して、エンドポイントで実行されているプログラムまたは命令からのネットワークアクセスパス要求を許可するか拒否するかを決定するように構成できる。 或る実施形態では、中央サーバは、1つ以上のルールまたはルールセットを適用して、エンドポイントで実行されているプログラムまたは命令からのネットワークアクセスパス要求を許可するか拒否するかを決定するように構成できる。或る実施形態では、中央サーバがすべての決定を行い、潜在的な原因となるのではなく、システムが分散的に動作するため、特定のエンドポイントで動作するプログラムまたは命令からのネットワークアクセスパス要求を、許可するか拒否するかをエージェントが決定すると、有利になる場合がある。加えて、分散システムは、ネットワーク上のネットワークトラフィックと中央サーバへのリクエスト数を削減する。いくつかの実施形態では、本明細書に記載のシステムは、ネットワークへのアクセスを管理および制限するための機械学習コンポーネントを構成する。 他の実施形態では、AI管理とネットワークへのアクセス制限は、人間の管理者管理によって補足または置き換えられる。いくつかの実施形態では、人間の管理者は一般的なルールまたは特定のルールを、手動で実装するか、またはシステム全体かエンドポイントごとにアクセスを管理する。いくつかの実施形態では、システムのルール、ポリシー、およびアクセス権は、それらがどのように作られているかに関係なく、たとえばマルウェアまたはその他の悪意のあるソフトウェアが導入されないこと、整合性が確保されることにより、エンドポイントとネットワークのセキュリティを確保するように設計でき、証明書のセキュリティが侵害されておらず、それらは特に使用に異常がないことを確認する。
いくつかの実施形態では、本明細書の様々な実施形態によるエッジネットワークは、接続されたエンドポイントの集合を構成し、それによって定義されてもよい。いくつかの実施形態では、ネットワークへのアクセスを管理または制限するためのポリシーまたはルールは、例えば、ネットワーク管理者が手動で考案および実施することもある。いくつかの実施形態では、エッジネットワーキングシステムは、インバウンドおよびアウトバウンド接続のプロファイリング、ネットワークエンドポイントへのエージェントのインストール、および/またはネットワーク内外のさまざまなシステムへのアクセスの管理と規制など、他の機能を実行できる。いくつかの実施形態では、本明細書のシステム、デバイス、方法は、1つ以上のエンドポイントを識別およびグループ化し、エンドポイント間、エンドポイントと外部サービスおよびシステム間、並びにエンドポイントと内部サービスまたはシステム間のアクセスを制限および/または許可するポリシーを管理できる。
いくつかの実施形態では、本明細書に記載のエージェントベースのシステムにより、データの可用性が向上するため、ネットワーク管理が可能となる。ネットワーク管理には、エンドポイントのデータアクセス権の変更、ユーザの除外、および/またはエンドポイントのロックなどが含まれる。いくつかの実施形態では、システムは、ネットワーク外部の1つ以上のソースからのインバウンド接続を、制限することがある。いくつかの実施形態では、システムの監視、ルールセット、および/またはネットワーク管理の側面は、インストールされたエージェントを介して、ネットワークレベルとは反対の、個々のエンドポイントデバイスでコントロールできる。
いくつかの実施形態では、ここで説明するエージェントをエンドポイントデバイスにインストールして、デバイス上の着信および発信トラフィックにアクセスして管理できる。いくつかの実施形態では、エージェントは、デバイスシステムやトラフィックへのアクセスを通して、デバイスのユーザのIDと権限を継続的に検証できる。いくつかの実施形態では、ネットワークは、エージェントがインストールされたエンドポイントデバイスによって定義され、システムはインストールされたエージェントを介してネットワークのすべてのデバイスへの可視性とアクセスを獲得する。いくつかの実施形態では、エージェントがエンドポイントにインストールされる場合、エンドポイントデバイスとの実質的にすべての通信は、エージェントによって監視および保存できるため、エンドポイントの物理的な場所に関係なく、ネットワーク管理ルール(アクセス権など)を適用できる。いくつかの実施形態では、本明細書に記載のエージェントベースのシステムは、すべての内部通信および/または外部通信を、監視および保存できる。例えば、システムは、ネットワーク内の2つのエンドポイント間で発生する、アクティビティを監視および保存するように構成することもある。いくつかの実施形態では、システムは、エージェントがインストールされた、エンドポイントのカーネルレベルの監視を通して、これらの通信を可視化した。いくつかの実施形態では、システムは、個々のエンドポイントで実施されるデータアクセスおよびネットワーク管理ポリシーを使用して、複数のエンドポイントにまたがる広範なネットワークを定義する。
既存のネットワークセキュリティ、管理、およびコントロールシステムが直面する別の問題は、特にネットワークにアクセスする、新しいエンドポイントデバイスおよびネットワーク上に存在しなくなる、既存のエンドポイントデバイスに関して、ネットワークの一時的な性質である。いくつかの実施形態では、本明細書で開示されるシステム、デバイス、および方法は、さまざまなネットワークセグメントおよび/またはサブネットワークを含むネットワーク構成の継続的に更新されるマッピング、視覚化、および/または表現を構築することにより、絶えず拡大および/または撤回するネットワークの難しさを解決する。いくつかの実施形態では、システムは、ソフトウェアベースの分散方式で、複数のエンドポイントデバイスをマッピングするように構成される。つまり、ネットワーク全体の分散ソフトウェアから受信したデータに基づいて、マップまたは視覚化を組み立てることができる。いくつかの実施形態では、この分散ソフトウェアは、ネットワークの各エンドポイントデバイスにインストールされたエージェントを構成する。いくつかの実施形態では、システムは、複数のエンドポイントデバイスにインストールされたエージェントから収集されたデータを集約することにより、ネットワークおよび/または様々なサブネットワークの視覚化またはビューを提供できる。いくつかの実施形態では、ネットワークは多様なサブネットワーク、1つ以上のエンドポイントデバイスを構成する各サブネットワークを構成することができる。いくつかの実施形態では、システムは、エージェントから受信した情報に基づいて、ネットワークおよび/または多様なサブネットワークのビューを組み立てるように構成できる。いくつかの実施形態では、エンドポイントにインストールされたエージェントのデータを使用して構築されたネットワークのマップ、ビュー、または視覚化は、ネットワークおよび/または多様なサブネットワークの全体的および/または個別のビューを提供できる。
上記の現代のネットワークのエラスティック性に関連する問題は、非伝統的なネットワーク接続デバイスの存在である。ここで説明するシステムは、分散エージェントベースのエンドポイントネットワークを通じてこれらのデバイスの可視性を獲得し、コントロールおよびネットワーク管理機能を統合して、これらの非伝統的なデバイスを直接または間接的に監視することにより、この問題に対処する。いくつかの実施形態では、ネットワーク、ネットワークセグメント、および/またはサブネットワークは、さまざまなエンドポイントデバイスで構成でき、いくつかはエージェントがインストールされ、いくつかはエージェントがインストールされていない場合がある。しかし、いくつかの実施形態では、ネットワークの1つ以上のエンドポイントデバイスにエージェントをインストールすることにより、システムは、スキャンまたは検出機能により、ネットワークおよび/またはサブネットワーク上のすべてのエンドポイントデバイスを可視化できる。エージェントがインストールされていないエンドポイントデバイスを可視化することにより、システムはそれらのデバイスからデータを収集でき、これは、非管理デバイス(エージェントがインストールされていないデバイス)の存在、他のエンドポイントデバイスとの間で送受信される非管理デバイスのネットワーク通信、および非管理デバイスへのインバウンド接続またはアウトバウンド接続の有無を含むが、これに限らない。本収集データに基づいて、エンドポイントベースのネットワークシステムは、管理対象外デバイスとネットワーク全体、サブネットワーク、ネットワークセグメント、論理グループ、物理グループ、または個々のエンドポイントとの間の通信および接続の保存または終了に関して必要なアクションを動的に決定できる。いくつかの実施形態では、システムは、非管理デバイスのグループ化を含むように構成できるため、グループ固有のルールを、非管理デバイスおよびネットワーク内の他のエンドポイントデバイスとの通信に、直接適用できる。いくつかの実施形態では、動的な決定とグループ化は、例えば、以下で記載されるオーケストレーションレイヤによって行うことができる。
いくつかの実施形態では、システムは、侵害された脆弱な物のインターネット(IoT)デバイスに対抗するように構成できる。悪意のあるソフトウェアの中には、インターネット要求のプロキシまたは仲介として使用するIoTデバイスを使用して、サイバー攻撃やコンピュータネットワークの悪用のために悪意のあるトラフィックをルーティングするものがある。時に「スマート」デバイスと表記されるIoTデバイスは、データを送受信するインターネットに通信するデバイスである。IoTデバイスのターゲットの例は、ルーター、ワイヤレスラジオリンク、タイムクロック、オーディオ/ビデオストリーミングデバイス、ラズベリーパイPi、IPカメラ、DVR、衛星アンテナ機器、スマートガレージのドア開閉装置、ネットワーク接続ストレージデバイスを含む。IoTプロキシサーバは、全てのインターネット要求を、被害者のデバイスのIPアドレスを介して伝達することで、匿名のレイヤを提供するため、悪意のあるサイバーアクターにとって魅力的である。いくつかの実施形態では、IoTデバイスは、疑わしいまたは外部のIPアドレスからのトラフィックをブロックする、多くのビジネスWebサイトへのアクセスを許可するため、特に魅力的なターゲットになる。 いくつかの実施形態では、悪意のあるソフトウェアは侵入されたデバイスのIPアドレスを使用して侵入活動を行うことができ、悪意のあるトラフィックから通常のトラフィックをフィルタリングすることが困難になる。いくつかの実施形態では、悪意のあるソフトウェアは侵入したIoTデバイスをプロキシとして使用して、例えば、スパムメールの送信、匿名性の維持または検出の回避、ネットワークトラフィックの難読化、インターネットブラウジングのマスク、クリック詐欺活動の生成、違法な画像や商品の売買を行うことができ、クレデンシャルスタッフィング攻撃を実施し、IoTボットネットを金銭的利益のために他のサイバーアクターに販売またはリースする。いくつかの実施形態では、IoTデバイスには、弱い認証、パッチが適用されていないファームウェア、または他のソフトウェアの脆弱性があるか、デフォルトのユーザ名とパスワードが簡単に破られることがある。 いくつかの実施形態では、ここに開示されているエージェントベースのエンドポイントネットワークは、IoTデバイスからエンドポイントデバイスへの通信を検出、監視、コントロールすることにより、IoTデバイスを介して発生する攻撃に対抗できる。
いくつかの実施形態では、エージェントベースのシステムは、エージェントがインストールされていないデバイス、および/またはエージェントがインストールされたエンドポイントデバイスの近くを含む、実質的にすべてのコンピュータ化されたデバイスの可視性を提供する。いくつかの実施形態では、システムは、エンドポイントデバイスの近くにある同じサブネット、可視、またはアクセス可能なネットワーク内のすべてのデバイスを識別して可視化できる。これらのデバイスには、物理デバイス、車両、家電製品などのインターネットまたはネットワーク接続デバイス、およびこれらのものがデータを接続および交換できるようにする電子機器、ソフトウェア、センサー、アクチュエーター、および接続性が埋め込まれたその他のアイテムが含まれる。いくつかの実施形態では、インストールされたエージェントはサブネットワークまたはネットワーク全体を含む、可視ネットワークをスキャンするように構成することもある。いくつかの実施形態では、システムは、ディスカバリプロトコルを使用して存在を確認し、ネットワーク内またはネットワークに近接するすべてのデバイスからデータを取得できる。いくつかの実施形態では、システムは、オペレーティングシステム、デバイスのタイプ、IPアドレス、およびMACアドレスなどを含む、これらのデバイスからデータを取得できる。いくつかの実施形態では、システムは、非管理デバイスとネットワークエンドポイント間のネットワーク通信を制限することにより、これらの「非管理」(つまりエージェントがインストールされていない)デバイスを、直接、介した攻撃からエンドポイントベースのネットワークを保護する。
いくつかの実施形態では、システムはまた、複数のエージェントからのデータの収集と集約を調整するのに役立つ、オーケストレーション機能またはオーケストレーション層を備えてもよい。いくつかの実施形態では、このオーケストレーションレイヤは、検出プロトコル、ネットワークスキャン、データ収集と集約、ネットワーク視覚化の構築、およびその他のさまざまなシステム機能を管理して、過剰または不要な機能を減らすことにより、システムの効率を高めることができる。いくつかの実施形態では、オーケストレーション機能は、ネットワーク、ネットワークセグメント、および/またはサブネットワークのマッピング、グループ化、または表現を提供するために、ネットワーク、ネットワークセグメント、および/またはサブネットワークのすべてのエンドポイントおよびエージェントからのデータを収集して、1つ以上のまとまりのあるビュー、視覚化、アセットインベントリ、リストなどを作成できる。いくつかの実施形態では、データは、ネットワーク上の物理的なエンドポイント、データセンタ、クラウドサービス、非伝統的なデバイス(IoTデバイス、プリンタなど)またはネットワークの他の部分にインストールされたエージェントから収集される。
いくつかの実施形態では、システムは、継続的に更新されるマッピング、視覚化、および/または表現を利用して、ネットワークグルーピング、アクセスルール、ネットワーク管理、およびセキュリティとネットワーク管理機能の他のすべての側面を更新するように構成できる。システムは、ネットワークへの、またはネットワークからのエンドポイントデバイスの追加および/または離脱を通じて、ネットワークの拡大または縮小に動的に反応できる。システムは、グループアクセス権とルールをそれらのデバイスに適用できるように、IoTデバイスを含む非従来のエンドポイントデバイスへのグループ化を含むこともある。代替的に、いくつかの実施形態では、ネットワーク上の非従来のエンドポイントデバイスはグループ化されず、システムは、エンドポイントデバイスにインストールされたエージェントから集約されたデータに基づいて、1つ以上の非従来のエンドポイントデバイスがすべて、いくつか、または1つもないネットワークの他のデバイスに通信できるかを決定する。いくつかの実施形態では、この決定は、ネットワーク、様々なネットワークセグメント、サブネットワーク、および/または個々のエンドポイントの全体的な動作分析に基づくことができる。粒度および特異性のレベルは、システムがグループ化をコントロールし、したがって、非従来のエンドポイントデバイスを含むネットワークのエンドポイントデバイスのアクセス権とネットワーク通信管理をコントロールできるため、制限されない。特に、ネットワークのグループ化とルールは、ネットワーク全体、特定のサブネットワークまたはネットワークセグメント、エンドポイントのグループ、個々のエンドポイント、非従来のエンドポイント、サードパーティサービス、エンタープライズサービスなど、また上記のいずれか(たとえば、個々のエンドポイントとそれ自身のグループまたはエンドポイントの別個のグループの間)の間のすべての通信に対して適用できるネットワークのエンドポイントおよびネットワーク全体または一部を、グループ化およびコントロールする際に、システムが持つことができる制御の範囲と特異性には、ほとんど制限がない。いくつかの実施形態では、 ネットワーク上のいくつかのデバイスはネットワーク上の他のデバイスと通信する、これらのデバイスの機能を制限することにより、たとえエージェントをインストールしなくてもコントロールや管理ができる。
いくつかの実施形態では、本明細書に記載するシステムは、ネットワークへの物理的な近接性によって制限されない。エージェントは、エンドポイントに直接インストールできるため、エンドポイントの物理的な場所は、エンドポイントは、本明細書に記載されるフレキシブルネットワークシステムのセキュリティ機能の恩恵を受けるかどうかを決定しない。
いくつかの実施形態では、システムは、たとえば、エンドポイントで使用されているソフトウェア、ネットワーク接続を介して送受信されるデータ、ユーザ認証の時間と形式など、ネットワーク接続とシステム活動データの総合的な融合にアクセスするように構成できる。ゆえに、いくつかの実施形態では、システムのセキュリティ機能は、エンドポイントのアクティビティとネットワーク通信の完全なビューに関連して機能できる。いくつかの実施形態では、システムは、ネットワーク接続が形成されたときだけでなく、エンドポイントのアクティビティとネットワーク通信を継続的に監視するように構成できる。いくつかの実施形態では、エージェントベースのシステムは、その接続を介して送受信されるデータに加えて、ネットワーク接続の整合性を確保するように構成することもある。
いくつかの実施形態では、システムは、ネットワーク接続の整合性が確保されるように、ネットワーク接続を介してデータの送信者と受信者を認証できる。いくつかの実施形態では、システムは、不正な送信者または受信者を識別する場合、ネットワーク接続を介したデータ転送を制限できる。いくつかの実施形態では、システムは、特にインストールされたエージェントを介して、エンドポイントによって送受信される要求と応答を解析し、帯域幅の使用状況を監視し、および/またはコンテキストデータ(アクセス時間)、などを精査することにより、この認証およびその他の整合性チェックを実行できる。いくつかの実施形態では、エージェントベースのシステムが、不正な接続を終了すること場合がある。
いくつかの実施形態では、本明細書に記載されるシステムは、例えば、仮想プライベートネットワーク(VPN)よりも高速で効率的なネットワーク通信を促進する。いくつかの実施形態では、システムはネットワーク接続に待ち時間を導入しない場合がある。いくつかの実施形態では、システムはネットワーク接続のルーティングを実行せず、エージェントはエンドポイントに直接インストールされるため、基盤となるネットワークインフラストラクチャに関係なく、システムは待ち時間なしで実行できる。いくつかの実施形態では、システムは、ネットワークインフラストラクチャの制限または、ネットワークトラフィックのルーティングによるオーバーヘッドに縛られない。
或るエンタープライズネットワークは、集中サーバを使用して、マルウェアなどの異常を特定したり、アクセス制限を決定したりできる。これらの異常に対する識別と応答は、集中化されたサーバとの間の待ち時間に基づいて、遅延するできる。さらに、これらのエンタープライズネットワークは、その境界内で接続されている数十万のエンドポイントや、接続されているクラウドサービスやデータセンタの異常検出を実行するために、必要になることができる。いくつかの実施形態では、本明細書で開示されるエンドポイントモデリングおよびグループ化管理システムは、エンドポイントにインストールされたエージェントが異常を検出し、セキュリティの脅威に対応し、ネットワークポリシーを実施し、ネットワークアクセスを規制するなどにより、これらの欠点に対処する。いくつかの実施形態では、エージェントは、AI技術を使用してエンドポイントのアクセスポリシーを生成し、エンドポイントおよび/またはアセットへの接続を許可または制限し、接続の認証基準を設定し、エンドポイントの役割を確立することにより、ネットワークアクセスを規制できる。いくつかの実施形態では、エージェントはネットワークアクセスのシャットダウンおよび/または有効化、ネットワーク帯域幅の設定および/または制限、ネットワーク帯域幅使用量に基づくアラートの生成、帯域幅使用量に基づくエンドポイントのロック、特定の接続の帯域幅ポリシーの設定などのネットワークポリシーを実施できる。いくつかの実施形態では、エージェントはエンドポイントモデリングおよびグループ化管理システムによって生成されたモデルを適用することにより、異常を識別し、アクションを自律的に実行できる。
前述を可能にするために、或る実施形態では、エンドポイントモデリングおよびグループ化管理システムは、ネットワーク内のエンドポイントコンピュータデバイスからデータを収集するように構成できる。
エンタープライズネットワークは、ネットワークトラフィックデータを収集できる。しかし、多くの場合、ネットワークトラフィックデータは暗号化され、エンドポイント内、エンタープライズネットワーク境界内、クラウドサービス内、クラウドデータセンタ内などで発生するアクティビティを可視化できない場合がある。さらに、従来のエンタープライズネットワーク上のエンドポイントは、エンタープライズネットワークの境界の外側にある間、クラウドサービスに直接接続できるため、従来のエンタープライズネットワークはこのタイプのトラフィックを可視化できない場合がある。いくつかの実施形態では、エンドポイントモデリングおよびグループ化管理システムは、エージェントがカーネルレベルでアクティビティを監視できるようにすることで、エンタープライズネットワークテクノロジーのこれらの欠点に対処する。いくつかの実施形態では、エージェントは、暗号化前および/または復号化後のデータパケットを監視できる。いくつかの実施形態では、エージェントは、エンドポイント内に発生するアクティビティを監視できる。いくつかの実施形態では、エンドポイントが従来のエンタープライズネットワーク境界の外側にあるときに、エージェントはアクティビティを監視できる。いくつかの実施形態では、エージェントは、サンドボックスなどの保護層に含まれるデータパケットを監視できる。ゆえに、エンドポイントモデリングおよびグループ化管理システムは、エンドポイントモデリングおよびグループ化管理システムに接続された、エンドポイントのアクティビティの詳細な可視化を提供できる。
いくつかの実施形態では、エンドポイントにインストールされたエージェントは、カーネルレベルでのリアルタイムの情報を収集でき、内部エンドポイントアクティビティ、暗号化されたデータなどの、幅広いデータタイプのシステムの詳細な可視化を提供する。いくつかの実施形態では、エンドポイントモデリングおよびグループ化管理システムは、エージェントによって収集されたデータに人工知能コンポーネントを採用することにより、動作の類似性を特定できる。いくつかの実施形態では、 エンドポイントモデリングおよびグループ化管理システムは、エンドポイントのアクティビティ間で特定された動作の類似性や差異に基づいて、論理グループやクラスタエンドポイントなどのグループを動的にモデル化できまる。 くつかの実施形態では、エンドポイントモデリングおよびグループ化管理システムは行動モデルをエージェントに伝達して、エージェントが異常および/またはセキュリティの脅威を識別できるようにする。
いくつかの実施形態では、本明細書のエンドポイントのグループ化およびモデリングシステムは、様々なデータを利用して、エンドポイントのグループ化を決定およびモデル化できる。いくつかの実施形態では、システムは包括的アプローチを使用するように構成でき、このアプローチでは、システムが全体として、様々なエンドポイントからのデータを調べる。たとえば、システムは同様の特性を持つエンドポイントを分類およびグループ化するために、たとえば、接続されたすべてのIPアドレス、利用されたすべてのサービス、各エンドポイントとの間のインバウンドまたはアウトバウンドのすべてのネットワーク通信を調査する。いくつかの実施形態では、この分類およびグループ化メカニズムの結果は、同様のベースラインアクセスおよびネットワーク通信パターンを持つエンドポイントのグループを組み立てることになる。いくつかの実施形態では、エンドポイントのグループ化は、たとえば、職責、場所、またはその他のユーザ分類に基づいて、同様のアクセスニーズを持つユーザと一致する場合と、一致しない場合がある。例えば、エンタープライズネットワーク内のソフトウェア開発者は、GitHub、Visual Studio、Pythonなどのユースケース固有のサービスを利用して、このエンドポイントまたはユーザを他のエンドポイントまたは同様の使用パターンを持つユーザ(他のソフトウェア開発者など)とグループ化することをシステムに示す場合があり、 そして、グループは、グループの確立された使用パターンと一致しない、またはシステムの決定したグループのユーザまたはエンドポイントの目的または意図とペアにならないサービスまたはエンドポイントへのアクセスまたは通信を制限する必要がある。いくつかの実施形態では、グループ化モデリングシステムの分析は、エンドポイントがアクセスしているサービス、リソース、またはエンドポイントのIDを超えて拡張する。いくつかの実施形態では、システムはまた、たとえば、アクセスが発生したときに、アクセスが発生する頻度、アクセスの各インスタンスの期間、アクセスの各インスタンス中に転送されたデータの量、転送されたデータの種類、帯域幅使用量、ユーザクセスの識別、アクセスの前後、最中にエンドポイントデバイスで実行する現在のプロセスを分析することもある。いくつかの実施形態では、上記のすべて以上を利用して、グループ化を決定し、エンドポイントデバイスおよび/またはグループ化の使用のベースラインを確立し、アクセス権、セキュリティ、およびネットワーク通信プロトコルを生成し設定する。
いくつかの実施形態では、システムは、ネットワークおよびその様々なグループ化とサブネットワークの、複数の一意のビューまたは視覚化を生成して提供するように構成できる。例えば、いくつかの実施形態では、ネットワークは、たとえば論理グループ、エンドポイントの物理的な場所、サブネットワーク、ネットワークセグメント、デバイスタイプ、管理デバイス、非管理デバイス、インバウンド接続とアウトバウンド接続の類似性、インストールされたタイプの類似性、エンドポイントデバイスの使用時間、使用頻度、アプリケーションの使用時間、使用されているWiFiネットワークの種類、デバイスのアクセスポイント使用温度、デバイスのメモリ使用量、ハードウェアの種類、ハードウェアのRPM、CPUサイクル数、ンドポイントデバイス、サードパーティの組織グループ、およびエージェントまたは中央サーバで使用可能なその他のプロパティに基づいて、全体または一部として表示できる。
いくつかの実施形態では、本明細書に記載したシステム、デバイス、および方法は、他の既存のサードパーティサービス、展開手段、エンタープライズモビリティ管理(EMM)ツール、認証ソフトウェア、およびエンドポイントベースのネットワークシステムと共に展開されるセキュリティプロトコルと統合するように構成できる。いくつかの実施形態では、本明細書に記載されたシステムによって収集されたデータと情報により、ネットワーク内でシステムと並行して実行するサードパーティソリューションの自動化が可能になる。例えば、システムは、本明細書に記載の、発見およびグループ化プロトコルを介して、既存のグループ化内の非管理されていないデバイスを、スキャンおよび発見することがある。この管理されていないデバイスを可視化すると、システムは既存の展開ツールまたは手段(Active Directoryなど)を使用して、エージェントを管理されていないデバイスに展開できる。本明細書のエンドポイントベースのネットワークシステムと統合され得るツールおよびソリューションは限定されず、ネットワーク環境内で実行される他のプラットフォームを含む。特定の例は、たとえば、Active Directory、Jamf、Tanium、IBM Bigfix、Kaspersky、Trend Micro、Tripwire、Carbon Black、Symantec Endpoint Protection、Ivanti Endpoint、SCCM、McAfee、CrowdStrike、Trend Micro Deep Security、Avast、Shield、Nortonなどを含む。いくつかの実施形態では、システムをこれらのサードパーティプラットフォームに統合し、エージェントが既存のプラットフォームによってエンドポイントに自動的に展開できるようにし、システムによって開発された特定のアクセスまたはネットワーク管理ルールをサードパーティプラットフォームを介して展開できるようにするできる。
従来のエンタープライズネットワークは、ハードウェアに基づいて、ネットワークトポロジおよび/またはネットワーク境界を定義できる。図1Aは、ハードウェア、ファイアウォールおよび/またはデータアクセス管理システムに基づく従来の企業ネットワーク境界を示すブロック図である。図1Bは、外部デバイスおよびクラウドサービスを備えた、ファイアウォールおよび/またはデータアクセス管理システムに基づく、従来のエンタープライズネットワーク境界を示す、ブロック図である。ネットワークに接続する(Wi−Fi接続などを介して)エンドポイント(コンピューティングデバイス、データセンタ、および/またはサーバなど)104、108、112、114は、エンタープライズネットワークの境界内にあることを決定し、そのコンピュータのネットワークトラフィックは、エンドポイント104、108、112、114と、エンタープライズネットワークファイアウォールおよび/またはデータアクセス管理システムを介した、外部コンピューティングデバイス115および/またはエンタープライズネットワーク境界の外部にある独自のエンドポイント118を持つ外部ネットワーク120との間の接続トンネル、たとえばVPNを介して送信できる。境界線は、多くの場合、エンドポイント(コンピューティングデバイス/サーバなど)104、108、112、114と外部ネットワーク間のファイアウォールおよび/またはデータアクセス管理システム102に基づいて定義される。典型的には、従来のエンタープライズネットワークは、接続トンネルのインバウンドおよびアウトバウンドネットワークトラフィックを検査および/または監視できる(ネットワークトラフィックフローを検査する一般的なネットワークセキュリティ/脅威防止手順である侵入検知および防止システム(IDS)を使用するなど)。 従来のエンタープライズネットワークでは、ネットワークトラフィックを監視および検査して、悪意のある入力からターゲットアプリケーションまたはサービスへの脆弱性エクスプロイトを検出および防止できる。攻撃者は、悪意のある入力を入力して、アプリケーションまたはコンピューティングデバイスの割り込みや制御の取得を行うことができる。例えば、攻撃者は、アプリケーションを無効にしたり、侵害されたアプリケーションで利用可能な、すべての権利と許可にアクセスしたりすることができる。
しかし、従来のエンタープライズネットワークで利用可能なデータは、外部コンピューティングデバイスとの間のネットワークトラフィックに制限できる。ゆえに、これらの従来の企業ネットワークは、従来の企業ネットワーク境界内にあるエンドポイント104、108、112、114と、企業ネットワーク境界115および/または他のネットワーク118の外部のコンピューティングデバイスとの間のネットワークトラフィックを監視および/または検査できる。また、従来のエンタープライズネットワークは、従来のエンタープライズネットワーク境界とクラウドコンピューティングシステム(クラウドサービスやクラウドデータベースなど)122内にあるエンドポイント104、108、112、114間のネットワークトラフィックを監視および/または検査できる。 従来の企業ネットワークは、企業ネットワーク境界104、108、112、114内のエンドポイント内部のネットワークトラフィックにも、外部クラウドコンピューティングシステム内のトラフィックにもアクセスできないことがある。これはユーザが、ある目的地から別の目的地に移動できる今日の世界では問題になる。例えば、個人はデスクトップの場所とは異なる世界の場所から、自分の携帯電話やラップトップを使用できる。デスクトップなどのエンドポイントは、ホームネットワークまたは職場ネットワークに長時間接続できるため、エンタープライズネットワークの境界内にとどまることができる。しかし、携帯電話やラップトップなどのリモートコンピューティングデバイスであるエンドポイントの場合、エンドポイントは1日を通して定期的にホームネットワークまたは職場ネットワークに接続および切断できる。ゆえに、エンドポイントは、エンタープライズネットワーク境界の外側になり、クラウドデータセンタおよび/またはクラウドアプリケーションに直接通信できる。通信チャンネルおよび/またはネットワークトラフィックは同じネットワーク制限で制限されず、エンドポイントは従来のエンタープライズネットワークの境界部内にある際に有さない。エンドポイントは、エンタープライズネットワークで有効な同じネットワーク保護によっても、保護されることもない。その結果、エンドポイントとの間の直接通信チャネルは、セキュリティの脅威について、監視および検査されない可能性があり、エンドポイントがエンタープライズネットワーク境界の外側にあることで、これらのメカニズムをバイパスできるため、アクセスプロビジョニングが適用されないことがある。
加えて、1人のユーザが複数のエンドポイントを所有でき、一部はエンタープライズネットワーク境界内に存在するエンドポイント(職場のデスクトップなど)と、エンタープライズネットワーク境界内にないエンドポイント(携帯電話やラップトップなど)を所有できる。さらに、ユーザのエンドポイントは、ユーザがラップトップまたは携帯電話を購入する際に、継続的に変化することもできる。従って、ユーザは、一度に継続的に変更する複数の異なるネットワークに接続できる。従来のエンタープライズネットワークは、境界内の新しいデバイスに保護とアクセス権を持たせることで、これに対処できる。しかし、欠点は、悪意のあるコードがエンタープライズネットワーク境界内に接続すると、悪意のあるコードがエンタープライズネットワーク境界内の大量のデータや操作にアクセスできることである。
従来のエンタープライズネットワークのもう1つ問題は、ネットワークトラフィックでの暗号化の増加である。ネットワークトラフィックは伝達前に暗号化でき、宛先コンピューティングデバイスの受信で暗号化できる。ゆえに、インバウンドおよび/またはアウトバウンドのネットワークトラフィックを監視する従来のエンタープライズネットワークでは、送信および/または受信されるネットワークデータパケットで利用可能なコンテンツやその他の重要な情報を表示できないことがある。
さらに、従来のエンタープライズネットワークに有用なデータは、しばしば、ネットワークトラフィックに制限できる。従って、これらのエンタープライズネットワークは、送信側のコンピューティングデバイスと受信側のコンピューティングデバイス内で発生している操作とプロセスの可視性が制限されているか、まったくない可能性がある。例えば、これらのエンタープライズネットワークは、コンピューティングデバイスの着信および発信ネットワークトラフィックを監視できるが、アプリケーション(ユーザのスペースのブラウザーなど)とCPU間の通信を監視できないことがある。この限られた可視性を考えると、従来のエンタープライズネットワークには、セキュリティリスクを効果的に評価し、コンピューティングデバイスの動作を理解して評価し、および/またはコンピューティングデバイスの運用レベルでサイバーセキュリティソリューションを提供するために必要な情報はない。
さらに、従来のエンタープライズネットワークは、境界の外部で発生する、アクティビティ(クラウドネットワークで発生するアクティビティなど)に対する可視性が制限されているか、まったくないことがある。本明細書の言及では、従来のエンタープライズネットワークは、企業エンタープライズネットワークとクラウドデータセンタ/サービス間の通信を、効果的に規制することができなかった。多くの企業でクラウドネットワークサービスが広く採用されていることを考えると、ユーザは、クラウドアプリケーションやクラウドデータセンタに直接アクセスできる携帯電話を介してデータ(たとえば、仕事用メール、機密文書)にアクセスできる。エンドポイントからクラウドサービスへのこの直接通信トンネルは、企業ネットワークを介したネットワークトラフィックの送信を伴わない可能性があり、したがって、監視およびアクセス制限のための企業ネットワークファイアウォールおよび/またはデータアクセス管理システムを通過しない。従って、従来のエンタープライズネットワークは、このような通信を監視および/または規制することができないこともある。さらに、データ漏えいやセキュリティ侵害の増加には、多数の機密文書の侵害が含まれる。これは、少なくとも部分的には、エンタープライズネットワークの境界にセキュリティリークが存在するため、セキュリティ違反には、エンタープライズネットワーク内に保存されているファイルを含むだけでなく、エンタープライズネットワーク内のエンドポイントによってアクセス可能な、クラウドデータセンタおよび/またはクラウドサービスに保存されるファイルも含むことができる。ゆえに、セキュリティ違反は、境界を伴う機械およびクラウド内の機械に拡散できる。これは、企業が企業の企業ネットワークにデバイスとサービスを追加し、企業ネットワークの境界を拡大し、エンドポイントをより大きなクラウドデータセンタとクラウドサービスにリンクするにつれて、攻撃者がより多くの情報にアクセスできるようになるにつれて、ますます大きな問題になる。
いくつかのエンタープライズネットワークは、セキュアソケットレイヤ(SSL)ターミネーターを配置することで、この可視性の制限の問題を解決した。SSL接続は、 暗号化したデータをエンドポイントからウェブサーバに送信する前に、認証する証明書を適用することによって使用できる。ゆえに、SSLターミネーターは、暗号化されたネットワークトラフィックを傍受し、ネットワークトラフィック内のコンテンツにアクセスするために、証明書を使用して、分離したコンピューティングデバイスで、ネットワークトラフィックを解読できる。しかし、それらのタイプの解決は、プライバシーの問題がしばしば挙げられる。例えば、ユーザは、第三者に有用なネットワークトラフィックの解読に使用される、証明を作りたがらないであろう。
本明細書に記載される様々な実施形態は、従来の企業ネットワークの1つ以上の欠点に対処する。いくつかの実施形態では、エンドポイントモデリングおよびグループ化管理システムは、エンドポイントにインストールされたエージェントを介して、暗号化通信と非暗号化通信の両方で、ネットワークおよびエンドポイントのアクティビティを詳細に可視化できる。 図1C は、いくつかの実施形態による、エンドポイントモデリングおよびグループ化管理システムおよびエンドポイントに、インストールされたエージェントを使用するネットワーク境界を示す、ブロック図であるいくつかの実施形態では、エンタープライズネットワーク境界は、ネットワーク構築の適応に伴う1つ以上のエンドポイントを構成できる。エンタープライズネットワーク境界は、ネットワーク境界内の1つ以上のエンドポイントにアクセス制限を適用することで構成できる。エンタープライズネットワーク境界は、ネットワーク境界へのインバウンドおよびアウトバウンドトラフィックのセキュリティ評価を構成できる。いくつかの実施形態では、エンドポイントモデリングおよびグループ化マネジメントシステム140は、ネットワークトラフィックおよび/またはエージェント145A、145B、145C、145D、145E、145F、145I、145J(本明細書では集合的にエージェント145として言及する)によって発生するアクティビティデータをアクセスし分析できる。いくつかの実施形態では、エンドポイントモデリングおよびグループ化管理システム140は、ネットワークトラフィックおよび/またはアクティビティデータに基づいて、エンドポイントの論理グループなどのグループをモデル化し、クラスタ化することができる。 図1Dは、いくつかの実施形態による、インストールされたエージェントを有するエンドポイントのグループ化を示すブロック図である。エンドポイントモデリングおよびグループ化マネジメントシステムは、エンドポイント104、108、112、114、115、および118を包含する論理的なグループ化126のような、グループ化を決定できる。いくつかの実施形態では、 エンドポイントモデリングおよびグループ化管理システムは140 は、伝達モデル(または人工知能ソフトウェア)をエンドポイントおよび/または理論的なグループのようなグループ内のcエージェント145に伝達できる。モデルは、異常を特定するため、エンドポイントのアクティビティの評価のために使用できる。 いくつかの実施形態では、エンドポイントモデリングおよびグループ化管理システム140はグループのモデリングに基づいて、実行およびデータ制御パスポリシーを決定できる。いくつかの実施形態では、エンドポイントモデリングおよびグループ化管理システムは、人工知能を使用して、論理グループなどのグループをモデル化およびクラスタ化したり、および/または実行およびデータコントロールパスポリシーを決定したりできる。いくつかの実施形態では、エンドポイントモデリングおよびグループ化管理システム140は、クラウドベースシステムになることができる。いくつかの実施形態では、エンドポイントモデリングおよびグループ化管理システム140は、エンタープライズネットワーク境界の内部および/または外部のシステムになることができる。
