JP2021502625A - セキュリティ異常を判定するコンピュータ実装方法、コンピュータ・システム、システム、およびコンピュータ・プログラム - Google Patents
セキュリティ異常を判定するコンピュータ実装方法、コンピュータ・システム、システム、およびコンピュータ・プログラム Download PDFInfo
- Publication number
- JP2021502625A JP2021502625A JP2020521922A JP2020521922A JP2021502625A JP 2021502625 A JP2021502625 A JP 2021502625A JP 2020521922 A JP2020521922 A JP 2020521922A JP 2020521922 A JP2020521922 A JP 2020521922A JP 2021502625 A JP2021502625 A JP 2021502625A
- Authority
- JP
- Japan
- Prior art keywords
- data
- htm
- network
- output
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 124
- 238000004590 computer program Methods 0.000 title claims description 15
- 238000001514 detection method Methods 0.000 claims abstract description 119
- 230000002123 temporal effect Effects 0.000 claims abstract description 9
- 238000000605 extraction Methods 0.000 claims description 74
- 238000003860 storage Methods 0.000 claims description 45
- 238000003058 natural language processing Methods 0.000 claims description 32
- 238000012545 processing Methods 0.000 claims description 28
- 238000003491 array Methods 0.000 claims description 27
- 238000010801 machine learning Methods 0.000 claims description 25
- 230000004044 response Effects 0.000 claims description 11
- 238000005516 engineering process Methods 0.000 claims description 8
- 230000005856 abnormality Effects 0.000 claims description 6
- 230000002265 prevention Effects 0.000 claims description 3
- 230000002159 abnormal effect Effects 0.000 claims 1
- 238000010586 diagram Methods 0.000 abstract description 19
- 230000006870 function Effects 0.000 description 27
- 230000002547 anomalous effect Effects 0.000 description 20
- 230000008569 process Effects 0.000 description 15
- 230000008901 benefit Effects 0.000 description 14
- 230000009471 action Effects 0.000 description 12
- 238000004458 analytical method Methods 0.000 description 11
- 230000006399 behavior Effects 0.000 description 10
- 230000007613 environmental effect Effects 0.000 description 10
- 238000013528 artificial neural network Methods 0.000 description 9
- 238000007726 management method Methods 0.000 description 9
- 238000007405 data analysis Methods 0.000 description 8
- 238000003066 decision tree Methods 0.000 description 6
- 230000014509 gene expression Effects 0.000 description 6
- 238000012880 independent component analysis Methods 0.000 description 6
- 238000013507 mapping Methods 0.000 description 6
- 238000000513 principal component analysis Methods 0.000 description 6
- 238000012628 principal component regression Methods 0.000 description 6
- 230000009466 transformation Effects 0.000 description 6
- 230000002155 anti-virotic effect Effects 0.000 description 5
- 230000001939 inductive effect Effects 0.000 description 5
- 230000003993 interaction Effects 0.000 description 5
- 238000005259 measurement Methods 0.000 description 5
- 230000008520 organization Effects 0.000 description 5
- 238000012805 post-processing Methods 0.000 description 5
- 230000001419 dependent effect Effects 0.000 description 4
- 230000001976 improved effect Effects 0.000 description 4
- 230000010354 integration Effects 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 4
- 230000011218 segmentation Effects 0.000 description 4
- 206010000117 Abnormal behaviour Diseases 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 238000013527 convolutional neural network Methods 0.000 description 3
- 238000010219 correlation analysis Methods 0.000 description 3
- 238000000354 decomposition reaction Methods 0.000 description 3
- 238000013135 deep learning Methods 0.000 description 3
- 238000000556 factor analysis Methods 0.000 description 3
- 230000002068 genetic effect Effects 0.000 description 3
- 230000006698 induction Effects 0.000 description 3
- 238000012417 linear regression Methods 0.000 description 3
- 238000007477 logistic regression Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000003672 processing method Methods 0.000 description 3
- 238000013139 quantization Methods 0.000 description 3
- 230000009467 reduction Effects 0.000 description 3
- 230000002787 reinforcement Effects 0.000 description 3
- 238000012706 support-vector machine Methods 0.000 description 3
- 238000012935 Averaging Methods 0.000 description 2
- 230000003213 activating effect Effects 0.000 description 2
- 230000003044 adaptive effect Effects 0.000 description 2
- 230000004931 aggregating effect Effects 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 2
- 238000004220 aggregation Methods 0.000 description 2
- 238000003339 best practice Methods 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000005352 clarification Methods 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 230000008030 elimination Effects 0.000 description 2
- 238000003379 elimination reaction Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000000877 morphologic effect Effects 0.000 description 2
- 238000012015 optical character recognition Methods 0.000 description 2
- 238000004806 packaging method and process Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 210000004556 brain Anatomy 0.000 description 1
- 230000009172 bursting Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001149 cognitive effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 229910052802 copper Inorganic materials 0.000 description 1
- 239000010949 copper Substances 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000010348 incorporation Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 210000000478 neocortex Anatomy 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 229920001690 polydopamine Polymers 0.000 description 1
- 238000011176 pooling Methods 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001131 transforming effect Effects 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/04—Inference or reasoning models
- G06N5/041—Abduction
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/10—Machine learning using kernel methods, e.g. support vector machines [SVM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/20—Ensemble learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/042—Knowledge-based neural networks; Logical representations of neural networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/049—Temporal neural networks, e.g. delay elements, oscillating neurons or pulsed inputs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/088—Non-supervised learning, e.g. competitive learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/12—Computing arrangements based on biological models using genetic models
- G06N3/126—Evolutionary algorithms, e.g. genetic algorithms or genetic programming
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/01—Dynamic search techniques; Heuristics; Dynamic trees; Branch-and-bound
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
- G06N5/022—Knowledge engineering; Knowledge acquisition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
- G06N5/022—Knowledge engineering; Knowledge acquisition
- G06N5/025—Extracting rules from data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/04—Inference or reasoning models
- G06N5/048—Fuzzy inferencing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N7/00—Computing arrangements based on specific mathematical models
- G06N7/01—Probabilistic graphical models, e.g. probabilistic networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mathematical Physics (AREA)
- Evolutionary Computation (AREA)
- Data Mining & Analysis (AREA)
- Artificial Intelligence (AREA)
- Computational Linguistics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Molecular Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Medical Informatics (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
Abstract
【課題】【解決手段】一組のサイバーセキュリティ・データの空間属性および一組のサーバセキュリティ・データの時間属性に基づいて、複数のテンソルを生成するように構成された異常検出システムである。一組のサイバーセキュリティ・データは、複数の演算源から収集された数値データおよびテキスト・データを含む。この異常検出システムは、複数のテンソルを階層型時間メモリ(HTM)ネットワークに提供可能である。HTMネットワークは、当該HTMネットワークの各領域の各HTM出力を生成するように構成可能である。この異常検出システムは、少なくとも1つのHTM出力が異常を示すものと判定し、少なくとも1つのHTM出力を通知に変換し、通知をユーザ・インターフェースに提供することができる。【選択図】図2
Description
本開示は、コンピュータ・セキュリティに関し、より詳細には、異常検出システムに関する。
異常検出システムは、データ処理システムに格納されたデータ、データ処理システム上で実行されるデータ、またはデータ処理システム間でやり取りされるデータ、あるいはその組み合わせの機密性、完全性、または可用性、あるいはその組み合わせを保護するように構成されたサイバーセキュリティ・システムの一構成要素として、使用可能である。たとえば、異常検出システムは、サイバーセキュリティ環境の部分内、部分間、または部分全体で発生する不安定な動作、予想外の動作、異常な動作、不審な動作、悪意のある動作、または不正な動作、あるいはその組み合わせを識別可能である。
情報システム環境における異常状態の識別は、サイバー攻撃、セキュリティ・イベント、および脅威を検出する最も効果的な方法の1つである。このような状態の検出は、IT環境における重要な情報資産の漏洩、喪失、または損傷から保護するように時間内に応答可能とするため、あらゆる組織が取り掛かる必要のある最初のステップである。異常状態の検出ならびに特定のセキュリティもしくは脅威分類および応答の正しい理解および関連付けは、困難なプロセスである。通常のIT環境は、複数の物理的コンピュータ、ネットワーク装置、記憶装置、オペレーティング・システム、ソフトウェア・コンポーネント、およびアプリケーション・システムから成る。これらの大型で複雑な相互接続された相互依存のシステムでは、さまざまな形態の大量のデータを処理する。
したがって、当技術分野においては、前述の課題への対処が求められている。
