JP2021182412A - ネットワークデータ特性評価のシステムと方法 - Google Patents
ネットワークデータ特性評価のシステムと方法 Download PDFInfo
- Publication number
- JP2021182412A JP2021182412A JP2021117274A JP2021117274A JP2021182412A JP 2021182412 A JP2021182412 A JP 2021182412A JP 2021117274 A JP2021117274 A JP 2021117274A JP 2021117274 A JP2021117274 A JP 2021117274A JP 2021182412 A JP2021182412 A JP 2021182412A
- Authority
- JP
- Japan
- Prior art keywords
- characterization
- content
- analyzer
- file
- malicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N7/00—Computing arrangements based on specific mathematical models
- G06N7/01—Probabilistic graphical models, e.g. probabilistic networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Artificial Intelligence (AREA)
- Mathematical Physics (AREA)
- Evolutionary Computation (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Medical Informatics (AREA)
- Mathematical Analysis (AREA)
- Pure & Applied Mathematics (AREA)
- Computational Mathematics (AREA)
- Mathematical Optimization (AREA)
- Algebra (AREA)
- Probability & Statistics with Applications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
【課題】ネットワークデータの特性評価および/または分類のためのシステム及び方法を提供する。【解決手段】システムにおいて、ネットワークデータ特性評価の方法は、ネットワークデータを受信し、受信したコンテンツに関係付けられたメタデータに基づいて、受信したコンテンツに関係付けられたタイプを決定し、悪意のある又は安全であるとして受信したコンテンツのタイプを分類するように構成されたマシン学習分析器を決定する。次に、マシン学習分析器に基づいて、受信したコンテンツが悪意のある又は安全であるという表示を決定する。そして、決定された表示と1つ以上の基準とに基づいて、実行すべき行動を決定する。【選択図】図2
Description
関連した出願
この出願は、米国仮出願番号No.62/083,090「ネットワーク特性評価のシステムと方法」の優先権を主張し、ここに、それを参照することにより、そっくりそのまま、組み入れられる。
この出願は、米国仮出願番号No.62/083,090「ネットワーク特性評価のシステムと方法」の優先権を主張し、ここに、それを参照することにより、そっくりそのまま、組み入れられる。
背景
2014年に、50の世界的組織のサンプルが、63,437を超えるネットワークセキュリティ事件の内で、1,367のデータ漏洩イベントを報告した。
これらのデータ漏洩は、ネットワークセキュリティのハードウェアとソフトウェアでの重要な既存の投資を持つ組織によって、回避され、侵入され、または気づかれない別の方法で行われた、成功したサイバー攻撃を表している。
ほとんどは、マルウェア(malware)を使うこと、あるいは、ハッキング技術を使うことによって、外部のパーティーにより被害者組織に対して行われ、発見するために数ヶ月を要し、一般に、サード・パーティーから犠牲者に報告される。
会社は、「攻撃されやすい標的(soft targets)」ではなかった。
会社は、共通のネットワークセキュリティ機器と、最もよい管理手法を使用していた。
2014年に、50の世界的組織のサンプルが、63,437を超えるネットワークセキュリティ事件の内で、1,367のデータ漏洩イベントを報告した。
これらのデータ漏洩は、ネットワークセキュリティのハードウェアとソフトウェアでの重要な既存の投資を持つ組織によって、回避され、侵入され、または気づかれない別の方法で行われた、成功したサイバー攻撃を表している。
ほとんどは、マルウェア(malware)を使うこと、あるいは、ハッキング技術を使うことによって、外部のパーティーにより被害者組織に対して行われ、発見するために数ヶ月を要し、一般に、サード・パーティーから犠牲者に報告される。
会社は、「攻撃されやすい標的(soft targets)」ではなかった。
会社は、共通のネットワークセキュリティ機器と、最もよい管理手法を使用していた。
ファイアウォール、侵入防止システム(IPS)、アンチウィルスソフトウェア、ポリシー(policy)施行(enforcement)ツール、構成(コンフィグレーション)管理ツール、データ損失防止(DLP)システムなどの現在の一式のネットワークセキュリティ製品は、ネットワークセキュリティに徹底した防御アプローチを実装することに、極めて重要な役割を果たす。
そのようなセキュリティ製品は、適切に使われた場合は、出回っている下等で悪意に満ちた活動の多くを妨げることができる。
実際には、いったんマルウェアが発見されてマルウェアの指紋が採られたら、これらのセキュリティ製品は、マルウェアを、影響を受けたシステムから取り除くために、既存の枠組を提供することによって、漏洩改善に、重要な役割を果たす。
それにもかかわらず、これらの製品/ツールは、2つの基本的なエリアを欠いている:
そのようなセキュリティ製品は、適切に使われた場合は、出回っている下等で悪意に満ちた活動の多くを妨げることができる。
実際には、いったんマルウェアが発見されてマルウェアの指紋が採られたら、これらのセキュリティ製品は、マルウェアを、影響を受けたシステムから取り除くために、既存の枠組を提供することによって、漏洩改善に、重要な役割を果たす。
それにもかかわらず、これらの製品/ツールは、2つの基本的なエリアを欠いている:
1. 個々のツールは、ハードウェア資源とソフトウェア資源の追加と、システムオーバーラップ(重複)のため入手可能な効率を無効にするカスタムの統合を必要とする。
2. 検出は、遅すぎて、以前に観察されたマルウェア/脅威の主体に制限されすぎて、そのために、そのようなツールは、より最新の脅威に対して無効である。
2. 検出は、遅すぎて、以前に観察されたマルウェア/脅威の主体に制限されすぎて、そのために、そのようなツールは、より最新の脅威に対して無効である。
1番目のエリアでは、伝統的な防御ツール(例えば、IPS/IDS、ポリシー施行、CM、DLPなど)と、より高度な情報分析ツールとが、ストリームアセンブリ、コンテンツ抽出、データのタグ付け、関連付け、およびワークフロー統合のための中心的な機能でオーバーラップ(重複)している。
しかし、このオーバーラップ(重複)をてこ入れする支援が得られない場合は、データ統合は、カスタムのインプリメンテーション(実行)資源を必要とする。
シームレス統合に、脅威知能供給装置と、スタンドアロンのコンポーネントと、SIEMツールとを提供するとともに、これらの中心的な機能をてこ入れする多面的な分析を可能にするために、プラットフォームが必要である。
しかし、このオーバーラップ(重複)をてこ入れする支援が得られない場合は、データ統合は、カスタムのインプリメンテーション(実行)資源を必要とする。
シームレス統合に、脅威知能供給装置と、スタンドアロンのコンポーネントと、SIEMツールとを提供するとともに、これらの中心的な機能をてこ入れする多面的な分析を可能にするために、プラットフォームが必要である。
2番目のエリアでは、今日のマルウェア検出エンジンは、確実性のために調整される。
署名は、特に、それらが設計されている悪意のあるソフトウェアにヒットするように、記載される。
署名ベースのシステムの欠点に対処するために、防護者(ディフェンダー)は、現在、サンドボックス(sandbox)−疑わしいファイルの行動を実行し、調査するための注意深く制御された仮想環境−を、使っている。
署名に関連するマルウェアには変化に対してより大きな回復力があるので、サンドボックスは、簡単に言うと、遅すぎて、膨大な量の企業ネットワークのトラフィックについていくことができない。
個々のファイルは、調査するために、数分かかるかもしれないので、これらのシステムは、残りが無調査で通過することを可能にするとともに、どのファイルを見るかを決めるために、前置フィルタ(pre-filters)を用いなければならない。
一般的に、それは、高価すぎるので、すべてのトラフィックを調査するために十分に大きなサンドボックスを形成することはできない。
前置フィルタは、ほとんど、ネットワーク環境において、署名が、ファイルメタデータまたは行動パターンと関連する署名ベースの検出メカニズムよりも大きくはない。
前置フィルタは、ファイルにリンクしているURLによって、企業の外の誰かから、電子メールによって送信されたファイルを探すことができる。これらの行動パターンは、ちょうど署名と同じくらい脆弱で、以前に繰り返された行動監視を必要とする。
潜在的なマルウェアの小さいサブセットだけが検査されて、多くの潜在的な脅威は手つかずであり続けている。
署名は、特に、それらが設計されている悪意のあるソフトウェアにヒットするように、記載される。
署名ベースのシステムの欠点に対処するために、防護者(ディフェンダー)は、現在、サンドボックス(sandbox)−疑わしいファイルの行動を実行し、調査するための注意深く制御された仮想環境−を、使っている。
署名に関連するマルウェアには変化に対してより大きな回復力があるので、サンドボックスは、簡単に言うと、遅すぎて、膨大な量の企業ネットワークのトラフィックについていくことができない。
個々のファイルは、調査するために、数分かかるかもしれないので、これらのシステムは、残りが無調査で通過することを可能にするとともに、どのファイルを見るかを決めるために、前置フィルタ(pre-filters)を用いなければならない。
一般的に、それは、高価すぎるので、すべてのトラフィックを調査するために十分に大きなサンドボックスを形成することはできない。
前置フィルタは、ほとんど、ネットワーク環境において、署名が、ファイルメタデータまたは行動パターンと関連する署名ベースの検出メカニズムよりも大きくはない。
前置フィルタは、ファイルにリンクしているURLによって、企業の外の誰かから、電子メールによって送信されたファイルを探すことができる。これらの行動パターンは、ちょうど署名と同じくらい脆弱で、以前に繰り返された行動監視を必要とする。
潜在的なマルウェアの小さいサブセットだけが検査されて、多くの潜在的な脅威は手つかずであり続けている。
たとえ新しいマルウェアが分析のために選ばれるべきであったとしても、ほとんどのサンドボックス環境は、Windowsレジストリーへの変化のように、以前に観察された悪意のある活動を探すだけである。
新しいマルウェアの作者は、サンドボックス検出器を理解しており、また、マルウェアを実行し、サンドボックネットワーク設定を検出し、安全な実行を模倣し、サンドボックスが複製されない非常に特有な計算機構成(コンピューティングコンフィギュレーション)を設計する前に、マルウェアを数分の間眠らせることを含む検出を回避する簡単な方法を持っている。
両方のアプローチが、悪意のある署名の広域的な報告と共有によって、それらの脆弱な設計を軽減させるために試みられる。
これらの技術は、防護者に脅威を追わせておくようにし、先を見越した防御や予言的な防御に、道筋を全然提供しない。 既存の解決策は、最新の脅威に対して、遅すぎて、役に立たない。
新しいマルウェアの作者は、サンドボックス検出器を理解しており、また、マルウェアを実行し、サンドボックネットワーク設定を検出し、安全な実行を模倣し、サンドボックスが複製されない非常に特有な計算機構成(コンピューティングコンフィギュレーション)を設計する前に、マルウェアを数分の間眠らせることを含む検出を回避する簡単な方法を持っている。
両方のアプローチが、悪意のある署名の広域的な報告と共有によって、それらの脆弱な設計を軽減させるために試みられる。
これらの技術は、防護者に脅威を追わせておくようにし、先を見越した防御や予言的な防御に、道筋を全然提供しない。 既存の解決策は、最新の脅威に対して、遅すぎて、役に立たない。
パラダイム・シフト(革命的な変化)が必要である。
リアルタイムで無署名に基づく技術を用いた先を見越した脅威の検索と発見が、時代遅れの署名と行動に基づいた技術を補うにちがいない。
自動化された脅威の識別は、発見年表を、月から分に、減少させるに違いない。
防御の組織の外部の誰かが、漏洩の防護者に警報を出すことを待つというよりも、攻撃が起こる前に、防護者は、攻撃の進行を阻止しなければならない。
リアルタイムで無署名に基づく技術を用いた先を見越した脅威の検索と発見が、時代遅れの署名と行動に基づいた技術を補うにちがいない。
自動化された脅威の識別は、発見年表を、月から分に、減少させるに違いない。
防御の組織の外部の誰かが、漏洩の防護者に警報を出すことを待つというよりも、攻撃が起こる前に、防護者は、攻撃の進行を阻止しなければならない。
要約
従来技術の欠点を克服する、ネットワークデータの特性評価および/または分類のためのシステムと方法の実施形態が、ここに記載される。
これらおよび他の利点は、ネットワークデータ特性評価ための方法と、対応したシステムとによって達成される。
その方法は、ネットワークイベントのうちの少なくともいくつかのイベントがコンテンツを含むネットワークイベントを受信し、データメッセージのうちの少なくともいくつかが、前記コンテンツと、イベントおよび前記コンテンツを記述しているメタデータとを含むデータメッセージに、前記受信したコンテンツを変換し、個々の分析器が署名する特定のメッセージ基準に基づいて、前記データメッセージを複数の分析器に転送(ルーティング)し、前記1つ以上の分析器のうちのそれぞれが、前記コンテンツを特徴付けるために、データメッセージ内のコンテンツを分析する前記転送されたデータメッセージを受信し、前記1つ以上の分析器が、コンテンツが悪意のあるものという可能性、あるいは、コンテンツが悪意のあるものという予測が正しいという確実性を示す確信度パーセンテージによってコンテンツを分類する少なくとも1つのマシン学習分析器を含み、前記1つ以上の分析器の特性評価の結果を出力し、前記特性評価の結果に基づいて取るべきその後の行動を決定するために、前記出力された特性評価の結果と、複数の基準とを比較することを含む。
従来技術の欠点を克服する、ネットワークデータの特性評価および/または分類のためのシステムと方法の実施形態が、ここに記載される。
これらおよび他の利点は、ネットワークデータ特性評価ための方法と、対応したシステムとによって達成される。
その方法は、ネットワークイベントのうちの少なくともいくつかのイベントがコンテンツを含むネットワークイベントを受信し、データメッセージのうちの少なくともいくつかが、前記コンテンツと、イベントおよび前記コンテンツを記述しているメタデータとを含むデータメッセージに、前記受信したコンテンツを変換し、個々の分析器が署名する特定のメッセージ基準に基づいて、前記データメッセージを複数の分析器に転送(ルーティング)し、前記1つ以上の分析器のうちのそれぞれが、前記コンテンツを特徴付けるために、データメッセージ内のコンテンツを分析する前記転送されたデータメッセージを受信し、前記1つ以上の分析器が、コンテンツが悪意のあるものという可能性、あるいは、コンテンツが悪意のあるものという予測が正しいという確実性を示す確信度パーセンテージによってコンテンツを分類する少なくとも1つのマシン学習分析器を含み、前記1つ以上の分析器の特性評価の結果を出力し、前記特性評価の結果に基づいて取るべきその後の行動を決定するために、前記出力された特性評価の結果と、複数の基準とを比較することを含む。
これらおよび他の利点は、また、ネットワークデータ特性評価ためのシステムにより達成される。
そのシステムは、1つ以上のプロセッサとメモリを含む1つ以上の特性評価センサーを備え、前記メモリは、1つ以上のプロセッサによる以下の処理の実行のための命令を含み、実行される処理は、ネットワークイベントのうちの少なくともいくつかのイベントがコンテンツを含むネットワークイベントを受信し、データメッセージのうちの少なくともいくつかが、前記コンテンツと、イベントおよび前記コンテンツを記述しているメタデータとを含むデータメッセージに、前記受信したコンテンツを変換し、個々の分析器が署名する特定のメッセージ基準に基づいて、前記データメッセージを複数の分析器に転送(ルーティング)し、1つ以上のマシン学習分析器のそれぞれが、前記コンテンツを特徴付けるために、データメッセージ内のコンテンツを分析する前記転送されたデータメッセージを受信し、前記1つ以上のマシン学習分析器が、コンテンツが悪意のあるものという可能性、あるいは、コンテンツが悪意のあるものという予測が正しいという確実性を示す確信度パーセンテージによってコンテンツを分類する少なくとも1つのマシン学習分析器を含み、前記1つ以上のマシン学習分析器の特性評価の結果を出力し、前記特性評価の結果に基づいて取るべきその後の行動を決定するために、前記出力された特性評価の結果と、複数の基準とを比較することである。
特性評価センサーは、記述されたタスクを実行することに特殊化された特別にプログラムされたコンピュータでもよい。
そのシステムは、1つ以上のプロセッサとメモリを含む1つ以上の特性評価センサーを備え、前記メモリは、1つ以上のプロセッサによる以下の処理の実行のための命令を含み、実行される処理は、ネットワークイベントのうちの少なくともいくつかのイベントがコンテンツを含むネットワークイベントを受信し、データメッセージのうちの少なくともいくつかが、前記コンテンツと、イベントおよび前記コンテンツを記述しているメタデータとを含むデータメッセージに、前記受信したコンテンツを変換し、個々の分析器が署名する特定のメッセージ基準に基づいて、前記データメッセージを複数の分析器に転送(ルーティング)し、1つ以上のマシン学習分析器のそれぞれが、前記コンテンツを特徴付けるために、データメッセージ内のコンテンツを分析する前記転送されたデータメッセージを受信し、前記1つ以上のマシン学習分析器が、コンテンツが悪意のあるものという可能性、あるいは、コンテンツが悪意のあるものという予測が正しいという確実性を示す確信度パーセンテージによってコンテンツを分類する少なくとも1つのマシン学習分析器を含み、前記1つ以上のマシン学習分析器の特性評価の結果を出力し、前記特性評価の結果に基づいて取るべきその後の行動を決定するために、前記出力された特性評価の結果と、複数の基準とを比較することである。
特性評価センサーは、記述されたタスクを実行することに特殊化された特別にプログラムされたコンピュータでもよい。
図面の簡単な説明
ネットワークデータの特性評価および/または分類のシステムと方法の実施形態は、以下の図面と連携して、理解され、記載される:
図1Aは、ネットワークデータ特性評価のためのシステムの実施形態を示すブロック図である。
図1Bは、ネットワークデータ特性評価のためのシステムの実施形態を示すブロック図である。
図2は、ネットワークデータ特性評価の方法の実施形態を示すフローチャートである。
図3は、ネットワークデータ特性評価の方法の実施形態を示すフローチャートである。
図4Aは、ネットワークデータ特性評価のシステムと方法の実施形態における特性評価の結果を示すダッシュボードのスクリーンショットである。
図4Bは、ネットワークデータ特性評価のシステムと方法の実施形態における特性評価の結果を示すダッシュボードのスクリーンショットである。
図5は、ネットワークデータ特性評価のシステムと方法の実施形態における特性評価の結果を示す分類されたイベントリストのスクリーンショットである。
図6は、ネットワークデータ特性評価のシステムと方法の実施形態におけるフィルタをかけられた特性評価の結果を示す分類されたイベントリストのスクリーンショットである。
図7Aは、ネットワークデータ特性評価のシステムと方法の実施形態における特性評価の結果を示す分類されたファイルのスクリーンショットである。
図7Bは、ネットワークデータ特性評価のシステムと方法の実施形態における特性評価の結果を示す分類されたファイルのスクリーンショットである。
図8は、ネットワークデータ特性評価のシステムと方法の実施形態における結果にルールを適用するためのルール設定インタフェースのスクリーンショットである。
図9Aは、ネットワークデータ特性評価のシステムと方法の実施形態における正確に示され(ピンポイントされ)かつフィルタをかけられた特性評価の結果を示すピンポイントツールを持つ分類されたイベントリストのスクリーンショットである。
図9Bは、ネットワークデータ特性評価のシステムと方法の実施形態における正確に示されかつフィルタをかけられた特性評価の結果を示すピンポイントツールを持つ分類されたイベントリストのスクリーンショットである。
図9Cは、ネットワークデータ特性評価のシステムと方法の実施形態における正確に示されかつフィルタをかけられた特性評価の結果を示すピンポイントツールを持つ分類されたイベントリストのスクリーンショットである。
図9Dは、ネットワークデータ特性評価のシステムと方法の実施形態における正確に示されかつフィルタをかけられた特性評価の結果を示すピンポイントツールを持つ分類されたイベントリストのスクリーンショットである。
図9Eは、ネットワークデータ特性評価のシステムと方法の実施形態における正確に示されかつフィルタをかけられた特性評価の結果を示すピンポイントツールを持つ分類されたイベントリストのスクリーンショットである。