いくつかの実施形態では、エンドポイントモデリングおよびグループ化管理システムは、クラウドコンピューティングシステムを最適化してエッジコンピューティングを採用し、データのソースに近いネットワークのエッジでデータ処理を実行できる。いくつかの実施形態では、エンドポイントモデリングおよびグループ化管理システムは、様々なエンドポイントコンピュータデバイスにインストールされたエージェントより収集したデータ間の、類似および/または相違を識別できる。いくつかの実施形態では、エージェントを介して収集した比較に基づいて、エンドポイントは理論的グループのようなグループにグループ化されるはまたはカスター化できる。理論的グループのようなグループのモデルは、エンドポイントおよび/またはエージェントに伝達できる。いくつかの実施形態では、モデルは、ベースラインアクティビティの指標を提供できる。エージェントおよび/またはエンドポイントは、モデルを受信し、ベースラインアクティビティを識別し、異常についてエンドポイントアクティビティおよび/またはネットワークトラフィックを自律的に評価できる。異常を使用し、マルウェアやコンピューターウイルスなどのセキュリティ違反を示す可能性のある動作に対し、フラグを立てることができる。したがって、エージェントは潜在的なセキュリティ侵害を特定し、クラウドサーバが異常を特定するためにデータをクラウドサーバに送信可能な従来のエンタープライズネットワークよりも、迅速に対応できる。
いくつかの実施形態では、、エンドポイントモデリングおよびグループ化管理システムは、エンドポイントデバイス間の類似および/または相違を 計算できる。いくつかの実施形態では、類似性は、類似性の測度および/または機能(デバイス間の距離や、送受信される特定のデータパケットタイプなど)を使用して特定できる。いくつかの実施形態では、類似性は、境界および/またはエンドポイントの動作を示すデータポイントを含むことができる。例えば、類似性は、インバウンドおよびアウトバウンドのネットワークトラフィック、エンドポイントのネットワーク接続、エンドポイントが関連付けられているデバイスのタイプ、特定のネットワーク接続のネットワークトラフィックの量などの評価に基づいて特定できる。いくつかの実施形態では、エンドポイントモデリングおよびグループ化管理システムは、行動アクティビティ分析に基づいて、論理グループなどのグループにエンドポイントを継続的に追加および削除ができる。エンドポイントモデリングおよびグループ化管理システムは、論理グループなどのグループのメンバーシップを継続的に変更し、論理グループなどのグループをエラスティックグリッドにすることができる。いくつかの実施形態では、エンドポイントモデリングおよびグループ化管理システムは、グルーピングに基づくエンタープライズネットワーク境界を定義できる。ゆえに、エンドポイントモデリングおよびグループ化管理システムは、エンドポイントを事実上包含できるエラスティックな境界を創造できる。いくつかの実施形態では、エンドポイントモデリングおよびグループ化管理システムは、同様の動作を伴うエンドポイントのグループ化によって、エンタープライズネットワーク境界を定義できる。いくつかの実施形態では、エンドポイントモデリングおよびグループ化管理システムは、インストールされたエージェントに基づいてエンタープライズネットワーク境界を作成し、エージェントがインストールされた各エンドポイントがエンドポイントの現在の場所に関係なくエンタープライズネットワーク境界内にあると判断できる。論理グループなどのグループは、ハードウェア、ネットワーク、エンドポイント、クラウド、物理、または仮想データセンタの境界を超えて、動作的に定義できる。ゆえに、エンドポイントモデリングおよびグループ化管理システムは、ハードウェア接続によって境界を定義できる、従来のエンタープライズネットワークの1つ以上の欠点に対処できる。これらの従来のエンタープライズネットワークは、エンタープライズネットワーク境界の外側にあるエンドポイントに保護、アクセス制限などを提供しない場合があるが、エンドポイントモデリングおよびグループ化管理システムは、インストールされたエージェントに基づいて境界を定義できるため、アクセス制限を提供できる。
いくつかの実施形態では、エンドポイントモデリングおよびグループ化管理システムは、理論グループ化などのグループ化に基づいて、ポリシーをセットできる。いくつかの実施形態では、ポリシーは、エンドポイントのネットワークアクセスを規制できる。例えば、理論グループのような特別なグループでは、エンドポイントモデリングおよびグループ化管理システムは、或るポリシーを理論グループのような或るグループに適用できる。例えば、理論グループなどのグループは、或るデータセンタにアクセスでき、バーチャルプライベートネットワーク(VPN)を介した或るエンドポイントのみにアクセスできるか、またはクラウドアプリケーション/サーバにアクセスを可能にできる。例えば、財務理論グループは、エンジニアリング理論グループがアクセスを持たないであろう、或るデータセンタへのアクセスを持つことができる。
図1Eは、エンドポイントおよびグループ化システムを示すブロック図であり、グループ化にアクセス制限を適用するように構成される。エージェント145は、エンドポイント115, 104, 112, 108, 114、および118にインストールでき、理論グループ化126などのグループ化を創造する。エンドポイントモデリングおよびグループ化管理システム140および/または and/or the agents エージェント145は、理論グループの外側のエンドポイント121へのアクセスを可能にし、クラウドコンピューティングシステム122へのアクセスを可能にして異なるクラウドコンピューティングシステム124(クラウドサービスまたはクラウドデータベースなど)へのアクセスを 切断し、および/または1つ以上のエンドポイント123を構成するもう1つの外部ネットワーク125へのアクセスを切断することによって、グループ126へのアクセスの制限を用いる。
いくつかの実施形態では、エンドポイントモデリングおよびグループ化管理システムは、ユーザがしきい値設定を調整し、論理グループの解像度および/または粒度をコントロールするように、構成できる。いくつかの実施形態では、しきい値レベルは、より高いレベルにセットし、理論グループのような各グループのエンドポイントの、より少ない分布を包含できる。
図1Fは、いくつかの実施形態による、様々なグループ化を示す、ブロック図である。しきい値を低くセットする場合、言い換えると、より包括的にする場合、グループは理論グループ126からエンドポイント104,112,108,114 までを包含できる。しきい値をより高くセットする場合、言い換えると、エンドポイントがより多くの行動属性を共有することをより包括的に要求しない場合に、グループ化はより少ない数のエンドポイントを包含でき、例えば、エンドポイント104とエンドポイント108を伴う第1のグループ化128、および/またはエンドポイント112とエンドポイント114を伴う第2のグループ化130である。しきい値をさらに高くセットする場合、言い換えれば、エンドポイントが本質的に同じ動作属性を持つことを要求することが最も制限の厳しい場合、グループ化はより少ない数のエンドポイントを包含でき、例えば、エンドポイント104を伴う第1のグループ化132、エンドポイント108を伴う第2のグループ化134、エンドポイント112を伴う第3のグループ化136、および/またはエンドポイント114を伴う第4のグループ化138などがある。
図1Gは、いくつかの実施形態に従って、境界内(例、企業ネットワークのファイアウォール内)および境界外のエンドポイントの様々なグループ化を示すブロック図である。エンドポイント104および112は、従来のエンタープライズ ネットワーク境界102内にあることができる。理論グループ化のようなグループ化は、境界内の1つ以上のエンドポイントおよび境界外の1つ以上のエンドポイントを含むことができる。単一境界内のエンドポイント104, 112は、理論グループ化のような分離グループにグループ化することができる。第1の理論グループ化128は、境界内エンドポイント104および境界外エンドポイント108を含むことができる。第2の理論グループ化130は、境界内エンドポイント112 および境界外エンドポイント114を含むことができる。例えば、エンドポイント104 はファイアウォール102内のデスクトップにあることができ、エンドポイント108 はファイアウォール102の外側のラップトップにあることができる。デスクトップエンドポイント104 およびラップトップエンドポイント108 は理論グループ128に連体し、Eメールクラウドサービスのみにアクセスできるが、会計データベースへのアクセスは切断される。理論グループ化128 は、ファイル102内にあるデスクトップエンドポイント104を構成し、 ファイアウォール102の外側にあるラップトップエンドポイント108を構成できる。
図1Hは、いくつかの実施形態に従って、異なるアクセス制限を伴う様々なグループ化を示すブロック図である。エンドポイントモデリングとグループ化管理システムおよび/またはエージェント145は、エンドポイント104, 108, 112, 114のアクセスを制限できる。エンドポイント104, 108の第1のグループ128は或るクラウドコンピューティングシステム122へのアクセスを持つことができるが、他のクラウドコンピューティングシステム124へのアクセスを切断することもあり、エンドポイント112, 114の第2のグループ130は両方のクラウドコンピューティングシステム122および124へのアクセスを切断できる。
いくつかの実施形態では、1つ以上のエンドポイントコンピュータデバイスにインストールしたエージェントは、エンドポイントに連携および/またはエンドポイントからのデータを収集するよう構成できる。いくつかの実施形態では、エージェントは、エンドポイントまたはエンドポイントの付近で発生するアクティビティのデータを収集する、ソフトウェアを構成できる。例えば、エージェントは、エンドポイントで実行するプロセスを傍受およびまたは分析し、および/またはエンドポイントとの間のネットワークトラフィックの監視によって、エンドポイントでのデータを収集できる。 いくつかの実施形態では、エージェントは、カーネルレベルでインバウンドおよびアウトバウンドの操作とイベントを監視できる。いくつかの実施形態では、エージェントは、以下にさらに詳細に記載されるであろう、暗号化および/または解読されたデータを監視できる。いくつかの実施形態では、エージェントはエンドポイント内の、ローカルシステムおよび/またはオペレーティングシステムアクティビティを分析できる。エージェントを介したデータの収集は、定期的に(たとえば、マイクロ秒ごと、ミリ秒ごと、秒ごと、分ごと、時間ごと、毎日、毎月、毎年など)、継続的に実行でき、および/またはアクティビティ(たとえば、ネットワークトラフィック、オペレーティングシステムのアクティビティ、アプリケーションなど)に応じて実行できる。エージェントは、エンタープライズネットワーク内のコンピューティングデバイスに、インストールできる。いくつかの実施形態ではいくつかの実施形態では、エージェントは、企業エンタープライズネットワークの境界の外側のコンピューティングデバイスに、インストールできる。いくつかの実施形態では、エージェントは、企業エンタープライズネットワーク境界の中および外に移動できるリモートコンピューティングデバイス(携帯電話またはラップトップなど)にインストールできる。ゆえに、ネットワークは、異常な動作を識別したり、企業の企業ネットワーク境界内外のアクセス制限を提供したりできるエンドポイントのエラスティックグリッドにすることができる。
図1Iは、いくつかの実施形態による、異常な行動の識別を示す、ブロック図である。いくつかの実施形態では、エンドポイントモデルおよびグループ化管理システムおよび/またはエージェントは、エンドポイントのベースラインの行動を識別できる。エージェント145は、エンドポイント104がクラウドコンピューティングシステム112からの或るデータ量から得るベースラインの行動を構成することを決定付ける。異常な行動は、予想データのベースラインの量と比較して、多量なデータおよび/または少量のデータになるエージェント145Bまたは145Cは、エンドポイント108または114が、三角形で示される特定のタイプの特定のデータパケットを送信または受信する、および/または星として示される別のタイプのその他のデータパケットを送信または受信しないというベースラインの動作を含むと判断できる。エージェント145Dは、エンドポイント112が、半円として示される特定のタイプの内部プロセスを実行する、および/または3つの直線として示される他のタイプの内部プロセスを実行しないベースライン挙動を含むことを決定できる。
いくつかの実施形態では、エンドポイントモデリングおよびグループ化管理システムおよび/またはエージェントは理論グループのようなグループのネットワークトポロジをマッピング、決定付け、および/または識別することができる。エンドポイントモデリングおよびグループ化管理システムおよび/またはエージェントは、ネットワークに接続された1つ以上のエンドポイント/デバイスを表すネットワークマップを導出するためのネットワークトポロジのマッピングを使用できる。いくつかの実施形態では、エンドポイントモデリングおよびグループ化管理システムは、ネットワークマップ上のエンドポイントのモデルを決定付けることができる。モデルは、アクティビティの行動のベースラインおよび/または1つ以上のグループのアクセス制限を確立するために使用できる。いくつかの実施形態では、モデルは、グループのアクセス制限を確立するために使用できる。いくつかの実施形態では、エンドポイントモデルおよびグループ化管理システムは、モデルをエンドポイントおよび/またはエージェントに伝達できる。いくつかの実施形態では、エンドポイントおよび/またはエージェントは、ベースラインに基づく、アクティビティでの異常性を自動的に決定付ける、エンドポイント上のフューチャーアクティビティを評価できる。いくつかの実施形態では、エンドポイントは、エンドポイントモデリングおよびグループ化管理システムより受理した、アクセス制限を実施できる。
いくつかの実施形態では、マッピングは、インストールされたエージェントを持たない、1つ以上のエンドポイントデバイスを構成することができる。いくつかの実施形態では、エンドポイントモデルおよびグループ化管理システムおよび/またはエージェントは、1つ以上のエンドポイントデバイスを発見する、ネットワークのマッピングを決定できる。いくつかの実施形態では、エンドポイントモデルおよびグループ化管理システムおよび/またはエージェントは、モデリングのパーツとしてインストールされたエージェントを持つか、または持たないエンドポイントを識別できる。いくつかの実施形態では、 エージェントは、エージェント付近のエンドポイントおよび/またはデバイスを発見するエージェント間で、ネットワークをマッピングするよう、構成することができる。或る実施形態では、エージェントは、エージェント周辺のマップされたネットワークを分析して、管理対象(エンドポイントに少なくとも1つのエージェントがインストールされているエンドポイント)および/または管理対象外(エンドポイントにエージェントがインストールされていないエンドポイント)デバイスを検出するように構成できる。図1Jは、いくつかの実施形態による、非管理エンドポイントへのエージェントの展開を示す、ブロック図である。いくつかの実施形態では、エンドポイントモデリングおよびグループ化管理システム140および/またはエージェント145は、エージェント145Kをインストールするための1つ以上のエンドポイントデバイス116を決定して、現在エージェントがインストールされていないエンドポイント116からデータを収集できる。 エンドポイントモデリングおよびグループ化管理システム140、および/またはエージェント145は、1つまたは複数のエージェントから収集されたデータおよび/または論理、およびその逆などのグループの作成/更新に応じて、ネットワークトポロジーおよび/またはエージェントの展開を識別できる。いくつかの実施形態では、エンドポイントモデリングおよびグループ化管理システム140および/またはエージェント145は、収集されたデータに基づいて、エラスティックネットワークの境界内にある管理されていないデバイス116を増強することを決定できる。或る実施形態では、エンドポイントモデリングおよびグループ化管理システム140は、ネットワークデバイスを介してネットワークデータを収集し、管理されていない周辺機器116を増強するように構成することができる。或る実施形態では、ネットワークデバイスはスイッチ、ルーター、ハブ、モデム、ブリッジ、リピーターなどを構成することができる。エンドポイントモデリングおよびグループ化管理システム140および/またはエージェント145は、管理されていないデバイス116にエージェント145Kをインストールすることにより、エラスティックネットワークの境界内の、エンドポイントからのデータのコレクションを拡張できるいくつかの実施形態では、エンドポイントモデリングおよびグループ化管理システム140は、デバイス116にエージェント145Kがインストールされていない場合に、デバイス116にエージェント145Kがインストールされている/および/またはこれらのデバイス116のアクセスをブロックしている以前に管理されていないデバイス116から新しく収集されたデータに基づき、ネットワーク境界のモデルを生成および/または更新できる。
いくつかの実施形態では、エンドポイントモデリングおよびグループ化管理システムは、1つ以上のエンドポイントの類似性および/または相違性を、連続的に評価できる。いくつかの実施形態では、エンドポイントモデリングおよびグループ化管理システムは、最近展開されたエージェントから新しく収集されたデータに基づいて、以前にエージェントがインストールされていなかった、エンドポイントにネットワークトポロジを更新できる。エンドポイントモデリングおよびグループ化管理システムは、継続的に、自動的に替えられるエラスティックエッジグリッドを創造できる。
いくつかの実施形態では、エンドポイントモデリングおよびグループ化管理システムは、エージェントより収集したデータを解析および/またはインデックスできる。エンドポイントモデリングおよびグループ化管理システムは、データを検索可能な形式で保存できる。エージェントより受理したデータは、正規化できる。
いくつかの実施形態では、エンドポイントモデリングおよびグループ化管理システムは、1つ以上のエンドポイントで行うよう構成でき、1つ以上のエンドポイントはエンドポイントモデリングおよびグループ化管理システムの或るステップを実行できる。
エンドポイントモデリングおよびグループ化管理システムは、理論グループのようなエンドポイントグループを創造できる。いくつかの実施形態では、グループは、異なるネットワークに位置し、異なるファイアウォールに保護された、1つ以上のエンドポイントを構成できる。エンドポイントは、携帯電話、デスクトップコンピュータ、タブロイド、ラップトップなどのユーザコンピューティングシステムを構成できる。いくつかの実施形態では、エンドポイントは、ユーザコンピューティングシステムのような、他のデバイスに接続するサーバを構成できる。エンドポイントは、クラウドストレージおよび/またはクラウドアプリケーションを構成できる。いくつかの実施形態では、エンドポイントは、深い可視性を伴うエンドポイントモデリングおよびグループ化管理システムを提供できるデータ収集のような、或るステップを実行するために使用できる。例えば、エンドポイントは、ネットワークの送受信トラフィックに依存する代わりに、カーネルレベルでデータを収集できる。エンドポイントは、マルウェアがカーネルに移動する前に、プログラムに自身を注入するなど、セキュリティ上の問題を検出できる。エンドポイントプロセスにより、エンドポイントモデリングおよびグループ化管理システムは、接続試行も評価できる。エンドポイントモデリングおよびグループ化管理システムは、現在のエンドポイントから別のシステムへの接続試行、および/または別のシステムからエンドポイントへの接続試行を禁止できる。
図2は、いくつかの実施形態による人工知能(AI)を用いたエッジネットワークの線図である。人工知能を使用して、リアルタイムにまたは実質的にリアルタイムにデバイス上で、セキュリティ上の脅威を識別することができる。実施形態によっては、このAIコンポーネントは、エージェント由来の収集データから識別された類似性および/または差異に基づき、エンドポイントのグループ、例えば論理グループを識別することができる。AIコンポーネントは、蓄積されたエンドポイントデータ(例えば、ネットワークトラフィック、エンドポイントオペレーティングシステムイベント、カーネルモニタリングなど)上の様々な形態の統計解析を走らせることによって、エンドポイントのグループを識別することができる。実施形態によっては、AIコンポーネントは、グループに用いるモデルを開発することができる。エンドポイントのグループ化および管理のシステムは、上記モデルをエージェントに送信することができる。エージェントは、AIコンポーネントによって生成された上記モデルから、ベースラインの挙動を識別して、そのエンドポイントでのアクティビティおよび/または挙動における異変を識別することができる。例えば、実施形態によっては、エージェントは、そのエンドポイントでの将来的なアクティビティを評価して、そのアクティビティがベースラインの挙動内にあるか否か、および/またはそのアクティビティか潜在的なセキュリティ上の脅威であるか否かを判定することができる。実施形態によっては、エージェントは、上記モデルのベースラインの挙動に基づき、アクティビティを評価することによって、異変を自律的に識別することができる。実施形態によっては、エージェントは、クラウドと通信する必要なく、リアルタイムにまたは実質的にリアルタイムにアクティビティを評価して、セキュリティ上の脅威を識別することができる。このシステムのAIコンポーネントは、自律的(または準自律的)に、セキュリティ上の脅威の防止、検出、および/または対処を行うことができる。実施形態によっては、AIコンポーネントは、エンドポイントへのおよびそこからのアクセスを制限もしくは許容するための、および/またはある特定のアセットおよび/もしくはアセット内のある特定のモジュールへのアクセスを防止するための、エージェントに用いるモデルを生成することができる。実施形態によっては、AIコンポーネントは、特定の使用量ポリシーを遵守させることができる、エージェント用のモデルを生成することができ、そのようなポリシーとしては、例えば、ネットワーク帯域幅を設定および/もしくは限定すること、ネットワーク帯域幅使用量に基づきアラートを生成すること、帯域幅使用量に基づきエンドポイントをロックすること、具体的なエンドポイントおよび/もしくはアセットへの指定された接続に用いる帯域幅ポリシーを設定すること、通常の事業勤務時間外などのある特定の時間の間のトラフィックを制御すること、具体的な接続および/もしくはエンドポイントに用いるインターネットセキュリティをデプロイすることなどがある。本エンドポイントのモデル化およびグループ分けの管理システムは、クラウドコンピューティングシステムを最適化することによってエッジコンピューティングを採用して、データ供給源に近いネットワーク端でデータ処理を実施することができる。実施形態によっては、エッジコンピューティングは、データ供給源に近いネットワーク端でデータ処理を実施することによる、クラウドコンピューティングシステムを最適化する方法である。実施形態によっては、このシステムは、多層からなる保護を1つのAI駆動性コア内に融合して、あらゆるベクトルの攻撃から先んじて保護することができる。実施形態によっては、このシステムは、ネットワークエンドポイントのリアルタイムの深い可視性を利用した分散型セキュリティアプローチを可能にすることができる。
図3は、いくつかの実施形態による完全なエッジグリッドにおけるエッジネットワークの線図である。実施形態によっては、このシステムは、エンドポイント間の類似性に基づいてネットワークトポロジをマッピングし、それによってネットワークトポロジをエラスティックなエッジグリッドとするように、構成することができる。実施形態によっては、本エンドポイントのモデル化およびグループ分けの管理システムは、エージェント由来のデータの継続的な、動的な、および/または定期的なアセスメントに基づき、エンドポイントを追加および除去することができる。実施形態によっては、このシステムは、ネットワークを完全にエラスティックなエッジグリッドとして各アセットにつき、アセット毎に変形することによって、エンドポイントからクラウドに境界の概念を再定義することができる。実施形態によっては、このシステムおよび/またはエージェントは、暗号化されたトラフィックを含む各データアクセスオペレーション内に、それを復号することなく完全な可視性を獲得する。実施形態によっては、このシステムは、リアルタイム自律型データパスのベースライン生成および実行に基づく、AI駆動性データアクセス制御を含む。実施形態によっては、このシステムは、ハードウェア、ネットワーク、エンドポイント、クラウド、物理的またはバーチャルなデータセンタの境界を越えて、任意の論理ネットワークを定義することができる。実施形態によっては、このシステムは、各アセットをモニタリング(DLP2.0)しつつ、異常なデータ消費から生じるデータアクセス異変を識別することができる。
実施形態によっては、ネットワークトポロジのマッピングを実施することによって、ネットワークに接続されたアンマネージドのデバイス内でシステムが可視性を獲得することが可能になる。
本エンドポイントのモデル化およびグループ分けの管理システムは、人工知能、統計解析、および/または機械学習を介して、この開示に記載されたステップを実施することができる。本エンドポイントのモデル化およびグループ分けの管理システムは、機械学習手法、例えば人工知能、統計解析、および/またはトレーニングによるモデル化を用いて、1つまたは複数のエンドポイントデバイス間の類似性を識別および/または判定することができる。例えば、本エンドポイントのモデル化およびグループ分けの管理システムは、計算統計を用いて、自動的にまたは準自動的にベースライン挙動のプロファイルを作り出して、意味ある異変を見つけるように構成することができる。実施形態によっては、そのようなベースラインは、1つまたは複数のエンドポイントデバイス間の類似性を識別して、論理グループなどのグループに含めるために、用いることができる。異変は、エンドポイントデバイス間の差異を識別して、グループ内のエンドポイントデバイスを除去するために、用いることができる。実施形態によっては、機械学習手法は、収集データから学習し収集データに基づく予測を立てる、計算タスクを採用することができる。例えば、ニューラルネットワークを、既存のトレーニングデータを用いてトレーニングし、ある特定のパターンを探索してある特定のルールまたはパターンを新しいデータセットに適用して、論理グループなどのグループを勧めるおよび/または作り出すことができる。データアクセスの異常は、ベースライン由来の異常な挙動、例えば異常なデータ消費などに基づいて評価することができる。異常は、1つまたは複数のアセットをモニタリングすることによって識別することができる。
実施形態によっては、論理グループなどのグループは、エージェントから収集されたアクティビティのアセスメントに基づき識別することができる。グループは、エンドポイント上でのアクティビティの挙動に基づき決定することができる。グループは、ハードウェア、ネットワーク、エンドポイント、クラウド、物理的またはバーチャルなデータセンタの境界を越えて、挙動によって定義することができる。
実施形態によっては、本システムは、人工知能を用いて、エンドポイントの挙動上のアセスメントを完全なものとする。実施形態によっては、人工知能は、以前にエージェントから収集された実際のデータの既存のデータセット上で使用することができ、その場合、エンドポイントは、論理グループなどのグループを標示する1つまたは複数の具体的な特徴に関連することが知られている。実施形態によっては、本エンドポイントのモデル化およびグループ分けの管理システムは、エージェントから収集された新しいデータに基づき、これらの特徴を識別してグループを作り出すように、AIコンポーネントをトレーニングすることができる。データセットは、1つまたは複数の特徴および/またはアクティビティに関連する生成データを含むことができる。実施形態によっては、システムAIは、コアもしくは中央サーバで、および/またはエージェントで実行し、その全てが1つの完全に自律的な省スペース型のエージェントと単純なデプロイメントプロセスとを伴うマルウェア、エクスプロイト、ファイルレス攻撃、スクリプトベース攻撃に対し、およびライブ攻撃者さえに対し、保護をもたらす。実施形態によっては、エンドポイントソフトウェアは、マルチベクトル型の保護のための単一の全体論的なエージェントを含む。実施形態によっては、本システムは、エンドポイントプロセスの実行前、実行、および/または実行後の間、完全なカバレッジまたは保護を与える。実施形態によっては、本システムは、セキュリティ上の脅威またはブリーチの自動的なレメディエーションを与える。実施形態によっては、本システムは、システムが1つまたは複数のエンドポイントを感染前の状況に復元することを可能にする、ロールバック・フィーチャを与えることがある。実施形態によっては、本システムは、任意のプラットフォーム、例えばMacOS、Windows、VDI、およびLinuxで機能するように構成される。実施形態によっては、本システムは、暗号化されたトラフィックを含めて、深い可視性をエンドポイント内に与える。
実施形態によっては、グループは、マルウェア、エクスプロイト、ファイルレス攻撃、スクリプトベース攻撃、ライブ攻撃などから保護するのに必要な保護のタイプを決定するために用いることができる。実施形態によっては、単一のエージェントを、マルチベクトル型の保護などの複数タイプの保護に用いることができる。保護のタイプは、グループに基づき変わることがあり、例えば防止、検出、対処措置などに及ぶ。実施形態によっては、エージェントは、影響を受けたファイルおよび/またはエンドポイントを自動的に修正する。例えば、本エンドポイントのモデル化およびグループ分けの管理システムは、少なくとも一部のソフトウェアやオペレーティングシステムなどを、以前のバージョンに、および/または別のエンドポイントにインストールされたソフトウェアバージョンに、ロールバックするように構成することができる。実施形態によっては、本エンドポイントのモデル化およびグループ分けの管理システムは、ネットワークからエンドポイントの接続を断ち、問題を解決した後にエンドポイントをネットワークに再接続するように、構成することができる。
エンドポイントのモデル化およびグループ分けの管理システム
エンドポイントのモデル化およびグループ分けの管理システム
図4は、いくつかの実施形態による本エンドポイントのモデル化およびグループ分けの管理システムを説明する模式図である。実施形態によっては、メインサーバシステム402は、エンドポイントのモデル化およびグループ分けの管理システム404、エージェント管理システム411、人工知能システム413、レメディエーションシステム419、エンドポイントのモデル化およびグループ分けのデータベース412、人工知能データベース414、グループ分けデータベース416、エージェントデータベース417、および/またはエンドポイントデータベース418から構成することができる。このメインサーバシステムは、ネットワーク420に接続される。ネットワークは、インストールされたエージェント430および/または1つもしくは複数のエージェント424がなくてもメインサーバをエンドポイントに接続するように、構成することができる。
実施形態によっては、エンドポイントのモデル化およびグループ分けの管理システム404は、グループの識別やエージェントのデプロイなどをするように構成することができる。
実施形態によっては、メインサーバシステム402のプロセスを、エンドポイントに位置するエージェントにオフロードすることができる。例えば、実施形態によっては、1つまたは複数のエージェントは、特定のエンドポイントが特定のデータパスにアクセスできるか否かを判定することができ、それによって、メインサーバシステム402からの許可を要求するというニーズとボトルネックとを排除される。実施形態によっては、エージェントは、メインサーバシステムに加えて、計算、結果、およびエージェントへの入力を記憶するように構成することができる。実施形態によっては、ある特定の処理をエージェントにオフロードすることによって、ネットワークトラフィックをメインサーバシステムに低減する、および/またはトポロジーの実行をスピードアップすることができる。
実施形態によっては、人工知能データベース414は、様々な人工知能アルゴリズムおよび/またはシステムのコレクションである。実施形態によっては、グループ分けデータベース416は、論理グループなど、様々なグループのコレクションである。実施形態によっては、エンドポイントのモデル化およびグループ分けの管理システム404は、エンドポイントのグループを識別するために、人工知能システム413を用いることができる。
実施形態によっては、エージェント管理システム411は、エージェント424によって生成および/または収集されたデータを収集および解析するように、構成することができる。
実施形態によっては、エージェントデータベース417は、エンドポイント上にインストールされたエージェントによって受信されたデータのコレクションを提供することができる。実施形態によっては、エージェントデータベース417は、エージェントに関する情報、例えばエージェントソフトウェアのバージョン番号などを含むことができる。実施形態によっては、エンドポイントデータベース418は、エンドポイントに関連するデータのコレクションを提供することができる。例えば、エンドポイントデータベース418は、デバイスのタイプやIPアドレスなどに関する情報を含むことができる。
実施形態によっては、エンドポイントのモデル化およびグループ分けの管理システム404は、メインサーバシステムにアクセスおよび/または通信するための、ならびにシステムの機能的な態様を利用するための、アドミニストレータユーザインターフェースをユーザに提供することができる。実施形態によっては、エンドポイントのモデル化およびグループ分けの管理システム404は、機能、統計、および/または他のデータをユーザに表示して、ユーザがコマンドを入力することを可能にするための、ユーザインターフェース425を含むことができる。実施形態によっては、エンドポイントのモデル化およびグループ分けの管理システム404は、ユーザプロファイルと共に記憶可能なユーザデータ426を含むことができる。
実施形態によっては、エンドポイントのモデル化およびグループ分けの管理システム404は、インストールされたエージェント430がなくてもエンドポイントと通信することができる。エンドポイントのモデル化およびグループ分けの管理システム404は、エージェントが何もなくても、エンドポイントにエージェントをデプロイおよび/またはインストールすることができる。
コンピュータ システム
コンピュータ システム
実施形態によっては、本明細書に記載されるシステム、プロセス、および方法は、コンピューティングシステム、例えば図5に説明されるものなどを用いて実装される。実施例のコンピュータシステム502は、1つまたは複数のネットワーク518を介して、1つまたは複数のコンピューティングシステム520および/または1つまたは複数のデータソース522との通信状態にある。図5は、コンピューティングシステム502の実施形態を説明しているが、その一方で、コンピュータシステム502のコンポーネントおよびシステムにおいて提供される機能性は、さらに数少ないコンポーネントおよびシステムへと組み合わせるか、または追加のコンポーネントおよびシステムに分けることができる。
コンピューティングシステムコンポーネント
コンピューティングシステムコンポーネント
コンピュータシステム502は、本明細書に記載される機能、方法、活動、および/またはプロセスを実施する、エンドポイントのモデル化およびグループ分けの管理システム514を含むことができる。コンピュータシステム502は、下記にさらに議論される中央処理ユニット506によってコンピュータシステム502上で実行される、エンドポイントのモデル化およびグループ分けの管理システム514を含むことができる。
一般に、「システム」という言葉は、本明細書に使用される際には、ハードウェアもしくはファームウェアに具現化される論理か、またはエントリポイントとイグジットポイントとを有するソフトウェア命令のコレクションを指す。システムは、プログラム言語、例えばJAVA、C、またはC++などで記述される。ソフトウェアシステムは、動的リンクライブラリにインストールされた実行可能なプログラム内に適合もしくは連結することができるか、またはインタプリタ型言語、例えばBASIC、PERL、LAU、PHP、もしくはPythonなど、および任意のそのような言語に記述することができる。ソフトウェアシステムは、他のシステムもしくはそれら自体から呼び出すことができる、および/または検出されたイベントもしくは割込みに応答して起動させることができる。ハードウェアに実装されたシステムは、接続された論理ユニット、例えばゲートやフリップフラップなどを含む、および/またはプログラム可能なユニット、例えばプログラム可能なゲートアレイまたはプロセッサを含むことができる。
概して、本明細書に記載されるシステムとは、それらの物理的な編成または記憶に関わらず、他のシステムと組み合わせるかまたはサブシステムに分けることができる、論理システムを指す。このシステムは、1つまたは複数のコンピューティングシステムによって実行され、任意の適したコンピュータ読み取り可能な媒体の上または内部に記憶されるか、または特別に設計されたハードウェアもしくはファームウェア内に全部または一部を実装されることがある。上に記載された任意の方法、計算、プロセス、または解析は、コンピュータの使用により容易なものとすることができるものの、全ての計算、解析、および/または最適化が、コンピュータシステムの使用を必要とする訳ではない。さらに、実施形態によっては、本明細書に記載されるプロセスブロックを、変更、再編、組合せ、および/または省略することができる。
コンピュータシステム502は、1つまたは複数の処理ユニット(CPU)506を含み、それらはマイクロプロセッサを含むことができる。コンピュータシステム502はさらに、物理的メモリ510、例えば情報の一時的な記憶のためのランダムアクセスメモリ(RAM)、情報の永続的な記憶にためのリードオンリメモリ(ROM)など、および大容量記憶デバイス504、例えばバッキングストア、ハードドライブ、回転磁気ディスク、ソリッドステートディスク(SSD)、フラッシュメモリ、相変化メモリ(PCM)、3D XPointメモリ、ディスケット、または光学媒体記憶デバイスなどを含む。あるいは、大容量記憶デバイスを、サーバの配列として実装することができる。典型的には、コンピュータシステム502のコンポーネントが、標準ベースのバスシステムを用いてコンピュータに接続される。このバスシステムは、様々なプロトコル、例えばペリフェラル・コンポーネント・インターコネクト(PCI)、マイクロチャネル、SCSI、インダストリアル・スタンダード・アーキテクチャ(ISA)、および拡張型ISA(EISA)アーキテクチャなどを用いて実装することができる。