第1の態様によれば、本発明は、セキュリティ異常を判定するコンピュータ実装方法であって、一組のサイバーセキュリティ・データの空間属性および一組のサーバセキュリティ・データの時間属性に基づいて、複数のテンソルを生成することであって、一組のサイバーセキュリティ・データが、数値データおよびテキスト・データを含み、一組のサイバーセキュリティ・データが、複数の演算源から収集され、複数のテンソルを階層型時間メモリ(HTM)ネットワークに提供することであって、HTMネットワークが、当該HTMネットワークの各領域の各HTM出力を生成するように構成され、各出力が、HTMネットワークの各領域の活性ノードに基づくものであり、少なくとも1つのHTM出力が異常を示すものと判定することと、少なくとも1つのHTM出力を通知に変換することと、通知をユーザ・インターフェースに提供することとを含む、コンピュータ実装方法を提供する。別の態様によれば、本発明は、セキュリティ異常を判定するコンピュータ実装方法であって、特徴抽出システムの機械学習アルゴリズムを用いることにより、セキュリティ・データを複数の空間−時間多次元アレイに変換することであって、セキュリティ・データが、複数の演算装置を連通結合するサイバーセキュリティ環境において機能するセキュリティ情報・イベント管理(SIEM)システムから少なくとも部分的に収集され、複数の空間−時間多次元アレイが、複数の演算装置の少なくとも一部と関連付けられた少なくとも一連続の演算イベントに少なくとも部分的に基づくことと、階層型時間メモリ(HTM)ネットワークを実行する3次元集積回路(3DIC)に複数の空間−時間多次元アレイを提供することと、特徴抽出システムにおいてHTMネットワークから、HTMネットワークの各領域の活性ノードに少なくとも部分的に基づいて、少なくとも1つの出力多次元アレイを受信することと、特徴抽出システムの機械学習アルゴリズムを用いることにより、少なくとも1つの出力多次元アレイに基づいて、少なくとも1つの異常を識別することと、特徴抽出システムにより、少なくとも1つの異常を識別したことに応答して、サイバーセキュリティ環境の少なくとも1つの態様を再構成することと、特徴抽出システムにより、特徴抽出システムに連通結合されたユーザ・インターフェースに対して、少なくとも1つの異常の通知を提示することとを含む、コンピュータ実装方法を提供する。
別の態様によれば、本発明は、セキュリティ異常を判定するコンピュータ・システムであって、プロセッサと、プロセッサにより実行された場合に、一組のサイバーセキュリティ・データの空間属性および一組のサーバセキュリティ・データの時間属性に基づいて、複数のテンソルを生成することであって、一組のサイバーセキュリティ・データが、数値データおよびテキスト・データを含み、一組のサイバーセキュリティ・データが、複数の演算源から収集され、複数のテンソルを階層型時間メモリ(HTM)ネットワークに提供することであり、HTMネットワークが、当該HTMネットワークの各領域の各HTM出力を生成するように構成され、各出力が、HTMネットワークの各領域の活性ノードに基づくことと、少なくとも1つのHTM出力が異常を示すものと判定することと、少なくとも1つのHTM出力を通知に変換することと、通知をユーザ・インターフェースに提供することと、を含む方法を実行するプログラム命令を格納する有形コンピュータ可読メモリとを備えた、コンピュータ・システムを提供する。
別の態様によれば、本発明は、セキュリティ異常を判定するシステムであって、セキュリティ・データを受信して、情報技術(IT)環境中の複数のデバイスのために前記セキュリティ・データを格納するセキュリティ情報・イベント管理(SIEM)システムと、階層型時間メモリ(HTM)プロセッサおよびHTMメモリを備えたHTMシステムと、メモリおよびプロセッサを備えた特徴抽出システムであり、メモリが、プロセッサにより実行された場合に、セキュリティ・データを複数の空間−時間多次元アレイに変換することであって、複数の空間−時間多次元アレイの局面とセキュリティ・データとの相関が相関データベースに格納され、複数の空間−時間多次元アレイをHTMシステムに入力したことに応答して、HTMシステムから少なくとも1つの出力多次元アレイを受信することと、当該特徴抽出システムに連通結合されたユーザ・インターフェースから受け付けられたクエリに対して自然言語処理を実行することであり、クエリが、IT環境中の複数のデバイスのうちの少なくとも1つを識別する、実行することと、クエリ、少なくとも1つの出力多次元アレイ、および相関データベースに基づいて、回答を生成することと、回答をユーザ・インターフェースに提示することと、を含む方法を実行する命令を格納した、上記特徴抽出システムとを備えた、システムを提供する。
別の態様によれば、本発明は、セキュリティ異常を判定するコンピュータ・プログラム製品であって、処理回路により読み出し可能で、本発明のステップを実行する方法を実行するための処理回路により実行される命令を格納したコンピュータ可読記憶媒体を備えた、コンピュータ・プログラム製品を提供する。
別の態様によれば、本発明は、コンピュータ可読媒体に格納され、デジタル・コンピュータの内部メモリにロード可能なコンピュータ・プログラムであって、コンピュータ上で実行された場合に、本発明のステップを実行するソフトウェア・コード部を含む、コンピュータ・プログラムを提供する。
本開示の態様は、一組のサイバーセキュリティ・データの空間属性および一組のサーバセキュリティ・データの時間属性に基づいて、複数のテンソルを生成することを含むコンピュータ実装方法を対象とする。一組のサイバーセキュリティ・データは、複数の演算源から収集された数値データおよびテキスト・データを含み得る。この方法は、各領域の活性ノードに基づいて、各領域の各HTM出力を生成するように構成された階層型時間メモリ(HTM)ネットワークに複数のテンソルを提供することをさらに含むことができる。この方法は、少なくとも1つのHTM出力が異常を示すものと判定することと、少なくとも1つのHTM出力を通知に変換することと、通知をユーザ・インターフェースに提供することと、をさらに含み得る。
本開示の別の態様は、プロセッサと、プロセッサにより実行された場合に、一組のサイバーセキュリティ・データの空間属性および一組のサーバセキュリティ・データの時間属性に基づいて、複数のテンソルを生成することを含む方法を実行するプログラム命令を格納する有形コンピュータ可読メモリとを備えたコンピュータ・システムを対象とする。一組のサイバーセキュリティ・データは、複数の演算源から収集された数値データおよびテキスト・データを含むことができる。この方法は、各領域の活性ノードに基づいて、各領域の各HTM出力を生成するように構成された階層型時間メモリ(HTM)ネットワークに複数のテンソルを提供することをさらに含み得る。この方法は、少なくとも1つのHTM出力が異常を示すものと判定することと、少なくとも1つのHTM出力を通知に変換することと、通知をユーザ・インターフェースに提供することとをさらに含むことができる。
本開示の別の態様は、プロセッサにより実行されて、一組のサイバーセキュリティ・データの空間属性および一組のサーバセキュリティ・データの時間属性に基づいて、複数のテンソルを生成することを含む方法をプロセッサに実行させ得るプログラム命令を有するコンピュータ可読記憶媒体を備えたコンピュータ・プログラム製品を対象とする。一組のサイバーセキュリティ・データは、複数の演算源から収集された数値データおよびテキスト・データを含むことができる。この方法は、各領域の活性ノードに基づいて、各領域の各HTM出力を生成するように構成された階層型時間メモリ(HTM)ネットワークに複数のテンソルを提供することをさらに含み得る。この方法は、少なくとも1つのHTM出力が異常を示すものと判定することと、少なくとも1つのHTM出力を通知に変換することと、通知をユーザ・インターフェースに提供することとをさらに含むことができる。
本開示の別の態様は、情報技術(IT)環境中の複数のデバイスに関するセキュリティ・データを受信して格納するセキュリティ情報・イベント管理(SIEM)システムと、HTMプロセッサおよびHTMメモリを備えた階層型時間メモリ(HTM)システムと、メモリおよびプロセッサを備えた特徴抽出システムであり、メモリが、プロセッサにより実行された場合に、方法を実行する命令を格納した、特徴抽出システムとを備えたシステムを対象とする。この方法は、セキュリティ・データを複数の空間−時間多次元アレイに変換することであって、複数の空間−時間多次元アレイの局面とセキュリティ・データとの相関が相関データベースに格納されることを含む。この方法は、複数の空間−時間多次元アレイをHTMシステムに入力したことに応答して、HTMシステムから少なくとも1つの出力多次元アレイを受信することをさらに含み得る。この方法は、特徴抽出システムに連通結合されたユーザ・インターフェースから受け付けられたクエリに対して自然言語処理を実行することであり、クエリが、IT環境中の複数のデバイスのうちの少なくとも1つを識別する、実行することをさらに含むことができる。この方法は、クエリ、少なくとも1つの出力多次元アレイ、および相関データベースに基づいて、回答を生成することと、回答をユーザ・インターフェースに提示することとをさらに含むことができる。
本開示の別の態様は、特徴抽出システムの機械学習アルゴリズムを用いることにより、セキュリティ・データを複数の空間−時間多次元アレイに変換することであって、セキュリティ・データが、複数の演算装置を連通結合するサイバーセキュリティ環境において機能するセキュリティ情報・イベント管理(SIEM)システムから少なくとも部分的に収集される、変換することを含むコンピュータ実装方法を対象とする。複数の複数の空間−時間多次元アレイは、複数の演算装置の少なくとも一部と関連付けられた少なくとも一連続の演算イベントに少なくとも部分的に基づくことができる。この方法は、階層型時間メモリ(HTM)ネットワークを実行する3次元集積回路(3DIC)に複数の空間−時間多次元アレイを提供することをさらに含むことができる。この方法は、特徴抽出システムにおいてHTMネットワークから、HTMネットワークの各領域の活性ノードに少なくとも部分的に基づいて、少なくとも1つの出力多次元アレイを受信することをさらに含むことができる。この方法は、特徴抽出システムの機械学習アルゴリズムを用いることにより、少なくとも1つの出力多次元アレイに基づいて、少なくとも1つの異常を識別することと、特徴抽出システムにより、少なくとも1つの異常を識別したことに応答して、サイバーセキュリティ環境の少なくとも1つの局面を認識することと、をさらに含むことができる。この方法は、特徴抽出システムにより、特徴抽出システムに連通結合されたユーザ・インターフェースに対して、少なくとも1つの異常の通知を提示することをさらに含むことができる。
以下の図面に示すように、好適な実施形態を参照して、本発明を以下に説明するが、これは一例に過ぎない。
本開示は種々改良および代替形態を受け入れるが、図面には、その詳細を一例として示しており、以下に詳しく説明する。ただし、本開示は、記載の特定の実施形態に限定されるものではないことが了解されるものとする。逆に、本発明は、本開示の範囲内に含まれるすべての改良物、同等物、および代替物を網羅することになる。
本開示の態様は、コンピュータ・セキュリティを対象とし、より具体的には、異常検出システムを対象とする。本開示は、必ずしもそのような用途に限定されないものの、本文脈を用いた種々例の考察によって、本開示の種々態様が十分に理解することができる。
本開示の態様は、異種サイバーセキュリティ・データ(たとえば、ログ・データ、ネットワーク・データ、コンピュータ・データ、アプリケーション・データ、ユーザ挙動データ、ハードウェア・データ等)の収集、異種サイバーセキュリティ・データの同種データへの変換、同種データのアレイへの格納、アレイの階層型時間メモリ(HTM)ネットワークへの入力、HTMネットワークの出力の分析、および(たとえば、質問・回答(Q&A)システム、レポート、情報画像、チャート、メッセージ、アラート、異常スコア、確率等を用いた)関連するサイバーセキュリティ情報のユーザへの伝達を対象とする。
本開示の態様は、多くの利点を提示する。第1の例示的な利点として、本開示の態様は、異常検出の精度の向上(たとえば、誤検出または検出漏れ、あるいはその両方の低下)を提示する。この例示的な利点は、特徴抽出システムにより収集され、HTMネットワークに提供される大量のデータによって一部実現可能である。たとえば、特徴抽出システムは、異種データ(たとえば、ログ・データ、アンチウイルス・データ、ネットワーク・データ、ハードウェア・データ等)を同種データ(たとえば、ベクトル空間モデル(VSM)、テンソル、空間−時間多次元アレイ、または疎分散表現(SDR)、あるいはその組み合わせ)に変換し得る。このため、本開示の態様では、変換なしでは互換性のない大量のデータを利用することにより、異常検出システムの精度を向上可能である。
第2の例示的な利点として、本開示の態様では、多様な異常を検出する。たとえば、本開示の態様では、低レベルでの異常挙動(たとえば、単一のコンピュータ上で動作する単一のアプリケーションにおいて発生する異常挙動)および高レベルでの異常挙動(たとえば、数千台のコンピュータを結合したネットワークにおいて発生する異常挙動)を継続的に検出する。この利点は、HTMネットワークにより収集、変換、および処理される多様なデータのほか、HTMネットワークにおけるすべてのレベルで生成される継続的予測によって一部実現可能である。
第3の例示的な利点として、本開示の態様では、必要に応じて情報を提供することにより、異常検出システムの有用性を向上させる。たとえば、ユーザ(たとえば、セキュリティ分析者)が自然言語処理(NLP)システムに問い合わせ可能であり、NLPシステムは、適当なデータ分析アルゴリズムを識別して適当なHTM出力を読み出すとともに、実行したデータ分析アルゴリズムが提供する分析済みHTM出力に基づいて、クエリに対する適当な回答を策定することができる。この利点は、理解しやすい情報を必要に応じて提供し得るNLPシステムによって一部実現可能である。当業者には当然のことながら、未加工のHTM出力(たとえば、HTMネットワークの一部の活性ノードおよび非活性ノードに基づくアレイ)は、ユーザが理解できない(たとえば、ユーザは、NLPシステムおよび特徴抽出システムが実行するデータ分析アルゴリズムの補助がなければ、HTM出力の意味を解釈できない可能性がある)。
第4の例示的な利点として、本開示の態様では、データを効率的にHTMネットワークに入力することにより、処理の付帯的コストを低減し、電力使用を低減し、またはメモリ使用を低減する、あるいはそれらを組み合わせて行う。たとえば、本開示の態様では、他の方法では互換性のないサイバーセキュリティ・データを編集してVSM、テンソル、空間−時間多次元アレイ、またはSDR、あるいはその組み合わせにし、それによって、異なる技術を用いてデータの複数の部分集合を独立に分析するのではなく、類似の技術(たとえば、HTMネットワーク)を用いてデータの集合全体を同時に分析する。
第5の例示的な利点として、本開示の態様では、ハードウェア故障に耐性を持つ。たとえば、HTMネットワークは、3次元集積回路(3DIC)を用いて実装し、処理速度を向上させることが可能である。ただし、当業者には当然のことながら、3DICは、(たとえば、生産拡大に起因する)ハードウェア故障に見舞われやすい。HTMネットワークは、個々のデータ点ではなくデータのパターンに基づいて出力を生成するため、耐故障性があり都合が良い。このため、3DICに多数の故障が発生しても、HTM出力の生成に用いられるデータの全体パターンに及ぶ影響は無視できる。
前述の利点は例示的な利点であり、本開示は、本開示の範囲内に留まりつつ前述の利点のすべてを含み得る態様、前述の利点の一部を含み得る態様、または前述の利点を含み得ない態様が存在する。
ここで図1を参照して、この図は、本開示のいくつかの実施形態に係る、例示的なサイバーセキュリティ環境のブロック図である。実施形態において、サイバーセキュリティ環境100(たとえば、情報技術(IT)環境、プライベート・ネットワーク、パブリック・ネットワーク、連通結合された一組の演算装置等)は、1つまたは複数のセキュリティ情報・イベント管理(SIEM)システム124を具備する。SIEMシステム124としては、IBM(R)のQRadar(R)が可能であるが、これに限定されない。IBMおよびQRadarは、世界中の多くの法域で登録されたインターナショナル・ビジネス・マシーンズ・コーポレーションの商標である。SIEMシステム124は、たとえばファイアウォール104、スパム・フィルタ106、アンチウイルス108、ネットワーク侵入検出システム(NIDS)110、およびログ・データ112を含む1つまたは複数のネットワーク防御システム102からデータを収集する。同様に、SIEMシステム124は、たとえばファイアウォール116、アンチウイルス118、ホスト侵入検出システム(HIDS)120、およびログ・データ122を含む1つまたは複数のホスト防御システム114からデータを集める。ログ・データ(たとえば、ログ・データ112およびログ・データ122)としては、トランザクション・ログ、システム・ログ(たとえば、シスログ)、オペレーティング・システム・ログ、メッセージ・ログ、イベント・ログ、アプリケーション・ログ、ネットワーク・ログ、エンドユーザ・ログ、または異なるログ・データ、あるいはその組み合わせが挙げられるが、これらに限定されない。
SIEMシステム124は、数値データおよびテキスト・データの両者を収集する。数値データとしては、ネットワーク・アドレス(たとえば、インターネット・プロトコル(IP)アドレス)、シリアル番号、ポート番号、性能データ(たとえば、CPU速度、CPU容量、メモリ使用量等)、コマンド・コード、エラー・コード、時間、日付、期間、または他の数値データ、あるいはその組み合わせが可能であるが、これらに限定されない。テキスト・データとしては、コマンド、メッセージ、名称、識別子、エラー、または他のテキスト・データ、あるいはその組み合わせが可能であるが、これらに限定されない。
1つのSIEMシステム124を示しているが、サイバーセキュリティ環境100は、多くのSIEMシステム124を具備し得る。いくつかの実施形態においては、SIEMシステム124の追加または代替として、シンプル・ネットワーク管理プロトコル(SNMP)トラップまたは侵入検出・防止システム(IDPS)、あるいはその両方からデータが収集される。本開示のいくつかの実施形態では、SIEMシステム124を含まない代わりに、サイバーセキュリティ環境100において機能する演算装置から直接データを収集する。演算装置としては、たとえばルータ、ハブ、サーバ、コンピュータ、デスクトップ、ラップトップ、タブレット、スマートフォン、手持ち式デバイス、ウェアラブル・デバイス、または他の演算装置、あるいはその組み合わせが挙げられる。
SIEMシステム124により収集されたデータは、異常検出システム148に入力される。異常検出システム148には、特徴抽出システム126、階層型時間メモリ(HTM)ネットワーク130、および自然言語処理(NLP)システム152が物理的または仮想的に常駐する。特徴抽出システム126、HTMネットワーク130、またはNLPシステム152、あるいはその組み合わせは、明瞭化のため別個のエンティティとして示しているが、いくつかの実施形態においては、機械学習機能、特徴抽出機能、HTM機能、またはNLP機能、あるいはその組み合わせを有する同じエンティティに組み込まれていてもよい。
特徴抽出システム126としては、IBMのWatson(TM)が可能であるが、これに限定されない。図示はしていないものの、特徴抽出システム126は、決定木学習、相関ルール学習、人工ニューラル・ネットワーク、深層学習、帰納法プログラミング、サポート・ベクター・マシン、クラスタリング、ベイジアン・ネットワーク、強化学習、表現学習、類似性/基準トレーニング、スパース辞書学習、遺伝的アルゴリズム、ルールベース学習、または他の機械学習技術、あるいはその組み合わせ等、任意数の機械学習アルゴリズムを実行するが、これらに限定されない。Watsonは、世界中の多くの法域で登録されたインターナショナル・ビジネス・マシーンズ・コーポレーションの商標である。
たとえば、特徴抽出システム126は、K近傍法(KNN)、学習ベクトル量子化(LVQ)、自己組織化写像(SOM)、ロジスティック回帰、最小二乗回帰(OLSR)、線形回帰、ステップワイズ回帰、多変量適応型回帰スプライン(MARS)、リッジ回帰、最小絶対値縮小選択演算子(LASSO)、エラスティック・ネット、最小角度回帰(LARS)、確率的分類器、単純ベイズ分類器、二項分類器、線形分類器、階層分類器、正準相関分析(CCA)、因子分析、独立成分分析(ICA)、線形判別分析(LDA)、多次元スケーリング(MDS)、非負値基準因子分解(NMF)、部分的最小二乗回帰(PLSR)、主成分分析(PCA)、主成分回帰(PCR)、サモン・マッピング、t分布確率的近傍埋め込み法(t−SNE)、ブートストラップ・アグリゲーティング、アンサンブル平均化、勾配ブースティング決定木(GBRT)、勾配ブースティング・マシン(GBM)、帰納バイアス・アルゴリズム、Q学習、SARSA(State-Action-Reward-State-Action)、時間的差分(TD)学習、アプリオリ・アルゴリズム、等価クラス変換(ECLAT)アルゴリズム、ガウス過程回帰、遺伝子発現プログラミング、GMDH(Group Method of Data Handling)、帰納法プログラミング、インスタンス・ベース学習、ロジスティック・モデル木、情報ファジー・ネットワーク(IFN)、隠れマルコフ・モデル、ガウス単純ベイズ、多項単純ベイズ、平均単依存推定器(AODE)、ベイジアン・ネットワーク(BN)、分類・回帰木(CART)、カイ二乗自動相互作用検出(CHAID)、期待値最大化アルゴリズム、フィードフォワード・ニューラル・ネットワーク、論理学習マシン、自己組織化マップ、シングル・リンケージ・クラスタリング、ファジー・クラスタリング、階層クラスタリング、ボルツマン・マシン、畳み込みニューラル・ネットワーク、再帰ニューラル・ネットワーク、階層型時間メモリ(HTM)、または他の機械学習技術、あるいはその組み合わせ等の例示的な技術のうちの1つまたは複数を用いて機械学習を実行するように構成可能である。