図10は、ネットワークデータ特性評価のシステムと方法の実施形態における特性評価結果ファイルの種類の確信度パーセンテージ結果のスクリーンショットである。
図11Aは、ネットワークデータ特性評価のシステムと方法の実施形態におけるコンフィギュレーション(構成)ツールのスクリーンショットである。
図11Bは、ネットワークデータ特性評価のシステムと方法の実施形態におけるコンフィギュレーション(構成)ツールのスクリーンショットである。
ネットワークデータの特性評価および/または分類のシステムと方法の実施形態は、以下の図面と連携して、理解され、記載される:
詳細な説明
ここでは、ネットワークデータ特性評価および/または分類のシステムと方法の実施形態が、記載される。
実施形態は、コンテンツが悪意のあるものか、疑わしいものか、あるいは、安全/信頼されるものかどうかを含み、受信されたネットワークコンテンツを特性化あるいは分類するために、考慮される。
実施形態は、高機能で開かれたサイバー知能プラットフォームであって、高度な脅威への反応を、自動的に検出し、分析し、促進するサイバー知能プラットフォームを含む。
プラットフォームは、最もきびしいネットワーク環境を取り扱うことができ、大量のデータをふるいにかけることができ、既存のネットワークセキュリティツールが見つけ損なったマルウェアを見つけるために、高精度で、脆弱でなく、回復力のある分析を利用することができる。
プラットフォームの実施形態は、企業資産を保護し、既存のサイバーセキュリティツールと容易に調和させるために、マシン学習テクニックを実装する。
プラットフォームは、余分なハードウェアを必要とせずに、大企業を防御するように拡張(スケール)することができる。
実施形態は、リアルタイムに近いライン速度で実行される。
分析者が、個々のイベントを検査し、より大きいイベントの状況のために、個々のイベントと、統合されたリアルタイムの知能プロバイダーとを関係づけるようにするとともに、サイバー知能プラットフォームは、サイバーセキュリティ管理者が、動的に、分析者の作業負荷と、脅威検出の閾値を調整することができるようにする。
ここでは、ネットワークデータ特性評価および/または分類のシステムと方法の実施形態が、記載される。
実施形態は、コンテンツが悪意のあるものか、疑わしいものか、あるいは、安全/信頼されるものかどうかを含み、受信されたネットワークコンテンツを特性化あるいは分類するために、考慮される。
実施形態は、高機能で開かれたサイバー知能プラットフォームであって、高度な脅威への反応を、自動的に検出し、分析し、促進するサイバー知能プラットフォームを含む。
プラットフォームは、最もきびしいネットワーク環境を取り扱うことができ、大量のデータをふるいにかけることができ、既存のネットワークセキュリティツールが見つけ損なったマルウェアを見つけるために、高精度で、脆弱でなく、回復力のある分析を利用することができる。
プラットフォームの実施形態は、企業資産を保護し、既存のサイバーセキュリティツールと容易に調和させるために、マシン学習テクニックを実装する。
プラットフォームは、余分なハードウェアを必要とせずに、大企業を防御するように拡張(スケール)することができる。
実施形態は、リアルタイムに近いライン速度で実行される。
分析者が、個々のイベントを検査し、より大きいイベントの状況のために、個々のイベントと、統合されたリアルタイムの知能プロバイダーとを関係づけるようにするとともに、サイバー知能プラットフォームは、サイバーセキュリティ管理者が、動的に、分析者の作業負荷と、脅威検出の閾値を調整することができるようにする。
ネットワークデータ特性評価のシステムと方法の実施形態は、非常に小さい待ち時間を持つ単一の2Uサイズの電気器具(アプライアンス)上で、最大10Gbpsまでのラインスピードで、高いマルウェア検出精度を達成するために、新しく先を見越したアプローチを用いる。
実施形態は、単に、署名または他の静的な脅威特性だけに依存してはいない。
むしろ、ここでは、マシン学習と実装された他の高度なテクニックを使用することが、最新で急速に変化する脅威に対して、効果的であることを記載した。
サイバー知能プラットフォームは、ファイル分析の枠組、リアルタイムに近いワークフロー統合のためのストリーミング分析(「サイバー時間」)、リアルタイムの知能相互関係、付加的なコンテンツ処理のためのポスト分析器、および、システム統合のために転送(ルーティング)されるユーザー定義可能なアウトプットイベントを提供する。
実施形態は、他のテクノロジーと協力して動作し、知能供給装置、分析ツール、およびSIEMコンソールと容易に結合(インタフェース)させることによって、知能分析を強化する。
実施形態は、単に、署名または他の静的な脅威特性だけに依存してはいない。
むしろ、ここでは、マシン学習と実装された他の高度なテクニックを使用することが、最新で急速に変化する脅威に対して、効果的であることを記載した。
サイバー知能プラットフォームは、ファイル分析の枠組、リアルタイムに近いワークフロー統合のためのストリーミング分析(「サイバー時間」)、リアルタイムの知能相互関係、付加的なコンテンツ処理のためのポスト分析器、および、システム統合のために転送(ルーティング)されるユーザー定義可能なアウトプットイベントを提供する。
実施形態は、他のテクノロジーと協力して動作し、知能供給装置、分析ツール、およびSIEMコンソールと容易に結合(インタフェース)させることによって、知能分析を強化する。
ネットワークデータ特性評価のシステムと方法の実施形態の新しい技術の可能性は、次のものを含む:
1. ライン速度のファイル分析の枠組、リアルタイムの脅威と知能の供給相互関係、付加的なコンテンツ処理のためのポスト分析器、および、システム統合のために転送(ルーティング)されるユーザー定義可能なアウトプットを持つサイバー知能プラットフォーム;および
2. 分析に基づく革新的なマシン学習を含み、回復力があり、強固で、正確で、高速なマルウェア検出を提供する1組のプラットフォームをホストとする分析。
1. ライン速度のファイル分析の枠組、リアルタイムの脅威と知能の供給相互関係、付加的なコンテンツ処理のためのポスト分析器、および、システム統合のために転送(ルーティング)されるユーザー定義可能なアウトプットを持つサイバー知能プラットフォーム;および
2. 分析に基づく革新的なマシン学習を含み、回復力があり、強固で、正確で、高速なマルウェア検出を提供する1組のプラットフォームをホストとする分析。
図1Aを参照して、ネットワークデータ特性評価システム10の実施形態を示す。
システム10によって提供される特性評価または分類センサー12のソフトウェアアーキテクチャが図示される。
特性評価センサー12では、コレクターサブシステム104は、データエントリ(入力)ポイントであり、インタフェース102を通して、外部ネットワーク14および内部ネットワーク16からネットワークイベントを受信する。
インタフェース102は、さまざまなスピードを持つ種々のネットワークインタフェースのうちのいずれでもよい(例えば、1Gまたは10Gインタフェース)。
ネットワークイベントは、コンテンツ、例えばファイルを含んでもよい。
コレクター104は、供給装置(例えば、SMTP、HTMP、およびFTP供給装置)からのデータを、イベントとコンテンツ(例えばファイル)に、再構成するリアセンブラでもよい。
実施形態において、コレクター104は、コンテンツがスケーラブル(拡張可能)ファイル分析器106に引き出されたイベントに関して、コンテンツとメタデータを提供するために、深いパケット検査フレームワークを利用してもよい。
実施形態において、コレクター104は、コンテンツとメタデータからメッセージを作成し、そのメッセージをスケーラブルファイル分析器(アナライザ)106に転送する。
他の実施形態において、スケーラブルファイル分析器106は、コレクター104から転送されたコンテンツとメタデータから、メッセージを作成する。
実施形態は、グラフィックユーザーインタフェース(GUI)を含み、および/または、マニュアルでのファイルアップロードと分析のためのコマンドライン・インタフェース(CLI)に基づくコレクターと、外部のファイル分析のためのファイルベースのAPIコレクターとを含んでもよい。
システム10によって提供される特性評価または分類センサー12のソフトウェアアーキテクチャが図示される。
特性評価センサー12では、コレクターサブシステム104は、データエントリ(入力)ポイントであり、インタフェース102を通して、外部ネットワーク14および内部ネットワーク16からネットワークイベントを受信する。
インタフェース102は、さまざまなスピードを持つ種々のネットワークインタフェースのうちのいずれでもよい(例えば、1Gまたは10Gインタフェース)。
ネットワークイベントは、コンテンツ、例えばファイルを含んでもよい。
コレクター104は、供給装置(例えば、SMTP、HTMP、およびFTP供給装置)からのデータを、イベントとコンテンツ(例えばファイル)に、再構成するリアセンブラでもよい。
実施形態において、コレクター104は、コンテンツがスケーラブル(拡張可能)ファイル分析器106に引き出されたイベントに関して、コンテンツとメタデータを提供するために、深いパケット検査フレームワークを利用してもよい。
実施形態において、コレクター104は、コンテンツとメタデータからメッセージを作成し、そのメッセージをスケーラブルファイル分析器(アナライザ)106に転送する。
他の実施形態において、スケーラブルファイル分析器106は、コレクター104から転送されたコンテンツとメタデータから、メッセージを作成する。
実施形態は、グラフィックユーザーインタフェース(GUI)を含み、および/または、マニュアルでのファイルアップロードと分析のためのコマンドライン・インタフェース(CLI)に基づくコレクターと、外部のファイル分析のためのファイルベースのAPIコレクターとを含んでもよい。
実施形態において、コレクターサブシステム104は、一組のメモリー間分析器(分析ツール)をホストするファイル分析フレームワーク(スケーラブルファイル分析器106)に供給する。
実施形態において、スケーラブルファイル分析器106は、複数のイベントとファイルの分析器108を含む。
例えば、図示された実装(インプリメンテーション)において、スケーラブルファイル分析器106は、7つのタイプのイベントとファイルの分析器108をホストする。
いくつかの分析器108はイベント分析器であり、いくつかはファイル分析器であり、いくつかはイベントとファイルの両方の分析器と考えられてもよい。
負荷および他の要因に基づき、実施形態は、個々のタイプの1つ以上のイベントおよびファイルの分析器を含んでもよい。
実施形態において、分析器108は、(コレクター104またはスケーラブルファイル分析器106がメッセージを作成するかどうかに依存して)署名基準に基づいて、スケーラブルファイル分析器106に転送されたメッセージを受信し、又は、スケーラブルファイル分析器106によって転送されたメッセージを受信する。
例えば、個々の分析器108は、コンテンツの一定のタイプ(例えば、ファイルの一定のタイプ、一定のタイプのソースから受信したコンテンツの一定のタイプ、または、一定のタイプのネットワークを超えて受信されたコンテンツの一定のタイプ)にだけ署名することができる。
分析器108と、分析器108によって実行される分析は、以下に、詳細に記載される。
実施形態において、スケーラブルファイル分析器106は、複数のイベントとファイルの分析器108を含む。
例えば、図示された実装(インプリメンテーション)において、スケーラブルファイル分析器106は、7つのタイプのイベントとファイルの分析器108をホストする。
いくつかの分析器108はイベント分析器であり、いくつかはファイル分析器であり、いくつかはイベントとファイルの両方の分析器と考えられてもよい。
負荷および他の要因に基づき、実施形態は、個々のタイプの1つ以上のイベントおよびファイルの分析器を含んでもよい。
実施形態において、分析器108は、(コレクター104またはスケーラブルファイル分析器106がメッセージを作成するかどうかに依存して)署名基準に基づいて、スケーラブルファイル分析器106に転送されたメッセージを受信し、又は、スケーラブルファイル分析器106によって転送されたメッセージを受信する。
例えば、個々の分析器108は、コンテンツの一定のタイプ(例えば、ファイルの一定のタイプ、一定のタイプのソースから受信したコンテンツの一定のタイプ、または、一定のタイプのネットワークを超えて受信されたコンテンツの一定のタイプ)にだけ署名することができる。
分析器108と、分析器108によって実行される分析は、以下に、詳細に記載される。
コレクター104からメッセージを受信する時に、スケーラブルファイル分析器106は、どの分析器108が個々のメッセージのコンテンツに署名するかを決定し、署名分析器108に、署名されたコンテンツを有するメッセージを経路制御(ルーティング)するだけである。言いかえれば、メッセージがどのイベントに対するコンテンツを含んでいるか、あるいは、どのファイル分析器108が署名するかに基づいて、メッセージ(コンテンツとメタデータ)は、分析器108に経路制御(ルーティング)される。
例えば、以下に説明されるヘクター分析器などのいくつかの分析器は、PE32s、PDF、MS-DOS実行ファイル、MS Word、PowerPoint、Excel、CDF/MSI、アンドロイドAPK、JAR、ELF、WindowsインストーラXML、ビットマップ、およびGIFファイルを含むコンテンツに、署名することができる。
他の分析器は、このコンテンツのサブセットに、署名できるだけである(例えば、PE32およびMS-DOSファイルだけ)。
スケーラブルファイル分析器106は、メッセージの中のコンテンツが、メッセージ内に含まれているメタデータにより署名されるかどうかを決定できる。
同様に、スケーラブルファイル分析器106は、個々の分析器108の署名を持つファイルまたは他のデータを維持できる。
あるいは、そのようなファイルまたはデータは、分析器108によって維持されて、スケーラブルファイル分析器106によって検査することができる。
複数の分析器108が同じタイプのコンテンツに署名することができるが、一方、いくつかのコンテンツは単一の分析器108によって署名されるだけであることは注目すべきである;その結果、1つ以上の分析器108の署名は、1つ以上の他の分析器108の署名と重複(オーバーラップ)することができる。
例えば、以下に説明されるヘクター分析器などのいくつかの分析器は、PE32s、PDF、MS-DOS実行ファイル、MS Word、PowerPoint、Excel、CDF/MSI、アンドロイドAPK、JAR、ELF、WindowsインストーラXML、ビットマップ、およびGIFファイルを含むコンテンツに、署名することができる。
他の分析器は、このコンテンツのサブセットに、署名できるだけである(例えば、PE32およびMS-DOSファイルだけ)。
スケーラブルファイル分析器106は、メッセージの中のコンテンツが、メッセージ内に含まれているメタデータにより署名されるかどうかを決定できる。
同様に、スケーラブルファイル分析器106は、個々の分析器108の署名を持つファイルまたは他のデータを維持できる。
あるいは、そのようなファイルまたはデータは、分析器108によって維持されて、スケーラブルファイル分析器106によって検査することができる。
複数の分析器108が同じタイプのコンテンツに署名することができるが、一方、いくつかのコンテンツは単一の分析器108によって署名されるだけであることは注目すべきである;その結果、1つ以上の分析器108の署名は、1つ以上の他の分析器108の署名と重複(オーバーラップ)することができる。
図1Aの継続的参照によれば、スケーラブルファイル分析器106から出力された結果は、ディスク110と、データベース112に保存することができる。
たとえば、分析器106は、タグ付けされ分類されたファイルを出力でき、分類された(たとえば、悪意のあるものとして分類されるか、または、設定されたしきい値パーセンテージを超えて悪意のあることの確信度を持って分類された)ファイルは、ディスク110に保存されることができ、一方、分析器106からの分析結果を記述したメタデータは、データベース112に保存されることができる。
分析器106の結果として生じるディスク110は、コンテンツとセッションメタデータの大きなセットにおいて、カスタムフィルタリングをすることを許すGUIビューア114によって見ることができる。
GUIイベントビューア114は、検出閾値の構成(コンフィギュレーション)(例えば、最初から組み込むか、またはユーザ定義される)に基づいてファイルを見出し、以下に詳細に説明されるように、協力的な分析グループのために、アイテムに、UNKNOWN(未知)、TRUSTED(安全)、SUSPICIOUS(疑わしい)、またはMALICIOUS(悪意がある)というタグを付けるように、ワークフローを提供できる分析器108を、ユーザーに通知することができる。
たとえば、分析器106は、タグ付けされ分類されたファイルを出力でき、分類された(たとえば、悪意のあるものとして分類されるか、または、設定されたしきい値パーセンテージを超えて悪意のあることの確信度を持って分類された)ファイルは、ディスク110に保存されることができ、一方、分析器106からの分析結果を記述したメタデータは、データベース112に保存されることができる。
分析器106の結果として生じるディスク110は、コンテンツとセッションメタデータの大きなセットにおいて、カスタムフィルタリングをすることを許すGUIビューア114によって見ることができる。
GUIイベントビューア114は、検出閾値の構成(コンフィギュレーション)(例えば、最初から組み込むか、またはユーザ定義される)に基づいてファイルを見出し、以下に詳細に説明されるように、協力的な分析グループのために、アイテムに、UNKNOWN(未知)、TRUSTED(安全)、SUSPICIOUS(疑わしい)、またはMALICIOUS(悪意がある)というタグを付けるように、ワークフローを提供できる分析器108を、ユーザーに通知することができる。
また、スケーラブルファイル分析器106の結果は、脅威知能供給装置と関連付けられるように構成され、相互運用性と拡張性のためにユーザー定義可能なシステムに出力されるように構成してもよく、あるいは、ワークフローは、付加的な分析のために、ポスト分析器18に、ファイルを転送(ルーティング)できる。
ポスト分析サブシステム116は、ディスク112から、タグ付けされて分類されたファイルを検索し、インタフェース118を通って、ポスト分析器18に出力できる。
インタフェース118は、さまざまなスピードを持つ各種のネットワークインタフェースのうちのいずれでもよい(例えば、1G MGMTインタフェース)。
分析器106からのメタデータ出力は、また、アウトプットサブシステム120により検索されることができ、インタフェース118を通して、セキュリティ情報とイベントの管理(SIEM)ツール19などの他のツールに、外部に出力できる。
オープンなアプローチとテクノロジーは、情報コミュニティの統合に適用できる。
システム10の実施形態は、仕事量によって重み付けられたデータの経路制御(ルーティング)、全体の分析ステータス、流行しているファイル、ホスト、およびヒットのスナップショットを示すダッシュボードも提供する。
ポスト分析サブシステム116は、ディスク112から、タグ付けされて分類されたファイルを検索し、インタフェース118を通って、ポスト分析器18に出力できる。
インタフェース118は、さまざまなスピードを持つ各種のネットワークインタフェースのうちのいずれでもよい(例えば、1G MGMTインタフェース)。
分析器106からのメタデータ出力は、また、アウトプットサブシステム120により検索されることができ、インタフェース118を通して、セキュリティ情報とイベントの管理(SIEM)ツール19などの他のツールに、外部に出力できる。
オープンなアプローチとテクノロジーは、情報コミュニティの統合に適用できる。
システム10の実施形態は、仕事量によって重み付けられたデータの経路制御(ルーティング)、全体の分析ステータス、流行しているファイル、ホスト、およびヒットのスナップショットを示すダッシュボードも提供する。
分析的なアプローチまたは実施形態は、次のことをすることである:
1. アナリストが好むツールを利用し(防止しないか、または再実行しない)、より早い識別とメタ分析的な認知のために、ネットワークゲートウェイで、それらが、協力的に動作できるようにすること。
2. 回復力があり、正確で、高速なマルウェア検出を提供することによって、現在の能力が賞賛されるように、いままでにない新しい分析を配信すること。
1. アナリストが好むツールを利用し(防止しないか、または再実行しない)、より早い識別とメタ分析的な認知のために、ネットワークゲートウェイで、それらが、協力的に動作できるようにすること。
2. 回復力があり、正確で、高速なマルウェア検出を提供することによって、現在の能力が賞賛されるように、いままでにない新しい分析を配信すること。
図1Aの継続的参照によれば、ネットワークデータ特性評価のためのシステム10の実施形態は、7つのユーザー設定可能な分析器108をホストする。
以下の表1は、システム10の実施形態においてホストされた分析器108のリストを提供している。
以下の表1は、システム10の実施形態においてホストされた分析器108のリストを提供している。
Hector ヘクター : 以前に非可視であったマルウェアの検出のための分析器に基づいて学習する高度に構成(コンフィギュレーション)可能なマシン
hURI : 疑わしいURL特性評価に対するマシン学習アプローチ
ClamAV : マルウェア検出のための署名に基づく分析器
Extractor : 暗号化されたアーカイブファイルのためのパスワードクラッカー分析器
PEScanner : PE32とMS-DOSのためのポータブルな実行可能分析器
YARA : マルウェア検出のためのルールに基づくパターンマッチング分析器