コンピュータシステム502は、1つまたは複数の入力/出力(I/O)デバイスと、インターフェース512、例えばキーボード、マウス、タッチパッド、およびプリンタなどを含む。I/Oデバイスおよびインターフェース512は、ユーザに対しデータの可視的な表現を可能にする1つまたは複数のディスプレイデバイス、例えばモニタを含むことができる。さらに具体的には、ディスプレイデバイスは、例えば、アプリケーションソフトウェアデータとしてGUIの表現、およびマルチメディア表現をもたらす。I/Oデバイスおよびインターフェース512はまた、様々な外部デバイスとの通信インターフェースを与える。コンピュータシステム502は、1つまたは複数のマルチメディアデバイス508、例えばスピーカー、ビデオカード、グラフィックアクセラレータ、およびマイクロフォンなどを含むことができる。
コンピューティングシステムデバイス/オペレーティングシステム
コンピューティングシステムデバイス/オペレーティングシステム
図5は、本エンドポイントのモデル化およびグループ分けの管理システムの1つまたは複数の実施形態を実装するためのソフトウェアを走らせるように構成された、コンピュータハードウェアシステムの実施形態を図示するブロック図である。
コンピュータシステム502は、種々のコンピューティングデバイス、例えばサーバ、Windowsサーバ、構造化クエリ言語サーバ、Unixサーバ、パーソナルコンピュータ、ラップトップコンピュータなどの上で走ることができる。他の実施形態では、コンピュータシステム502は、クラスタコンピュータシステム上で、メインフレームコンピュータシステム上で、および/または大容量データベースの制御および/または通信、大量トランザクション処理の実施、および大規模データベースからのレポートの生成に適した他のコンピューティングシステムの上で、走ることができる。コンピューティングシステム502は、概して、オペレーティングシステムソフトウェア、例えばz/OS、Windows、Linux、UNIX、BSD、PHP、SunOS、Solaris、MacOS、ICloudサービス、または独自のオペレーティングシステムを含めた他の互換的なオペレーティングシステムなどによって、制御および調整される。オペレーティングシステムは、実行のためのコンピュータプロセスを制御およびスケジューリングし、メモリの管理を実施し、ファイルシステム、ネットワーキング、およびI/Oサービスを提供し、数ある中でもグラフィカルユーザインターフェース(GUI)などのユーザインターフェースを供給する。
ネットワーク
ネットワーク
図5に図示されたコンピュータシステム502は、ネットワーク518、例えばLAN、WAN、またはインターネットに、(有線、無線、またはそれらの組合せの)通信リンク516を介して連結される。ネットワーク518は、様々なコンピューティングデバイスおよび/または他の電子デバイスと通信する。ネットワーク518は、1つまたは複数のコンピューティングシステム520および1つまたは複数のデータソース522と通信している。コンピュータシステム502は、web対応のユーザクセスポイントを介してコンピューティングシステム520および/またはデータソース522にアクセスするかまたはアクセスされることの可能な、エンドポイントのモデル化およびグループ分けの管理システム514を含むことができる。接続は、物理的な接続、バーチャル接続、および他の接続タイプとすることができる。web対応のユーザクセスポイントは、テキスト、グラフィックス、オーディオ、ビデオ、およびデータを提示しネットワーク518を介してデータとの相互作用を可能にする他のメディアを用いる、ブラウザシステムを含むことができる。
出力システムは、全域アドレス指定可能なディスプレイの組合せとして実装することができ、ディスプレイとしては例えば、陰極線管(CRT)、液晶ディスプレイ(LCD)、プラズマディスプレイ、または他のディスプレイのタイプおよび/または組合せがある。出力システムは、入力デバイスおよび/またはインターフェース512と通信するために実装することができるが、それらはまた、様式化された画面要素、例えばメニュー、ウィンドウ、ダイアログボックス、ツールバー、およびコントロール(例えばラジオボタン、チェックボックス、スライディングスケールなど)などの使用を介してユーザがデータにアクセスすることを可能にする、適切なインターフェースを有するソフトウェアを含む。さらに、出力システムは、入出力デバイスのセットに通信して、ユーザからのシグナルを受信することができる。
他のシステム
他のシステム
コンピューティングシステム502は、1つまたは複数の内部のおよび/または外部のデータソース(例えばデータソース522)を含むことができる。実施形態によっては、1つまたは複数の上記のデータレポジトリおよびデータソースは、リレーショナルデータベース、例えばDB2、Sybase、Oracle、CodeBase、およびMicrosoft(登録商標)SQLサーバなど、ならびに他のタイプのデータベース、例えばフラットファイルデータベース、実体関連データベース、およびオブジェクト指向データベースなど、および/またはレコードベースのデータベースを用いて実装することができる。
コンピュータシステム502は、1つまたは複数のデータソースs522にもアクセスすることができる。データソース522は、データベースまたはデータレポジトリに記憶させることができる。コンピュータシステム502は、ネットワーク518を介して1つまたは複数のデータソース522にアクセスすることができ、I/Oデバイスおよびインターフェース512を介してデータベースまたはデータレポジトリに直接的にアクセスすることができる。1つまたは複数のデータソース522を記憶するデータレポジトリは、コンピュータシステム502内に存在することができる。
深い可視性
深い可視性
実施形態によっては、1つまたは複数のエージェントは、1つまたは複数のエンドポイント上にインストールされて、リアルタイムおよび/または実質的にリアルタイムにデータを収集することができる。エージェントは、ネットワークアクティビティ、オペレーションおよびプロセスのカーネルベースのモニタリング、ならびに暗号化データおよび非暗号化データを収集し、それによってエンドポイント内への深い可視性をシステムに与えるように、インストールすることができる。実施形態によっては、そのような深い可視性により、本エンドポイントのモデル化およびグループ分けの管理システムが、実質的に全てを、全てでなければトラフィックデータを、モニタリングおよび/または評価して、このデータセットに機能性[例えば完全セキュリティ侵害インジケーター(indicator of compromise)(IOC)など、全てまたは実質的に全てのエンドポイントおよびネットワークアクティビティを解析する、セキュリティ上の脅威およびリスクアセスメントのためのさらに豊富なデータセットを提供する、エンドポイント上で封じ込め活動を実施する能力を付与する、さらに充分なデータセットに基づきベースライン挙動を確立するなど]を付与することが可能となる。
実施形態によっては、エージェントは、ネットワークトラフィックを復号する必要なくトラフィックを収集することができる。そのため、暗号化されたネットワークトラフィックを識別するために、認証を必要とされないことがある。さらに、エージェントは、外部の通信チャネルへの送信のために暗号化される前のデータを収集することができる、および/または外部の通信チャネルからの送信より復号された後のデータを収集することができる。そのため、本エンドポイントのモデル化およびグループ分けの管理システムは、暗号化されたネットワークトラフィックをファイアウォールでモニタリングすることに限定されるという在来のエンタープライズネットワークの欠点に対処することができる。
図6は、いくつかの実施形態による、エンドポイントからデータを収集する1つまたは複数のエージェントを説明するブロック図である。実施形態によっては、エージェント604を、エンドポイント上にインストールすることができる。例えば、エージェント604を、カーネル610上のアクティビティをモニタリングするドライバを用いてインストールすることができる。そのため、本エンドポイントのモデル化およびグループ分けの管理システムは、ネットワークトラフィックだけでなく、データパケットがインバウンド送信用に復号された後のおよび/またはデータパケットがアウトバウンド送信用に暗号化される前のネットワークトラフィックにもアクセスすることができる。本エンドポイントのモデル化およびグループ分けの管理システムはまた、カーネルレベルにある全てのアクティビティ、例えばエンドポイントの内部のアクティビティにアクセスするおよび/またはモニタリングすることができ、それによりさらに、インバウンドまたはアウトバウンドのネットワークトラフィックに限定することがある在来のエンタープライズネットワークの別の欠点にさらに対処することができる。
実施形態によっては、ユーザ空間602は、エンドポイント上で実行している1つまたは複数のプログラム606、例えばブラウザアプリケーションを含むことができる。1つまたは複数のデータパケット608は、ユーザ空間602からにカーネル610に送信および/または受信可能である。実施形態によっては、カーネルは、処理のためにCPU612に送信されるデータパケットを変換することができる。実施形態によっては、データパケット608を、直接的にユーザ空間602からカーネル610に、CPU612用の変換のために送ることができる。実施形態によっては、CPU612用の変換のためにカーネル610に送信することができるAPIコール611を介して、データパケット609を送信および/または要求することができる。
実施形態によっては、1つまたは複数のプログラム606は、データパケット618を送信および/または受信するためのそれ自体(および/または第三者)の保護レイヤ614、例えばサンドボックスを使用して、データパケット618をパッケージングしてカーネル610に直接的に送ることができる。データパケット618がユーザ空間602およびカーネル610に、またはそこから送信される際に、追加の保護レイヤは、データパケット618内へのセキュリティ上の脅威の悪質な注入を防止することができる。本エンドポイントのモデル化およびグループ分けの管理システムは、エージェントコンポーネント616を保護レイヤ614上に配置することによって可視性を得ることができ、それは例えば、保護レイヤ614内に配置されたプラグインを介して行われ、保護レイヤ614にはデータパケット618も配置されている。カーネル610からの受信時にプログラム606が保護レイヤ614を除去すると、および/またはカーネル610への送信時に保護レイヤ614を追加する前に、エージェントコンポーネント616は、データトラフィックを識別および収集することができる。
実施形態によっては、ユーザ空間602上の1つまたは複数のプログラム606は、外部ネットワーク624と通信するように構成することができる。1つまたは複数のデータパケットは、データアクセスする管理システム620を通過することができる。実施形態によっては、データアクセスする管理システム620および/または他のデバイスは、外部ネットワーク624に送られる1つまたは複数のデータパケット622を暗号化することができる、および/または外部ネットワーク624から受信された1つまたは複数の暗号化されデータパケット622を復号することができる。実施形態によっては、データパケットを外部ネットワーク624に送るために、プログラム606は、ライブラリ626からのデータ[例えば、ポート制御プロトコル(PCP)を送受信する能力を有効にするためのデータ]を要求することができる。実施形態によっては、このライブラリ626へのトラフィックは、ネットワーク境界線の外側の外部コンピューティングデバイスに送信される前に、カーネル610およびCPU612を通される。そのため、データが外部コンピューティングデバイスに送信される前に、ライブラリ626を通過するこのデータを収集するように、エージェント604を構成することができる。実施形態によっては、ライブラリ626上および/またはライブラリ626からデータを収集するドライバ上に、エージェント604をインストールすることができる。
エージェント605は、ユーザ空間602のプログラム606上にインストール可能である、および/またはユーザ空間602上のプログラム606からデータを収集するドライバとすることができる。実施形態によっては、本エンドポイントのモデル化およびグループ分けの管理システムは、エージェント605をユーザ空間602上にインストールする、および/またはエージェント604をカーネルレイヤ610上にインストールすることができ、それによって、異常なアクティビティがユーザ空間606とカーネルレイヤ610との間に発生した際に(例えば、ユーザ空間606とカーネルレイヤ610との間を移動するデータパケットに、悪質なコードが注入された際に)異常な挙動を検出することができる。したがって、データパケット608がCPU612によって処理されるおよび/またはユーザ空間602上のプログラム606に影響を及ぼす前に、ウイルスまたはマルウェアが注入された際に、本エンドポイントのモデル化およびグループ分けの管理システムは、異常および/またはセキュリティ上の脅威を検出することができる。
実施形態によっては、1つまたは複数のエージェントが、1つまたは複数のエンドポイント上にインストールされ、カーネルレベルでデータをモニタリングおよび収集できることから、本エンドポイントのモデル化およびグループ分けの管理システムは、ある特定のエンタープライズネットワークでは利用できないことがある広範囲のデータタイプへのアクセスを得ることができる。図7は、ある特定の実施形態による、エージェントが収集可能ないくつかのタイプのデータを説明する、グラフィカルユーザインターフェースである。非限定的な例として、1つまたは複数のエージェントによって収集されるデータのタイプは、以下を含むことができる:ファイル名、フルパス、作製時刻、修正時刻、SHA1、SHA256、MD5を含む、ディスクファイル全体のモニタリング;プロセス名、プロセスID、作製時刻を含む、ライブでのプロセスのモニタリング;ファイル名、フルパス、作製時刻、修正時刻、SHA1、SHA256、MD5を含む、実行可能ファイルの発生;ネットワークアクティビティ、ファイル作製/修正、タイムスタンプを含む、プロセスイベント;ならびにIP/TCPv4接続(試行を含む)、DNSクエリ、(HTTP接続およびHTTPS接続のための)URL、(HTTP接続およびHTTPS接続のための)ヘッダ、およびタイムスタンプを含む、ライブネットワークモニタリング。
実施形態によっては、1つまたは複数のエージェントは、PCP[例えばユニフォームリソースロケータ(URL)]で利用できるデータを収集するように構成することができる。実施形態によっては、エージェントおよび/または本エンドポイントのモデル化およびグループ分けの管理システムは、収集データを構文解析および/または評価することができる。例えば、本エンドポイントのモデル化およびグループ分けの管理システムは、URLを構文解析して、URLのホスト名および/またはhttpsメタヘッダを識別することができる。実施形態によっては、1つまたは複数のエージェントは、エンドポイントアクティビティから、クッキー情報、ゲストパラメータ、ホストパラメータ、および/またはhttpパラメータを収集することができる。実施形態によっては、本エンドポイントのモデル化およびグループ分けの管理システムは、1つまたは複数のエンドポイントの閲覧履歴をモニタリングし、閲覧履歴に基づき1つまたは複数のエンドポイントの挙動パターンを決定することができる。
実施形態によっては、本エンドポイントのモデル化およびグループ分けの管理システムは、ある特定のタイプの収集データにおけるマッチングを識別して、グループを決定することができる。実施形態によっては、本エンドポイントのモデル化およびグループ分けの管理システムは、収集されたデータのタイプに従って、ポリシーおよび/または実行データを作り出すことができる。実施形態によっては、本エンドポイントのモデル化およびグループ分けの管理システムは、エラスティックネットワーク内の様々なエンドポイントでインストールされたエージェント[例えば、特定のセキュリティ侵害インジケーター(IOC)について解析する]により生成される収集データ上における検索を可能にすることができる。実施形態によっては、本エンドポイントのモデル化およびグループ分けの管理システムは、ファイルおよび/またはヘッダデータを解析するおよび/またはマッチングさせることができる。さらに、実施形態によっては、本エンドポイントのモデル化およびグループ分けの管理システムは、具体的な日時に具体的なウェブサイトを訪れているエンドポイントをマッチングさせるように、ならびにある特定の地理的領域でアクティビティを有するエンドポイントを識別するように、その他構成することができる。
エラスティックなグリッドおよび自律的な異変の識別
エラスティックなグリッドおよび自律的な異変の識別
実施形態によっては、エンドポイントのモデル化およびグループ分けの管理システムは、1つまたは複数のグループ分けに基づき、エンタープライズネットワークの境界線を画定することができる。そのため、エンドポイントのモデル化およびグループ分けの管理システムは、エンドポイントをバーチャルに取り囲むエラスティックな境界線を作り出すことができる。実施形態によっては、エンドポイントのモデル化およびグループ分けの管理システムは、類似の挙動によりエンドポイントをグループ分けすることによって、エンタープライズネットワークの境界線を画定することができる。例えば、エンドポイントのモデル化およびグループ分けの管理システムのAIコンポーネントは、エンドポイントの挙動における類似性を識別することができる。実施形態によっては、エンドポイントのモデル化およびグループ分けの管理システムは、エンタープライズネットワークの境界線の一部として、エージェントと共にインストールされた各エンドポイントを、識別することができる。
図8は、エンドポイントのモデル化およびグループ分けの管理システムによる送信のいくつかの実施形態による、エージェントから収集されたデータの解析に基づく、1つまたは複数のエージェントへの挙動モデルの送信を説明するフロー図である。
ブロック802では、本エンドポイントのモデル化およびグループ分けの管理システムは、エージェントをデプロイできるエンドポイントを識別することができる。例えば、エンタープライズネットワーク境界線内のコンピュータ、エンタープライズネットワーク境界線の外側のコンピュータ、境界線内のデータセンタ、境界線の外側のデータセンタ、および/またはクラウドデータセンタに、1つまたは複数のエージェントをデプロイする必要があることを、システムは判定することができる。実施形態によっては、ブロック804では、本エンドポイントのモデル化およびグループ分けの管理システムは、1つまたは複数の識別、検出、および/または判定されたエンドポイントに、エージェントをデプロイすることができる。
ブロック806では、エージェントを受信した各エンドポイントは、受信されたエージェントをインストールするように構成することができる。実施形態によっては、エンドポイントのそれぞれまたはいくつかは、コンピューティングデバイスおよび/またはメモリをエンタープライズネットワーク上、クラウドシステム上、リモートコンピューティングデバイス上などに配置して含むことができる。例えば、エンドポイント1は、エンタープライズネットワーク境界線内のコンピュータ上のエンドポイントとすることができる。エンドポイント2は、エンタープライズネットワーク境界線の外側のコンピュータ上のエンドポイントとすることができる。エンドポイント3は、境界線内のデータセンタ上のエンドポイントとすることができる。エンドポイント4は、境界線の外側のデータセンタ上のエンドポイントとすることができ、エンドポイント5およびエンドポイント6は、クラウドデータセンタ1および2上のエンドポイントとすることができる。実施形態によっては、図8のエンドポイントのうちの1つは、クラウドサービス、例えばSalesforce、Office365、Dropbox、Box、GitHubなどにすることができ、その場合、このシステムは、エージェントをクラウドサービスエンドポイントでデプロイするのではなく、むしろクラウドサービスエンドポイントへのおよび/またはそこからのネットワークアクセスを調節する。
ブロック808では、エージェントは、エンドポイントデータを収集し送信することができる。例えば、エージェントは、エンドポイントの内部アクティビティ、暗号化データおよび非暗号化データ、インバウンド/アウトバウンドネットワークトラフィックデータ、ネットワーク使用量、アプリケーション使用量、プロセッサ使用量、期間使用量、エンドポイントの地理的場所、企業の部門などを識別するデータを、カーネルレベルで収集することができる。
ブロック810では、本エンドポイントのモデル化およびグループ分けの管理システムは、インストールされたエージェントがなくても1つまたは複数の追加のエンドポイントを識別し、それらのエンドポイントにエージェントをデプロイすることができる。実施形態によっては、本エンドポイントのモデル化およびグループ分けの管理システムは、別のエンドポイントと同じコンピューティングプラットフォーム上にエージェントがなくても、エンドポイントを識別することができる。例えば、エンドポイントは、同じクラウドデータセンタ、境界線内のデータセンタ、境界線外のデータセンタ、境界線内のコンピュータ、および/または境界線外のコンピュータの一部分であるインストールされたエージェントがなくても、別のエンドポイントを識別するために使用できるインストールされたエージェントを有することができる。
ブロック806では、エンドポイントは、追加のエンドポイントでエージェントをインストールすることができ、ブロック808では、エージェントは、エンドポイントからエンドポイントデータを収集して、本エンドポイントのモデル化およびグループ分けの管理システムにデータを送信することができる。したがって、エンドポイントがエージェントを介してネットワークに追加される際に、本エンドポイントのモデル化およびグループ分けの管理システムは、エンドポイント上にインストールされたエージェントにより収集されたデータを受信することによって、そのエンドポイントの処理および/またはアクティビティへの可視性を獲得することができる。そのため、1つまたは複数のエンドポイント上にインストールされたエージェントにより収集されたデータに少なくとも部分的に基づき、ネットワークエンタープライズの境界線を画定することができる。このことは、中央サーバ上、バーチャルルータ上、クラウドサーバ上などにソフトウェア定義型のまたは既定の境界線を与えるように構成されている特定のエンタープライズネットワークのレジームの欠点を、改善することができる。このことはまた、全てのトラフィックを中央サーバへ発信してそのアセスメントに対し中央サーバを応答させる必要がある(例えば、各データパケットについてアクセスの調節を送信する)ことにより生じる、複数のエンタープライズネットワークのレジームの非効率性を、さらに改善することができる。さらに、複数のエンタープライズネットワークのレジームが、ネットワークを介して移動する暗号化されたネットワークパケットに関し限定的な可視性を有することができるのに対し、本明細書のある特定の実施形態は、上記のように、1つまたは複数のエンドポイントでのアクティビティまたは処理への可視性を与える。
ブロック812では、本エンドポイントのモデル化およびグループ分けの管理システムは、エージェントによって収集されたデータを評価し、1つまたは複数のエンドポイントにわたる受信されたエンドポイントデータにおける類似性を特定または判定する。例えば、本システムは、ネットワーク使用量、アプリケーション使用量、プロセッサ使用量、期間使用量、エンドポイントの地理的場所、企業の部門などに基づいて、1つまたは複数のエンドポイントが類似であることを判定することができる。さらに、ブロック812では、本エンドポイントのモデル化およびグループ分けの管理システムは、インストールされたエージェントを有するエンドポイント内のアクティビティ、例えばネットワーク使用量、アプリケーション使用量、プロセッサ使用量、期間使用量、エンドポイントの地理的場所、企業の部門などの可視性を有することができる。例えば、本エンドポイントのモデル化およびグループ分けの管理システムは、インストールされたエージェントを中に有する実質的に全てのエンドポイントの可視性を有することができる。
ブロック814では、本エンドポイントのモデル化およびグループ分けの管理システムは、識別された類似性および/または差異に基づき、論理グループなどのグループを決定することができる。例えば、識別または判定された類似性および/または差異は、ネットワーク使用量、アプリケーション使用量、プロセッサ使用量、期間使用量、エンドポイントの地理的場所、企業の部門などの類似性および/または差異に基づくものとすることができる。各グループは、1つまたは複数のエンドポイント、1つまたは複数のコンピュータシステム、1つまたは複数のデータセンタ、1つまたは複数のクラウドサービス、1つまたは複数のクラウドデータセンタなどを含むことができる。
ブロック816では、本エンドポイントのモデル化およびグループ分けの管理システムは、各グループ分けについてモデルを生成することができる。例えば、モデルは、グループ内のエンドポイントについてベースライン挙動を標示するベースラインモデルとすることができる。実施形態によっては、本エンドポイントのモデル化およびグループ分けの管理システムは、ある特定のタイプの収集データにおけるマッチングを識別して、グループを決定することができる。実施形態によっては、本エンドポイントのモデル化およびグループ分けの管理システムは、ファイルおよび/またはヘッダデータをマッチングすることができる。例えば、本エンドポイントのモデル化およびグループ分けの管理システムは、具体的な日時に具体的なウェブサイトを訪れているエンドポイントをマッチングし、ある特定の共通の地理的領域でアクティビティを識別することができる。
実施形態によっては、本エンドポイントのモデル化およびグループ分けの管理システムは、1つまたは複数の特徴に基づき、グループについてモデルを決定することができる。例えば、本エンドポイントのモデル化およびグループ分けの管理システムは、カーネルでのトラフィック、閲覧履歴、全てのアクセスデータ、通信プロトコル(暗号化されたトラフィックを含む)におけるインバウンドおよびアウトバウンド接続、オペレーティングシステム上でのオペレーション、デバイスのタイプ、ユーザ空間および/またはコンピューティングデバイスの他のシステムの上で実行されるプロセス、ネットワークトラフィック、ユーザからの入力、データ記憶アクティビティ、リアルタイム処理、バッチ処理、マルチタスク処理、双方向処理、マルチプログラム処理、トランザクション処理、マルチアクセスオペレーション、時分割オペレーション、アクティブディレクトリ、アクセス制御リスト、パケット情報、プロトコル情報、ポート番号情報、パケット状態情報、アプリケーション情報、VPN情報、データ使用量、帯域幅使用量、プロキシ使用量、CPUでの処理のためのカーネルによって翻訳される他のタイプの情報、サブセットおよび/または全ての特徴など従って、モデルを作り出すことができる。
実施形態によっては、本エンドポイントのモデル化およびグループ分けの管理システムは、ネットワークアクセス調節を構築するためのモデルを生成することができる。ブロック818では、本エンドポイントのモデル化およびグループ分けの管理システムは、1つまたは複数のグループのエンドポイントにたいしネットワークアクセス権を決定することができる。本エンドポイントのモデル化およびグループ分けの管理システムは、具体的なグループ内で、エンドポイントのネットワークアクセス制限を調節することができる。例えば、本エンドポイントのモデル化およびグループ分けの管理システムは、具体的なクラウドデータセンタ、クラウドサービス、エンタープライズネットワークの一部、データベースサーバ、ネットワークアプリケーション、または他のデバイスもしくはサービスへのネットワークアクセスを制限および/または許容することができる。本エンドポイントのモデル化およびグループ分けの管理システムは、グループを動的に識別する、および/またはグループに対しアクセス制限を自動的に設定することができる。サーバ、データセンタ、およびクラウドサービスに接続された数百、数千、および/または数百万のエンドポイントを有するネットワークについてITスタッフがアクセス調節を識別することを必要とされる、在来のエンタープライズネットワークの代わりに、本エンドポイントのモデル化およびグループ分けの管理システムは、論理ネットワークを自動的に識別して、アクセス制限を生成することができる。本エンドポイントのモデル化およびグループ分けの管理システムは、エンドポイント間の類似性、例えば、ネットワーク使用量、アプリケーション使用量、プロセッサ使用量、期間使用量、エンドポイントの地理的場所、企業の部門などの類似性に基づき、アクセス調節を識別することができる。
ブロック820では、エンドポイントは、本エンドポイントのモデル化およびグループ分けの管理システムによって生成されたモデルを、例えばブロック822および824で受信し、各グループについてのモデルに基づきベースライン挙動を識別する。例えば、論理グループ1に割り当てることができるものもあれば、論理グループ2に割り当てることができるものもある。
実施形態によっては、グループ内のある特定のエンドポイントは、典型的には、具体的な時間(例えば日、週、月、年)に、ある特定のネットワークリソースにアクセスし、ある特定の量の帯域幅を使用するなどする。実施形態によっては、本システムは、ベースライン挙動をモデル化するためにこの情報を使用するように構成することができる。ベースライン挙動データに基づいて、本システムは、ネットワークパスがエラスティックネットワーク内のエンドポイントからアクセスされている際に、ネットワークデータ使用量および/または異様な時間の突然の増加を識別するように、構成することができる。例えば、本システムは、クラウドサービスからデータをアップロードおよび/またはダウンロードするために、エンドポイントが異常なネットワークデータ帯域幅を利用している際に識別するように、構成することができ、その場合、そのような使用量は、通常のベースライン使用を超える大きなスパイクを呈し、そのような異常なネットワーク使用量のパターンが識別されると、本システムは、ユーザに対し、懸念事項としてエンドポイントをフラッグで知らせる、および/または異常な行動をとるエンドポイントについてネットワーク使用量を自動的におよび/または直ちに制限するように構成することができる。本エンドポイントのモデル化およびグループ分けの管理システムは、そのような解析を実施して、データ漏洩を識別することができる。そのようなアプローチは、在来のデータ漏洩防止製品の欠点を克服するが、これらの欠点は、ネットワーク上の固定ストリングの識別にフォーカスすることができる、および/またはデバイス制御(例えばデバイスがファイルにアクセスまたはコピーすることを防止する)にフォーカスすることができるものである。固定ストリングおよび/またはデバイス制御へフォーカスすることは、携帯型デバイスへの接続性を有するエラスティックエンタープライズネットワーク、およびファイアウォールの外側に位置するクラウドサービスには、有効に適用することができない。
実施形態によっては、論理グループなどのグループのそれぞれのベースライン挙動を用いて、異常な挙動を識別することができる。例えば、異常な挙動を識別することは、ある特定の時間での挙動、データパケットのタイプ、データの量、用いた暗号化手法、インバウンド/アウトバウンドネットワークトラフィック、ある特定の外部デバイスへのおよびそこからの接続試行などを含む。ブロック826では、エージェントは、エンドポイントデータを収集することができ、ブロック828でが、エージェントは、モデルにおいて識別されたベースラインから、異常な挙動を識別することができる。そのため、本エンドポイントのモデル化およびグループ分けの管理システムによって送られたモデルは、エンドポイントが自律的に作動し、それ自体の異常な挙動を識別することを可能にすることができる。実施形態によっては、エージェントは、本エンドポイントのモデル化およびグループ分けの管理システムおよび/または他の中央サーバ、クラウドサーバ、ネットワークサーバなどへデータを送る必要なく、異常な挙動を識別することができる。異常な挙動の識別は、エージェントを通じて、エンドポイント上で起こすことができることから、中央サーバに通知を送り応答を待つ必要なく、セキュリティ攻撃がさらに別の行動を取る前に応答をより速やかなものとすることができる。さらに、アセスメントおよび/または実行がエージェントで実施されると本エンドポイントのモデル化およびグループ分けの管理システム(および/または中央サーバ)とを行き来する必要な通信は削減される。このことは、100万箇所を超えるエンドポイントを各エンドポイントに対するアクセス制御と共にクラウドシステムに接続できる現在のエンタープライズネットワークにおいて、重要となりつつある。そのため、本開示のエンドポイントのモデル化およびグループ分けの管理システムは、拡張可能とすることができるのに対して、異常な挙動の識別を実施する中央のサーバは、拡張可能でないことがある。別の利点は、プロセスがカーネルレベルで送られるおよび/または受信される際に、実行ポリシーをリアルタイムで発生することができることである。エンドポイントから外部デバイスまでの接続試行、および/または外部デバイスからエンドポイントまでの接続試行は、接続が確立される前に検出することができる。そのため、エージェントは、セキュリティブリーチが発生する前に、これらの接続をリアルタイムで制限することができる。
異常な挙動が識別されると、エージェントは、ある特定の行動、例えば科学捜査的解析の開始、軽減および/またはレメディエーション手法、封じ込め機構、ローリングバック機能、ファイルおよびマシンの隔離、外部脅威取得の呑み込み、ネットワークパスアクセスの制限および/または終結などを、自律的にとることができる。
ブロック830では、本エンドポイントのモデル化およびグループ分けの管理システムは、識別された異常な挙動を受信し、さらに別のセキュリティリスクアセスメントを実施することができる。ブロック816では、本エンドポイントのモデル化およびグループ分けの管理システムは、識別された異常な挙動に基づきモデルをアップデートして、アップデートされたモデルを論理グループなどのグループのエンドポイントに送信することができる。
実施形態によっては、本エンドポイントのモデル化およびグループ分けの管理システムは、論理グループなどの具体的なグループを有するように思われるエンドポイントを識別することができるが、エンドポイントについて例外を作り出すことができる。実施形態によっては、本エンドポイントのモデル化およびグループ分けの管理システムは、作り出されたグループへのカスタマイゼーション、例えばアクセス制限の変更などを行うことができる。カスタマイゼーションは、グループ全体におよび/または個々のエンドポイントに適用することができる。実施形態によっては、本エンドポイントのモデル化およびグループ分けの管理システムは、類似のグループ内の他のエンドポイントがアクセス不能である場合がある特定のクラウドデータセンタにスーパーユーザがアクセスすることを可能にする、例外を作り出すことができる。
実施形態によっては、本エンドポイントのモデル化およびグループ分けの管理システムは、エラスティックネットワーク内の様々なエンドポイントでインストールされたエージェントによって生成された、収集された情報を検索すること[例えば、特定のセキュリティ侵害インジケーター(IOC)について解析すること]を可能にすることができる。実施形態によっては、収集されたエンドポイントデータを構文解析し、データベース内でインデックスを付けておくことができる。実施形態によっては、エンドポイントデータを検索する旨の要求を受信することに応じて、本エンドポイントのモデル化およびグループ分けの管理システムは、インデックスの付いたデータベースの検索を実施して、検索照会の際のキーワード、閾値レベル、および/またはセキュリティ侵害インジケーターとのマッチングを送信することができる。実施形態によっては、本エンドポイントのモデル化およびグループ分けの管理システムは、エラスティックネットワーク内の全てのエンドポイントへの、および/またはエラスティックネットワーク内で発生するネットワークアクティビティへの、セキュリティ侵害インジケーター(IOC)検索を可能にする。様々なエンドポイントによってインストールされたエージェントによって生成された、収集された情報は、エラスティックネットワーク内のエンドポイント上で作動するマルウェアまたは他の有害なソフトウェアを標示できるネットワークアクティビティを識別するための、脅威ハンティングおよびデータマイニングに用いる豊富なデータベースを提供することができる。一実施形態では,本システムは、マルウェア攻撃を示唆するネットワーク挙動を識別するためのフィルタおよび/または他の機構を含み、実施形態によっては、本システムは、エラスティックネットワークの残りの部分を保護するために、影響を受けた具体的なエンドポイントに対し封じ込め行動を取ることおよび/またはネットワークアクセスを制限することによって、そのようなマルウェア攻撃に応じるように構成することができる。
エンドポイントのモデル化およびグループ分けの管理システムは、グループを識別するための粒度の閾値を調整することができる。粒度の閾値が高く設定されている場合は、グループ内のエンドポイントが多すぎることがある。実施形態によっては、グループ内のエンドポイントが多すぎることにより、ネットワークアクセスパス権限を割り当てるのが困難となることがある。実施形態によっては、閾値の粒度は、論理グループ分けおよび/またはモデル化に用いるために調整することができる。実施形態によっては、本エンドポイントのモデル化およびグループ分けの管理システムは、アップデートされた閾値に基づき論理グループなどのグループを決定し、アップデートされたモデルデータをエージェントにデプロイすることができる。実施形態によっては、エンドポイントは、アップデートされたモデルデータに基づき、論理グループなどの関連のグループについて、ベースライン挙動を識別することができる。例えば、論理グループなどのグループについて粒度の閾値を変えることに応じて、グループ1に留まることのできるエンドポイントがあるが、グループ3に再びグループ分けできるエンドポイントがあり、グループ2に留まることのできるエンドポイントがある。本エンドポイントのモデル化およびグループ分けの管理システムは、新しい論理グループ分けについてモデルをアップデートすることができ、このモデルは、新しい論理グループ分けのそれぞれについて新しいベースライン挙動を決定することができる。これらのモデルは、エージェントにデプロイすることができ、それにより、エージェントは、新しい論理グループ分けに関連するアップデートされたベースライン挙動について、異常な挙動を識別することができる。実施形態によっては、エージェントは、エンドポイントへのおよびエンドポイントからのインバウンドデータおよびアウトバウンドデータを調節するために、アクセスポリシーを設定することができる。これらのアクセスポリシーは、論理グループなどの新しいグループのそれぞれについてアップデートされたモデルに基づき、決定することができる。
実施形態によっては、本エンドポイントのモデル化およびグループ分けの管理システムは、グループの侵害を評価することができる。実施形態によっては、本エンドポイントのモデル化およびグループ分けの管理システムによってエンドポイントおよび/またはそのエンドポイントを一部とするグループに割り当てられた権限に基づき制限されているネットワークパスへ、エンドポイントがアクセスしようと試みた際に、侵害が成立することがある。本エンドポイントのモデル化およびグループ分けの管理システムは、侵害を評価して、グループ分けについての粒度の閾値を動的におよび/または自動的に変える、換言すれば、そのエンドポイントを一部とするグループを変えることができる。実施形態によっては、本エンドポイントのモデル化およびグループ分けの管理システムは、侵害を評価して、エンドポイントおよび/またはそのエンドポイントを一部とするグループに割り当てられたネットワークアクセスパス権限を、動的におよび/または自動的に変えることができる。実施形態によっては、侵害を、不正なアクセス制限の識別とすることができる。ユーザは、本エンドポイントのモデル化およびグループ分けの管理システムに、不正なアクセス制限を標示することができる。実施形態によっては、侵害の数および/またはパーセンテージに基づき、本エンドポイントのモデル化およびグループ分けの管理システムは、粒度の閾値を増加および/または減少させることができる。実施形態によっては、本エンドポイントのモデル化およびグループ分けの管理システムは、複数のグループに基づき、粒度の閾値を調整することができる。
実施形態によっては、本エンドポイントのモデル化およびグループ分けの管理システムは、既知のウイルスを探索するように構成されたアンチウイルスシステムを含み、エンドポイントに対しネットワークアクセス制御を制限するように構成されたシステムに組み合わせることができる。
