JP2022013823A - 人工ニューラルネットワークによって分散型ネットワークの健全性ステータス(health status)を予測するための方法 - Google Patents
人工ニューラルネットワークによって分散型ネットワークの健全性ステータス(health status)を予測するための方法 Download PDFInfo
- Publication number
- JP2022013823A JP2022013823A JP2021106547A JP2021106547A JP2022013823A JP 2022013823 A JP2022013823 A JP 2022013823A JP 2021106547 A JP2021106547 A JP 2021106547A JP 2021106547 A JP2021106547 A JP 2021106547A JP 2022013823 A JP2022013823 A JP 2022013823A
- Authority
- JP
- Japan
- Prior art keywords
- asset
- health status
- actual
- identified
- assets
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000003862 health status Effects 0.000 title claims abstract description 158
- 238000013528 artificial neural network Methods 0.000 title claims abstract description 68
- 238000000034 method Methods 0.000 title claims abstract description 47
- 208000015181 infectious disease Diseases 0.000 claims abstract description 87
- 238000012545 processing Methods 0.000 claims description 38
- 239000012678 infectious agent Substances 0.000 claims description 16
- 230000006870 function Effects 0.000 claims description 15
- 210000002569 neuron Anatomy 0.000 claims description 13
- 230000036541 health Effects 0.000 claims description 10
- 230000008859 change Effects 0.000 claims description 8
- 238000003860 storage Methods 0.000 claims description 6
- 238000004891 communication Methods 0.000 claims description 4
- 230000002085 persistent effect Effects 0.000 claims description 3
- 230000002123 temporal effect Effects 0.000 claims description 3
- 108010003272 Hyaluronate lyase Proteins 0.000 claims description 2
- 230000005540 biological transmission Effects 0.000 claims description 2
- 238000013459 approach Methods 0.000 description 7
- 230000032683 aging Effects 0.000 description 5
- 230000006399 behavior Effects 0.000 description 4
- 230000002458 infectious effect Effects 0.000 description 4
- 238000010801 machine learning Methods 0.000 description 4
- 210000000225 synapse Anatomy 0.000 description 4
- 230000009897 systematic effect Effects 0.000 description 4
- 238000012549 training Methods 0.000 description 4
- BTCSSZJGUNDROE-UHFFFAOYSA-N gamma-aminobutyric acid Chemical compound NCCCC(O)=O BTCSSZJGUNDROE-UHFFFAOYSA-N 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 239000011159 matrix material Substances 0.000 description 3
- 210000004556 brain Anatomy 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000013016 damping Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 238000010248 power generation Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 238000013529 biological neural network Methods 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000012530 fluid Substances 0.000 description 1
- 230000002431 foraging effect Effects 0.000 description 1
- 230000036449 good health Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 230000005195 poor health Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 238000000844 transformation Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/3006—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3447—Performance evaluation by modeling
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/084—Backpropagation, e.g. using gradient descent
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/04—Forecasting or optimisation specially adapted for administrative or management purposes, e.g. linear programming or "cutting stock problem"
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0635—Risk analysis of enterprise or organisation activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Mathematical Physics (AREA)
- Business, Economics & Management (AREA)
- Biophysics (AREA)
- Molecular Biology (AREA)
- Evolutionary Computation (AREA)
- Data Mining & Analysis (AREA)
- Computational Linguistics (AREA)
- Biomedical Technology (AREA)
- Software Systems (AREA)
- Artificial Intelligence (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Human Resources & Organizations (AREA)
- Computer Security & Cryptography (AREA)
- Quality & Reliability (AREA)
- Strategic Management (AREA)
- Economics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Entrepreneurship & Innovation (AREA)
- Game Theory and Decision Science (AREA)
- Development Economics (AREA)
- Marketing (AREA)
- Operations Research (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Bioinformatics & Computational Biology (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Automation & Control Theory (AREA)
- Educational Administration (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