Intel Lookup インテルルックアップ : 署名されたプロセスのためのインテル相関分析器
ヘクター(Hector)は、以前に非可視であったマルウェアを検出する高度に構成(コンフィギュレーション)可能なマシン学習予言テクニックを利用する予言的でマシン学習する私有の分析器であり、コンテンツが悪意に満ちている可能性を示すパーセンテージ(すなわち、ファイルが悪意に満ちているという確信度を示している確信度パーセンテージ)を用いて、マルウェアを検出し、コンテンツを分類するかまたは特徴付けるために、特徴ベースの分析と特性評価を利用する。
ヘクターの実施形態と、ヘクターの実施形態によって使われたプロセスは、「自動化されたマシン学習、ゼロデイマルウェア検出のための改善されたシステムおよび方法」という表題の出願中の米国特許出願番号14/038,682において、説明されており、従って、それは参照することにより、そっくりそのまま組み入れられる。
ヘクター分析器の実施形態は、特徴ベースのアルゴリズムを使うか、またはファイルから引き出された特徴の比較に基づいて、ファイルが悪意に満ちているかの確信度パーセンテージを出力して、コンテンツが悪意のあるものかどうかを決定するためのプロセスを使うことができ、既知の悪意のあるファイルおよび既知の安全なファイルの特徴から造られた分類器を使うことができる。
実施形態は、また、たとえば、URLを、疑わしい、きれい、あるいは汚いに分類するための高度に構成(コンフィギュレーション)可能なマシン学習テクニックを利用するhURIの私有の分析器をホストしてもよい。
hURIセンサーは、ドメイン名の意味解析に基づいて、URLを分類できる。
ヘクターの実施形態と、ヘクターの実施形態によって使われたプロセスは、「自動化されたマシン学習、ゼロデイマルウェア検出のための改善されたシステムおよび方法」という表題の出願中の米国特許出願番号14/038,682において、説明されており、従って、それは参照することにより、そっくりそのまま組み入れられる。
ヘクター分析器の実施形態は、特徴ベースのアルゴリズムを使うか、またはファイルから引き出された特徴の比較に基づいて、ファイルが悪意に満ちているかの確信度パーセンテージを出力して、コンテンツが悪意のあるものかどうかを決定するためのプロセスを使うことができ、既知の悪意のあるファイルおよび既知の安全なファイルの特徴から造られた分類器を使うことができる。
実施形態は、また、たとえば、URLを、疑わしい、きれい、あるいは汚いに分類するための高度に構成(コンフィギュレーション)可能なマシン学習テクニックを利用するhURIの私有の分析器をホストしてもよい。
hURIセンサーは、ドメイン名の意味解析に基づいて、URLを分類できる。
実施形態は、ネットワークデータ特性評価のためのサードパーティまたはオープンソースツールを、ホストしてもよい。
たとえば、システム10の実施形態は、ClamAVなどのマルウェア検出のための署名ベースの分析器をホストしてもよい。システム10の実施形態は、抽出器(Extractor)などの暗号化されたアーカイブファイル分析と特性評価のためのパスワードクラッカー分析器をホストしてもよい。
システム10の実施形態は、PEScannerなどのPE32とMS-DOS実行ファイルの分析と特性評価のためのポータブルな実行可能分析器をホストしてもよい。
システム10の実施形態は、YARAなどのマルウェア検出と特性評価のためのルールベースのパターンマッチング分析器をホストしてもよい。
同様に、システム10の実施形態は、インテルルックアップ(Intel Lookup)などの署名されたプロセスのためのインテル相関分析器をホストしてもよい。
これらおよび他の分析器は、システム10の実施形態によってホストしてもよい。
たとえば、システム10の実施形態は、ClamAVなどのマルウェア検出のための署名ベースの分析器をホストしてもよい。システム10の実施形態は、抽出器(Extractor)などの暗号化されたアーカイブファイル分析と特性評価のためのパスワードクラッカー分析器をホストしてもよい。
システム10の実施形態は、PEScannerなどのPE32とMS-DOS実行ファイルの分析と特性評価のためのポータブルな実行可能分析器をホストしてもよい。
システム10の実施形態は、YARAなどのマルウェア検出と特性評価のためのルールベースのパターンマッチング分析器をホストしてもよい。
同様に、システム10の実施形態は、インテルルックアップ(Intel Lookup)などの署名されたプロセスのためのインテル相関分析器をホストしてもよい。
これらおよび他の分析器は、システム10の実施形態によってホストしてもよい。
マシン学習:自動化された検索(サーチ)と発見
図1Aと表1の継続的参照によれば、ヘクターとhURIにより使われるようなマシン学習は、様々なオブジェクト例への露出を介して、異なるタイプまたはクラスのオブジェクトを区別するために、コンピュータを訓練するのに使われ、顔の認識、音声認識、画像処理などの多くの分野で、うまく適用されている。
重要なステップは、クラスの違いを学習するのに使われるオブジェクト特徴の選択である。
学習プロセスの結果は、分類器(classifier)と呼ばれる。
分類器は、コンピュータが前に一度も見たことがなく、従って同様なタイプのオブジェクトをサーチするために使用できるオブジェクトのクラスを、コンピュータが予測できるようにする。
マシン学習アルゴリズムの自動化によって、全体のオブジェクトスペースを調査するのに必要な時間を大きく削減する。
図1Aと表1の継続的参照によれば、ヘクターとhURIにより使われるようなマシン学習は、様々なオブジェクト例への露出を介して、異なるタイプまたはクラスのオブジェクトを区別するために、コンピュータを訓練するのに使われ、顔の認識、音声認識、画像処理などの多くの分野で、うまく適用されている。
重要なステップは、クラスの違いを学習するのに使われるオブジェクト特徴の選択である。
学習プロセスの結果は、分類器(classifier)と呼ばれる。
分類器は、コンピュータが前に一度も見たことがなく、従って同様なタイプのオブジェクトをサーチするために使用できるオブジェクトのクラスを、コンピュータが予測できるようにする。
マシン学習アルゴリズムの自動化によって、全体のオブジェクトスペースを調査するのに必要な時間を大きく削減する。
例えば、ネットワークデータ特性評価のシステムと方法の実施形態において使われたヘクターの実施形態において、マシン学習は、マルウェアを安全なソフトウェアと区別するために、特徴の複雑な組み合わせに基づいて、ソフトウェア分類器を造るように適用され、大量のトラフィックをサーチするように適用される。
ネットワークデータ特性評価のシステムと方法の実施形態は、ネットワークトラフィックを検査し、人間の分析者は、起こる可能性の高いイベントを検査することに傾注する。
このアプローチは、署名とサンドボックスに基づくアプローチとは違った利点を持ってる。第一に、ヘクターにおいて、ここで記載された実施形態によって利用されたアプローチは、すべてのもの、すなわち、全部のまたは事実上全部のネットワークトラフィックが検査できるように、非常に高いトラフィック量にまで、拡張される。
前置フィルタまたは上流間引きの他の形態は、必要ではない。第二に、署名あるいは行動と違って、ヘクター分類器は、変化するマルウェアと戦術に対して、回復力がある。
脅威が変化した何年も後でも、分類器が脅威を発見できることは示された。
このことは、検出の可能性と精度を増大させる。
ヘクターの実施形態は、以下のファイルのタイプの分析を支援する:PE32s、PDF、MS-DOS実行ファイル、MS Word、PowerPoint、Excel、CDF/MSI、アンドロイドAPK、JAR、ELF、WindowsインストーラXML、ビットマップ、およびGIF。
ネットワークデータ特性評価のシステムと方法の実施形態は、ネットワークトラフィックを検査し、人間の分析者は、起こる可能性の高いイベントを検査することに傾注する。
このアプローチは、署名とサンドボックスに基づくアプローチとは違った利点を持ってる。第一に、ヘクターにおいて、ここで記載された実施形態によって利用されたアプローチは、すべてのもの、すなわち、全部のまたは事実上全部のネットワークトラフィックが検査できるように、非常に高いトラフィック量にまで、拡張される。
前置フィルタまたは上流間引きの他の形態は、必要ではない。第二に、署名あるいは行動と違って、ヘクター分類器は、変化するマルウェアと戦術に対して、回復力がある。
脅威が変化した何年も後でも、分類器が脅威を発見できることは示された。
このことは、検出の可能性と精度を増大させる。
ヘクターの実施形態は、以下のファイルのタイプの分析を支援する:PE32s、PDF、MS-DOS実行ファイル、MS Word、PowerPoint、Excel、CDF/MSI、アンドロイドAPK、JAR、ELF、WindowsインストーラXML、ビットマップ、およびGIF。
競争相手のマルウェア検出ツールは、以前に検出されたマルウェアを示す情報に依存していることに注目すべきである。
これらのツールは、ファイルが、以前に検出されたマルウェアであるかどうかを示すハッシュ(hash)を作成し、アップデートする。
このパラダイム(枠組)についての問題は、それが、マルウェア検出ツールに報告されているマルウェアの以前の検出に依存していることである。
従って、マルウェアが検出されて検出ツールに含められる前に、数日、数週、数ヶ月かかるかもしれない。
また、そのようなツールは、それらのハッシュとマッチするファイルを分析するだけであり、以前に検出されなかったマルウェアを、必ず、通過させる。
ヘクターと他のマシン学習テクニックを利用するここに記載された実施形態は、ハッシュを気にすることなく、ほとんどリアルタイムで、マルウェアを検出する。
ここに記載された実施形態は、ハッシュとマッチするファイルだけでなく、受信したすべてのファイルも分析する。
さらに、実施形態は、受信したすべてのファイル、現在のサンドボックスツールで実用的に処置できないものでも分析できる。
これらのツールは、ファイルが、以前に検出されたマルウェアであるかどうかを示すハッシュ(hash)を作成し、アップデートする。
このパラダイム(枠組)についての問題は、それが、マルウェア検出ツールに報告されているマルウェアの以前の検出に依存していることである。
従って、マルウェアが検出されて検出ツールに含められる前に、数日、数週、数ヶ月かかるかもしれない。
また、そのようなツールは、それらのハッシュとマッチするファイルを分析するだけであり、以前に検出されなかったマルウェアを、必ず、通過させる。
ヘクターと他のマシン学習テクニックを利用するここに記載された実施形態は、ハッシュを気にすることなく、ほとんどリアルタイムで、マルウェアを検出する。
ここに記載された実施形態は、ハッシュとマッチするファイルだけでなく、受信したすべてのファイルも分析する。
さらに、実施形態は、受信したすべてのファイル、現在のサンドボックスツールで実用的に処置できないものでも分析できる。
図1Aの継続的参照によれば、特性評価センサー12は、単一のコンテナ物理的器具(アプライアンス)として実装できる(すなわち、1つのボックス)。特性評価センサー12は、256GBメモリーを持つ2U x86-ベースの器具(アプライアンス)として実装できる。
実施形態において、特性評価センサー12は、2つの1Gbps RJ45管理ネットワークインタフェースカード(NICs)と、2つから6つの10Gbps SFP+ハイエンドデータ処理NICsを持っている。
特性評価センサー12は、強化されたCentOS上で動作させることができ、暗号化されたおよび署名されたRPMsを使って管理される。
特性評価センサーは、複数のx86-ベースの器具、他のプロセッサベースの器具、例えば、ブレードがあるサーバのスタック上に実装できる。
実施形態において、特性評価センサー12は、2つの1Gbps RJ45管理ネットワークインタフェースカード(NICs)と、2つから6つの10Gbps SFP+ハイエンドデータ処理NICsを持っている。
特性評価センサー12は、強化されたCentOS上で動作させることができ、暗号化されたおよび署名されたRPMsを使って管理される。
特性評価センサーは、複数のx86-ベースの器具、他のプロセッサベースの器具、例えば、ブレードがあるサーバのスタック上に実装できる。
相互運用性:ここで記載された実施形態の相互運用性は、オープンな標準ベースのインタフェースを通して提供できる。
例えば、実施形態は、RESTful APIサービスを提供し、syslog、共通イベントフォーマット(CEF)、JSON、XML、および他の標準で、データを露呈させる。
実施形態は、インジケータ情報の信頼され自動化されたeXchange(Trusted Automated eXchange of Indicator Information TAXII)と、他の構造化処理情報交換(Structured Treat Information Exchange STIX)標準の消費を、実装する。
抽出されたファイルは、より広い分析エコシステムで、相互運用するために公開できる。
例えば、実施形態は、RESTful APIサービスを提供し、syslog、共通イベントフォーマット(CEF)、JSON、XML、および他の標準で、データを露呈させる。
実施形態は、インジケータ情報の信頼され自動化されたeXchange(Trusted Automated eXchange of Indicator Information TAXII)と、他の構造化処理情報交換(Structured Treat Information Exchange STIX)標準の消費を、実装する。
抽出されたファイルは、より広い分析エコシステムで、相互運用するために公開できる。
拡張性(スケーラビリティ):実施形態は、標準の負荷平衡化テクニックによって、10Gbpsデータ転送速度よりも高く拡張(スケール)できる。
マシン学習アプローチに必要な処理を縮小させるために、サンドボックスベースのアプローチを拡張するよりもずっと少ないハードウェアが必要である。
次に、図1Bの参照によって、ネットワークデータ特性評価のシステム10の別の実施形態が示される。
図示されるように、システム10の実施形態は、特性評価センサー12がピアツーピアメッシュ(peer-to-peer mesh)に配置される複数の特性評価センサー12を含む管理へのデータグリッド(data grid)アプローチを実装できる。
図示されたデータグリッドにおいて、個々の特性評価センサー12は、頑強でトランザクション(transactional)の方式で、不揮発性の状態を共有し、それによって、中心的な管理者を取り除き、データと構成(コンフィギュレーション)の冗長性を提供し、全体の管理とアーキテクチャを簡素化する。
この方法では、多数の特性評価センサー12は、データグリッドと呼ばれるピアツーピアメッシュで、お互いに接続され、各特性評価センサー12は、他のセンサー12に対し、回復力と冗長性を提供する。
そのような配置において、特性評価センサー12は、ディスク110とデータベース112を共有できる。
あるいは、個々の特性評価センサー12は、内部のディスク110とデータベース112の二重の保存場所を、内部的に維持できる(図1Bに図示しない)。
この方法では、特性評価センサー12の小型のクラウドが、もし1つの特性評価センサー12が、オフライン動作である場合に、冗長な設定とデータを持つ他の特性評価センサー12に基づいて置き換えられるように、実装される。
マシン学習アプローチに必要な処理を縮小させるために、サンドボックスベースのアプローチを拡張するよりもずっと少ないハードウェアが必要である。
次に、図1Bの参照によって、ネットワークデータ特性評価のシステム10の別の実施形態が示される。
図示されるように、システム10の実施形態は、特性評価センサー12がピアツーピアメッシュ(peer-to-peer mesh)に配置される複数の特性評価センサー12を含む管理へのデータグリッド(data grid)アプローチを実装できる。
図示されたデータグリッドにおいて、個々の特性評価センサー12は、頑強でトランザクション(transactional)の方式で、不揮発性の状態を共有し、それによって、中心的な管理者を取り除き、データと構成(コンフィギュレーション)の冗長性を提供し、全体の管理とアーキテクチャを簡素化する。
この方法では、多数の特性評価センサー12は、データグリッドと呼ばれるピアツーピアメッシュで、お互いに接続され、各特性評価センサー12は、他のセンサー12に対し、回復力と冗長性を提供する。
そのような配置において、特性評価センサー12は、ディスク110とデータベース112を共有できる。
あるいは、個々の特性評価センサー12は、内部のディスク110とデータベース112の二重の保存場所を、内部的に維持できる(図1Bに図示しない)。
この方法では、特性評価センサー12の小型のクラウドが、もし1つの特性評価センサー12が、オフライン動作である場合に、冗長な設定とデータを持つ他の特性評価センサー12に基づいて置き換えられるように、実装される。
性能:実施形態は、1および10Gbpsネットワークリンクで、動作するように設計される。
実施形態は、多様なプロトコルと、高速ゲートウェイリンク上の多量のウェブトラフィックとを、メモリー内分析するために、造られることを目的としてもよい。
このことは、1秒あたり最高1000のオブジェクトの収集と、ウェブとEメールプロトコルのための企業ゲートウェイの典型的な量のトラフィックとを可能にする。
実施形態は、多様なプロトコルと、高速ゲートウェイリンク上の多量のウェブトラフィックとを、メモリー内分析するために、造られることを目的としてもよい。
このことは、1秒あたり最高1000のオブジェクトの収集と、ウェブとEメールプロトコルのための企業ゲートウェイの典型的な量のトラフィックとを可能にする。
セキュリティ:実施形態は、ハードディスク暗号化を支援する信頼されたプラットフォームモジュール(trusted platform module TPM)をてこ入れした強化されたCentOSプラットフォーム上で、暗号化されたRPMパッケージマネジャー(RPMs)として、管理してもよい。
次に、図2の参照によって、ネットワークデータ特性評価の方法20の実施形態が示される。
方法20は、ここに記載されたように、例えば図1A-1Bを参照して、特性評価センサーを含むシステムによって実装してもよい。
方法20は、ネットワークデータを受信する(ブロック202)。
上記に記載されたように、特性評価センサー12は、外部ネットワーク14および/または内部ネットワーク16と接続するインタフェースを通して、ネットワークデータ(例えばイベント)を受信することができる。
データコレクターは、データ供給装置として、例えばSMTP、HTTP、およびFTP供給装置として、ネットワークデータを受信することができる。
データコレクターは、受信されたネットワークデータから、イベントとコンテンツをアセンブルすることができる(ブロック204)。
上記で言及したように、イベントはコンテンツを含んでもよい(例えばファイル)。さらに、実施形態は、たとえば、マニュアルでのファイルアップロードのためのGUI/CLI-ベースのコレクターか、あるいは、ファイルベースのAPIコレクターによって、コンテンツ(例えばファイル)のアップロードを許すものであってもよい(ブロック206)。
イベントとコンテンツは、データメッセージに変換される(ブロック208)。
メッセージは、その中に含まれているイベントとコンテンツを特定するメタデータを含んでもよい。
メッセージは、個々の分析器の1つ以上の署名に基づいて、特性評価センサー12の中の複数の分析器のうちの1つ以上に転送(ルーティング)される、ブロック210。
分析器の署名は、特定のメッセージ基準によって定義されてもよい。
もし与えられたメッセージが、分析器の署名の特定のメッセージ基準を満たしている場合、例えば、特定の基準を、メッセージに含まれているメタデータと比較することによって、メッセージが決定される場合、そのメッセージは分析器に転送(ルーティング)される。
上記で言及したように、個々の分析器は、メッセージの1以上のタイプに署名することができ、方法20の実施形態では、多数の分析器が、同じタイプのメッセージに署名することができる。
方法20は、ここに記載されたように、例えば図1A-1Bを参照して、特性評価センサーを含むシステムによって実装してもよい。
方法20は、ネットワークデータを受信する(ブロック202)。
上記に記載されたように、特性評価センサー12は、外部ネットワーク14および/または内部ネットワーク16と接続するインタフェースを通して、ネットワークデータ(例えばイベント)を受信することができる。
データコレクターは、データ供給装置として、例えばSMTP、HTTP、およびFTP供給装置として、ネットワークデータを受信することができる。
データコレクターは、受信されたネットワークデータから、イベントとコンテンツをアセンブルすることができる(ブロック204)。
上記で言及したように、イベントはコンテンツを含んでもよい(例えばファイル)。さらに、実施形態は、たとえば、マニュアルでのファイルアップロードのためのGUI/CLI-ベースのコレクターか、あるいは、ファイルベースのAPIコレクターによって、コンテンツ(例えばファイル)のアップロードを許すものであってもよい(ブロック206)。
イベントとコンテンツは、データメッセージに変換される(ブロック208)。
メッセージは、その中に含まれているイベントとコンテンツを特定するメタデータを含んでもよい。
メッセージは、個々の分析器の1つ以上の署名に基づいて、特性評価センサー12の中の複数の分析器のうちの1つ以上に転送(ルーティング)される、ブロック210。
分析器の署名は、特定のメッセージ基準によって定義されてもよい。
もし与えられたメッセージが、分析器の署名の特定のメッセージ基準を満たしている場合、例えば、特定の基準を、メッセージに含まれているメタデータと比較することによって、メッセージが決定される場合、そのメッセージは分析器に転送(ルーティング)される。
上記で言及したように、個々の分析器は、メッセージの1以上のタイプに署名することができ、方法20の実施形態では、多数の分析器が、同じタイプのメッセージに署名することができる。