図9は、いくつかの実施形態によるグループビューのグラフィカルユーザインターフェースである。実施形態によっては、本エンドポイントのモデル化およびグループ分けの管理システムは、グラフィカルユーザインターフェース内に論理グループなどのグループのダッシュボードを提供することができる。実施形態によっては、本エンドポイントのモデル化およびグループ分けの管理システムは、リモートユーザのコンピュータスクリーン上にダッシュボードのディスプレイを与えるためのデータを生成するように構成することができる。実施形態によっては、グラフィカルユーザインターフェースは、グループおよびグループの特徴を表示することができる。実施形態によっては、グループを、米国の西海岸に従業員が存在することを標示する「西海岸」と名付けることができる。グラフィカルユーザインターフェースは、グループに関連するエンドポイントの数、例えば2,083エンドポイントなどを標示することができる。グループ、例えば論理グループなどは、グループ内にサブグループを含むことができ、例えば1グループが73サブグループを有するなどとすることができる。実施形態によっては、グラフィカルユーザインターフェースは、グループに対する侵害の数を表示するように、例えば「西海岸」のグループについて43%のエンドポイントが侵害を報告するなどのように、構成することができる。グラフィカルユーザインターフェースは、他のエンドポイント、例えばローカルおよび/またはリモートアプリケーション、プロトコル、クラウドサービス、データセンタなどへのアクセス調節を表示することができる。例えば,実施形態によっては、「西海岸」グループを、ローカルアプリケーション、USBプロトコル、およびいくつかのデータセンタに接続することができるとともに、クラウドアプリケーションへのアクセスを制限することができる。実施形態によっては、グラフィカルユーザインターフェースは、西海岸の様々なサブグループおよび/または論理グループなどのグループのエンドポイントを表示することができる。実施形態によっては、グラフィカルユーザインターフェースは、具体的なエンドポイントについて侵害のリストを表示することができる。実施形態によっては、グラフィカルユーザインターフェースは、或る期間にわたる侵害の数および/またはパーセンテージを表示することができる。実施形態によっては、グラフィカルユーザインターフェースは、エンドポイントおよび/またはエンドポイントのグループにおよびそこからダウンロードおよび/またはアップロードされたデータの量を表示することができる。実施形態によっては、グラフィカルユーザインターフェースは、エンドポイントおよび/またはエンドポイントのグループにおよびそこからダウンロードおよび/またはアップロードされたデータの量を表示して、そのようなデータを履歴データと比較することができる。実施形態によっては、本システムは、ダウンロードおよび/またはアップロードされたデータの量を履歴データに比較して閾値レベルを超えた場合に、エンドポイントおよび/またはエンドポイントのグループに対し、フラッグおよび/またはアラートを生成するように、および/またはネットワークアクセスを終了または低減するように構成することができる。
実施形態によっては、本エンドポイントのモデル化およびグループ分けの管理システムは、利用可能なグループ、データセンタ、および/またはサービスのグラフィカルユーザインターフェースを提供することができる。一実施形態では、本エンドポイントのモデル化およびグループ分けの管理システムは、エラスティックネットワークにおけるエンドポイントのマッピングを示すグラフィカルディスプレイを提供することができるが、一方で、本エンドポイントのモデル化およびグループ分けの管理システムは、エンドポイントに対する自動の、準自動の、手動の、および/または組合せのアクセス制限の決定に用いるために構成することができる。図10および図11は、ダッシュボードのいくつかの実施形態によるグラフィカルユーザインターフェースの図説であり、ダッシュボードは、グループ、ならびにサーバ、記憶デバイス、データセンタ、クラウドベースサービス、およびストレージ、ならびにエラスティックネットワーク内のエンドポイントがアクセスすることがある他のネットワークサービスを列挙する。図10および図11の実施形態では、本エンドポイントのモデル化およびグループ分けの管理システムは、論理グループなどのグループ、および/またはサブグループのリストを表示することができる。本エンドポイントのモデル化およびグループ分けの管理システムは、利用可能なクラウドデータセンタ、クラウドサービス、ローカルおよび/またはリモートサーバ、ローカルおよび/またはリモートアプリケーション、ローカルおよび/またはリモートデータベース、プロトコルなどを表示することができる。
実施形態によっては、本エンドポイントのモデル化およびグループ分けの管理システムは、クラウドデータセンタ、クラウドサービスおよび/またはアプリケーション、ローカルサーバまたはサーバ、ローカルアプリケーションまたはアプリケーション、プロトコル、ネットワークアクセスする権限などへの具体的なグループのアクセスを表示することができる。図12および図13は、いくつかの実施形態によるグラフィカルユーザインターフェースである。図12の実施形態では、グラフィカルユーザインターフェースは、1つのサーバおよび2つのクラウドベースサービスとのアクセスを有するグループを表示する。図12の実施形態では、ある特定の数のエンドポイントとサブグループとを有するサブグループが選択され、2つのクラウドサービスと1つのローカルデータセンタとのアクセス、および/または1つのクラウドサービス、1つのローカルサーバ、および2つのローカルデータセンタ上のアクセス制限を有することが示されている。図13の実施形態では、グラフィカルユーザインターフェースは、1つのサーバ、2つのクラウドベースサービス、および1つのローカルデータベースファイルストレージへのアクセス制御を有する、論理グループなどのグループを表示する。実施形態によっては、本エンドポイントのモデル化およびグループ分けの管理システムは、グラフィカルユーザインターフェース上で、アクセス制限を自動的に決定するおよび/または表示することができる。実施形態によっては、本エンドポイントのモデル化およびグループ分けの管理システムは、グラフィカルユーザインターフェース上でアクセス制限の手動による決定および/または修正を可能にすることができる。
実施形態によっては、本エンドポイントのモデル化およびグループ分けの管理システムは、関連の特徴を有するグループのリストを表示することができる。図14は、関連の特徴を有する論理グループなどのグループの一覧表の、いくつかの実施形態によるグラフィカルユーザインターフェースである。実施形態によっては、グラフィカルユーザインターフェースは、各グループについてエンドポイントおよび/またはサブグループの数を表示することができる。実施形態によっては、グラフィカルユーザインターフェースは、各グループについて、プロトコル、データセンタ、クラウドアプリケーションおよびクラウドリソース、ローカルアプリケーションおよび/またはデータなどへのアクセス許可および/または制限の数を表示することができる。実施形態によっては、グラフィカルユーザインターフェースは、各グループについて侵害の数を表示することができる。
URLおよびクッキー
URLおよびクッキー
実施形態によっては、本明細書に記載されるシステム、方法、およびデバイスの1つまたは複数のフィーチャは、例えばデータまたはユーザの情報を記憶および/または送信するために、URLおよび/またはクッキーを利用することができる。ユニフォームリソースロケータ(URL)は、データベース上および/またはサーバ上に記憶されているウェブアドレスおよび/またはウェブリソースへの参照を含むことができる。URLは、コンピュータ上および/またはコンピュータネットワーク上にリソースの場所を指定することができる。URLは、ネットワークリソースを検索して取り出すための機構を含むことができる。ネットワークリソースの供給源は、URLを受信し、ウェブリソースの場所を識別し、ウェブリソースを要求元に送信して返すことができる。URLは、IPアドレスに変換することができ、ドメイン名システム(DNS)は、URLとその対応のIPアドレスとを検索することができる。URLは、ウェブページ、ファイル転送、eメール、データベースアクセス、および他のアプリケーションへの参照とすることができる。URLは、パス、ドメイン名、ファイル拡張子、ホスト名、クエリ、断片、スキーム、プロトコル識別子、ポート番号、、ユーザ名、パスワード、フラッグ、オブジェクト、リソース名などを識別する文字の配列を含むことができる。本明細書に開示されるシステムは、URL上でアクションを生成する、受信する、送信する、適用する、構文解析する、順番に並べる、表現する、および/または実施することができる。
HTTPクッキーともよばれるクッキー、ウェブクッキー、インターネットクッキー、およびブラウザクッキーは、ウェブサイトから送られたおよび/またはユーザのコンピュータ上に記憶されたデータを含むことができる。このデータは、ユーザのウェブブラウザによって記憶することができるとともに、ユーザが閲覧している。クッキーは、ウェブサイトが以前の閲覧情報を記憶から取り出すために有用な情報、例えばオンラインストアのショッピングカート、ボタンのクリック、ログイン情報、および/または過去に訪れたウェブページまたはネットワークリソースのレコードなどを含むことができる。クッキーは、ユーザが入力する情報、例えば名前、アドレス、パスワード、クレジットカード情報などを含むこともできる。クッキーは、コンピュータ機能を実施することもできる。例えば、認証クッキーをアプリケーション(例えばウェブブラウザ)により用いて、ユーザが(例えばウェブサイトに)既にログインしているか否かを識別することができる。クッキーデータは、消費者にセキュリティを付与するように暗号化することができる。トラッキングクッキーは、個々の履歴閲覧履歴を集約するために用いることができる。本明細書に開示されるシステムは、個々のデータにアクセスするためにクッキーを生成し使用することができる。システムはまた、認証プロトコルとしてのHTTP認証、セッションまたは同一性の情報を追跡するためのIPアドレス、URLなどを記憶するためのJSONウェブトークンを生成し使用することができる。
代替的な実施形態
代替的な実施形態
この発明は、ある特定の実施形態および実施例のコンテキストで開示されているとはいえ、本発明が具体的に開示された実施形態を超えて本発明の他の代替的な実施形態および/または使用ならびにその明白な改変および等価物に拡張されることが、当業者によって認識されよう。さらに、本発明の実施形態のいくつかのバリエーションが詳細に示され記載されている一方で、この発明の範囲内にある他の改変が、この開示に基づき当業者に容易に明らかになろう。本実施形態の特定の特徴および態様の様々な組合せまたはサブコンビネーションがなさレイヤはり本発明の範囲内にあるものとできることが想定される。開示された発明の実施形態の様々な様式を形成するために、開示された実施形態の様々な特徴および態様は、互いに組み合わせるかまたは置き換えることができることを理解するべきである。本明細書に開示されるいかなる方法も、記載された順番で実施される必要はない。そのため、本明細書に開示された本発明の範囲は、上記に記載された具体的な実施形態によって限定されるべきではないことが意図される。
条件語、例えば中でも、「can」、「could」、「might」、または「may」は、別段に具体的に記述されない限り、または使用される際のコンテキスト内で別段に解されない限り、ある特定の特徴、要素、および/またはブロックを含む実施形態があれば含まない実施形態もあることを伝えるものであることが、一般に意図される。そのため、そのような条件語は、特徴、要素、および/またはブロックが、1つまたは複数の実施形態に多少とも必要とされること;ならびに1つまたは複数の実施形態が、何らかの具体的な実施形態でこれらの特徴、要素、および/またはブロックが含まれるかもしくは実施されるものとなるか否かを、ユーザ入力またはプロンプト表示の有無に関わらず決定するための論理を必ず含むことを、含意することを一般に意図されるものではない。本明細書に使用される見出しは、読み手の利便性のために過ぎず、本発明または特許請求の範囲の範疇を限定することを意味するものではない。
さらに、本明細書に記載される方法およびデバイスが、様々な改変および変形を許容可能とすることがある一方で、その特定の例が図面に示されており、詳細を本明細書に記載されている。しかし、本発明は、開示された具体的な形態または方法に制限されるものではなく、それとは逆に、本発明は、記載された様々な実施態様および添付の特許請求の範囲の趣旨および範囲の内にある全ての改変、等価物、および変形を包含するものであることが認識されるべきである。さらに、実施態様または実施形態に関連した本明細書中の任意の具体的な特長、態様、方法、性質、特徴、質、属性、要素などの開示は、本明細書に定められた他の全ての実施態様または実施形態に使用することができる。本明細書に開示された任意の方法は、記載された順番で実施される必要はない。本明細書に開示された方法は、実践者により採られるある特定の動作を含むことがあるが、本方法はまた、それらの動作に関する任意の第三者の命令を明白にまたは言外に含むことができる。本明細書に開示される範囲はまた、いずれかまたは全ての重複、部分範囲、またはそれらの組合せをも包含する。「最大」、「少なくとも」、「を超える」、「未満」、「の間」などの言葉は、記載された数を含む。「約」または「およそ」などの用語が先に付された数は、記載された数を含むのであって、状況に基づき解釈されるべきではない(例えば、その状況下で合理的にできるだけ正確に、例えば±5%、±10%、±15%など)。例えば、「約3.5秒」は、「3.5秒」を含む。「実質的に」などの用語が先に付された節は、記載された設を含むのであって、状況に基づき解釈されるべきではない(例えば、その状況下で合理的にできるだけ多く)。例えば、「実質的に一定」は、「一定」を含む。別段に記述のない限り、全ての測定は、温度および圧力を含めて標準的な条件にある。
Claims (30)
- エラスティックコンピュータネットワークのセキュリティおよび完全性を保護するための動的なエンドポイントベースのエッジネットワーキングシステムであって、
複数のエージェントであって、前記複数のエージェントのそれぞれは、標的エンドポイントデバイスにインストールされ、前記標的エンドポイントデバイスは、エラスティックコンピュータネットワークを形成する複数のエンドポイントデバイスのうちの1つであり、前記複数のエージェントのそれぞれは:
前記エージェントのインストールされた前記標的エンドポイントデバイスのオペレーティングシステムにアクセスして、前記標的エンドポイントデバイスのオペレーティングシステムプロセスおよびネットワーク通信の可視性を取得し;
前記標的エンドポイントデバイスの前記オペレーティングシステムプロセスおよび前記ネットワーク通信をモニタリングして、標的エンドポイントデータを取得し、前記標的エンドポイントデータは、標的エンドポイントデバイスのシステムプロセスまたはネットワークプロセスのうち少なくとも1つに関する情報を含み;
前記標的エンドポイントデータを中央サーバシステムに送信し;
前記標的エンドポイントデータに少なくとも一部分において基づき、ローカルセキュリティプロトコルを用いて、前記標的エンドポイントデバイス上の1つまたは複数のローカルな異変の指標を識別し;
前記ローカルセキュリティプロトコルに少なくとも一部分において基づき、エンドポイントレベル上の前記1つまたは複数のローカルな異変の指標に応答する
ように構成され、
前記ローカルセキュリティプロトコルは、前記複数のエンドポイントデバイスのそれぞれのローカルセキュリティを確保するように設計された1つまたは複数のルールセット、ポリシー、またはアクセス権を含む、
複数のエージェント;ならびに
中央サーバシステムであって:
複数のコンピュータ実行可能な命令を記憶するように構成される、1つまたは複数のコンピュータ読み取り可能な記憶デバイス;ならびに
1つまたは複数のハードウェアコンピュータプロセッサであって、前記1つまたは複数のコンピュータ読み取り可能な記憶デバイスとの通信状態にあり、前記中央サーバシステムが:
標的エンドポイントデバイス上にインストールされた前記複数のエージェントのそれぞれから前記標的エンドポイントデータを受信し;
前記複数のエージェントのそれぞれから受信された前記標的エンドポイントデータを解析して、ネットワーク規模のアクティビティパターンを識別し;
前記識別されたネットワーク規模のアクティビティパターンに少なくとも一部分において基づき、ネットワーク規模のセキュリティプロトコルを用いて、前記複数のエンドポイントデバイスを横断するネットワークレベル上の1つまたは複数のネットワーク規模の異変の指標を識別し;
前記ネットワーク規模のセキュリティプロトコルに少なくとも一部分において基づき、前記複数のエンドポイントデバイスを横断するネットワークレベル上の前記1つまたは複数のネットワーク規模の異変の指標に応答する
ものとなるように、前記複数のコンピュータ実行可能な命令を実行するように構成される、ハードウェアコンピュータプロセッサ
を含む中央サーバシステム
を含むエッジネットワーキングシステム。 - 前記標的エンドポイントデバイスの前記オペレーティングシステムプロセスおよび前記ネットワーク通信をモニタリングすることは、標的エンドポイントアクティビティを確認することおよび認証することを含む、請求項1に記載の動的なエンドポイントベースのエッジネットワーキングシステム。
- 前記複数のエンドポイントデバイスは、1つまたは複数の携帯電話、サーバ、バーチャルマシン、ラップトップ、タブレット、デスクトップコンピュータ、モノのインターネット(IoT)のデバイス、固定電話、ウェアラブルデバイス、またはスマートホームデバイスを含む、請求項1に記載の動的なエンドポイントベースのエッジネットワーキングシステム。
- 前記ローカルな異変の指標は、前記標的エンドポイントデバイス上に悪質なソフトウェアのアクティビティを含む、請求項1に記載の動的なエンドポイントベースのエッジネットワーキングシステム。
- 前記悪質なソフトウェアは、ウイルス、マルウェア、ランサムウェア、アドウェア、スパイウェア、トロイの木馬、ワーム、ルートキット、スケアウェア、ローグウェア、アクティブコンテンツソフトウェア、またはロジックボムを含む、請求項4に記載の動的なエンドポイントベースのエッジネットワーキングシステム。
- 前記悪質なソフトウェアは、ゼロデイソフトウェアを含む、請求項4に記載の動的なエンドポイントベースのエッジネットワーキングシステム。
- 前記ローカルセキュリティプロトコルに基づき、前記1つまたは複数のローカルな異変の指標に応答することは、前記標的デバイスの1つまたは複数のオペレーティングシステムプロセスまたはネットワーク通信を制御することを含む、請求項1に記載の動的なエンドポイントベースのエッジネットワーキングシステム。
- 前記ローカルセキュリティプロトコルに基づき、前記1つまたは複数のローカルな異変の指標に応答することは、前記標的デバイスの1つまたは複数のオペレーティングシステムプロセスまたはネットワーク通信を限定することを含む、請求項1に記載の動的なエンドポイントベースのエッジネットワーキングシステム。
- 前記標的デバイスの1つまたは複数のオペレーティングシステムプロセスまたはネットワーク通信を限定することによって、前記標的エンドポイント上に位置する悪質なソフトウェアを有効に隔離する、請求項8に記載の動的なエンドポイントベースのエッジネットワーキングシステム。
- 前記複数のエンドポイントデバイスのうち少なくとも1つのエンドポイントデバイスは、コンピュータネットワークのファイアウォールの外側に位置する、請求項1に記載の動的なエンドポイントベースのエッジネットワーキングシステム。
- 前記標的エンドポイントデータを解析して、前記標的エンドポイントの典型的なネットワークアクセスの挙動および典型的なプロセッサの挙動を決定するように、1つまたは複数の前記中央サーバシステムまたは複数のエージェントがさらに構成される、請求項1に記載の動的なエンドポイントベースのエッジネットワーキングシステム。
- 決定された前記標的エンドポイントの典型的なネットワークアクセスの挙動および典型的なプロセッサの挙動を用いて、前記ローカルセキュリティプロトコルをアップデートする、請求項11に記載の動的なエンドポイントベースのエッジネットワーキングシステム。
- 1つまたは複数の人工知能(AI)手法を、1つまたは複数の前記中央サーバシステムまたは複数のエージェントにより採用して、前記標的エンドポイントデータを解析し、前記標的エンドポイントの典型的なネットワークアクセスの挙動および典型的なプロセッサの挙動を決定する、請求項11に記載の動的なエンドポイントベースのエッジネットワーキングシステム。
- 前記中央サーバシステムはさらに、前記複数のエンドポイントのうちの1つまたは複数のエンドポイントをエンドポイントクラスタにグループ化するものとされ、前記エンドポイントクラスタの1つまたは複数のエンドポイントは、1つまたは複数の類似の処理またはネットワークアクセスパターンを含む、請求項1に記載の動的なエンドポイントベースのエッジネットワーキングシステム。
- 前記中央サーバシステムはさらに、前記エンドポイントクラスタの1つまたは複数のエンドポイントのそれぞれに、共通のローカルセキュリティプロトコルを生成し割り当てるものとされる、請求項14に記載の動的なエンドポイントベースのエッジネットワーキングシステム。
- 前記複数のエージェントのそれぞれは、前記標的エンドポイントデバイスのポイントインタイムバリデーションを実施するようにさらに構成され、前記ポイントインタイムバリデーションは、前記標的エンドポイントデバイスに予め送信されたローカルな異変の指標がないことの確認を含む、請求項1に記載の動的なエンドポイントベースのエッジネットワーキングシステム。
- 前記ローカルな異変の指標は、前記標的エンドポイントデバイス上のローカルな異変のアクティビティのパターンである、請求項1に記載の動的なエンドポイントベースのエッジネットワーキングシステム。
- 1つまたは複数の前記ローカルセキュリティプロトコルまたは前記ネットワーク規模のセキュリティプロトコルは、ネットワークアドミニストレータにより手動で構成される、請求項1に記載の動的なエンドポイントベースのエッジネットワーキングシステム。
- 1つまたは複数の前記ローカルセキュリティプロトコルまたは前記ネットワーク規模のセキュリティプロトコルは、予め構成されたルールセットに基づく、請求項1に記載の動的なエンドポイントベースのエッジネットワーキングシステム。
- 1つまたは複数の前記ローカルセキュリティプロトコルまたは前記ネットワーク規模のセキュリティプロトコルは、1つまたは複数の前記中央サーバシステムまたは複数のエージェントによって自動的に生成されて割り当てられる、請求項1に記載の動的なエンドポイントベースのエッジネットワーキングシステム。
- 独自のローカルセキュリティプロトコルは、前記複数のエンドポイントデバイスのそれぞれに生成される、請求項1に記載の動的なエンドポイントベースのエッジネットワーキングシステム。
- 前記標的エンドポイントデバイスの1つまたは複数のオペレーティングシステムプロセスまたはネットワーク通信に基づき、前記ローカルセキュリティプロトコルは、1つまたは複数の前記中央サーバまたは複数のエージェントによって動的にアップデートされる、請求項1に記載の動的なエンドポイントベースのエッジネットワーキングシステム。
- 前記ローカルセキュリティプロトコルは、前記複数のエンドポイントデバイスの前記標的エンドポイントデバイスと別のエンドポイントデバイスとの間、前記標的エンドポイントデバイスと外側のサービスもしくはシステムとの間、または前記標的エンドポイントデバイスと内部のサービスもしくはシステムとの間のアクセスを、制限または許容するための1つまたは複数のポリシーを含む、請求項1に記載の動的なエンドポイントベースのエッジネットワーキングシステム。
- 前記複数のエージェントは、可視ネットワークをスキャンして、ネットワークにあるかまたは近接するデバイスを識別するようにさらに構成される、請求項1に記載の動的なエンドポイントベースのエッジネットワーキングシステム。
- 前記スキャンは、ディスカバリプロトコルを利用して、前記ネットワークにあるかまたは近接する前記デバイスを識別し、そのデータを取得することを含む、請求項24に記載の動的なエンドポイントベースのエッジネットワーキングシステム。
- 前記ネットワークにあるかまたは近接する前記デバイスから取得された前記データは、オペレーティングシステムタイプ、デバイスタイプ、IPアドレス、またはMACアドレスのうち1つまたは複数を含む、請求項25に記載の動的なエンドポイントベースのエッジネットワーキングシステム。
- 前記ローカルセキュリティプロトコルに基づき前記1つまたは複数のローカルな異変の指標に応答することは、前記標的エンドポイントデバイスのデータアクセス権を変更すること、ユーザによる前記標的エンドポイントデバイスへのアクセスを除外すること、または前記標的エンドポイントデバイスをロックすることのうち1つまたは複数を含む、請求項1に記載の動的なエンドポイントベースのエッジネットワーキングシステム。
- エラスティックコンピュータネットワークのセキュリティおよび完全性を保護するためのコンピュータ実装方法であって:
エラスティックコンピュータネットワークを形成する複数のエンドポイントデバイスのそれぞれにソフトウェアエージェントをインストールすること;
前記ソフトウェアエージェントのインストールされたエンドポイントデバイスのオペレーティングシステムに、各ソフトウェアエージェントによりアクセスして、前記エンドポイントデバイスのオペレーティングシステムプロセスおよびネットワーク通信の可視性を取得すること;
前記エンドポイントデバイスの前記オペレーティングシステムプロセスおよび前記ネットワーク通信を、各ソフトウェアエージェントによりモニタリングして、エンドポイントデータを取得することであって、前記エンドポイントデータは、前記エンドポイントデバイスの少なくとも1つの前記システムプロセスまたはネットワークプロセスに関する情報を含むこと;
各ソフトウェアエージェントによって、前記エンドポイントデータを中央サーバシステムに送信すること;
前記エンドポイントデータに少なくとも一部分において基づき、ローカルセキュリティプロトコルを用いた前記ソフトウェアエージェントによって、前記エンドポイントデバイス上の1つまたは複数のローカルな異変の指標を識別すること;
前記ローカルセキュリティプロトコルに少なくとも一部分において基づき、エンドポイント−レベル上の前記1つまたは複数のローカルな異変の指標に対し、各ソフトウェアエージェントにより応答することであって、前記ローカルセキュリティプロトコルは、前記複数のエンドポイントデバイスのそれぞれのローカルセキュリティを確保するように設計された1つまたは複数のルールセット、ポリシー、またはアクセス権を含むこと;
前記複数のエンドポイントデバイスのそれぞれの各ソフトウェアエージェントから、前記エンドポイントデータを、前記中央サーバシステムにより受信すること;
前記複数のエンドポイントデバイスのそれぞれの各ソフトウェアエージェントから受信された前記エンドポイントデータを、前記中央サーバシステムにより解析して、ネットワーク規模のアクティビティパターンを識別すること;
前記識別されたネットワーク規模のアクティビティパターンに少なくとも一部分において基づき、ネットワーク規模のセキュリティプロトコルを用いた前記中央サーバシステムによって、前記複数のエンドポイントデバイスを横断するネットワークレベル上の1つまたは複数のネットワーク規模の異変の指標を識別すること;ならびに
前記ネットワーク規模のセキュリティプロトコルに少なくとも一部分において基づき、前記複数のエンドポイントデバイスを横断する前記ネットワークレベル上の前記1つまたは複数のネットワーク規模の異変の指標に対し、前記中央サーバシステムにより応答すること
を含み、
前記中央サーバシステムは、コンピュータプロセッサと電子記憶媒体とを含む、
コンピュータ実装方法。 - 前記複数のエンドポイントデバイスのうち少なくとも1つのエンドポイントデバイスは、コンピュータネットワークファイアウォールの外側に位置する、請求項28に記載のコンピュータ実装方法。
- 共通のローカルセキュリティプロトコルは、前記複数のエンドポイントデバイスの一部について生成され、独自のローカルセキュリティプロトコルは、、前記複数のエンドポイントデバイスの別の部分について生成される、請求項28に記載のコンピュータ実装方法。
Applications Claiming Priority (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201762542288P | 2017-08-08 | 2017-08-08 | |
| US62/542,288 | 2017-08-08 | ||
| US201762545917P | 2017-08-15 | 2017-08-15 | |
| US62/545,917 | 2017-08-15 | ||
| US201762550439P | 2017-08-25 | 2017-08-25 | |
| US62/550,439 | 2017-08-25 | ||
| PCT/US2018/045850 WO2019032728A1 (en) | 2017-08-08 | 2018-08-08 | METHODS, SYSTEMS AND DEVICES FOR DYNAMICALLY MODELING AND REGROUPING END POINTS FOR ONBOARD NETWORKING |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020530922A true JP2020530922A (ja) | 2020-10-29 |
| JP2020530922A5 JP2020530922A5 (ja) | 2021-09-16 |
Family
ID=65271599
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020503272A Pending JP2020530922A (ja) | 2017-08-08 | 2018-08-08 | エッジネットワーキングのエンドポイントを動的にモデリングおよびグループ化する方法、システム、およびデバイス |
Country Status (5)
| Country | Link |
|---|---|
| US (19) | US10462171B2 (ja) |
| EP (1) | EP3643040A4 (ja) |
| JP (1) | JP2020530922A (ja) |
| IL (1) | IL272038B (ja) |
| WO (1) | WO2019032728A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2022541876A (ja) * | 2019-06-14 | 2022-09-28 | ボルボトラックコーポレーション | 車両動力学に関連付けされたモデルを検証するための方法 |
Families Citing this family (94)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11507663B2 (en) | 2014-08-11 | 2022-11-22 | Sentinel Labs Israel Ltd. | Method of remediating operations performed by a program and system thereof |
| US9710648B2 (en) | 2014-08-11 | 2017-07-18 | Sentinel Labs Israel Ltd. | Method of malware detection and system thereof |
| US10102374B1 (en) | 2014-08-11 | 2018-10-16 | Sentinel Labs Israel Ltd. | Method of remediating a program and system thereof by undoing operations |
| US10911472B2 (en) * | 2016-02-25 | 2021-02-02 | Imperva, Inc. | Techniques for targeted botnet protection |
| US10230743B1 (en) | 2016-05-12 | 2019-03-12 | Wells Fargo Bank, N.A. | Rogue endpoint detection |
| US11616812B2 (en) | 2016-12-19 | 2023-03-28 | Attivo Networks Inc. | Deceiving attackers accessing active directory data |
| US11695800B2 (en) | 2016-12-19 | 2023-07-04 | SentinelOne, Inc. | Deceiving attackers accessing network data |
| US10506367B2 (en) | 2017-06-16 | 2019-12-10 | Best Network Systems Inc. | IOT messaging communications systems and methods |
| WO2019025415A1 (en) * | 2017-07-31 | 2019-02-07 | Koninklijke Philips N.V. | DISTRIBUTION OF A CALCULATION OUTPUT |
| JP2020530922A (ja) | 2017-08-08 | 2020-10-29 | センチネル ラボ, インコーポレイテッドSentinel Labs, Inc. | エッジネットワーキングのエンドポイントを動的にモデリングおよびグループ化する方法、システム、およびデバイス |
| US10931637B2 (en) * | 2017-09-15 | 2021-02-23 | Palo Alto Networks, Inc. | Outbound/inbound lateral traffic punting based on process risk |
| US11093518B1 (en) | 2017-09-23 | 2021-08-17 | Splunk Inc. | Information technology networked entity monitoring with dynamic metric and threshold selection |
| US11106442B1 (en) | 2017-09-23 | 2021-08-31 | Splunk Inc. | Information technology networked entity monitoring with metric selection prior to deployment |
| US11159397B2 (en) | 2017-09-25 | 2021-10-26 | Splunk Inc. | Lower-tier application deployment for higher-tier system data monitoring |
| US11574287B2 (en) | 2017-10-10 | 2023-02-07 | Text IQ, Inc. | Automatic document classification |
| US11979422B1 (en) * | 2017-11-27 | 2024-05-07 | Lacework, Inc. | Elastic privileges in a secure access service edge |
| US10433140B2 (en) * | 2017-12-12 | 2019-10-01 | Best Network Systems Inc. | IOT devices based messaging systems and methods |
| US11509540B2 (en) * | 2017-12-14 | 2022-11-22 | Extreme Networks, Inc. | Systems and methods for zero-footprint large-scale user-entity behavior modeling |
| US11470115B2 (en) | 2018-02-09 | 2022-10-11 | Attivo Networks, Inc. | Implementing decoys in a network environment |
| US11381984B2 (en) * | 2018-03-27 | 2022-07-05 | Forescout Technologies, Inc. | Device classification based on rank |
| US11792307B2 (en) | 2018-03-28 | 2023-10-17 | Apple Inc. | Methods and apparatus for single entity buffer pool management |
| KR20190141576A (ko) * | 2018-06-14 | 2019-12-24 | 삼성전자주식회사 | 동적 규칙 기반의 블록 체인을 이용하는 군집 제어 장치 및 방법 |
| GB201810294D0 (en) | 2018-06-22 | 2018-08-08 | Senseon Tech Ltd | Cybe defence system |
| US11438357B2 (en) | 2018-06-22 | 2022-09-06 | Senseon Tech Ltd | Endpoint network sensor and related cybersecurity infrastructure |
| US10812521B1 (en) * | 2018-08-10 | 2020-10-20 | Amazon Technologies, Inc. | Security monitoring system for internet of things (IOT) device environments |
| US10931659B2 (en) * | 2018-08-24 | 2021-02-23 | Bank Of America Corporation | Federated authentication for information sharing artificial intelligence systems |
| US11916953B2 (en) * | 2018-09-24 | 2024-02-27 | Cybereason, Inc. | Method and mechanism for detection of pass-the-hash attacks |
| US10862895B2 (en) | 2018-09-28 | 2020-12-08 | Fortinet, Inc. | Logical network abstraction for network access control |
| US20200106773A1 (en) * | 2018-09-29 | 2020-04-02 | Fortinet, Inc. | Device integration for a network access control server based on device mappings and testing verification |
| US11349864B2 (en) * | 2018-11-29 | 2022-05-31 | Blackberry Limited | Determining security risks for software services in a cloud computing platform |
| US10972508B1 (en) * | 2018-11-30 | 2021-04-06 | Juniper Networks, Inc. | Generating a network security policy based on behavior detected after identification of malicious behavior |