【課題】欠点を最小限に抑えることができる人工ニューラルネットワークによって分散型ネットワークの健全性ステータスを予測するための方法を提供する。【解決手段】方法は、1つまたは複数のサイト、サイドの1つまたは複数のアセットおよびアセット間のリンクを識別する段階と、識別されたアセットの各々の実際の健全性ステータスを評価する段階と、識別されたサイトの各々の実際の健全性ステータスを評価する段階と、人工ニューラルネットワークによって、実際のアセット健全性ステータスランク、実際のアセット感染リスク、実際のアセットの感染因子、実際のサイト健全性ステータスランクおよび実際のサイト感染リスクを含む値のセットに基づく予測関数に従って、識別されたサイトの各々の後続の健全性ステータスを予測する段階と、を含む。【選択図】なし
Description
本発明は、分散型ネットワークを特に参照して、分散型ネットワークの管理におけるセキュリティ方法およびセキュリティシステムの分野に関する。特に、本発明は、人工ニューラルネットワークを使用して分散型ネットワークの健全性ステータスを予測するための方法に関する。
サイトは、ある量のネットワーク到達可能アセットが位置する物理的位置を表す。
アセットは、サイトのネットワーク内で物理的に接続された物理的(または仮想、たとえば仮想マシンなど)ネットワーク対応機器である。アセットは、コンピュータ、タブレット、プリンタ、またはTCP/IPもしくは同様のネットワークで通信することができる任意の他の種類のデバイスとすることができる。
さらに、アセットは、他のアセットと通信することができ、または他のアセットと通信する可能性を有することができる。この場合、それらは、アセットが何らかのプロトコルでネットワークを介して別のアセットと通信できるという事実をモデル化する共通リンクを有する。コンピュータネットワークは、アセット間にいくつかのコンポーネントを有することができ、2つのアセット間のすべてまたはいくつかのプロトコルを禁止することができる異なる機器タイプ(ルータ、ファイアウォール、アプリケーションファイアウォールなど)が存在する。このために、リンクは、「from」および「to」アセット、ならびにプロトコルを有する必要がある。
ネットワーキングソフトウェアの性質のために、1つまたは複数の脆弱性は、1つまたは複数のアセットに影響を及ぼす可能性があり、したがって、一般に、そのセキュリティを損なう攻撃を受ける。
サイバーセキュリティの世界では、様々な種類の混乱を防止するために、現在の健全性、脆弱性、および配備されているセキュリティ対策を見ることによって、所与のアセットまたはシステムのセキュリティ態勢を静的に評価することが一般的である。
システムの脆弱性を評価する複雑な方法は、ベース、時間、環境の3つのメトリックグループからなるCVSSタイプのスコアリングシステムを用いて、システム全体ならびに各アセットを評価することである。ベースグループは、経時的に、またユーザ環境にわたって一定である脆弱性の固有の品質を表し、時間グループは、経時的に変化する脆弱性の特性を反映し、環境グループは、ユーザの環境に固有の脆弱性の特性を表す。要約すると、ベースメトリックは、スコアを生成し、次いで、これは、時間メトリックおよび環境メトリックをスコアリングすることによって修正することができる。
いずれにせよ、そのような側面を別個に、静的アプローチで分析することは、現実の誤った認識を与え、誤った結論をもたらす可能性がある。
したがって、分散型ネットワーク内のサイトの健全性ステータスを予測することができる方法を有することが望ましい。さらに、経時的なシステムの進化を全体的に分析することによって、リスクがどのようにシステムの健全性ステータスに影響を及ぼす可能性があるかをより良く予測することができる方法を有することが望ましい。最後に、アセットの脆弱性の変化に関連する異常な健全性ステータスを防止することができる方法を有することが望ましい。
同様に、経時的なシステムの進化を全体的に分析することによって、リスクがどのようにシステムの健全性ステータスに影響を及ぼす可能性があるかをより良く予測することができる装置を有することが望ましい。
本発明の目的は、上述の欠点を最小限に抑えることができる人工ニューラルネットワークによって分散型ネットワークの健全性ステータスを予測するための方法を提供することである。
したがって、本発明によれば、分散型ネットワーク内のオブジェクトを識別する段階を含む、人工ニューラルネットワークによって分散型ネットワークの健全性ステータスを予測するための方法が説明され、
分散型ネットワークに動作可能に接続されたコンピュータ化されたデータ処理ユニットによって、分散型ネットワーク内の1つまたは複数のサイトを識別するステップと、
コンピュータ化されたデータ処理ユニットによって、識別されたサイトの各々の1つまたは複数のアセットを識別するステップと、
コンピュータ化されたデータ処理ユニットによって、識別されたアセット間のリンクを識別するステップであり、リンクは、送信側アセットに関連するプロトコルフィールドと、受信側アセットに関連するプロトコルフィールドと、送信側アセットと受信側アセットとの間の通信を可能にするプロトコルフィールドとを有する分散型ネットワーク内で交換されるデータパケットによって定義され、リンクの各々について、送信側アセットおよび受信側アセットがノードを定義し、送信側アセットと受信側アセットとの間の接続は、送信側アセットから受信側アセットへの方向を持つノード間のリンクを定義する、識別するステップと、
データ処理ユニットに動作可能に接続された永続的なタイプの記憶ユニットに、分散型ネットワークの識別されたサイト、識別されたアセット、および識別されたリンクを記憶するステップと
を含み、
健全性ステータスを予測するための方法は、
コンピュータ化されたデータ処理ユニットによって、識別されたアセットの各々の実際のアセット健全性ステータスランクを、最悪のアセット健全性ステータスから最良のアセット健全性ステータスまでの範囲のアセット健全性ステータス値の所定のセットに従って評価するステップと、
コンピュータ化されたデータ処理ユニットによって、識別されたアセットの各々の実際のアセット感染リスクを、最大のアセット感染リスクからアセット感染リスクなしまでの範囲のアセット感染リスク値の所定のセットに従って評価するステップと、
コンピュータ化されたデータ処理ユニットによって動作される人工ニューラルネットワークによって、識別されたリンクに従って、アセットの感染が他のアセットに広がり得る確率として、識別されたアセットの各々の実際のアセットの感染因子を計算するステップと
を含む、実際の反復において、識別されたアセットの各々の実際の健全性ステータスを評価する段階をさらに含み、
健全性ステータスを予測するための方法は、
コンピュータ化されたデータ処理ユニットによって、識別されたサイトの各々の実際のサイト健全性ステータスランクを、サイト内のアセットの最小の実際のアセット健全性ステータス値に等しいと評価するステップと、
コンピュータ化されたデータ処理ユニットによって、識別されたサイトの各々の実際のサイト感染リスクを、サイト内のアセットの最大アセット感染リスク値に等しいと評価するステップと
を含む、実際の反復において、識別されたサイトの各々の実際の健全性ステータスを評価する段階をさらに含み、
健全性ステータスを予測するための方法は、後続の反復において、およびコンピュータ化されたデータ処理ユニットによって動作される人工ニューラルネットワークによって、実際のアセット健全性ステータスランク、実際のアセット感染リスク、実際のアセットの感染因子、実際のサイト健全性ステータスランク、および実際のサイト感染リスクを含む予測値のセットに基づく予測関数に従って、識別されたサイトの各々の後続の健全性ステータスを予測する段階をさらに含む。
分散型ネットワークに動作可能に接続されたコンピュータ化されたデータ処理ユニットによって、分散型ネットワーク内の1つまたは複数のサイトを識別するステップと、
コンピュータ化されたデータ処理ユニットによって、識別されたサイトの各々の1つまたは複数のアセットを識別するステップと、
コンピュータ化されたデータ処理ユニットによって、識別されたアセット間のリンクを識別するステップであり、リンクは、送信側アセットに関連するプロトコルフィールドと、受信側アセットに関連するプロトコルフィールドと、送信側アセットと受信側アセットとの間の通信を可能にするプロトコルフィールドとを有する分散型ネットワーク内で交換されるデータパケットによって定義され、リンクの各々について、送信側アセットおよび受信側アセットがノードを定義し、送信側アセットと受信側アセットとの間の接続は、送信側アセットから受信側アセットへの方向を持つノード間のリンクを定義する、識別するステップと、
データ処理ユニットに動作可能に接続された永続的なタイプの記憶ユニットに、分散型ネットワークの識別されたサイト、識別されたアセット、および識別されたリンクを記憶するステップと
を含み、
健全性ステータスを予測するための方法は、
コンピュータ化されたデータ処理ユニットによって、識別されたアセットの各々の実際のアセット健全性ステータスランクを、最悪のアセット健全性ステータスから最良のアセット健全性ステータスまでの範囲のアセット健全性ステータス値の所定のセットに従って評価するステップと、
コンピュータ化されたデータ処理ユニットによって、識別されたアセットの各々の実際のアセット感染リスクを、最大のアセット感染リスクからアセット感染リスクなしまでの範囲のアセット感染リスク値の所定のセットに従って評価するステップと、
コンピュータ化されたデータ処理ユニットによって動作される人工ニューラルネットワークによって、識別されたリンクに従って、アセットの感染が他のアセットに広がり得る確率として、識別されたアセットの各々の実際のアセットの感染因子を計算するステップと
を含む、実際の反復において、識別されたアセットの各々の実際の健全性ステータスを評価する段階をさらに含み、
健全性ステータスを予測するための方法は、
コンピュータ化されたデータ処理ユニットによって、識別されたサイトの各々の実際のサイト健全性ステータスランクを、サイト内のアセットの最小の実際のアセット健全性ステータス値に等しいと評価するステップと、
コンピュータ化されたデータ処理ユニットによって、識別されたサイトの各々の実際のサイト感染リスクを、サイト内のアセットの最大アセット感染リスク値に等しいと評価するステップと
を含む、実際の反復において、識別されたサイトの各々の実際の健全性ステータスを評価する段階をさらに含み、
健全性ステータスを予測するための方法は、後続の反復において、およびコンピュータ化されたデータ処理ユニットによって動作される人工ニューラルネットワークによって、実際のアセット健全性ステータスランク、実際のアセット感染リスク、実際のアセットの感染因子、実際のサイト健全性ステータスランク、および実際のサイト感染リスクを含む予測値のセットに基づく予測関数に従って、識別されたサイトの各々の後続の健全性ステータスを予測する段階をさらに含む。