また、メッセージを転送(ルーティング)すること(210)は、時間と負荷を処理して
、資源割り当てに基づくものとすることができる。
例えば、実施形態は、以下に記載されるように、ピアツーピアグリッドの複数の特性評価センサー12を構成してもよい。
そのようなものとして、転送(ルーティング、210)は、与えられた特性評価センサーの
現在の負荷を考慮してもよく、処理される負荷をよりよく平衡させるために、メッセージを、異なる特性評価センサーに、転送(ルーティング)してもよい210。
、資源割り当てに基づくものとすることができる。
例えば、実施形態は、以下に記載されるように、ピアツーピアグリッドの複数の特性評価センサー12を構成してもよい。
そのようなものとして、転送(ルーティング、210)は、与えられた特性評価センサーの
現在の負荷を考慮してもよく、処理される負荷をよりよく平衡させるために、メッセージを、異なる特性評価センサーに、転送(ルーティング)してもよい210。
分析器が、署名され転送(ルーティング)されたデータメッセージを受信するとき、分析器は、特定の分析アルゴリズムとテクニックによって、データメッセージ内に含まれているコンテンツを分析し、その分析に基づいて、特性評価の結果を生成する(ブロック212)。
特性評価の結果は、分析と、特性評価の結果と、分析されたコンテンツ(例えばファイル)とを記述しているメタデータを含んでもよい。
分析されたファイルは、例えば、メタデータおよび、ファイルが悪意のあるものか、ファイルが安全であるか、または、ファイルが悪意のあることの可能性を示しているパーセンテージの表示で、タグ付けしてもよい。
上記で言及したように、実施形態は、専有の分析器、サードパーティの分析器、および/またはオープンソース分析器を含む複数の分析器を含む。
実施形態は、上記に記載したように、ヘクターやhURIなどのマシン学習分析器を含む。
複数の分析器の特性評価の結果は、収集され、結合され、システムGUIでの視覚化、また
は基準と閾値に基づく他のその後の行動のために、例えばスケーラブルファイル分析器から出力することができる(ブロック214)。
特性評価の結果は、例えば、フラグまたは、分析器が、ファイルが悪意のあるものであると考えるか、またはファイルが悪意のあるものである可能性のパーセンテージを考慮した他の表示を含むことができる。
出力すること(214)は、特性評価メタデータをデータベースに保存することと、分類されたファイルをディスクスペースに保存することを含んでもよい。
出力すること(214)は、結合された特性評価の結果が、ユーザーに有益な方法で(例えばここで説明されたGUIを通じて)、提供されるように、特性評価データの結果の付加的な処理を含んでもよい。
特性評価の結果は、分析と、特性評価の結果と、分析されたコンテンツ(例えばファイル)とを記述しているメタデータを含んでもよい。
分析されたファイルは、例えば、メタデータおよび、ファイルが悪意のあるものか、ファイルが安全であるか、または、ファイルが悪意のあることの可能性を示しているパーセンテージの表示で、タグ付けしてもよい。
上記で言及したように、実施形態は、専有の分析器、サードパーティの分析器、および/またはオープンソース分析器を含む複数の分析器を含む。
実施形態は、上記に記載したように、ヘクターやhURIなどのマシン学習分析器を含む。
複数の分析器の特性評価の結果は、収集され、結合され、システムGUIでの視覚化、また
は基準と閾値に基づく他のその後の行動のために、例えばスケーラブルファイル分析器から出力することができる(ブロック214)。
特性評価の結果は、例えば、フラグまたは、分析器が、ファイルが悪意のあるものであると考えるか、またはファイルが悪意のあるものである可能性のパーセンテージを考慮した他の表示を含むことができる。
出力すること(214)は、特性評価メタデータをデータベースに保存することと、分類されたファイルをディスクスペースに保存することを含んでもよい。
出力すること(214)は、結合された特性評価の結果が、ユーザーに有益な方法で(例えばここで説明されたGUIを通じて)、提供されるように、特性評価データの結果の付加的な処理を含んでもよい。
図2の継続的参照によれば、特性評価の結果は、基準および閾値と比較できる(ブロック216)。
基準および閾値は、企業の必要性と要求に基づいて、またはシステムの他のユーザーに基づいて、修正され、設定してもよい。
基準は、もし満たしていたら、採るべきその後の行動を指令することができ、一方、閾値は、分析されたコンテンツが悪意があるとみなすべき閾値を満たすかどうかを指令することができる。
例えば、もし、特性評価の結果が、ヘクターがファイルを65パーセント(65%)程度悪意があるものとみなし、企業ユーザーが閾値として50パーセント(50%)を設定しファイルを悪意があるものとしてフラグを付ける基準を設定すること、企業により一層のレビュー結果リストを含めるためにファイルにフラグを付けること、システムのGUI視覚化にファイルを含めること、より一層の行動を指示することなどを示している場合には、そのとき、システムは、表示された行動を取る。
その結果、方法20は、視覚化され、および/または、比較(216)に基づいて、他の行動を取る(ブロック218)。
基準および閾値は、企業の必要性と要求に基づいて、またはシステムの他のユーザーに基づいて、修正され、設定してもよい。
基準は、もし満たしていたら、採るべきその後の行動を指令することができ、一方、閾値は、分析されたコンテンツが悪意があるとみなすべき閾値を満たすかどうかを指令することができる。
例えば、もし、特性評価の結果が、ヘクターがファイルを65パーセント(65%)程度悪意があるものとみなし、企業ユーザーが閾値として50パーセント(50%)を設定しファイルを悪意があるものとしてフラグを付ける基準を設定すること、企業により一層のレビュー結果リストを含めるためにファイルにフラグを付けること、システムのGUI視覚化にファイルを含めること、より一層の行動を指示することなどを示している場合には、そのとき、システムは、表示された行動を取る。
その結果、方法20は、視覚化され、および/または、比較(216)に基づいて、他の行動を取る(ブロック218)。
言及したように、視覚化のための基準と閾値は、調整できる。
すなわち、基準と閾値は、ユーザーによって、修正されて、設定できる。
特性評価センサーの実施形態において、基準と閾値は、例えば企業または他のユーザーのセキュリティ感度の理解に基づいて、既定値レベル(default level)に設定してもよい。
例えば、企業に不利なリスクがますます増加するのであれば、ファイルを、悪意があるものとして、フラグ付けし、リスト化し、視覚化するように、閾値をより低く設定すればよい。
企業および他のユーザーは、それらの初期の設定またはその後の設定の結果に基づいて、これらの設定を適合させるか、または調整できる。
例えば、効果的なその後のレビューのために、非常に多くのファイルが、フラグ付けされ、視覚化された場合、そのようなフラグ付けと視覚化のための基準と閾値は、高くすればよい。
その結果、方法20は、ユーザーが、基準および/または閾値に、変化を設定しているかどうかを決定できる(ブロック220)。
もし変化が設定されるならば、方法20は、基準および/または閾値への変化を受け入れ(ブロック222)、これらの変化を処理する(ブロック224)。
処理224は、変化を引き起こし、システムに、特性評価の結果を、基準および閾値と再度比較させ(216)、その再比較に基づいて、視覚化、および/または、他の行動を取らせるようにすることができる(218)。
もし、基準および/または閾値に変化が起こらなければ、上記に記載したように、方法20は、ネットワークデータを受信し(202)、特性評価または分類を継続しつづける。
すなわち、基準と閾値は、ユーザーによって、修正されて、設定できる。
特性評価センサーの実施形態において、基準と閾値は、例えば企業または他のユーザーのセキュリティ感度の理解に基づいて、既定値レベル(default level)に設定してもよい。
例えば、企業に不利なリスクがますます増加するのであれば、ファイルを、悪意があるものとして、フラグ付けし、リスト化し、視覚化するように、閾値をより低く設定すればよい。
企業および他のユーザーは、それらの初期の設定またはその後の設定の結果に基づいて、これらの設定を適合させるか、または調整できる。
例えば、効果的なその後のレビューのために、非常に多くのファイルが、フラグ付けされ、視覚化された場合、そのようなフラグ付けと視覚化のための基準と閾値は、高くすればよい。
その結果、方法20は、ユーザーが、基準および/または閾値に、変化を設定しているかどうかを決定できる(ブロック220)。
もし変化が設定されるならば、方法20は、基準および/または閾値への変化を受け入れ(ブロック222)、これらの変化を処理する(ブロック224)。
処理224は、変化を引き起こし、システムに、特性評価の結果を、基準および閾値と再度比較させ(216)、その再比較に基づいて、視覚化、および/または、他の行動を取らせるようにすることができる(218)。
もし、基準および/または閾値に変化が起こらなければ、上記に記載したように、方法20は、ネットワークデータを受信し(202)、特性評価または分類を継続しつづける。
次に、図3の参照によって、ネットワークデータ特性評価の方法30の実施形態が、どのように特性評価の結果を処理するかを、もっと詳しく説明したプロセスを示す。
示されたプロセスは、どのように、方法30の実施形態が、特性評価の結果を、基準および閾値と比較し(例えばブロック216を参照)、視覚化し、および/または、比較に基づいて他の行動を取ることができるかを示す(例えばブロック218を参照)。
方法30は、分析器から(例えば、スケーラブルファイル分析器から)、特性評価の結果を受信することができる(ブロック302)。現在の基準と閾値の設定が、検索される(ブロック304)。
方法30は、例えば、特性評価の結果のメタデータと、基準および/または閾値を比較することによって、どの基準と閾値が満たされているかを、決定する(ブロック306)。
方法30は、その後、決定306に基づいて、各種の行動のうちのいずれか1つ以上の行動を取ることができる(ブロック308)。
図 3は、実施形態が取ることのできる行動の例を記載している(308)。
より一層の分析が、外部の分析器により実施できることに注目せよ。
示されたプロセスは、どのように、方法30の実施形態が、特性評価の結果を、基準および閾値と比較し(例えばブロック216を参照)、視覚化し、および/または、比較に基づいて他の行動を取ることができるかを示す(例えばブロック218を参照)。
方法30は、分析器から(例えば、スケーラブルファイル分析器から)、特性評価の結果を受信することができる(ブロック302)。現在の基準と閾値の設定が、検索される(ブロック304)。
方法30は、例えば、特性評価の結果のメタデータと、基準および/または閾値を比較することによって、どの基準と閾値が満たされているかを、決定する(ブロック306)。
方法30は、その後、決定306に基づいて、各種の行動のうちのいずれか1つ以上の行動を取ることができる(ブロック308)。
図 3は、実施形態が取ることのできる行動の例を記載している(308)。
より一層の分析が、外部の分析器により実施できることに注目せよ。
次に、図4Aと図 4Bの参照によって、ネットワークデータの特性評価のためのシステムと方法の実施形態によって、生成された特性評価の結果の視覚化を描写しているダッシュボード視覚化GUI40のスクリーンショット(画面コピー)が示される。
図4Aに示すように、ダッシュボード視覚化GUI40は、一定の期間(たとえば、直前の1時間)内に受信されたイベントの特性評価のステータスの表示を提供できる。
例えば、特性評価ステータスとは、未知、信頼、悪意、疑わしい、あるいは、さらにレビュー必要とのことである。
ダッシュボード視覚化GUI40は、一定の期間(たとえば、直前の1時間)内のファイルデータフローの描写も含んでもよい。
ファイルデータフローは、例えばHTTP、SMTP、FTP、CLI注入ファイル、およびGUIアップロードファイルのある期間内に受信したファイルソースタイプの量を図示している。
フローでは、受信されたコンテンツと、署名され受信され個々の分析器により分析されたファイルの量を分析した分析器も図示している。
ダッシュボード視覚化GUI40は、様々な分析器によって、悪意のあるもの、あるいは、悪意がありそうなもの(例えば、フラグがつけられた)として、分類された分析ファイルの量も、図示している。
図4Aに示すように、ダッシュボード視覚化GUI40は、一定の期間(たとえば、直前の1時間)内に受信されたイベントの特性評価のステータスの表示を提供できる。
例えば、特性評価ステータスとは、未知、信頼、悪意、疑わしい、あるいは、さらにレビュー必要とのことである。
ダッシュボード視覚化GUI40は、一定の期間(たとえば、直前の1時間)内のファイルデータフローの描写も含んでもよい。
ファイルデータフローは、例えばHTTP、SMTP、FTP、CLI注入ファイル、およびGUIアップロードファイルのある期間内に受信したファイルソースタイプの量を図示している。
フローでは、受信されたコンテンツと、署名され受信され個々の分析器により分析されたファイルの量を分析した分析器も図示している。
ダッシュボード視覚化GUI40は、様々な分析器によって、悪意のあるもの、あるいは、悪意がありそうなもの(例えば、フラグがつけられた)として、分類された分析ファイルの量も、図示している。
次に、図4Bの参照によって、ダッシュボードGUI40は、一定の期間内に、悪意のあるもの、あるいは、悪意がありそうなもの(例えば、フラグがつけられた)と考えられるファイルの数を、ファイルのタイプによって、図示している。
さらに、ダッシュボードGUI40は、一定の期間内に、悪意のあるイベント、あるいは、悪意がありそうなイベントのソース(ここでは、ホストとして参照される)のランク付けされたリスト(例えば、疑わしいホスト)を提供している。
ランク付けされたリストは、ホストまたはソースから受信された悪意のあるイベント、あるいは、悪意がありそうなイベントの数によってランク付けされる。
さらに、ダッシュボードGUI40は、分析器(例えば、Yara、ClamAV、ヘクターなど)またはすべての分析器によって、悪意のあるもの、あるいは、悪意がありそうなものとしてフラグが付けられたファイルのランク付けされたリストなどの他のランク付けされたリストを提供してもよい。
特性評価の結果と、ダッシュボードGUIに描かれた他のデータは、上記のように設定された基準と閾値によって決定され、企業または他のユーザーによって構成することが可能である。
さらに、ダッシュボードGUI40は、一定の期間内に、悪意のあるイベント、あるいは、悪意がありそうなイベントのソース(ここでは、ホストとして参照される)のランク付けされたリスト(例えば、疑わしいホスト)を提供している。
ランク付けされたリストは、ホストまたはソースから受信された悪意のあるイベント、あるいは、悪意がありそうなイベントの数によってランク付けされる。
さらに、ダッシュボードGUI40は、分析器(例えば、Yara、ClamAV、ヘクターなど)またはすべての分析器によって、悪意のあるもの、あるいは、悪意がありそうなものとしてフラグが付けられたファイルのランク付けされたリストなどの他のランク付けされたリストを提供してもよい。
特性評価の結果と、ダッシュボードGUIに描かれた他のデータは、上記のように設定された基準と閾値によって決定され、企業または他のユーザーによって構成することが可能である。
次に、図5の参照によって、ネットワークデータ特性評価のシステムと方法の実施形態によって、(悪意、疑わしい、または、より一層のレビューが必要なコンテンツを含むものとして)分類されたイベントを一覧表にする特性評価の結果視覚化GUI50が示される。
特性評価結果視覚化GUI50は、そのように分類された個々のファイルのために、分類された時の日付とタイム・スタンプ、ソースIPアドレス、受信者またはターゲットのIPアドレス、ホストの名前(またはIPアドレス)、悪意のあるもの(例えば、赤いX)、疑わしいもの(例えば、オレンジ色の感嘆符)、あるいは一層のレビューを必要とするもの(例えば、青色のフラグ)であるかどうかのグラフィカルな表示、および、分析/特性評価の結果のグラフィカルな表示(例えば、ファイルのタイプ(例えば、Windows、Word、MS-DOSなど)のグラフィカルな表示と、コンテンツを悪意または疑わしいと分類したのはどの1つまたは複数の分析器であるか(例えば、分析器を示しているアイコン)と、もし知られているならば、マルウェアファイル名)を含んでもよい。
実装において、特性評価結果視覚化GUI50にリスト化されて表示されたコンテンツは、企業または他のユーザーによってさらに考慮されるか、または分析されるように意図されている。その結果、ユーザーは、さらに結果にフィルタをかけたいかもしれない。
特性評価結果視覚化GUI50は、そのように分類された個々のファイルのために、分類された時の日付とタイム・スタンプ、ソースIPアドレス、受信者またはターゲットのIPアドレス、ホストの名前(またはIPアドレス)、悪意のあるもの(例えば、赤いX)、疑わしいもの(例えば、オレンジ色の感嘆符)、あるいは一層のレビューを必要とするもの(例えば、青色のフラグ)であるかどうかのグラフィカルな表示、および、分析/特性評価の結果のグラフィカルな表示(例えば、ファイルのタイプ(例えば、Windows、Word、MS-DOSなど)のグラフィカルな表示と、コンテンツを悪意または疑わしいと分類したのはどの1つまたは複数の分析器であるか(例えば、分析器を示しているアイコン)と、もし知られているならば、マルウェアファイル名)を含んでもよい。
実装において、特性評価結果視覚化GUI50にリスト化されて表示されたコンテンツは、企業または他のユーザーによってさらに考慮されるか、または分析されるように意図されている。その結果、ユーザーは、さらに結果にフィルタをかけたいかもしれない。
ここに説明されたネットワークデータ特性評価のシステムと方法と、ヘクターなど利用された分析器の実施形態の利点のうちの1つは、偽の否定(false negative)のリスクが最小化されることである。
偽の否定(false negative)とは、悪意のあるイベントまたはファイルが、誤って、安全であるとして分類されることを意味する。
不運にも、ここに記載されたヘクターを含む実施形態は、非常に有効であるので、ときどき、非常に多くの検出されたイベントが生成される。
ユーザーは、これらの結果を効果的にレビューすることができるように、結果を管理するためのツールを持っている必要がある。
示されたように、特性評価結果視覚化GUI50は、ユーザーが、特性評価結果視覚化GUI50によって表示された結果にフィルタをかけることを可能にするフィルタツールに、さまざまなフィルタを提供できる。
例えば、特性評価結果視覚化GUI50は、ファイル名、ファイルの種類、ソースのIPアドレス、ホストの名前、ターゲットのIPアドレス、分類された時間、分析器の特性評価または分類、ファイル名の暗号法のハッシュ機能(例えば、ファイル名の安全なハッシュアルゴリズム(SHA)-256ハッシュ)、ファイルサイズなどによって、結果にフィルタをかけることができる。
これらのフィルタによって、ユーザーは、結果をよりよく管理することができる。
偽の否定(false negative)とは、悪意のあるイベントまたはファイルが、誤って、安全であるとして分類されることを意味する。
不運にも、ここに記載されたヘクターを含む実施形態は、非常に有効であるので、ときどき、非常に多くの検出されたイベントが生成される。
ユーザーは、これらの結果を効果的にレビューすることができるように、結果を管理するためのツールを持っている必要がある。
示されたように、特性評価結果視覚化GUI50は、ユーザーが、特性評価結果視覚化GUI50によって表示された結果にフィルタをかけることを可能にするフィルタツールに、さまざまなフィルタを提供できる。
例えば、特性評価結果視覚化GUI50は、ファイル名、ファイルの種類、ソースのIPアドレス、ホストの名前、ターゲットのIPアドレス、分類された時間、分析器の特性評価または分類、ファイル名の暗号法のハッシュ機能(例えば、ファイル名の安全なハッシュアルゴリズム(SHA)-256ハッシュ)、ファイルサイズなどによって、結果にフィルタをかけることができる。
これらのフィルタによって、ユーザーは、結果をよりよく管理することができる。
次に、図6の参照によって、特性評価または分類の結果視覚化GUI60が、フィルタをかけられた結果とともに、示される。
示された特性評価の結果は、ファイル名のSHA-256ハッシュによって、フィルタがかけられている。
言いかえれば、同じSHA-256ハッシュを持つそれらの特性評価結果だけがリストされる。
図示されるように、時間/日付スタンプ、宛先またはターゲットのIPアドレス、宛先ポート、ソースのIPアドレス、ソースポート、ホスト名(ホスト名は、未加工のネットワークデータパケットから引き出されうるソースのための名前である)がリストされ、ファイルに関する追加の研究知能が利用できるかどうか、ステータス(悪意、疑わしい、さらなるレビューが必要)、分析/特性評価の結果のグラフィカルな表示を示す。
特性評価の結果は、これらのカテゴリーのすべてによって、ソートできる。
示された特性評価の結果は、ファイル名のSHA-256ハッシュによって、フィルタがかけられている。
言いかえれば、同じSHA-256ハッシュを持つそれらの特性評価結果だけがリストされる。
図示されるように、時間/日付スタンプ、宛先またはターゲットのIPアドレス、宛先ポート、ソースのIPアドレス、ソースポート、ホスト名(ホスト名は、未加工のネットワークデータパケットから引き出されうるソースのための名前である)がリストされ、ファイルに関する追加の研究知能が利用できるかどうか、ステータス(悪意、疑わしい、さらなるレビューが必要)、分析/特性評価の結果のグラフィカルな表示を示す。
特性評価の結果は、これらのカテゴリーのすべてによって、ソートできる。