特徴抽出システム126は、SIEMシステム124により生成されたデータを読み込んで、そのデータを階層型時間メモリ(HTM)ネットワーク130用に好適なフォーマットに変換するように構成されている。特徴抽出システム126は、SIEMシステム124により収集されたデータの言語的特性、意味的特性、統語的特性、スカラー特性、または測定特性、あるいはその組み合わせを表す数値を格納するように構成されたデータベース128を格納可能である。たとえば、SIEMシステム124から読み出されたデータは、VSMに変換可能である。このような例において、データベース128は、データの一部と当該データの一部を表す各VSMの各成分の各値との相関を格納可能である。データベース128は、図3に関してより詳しく論じる。
特徴抽出システム126は、変換データをHTMネットワーク130に提供する。いくつかの実施形態において、変換データには、1つもしくは複数のVSM、1つもしくは複数のテンソル、または1つもしくは複数の空間−時間多次元アレイ、あるいはその組み合わせを含む。いくつかの実施形態において、変換データには、少なくとも1つのVSM、少なくとも1つのテンソル、または少なくとも1つの空間−時間多次元アレイに基づく1つまたは複数の疎分散表現(SDR)を含む。
当業者には当然のことながら、HTMは、機械学習の技術である。HTMネットワークは、人間の脳の新皮質と類似の特性を提示し得る。たとえば、HTMネットワークは、複数のレベルを有するツリー状の階層として表し得る。データをより低いレベルに入力し、より低いレベルからの出力をより高いレベルへの入力として使用することができる。各レベルには、1つまたは複数の領域を含み得る。より低いレベルには、より高いレベルよりも多くの領域を含み得る。各領域には、複数のノードを含み得る(たとえば、あるレベルのある領域としては、16×16個のノードが可能である)。各ノードには、一列のセルを含み得る(たとえば、各ノードには、一列の3つのセルを含み得る)。HTMネットワークは、活性セルのパターン(または、活性ノードのパターン)に基づいて学習可能である。個々のセルは、フィード・フォワード入力(たとえば、より低いレベルから受信された入力)または隣接入力(たとえば、同じレベルのセルから受信された入力)により活性化可能である。
実施形態において、HTMネットワーク130は、1つまたは複数の空間プーラ132を用いてデータをフォーマットするとともに、1つまたは複数の時間プーラ134を用いて活性セルまたは活性ノード、あるいはその両方の次のパターンを予測する。いくつかの実施形態において、空間プーラ132は、受信データをHTMネットワーク130に適したフォーマットに変換するように構成されている。たとえば、空間プーラ132は、HTMネットワーク130のレベル数、領域数、またはノード数、あるいはその組み合わせに適したサイズへとデータを再フォーマット可能である。別の例として、空間プーラ132は、情報効率の向上を示す少なくとも1つの異なるデータ構造へとデータを再フォーマット可能である。たとえば、空間プーラ132は、入力データの1つまたは複数の疎分散表現(SDR)を生成可能である。このような例においては、入力データのSDRに基づいて、HTMネットワーク130の各領域の一組のセルを活性化することにより、SDRをHTMネットワーク130のある領域に入力することができる。代替実施形態において、特徴抽出システム126は、適当にフォーマットされたデータをHTMネットワーク130に直接提供する。
時間プーラ134は、次の受信入力(たとえば、次の一組の活性セルまたは活性ノード)を予測するように構成されている。時間プーラ134は、HTMネットワーク130の各レベルの各領域を継続的に予測する。HTMネットワーク130は、正しい予測と関連付けられたパターンおよび正しくない予測と関連付けられたパターンの経時的な観測に基づいて学習する。いくつかの実施形態において、本開示では、1つまたは複数の正しくない予測を行う時間プーラ134に基づいて、異常挙動を識別する。正しくない予測は、入力データの異常挙動を示し得る。代替実施形態において、本開示では、異常挙動を示唆する1つまたは複数の予測(たとえば、既知の異常パターンに一致する予測)を行う時間プーラ134に基づいて、異常挙動を識別する。
いくつかの実施形態において、HTMネットワーク130の出力には、HTMネットワーク130の所与の領域の活性セル(または、ノード)を表すアレイを含む。いくつかの実施形態において、HTMネットワーク130の出力には、HTMネットワーク130の各領域における活性セルの予測パターンとHTMネットワーク130の各領域における活性セルの観測パターンとの差を表すアレイを含む。いくつかの実施形態において、HTMネットワーク130の出力には、HTMネットワーク130の各領域における活性セルの予測パターンとHTMネットワーク130の各領域における活性セルの既知異常パターンとの一致点を表すアレイを含む。
いくつかの実施形態において、HTMネットワーク130は、集積回路(IC)を用いて実装される。いくつかの実施形態において、HTMネットワーク130は、3次元IC(3DIC)を使用する。たとえば、HTMネットワーク130は、3Dウェハ・レベル・パッケージング(3DWLP)、3Dインターポーザ・ベース集積、3D積層IC(3D−SIC)、モノリシック3D IC、3D不均一集積、3Dシステム・イン・パッケージ(3DSiP)、パッケージ・オン・パッケージ(PoP)、他の3DIC構造、または3DICに類似の機能を提供する他の構造、あるいはその組み合わせを用いて実装可能である。上で議論した通り、3DICは、その他よりも改善された演算能力および演算速度が提供可能であるため、HTMネットワーク130の生成に有利となり得る。3DICはこれまで、(たとえば、製造時の生産拡大のため)通常より高いハードウェア故障に見舞われてきたが、HTMネットワーク130は、動作の特定のインスタンスではなく動作のパターンに基づいて学習するため、ハードウェア故障に耐性を示す。このため、HTMネットワーク130は、当該HTMネットワーク130中の不良ノードにも関わらず、正しい出力を提供可能である。
HTMネットワーク130中のさまざまな領域およびレベルからの出力が特徴抽出システム126に入力されて、後処理される。特徴抽出システム126は、データベース128を使用して、HTMネットワーク130による数値データ出力を使用可能な情報に変換することができる。また、特徴抽出システム126は、さまざまなデータ源136からデータを収集して、付加的なコンテキストをHTMネットワーク130の出力に提供することができる。
実施形態において、データ源136としては、履歴データ138、インターネット・データ140、環境データ142、またはグローバル・セキュリティ・データ144、あるいはその組み合わせが挙げられるが、これらに限定されない。履歴データ138としては、HTMネットワーク130と関連する履歴データ(たとえば、先行入力、先行出力、既知の異常挙動パターン等)が挙げられるが、これに限定されない。インターネット・データ140としては、ニュース・データ、ソーシャル・メディア・データ、またはインターネット上で利用可能な他のデータが挙げられるが、これらに限定されない。環境データ142としては、サイバーセキュリティ環境100において機能するハードウェア、ソフトウェア、ファームウェア、オペレーティング・システム、または他の物理的もしくは仮想的コンポーネント、あるいはその組み合わせの数、種類、バージョン、またはモデル、あるいはその組み合わせが挙げられるが、これらに限定されない。環境データ142としては、特徴抽出システム126またはHTMネットワーク130、あるいはその両方にデータを提供するコンポーネントと関連付けられたサイバーセキュリティ・プロトコル、ポリシー、または手順、あるいはその組み合わせがさらに挙げられる。グローバル・セキュリティ・データ144としては、サイバーセキュリティの脅威、脆弱性、攻撃、方法、技術、戦略、成功事例、学んだ教訓、またはグローバル・サイバーセキュリティと関連する他のデータ、あるいはその組み合わせが挙げられるが、これらに限定されない。
いくつかの実施形態においては、HTMネットワーク130から受信され、特徴抽出システム126により後処理されたデータがユーザ・インターフェース146に出力される(たとえば、警告、スコア、確率、情報画像、チャート、レポート等)。いくつかの実施形態においては、HTMネットワーク130から受信され、特徴抽出システム126により後処理されたデータがNLPシステム152に送られて、さらに処理される。
NLPシステム152は、ユーザ・インターフェース146と相互作用する。NLPシステム152は、特徴抽出システム126またはデータ源136、あるいはその両方により後処理されたデータに基づいて、レポート、情報画像、回答、または警告、あるいはその組み合わせを生成し、ユーザ・インターフェース146に提示することができる。ユーザ・インターフェース146は、情報をユーザ(たとえば、セキュリティ分析者)に提示可能である。一例として、NLPシステム152は、ユーザ・インターフェース146から質問を受け付け、特徴抽出システム126を介したHTMネットワーク130への問い合わせに適したフォーマットに質問を変換し、適当なデータ分析アルゴリズムを実行してHTMネットワーク130の関連部分からHTM出力を読み出し、読み出した出力を回答に変換し、回答をユーザ・インターフェース146に提供することができる。いくつかの実施形態において、回答はさらに、データ源136から集められた機械学習の洞察に基づく。いくつかの実施形態において、回答には、(たとえば、文としてフォーマット済みの)テキスト・データまたは数値データ(たとえば、量、範囲、識別子、確率、または信頼性、あるいはその組み合わせ)、あるいはその両方を含む。
NLPシステム152は、特徴抽出システム126に関して上述した通り、任意数の機械学習アルゴリズムを実行する。図示はしていないものの、NLPシステム152は、機械学習および自然言語処理機能を含んでおり、見出し語認定、形態学的セグメンテーション、品詞(POS)タグ付け、構文解析、文境界明確化、語幹抽出、セグメンテーション、用語抽出、意味解析、感情分析、光学式文字認識、多義性解消、音声認識、テキスト−音声処理、または他の技術、あるいはその組み合わせが挙げられるが、これらに限定されない。いくつかの実施形態において、NLPシステム152は、IBM Watsonである。
SIEMシステム124、特徴抽出システム126、HTMネットワーク130、NLPシステム152、データ源136、およびユーザ・インターフェース146は、ネットワーク150により接続されている。ネットワーク150としては、物理ネットワーク、仮想ネットワーク、または、物理ネットワークと仮想ネットワークとの組み合わせが可能である。図示はしていないものの、ネットワーク150は、多くの演算装置(たとえば、SIEMシステム124により収集されるデータを生成する演算装置)をさらに相互接続可能であり、ルータ、ハブ、サーバ、デスクトップ、ラップトップ、データ処理システム、コンピュータ、タブレット、手持ち式デバイス、ウェアラブル・デバイス、スマートフォン、または他の演算装置、あるいはその組み合わせが挙げられるが、これらに限定されない。
図1は、本開示の実施形態に係る、例示的なサイバーセキュリティ環境100の主要な構成要素を表すことを意図している。ただし、いくつかの実施形態においては、個々の構成要素が図1に示すより複雑であってもよいし、複雑でなくてもよく、図1に示す構成要素以外の構成要素または付加的な構成要素が存在し得る。さらに、いくつかの実施形態においては、図1に示すさまざまな構成要素が図1に示す機能より優れていてもよいし、劣っていてもよいし、異なっていてもよい。
ここで図2を参照して、この図は、本開示のいくつかの実施形態に係る、例示的な異常検出方法のフローチャートである。方法200は、たとえば1つもしくは複数のプロセッサ、異常検出システム(たとえば、図1の異常検出システム148)、特徴抽出システム(たとえば、図1の特徴抽出システム126)、または異なる構成のハードウェアにより実行可能である。明瞭化のため、方法200は以下、異常検出システムにより実行されるものとして説明するが、本開示の態様は、他のハードウェア・コンポーネントまたはハードウェア・コンポーネントの組み合わせにより実行可能である。
動作202において、異常検出システムは、サイバーセキュリティ・データを収集する。サイバーセキュリティ・データは、たとえばログ・ファイル(たとえば、シスログ、オペレーティング・システム(OS)ログ、イベント・ログ、アプリケーション・ログ、ネットワーク・ログ、トランザクション・ログ、通信ログ、または他のログ・ファイル、あるいはその組み合わせ)、SIEMシステム、SNMPトラップ、IDPシステム、ネットワーク、ルータ、コンピュータ、ラップトップ、タブレット、手持ち式デバイス、ウェアラブル・デバイス、携帯電話、アプリケーション、オペレーティング・システム、ファイアウォール、スパム・フィルタ、アンチウイルス・アプリケーション、ネットワーク侵入検出システム(NIDS)、ホスト侵入検出システム(HIDS)、またはサイバーセキュリティ環境に関連するデータを生成する他のソース、あるいはその組み合わせから収集可能である。種々実施形態において、異常検出システムは、個々の構成要素または1つもしくは複数のアグリゲーション・ポイント(たとえば、SIEMシステム)、あるいはその両方からサイバーセキュリティ・データを収集可能である。
動作204において、異常検出システムは、動作202において収集されたサイバーセキュリティ・データを前処理する。サイバーセキュリティ・データの前処理としては、サイバーセキュリティ・データのフィルタリング(たとえば、クレンジング)、統合、または構造化が挙げられるが、これらに限定されない。フィルタリングは、破損したデータ、不正確なデータ、あるいは除去しないと問題を生じるデータの除去を表し得るが、これらに限定されない。たとえば、本開示の態様では、重複データをフィルタリング可能である。統合は、異種源からのデータを論理的グループとして組み合わせることを表し得るが、これに限定されない。たとえば、本開示の態様では、同じ内部ネットワーク上で動作する多くのコンピュータから読み出されたデータを、同じ内部ネットワークと関連付けられたデータの論理グループに統合可能である。構造化は、関連データの順序付けまたは簡素化、あるいはその両方を表し得るが、これらに限定されない。たとえば、受信データをサイズ、時間、種類、または異なる基準により順序付けすることができる。別の例においては、受信数値データを所定の精度に丸める(たとえば、小数第1位または第2位に丸める)ことができる。
動作206において、異常検出システムは、前処理されたデータを各テンソルに符号化することによって、1つまたは複数のテンソルを生成する。いくつかの実施形態において、テンソル(本明細書においては、空間−時間多次元アレイとも称する)は、1つまたは複数のVSMで構成される。各VSMは、動作204において前処理された数値データおよびテキスト・データに基づいて生成可能である。いくつかの実施形態において、テンソルは、タイムスタンプをVSMと組み合わせて、時系列と関連付けられたテンソルを生成することができる。いくつかの実施形態において、各テンソルは、数値として分類および処理されたクラスタ化ログ特性(VSM行列として表される)を含み得る。このため、テンソルは、複数の空間ベースおよび時間ベースにわたって、イベント・データの属性を数値で表すことができる。空間ベースとしては、たとえばサイバーセキュリティ環境中の異なる場所で発生するシステム・イベントの特定の値行列が可能である。サイバーセキュリティ環境中の異なる場所は、たとえば送信元マシンのアドレス(たとえば、IPアドレス)、送信先マシンのアドレス、ポート番号、プロトコル番号、マシン位置(たとえば、データ・センタまたはネットワーク内)、データ・センタ位置(たとえば、地理的位置)等によって識別可能である。時間ベースとしては、たとえば時間、日付、シーケンス(たとえば、動作中のプログラムにおいて問い合わされるスケジュール化されたコンピュータ命令)、プロトコル・シーケンス番号(たとえば、通信プロトコル・メッセージの直列化および配列化)等が可能である。動作206は、図3に関してより詳しく説明する。
いくつかの実施形態において、異常検出システムは、テンソルを疎分散表現(SDR)に変換する。当業者には当然のことながら、SDRは、削減された量のデータ中に適当な量の情報を保持する、入力データ部分集合を含む。
動作208において、異常検出システムは、異常検出スコア処理のために、テンソル(または、SDR)をHTMネットワーク(たとえば、図1のHTMネットワーク130)に提供する。HTMネットワークが多くのレベルを含み、各レベルが1つまたは複数の領域を含み、各領域が複数のノードを含み、各ノードが一列のセルを含み得る。より高いレベルには、より低いレベルよりも少ない領域(少ないノードおよび少ないセル)しか含み得ない。より低いレベルの1つまたは複数の領域がより高いレベルの1つまたは複数の領域への入力として、出力を提供可能である。いくつかの実施形態において、HTMネットワークは、一意の一組の時間データまたは空間データ、あるいはその両方に基づいて入力をそれぞれ受信する複数のHTM階層を含むことができ、複数のHTM階層は、単一の最上位レベルへと収束し得る。たとえば、各HTM階層は、特定種類のデータ(たとえば、シスログ・データ)または特定集合のデータ(たとえば、各コンピュータ・システムに収集されたすべてのデータ)を処理するように存在し得る。実施形態において、収集されたデータは、さまざまな間隔(たとえば、連続(受信されるまま)、1分、1時間、または1日間隔、あるいはその組み合わせ)で処理され得る。HTMネットワークの各領域は、動作208におけるデータ処理の結果として出力を生成し得る。出力としては、HTMネットワークの各領域の活性セルまたはノード、あるいはその両方に基づくアレイが挙げられるが、これに限定されない。適正な後処理により、アレイ出力は、予測、異常点検出、スコア、パターン検出、パターン表現、または信頼性(たとえば、パーセント信頼性、尤度、確率、または信頼性の異なる尺度)、あるいはその組み合わせを示し得る。動作208は、図4に関してより詳しく説明する。
動作210において、異常検出システムは、動作208により生成された出力を後処理する。異常検出システムは、HTMネットワークの数値出力を使用可能なデータに変換することによって、HTM結果を後処理することができる。たとえば、異常検出システムは、HTM出力アレイを、サイバーセキュリティ環境の特定の部分(たとえば、コンピュータ上で機能するアプリケーション)と関連付けられた特定の基準(たとえば、ログイン試行、ネットワーク・トラヒック)に変換することができる。いくつかの実施形態において、異常検出システムは、動作210において、HTM出力が異常を示すかを判定する。いくつかの実施形態において、異常検出システムは、他のデータ源(たとえば、図1のデータ源136)から付加的なデータを集める。このようなデータとしては、履歴データ、インターネット・データ、環境データ、またはグローバル・セキュリティ・データ、あるいはその組み合わせが挙げられるが、これらに限定されない。動作210は、図5に関して以下により詳しく説明する。
動作212において、異常検出システムは、結果をユーザ・インターフェース(たとえば、図1のユーザ・インターフェース146)に提示する。いくつかの実施形態において、異常検出システムは、後処理されたHTM出力をレポート、警告、情報画像、質問への回答等の通知、または別のフォーマットに変換する。動作212は、図6に関してより詳しく説明する。