| US11171960B2 (en) * | 2018-12-03 | 2021-11-09 | At&T Intellectual Property I, L.P. | Network security management based on collection and cataloging of network-accessible device information |
| US11411958B2 (en) * | 2019-01-18 | 2022-08-09 | Cisco Technology, Inc. | Machine learning-based application posture for zero trust networking |
| US11122081B2 (en) | 2019-02-21 | 2021-09-14 | Bank Of America Corporation | Preventing unauthorized access to information resources by deploying and utilizing multi-path data relay systems and sectional transmission techniques |
| US11290489B2 (en) * | 2019-03-07 | 2022-03-29 | Microsoft Technology Licensing, Llc | Adaptation of attack surface reduction clusters |
| EP3973427A4 (en) | 2019-05-20 | 2023-06-21 | Sentinel Labs Israel Ltd. | SYSTEMS AND METHODS FOR EXECUTABLE CODE DETECTION, AUTOMATIC FEATURE EXTRACTION, AND POSITION-INDEPENDENT CODE DETECTION |
| CN110298077B (zh) * | 2019-05-27 | 2023-04-14 | 中国汽车技术研究中心有限公司 | 汽车信息安全tara分析方法与数字化建模系统 |
| US11502867B2 (en) * | 2019-08-01 | 2022-11-15 | Nvidia Corporation | Injection limiting and wave synchronization for scalable in-network computation |
| JP7365832B2 (ja) * | 2019-09-19 | 2023-10-20 | キヤノン株式会社 | デバイス管理システム及びその制御方法 |
| US11558348B2 (en) | 2019-09-26 | 2023-01-17 | Apple Inc. | Methods and apparatus for emerging use case support in user space networking |
| US11829303B2 (en) | 2019-09-26 | 2023-11-28 | Apple Inc. | Methods and apparatus for device driver operation in non-kernel space |
| US10972554B1 (en) * | 2019-09-27 | 2021-04-06 | Amazon Technologies, Inc. | Management of distributed endpoints |
| CN112583785B (zh) * | 2019-09-30 | 2023-05-05 | 卡巴斯基实验室股份制公司 | 分析电子设备的集群之间的关系以应对网络攻击的系统和方法 |
| GB201915265D0 (en) | 2019-10-22 | 2019-12-04 | Senseon Tech Ltd | Anomaly detection |
| GB201916466D0 (en) * | 2019-11-13 | 2019-12-25 | British Telecomm | Device communication class based network security |
| US11689560B2 (en) * | 2019-11-25 | 2023-06-27 | Cisco Technology, Inc. | Network-wide malware mapping |
| US11652790B2 (en) * | 2019-12-06 | 2023-05-16 | Servicenow, Inc. | Quarantine for cloud-based services |
| US11411765B2 (en) | 2020-01-10 | 2022-08-09 | Cisco Technology, Inc. | Automating a software-defined wide area network policy for internet of things end points |
| US11381972B2 (en) | 2020-02-24 | 2022-07-05 | Bank Of America Corporation | Optimizing authentication and management of wireless devices in zero trust computing environments |
| US11283830B2 (en) | 2020-03-19 | 2022-03-22 | Cisco Technology, Inc. | Protecting device classification systems from adversarial endpoints |
| US11416522B2 (en) | 2020-03-26 | 2022-08-16 | Cisco Technology, Inc. | Unsupervised learning of local-aware attribute relevance for device classification and clustering |
| GB202004748D0 (en) * | 2020-03-30 | 2020-05-13 | British Telecomm | Method of analysing anomalous network traffic |
| US20230161874A1 (en) * | 2020-04-03 | 2023-05-25 | British Telecommunications Public Limited Company | Malware protection based on final infection size |
| JP7480322B2 (ja) * | 2020-04-30 | 2024-05-09 | 新華三技術有限公司 | デバイス保護方法及びデバイス |
| US11606302B2 (en) | 2020-06-12 | 2023-03-14 | Apple Inc. | Methods and apparatus for flow-based batching and processing |
| EP3930280A1 (en) * | 2020-06-25 | 2021-12-29 | Vocalink Limited | Forensically analysing and determining a network associated with a network security threat |
| EP3929781A1 (en) | 2020-06-25 | 2021-12-29 | Vocalink Limited | Reconstructing a dataset after detection of a network security threat in a network |
| CN111539829B (zh) * | 2020-07-08 | 2020-12-29 | 支付宝(杭州)信息技术有限公司 | 一种基于区块链一体机的待过滤交易识别方法及装置 |
| CN111541789A (zh) | 2020-07-08 | 2020-08-14 | 支付宝(杭州)信息技术有限公司 | 一种基于区块链一体机的数据同步方法及装置 |
| CN112492002B (zh) | 2020-07-08 | 2023-01-20 | 支付宝(杭州)信息技术有限公司 | 一种基于区块链一体机的交易转发方法及装置 |
| CN112039957B (zh) * | 2020-08-14 | 2022-10-21 | 北京首钢自动化信息技术有限公司 | 一种边缘设备的控制系统及控制方法 |
| US11775359B2 (en) | 2020-09-11 | 2023-10-03 | Apple Inc. | Methods and apparatuses for cross-layer processing |
| US11954540B2 (en) | 2020-09-14 | 2024-04-09 | Apple Inc. | Methods and apparatus for thread-level execution in non-kernel space |
| US11799986B2 (en) | 2020-09-22 | 2023-10-24 | Apple Inc. | Methods and apparatus for thread level execution in non-kernel space |
| US11481269B2 (en) | 2020-10-30 | 2022-10-25 | Nutanix, Inc. | Recommendation engine based on classification of virtualized workload |
| US11700178B2 (en) * | 2020-10-30 | 2023-07-11 | Nutanix, Inc. | System and method for managing clusters in an edge network |
| US12081979B2 (en) * | 2020-11-05 | 2024-09-03 | Visa International Service Association | One-time wireless authentication of an Internet-of-Things device |
| US11394636B1 (en) | 2020-12-10 | 2022-07-19 | Amazon Technologies, Inc. | Network connection path obfuscation using global access points |
| US11579857B2 (en) | 2020-12-16 | 2023-02-14 | Sentinel Labs Israel Ltd. | Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach |
| GB2602628B (en) * | 2020-12-31 | 2023-03-29 | British Telecomm | Identifying Computer Systems for Malware Infection Mitigation |
| CN112636989B (zh) * | 2020-12-31 | 2022-12-27 | 中国农业银行股份有限公司 | 一种联邦学习通信方法及装置 |
| US12003542B2 (en) * | 2021-01-14 | 2024-06-04 | International Business Machines Corporation | Rapid initial deployment database security model |
| US11676072B1 (en) | 2021-01-29 | 2023-06-13 | Splunk Inc. | Interface for incorporating user feedback into training of clustering model |
| US20220292387A1 (en) * | 2021-03-09 | 2022-09-15 | International Business Machines Corporation | Byzantine-robust federated learning |
| US20220294788A1 (en) * | 2021-03-09 | 2022-09-15 | Oracle International Corporation | Customizing authentication and handling pre and post authentication in identity cloud service |
| US11632362B1 (en) * | 2021-04-14 | 2023-04-18 | SHAYRE, Inc. | Systems and methods for using JWTs for information security |
| WO2022231700A1 (en) * | 2021-04-29 | 2022-11-03 | Forescout Technologies, Inc. | Fingerprinting assisted by similarity-based semantic clustering |
| US12003383B2 (en) | 2021-04-29 | 2024-06-04 | Forescout Technologies, Inc. | Fingerprinting assisted by similarity-based semantic clustering |
| US11706203B2 (en) * | 2021-05-14 | 2023-07-18 | Citrix Systems, Inc. | Method for secondary authentication |
| US20220385683A1 (en) * | 2021-05-28 | 2022-12-01 | Sophos Limited | Threat management using network traffic to determine security states |
| US11902330B1 (en) * | 2021-06-16 | 2024-02-13 | Juniper Networks, Inc. | Generating a network security policy based on a user identity associated with malicious behavior |
| US11831688B2 (en) * | 2021-06-18 | 2023-11-28 | Capital One Services, Llc | Systems and methods for network security |
| US11899782B1 (en) | 2021-07-13 | 2024-02-13 | SentinelOne, Inc. | Preserving DLL hooks |
| US11882051B2 (en) | 2021-07-26 | 2024-01-23 | Apple Inc. | Systems and methods for managing transmission control protocol (TCP) acknowledgements |
| US11876719B2 (en) | 2021-07-26 | 2024-01-16 | Apple Inc. | Systems and methods for managing transmission control protocol (TCP) acknowledgements |
| US12047253B2 (en) | 2022-02-11 | 2024-07-23 | Nutanix, Inc. | System and method to provide priority based quality of service for telemetry data |
| US20230297707A1 (en) * | 2022-03-17 | 2023-09-21 | Bank Of America Corporation | Performing retroactive threshold reduction control review using artificial intelligence |
| US11765065B1 (en) | 2022-03-23 | 2023-09-19 | Nutanix, Inc. | System and method for scalable telemetry |
| CN114845312B (zh) * | 2022-04-02 | 2023-05-16 | 四川安迪科技实业有限公司 | 一种基于tdma卫星网管自动搭建组网环境的方法 |
| US20240013220A1 (en) * | 2022-07-05 | 2024-01-11 | Capital One Services, Llc | Embedding analysis for entity classification detection |
| US20240022578A1 (en) * | 2022-07-13 | 2024-01-18 | International Business Machines Corporation | Invoking response(s) based on analysis of a dataset obtained from searching a security endpoint |
| US20240154988A1 (en) * | 2022-11-08 | 2024-05-09 | Starguard, Inc. | System configured to detect and block the distribution of malicious content that is attributable to an entity |
| CN115955334B (zh) * | 2022-12-02 | 2023-11-10 | 深圳市铭励扬科技有限公司 | 一种基于边缘计算的网络攻击流量处理方法及系统 |
| CN117081859B (zh) * | 2023-10-16 | 2023-12-22 | 北京中关村实验室 | 工业互联网零信任访问控制系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150161024A1 (en) * | 2013-12-06 | 2015-06-11 | Qualcomm Incorporated | Methods and Systems of Generating Application-Specific Models for the Targeted Protection of Vital Applications |
| JP2016512631A (ja) * | 2013-02-15 | 2016-04-28 | クアルコム,インコーポレイテッド | 複数のアナライザモデルプロバイダを用いたモバイルデバイスにおけるオンライン挙動分析エンジン |
Family Cites Families (443)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4979118A (en) | 1989-03-10 | 1990-12-18 | Gte Laboratories Incorporated | Predictive access-control and routing system for integrated services telecommunication networks |
| US5311593A (en) | 1992-05-13 | 1994-05-10 | Chipcom Corporation | Security system for a network concentrator |
| US6154844A (en) | 1996-11-08 | 2000-11-28 | Finjan Software, Ltd. | System and method for attaching a downloadable security profile to a downloadable |
| US8079086B1 (en) | 1997-11-06 | 2011-12-13 | Finjan, Inc. | Malicious mobile code runtime monitoring system and methods |
| US6167520A (en) | 1996-11-08 | 2000-12-26 | Finjan Software, Inc. | System and method for protecting a client during runtime from hostile downloadables |
| SE513828C2 (sv) | 1998-07-02 | 2000-11-13 | Effnet Group Ab | Brandväggsapparat och metod för att kontrollera nätverksdatapakettrafik mellan interna och externa nätverk |
| US6157953A (en) | 1998-07-28 | 2000-12-05 | Sun Microsystems, Inc. | Authentication and access control in a management console program for managing services in a computer network |
| IL143573A0 (en) | 1998-12-09 | 2002-04-21 | Network Ice Corp | A method and apparatus for providing network and computer system security |
| US7299294B1 (en) | 1999-11-10 | 2007-11-20 | Emc Corporation | Distributed traffic controller for network data |
| US7107347B1 (en) | 1999-11-15 | 2006-09-12 | Fred Cohen | Method and apparatus for network deception/emulation |
| US6836888B1 (en) | 2000-03-17 | 2004-12-28 | Lucent Technologies Inc. | System for reverse sandboxing |
| US7574740B1 (en) * | 2000-04-28 | 2009-08-11 | International Business Machines Corporation | Method and system for intrusion detection in a computer network |
| US6728716B1 (en) | 2000-05-16 | 2004-04-27 | International Business Machines Corporation | Client-server filter computing system supporting relational database records and linked external files operable for distributed file system |
| US20020010800A1 (en) | 2000-05-18 | 2002-01-24 | Riley Richard T. | Network access control system and method |
| US7093239B1 (en) | 2000-07-14 | 2006-08-15 | Internet Security Systems, Inc. | Computer immune system and method for detecting unwanted code in a computer system |
| US7181769B1 (en) | 2000-08-25 | 2007-02-20 | Ncircle Network Security, Inc. | Network security system having a device profiler communicatively coupled to a traffic monitor |
| US6985845B1 (en) | 2000-09-26 | 2006-01-10 | Koninklijke Philips Electronics N.V. | Security monitor of system runs software simulator in parallel |
| US20020078382A1 (en) * | 2000-11-29 | 2002-06-20 | Ali Sheikh | Scalable system for monitoring network system and components and methodology therefore |
| US6868069B2 (en) | 2001-01-16 | 2005-03-15 | Networks Associates Technology, Inc. | Method and apparatus for passively calculating latency for a network appliance |
| US20020095607A1 (en) | 2001-01-18 | 2002-07-18 | Catherine Lin-Hendel | Security protection for computers and computer-networks |
| US7613930B2 (en) | 2001-01-19 | 2009-11-03 | Trustware International Limited | Method for protecting computer programs and data from hostile code |
| US20110178930A1 (en) | 2001-01-30 | 2011-07-21 | Scheidt Edward M | Multiple Level Access with SILOS |
| US7543269B2 (en) | 2001-03-26 | 2009-06-02 | Biglever Software, Inc. | Software customization system and method |
| US7188368B2 (en) | 2001-05-25 | 2007-03-06 | Lenovo (Singapore) Pte. Ltd. | Method and apparatus for repairing damage to a computer system using a system rollback mechanism |
| US20020194489A1 (en) | 2001-06-18 | 2002-12-19 | Gal Almogy | System and method of virus containment in computer networks |
| US7308710B2 (en) | 2001-09-28 | 2007-12-11 | Jp Morgan Chase Bank | Secured FTP architecture |
| WO2003029934A1 (en) * | 2001-09-28 | 2003-04-10 | British Telecommunications Public Limited Company | Agent-based intrusion detection system |
| US7644436B2 (en) | 2002-01-24 | 2010-01-05 | Arxceo Corporation | Intelligent firewall |
| US7076803B2 (en) * | 2002-01-28 | 2006-07-11 | International Business Machines Corporation | Integrated intrusion detection services |
| US7222366B2 (en) * | 2002-01-28 | 2007-05-22 | International Business Machines Corporation | Intrusion event filtering |
| US7174566B2 (en) | 2002-02-01 | 2007-02-06 | Intel Corporation | Integrated network intrusion detection |
| US7133368B2 (en) | 2002-02-01 | 2006-11-07 | Microsoft Corporation | Peer-to-peer method of quality of service (QoS) probing and analysis and infrastructure employing same |
| US20030188189A1 (en) * | 2002-03-27 | 2003-10-02 | Desai Anish P. | Multi-level and multi-platform intrusion detection and response system |
| WO2003084137A2 (en) | 2002-03-29 | 2003-10-09 | Network Genomics, Inc. | Methods for identifying network traffic flows |
| US7322044B2 (en) | 2002-06-03 | 2008-01-22 | Airdefense, Inc. | Systems and methods for automated network policy exception detection and correction |
| DE60304207D1 (de) | 2002-07-26 | 2006-05-11 | Green Border Technologies | Wasserzeicheneinbettung auf der Paketebene |
| US20120023572A1 (en) | 2010-07-23 | 2012-01-26 | Q-Track Corporation | Malicious Attack Response System and Associated Method |
| JP3794491B2 (ja) | 2002-08-20 | 2006-07-05 | 日本電気株式会社 | 攻撃防御システムおよび攻撃防御方法 |
| US7076696B1 (en) | 2002-08-20 | 2006-07-11 | Juniper Networks, Inc. | Providing failover assurance in a device |
| US7305546B1 (en) | 2002-08-29 | 2007-12-04 | Sprint Communications Company L.P. | Splicing of TCP/UDP sessions in a firewalled network environment |
| US8046835B2 (en) * | 2002-10-23 | 2011-10-25 | Frederick S. M. Herz | Distributed computer network security activity model SDI-SCAM |
| US9503470B2 (en) * | 2002-12-24 | 2016-11-22 | Fred Herz Patents, LLC | Distributed agent based model for security monitoring and response |
| US8327442B2 (en) * | 2002-12-24 | 2012-12-04 | Herz Frederick S M | System and method for a distributed application and network security system (SDI-SCAM) |
| US9197668B2 (en) | 2003-02-28 | 2015-11-24 | Novell, Inc. | Access control to files based on source information |
| US7926104B1 (en) | 2003-04-16 | 2011-04-12 | Verizon Corporate Services Group Inc. | Methods and systems for network attack detection and prevention through redirection |
| US8024795B2 (en) * | 2003-05-09 | 2011-09-20 | Q1 Labs, Inc. | Network intelligence system |
| US7523485B1 (en) | 2003-05-21 | 2009-04-21 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
| US20040243699A1 (en) * | 2003-05-29 | 2004-12-02 | Mike Koclanes | Policy based management of storage resources |
| US20050108562A1 (en) | 2003-06-18 | 2005-05-19 | Khazan Roger I. | Technique for detecting executable malicious code using a combination of static and dynamic analyses |
| US7596807B2 (en) | 2003-07-03 | 2009-09-29 | Arbor Networks, Inc. | Method and system for reducing scope of self-propagating attack code in network |
| US7984129B2 (en) | 2003-07-11 | 2011-07-19 | Computer Associates Think, Inc. | System and method for high-performance profiling of application events |
| US7593936B2 (en) | 2003-08-11 | 2009-09-22 | Triumfant, Inc. | Systems and methods for automated computer support |
| US8127356B2 (en) | 2003-08-27 | 2012-02-28 | International Business Machines Corporation | System, method and program product for detecting unknown computer attacks |
| US9130921B2 (en) | 2003-09-30 | 2015-09-08 | Ca, Inc. | System and method for bridging identities in a service oriented architectureprofiling |
| US7421734B2 (en) | 2003-10-03 | 2008-09-02 | Verizon Services Corp. | Network firewall test methods and apparatus |
| US7886348B2 (en) | 2003-10-03 | 2011-02-08 | Verizon Services Corp. | Security management system for monitoring firewall operation |
| US8713306B1 (en) | 2003-10-14 | 2014-04-29 | Symantec Corporation | Network decoys |
| WO2005043279A2 (en) | 2003-10-31 | 2005-05-12 | Disksites Research And Development Ltd. | Device, system and method for storage and access of computer files |
| US7978716B2 (en) | 2003-11-24 | 2011-07-12 | Citrix Systems, Inc. | Systems and methods for providing a VPN solution |
| US20050138402A1 (en) * | 2003-12-23 | 2005-06-23 | Yoon Jeonghee M. | Methods and apparatus for hierarchical system validation |
| EP2184934B1 (en) | 2003-12-29 | 2012-12-05 | Telefonaktiebolaget L M Ericsson (PUBL) | Method and apparatuses for single sign-on access to a service network through an access network |
| US7546587B2 (en) | 2004-03-01 | 2009-06-09 | Microsoft Corporation | Run-time call stack verification |
| US7739516B2 (en) | 2004-03-05 | 2010-06-15 | Microsoft Corporation | Import address table verification |
| US8140694B2 (en) | 2004-03-15 | 2012-03-20 | Hewlett-Packard Development Company, L.P. | Method and apparatus for effecting secure communications |
| EP1578082B1 (en) | 2004-03-16 | 2007-04-18 | AT&T Corp. | Method and apparatus for providing mobile honeypots |
| US8584239B2 (en) | 2004-04-01 | 2013-11-12 | Fireeye, Inc. | Virtual machine with dynamic data flow analysis |
| US8171553B2 (en) | 2004-04-01 | 2012-05-01 | Fireeye, Inc. | Heuristic based capture with replay to virtual machine |
| US8881282B1 (en) | 2004-04-01 | 2014-11-04 | Fireeye, Inc. | Systems and methods for malware attack detection and identification |