次に、図7A-7Bの参照によって、分類されたまたは特徴付けられたファイルの詳細視覚化GUI70が、示される。
分類されたファイルの詳細視覚化GUI70を見るために、特性評価結果視覚化GUI60に示した結果のうちのいずれかが選ばれる。
特徴付けられたファイルの詳細視覚化GUI70は、分類されたファイルの追加の詳細を描写し、ユーザーによって選ばれるより一層の行動のオプションを提供する。
例えば、詳細は、次のことを含んでもよい。
ファイルを悪意のあるものかまたは疑わしいものとして分類する分析器、ヘクター確信度パーセンテージ(例えば、企業または他のユーザーによって設定された確信度の閾値の表示を持つ棒グラフを示す)、ファイルメタデータ(例えば、ファイル名、ファイルの種類、関連した詳細の文字列(魔法のストリング“Magic String”)、ファイルサイズ、ファイルの暗号法のハッシュ(例えば、MD5およびSHA-256ハッシュ)、分類されたファイルが最も最近見られた時と最初に見られた時を含む)、最近の数日間を通して検出されているファイルの頻度を表示した棒グラフ、たとえば、ファイルのさらなるレビュー(内部、または外部に)、ファイルの隔離、ファイルの削除などの提案のような行動選択、ファイル詳細のダウンロード、(ユーザによるファイルレビューの)ステータスの設定、適用可能な分析器(すなわち、分類されたファイルを含んでいるメッセージに署名した分析器)を示す分析結果の概要とそれらの特性評価の結果(たとえば、無し(Yara)、マルウェア名の識別(ClamAV)、または確信度パーセンテージ(ヘクター))、次の分析におけるデータおよび他の知能、および、もしあれば分類されたファイルを含む最近のイベントのリスト。
分類されたファイルの詳細視覚化GUI70を見るために、特性評価結果視覚化GUI60に示した結果のうちのいずれかが選ばれる。
特徴付けられたファイルの詳細視覚化GUI70は、分類されたファイルの追加の詳細を描写し、ユーザーによって選ばれるより一層の行動のオプションを提供する。
例えば、詳細は、次のことを含んでもよい。
ファイルを悪意のあるものかまたは疑わしいものとして分類する分析器、ヘクター確信度パーセンテージ(例えば、企業または他のユーザーによって設定された確信度の閾値の表示を持つ棒グラフを示す)、ファイルメタデータ(例えば、ファイル名、ファイルの種類、関連した詳細の文字列(魔法のストリング“Magic String”)、ファイルサイズ、ファイルの暗号法のハッシュ(例えば、MD5およびSHA-256ハッシュ)、分類されたファイルが最も最近見られた時と最初に見られた時を含む)、最近の数日間を通して検出されているファイルの頻度を表示した棒グラフ、たとえば、ファイルのさらなるレビュー(内部、または外部に)、ファイルの隔離、ファイルの削除などの提案のような行動選択、ファイル詳細のダウンロード、(ユーザによるファイルレビューの)ステータスの設定、適用可能な分析器(すなわち、分類されたファイルを含んでいるメッセージに署名した分析器)を示す分析結果の概要とそれらの特性評価の結果(たとえば、無し(Yara)、マルウェア名の識別(ClamAV)、または確信度パーセンテージ(ヘクター))、次の分析におけるデータおよび他の知能、および、もしあれば分類されたファイルを含む最近のイベントのリスト。
図8の参照によって、ルール設定GUI80が示される。
ルールは、特性評価または分類の結果を管理するために、ユーザーが使用できる別のツールである。
例えば、図5と図6に示されたルールタブを選択することによって、どんな行動が取られるかを含めて、一定の特性評価の結果がどのように扱われるかを規定するルールを、ユーザーが定義することができる。
例えば、ユーザーは、例えば一定のホストまたはソースIPアドレスから、分類されたイベントのいずれかに適用するように、一定のパーセント以上のヘクターの確信度レベルを持ち、一定のファイル名を含み、一定のターゲットIPアドレスにアドレスを付与するルールのクエリ文字列を入力できる。
ユーザーは、クエリにマッチしているイベントを取り下げる(drop)こと、または、イベントのステータスを、信頼、未知、疑わしい、悪意、あるいは、さらなるレビューが必要として設定するように、取るべき行動の一定のタイプを定義することができる。
また、実施形態は、ユーザーがルールの即時の効果(impact)を見ることができるように、直ちにルールを処理し、ルール設定GUI80において、一定の期間の間(たとえば、以前の5日間)、新しいルールがマッチしていたであろうイベントの数を表示する。
ルールは、特性評価または分類の結果を管理するために、ユーザーが使用できる別のツールである。
例えば、図5と図6に示されたルールタブを選択することによって、どんな行動が取られるかを含めて、一定の特性評価の結果がどのように扱われるかを規定するルールを、ユーザーが定義することができる。
例えば、ユーザーは、例えば一定のホストまたはソースIPアドレスから、分類されたイベントのいずれかに適用するように、一定のパーセント以上のヘクターの確信度レベルを持ち、一定のファイル名を含み、一定のターゲットIPアドレスにアドレスを付与するルールのクエリ文字列を入力できる。
ユーザーは、クエリにマッチしているイベントを取り下げる(drop)こと、または、イベントのステータスを、信頼、未知、疑わしい、悪意、あるいは、さらなるレビューが必要として設定するように、取るべき行動の一定のタイプを定義することができる。
また、実施形態は、ユーザーがルールの即時の効果(impact)を見ることができるように、直ちにルールを処理し、ルール設定GUI80において、一定の期間の間(たとえば、以前の5日間)、新しいルールがマッチしていたであろうイベントの数を表示する。
ネットワークデータ特性評価のための方法とシステムの実施形態が提供する別のツールとしては、結果を正確に示す(ピンポイントする)能力である。
次に、図9A-9Eの参照によって、ピンポイントツールを持つ特性評価結果視覚化GUI90が示される。
ピンポイントツールは、ユーザーが、表示のために分類されたイベントの時間枠(time frame)(例えば、時間と日付の範囲)を選び、降順/昇順の分類方法によって、結果をソートし、表示された結果を制限し、様々なメタデータで結果にフィルタをかけ(上記参照)、たとえば、ホスト、インプットソースタイプ、ファイルタイプ、アプリケーションタイプ、分類方法(フラグ)、ドメインネーム、位置、時間、ファイルが「サインされた」(すなわち、証明書で、「信頼されている」機関からサインされた)ファイルか否かなどによって、結果をグループ化し、または、すべてのメタデータ、あるいは、特性評価の結果の特徴付け、あるいは、特性評価の結果に含まれることによって、結果をグループ化することを可能にする。
文字どおりに、ピンポイントツールは、特性評価の結果のメタデータの数百の選択と、結果をピンポイントし、結果をグループ化し、結果をソートするために使われる分類されたイベントとコンテンツの特徴付けとを提供する。
実際には、ピンポイントツール90は、分析器の結果ワークフローを示すためのツールである。
次に、図9A-9Eの参照によって、ピンポイントツールを持つ特性評価結果視覚化GUI90が示される。
ピンポイントツールは、ユーザーが、表示のために分類されたイベントの時間枠(time frame)(例えば、時間と日付の範囲)を選び、降順/昇順の分類方法によって、結果をソートし、表示された結果を制限し、様々なメタデータで結果にフィルタをかけ(上記参照)、たとえば、ホスト、インプットソースタイプ、ファイルタイプ、アプリケーションタイプ、分類方法(フラグ)、ドメインネーム、位置、時間、ファイルが「サインされた」(すなわち、証明書で、「信頼されている」機関からサインされた)ファイルか否かなどによって、結果をグループ化し、または、すべてのメタデータ、あるいは、特性評価の結果の特徴付け、あるいは、特性評価の結果に含まれることによって、結果をグループ化することを可能にする。
文字どおりに、ピンポイントツールは、特性評価の結果のメタデータの数百の選択と、結果をピンポイントし、結果をグループ化し、結果をソートするために使われる分類されたイベントとコンテンツの特徴付けとを提供する。
実際には、ピンポイントツール90は、分析器の結果ワークフローを示すためのツールである。
特性評価結果視覚化GUIにリストされたイベント特性評価の結果は、フィルタをかけられて、ピンポイントツール90の選択に基づいてリストされる。
さらに、ピンポイントツール90は、動作されたとき、ピンポイントの選択の結果をリストする。
例えば、図9Bに示すように、ピンポイントのツールは、ホストにより検出されて分類されたイベントの数をリストし、どのようにそれらのイベントが分類されたかを示す(適切なフラグによって)。
図示された例では、最も多くの特性評価の結果を持つホストは、bluvector.cli.injectである。
そのホストは、安全としてフラグが付けられた551個のイベントを持ち、未知としてフラグが付けられた4401個のイベントを持ち、疑わしいとしてフラグが付けられた31個のイベントを持ち、悪意があるとしてフラグが付けられた275個のイベントを持つ。
ユーザーは、フラグが付けられたイベントのインプットソースタイプ、たとえば、HTTP、CLI_INJECT、SMTP、およびFTPを示すために、例えば与えられたホストの下に示すように、ピンポイントの結果リストを展開することができる。
同様に、図9Cに示すように、ユーザーは、ファイルのタイプ(たとえば、画像ファイル、cdf、html、jar、elf、pe32、pdf、dos、apkなど)を示すために、例えば与えられたインプットソースタイプの下に、ピンポイントの結果リストを展開することができる。
同様に、示すように、ユーザーは、ファイルを分類した分析器(たとえば、ClamAV、Hector、Yaraなど)を示すために、例えば与えられたファイルタイプの下に、ピンポイントの結果リストを展開することができる。
図9Dに示すように、ピンポイントツールは、異なるカテゴリーが最初のグループ分けとして使われるように、ユーザーが、グループ分けの順序を変更することを可能にする。
例えば、インプットソースタイプ(例えばmeta.app)が、最初のグループ分けとして使われて、インプットソースタイプ(例えば、http、null、cli_inject、gui_upload、smtp、ftp)が、他の情報を得るために展開される。
さらに、ピンポイントツール90は、動作されたとき、ピンポイントの選択の結果をリストする。
例えば、図9Bに示すように、ピンポイントのツールは、ホストにより検出されて分類されたイベントの数をリストし、どのようにそれらのイベントが分類されたかを示す(適切なフラグによって)。
図示された例では、最も多くの特性評価の結果を持つホストは、bluvector.cli.injectである。
そのホストは、安全としてフラグが付けられた551個のイベントを持ち、未知としてフラグが付けられた4401個のイベントを持ち、疑わしいとしてフラグが付けられた31個のイベントを持ち、悪意があるとしてフラグが付けられた275個のイベントを持つ。
ユーザーは、フラグが付けられたイベントのインプットソースタイプ、たとえば、HTTP、CLI_INJECT、SMTP、およびFTPを示すために、例えば与えられたホストの下に示すように、ピンポイントの結果リストを展開することができる。
同様に、図9Cに示すように、ユーザーは、ファイルのタイプ(たとえば、画像ファイル、cdf、html、jar、elf、pe32、pdf、dos、apkなど)を示すために、例えば与えられたインプットソースタイプの下に、ピンポイントの結果リストを展開することができる。
同様に、示すように、ユーザーは、ファイルを分類した分析器(たとえば、ClamAV、Hector、Yaraなど)を示すために、例えば与えられたファイルタイプの下に、ピンポイントの結果リストを展開することができる。
図9Dに示すように、ピンポイントツールは、異なるカテゴリーが最初のグループ分けとして使われるように、ユーザーが、グループ分けの順序を変更することを可能にする。
例えば、インプットソースタイプ(例えばmeta.app)が、最初のグループ分けとして使われて、インプットソースタイプ(例えば、http、null、cli_inject、gui_upload、smtp、ftp)が、他の情報を得るために展開される。
上記したように、ピンポイントツール90は、分析器による特性評価の結果を提供したメタデータのいずれかに基づいて、結果を正確に示す(ピンポイントする)ことができる。図9Eの参照によって、ファイルで使われた言語に基づいて、結果をグループ分けするために設定されたピンポイントツール90が示される。
分析器が、いつも使用された言語を決定することができるわけではないが、もし言語が決定できる場合は、ネットワークデータ特性評価のための方法とシステムの実施形態は、言語に基づいて、結果にフィルターをかけ、結果のグループ分けができる。
例えば、図示されるように、英語、ロシア語、または中国語を使っている結果が表示できる。 未知の言語の結果は、ニュートラル(neutral)としてグループ化してもよい。
これは、特に、企業が、一定の国または領域に端を発する脅威に気づいているか、または第一に一定の国または領域に端を発する脅威に関係する時に、有益である。
また、ピンポイントツールは、一定の署名(すなわち、例えばPEScannerによって検出されて以前に確認されたマルウェア署名)を含む結果によって、または、一定の分析器だけにより検出された結果によって、フィルターをかけ、グループ分けをしてもよい。
分析器が、いつも使用された言語を決定することができるわけではないが、もし言語が決定できる場合は、ネットワークデータ特性評価のための方法とシステムの実施形態は、言語に基づいて、結果にフィルターをかけ、結果のグループ分けができる。
例えば、図示されるように、英語、ロシア語、または中国語を使っている結果が表示できる。 未知の言語の結果は、ニュートラル(neutral)としてグループ化してもよい。
これは、特に、企業が、一定の国または領域に端を発する脅威に気づいているか、または第一に一定の国または領域に端を発する脅威に関係する時に、有益である。
また、ピンポイントツールは、一定の署名(すなわち、例えばPEScannerによって検出されて以前に確認されたマルウェア署名)を含む結果によって、または、一定の分析器だけにより検出された結果によって、フィルターをかけ、グループ分けをしてもよい。
ネットワークデータ特性評価のための方法とシステムの実施形態の最も強力な面のうちの1つは、それらがマシン学習分析器(例えばヘクターなど)の結果の有用性と有効性を大いに増加させることである。
図10の参照によって、ファイルのタイプによって分類されたファイルをソートし、マシン学習分析器により様々な特性評価確信度パーセンテージの範囲に分類されたそのタイプのファイルの数を示しているヒストグラムを表示する特性評価信頼GUI100が示される。
新しくする(リフレッシュする)ために、確信度パーセンテージとは、マシン学習分析器によって決定されるように、ファイルが悪意のあるものであるという百分率の確信度のことである。
また、信頼GUI100は、個々のファイルタイプのために設定された閾値と、その閾値を超える確信度パーセンテージを持つそのファイルタイプのファイル数と、ヒット率パーセンテージ(ファイルタイプのファイル数を、ファイルの全数によって除算した確信度パーセンテージを超えるファイルのパーセンテージ)とを表示している。
信頼GUI100は、ユーザーが、結果の数とパーセンテージを視覚化し、かつ、閾値が高すぎるかまたは低すぎるかどうかを決定するのに、役立つ。
図10の参照によって、ファイルのタイプによって分類されたファイルをソートし、マシン学習分析器により様々な特性評価確信度パーセンテージの範囲に分類されたそのタイプのファイルの数を示しているヒストグラムを表示する特性評価信頼GUI100が示される。
新しくする(リフレッシュする)ために、確信度パーセンテージとは、マシン学習分析器によって決定されるように、ファイルが悪意のあるものであるという百分率の確信度のことである。
また、信頼GUI100は、個々のファイルタイプのために設定された閾値と、その閾値を超える確信度パーセンテージを持つそのファイルタイプのファイル数と、ヒット率パーセンテージ(ファイルタイプのファイル数を、ファイルの全数によって除算した確信度パーセンテージを超えるファイルのパーセンテージ)とを表示している。
信頼GUI100は、ユーザーが、結果の数とパーセンテージを視覚化し、かつ、閾値が高すぎるかまたは低すぎるかどうかを決定するのに、役立つ。
次に、図11A-11Bの参照によって、確信度パーセンテージの閾値を設定するためのコンフィギュレーションGUI110が、ファイルのタイプ別に、示される。
図示されるように、閾値は、スライダーバー(slider bar)上に、設定できる。
実施形態は、ファイルタイプごとに、1つの推奨された閾値の設定を提供している。
この推奨された閾値設定は、マシン学習分析器によって決定できる。
例えば、ポスト分析結果は、後に、別々に確認されたマルウェアの確信度パーセンテージを示すマシン学習分析器にフィードバックすることができる。
これらの結果は、推奨された閾値を設定するために、実施形態によって用いられうる。
異なる構成(コンフィギュレーション)、閾値を設定し、分析器の結果の視覚化を別の方法で行うこの能力は、システムを、アナリストの仕事量の能力に合わせることを非常に容易にする。
図11Aに示すように、コンフィギュレーションGUI110は、閾値パーセンテージを超えてフラグが付けられ与えられたタイプのファイルのパーセンテージだけでなく、現在の閾値設定(コンフィギュレーション)を使ってフラグが付けられた1日当たりのファイルの数を示すことができる。
もし、閾値パーセンテージの設定が変更されるならば、コンフィギュレーションGUI110は、図11Bに示すように、新しい閾値パーセンテージを超えてフラグが付けられ与えられたタイプのファイルのパーセンテージだけでなく、新しい閾値設定を使ってフラグが付けられるであろう1日当たりのファイルの予測された数を示すことができる。
この情報は、ユーザーが、どんな閾値パーセンテージがユーザーの企業に有益であるかを決定することを可能にすることができる。
また、図11A-11B において見ることができるように、ユーザーは、コンフィギュレーションGUI110において、分析器が署名するファイルタイプを、選択(select)するか、または選択解除(deselect)をすることもできる。
これらの選択により、どのファイルタイプが、そのタイプの分析器に転送(ルーティング)されるかを決定する(上記した図1-2を参照)。
図示されるように、閾値は、スライダーバー(slider bar)上に、設定できる。
実施形態は、ファイルタイプごとに、1つの推奨された閾値の設定を提供している。
この推奨された閾値設定は、マシン学習分析器によって決定できる。
例えば、ポスト分析結果は、後に、別々に確認されたマルウェアの確信度パーセンテージを示すマシン学習分析器にフィードバックすることができる。
これらの結果は、推奨された閾値を設定するために、実施形態によって用いられうる。
異なる構成(コンフィギュレーション)、閾値を設定し、分析器の結果の視覚化を別の方法で行うこの能力は、システムを、アナリストの仕事量の能力に合わせることを非常に容易にする。
図11Aに示すように、コンフィギュレーションGUI110は、閾値パーセンテージを超えてフラグが付けられ与えられたタイプのファイルのパーセンテージだけでなく、現在の閾値設定(コンフィギュレーション)を使ってフラグが付けられた1日当たりのファイルの数を示すことができる。
もし、閾値パーセンテージの設定が変更されるならば、コンフィギュレーションGUI110は、図11Bに示すように、新しい閾値パーセンテージを超えてフラグが付けられ与えられたタイプのファイルのパーセンテージだけでなく、新しい閾値設定を使ってフラグが付けられるであろう1日当たりのファイルの予測された数を示すことができる。
この情報は、ユーザーが、どんな閾値パーセンテージがユーザーの企業に有益であるかを決定することを可能にすることができる。
また、図11A-11B において見ることができるように、ユーザーは、コンフィギュレーションGUI110において、分析器が署名するファイルタイプを、選択(select)するか、または選択解除(deselect)をすることもできる。
これらの選択により、どのファイルタイプが、そのタイプの分析器に転送(ルーティング)されるかを決定する(上記した図1-2を参照)。
当該技術分野における通常の技術を有する者は、この発明の精神と範囲を逸脱することなく、様々な修正と変更が、上記に記載された実施形態になし得ることを認識するであろう。
従って、この発明は、上記に開示された特定の実施形態に制限されず、以下のクレームにより定義されるような修正と変形を包含することを意図していることを理解するべきである。
従って、この発明は、上記に開示された特定の実施形態に制限されず、以下のクレームにより定義されるような修正と変形を包含することを意図していることを理解するべきである。
Claims (15)
- 受信したコンテンツに関係付けられたメタデータに基づいて、前記受信したコンテンツに関係付けられたタイプを決定し、
悪意のある又は安全であるとして前記受信したコンテンツのタイプを分類するように構成されたマシン学習分析器を決定し、
前記マシン学習分析器に基づいて、前記受信したコンテンツが悪意のある又は安全であるという表示を決定し、および
前記決定された表示と1つ以上の基準とに基づいて、実行すべき行動を決定する方法。 - 前記受信したコンテンツが、1つ以上のネットワークデータ供給装置から受信され、前記1つ以上のネットワークデータ供給装置が、ハイパーテキスト転送プロトコル(HTTP)データ供給装置、ファイル転送プロトコル(FTP)データ供給装置、又はシンプルメール転送プロトコル(SMTP)データ供給装置のうちの少なくとも1つからなり、または、
アップロードされた前記受信コンテンツが、コマンドラインインタフェースまたはグラフィカル・ユーザ・インタフェースから受信されることをさらに含む請求項1の方法。 - 前記受信したコンテンツが、1つ以上のファイルを含む請求項1の方法。