動作214において、異常検出システムは、サイバーセキュリティ環境を再構成することによって、異常を自動的に(または、ユーザ入力に応答して)緩和する。本開示において、サイバーセキュリティ環境の再構成は、サイバーセキュリティ環境が再構成の結果として変化した機能性(たとえば、変化した能力、変化した性能)を示すように、サイバーセキュリティ環境を仮想的または物理的に変更することを表し得る。たとえば、再構成の結果として、サイバーセキュリティ環境の機能性が低下するとともにセキュリティが向上する可能性がある。異常は、たとえば異常と関連付けられたサイバーセキュリティ環境の部分を隔離することによって緩和可能である。たとえば、異常検出システムは、コンピュータで発生している異常を識別することに反応して、コンピュータをネットワークから自動的に隔離することができる。
図2は、本開示のいくつかの実施形態に係る、例示的な異常検出方法の主要な動作を表すことを意図している。ただし、いくつかの実施形態においては、個々の動作が図2に示すより複雑であってもよいし、複雑でなくてもよく、図2に示す動作に付加される(または、代替される)動作が存在し得る。さらに、いくつかの実施形態においては、図2に示すさまざまな動作が図2に示す機能より優れていてもよいし、劣っていてもよいし、異なっていてもよい。さらに、いくつかの実施形態においては、図2に示すさまざまな動作が発生する限りは、異なる順序で発生してもよい。
ここで図3を参照して、この図は、本開示のいくつかの実施形態に係る、例示的なテンソル生成方法のフローチャートである。いくつかの実施形態において、方法300は、図2の動作206の下位方法である。方法300は、たとえば1つもしくは複数のプロセッサ、異常検出システム(たとえば、図1の異常検出システム148)、特徴抽出システム(たとえば、図1の特徴抽出システム126)、または異なる構成のハードウェアにより実行可能である。明瞭化のため、方法300は以下、異常検出システムにより実行されるものとして説明するが、本開示の態様は、他のハードウェア・コンポーネントまたはハードウェア・コンポーネントの組み合わせにより実行可能である。
動作302において、異常検出システムは、分類データを読み出す。分類データには、意味解析および特徴抽出の補助となる分類知識辞書を含み得る。分類データは、たとえばデータの種類(たとえば、数値データ対テキスト・データ)およびデータのクラス(たとえば、ネットワーク・データ対アンチウイルス・データ)を示し得る。
動作304において、異常検出システムは、前処理されたデータの第1の部分を数値データとして分類する。数値データとしては、たとえばプロセッサ(CPU)負荷、アドレス(たとえば、IPアドレス)、ポート番号、コマンド・コード、エラー・コード、時間、期間、プロトコル識別子、または他の数値データ、あるいはその組み合わせが可能である。動作306において、異常検出システムは、データの第1の部分を1つまたは複数のベクトル空間モデル(VSM)にマッピングする。当業者には当然のことながら、VSMは、物体を多次元ベクトルとして表す。VSMには、それぞれが値を格納した任意数の成分を含み得る。値および成分の各組み合わせは、データの第1の部分の一部を表し得る。数値データに基づくVSMは、VSMの選択成分に数値を格納し得る。たとえば、第1の成分が送信元IPアドレスを表し、第2の成分が送信先IPアドレスを表し、第3の成分がパケット・サイズを表し得る、等。例示的なVSMは3つの成分を含むが、本開示の実施形態では、前述の例で議論したよりも多くの成分または少ない成分を有するVSMを生成することができる。
動作308において、異常検出システムは、前処理されたデータの第2の部分をテキスト・データとして分類する。テキスト・データとしては、たとえばコマンド、メッセージ、名称、識別子、ログ・データ、エラー、または他のテキスト・データ、あるいはその組み合わせが可能である。たとえば、動作308において、異常検出システムは、「https://ssl.google-analytics.com:443 *DENIED* Banned site」をテキスト・データとして分類可能である。
動作310において、異常検出システムは、データの第2の部分をVSMにマッピングする。たとえば、異常検出システムは、動作308に関して上述した例示的なテキスト・データを「2 193479287 5 43 109820983」等の数字のベクトルに変換可能であり、ベクトルの各成分がスペースにより分離されている。数字のベクトルにおいて、第1の成分「2」は、イベント・カテゴリ・コード(たとえば、ウェブ・プロキシ対象サイトのアクセス通知)を示し得る。第2の成分「193479287」は、対象の統一資源位置指定子(URL)のダイジェスト値(たとえば、「https://ssl.google-analytics.com:443」のダイジェスト値)を表し得る。第3の成分「5」は、状態(たとえば、アクセス拒絶状態)を表し得る。第4の成分「43」は、状態の原因コード(たとえば、禁止サイトの原因コード)を表し得る。第5の成分「109820983」は、禁止サイトのURLまたはドメイン、あるいはその両方(たとえば、「google-analytics.com」)のダイジェスト値を表し得る。上述の例は、5つの成分(たとえば、5つの次元)を有するVSMを示しているが、任意数の成分が可能である。
動作312において、異常検出システムは、VSMの各成分の各値をそれらが表すデータに相関データベースを生成する。たとえば、データベースは、数字「193479287」と例示的なVSMの第2の成分に対するテキスト「https://ssl.google-analytics.com:443」との相関を格納し得る。
また、いくつかの実施形態において、異常検出システムは、VSMの成分と数値データのプロパティ属性(たとえば、動作306で数値データに基づいて生成されたVSM)との関連を同じデータベースまたは異なるデータベースに格納することができる。たとえば、異常検出システムは、VSMの第1の成分が送信元IPアドレスを参照し、VSMの第2の成分が送信先IPアドレスを参照し、VSMの第3の成分がパケット・サイズを参照し得るという指示を格納することができる。
動作314において、異常検出システムは、少なくとも1つのVSMに基づいて、少なくとも1つのテンソルを生成する。たとえば、サイバーセキュリティ環境中の異なる場所で同じイベントにより生成されたセキュリティ・データを表す複数のVSMがテンソルに収集され得る。別の例においては、同じ一組のセキュリティ・データの時系列を表す複数のVSMがテンソルに収集され得る。別の例においては、すべてのログ・データを表す複数のVSMがテンソルに収集され得る。各テンソルは、各VSMの次元および各テンソルの生成に用いられる各VSMの数に基づいて、任意数の次元と関連付け可能である。
図3は、本開示のいくつかの実施形態に係る、例示的なテンソル生成方法の主要な動作を表すことを意図している。ただし、いくつかの実施形態においては、個々の動作が図3に示すより複雑であってもよいし、複雑でなくてもよく、図3に示す動作の付加的な(または、代替的な)動作が存在し得る。さらに、いくつかの実施形態においては、図3に示すさまざまな動作が図3に示す機能より優れていてもよいし、劣っていてもよいし、異なっていてもよい。さらに、いくつかの実施形態においては、図3に示すさまざまな動作が発生する限りは、異なる順序で発生してもよい。
ここで図4を参照して、この図は、本開示のいくつかの実施形態に係る、階層型時間メモリ(HTM)ネットワークを用いた例示的な異常スコア処理方法のフローチャートである。いくつかの実施形態において、方法400は、図2の動作208の下位方法である。方法400は、たとえば1つもしくは複数のプロセッサ、異常検出システム(たとえば、図1の異常検出システム148)、HTMネットワーク(たとえば、図1のHTMネットワーク130)、または異なる構成のハードウェアにより実行可能である。明瞭化のため、方法400は以下、異常検出システムにより実行されるものとして説明するが、本開示の態様は、他のハードウェア・コンポーネントまたはハードウェア・コンポーネントの組み合わせにより実行可能である。
動作402において、異常検出システムは、HTMネットワークが処理する特徴抽出システム(たとえば、図1の特徴抽出システム126)からのデータを受信する。いくつかの実施形態において、データには、1つまたは複数のテンソルを含む。1つまたは複数のテンソルは、サイバーセキュリティ環境からの数値データおよびテキスト・データを用いて生成された1つまたは複数のVSMに基づき得る。いくつかの実施形態において、データには、1つまたは複数のテンソルに基づく1つまたは複数のSDRをさらに含む。各テンソルは、空間ベース(たとえば、サイバーセキュリティ環境中の異なる場所)および時間ベース(たとえば、サイバーセキュリティ環境中の異なる時間)全体にわたって特徴抽出システムにより収集されたデータの属性を数値で表すことができる。
動作404において、異常検出システムは、受信データをHTMネットワークに入力する。データのHTMネットワークへの入力には、入力データに基づいてHTMネットワークの第1のレイヤの選択セルまたは列(ノードとも称する)、あるいはその両方を活性化することを含み得る。
動作406において、異常検出システムは、HTMネットワークを用いてデータを処理する。いくつかの実施形態において、異常検出システムは、HTMネットワークの先行レイヤ(たとえば、下位レイヤ)の領域からの出力をHTMネットワークの後続レイヤ(たとえば、上位レイヤ)の領域に適用することができる。当業者には当然のことながら、後続レイヤは、先行レイヤよりも小さいこと(たとえば、より少ない領域、ノード、セル、または列、あるいはその組み合わせ)が可能である。先行レイヤからの出力を入力として後続レイヤに提供することには、先行レイヤの活性セルまたは列、あるいはその両方のパターンに基づいて、後続セルの各セルまたは列、あるいはその両方を活性化することを含み得る。動作406には、HTMネットワークの任意数のレイヤおよび領域に対するデータの処理を含み得る。
動作408において、異常検出システムは、HTMネットワークの各レイヤの各領域からの結果を特徴抽出システムに出力する。出力としては、HTMネットワークの各領域の活性ノードおよび非活性ノードに基づくアレイが挙げられるが、これに限定されない。出力は、たとえば予測、信頼性、異常検出、パターン検出、パターン表現、ローカル・スコア、またはグローバル・スコア(たとえば、グローバル環境異常スコア)、あるいはその組み合わせを表し得る。
図4は、本開示のいくつかの実施形態に係る、HTMネットワークを用いた例示的な異常スコア処理方法の主要な動作を表すことを意図している。ただし、いくつかの実施形態においては、個々の動作が図4に示すより複雑であってもよいし、複雑でなくてもよく、図4に示す動作の付加的な(または、代替的な)動作が存在し得る。さらに、いくつかの実施形態においては、図4に示すさまざまな動作が図4に示す機能より優れていてもよいし、劣っていてもよいし、異なっていてもよい。さらに、いくつかの実施形態においては、図4に示すさまざまな動作が発生する限りは、異なる順序で発生してもよい。
ここで図5を参照して、この図は、本開示のいくつかの実施形態に係る、例示的なHTMデータ後処理方法のフローチャートである。いくつかの実施形態において、方法500は、図2の動作210の下位方法である。方法500は、たとえば1つもしくは複数のプロセッサ、異常検出システム(たとえば、図1の異常検出システム148)、特徴抽出システム(たとえば、図1の特徴抽出システム126)、または異なる構成のハードウェアにより実行可能である。明瞭化のため、方法500は以下、異常検出システムにより実行されるものとして説明するが、本開示の態様は、他のハードウェア・コンポーネントまたはハードウェア・コンポーネントの組み合わせにより実行可能である。
動作502において、異常検出システムは、HTM出力を読み出す。HTM出力には、HTMネットワークの任意の領域またはレベルの予測、信頼性、スコア、またはパターン、あるいはその組み合わせを示す数値出力(たとえば、アレイ)を含み得る。いくつかの実施形態において、HTM出力は、SDRフォーマット、テンソル・フォーマット、またはVSMフォーマット、あるいはその組み合わせにて受信可能である。HTM出力は、HTMネットワークの所与の領域の活性ノードまたは非活性ノード、あるいはその両方、HTMネットワークの所与の領域の予測活性ノードまたは予測非活性ノード、あるいはその両方、またはHTMネットワークの所与の領域の予測ノード動作と観測ノード動作との差、あるいはその組み合わせに基づくことができる。
動作504において、異常検出システムは、履歴情報(たとえば、図1の履歴データ138)を読み出す。履歴情報には、たとえばHTMネットワークと関連付けられた過去の入力または出力、あるいはその両方を含み得る。異常検出システムは、内部ストレージまたは外部ストレージに格納されたデータベースから履歴データを読み出すことができる。
動作506において、異常検出システムは、インターネット情報(たとえば、図1のインターネット・データ140)を読み出す。インターネット情報には、たとえばソーシャル・メディア・ウェブサイト、ニュース・ウェブサイトから読み出されたデータ、またはインターネットから読み出された他の情報を含むことができる。たとえば、異常検出システムは、1つまたは複数のニュース・ウェブサイトからの新たなランサムウェア攻撃に関する情報を読み出すことができる。
動作508において、異常検出システムは、環境情報(たとえば、図1の環境データ142)を読み出す。環境データとしては、サイバーセキュリティ・プロトコル、サイバーセキュリティ・ポリシー、サイバーセキュリティ手順、既知の脆弱性、既知の脅威、またはサーバ、コンピュータ、ラップトップ、タブレット、手持ち式デバイス、ウェアラブル・デバイス、スマートフォン、ネットワーク、ルータ、ハブ、ソフトウェア、ファームウェア、アプリケーション、オペレーティング・システム、またはサイバーセキュリティ環境において機能する他の構成要素、あるいはその組み合わせの構成、モデル、またはバージョン、あるいはその組み合わせと関連する他の情報が挙げられるが、これらに限定されない。異常検出システムは、内部ストレージまたは外部ストレージ、あるいはその両方から環境データを読み出すことができる。
動作510において、異常検出システムは、グローバル・セキュリティ・データ(たとえば、図1のグローバル・セキュリティ・データ144)を読み出す。グローバル・セキュリティ・データとしては、サイバーセキュリティの脅威、脆弱性、攻撃、方法、技術、戦略、成功事例、学んだ教訓、またはグローバル・サイバーセキュリティと関連する他のデータが挙げられるが、これらに限定されない。グローバル・セキュリティ・データは、内部ストレージまたは外部ストレージ、あるいはその両方から読み出すことができる。
動作512において、異常検出システムは、動作502〜510において読み出されたデータに機械学習を実行する。機械学習としては、拡張知能、人工知能、またはコグニティブ・コンピューティング、あるいはその組み合わせと関連付けられた技術が挙げられる。たとえば、機械学習としては、決定木学習、相関ルール学習、人工ニューラル・ネットワーク、深層学習、帰納法プログラミング、サポート・ベクター・マシン、クラスタリング、ベイジアン・ネットワーク、強化学習、表現学習、類似性/基準学習、遺伝的アルゴリズム、ルールベース機械学習、自然言語処理、学習分類器システム、またはデータのコーパスから関連する洞察を生成可能な技術、あるいはその組み合わせが挙げられるが、これらに限定されない。
たとえば、いくつかの実施形態において、動作512は、K近傍法(KNN)、学習ベクトル量子化(LVQ)、自己組織化写像(SOM)、ロジスティック回帰、最小二乗回帰(OLSR)、線形回帰、ステップワイズ回帰、多変量適応型回帰スプライン(MARS)、リッジ回帰、最小絶対値縮小選択演算子(LASSO)、エラスティック・ネット、最小角度回帰(LARS)、確率的分類器、単純ベイズ分類器、二項分類器、線形分類器、階層分類器、正準相関分析(CCA)、因子分析、独立成分分析(ICA)、線形判別分析(LDA)、多次元スケーリング(MDS)、非負値基準因子分解(NMF)、部分的最小二乗回帰(PLSR)、主成分分析(PCA)、主成分回帰(PCR)、サモン・マッピング、t分布確率的近傍埋め込み法(tSNE)、ブートストラップ・アグリゲーティング、アンサンブル平均化、勾配ブースティング決定木(GBRT)、勾配ブースティング・マシン(GBM)、帰納バイアス・アルゴリズム、Q学習、SARSA(State-Action-Reward-State-Action)、時間的差分(TD)学習、アプリオリ・アルゴリズム、等価クラス変換(ECLAT)アルゴリズム、ガウス過程回帰、遺伝子発現プログラミング、GMDH(Group Method of Data Handling)、帰納法プログラミング、インスタンス・ベース学習、ロジスティック・モデル木、情報ファジー・ネットワーク(IFN)、隠れマルコフ・モデル、ガウス単純ベイズ、多項単純ベイズ、平均単依存推定器(AODE)、ベイジアン・ネットワーク(BN)、分類・回帰木(CART)、カイ二乗自動相互作用検出(CHAID)、期待値最大化アルゴリズム、フィードフォワード・ニューラル・ネットワーク、論理学習マシン、自己組織化マップ、シングル・リンケージ・クラスタリング、ファジー・クラスタリング、階層クラスタリング、ボルツマン・マシン、畳み込みニューラル・ネットワーク、再帰ニューラル・ネットワーク、階層型時間メモリ(HTM)、または他の機械学習技術、あるいはその組み合わせ等の例示的な技術のうちの1つまたは複数を使用可能である。
動作514において、異常検出システムは、動作512の出力を提示する。出力には、予測、信頼性、異常検出、パターン、警告、スコア、または別の出力を含み得る。出力は、ユーザ・インターフェース(たとえば、図1のユーザ・インターフェース146)に提示すること、メモリ(たとえば、図1の履歴データ138等の履歴データ・リポジトリ)に格納すること、または別のコンピュータ・システムに送信することが可能である。
図5は、本開示のいくつかの実施形態に係る、例示的なHTM出力後処理方法の主要な動作を表すことを意図している。ただし、いくつかの実施形態においては、個々の動作が図5に示すより複雑であってもよいし、複雑でなくてもよく、図5に示す動作の付加的な(または、代替的な)動作が存在し得る。さらに、いくつかの実施形態においては、図5に示すさまざまな動作が図5に示す機能より優れていてもよいし、劣っていてもよいし、異なっていてもよい。さらに、いくつかの実施形態においては、図5に示すさまざまな動作が発生する限りは、異なる順序で発生してもよい。
ここで図6を参照して、この図は、本開示のいくつかの実施形態に係る、例示的な異常検出システム問い合わせ方法のフローチャートである。いくつかの実施形態において、方法600は、図2の動作212の下位方法である。方法600は、たとえば1つもしくは複数のプロセッサ、異常検出システム(たとえば、図1の異常検出システム148)、自然言語処理(NLP)システム(たとえば、図1のNLPシステム152)、または異なる構成のハードウェアにより実行可能である。明瞭化のため、方法600は以下、異常検出システムにより実行されるものとして説明するが、本開示の態様は、他のハードウェア・コンポーネントまたはハードウェア・コンポーネントの組み合わせにより実行可能である。
動作602において、異常検出システムは、クエリを受け付ける。クエリは、たとえばユーザ・インターフェース(たとえば、図1のユーザ・インターフェース146)から受け付け可能である。クエリは、質問の形態も可能であるし、データのリクエストを指定する別の形態も可能である。
動作604において、異常検出システムは、クエリに自然言語処理を実行して、クエリをHTMネットワークへの問い合わせに適したフォーマットに変換する。いくつかの実施形態において、異常検出システムは、データベース(たとえば、図1のデータベース128)を用いて、クエリの関連テキストを、HTMネットワークが使用する適当なVSM、テンソル、またはSDR、あるいはその組み合わせに変換することができる。いくつかの実施形態において、異常検出システムは、HTM出力に実行する1つまたは複数の適当なデータ分析アルゴリズムを識別して、クエリに対する適当な回答を読み出す。
動作606において、異常検出システムは、クエリに基づいて、HTMネットワークの少なくとも1つの関連領域を識別する。異常検出システムは、(たとえば、適当なデータ分析アルゴリズムの実行によって)HTMネットワークの少なくとも1つの関連領域から、1つまたは複数のHTM出力を読み出すことができる。HTM出力には、予測、信頼性、スコア、パターン、または他のデータを表すVSM、テンソル、またはSDR、あるいはその組み合わせを含み得る。