| US7587537B1 (en) | 2007-11-30 | 2009-09-08 | Altera Corporation | Serializer-deserializer circuits formed from input-output circuit registers |
| US8566946B1 (en) | 2006-04-20 | 2013-10-22 | Fireeye, Inc. | Malware containment on connection |
| US8204984B1 (en) | 2004-04-01 | 2012-06-19 | Fireeye, Inc. | Systems and methods for detecting encrypted bot command and control communication channels |
| US8539582B1 (en) | 2004-04-01 | 2013-09-17 | Fireeye, Inc. | Malware containment and security analysis on connection |
| US9027135B1 (en) | 2004-04-01 | 2015-05-05 | Fireeye, Inc. | Prospective client identification using malware attack detection |
| US8561177B1 (en) | 2004-04-01 | 2013-10-15 | Fireeye, Inc. | Systems and methods for detecting communication channels of bots |
| US8549638B2 (en) | 2004-06-14 | 2013-10-01 | Fireeye, Inc. | System and method of containing computer worms |
| US8375444B2 (en) | 2006-04-20 | 2013-02-12 | Fireeye, Inc. | Dynamic signature creation and enforcement |
| US8898788B1 (en) | 2004-04-01 | 2014-11-25 | Fireeye, Inc. | Systems and methods for malware attack prevention |
| US7966658B2 (en) | 2004-04-08 | 2011-06-21 | The Regents Of The University Of California | Detecting public network attacks using signatures and fast content analysis |
| US20050240989A1 (en) | 2004-04-23 | 2005-10-27 | Seoul National University Industry Foundation | Method of sharing state between stateful inspection firewalls on mep network |
| US7596808B1 (en) | 2004-04-30 | 2009-09-29 | Tw Acquisition, Inc. | Zero hop algorithm for network threat identification and mitigation |
| US7225468B2 (en) | 2004-05-07 | 2007-05-29 | Digital Security Networks, Llc | Methods and apparatus for computer network security using intrusion detection and prevention |
| WO2005116797A1 (en) | 2004-05-19 | 2005-12-08 | Computer Associates Think, Inc. | Method and system for isolating suspicious email |
| US7657735B2 (en) | 2004-08-19 | 2010-02-02 | At&T Corp | System and method for monitoring network traffic |
| US8196199B2 (en) * | 2004-10-19 | 2012-06-05 | Airdefense, Inc. | Personal wireless monitoring agent |
| KR100612452B1 (ko) | 2004-11-08 | 2006-08-16 | 삼성전자주식회사 | 악성 코드 탐지 장치 및 그 방법 |
| US20080022000A1 (en) | 2004-11-11 | 2008-01-24 | Shinji Furuya | Ip-Packet Relay Method and Gateway in Communication Network |
| US8117659B2 (en) * | 2005-12-28 | 2012-02-14 | Microsoft Corporation | Malicious code infection cause-and-effect analysis |
| US20060161989A1 (en) | 2004-12-13 | 2006-07-20 | Eran Reshef | System and method for deterring rogue users from attacking protected legitimate users |
| US7937755B1 (en) | 2005-01-27 | 2011-05-03 | Juniper Networks, Inc. | Identification of network policy violations |
| US7613193B2 (en) | 2005-02-04 | 2009-11-03 | Nokia Corporation | Apparatus, method and computer program product to reduce TCP flooding attacks while conserving wireless network bandwidth |
| US20060203774A1 (en) | 2005-03-10 | 2006-09-14 | Nokia Corporation | System, method and apparatus for selecting a remote tunnel endpoint for accessing packet data services |
| US8065722B2 (en) | 2005-03-21 | 2011-11-22 | Wisconsin Alumni Research Foundation | Semantically-aware network intrusion signature generator |
| US20080098476A1 (en) | 2005-04-04 | 2008-04-24 | Bae Systems Information And Electronic Systems Integration Inc. | Method and Apparatus for Defending Against Zero-Day Worm-Based Attacks |
| US10225282B2 (en) | 2005-04-14 | 2019-03-05 | International Business Machines Corporation | System, method and program product to identify a distributed denial of service attack |
| US20070097976A1 (en) | 2005-05-20 | 2007-05-03 | Wood George D | Suspect traffic redirection |
| GB0513375D0 (en) | 2005-06-30 | 2005-08-03 | Retento Ltd | Computer security |
| US20080229415A1 (en) | 2005-07-01 | 2008-09-18 | Harsh Kapoor | Systems and methods for processing data flows |
| CA2514039A1 (en) | 2005-07-28 | 2007-01-28 | Third Brigade Inc. | Tcp normalization engine |
| US8015605B2 (en) | 2005-08-29 | 2011-09-06 | Wisconsin Alumni Research Foundation | Scalable monitor of malicious network traffic |
| US20070067623A1 (en) | 2005-09-22 | 2007-03-22 | Reflex Security, Inc. | Detection of system compromise by correlation of information objects |
| US7743418B2 (en) | 2005-10-31 | 2010-06-22 | Microsoft Corporation | Identifying malware that employs stealth techniques |
| US7756834B2 (en) | 2005-11-03 | 2010-07-13 | I365 Inc. | Malware and spyware attack recovery system and method |
| US7710933B1 (en) | 2005-12-08 | 2010-05-04 | Airtight Networks, Inc. | Method and system for classification of wireless devices in local area computer networks |
| US7757289B2 (en) | 2005-12-12 | 2010-07-13 | Finjan, Inc. | System and method for inspecting dynamically generated executable code |
| US20070143827A1 (en) * | 2005-12-21 | 2007-06-21 | Fiberlink | Methods and systems for intelligently controlling access to computing resources |
| US20070143851A1 (en) * | 2005-12-21 | 2007-06-21 | Fiberlink | Method and systems for controlling access to computing resources based on known security vulnerabilities |
| US8544058B2 (en) * | 2005-12-29 | 2013-09-24 | Nextlabs, Inc. | Techniques of transforming policies to enforce control in an information management system |
| US8443442B2 (en) | 2006-01-31 | 2013-05-14 | The Penn State Research Foundation | Signature-free buffer overflow attack blocker |
| US7711800B2 (en) | 2006-01-31 | 2010-05-04 | Microsoft Corporation | Network connectivity determination |
| US7882538B1 (en) * | 2006-02-02 | 2011-02-01 | Juniper Networks, Inc. | Local caching of endpoint security information |
| US7774459B2 (en) | 2006-03-01 | 2010-08-10 | Microsoft Corporation | Honey monkey network exploration |
| US8528057B1 (en) | 2006-03-07 | 2013-09-03 | Emc Corporation | Method and apparatus for account virtualization |
| WO2007107766A1 (en) | 2006-03-22 | 2007-09-27 | British Telecommunications Public Limited Company | Method and apparatus for automated testing software |
| US9171157B2 (en) | 2006-03-28 | 2015-10-27 | Blue Coat Systems, Inc. | Method and system for tracking access to application data and preventing data exploitation by malicious programs |
| US8528087B2 (en) * | 2006-04-27 | 2013-09-03 | Robot Genius, Inc. | Methods for combating malicious software |
| US7849502B1 (en) | 2006-04-29 | 2010-12-07 | Ironport Systems, Inc. | Apparatus for monitoring network traffic |
| US7890612B2 (en) | 2006-05-08 | 2011-02-15 | Electro Guard Corp. | Method and apparatus for regulating data flow between a communications device and a network |
| US20070282782A1 (en) | 2006-05-31 | 2007-12-06 | Carey Julie M | Method, system, and program product for managing information for a network topology change |
| WO2008002819A2 (en) | 2006-06-29 | 2008-01-03 | Energy Recovery, Inc. | Rotary pressure transfer devices |
| US8479288B2 (en) | 2006-07-21 | 2013-07-02 | Research In Motion Limited | Method and system for providing a honeypot mode for an electronic device |
| US8190868B2 (en) | 2006-08-07 | 2012-05-29 | Webroot Inc. | Malware management through kernel detection |
| US8230505B1 (en) * | 2006-08-11 | 2012-07-24 | Avaya Inc. | Method for cooperative intrusion prevention through collaborative inference |
| US7934258B2 (en) | 2006-08-17 | 2011-04-26 | Informod Control Inc. | System and method for remote authentication security management |
| JP2008066903A (ja) | 2006-09-06 | 2008-03-21 | Nec Corp | 不正侵入検知システム及びその方法並びにそれを用いた通信装置 |
| US8453234B2 (en) | 2006-09-20 | 2013-05-28 | Clearwire Ip Holdings Llc | Centralized security management system |
| KR100798923B1 (ko) | 2006-09-29 | 2008-01-29 | 한국전자통신연구원 | 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법 및 이를수행하는 프로그램을 기록한 기록 매체 |
| US7802050B2 (en) * | 2006-09-29 | 2010-09-21 | Intel Corporation | Monitoring a target agent execution pattern on a VT-enabled system |
| US9824107B2 (en) | 2006-10-25 | 2017-11-21 | Entit Software Llc | Tracking changing state data to assist in computer network security |
| US8181248B2 (en) | 2006-11-23 | 2012-05-15 | Electronics And Telecommunications Research Institute | System and method of detecting anomaly malicious code by using process behavior prediction technique |
| US8949986B2 (en) | 2006-12-29 | 2015-02-03 | Intel Corporation | Network security elements using endpoint resources |
| US20080162397A1 (en) * | 2007-01-03 | 2008-07-03 | Ori Zaltzman | Method for Analyzing Activities Over Information Networks |
| US8156557B2 (en) | 2007-01-04 | 2012-04-10 | Cisco Technology, Inc. | Protection against reflection distributed denial of service attacks |
| JP2008172483A (ja) | 2007-01-11 | 2008-07-24 | Matsushita Electric Ind Co Ltd | 通信システム及びドアホンシステム |
| US8171545B1 (en) | 2007-02-14 | 2012-05-01 | Symantec Corporation | Process profiling for behavioral anomaly detection |
| US8706914B2 (en) * | 2007-04-23 | 2014-04-22 | David D. Duchesneau | Computing infrastructure |
| US8082471B2 (en) | 2007-05-11 | 2011-12-20 | Microsoft Corporation | Self healing software |
| US20120084866A1 (en) | 2007-06-12 | 2012-04-05 | Stolfo Salvatore J | Methods, systems, and media for measuring computer security |
| US9009829B2 (en) | 2007-06-12 | 2015-04-14 | The Trustees Of Columbia University In The City Of New York | Methods, systems, and media for baiting inside attackers |
| US8170712B2 (en) | 2007-06-26 | 2012-05-01 | Amazon Technologies, Inc. | Method and apparatus for non-linear unit-level sortation in order fulfillment processes |
| US8131281B1 (en) | 2007-09-12 | 2012-03-06 | Oceans' Edge, Inc. | Mobile device monitoring and control system |
| US7620992B2 (en) | 2007-10-02 | 2009-11-17 | Kaspersky Lab Zao | System and method for detecting multi-component malware |
| CN101350052B (zh) | 2007-10-15 | 2010-11-03 | 北京瑞星信息技术有限公司 | 发现计算机程序的恶意行为的方法和装置 |
| US8880435B1 (en) | 2007-10-26 | 2014-11-04 | Bank Of America Corporation | Detection and tracking of unauthorized computer access attempts |
| US8667582B2 (en) | 2007-12-10 | 2014-03-04 | Mcafee, Inc. | System, method, and computer program product for directing predetermined network traffic to a honeypot |
| US20090158407A1 (en) | 2007-12-13 | 2009-06-18 | Fiberlink Communications Corporation | Api translation for network access control (nac) agent |
| KR101407501B1 (ko) | 2007-12-27 | 2014-06-17 | 삼성전자주식회사 | 후면 키패드를 갖는 휴대 단말기 |
| US8595834B2 (en) | 2008-02-04 | 2013-11-26 | Samsung Electronics Co., Ltd | Detecting unauthorized use of computing devices based on behavioral patterns |
| US8078556B2 (en) | 2008-02-20 | 2011-12-13 | International Business Machines Corporation | Generating complex event processing rules utilizing machine learning from multiple events |
| US9130986B2 (en) | 2008-03-19 | 2015-09-08 | Websense, Inc. | Method and system for protection against information stealing software |
| US8336094B2 (en) | 2008-03-27 | 2012-12-18 | Juniper Networks, Inc. | Hierarchical firewalls |
| US8713666B2 (en) * | 2008-03-27 | 2014-04-29 | Check Point Software Technologies, Ltd. | Methods and devices for enforcing network access control utilizing secure packet tagging |
| US8281377B1 (en) | 2008-04-15 | 2012-10-02 | Desktone, Inc. | Remote access manager for virtual computing services |
| US8073945B2 (en) | 2008-04-25 | 2011-12-06 | At&T Intellectual Property I, L.P. | Method and apparatus for providing a measurement of performance for a network |
| US8144725B2 (en) | 2008-05-28 | 2012-03-27 | Apple Inc. | Wireless femtocell setup methods and apparatus |
| US20100188993A1 (en) * | 2009-01-28 | 2010-07-29 | Gregory G. Raleigh | Network tools for analysis, design, testing, and production of services |
| US9122895B2 (en) | 2008-06-25 | 2015-09-01 | Microsoft Technology Licensing, Llc | Authorization for transient storage devices with multiple authentication silos |
| CN101304409B (zh) | 2008-06-28 | 2011-04-13 | 成都市华为赛门铁克科技有限公司 | 恶意代码检测方法及系统 |
| US8181250B2 (en) | 2008-06-30 | 2012-05-15 | Microsoft Corporation | Personalized honeypot for detecting information leaks and security breaches |
| US8181033B1 (en) | 2008-07-01 | 2012-05-15 | Mcafee, Inc. | Data leakage prevention system, method, and computer program product for preventing a predefined type of operation on predetermined data |
| US7530106B1 (en) | 2008-07-02 | 2009-05-05 | Kaspersky Lab, Zao | System and method for security rating of computer processes |
| US8353033B1 (en) | 2008-07-02 | 2013-01-08 | Symantec Corporation | Collecting malware samples via unauthorized download protection |
| US8413238B1 (en) | 2008-07-21 | 2013-04-02 | Zscaler, Inc. | Monitoring darknet access to identify malicious activity |
| US20130247190A1 (en) | 2008-07-22 | 2013-09-19 | Joel R. Spurlock | System, method, and computer program product for utilizing a data structure including event relationships to detect unwanted activity |
| US9098698B2 (en) | 2008-09-12 | 2015-08-04 | George Mason Research Foundation, Inc. | Methods and apparatus for application isolation |
| MY146995A (en) | 2008-09-12 | 2012-10-15 | Mimos Bhd | A honeypot host |
| US9098519B2 (en) * | 2008-09-16 | 2015-08-04 | File System Labs Llc | Methods and apparatus for distributed data storage |
| US9117078B1 (en) | 2008-09-17 | 2015-08-25 | Trend Micro Inc. | Malware behavior analysis and policy creation |
| US8370931B1 (en) | 2008-09-17 | 2013-02-05 | Trend Micro Incorporated | Multi-behavior policy matching for malware detection |
| US9781148B2 (en) | 2008-10-21 | 2017-10-03 | Lookout, Inc. | Methods and systems for sharing risk responses between collections of mobile communications devices |
| US8984628B2 (en) | 2008-10-21 | 2015-03-17 | Lookout, Inc. | System and method for adverse mobile application identification |
| US8769684B2 (en) | 2008-12-02 | 2014-07-01 | The Trustees Of Columbia University In The City Of New York | Methods, systems, and media for masquerade attack detection by monitoring computer user behavior |
| MY151479A (en) | 2008-12-16 | 2014-05-30 | Secure Corp M Sdn Bhd F | Method and apparatus for detecting shellcode insertion |
| KR20100078081A (ko) | 2008-12-30 | 2010-07-08 | (주) 세인트 시큐리티 | 커널 기반 시스템 행위 분석을 통한 알려지지 않은 악성코드 탐지 시스템 및 방법 |
| US8474044B2 (en) | 2009-01-05 | 2013-06-25 | Cisco Technology, Inc | Attack-resistant verification of auto-generated anti-malware signatures |
| DE102009016532A1 (de) | 2009-04-06 | 2010-10-07 | Giesecke & Devrient Gmbh | Verfahren zur Durchführung einer Applikation mit Hilfe eines tragbaren Datenträgers |
| US8438386B2 (en) | 2009-04-21 | 2013-05-07 | Webroot Inc. | System and method for developing a risk profile for an internet service |
| US20140046645A1 (en) | 2009-05-04 | 2014-02-13 | Camber Defense Security And Systems Solutions, Inc. | Systems and methods for network monitoring and analysis of a simulated network |
| US8732296B1 (en) | 2009-05-06 | 2014-05-20 | Mcafee, Inc. | System, method, and computer program product for redirecting IRC traffic identified utilizing a port-independent algorithm and controlling IRC based malware |
| US20100299430A1 (en) | 2009-05-22 | 2010-11-25 | Architecture Technology Corporation | Automated acquisition of volatile forensic evidence from network devices |
| US8205035B2 (en) | 2009-06-22 | 2012-06-19 | Citrix Systems, Inc. | Systems and methods for integration between application firewall and caching |
| US8132073B1 (en) * | 2009-06-30 | 2012-03-06 | Emc Corporation | Distributed storage system with enhanced security |
| US8607340B2 (en) | 2009-07-21 | 2013-12-10 | Sophos Limited | Host intrusion prevention system using software and user behavior analysis |
| US8776218B2 (en) | 2009-07-21 | 2014-07-08 | Sophos Limited | Behavioral-based host intrusion prevention system |
| US8793151B2 (en) | 2009-08-28 | 2014-07-29 | Src, Inc. | System and method for organizational risk analysis and reporting by mapping detected risk patterns onto a risk ontology |
| US8413241B2 (en) | 2009-09-17 | 2013-04-02 | Oracle America, Inc. | Integrated intrusion deflection, detection and introspection |
| US20120137367A1 (en) | 2009-11-06 | 2012-05-31 | Cataphora, Inc. | Continuous anomaly detection based on behavior modeling and heterogeneous information analysis |
| US8850428B2 (en) | 2009-11-12 | 2014-09-30 | Trustware International Limited | User transparent virtualization method for protecting computer programs and data from hostile code |
| US8705362B2 (en) | 2009-12-16 | 2014-04-22 | Vss Monitoring, Inc. | Systems, methods, and apparatus for detecting a pattern within a data packet |
| US8438626B2 (en) | 2009-12-23 | 2013-05-07 | Citrix Systems, Inc. | Systems and methods for processing application firewall session information on owner core in multiple core system |
| US8528091B2 (en) | 2009-12-31 | 2013-09-03 | The Trustees Of Columbia University In The City Of New York | Methods, systems, and media for detecting covert malware |
| US8844041B1 (en) * | 2010-01-12 | 2014-09-23 | Symantec Corporation | Detecting network devices and mapping topology using network introspection by collaborating endpoints |
| US8307434B2 (en) * | 2010-01-27 | 2012-11-06 | Mcafee, Inc. | Method and system for discrete stateful behavioral analysis |
| US8949988B2 (en) | 2010-02-26 | 2015-02-03 | Juniper Networks, Inc. | Methods for proactively securing a web application and apparatuses thereof |
| US8984621B2 (en) | 2010-02-27 | 2015-03-17 | Novell, Inc. | Techniques for secure access management in virtual environments |
| US20110219449A1 (en) | 2010-03-04 | 2011-09-08 | St Neitzel Michael | Malware detection method, system and computer program product |
| US20110219443A1 (en) | 2010-03-05 | 2011-09-08 | Alcatel-Lucent Usa, Inc. | Secure connection initiation with hosts behind firewalls |
| US8826268B2 (en) | 2010-03-08 | 2014-09-02 | Microsoft Corporation | Virtual software application deployment configurations |
| US8549643B1 (en) | 2010-04-02 | 2013-10-01 | Symantec Corporation | Using decoys by a data loss prevention system to protect against unscripted activity |