- 前記表示を決定することが、前記マシン学習分析器から特性評価の結果を結合することを含み、
前記表示が、前記受信したコンテンツと前記特性評価の結果とを記述した特性評価メタデータを含む請求項1の方法。 - 前記表示を決定することが、前記受信したコンテンツが、悪意があるか、疑わしいか、安全か、未知であるか、あるいは、さらにレビューを必要とするものであるかを示すタグを、前記受信したコンテンツに、付けることを含む請求項1の方法。
- 前記行動が、
前記表示を保存すること、
前記受信したコンテンツに関連するネットワークトラフィックを修正すること、
前記受信したコンテンツを外部の分析器に転送すること、
悪意のあるコンテンツの検出の警告表示を送信すること、
前記受信したコンテンツに関連するソースからネットワークトラフィックを妨げること、
前記表示の視覚化を生成すること、または
悪意があるか、疑わしいか、安全か、未知であるか、あるいは、さらにレビューを必要とするものであるかのいずれかに、前記受信したコンテンツを分類すること、
のうちの少なくとも1つを含む請求項1の方法。 - 前記視覚化は、前記1つ以上の基準に関連する1つ以上の閾値に基づいて決定され、前記1つ以上の閾値は、疑わしくてかつ注意が必要であると分類されたイベントの数を決定する請求項6の方法。
- 前記1つ以上の閾値または前記1つ以上の基準を変更するために、入力を受信することをさらに備えた請求項7の方法。
- 前記1つ以上の閾値または前記1つ以上の基準の変化に基づいて、将来の予測の表示を引き起こすことを、さらに備えた請求項8の方法。
- 前記マシン学習分析器が、他のマシン学習分析器と同じタイプのコンテンツ、または他のマシン学習分析器とは異なるタイプのコンテンツを分析する請求項1の方法。
- 前記メタデータが、ファイルタイプ、イベントソース、またはイベント宛先を表示する請求項1の方法。
- 前記マシン学習分析器が、前記受信したコンテンツの特徴の比較に基づいて、前記表示に関連する確信度パーセンテージを決定するために、特徴ベースのプロセスを使用し、既知の悪意のあるファイルと既知の安全なファイルとの特徴を使って造られた分類器を使用する請求項1の方法。
- 請求項1から請求項12のいずれか1つに記載の方法を実行させる命令を記憶した非一時的なコンピュータ読み取り可能な媒体。
- 1つ以上のプロセッサと、
前記1つ以上のプロセッサによって、請求項1から請求項12のいずれか1つに記載の方法が実行された場合に、前記いずれか1つの方法を実行させる命令を記憶しているメモリとからなる装置。 - 請求項1から請求項12のいずれか1つに記載の方法を実行するように構成された第1のコンピュータデバイスと、前記行動を実行するように構成された第2のコンピュータデバイスとからなるシステム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201462083090P | 2014-11-21 | 2014-11-21 | |
| US62/083,090 | 2014-11-21 | ||
| JP2017545854A JP6916112B2 (ja) | 2014-11-21 | 2015-11-16 | ネットワークデータ特性評価のシステムと方法 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017545854A Division JP6916112B2 (ja) | 2014-11-21 | 2015-11-16 | ネットワークデータ特性評価のシステムと方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2021182412A true JP2021182412A (ja) | 2021-11-25 |
| JP7274535B2 JP7274535B2 (ja) | 2023-05-16 |
Family
ID=54754783
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017545854A Active JP6916112B2 (ja) | 2014-11-21 | 2015-11-16 | ネットワークデータ特性評価のシステムと方法 |
| JP2021117274A Active JP7274535B2 (ja) | 2014-11-21 | 2021-07-15 | ネットワークデータ特性評価のシステムと方法 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017545854A Active JP6916112B2 (ja) | 2014-11-21 | 2015-11-16 | ネットワークデータ特性評価のシステムと方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9832216B2 (ja) |
| EP (1) | EP3222024A1 (ja) |
| JP (2) | JP6916112B2 (ja) |
| WO (1) | WO2016081346A1 (ja) |
Families Citing this family (53)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10902114B1 (en) * | 2015-09-09 | 2021-01-26 | ThreatQuotient, Inc. | Automated cybersecurity threat detection with aggregation and analysis |
| RU2634211C1 (ru) | 2016-07-06 | 2017-10-24 | Общество с ограниченной ответственностью "Траст" | Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак |
| US10701086B1 (en) * | 2016-07-28 | 2020-06-30 | SlashNext, Inc. | Methods and systems for detecting malicious servers |
| RU2649793C2 (ru) | 2016-08-03 | 2018-04-04 | ООО "Группа АйБи" | Способ и система выявления удаленного подключения при работе на страницах веб-ресурса |
| RU2634209C1 (ru) | 2016-09-19 | 2017-10-24 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью |
| WO2018080392A1 (en) * | 2016-10-24 | 2018-05-03 | Certis Cisco Security Pte Ltd | Quantitative unified analytic neural networks |
| US10354173B2 (en) * | 2016-11-21 | 2019-07-16 | Cylance Inc. | Icon based malware detection |
| US10367703B2 (en) * | 2016-12-01 | 2019-07-30 | Gigamon Inc. | Analysis of network traffic rules at a network visibility node |
| RU2637477C1 (ru) | 2016-12-29 | 2017-12-04 | Общество с ограниченной ответственностью "Траст" | Система и способ обнаружения фишинговых веб-страниц |
| RU2671991C2 (ru) | 2016-12-29 | 2018-11-08 | Общество с ограниченной ответственностью "Траст" | Система и способ сбора информации для обнаружения фишинга |
| US20180205611A1 (en) * | 2017-01-13 | 2018-07-19 | Gigamon Inc. | Network enumeration at a network visibility node |
| US10764313B1 (en) * | 2017-01-24 | 2020-09-01 | SlashNext, Inc. | Method and system for protection against network-based cyber threats |
| US20180255099A1 (en) * | 2017-03-02 | 2018-09-06 | Microsoft Technology Licensing, Llc | Security and compliance alerts based on content, activities, and metadata in cloud |
| US11615326B2 (en) | 2017-03-05 | 2023-03-28 | Cyberint Technologies Ltd. | Digital MDR (managed detection and response) analysis |
| WO2018182885A1 (en) | 2017-03-30 | 2018-10-04 | Mcafee, Llc | Secure software defined storage |
| US10554507B1 (en) | 2017-03-30 | 2020-02-04 | Fireeye, Inc. | Multi-level control for enhanced resource and object evaluation management of malware detection system |
| US10798112B2 (en) | 2017-03-30 | 2020-10-06 | Fireeye, Inc. | Attribute-controlled malware detection |
| US10791138B1 (en) | 2017-03-30 | 2020-09-29 | Fireeye, Inc. | Subscription-based malware detection |
| US10419377B2 (en) * | 2017-05-31 | 2019-09-17 | Apple Inc. | Method and system for categorizing instant messages |
| EP3477522B1 (en) * | 2017-10-30 | 2020-12-09 | VirusTotal SLU | Scanning files using antivirus software |
| RU2689816C2 (ru) | 2017-11-21 | 2019-05-29 | ООО "Группа АйБи" | Способ для классифицирования последовательности действий пользователя (варианты) |
| US10567156B2 (en) | 2017-11-30 | 2020-02-18 | Bank Of America Corporation | Blockchain-based unexpected data detection |
| US10735272B1 (en) | 2017-12-08 | 2020-08-04 | Logichub, Inc. | Graphical user interface for security intelligence automation platform using flows |
| US10666666B1 (en) * | 2017-12-08 | 2020-05-26 | Logichub, Inc. | Security intelligence automation platform using flows |
| RU2676247C1 (ru) | 2018-01-17 | 2018-12-26 | Общество С Ограниченной Ответственностью "Группа Айби" | Способ и компьютерное устройство для кластеризации веб-ресурсов |
| RU2668710C1 (ru) | 2018-01-17 | 2018-10-02 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Вычислительное устройство и способ для обнаружения вредоносных доменных имен в сетевом трафике |
| RU2680736C1 (ru) | 2018-01-17 | 2019-02-26 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Сервер и способ для определения вредоносных файлов в сетевом трафике |
| RU2677368C1 (ru) | 2018-01-17 | 2019-01-16 | Общество С Ограниченной Ответственностью "Группа Айби" | Способ и система для автоматического определения нечетких дубликатов видеоконтента |
| RU2677361C1 (ru) | 2018-01-17 | 2019-01-16 | Общество с ограниченной ответственностью "Траст" | Способ и система децентрализованной идентификации вредоносных программ |
| US10805341B2 (en) | 2018-02-06 | 2020-10-13 | Cisco Technology, Inc. | Leveraging point inferences on HTTP transactions for HTTPS malware detection |
| RU2681699C1 (ru) | 2018-02-13 | 2019-03-12 | Общество с ограниченной ответственностью "Траст" | Способ и сервер для поиска связанных сетевых ресурсов |
| US11290479B2 (en) * | 2018-08-11 | 2022-03-29 | Rapid7, Inc. | Determining insights in an electronic environment |
| US11641406B2 (en) * | 2018-10-17 | 2023-05-02 | Servicenow, Inc. | Identifying applications with machine learning |
| KR102175950B1 (ko) * | 2018-12-10 | 2020-11-09 | 한국전자통신연구원 | 이기종 시스템의 보안정보 정규화 장치 및 방법 |
| RU2708508C1 (ru) | 2018-12-17 | 2019-12-09 | Общество с ограниченной ответственностью "Траст" | Способ и вычислительное устройство для выявления подозрительных пользователей в системах обмена сообщениями |
| EP3899767A4 (en) * | 2018-12-19 | 2022-08-03 | Hewlett-Packard Development Company, L.P. | SECURITY DETECTION ANALYTICS |
| RU2701040C1 (ru) | 2018-12-28 | 2019-09-24 | Общество с ограниченной ответственностью "Траст" | Способ и вычислительное устройство для информирования о вредоносных веб-ресурсах |
| WO2020176005A1 (ru) | 2019-02-27 | 2020-09-03 | Общество С Ограниченной Ответственностью "Группа Айби" | Способ и система идентификации пользователя по клавиатурному почерку |
| US11418524B2 (en) * | 2019-05-07 | 2022-08-16 | SecureworksCorp. | Systems and methods of hierarchical behavior activity modeling and detection for systems-level security |
| US10623423B1 (en) * | 2019-06-06 | 2020-04-14 | Sift Science, Inc. | Systems and methods for intelligently implementing a machine learning-based digital threat mitigation service |
| CN110460611B (zh) * | 2019-08-16 | 2022-01-11 | 国家计算机网络与信息安全管理中心 | 基于机器学习的全流量攻击检测技术 |
| RU2728497C1 (ru) | 2019-12-05 | 2020-07-29 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система определения принадлежности программного обеспечения по его машинному коду |
| RU2728498C1 (ru) | 2019-12-05 | 2020-07-29 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система определения принадлежности программного обеспечения по его исходному коду |
| RU2743974C1 (ru) | 2019-12-19 | 2021-03-01 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Система и способ сканирования защищенности элементов сетевой архитектуры |
| SG10202001963TA (en) | 2020-03-04 | 2021-10-28 | Group Ib Global Private Ltd | System and method for brand protection based on the search results |
| US11461679B2 (en) | 2020-03-27 | 2022-10-04 | EMC IP Holding Company LLC | Message management using machine learning techniques |
| US11475090B2 (en) | 2020-07-15 | 2022-10-18 | Group-Ib Global Private Limited | Method and system for identifying clusters of affiliated web resources |
| RU2743619C1 (ru) | 2020-08-06 | 2021-02-20 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система генерации списка индикаторов компрометации |
| US11799904B2 (en) * | 2020-12-10 | 2023-10-24 | Cisco Technology, Inc. | Malware detection using inverse imbalance subspace searching |
| US11947572B2 (en) | 2021-03-29 | 2024-04-02 | Group IB TDS, Ltd | Method and system for clustering executable files |
| NL2030861B1 (en) | 2021-06-01 | 2023-03-14 | Trust Ltd | System and method for external monitoring a cyberattack surface |
| US20230169072A1 (en) * | 2021-11-30 | 2023-06-01 | Sap Se | Augmented query validation and realization |