動作608において、異常検出システムは、HTMネットワークから読み出された情報に自然言語処理を実行して、HTM出力を提示に適したフォーマット(たとえば、文として構造化された回答)に変換する。いくつかの実施形態において、動作608には、たとえばデータベース(たとえば、図1のデータベース128)を用いてHTM出力を後処理することにより、テキスト・データまたは数値データ、あるいはその両方を含む応答へとVSM、テンソル、またはSDR、あるいはその組み合わせを変換することを含む。
動作610において、異常検出システムは、回答をユーザ・インターフェースに提示する。いくつかの実施形態において、回答は、質問に対する応答、値、レポート、表、情報画像、または別のフォーマットとして提示される。
方法600の一例として、異常検出システムは、たとえば「今後20分以内にSECPRX2938.customer.comに対して予想されるログイン試行の数は?」等のクエリを受信することができる(たとえば、動作602)。異常検出システムは、HTMネットワークへの問い合わせに適したフォーマットに受信クエリを変換し(たとえば、動作604)、HTMネットワークの関連領域からHTM出力を読み出し(たとえば、動作606)、読み出したHTM出力を回答に変換し(たとえば、動作608)、回答をユーザ・インターフェースに提示する(たとえば、動作610)ことができる。たとえば、異常検出システムは、上述の例示的なクエリに応答して、テキスト「当該ホストは、75.8%の信頼区間で、今後20分間に約159回のログイン試行を処理することが予想される」を提示することができる。
図6は、本開示のいくつかの実施形態に係る、例示的な異常検出システム問い合わせ方法の主要な動作を表すことを意図している。ただし、いくつかの実施形態においては、個々の動作が図6に示すより複雑であってもよいし、複雑でなくてもよく、図6に示す動作の付加的な(または、代替的な)動作が存在し得る。さらに、いくつかの実施形態においては、図6に示すさまざまな動作が図6に示す機能より優れていてもよいし、劣っていてもよいし、異なっていてもよい。さらに、いくつかの実施形態においては、図6に示すさまざまな動作が発生する限りは、異なる順序で発生してもよい。
図7は、本開示のいくつかの実施形態に係る、異常検出システム700のブロック図である。いくつかの実施形態において、異常検出システム700は、図1の異常検出システム148と整合する。種々実施形態において、異常検出システム700は、図2〜図6に記載の方法のいずれかを実行する。いくつかの実施形態において、異常検出システム700は、図2〜図6に記載の1つまたは複数の方法に関する命令をクライアント・マシンに提供し、その結果、クライアント・マシンは異常検出システム700により提供された命令に基づいて、その方法またはその方法の一部を実行する。
異常検出システム700は、メモリ725、ストレージ730、相互接続(たとえば、バス)720、1つまたは複数のCPU705(本明細書においては、プロセッサ705とも称する)、入出力装置インターフェース710、入出力装置712、およびネットワーク・インターフェース715を具備する。
各CPU705は、メモリ725またはストレージ730に格納されたプログラミング命令を読み出して実行する。相互接続720は、プログラミング命令等のデータの、CPU705、入出力装置インターフェース710、ストレージ730、ネットワーク・インターフェース715、およびメモリ725間の移動に用いられる。相互接続720は、1つまたは複数のバスを用いて実装可能である。種々実施形態において、CPU705は、単一のCPU、複数のCPU、または複数の処理コアを有する単一のCPUが可能である。いくつかの実施形態において、CPU705は、デジタル・シグナル・プロセッサ(DSP)が可能である。いくつかの実施形態において、CPU705には、1つまたは複数の3DIC(たとえば、3Dウェハ・レベル・パッケージング(3DWLP)、3Dインターポーザ・ベース集積、3D積層IC(3D−SIC)、モノリシック3D IC、3D不均一集積、3Dシステム・イン・パッケージ(3DSiP)、またはパッケージ・オン・パッケージ(PoP)、あるいはその組み合わせのCPU構成)を含む。3DICを含む実施形態において、当該3DICは、HTM命令764の処理またはHTMデータ734の生成、あるいはその両方と関連付け可能である。メモリ725は一般的に、代表的なランダム・アクセス・メモリ(たとえば、スタティック・ランダム・アクセス・メモリ(SRAM)、ダイナミック・ランダム・アクセス・メモリ(DRAM)、またはフラッシュ)に含まれる。ストレージ730は一般的に、ハード・ディスク・ドライブ、ソリッドステート・デバイス(SSD)、リムーバブル・メモリ・カード、光ストレージ、またはフラッシュ・メモリ・デバイスなど、代表的な不揮発性メモリに含まれる。代替実施形態において、ストレージ730は、入出力装置インターフェース710を介して異常検出システム700に接続された、または、ネットワーク・インターフェース715を介してネットワーク750に接続されたストレージ・エリア・ネットワーク(SAN)デバイス、クラウド、または他のデバイスにより置き換え可能である。
いくつかの実施形態においては、メモリ725が命令760を格納し、ストレージ730がデータベース732、HTMデータ734、およびデータ源736を格納する。ただし、種々実施形態において、命令760、データベース732、HTMデータ734、およびデータ源736は、一部がメモリ725、一部がストレージ730に格納されるか、全体がメモリ725もしくはストレージ730に格納されるか、または、ネットワーク・インターフェース715を介してネットワーク750上でアクセスされる。
データベース732は、図1のデータベース128と整合する。データベース732は、各VSMの各成分の各値にテキスト・データおよび数値データを相関させるデータベースを格納することができる。
HTMデータ734には、HTMネットワーク(たとえば、図1のHTMネットワーク130)に入力されるデータまたはHTMネットワークから出力されるデータを含むことができる。HTMデータ734には、VSM、テンソル、またはSDR、あるいはその組み合わせを含むことができる。いくつかの実施形態において、HTMデータ734には、利用しやすいフォーマットのデータ(たとえば、テキスト、レポート、情報画像、チャート、警告等)を含み得る。HTMデータ734には、HTMネットワークの任意数の領域またはレイヤ、あるいはその両方に入力されるデータまたはそれらから出力されるデータ、あるいはその両方を含むことができる。
データ源736には、履歴データ、インターネット・データ、環境データ、またはグローバル・セキュリティ・データ、あるいはその組み合わせ等、サイバーセキュリティ環境からのデータ(たとえば、図1のSIEMシステム124により収集されたデータ)またはサイバーセキュリティ環境と関連する他のデータ(たとえば、図1のデータ源136)、あるいはその両方を収集するデータ源を含むことができる。
命令760は、特徴抽出命令762、HTM命令764、および質問・回答(Q&A)命令766を含むプロセッサ実行可能命令である。特徴抽出命令762は、異常検出システム700による実行によって、データの収集、データの変換、HTMネットワークとの連動、またはユーザ・インターフェースとの連動、あるいはそれらの組み合わせが可能である。特徴抽出命令762は、図2、図3、および図5において上述した方法のいずれかを実行するように構成可能である。
特徴抽出命令762には、データ分析アルゴリズムの実行、またはデータの機械学習の実行、あるいはその両方の命令を含み得る。特徴抽出命令762には、決定木学習、相関ルール学習、人工ニューラル・ネットワーク、深層学習、帰納法プログラミング、サポート・ベクター・マシン、クラスタリング、ベイジアン・ネットワーク、強化学習、表現学習、類似性/基準トレーニング、スパース辞書学習、遺伝的アルゴリズム、ルールベース学習、または他の機械学習技術、あるいはその組み合わせ等、機械学習アルゴリズム用の命令を含むが、これらに限定されない。
特徴抽出命令762には、K近傍法(KNN)、学習ベクトル量子化(LVQ)、自己組織化写像(SOM)、ロジスティック回帰、最小二乗回帰(OLSR)、線形回帰、ステップワイズ回帰、多変量適応型回帰スプライン(MARS)、リッジ回帰、最小絶対値縮小選択演算子(LASSO)、エラスティック・ネット、最小角度回帰(LARS)、確率的分類器、単純ベイズ分類器、二項分類器、線形分類器、階層分類器、正準相関分析(CCA)、因子分析、独立成分分析(ICA)、線形判別分析(LDA)、多次元スケーリング(MDS)、非負値基準因子分解(NMF)、部分的最小二乗回帰(PLSR)、主成分分析(PCA)、主成分回帰(PCR)、サモン・マッピング、t分布確率的近傍埋め込み法(t−SNE)、ブートストラップ・アグリゲーティング、アンサンブル平均化、勾配ブースティング決定木(GBRT)、勾配ブースティング・マシン(GBM)、帰納バイアス・アルゴリズム、Q学習、SARSA(State-Action-Reward-State-Action)、時間的差分(TD)学習、アプリオリ・アルゴリズム、等価クラス変換(ECLAT)アルゴリズム、ガウス過程回帰、遺伝子発現プログラミング、GMDH(Group Method of Data Handling)、帰納法プログラミング、インスタンス・ベース学習、ロジスティック・モデル木、情報ファジー・ネットワーク(IFN)、隠れマルコフ・モデル、ガウス単純ベイズ、多項単純ベイズ、平均単依存推定器(AODE)、ベイジアン・ネットワーク(BN)、分類・回帰木(CART)、カイ二乗自動相互作用検出(CHAID)、期待値最大化アルゴリズム、フィードフォワード・ニューラル・ネットワーク、論理学習マシン、自己組織化マップ、シングル・リンケージ・クラスタリング、ファジー・クラスタリング、階層クラスタリング、ボルツマン・マシン、畳み込みニューラル・ネットワーク、再帰ニューラル・ネットワーク、階層型時間メモリ(HTM)、または他の機械学習技術、あるいはその組み合わせ等の例示的な技術のうちの1つまたは複数を用いて機械学習を実行可能なアルゴリズムまたはアルゴリズム集合を含むことができる。
HTM命令764は、異常検出システム700による実行によって、サイバーセキュリティ・データをHTMネットワークに適用することにより、HTMネットワークが処理するデータのパターンに基づいて異常挙動を検出可能である。HTM命令764は、図4に記載の方法の実行またはHTMデータ734の生成、あるいはその両方を行うように構成可能である。いくつかの実施形態において、HTM命令764は、3DICを用いて実装される。
Q&A命令766は、異常検出システム700による実行によって、利用しやすいフォーマットでHTMデータ734を提示可能である。Q&A命令766には、たとえば見出し語認定、形態学的セグメンテーション、品詞(POS)タグ付け、構文解析、文境界明確化、語幹抽出、セグメンテーション、用語抽出、意味解析、感情分析、光学式文字認識、多義性解消、音声認識、テキスト−音声処理、または自然言語処理(NLP)の実行に有用な他の技術、あるいはその組み合わせを含むことができる。Q&A命令766は、図6に記載の方法を実行するように構成可能である。
種々実施形態において、入出力装置712は、情報の提示および入力の受け付けが可能なインターフェースを具備する。たとえば、入出力装置712は、異常検出システム700と相互作用するユーザに情報(たとえば、異常スコア)を提示するとともに、ユーザから入力(たとえば、選択緩和措置)を受け付けることができる。
異常検出システム700は、ネットワーク・インターフェース715を介してネットワーク750に接続されている。いくつかの実施形態において、ネットワーク750は、図1のネットワーク150と整合する。
図7は、本開示の実施形態に係る、例示的な異常検出システム700の主要な構成要素を表すことを意図している。ただし、いくつかの実施形態においては、個々の構成要素が図7に示すより複雑であってもよいし、複雑でなくてもよく、図7に示す構成要素以外の構成要素または付加的な構成要素が存在し得る。さらに、いくつかの実施形態においては、図7に示すさまざまな構成要素が図7に示す機能より優れていてもよいし、劣っていてもよいし、異なっていてもよい。
本開示はクラウド・コンピューティングに関する詳細な説明を含むものの、本明細書に列挙の教示内容の実装は、クラウド・コンピューティング環境に限定されないことが了解されるものとする。むしろ、本開示の実施形態は、その他任意の種類の既知のコンピューティング環境または今後開発されるコンピューティング環境と併せて実現可能である。
クラウド・コンピューティングは、最小限の管理労力またはサービス提供者との相互作用で迅速に設定および公開し得る設定可能なコンピューティング・リソース(たとえば、ネットワーク、ネットワーク帯域幅、サーバ、処理、メモリ、ストレージ、アプリケーション、仮想マシン、およびサービス)の共用プールへの便利なオンデマンド・ネットワーク・アクセスを可能にするサービス提供のモデルである。このクラウド・モデルには、少なくとも5つの特性、少なくとも3つのサービス・モデル、および少なくとも4つの配置モデルを含むことができる。
特性は、以下の通りである。
オンデマンド・セルフサービス:クラウド利用者は、サービス提供者との人間の相互作用の必要なく、必要に応じて自動的に、サーバ時間およびネットワーク・ストレージ等のコンピューティング機能を一方的に設定可能である。
広範なネットワーク・アクセス:各機能は、ネットワーク上で利用可能であり、シン/シックを問わず異種クライアント・プラットフォーム(たとえば、携帯電話、ラップトップ、およびPDA)による使用を促進する標準的な機構を通じてアクセスされる。
リソース・プーリング:提供者のコンピューティング・リソースは、マルチテナント・モデルを用いて、複数の利用者に提供されるようプールされる。その際、要求に応じて、さまざまな物理的リソースおよび仮想的リソースが動的に割り当ておよび再割り当てされる。利用者は一般的に、提供されるリソースの正確な場所を制御も把握もできず、より高い抽象化レベルの場所(たとえば、国、州、またはデータ・センタ)を特定し得る点において、場所の非依存性の感覚が存在する。
迅速な柔軟性:各機能は、場合によっては自動的に、高速スケール・アウトするように迅速かつ柔軟に設定され、高速スケール・インするように迅速に公開され得る。利用者にとって、設定に利用可能な機能は、見かけ上は制限なく、いつでも如何なる量でも購入可能である。
サービス測定:クラウド・システムは、サービスの種類(たとえば、ストレージ、処理、帯域幅、およびアクティブ・ユーザ・アカウント)に適した抽象化レベルでの測定機能を利用することによって、リソースの使用を自動的に制御および最適化する。リソースの使用は、モニタリング、制御、および報告され、利用サービスの提供者および利用者の両者に透明性をもたらし得る。
オンデマンド・セルフサービス:クラウド利用者は、サービス提供者との人間の相互作用の必要なく、必要に応じて自動的に、サーバ時間およびネットワーク・ストレージ等のコンピューティング機能を一方的に設定可能である。
広範なネットワーク・アクセス:各機能は、ネットワーク上で利用可能であり、シン/シックを問わず異種クライアント・プラットフォーム(たとえば、携帯電話、ラップトップ、およびPDA)による使用を促進する標準的な機構を通じてアクセスされる。
リソース・プーリング:提供者のコンピューティング・リソースは、マルチテナント・モデルを用いて、複数の利用者に提供されるようプールされる。その際、要求に応じて、さまざまな物理的リソースおよび仮想的リソースが動的に割り当ておよび再割り当てされる。利用者は一般的に、提供されるリソースの正確な場所を制御も把握もできず、より高い抽象化レベルの場所(たとえば、国、州、またはデータ・センタ)を特定し得る点において、場所の非依存性の感覚が存在する。
迅速な柔軟性:各機能は、場合によっては自動的に、高速スケール・アウトするように迅速かつ柔軟に設定され、高速スケール・インするように迅速に公開され得る。利用者にとって、設定に利用可能な機能は、見かけ上は制限なく、いつでも如何なる量でも購入可能である。
サービス測定:クラウド・システムは、サービスの種類(たとえば、ストレージ、処理、帯域幅、およびアクティブ・ユーザ・アカウント)に適した抽象化レベルでの測定機能を利用することによって、リソースの使用を自動的に制御および最適化する。リソースの使用は、モニタリング、制御、および報告され、利用サービスの提供者および利用者の両者に透明性をもたらし得る。
サービス・モデルは、以下の通りである。
サービスとしてのソフトウェア(SaaS):利用者に提供される機能は、クラウド・インフラ上で動作する提供者のアプリケーションを使用する。これらのアプリケーションは、ウェブ・ブラウザ等のシン・クライアント・インターフェースを通じて、さまざまなクライアント・デバイスからアクセス可能である(たとえば、ウェブベースの電子メール)。利用者は、ネットワーク、サーバ、オペレーティング・システム、ストレージ、または個々のアプリケーション機能をも含む、基本的なクラウド・インフラを管理も制御もしない。ただし、ユーザ固有の限定されたアプリケーション構成の設定については、この限りではない。
サービスとしてのプラットフォーム(PaaS):利用者に提供される機能は、提供者がサポートするプログラミング言語およびツールを用いて作成された、利用者作成または取得アプリケーションをクラウド・インフラ上に配置することである。利用者は、ネットワーク、サーバ、オペレーティング・システム、またはストレージを含む、基本的なクラウド・インフラを管理も制御もしないが、配置されたアプリケーションと、場合によっては、アプリケーションのホスティング環境の構成を制御する。
サービスとしてのインフラ(IaaS):利用者に提供される機能は、処理、ストレージ、ネットワーク、および他の基本的なコンピューティング・リソースを設定することであり、そこで利用者は、オペレーティング・システムおよびアプリケーションを含む、任意のソフトウェアを配置および実行可能である。利用者は、基本的なクラウド・インフラを管理も制御もしない。ただし、オペレーティング・システム、ストレージ、配置されたアプリケーションを制御するとともに、場合によっては、選択されたネットワーク・コンポーネント(たとえば、ホストのファイアウォール)を限定的に制御する。
サービスとしてのソフトウェア(SaaS):利用者に提供される機能は、クラウド・インフラ上で動作する提供者のアプリケーションを使用する。これらのアプリケーションは、ウェブ・ブラウザ等のシン・クライアント・インターフェースを通じて、さまざまなクライアント・デバイスからアクセス可能である(たとえば、ウェブベースの電子メール)。利用者は、ネットワーク、サーバ、オペレーティング・システム、ストレージ、または個々のアプリケーション機能をも含む、基本的なクラウド・インフラを管理も制御もしない。ただし、ユーザ固有の限定されたアプリケーション構成の設定については、この限りではない。
サービスとしてのプラットフォーム(PaaS):利用者に提供される機能は、提供者がサポートするプログラミング言語およびツールを用いて作成された、利用者作成または取得アプリケーションをクラウド・インフラ上に配置することである。利用者は、ネットワーク、サーバ、オペレーティング・システム、またはストレージを含む、基本的なクラウド・インフラを管理も制御もしないが、配置されたアプリケーションと、場合によっては、アプリケーションのホスティング環境の構成を制御する。
サービスとしてのインフラ(IaaS):利用者に提供される機能は、処理、ストレージ、ネットワーク、および他の基本的なコンピューティング・リソースを設定することであり、そこで利用者は、オペレーティング・システムおよびアプリケーションを含む、任意のソフトウェアを配置および実行可能である。利用者は、基本的なクラウド・インフラを管理も制御もしない。ただし、オペレーティング・システム、ストレージ、配置されたアプリケーションを制御するとともに、場合によっては、選択されたネットワーク・コンポーネント(たとえば、ホストのファイアウォール)を限定的に制御する。
配置モデルは、以下の通りである。
プライベート・クラウド:このクラウド・インフラは、ある組織のためだけに運用される。また、当該組織またはサード・パーティにより管理され、オンプレミスまたはオフプレミスで存在し得る。
コミュニティ・クラウド:このクラウド・インフラは、複数の組織により共有され、懸案事項(たとえば、ミッション、セキュリティ要件、ポリシー、およびコンプライアンス事項)を共有する特定のコミュニティをサポートする。また、当該組織またはサード・パーティにより管理され、オンプレミスまたはオフプレミスで存在し得る。
パブリック・クラウド:このクラウド・インフラは、一般の人々または大規模な業界団体が利用可能で、クラウド・サービスを販売する組織により所有される。
ハイブリッド・クラウド:このクラウド・インフラは、独自のエンティティを維持する2つ以上のクラウド(プライベート、コミュニティ、またはパブリック)の組み合わせであり、データおよびアプリケーションの移植性(たとえば、クラウド間の負荷分散のためのクラウド・バースティング)を実現する標準または固有の技術により結合されている。
プライベート・クラウド:このクラウド・インフラは、ある組織のためだけに運用される。また、当該組織またはサード・パーティにより管理され、オンプレミスまたはオフプレミスで存在し得る。
コミュニティ・クラウド:このクラウド・インフラは、複数の組織により共有され、懸案事項(たとえば、ミッション、セキュリティ要件、ポリシー、およびコンプライアンス事項)を共有する特定のコミュニティをサポートする。また、当該組織またはサード・パーティにより管理され、オンプレミスまたはオフプレミスで存在し得る。
パブリック・クラウド:このクラウド・インフラは、一般の人々または大規模な業界団体が利用可能で、クラウド・サービスを販売する組織により所有される。
ハイブリッド・クラウド:このクラウド・インフラは、独自のエンティティを維持する2つ以上のクラウド(プライベート、コミュニティ、またはパブリック)の組み合わせであり、データおよびアプリケーションの移植性(たとえば、クラウド間の負荷分散のためのクラウド・バースティング)を実現する標準または固有の技術により結合されている。
クラウド・コンピューティング環境は、無国籍、低結合、モジュール方式、およびセマンティック相互運用性に焦点を当てたサービス指向型である。クラウド・コンピューティングの中心は、相互接続されたノードのネットワークを含むインフラである。
ここで、図8を参照すると、クラウド・コンピューティング環境50が示される。図示のように、クラウド・コンピューティング環境50は、たとえば個人用デジタル補助装置(PDA)もしくは携帯電話54A、デスクトップ・コンピュータ54B、ラップトップ・コンピュータ54C、または自動車コンピュータ・システム54N、あるいはその組み合わせ等、クラウド利用者が使用するローカルのコンピュータ機器が通信できる1つまたは複数のクラウド・コンピューティング・ノード10を具備する。ノード10は、互いに通信するようにしてもよい。これらは、上述のプライベート、コミュニティ、パブリック、もしくはハイブリッド・クラウド、またはその組み合わせ等、1つまたは複数のネットワークにおいて物理的または仮想的にグループ化されていてもよい(図示せず)。これにより、クラウド・コンピューティング環境50は、クラウド利用者がローカルのコンピュータ機器上でリソースを維持する必要のないサービスとしてのインフラ、プラットフォーム、またはソフトウェア、あるいはその組み合わせを提供することができる。図8に示すコンピュータ機器54A〜54Nの種類は、例示を意図したものに過ぎず、コンピューティング・ノード10およびクラウド・コンピューティング環境50は、(たとえば、ウェブ・ブラウザを用いることにより)任意の種類のネットワークまたはネットワークがアドレス可能な接続、あるいはその両方によって、任意の種類のコンピュータ機器と通信可能であることが了解される。
ここで図9を参照すると、クラウド・コンピューティング環境50(図8)が提供する一組の機能的抽象化レイヤが示されている。図9に示すコンポーネント、レイヤ、および機能は、例示を意図したものに過ぎず、本発明の実施形態はこれらに限定されないことが予め了解されるものとする。図示のように、以下のレイヤおよび対応する機能が提供される。
ハードウェア・ソフトウェア・レイヤ60は、ハードウェアおよびソフトウェア・コンポーネントを含む。ハードウェア・コンポーネントの例としては、メインフレーム61、RISC(縮小命令セット・コンピュータ)アーキテクチャ・ベースのサーバ62、サーバ63、ブレード・サーバ64、記憶装置65、およびネットワーク/ネットワーキング・コンポーネント66が挙げられる。いくつかの実施形態において、ソフトウェア・コンポーネントとしては、ネットワーク・アプリケーション・サーバ・ソフトウェア67およびデータベース・ソフトウェア68が挙げられる。
仮想化レイヤ70は、抽象化レイヤを提供し、抽象化レイヤから提供され得る仮想エンティティの例としては、仮想サーバ71、仮想ストレージ72、仮想ネットワーク73(仮想プライベート・ネットワークを含む)、仮想アプリケーション/オペレーティング・システム74、および仮想クライアント75が挙げられる。
一例において、管理レイヤ80は、後述の機能を提供するようにしてもよい。リソース設定81は、コンピューティング・リソースおよびクラウド・コンピューティング環境内のタスクの実行に利用される他のリソースの動的な調達を提供する。測定・価格設定82は、クラウド・コンピューティング環境においてリソースが利用される場合のコスト追跡ならびにこれらリソースの消費に対する請求もしくはインボイスを提供する。一例において、これらのリソースは、アプリケーション・ソフトウェア・ライセンスを含み得る。セキュリティは、クラウド利用者およびタスクの識別情報確認、ならびにデータおよび他のリソースの保護を提供する。ユーザ・ポータル83は、利用者およびシステム管理者に対してクラウド・コンピューティング環境へのアクセスを提供する。サービス・レベル管理84は、要求されたサービスのレベルを満足させるように、クラウド・コンピューティング・リソースの割り当ておよび管理を提供する。サービス・レベル合意(SLA)計画・実行85は、SLAに従って将来的に要求が見込まれるクラウド・コンピューティング・リソースの事前の取り決めおよび調達を提供する。
ワークロード・レイヤ90は、クラウド・コンピューティング環境を利用可能な機能の例を提供する。このレイヤから提供可能なワークロードおよび機能の例としては、マッピングおよびナビゲーション91、ソフトウェア開発・ライフサイクル管理92、仮想教室/教育提供93、データ解析処理94、トランザクション処理95、および異常検出96が挙げられる。
本発明の実施形態は、考え得る任意の技術的詳細統合レベルのシステム、方法、またはコンピュータ・プログラム製品、あるいはその組み合わせであってもよい。コンピュータ・プログラム製品は、本発明の態様をプロセッサに実行させるコンピュータ可読プログラム命令が格納された(1つまたは複数の)コンピュータ可読記憶媒体を具備していてもよい。
コンピュータ可読記憶媒体としては、命令実行デバイスが使用する命令を保持および格納し得る有形デバイスが可能である。コンピュータ可読記憶媒体は、たとえば電子記憶装置、磁気記憶装置、光学記憶装置、電磁記憶装置、半導体記憶装置、またはこれらの任意適当な組み合わせであってもよいが、これらに限定されない。コンピュータ可読記憶媒体のより具体的な例の非網羅的な一覧には、携帯型コンピュータ・ディスケット、ハード・ディスク、ランダム・アクセス・メモリ(RAM)、リードオンリー・メモリ(ROM)、消去・プログラム可能リードオンリー・メモリ(EPROMもしくはフラッシュ・メモリ)、スタティック・ランダム・アクセス・メモリ(SRAM)、携帯型コンパクト・ディスク・リードオンリー・メモリ(CD−ROM)、デジタル多用途ディスク(DVD)、メモリ・スティック、フロッピー(R)・ディスク、パンチカードまたは溝に命令が記録された隆起構造等の機械的符号化デバイス、およびこれらの任意適当な組み合わせを含む。本明細書において、コンピュータ可読記憶媒体は、電波等の自由伝搬電磁波、導波路等の送信媒体を伝搬する電磁波(たとえば、光ファイバ・ケーブルを通過する光パルス)、またはワイヤを通じて送信される電気信号等、本質的に一時的な信号としては解釈されないものとする。
本明細書に記載のコンピュータ可読プログラム命令は、コンピュータ可読記憶媒体から各コンピュータ/処理機器にダウンロードすることも可能であるし、たとえばインターネット、ローカル・エリア・ネットワーク、ワイド・エリア・ネットワーク、または無線ネットワーク、あるいはその組み合わせを介して外部コンピュータまたは外部記憶装置にダウンロードすることも可能である。ネットワークは、送信銅ケーブル、送信光ファイバ、無線送信、ルータ、ファイアウォール、スイッチ、ゲートウェイ・コンピュータ、またはエッジ・サーバ、あるいはその組み合わせを含んでいてもよい。各コンピュータ/処理機器のネットワーク・アダプタ・カードまたはネットワーク・インターフェースは、ネットワークからコンピュータ可読プログラム命令を受信し、当該コンピュータ可読プログラム命令を転送して、各コンピュータ機器/処理機器内のコンピュータ可読記憶媒体に格納する。
本発明の動作を実行するコンピュータ可読プログラム命令は、アセンブラ命令、命令セット・アーキテクチャ(ISA)命令、マシン命令、マシン依存命令、マイクロコード、ファームウェア命令、状態設定データ、集積回路の設定データ、あるいはSmalltalk、C++等のオブジェクト指向プログラミング言語ならびにCプログラミング言語もしくは類似のプログラミング言語等の手続き型プログラミング言語を含む1つまたは複数のプログラミング言語の任意の組み合わせで記述されたソース・コードまたはオブジェクト・コードのいずれかであってもよい。コンピュータ可読プログラム命令は、独立型ソフトウェア・パッケージとして全部をユーザのコンピュータ上で実行してもよく、一部をユーザのコンピュータ上で実行してもよく、一部をユーザのコンピュータ上、一部をリモート・コンピュータ上で実行してもよく、全部をリモート・コンピュータまたはサーバ上で実行してもよい。後者のシナリオでは、ローカル・エリア・ネットワーク(LAN)またはワイド・エリア・ネットワーク(WAN)等、任意の種類のネットワークを通じてリモート・コンピュータがユーザのコンピュータに接続されていてもよいし、(たとえば、インターネット・サービス・プロバイダを用いることによりインターネットを通じて)外部コンピュータに接続されていてもよい。いくつかの実施形態においては、本発明の態様を実行するため、コンピュータ可読プログラム命令の状態情報を利用して電子回路をカスタマイズすることにより、たとえばプログラマブル論理回路、フィールドプログラマブル・ゲート・アレイ(FPGA)、またはプログラマブル・ロジック・アレイ(PLA)を含む電子回路がコンピュータ可読プログラム命令を実行するようにしてもよい。
本明細書においては、本発明の実施形態に係る方法、装置(システム)、およびコンピュータ・プログラム製品のフローチャート図またはブロック図あるいはその両方を参照して、本発明の態様を説明している。フローチャート図またはブロック図あるいはその両方の各ブロック、ならびにフローチャート図またはブロック図あるいはその両方のブロックの組み合わせは、コンピュータ可読プログラム命令により実装可能であることが了解される。
これらのコンピュータ可読プログラム命令は、コンピュータまたは他のプログラム可能データ処理装置のプロセッサを介して実行される当該命令が、フローチャート図またはブロック図あるいはその両方の1つまたは複数のブロックに規定の機能/動作を実装する手段を生成するように、汎用コンピュータ、専用コンピュータ、または他のプログラム可能データ処理装置のプロセッサに提供されてマシンを構成するようになっていてもよい。また、これらのコンピュータ可読プログラム命令は、命令が格納されたコンピュータ可読記憶媒体が、フローチャート図またはブロック図あるいはその両方の1つまたは複数のブロックに規定の機能/動作の態様を実装する命令を含む製造品を含むように、コンピュータ、プログラム可能データ処理装置、または他の機器、あるいはその組み合わせに対して特定の様態で機能するように指示し得る当該コンピュータ可読記憶媒体に格納されていてもよい。
また、コンピュータ可読プログラム命令は、コンピュータ、他のプログラム可能装置、または他の機器上での実行によって、フローチャートまたはブロック図あるいはその両方の1つまたは複数のブロックに規定の機能/動作を実装するように、コンピュータ、他のプログラム可能データ処理装置、または他の機器へのロードによって、一連の動作ステップをコンピュータ、他のプログラム可能装置、または他の機器上で実行させることにより、コンピュータ実装プロセスを構成するようにしてもよい。
図中のフローチャートおよびブロック図は、本発明の種々実施形態に係るシステム、方法、およびコンピュータ・プログラム製品の考え得る実施態様のアーキテクチャ、機能、および動作を示している。この点、フローチャートまたはブロック図の各ブロックは、特定の論理機能を実装する1つまたは複数の実行可能命令を含む命令のモジュール、セグメント、または一部を表し得る。いくつかの代替実施態様において、ブロックに記載の機能は、図面に記載の順序から外れて発生するようになっていてもよい。たとえば、連続して示す2つのブロックが実際のところは、関与する機能に応じて、実質的に同時に実行されるようになっていてもよいし、場合により逆の順序で実行されるようになっていてもよい。また、ブロック図またはフローチャート図あるいはその両方の各ブロックならびにブロック図またはフローチャート図あるいはその両方のブロックの組み合わせは、特定の機能または動作を実行する専用ハードウェアベースのシステムにより実装することも可能であるし、専用ハードウェアおよびコンピュータ命令の組み合わせを実行することも可能である。
プロセス・ソフトウェア(たとえば、図7の命令760に格納された命令のいずれかまたは図2〜図6に関して上述した方法の任意の部分集合を実行するように構成された任意のソフトウェア、あるいはその組み合わせ)は、CD、DVD等の記憶媒体のロードによってクライアント、サーバ、およびプロキシ・コンピュータに直接手動でロードすることにより配置可能であることが了解されるものの、1つまたは一群の中央サーバへの送信によって、自動的または半自動的にコンピュータ・システムに配置されるようになっていてもよい。そして、プロセス・ソフトウェアは、それを実行するクライアント・コンピュータにダウンロードされる。あるいは、プロセス・ソフトウェアは、電子メールによってクライアント・システムに直接送信される。そして、プロセス・ソフトウェアは、ディレクトリへと分離する一組のプログラム命令の実行によって、ディレクトリに分離またはロードされる。別の選択肢として、プロセス・ソフトウェアは、クライアント・コンピュータのハード・ドライブ上のディレクトリに直接送信される。プロキシ・サーバが存在する場合、このプロセスでは、プロキシ・サーバのコードを選択し、プロキシ・サーバのコードを配置するコンピュータを判定し、プロキシ・サーバのコードを送信し、プロキシ・サーバのコードをプロキシ・コンピュータにインストールすることになる。プロセス・ソフトウェアは、プロキシ・サーバに送信され、当該プロキシ・サーバに格納されることになる。
また、本発明の実施形態は、クライアント企業、非営利組織、政府機関、内部組織構造等とのサービス・エンゲージメントの一部として提供されるようになっていてもよい。これらの実施形態には、実行するコンピュータ・システムの設定と、本明細書に記載の方法の一部または全部を実装するソフトウェア、ハードウェア、およびウェブ・サービスの配置とを含んでいてもよい。また、これらの実施形態には、クライアントの動作の解析、解析に応じた提案の作成、提案の一部を実現するシステムの構築、既存のプロセスおよびインフラへのシステムの組み込み、システムの使用の測定、システムのユーザへの費用の配分、請求、インボイス、あるいはシステムの使用に対する支払いの受け付けを含んでいてもよい。
別の態様によれば、本発明は、コンピュータ可読媒体に格納され、デジタル・コンピュータの内部メモリにロード可能なコンピュータ・プログラムであって、コンピュータ上で実行された場合に、前記コンピュータに対して請求項1ないし13のいずれかに記載の方法を実行させる、コンピュータ・プログラムを提供する。
Claims (28)
- セキュリティ異常を判定するコンピュータ実装方法であって、
一組のサイバーセキュリティ・データの空間属性および前記一組のサーバセキュリティ・データの時間属性に基づいて、複数のテンソルを生成することであって、前記一組のサイバーセキュリティ・データが、数値データおよびテキスト・データを含み、前記一組のサイバーセキュリティ・データが、複数の演算源から収集され、
前記複数のテンソルを階層型時間メモリ(HTM)ネットワークに提供することであって、前記HTMネットワークが、前記HTMネットワークの各領域の各HTM出力を生成するように構成され、各出力が、前記HTMネットワークの各領域の活性ノードに基づくものであり、
少なくとも1つのHTM出力が異常を示すと判定することと、
前記少なくとも1つのHTM出力を通知に変換することと、
前記通知をユーザ・インターフェースに提供することと
を含む、コンピュータ実装方法。 - 前記一組のサイバーセキュリティ・データが、シスログ・データ、ファイアウォール・イベント・ログ・データ、オペレーティング・システム・ログ・データ、アプリケーション・ログ・データ、またはデバイス・ログ・データのうちの少なくとも1つを含む、請求項1に記載の方法。
- 前記複数の演算源が、セキュリティ情報・イベント管理(SIEM)システム、シンプル・ネットワーク管理プロトコル(SNMP)トラップ、および侵入検出・防止システム(IDPS)を含む、請求項1または2に記載の方法。
- 複数のテンソルを生成することが、
前記一組のサイバーセキュリティ・データを数値データ部分集合およびテキスト・データ部分集合に分類することと、
前記数値データ部分集合に基づいて、少なくとも1つの第1のベクトル空間モデル(VSM)を生成することと、
前記テキスト・データ部分集合に基づいて、少なくとも1つの第2のVSMを生成することと、
前記第1のVSMと前記テキスト・データ部分集合とのテキスト相関を格納することであって、テキスト相関が、前記第1のVSMの各成分の各値のテキスト値を示し、、
前記第2のVSMと前記数値データ部分集合との数値相関を格納することであって、数値相関が、前記第2のVSMの各成分のプロパティ属性を示すことと
をさらに含む、請求項1ないし3のいずれかに記載の方法。 - 複数のテンソルを生成することが、
各VSMに基づいて、各テンソルを生成することと、
少なくとも1つのテンソルに基づいて、少なくとも1つの疎分散表現(SDR)を生成することと
をさらに含む、請求項4に記載の方法。 - 前記複数のテンソルを階層型時間メモリ(HTM)ネットワークに提供することが、
少なくとも1つのSDRを前記HTMネットワークの第1のレイヤの第1の領域に入力することと、
前記HTMネットワークの前記第1のレイヤの前記第1の領域の出力を前記HTMネットワークの第2のレイヤの第2の領域に入力することであり、前記第2のレイヤが、前記第1のレイヤよりも少ないノードを備えた、前記入力することと、
少なくとも前記HTMネットワークの前記第2のレイヤの少なくとも前記第2の領域の一組の活性ノードに基づいて、HTM出力を生成することと
をさらに含む、請求項5に記載の方法。 - 前記通知が、テキスト出力および数値出力を含み、
前記HTM出力を通知に変換することが、
前記HTM出力および前記テキスト相関に少なくとも部分的に基づいて、テキスト出力を生成することと、
前記HTM出力および前記数値相関に少なくとも部分的に基づいて、数値出力を生成することと
をさらに含む、請求項6に記載の方法。 - ユーザ・インターフェースから受け付けたクエリに対して自然言語処理を実行することと、
前記クエリに基づいて、前記HTMネットワークの関連部分を識別することと、
前記HTMネットワークの前記関連部分からの第2の出力に対して自然言語処理を実行して、前記クエリへの回答を生成することと、
前記回答を前記ユーザ・インターフェースに提示することと
をさらに含む、請求項1ないし7のいずれかに記載の方法。 - 前記回答が、テキスト・データ、数値データ、および信頼値を含む、請求項8に記載の方法。
- セキュリティ異常を判定するコンピュータ実装方法であって、
特徴抽出システムの機械学習アルゴリズムを用いることにより、セキュリティ・データを複数の空間−時間多次元アレイに変換することであって、前記セキュリティ・データが、複数の演算装置を連通結合するサイバーセキュリティ環境において機能するセキュリティ情報・イベント管理(SIEM)システムから少なくとも部分的に収集され、前記複数の空間−時間多次元アレイが、前記複数の演算装置の少なくとも一部と関連付けられた少なくとも一連続の演算イベントに少なくとも部分的に基づくことと、、
階層型時間メモリ(HTM)ネットワークを実行する3次元集積回路(3DIC)に前記複数の空間−時間多次元アレイを提供することと、
前記特徴抽出システムにおいて、前記HTMネットワークから、前記HTMネットワークの各領域の活性ノードに少なくとも部分的に基づいて、少なくとも1つの出力多次元アレイを受信することと、
前記特徴抽出システムの前記機械学習アルゴリズムを用いることにより、前記少なくとも1つの出力多次元アレイに基づいて、少なくとも1つの異常を識別することと、