したがって、本発明による方法は、リスクおよび健全性ステータスに関して実際のサイトのネットワークを評価し、それが近い将来どのように振る舞うかに関する予測を提供することを可能にする。人工ニューラルネットワークを利用することによって、機械学習アプローチを定義することが可能であり、ここで、予測は、実際の状態における学習事象に基づく。
識別されたアセットの各々の実際の健全性ステータスを評価する段階、および識別されたサイトの各々の実際の健全性ステータスを評価する段階は、あらかじめ定められた学習時間間隔の間実行され、
識別されたアセットの各々の実際のアセット健全性ステータスランク、識別されたアセットの各々の実際のアセット感染リスク、識別されたアセットの各々の実際のアセットの感染因子、識別されたサイトの各々の実際のサイト健全性ステータスランク、および識別されたサイトの各々の実際のサイト感染リスクは、記憶ユニットに記憶される。
識別されたアセットの各々の実際のアセット健全性ステータスランク、識別されたアセットの各々の実際のアセット感染リスク、識別されたアセットの各々の実際のアセットの感染因子、識別されたサイトの各々の実際のサイト健全性ステータスランク、および識別されたサイトの各々の実際のサイト感染リスクは、記憶ユニットに記憶される。
あらかじめ定められた学習時間間隔は、実際の反復を計算するためのスケジュールされた時間を定義し、したがって、人工ニューラルネットワークは、前記学習時間間隔内で訓練することができる。
識別されたアセットの各々の実際の健全性ステータスを評価する段階、および識別されたサイトの各々の実際の健全性ステータスを評価する段階は、あらかじめ定められた学習時間間隔の間実行され、
識別されたアセットの各々の実際のアセット健全性ステータスランク、識別されたアセットの各々の実際のアセット感染リスク、識別されたアセットの各々の実際のアセットの感染因子、識別されたサイトの各々の実際のサイト健全性ステータスランク、および識別されたサイトの各々の実際のサイト感染リスクは、あらかじめ定められた学習時間間隔においてあらかじめ定められた学習時点で定義された複数の値を含む。
識別されたアセットの各々の実際のアセット健全性ステータスランク、識別されたアセットの各々の実際のアセット感染リスク、識別されたアセットの各々の実際のアセットの感染因子、識別されたサイトの各々の実際のサイト健全性ステータスランク、および識別されたサイトの各々の実際のサイト感染リスクは、あらかじめ定められた学習時間間隔においてあらかじめ定められた学習時点で定義された複数の値を含む。
このようにして、アセットまたはサイトに対する変化は、あらかじめ定められた時点で評価される。
識別されたアセットの各々の実際の健全性ステータスを評価する段階、および識別されたサイトの各々の実際の健全性ステータスを評価する段階は、あらかじめ定められた学習時間間隔の間実行され、
識別されたアセットの各々の実際のアセット健全性ステータスランク、識別されたアセットの各々の実際のアセット感染リスク、識別されたアセットの各々の実際のアセットの感染因子、識別されたサイトの各々の実際のサイト健全性ステータスランク、および識別されたサイトの各々の実際のサイト感染リスクは、あらかじめ定められた学習時間間隔中の変化時に定義された複数の値を含んでいる。
識別されたアセットの各々の実際のアセット健全性ステータスランク、識別されたアセットの各々の実際のアセット感染リスク、識別されたアセットの各々の実際のアセットの感染因子、識別されたサイトの各々の実際のサイト健全性ステータスランク、および識別されたサイトの各々の実際のサイト感染リスクは、あらかじめ定められた学習時間間隔中の変化時に定義された複数の値を含んでいる。
このようにして、アセットまたはサイトに対する変化は、それらの発生時に評価される。
識別されたサイトの各々の後続の健全性ステータスを予測する段階は、あらかじめ定められた予測時間間隔の間実行される。
あらかじめ定められた予測時間間隔は、次の反復を計算するためのスケジュールされた時間を定義し、したがって、人工ニューラルネットワークは、前記予測時間間隔内で健全性ステータスを予測することができる。
識別されたアセットの各々の実際の健全性ステータスを評価する段階、および識別されたサイトの各々の実際の健全性ステータスを評価する段階は、あらかじめ定められた学習時間間隔の間実行され、
識別されたサイトの各々の後続の健全性ステータスを予測する段階は、あらかじめ定められた予測時間間隔の間実行され、
予測時間間隔は、学習時間間隔に等しい。
識別されたサイトの各々の後続の健全性ステータスを予測する段階は、あらかじめ定められた予測時間間隔の間実行され、
予測時間間隔は、学習時間間隔に等しい。
したがって、予測の範囲は、訓練の範囲に対応する。
人工ニューラルネットワークは、逆伝搬で訓練されたフィードフォワードタイプのものである。
このようにして、情報は、入力ノードから出力ノードへと、一方向、すなわち順方向のみに移動する。ネットワークにはサイクルまたはループは存在しない。出力値は実数値と比較されて、何らかの所定の誤差関数の値が計算される。次いで、誤差は、ネットワークを介してフィードバックされる。この情報を使用して、アルゴリズムは、誤差関数の値を少しでも減少させるために、各接続の重みを調整する。
人工ニューラルネットワークは、3隠れ層ネットワークであって、少なくとも隠れ層内に予測値のセットの数と同数のニューロンを有する3隠れ層ネットワークであり、
識別されたサイトごとに異なる人工ニューラルネットワークが使用される。
識別されたサイトごとに異なる人工ニューラルネットワークが使用される。
そのようないくつかの層およびニューロンを定義することによって、それ自体の人工ニューラルネットワークを有するあらゆる種類のサイトを近似することが可能である。
予測値のセットはまた、識別されたサイト内の識別されたアセットの各々についての経時的頻度値(aging frequency value)を含み、
コンピュータ化されたデータ処理ユニットによって、次の反復のための経時的頻度値は、実際の反復における実際のアセットの感染因子にあらかじめ定められた減衰因子を適用することによって、アセットの各々について計算される。
コンピュータ化されたデータ処理ユニットによって、次の反復のための経時的頻度値は、実際の反復における実際のアセットの感染因子にあらかじめ定められた減衰因子を適用することによって、アセットの各々について計算される。
したがって、経時的頻度は、エンティティおよび事象の頻度を経時的に追跡することを可能にし、人工ニューラルネットワークのシナプスとして見ることができる。
感染因子は、コンピュータ化されたデータ処理ユニットによって動作される人工ニューラルネットワークによって、脆弱性がアセットに影響を及ぼす確率である、アセットの実際のアセット脆弱性因子と、さらなるアセットが識別されたリンクに従って識別されたアセットを攻撃する確率である、アセットの実際のアセット拡散因子との間の最大値として、識別されたアセットの各々について計算される。
本発明は、人工ニューラルネットワークによって分散型ネットワークの健全性ステータスを予測するための方法に関する。
本発明による方法は、物理的または仮想的なインフラストラクチャまたは自動化システム、特に、生産のための工業プロセス、発電のための工業プロセス、流体(水、石油、およびガス)の分配のためのインフラストラクチャ、発電および/または送電のためのインフラストラクチャ、輸送管理のためのインフラストラクチャなどの工業自動化システムにおいて有用な用途を見出す。
「サイト」という用語は、本発明では、ある量のネットワーク到達可能アセットが位置する物理的位置を意味する。
「アセット」という用語は、本発明では、サイトのネットワーク内で物理的に接続された物理または仮想ネットワーク対応機器を意味する。アセットは、コンピュータ、タブレット、プリンタ、またはTCP/IPもしくは同様のネットワークで通信することができる任意の他の種類のデバイスとすることができる。
「リンク」という用語は、本発明では、何らかのプロトコルを有するネットワーク上の2つのアセット間の通信を表すモデルを意味する。アセットは、他のアセットと通信することができ、または他のアセットと通信する可能性を有することができる。アセットが別のアセットと通信できる場合、上述のように、それらは共通のリンクを有する。コンピュータネットワークは、アセット間にいくつかのコンポーネントを有することができ、2つのアセット間のすべてまたはいくつかのプロトコルを禁止することができる異なる機器タイプ(ルータ、ファイアウォール、アプリケーションファイアウォールなど)が存在する。これらの理由のために、assetaがプロトコルを用いてassetbに接続することができる場合、同じことが前記assetbから前記assetaに対して起こり得ることは保証されないので、リンクは、「from」および「to」アセット、ならびにプロトコルを有する必要がある。また、リンクを表すことは、アセットの到達可能性グラフを作成することが可能であり、次いでこれを使用して、感染がネットワーク上でどのように広がり得るかを理解することができるので、有用である。
したがって、分散型ネットワークは、複数のサイトを接続することができ、複数のサイトは、1つまたは複数のアセットを備え得る。後者は、上述したように、リンクを介した相互接続のネットワークを生成することができる。
本発明による方法は、複数の段階を介して、人工ニューラルネットワークによって実施される予測機能を利用することによって、分散型ネットワークの健全性ステータスを予測するために、前述の要素を識別することを可能にする。特に、本発明の範囲は、2つの後続の反復、すなわち、実際の反復および後続の反復にわたって、分散型ネットワークの健全性ステータスを予測することである。
「実際の反復」という用語は、本発明では、依然として実行中であり、人工ニューラルネットワークの学習段階で使用される反復を意味する。この点に関して、本発明において、「学習時間間隔」という用語は、人工ニューラルネットワークの学習段階に応じた時間間隔を意味する。
「後続の反復」という用語は、本発明では、まだ実行されておらず、人工ニューラルネットワークの予測段階で使用される反復を意味する。この点に関して、本発明において、「予測時間間隔」という用語は、人工ニューラルネットワークの予測段階に応じた時間間隔を意味する。
ネットワーキングソフトウェアの性質により、1つまたは複数の脆弱性がアセットに影響を及ぼす可能性がある。