| CN114615260B (zh) * | 2022-05-12 | 2022-09-16 | 广州市保伦电子有限公司 | 一种面向云服务资源传输的方法 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003067399A (ja) * | 2001-08-27 | 2003-03-07 | Nec Corp | オーディオ信号からの分類データの抽出方法と機械学習のためのオーディオ信号の表現方法、記録媒体、装置 |
| JP2006506853A (ja) * | 2002-11-07 | 2006-02-23 | ティッピングポイント テクノロジーズ インコーポレイテッド | 能動的ネットワーク防衛システム及び方法 |
| US20070169194A1 (en) * | 2004-12-29 | 2007-07-19 | Church Christopher A | Threat scoring system and method for intrusion detection security networks |
| JP2008529105A (ja) * | 2004-11-04 | 2008-07-31 | ヴェリセプト コーポレーション | クラスタリング及び分類のための方法、装置、及びシステム |
| JP2010287135A (ja) * | 2009-06-12 | 2010-12-24 | Usho Mo | データ分類装置、データ分類方法およびその方法をコンピュータに実行させるプログラム |
| JP2011044064A (ja) * | 2009-08-24 | 2011-03-03 | Nikon Corp | 画像処理装置、および画像処理プログラム |
| JP2012114719A (ja) * | 2010-11-25 | 2012-06-14 | Kddi Corp | 検知装置、検知方法及び検知プログラム |
| WO2013073504A1 (ja) * | 2011-11-15 | 2013-05-23 | 独立行政法人科学技術振興機構 | プログラム解析・検証サービス提供システム、その制御方法、制御プログラム、コンピュータを機能させるための制御プログラム、プログラム解析・検証装置、プログラム解析・検証ツール管理装置 |
| JP2014504399A (ja) * | 2010-12-01 | 2014-02-20 | ソースファイア インコーポレイテッド | 文脈上の確からしさ、ジェネリックシグネチャ、および機械学習法を用いて悪意のあるソフトウェアを検出する方法 |
| JP2014106856A (ja) * | 2012-11-29 | 2014-06-09 | Kyushu Institute Of Technology | 画像認識方法および画像認識装置 |
| WO2014122662A1 (en) * | 2013-02-10 | 2014-08-14 | Cyber Active Security Ltd. | Method and product for providing a predictive security product and evaluating existing security products |
Family Cites Families (95)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5675711A (en) | 1994-05-13 | 1997-10-07 | International Business Machines Corporation | Adaptive statistical regression and classification of data strings, with application to the generic detection of computer viruses |
| US5730525A (en) | 1996-05-24 | 1998-03-24 | Browne & Co. Ltd. | Milk shake machine |
| US6141241A (en) | 1998-06-23 | 2000-10-31 | Energy Conversion Devices, Inc. | Universal memory element with systems employing same and apparatus and method for reading, writing and programming same |
| US7065657B1 (en) | 1999-08-30 | 2006-06-20 | Symantec Corporation | Extensible intrusion detection system |
| US7072876B1 (en) | 2000-09-19 | 2006-07-04 | Cigital | System and method for mining execution traces with finite automata |
| US7487544B2 (en) | 2001-07-30 | 2009-02-03 | The Trustees Of Columbia University In The City Of New York | System and methods for detection of new malicious executables |
| US7107617B2 (en) | 2001-10-15 | 2006-09-12 | Mcafee, Inc. | Malware scanning of compressed computer files |
| US7269851B2 (en) | 2002-01-07 | 2007-09-11 | Mcafee, Inc. | Managing malware protection upon a computer network |
| US7448084B1 (en) | 2002-01-25 | 2008-11-04 | The Trustees Of Columbia University In The City Of New York | System and methods for detecting intrusions in a computer system by monitoring operating system registry accesses |
| US8171551B2 (en) | 2003-04-01 | 2012-05-01 | Mcafee, Inc. | Malware detection using external call characteristics |
| GB2400933B (en) | 2003-04-25 | 2006-11-22 | Messagelabs Ltd | A method of, and system for, heuristically detecting viruses in executable code by detecting files which have been maliciously altered |
| US20050015606A1 (en) | 2003-07-17 | 2005-01-20 | Blamires Colin John | Malware scanning using a boot with a non-installed operating system and download of malware detection files |
| US7257842B2 (en) | 2003-07-21 | 2007-08-14 | Mcafee, Inc. | Pre-approval of computer files during a malware detection |
| US20050262567A1 (en) | 2004-05-19 | 2005-11-24 | Itshak Carmona | Systems and methods for computer security |
| US7519998B2 (en) | 2004-07-28 | 2009-04-14 | Los Alamos National Security, Llc | Detection of malicious computer executables |
| US7484247B2 (en) | 2004-08-07 | 2009-01-27 | Allen F Rozman | System and method for protecting a computer system from malicious software |
| US8037535B2 (en) | 2004-08-13 | 2011-10-11 | Georgetown University | System and method for detecting malicious executable code |
| US10043008B2 (en) | 2004-10-29 | 2018-08-07 | Microsoft Technology Licensing, Llc | Efficient white listing of user-modifiable files |
| US8719924B1 (en) | 2005-03-04 | 2014-05-06 | AVG Technologies N.V. | Method and apparatus for detecting harmful software |
| US8453242B2 (en) | 2005-08-12 | 2013-05-28 | Ca, Inc. | System and method for scanning handles |
| US8161548B1 (en) | 2005-08-15 | 2012-04-17 | Trend Micro, Inc. | Malware detection using pattern classification |
| US7756834B2 (en) | 2005-11-03 | 2010-07-13 | I365 Inc. | Malware and spyware attack recovery system and method |
| US8234361B2 (en) | 2006-01-13 | 2012-07-31 | Fortinet, Inc. | Computerized system and method for handling network traffic |
| US7450005B2 (en) * | 2006-01-18 | 2008-11-11 | International Business Machines Corporation | System and method of dynamically weighted analysis for intrusion decision-making |
| US7937758B2 (en) | 2006-01-25 | 2011-05-03 | Symantec Corporation | File origin determination |
| US7657546B2 (en) | 2006-01-26 | 2010-02-02 | International Business Machines Corporation | Knowledge management system, program product and method |
| US9104871B2 (en) | 2006-04-06 | 2015-08-11 | Juniper Networks, Inc. | Malware detection system and method for mobile platforms |
| US20070266421A1 (en) | 2006-05-12 | 2007-11-15 | Redcannon, Inc. | System, method and computer program product for centrally managing policies assignable to a plurality of portable end-point security devices over a network |
| US20140373144A9 (en) | 2006-05-22 | 2014-12-18 | Alen Capalik | System and method for analyzing unauthorized intrusion into a computer network |
| US7870394B2 (en) | 2006-05-26 | 2011-01-11 | Symantec Corporation | Method and system to scan firmware for malware |
| US8220048B2 (en) | 2006-08-21 | 2012-07-10 | Wisconsin Alumni Research Foundation | Network intrusion detector with combined protocol analyses, normalization and matching |
| US8789172B2 (en) | 2006-09-18 | 2014-07-22 | The Trustees Of Columbia University In The City Of New York | Methods, media, and systems for detecting attack on a digital processing device |
| US8201244B2 (en) | 2006-09-19 | 2012-06-12 | Microsoft Corporation | Automated malware signature generation |
| GB2444514A (en) | 2006-12-04 | 2008-06-11 | Glasswall | Electronic file re-generation |
| US8091127B2 (en) | 2006-12-11 | 2012-01-03 | International Business Machines Corporation | Heuristic malware detection |
| US8250655B1 (en) | 2007-01-12 | 2012-08-21 | Kaspersky Lab, Zao | Rapid heuristic method and system for recognition of similarity between malware variants |
| US8364617B2 (en) | 2007-01-19 | 2013-01-29 | Microsoft Corporation | Resilient classification of data |
| US7873583B2 (en) | 2007-01-19 | 2011-01-18 | Microsoft Corporation | Combining resilient classifiers |
| IL181426A (en) | 2007-02-19 | 2011-06-30 | Deutsche Telekom Ag | Automatic removal of signatures for malware |
| US20080201778A1 (en) | 2007-02-21 | 2008-08-21 | Matsushita Electric Industrial Co., Ltd. | Intrusion detection using system call monitors on a bayesian network |
| US8312546B2 (en) | 2007-04-23 | 2012-11-13 | Mcafee, Inc. | Systems, apparatus, and methods for detecting malware |
| US8099785B1 (en) | 2007-05-03 | 2012-01-17 | Kaspersky Lab, Zao | Method and system for treatment of cure-resistant computer malware |
| US20090013405A1 (en) | 2007-07-06 | 2009-01-08 | Messagelabs Limited | Heuristic detection of malicious code |
| US8019700B2 (en) | 2007-10-05 | 2011-09-13 | Google Inc. | Detecting an intrusive landing page |
| US20090172979A1 (en) | 2008-01-06 | 2009-07-09 | Andy Kaoh | Displaying gain structure for an electornic nameplate |
| US8448218B2 (en) | 2008-01-17 | 2013-05-21 | Josep Bori | Method and apparatus for a cryptographically assisted computer system designed to deter viruses and malware via enforced accountability |
| WO2009097610A1 (en) | 2008-02-01 | 2009-08-06 | Northeastern University | A vmm-based intrusion detection system |
| US20090241194A1 (en) | 2008-03-21 | 2009-09-24 | Andrew James Thomas | Virtual machine configuration sharing between host and virtual machines and between virtual machines |
| US7472420B1 (en) | 2008-04-23 | 2008-12-30 | Kaspersky Lab, Zao | Method and system for detection of previously unknown malware components |
| IL191744A0 (en) | 2008-05-27 | 2009-02-11 | Yuval Elovici | Unknown malcode detection using classifiers with optimal training sets |
| US20090313700A1 (en) | 2008-06-11 | 2009-12-17 | Jefferson Horne | Method and system for generating malware definitions using a comparison of normalized assembly code |
| US8234709B2 (en) | 2008-06-20 | 2012-07-31 | Symantec Operating Corporation | Streaming malware definition updates |
| US8196203B2 (en) | 2008-09-25 | 2012-06-05 | Symantec Corporation | Method and apparatus for determining software trustworthiness |
| US8561180B1 (en) | 2008-10-29 | 2013-10-15 | Symantec Corporation | Systems and methods for aiding in the elimination of false-positive malware detections within enterprises |
| US8181251B2 (en) | 2008-12-18 | 2012-05-15 | Symantec Corporation | Methods and systems for detecting malware |
| US8635694B2 (en) | 2009-01-10 | 2014-01-21 | Kaspersky Lab Zao | Systems and methods for malware classification |
| US20100192222A1 (en) | 2009-01-23 | 2010-07-29 | Microsoft Corporation | Malware detection using multiple classifiers |
| IL197477A0 (en) | 2009-03-08 | 2009-12-24 | Univ Ben Gurion | System and method for detecting new malicious executables, based on discovering and monitoring of characteristic system call sequences |
| US8276202B1 (en) | 2009-06-30 | 2012-09-25 | Aleksandr Dubrovsky | Cloud-based gateway security scanning |
| US8015284B1 (en) | 2009-07-28 | 2011-09-06 | Symantec Corporation | Discerning use of signatures by third party vendors |