前記特徴抽出システムにより、前記少なくとも1つの異常を識別したことに応答して、前記サイバーセキュリティ環境の少なくとも1つの態様を再構成することと、
前記特徴抽出システムにより、前記特徴抽出システムに連通結合されたユーザ・インターフェースに対して、前記少なくとも1つの異常の通知を提示することと
を含む、コンピュータ実装方法。 - 少なくとも1つの疎分散表現(SDR)をHTMネットワークの第1のレイヤの少なくとも1つの第1の領域に入力することであって、前記少なくとも1つのSDRが、前記複数の空間−時間多次元アレイのうちの少なくとも1つに少なくとも部分的に基づくものであり、
少なくとも1つの出力多次元アレイを前記特徴抽出システムに提供することであって、前記少なくとも1つの出力多次元アレイが、前記HTMネットワークの少なくとも1つのレイヤの少なくとも1つの領域の活性ノードに基づくこと
をさらに含む、請求項10に記載の方法。 - 前記複数の空間−時間多次元アレイが、複数のベクトル空間モデル(VSM)に基づき、前記複数のVSMが、セキュリティ・データに基づいて生成され、前記複数のVSMのうちの少なくとも1つの第1のVSMが、前記セキュリティ・データのテキスト・データに基づき、前記複数のVSMのうちの少なくとも1つの第2のVSMが、前記セキュリティ・データの数値データに基づく、請求項10または11に記載の方法。
- HTMプロセッサが、3次元集積回路(3DIC)を備えた、請求項10ないし12のいずれかに記載の方法。
- セキュリティ異常を判定するコンピュータ・システムであって、
プロセッサと、
前記プロセッサにより実行された場合に、
一組のサイバーセキュリティ・データの空間属性および前記一組のサーバセキュリティ・データの時間属性に基づいて、複数のテンソルを生成することであって、前記一組のサイバーセキュリティ・データが、数値データおよびテキスト・データを含み、前記一組のサイバーセキュリティ・データが、複数の演算源から収集され、
前記複数のテンソルを階層型時間メモリ(HTM)ネットワークに提供することであって、前記HTMネットワークが、前記HTMネットワークの各領域の各HTM出力を生成するように構成され、各出力が、前記HTMネットワークの各領域の活性ノードに基づくことと、
少なくとも1つのHTM出力が異常を示すものと判定することと、
前記少なくとも1つのHTM出力を通知に変換することと、
前記通知をユーザ・インターフェースに提供することと
を含む方法を実行するプログラム命令を格納する有形コンピュータ可読メモリと
を備えた、コンピュータ・システム。 - 前記一組のサイバーセキュリティ・データが、シスログ・データ、ファイアウォール・イベント・ログ・データ、オペレーティング・システム・ログ・データ、アプリケーション・ログ・データ、またはデバイス・ログ・データのうちの少なくとも1つを含む、請求項14に記載のシステム。
- 前記複数の演算源が、セキュリティ情報・イベント管理(SIEM)システム、シンプル・ネットワーク管理プロトコル(SNMP)トラップ、および侵入検出・防止システム(IDPS)を含む、請求項14または15に記載のシステム。
- 複数のテンソルを生成することが、
前記一組のサイバーセキュリティ・データを数値データ部分集合およびテキスト・データ部分集合に分類することと、
前記数値データ部分集合に基づいて、少なくとも1つの第1のベクトル空間モデル(VSM)を生成することと、
前記テキスト・データ部分集合に基づいて、少なくとも1つの第2のVSMを生成することと、
前記第1のVSMと前記テキスト・データ部分集合とのテキスト相関を格納することであって、テキスト相関が、前記第1のVSMの各成分の各値のテキスト値を示すことと、
前記第2のVSMと前記数値データ部分集合との数値相関を格納することであって、数値相関が、前記第2のVSMの各成分のプロパティ属性を示すことと
をさらに含む、請求項14ないし16のいずれかに記載のシステム。 - 複数のテンソルを生成することが、
各VSMに基づいて、各テンソルを生成することと、
少なくとも1つのテンソルに基づいて、少なくとも1つの疎分散表現(SDR)を生成することと
をさらに含む、請求項17に記載のシステム。 - 前記複数のテンソルを階層型時間メモリ(HTM)ネットワークに提供することが、
少なくとも1つのSDRを前記HTMネットワークの第1のレイヤの第1の領域に入力することと、
前記HTMネットワークの前記第1のレイヤの前記第1の領域の出力を前記HTMネットワークの第2のレイヤの第2の領域に入力することであり、前記第2のレイヤが、前記第1のレイヤよりも少ないノードを備えた、前記入力することと、
前記HTMネットワークの少なくとも1つの領域の一組の活性ノードに基づいて、HTM出力を生成することと
をさらに含む、請求項18に記載のシステム。 - 前記通知が、テキスト出力および数値出力を含み、
前記HTM出力を通知に変換することが、
前記HTM出力および前記テキスト相関に少なくとも部分的に基づいて、テキスト出力を生成することと、
前記HTM出力および前記数値相関に少なくとも部分的に基づいて、数値出力を生成することと
をさらに含む、請求項19に記載のシステム。 - 前記方法が、
ユーザ・インターフェースから受け付けたクエリに対して自然言語処理を実行することと、
前記クエリに基づいて、前記HTMネットワークの関連部分を識別することと、
前記HTMネットワークの前記関連部分からの第2の出力に対して自然言語処理を実行して、前記クエリへの回答を生成することと、
前記回答を前記ユーザ・インターフェースに提示することと
をさらに含む、請求項14ないし20のいずれかに記載のシステム。 - 前記回答が、テキスト・データ、数値データ、および信頼値を含む、請求項21に記載のシステム。
- セキュリティ異常を判定するシステムであって、
セキュリティ・データを受信して、情報技術(IT)環境中の複数のデバイスのために前記セキュリティ・データを格納するセキュリティ情報・イベント管理(SIEM)システムと、
階層型時間メモリ(HTM)プロセッサおよびHTMメモリを備えたHTMシステムと、
メモリおよびプロセッサを備えた特徴抽出システムであり、前記メモリが、前記プロセッサにより実行された場合に、
前記セキュリティ・データを複数の空間−時間多次元アレイに変換することであって、前記複数の空間−時間多次元アレイの局面と前記セキュリティ・データとの相関が相関データベースに格納され、
前記複数の空間−時間多次元アレイを前記HTMシステムに入力したことに応答して、前記HTMシステムから少なくとも1つの出力多次元アレイを受信することと、
前記特徴抽出システムに連通結合されたユーザ・インターフェースから受け付けたクエリに対して自然言語処理を実行することであり、前記クエリが、前記IT環境中の前記複数のデバイスのうちの少なくとも1つを識別する、前記実行することと、
前記クエリ、前記少なくとも1つの出力多次元アレイ、および前記相関データベースに基づいて、回答を生成することと、
前記回答を前記ユーザ・インターフェースに提示することと
を含む方法を実行する命令を格納した、前記特徴抽出システムと
を備えた、システム。 - 前記HTMメモリが、前記HTMプロセッサにより実行された場合に、
少なくとも1つの疎分散表現(SDR)をHTMネットワークの第1のレイヤの少なくとも1つの第1の領域に入力することであって、前記少なくとも1つのSDRが、前記複数の空間−時間多次元アレイのうちの少なくとも1つに少なくとも部分的に基づくことと、
少なくとも1つの出力多次元アレイを前記特徴抽出システムに提供することであって、、前記少なくとも1つの出力多次元アレイが、前記HTMネットワークの少なくとも1つのレイヤの少なくとも1つの領域の活性ノードに基づくことと
を含む方法を実行する命令を格納した、請求項23に記載のシステム。 - 前記複数の空間−時間多次元アレイが、複数のベクトル空間モデル(VSM)に基づき、前記複数のVSMが、セキュリティ・データに基づいて生成され、前記複数のVSMのうちの少なくとも1つの第1のVSMが、前記セキュリティ・データのテキスト・データに基づき、前記複数のVSMのうちの少なくとも1つの第2のVSMが、前記セキュリティ・データの数値データに基づく、請求項23または24に記載のシステム。
- 前記HTMプロセッサが、3次元集積回路(3DIC)を備えた、請求項24ないし25のいずれかに記載のシステム。
- セキュリティ異常を判定するコンピュータ・プログラム製品であって、
処理回路により読み出し可能で、請求項1ないし13のいずれかに記載の方法を実行するための、前記処理回路により実行される命令を格納したコンピュータ可読記憶媒体を備えた、コンピュータ・プログラム製品。 - コンピュータ可読媒体に格納され、デジタル・コンピュータの内部メモリにロード可能なコンピュータ・プログラムであって、コンピュータ上で実行された場合に、請求項1ないし13のいずれかに記載の方法を実行するソフトウェア・コード部を含む、コンピュータ・プログラム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/810,367 | 2017-11-13 | ||
| US15/810,367 US10616253B2 (en) | 2017-11-13 | 2017-11-13 | Anomaly detection using cognitive computing |
| PCT/IB2018/058624 WO2019092567A1 (en) | 2017-11-13 | 2018-11-02 | Anomaly detection using cognitive computing |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2021502625A true JP2021502625A (ja) | 2021-01-28 |
Family
ID=66433620
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020521922A Pending JP2021502625A (ja) | 2017-11-13 | 2018-11-02 | セキュリティ異常を判定するコンピュータ実装方法、コンピュータ・システム、システム、およびコンピュータ・プログラム |
Country Status (6)
| Country | Link |
|---|---|
| US (3) | US10616253B2 (ja) |
| JP (1) | JP2021502625A (ja) |
| CN (1) | CN111344721A (ja) |
| DE (1) | DE112018005462T5 (ja) |
| GB (1) | GB2582115B (ja) |
| WO (1) | WO2019092567A1 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102351223B1 (ko) * | 2021-10-08 | 2022-01-14 | 주식회사 이글루시큐리티 | 로그를 분석하기 위한 연관 검색 조건들이 프로파일되어 패키징에 포함되는 siem 원클릭 설치 방법 |
| KR20230086536A (ko) * | 2021-12-08 | 2023-06-15 | 한국과학기술정보연구원 | 보안데이터 처리장치, 보안데이터 처리방법 및 보안데이터를 처리하는 컴퓨터로 실행 가능한 프로그램을 저장하는 저장매체 |
Families Citing this family (49)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10783053B1 (en) * | 2017-06-16 | 2020-09-22 | Palantir Technologies Inc. | Contextualized notifications for verbose application errors |
| US10616253B2 (en) | 2017-11-13 | 2020-04-07 | International Business Machines Corporation | Anomaly detection using cognitive computing |
| US11770398B1 (en) * | 2017-11-27 | 2023-09-26 | Lacework, Inc. | Guided anomaly detection framework |
| JP7071998B2 (ja) * | 2017-12-15 | 2022-05-19 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 車載ネットワーク異常検知システム及び車載ネットワーク異常検知方法 |
| US11423143B1 (en) | 2017-12-21 | 2022-08-23 | Exabeam, Inc. | Anomaly detection based on processes executed within a network |
| CN108346107B (zh) * | 2017-12-28 | 2020-11-10 | 创新先进技术有限公司 | 一种社交内容风险识别方法、装置以及设备 |
| JP6919997B2 (ja) * | 2018-02-06 | 2021-08-18 | 株式会社日立製作所 | 制御装置、制御方法、および制御プログラム |
| US10884805B2 (en) * | 2018-02-15 | 2021-01-05 | Amazon Technologies, Inc. | Dynamically configurable operation information collection |
| US11321462B2 (en) | 2018-04-10 | 2022-05-03 | Raytheon Company | Device behavior anomaly detection |
| US11436537B2 (en) | 2018-03-09 | 2022-09-06 | Raytheon Company | Machine learning technique selection and improvement |
| US11340603B2 (en) | 2019-04-11 | 2022-05-24 | Raytheon Company | Behavior monitoring using convolutional data modeling |
| US11507847B2 (en) | 2019-07-25 | 2022-11-22 | Raytheon Company | Gene expression programming |
| WO2019199769A1 (en) | 2018-04-10 | 2019-10-17 | Raytheon Company | Cyber chaff using spatial voting |
| WO2019199777A1 (en) | 2018-04-10 | 2019-10-17 | Raytheon Company | Encryption using spatial voting |
| US11431741B1 (en) * | 2018-05-16 | 2022-08-30 | Exabeam, Inc. | Detecting unmanaged and unauthorized assets in an information technology network with a recurrent neural network that identifies anomalously-named assets |
| US20220166789A1 (en) * | 2018-06-20 | 2022-05-26 | Onetrust Llc | Usage-Tracking Of Assets For Security Assurance |
| EP3594861B1 (en) * | 2018-07-09 | 2024-04-03 | Tata Consultancy Services Limited | Systems and methods for classification of multi-dimensional time series of parameters |
| WO2020043267A1 (en) * | 2018-08-27 | 2020-03-05 | Huawei Technologies Co., Ltd. | Device and method for anomaly detection on an input stream of events |
| US11169865B2 (en) * | 2018-09-18 | 2021-11-09 | Nec Corporation | Anomalous account detection from transaction data |
| WO2020086860A1 (en) * | 2018-10-24 | 2020-04-30 | Affirmed Networks, Inc. | Anomaly detection and classification in networked systems |
| JP6755346B2 (ja) * | 2019-02-05 | 2020-09-16 | 株式会社日立製作所 | 分析システム |
| US11341235B2 (en) | 2019-02-21 | 2022-05-24 | Raytheon Company | Anomaly detection with adaptive auto grouping |
| US11463455B1 (en) * | 2019-03-25 | 2022-10-04 | Meta Platforms, Inc. | Identification and deobfuscation of obfuscated text in digital content |
| US11625366B1 (en) | 2019-06-04 | 2023-04-11 | Exabeam, Inc. | System, method, and computer program for automatic parser creation |
| US11658990B2 (en) * | 2019-06-28 | 2023-05-23 | The Boeing Company | Systems and methods for detecting cybersecurity threats |
| JP2021015421A (ja) * | 2019-07-11 | 2021-02-12 | 富士通株式会社 | 情報処理プログラム、情報処理方法および情報処理装置 |
| US11496492B2 (en) * | 2019-08-14 | 2022-11-08 | Hewlett Packard Enterprise Development Lp | Managing false positives in a network anomaly detection system |
| CN110532568B (zh) * | 2019-09-05 | 2022-07-01 | 哈尔滨理工大学 | 基于树特征选择和迁移学习的汉语词义消歧方法 |
| US11275643B2 (en) | 2019-10-09 | 2022-03-15 | Microsoft Technology Licensing, Llc | Dynamic configuration of anomaly detection |
| US11601453B2 (en) * | 2019-10-31 | 2023-03-07 | Hewlett Packard Enterprise Development Lp | Methods and systems for establishing semantic equivalence in access sequences using sentence embeddings |
| US11314212B2 (en) * | 2020-01-27 | 2022-04-26 | Kyndryl, Inc. | HTM-based predictions for system behavior management |
| US11372841B2 (en) | 2020-01-30 | 2022-06-28 | International Business Machines Corporation | Anomaly identification in log files |
| US11556815B1 (en) | 2020-03-19 | 2023-01-17 | Wells Fargo Bank, N.A. | Systems and methods for using machine learning for managing application incidents |
| US11956253B1 (en) | 2020-06-15 | 2024-04-09 | Exabeam, Inc. | Ranking cybersecurity alerts from multiple sources using machine learning |
| CN111865958B (zh) * | 2020-07-14 | 2021-05-11 | 南京聚铭网络科技有限公司 | 基于多源安全检测框架的检测方法及系统 |
| CN111885064B (zh) * | 2020-07-24 | 2022-11-25 | 杭州安恒信息安全技术有限公司 | 基于多源数据的安全事件分析方法、装置、电子装置和存储介质 |
| IL300196A (en) * | 2020-08-25 | 2023-03-01 | Hyprfire Pty Ltd | System and method for anomaly detection |
| US11336530B2 (en) | 2020-09-14 | 2022-05-17 | Cisco Technology, Inc. | Spatio-temporal event weight estimation for network-level and topology-level representations |
| CN112131388B (zh) * | 2020-09-28 | 2024-02-06 | 范馨月 | 一种包含文本型数据类型的异常数据检测方法 |
| CN112163680B (zh) * | 2020-09-28 | 2024-03-08 | 湘潭大学 | 一种基于认知计算的风电故障运维管理方法 |
| CN112415331B (zh) * | 2020-10-27 | 2024-04-09 | 中国南方电网有限责任公司 | 基于多源故障信息的电网二次系统故障诊断方法 |
| CN112330361B (zh) * | 2020-11-04 | 2024-06-07 | 江苏瑞祥科技集团有限公司 | 面向线上购物用户消费习惯的智能大数据分析设计方法 |
| US11765188B2 (en) * | 2020-12-28 | 2023-09-19 | Mellanox Technologies, Ltd. | Real-time detection of network attacks |
| CN113256304B (zh) * | 2021-05-20 | 2022-09-06 | 山东大学 | 一种校园卡异常使用行为在线预警方法及系统 |
| CN114118295A (zh) * | 2021-12-07 | 2022-03-01 | 苏州浪潮智能科技有限公司 | 一种异常检测模型训练方法、异常检测方法、装置及介质 |
| EP4290383A1 (en) * | 2022-06-10 | 2023-12-13 | Nokia Solutions and Networks Oy | Method and apparatus for anomaly detection |
| WO2024112501A1 (en) * | 2022-11-21 | 2024-05-30 | Lacework, Inc. | Guided anomaly detection framework |
| CN117349478B (zh) * | 2023-10-08 | 2024-05-24 | 国网江苏省电力有限公司经济技术研究院 | 一种基于数字化转型企业的资源数据重构整合系统 |
| CN117785591B (zh) * | 2024-02-27 | 2024-04-26 | 北京壁仞科技开发有限公司 | 用于计算设备的计算内核的调试方法、计算设备、计算机可读存储介质和计算机程序产品 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015515674A (ja) * | 2012-03-15 | 2015-05-28 | セプト システムズ ゲゼルシャフト ミット ベシュレンクテル ハフツングCEPT Systems GmbH | テキストの意味的処理のための方法、装置および製品 |
| JP2016201088A (ja) * | 2015-04-10 | 2016-12-01 | タタ コンサルタンシー サービシズ リミテッドTATA Consultancy Services Limited | 異常検出システムおよび方法 |
| US20170230410A1 (en) * | 2016-02-10 | 2017-08-10 | Accenture Global Solutions Limited | Telemetry Analysis System for Physical Process Anomaly Detection |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5905859A (en) * | 1997-01-09 | 1999-05-18 | International Business Machines Corporation | Managed network device security method and apparatus |
| US5805801A (en) * | 1997-01-09 | 1998-09-08 | International Business Machines Corporation | System and method for detecting and preventing security |
| US6560611B1 (en) * | 1998-10-13 | 2003-05-06 | Netarx, Inc. | Method, apparatus, and article of manufacture for a network monitoring system |
| US7197507B2 (en) * | 2000-10-03 | 2007-03-27 | Netagent Co., Ltd | Communication information recording device |
| CA2594020C (en) | 2004-12-22 | 2014-12-09 | Wake Forest University | Method, systems, and computer program products for implementing function-parallel network firewall |
| JP4954979B2 (ja) | 2005-04-29 | 2012-06-20 | オラクル・インターナショナル・コーポレイション | 詐欺監視、検出、および階層状ユーザ認証のためのシステムおよび方法 |
| US20080208966A1 (en) * | 2007-02-28 | 2008-08-28 | Numenta, Inc. | Hierarchical Temporal Memory (HTM) System Deployed as Web Service |
| EP2369529A1 (en) | 2010-03-24 | 2011-09-28 | Alcatel Lucent | A method of detecting anomalies in a message exchange, corresponding computer program product, and data storage device therefor |
| US9412067B2 (en) | 2012-09-05 | 2016-08-09 | Numenta, Inc. | Anomaly detection in spatial and temporal memory system |
| CN104348829B (zh) | 2014-09-26 | 2017-08-01 | 智慧城市信息技术有限公司 | 一种网络安全态势感知系统及方法 |
| US10614364B2 (en) | 2015-09-16 | 2020-04-07 | Microsoft Technology Licensing, Llc | Localized anomaly detection using contextual signals |
| US10248910B2 (en) * | 2015-10-28 | 2019-04-02 | Fractal Industries, Inc. | Detection mitigation and remediation of cyberattacks employing an advanced cyber-decision platform |
| US10616253B2 (en) | 2017-11-13 | 2020-04-07 | International Business Machines Corporation | Anomaly detection using cognitive computing |
-
2017
- 2017-11-13 US US15/810,367 patent/US10616253B2/en not_active Expired - Fee Related
-
2018
- 2018-11-02 DE DE112018005462.4T patent/DE112018005462T5/de not_active Withdrawn
- 2018-11-02 WO PCT/IB2018/058624 patent/WO2019092567A1/en active Application Filing
- 2018-11-02 GB GB2008811.8A patent/GB2582115B/en not_active Expired - Fee Related
- 2018-11-02 CN CN201880073239.8A patent/CN111344721A/zh active Pending
- 2018-11-02 JP JP2020521922A patent/JP2021502625A/ja active Pending
-
2019
- 2019-04-29 US US16/396,901 patent/US10609061B2/en not_active Expired - Fee Related
-
2020
- 2020-01-08 US US16/736,851 patent/US11165806B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015515674A (ja) * | 2012-03-15 | 2015-05-28 | セプト システムズ ゲゼルシャフト ミット ベシュレンクテル ハフツングCEPT Systems GmbH | テキストの意味的処理のための方法、装置および製品 |
| JP2016201088A (ja) * | 2015-04-10 | 2016-12-01 | タタ コンサルタンシー サービシズ リミテッドTATA Consultancy Services Limited | 異常検出システムおよび方法 |
| US20170230410A1 (en) * | 2016-02-10 | 2017-08-10 | Accenture Global Solutions Limited | Telemetry Analysis System for Physical Process Anomaly Detection |
Non-Patent Citations (1)
| Title |
|---|
| 西野 琢也 ほか: "テンソル分解に基づくグラフ分類による組織内ネットワーク攻撃活動検知", CSS2017 コンピュータセキュリティシンポジウム2017 論文集, vol. 第2017巻第2号, JPN6022000324, 16 October 2017 (2017-10-16), JP, pages 7 - 14, ISSN: 0004920645 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102351223B1 (ko) * | 2021-10-08 | 2022-01-14 | 주식회사 이글루시큐리티 | 로그를 분석하기 위한 연관 검색 조건들이 프로파일되어 패키징에 포함되는 siem 원클릭 설치 방법 |
| KR20230086536A (ko) * | 2021-12-08 | 2023-06-15 | 한국과학기술정보연구원 | 보안데이터 처리장치, 보안데이터 처리방법 및 보안데이터를 처리하는 컴퓨터로 실행 가능한 프로그램을 저장하는 저장매체 |
| KR102622018B1 (ko) * | 2021-12-08 | 2024-01-10 | 한국과학기술정보연구원 | 보안데이터 처리장치, 보안데이터 처리방법 및 보안데이터를 처리하는 컴퓨터로 실행 가능한 프로그램을 저장하는 저장매체 |
Also Published As
| Publication number | Publication date |
|---|---|
| US10609061B2 (en) | 2020-03-31 |
| DE112018005462T5 (de) | 2020-06-25 |
| GB202008811D0 (en) | 2020-07-22 |
| US11165806B2 (en) | 2021-11-02 |
| US20190149565A1 (en) | 2019-05-16 |
| WO2019092567A1 (en) | 2019-05-16 |
| US10616253B2 (en) | 2020-04-07 |
| US20200186559A1 (en) | 2020-06-11 |
| US20190260789A1 (en) | 2019-08-22 |
| GB2582115A (en) | 2020-09-09 |
| GB2582115B (en) | 2021-02-24 |
| CN111344721A (zh) | 2020-06-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2021502625A (ja) | セキュリティ異常を判定するコンピュータ実装方法、コンピュータ・システム、システム、およびコンピュータ・プログラム | |
| US11586972B2 (en) | Tool-specific alerting rules based on abnormal and normal patterns obtained from history logs | |
| US10643135B2 (en) | Linkage prediction through similarity analysis | |
| AU2020385264B2 (en) | Fusing multimodal data using recurrent neural networks | |
| US20210385251A1 (en) | System and methods for integrating datasets and automating transformation workflows using a distributed computational graph | |
| US11546380B2 (en) | System and method for creation and implementation of data processing workflows using a distributed computational graph | |
| US11372841B2 (en) | Anomaly identification in log files | |
| KR20220002652A (ko) | 유사한 텍스트 문서들의 클러스터링 및 동적 리클러스터링 | |
| US20210136120A1 (en) | Universal computing asset registry | |
| WO2022111268A1 (en) | Defense of targeted database attacks through dynamic honeypot database response generation | |
| US20220122000A1 (en) | Ensemble machine learning model | |
| US11783221B2 (en) | Data exposure for transparency in artificial intelligence | |
| WO2023103688A1 (en) | Federated machine learning based on partially secured spatio-temporal data | |
| WO2022257610A1 (en) | Cognitive analysis of hierarchical database elements for generation of microservices | |
| US11556558B2 (en) | Insight expansion in smart data retention systems | |
| US11675856B2 (en) | Product features map | |
| US11762896B2 (en) | Relationship discovery and quantification | |
| US10223500B2 (en) | Predicting drug-drug interactions and specific adverse events | |
| US11645558B2 (en) | Automatic mapping of records without configuration information | |
| US20220188674A1 (en) | Machine learning classifiers prediction confidence and explanation | |
| US11157474B2 (en) | Representing and analyzing cloud computing data as pseudo systems | |
| JP2023538941A (ja) | コンテナ化された環境のインテリジェントバックアップ及び復元 | |
| US20240231909A1 (en) | System and method for universal computer asset normalization and configuration management | |
| CN116034377A (zh) | 深度神经网络中的异常值检测 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200617 |
|
| RD12 | Notification of acceptance of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7432 Effective date: 20200930 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210423 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220224 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220322 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20220502 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20220530 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20220822 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20221115 |