| US8707427B2 (en) | 2010-04-06 | 2014-04-22 | Triumfant, Inc. | Automated malware detection and remediation |
| KR101661161B1 (ko) | 2010-04-07 | 2016-10-10 | 삼성전자주식회사 | 이동통신 단말기에서 인터넷프로토콜 패킷 필터링 장치 및 방법 |
| US9213838B2 (en) | 2011-05-13 | 2015-12-15 | Mcafee Ireland Holdings Limited | Systems and methods of processing data associated with detection and/or handling of malware |
| US8627475B2 (en) | 2010-04-08 | 2014-01-07 | Microsoft Corporation | Early detection of potential malware |
| US8464345B2 (en) | 2010-04-28 | 2013-06-11 | Symantec Corporation | Behavioral signature generation using clustering |
| US8733732B2 (en) | 2010-05-24 | 2014-05-27 | Eaton Corporation | Pressurized o-ring pole piece seal for a manifold |
| US9239909B2 (en) | 2012-01-25 | 2016-01-19 | Bromium, Inc. | Approaches for protecting sensitive data within a guest operating system |
| US9270690B2 (en) | 2010-07-21 | 2016-02-23 | Seculert Ltd. | Network protection system and method |
| US8938800B2 (en) | 2010-07-28 | 2015-01-20 | Mcafee, Inc. | System and method for network level protection against malicious software |
| AU2011293160B2 (en) | 2010-08-26 | 2015-04-09 | Verisign, Inc. | Method and system for automatic detection and analysis of malware |
| JP4802295B1 (ja) | 2010-08-31 | 2011-10-26 | 株式会社スプリングソフト | ネットワークシステム及び仮想プライベート接続形成方法 |
| US8607054B2 (en) | 2010-10-15 | 2013-12-10 | Microsoft Corporation | Remote access to hosted virtual machines by enterprise users |
| US8850172B2 (en) | 2010-11-15 | 2014-09-30 | Microsoft Corporation | Analyzing performance of computing devices in usage scenarios |
| WO2012071989A1 (zh) | 2010-11-29 | 2012-06-07 | 北京奇虎科技有限公司 | 基于机器学习的程序识别方法及装置 |
| US9690915B2 (en) | 2010-11-29 | 2017-06-27 | Biocatch Ltd. | Device, method, and system of detecting remote access users and differentiating among users |
| US8782791B2 (en) | 2010-12-01 | 2014-07-15 | Symantec Corporation | Computer virus detection systems and methods |
| US20120151565A1 (en) | 2010-12-10 | 2012-06-14 | Eric Fiterman | System, apparatus and method for identifying and blocking anomalous or improper use of identity information on computer networks |
| US10574630B2 (en) | 2011-02-15 | 2020-02-25 | Webroot Inc. | Methods and apparatus for malware threat research |
| US8555385B1 (en) | 2011-03-14 | 2013-10-08 | Symantec Corporation | Techniques for behavior based malware analysis |
| US8725898B1 (en) | 2011-03-17 | 2014-05-13 | Amazon Technologies, Inc. | Scalable port address translations |
| US8959569B2 (en) | 2011-03-18 | 2015-02-17 | Juniper Networks, Inc. | Security enforcement in virtualized systems |
| US20120255003A1 (en) | 2011-03-31 | 2012-10-04 | Mcafee, Inc. | System and method for securing access to the objects of an operating system |
| US8863283B2 (en) | 2011-03-31 | 2014-10-14 | Mcafee, Inc. | System and method for securing access to system calls |
| US8042186B1 (en) | 2011-04-28 | 2011-10-18 | Kaspersky Lab Zao | System and method for detection of complex malware |
| WO2012154664A2 (en) | 2011-05-06 | 2012-11-15 | University Of North Carolina At Chapel Hill | Methods, systems, and computer readable media for detecting injected machine code |
| US8955037B2 (en) | 2011-05-11 | 2015-02-10 | Oracle International Corporation | Access management architecture |
| US9436826B2 (en) | 2011-05-16 | 2016-09-06 | Microsoft Technology Licensing, Llc | Discovering malicious input files and performing automatic and distributed remediation |
| US8849880B2 (en) | 2011-05-18 | 2014-09-30 | Hewlett-Packard Development Company, L.P. | Providing a shadow directory and virtual files to store metadata |
| US8966625B1 (en) | 2011-05-24 | 2015-02-24 | Palo Alto Networks, Inc. | Identification of malware sites using unknown URL sites and newly registered DNS addresses |
| US8738765B2 (en) | 2011-06-14 | 2014-05-27 | Lookout, Inc. | Mobile device DNS optimization |
| KR101206853B1 (ko) | 2011-06-23 | 2012-11-30 | 주식회사 잉카인터넷 | 네트워크 접근 제어시스템 및 방법 |
| US8893278B1 (en) | 2011-07-12 | 2014-11-18 | Trustwave Holdings, Inc. | Detecting malware communication on an infected computing device |
| US20140165207A1 (en) | 2011-07-26 | 2014-06-12 | Light Cyber Ltd. | Method for detecting anomaly action within a computer network |
| KR101380966B1 (ko) | 2011-08-24 | 2014-05-02 | 주식회사 팬택 | 휴대 단말 시스템에서의 보안 장치 |
| EP2751682A4 (en) | 2011-08-29 | 2015-01-07 | Fiberlink Comm Corp | PLATFORM FOR USE AND DISTRIBUTION OF MODULES TO END POINTS |
| US9027124B2 (en) | 2011-09-06 | 2015-05-05 | Broadcom Corporation | System for monitoring an operation of a device |
| EP2610776B1 (en) | 2011-09-16 | 2019-08-21 | Veracode, Inc. | Automated behavioural and static analysis using an instrumented sandbox and machine learning classification for mobile security |
| US9225772B2 (en) * | 2011-09-26 | 2015-12-29 | Knoa Software, Inc. | Method, system and program product for allocation and/or prioritization of electronic resources |
| US8473748B2 (en) | 2011-09-27 | 2013-06-25 | George P. Sampas | Mobile device-based authentication |
| US8806639B2 (en) | 2011-09-30 | 2014-08-12 | Avaya Inc. | Contextual virtual machines for application quarantine and assessment method and system |
| US10025928B2 (en) | 2011-10-03 | 2018-07-17 | Webroot Inc. | Proactive browser content analysis |
| US20130104197A1 (en) | 2011-10-23 | 2013-04-25 | Gopal Nandakumar | Authentication system |
| WO2013063474A1 (en) | 2011-10-28 | 2013-05-02 | Scargo, Inc. | Security policy deployment and enforcement system for the detection and control of polymorphic and targeted malware |
| US20130152200A1 (en) | 2011-12-09 | 2013-06-13 | Christoph Alme | Predictive Heap Overflow Protection |
| DE102011056502A1 (de) | 2011-12-15 | 2013-06-20 | Avira Holding GmbH | Verfahren und Vorrichtung zur automatischen Erzeugung von Virenbeschreibungen |
| EP2611106A1 (en) | 2012-01-02 | 2013-07-03 | Telefónica, S.A. | System for automated prevention of fraud |
| US9772832B2 (en) | 2012-01-20 | 2017-09-26 | S-Printing Solution Co., Ltd. | Computing system with support for ecosystem mechanism and method of operation thereof |
| JP5792654B2 (ja) | 2012-02-15 | 2015-10-14 | 株式会社日立製作所 | セキュリティ監視システムおよびセキュリティ監視方法 |
| US8904239B2 (en) | 2012-02-17 | 2014-12-02 | American Express Travel Related Services Company, Inc. | System and method for automated test configuration and evaluation |
| US9356942B1 (en) | 2012-03-05 | 2016-05-31 | Neustar, Inc. | Method and system for detecting network compromise |
| US9081747B1 (en) | 2012-03-06 | 2015-07-14 | Big Bang Llc | Computer program deployment to one or more target devices |
| US9734333B2 (en) | 2012-04-17 | 2017-08-15 | Heat Software Usa Inc. | Information security techniques including detection, interdiction and/or mitigation of memory injection attacks |
| US8959362B2 (en) | 2012-04-30 | 2015-02-17 | General Electric Company | Systems and methods for controlling file execution for industrial control systems |
| US8850588B2 (en) * | 2012-05-01 | 2014-09-30 | Taasera, Inc. | Systems and methods for providing mobile security based on dynamic attestation |
| US8713658B1 (en) | 2012-05-25 | 2014-04-29 | Graphon Corporation | System for and method of providing single sign-on (SSO) capability in an application publishing environment |
| US9043903B2 (en) * | 2012-06-08 | 2015-05-26 | Crowdstrike, Inc. | Kernel-level security agent |
| US9787589B2 (en) | 2012-06-08 | 2017-10-10 | Apple Inc. | Filtering of unsolicited incoming packets to electronic devices |
| US8789135B1 (en) | 2012-06-15 | 2014-07-22 | Google Inc. | Scalable stateful firewall design in openflow based networks |
| GB2503230A (en) | 2012-06-19 | 2013-12-25 | Appsense Ltd | Location based network access |
| US8732791B2 (en) | 2012-06-20 | 2014-05-20 | Sophos Limited | Multi-part internal-external process system for providing virtualization security protection |
| US9736260B2 (en) | 2012-06-21 | 2017-08-15 | Cisco Technology, Inc. | Redirecting from a cloud service to a third party website to save costs without sacrificing security |
| US9043920B2 (en) | 2012-06-27 | 2015-05-26 | Tenable Network Security, Inc. | System and method for identifying exploitable weak points in a network |
| US9319417B2 (en) | 2012-06-28 | 2016-04-19 | Fortinet, Inc. | Data leak protection |
| US9245120B2 (en) | 2012-07-13 | 2016-01-26 | Cisco Technologies, Inc. | Method and apparatus for retroactively detecting malicious or otherwise undesirable software as well as clean software through intelligent rescanning |
| US8821242B2 (en) | 2012-07-25 | 2014-09-02 | Lumos Labs, Inc. | Systems and methods for enhancing cognition |
| US20140053267A1 (en) | 2012-08-20 | 2014-02-20 | Trusteer Ltd. | Method for identifying malicious executables |
| US9117087B2 (en) | 2012-09-06 | 2015-08-25 | Box, Inc. | System and method for creating a secure channel for inter-application communication based on intents |
| US8984331B2 (en) | 2012-09-06 | 2015-03-17 | Triumfant, Inc. | Systems and methods for automated memory and thread execution anomaly detection in a computer network |
| US9292688B2 (en) | 2012-09-26 | 2016-03-22 | Northrop Grumman Systems Corporation | System and method for automated machine-learning, zero-day malware detection |
| US20140096229A1 (en) | 2012-09-28 | 2014-04-03 | Juniper Networks, Inc. | Virtual honeypot |
| US9485276B2 (en) | 2012-09-28 | 2016-11-01 | Juniper Networks, Inc. | Dynamic service handling using a honeypot |
| US20140108793A1 (en) | 2012-10-16 | 2014-04-17 | Citrix Systems, Inc. | Controlling mobile device access to secure data |
| US9369476B2 (en) | 2012-10-18 | 2016-06-14 | Deutsche Telekom Ag | System for detection of mobile applications network behavior-netwise |
| US10447711B2 (en) | 2012-10-18 | 2019-10-15 | White Ops Inc. | System and method for identification of automated browser agents |
| US9483642B2 (en) * | 2012-10-30 | 2016-11-01 | Gabriel Kedma | Runtime detection of self-replicating malware |
| US8839369B1 (en) | 2012-11-09 | 2014-09-16 | Trend Micro Incorporated | Methods and systems for detecting email phishing attacks |
| US8931101B2 (en) * | 2012-11-14 | 2015-01-06 | International Business Machines Corporation | Application-level anomaly detection |
| US9288227B2 (en) | 2012-11-28 | 2016-03-15 | Verisign, Inc. | Systems and methods for transparently monitoring network traffic for denial of service attacks |
| WO2014116888A1 (en) | 2013-01-25 | 2014-07-31 | REMTCS Inc. | Network security system, method, and apparatus |
| US9106692B2 (en) | 2013-01-31 | 2015-08-11 | Northrop Grumman Systems Corporation | System and method for advanced malware analysis |
| US9491187B2 (en) | 2013-02-15 | 2016-11-08 | Qualcomm Incorporated | APIs for obtaining device-specific behavior classifier models from the cloud |
| US9246774B2 (en) | 2013-02-21 | 2016-01-26 | Hewlett Packard Enterprise Development Lp | Sample based determination of network policy violations |
| US9467465B2 (en) | 2013-02-25 | 2016-10-11 | Beyondtrust Software, Inc. | Systems and methods of risk based rules for application control |
| US10713356B2 (en) | 2013-03-04 | 2020-07-14 | Crowdstrike, Inc. | Deception-based responses to security attacks |
| US9584369B2 (en) * | 2013-03-13 | 2017-02-28 | Futurewei Technologies, Inc. | Methods of representing software defined networking-based multiple layer network topology views |
| US9268967B2 (en) * | 2013-03-13 | 2016-02-23 | Lawrence Livermore National Security, Llc | Internet protocol network mapper |
| US10127379B2 (en) | 2013-03-13 | 2018-11-13 | Mcafee, Llc | Profiling code execution |
| US10742601B2 (en) | 2013-03-14 | 2020-08-11 | Fortinet, Inc. | Notifying users within a protected network regarding events and information |
| US9430646B1 (en) | 2013-03-14 | 2016-08-30 | Fireeye, Inc. | Distributed systems and methods for automatically detecting unknown bots and botnets |
| WO2014143025A1 (en) | 2013-03-15 | 2014-09-18 | Hewlett-Packard Development Company, L.P. | Secure path determination between devices |
| US9330259B2 (en) * | 2013-03-19 | 2016-05-03 | Trusteer, Ltd. | Malware discovery method and system |
| EP2784716A1 (en) | 2013-03-25 | 2014-10-01 | British Telecommunications public limited company | Suspicious program detection |
| EP2785008A1 (en) * | 2013-03-29 | 2014-10-01 | British Telecommunications public limited company | Method and apparatus for detecting a multi-stage event |
| US9578045B2 (en) | 2013-05-03 | 2017-02-21 | Webroot Inc. | Method and apparatus for providing forensic visibility into systems and networks |
| US9716996B2 (en) | 2013-05-21 | 2017-07-25 | Brocade Communications Systems, Inc. | Method and system for selective and secure interaction of BYOD (bring your own device) with enterprise network through mobile wireless networks |
| US9197601B2 (en) | 2013-06-05 | 2015-11-24 | Bat Blue Networks, Inc. | System and method for providing a single global borderless virtual perimeter through distributed points of presence |
| US8943594B1 (en) | 2013-06-24 | 2015-01-27 | Haystack Security LLC | Cyber attack disruption through multiple detonations of received payloads |
| US9300686B2 (en) | 2013-06-28 | 2016-03-29 | Fireeye, Inc. | System and method for detecting malicious links in electronic messages |
| US20150006384A1 (en) | 2013-06-28 | 2015-01-01 | Zahid Nasiruddin Shaikh | Device fingerprinting |
| US8973142B2 (en) | 2013-07-02 | 2015-03-03 | Imperva, Inc. | Compromised insider honey pots using reverse honey tokens |
| US9807092B1 (en) | 2013-07-05 | 2017-10-31 | Dcs7, Llc | Systems and methods for classification of internet devices as hostile or benign |
| US9117080B2 (en) | 2013-07-05 | 2015-08-25 | Bitdefender IPR Management Ltd. | Process evaluation for malware detection in virtual machines |
| US10284570B2 (en) | 2013-07-24 | 2019-05-07 | Wells Fargo Bank, National Association | System and method to detect threats to computer based devices and systems |
| US9166993B1 (en) * | 2013-07-25 | 2015-10-20 | Symantec Corporation | Anomaly detection based on profile history and peer history |
| CN103649915B (zh) | 2013-07-31 | 2016-11-02 | 华为技术有限公司 | 关联插件管理方法、设备及系统 |
| US9553867B2 (en) | 2013-08-01 | 2017-01-24 | Bitglass, Inc. | Secure application access system |
| US10084817B2 (en) | 2013-09-11 | 2018-09-25 | NSS Labs, Inc. | Malware and exploit campaign detection system and method |
| US9607146B2 (en) | 2013-09-18 | 2017-03-28 | Qualcomm Incorporated | Data flow based behavioral analysis on mobile devices |
| US20150089655A1 (en) | 2013-09-23 | 2015-03-26 | Electronics And Telecommunications Research Institute | System and method for detecting malware based on virtual host |
| US9601000B1 (en) | 2013-09-27 | 2017-03-21 | EMC IP Holding Company LLC | Data-driven alert prioritization |
| WO2015047439A1 (en) | 2013-09-28 | 2015-04-02 | Mcafee, Inc. | Service-oriented architecture |
| US9576145B2 (en) | 2013-09-30 | 2017-02-21 | Acalvio Technologies, Inc. | Alternate files returned for suspicious processes in a compromised computer network |
| US20150156214A1 (en) | 2013-10-18 | 2015-06-04 | White Ops, Inc. | Detection and prevention of online user interface manipulation via remote control |
| US9147072B2 (en) | 2013-10-28 | 2015-09-29 | Qualcomm Incorporated | Method and system for performing behavioral analysis operations in a mobile device based on application state |
| US20150128206A1 (en) | 2013-11-04 | 2015-05-07 | Trusteer Ltd. | Early Filtering of Events Using a Kernel-Based Filter |
| US9407602B2 (en) | 2013-11-07 | 2016-08-02 | Attivo Networks, Inc. | Methods and apparatus for redirecting attacks on a network |
| IN2013MU03602A (ja) | 2013-11-18 | 2015-07-31 | Tata Consultancy Services Ltd | |
| CN103607399B (zh) | 2013-11-25 | 2016-07-27 | 中国人民解放军理工大学 | 基于暗网的专用ip网络安全监测系统及方法 |
| US9323929B2 (en) * | 2013-11-26 | 2016-04-26 | Qualcomm Incorporated | Pre-identifying probable malicious rootkit behavior using behavioral contracts |
| US9185136B2 (en) | 2013-11-28 | 2015-11-10 | Cyber-Ark Software Ltd. | Correlation based security risk identification |
| US9753796B2 (en) | 2013-12-06 | 2017-09-05 | Lookout, Inc. | Distributed monitoring, evaluation, and response for multiple devices |
| US9386034B2 (en) | 2013-12-17 | 2016-07-05 | Hoplite Industries, Inc. | Behavioral model based malware protection system and method |
| EP3087526A4 (en) | 2013-12-27 | 2017-06-21 | McAfee, Inc. | Segregating executable files exhibiting network activity |
| US9432360B1 (en) | 2013-12-31 | 2016-08-30 | Emc Corporation | Security-aware split-server passcode verification for one-time authentication tokens |
| KR102017756B1 (ko) | 2014-01-13 | 2019-09-03 | 한국전자통신연구원 | 이상행위 탐지 장치 및 방법 |
| US20150205962A1 (en) | 2014-01-23 | 2015-07-23 | Cylent Systems, Inc. | Behavioral analytics driven host-based malicious behavior and data exfiltration disruption |
| US9639426B2 (en) | 2014-01-24 | 2017-05-02 | Commvault Systems, Inc. | Single snapshot for multiple applications |
| US10284591B2 (en) | 2014-01-27 | 2019-05-07 | Webroot Inc. | Detecting and preventing execution of software exploits |
| US9262635B2 (en) | 2014-02-05 | 2016-02-16 | Fireeye, Inc. | Detection efficacy of virtual machine-based analysis with application specific events |
| US10091238B2 (en) | 2014-02-11 | 2018-10-02 | Varmour Networks, Inc. | Deception using distributed threat detection |
| US20150039513A1 (en) * | 2014-02-14 | 2015-02-05 | Brighterion, Inc. | User device profiling in transaction authentications |
| KR101671336B1 (ko) | 2014-02-27 | 2016-11-16 | (주)스마일게이트엔터테인먼트 | 코드 분리가 적용된 언패킹 보호 방법 및 장치 |
| US9594665B2 (en) | 2014-03-05 | 2017-03-14 | Microsoft Technology Licensing, Llc | Regression evaluation using behavior models of software applications |
| WO2015138508A1 (en) | 2014-03-11 | 2015-09-17 | Vectra Networks, Inc. | Method and system for detecting bot behavior |
| US9832217B2 (en) | 2014-03-13 | 2017-11-28 | International Business Machines Corporation | Computer implemented techniques for detecting, investigating and remediating security violations to IT infrastructure |
| US10289405B2 (en) | 2014-03-20 | 2019-05-14 | Crowdstrike, Inc. | Integrity assurance and rebootless updating during runtime |
| US9838424B2 (en) | 2014-03-20 | 2017-12-05 | Microsoft Technology Licensing, Llc | Techniques to provide network security through just-in-time provisioned accounts |
| US20160078365A1 (en) | 2014-03-21 | 2016-03-17 | Philippe Baumard | Autonomous detection of incongruous behaviors |
| US9977895B2 (en) | 2014-03-27 | 2018-05-22 | Barkly Protects, Inc. | Malicious software identification integrating behavioral analytics and hardware events |
| US9684787B2 (en) | 2014-04-08 | 2017-06-20 | Qualcomm Incorporated | Method and system for inferring application states by performing behavioral analysis operations in a mobile device |
| US9912690B2 (en) | 2014-04-08 | 2018-03-06 | Capital One Financial Corporation | System and method for malware detection using hashing techniques |
| US9769204B2 (en) | 2014-05-07 | 2017-09-19 | Attivo Networks Inc. | Distributed system for Bot detection |
| US9356950B2 (en) | 2014-05-07 | 2016-05-31 | Attivo Networks Inc. | Evaluating URLS for malicious content |
| US9609019B2 (en) | 2014-05-07 | 2017-03-28 | Attivo Networks Inc. | System and method for directing malicous activity to a monitoring system |
| US10243985B2 (en) | 2014-06-03 | 2019-03-26 | Hexadite Ltd. | System and methods thereof for monitoring and preventing security incidents in a computerized environment |
| US9628502B2 (en) | 2014-06-09 | 2017-04-18 | Meadow Hills, LLC | Active attack detection system |
| US10212176B2 (en) * | 2014-06-23 | 2019-02-19 | Hewlett Packard Enterprise Development Lp | Entity group behavior profiling |
| US9490987B2 (en) | 2014-06-30 | 2016-11-08 | Paypal, Inc. | Accurately classifying a computer program interacting with a computer system using questioning and fingerprinting |
| US9705914B2 (en) | 2014-07-23 | 2017-07-11 | Cisco Technology, Inc. | Signature creation for unknown attacks |
| US20160042180A1 (en) | 2014-08-07 | 2016-02-11 | Ut Battelle, Llc | Behavior specification, finding main, and call graph visualizations |
| US9710648B2 (en) | 2014-08-11 | 2017-07-18 | Sentinel Labs Israel Ltd. | Method of malware detection and system thereof |
| US11507663B2 (en) | 2014-08-11 | 2022-11-22 | Sentinel Labs Israel Ltd. | Method of remediating operations performed by a program and system thereof |
| US10102374B1 (en) | 2014-08-11 | 2018-10-16 | Sentinel Labs Israel Ltd. | Method of remediating a program and system thereof by undoing operations |
| US10481933B2 (en) | 2014-08-22 | 2019-11-19 | Nicira, Inc. | Enabling virtual machines access to switches configured by different management entities |
| JP6432210B2 (ja) | 2014-08-22 | 2018-12-05 | 富士通株式会社 | セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラム |
| US9807114B2 (en) | 2014-09-05 | 2017-10-31 | Topspin Securtiy Ltd | System and a method for identifying the presence of malware using mini-traps set at network endpoints |
| US9807115B2 (en) | 2014-09-05 | 2017-10-31 | Topspin Security Ltd | System and a method for identifying the presence of malware and ransomware using mini-traps set at network endpoints |
| US9225734B1 (en) | 2014-09-10 | 2015-12-29 | Fortinet, Inc. | Data leak protection in upper layer protocols |
| US9992225B2 (en) | 2014-09-12 | 2018-06-05 | Topspin Security Ltd. | System and a method for identifying malware network activity using a decoy environment |
| US9591006B2 (en) | 2014-09-18 | 2017-03-07 | Microsoft Technology Licensing, Llc | Lateral movement detection |
| US9495188B1 (en) | 2014-09-30 | 2016-11-15 | Palo Alto Networks, Inc. | Synchronizing a honey network configuration to reflect a target network environment |
| US10044675B1 (en) | 2014-09-30 | 2018-08-07 | Palo Alto Networks, Inc. | Integrating a honey network with a target network to counter IP and peer-checking evasion techniques |
| US9578015B2 (en) | 2014-10-31 | 2017-02-21 | Vmware, Inc. | Step-up authentication for single sign-on |
| WO2016079602A1 (en) | 2014-11-17 | 2016-05-26 | Morphisec Information Security Ltd. | Malicious code protection for computer systems based on process modification |
| US10225245B2 (en) | 2014-11-18 | 2019-03-05 | Auth0, Inc. | Identity infrastructure as a service |
| WO2016081561A1 (en) | 2014-11-20 | 2016-05-26 | Attivo Networks Inc. | System and method for directing malicious activity to a monitoring system |
| US9240976B1 (en) | 2015-01-06 | 2016-01-19 | Blackpoint Holdings, Llc | Systems and methods for providing network security monitoring |
| CN107409126B (zh) | 2015-02-24 | 2021-03-09 | 思科技术公司 | 用于保护企业计算环境安全的系统和方法 |
| US10148693B2 (en) | 2015-03-25 | 2018-12-04 | Fireeye, Inc. | Exploit detection system |
| CN107211007B (zh) | 2015-04-07 | 2020-10-23 | 惠普发展公司,有限责任合伙企业 | 提供对资源的选择性访问 |
| US10135633B2 (en) | 2015-04-21 | 2018-11-20 | Cujo LLC | Network security analysis for smart appliances |
| US9954870B2 (en) | 2015-04-29 | 2018-04-24 | International Business Machines Corporation | System conversion in a networked computing environment |
| US10599844B2 (en) | 2015-05-12 | 2020-03-24 | Webroot, Inc. | Automatic threat detection of executable files based on static data analysis |
| US9553885B2 (en) | 2015-06-08 | 2017-01-24 | Illusive Networks Ltd. | System and method for creation, deployment and management of augmented attacker map |
| US10382484B2 (en) | 2015-06-08 | 2019-08-13 | Illusive Networks Ltd. | Detecting attackers who target containerized clusters |
| US9680833B2 (en) | 2015-06-25 | 2017-06-13 | Imperva, Inc. | Detection of compromised unmanaged client end stations using synchronized tokens from enterprise-managed client end stations |
| WO2016210327A1 (en) * | 2015-06-25 | 2016-12-29 | Websafety, Inc. | Management and control of mobile computing device using local and remote software agents |
| US10476891B2 (en) | 2015-07-21 | 2019-11-12 | Attivo Networks Inc. | Monitoring access of network darkspace |
| US9641544B1 (en) * | 2015-09-18 | 2017-05-02 | Palo Alto Networks, Inc. | Automated insider threat prevention |
| WO2017053806A1 (en) | 2015-09-25 | 2017-03-30 | Acalvio Technologies, Inc. | Dynamic security mechanisms |
| EP3362937B1 (en) | 2015-10-15 | 2021-03-17 | Sentinel Labs Israel Ltd. | Method of remediating a program and system thereof by undoing operations |
| US10116674B2 (en) * | 2015-10-30 | 2018-10-30 | Citrix Systems, Inc. | Framework for explaining anomalies in accessing web applications |
| US9674660B1 (en) | 2015-11-09 | 2017-06-06 | Radiumone, Inc. | Using geolocation information in a social graph with sharing activity of users of the open web |
| US20170134405A1 (en) | 2015-11-09 | 2017-05-11 | Qualcomm Incorporated | Dynamic Honeypot System |
| US10594656B2 (en) | 2015-11-17 | 2020-03-17 | Zscaler, Inc. | Multi-tenant cloud-based firewall systems and methods |
| US10116536B2 (en) | 2015-11-18 | 2018-10-30 | Adobe Systems Incorporated | Identifying multiple devices belonging to a single user |
| GB2534459B (en) | 2015-11-19 | 2018-08-01 | F Secure Corp | Improving security of computer resources |
| US9886563B2 (en) | 2015-11-25 | 2018-02-06 | Box, Inc. | Personalized online content access experiences using inferred user intent to configure online session attributes |
| US9942270B2 (en) | 2015-12-10 | 2018-04-10 | Attivo Networks Inc. | Database deception in directory services |
| US10348739B2 (en) | 2016-02-09 | 2019-07-09 | Ca, Inc. | Automated data risk assessment |
| US10791097B2 (en) | 2016-04-14 | 2020-09-29 | Sophos Limited | Portable encryption format |
| US10681078B2 (en) | 2016-06-10 | 2020-06-09 | Sophos Limited | Key throttling to mitigate unauthorized file access |
| US9984248B2 (en) | 2016-02-12 | 2018-05-29 | Sophos Limited | Behavioral-based control of access to encrypted content by a process |
| US10628597B2 (en) | 2016-04-14 | 2020-04-21 | Sophos Limited | Just-in-time encryption |
| US10686827B2 (en) | 2016-04-14 | 2020-06-16 | Sophos Limited | Intermediate encryption for exposed content |
| US9602531B1 (en) | 2016-02-16 | 2017-03-21 | Cylance, Inc. | Endpoint-based man in the middle attack detection |
| US9843602B2 (en) | 2016-02-18 | 2017-12-12 | Trend Micro Incorporated | Login failure sequence for detecting phishing |
| US10771478B2 (en) * | 2016-02-18 | 2020-09-08 | Comcast Cable Communications, Llc | Security monitoring at operating system kernel level |
| US10469523B2 (en) | 2016-02-24 | 2019-11-05 | Imperva, Inc. | Techniques for detecting compromises of enterprise end stations utilizing noisy tokens |
| US20170264639A1 (en) | 2016-03-10 | 2017-09-14 | Acalvio Technologies, Inc. | Active deception system |
| US20170302665A1 (en) | 2016-03-22 | 2017-10-19 | Holonet Security, Inc. | Network hologram for enterprise security |
| US10187413B2 (en) | 2016-03-25 | 2019-01-22 | Cisco Technology, Inc. | Network-based approach for training supervised learning classifiers |
| US10652271B2 (en) | 2016-03-25 | 2020-05-12 | Verisign, Inc. | Detecting and remediating highly vulnerable domain names using passive DNS measurements |
| US10542044B2 (en) | 2016-04-29 | 2020-01-21 | Attivo Networks Inc. | Authentication incident detection and management |
| US9888032B2 (en) | 2016-05-03 | 2018-02-06 | Check Point Software Technologies Ltd. | Method and system for mitigating the effects of ransomware |
| US20170324777A1 (en) | 2016-05-05 | 2017-11-09 | Javelin Networks, Inc. | Injecting supplemental data into data queries at network end-points |
| US20170324774A1 (en) | 2016-05-05 | 2017-11-09 | Javelin Networks, Inc. | Adding supplemental data to a security-related query |
| US10515062B2 (en) | 2016-05-09 | 2019-12-24 | Sumo Logic, Inc. | Searchable investigation history for event data store |
| US10375110B2 (en) | 2016-05-12 | 2019-08-06 | Attivo Networks Inc. | Luring attackers towards deception servers |
| US9948652B2 (en) | 2016-05-16 | 2018-04-17 | Bank Of America Corporation | System for resource-centric threat modeling and identifying controls for securing technology resources |
| US10362013B2 (en) | 2016-05-27 | 2019-07-23 | Dropbox, Inc. | Out of box experience application API integration |
| WO2017210198A1 (en) | 2016-05-31 | 2017-12-07 | Lookout, Inc. | Methods and systems for detecting and preventing network connection compromise |
| US10250636B2 (en) | 2016-07-07 | 2019-04-02 | Attivo Networks Inc | Detecting man-in-the-middle attacks |
| US9721097B1 (en) | 2016-07-21 | 2017-08-01 | Cylance Inc. | Neural attention mechanisms for malware analysis |
| GB2555517B (en) | 2016-08-03 | 2022-05-11 | Sophos Ltd | Mitigation of return-oriented programming attacks |
| US10805325B2 (en) | 2016-08-09 | 2020-10-13 | Imperva, Inc. | Techniques for detecting enterprise intrusions utilizing active tokens |
| US10110627B2 (en) | 2016-08-30 | 2018-10-23 | Arbor Networks, Inc. | Adaptive self-optimzing DDoS mitigation |
| GB2554390B (en) | 2016-09-23 | 2018-10-31 | 1E Ltd | Computer security profiling |
| US10049017B2 (en) * | 2016-10-04 | 2018-08-14 | Nec Corporation | Method and system for byzantine fault-tolerance replicating of data on a plurality of servers |
| US20180183815A1 (en) | 2016-10-17 | 2018-06-28 | Kerry Wayne Enfinger | System and method for detecting malware |
| US10609074B2 (en) | 2016-11-23 | 2020-03-31 | Attivo Networks Inc. | Implementing decoys in network endpoints |
| US11695800B2 (en) | 2016-12-19 | 2023-07-04 | SentinelOne, Inc. | Deceiving attackers accessing network data |
| US11616812B2 (en) | 2016-12-19 | 2023-03-28 | Attivo Networks Inc. | Deceiving attackers accessing active directory data |
| US10599842B2 (en) | 2016-12-19 | 2020-03-24 | Attivo Networks Inc. | Deceiving attackers in endpoint systems |
| US10169586B2 (en) | 2016-12-31 | 2019-01-01 | Fortinet, Inc. | Ransomware detection and damage mitigation |
| EP3566389B1 (en) * | 2017-01-06 | 2021-08-18 | Koninklijke Philips N.V. | Distributed privacy-preserving verifiable computation |
| US20180248896A1 (en) | 2017-02-24 | 2018-08-30 | Zitovault Software, Inc. | System and method to prevent, detect, thwart, and recover automatically from ransomware cyber attacks, using behavioral analysis and machine learning |
| US20180308091A1 (en) * | 2017-04-21 | 2018-10-25 | Vmware, Inc. | Fairness preserving byzantine agreements |
| GB201708671D0 (en) | 2017-05-31 | 2017-07-12 | Inquisitive Systems Ltd | Forensic analysis |
| KR101960869B1 (ko) | 2017-06-30 | 2019-03-21 | 주식회사 씨티아이랩 | 인공지능 기반 악성코드 검출 시스템 및 방법 |
| JP2020530922A (ja) | 2017-08-08 | 2020-10-29 | センチネル ラボ, インコーポレイテッドSentinel Labs, Inc. | エッジネットワーキングのエンドポイントを動的にモデリングおよびグループ化する方法、システム、およびデバイス |
| US10979453B2 (en) | 2017-08-31 | 2021-04-13 | International Business Machines Corporation | Cyber-deception using network port projection |
| US10574698B1 (en) | 2017-09-01 | 2020-02-25 | Amazon Technologies, Inc. | Configuration and deployment of decoy content over a network |
| US10509905B2 (en) | 2017-09-05 | 2019-12-17 | Attivo Networks Inc. | Ransomware mitigation system |
| US10938854B2 (en) | 2017-09-22 | 2021-03-02 | Acronis International Gmbh | Systems and methods for preventive ransomware detection using file honeypots |
| WO2019075338A1 (en) | 2017-10-12 | 2019-04-18 | Charles River Analytics, Inc. | CYBERVACCIN AND METHODS AND SYSTEMS FOR DEFENSE AGAINST PREDICTIVE MALICIOUS SOFTWARE |
| US10360012B2 (en) | 2017-11-09 | 2019-07-23 | International Business Machines Corporation | Dynamic selection of deployment configurations of software applications |
| US10915631B2 (en) | 2017-12-28 | 2021-02-09 | Intel Corporation | Deep learning on execution trace data for exploit detection |
| US11470115B2 (en) | 2018-02-09 | 2022-10-11 | Attivo Networks, Inc. | Implementing decoys in a network environment |
| US10826941B2 (en) | 2018-05-10 | 2020-11-03 | Fortinet, Inc. | Systems and methods for centrally managed host and network firewall services |
| KR101969572B1 (ko) | 2018-06-22 | 2019-04-16 | 주식회사 에프원시큐리티 | 악성코드 탐지 장치 및 방법 |
| EP3973427A4 (en) | 2019-05-20 | 2023-06-21 | Sentinel Labs Israel Ltd. | SYSTEMS AND METHODS FOR EXECUTABLE CODE DETECTION, AUTOMATIC FEATURE EXTRACTION, AND POSITION-INDEPENDENT CODE DETECTION |
| US11038658B2 (en) | 2019-05-22 | 2021-06-15 | Attivo Networks Inc. | Deceiving attackers in endpoint systems |
| US11108861B1 (en) | 2020-08-26 | 2021-08-31 | Commvault Systems, Inc. | System for managing multiple information management cells |
| US11579857B2 (en) | 2020-12-16 | 2023-02-14 | Sentinel Labs Israel Ltd. | Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach |
-
2018
- 2018-08-08 JP JP2020503272A patent/JP2020530922A/ja active Pending
- 2018-08-08 WO PCT/US2018/045850 patent/WO2019032728A1/en unknown
- 2018-08-08 EP EP18844671.0A patent/EP3643040A4/en not_active Withdrawn
- 2018-08-08 US US16/058,810 patent/US10462171B2/en active Active
-
2019
- 2019-07-29 US US16/525,415 patent/US10841325B2/en active Active
-
2020
- 2020-01-14 IL IL272038A patent/IL272038B/en active IP Right Grant
- 2020-10-13 US US17/069,415 patent/US11522894B2/en active Active
- 2020-10-13 US US17/069,077 patent/US11595421B2/en active Active
-
2021
- 2021-09-14 US US17/475,139 patent/US11245714B2/en active Active
- 2021-09-14 US US17/475,166 patent/US11245715B2/en active Active
- 2021-09-22 US US17/482,082 patent/US11290478B2/en active Active
- 2021-09-23 US US17/482,999 patent/US11212309B1/en active Active
-
2022
- 2022-02-22 US US17/652,085 patent/US11716341B2/en active Active
- 2022-04-21 US US17/660,198 patent/US11716342B2/en active Active
- 2022-04-21 US US17/660,190 patent/US11722506B2/en active Active
- 2022-04-21 US US17/660,187 patent/US11838305B2/en active Active
- 2022-04-21 US US17/660,191 patent/US11838306B2/en active Active
- 2022-04-21 US US17/660,189 patent/US11973781B2/en active Active
- 2022-04-21 US US17/660,179 patent/US11876819B2/en active Active
-
2023
- 2023-07-31 US US18/362,876 patent/US20240073232A1/en active Pending
- 2023-11-28 US US18/521,782 patent/US20240171600A1/en active Pending
- 2023-11-30 US US18/525,113 patent/US20240187437A1/en active Pending
- 2023-12-12 US US18/536,232 patent/US20240205251A1/en active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016512631A (ja) * | 2013-02-15 | 2016-04-28 | クアルコム,インコーポレイテッド | 複数のアナライザモデルプロバイダを用いたモバイルデバイスにおけるオンライン挙動分析エンジン |
| US20150161024A1 (en) * | 2013-12-06 | 2015-06-11 | Qualcomm Incorporated | Methods and Systems of Generating Application-Specific Models for the Targeted Protection of Vital Applications |
| JP2017504102A (ja) * | 2013-12-06 | 2017-02-02 | クアルコム,インコーポレイテッド | 重要なアプリケーションの選択的な保護のためにアプリケーション固有のモデルを生成する方法およびシステム |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2022541876A (ja) * | 2019-06-14 | 2022-09-28 | ボルボトラックコーポレーション | 車両動力学に関連付けされたモデルを検証するための方法 |
Also Published As
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11876819B2 (en) | Methods, systems, and devices for dynamically modeling and grouping endpoints for edge networking | |
| US10003608B2 (en) | Automated insider threat prevention | |
| US10630698B2 (en) | Method and system for network access control based on traffic monitoring and vulnerability detection using process related information | |
| WO2018004600A1 (en) | Proactive network security using a health heartbeat | |
| US11916907B2 (en) | Federated security for multi-enterprise communications | |
| US20230319012A1 (en) | Hybrid web application firewall | |
| US11924241B1 (en) | Real-time mitigative security architecture | |
| US20230319093A1 (en) | Containerized network activity filtering | |
| US20230308433A1 (en) | Early termination of secure handshakes | |
| GB2618654A (en) | Hybrid web application firewall | |
| GB2618655A (en) | Containerized network activity filtering |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210804 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210804 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220428 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220531 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20220826 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221026 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20230214 |