「脆弱性」という用語は、本発明では、所与のハードウェアまたはソフトウェア製品(またはそれらの組合せ)が所与のバージョンにおいて有することができる潜在的なセキュリティ問題を意味する。所与の脆弱性は、いくつかの異なる方法で活用することができ、それらのうちの1つは、1つまたは複数のプロトコルを有するネットワークを介したものであり、これらのプロトコルは、最初にアセットを感染させるために、または感染をより多くのアセットに広げるために使用される(最初と後者のプロトコルは異なり得る)。この表現は、他の方法(たとえば、USBキーを介したマルウェアの配信)で活用することができる脆弱性の存在を想定しているが、その場合、プロトコルセットは空であることに留意することが重要である。
「感染」という用語は、本発明では、ネットワーク内での何らかのマルウェアの発生を意味し、特に、通常は何らかの形態の脆弱性に起因して、1つ(または複数)のアセットに影響を及ぼすことを意味する。感染の別の特性は感染因子(I因子)であり、これは、感染が同じ脆弱性によっても影響されると仮定すると、感染が別のアセットに広がり得る確率Pで表される。
本発明による方法は、リスクおよび健全性ステータスに関して実際のサイトのネットワークを評価し、それが近い将来どのように振る舞うかに関する予測を提供することを可能にする。人工ニューラルネットワークを利用することによって、機械学習アプローチを定義することが可能であり、ここで、予測は、本明細書で説明されるように、実際の状態における学習事象に基づく。
本発明による、人工ニューラルネットワークによって分散型ネットワークの健全性ステータスを予測するための方法は、3つの主要な段階、特に、分散型ネットワーク内のオブジェクトを識別する段階と、実際の反復において、識別されたアセットの各々の実際の健全性ステータスを評価する後続の段階と、実際の反復において、識別されたサイトの各々の実際の健全性ステータスを評価する後続の段階と、最後に、後続の反復において、および人工ニューラルネットワークによって、識別されたサイトの各々の後続の健全性ステータスを予測する段階とを含む。
この方法は、好ましくは、1つまたは複数のコンピュータ化されたデータ処理ユニットを利用することによって実行され、特に、人工ニューラルネットワークは、1つまたは複数の前記コンピュータ化されたデータ処理ユニットによって動作される。
分散型ネットワーク内のオブジェクトを識別する段階は、分散型ネットワークに動作可能に接続されたコンピュータ化されたデータ処理ユニットによって、分散型ネットワーク内の1つまたは複数のサイトを識別する第1のステップと、次いで、コンピュータ化されたデータ処理ユニットによって、識別されたサイトの各々の1つまたは複数のアセットを識別する第2のステップとを含む。
したがって、分散型ネットワークは、1つまたは複数のサイトを含み、1つまたは複数のサイトは、1つまたは複数のアセットを含み得る。
分散型ネットワーク内のオブジェクトを識別する段階は、コンピュータ化されたデータ処理ユニットによって、識別されたアセット間のリンクを識別するステップであり、リンクは、送信側アセットに関連するプロトコルフィールドと、受信側アセットに関連するプロトコルフィールドと、送信側アセットと受信側アセットとの間の通信を可能にするプロトコルフィールドとを有する分散型ネットワーク内で交換されるデータパケットによって定義され、リンクの各々について、送信側アセットおよび受信側アセットがノードを定義し、送信側アセットと受信側アセットとの間の接続は、送信側アセットから受信側アセットへの方向を持つノード間のリンクを定義する、識別するさらなるステップを含む。
最後に、データ処理ユニットに動作可能に接続された永続的なタイプの記憶ユニットに、分散型ネットワークの識別されたサイト、識別されたアセット、および識別されたリンクを記憶するさらなるステップが実行される。
したがって、分散型ネットワーク内のオブジェクトを識別する前述の段階は、オブジェクト間のすべての接続を考慮に入れて、予測される分散型ネットワークの構造全体を定義することを可能にする。特に、これらは、主要なエンティティおよびデータ構造である。コンピュータネットワークでは、これらのエンティティは、結果的に1つまたは複数の関連するエンティティのステータスが変化するいくつかの種類の事象に従って経時的に進化する。
サイトのサイバーセキュリティ情報は、その健全性ステータスランクとその感染リスクの2つの異なる値を含む。サイトについて説明したように、アセット自体も、同じ概念を表すが特定のアセットに焦点を当てた健全性ステータスランクおよび感染リスクを含むサイバーセキュリティ情報を有する。以下では、上記の値に従って、サイバーセキュリティ態勢の発展に影響を及ぼす主な事象について説明する。
「健全性ステータスランク」という用語は、本発明では、オブジェクト、すなわちサイトまたはアセットの健全性ステータスに関する体系化された値を意味する。好ましくは、健全性ステータスランクは、最悪値から最良値までの健全性の体系化された値を表すことを可能にする、所定の範囲で選択された数値である。特に、本発明では、健全性ステータスランクは、数0と数10との間の範囲の10進数であり、数0は、非常に悪い(最悪の)健全性ステータスを表し、数10は、良好な(最良の)健全性ステータスを表す。悪い健全性ステータスとは、サイト内で1つまたは複数のアセット上で何らかの感染(通常はマルウェア)がアクティブであること、またはサイバーセキュリティの問題によって何らかの他の形態の機能劣化が発生していることを意味する。
したがって、アセットについて評価された健全性ステータスランクは、アセット健全性ステータスランクとして表され、一方、サイトについての健全性ステータスランクは、結果として、サイト健全性ステータスランクとして表される。さらに、反復の種類を考慮すると、上述したように、アセットの健全性ステータスランクは、実際の反復において、実際のアセット健全性ステータスランクまたはアセットの実際の健全性アセットとして、および後続の反復において、後続のアセット健全性ステータスランクまたはアセットの後続の健全性アセットとして評価され得る。同じことが、必要な変更を加えて、実際の反復を考慮に入れたサイトについて、実際のサイト健全性ステータスランクまたはサイトの実際の健全性アセットとして、および後続の反復において、後続のサイト健全性ステータスランクまたはサイトの後続の健全性アセットとして適用される。
「感染リスク」という用語は、本発明では、オブジェクト、すなわち、サイトまたはアセットが感染するリスクについての体系化された値を意味する。好ましくは、感染リスクは、最大値から最小値までの感染リスクの体系化された値を表すことを可能にする、所定の範囲内で選択された数値である。特に、本発明では、感染リスクは、数0と数10との間の範囲の10進数であり、数0は、感染するリスクがないことを表し(最良)、数10は、感染する確信に近いことを表す(最悪)。
前述の値を評価する範囲において、本発明による方法は、実際の反復において、識別されたアセットの各々の実際の健全性ステータスを評価する段階を含む。特に、そのような段階は、コンピュータ化されたデータ処理ユニットによって、識別されたアセットの各々の実際のアセット健全性ステータスランクを、最悪のアセット健全性ステータスから最良のアセット健全性ステータスまでの範囲のアセット健全性ステータス値の所定のセットに従って評価するステップを含む。コンピュータ化されたデータ処理ユニットによって、識別されたアセットの各々の実際のアセット感染リスクを、最大のアセット感染リスクからアセット感染リスクなしまでの範囲のアセット感染リスク値の所定のセットに従って評価するさらなるステップが実行される。最後に、コンピュータ化されたデータ処理ユニットによって動作される人工ニューラルネットワークによって、識別されたリンクに従って、アセットの感染が他のアセットに広がり得る確率として、識別されたアセットの各々の実際のアセットの感染因子を計算するステップが実行される。
サイトの各アセットについて評価または計算された値を考慮に入れて、本発明による方法は、実際の反復において、識別されたサイトの各々の実際の健全性ステータスを評価する段階を含む。特に、そのような段階は、コンピュータ化されたデータ処理ユニットによって、識別されたサイトの各々の実際のサイト健全性ステータスランクを、サイト内のアセットの最小の実際のアセット健全性ステータス値に等しいと評価する第1のステップと、コンピュータ化されたデータ処理ユニットによって、識別されたサイトの各々の実際のサイト感染リスクを、サイト内のアセットの最大アセット感染リスク値に等しいと評価する第2のステップとを含む。
高い感染リスクは、健全性ステータスランクを短期間で増加させ得、一方、低い感染リスクを有するサイトは、良好な健全性ステータスランクを有する可能性がある。
前述の範囲に基づいて、感染がアセットに影響を及ぼしているとき、対応する健全性ステータスランクは、数0と数10との間の10進数である感染の健全性影響値によって減少し、数10は、アセット健全性ステータスランクに対する最大の混乱を表す。健全性への影響は、感染に使用された脆弱性から、それらの最大健全性影響を考慮することによって導き出される。
「脆弱性」という用語は、本発明では、オブジェクトが敵対環境の影響に耐えることができないことを意味する。脆弱性は、リスク因子を利用可能にするためにアセット上に存在する必要がある条件のセット(たとえば、ソフトウェアバージョン)によって特徴付けられる。
前述の段階、すなわち、識別されたアセットの各々の実際の健全性ステータスを評価する段階、および識別されたサイトの各々の実際の健全性ステータスを評価する段階は、以下でより詳細に説明するように、人工ニューラルネットワーク設計の訓練(または学習段階)が本方法を実行することを可能にする。人工ニューラルネットワーク(ANN)は、生物学的ニューラルネットワークによって着想されるコンピューティングシステムである。そのようなシステムは、一般にタスク固有のルールでプログラムされることなく、例を考慮することによってタスクを実行することを学習する。ANNは、人工ニューロン(または単にニューロン)と呼ばれる接続されたユニットまたはノードの集合に基づいており、これは、生物学的脳内のニューロンを緩くモデル化する。各接続は、生物学的脳内のシナプスのように、信号を他のニューロンに送信することができる。次いで、信号を受信する人工ニューロンがそれを処理し、それに接続されたニューロンにシグナリングすることができる。典型的には、ニューロンは、層に集約される。異なる層は、それらの入力に対して異なる変換を実行し得る。信号は、最初の層(入力層)から最後の層(出力層)まで、場合によっては層を複数回横断した後に進む。
一実施形態では、本発明の人工ニューラルネットワークは、逆伝搬で訓練されたフィードフォワードタイプのものである。
フィードフォワードニューラルネットワークは、人工ニューラルネットワークであり、ノード間の接続はサイクルを形成せず、情報は、入力ノードから、隠れノード(もしあれば)を通って、出力ノードへと、一方向、すなわち順方向にのみ移動する。ネットワークにはサイクルまたはループは存在しない。出力値は実数値と比較されて、何らかの所定の誤差関数の値が計算される。次いで、誤差は、ネットワークを介してフィードバックされる。この情報を使用して、アルゴリズムは、誤差関数の値を少しでも減少させるために、各接続の重みを調整する。
一実施形態では、人工ニューラルネットワークは、3隠れ層ネットワークであって、少なくとも隠れ層内に予測値のセットの数と同数のニューロンを有する3隠れ層ネットワークである。特に、評価されるべき数またはサイトは、使用されるべき人工ニューラルネットワークの数を定義し、識別されたサイトごとに異なる人工ニューラルネットワークが使用される。
そのようないくつかの層およびニューロンを定義することによって、それ自体の人工ニューラルネットワークを有するあらゆる種類のサイトを近似することが可能である。
逆伝搬を利用するANN多層において、出力値は、何らかの所定の誤差関数の値を計算するために正しい答えと比較される。様々な技法により、次いで、誤差は、ネットワークを介してフィードバックされる。この情報を使用して、アルゴリズムは、誤差関数の値を少しでも減少させるために、各接続の重みを調整する。十分に多くの訓練サイクルでこのプロセスを繰り返した後、ネットワークは、通常、計算の誤差が小さい何らかの状態に収束し、その結果、ANNは、ある目的関数を学習している。
一実施形態では、識別されたアセットの各々の実際の健全性ステータスを評価する段階、および識別されたサイトの各々の実際の健全性ステータスを評価する段階は、あらかじめ定められた学習時間間隔の間実行され、識別されたアセットの各々の実際のアセット健全性ステータスランク、識別されたアセットの各々の実際のアセット感染リスク、識別されたアセットの各々の実際のアセットの感染因子、識別されたサイトの各々の実際のサイト健全性ステータスランク、および識別されたサイトの各々の実際のサイト感染リスクは、記憶ユニットに記憶される。
あらかじめ定められた学習時間間隔は、実際の反復を計算するためのスケジュールされた時間を定義し、したがって、人工ニューラルネットワークは、前記学習時間間隔内で訓練することができる。
特に、識別されたアセットの各々の実際の健全性ステータスを評価する段階、および識別されたサイトの各々の実際の健全性ステータスを評価する段階は、あらかじめ定められた学習時間間隔の間実行され、識別されたアセットの各々の実際のアセット健全性ステータスランク、識別されたアセットの各々の実際のアセット感染リスク、識別されたアセットの各々の実際のアセットの感染因子、識別されたサイトの各々の実際のサイト健全性ステータスランク、および識別されたサイトの各々の実際のサイト感染リスクは、あらかじめ定められた学習時間間隔においてあらかじめ定められた学習時点で定義された複数の値を含む。
このようにして、アセットまたはサイトに対する変化は、あらかじめ定められた時点で評価される。
上記の特徴の代わりに、または上記の特徴と組み合わせて、識別されたアセットの各々の実際の健全性ステータスを評価する段階、および識別されたサイトの各々の実際の健全性ステータスを評価する段階は、あらかじめ定められた学習時間間隔の間実行され、識別されたアセットの各々の実際のアセット健全性ステータスランク、識別されたアセットの各々の実際のアセット感染リスク、識別されたアセットの各々の実際のアセットの感染因子、識別されたサイトの各々の実際のサイト健全性ステータスランク、および識別されたサイトの各々の実際のサイト感染リスクは、あらかじめ定められた学習時間間隔中の変化時に定義された複数の値を含んでいる。
このようにして、アセットまたはサイトに対する変化は、それらの発生時に評価される。
一実施形態では、予測値のセットはまた、識別されたサイト内の識別されたアセットの各々についての経時的頻度値を含み、コンピュータ化されたデータ処理ユニットによって、次の反復のための経時的頻度値は、実際の反復における実際のアセットの感染因子にあらかじめ定められた減衰因子を適用することによって、アセットの各々について計算される。
したがって、経時的頻度は、エンティティおよび事象の頻度を経時的に追跡することを可能にし、人工ニューラルネットワークのシナプスとして見ることができる。
経時的頻度は、エンティティおよび事象の頻度を経時的に追跡することを可能にし、人工ニューラルネットワークのシナプスとして見ることができる。実際、このデータ構造は、システムの現在および将来の挙動を理解することを可能にする学習および予測アルゴリズムの基礎である。経時的頻度は、単一のオブジェクトの頻度を追跡するために、または相関行列を計算するために使用することができる。両方の状況において、主な着想は、このデータ構造が、時間とともにその重要性が減少する、所与の事象の知識を表していることである。たとえば、あるアセットが別のアセットに感染する確率を追跡するとき、それを行列AgingFrequencyProbabilityOfContagion(Asseti,Assetj)として表すことができ、その値は、ある量、たとえば0.5で初期化することができる。経時的頻度の次のサイクルに反復するとき、行列の各値は、減衰因子の値だけすべての確率を減少させる減衰因子で更新される。0.01の減衰因子の場合、各反復において、AgingFrequencyProbabilityOfContagion(Asseti,Assetj)が調整され、したがって、前の反復が0.5であった場合、新しい値は0.49になる。(異なるオブジェクトを追跡するための)異なる経時的頻度構造は、異なる減衰因子を使用することができる。
学習段階に続いて、健全性ステータスを予測するための方法は、後続の反復において、コンピュータ化されたデータ処理ユニットによって動作される人工ニューラルネットワークによって、実際のアセット健全性ステータスランク、実際のアセット感染リスク、実際のアセットの感染因子、実際のサイト健全性ステータスランク、および実際のサイト感染リスクを含む予測値のセットに基づく予測関数に従って、識別されたサイトの各々の後続の健全性ステータスを予測する段階をさらに含む。
好ましくは、感染因子は、コンピュータ化されたデータ処理ユニットによって動作される人工ニューラルネットワークによって、脆弱性がアセットに影響を及ぼす確率である、アセットの実際のアセット脆弱性因子と、さらなるアセットが識別されたリンクに従って識別されたアセットを攻撃する確率である、アセットの実際のアセット拡散因子との間の最大値として、識別されたアセットの各々について計算される。
したがって、予測関数は、各アセットについて、(それらの間の、および時間にわたる)すべての考慮された因子間の関係を理解するためのモデルを構築するために使用される、逆伝搬で訓練されたフィードフォワード人工ニューラルネットワーク(ANN)を備えることが好ましい、機械学習アプローチを使用する。
評価されるべきいくつかの事象を考慮に入れると、事象は、所与のプロトコルおよびアプリケーションを用いて、あるアセットが別のアセットと通信するときはいつでも発生する「接続」によって定義され得る。この事象が発生すると、それに応じてリンクが作成または更新される。
さらなる事象は、「攻撃」によって定義することができ、攻撃者アセット、または外部攻撃者によってターゲットアセット上で所与の時間に発生し、新しい感染が生成されることを引き起こす可能性がある。攻撃は、1つまたは複数の脆弱性を使用する。感染が生成されると、以下の方法でこれらの更新がトリガされる。
- 感染したアセットの健全性ステータスランクが更新される。
- 経時的頻度が更新される
○ Aging Frequency ProbabilityOfBeingExploited(Vulnerability)=1
・所与の脆弱性を有するアセットがそれによって影響を受け得る確率が増大している。
○ AgingFrequency Asset(ProbabilityOfBeingAttacked)=1
・攻撃されるアセットの確率が高い。
- 感染したアセットの健全性ステータスランクが更新される。
- 経時的頻度が更新される
○ Aging Frequency ProbabilityOfBeingExploited(Vulnerability)=1
・所与の脆弱性を有するアセットがそれによって影響を受け得る確率が増大している。
○ AgingFrequency Asset(ProbabilityOfBeingAttacked)=1
・攻撃されるアセットの確率が高い。
さらに、事象「ソフトウェア変更」は、新しいソフトウェアがシステムにインストールされたときに、完全に新しいソフトウェアまたはすでにインストールされたソフトウェアの更新のいずれかで発生する可能性がある。ソフトウェアの更新は、「パッチング」と呼ばれることがある。パッチ、または一連のパッチは、アセットから感染を除去しようとする意志に起因し得る。ソフトウェアがインストールまたはアップグレードされているとき、アセットは、解決されたいくつかの脆弱性を有し得るか、または新しい脆弱性が現れ得る。アセットのリスク因子は更新され、そのリスクは、それに影響を与える脆弱性のリスクの最大値を見つけることによって計算される。ソフトウェア変更事象が感染を除去している場合、これらの更新も実行される。
- 感染したアセットの健全性ステータスランクは、説明されるように更新される。
- 経時的頻度が更新される。
○ AgingFrequency ProbabilityOfBeingExploited(Vulnerability)=0
・この事象が、所与の脆弱性に対して脆弱な単一のアセットを残していない場合。
○ AgingFrequency ProbabilityOfBeingExploited(Asset)=0
・この事象が、アセットに存在するすべての脆弱性を修正している場合。
- 感染したアセットの健全性ステータスランクは、説明されるように更新される。
- 経時的頻度が更新される。
○ AgingFrequency ProbabilityOfBeingExploited(Vulnerability)=0
・この事象が、所与の脆弱性に対して脆弱な単一のアセットを残していない場合。
○ AgingFrequency ProbabilityOfBeingExploited(Asset)=0
・この事象が、アセットに存在するすべての脆弱性を修正している場合。
最後に、事象「伝染」は、感染したアセットがその感染を別のアセットに広げるときに起こり得る。この事象は、攻撃と同様であるが、システムの将来の進化をより良く予測できるようにするために、異なるように追跡される。この方法では、攻撃と同様に、しかし異なるように、いくつかの更新がトリガされる。
- 感染したアセットの健全性ステータスランクは、説明されるように更新される。
- 経時的頻度が更新される。
○ AgingFrequency ProbabilityOfBeingExploited(Vulnerability)=1
・所与の脆弱性を有するアセットがそれによって影響を受け得る確率が増大している。
○ AgingFrequency ProbabilityOfContagion(AssetX,AssetY)=1
・assetXがassetYに感染し得る確率が高まる。
○ AgingFrequency Asset(ProbabilityOfBeingAttacked)=1
・攻撃されるアセットの確率が高い。
- 感染したアセットの健全性ステータスランクは、説明されるように更新される。
- 経時的頻度が更新される。
○ AgingFrequency ProbabilityOfBeingExploited(Vulnerability)=1
・所与の脆弱性を有するアセットがそれによって影響を受け得る確率が増大している。
○ AgingFrequency ProbabilityOfContagion(AssetX,AssetY)=1
・assetXがassetYに感染し得る確率が高まる。
○ AgingFrequency Asset(ProbabilityOfBeingAttacked)=1
・攻撃されるアセットの確率が高い。
本発明のアプローチは、(対応するアセットについての同じ計算に基づいて)サイトの健全性ステータスランクおよび感染リスクを計算することを可能にし、これら2つの値の経時的な計算は、複雑な、地理的に分散され、相互接続されたネットワークのサイバーセキュリティ態勢を追跡および予測することを可能にする。
この方法の着想は、すべてがサイトに最初からインストールされ、新しい安全なソフトウェアを有する、時間0(第1の反復)での理想的な開始状況が、すべてのアセットが0に等しい値で感染リスクを有し、10に等しい値で健全性ステータスランクを有する完全な状況を有することである。
第2の反復から開始して、この初期の理想的な状況は、外部のアクターによって感染したアセットによって急速に悪化し、これらの事象は、脆弱性の存在および進化、ならびに、たとえば、それらを防止するための任意の防衛措置が講じられている場合、それらの攻撃面がどれだけ大きいかによって引き起こされる。
第2の反復から開始して、アセットは、他の感染アセットによって汚染される可能性がある。この流れは、主に、進行中の感染のI因子と、感染の広がりを防止するために講じられ得る措置とによって引き起こされる。もちろん、第2の反復以降においても、外部アクター感染の流れは、アクティブなままである。
一実施形態では、識別されたサイトの各々の後続の健全性ステータスを予測する段階は、あらかじめ定められた予測時間間隔の間実行される。特に、あらかじめ定められた予測時間間隔は、次の反復を計算するためのスケジュールされた時間を定義し、したがって、人工ニューラルネットワークは、前記予測時間間隔内で健全性ステータスを予測することができる。
好ましくは、識別されたアセットの各々の実際の健全性ステータスを評価する段階、および識別されたサイトの各々の実際の健全性ステータスを評価する段階は、あらかじめ定められた学習時間間隔の間実行され、識別されたサイトの各々の後続の健全性ステータスを予測する段階は、あらかじめ定められた予測時間間隔の間実行され、予測時間間隔は、学習時間間隔に等しい。したがって、予測の範囲は、訓練の範囲に対応する。
予測関数は、あらかじめ定められた予測時間間隔の後に起こる、後続の反復において何が起こるかを理解しようとする。機能の予測時間間隔は、たとえば24時間に設定することができ、この方法は、すべてのエンティティおよびデータ構造が現在の状態に更新されると仮定して、次の24時間内にシステムのステータスを予測しようと試みる。予測時間間隔を変更する必要がある場合、学習全体を最初から開始する必要があることに留意することが重要である。
すでに説明したように、予測関数は、フィードフォワード人工ニューラルネットワークを逆伝搬で訓練した機械学習アプローチを使用し、これを使用して、各アセットについて、(それらの間の、および時間にわたる)すべての考慮された因子の間の関係を理解するためのモデルを構築する。
fAsset_a(x)=y
ここで、「x」は、アセットの所与の特徴セットのパターンと呼ばれ、「y」は、推定された新しい健全性ステータスランクである。
fAsset_a(x)=y
ここで、「x」は、アセットの所与の特徴セットのパターンと呼ばれ、「y」は、推定された新しい健全性ステータスランクである。
好ましくは、「x」ベクトルは、本明細書で説明するように、特徴のパターンである。
- assetaの現在の健全性ステータスランク。
- AssetaのAgingFrequency ProbabilityOfBeingExploited(Asset_a)。
- assetaに影響を与えるAgingFrequency ProbabilityOfBeingExploited(Vulnerability)の最高「n」値。
- AgingFrequency ProbabilityOfContagion(Asset_b, Asset_a)の最高「n」値であり、assetbは、それへのリンクを有するassetaのネイバーである。
- assetb上のI因子活性感染の最高「n」値であり、assetbは、それへのリンクを有するassetaのネイバーである。
- assetaの現在の健全性ステータスランク。
- AssetaのAgingFrequency ProbabilityOfBeingExploited(Asset_a)。
- assetaに影響を与えるAgingFrequency ProbabilityOfBeingExploited(Vulnerability)の最高「n」値。
- AgingFrequency ProbabilityOfContagion(Asset_b, Asset_a)の最高「n」値であり、assetbは、それへのリンクを有するassetaのネイバーである。
- assetb上のI因子活性感染の最高「n」値であり、assetbは、それへのリンクを有するassetaのネイバーである。
fAsset_aを推定するための人工ニューラルネットワークは、すなわち3*n+2である、特徴の数で隠れ層内に少なくとも同数のニューロンを有する3隠れ層ネットワークである。
この方法は、このように訓練される。任意の所与の時点で、assetaについて、方法が時間の経過とともに進化し、過去の挙動に偏らないことを可能にするために、Xaが、最も最近の「m」個のエントリを有する。
第1の反復(実際)では、挙動を観察してパターンが記録される。この方法は、利用可能なパターンXaに、前の健全性ステータスランクを考慮し、現在の健全性ステータスランクとして「y」を取る「x」の特徴を計算する対(x,y)を追加する。
少なくとも「z」回の反復が行われ(学習段階)、「z」が学習段階中に設定されるパラメータであるとき、方法は、挙動の予測を開始する。各assetaについて、詳細には説明しないが、Xaのランダムな2/3をとり、残りの1/3を使用して、全体的な精度のような何らかの形式のメトリックを使用してその性能を検証するために、fAsset_a分割を推定するように訓練する。全体的な予測精度があらかじめ定められた数、すなわち0.9を超える場合、すなわち予測誤差が試験セット上で10%未満であったことを意味する場合、アセットの健全性ステータスランクの予測値はfAsset_a(x)=yである。いずれにせよ、各反復において、(x,y)の実観測値がXaに加算されて、さらなる反復における将来の予測が改善される。
各経時的頻度テーブルでは、エントリごとに、減衰因子が次の反復に適用される。
上記のステップは、各アセットの後続の健全性ステータスランクを予測することを可能にする。サイトの後続の健全性ステータスランクは、それが構成されるアセットの最小予測健全性ステータスランクに等しい。
上記のアプローチは、アルゴリズムの完全な、監視されていない動作を有することを可能にする。たとえば、ほとんど分離されたアセットに対してより少ない重みを与えるために、より複雑なアセット-サイト結合関数が望まれる場合、いくつかのより多くのステップが必要とされ、所望の集約ポリシーを理解するために、システムに知識を提供するために、人間の専門家が必要とされる。
したがって、本発明による方法は、リスクおよび現在の健全性ステータスに関してサイトのネットワークのステータスに関する自動掲示を計算し、それが近い将来どのように振る舞うかに関する予測を提供することを可能にする。
Claims (10)
- 分散型ネットワーク内のオブジェクトを識別する段階を含む、人工ニューラルネットワークによって前記分散型ネットワークの健全性ステータスを予測するための方法であって、
前記分散型ネットワークに動作可能に接続されたコンピュータ化されたデータ処理ユニットによって、前記分散型ネットワーク内の1つまたは複数のサイトを識別するステップと、
前記コンピュータ化されたデータ処理ユニットによって、前記識別されたサイトの各々の1つまたは複数のアセットを識別するステップと、
前記コンピュータ化されたデータ処理ユニットによって、前記識別されたアセット間のリンクを識別するステップであり、リンクは、送信側アセットに関連するプロトコルフィールドと、受信側アセットに関連するプロトコルフィールドと、前記送信側アセットと前記受信側アセットとの間の通信を可能にするプロトコルフィールドとを有する前記分散型ネットワーク内で交換されるデータパケットによって定義され、前記リンクの各々について、前記送信側アセットおよび前記受信側アセットがノードを定義し、前記送信側アセットと前記受信側アセットとの間の接続は、前記送信側アセットから前記受信側アセットへの方向を持つ前記ノード間の前記リンクを定義する、識別するステップと、
前記データ処理ユニットに動作可能に接続された永続的なタイプの記憶ユニットに、前記分散型ネットワークの前記識別されたサイト、前記識別されたアセット、および前記識別されたリンクを記憶するステップと
を含み、
健全性ステータスを予測するための前記方法は、
前記コンピュータ化されたデータ処理ユニットによって、前記識別されたアセットの各々の実際のアセット健全性ステータスランクを、最悪のアセット健全性ステータスから最良のアセット健全性ステータスまでの範囲のアセット健全性ステータス値の所定のセットに従って評価するステップと、
前記コンピュータ化されたデータ処理ユニットによって、前記識別されたアセットの各々の実際のアセット感染リスクを、最大のアセット感染リスクからアセット感染リスクなしまでの範囲のアセット感染リスク値の所定のセットに従って評価するステップと、
前記コンピュータ化されたデータ処理ユニットによって動作される前記人工ニューラルネットワークによって、前記識別されたリンクに従って、前記アセットの感染が他のアセットに広がり得る確率として、前記識別されたアセットの各々の実際のアセットの感染因子を計算するステップと
を含む、実際の反復において、前記識別されたアセットの各々の前記実際の健全性ステータスを評価する段階をさらに含み、
健全性ステータスを予測するための前記方法は、
前記コンピュータ化されたデータ処理ユニットによって、前記識別されたサイトの各々の実際のサイト健全性ステータスランクを、前記サイト内の前記アセットの最小の実際のアセット健全性ステータス値に等しいと評価するステップと、
前記コンピュータ化されたデータ処理ユニットによって、前記識別されたサイトの各々の実際のサイト感染リスクを、前記サイト内の前記アセットの最大アセット感染リスク値に等しいと評価するステップと
を含む、前記実際の反復において、前記識別されたサイトの各々の前記実際の健全性ステータスを評価する段階をさらに含み、
健全性ステータスを予測するための前記方法は、前記コンピュータ化されたデータ処理ユニットによって動作される前記人工ニューラルネットワークによって、前記実際のアセット健全性ステータスランク、前記実際のアセット感染リスク、前記実際のアセットの感染因子、前記実際のサイト健全性ステータスランク、および前記実際のサイト感染リスクを含む予測値のセットに基づく予測関数に従って、前記識別されたサイトの各々の後続の健全性ステータスを後続の反復で予測する段階をさらに含む、
人工ニューラルネットワークによって分散型ネットワークの健全性ステータスを予測するための方法。 - 前記識別されたアセットの各々の前記実際の健全性ステータスを評価する前記段階、および前記識別されたサイトの各々の前記実際の健全性ステータスを評価する前記段階は、あらかじめ定められた学習時間間隔の間実行され、
前記識別されたアセットの各々の前記実際のアセット健全性ステータスランク、前記識別されたアセットの各々の前記実際のアセット感染リスク、前記識別されたアセットの各々の前記実際のアセットの感染因子、前記識別されたサイトの各々の前記実際のサイト健全性ステータスランク、および前記識別されたサイトの各々の前記実際のサイト感染リスクは、前記記憶ユニットに記憶される、
請求項1に記載の人工ニューラルネットワークによって分散型ネットワークの健全性ステータスを予測するための方法。 - 前記識別されたアセットの各々の前記実際の健全性ステータスを評価する前記段階、および前記識別されたサイトの各々の前記実際の健全性ステータスを評価する前記段階は、あらかじめ定められた学習時間間隔の間実行され、
前記識別されたアセットの各々の前記実際のアセット健全性ステータスランク、前記識別されたアセットの各々の前記実際のアセット感染リスク、前記識別されたアセットの各々の前記実際のアセットの感染因子、前記識別されたサイトの各々の前記実際のサイト健全性ステータスランク、および前記識別されたサイトの各々の前記実際のサイト感染リスクは、前記あらかじめ定められた学習時間間隔においてあらかじめ定められた学習時点で定義された複数の値を含む、
請求項1に記載の人工ニューラルネットワークによって分散型ネットワークの健全性ステータスを予測するための方法。 - 前記識別されたアセットの各々の前記実際の健全性ステータスを評価する前記段階、および前記識別されたサイトの各々の前記実際の健全性ステータスを評価する前記段階は、あらかじめ定められた学習時間間隔の間実行され、
前記識別されたアセットの各々の前記実際のアセット健全性ステータスランク、前記識別されたアセットの各々の前記実際のアセット感染リスク、前記識別されたアセットの各々の前記実際のアセットの感染因子、前記識別されたサイトの各々の前記実際のサイト健全性ステータスランク、および前記識別されたサイトの各々の前記実際のサイト感染リスクは、前記あらかじめ定められた学習時間間隔中の変化時に定義された複数の値を含んでいる、
請求項1に記載の人工ニューラルネットワークによって分散型ネットワークの健全性ステータスを予測するための方法。 - 前記識別されたサイトの各々の前記後続の健全性ステータスを予測する前記段階は、あらかじめ定められた予測時間間隔の間実行される、請求項1に記載の人工ニューラルネットワークによって分散型ネットワークの健全性ステータスを予測するための方法。
- 前記識別されたアセットの各々の前記実際の健全性ステータスを評価する前記段階、および前記識別されたサイトの各々の前記実際の健全性ステータスを評価する前記段階は、あらかじめ定められた学習時間間隔の間実行され、
前記識別されたサイトの各々の前記後続の健全性ステータスを予測する前記段階は、あらかじめ定められた予測時間間隔の間実行され、
前記予測時間間隔は、学習時間間隔に等しい、
請求項1に記載の人工ニューラルネットワークによって分散型ネットワークの健全性ステータスを予測するための方法。 - 前記人工ニューラルネットワークは、逆伝搬で訓練されたフィードフォワードタイプのものである、請求項1に記載の人工ニューラルネットワークによって分散型ネットワークの健全性ステータスを予測するための方法。
- 前記人工ニューラルネットワークは、3隠れ層ネットワークであって、少なくとも前記隠れ層内に前記予測値のセットの数と同数のニューロンを有する3隠れ層ネットワークであり、
前記識別されたサイトごとに異なる人工ニューラルネットワークが使用される
請求項1に記載の人工ニューラルネットワークによって分散型ネットワークの健全性ステータスを予測するための方法。 - 前記予測値のセットは、前記識別されたサイト内の前記識別されたアセットの各々の経時的頻度値も含み、
前記コンピュータ化されたデータ処理ユニットによって、次の反復のための前記経時的頻度値は、前記実際の反復における前記実際のアセットの感染因子にあらかじめ定められた減衰因子を適用することによって、前記アセットの各々について計算される、
請求項1に記載の人工ニューラルネットワークによって分散型ネットワークの健全性ステータスを予測するための方法。 - 前記感染因子は、前記コンピュータ化されたデータ処理ユニットによって動作される前記人工ニューラルネットワークによって、脆弱性が前記アセットに影響を及ぼす確率である、前記アセットの実際のアセット脆弱性因子と、さらなるアセットが前記識別されたリンクに従って前記識別されたアセットを攻撃する確率である、前記アセットの実際のアセット拡散因子との間の最大値として、前記識別されたアセットの各々について計算される、請求項1に記載の人工ニューラルネットワークによって分散型ネットワークの健全性ステータスを予測するための方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US16/915,326 | 2020-06-29 | ||
US16/915,326 US11586921B2 (en) | 2020-06-29 | 2020-06-29 | Method for forecasting health status of distributed networks by artificial neural networks |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2022013823A true JP2022013823A (ja) | 2022-01-18 |
Family
ID=76695640
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021106547A Pending JP2022013823A (ja) | 2020-06-29 | 2021-06-28 | 人工ニューラルネットワークによって分散型ネットワークの健全性ステータス(health status)を予測するための方法 |
Country Status (9)
Country | Link |
---|---|
US (1) | US11586921B2 (ja) |
EP (1) | EP3934202A1 (ja) |
JP (1) | JP2022013823A (ja) |
CN (1) | CN113934587A (ja) |
AU (1) | AU2021204299A1 (ja) |
BR (1) | BR102021012820A2 (ja) |
CA (1) | CA3123332A1 (ja) |
MX (1) | MX2021007883A (ja) |
TW (1) | TW202201930A (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11281806B2 (en) * | 2018-12-03 | 2022-03-22 | Accenture Global Solutions Limited | Generating attack graphs in agile security platforms |
US11184385B2 (en) | 2018-12-03 | 2021-11-23 | Accenture Global Solutions Limited | Generating attack graphs in agile security platforms |
CN115618353B (zh) * | 2022-10-21 | 2024-01-23 | 北京珞安科技有限责任公司 | 一种工业生产安全的识别系统及方法 |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030115133A1 (en) * | 2001-12-13 | 2003-06-19 | Dun & Bradstreet, Inc. | Higher risk score for identifying potential illegality in business-to-business relationships |
US8359650B2 (en) * | 2002-10-01 | 2013-01-22 | Skybox Secutiry Inc. | System, method and computer readable medium for evaluating potential attacks of worms |
US8239498B2 (en) * | 2005-10-28 | 2012-08-07 | Bank Of America Corporation | System and method for facilitating the implementation of changes to the configuration of resources in an enterprise |
US20080134046A1 (en) * | 2006-12-05 | 2008-06-05 | Microsoft Corporation | Aggregated computer health |
US8595845B2 (en) * | 2012-01-19 | 2013-11-26 | Mcafee, Inc. | Calculating quantitative asset risk |
US9912683B2 (en) * | 2013-04-10 | 2018-03-06 | The United States Of America As Represented By The Secretary Of The Army | Method and apparatus for determining a criticality surface of assets to enhance cyber defense |
US9940467B2 (en) * | 2016-06-10 | 2018-04-10 | Optum, Inc. | Systems and apparatuses for architecture assessment and policy enforcement |
US11063836B2 (en) * | 2017-03-21 | 2021-07-13 | Cisco Technology, Inc. | Mixing rule-based and machine learning-based indicators in network assurance systems |
US10853739B2 (en) * | 2017-06-09 | 2020-12-01 | Sap Se | Machine learning models for evaluating entities in a high-volume computer network |
US11080639B2 (en) * | 2018-05-29 | 2021-08-03 | Visa International Service Association | Intelligent diversification tool |
-
2020
- 2020-06-29 US US16/915,326 patent/US11586921B2/en active Active
-
2021
- 2021-06-24 AU AU2021204299A patent/AU2021204299A1/en active Pending
- 2021-06-25 MX MX2021007883A patent/MX2021007883A/es unknown
- 2021-06-28 CA CA3123332A patent/CA3123332A1/en active Pending
- 2021-06-28 EP EP21182165.7A patent/EP3934202A1/en active Pending
- 2021-06-28 JP JP2021106547A patent/JP2022013823A/ja active Pending
- 2021-06-28 BR BR102021012820-8A patent/BR102021012820A2/pt unknown
- 2021-06-29 CN CN202110727283.XA patent/CN113934587A/zh active Pending
- 2021-06-29 TW TW110123850A patent/TW202201930A/zh unknown
Also Published As
Publication number | Publication date |
---|---|
BR102021012820A2 (pt) | 2022-01-11 |
CN113934587A (zh) | 2022-01-14 |
EP3934202A1 (en) | 2022-01-05 |
TW202201930A (zh) | 2022-01-01 |
US20210406675A1 (en) | 2021-12-30 |
CA3123332A1 (en) | 2021-12-29 |
US11586921B2 (en) | 2023-02-21 |
AU2021204299A1 (en) | 2022-01-20 |
MX2021007883A (es) | 2022-01-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2022013823A (ja) | 人工ニューラルネットワークによって分散型ネットワークの健全性ステータス(health status)を予測するための方法 | |
US11709944B2 (en) | Intelligent adversary simulator | |
Nguyen et al. | Deception in finitely repeated security games | |
Shen et al. | Adaptive Markov game theoretic data fusion approach for cyber network defense | |
Feng et al. | A stackelberg game and markov modeling of moving target defense | |
KR102117696B1 (ko) | 게임 이론을 이용한 보안 취약점 정량화 방법 및 장치 | |
Dhir et al. | Prospective artificial intelligence approaches for active cyber defence | |
Iannucci et al. | A performance evaluation of deep reinforcement learning for model-based intrusion response | |
Li et al. | Robust moving target defense against unknown attacks: A meta-reinforcement learning approach | |
Luo et al. | A fictitious play‐based response strategy for multistage intrusion defense systems | |
Ingale et al. | Enhancing multi-step attack prediction using hidden Markov model and Naive Bayes | |
CN116248311A (zh) | 基于深度强化学习的网络节点安全措施缓解部署优化方法及系统 | |
Tekleselassie | A deep learning approach for DDoS attack detection using supervised learning | |
Dehghan et al. | Proapt: Projection of apt threats with deep reinforcement learning | |
WO2022252039A1 (en) | Method and apparatus for adversarial attacking in deep reinforcement learning | |
Luo et al. | A game theory based risk and impact analysis method for intrusion defense systems | |
Singh et al. | A generic scheme for cyber security in resource constraint network using incomplete information game | |
Shen et al. | An adaptive Markov game model for cyber threat intent inference | |
Thukkaraju et al. | Interdependent Mission Impact Assessment of an IoT System with Hypergame-heoretic Attack-Defense Behavior Modeling | |
Moskal et al. | CyberEvo: evolutionary search of knowledge-based behaviors in a cyber attack campaign | |
Hemberg et al. | Grammatical evolution with coevolutionary algorithms in cyber security | |
Hemberg et al. | Pre-Publication Version | |
Mohaghegh Tabar et al. | Application of Stochastic Optimal Control, Game Theory and Information Fusion for Cyber Defense Modelling | |
Jin et al. | Computer and Information Sciences | |
CN117240502A (zh) | 一种用于新型电力系统的主动防御方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20240524 |