| US8478708B1 (en) | 2009-07-30 | 2013-07-02 | Zscaler, Inc. | System and method for determining risk posed by a web user |
| US8635171B1 (en) | 2009-08-17 | 2014-01-21 | Symantec Corporation | Systems and methods for reducing false positives produced by heuristics |
| US8190647B1 (en) | 2009-09-15 | 2012-05-29 | Symantec Corporation | Decision tree induction that is sensitive to attribute computational complexity |
| US8832829B2 (en) | 2009-09-30 | 2014-09-09 | Fireeye, Inc. | Network-based binary file extraction and analysis for malware detection |
| US8590045B2 (en) | 2009-10-07 | 2013-11-19 | F-Secure Oyj | Malware detection by application monitoring |
| US8719939B2 (en) | 2009-12-31 | 2014-05-06 | Mcafee, Inc. | Malware detection via reputation system |
| US8578497B2 (en) | 2010-01-06 | 2013-11-05 | Damballa, Inc. | Method and system for detecting malware |
| US8401982B1 (en) | 2010-01-14 | 2013-03-19 | Symantec Corporation | Using sequencing and timing information of behavior events in machine learning to detect malware |
| US8341745B1 (en) | 2010-02-22 | 2012-12-25 | Symantec Corporation | Inferring file and website reputations by belief propagation leveraging machine reputation |
| US8667593B1 (en) | 2010-05-11 | 2014-03-04 | Re-Sec Technologies Ltd. | Methods and apparatuses for protecting against malicious software |
| US8584241B1 (en) | 2010-08-11 | 2013-11-12 | Lockheed Martin Corporation | Computer forensic system |
| US8413235B1 (en) | 2010-09-10 | 2013-04-02 | Symantec Corporation | Malware detection using file heritage data |
| US8869277B2 (en) | 2010-09-30 | 2014-10-21 | Microsoft Corporation | Realtime multiple engine selection and combining |
| US9032521B2 (en) * | 2010-10-13 | 2015-05-12 | International Business Machines Corporation | Adaptive cyber-security analytics |
| US8413244B1 (en) | 2010-11-11 | 2013-04-02 | Symantec Corporation | Using temporal attributes to detect malware |
| US9349006B2 (en) | 2010-11-29 | 2016-05-24 | Beijing Qihoo Technology Company Limited | Method and device for program identification based on machine learning |
| US8521667B2 (en) | 2010-12-15 | 2013-08-27 | Microsoft Corporation | Detection and categorization of malicious URLs |
| US8682812B1 (en) | 2010-12-23 | 2014-03-25 | Narus, Inc. | Machine learning based botnet detection using real-time extracted traffic features |
| US8683585B1 (en) | 2011-02-10 | 2014-03-25 | Symantec Corporation | Using file reputations to identify malicious file sources in real time |
| US8756693B2 (en) | 2011-04-05 | 2014-06-17 | The United States Of America As Represented By The Secretary Of The Air Force | Malware target recognition |
| US8838992B1 (en) | 2011-04-28 | 2014-09-16 | Trend Micro Incorporated | Identification of normal scripts in computer systems |
| US8726388B2 (en) | 2011-05-16 | 2014-05-13 | F-Secure Corporation | Look ahead malware scanning |
| US8555388B1 (en) | 2011-05-24 | 2013-10-08 | Palo Alto Networks, Inc. | Heuristic botnet detection |
| CN102194072B (zh) | 2011-06-03 | 2012-11-14 | 奇智软件(北京)有限公司 | 一种处理计算机病毒的方法、装置及系统 |
| US8799190B2 (en) | 2011-06-17 | 2014-08-05 | Microsoft Corporation | Graph-based malware classification based on file relationships |
| CN102930206B (zh) | 2011-08-09 | 2015-02-25 | 腾讯科技(深圳)有限公司 | 病毒文件的聚类划分处理方法和装置 |
| US8181247B1 (en) | 2011-08-29 | 2012-05-15 | Kaspersky Lab Zao | System and method for protecting a computer system from the activity of malicious objects |
| US8561195B1 (en) | 2012-01-09 | 2013-10-15 | Symantec Corporation | Detection of malicious code based on its use of a folder shortcut |
| US8745760B2 (en) | 2012-01-30 | 2014-06-03 | Cisco Technology, Inc. | Malware classification for unknown executable files |
| US8627469B1 (en) | 2012-03-14 | 2014-01-07 | Symantec Corporation | Systems and methods for using acquisitional contexts to prevent false-positive malware classifications |
| RU2485577C1 (ru) | 2012-05-11 | 2013-06-20 | Закрытое акционерное общество "Лаборатория Касперского" | Способ увеличения надежности определения вредоносного программного обеспечения |
| US9021589B2 (en) | 2012-06-05 | 2015-04-28 | Los Alamos National Security, Llc | Integrating multiple data sources for malware classification |
| US8826431B2 (en) | 2012-11-20 | 2014-09-02 | Symantec Corporation | Using telemetry to reduce malware definition package size |
| TWI461952B (zh) | 2012-12-26 | 2014-11-21 | Univ Nat Taiwan Science Tech | 惡意程式偵測方法與系統 |
| US9178901B2 (en) | 2013-03-26 | 2015-11-03 | Microsoft Technology Licensing, Llc | Malicious uniform resource locator detection |
-
2015
- 2015-11-16 WO PCT/US2015/060820 patent/WO2016081346A1/en active Application Filing
- 2015-11-16 US US14/941,999 patent/US9832216B2/en active Active
- 2015-11-16 EP EP15802279.8A patent/EP3222024A1/en active Pending
- 2015-11-16 JP JP2017545854A patent/JP6916112B2/ja active Active
-
2021
- 2021-07-15 JP JP2021117274A patent/JP7274535B2/ja active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003067399A (ja) * | 2001-08-27 | 2003-03-07 | Nec Corp | オーディオ信号からの分類データの抽出方法と機械学習のためのオーディオ信号の表現方法、記録媒体、装置 |
| JP2006506853A (ja) * | 2002-11-07 | 2006-02-23 | ティッピングポイント テクノロジーズ インコーポレイテッド | 能動的ネットワーク防衛システム及び方法 |
| JP2008529105A (ja) * | 2004-11-04 | 2008-07-31 | ヴェリセプト コーポレーション | クラスタリング及び分類のための方法、装置、及びシステム |
| US20070169194A1 (en) * | 2004-12-29 | 2007-07-19 | Church Christopher A | Threat scoring system and method for intrusion detection security networks |
| JP2010287135A (ja) * | 2009-06-12 | 2010-12-24 | Usho Mo | データ分類装置、データ分類方法およびその方法をコンピュータに実行させるプログラム |
| JP2011044064A (ja) * | 2009-08-24 | 2011-03-03 | Nikon Corp | 画像処理装置、および画像処理プログラム |
| JP2012114719A (ja) * | 2010-11-25 | 2012-06-14 | Kddi Corp | 検知装置、検知方法及び検知プログラム |
| JP2014504399A (ja) * | 2010-12-01 | 2014-02-20 | ソースファイア インコーポレイテッド | 文脈上の確からしさ、ジェネリックシグネチャ、および機械学習法を用いて悪意のあるソフトウェアを検出する方法 |
| WO2013073504A1 (ja) * | 2011-11-15 | 2013-05-23 | 独立行政法人科学技術振興機構 | プログラム解析・検証サービス提供システム、その制御方法、制御プログラム、コンピュータを機能させるための制御プログラム、プログラム解析・検証装置、プログラム解析・検証ツール管理装置 |
| JP2014106856A (ja) * | 2012-11-29 | 2014-06-09 | Kyushu Institute Of Technology | 画像認識方法および画像認識装置 |
| WO2014122662A1 (en) * | 2013-02-10 | 2014-08-14 | Cyber Active Security Ltd. | Method and product for providing a predictive security product and evaluating existing security products |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2016081346A1 (en) | 2016-05-26 |
| US20160149943A1 (en) | 2016-05-26 |
| JP7274535B2 (ja) | 2023-05-16 |
| JP2018506808A (ja) | 2018-03-08 |
| EP3222024A1 (en) | 2017-09-27 |
| JP6916112B2 (ja) | 2021-08-11 |
| US9832216B2 (en) | 2017-11-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7274535B2 (ja) | ネットワークデータ特性評価のシステムと方法 | |
| US11546359B2 (en) | Multidimensional clustering analysis and visualizing that clustered analysis on a user interface | |
| Aljawarneh et al. | Anomaly-based intrusion detection system through feature selection analysis and building hybrid efficient model | |
| Narayanan et al. | Early detection of cybersecurity threats using collaborative cognition | |
| EP3469770B1 (en) | Spam classification system based on network flow data | |
| US20180034837A1 (en) | Identifying compromised computing devices in a network | |
| US20160191558A1 (en) | Accelerated threat mitigation system | |
| US11856003B2 (en) | Innocent until proven guilty (IUPG): adversary resistant and false positive resistant deep learning models | |
| Razaulla et al. | The age of ransomware: A survey on the evolution, taxonomy, and research directions | |
| Alani | Big data in cybersecurity: a survey of applications and future trends | |
| US20140344931A1 (en) | Systems and methods for extracting cryptographic keys from malware | |
| Hammad et al. | Intrusion detection system using feature selection with clustering and classification machine learning algorithms on the unsw-nb15 dataset | |
| Priya et al. | Containerized cloud-based honeypot deception for tracking attackers | |
| Alashhab et al. | Distributed denial of service attacks against cloud computing environment: survey, issues, challenges and coherent taxonomy | |
| Suthar et al. | A signature-based botnet (emotet) detection mechanism | |
| Al-Hawawreh et al. | Securing the Industrial Internet of Things against ransomware attacks: A comprehensive analysis of the emerging threat landscape and detection mechanisms | |
| Nazir et al. | Network intrusion detection: Taxonomy and machine learning applications | |
| Jean-Philippe | Enhancing Computer Network Defense Technologies with Machine Learning and Artificial Intelligence | |
| De Oliveira et al. | A malware detection system inspired on the human immune system | |
| Alashhab et al. | Enhancing Cloud Computing Analysis: A CCE-Based HTTP-GET Log Dataset | |
| US20240171614A1 (en) | System and method for internet activity and health forecasting and internet noise analysis | |
| Carr | Automating Suricata Rule-Writing | |
| Piazza | A Study on the Effectiveness of Machine Learning Techniques to Detect and Prevent Zero-Day Cyberattacks | |
| Cardarelli | Automated Deployment of a Security Operations Center | |
| Pont | Identifying ransomware through statistical and behavioural analysis |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210715 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220823 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20221122 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20230118 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230220 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230307 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20230404 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230501 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7274535 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |