JP2023169334A - 機械学習モデルを用いてeメールネットワークを保護するサイバー脅威防御システム - Google Patents

機械学習モデルを用いてeメールネットワークを保護するサイバー脅威防御システム Download PDF

Info

Publication number
JP2023169334A
JP2023169334A JP2023155537A JP2023155537A JP2023169334A JP 2023169334 A JP2023169334 A JP 2023169334A JP 2023155537 A JP2023155537 A JP 2023155537A JP 2023155537 A JP2023155537 A JP 2023155537A JP 2023169334 A JP2023169334 A JP 2023169334A
Authority
JP
Japan
Prior art keywords
email
module
cyber
threat
activity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2023155537A
Other languages
English (en)
Inventor
ダン マシュー
Dunn Matthew
ファーガソン マシュー
ferguson Matthew
シャーウィン マシュー
Sherwin Matthew
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Darktrace PLC
Original Assignee
Darktrace PLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Darktrace PLC filed Critical Darktrace PLC
Publication of JP2023169334A publication Critical patent/JP2023169334A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2455Query execution
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/232Non-hierarchical techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/36User authentication by graphic or iconic representation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/556Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/01Input arrangements or combined input and output arrangements for interaction between user and computer
    • G06F3/048Interaction techniques based on graphical user interfaces [GUI]
    • G06F3/0484Interaction techniques based on graphical user interfaces [GUI] for the control of specific functions or operations, e.g. selecting or manipulating an object, an image or a displayed text element, setting a parameter value or selecting a range
    • G06F3/04842Selection of displayed objects or displayed text elements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/01Input arrangements or combined input and output arrangements for interaction between user and computer
    • G06F3/048Interaction techniques based on graphical user interfaces [GUI]
    • G06F3/0484Interaction techniques based on graphical user interfaces [GUI] for the control of specific functions or operations, e.g. selecting or manipulating an object, an image or a displayed text element, setting a parameter value or selecting a range
    • G06F3/0486Drag-and-drop
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F40/00Handling natural language data
    • G06F40/40Processing or translation of natural language
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • G06N20/10Machine learning using kernel methods, e.g. support vector machines [SVM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/224Monitoring or handling of messages providing notification on incoming messages, e.g. pushed notifications of received messages
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/42Mailbox-related aspects, e.g. synchronisation of mailboxes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • G06N20/20Ensemble learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/07User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail characterised by the inclusion of specific contents
    • H04L51/18Commands or executable codes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Computation (AREA)
  • Human Computer Interaction (AREA)
  • Medical Informatics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Evolutionary Biology (AREA)
  • Mathematical Physics (AREA)
  • Computational Linguistics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Audiology, Speech & Language Pathology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Multimedia (AREA)
  • Information Transfer Between Computers (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Debugging And Monitoring (AREA)
  • Telephonic Communication Services (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Character Discrimination (AREA)
  • Synchronizing For Television (AREA)
  • Fire-Extinguishing By Fire Departments, And Fire-Extinguishing Equipment And Control Thereof (AREA)

Abstract

【課題】eメールシステムと関連付けられたeメール活動及びユーザ活動の正常な挙動について訓練されるモデルを使用するサイバー防御システムを提供する。【解決手段】サイバー防御システムは、比較を用いたサイバー脅威モジュールと自動応答モジュールと、を有する。サイバー脅威モジュールは、メール活動及びユーザ活動の正常な挙動について訓練されるモデルを参照する。分析下のeメール活動及びユーザ活動の一連の1つ又は複数の非正常な挙動が、得られた正常な無害の挙動から外れる可能性を考慮に入れた、脅威リスクパラメータを決定する。行動を取る人間ではない、自律応答モジュールは、サイバー脅威モジュールからの脅威リスクパラメータが、行動の指針となり得るしきい値に等しいかまたはそれより大きいとき、サイバー脅威を阻止するために取られるべき1つまたは複数の自律的迅速行動を引き起こすために1つまたは複数の自律行動を引き起こす。【選択図】図1

Description

著作権の通知
本開示の一部分は、著作権保護の対象となる資料を含む。著作権者は、著作権保護の対象となる資料の他者による複製について、米国特許商標庁の特許ファイルまたは記録に登場する場合には異存はないが、そうでない場合には、何であろうとも全著作権を保有する。
関連出願
本出願は、米国特許法第119条の下、2018年2月20日出願の"A cyber-threat defense system with various improvements"と題される仮特許出願第62/632,623号に対する優先権およびその利益を主張するものであり、その全体が参照により本明細書に組み込まれる。
本明細書に提供される設計の実施形態は、概して、サイバー脅威防御システムに関する。一の実施形態において、人工知能が、eメールに由来するおよび/またはeメールと関連付けられたサイバーセキュリティ脅威を分析する。
サイバーセキュリティ環境においては、ファイアウォール、エンドポイントセキュリティ法、ならびにSIEMおよびサンドボックスなどの他のツールが、特定のポリシーを実行するため、および特定の脅威に対する保護を提供するために展開される。これらのツールは現在、組織のサイバー防御戦略の重要な部分を形成するが、それらは、新時代のサイバー脅威においては不十分である。
eメール脅威を含むサイバー脅威は、巧妙であり、迅速にネットワークに危害を加え得る。自動化された応答を有することにより、これらの脅威に迅速に対抗することが可能になる。
一の実施形態において、サイバー脅威防御システムは、eメールおよび/もしくはeメールシステムに由来するならびに/またはそれらと関連付けられたサイバー脅威からシステムを保護する。1つまたは複数の機械学習モデルは、eメールシステムと関連付けられたeメール活動およびユーザ活動の正常な挙動、ならびにeメールの対象とする受信者の、それら受信者の正常なネットワーク挙動から把握されるような、正常な挙動について訓練される。正常なネットワーク挙動は、eメールインタラクションの外側で動作する他のシステムから得ることができる。サイバー脅威モジュールは、eメールシステム内のサイバー脅威、または受信者のネットワーク上に存在し得るサイバー脅威について訓練される1つまたは複数の機械学習モデルを有し得る。サイバー脅威モジュールは、eメールシステムと関連付けられたメール活動およびユーザ活動の正常な挙動について訓練されるモデルを参照し得る。サイバー脅威モジュールは、分析下のeメール活動およびユーザ活動の一連の1つまたは複数の非正常な挙動が、得られた正常な無害の挙動から外れる可能性を考慮に入れた脅威リスクパラメータを決定する。プローブが、ユーザ活動およびeメール活動を収集し、次いで、その活動をサイバー脅威モジュールにフィードして、eメールシステム内のeメール活動およびユーザ活動の理解を引き入れる。行動を取る人間ではない、自律応答モジュールは、サイバー脅威モジュールからの脅威リスクパラメータが、行動の指針となり得るしきい値に等しいかまたはそれより大きいとき、サイバー脅威を阻止するために取られるべき1つまたは複数の自律行動を引き起こすように構成される。
本明細書に提供される設計のこれらおよび他の特徴は、図面、明細書、および請求項を参照してより良く理解することができ、それらのすべてが、本特許出願の開示を形成する。
図面は、本明細書で提供される設計のいくつかの実施形態に言及する。
図1は、少なくともeメールシステムと関連付けられたeメール活動およびユーザ活動の正常な挙動について訓練される機械学習モデルを参照するサイバー脅威モジュールを有するサイバー脅威防御システムであって、サイバー脅威モジュールが、「分析下のeメール活動およびユーザ活動の一連の1つまたは複数の非正常な挙動が、得られた正常な無害の挙動から外れる可能性」、したがって悪意のある挙動である可能性が高いことを考慮に入れた脅威リスクパラメータを決定する、サイバー脅威防御システムの一実施形態のブロック図である。
図2は、eメール活動およびネットワーク活動を監視し、このデータをこれらの活動間の相互に関連した因果関係にフィードし、この入力をサイバー脅威分析に供給する、サイバー脅威防御システムの一実施形態のブロック図である。
図3は、一連の非正常な挙動が、潜在的なサイバー脅威にどのように相関するか、ならびに「分析下のeメール活動およびユーザ活動のこの一連の1つまたは複数の非正常な挙動が、得られた正常な無害な挙動から外れる可能性」、したがって悪意のある挙動であることを考慮に入れた脅威リスクパラメータを決定するサイバー脅威モジュールの一実施形態のブロック図である。
図4は、eメールおよびそのメタデータのプロパティを分類することを含む、eメール自体の複数の特徴およびその関連データの理解を得ることについて訓練される1つまたは複数の機械学習モデルを参照するサイバー脅威防御システムの一実施形態のブロック図である。
図5は、分析下のその他のネットワークに関連してeメールについての例となる一連の非正常な挙動の一実施形態のブロック図である。
図6は、eメールシステム内のeメールが、フィルタリング可能、検索可能、およびソート可能であるようにするための、サイバー脅威防御システムのユーザインターフェースの例となるウィンドウの一実施形態のブロック図である。
図7は、例となる自律行動であって、人間がその行動を開始することなく、自律的迅速応答モジュールが取るように構成され得る例となる自律行動の一実施形態のブロック図である。
図8は、特定のユーザの、それらユーザのeメール活動に結び付けられたネットワーク活動を連携するeメールモジュールおよびネットワークモジュールの一実施形態のブロック図である。
図9は、例となるネットワークを保護するサイバー脅威防御システムの一例を示す図である。
図10は、コンピュータのネットワーク活動を、そのコンピュータのユーザがそのネットワーク活動に関係のあるコンテンツを含むeメールを受信するより前に、eメールモジュールに通知するネットワークモジュールの一例を示す図である。
図11は、コンピュータのウェブ閲覧活動に関する推定生活パターン情報を、そのコンピュータのユーザがその生活パターンと一致していないコンテンツを含むeメールを受信するより前に、eメールモジュールに通知するネットワークモジュールの一例を示す図である。
本設計は、様々な修正形態、等価物、および代替形式の対象となるが、それらの特定の実施形態は、図面内の例を用いて示されており、これより詳細に説明されるものとする。本設計は、開示される特定の実施形態に限定されず、それどころか、その特定の実施形態を使用するすべての修正形態、等価物、および代替形式を網羅することが意図されるということを理解されたい。
以下の説明において、本設計の徹底的な理解を提供するために、特定のデータ信号、名前の付いたコンポーネント、システム内のサーバの数などの多数の特定の詳細事項が明記される。しかしながら、当業者には、本設計がこれらの特定の詳細事項なしに実践され得ることは明らかである。他の例において、周知のコンポーネントまたは方法は、詳細には説明されておらず、本設計を不必要に不明瞭にすることを回避するために、むしろブロック図で説明されている。さらに、第1のサーバなど、特定の数字による参照が行われ得る。しかしながら、特定の数字による参照は、文字通りの順番と解釈されるべきではなく、むしろ、第1のサーバは第2のサーバとは異なると解釈されるべきである。したがって、明記される特定の詳細事項は単に例にすぎない。また、1つの実施形態において実装される特徴は、論理的に可能な場合には別の実施形態に実装され得る。特定の詳細事項は、様々であり得、依然として、本設計の精神および範囲内にあることが企図され得る。結合されるという用語は、コンポーネントに直接的、または別のコンポーネントを通じてコンポーネントに間接的、のいずれかで接続されることを意味すると定義される。
一般に、人工知能が、サイバーセキュリティ脅威を分析する。サイバー防御システムは、eメールシステムと関連付けられたeメール活動およびユーザ活動の正常な挙動について訓練されるモデルを使用することができる。サイバー脅威モジュールは、メール活動およびユーザ活動の正常な挙動について訓練されるモデルを参照し得る。分析下のeメール活動およびユーザ活動の一連の1つまたは複数の非正常な挙動が、得られた正常な無害の挙動から外れる可能性を考慮に入れた脅威リスクパラメータが決定される。自律応答モジュールは、行動を取る人間ではない、サイバー脅威モジュールからの脅威リスクパラメータが、行動の指針となり得るしきい値に等しいかまたはそれより大きいとき、サイバー脅威を阻止するために取られるべき1つまたは複数の自律的迅速行動を引き起こすために使用され得る。
図1は、少なくともeメールシステムと関連付けられたeメール活動およびユーザ活動の正常な挙動について訓練される機械学習モデルを参照するサイバー脅威モジュールを有するサイバー脅威防御システムであって、サイバー脅威モジュールが、「分析下のeメール活動およびユーザ活動の一連の1つまたは複数の非正常な挙動が、得られた正常な無害な挙動から外れる可能性」、したがって悪意のある挙動である可能性が高いことを考慮に入れた脅威リスクパラメータを決定する、サイバー脅威防御システムの一実施形態のブロック図を示す。
サイバー脅威防御システム100は、eメールシステムならびにそのネットワークからのサイバーセキュリティ脅威に対して保護し得る。サイバー脅威防御システム100は、i)トリガモジュール、ii)収集モジュール、iii)データストア、iv)ネットワークモジュール、v)eメールモジュール、vi)ネットワーク&eメールコーディネータモジュール、vii)サイバー脅威モジュール、viii)ユーザインターフェースおよび表示モジュール、ix)自律応答モジュール、x)eメール自体の特徴およびその関連データについて訓練される第1の人工知能モデルと、潜在的なサイバー脅威について訓練される第2の人工知能モデルと、各々が異なるユーザ、デバイス、システム活動、およびシステム内のエンティティ間のインタラクション、ならびにシステムの他の態様について訓練される1つまたは複数の人工知能モデルとを含む、1つまたは複数の機械学習モデル、ならびにxi)サイバー脅威防御システム内の他の同様のコンポーネントなどのコンポーネントを含み得る。
トリガモジュールは、I)非正常なもしくはII)疑わしい挙動/活動から1つまたは複数のi)イベントおよび/またはii)アラートが発生していることを示すタイムスタンプ付きのデータを検出し得、次いで何か非正常なことが起きていることをトリガする。したがって、収集装置モジュールは、i)異常な挙動、ii)疑わしい活動、およびiii)それら両方の任意の組み合わせの特定のイベントおよび/またはアラートによってトリガされる。インラインデータは、トラフィックが観察されるときにデータストアからデプロイメント上に収集され得る。この場所で利用可能なデータの範囲および幅広いバリエーションは、分析のために良好な品質のデータを結果としてもたらす。収集されたデータは、サイバー脅威モジュールに渡される。
収集装置モジュールは、分析されるイベントおよび/またはアラートについて形成される特定の仮説に応じて各々がデータの異なる側面を見る複数の自動データ収集装置からなり得る。可能性のある仮説の各々のタイプに関連するデータは、追加の外部および内部ソースから自動的に引き出される。いくつかのデータは、各々の可能性のある仮説について、収集装置モジュールによって引き出されるか、または取得される。連携のフィードバックループが、収集装置モジュール、eメール活動を監視するeメールモジュール、ネットワーク活動を監視するネットワークモジュール、およびサイバー脅威モジュールの間で発生し、このプロセスの異なる側面について訓練される1つまたは複数のモデルを適用する。典型的な脅威、例えば、人間のユーザのインサイダ攻撃/不適切なネットワークおよび/またはeメール挙動、悪意のあるソフトウェア/マルウェア攻撃/不適切なネットワークおよび/またはeメール挙動の各々の仮説は、データの様々な支点、およびその可能性のある脅威と関連付けられた他のメトリックを有することができ、また、機械学習アルゴリズムは、データの関連点を見て、疑わしい活動および/または異常な挙動が関連することについての各々の仮説について、どんな疑わしい活動および/または異常な挙動が関連するかの特定の仮説を支持するか、またはそれに反証する。ネットワークは、収集され得る豊富なデータおよびメトリックを有し、その後、大部分のデータは、収集装置によってデータの重要な特色/顕著な特色にフィルタリングまたは集約される。
実施形態において、ネットワークモジュール、eメールモジュール、およびネットワーク&eメールコーディネータモジュールは、サイバー脅威モジュールの部分であり得る。
サイバー脅威モジュールはまた、eメールシステム内のサイバー脅威について訓練される1つまたは複数の機械学習モデルを使用し得る。サイバー脅威モジュールは、eメールシステムと関連付けられたメール活動およびユーザ活動の正常な挙動について訓練されるモデルを参照し得る。サイバー脅威モジュールは、これらの様々な訓練された機械学習モデル、ならびにネットワークモジュール、eメールモジュール、およびトリガモジュールからのデータを参照することができる。サイバー脅威モジュールは、一連の非正常な挙動が、潜在的なサイバー脅威にどのように相関するか、ならびに「得られた正常な無害な挙動から外れる、したがって、悪意のある挙動である、分析下のeメール活動およびユーザ活動のこの一連の1つまたは複数の非正常な挙動の可能性が何であるか」を考慮に入れた脅威リスクパラメータを決定することができる。
1つまたは複数の機械学習モデルは、教師なし学習を使用し、かつシステムの異なる側面、例えば、eメールシステムと関連付けられたeメール活動およびユーザ活動の正常な挙動について訓練される、自己学習モデルであり得る。正常な挙動の自己学習モデルは、定期的に更新される。正常な挙動の自己学習モデルは、新規の入力データが受信され、それが正常な挙動の範囲内と見なされるときに更新される。正常な挙動しきい値は、コンピューティングシステムについての正常な生活パターンに対応するパラメータの変動する基準としてモデルによって使用される。正常な挙動しきい値は、コンピュータシステム内の更新された変更に従って変動し、変動する基準によって設定されるパラメータから外れるコンピューティングシステム上の挙動をモデルが見分けることを可能にする。
図10は、ユーザネットワーク上の分析されるメトリック、ならびに、自己学習機械学習モデルによって使用されるコンピューティングシステムの正常な生活パターンに対応するパラメータのそれらのそれぞれの変動する基準、および対応する潜在的なサイバー脅威と比較されるコンピュータ活動およびeメール活動を比較するサイバー脅威モジュールの一実施形態のブロック図を示す。サイバー脅威モジュールは、次いで、分析されるメトリック、および何が正常な挙動と見なされるかの変動する基準に従って、サイバーサイバー脅威の可能性を示す脅威リスクパラメータを決定することができる。
サイバー脅威防御システム100はまた、eメールおよびそのメタデータのプロパティを分類することを含む、eメール自体の複数の特徴およびその関連データの理解を得ることについて訓練される1つまたは複数の機械学習モデルを含み得る。
サイバー脅威モジュールはまた、eメール自体およびその関連データについて訓練される機械学習モデルを参照して、分析下のeメールまたはeメールのセットが潜在的に悪意のある特徴を有するかどうかを決定することができる。サイバー脅威モジュールはまた、このeメール特徴分析を脅威リスクパラメータのその決定において考慮に入れることができる。
ネットワークモジュールは、eメールシステムに関連付けられるネットワーク上のユーザ、デバイス、およびそれらの間のインタラクションの正常な挙動について訓練される1つまたは複数の機械学習モデルを有し得る。ユーザインターフェースは、ネットワークデータを表示するための1つまたは複数のウィンドウ、ならびに、同じユーザインターフェースを通じてディスプレイ画面上に、eメールおよびそれらのeメールに関するサイバーセキュリティ詳細を表示するための1つまたは複数のウィンドウを有し、それにより、サイバー専門家が、1つのプラットフォーム内でネットワークデータとeメールサイバーセキュリティ詳細との間でピボットし、それらを同じディスプレイ画面上の別個の領域ではなく、相互接続された全体として見なすことが可能になる。
サイバー脅威モジュールはまた、このネットワーク分析を、脅威リスクパラメータのその決定において考慮に入れることができる。
サイバー脅威防御システム100は、少なくとも3つの別個の機械学習モデルを使用し得る(図9も参照されたい)。各機械学習モデルは、デバイス、ユーザ、ネットワークトラフィックフロー、システムを分析する1つまたは複数のサイバーセキュリティ分析ツールからの出力などの、システムについての正常な生活パターンの特定の側面について訓練され得る。1つまたは複数の機械学習モデルはまた、サイバー脅威のタイプのすべての様式の特徴および側面について訓練され得る。1つまたは複数の機械学習モデルはまた、eメール自体の特徴について訓練され得る。
eメール活動を監視するeメールモジュールおよびネットワーク活動を監視するネットワークモジュールは共に、これらの活動同士の因果関係を相関させるためにそれらのデータをネットワーク&eメールコーディネータモジュールにフィードして、この入力をサイバー脅威モジュールへ供給し得る。これらの因果関係の応用は、ブロック図、図10および図11に実証される。
サイバー脅威モジュールはまた、この特定のeメールとネットワーク活動とのつながり因果関係分析を、脅威リスクパラメータのその決定において考慮に入れることができる(図11を参照されたい)。
サイバー脅威防御システム100は、様々なプローブを使用して、ユーザ活動およびeメール活動を収集し、次いでその活動を、データストア、ならびに必要に応じてサイバー脅威モジュールおよび機械学習モデルにフィードする。サイバー脅威モジュールは、収集されたデータを使用して、eメールシステム内のeメール活動およびユーザ活動の理解を引き入れ、ならびに、このeメールシステムおよびそのユーザについて訓練される1つまたは複数の機械学習モデルの訓練を更新する。例えば、eメールトラフィックは、OutlookもしくはGmailなどのeメールアプリケーション内にフックを置くこと、および/またはeメールが送達されるインターネットゲートウェイを監視することによって収集され得る。加えて、プローブは、以下の方法:組織の既存のネットワーク設備に広がるポート、インラインネットワークタップを挿入するまたは再使用すること、ならびに/またはネットワークデータの任意の既存のレポジトリにアクセスすることのうちの1つにより、ネットワークデータおよびメトリックを収集し得る(例えば、図2を参照されたい)。
サイバー脅威防御システム100は、複数のユーザインターフェースを使用し得る。第1のユーザインターフェースは、eメールシステム内に入る/eメールシステムから出るeメール、および分析下の1つまたは複数のeメールについて知られている任意のサイバーセキュリティ特徴のすべてのインボックススタイルビューを提示するように構築され得る。eメールのインボックススタイルビューを有するユーザインターフェースは、分析下の1つまたは複数のeメールを表示する第1のウィンドウ/カラム、および分析下のそのeメールまたはeメールのセットについて知られている関連セキュリティ特徴のすべてを伴う第2のウィンドウ/カラムを有する。複雑な機械学習技術は、eメールが表す正常からのいかなる逸脱も説明する変則スコアを決定し、これらは、ユーザおよびサイバー専門家が認識および理解できる慣れ親しんだ方法で、図式で表示される。
サイバー脅威防御システム100は、次いで、検出された潜在的なサイバー脅威に対抗するための行動を取ることができる。
自律応答モジュールは、行動を取る人間ではない、サイバー脅威モジュールからの脅威リスクパラメータが、行動の指針となり得るしきい値に等しいかまたはそれより大きいとき、サイバー脅威を阻止するために取られるべき1つまたは複数の迅速な自律行動を引き起こすように構成され得る。サイバー脅威を阻止するために取られるべき1つまたは複数の自律行動を引き起こすように、自律応答モジュールと連携して構成されるサイバー脅威モジュールは、何らかの人間の介入を待たずにサイバー脅威に応答することにより、eメールシステム内のコンピューティングデバイスを、コンピューティングデバイスにおける未承認のCPUサイクル、メモリスペース、および消費電力を消費することからのサイバー脅威の影響を制限することによって、改善する(図6も参照されたい)。
サイバー脅威防御システム100は、デバイス上、1つもしくは複数のサーバ上、および/またはその独自のサイバー脅威器具プラットフォーム内でホストされ得る(例えば、図2を参照されたい)。
図2は、eメール活動およびネットワーク活動を監視し、このデータをこれらの活動同士の相互に関連した因果関係にフィードし、この入力をサイバー脅威分析に供給する、サイバー脅威防御システムの一実施形態のブロック図を示す。ネットワークは、デスクトップユニット、ラップトップユニット、スマートフォン、ファイアウォール、ネットワークスイッチ、ルータ、サーバ、データベース、インターネットゲートウェイ、サイバー脅威防御システム100など、様々なコンピューティングデバイスを含むことができる。
ネットワークモジュールは、プローブを使用してネットワーク活動を監視し、また、ユーザ、デバイス、およびそれらの間のインタラクション、またはその後eメールシステムに関連付けられるインターネットの正常な挙動について訓練される機械学習モデルを参照することができる。
ユーザインターフェースは、i)ネットワークデータ、アラート、およびイベントを提示/表示するための1つまたは複数のウィンドウ、ならびにii)ディスプレイ画面上の同じユーザインターフェースを通じて、eメールデータ、アラート、イベント、およびそれらのeメールについてのサイバーセキュリティ詳細を表示するための1つまたは複数のウィンドウの両方を有する。ディスプレイ画面上の同じユーザインターフェース上に示されるこれらの2つの情報のセットは、サイバー専門家が、1つのプラットフォーム内でネットワークデータとeメールサイバーセキュリティ詳細との間でピボットし、それらを別個の領域ではなく、相互接続された全体として見なすことを可能にする。
ネットワークモジュールおよびその機械学習モデルは、脅威のレベルを示す脅威リスクパラメータ(例えば、スコアまたは確率)を決定するために、サイバー脅威モジュールへの情報の追加入力を提供するために、潜在的に非正常なネットワーク活動を決定するために利用される。
特定のユーザのネットワーク活動は、ネットワークモジュールがネットワーク活動を監視し、ネットワーク&eメールコーディネータモジュールが、ネットワークモジュール観察を受信して、それをこの特定のユーザのeメール活動の理解に引き入れ、メールシステム内の異なるユーザに対して調整される結果として生じる脅威リスクパラメータを用いて潜在的なeメール脅威の査定を行うことから、それらユーザのeメール活動に関連付けられ得る。ネットワークモジュールは、各々のユーザのネットワーク活動を追跡し、それをネットワーク&eメールコーディネータコンポーネントに送信して、ネットワーク活動およびeメール活動を相互接続し、互いの挙動および潜在的なeメール脅威の査定を緊密に通知する。
サイバー脅威防御システム100は、ここでは、組織のネットワーク上のネットワークモジュールによって観察される潜在的な悪意のある活動を、eメールモジュールによって観察される特定のeメールイベントに遡って追跡し、自律迅速応答モジュールを使用して、ネットワーク自体におけるいかなる潜在的に有害な活動もシャットダウンし、また、ネットワーク上の有害な活動をトリガするいかなる同様のeメール活動もフリーズさせる。
プローブは、ユーザ活動ならびにeメール活動を収集する。収集された活動は、データストアに供給され、非正常なまたは疑わしい挙動活動、例えば、アラート、イベントなどについて評価され、これらは、eメールシステム内のeメール活動およびユーザ活動の理解を引き入れるためにサイバー脅威モジュールによって評価される。収集されたデータはまた、このeメールシステム、そのユーザ、ならびにネットワークおよびそのエンティティについての正常な生活パターンについて訓練される1つまたは複数の機械学習モデルに対する訓練を潜在的に更新するために使用され得る。
eメールシステムの例となるプローブは、Office 365 Exchangeドメインなどの、組織のeメールアプリケーションと直接連動し、すべての内向きおよび外向きの通信のブラインドカーボンコピー(BCC)を受信するように構成され得る。eメールモジュールは、組織のeメール使用の生活パターンの包括的な認識を提供するためにeメールを検査する。
図3は、一連の異常挙動が、潜在的なサイバー脅威にどのように相関するか、ならびに「分析下のeメール活動およびユーザ活動のこの一連の1つまたは複数の非正常な挙動が、得られた正常な無害な挙動から外れる、したがって、悪意のある挙動であるという可能性」を考慮に入れた脅威リスクパラメータを決定するサイバー威モジュールの一実施形態のブロック図を示す。
ユーザインターフェース150は、サイバー脅威モジュールが検討する論理、データ、および他の詳細事項を図式で表示することができる。
ユーザインターフェース150は、例となるeメールを表示し、この例となるeメールは、分析を受けているときに、これに類似した正常なeメールと統計的に一致しないヘッダー、アドレス、件名、送信者、受信者、ドメインなどの特徴を呈する。
したがって、ユーザインターフェース150は、それが挙動的に異常と分類した、例となるeメールの非正常な活動を表示する。
分析中、eメールモジュールは、eメールシステムと関連付けられたeメール活動およびユーザ活動の正常な挙動について訓練される自己学習モデルである1つまたは複数の機械学習モデルを参照することができる。これは、このeメールシステムに対して設定される様々なeメールポリシーおよびルールを含むことができる。サイバー脅威モジュールはまた、eメール自体の正常な特徴について訓練されるモデルを参照することができる。サイバー脅威モジュールは、これらの様々な訓練された機械学習モデルを、ネットワークモジュールおよびeメールモジュールからのメトリック、アラート、イベント、メタデータを含むデータに適用することができる。加えて、AIモデルのセットが、各eメールユーザについて、その他のネットワークと接続状態にある内部および外部アドレスアイデンティティの正常な「生活パターン」を学習することを担い得る(このデータの視覚ディスプレイについては、例えば図8を参照されたい)。これにより、システムが、そのユーザについて、その過去、そのピアグループ、およびより幅広い組織に関連して、所与のアドレスアイデンティティの正常な「生活パターン」から逸脱する悪意のあるeメールを無効にすることが可能になる。
次に、eメールモジュールは、eメールが、Office 365などのeメールアプリケーションを通過する点において、少なくとも第1のeメールプローブにeメールを検査させ、生のeメールコンテンツならびに送信者および受信者の過去のeメール挙動から数百のデータ点を抽出する。これらのメトリックは、データストアから取得した対象とする受信者または送信者の生活パターンデータと組み合わされる。メトリックの組み合わされたセットは、eメールの単一の変則スコアをもたらすために機械学習アルゴリズムに通され、メトリックの様々な組み合わせが、eメールの「タイプ」を規定するのに役立つ通知を生成することを試みる。
「eメールおよびそれらのeメールの任意の関連特性」の変則および/または非正常な挙動によってトリガされる、タイプ通知などのeメール脅威アラートは、eメール媒介攻撃から生じた可能性のあるいかなるネットワークイベントもより良好に識別するために、サイバー脅威モジュールによって使用される。
特定の脅威アラートおよび変則スコアと併せて、本システムは、eメールの送達を妨げる、または潜在的に悪意のあるコンテンツを無効にするように設計されたeメールに対する行動を促し得る。
次に、データストアは、メトリックと、デフォルトでは少なくとも27日間である、ある期間にわたって各eメールと関連付けられた以前の脅威アラートとを記憶する。このようなデータの集成は、ユーザインターフェース150内で完全に検索可能であり、eメール管理者およびセキュリティ専門家のために計り知れない洞察をメールフロー内へ提示する。
次に、サイバー脅威モジュールは、非正常なeメールがいかなる識別可能な悪意のあるeメールに密接に関連しない場合でさえも、変則評価を発行することができる。この値は、サイバー脅威モジュールが、このeメールが組織および特定の内部ユーザ(インバウンド受信者またはアウトバウンド送信者のいずれか)の正常な生活パターンと比較してどれほど非正常であると見なすかを示す。サイバー脅威モジュールは、ある時間ウィンドウにおける非正常な挙動についての750を超えるメトリックおよび組織的生活パターンに関して検討する。例えば、サイバー脅威モジュールは、最終的な脅威リスクパラメータにおいても考慮される変則スコアをコンピューティングするときに、過去7日間における、非正常な挙動についてのメトリックおよび組織的生活パターンならびに他の補助メトリックを検討する。
図4は、eメールおよびそのメタデータのプロパティを分類することを含む、eメール自体の複数の特徴およびその関連データの理解を得ることについて訓練される1つまたは複数の機械学習モデルを参照するサイバー脅威防御システムの一実施形態のブロック図を示す。eメールモジュールシステムは、すべてのeメールインバウンドおよびアウトバウンドからメトリックを抽出する。
ユーザインターフェース150は、サイバー脅威防御システムが検討する論理、データ、および他の詳細事項を図式で表示することができる。
サイバー脅威モジュールは機械学習モデルと協働して、そのeメールシステム内のeメール活動について豊富な生活パターンを展開するために、これらのメトリックを分析する。これにより、サイバー脅威モジュールがeメールモジュールと連携して、既存のeメールゲートウェイ防御を回避した/通過した非正常な変則的なeメールを見分けることを可能にする。
eメールモジュールは、この特定の受信者によって受信される際にコンテンツがコンテンツの正常なパターンと一致しないeメールを検出する。
例となる分析は以下の通りであり得る。
このeメールの送信者が、以前に受信側の組織内の個人とどの程度まで連絡を取っていたか?
このメールの受信者が、送信者と以前に連絡を取ったこれらの個人とどれくらい密接な関係があるか?
このeメールのコンテンツが、対象とする受信者が送信または受信する他のeメールと一致するか?
対象とする受信者によってクリックされるまたは開かれるべきリンクまたは添付ファイルがeメール内に存在する場合、これがその個人の正常なネットワーク挙動に対して変則的な活動を構成するか?
eメールプロパティが、この特定のユーザの最近のネットワーク活動と一致するか?
こうして、サイバー脅威モジュールはまた、eメール自体およびその関連データについて訓練される機械学習モデルを参照して、分析下のeメールまたはeメールのセットが潜在的に悪意のある特徴を有するかどうかを決定することができる。サイバー脅威モジュールはまた、このeメール特徴分析を脅威リスクパラメータのその決定において考慮に入れることができる。
eメールモジュールは、Office 365メタデータなどのeメールアプリケーションのメタデータを遡及的に処理して、それらのユーザの各々、およびそれらユーザのeメールアドレス、通信相手、ならびに定常操作の詳細な知識を得ることができる。サイバー脅威モジュールの威力は、eメールユーザの各々の、それらユーザの過去、それらユーザのピアグループ、およびより幅広い組織に関連して、日々のユーザeメール挙動のこのような固有の理解を活用することにある(eメールアドレスの関連性データの視覚表示については、例えば図8を参照されたい)。悪意のある通信の既定のテンプレートに何がフィットするかではなく、特定の組織および特定の個人について何が「正常」であるかの知識を持つことにより、サイバー脅威モジュールは、無害の通信を模倣しかつ日常の活動として隠された脅威を置く巧妙で精巧なeメールキャンペーンを識別することができる。
次に、eメールモジュールは、観察されるすべてのeメールの包括的なeメールログを提供する。これらのログは、複雑な論理クエリを用いてフィルタリングされ得、各eメールは、データストアに記憶されたeメール情報内の膨大な数のメトリックについて問い合わせされ得る。
記憶および分析され得るいくつかの例となるeメール特徴は、以下である。
eメール宛先:メッセージ宛先-アウトバウンドeメールおよびインバウンドeメール。
送信時間:送信時間は、メッセージメタデータに従う、eメールが元々送信された日時である。
リンク:eメール内のすべてのウェブリンクは、その独自のプロパティを有する。ウェブサイトへのリンクは、eメールの本文から抽出される。限定されるものではないが、テキスト内の位置、ドメイン、他のeメールにおけるドメインの出現の頻度、ならびにそれらのeメールの変則スコアにどれくらい関係するか、そのドメインがeメールの対象とする受信者の正常な生活パターン、それら受信者の推定ピアグループ、およびそれら受信者の組織にどれくらい良くフィットするかなどの様々な属性が含まれる。
受信者:eメールの受信者。eメールが複数の受信者宛てだった場合、これら受信者は各々が「受信者」として見られ得る。受信者が送信者にどれくらいよく知られているかなどのeメール受信者の既知のアイデンティティプロパティ、メールの量の記述子、および、eメールが経時的に、どのように変化したか、受信者のeメールドメインがネットワークの内側でどの程度まで関わり合いがあるか。
件名:eメール件名。
添付ファイル:メッセージと関連付けられたすべての添付ファイルは、個別のエントリとしてここではユーザインターフェース内に現れ、各エントリは、表示されかつ詳細に描かれるメトリックに対して問い合わせ可能である。これらは、限定されるものではないが、添付ファイル名、検出されたファイルタイプ、受信者がそのようなファイルを受信する可能性の記述子、それらのeメールの様々な変則スコアに反するすべてのeメール内のファイルなどのファイルの配信の記述子を含む。
ヘッダー:eメールヘッダーは、例えば、送信者、受信者、メッセージコンテンツタイプなどの重要な情報を提供する、各メッセージに伴うメタデータのラインである。
図10は、コンピュータのネットワーク活動を、そのネットワーク活動に関係のあるコンテンツを含むeメールを受信するそのコンピュータのユーザより前に、eメールモジュールに通知するネットワークモジュールの一例を示す。
図11は、コンピュータのウェブ閲覧活動に関する生活情報の推定パターンを、その生活のパターンと一致していない内容を含むeメールを受信するそのコンピュータのユーザより前に、eメールモジュールに通知するネットワークモジュールの一例を示す。
ユーザインターフェースは、分析下のその他のネットワークに関連してeメールについての例となる一連の非正常な挙動のグラフ220を表示することができる。
ネットワーク&eメールモジュールは、eメール領域からのアラートおよびイベントをネットワーク領域からのアラートおよびイベントに結び付けることができる。
サイバー脅威モジュールは、1つまたは複数の機械学習モデルと連携する。1つまたは複数の機械学習モデルは、サイバー脅威分析のために、「非正常なパターンから生じる一連の全く異なるアラートおよび/またはイベントにより何が起こる可能性があるのか」を推論し、次いで、非正常なパターンを形成する一連のアラートおよび/またはイベントのその全く異なる項目と関連付けられた脅威リスクを割り当てるように、数学アルゴリズムを用いて訓練され、およびそれを用いて別途構成される。
これは、サイバー脅威モジュールおよび機械学習モデルによる、分析下のネットワーク/システム/デバイス/ユーザ/eメールの非正常な挙動が何であるかの「挙動パターン分析」である。サイバー防御システムは、正常な挙動から逸脱する非正常な挙動を使用し、次いで、一連の非正常な挙動およびこの一連の非正常な挙動同士の因果関係を構築して、サイバー脅威を検出する。非正常な挙動が何であるかの例となる挙動パターン分析は、以下の通りであり得る。非正常なパターンは、分析下のそのネットワーク/システム/デバイス/ユーザ/eメールについての正常な生活パターンであることのウィンドウ内に入る活動/イベント/アラートをフィルタアウトすることによって決定され得、次いで、残っている活動/イベント/アラートの挙動のパターンは、フィルタリングの後に、そのパターンが悪意のある当事者―人間、プログラム、eメール、または他の脅威―の挙動を示すかどうかを決定するために分析され得る。防御システムは、そのパターンが悪意のある当事者の挙動を示すかどうかの可能性のある仮説を支持するか、またはそれに反証するのに役立てるために、フィルタアウトされた正常な活動のうちのいくつかに戻って、それらを引き出すことができる。その連鎖内に含まれる例となる挙動パターンは、例である7日の時間フレームにわたるグラフに示される。防御システムは、非正常なデータ転送の一連の変則的な挙動を3回、非正常なデータ転送に何らかの因果関係を有するように見える、監視されるシステム内のeメールにおける非正常な特徴を3回検出する。同様に、情報焦点地域へのアクセスを得ようとするという非正常な挙動を試みた2回の非正常な認証情報、または非正常な挙動を試す非正常な認証情報と関連付けられた悪意のあるIPアドレスおよびユーザは、非正常な特徴を有するそれら3つのeメールのうちの少なくとも1つと因果関係を有する。個々の挙動またはグループとしての連鎖の挙動パターン分析が、悪意のある脅威を示すものであると考えられるとき、防御システムが、非正常なパターンが悪意のある当事者によって引き起こされたかどうかを識別するというこのアセスメントにどれくらいの確信があるのかのスコアが作成される。次に、さらに割り当てられるのは、この悪意のある当事者がどのレベルの脅威をシステムにもたらすかを示す脅威レベルパラメータ(例えば、スコアまたは確率)である。最後に、サイバー脅威防御システムは、脅威の構成可能なレベルに等しいまたはそれ以上である異なるタイプのサイバー脅威について、この悪意のある当事者によってもたらされたとき、防御システムが、あるとすれば、どのタイプの自動応答行動を取り得るかに関して、防御システムのそのユーザインターフェース内で構成可能である。
サイバー脅威モジュールは、非正常なパターンをその一連の全く異なるアラートおよび/またはイベントのサイバー脅威分析についての全く異なる項目へと形成する個々のアラートおよびイベントをつなぎ得る。サイバー脅威モジュールは、メール脅威について訓練される1つまたは複数の機械学習モデルを参照して、非正常なパターンを形成する一連のアラートおよび/またはイベントで構成されている全く異なる項目を形成する個々のアラートおよび/またはイベントから同様の特徴を識別し得る。
1つまたは複数の機械学習モデルはまた、非正常なパターンを形成する一連/一群のアラートおよび/またはイベントと関連付けられた脅威リスクを分析するために、サイバー脅威のタイプのすべての様式の特徴および側面について訓練され得る。高等な数学を使用する機械学習技術は、ルールなしに、以前に識別されなかった脅威を検出し、自動的にネットワークを防御することができる。
本モデルは、コンピュータおよびコンピュータネットワークにおける挙動変化を検出するために、教師なしベイジアン数学モデルのアプリケーションによる正常な挙動における確率的変化を通じた脅威検出により実施し得る。核となる脅威検出システムは、「ベイジアン確率」と呼ばれる。ベイジアン確率アプローチは、複数の時系列データにおける周期性を決定し、変則挙動検出の目的のために単一または複数の時系列データにわたる変化を識別することができる。メール、およびデータのネットワーク生ソースから、大量のメトリックを得ることができ、各々が所与のメトリックの時系列データをもたらす。
サイバー脅威モジュールであって、そのネットワークモジュールおよびeメールモジュールコンポーネントを含むサイバー脅威モジュール内の検出器は、ターゲットを用いて異なる変数のセットに対して特定の数学的方法を実施する離散数学モデルであり得る。したがって、各モデルは、例えば、i)そのサイバーセキュリティ分析ツール、ii)eメールの様々な側面を分析すること、iii)システム内の特定のデバイスおよび/またはユーザなどによってもたらされるアラートおよび/またはイベントの生活パターンについて特にターゲットとされる。
根本的には、サイバー脅威防御システムは、デバイスのネットワーク挙動の大量の異なる尺度/異なる尺度のセットの分析に基づいて、何が「正常な」挙動を構成するかを数学的に特徴付ける。サイバー脅威防御システムは、サイバー脅威防御システムによって保護されているシステム内のすべての人物、デバイス、eメール活動、およびネットワーク活動について何が正常を表すのかを理解する精巧な「生活パターン」を構築することができる。
論じられるように、各機械学習モデルは、デバイス、ユーザ、ネットワークトラフィックフロー、システムを分析する1つまたは複数のサイバーセキュリティ分析ツールからの出力、各ユーザのeメール連絡関連性、eメール特徴など、システムの正常な生活パターンの特定の側面について訓練され得る。1つまたは複数の機械学習モデルは、システムの正常な生活パターンが何であるかを確立するために少なくとも教師なし学習アルゴリズムを使用し得る。機械学習モデルは、i)そのシステムのためのアラートおよびイベントの過去の正常な配信、ならびにii)そのシステムのためのアラートおよび/またはイベントの挙動の正常な生活パターンを確立するために同様のピアシステムからの正常な配信情報が考慮に入れられること、の両方について訓練することができる。機械学習モデルの別のセットは、eメールの特徴ならびにそのeメールユーザの活動および挙動について訓練して、これらについての正常を確立する。
モデルが少なくとも2つの異なるアプローチを活用して変則を検出する:例えば、各システムの挙動をそれ自身の履歴と比較すること、およびそのシステムをそのピアの履歴と比較すること、ならびに/または、例えば、eメールをeメールの特徴ならびにそのeメールユーザの活動および挙動の両方と比較するとき、この複数ソースの比較は、セキュリティ侵害されるデバイス/ユーザ/コンポーネント/eメールが、それらの近しいピアとは異なる挙動を呈することから、モデルが既存の悪い挙動を「正常」として学習することを回避することを可能にするということに留意されたい。
加えて、1つまたは複数の機械学習モデルは、i)同じ複数の次元空間内にマッピングされるそのシステムのためのアラートおよびイベントの過去の正常な配信に対応するそのシステムについての正常な生活パターンと、ii)分析下の現在の一連の個々のアラートおよびイベント挙動との比較を使用することができる。この比較は、プロットされた個々のアラートおよび/またはイベント内の挙動の1つまたは複数の非正常なパターンの検出をもたらすことができ、それが、単に既定義の記述的オブジェクトおよび/またはシグネチャを用いてサイバー脅威を見つけ出すことと比較して、以前に識別されなかったサイバー脅威の検出を可能にする。したがって、低レベルのアラートおよびイベントを生成するために自らがいつ行動を起こすかをえり好みしようとするますます利口な悪意のあるサイバー脅威が、サイバー分析の他の方法ではまだ識別されていなかったとしても、依然として検出されることになる。これらの利口な悪意のあるサイバー脅威は、マルウェア、スパイウェア、キーロガー、eメール内の悪意のあるリンク、eメール内の悪意のある添付ファイルなど、ならびに任意の高レベルのアラートまたはイベントを始動させない方法をよく知っている不法な内部情報技術スタッフを含み得る。
本質的に、プロッティングおよび比較は、そのシステムにとって正常であることをフィルタアウトし、次いでそのシステムにとって異常または非正常なことについての分析に焦点を合わせることができるやり方である。その後、一連の非正常なイベントおよび/またはアラートにより何が起こり得るかの各々の仮説について、収集装置モジュールは、元々「正常な挙動」と見なされるメトリックのプールを含むデータストアから追加のメトリックを集めて、分析下のこの一連の非正常な挙動により何が起こり得るかの各々の可能性のある仮説を支持するか、またはそれに反証し得る。
非正常なパターンを形成する一連のアラートおよび/またはイベント内の個々のアラートおよび/またはイベントの各々が、巧妙な異常な挙動を示すことができ、したがって、各アラートおよび/またはイベントは、その個々のアラートおよび/またはイベントと関連付けられた低い脅威リスクを有することができるということに留意されたい。しかしながら、1つまたは複数の機械学習モデルによって一連の非正常なパターンを形成する全く異なる一連/一群のアラートおよび/またはイベント挙動として分析されるとき、その全く異なる一連/一群のアラートおよび/またはイベントは、ここではその連鎖内の個々のアラートおよび/またはイベントのいずれかよりもはるかに高い脅威リスクを有することが決定され得る。
加えて、今日のサイバー攻撃は、人間による応答が十分な速さで生じることができないほどの深刻度および速度のものであり得るということに留意されたい。これらの自己学習の進展のおかげで、今では、マシンが、これらの台頭する脅威を発見し、最も深刻なサイバー脅威に反撃するために適切なリアルタイムの応答を展開することが可能である。
脅威検出システムは、真の変則を見分けるために自己学習して正常性を検出する能力を有し、あらゆるサイズの組織が、個々および群レベルの両方で組織のネットワーク上のユーザおよびマシンの挙動を理解することを可能にする。既定義の記述的オブジェクトおよび/またはシグネチャを使用するのではなく、挙動を監視することは、より多くの攻撃が前もって見分けられ、不正行為の極めて巧妙な標識が検出され得ることを意味する。従来のレガシー防御とは異なり、特定の攻撃タイプまたは新規マルウェアは、それが検出され得る前に、第一に目にされる必要がない。挙動防御アプローチは、今日のますます精巧なサイバー攻撃ベクトルを予測し把握するために、セキュリティ侵害の際およびその地点の後で、マシン、eメール、および人間の活動の両方を挙動的に、数学的にモデル化する。したがって、何が正常であるかをコンピュータ的に確立して、次いで異常であることを検出することが可能である。加えて、機械学習は、確率的数学を使用して、挙動に関する仮定を絶えず再訪する。サイバー脅威防御システムの教師なし機械学習法は、予め規定されたラベルを用いてデータを訓練することを必要としない。代わりに、それらは、人間による入力を必要とすることなく、データ内の主なパターンおよび傾向を識別することができる。
ユーザインターフェースおよび出力モジュールはまた、一連の挙動を形成する個々のアラートおよび/またはイベントを、i)時間のウィンドウの横軸、ii)連鎖内の各アラートおよび/またはイベントに割り当てられた脅威リスクを示す目盛りの垂直軸、ならびに、iii)連鎖の全く異なる項目を形成する個々のアラートおよびイベント間で共有される同様の特徴に対する異なる色(例えば、赤、青、黄色などであり、またグレースケールの場合は、潜在的に異なるハッシュパターンを有するグレー黒および白の異なる濃淡)という第3の次元の、少なくとも3次元を有するユーザインターフェース上へ投影し得る。人間が、データのテキストログを単に閲覧するのではなく、特定の連鎖を空間的およびコンテンツごとに作り上げるのは何であるかを視覚的に見ることができるように、連鎖内のイベントおよび/またはアラートのこれらの類似性は、例えば、同じデバイス、同じユーザ認証情報、同じグループ、同じソースID、同じ宛先IPアドレス、同じタイプのデータ転送、同じタイプの非正常な活動、同じタイプのアラート、行われている同じ珍しい接続、同じタイプのイベントなどによってもたらされるアラートまたはイベントであり得る。人間の知力が、投影されたパターンおよび対応するデータを視覚的に見ると、人間は、サイバー脅威がもたらされるかどうかを最終的に決定することができるということに留意されたい。ここでも、少なくとも3次元の投影は、人間がこの情報をより容易に合成することに役立つ。ユーザインターフェース上への視覚化は、サイバー脅威防御システムがなぜこれらの凝集されたアラートおよび/またはイベントが潜在的に悪意のあるものであり得るかを支持する、またはそれに反証するデータを人間が見ることを可能にする。また、単純な2値出力「悪意のある」または「無害の」を生成する代わりに、サイバー脅威防御システムの数学アルゴリズムは、潜在的なセキュリティ侵害の異なる程度を示す出力をもたらす。
サイバー脅威防御システム100は、少なくとも3つの別個の機械学習モデルを使用し得る。各機械学習モデルは、デバイス、ユーザ、ネットワークトラフィックフロー、システムを分析する1つまたは複数のサイバーセキュリティ分析ツールからの出力などの、システムについての正常な生活パターンの特定の側面について訓練され得る。1つまたは複数の機械学習モデルはまた、サイバー脅威のタイプのすべての様式の特徴および側面について訓練され得る。1つまたは複数の機械学習モデルはまた、eメール自体の特徴について訓練され得る。
実施形態において、1つまたは複数のモデルは、これらの幅広い概念の特定の側面について訓練され得る。例えば、モデルは、関連性、添付ファイル、コンプライアンス、データ損失&転送、通則、メタデータ、衛生状態、リンク、近接、なりすまし、タイプ、検証、および他の変則について具体的に訓練され得る。
したがって、例えば、第1のeメールモデルは、Office 365メタデータを遡及的に処理して、ユーザ、eメールアドレス、通信相手、および定常操作の詳細な知識を得る。暗号化されたeメールを用いた環境においてさえ、サイバー防御システムは、メタデータからキーマーカを得ること、ならびに通信相手のアイデンティティ、通信の頻度、および潜在的なリスクへの価値のある洞察を提供することができる。
加えて、1つまたは複数の機械学習モデルは、教師なし学習アルゴリズムを使用した自己学習であり得る。例えば、1つまたは複数の機械学習モデルのセットは、ユーザの正常な挙動およびそれらユーザのeメールについて訓練され得、訓練をするためのプローブからのデータを使用し、したがって、正常な挙動の基準線が何であるかを定期的に更新する。この自律的な自己学習防御システムは、悪意のある活動が、i)フィッシングおよびマルウェアeメールなど、eメールからの標準の脅威当事者、ならびにii)ユーザからのインサイダ脅威のいずれであるにしろ、eメールドメイン内の悪意のある活動に対して保護し、それは、悪意のあるeメールドメイン活動の事前に認識される恣意的なアイディアだけに依存することはなく、代わりに、ユーザおよび組織の標準の挙動と比較してその変則を評価するために各通信を自律的にコンテクスト化する。
上述のように、1つまたは複数のモデルは、コンプライアンス懸案事項について訓練され得る。しかしながら、コンプライアンス問題について具体的に訓練されるモデルがなくても、訓練されるモデルはまた、コンプライアンス懸案事項を満足させるために使用され得る。
サイバー脅威モジュールの威力は、ユーザの過去、ユーザのピアグループ、およびより幅広い組織に関連して、日々のユーザeメール挙動のこのような固有の理解を活用することにある。悪意のある通信の既定のテンプレートに何がフィットするかではなく、特定の組織および特定の個人について何が「正常」であるかの知識を持つことにより、サイバー脅威モジュールは、無害の通信を模倣しかつ日常の活動として隠された脅威を置く巧妙で精巧なeメールキャンペーンを識別することができる。
図6は、eメールシステム内のeメールが、フィルタリング可能、検索可能、およびソート可能であるようにするために、サイバー脅威防御システムのユーザインターフェースの例となるウィンドウの一実施形態のブロック図を示す。
ユーザインターフェース150は、eメールシステム内のeメールが、一般的なユーザがよく知っている、eメールアプリケーションのユーザインターフェース150のようなスタイルであるように外観が構成される、フィルタリング可能、検索可能、およびソート可能なものであることを可能にする。ユーザインターフェース150は、eメールシステム内のeメールが、第1のウィンドウ内で分析下の1つまたは複数のeメールをカスタマイズし、それをターゲットとし、次いでそれらの1つまたは複数のeメールについて知られている関連セキュリティ特徴を伴う第2のウィンドウの隣に示すために、フィルタリング可能、検索可能、およびソート可能なものであることを可能にする。したがって、これら2つのウィンドウは、それらのそれぞれの情報を同じディスプレイ画面上に表示し、このユーザインターフェース150は、サイバー専門家が分析下のeメールを分析して、それらの1つまたは複数のeメールが実際にサイバー脅威であるかどうかをより良好に評価することを可能にする。ユーザインターフェース150は、非常に複雑な機械学習を調査およびカスタマイズし、次いでeメールまたはeメールのセットの結果として生じる分析を、把握が容易であり外観になじみのある図式的なユーザインターフェース150内で見る能力をサイバー専門家に与える。
ユーザインターフェース150は、脅威を調査し、組織のeメール衛生状態へのより良好な洞察を得るために使用され得る。これは、セキュリティチームが、重要な幹部および他の可能性の高いターゲットを、システム内の他のユーザからの異なる様式でのフィッシングキャンペーンおよびサプライチェーン攻撃を含む攻撃から保護する、ユーザのシステム内の異なるレベルのユーザに合わせたプログラムを実施するのに役立ち得る。
ユーザインターフェース150はまた、なぜ自律応答が呼び出されたかの正確な論理を表示することができる。
検索フィールドにおいて、サイバー専門家は、自然文および/または構造化されたブール検索を作成して、ユーザ、eメールアドレス、ドメイン、観察されるリンク、エイリアスなどについてグローバルomni検索を実施し得る。
日付範囲フィールドにおいて、サイバー専門家は、表示されるべき特定の時間フレーム内に入るデータのみを取得し得る。
フィルタターゲットフィールドは、サイバー専門家が、eメールメッセージのどの部分がクエリ論理に対して検査されるかを選択することを可能にする。
eメールシステム内に入る/eメールシステムから出るすべてのeメールおよび分析下の1つまたは複数のeメールについて知られている任意のサイバーセキュリティ特徴のインボックス-スタイルビューを有するユーザインターフェースの実施形態。eメールのインボックス-スタイルビューを有するユーザインターフェースは、分析下の1つまたは複数のeメールを表示する少なくとも第1のウィンドウ/カラム、および分析下のそれらのそのeメールまたはeメールのセットについて知られている関連セキュリティ特徴のすべてを伴う第2のウィンドウを有する。
同様に別のレベルで、ユーザインターフェースは、ネットワークデータを表示するための1つまたは複数のウィンドウ、ならびに、同じユーザインターフェースを通じてディスプレイ画面上に、eメールおよびそれらのeメールに関するサイバーセキュリティ詳細を表示するための1つまたは複数のウィンドウを有し、それにより、サイバー専門家が、1つのプラットフォーム内でネットワークデータとeメールサイバーセキュリティ詳細との間でピボットし、それらを同じディスプレイ画面上の別個の領域ではなく、相互接続された全体として見なすことが可能になる。
図7は、例となる自律行動であって、人間がその行動を開始することなく、自律的迅速応答モジュールが取るように構成され得る例となる自律行動の一実施形態のブロック図を示す。
自律迅速応答モジュールは、i)知られている悪意のあるeメールまたはii)少なくとも悪意のある可能性が非常に高いeメールがサイバー脅威モジュールによって決定されたときにサイバー脅威を阻止するために自律行動をいつ取るべきかを知るように、ユーザインターフェース150を介して、構成可能である。自律迅速応答モジュールは、脅威リスクパラメータが、分析下の1つまたは複数のeメールがサイバー専門家によって選択可能である行動の指針となり得るしきい値に等しいかまたはそれより大きい、すなわち悪意のある可能性が少なくとも非常に高いことをサイバー脅威モジュールが示すとき、自律迅速応答モジュールが行うことができる行動のタイプおよび特定の行動を含む、自律迅速応答モジュールが取ることができる自律行動が何であるかをプログラム/設定するように、ユーザインターフェースを通じて構成可能である管理ツールを有する。
自律迅速応答モジュールが異なるユーザおよびシステムの部分のためにカスタム可能である行動のタイプおよび特定の行動、したがって、サイバー専門家が、自律的な迅速応答モジュールについてそれらの行動を自動的に取ること、およびそれらの行動をいつ自動的に取るべきかを承認/設定するように、構成可能である。
自律迅速応答モジュールは、eメールシステムの特定のユーザへの業務上の混乱を回避するために、悪意のあるeメールの特定のeメール要素に対して、そのeメールに対する全面的隔離またはブロック方式ではなく、自律的に行うためにコンテクスト化されるユーザインターフェース150を通じて選択可能な集中的な応答行動を含む、自律的な迅速応答モジュールに可能である行動の応答行動タイプおよび特定の行動のライブラリを有する。自律迅速応答モジュールは、業務上の混乱を反応性の高いコンテクスト化された様式で最小限にするために、それらのeメール通信に向けた測定される様々な行動を取ることができる。
自律応答モジュールは、AIモデルと提携して、悪意のあるeメールを無効にし、ターゲットとされるeメール媒介攻撃キャンペーンに対する先制保護をリアルタイムで伝達する。
自律応答モジュールと連携するサイバー脅威モジュールは、例えば、ネットワーク内の感染を検出および阻止し、この感染がそのソースとしてeメールを有することを認識し、その悪意のあるeメールを、企業eメールアカウントインボックスからそれを削除すること、またはeメールがその対象とするユーザに達する前にその悪意のある部分を単に取り去ることによって、識別し、無効にする。自律行動は、添付ファイルを平坦化することまたは不審なリンクを取り去ることから、eメールが十分なリスクをもたらす場合にはeメールを完全に食い止めることまで様々である。
サイバー脅威モジュールは、セキュリティ侵害のソースを識別し、次いで、自律応答モデルにリクエストを送信することによって自律的な不成功応答行動を呼び出すことができる。この自律応答行動は、台頭する攻撃キャンペーンの蔓延を迅速に制止し、人間の応答者に、巻き返しのために必要な重大な時間を与える。
実施形態において、最初、自律応答モジュールは、人間による確認モードで実行され得、すべての自律的な知的介入は、人間のオペレータによってまず確認されなければならない。自律応答モジュールが組織のeメール挙動のその理解を精緻化しそれに特別な意味合いを持たせると、自律行動のレベルは、各自律応答行動について人間による監督が要求されなくなるまで増大され得る。大半のセキュリティチームは、このレベルに達すると、ユーザインターフェース150において時間をほとんど費やさない。この時、自律応答モジュール応答行動は、いかなる能動的管理の必要性もなしに悪意のあるeメールを無効にする。自律応答モジュールは、潜在的に悪意のあると観察されるeメールメッセージに対して1つまたは複数の積極的または反応的な行動を取り得る。行動は、脅威アラートによって、またはサイバーセキュリティシステムによって規定および検出されるような変則の挙動のレベルによって、トリガされ、エンドユーザが介入なしに安全なままであることを可能にする、eメール脅威への大いにカスタマイズ可能なターゲットとされる応答行動を提供する。不審なeメールコンテンツは、さらなる検査またはリリースのための認証のために、完全に保留され得るが、自律的に、選択されたユーザはこのポリシーから免除される。ユーザ挙動および顕著な出来事は、マッピングされ得、詳細な包括的eメールログは、正常な挙動のモデルと比較して幅広い範囲のメトリックによってフィルタされ、eメールから潜在的に悪意のあるコンテンツをリリースするか、または取り去り得る。
可能性のある行動例
送達行動、添付行動、リンク行動、ヘッダーおよび本文行動などに分類される以下の行動例のセクションは、ダッシュボード上に現れ、脅威リスクパラメータがサイバーセキュリティ専門家によって設定される構成可能な設定点に等しいかまたはそれ以上であるときに、自律応答モジュールによって取られ得るか、または取られることが少なくとも提案され得る。
メッセージを保留する:自律応答モジュールは、疑わしいコンテンツまたは添付ファイルが理由で送達前にメッセージを保留している。保留eメールは、再処理され、調査後にオペレータによってリリースされ得る。eメールは、送達が妨げられるか、または送達がすでに実施されている場合には、受信者のインボックスから削除される。元のメールは、データストアによってバッファキャッシュに維持され、回復され得るか、または、ユーザインターフェース150内の「リリース」ボタンを使用して代替のメールボックスに送信され得る。
リンクをロックする:自律応答モジュールは、リンクのURLを、そのリンクのクリックがまず代替の宛先によりユーザをそらすように、置き換える。代替の宛先は、任意選択的に、処理の前にユーザからの確認を要求し得る。元のリンク宛先および元のソースは、ユーザがそのソースへのアクセスを許可される前に追加のチェックの対象となる。
添付ファイルを変換する:自律応答モジュールは、典型的には初期画像変換によりPDFに変換することによってファイルを平坦化し、このeメールの1つまたは複数の添付ファイルを安全な形式に変換する。これは、添付ファイルのコンテンツを対象とする受信者に伝達するが、リスクは大幅に低減されている。画像、pdf、およびMicrosoft Office形式など、本質的に視覚的である添付ファイルの場合、添付ファイルは、画像形式へと処理され、続いて、PDF(Microsoft Office形式およびPDFの場合)へ、または元のファイル形式の画像(画像の場合)へレンダリングされる。いくつかのeメールシステムにおいて、eメール添付ファイルは、最初に削除され、添付ファイルが処理下にあることをユーザに知らせる通知と置き換えられ得る。処理が完了すると、変換された添付ファイルは、eメールに挿入して戻される。
リンクを二重ロックする:自律応答モジュールは、URLをリダイレクトされるeメールリンクと置き換える。このリンクがクリックされると、ユーザは、そのリンクの元の宛先にアクセスすることが許可されていないという、そのユーザに対する通知を提示される。ユーザは、元のソースへのリンクへ進むことができないが、リンクへ進もうとするユーザの意図は、自律応答モジュールを介してデータストアによって記録される。
添付ファイルを取り去る:自律応答モジュールは、このeメールの1つまたは複数の添付ファイルを取り去る。大半のファイル形式は、変換された添付ファイルとして送達される。可視の文書(例えば、実行可能なもの、圧縮タイプ)へ変換しないファイル形式は、リスクを低減するために取り去られる。「添付ファイルを取り去る」行動は、システムに、添付ファイルをeメールから削除させ、それを、元の添付ファイルが削除されたことをユーザに知らせるファイルと置き換えさせる。
ジャンク行動:自律応答モジュールは、ジャンクとして分類されるeメールまたは他の悪意のあるeメールが受信者のジャンクフォルダ、または「隔離」などの他の指定された宛先へそらされることを確実にする。
リダイレクト:自律応答モジュールは、eメールが、対象とする受信者には送達されないが、代わりに特定のeメールアドレスに送達されることを確実にする。
コピー:自律応答モジュールは、eメールが元の受信者に送達されるが、コピーが別の特定のeメールアドレスに送信されることを確実にする。
保留または変更しない:特定のユーザ基準で設定され得る。自律応答モジュールは、他のモデルによって実施されるか、または一般的な脅威レベルによってトリガされる行動にかかわらず、eメールが決して保留されず、システムによって決して何らかの形で変更されないことを確実にする。
添付ファイルに対する行動を取らない:特定のユーザ基準で設定され得る。この行動は、特定の脅威アラートに応答するにしろ、全体的に検出される変則レベルに応答するにしろ自律応答モジュールによって別の方法で取られ得るいかなる添付ファイル行動も上書きする。
ヘッダーおよび本文行動:自律応答モジュールは、メールのヘッダーおよび/または本文内の既存の文、画像、または他のコンテンツに追加するまたは置き換えるために、特定のカスタム文をeメール本文または件名に挿入する。
なりすまし解除:自律応答モジュールは、標準のeメールヘッダーアドレスフィールド(例えば、rfc822タイプ)を識別し、個人名およびヘッダーeメールアドレスを、eメールの真の送信者についてもっと明らかにし得る代替の名前またはeメールアドレスと置き換える。この機構は、なりすましの企ての心理的影響を著しく低減する。
図8は、eメールアドレス同士の関係がどのように視覚的に提示され得るか、eメールモジュールの一実施形態のブロック図を示す。
受信者、送信者、各ユーザの連絡リストは、どれくらい近い関係が存在するか、したがって、この受信者がこの送信者からeメールを受信する、およびその逆がどのくらい起こる可能性があるか、またはそれがどれくらい非正常であるかの因子を見るために図式化され得る。
ネットワークモジュールおよびその機械学習モデルならびにeメールモジュールおよびその機械学習モデルは、脅威リスクパラメータを決定するためにサイバー脅威モジュールへの情報の追加入力を提供する潜在的に非正常なネットワーク活動を決定するために利用される。特定のユーザのネットワーク活動は、ネットワークモジュールがネットワーク活動を監視し、サイバー脅威モジュールが、ネットワークモジュール観察を受信して、それをこの特定のユーザのeメール活動の理解に引き入れ、メールシステム内の異なるユーザに対して調整される結果として生じる脅威リスクパラメータを用いて潜在的なeメール脅威の査定を行うことから、それらユーザのeメール活動に関連付けられ得る。
送信者インタラクション:ユーザインターフェースの第1の区画は、送信者eメールアドレスについてeメールモジュールによって観察されるeメールインタラクションの例を図形で表す。送信者ノードは、中央ノードであり、選択された特定のメッセージの受信者は、より大きい接続ノードによって示される。
受信者インタラクション:ユーザインターフェースの第2の区画は、受信者eメールアドレスについてeメールモジュールによって観察されるeメールインタラクションのすべての例を図形で表す。受信者ノードは、中央ノードであり、選択された特定のメッセージの送信者は、より大きい接続ノードによって示される。
eメールモジュールは、それが監視しているeメールアプリケーションのドメインに関連してドメインが内部であるか外部であるかを追跡する。したがって、外部受信者/送信者にとっては、それらの組織またはドメインからの他者もまた外部のように見える。
防御システム
図9は、例となるネットワークを保護するサイバー脅威防御システムの一例を示す。例となるネットワーク図9は、脅威検出システムを使用するコンピュータシステム50のネットワークの一例を示す。図9によって描写されるシステムは、本発明の説明を簡単にするために提供される簡略化された一例を示す。システム50は、建物内に第1のコンピュータシステム10を備え、第1のコンピュータシステム10は、検出のための脅威検出システムを使用し、それにより、その範囲内でコンピューティングデバイスへの脅威を防ぐことを試みる。第1のコンピュータシステム10は、3つのコンピュータ1、2、3、ローカルサーバ4、ならびに、印刷、スキャン、およびファクシミリ機能をコンピュータ1、2、3の各々に提供する多機能デバイス5を備える。第1のコンピュータシステム10内のデバイスのすべては、ローカルエリアネットワーク6を介して通信可能に結合される。その結果、コンピュータ1、2、3のすべては、LAN6を介してローカルサーバ4にアクセスし、LAN6を介してMFD5の機能を使用することができる。
第1のコンピュータシステム10のLAN6は、インターネット20に接続され、この際インターネット20は、コンピュータ1、2、3にサーバ30および第2のコンピュータシステム40を含む多数の他のコンピューティングデバイスへのアクセスを提供する。第2のコンピュータシステム40はまた、第2のLAN43によって接続される2つのコンピュータ41、42を含む。
本発明のこの例示的な実施形態において、第1のコンピュータシステム10上のコンピュータ1は、脅威検出システムを有し、したがって、第1のコンピュータシステムへの脅威を検出するための脅威検出法を実行する。したがって、コンピュータ1は、本明細書に説明されるプロセスのステップを実行するように構成されたプロセッサ、このプロセスの実行に関する情報を記憶するように要求されるメモリ、ならびに要求される情報を収集するためのネットワークインターフェースを備える。この方法は、これより図9を参照して詳細に説明されるものとする。
コンピュータ1は、システム10内の各ユーザおよびマシンの「正常な挙動」の動的な常に変化するモデルを構築し維持する。本アプローチは、ベイジアン数学に基づき、システム10内のすべてのインタラクション、イベント、および通信―どのコンピュータがどのコンピュータと話すのか、作成されたファイル、アクセスされているネットワーク―を監視する。
例えば、コンピュータ2は、企業のサンフランシスコオフィスを拠点とし、マーケティング従業員によって運用され、このマーケティング従業員は、マーケティングネットワークに定期的にアクセスし、通常、第2のコンピュータシステム40内のこの企業のU.K.オフィス内のマシンと、午前9時半から正午まで通信し、およそ午前8時半から午後6時までアクティブである。この同じ従業員は、事実上一度も従業員タイムシートにアクセスすることはなく、企業のアトランタネットワークに接続することはめったになく、東南アジアには取引がない。脅威検出システムは、この従業員に関する利用可能なすべての情報を取り出し、その人物の「生活パターン」を確立し、この「生活パターン」はさらなる情報が集められると動的に更新される。「正常な」モデルは、変動する基準として使用され、システムが、この正常な生活パターンから外れるように思われるシステム上の挙動を見分け、この挙動を変則としてフラグを立て、さらなる調査を依頼することを可能にする。
脅威検出システムは、今日の攻撃者がますます用心深くなっており、攻撃者は、ユーザのマシンを遅くすることなどによってエンドユーザに疑いを生じさせることを回避することを確実にするために、正常なソフトウェアプロトコルを使用してシステム内に「隠れている」場合があるという事実に対処するように構築される。したがって、いかなる攻撃プロセスも、マウスまたはキーボードが使用される場合には停止する、または「引き下がる」。しかしながら、依然としてより精巧な攻撃は、逆を試み、正常なプロセスに見せ掛けてメモリ内に隠れ、比較的単純な警備プロセスを打破しようと企ててマシンがアクティブであるときにのみCPUサイクルを盗む。これらの精巧な攻撃者は、ユーザの入力と直接関連付けられない活動を探す。APT(Advanced Persistent Threat:高度な持続的脅威)攻撃は、典型的には、数週間、数か月、数年という非常に長いミッションウィンドウを有し、そのようなプロセッササイクルは、マシン性能に影響を与えないように、それほど頻繁には盗まれない場合がある。しかし、どれほど攻撃が隠されかつ精巧であるとしても、セキュリティ侵害の前後で典型的なマシン挙動における測定可能な差分は、たとえ極端にわずかであるとしても存在するものである。この挙動の差分は、コンピュータ1にインストールされる脅威検出システムによって使用されるベイジアン数学分析の形態で、観察され作用され得る。
サイバー防御自己学習プラットフォームは、機械学習技術を使用する。高等な数学を使用する機械学習技術は、ルールなしに、以前に識別されなかった脅威を検出し、自動的にネットワークを防御することができる。今日の攻撃は、人間による応答が十分な速さで生じることができないほどの深刻度および速度のものであり得るということに留意されたい。これらの自己学習の進展のおかげで、今では、マシンが、台頭する脅威を発見し、最も深刻なサイバー脅威に反撃するために適切なリアルタイムの応答を展開することが可能である。
サイバー脅威防御システムは、サイバー脅威防御システムによって保護されているシステム内のすべての人物、デバイス、およびネットワーク活動について何が正常性を表すのかを理解する精巧な「生活パターン」を構築する。
脅威検出システムは、真の変則を見分けるために自己学習し正常性を検出する能力を有し、あらゆるサイズの組織が、個別および群レベルの両方で組織のネットワーク上のユーザおよびマシンの挙動を理解することを可能にする。既定義の記述的オブジェクトおよび/またはシグネチャを使用するのではなく、挙動を監視することは、より多くの攻撃が前もって見分けられ、不正行為の極めて巧妙な標識が検出され得ることを意味する。従来のレガシー防御とは異なり、特定の攻撃タイプまたは新規マルウェアは、それが検出され得る前に、第一に目にされる必要がない。挙動防御アプローチは、今日のますます精巧なサイバー攻撃ベクトルを予測し把握するために、セキュリティ侵害の際およびその地点の後で、マシン、および人間の活動の両方を挙動的に、数学的にモデル化する。したがって、何が正常であるかをコンピュータ的に確立して、次いで異常であることを検出することが可能である。
この知的システムは、価値判断をすること、およびより高い価値、より思慮に富んだタスクを実行することができる。機械学習は、複雑なアルゴリズムが考案されること、および生成される結果を解釈するための全般的なフレームワークを必要とする。しかしながら、これらのアプローチは、正しく適用されるとき、マシンが、論理的な確率ベースの決定を行い、思慮に富んだタスクを請け負うことを促進することができる。
高度な機械学習は、自動化されたサイバー脅威および人間が引き起こすサイバー脅威に対する戦いの最前線にあり、ルールおよびシグネチャベースのアプローチの限界を克服する。
・機械学習は、ネットワーク内で何が正常であるかを学習する―それは、以前の攻撃の知識に依存しない。
・機械学習は、すべてのデバイスおよび人物がわずかに異なるという近代ビジネスの複雑性および多様性の規模で発達する。
・機械学習は、攻撃者のイノベーションを攻撃者に向ける―いかなる非正常な活動も可視である。
・機械学習は、確率論的数学を使用して、挙動に関する仮定を絶えず再訪する。
・機械学習は、常に最新であり、人間による入力を頼りにしない。サイバーセキュリティ技術において機械学習を利用することは難しいが、正しく実施されれば、非常に強力である。機械学習は、以前は識別されなかった脅威が、それらの発現がいかなるルールセットまたはシグネチャもトリガすることに失敗するときでさえ、検出され得ることを意味する。代わりに、機械学習は、システムが、大量のデータセットを分析し、それが目にするものについての「生活パターン」を学習することを可能にする。
機械学習は、以下のようないくつかの人間の能力をマシンへ近似することができる。
・思考:機械学習は、過去の情報および洞察を使用してその判断を形成する。
・リアルタイム:システムは、情報を即時に処理する。
・自己改善:モデルの機械学習理解は、新しい情報に基づいて、絶えず挑戦および適合されている。
したがって、新規の教師なし機械学習は、コンピュータが、事前の警告または監督なしに、台頭する脅威を認識することを可能にする。
教師なし機械学習
教師なし学習は、予め規定されたラベルなしに問題を解明する。一連の異なる動物をソートする場合、システムは、情報を分析し、動物の異なる類を解明する。これにより、システムは、予想外のことに対処し、不確実性を受け入れることが可能になる。システムは、何を探しているのかを常に知っているわけではないが、データを独立して分類し、説得力のあるパターンを検出することができる。
サイバー脅威防御システムの教師なし機械学習法は、予め規定されたラベルを用いてデータを訓練することを必要としない。代わりに、それらは、人間による入力を必要とすることなく、データ内の主なパターンおよび傾向を識別することができる。教師なし学習の利点は、コンピュータが、そのコンピュータのプログラマがすでに知っていることを超えて、以前には知られていない関係を発見することを可能にするということである。
サイバー脅威防御システムは、教師なし機械学習アルゴリズムの固有の実装形態を使用して、ネットワークデータを大規模に分析し、予想外のことに知的に対処し、不確実性を受け入れる。何を探すべきかを知ることができるように過去の脅威の知識に頼る代わりに、データを独立して分類し、正常な挙動であると見なされ得ることを規定する説得力のあるパターンを検出することができる。「正常性」のこの観念を構成するそれらから逸脱する任意の新規挙動は、脅威またはセキュリティ侵害を示し得る。サイバー脅威防御システムの、サイバーセキュリティに対する教師なし機械学習の影響は、変革的である。
・別の方法では未検出されずにいる脅威が、見分けられ、強調され、コンテクストに従って優先付けされ、これらのアルゴリズムを使用して孤立され得る。
・機械学習の適用は、全ネットワーク可視性およびはるかに大幅に向上した検出レベルを提供する可能性を有し、ネットワークが内部防御機構を有することを確実にする。
・機械学習は、最も深刻なサイバー脅威に対して自動応答をいつ起こすべきか学習する能力を有し、進行中の攻撃を、それらが組織にとっての危機になる前に粉砕する。
この新規の数学は、データ内の重要な関係を識別するだけでなく、そのような推論と関連付けられた不確実性を数値化する。この不確実性を知り、理解することによって、ベイジアン確率分析に基づいて、多くの結果を一貫したフレームワーク内にまとめることが可能になる。機械学習の裏の数学は、非常に複雑でありきちんと理解することは難しい。ロバストな信頼できるアルゴリズムが、現実世界環境へのそれらの適用の成功を可能にするスケーラビリティを伴って、開発される。
概要
実施形態において、サイバー脅威防御システムの機械学習アルゴリズムおよびアプローチの詳細は以下の通りである。
サイバーセキュリティへのサイバー脅威防御システムの確率的アプローチは、ベイジアンフレームワークに基づく。これにより、潜在的に変則のネットワーク挙動の大量の弱い標識を統合して、どれくらいの可能性でネットワークデバイスがセキュリティ侵害されるかの単一の明白な尺度を生み出すことが可能になる。この確率的数学アプローチは、ネットワークのノイズの中、たとえ何を探しているのか分からないときでも、重要な情報を理解する能力を提供する。
脅威のランク付け
重要なことに、サイバー脅威防御システムのアプローチは、データ内に存在する不可避の曖昧さを説明し、異なるデータが含み得るわずかに異なる証拠レベル同士を区別する。単純な2値出力「悪意のある」または「無害の」を生成する代わりに、サイバー脅威防御システムの数学アルゴリズムは、潜在的なセキュリティ侵害の異なる程度を示す出力をもたらす。この出力は、システムのユーザが、異なるアラートを厳密な様式でランク付けして、最も早急に行動を必要とするものを優先させ、同時にルールベースのアプローチと関連付けられた多数の擬陽性の問題を削除することを可能にする。
根本的には、サイバー脅威防御システムは、デバイスネットワーク挙動の大量の異なる尺度/異なる尺度のセットの分析に基づいて、何が「正常な」挙動を構成するかを数学的に特徴付ける。例は以下を含む。
・サーバアクセス
・データアクセス
・イベントのタイミング
・認証情報使用
・DNSリクエスト
・他の同様のパラメータ
ネットワーク挙動の各尺度は、次いで、変則の挙動を検出するためにリアルタイムで監視される。
クラスタリング
何がデバイスにとって正常と見なされるべきかを正しくモデル化するために、その挙動は、ネットワーク上の他の同様のデバイスのコンテクストにおいて分析されなければならない。これを達成するために、サイバー脅威防御システムは、教師なし学習の強みを活用して、程よいサイズのネットワーク上でさえも手動では行うことが不可能であるタスクである、デバイスの自然発生するグルーピングをアルゴリズム的に識別する。
ネットワーク内の関係の展望をできる限り全体論的に達成するために、サイバー脅威防御システムは、マトリクスベースのクラスタリング、密度ベースのクラスタリング、および階層的クラスタリング技法を含むいくつかの異なるクラスタリング法を同時に採用する。結果として生じるクラスタは、次いで、模範的な挙動のモデリングを個々のデバイスに通知するために使用される。
クラスタリング:一見して、
・ネットワーク上の他の同様のデバイスのコンテクスト内で挙動を分析する。
・アルゴリズムは、手動では行うことが不可能である、自然発生するデバイスのグルーピングを識別する。
・モデルを通知するためにいくつかの異なるクラスタリング法を同時に実行する。
ネットワークトポロジ
また、いかなるサイバー脅威検出システムも、ネットワークがその個々の部分の合計よりもはるかに多く、その意味のほとんどがその異なるエンティティ間の関係に含まれているということ、および複雑な脅威は、多くの場合、このネットワーク構造内のわずかな変化を誘発することができるということを認識しなければならない。そのような脅威を把握するため、サイバー脅威防御システムは、ネットワークトポロジの複数の相をモデル化することができるように、いくつかの異なる数学法を採用する。
1つのアプローチは、ネットワーク内の重要な接続構造を明らかにする反復マトリクス法に基づく。これらと並行して、サイバー脅威防御システムは、ネットワークの「エネルギーランドスケープ」のモデル化により、中に隠されている変則の基礎構造を明らかにすることを可能にする、統計物理学の分野からのモデルの革新的な適用を開発した。
ネットワーク構造
ネットワークデバイス、ならびにネットワーク自体の挙動のモデル化におけるさらに重要な課題は、大量の潜在的な予測変数の存在を伴う問題の高次元構造である。エンタープライズLAN、WAN、およびクラウド内のパケットトラフィックおよびホスト活動を観察することは、入力および出力の両方が多くの相互に関係した特徴(プロトコル、ソースおよび宛先マシン、ログ変化、ならびにルールトリガなど)を含み得ることから困難である。疎かつ一貫した構造の予測関数を学習することは、過剰適合の害を回避するには重要である。
このコンテクストにおいて、サイバー脅威防御システムは、L1-正則化技法(例えば、ラソー法)を適用することに基づいてネットワーク挙動および接続性のモデル内の疎構造を学習するために最先端の大規模計算アプローチを採用している。これにより、効率的に解決可能な凸最適化問題が割り当てられ、簡素なモデルをもたらし得る異なるネットワークコンポーネントおよびイベント間の真の関連性の発見が可能になる。
再帰的ベイジアン推定
ネットワーク挙動の異なる尺度のこれら複数の分析を組み合わせて、各デバイスの状態の単一の包括的描写を生成するために、サイバー脅威防御システムは、ベイズフィルタの実装により再帰的ベイジアン推定(RBE)の強みを生かす。
RBEを使用して、サイバー脅威防御システムの数学モデルは、新規情報がシステムに利用可能になると、コンピュータ的に効率的な様式で絶えず適合することができる。それらは、新規の証拠と照らし合わせて脅威レベルを継続して再計算して、従来のシグネチャベースの方法が失敗するところの、変化する攻撃挙動を識別する。
サイバーセキュリティへのサイバー脅威防御システムの革新的なアプローチは、変化するデバイス挙動およびコンピュータネットワーク構造を追跡するためのベイジアン法の使用を開拓した。サイバー脅威防御システムの数学モデリングの中核は、その数学モデルが新規のネットワークデータにリアルタイムで適用されることを可能にする精巧なソフトウェアプラットフォームによって可能にされる、模範的な挙動の決定である。その結果が、サイバー脅威またはセキュリティ侵害を示し得るコンピュータネットワーク挙動履歴内のマシンイベントにおけるわずかな変動を識別することができるシステムである。
サイバー脅威防御システムは、数学分析および機械学習を使用して潜在的な脅威を検出し、システムが台頭するリスクの先を行くことを可能にする。サイバー脅威防御システムアプローチは、検出がもはや以前の攻撃のアーカイブに依存しないことを意味する。代わりに、攻撃は、ネットワーク内で何が正常性を表すかの背景理解に対して見分けられ得る。プリ定義は必要とされず、それが、最も可能性のある洞察および今日の脅威に対する防御を可能にする。検出能力に加えて、サイバー脅威防御システムは、最も脅迫的なサイバー侵害への即時の応答として、デジタル抗体を自動的に作成することができる。サイバー脅威防御システムアプローチは、サイバー脅威に対して検出および防護の両方を行う。純粋な教師なし機械学習は、機能していないサイバーセキュリティへのシグネチャベースのアプローチに対する依存を取り除く。サイバー脅威防御システムの技術は、自らのネットワークの規模を理解し、活動のレベルを観察し、潜在的に弱いエリアを検出しようとするセキュリティチームにとって必須のツールになることができる。これらは、手動で捜し出されることをもはや必要としないが、自動化されたシステムによってフラグが立てられ、それらの意義に関してランク付けされる。
機械学習技術は、今日のハッカーおよびインサイダ脅威からのシステムの防御における、およびサイバー攻撃の知られていない方法への応答を定式化することにおける、基礎的な味方である。それは、サイバーセキュリティにおける画期的な段階的変化である。防御は内部で開始しなければならない。
例となる方法
脅威検出システムはこれより、コンピュータおよびコンピュータネットワークにおける挙動変化を検出するための教師なしベイジアン数学モデルの適用により正常な挙動における確率的変化を通じたサイバー脅威の自動検出のための脅威検出システムによって実行されるプロセスのフローを参照してさらに詳細に説明されるものとする。
核となる脅威検出システムは、「ベイジアン確率的」と呼ばれる。ベイジアン確率は、複数の時系列データにおける周期性を自動的に決定し、変則挙動検出の目的のために単一または複数の時系列データにわたる変化を識別するベイジアンシステムである。
人間、マシン、または他の活動は、ステップS1において最初にデータをいくつかのソースから取り込み、ステップS2においてその生のデータから二次メトリックを得ることによってモデル化される。
生のデータソースは以下を含むが、これらに限定されない。
・IPまたは他のネットワークTAPもしくはSPANポートから取得される生のネットワークIPトラフィック
・マシン生成されたログファイル
・建物アクセス(「スワイプカード」)システム
・産業用制御システム(ICS)分散型ネットワークを流れるIPまたは非IPデータ
・個々のマシン、周辺機器、またはコンポーネント電力使用量
・電気通信信号強度、および/または
・オンホストのソースから得られるマシンレベル性能データ(CPU使用量/メモリ使用量/ディスク使用量/ディスクフリースペース/ネットワーク使用量/など)
これらの生のデータソースから、所与のメトリックについて各々が時系列データを生み出す大量のメトリックが得られ得る。データは、個々のタイムスライス(例えば、観察される数は、1秒あたり、10秒あたり、または60秒あたりに数えられ得る)内へ放り込まれ、この個々のタイムスライスは、選択される内部サイズの任意の倍数についてより長い範囲値を提供することが必要とされる後のステージにおいて組み合わせられ得る。例えば、選択される根本的なタイムスライスが60秒の長さである場合、各メトリック時系列は、60秒ごとにそのメトリックについての単一の値を記憶し、次いで、60秒の固定倍数(120秒、180秒、600秒など)の任意の新規の時系列データが、正確性の損失なしに計算され得る。メトリックは、直接選択され、低次モデルによってベイジアン確率に供給され、この低次モデルは、データの何らかの固有の基本部分を反映し、かつ特定のドメイン知識を用いて生のデータから得られ得る。獲得されるメトリックは、システムが探している脅威に依存する。安全なシステムを提供するために、幅広い範囲の潜在的な脅威に関する大量のメトリックが獲得されるべきであるということは一般的である。知られている不審なドメインに接触するネットワーク内のコンポーネントからの通信。
使用される実際のメトリックは、ここで説明されるベイジアン確率的システムには大部分は不適切であるが、いくつかの例が以下に提供される。
ネットワークトラフィックから得られるメトリックは、以下のようなデータを含み得る。
・時間間隔あたりに、ネットワーク化されたデバイスに入る、またはそこを去るデータのバイト数。
・ファイルアクセス。
・通信プロセスの共通性/珍しさ
・無効なSSL証明。
・失敗した認証の試み。
・eメールアクセスパターン。
TCP、UDP、または他のトランスポート層IPプロトコルがIPネットワークにわたって使用される場合、および、代替のインターネット層プロトコルが使用される(例えば、ICMP、IGMP)場合には、使用中のプロトコルの構造の知識および基本パケットヘッダー分析が、以下のようなさらなるメトリックを生成するために利用され得る。
・ネットワーク化されたデバイスから生じ、かつ公的にアドレス指定可能なIP範囲に達することを目的とする、時間間隔あたりのマルチキャストの数。
・ネットワーク化されたデバイスから生じる内部リンク-ローカルIPブロードキャストリクエストの数。
・パケットペイロードデータのサイズ。
・デバイスによって作られる個々のTCPの数、または、デバイスによって、すべての宛先にわたる組み合わされた総計として、または任意の定義可能なネットワーク範囲へ(例えば、単一のターゲットマシン、または特定のネットワーク範囲)のいずれかで転送されるデータ。
IPトラフィックの場合、アプリケーション層プロトコルが決定および分析され得る場合には、例えば以下のような、時系列メトリックのさらなるタイプが規定され得る。
・ネットワーク化されたデバイスが、ここでも、任意の定義可能なネットワーク範囲に対して、または総計のいずれかで、時間間隔あたりに生成するDNSリクエストの数。
・マシンが時間間隔あたりに生成する、SMTP、POP、またはIMAPログインまたはログイン失敗の数。
・生成されるLDAPログインまたはログイン失敗の数。
・SMB、SMB2、FTPなどのファイル共有プロトコルを介して転送されるデータ。
・Microsoft Windows Active Directoryへのログイン、LinuxもしくはUnix様システムへのSSHもしくはローカルログイン、またはKerberosなどの他の認証システム。
これらのメトリックを獲得するために必要とされる生のデータは、ネットワーク内部開閉装置への受動型ファイバまたは銅接続を介して、仮想開閉実装形態から、クラウドベースのシステムから、または通信デバイス自身から収集され得る。理想では、システムは、組織のフルカバレージを提供するために全通信パケットのコピーを受信する。
他のソースの場合、いくつかのドメイン特有の時系列データが得られ、これらデータは各々が、そのデータの根本的なソースの全く異なるおよび識別可能な相を反映するように選択され、それは経時的なそのシステムの使用または挙動をある意味では反映する。
これら時系列データの多くは、極めて疎であり、0に等しいデータ点の大部分を有する。例は、従業員が建物もしくは建物の部分にアクセスするためにスワイプカードを使用すること、または、ユーザがMicrosoft Windows Active Directoryサーバによって認証された自分のワークステーションにログインすることであり、これは、典型的には1日あたり少ない回数が実施される。例えば、常時onのウェブサーバ内外へ移動するデータのサイズ、ウェブサーバCPU利用、または複写機の電力使用量など、他の時系列データは、一層稠密される。
データのタイプにかかわらず、そのような時系列データが、明確な人間の挙動、または自動化コンピュータもしくは他のシステムの結果として元来生成されるにしろ、周期性を呈すること、およびほぼ定期的な間隔で繰り返されるデータ内の様々なパターンの傾向を有することは極めて一般的である。さらには、そのようなデータが、時系列内で明白である、多くの全く異なるが独立した定期的な時間期間を有することは一般的である。
S3において、検出器は、二次メトリックの分析を実行する。検出器は、ターゲットネットワークを有する異なる変数セットに対して特定の数学法を実施する離散数学モデルである。例えば、HMMは、ノード間のパケットのサイズおよび送信時間を特に見る場合がある。検出器は、大まかに配置されたモデルのピラミッドである階層内に提供される。各検出器モデルは、フィルタとして効率的に作用し、その出力をピラミッドのより高い場所にある別のモデルへ渡す。ピラミッドのトップにあるのは、最終的な脅威決定モデルであるベイジアン確率である。低次の検出器は各々が、根本的なネットワークおよびもしくはコンピュータの異なるグローバル属性または「特徴」を監視する。これらの属性は、パケット速度および形態、エンドポイントファイルシステム値、ならびにTCP/IPプロトコルタイミングおよびイベントなどのすべての内部の計算的な特徴についての経時的な値からなる。各検出器は、HMMなどの内部数学モデルを所有する検出器に基づいて異なる環境因子を記録し、それについて決定を行うように特殊化される。
脅威検出システムは、可能性のあるいかなる脅威も探すように構成され得る一方、実践では、本システムは、脅威検出システムが使用されているネットワークに応じて、1つまたは複数の特定の脅威を見続ける場合がある。例えば、脅威検出システムは、所望のコンプライアンスおよびヒューマンリソースポリシーなどのネットワークの知られている特徴が、確率決定出力から生じる確率異常のセットまたは変動するしきい値と協力するときにトリガすることができる明示的に規定されたヒューリスティックまたは検出器内に包含されるやり方を提供する。ヒューリスティックは、データ測定/トークン化する検出器およびローカルの文脈情報の出力から実行時に得られる原子オブジェクトを有する正規表現を呈する複雑な一連の重み付けされた論理表現を使用して構築される。これらの一連の論理表現は、次いで、オンラインライブラリ内および/または上に記憶され、尺度/トークン化する検出器からの出力に対してリアルタイムにパースされる。例となるポリシーは、「HR懲戒状況の対象となる任意の従業員(文脈情報)が以前の挙動と比較したときに変則である様式で(ベイジアン確率出力)機密情報(ヒューリスティック定義)にアクセスしている場合にアラートをする」という形態をとり得る。言い換えると、検出器のピラミッドの異なるアレイが、特定のタイプの脅威を検出するために提供される。
二次メトリック上で検出器によって実施される分析は、次いで、正常な挙動のモデルと一緒に使用するのに好適な形態でデータを出力する。分かるように、データは、正常な挙動のモデルと比較すること、および正常な挙動のモデルを更新することに好適な形態にある。
S4において、脅威検出システムは、観察された挙動の生活パターン分析にマッピングされる自動化された適応周期性検出を使用して、脅威が存在する可能性を示す脅威リスクパラメータを計算する。これは、脅威が経時的に、模範的な集合的なまたは個々の挙動からの逸脱をそれ自体が示した属性の収集されたセットから存在することを推定する。自動化された適応周期性検出は、ベイジアン確率が、観察されたネットワークおよび/またはマシン内で最も適切であるように計算された時間の期間を使用する。さらには、生活パターン分析は、どのように人間および/またはマシンが経時的に行動するか、すなわち、それらが典型的にはいつ作業を開始および終了するかを識別する。これらのモデルは継続して自動的に適合するため、本質的に、既知のシステムよりも打破することが難しい。脅威リスクパラメータは、特定の構成において脅威が存在する確率である。代替的に、脅威リスクパラメータは、脅威が存在することを表す値であり、これは、脅威の可能性を示す1つまたは複数のしきい値と比較される。
実践では、脅威を計算するステップは、ユーザに関連して収集される現在のデータを、分析されているユーザおよびシステムの正常な挙動のモデルと比較することを伴う。収集される現在のデータは、時間における期間に関し、これは、新規データのある特定の流入、または数秒から数日までの特定の時間期間に関連し得る。いくつかの構成において、システムは、システムの予期される挙動を予測するように構成される。予測される挙動は、次いで、脅威が存在するかどうかを決定するために実際の挙動と比較される。
システムは、機械学習/人工知能を使用して、企業のネットワークの内側で何が正常であるか、および、何かが正常ではないときを理解する。システムは次いで、自動応答を呼び出して、人間のチームが巻き返すことができるまでサイバー攻撃を粉砕する。これは、接続を中断すること、悪意のあるeメールの送信を妨げること、ファイルアクセスを妨げること、組織の外側の通信を妨げることなどを含み得る。このアプローチは、例えばラップトップの正常な挙動に影響を与えることなく攻撃を中断するためにできる限り外科的かつ管理されたやり方で始まるが、攻撃がエスカレートすると、最終的には、組織に対するより幅広い危害を防ぐためにデバイスを隔離することが必要になる。
システムの精度を向上させるために、チェックは、ユーザの現在の挙動を、関連ユーザ、すなわち、単一のオフィス内のユーザと比較するために実行される。例えば、予想外に低レベルのユーザからの活動が存在する場合、これは、ユーザからの非正常な活動には起因しないかもしれないが、オフィス全体に影響を与える因子に起因し得る。異常な挙動が実際に脅威を示すかどうかを評価するために、様々な他の因子が考慮され得る。
最後に、ステップS5において、脅威に関してさらなる行動が取られる必要があるかどうかについて、脅威リスクパラメータに基づいて決定がなされる。この決定は、脅威が存在する確率が提示された後に人間のオペレータによってなされ得るか、または、アルゴリズムが、例えば、決定された確率をしきい値と比較することによって、決定を行い得る。
1つの構成において、ベイジアン確率の固有のグローバル入力を前提とすると、脅威可視化の形態が提供され、それは、ユーザが、すべての内部トラフィックにわたって脅威ランドスケープを見ることができ、そのようなことを、それらの内部ネットワークがどのように構造化または稠密されるかを知る必要なしに、および「ユニバーサルな」表示がネットワークの大きさに関係なく単一の区画内に提示されるような方法で、行うことができるものである。精密な調査下のネットワークのトポロジは、インタラクティブな3Dユーザインターフェースを介して、デバイス通信関係に基づいてグラフとして自動的に投影される。投影は、事前のシーディングまたはスケルトン定義なしに任意のノードスケールに直線的にスケールすることができる。
したがって、上述された脅威検出システムは、確率状態変数にわたる分布を維持するために再帰的ベイジアン推定の妥当性形態を実装する。この分布は、低レベルのホスト、ネットワーク、およびトラフィック観察または「特徴」の複雑なセットから構築される。これらの特徴は、反復的に記録され、プラットフォーム上でリアルタイムに処理される。エンタープライズネットワーク、生体細胞もしくはソーシャルコミュニティ、または確実にインターネット全体などの、一般には動的システム内のエンティティ間の関連性情報の妥当な表示は、経時的にトポロジ配線換えをしているおよび意味的に発展している確率的ネットワークである。入力および出力の両方が、数万、時には数百万の、相互に関係のある特徴(データトランスポート、ホスト-ウェブ-クライアントダイアログ、ログ変化、およびルールトリガなど)を含むことができる分散されたデジタルエンタープライズ内のパケットトラフィックおよびホスト活動の観察など、多くの高次構造化されたI/O問題において、疎かつ一貫した構造の予測関数を学習することは、正規分布の欠如という課題を抱える。これを克服するために、脅威検出システムは、作業日、シフトパターン、および他のルーチンなどの反復性の時間サイクルが動的に割り当てられる、ステップワイズ法というよりもむしろ回転する連続体を決定するデータ構造からなる。このようにして、説明変数、観察、および特徴セット間の因果関係を推論および試験するための非頻度論的アーキテクチャを提供する。これが、効率的に解決可能な凸最適化問題を可能にし、倹約モデルをもたらす。そのような構成において、脅威検出処理は、新規データの入力によってトリガされ得る。代替的に、脅威検出処理は、予測データがないことによりトリガされ得る。いくつかの構成において、処理は、特定の行動の指針となり得るイベントの存在によりトリガされ得る。
本方法およびシステムは、コンピュータ可読媒体上に実行可能な形態で記憶されるソフトウェアの任意の部分を有する1つまたは複数の処理コンポーネントによって実施されるように構成される。コンピュータ可読媒体は、非一時的であり得、無線または他の搬送波を含まない。コンピュータ可読媒体は、例えば、半導体または固体メモリ、磁気テープ、リムーバブルコンピュータフロッピーディスク、ランダムアクセスメモリ(RAM)、リードオンリメモリ(ROM)、剛性磁気ディスク、および、CD-ROM、CD-R/W、またはDVDなどの光学ディスクなどの物理的なコンピュータ可読媒体であり得る。
上述された様々な方法は、コンピュータプログラム製品によって実施され得る。コンピュータプログラム製品は、上述された様々な方法のうちの1つまたは複数の機能を実施するようにコンピュータに命令するように構成されたコンピュータコードを含み得る。そのような方法を実施するためのコンピュータプログラムおよび/またはコードは、コンピュータ可読媒体、またはコンピュータプログラム製品上の、コンピュータなどの装置に提供される。コンピュータプログラム製品の場合、一時的なコンピュータ可読媒体は、無線または他の搬送波を含み得る。
コンピュータなどの装置は、本明細書内で論じられる様々な方法に従って1つまたは複数のプロセスを実施するためのそのようなコードに従って構成され得る。
ウェブサイト
ウェブサイトは、サイバー脅威防御システムを構成し、分析し、それと通信するためのブラウザベースのツールまたは直接連携アプリツールとして構成される。
ネットワーク
いくつかの電子システムおよびデバイスは、ネットワーク環境内で互いと通信することができる。ネットワーク環境は、通信ネットワークを有する。ネットワークは、光ネットワーク、セルラネットワーク、インターネット、ローカルエリアネットワーク(「LAN」)、ワイドエリアネットワーク(「WAN」)、衛星ネットワーク、第三者「クラウド」環境、ファイバネットワーク、ケーブルネットワーク、およびそれらの組み合わせから選択される1つまたは複数のネットワークを含み得る。いくつかの実施形態において、通信ネットワークは、インターネットである。通信ネットワークを介して互いと接続された多くのサーバコンピューティングシステムおよび多くのクライアントコンピューティングシステムが存在し得る。
通信ネットワークは、少なくとも第1のサーバコンピューティングシステムおよび第2のサーバコンピューティングシステムから選択される1つまたは複数のサーバコンピューティングシステムを、互いと、ならびに少なくとも1つまたは複数のクライアントコンピューティングシステムとも接続することができる。サーバコンピューティングシステムは各々、任意選択的に、データベースなどの系統的なデータ構造を含み得る。1つまたは複数のサーバコンピューティングシステムの各々は、1つまたは複数の仮想サーバコンピューティングシステムを有し得、複数の仮想サーバコンピューティングシステムが、設計により実装され得る。1つまたは複数のサーバコンピューティングシステムの各々は、データ完全性を保護するために1つまたは複数のファイアウォールおよび同様の防御を有し得る。
少なくとも1つまたは複数のクライアントコンピューティングシステム、例えば、モバイルコンピューティングデバイス(例えば、アンドロイドベースのオペレーティングシステムを有するスマートフォン)はサーバと通信することができる。クライアントコンピューティングシステムは、例えば、第1の電気式個人用輸送車両および/または第2の電気式個人用輸送車両と通信を交換することができる場合のあるソフトウェアアプリケーションまたはハードウェアベースのシステムを含み得る。1つまたは複数のクライアントコンピューティングシステムの各々は、データ完全性を保護するために1つまたは複数のファイアウォールおよび同様の防御を有し得る。
クラウドプロバイダプラットフォームは、サーバコンピューティングシステムのうちの1つまたは複数を含み得る。クラウドプロバイダは、クラウド(例えば、インターネットなどのネットワーク)内でアプリケーションソフトウェアをインストールし動作させることができ、クラウドユーザは、クライアントコンピューティングシステムのうちの1つまたは複数からアプリケーションソフトウェアにアクセスすることができる。一般に、クラウド内にクラウドベースのサイトを有するクラウドユーザは、アプリケーションソフトウェアが実行する場所であるクラウドインフラストラクチャまたはプラットフォームを単独で管理することができない。したがって、サーバコンピューティングシステムおよびその系統的なデータ構造は、共有リソースであり得、各クラウドユーザが共有リソースの特定の量の専用使用が与えられる。各クラウドユーザのクラウドベースのサイトは、クラウド内の仮想量の専用空間および帯域幅を与えられ得る。クラウドアプリケーションは、実行時に複数の仮想マシン上にタスクを模倣して変化する作業要求を満たすことによって達成され得るスケーラビリティにおいて他のアプリケーションとは異なり得る。負荷分散装置は、仮想マシンのセットに作業を分散させる。このプロセスは、単一のアクセスポイントのみを見るクラウドユーザに対して透過的である。
クラウドベースのリモートアクセスは、ハイパーテキスト転送プロトコル(「HTTP」)などのプロトコルを利用して、クライアントコンピューティングシステム内のウェブブラウザアプリケーションなど、クライアントコンピューティングシステム上のアプリケーションによる要求および応答サイクルに従事するようにコードされ得る。クラウドベースのリモートアクセスは、スマートフォン、デスクトップコンピュータ、タブレット、または任意の他のクライアントコンピューティングシステムによって、いつでもおよび/またはどこでもアクセスされ得る。クラウドベースのリモートアクセスは、1)すべてのウェブブラウザベースのアプリケーションからの要求および応答サイクル、3)専用オンラインサーバからの要求および応答サイクル、4)クライアントデバイス内のネイティブアプリケーションと、別のクライアントコンピューティングシステムへのクラウドベースのリモートアクセスとの直接的な間の要求および応答サイクル、ならびに5)それらの組み合わせに従事するようにコードされる。
実施形態において、サーバコンピューティングシステムは、サーバエンジン、ウェブページ管理コンポーネント、コンテンツ管理コンポーネント、およびデータベース管理コンポーネントを含み得る。サーバエンジンは、基本の処理およびオペレーティングシステムレベルタスクを実施することができる。ウェブページ管理コンポーネントは、デジタルコンテンツおよびデジタル広告を受信および提供することと関連付けられた、ウェブページまたは画面の作成および表示またはルーティングを扱うことができる。ユーザ(例えば、クラウドユーザ)は、それらと関連付けられたユニフォームリソースロケータ(「URL」)によって、サーバコンピューティングシステムのうちの1つまたは複数にアクセスすることができる。コンテンツ管理コンポーネントは、本明細書に説明される実施形態内の機能の大部分を扱うことができる。データベース管理コンポーネントは、データベース、データベースへのクエリ、およびデータの記憶に関する記憶および取得タスクを含み得る。
いくつかの実施形態において、サーバコンピューティングシステムは、ウィンドウ、ウェブページ等に情報を表示するように構成され得る。例えば、サーバコンピューティングシステム上で実行されるときに実行可能な任意のプログラムモジュール、アプリケーション、サービス、プロセス、および他の同様のソフトウェアを含むアプリケーションは、サーバコンピューティングシステムに、ディスプレイ画面スペースの一部分内にウィンドウおよびユーザインターフェース画面を表示するようにさせることができる。ウェブページに関して、例えば、クライアントコンピューティングシステム上のブラウザを介したユーザは、ウェブページと相互作用し、次いで、ユーザインターフェース画面に提示されるクエリ/フィールドおよび/またはサービスへの入力を供給することができる。ウェブページは、ウェブサーバ、例えば、サーバコンピューティングシステムによって、ハイパーテキストマークアップ言語(「HTML」)またはワイヤレスアクセスプロトコル(「WAP」)対応のクライアントコンピューティングシステム(例えば、クライアントコンピューティングシステム802B)またはそれらの任意の等価物上でサーブされ得る。クライアントコンピューティングシステムは、サーバコンピューティングシステムと相互作用するためにブラウザおよび/または特定のアプリケーションをホストすることができる。各アプリケーションは、ソフトウェアコンポーネントが所望の情報の詳細を取り出すために提示フィールドなどを実行するようにコードされる機能を実施するように記述されるコードを有する。例えばサーバコンピューティングシステム内のアルゴリズム、ルーチン、およびエンジンは、提示フィールドから情報を取り出し、その情報をデータベースなどの適切な記憶媒体(例えば、データベース)に入れることができる。比較ウィザードは、データベースを参照し、そのようなデータを使用するように記述され得る。アプリケーションは、例えば、サーバコンピューティングシステム上でホストされ、例えば、クライアントコンピューティングシステムの特定のアプリケーションまたはブラウザにサーブされ得る。次いで、アプリケーションは、詳細事項のエントリを可能にするウィンドウまたはページをサーブする。
コンピューティングシステム
コンピューティングシステムは、全体的または部分的に、いくつかの実施形態に従って、サーバまたはクライアントコンピューティングデバイスのうちの1つまたは複数の部分であり得る。コンピューティングシステムのコンポーネントは、限定されるものではないが、1つまたは複数の処理コアを有する処理ユニット、システムメモリ、およびシステムメモリを含む様々なシステムコンポーネントを処理ユニットに結合するシステムバスを含み得る。システムバスは、メモリバスまたはメモリコントローラ、周辺機器用バス、および様々なバスアーキテクチャのいずれかを使用するローカルバスから選択されるいくつかのタイプのバス構造のいずれかであり得る。
コンピューティングシステムは、典型的には、様々なコンピューティングマシン可読媒体を含む。コンピューティングマシン可読媒体は、コンピューティングシステムによってアクセスされ得、かつ揮発性および不揮発性両方の媒体、ならびにリムーバブルおよび非リムーバブル媒体を含む任意の利用可能な媒体であり得る。限定ではなく例として、コンピューティングマシン可読媒体使用は、コンピュータ可読命令、データ構造、他の実行可能なソフトウェアまたは他のデータなどの情報の記憶を含む。コンピュータ-記憶媒体は、所望の情報を記憶するために使用され得、かつコンピューティングデバイス900によってアクセスされ得る、RAM、ROM、EEPROM、フラッシュメモリもしくは他のメモリ技術、CD-ROM、デジタルバーサタイルディスク(DVD)もしくは他の光ディスクストレージ、磁気カセット、磁気テープ、磁気ディスクストレージもしくは他の磁気ディスクストレージデバイス、または任意の他の有形媒体を含むが、これらに限定されない。ワイヤレスチャネルなどの一時的な媒体は、マシン可読媒体には含まれない。通信媒体は、典型的には、コンピュータ可読命令、データ構造、他の実行可能なソフトウェア、または他の輸送機構を具現化し、任意の情報伝達媒体を含む。
システムメモリは、リードオンリメモリ(ROM)およびランダムアクセスメモリ(RAM)などの揮発性および/または不揮発性メモリの形態にあるコンピュータ記憶媒体を含む。起動中などコンピューティングシステム内の要素間の情報を転送するのに役立つ基本ルーチンを含む基本入出力システム(BIOS)は、典型的には、ROMに記憶される。RAMは、典型的には、直ちにアクセス可能である、および/または、処理ユニットによって現在動作されているデータおよび/またはソフトウェアを含む。限定ではなく例として、RAMは、オペレーティングシステム、アプリケーションプログラム、他の実行可能なソフトウェア、およびプログラムデータの一部分を含み得る。
ドライブおよび上述したそれらの関連コンピュータ記憶媒体は、コンピュータ可読命令、データ構造、他の実行可能なソフトウェア、コンピューティングシステムの他のデータのストレージを提供する。
ユーザは、キーボード、タッチスクリーン、またはソフトウェアもしくはハードウェア入力ボタン、マイク、ポインティングデバイス、および/または、マウス、トラックボール、もしくはタッチパッドなどのスクローリング入力コンポーネントなどの入力デバイスを介してコンピューティングシステムにコマンドおよび情報を入力し得る。マイクは、音声認識ソフトウェアと連携することができる。これらおよび他の入力デバイスは、多くの場合、システムバスに結合されるユーザ入力インターフェースを通じて処理ユニットに接続されるが、パラレルバス、ゲームポート、またはユニバーサルシステムバス(USB)などの他のインターフェースおよびバス構造によって接続されてもよい。ディスプレイモニタまたは他のタイプのディスプレイ画面デバイスもまた、ディスプレイインターフェースなどのインターフェースを介してシステムバスに接続される。モニタに加えて、コンピューティングデバイスはまた、出力周辺機器インターフェースを通じて接続され得る、スピーカ、バイブレータ、照明、および他の出力デバイスなどの他の周辺機器出力デバイスを含み得る。
コンピューティングシステムは、リモートコンピューティングシステムなどの1つまたは複数のリモートコンピュータ/クライアントデバイスへの論理接続を使用してネットワーク化環境において動作することができる。論理接続は、パーソナルエリアネットワーク(「PAN」)(例えば、Bluetooth(登録商標))、ローカルエリアネットワーク(「LAN」)(例えば、Wi-Fi)、およびワイドエリアネットワーク(「WAN」)(例えば、セルラネットワーク)を含み得るが、他のネットワークもまた含み得る。そのようなネットワーキング環境は、オフィス、エンタープライズ全体のコンピュータネットワーク、イントラネット、およびインターネットにありふれている。クラウドプラットフォームとやりとりをするブラウザアプリケーションまたはダイレクトアプリは、コンピューティングデバイス内にあり得、メモリに記憶され得る。
本設計は、単一のコンピューティングシステム上で、および/または、本設計の異なる部分が分散コンピューティングシステムの異なる部分で実行される分散システム上で実行され得るということに留意されたい。
本明細書に説明されるアプリケーションは、ソフトウェアアプリケーション、モバイルアプリ、およびオペレーティングシステムアプリケーションの部分であるプログラムを含むが、これらに限定されない。本説明のいくつかの部分は、コンピュータメモリ内のデータビットに対する動作のアルゴリズムおよび象徴的表現に関して提示される。これらのアルゴリズム的な説明および表現は、データ処理分野の当業者によって、自らの作業の内容を他の当業者に最も効果的に伝えるために使用される手段である。アルゴリズムは、ここでは、および一般的には、所望の結果につながるステップの自己一致シーケンスであると考えられる。ステップは、物理量の物理的操作を必要とするものである。通常、しかしながら必須ではなく、これらの量は、記憶される、転送される、組み合わされる、および別の方法で操作されることが可能である電気または磁気信号の形態をとる。時々、主に慣用の理由のため、これらの信号を、ビット、値、要素、記号、文字、用語、数字等と呼ぶのが便利であることが証明されている。これらのアルゴリズムは、Python、C、C+、または他の同様の言語など、いくつかの異なるソフトウェアプログラミング言語で書かれ得る。また、アルゴリズムは、ソフトウェア内のコード行、ソフトウェア内の構成済み論理ゲート、またはその両方の組み合わせと共に実施され得る。実施形態において、論理は、ブール論理のルールに従う電気回路、命令のパターンを含むソフトウェア、またはその両方の任意の組み合わせからなる。
しかしながら、これらの用語および同様の用語のすべては、適切な物理量と関連付けられることになり、これらの量に適用される便利なラベルにすぎないということについて留意すべきである。上の記載から明白であるように別途明確に示されない限り、説明全体を通して、「処理」または「コンピューティング」または「計算」または「決定」または「表示」などの用語を利用した記載は、コンピュータシステムのレジスタおよびメモリ内の物理(電子)量として表されるデータを、コンピュータシステムメモリもしくはレジスタ、または他のそのような情報ストレージ、送信または表示デバイス内の物理量として同様に表される他のデータへと操作および変換するコンピュータシステム、または同様の電子コンピューティングデバイスの行動およびプロセスを指すということを理解されたい。
電子ハードウェアコンポーネントによって実施される多くの機能は、ソフトウェアエミュレーションによって複製され得る。したがって、それらの同じ機能を達成するために書き込まれるソフトウェアプログラムは、入力-出力回路内のハードウェアコンポーネントの機能性をエミュレートすることができる。
先述の設計およびその実施形態は、かなり詳細に提供されているが、本明細書に提供される設計および実施形態が制限されることは出願者の意図ではない。追加の適合および/または集成が可能であり、また、幅広い態様において、これらの適合および/または集成も包含される。したがって、以下の特許請求の範囲によって生じた範囲から逸脱することなく、先述の設計および実施形態が準備され得、この範囲は、適切に解釈されるときには特許請求の範囲によってのみ制限される。

Claims (20)

  1. eメールシステムと関連付けられたeメール活動およびユーザ活動の正常な挙動について訓練される1つまたは複数の機械学習モデルと、
    前記eメールシステム内のサイバー脅威について訓練される1つまたは複数の機械学習モデルを有するサイバー脅威モジュールであって、前記eメールシステムと関連付けられた前記eメール活動およびユーザ活動の正常な挙動について訓練される前記モデルを参照するように構成され、分析下の前記eメール活動およびユーザ活動の一連の1つまたは複数の非正常な挙動が、得られた正常な無害の挙動から外れる可能性を考慮に入れた脅威リスクパラメータを決定する、サイバー脅威モジュールと、を備え、
    前記eメール活動およびユーザ活動の正常な挙動について訓練される前記1つまたは複数の機械学習モデルを有するeメールモジュールは、前記ユーザ活動および前記eメール活動を分析して、前記eメールシステムにおける前記eメール活動および前記ユーザ活動の理解を引き入れるものであり、
    さらに、前記サイバー脅威モジュールからの前記脅威リスクパラメータが、行動の指針となり得るしきい値に等しいかまたはそれより大きいとき、前記サイバー脅威を阻止するために取られるべき1つまたは複数の自律行動を引き起こすように構成された、行動を取る人間ではない、自律応答モジュールを備える、装置。
  2. eメール自体およびその関連データに関する複数の特徴の理解を得ることについて訓練される1つまたは複数の機械学習モデルをさらに備え、
    前記サイバー脅威モジュールがまた、eメール自体およびその関連データについて訓練される前記機械学習モデルを参照して、分析下のeメールが潜在的に悪意のある特徴を有するかどうかを決定することができ、また次いで、この分析を前記脅威リスクパラメータの決定において考慮に入れることができる、請求項1に記載の装置。
  3. 前記eメールシステムに入る/前記eメールシステムから出るeメールおよび分析下の1つまたは複数のeメールについて知られているサイバーセキュリティ特徴のインボックススタイルビューを有するユーザインターフェースをさらに備え、前記eメールのインボックススタイルビューを有する前記ユーザインターフェースが、前記分析下の1つまたは複数のeメールを表示する第1のウィンドウ、およびそれらの分析下の1つまたは複数のeメールについて知られているセキュリティ特徴を伴う第2のウィンドウを有する、請求項1に記載の装置。
  4. サイバー脅威防御システムのための前記ユーザインターフェースが、前記第1のウィンドウ内の前記分析下の1つまたは複数のeメールを、それらの1つまたは複数のeメールについて知られている前記関連セキュリティ特徴の隣で、カスタマイズし、かつターゲットとするために、前記eメールシステム内のeメールがフィルタリング可能、検索可能、およびソート可能であることを許容するように構成され、このユーザインターフェースと同じディスプレイ画面上にそれらのそれぞれの情報を表示するこれらの2つのウィンドウが、分析下の前記eメールを分析するサイバー専門家に分析下の前記eメールを分析して、それら1つまたは複数のeメールが実際にサイバー脅威であるかどうかをより良好に評価することを可能にする、請求項3に記載の装置。
  5. 前記自律応答モジュールは、i)知られている悪意のあるeメールまたはii)少なくとも悪意のある可能性が非常に高いeメールがサイバー脅威モジュールによって決定されたとき、前記応答モジュールが前記サイバー脅威を阻止するために前記自律行動をいつ取るべきであるかを知るように構成可能であり、前記自律応答モジュールは、前記脅威リスクパラメータが前記サイバー専門家によって選択可能である前記行動の指針となり得るしきい値に等しいかまたはそれより大きいこと、すなわち前記分析下の1つまたは複数のeメールが少なくとも悪意のある可能性が非常に高いことを前記サイバー脅威モジュールが示すとき、前記自律応答モジュールに可能である行動のタイプおよび特定の行動を含む、前記自律応答モジュールが取ることができる自律行動が何であるかを設定するように、前記ユーザインターフェースを通じて構成可能な管理ツールを有する、請求項1に記載の装置。
  6. 前記自律応答モジュールが、前記eメールシステムの特定のユーザへの混乱を回避するために、悪意のあるeメールの特定のeメール要素に対して、そのeメールに対する全面的隔離またはブロック方式ではなく、自律的に対処するようコンテクスト化される前記ユーザインターフェースを通じて選択可能な集中的な応答行動を含む、前記自律応答モジュールが可能である行動の応答行動タイプおよび特定の行動のライブラリを有する、請求項5に記載の装置。
  7. 前記eメールシステムに関連付けられるネットワーク上の、ユーザ、デバイス、およびそれらの間のインタラクションの正常な挙動について訓練される1つまたは複数の機械学習モデルを有するネットワークモジュールをさらに備え、ユーザインターフェースが、ネットワークデータを表示するための1つまたは複数のウィンドウ、ならびに、同じユーザインターフェースを通じてディスプレイ画面上に、eメールおよびそれらのeメールに関するサイバーセキュリティ詳細を表示するための1つまたは複数のウィンドウを有し、それにより、サイバー専門家が、1つのプラットフォーム内でネットワークデータとeメールサイバーセキュリティ詳細との間でピボットし、それらを前記同じディスプレイ画面上の別個の領域ではなく、相互接続された全体として考えることが可能になる、請求項1に記載の装置。
  8. 潜在的に非正常なネットワーク活動を決定するために利用される、ネットワークモジュールおよびその機械学習モデルは、前記サイバー脅威モジュールへの情報の追加入力を提供して、前記脅威リスクパラメータを決定し、前記ネットワークモジュールがネットワーク活動を観察し、前記サイバー脅威モジュールが、前記ネットワークモジュール観察を受信して、それをこの特定のユーザのeメール活動の理解に引き入れて、結果として生じる脅威リスクパラメータを用いて潜在的なeメール脅威の査定を行うことから、特定のユーザのネットワーク活動が、それらユーザのeメール活動に関連付けられる、請求項7に記載の装置。
  9. ユーザおよびそれらユーザのeメールの正常な挙動について訓練される前記1つまたは複数の機械学習モデルが、訓練をするためのプローブからのデータを使用し、したがって、前記正常な挙動の基準線が何であるかを定期的に更新する、請求項1に記載の装置。
  10. 前記サイバー脅威を阻止するために取られるべき1つまたは複数の自律行動を引き起こすように、前記自律応答モジュールと連携して構成される前記サイバー脅威モジュールが、何らかの人間の介入を待たずに前記サイバー脅威に応答することを通じて、前記eメールシステム内のコンピューティングデバイスを、前記コンピューティングデバイスにおけるCPUサイクル、メモリスペース、および消費電力を消費することからの前記サイバー脅威の影響を制限することによって、改善する、請求項1に記載の装置。
  11. サイバー脅威防御システムのための方法であって、
    eメールシステムと関連付けられたeメール活動およびユーザ活動の正常な挙動について訓練される1つまたは複数の機械学習モデルを使用するステップと、
    前記eメールシステム内のサイバー脅威について訓練される1つまたは複数の機械学習モデルを有するサイバー脅威モジュールを使用するステップであって、前記サイバー脅威モジュールが、前記eメールシステムと関連付けられた前記eメール活動およびユーザ活動の正常な挙動について訓練されるモデルを参照するように構成される、ステップと、
    分析下の前記eメール活動およびユーザ活動の一連の1つまたは複数の非正常な挙動が、得られた正常な無害の挙動から外れる可能性を考慮に入れる脅威リスクパラメータを決定するステップと、
    前記eメール活動およびユーザ活動の正常な挙動について訓練される前記1つまたは複数の機械学習モデルを有するeメールモジュールを、前記ユーザ活動および前記eメール活動を分析し、前記eメールシステムにおける前記eメール活動および前記ユーザ活動の理解を引き入れるよう、使用するステップと、
    行動を取る人間ではない、自律応答モジュールを、前記サイバー脅威モジュールからの前記脅威リスクパラメータが、行動の指針となり得るしきい値に等しいかまたはそれより大きいとき、前記サイバー脅威を阻止するために取られるべき1つまたは複数の自律行動を引き起こすよう、使用するステップと、を含む、方法。
  12. eメール自体に関する複数の特徴およびその関連データの理解を得ることについて訓練される1つまたは複数の機械学習モデルを使用するステップであって、前記eメールシステム内のサイバー脅威について訓練される前記1つまたは複数の機械学習モデルを有する前記サイバー脅威モジュールがまた、eメール自体およびその関連データについて訓練される前記機械学習モデルを参照して、分析下のeメールが潜在的に悪意のある特徴を有するかどうかを決定することができ、次いで、この分析を前記脅威リスクパラメータの決定において考慮に入れることができる、ステップ、をさらに含む、請求項11に記載の方法。
  13. 前記eメールシステムに入る/前記eメールシステムから出るeメールおよび分析下の1つまたは複数のeメールについて知られているサイバーセキュリティ特徴のインボックススタイルビューを有するユーザインターフェースを使用するステップであって、前記eメールのインボックススタイルビューを有する前記ユーザインターフェースが、前記分析下の1つまたは複数のeメールを表示する第1のウィンドウ、およびそれらの分析下の1つまたは複数のeメールについて知られているセキュリティ特徴を伴う第2のウィンドウを有する、ステップ、をさらに含む、請求項11に記載の方法。
  14. 前記第1のウィンドウ内で前記分析下の1つまたは複数のeメールを、それらの1つまたは複数のeメールについて知られている前記関連セキュリティ特徴の隣で、カスタマイズし、およびターゲットとするために、前記eメールシステム内のeメールがフィルタリング可能、検索可能、およびソート可能であることを可能にするように前記サイバー脅威防御システムのための前記ユーザインターフェースを構成するステップであって、このユーザインターフェースと同じディスプレイ画面上にそれらeメールのそれぞれの情報を表示するこれらの2つのウィンドウが、分析下の前記eメールを分析するサイバー専門家が、分析下の前記eメールを分析して、それら1つまたは複数のeメールが実際にサイバー脅威であるかどうかをより良好に評価することを可能にする、ステップ、をさらに含む、請求項13に記載の方法。
  15. 前記応答モジュールが前記サイバー脅威を阻止するための前記自律行動をいつ取るべきであるかを知るように、前記自律応答モジュールを構成可能にするステップと、
    前記サイバー脅威モジュールが前記分析下のeメール活動およびユーザ活動の前記一連の1つまたは複数の非正常な挙動が悪意のある可能性が非常に高いことを決定するときに、前記サイバー脅威を阻止するために自律行動を取るステップであって、前記自律応答モジュールが、前記脅威リスクパラメータが前記サイバー専門家によって選択可能である前記行動の指針となり得るしきい値に等しいかまたはそれより大きいこと、すなわち前記eメール活動およびユーザ活動の前記一連の1つまたは複数の非正常な挙動が少なくとも悪意のある可能性が非常に高いことを前記サイバー脅威モジュールが示すとき、前記自律応答モジュールに可能である行動のタイプおよび特定の行動を含む、前記自律応答モジュールが取ることができる自律行動が何であるかを設定するように、前記ユーザインターフェースを通じて構成可能な管理ツールを有する、ステップと、をさらに含む、請求項11に記載の方法。
  16. 前記eメールシステムの特定のユーザへの混乱を回避するために、悪意のあるeメールの特定のeメール要素に対して、そのeメールに対する全面的隔離またはブロック方式ではなく、自律的に行うようコンテクスト化される前記ユーザインターフェースを通じて選択可能な集中的な応答行動を含む、前記自律応答モジュールが可能である行動の応答行動タイプおよび特定の行動のライブラリを使用するステップ、をさらに含む、請求項15に記載の装置。
  17. 前記eメールシステムに関連付けられるネットワーク上の、ユーザ、デバイス、およびそれらの間のインタラクションの正常な挙動について訓練される1つまたは複数の機械学習モデルを使用するステップであって、ユーザインターフェースが、ネットワークデータを表示するための1つまたは複数のウィンドウ、ならびに、同じユーザインターフェースを通じてディスプレイ画面上に、eメールおよびそれらのeメールに関するサイバーセキュリティ詳細を表示するための1つまたは複数のウィンドウを有し、それにより、サイバー専門家が、1つのプラットフォーム内でネットワークデータとeメールサイバーセキュリティ詳細との間でピボットし、それらを前記同じディスプレイ画面上の別個の領域ではなく、相互接続された全体として考えることが可能になる、ステップ、をさらに含む、請求項11に記載の装置。
  18. ネットワークモジュールがネットワーク活動を観察し、サイバー脅威モジュールが前記ネットワークモジュール観察を受信して、それをこの特定のユーザのeメール活動の理解に引き入れ、結果として生じる脅威リスクパラメータを用いて潜在的なeメール脅威の査定を行うことから、特定のユーザのネットワーク活動が、それらユーザのeメール活動に関連付けられる、請求項17に記載の方法。
  19. ユーザおよびそれらユーザのeメールの正常な挙動について訓練される前記1つまたは複数の機械学習モデルが、訓練をするためのプローブからのデータを使用し、したがって、前記正常な挙動の基準線が何であるかを定期的に更新する、請求項11に記載の方法。
  20. 1つまたは複数のプロセッサを用いて実行されるとき、前記サイバー防御システムに請求項11の動作を実行させる、実行可能な命令を含む非一時的コンピュータ可読媒体。
JP2023155537A 2018-02-20 2023-09-21 機械学習モデルを用いてeメールネットワークを保護するサイバー脅威防御システム Pending JP2023169334A (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201862632623P 2018-02-20 2018-02-20
US62/632623 2018-02-20
US16/278,932 US11606373B2 (en) 2018-02-20 2019-02-19 Cyber threat defense system protecting email networks with machine learning models
US16/278932 2019-02-19
JP2019028818A JP2019145107A (ja) 2018-02-20 2019-02-20 機械学習モデルを用いてeメールネットワークを保護するサイバー脅威防御システム

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2019028818A Division JP2019145107A (ja) 2018-02-20 2019-02-20 機械学習モデルを用いてeメールネットワークを保護するサイバー脅威防御システム

Publications (1)

Publication Number Publication Date
JP2023169334A true JP2023169334A (ja) 2023-11-29

Family

ID=65516440

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2019028818A Pending JP2019145107A (ja) 2018-02-20 2019-02-20 機械学習モデルを用いてeメールネットワークを保護するサイバー脅威防御システム
JP2023155537A Pending JP2023169334A (ja) 2018-02-20 2023-09-21 機械学習モデルを用いてeメールネットワークを保護するサイバー脅威防御システム

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2019028818A Pending JP2019145107A (ja) 2018-02-20 2019-02-20 機械学習モデルを用いてeメールネットワークを保護するサイバー脅威防御システム

Country Status (7)

Country Link
US (22) US11546359B2 (ja)
EP (8) EP3528458B1 (ja)
JP (2) JP2019145107A (ja)
AU (1) AU2019201137B2 (ja)
CA (2) CA3034176A1 (ja)
DK (3) DK3528462T3 (ja)
SG (1) SG10201901386UA (ja)

Families Citing this family (359)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105765901B (zh) * 2013-12-20 2019-11-08 迈克菲有限责任公司 智能防火墙访问规则
US10671470B2 (en) * 2015-06-11 2020-06-02 Instana, Inc. Application performance management system with dynamic discovery and extension
US10607004B2 (en) * 2016-09-29 2020-03-31 Intel Corporation Methods and apparatus to improve feature engineering efficiency with metadata unit operations
US10999296B2 (en) 2017-05-15 2021-05-04 Forcepoint, LLC Generating adaptive trust profiles using information derived from similarly situated organizations
US10992652B2 (en) 2017-08-25 2021-04-27 Keysight Technologies Singapore (Sales) Pte. Ltd. Methods, systems, and computer readable media for monitoring encrypted network traffic flows
US10903985B2 (en) 2017-08-25 2021-01-26 Keysight Technologies Singapore (Sales) Pte. Ltd. Monitoring encrypted network traffic flows in a virtual environment using dynamic session key acquisition techniques
US10769306B2 (en) * 2017-09-21 2020-09-08 International Business Machines Corporation Applying a differential privacy operation on a cluster of data
US10616260B2 (en) 2017-11-30 2020-04-07 Bank Of America Corporation System for information security threat assessment
US10635822B2 (en) 2017-11-30 2020-04-28 Bank Of America Corporation Data integration system for triggering analysis of connection oscillations
US10826929B2 (en) 2017-12-01 2020-11-03 Bank Of America Corporation Exterior data deployment system using hash generation and confirmation triggering
US10666666B1 (en) 2017-12-08 2020-05-26 Logichub, Inc. Security intelligence automation platform using flows
US10735272B1 (en) * 2017-12-08 2020-08-04 Logichub, Inc. Graphical user interface for security intelligence automation platform using flows
US11403958B2 (en) * 2017-12-13 2022-08-02 T-Mobile Usa, Inc. Lesson determination for dynamic gamification application
US11855971B2 (en) * 2018-01-11 2023-12-26 Visa International Service Association Offline authorization of interactions and controlled tasks
US10834111B2 (en) * 2018-01-29 2020-11-10 International Business Machines Corporation Method and system for email phishing attempts identification and notification through organizational cognitive solutions
US10887327B2 (en) 2018-03-23 2021-01-05 Juniper Networks, Inc. Enforcing threat policy actions based on network addresses of host threats
US10862912B2 (en) * 2018-03-23 2020-12-08 Juniper Networks, Inc. Tracking host threats in a network and enforcing threat policy actions for the host threats
US11003773B1 (en) * 2018-03-30 2021-05-11 Fireeye, Inc. System and method for automatically generating malware detection rule recommendations
RU2715025C2 (ru) * 2018-04-19 2020-02-21 Акционерное общество "Лаборатория Касперского" Способ автоматизированного тестирования программно-аппаратных систем и комплексов
US10749882B2 (en) * 2018-04-19 2020-08-18 Raytheon Bbn Technologies Corp. Network security system and methods for encoding network connectivity for activity classification
US11575688B2 (en) * 2018-05-02 2023-02-07 Sri International Method of malware characterization and prediction
WO2019210484A1 (en) * 2018-05-03 2019-11-07 Siemens Aktiengesellschaft Analysis device, method and system for operational technology system and storage medium
US11544374B2 (en) * 2018-05-07 2023-01-03 Micro Focus Llc Machine learning-based security threat investigation guidance
US10397272B1 (en) 2018-05-10 2019-08-27 Capital One Services, Llc Systems and methods of detecting email-based attacks through machine learning
US11586711B2 (en) * 2018-05-14 2023-02-21 Cisco Technology, Inc. Systems and methods for securing and controlling access to electronic data, electronic systems, and digital accounts
US11438357B2 (en) 2018-06-22 2022-09-06 Senseon Tech Ltd Endpoint network sensor and related cybersecurity infrastructure
GB201810294D0 (en) 2018-06-22 2018-08-08 Senseon Tech Ltd Cybe defence system
GB2602254B (en) 2020-12-15 2023-04-05 Senseon Tech Ltd Network traffic monitoring
US11483313B2 (en) * 2018-06-28 2022-10-25 Intel Corporation Technologies for updating an access control list table without causing disruption
US12057011B2 (en) * 2018-06-28 2024-08-06 Cavh Llc Cloud-based technology for connected and automated vehicle highway systems
US11157834B2 (en) * 2018-07-10 2021-10-26 Cisco Technology, Inc. Automated identification of higher-order behaviors in a machine-learning network security system
US10742484B1 (en) * 2018-07-31 2020-08-11 Splunk Inc. Generating action suggestions based on anonymized data from multiple information technology environments
US10893030B2 (en) 2018-08-10 2021-01-12 Keysight Technologies, Inc. Methods, systems, and computer readable media for implementing bandwidth limitations on specific application traffic at a proxy element
US11386304B2 (en) * 2018-08-20 2022-07-12 Samsung Electronics Co., Ltd. Electronic device and method of controlling the same
US11431725B2 (en) * 2020-09-23 2022-08-30 BabelWorks AI, Inc. Systems and methods for dynamic network pairings to enable end-to-end communications between electronic devices
US11012421B2 (en) 2018-08-28 2021-05-18 Box, Inc. Predicting user-file interactions
US10972461B2 (en) * 2018-08-28 2021-04-06 International Business Machines Corporation Device aware network communication management
US10938839B2 (en) 2018-08-31 2021-03-02 Sophos Limited Threat detection with business impact scoring
US10574512B1 (en) * 2018-09-04 2020-02-25 Cisco Technology, Inc. Deep learning architecture for collaborative anomaly detection and explanation
US10778689B2 (en) * 2018-09-06 2020-09-15 International Business Machines Corporation Suspicious activity detection in computer networks
IL281410B2 (en) * 2018-09-15 2024-02-01 Quantum Star Tech Inc Bit-level data generation and artificial intelligence techniques and architectures for data protection
JP7121276B2 (ja) * 2018-09-19 2022-08-18 富士通株式会社 データ管理レベル判定プログラム、およびデータ管理レベル判定方法
CN110943961B (zh) 2018-09-21 2022-06-21 阿里巴巴集团控股有限公司 数据处理方法、设备以及存储介质
US11070632B2 (en) * 2018-10-17 2021-07-20 Servicenow, Inc. Identifying computing devices in a managed network that are involved in blockchain-based mining
US11010472B1 (en) * 2018-10-23 2021-05-18 Architecture Technology Corporation Systems and methods for signature-less endpoint protection against zero-day malware attacks
US11711398B2 (en) * 2018-10-26 2023-07-25 Netography, Inc. Distributed network security service
US11258817B2 (en) * 2018-10-26 2022-02-22 Tenable, Inc. Rule-based assignment of criticality scores to assets and generation of a criticality rules table
US11126957B2 (en) * 2018-10-31 2021-09-21 International Business Machines Corporation Supply chain forecasting system
US11388040B2 (en) 2018-10-31 2022-07-12 EXFO Solutions SAS Automatic root cause diagnosis in networks
US10992701B2 (en) * 2018-11-20 2021-04-27 Bank Of America Corporation Systems and methods for dynamic targeting of secure repurposed cross-channel electronic communications
US11128667B2 (en) 2018-11-29 2021-09-21 Rapid7, Inc. Cluster detection and elimination in security environments
US11989289B2 (en) 2018-12-03 2024-05-21 British Telecommunications Public Limited Company Remediating software vulnerabilities
US11960610B2 (en) 2018-12-03 2024-04-16 British Telecommunications Public Limited Company Detecting vulnerability change in software systems
EP3891639B1 (en) * 2018-12-03 2024-05-15 British Telecommunications public limited company Detecting anomalies in computer networks
WO2020114920A1 (en) 2018-12-03 2020-06-11 British Telecommunications Public Limited Company Detecting vulnerable software systems
US11645293B2 (en) 2018-12-11 2023-05-09 EXFO Solutions SAS Anomaly detection in big data time series analysis
US10958677B2 (en) * 2018-12-18 2021-03-23 At&T Intellectual Property I, L.P. Risk identification for unlabeled threats in network traffic
US11050793B2 (en) * 2018-12-19 2021-06-29 Abnormal Security Corporation Retrospective learning of communication patterns by machine learning models for discovering abnormal behavior
US11824870B2 (en) 2018-12-19 2023-11-21 Abnormal Security Corporation Threat detection platforms for detecting, characterizing, and remediating email-based threats in real time
US11431738B2 (en) 2018-12-19 2022-08-30 Abnormal Security Corporation Multistage analysis of emails to identify security threats
GB201820853D0 (en) * 2018-12-20 2019-02-06 Palantir Technologies Inc Detection of vulnerabilities in a computer network
EP3906508B1 (en) * 2018-12-31 2024-03-13 Intel Corporation Securing systems employing artificial intelligence
US11416641B2 (en) * 2019-01-24 2022-08-16 Netskope, Inc. Incident-driven introspection for data loss prevention
US10909174B1 (en) * 2019-02-04 2021-02-02 Amazon Technologies, Inc. State detection of live feed
US11483212B2 (en) * 2019-02-08 2022-10-25 Ciena Corporation Safeguarding artificial intelligence-based network control
US10958673B1 (en) 2019-02-11 2021-03-23 Sift Science, Inc. Multi-factor authentication augmented workflow
US10764386B1 (en) 2019-02-15 2020-09-01 Citrix Systems, Inc. Activity detection in web applications
US11630896B1 (en) * 2019-03-07 2023-04-18 Educational Testing Service Behavior-based electronic essay assessment fraud detection
US20200293654A1 (en) * 2019-03-12 2020-09-17 Universal City Studios Llc Security appliance extension
US11281629B2 (en) * 2019-03-15 2022-03-22 International Business Machines Corporation Using and training a machine learning module to determine actions to be taken in response to file system events in a file system
US11438361B2 (en) * 2019-03-22 2022-09-06 Hitachi, Ltd. Method and system for predicting an attack path in a computer network
US11258811B2 (en) * 2019-03-25 2022-02-22 Saudi Arabian Oil Company Email attack detection and forensics
US11620408B2 (en) * 2019-03-27 2023-04-04 Privacy Analytics Inc. Systems and methods of data transformation for data pooling
US11037428B2 (en) * 2019-03-27 2021-06-15 International Business Machines Corporation Detecting and analyzing actions against a baseline
US10686826B1 (en) * 2019-03-28 2020-06-16 Vade Secure Inc. Optical scanning parameters computation methods, devices and systems for malicious URL detection
US11201890B1 (en) 2019-03-29 2021-12-14 Mandiant, Inc. System and method for adaptive graphical depiction and selective remediation of cybersecurity threats
US11140103B2 (en) * 2019-03-30 2021-10-05 Verizon Media Inc. Computerized system and method for optimizing delivery of digital messages
US11681831B2 (en) * 2019-04-10 2023-06-20 International Business Machines Corporation Threat detection using hardware physical properties and operating system metrics with AI data mining
US10609578B1 (en) * 2019-05-16 2020-03-31 At&T Intellectual Property I, L.P. Methods, systems and computer readable media for predicting risk in network elements using machine learning
WO2020250724A1 (ja) * 2019-06-11 2020-12-17 ソニー株式会社 情報処理方法、情報処理装置、及び、プログラム
US11163889B2 (en) * 2019-06-14 2021-11-02 Bank Of America Corporation System and method for analyzing and remediating computer application vulnerabilities via multidimensional correlation and prioritization
US11323463B2 (en) * 2019-06-14 2022-05-03 Datadog, Inc. Generating data structures representing relationships among entities of a high-scale network infrastructure
US20220109680A1 (en) * 2019-06-24 2022-04-07 Hewlett-Packard Development Company, L.P. Intercepting devices
US11727265B2 (en) * 2019-06-27 2023-08-15 Intel Corporation Methods and apparatus to provide machine programmed creative support to a user
US11258813B2 (en) * 2019-06-27 2022-02-22 Intel Corporation Systems and methods to fingerprint and classify application behaviors using telemetry
US11233770B2 (en) * 2019-07-02 2022-01-25 Vmware Inc. User behavior based security in a software defined data center
US11308428B2 (en) * 2019-07-09 2022-04-19 International Business Machines Corporation Machine learning-based resource customization to increase user satisfaction
US11138163B2 (en) 2019-07-11 2021-10-05 EXFO Solutions SAS Automatic root cause diagnosis in networks based on hypothesis testing
CN110138627B (zh) * 2019-07-11 2019-09-20 电子科技大学 一种基于安全风险量化的边缘侧终端安全接入策略选择方法
WO2021009870A1 (ja) * 2019-07-17 2021-01-21 日本電気株式会社 分析システム、方法およびプログラム
US20210029143A1 (en) 2019-07-26 2021-01-28 Reliaquest Holdings, Llc Threat mitigation system and method
US12069077B2 (en) * 2019-07-26 2024-08-20 Sony Group Corporation Methods for detecting a cyberattack on an electronic device, method for obtaining a supervised random forest model for detecting a DDoS attack or a brute force attack, and electronic device configured to detect a cyberattack on itself
US12061709B2 (en) * 2019-08-01 2024-08-13 Palantir Technologies Inc. Systems and methods for conducting data extraction using dedicated data extraction devices
US11588832B2 (en) 2019-08-02 2023-02-21 Crowdstrike, Inc. Malicious incident visualization
US11516237B2 (en) 2019-08-02 2022-11-29 Crowdstrike, Inc. Visualization and control of remotely monitored hosts
US11792210B2 (en) 2019-08-02 2023-10-17 Crowdstrike, Inc. Mapping unbounded incident scores to a fixed range
US11582246B2 (en) 2019-08-02 2023-02-14 Crowd Strike, Inc. Advanced incident scoring
US11381459B2 (en) * 2019-08-05 2022-07-05 Sk Planet Co., Ltd. Service providing system and method for preventing hidden camera, service providing apparatus therefor, and non-transitory computer readable medium having computer program recorded thereon
US11036488B2 (en) * 2019-08-12 2021-06-15 International Business Machines Corporation System and method for optimal hierarchical upgrade time prediction
US11119895B2 (en) * 2019-08-19 2021-09-14 International Business Machines Corporation Risk-focused testing
US11863577B1 (en) * 2019-08-22 2024-01-02 Rapid7, Inc. Data collection and analytics pipeline for cybersecurity
KR102221726B1 (ko) * 2019-08-27 2021-03-03 (주)하몬소프트 Edr 단말 장치 및 방법
US11367342B2 (en) * 2019-08-28 2022-06-21 CyberSecure IPS, LLC Real-time playback modification for activity event playback
US12034767B2 (en) * 2019-08-29 2024-07-09 Darktrace Holdings Limited Artificial intelligence adversary red team
US11356462B2 (en) 2019-08-29 2022-06-07 Bank Of America Corporation Detecting and identifying devices at enterprise locations to protect enterprise-managed information and resources
US20220360597A1 (en) * 2019-08-29 2022-11-10 Darktrace Holdings Limited Cyber security system utilizing interactions between detected and hypothesize cyber-incidents
US11330006B2 (en) 2019-08-29 2022-05-10 Bank Of America Corporation Detecting and identifying devices at enterprise locations to protect enterprise-managed information and resources
US10776686B1 (en) * 2019-09-09 2020-09-15 Iterate Studio, Inc. Container architecture for modular machine learning
EP4028918A4 (en) 2019-09-09 2023-09-27 Reliaquest Holdings, LLC THREAT MITIGATION SYSTEM AND METHOD
US11216268B2 (en) 2019-09-20 2022-01-04 International Business Machines Corporation Systems and methods for updating detection models and maintaining data privacy
US11188320B2 (en) 2019-09-20 2021-11-30 International Business Machines Corporation Systems and methods for updating detection models and maintaining data privacy
US11080352B2 (en) * 2019-09-20 2021-08-03 International Business Machines Corporation Systems and methods for maintaining data privacy in a shared detection model system
US11157776B2 (en) * 2019-09-20 2021-10-26 International Business Machines Corporation Systems and methods for maintaining data privacy in a shared detection model system
GB2587355B (en) * 2019-09-24 2022-11-16 Withsecure Corp Method of data-efficient threat detection in a computer network
US11356316B2 (en) 2019-09-24 2022-06-07 Intradiem, Inc. Live-monitoring of agent instances to trigger automation
US11949549B2 (en) 2019-09-24 2024-04-02 Intradiem, Inc. Agent instance live-monitoring by a management network for burnout and attrition prediction and response
US10623233B1 (en) * 2019-09-24 2020-04-14 Intradiem Inc. Live monitoring to trigger automation
US11665044B2 (en) 2019-09-24 2023-05-30 Intradiem, Inc. Adaptive rule trigger thresholds for managing contact center interaction time
US11329861B2 (en) 2019-09-24 2022-05-10 Intradiem, Inc. Optimized automation triggering in live-monitoring of agent instances
US11621965B2 (en) * 2019-09-27 2023-04-04 Musarubra Us Llc Analysis of endpoint detect and response data
US11368479B2 (en) * 2019-09-27 2022-06-21 Musarubra Us Llc Methods and apparatus to identify and report cloud-based security vulnerabilities
US11799890B2 (en) * 2019-10-01 2023-10-24 Box, Inc. Detecting anomalous downloads
US11509667B2 (en) * 2019-10-19 2022-11-22 Microsoft Technology Licensing, Llc Predictive internet resource reputation assessment
GB201915265D0 (en) 2019-10-22 2019-12-04 Senseon Tech Ltd Anomaly detection
US11165815B2 (en) * 2019-10-28 2021-11-02 Capital One Services, Llc Systems and methods for cyber security alert triage
US20210133594A1 (en) * 2019-10-30 2021-05-06 Dell Products L.P. Augmenting End-to-End Transaction Visibility Using Artificial Intelligence
US11586685B2 (en) * 2019-10-31 2023-02-21 Citrix Systems, Inc. Systems and methods for generating data structures from browser data to determine and initiate actions based thereon
WO2021087418A1 (en) * 2019-11-01 2021-05-06 Google Llc Peripheral device comportability with security circuitry
US11853450B2 (en) * 2019-11-05 2023-12-26 Saudi Arabian Oil Company Detection of web application anomalies using machine learning
EP4055505A1 (en) * 2019-11-08 2022-09-14 Bull Sas Method for intrusion detection to detect malicious insider threat activities and system for intrusion detection
US11394733B2 (en) * 2019-11-12 2022-07-19 Bank Of America Corporation System for generation and implementation of resiliency controls for securing technology resources
US11290475B2 (en) 2019-11-12 2022-03-29 Bank Of America Corporation System for technology resource centric rapid resiliency modeling
US20220391794A1 (en) * 2019-11-12 2022-12-08 Indus Intellirisk And Intellisense Services Private Limited Risk identification and visualization system and method
US11481678B2 (en) 2019-11-14 2022-10-25 Baidu Usa Llc Systems and methods for learning new watermark algorithms for a data processing accelerator
US11574032B2 (en) 2019-11-14 2023-02-07 Baidu Usa Llc Systems and methods for signing an AI model with a watermark for a data processing accelerator
US11582260B2 (en) 2019-11-14 2023-02-14 Baidu Usa Llc Systems and methods for verifying a watermark of an AI model for a data processing accelerator
US11579928B2 (en) * 2019-11-14 2023-02-14 Baidu Usa Llc Systems and methods for configuring a watermark unit with watermark algorithms for a data processing accelerator
US11308205B2 (en) 2019-11-15 2022-04-19 Bank Of America Corporation Security tool for preventing internal data breaches
US11870807B2 (en) * 2019-11-19 2024-01-09 Jpmorgan Chase Bank, N.A. System and method for phishing email training
CA3100378A1 (en) * 2019-11-20 2021-05-20 Royal Bank Of Canada System and method for unauthorized activity detection
US11399041B1 (en) 2019-11-22 2022-07-26 Anvilogic, Inc. System for determining rules for detecting security threats
CN111031006A (zh) * 2019-11-22 2020-04-17 国网浙江省电力有限公司绍兴供电公司 一种基于网络流的智能电网通信异常检测方法
US11055652B1 (en) 2019-11-22 2021-07-06 Anvilogic, Inc. System for sharing detection logic through a cloud-based exchange platform
US11528297B1 (en) * 2019-12-12 2022-12-13 Zimperium, Inc. Mobile device security application for malicious website detection based on representative image
US10897479B1 (en) * 2019-12-12 2021-01-19 Sift Science, Inc. Systems and methods for machine-learning based digital threat assessment with integrated activity verification
FR3104776B1 (fr) * 2019-12-17 2023-07-07 Commissariat Energie Atomique Procédé de détermination d’une réaction en réponse à une anomalie dans un réseau informatique
WO2021120010A1 (en) * 2019-12-17 2021-06-24 Orange Methods and apparatus to identify abnormal behavior within sets of internet-of-things devices
TWI783195B (zh) * 2019-12-18 2022-11-11 中華資安國際股份有限公司 網路資安系統、其方法及電腦可讀儲存媒介
CN111212035A (zh) * 2019-12-19 2020-05-29 杭州安恒信息技术股份有限公司 一种主机失陷确认及自动修复方法及基于此的系统
US11763217B2 (en) 2019-12-20 2023-09-19 Iterate Studio, Inc. Dynamic feature loading
US11461534B2 (en) * 2019-12-31 2022-10-04 Tech Footing, Llc System for dynamically generating content for professional reports based on continuously updated historical data
CN111224966B (zh) * 2019-12-31 2021-11-02 中国人民解放军战略支援部队信息工程大学 基于演化网络博弈的最优防御策略选取方法
US11477228B2 (en) * 2020-01-03 2022-10-18 Saudi Arabian Oil Company Method and system for blockchain accreditation mechanism based on cybersecurity risk
US11675910B2 (en) * 2020-01-22 2023-06-13 Forcepoint Llc Using an entity behavior catalog when performing security operations
JP7004479B2 (ja) * 2020-01-23 2022-01-21 三菱電機株式会社 モデル生成装置、モデル生成方法及びモデル生成プログラム
US11190417B2 (en) * 2020-02-04 2021-11-30 Keysight Technologies, Inc. Methods, systems, and computer readable media for processing network flow metadata at a network packet broker
US11876822B1 (en) 2020-02-10 2024-01-16 Wells Fargo Bank, N.A. Real time application protection system configuration drift categorization and response
US11416504B2 (en) 2020-02-12 2022-08-16 EXFO Solutions SAS Detection, characterization, and prediction of real-time events occurring approximately periodically
US11522766B2 (en) 2020-02-12 2022-12-06 EXFO Solutions SAS Method and system for determining root-cause diagnosis of events occurring during the operation of a communication network
WO2021160499A1 (en) * 2020-02-13 2021-08-19 Telefonaktiebolaget Lm Ericsson (Publ) Security automation system
US11757918B2 (en) * 2020-02-18 2023-09-12 Noblis, Inc. Capability based insider threat detection
US20210264033A1 (en) * 2020-02-20 2021-08-26 Bank Of America Corporation Dynamic Threat Actionability Determination and Control System
EP4107618A4 (en) * 2020-02-20 2024-03-13 Celestya Ltd. ONLINE USER BEHAVIOR MANAGEMENT METHOD AND SYSTEM
US11257090B2 (en) * 2020-02-20 2022-02-22 Bank Of America Corporation Message processing platform for automated phish detection
US11470042B2 (en) 2020-02-21 2022-10-11 Abnormal Security Corporation Discovering email account compromise through assessments of digital activities
US20210264054A1 (en) * 2020-02-24 2021-08-26 Forcepoint, LLC Re-Identifying Pseudonymized or De-Identified Data Utilizing Distributed Ledger Technology
US11620481B2 (en) 2020-02-26 2023-04-04 International Business Machines Corporation Dynamic machine learning model selection
JP2023524619A (ja) * 2020-02-28 2023-06-13 ダークトレース ホールディングス リミテッド 関心度に基づいてデータ・フローを異なって取り扱うこと
US11252189B2 (en) 2020-03-02 2022-02-15 Abnormal Security Corporation Abuse mailbox for facilitating discovery, investigation, and analysis of email-based threats
WO2021178423A1 (en) * 2020-03-02 2021-09-10 Abnormal Security Corporation Multichannel threat detection for protecting against account compromise
US11222134B2 (en) 2020-03-04 2022-01-11 Sotero, Inc. System and methods for data encryption and application-agnostic querying of encrypted data
DK3899770T3 (da) * 2020-03-09 2022-10-24 Flexxon Pte Ltd System og fremgangsmåde til påvisning af datauregelmæssigheder ved analyse af kendte og/eller ukendte cybersikkerhedstruslers morfologier
US11595435B2 (en) * 2020-03-09 2023-02-28 EC-Council International Limited Methods and systems for detecting phishing emails using feature extraction and machine learning
SG10202002125QA (en) * 2020-03-09 2020-07-29 Flexxon Pte Ltd System and method for detecting data anomalies by analysing morphologies of known and/or unknown cybersecurity threats
US11503047B2 (en) * 2020-03-13 2022-11-15 International Business Machines Corporation Relationship-based conversion of cyber threat data into a narrative-like format
US12086261B2 (en) * 2020-03-13 2024-09-10 International Business Machines Corporation Displaying cyber threat data in a narrative-like format
IL273321A (en) 2020-03-16 2021-09-30 Otorio Ltd A system and method for reducing risk in an operational network
US20230009704A1 (en) * 2020-03-19 2023-01-12 Liveramp, Inc. Cyber Security System and Method
US20230125203A1 (en) * 2020-03-31 2023-04-27 British Telecommunications Public Limited Company Network anomaly detection
US11431751B2 (en) 2020-03-31 2022-08-30 Microsoft Technology Licensing, Llc Live forensic browsing of URLs
GB2593735B (en) * 2020-03-31 2022-08-03 British Telecomm Network Anomaly Detection
US11651222B2 (en) * 2020-04-03 2023-05-16 Mitsubishi Electric Research Laboratories, Inc. System and method for using human relationship structures for email classification
US11290483B1 (en) 2020-04-07 2022-03-29 Anvilogic, Inc. Platform for developing high efficacy detection content
US11677775B2 (en) * 2020-04-10 2023-06-13 AttackIQ, Inc. System and method for emulating a multi-stage attack on a node within a target network
CN113170283A (zh) * 2020-04-14 2021-07-23 思杰系统有限公司 基于到应用用户的消息触发事件通知
US11914719B1 (en) * 2020-04-15 2024-02-27 Wells Fargo Bank, N.A. Systems and methods for cyberthreat-risk education and awareness
US11799878B2 (en) 2020-04-15 2023-10-24 T-Mobile Usa, Inc. On-demand software-defined security service orchestration for a 5G wireless network
US11444980B2 (en) 2020-04-15 2022-09-13 T-Mobile Usa, Inc. On-demand wireless device centric security for a 5G wireless network
US11070982B1 (en) 2020-04-15 2021-07-20 T-Mobile Usa, Inc. Self-cleaning function for a network access node of a network
US11824881B2 (en) 2020-04-15 2023-11-21 T-Mobile Usa, Inc. On-demand security layer for a 5G wireless network
US20210326744A1 (en) * 2020-04-17 2021-10-21 Microsoft Technology Licensing, Llc Security alert-incident grouping based on investigation history
US11455587B2 (en) * 2020-04-20 2022-09-27 Equifax Inc. Continuous and anonymous risk evaluation
WO2021217049A1 (en) 2020-04-23 2021-10-28 Abnormal Security Corporation Detection and prevention of external fraud
US11217223B2 (en) 2020-04-28 2022-01-04 International Business Machines Corporation Speaker identity and content de-identification
US11449674B2 (en) * 2020-04-28 2022-09-20 International Business Machines Corporation Utility-preserving text de-identification with privacy guarantees
AU2021262231A1 (en) 2020-04-28 2022-09-15 Absolute Software Corporation Endpoint security using an action prediction model
US11651074B2 (en) * 2020-04-30 2023-05-16 Musarubra Us Llc Methods and apparatus to accelerate security threat investigation
CN112217829A (zh) * 2020-04-30 2021-01-12 广州知弘科技有限公司 基于大数据的路由方法
US20210342441A1 (en) * 2020-05-01 2021-11-04 Forcepoint, LLC Progressive Trigger Data and Detection Model
US11558403B2 (en) * 2020-05-06 2023-01-17 International Business Machines Corporation Quantum computing machine learning for security threats
US11645558B2 (en) 2020-05-08 2023-05-09 International Business Machines Corporation Automatic mapping of records without configuration information
US11057774B1 (en) * 2020-05-14 2021-07-06 T-Mobile Usa, Inc. Intelligent GNODEB cybersecurity protection system
US11206542B2 (en) * 2020-05-14 2021-12-21 T-Mobile Usa, Inc. 5G cybersecurity protection system using personalized signatures
US11115824B1 (en) 2020-05-14 2021-09-07 T-Mobile Usa, Inc. 5G cybersecurity protection system
JP7322806B2 (ja) * 2020-05-15 2023-08-08 トヨタ自動車株式会社 車両用異常検出装置
EP3910479A1 (en) * 2020-05-15 2021-11-17 Deutsche Telekom AG A method and a system for testing machine learning and deep learning models for robustness, and durability against adversarial bias and privacy attacks
US11477244B2 (en) * 2020-05-21 2022-10-18 Saudi Arabian Oil Company Method and system for data loss prevention management
JP7497552B2 (ja) * 2020-05-29 2024-06-11 株式会社クオリティア 電子メッセージ翻訳分析システム
CN111857681B (zh) * 2020-06-08 2021-04-30 北京大学 一种c++系统的软件定义化关键函数定位与提取方法
US11756112B2 (en) 2020-06-10 2023-09-12 Bank Of America Corporation Settings optimization engine using artificial intelligence to enhance client privacy
US20210397903A1 (en) * 2020-06-18 2021-12-23 Zoho Corporation Private Limited Machine learning powered user and entity behavior analysis
US11310117B2 (en) * 2020-06-24 2022-04-19 Red Hat, Inc. Pairing of a probe entity with another entity in a cloud computing environment
CN111818047B (zh) * 2020-07-07 2022-08-12 德能森智能科技(无锡)有限公司 一种云环境下的云主机监控管理系统及方法
US11366834B2 (en) 2020-07-08 2022-06-21 Express Scripts Strategie Development, Inc. Systems and methods for machine-automated classification of website interactions
US11522880B2 (en) 2020-07-09 2022-12-06 International Business Machines Corporation Analytics engine for data exploration and analytics
US11715046B2 (en) 2020-07-14 2023-08-01 Micro Focus Llc Enhancing data-analytic visualizations with machine learning
US11438370B2 (en) * 2020-07-16 2022-09-06 Capital One Services, Llc Email security platform
US11595418B2 (en) * 2020-07-21 2023-02-28 T-Mobile Usa, Inc. Graphical connection viewer for discovery of suspect network traffic
EP4133432A1 (en) 2020-07-21 2023-02-15 Google LLC Network anomaly detection
CN111865999A (zh) * 2020-07-24 2020-10-30 中国工商银行股份有限公司 访问行为的识别方法、装置、计算设备和介质
US11539735B2 (en) * 2020-08-05 2022-12-27 Cisco Technology, Inc. Systems and methods for application placement in a network based on host security posture
US11935385B1 (en) * 2020-08-05 2024-03-19 ThetaRay Ltd. Anomaly detection using dictionary based projection
WO2022043512A1 (en) * 2020-08-28 2022-03-03 UMNAI Limited Behavior modeling, verification, and autonomous actions and triggers of ml and ai systems
US11809602B2 (en) * 2020-09-02 2023-11-07 International Business Machines Corporation Privacy verification for electronic communications
US20220083661A1 (en) * 2020-09-11 2022-03-17 Zscaler, Inc. Utilizing Machine Learning to detect malicious Office documents
CN112367289B (zh) * 2020-09-11 2021-08-06 浙江大学 一种拟态waf构造方法
CN112202736B (zh) 2020-09-15 2021-07-06 浙江大学 基于统计学习和深度学习的通信网络异常分类方法
US20220086175A1 (en) * 2020-09-16 2022-03-17 Ribbon Communications Operating Company, Inc. Methods, apparatus and systems for building and/or implementing detection systems using artificial intelligence
US11861013B2 (en) * 2020-09-28 2024-01-02 Accenture Global Solutions Limited Systems and methods for triaging software vulnerabilities
US11546368B2 (en) 2020-09-28 2023-01-03 T-Mobile Usa, Inc. Network security system including a multi-dimensional domain name system to protect against cybersecurity threats
US11496522B2 (en) 2020-09-28 2022-11-08 T-Mobile Usa, Inc. Digital on-demand coupons for security service of communications system
CN112235367B (zh) * 2020-09-29 2023-02-17 中孚安全技术有限公司 一种实体行为关系消息订阅方法、系统、终端及存储介质
US20220124104A1 (en) * 2020-10-19 2022-04-21 Greyheller, Llc (Dba Appsian) Systems, methods, and devices for implementing security operations in a security platform
US11528242B2 (en) 2020-10-23 2022-12-13 Abnormal Security Corporation Discovering graymail through real-time analysis of incoming email
US12074897B1 (en) * 2020-11-04 2024-08-27 Rapid7, Inc. Machine learned alert triage classification system
CN112257663B (zh) * 2020-11-12 2024-03-12 北京机电工程研究所 一种基于贝叶斯网络的设计意图识别方法及系统
US11868495B2 (en) * 2020-11-13 2024-01-09 RackTop Systems, Inc. Cybersecurity active defense in a data storage system
CN112583793B (zh) * 2020-11-16 2022-10-28 浙江乾冠信息安全研究院有限公司 一种移动端安全预警方法和系统
WO2022115419A1 (en) * 2020-11-25 2022-06-02 Siemens Energy, Inc. Method of detecting an anomaly in a system
EP4256758A1 (en) * 2020-12-01 2023-10-11 Owkin, Inc. Systems and methods for administrating a federated learning network
US11514173B2 (en) 2020-12-02 2022-11-29 International Business Machines Corporation Predicting software security exploits by monitoring software events
US11687648B2 (en) 2020-12-10 2023-06-27 Abnormal Security Corporation Deriving and surfacing insights regarding security threats
EP4012999A1 (en) * 2020-12-14 2022-06-15 F-Secure Corporation Method of threat detection in a threat detection network and threat detection network
WO2022126260A1 (en) * 2020-12-15 2022-06-23 Mastercard Technologies Canada ULC Enterprise server and method with universal bypass mechanism for automatically testing real-time cybersecurity microservice with live data
US11539521B2 (en) * 2020-12-15 2022-12-27 International Business Machines Corporation Context based secure communication
US11416369B1 (en) 2020-12-18 2022-08-16 Express Scripts Strategic Development, Inc. Machine learning models for automated anomaly detection for application infrastructure components
US12086254B2 (en) * 2020-12-22 2024-09-10 International Business Machines Corporation Adjusting role-based access control of a user based on behavior data of the user
KR102452123B1 (ko) * 2020-12-23 2022-10-12 한국전자통신연구원 비정형 사이버 위협 정보 빅데이터 구축 장치, 사이버 위협 정보 빅데이터 구축 및 연관성 분석 방법
US12073297B2 (en) 2020-12-29 2024-08-27 Accenture Global Solutions Limited System performance optimization
EP4275168A1 (en) * 2021-01-08 2023-11-15 Darktrace Holdings Limited An ai cybersecurity system monitoring wireless data transmissions
US11386197B1 (en) 2021-01-11 2022-07-12 Bank Of America Corporation System and method for securing a network against malicious communications through peer-based cooperation
US11641366B2 (en) 2021-01-11 2023-05-02 Bank Of America Corporation Centralized tool for identifying and blocking malicious communications transmitted within a network
US11895128B2 (en) 2021-01-15 2024-02-06 Bank Of America Corporation Artificial intelligence vulnerability collation
US11757904B2 (en) 2021-01-15 2023-09-12 Bank Of America Corporation Artificial intelligence reverse vendor collation
US11683335B2 (en) * 2021-01-15 2023-06-20 Bank Of America Corporation Artificial intelligence vendor similarity collation
CN114765558B (zh) 2021-01-15 2024-04-09 台达电子工业股份有限公司 工业设备监控方法及工业设备监控系统
US12052134B2 (en) 2021-02-02 2024-07-30 Exfo Inc. Identification of clusters of elements causing network performance degradation or outage
US11841977B2 (en) 2021-02-11 2023-12-12 International Business Machines Corporation Training anonymized machine learning models via generalized data generated using received trained machine learning models
US11734453B2 (en) * 2021-02-22 2023-08-22 International Business Machines Corporation Privacy-preserving motion analysis
US11960599B2 (en) * 2021-02-26 2024-04-16 International Business Machines Corporation Classifying users of a database
CN113159010B (zh) * 2021-03-05 2022-07-22 北京百度网讯科技有限公司 视频分类方法、装置、设备和存储介质
US11663329B2 (en) 2021-03-09 2023-05-30 International Business Machines Corporation Similarity analysis for automated disposition of security alerts
WO2022189849A1 (en) * 2021-03-10 2022-09-15 Financial & Risk Organisation Limited Large scale surveillance of data networks to detect alert conditions
US11526617B2 (en) 2021-03-24 2022-12-13 Bank Of America Corporation Information security system for identifying security threats in deployed software package
IL281754B (en) * 2021-03-24 2022-06-01 The Israel Electric Corp Ltd System and method for simulation and emulation of critical infrastructures
US12047391B2 (en) * 2021-03-31 2024-07-23 Paypal, Inc. Optimally compressed feature representation deployment for automated refresh in event driven learning paradigms
US20220377105A1 (en) * 2021-05-18 2022-11-24 At&T Intellectual Property I, L.P. Intelligent orchestration to combat denial of service attacks
US11588835B2 (en) 2021-05-18 2023-02-21 Bank Of America Corporation Dynamic network security monitoring system
US11792213B2 (en) 2021-05-18 2023-10-17 Bank Of America Corporation Temporal-based anomaly detection for network security
US11799879B2 (en) 2021-05-18 2023-10-24 Bank Of America Corporation Real-time anomaly detection for network security
CN113259369B (zh) * 2021-06-02 2021-09-07 华中科技大学 一种基于机器学习成员推断攻击的数据集认证方法及系统
US11831661B2 (en) 2021-06-03 2023-11-28 Abnormal Security Corporation Multi-tiered approach to payload detection for incoming communications
US11934532B2 (en) * 2021-06-09 2024-03-19 Bank Of America Corporation System for quantification of cybersecurity module efficacy using Q-matrix based correlation analysis
US20240267286A1 (en) * 2021-06-14 2024-08-08 Hewlett-Packard Development Company, L.P. Producing data elements
US11349861B1 (en) * 2021-06-18 2022-05-31 Extrahop Networks, Inc. Identifying network entities based on beaconing activity
US11831688B2 (en) * 2021-06-18 2023-11-28 Capital One Services, Llc Systems and methods for network security
US11508234B1 (en) * 2021-06-29 2022-11-22 Honeywell International Inc. Reducing false alarms in security system
US20230008868A1 (en) * 2021-07-08 2023-01-12 Nippon Telegraph And Telephone Corporation User authentication device, user authentication method, and user authentication computer program
US11997120B2 (en) * 2021-07-09 2024-05-28 VMware LLC Detecting threats to datacenter based on analysis of anomalous events
US20230376586A1 (en) * 2022-05-23 2023-11-23 Wiz, Inc. Techniques for improved virtual instance inspection utilizing disk cloning
CN113612752B (zh) * 2021-07-28 2024-06-11 深圳供电局有限公司 一种智能电网中针对高级可持续性威胁的检测方法
CN113572781A (zh) * 2021-07-28 2021-10-29 中国南方电网有限责任公司 网络安全威胁信息归集方法
US11882152B2 (en) * 2021-07-30 2024-01-23 Bank Of America Corporation Information security system and method for phishing website identification based on image hashing
US20230044156A1 (en) * 2021-08-05 2023-02-09 Sattrix USA LLC Artificial intelligence-based system and method for facilitating management of threats for an organizaton
US11880464B2 (en) 2021-08-18 2024-01-23 General Electric Company Vulnerability-driven cyberattack protection system and method for industrial assets
US11989421B2 (en) 2021-08-19 2024-05-21 Micron Technology, Inc. Adjustable data protection scheme using artificial intelligence
US11698858B2 (en) 2021-08-19 2023-07-11 Micron Technology, Inc. Prediction based garbage collection
WO2023031804A1 (en) * 2021-08-30 2023-03-09 Cyamast Pty Ltd. Combining device behavioral models and building schema for cyber-security of large-scale iot infrastructure
CN113486050A (zh) * 2021-09-08 2021-10-08 北京轻松筹信息技术有限公司 报表生成的方法、装置、电子设备和可读存储介质
US12052274B2 (en) 2021-09-23 2024-07-30 Armis Security Ltd. Techniques for enriching device profiles and mitigating cybersecurity threats using enriched device profiles
US12086160B2 (en) * 2021-09-23 2024-09-10 Oracle International Corporation Analyzing performance of resource systems that process requests for particular datasets
US11934556B2 (en) * 2021-09-29 2024-03-19 Paypal, Inc. Identifying sensitive content in electronic files
US12088633B2 (en) * 2021-09-30 2024-09-10 Hewlett Packard Enterprise Development Lp Dynamic intrusion detection and prevention in computer networks
US12073186B1 (en) * 2021-09-30 2024-08-27 Jumio Corporation Machine learning report generation
CN113596065B (zh) * 2021-10-08 2021-12-07 成都数默科技有限公司 一种基于机器学习的ssh协议登录状态检测方法
US12039480B2 (en) * 2021-10-15 2024-07-16 Secure Systems Innovation Corporation System, method, and apparatus for measuring, modeling, reducing, and addressing cyber risk
CN113992371B (zh) * 2021-10-18 2023-08-18 安天科技集团股份有限公司 一种流量日志的威胁标签生成方法、装置及电子设备
CN114095208B (zh) * 2021-10-26 2023-12-29 深信服科技股份有限公司 一种安全检测方法、装置、电子设备及介质
WO2023076919A1 (en) * 2021-10-27 2023-05-04 Proofpoint, Inc. Detecting insider user behavior threats by comparing a current (latest) user activity to user activities of others
US20230142107A1 (en) * 2021-11-05 2023-05-11 Dragos, Inc. Data pipeline management in operational technology hardware and networks
US11941115B2 (en) 2021-11-29 2024-03-26 Bank Of America Corporation Automatic vulnerability detection based on clustering of applications with similar structures and data flows
US11928221B2 (en) 2021-11-29 2024-03-12 Bank Of America Corporation Source code clustering for automatically identifying false positives generated through static application security testing
US12010152B2 (en) 2021-12-08 2024-06-11 Bank Of America Corporation Information security systems and methods for cyber threat event prediction and mitigation
US11949696B2 (en) 2021-12-17 2024-04-02 Bank Of America Corporation Data security system with dynamic intervention response
US11936785B1 (en) 2021-12-27 2024-03-19 Wiz, Inc. System and method for encrypted disk inspection utilizing disk cloning techniques
US12081656B1 (en) 2021-12-27 2024-09-03 Wiz, Inc. Techniques for circumventing provider-imposed limitations in snapshot inspection of disks for cybersecurity
CN114329498B (zh) * 2022-01-05 2024-08-13 工银科技有限公司 一种数据中心运维安全管控方法及装置
US20230224275A1 (en) * 2022-01-12 2023-07-13 Bank Of America Corporation Preemptive threat detection for an information system
US11514162B1 (en) 2022-01-13 2022-11-29 Uab 360 It System and method for differential malware scanner
WO2023137371A1 (en) * 2022-01-14 2023-07-20 OREV Secured Networks LLC Intelligent distributed cybersecurity agent
US20230231859A1 (en) * 2022-01-18 2023-07-20 Microsoft Technology Licensing, Llc Output of baseline behaviors corresponding to features of anomalous events
US11848763B2 (en) * 2022-01-20 2023-12-19 Whitestar Communications, Inc. Secure ad-hoc deployment of IoT devices in a secure peer-to-peer data network
US11811755B2 (en) 2022-01-20 2023-11-07 Whitestar Communications, Inc. Dynamic secure keyboard resource obtaining interface definitions for secure ad-hoc control of a target device in a secure peer-to-peer data network
US20230247042A1 (en) * 2022-01-31 2023-08-03 Wiz, Inc. Techniques for forensic tracing of suspicious activity from cloud computing logs
US11841945B1 (en) 2022-01-31 2023-12-12 Wiz, Inc. System and method for cybersecurity threat detection utilizing static and runtime data
WO2023144805A1 (en) * 2022-01-31 2023-08-03 Wiz, Inc. Techniques for cloud detection and response from cloud logs utilizing a security graph
US20230283629A1 (en) * 2022-03-07 2023-09-07 Darktrace Holdings Limited Automated vulnerability and threat landscape analysis
CN114611127B (zh) * 2022-03-15 2022-10-28 湖南致坤科技有限公司 一种数据库数据安全管理系统
US12013927B2 (en) 2022-03-23 2024-06-18 Bank Of America Corporation System and method for generating and monitoring dynamic identifiers for data processing security
US20230308468A1 (en) * 2022-03-24 2023-09-28 Microsoft Technology Licensing, Llc Multi-dimensional risk assesment, reporting, and mitigation for computational & communication systems
EP4254228A1 (en) * 2022-03-28 2023-10-04 Thales Dis France SAS A training method for training an assembling model to detect a condition
US20230319098A1 (en) * 2022-03-31 2023-10-05 Sophos Limited Methods and apparatus for visualization of machine learning malware detection models
EP4309099A1 (en) * 2022-04-07 2024-01-24 Fidelity Information Services, LLC Systems and methods for identifying and resolving incidents in a system using an artificial intelligence model
US20230342267A1 (en) * 2022-04-26 2023-10-26 Pure Storage, Inc. Cluster-wide Snapshotting of a Container System Cluster
US20230350900A1 (en) * 2022-04-29 2023-11-02 Microsoft Technology Licensing, Llc Observation stream engine in a security management system
CN114978617B (zh) * 2022-05-06 2023-08-08 国网湖北省电力有限公司信息通信公司 一种基于马尔柯夫过程学习模型的网络攻击威胁统计判断方法
US12088604B2 (en) 2022-05-10 2024-09-10 Bank Of America Corporation Security system for dynamic detection of attempted security breaches using artificial intelligence, machine learning, and a mixed reality graphical interface
US12079328B1 (en) 2022-05-23 2024-09-03 Wiz, Inc. Techniques for inspecting running virtualizations for cybersecurity risks
US12061719B2 (en) 2022-09-28 2024-08-13 Wiz, Inc. System and method for agentless detection of sensitive data in computing environments
US20240168792A1 (en) * 2022-05-23 2024-05-23 Wiz, Inc. Detecting security exceptions across multiple compute environments
US20240146745A1 (en) * 2022-05-23 2024-05-02 Wiz, Inc. Technology discovery techniques in cloud computing environments utilizing disk cloning
US20240184980A1 (en) * 2022-05-23 2024-06-06 Rakuten Mobile, Inc. Correlation and policy engine policy creation system and method of operation
US12061925B1 (en) 2022-05-26 2024-08-13 Wiz, Inc. Techniques for inspecting managed workloads deployed in a cloud computing environment
US20240291740A1 (en) * 2022-05-30 2024-08-29 Rakuten Mobile, Inc. Cause inference regarding network trouble
WO2023233470A1 (ja) * 2022-05-30 2023-12-07 楽天モバイル株式会社 ネットワークの異常の原因推定
US20230388292A1 (en) * 2022-05-31 2023-11-30 Acronis International Gmbh User in Group Behavior Signature Monitor
US20240028494A1 (en) * 2022-07-20 2024-01-25 Zscaler, Inc. Dynamic Applicative Session Grouping
US11544460B1 (en) * 2022-07-26 2023-01-03 Intuit Inc. Adversarial anonymization and preservation of content
CN115333796B (zh) * 2022-07-26 2024-08-06 国网湖北省电力有限公司信息通信公司 基于智能感知物联网终端安全状态信息的监测方法及系统
CN115277178B (zh) * 2022-07-26 2024-08-23 上海卫道信息技术有限公司 基于企业网网络流量的异常监测方法、装置及存储介质
WO2024031062A1 (en) * 2022-08-05 2024-02-08 Sontiq, Inc. Enterprise risk management and protection
WO2024035746A1 (en) * 2022-08-08 2024-02-15 Darktrace Holdings Limited A cyber security restoration engine
US11916873B1 (en) 2022-08-15 2024-02-27 Virtual Connect Technologies, Inc. Computerized system for inserting management information into electronic communication systems
US20240064163A1 (en) * 2022-08-17 2024-02-22 Booz Allen Hamilton Inc. System and method for risk-based observability of a computing platform
WO2024059676A1 (en) 2022-09-14 2024-03-21 Sotero, Inc. Autonomous machine learning methods for detecting and thwarting ransomware attacks
US20240098106A1 (en) * 2022-09-16 2024-03-21 Nvidia Corporation Generating models for detection of anomalous patterns
US20240121258A1 (en) * 2022-10-05 2024-04-11 Denso Corporation System and method for dynamically updating firewall rules for a vehicle network of a vehicle
US11843619B1 (en) * 2022-10-07 2023-12-12 Uab 360 It Stateless system to enable data breach notification
US20240232367A9 (en) * 2022-10-20 2024-07-11 Cyber Connective Corporation Monitoring and remediation of cybersecurity risk based on calculation of cyber-risk domain scores
FR3142033A1 (fr) * 2022-11-14 2024-05-17 Orange Procédé de modification d’un paramètre d’un premier dispositif, et dispositif électronique associé
EP4376356A1 (en) * 2022-11-24 2024-05-29 Abb Schweiz Ag Anonymous data exchange
CN116208400A (zh) * 2023-02-07 2023-06-02 中国联合网络通信集团有限公司 网络威胁检测方法、装置及存储介质
US20240305651A1 (en) * 2023-02-23 2024-09-12 Reliaquest Holdings, Llc Threat mitigation system and method
CN117421761B (zh) * 2023-07-10 2024-05-31 深圳钰丰信息技术有限公司 一种数据库数据信息安全监视方法
US12095806B1 (en) 2023-12-21 2024-09-17 Wiz, Inc. Cybersecurity vulnerability validation techniques utilizing runtime data, static analysis and dynamic inspection
CN117932639B (zh) * 2024-01-23 2024-08-13 江苏网擎信息技术有限公司 一种基于大数据管理的数据泄漏防护系统
US11995180B1 (en) * 2024-01-31 2024-05-28 HiddenLayer, Inc. Generative artificial intelligence model protection using output blocklist
CN117879970B (zh) * 2024-02-23 2024-07-05 南京妙怀晶科技有限公司 一种网络安全防护方法及系统
CN118018409B (zh) * 2024-04-08 2024-06-11 天云融创数据科技(北京)有限公司 一种基于人工智能的跨平台数据交互共享方法及系统

Family Cites Families (327)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6154844A (en) 1996-11-08 2000-11-28 Finjan Software, Ltd. System and method for attaching a downloadable security profile to a downloadable
US7418731B2 (en) 1997-11-06 2008-08-26 Finjan Software, Ltd. Method and system for caching at secure gateways
US6671811B1 (en) 1999-10-25 2003-12-30 Visa Internation Service Association Features generation for use in computer network intrusion detection
US7630986B1 (en) 1999-10-27 2009-12-08 Pinpoint, Incorporated Secure data interchange
US7159237B2 (en) * 2000-03-16 2007-01-02 Counterpane Internet Security, Inc. Method and system for dynamic network intrusion monitoring, detection and response
US7307999B1 (en) 2001-02-16 2007-12-11 Bbn Technologies Corp. Systems and methods that identify normal traffic during network attacks
US20020138636A1 (en) * 2001-03-23 2002-09-26 Mark Buttner Method for automatically mass generating personalized data report outputs
US20020174217A1 (en) 2001-05-18 2002-11-21 Gateway, Inc. System and method for predicting network performance
US20020186698A1 (en) 2001-06-12 2002-12-12 Glen Ceniza System to map remote lan hosts to local IP addresses
US7657935B2 (en) * 2001-08-16 2010-02-02 The Trustees Of Columbia University In The City Of New York System and methods for detecting malicious email transmission
US6907430B2 (en) 2001-10-04 2005-06-14 Booz-Allen Hamilton, Inc. Method and system for assessing attacks on computer networks using Bayesian networks
US20030084349A1 (en) * 2001-10-12 2003-05-01 Oliver Friedrichs Early warning system for network attacks
US7448084B1 (en) 2002-01-25 2008-11-04 The Trustees Of Columbia University In The City Of New York System and methods for detecting intrusions in a computer system by monitoring operating system registry accesses
US8046835B2 (en) 2002-10-23 2011-10-25 Frederick S. M. Herz Distributed computer network security activity model SDI-SCAM
WO2004057503A2 (en) 2002-12-20 2004-07-08 Accenture Global Services Gmbh Quantification of operational risks
JP2004309998A (ja) 2003-02-18 2004-11-04 Nec Corp 確率分布推定装置および異常行動検出装置,ならびにその確率分布推定方法および異常行動検出方法
US6965968B1 (en) 2003-02-27 2005-11-15 Finjan Software Ltd. Policy-based caching
US7246156B2 (en) * 2003-06-09 2007-07-17 Industrial Defender, Inc. Method and computer program product for monitoring an industrial network
GB0410180D0 (en) * 2004-05-07 2004-06-09 Hewlett Packard Development Co An adaptive privacy management system for data repositories
US7490356B2 (en) * 2004-07-20 2009-02-10 Reflectent Software, Inc. End user risk management
GB2416879B (en) * 2004-08-07 2007-04-04 Surfcontrol Plc Device resource access filtering system and method
US9160755B2 (en) * 2004-12-21 2015-10-13 Mcafee, Inc. Trusted communication network
US20060190419A1 (en) * 2005-02-22 2006-08-24 Bunn Frank E Video surveillance data analysis algorithms, with local and network-shared communications for facial, physical condition, and intoxication recognition, fuzzy logic intelligent camera system
US20080229415A1 (en) * 2005-07-01 2008-09-18 Harsh Kapoor Systems and methods for processing data flows
JP4721829B2 (ja) * 2005-08-31 2011-07-13 トヨタ自動車株式会社 画像検索方法及び装置
US8438643B2 (en) * 2005-09-22 2013-05-07 Alcatel Lucent Information system service-level security risk analysis
US8903920B1 (en) * 2005-10-24 2014-12-02 At&T Intellectual Property I, L.P. Detection and prevention of e-mail malware attacks
US20070169021A1 (en) * 2005-11-01 2007-07-19 Siemens Medical Solutions Health Services Corporation Report Generation System
US7930752B2 (en) 2005-11-18 2011-04-19 Nexthink S.A. Method for the detection and visualization of anomalous behaviors in a computer network
US8266697B2 (en) * 2006-03-04 2012-09-11 21St Century Technologies, Inc. Enabling network intrusion detection by representing network activity in graphical form utilizing distributed data sensors to detect and transmit activity data
US7530105B2 (en) * 2006-03-21 2009-05-05 21St Century Technologies, Inc. Tactical and strategic attack detection and prediction
US7739211B2 (en) 2006-11-08 2010-06-15 21St Century Technologies, Inc. Dynamic SNA-based anomaly detection using unsupervised learning
US7890612B2 (en) * 2006-05-08 2011-02-15 Electro Guard Corp. Method and apparatus for regulating data flow between a communications device and a network
EP2035583A2 (en) 2006-05-30 2009-03-18 Duke University Prediction of lung cancer tumor recurrence
US7739082B2 (en) 2006-06-08 2010-06-15 Battelle Memorial Institute System and method for anomaly detection
US8132260B1 (en) * 2006-06-12 2012-03-06 Redseal Systems, Inc. Methods and apparatus for prioritization of remediation techniques for network security risks
US20080005137A1 (en) 2006-06-29 2008-01-03 Microsoft Corporation Incrementally building aspect models
US8098934B2 (en) * 2006-06-29 2012-01-17 Google Inc. Using extracted image text
US8031940B2 (en) * 2006-06-29 2011-10-04 Google Inc. Recognizing text in images using ranging data
US8220047B1 (en) * 2006-08-09 2012-07-10 Google Inc. Anti-phishing system and method
US7467067B2 (en) 2006-09-27 2008-12-16 Integrien Corporation Self-learning integrity management system and related methods
US8799448B2 (en) * 2006-12-20 2014-08-05 Microsoft Corporation Generating rule packs for monitoring computer systems
US8356076B1 (en) * 2007-01-30 2013-01-15 Proofpoint, Inc. Apparatus and method for performing spam detection and filtering using an image history table
US20100287246A1 (en) 2007-02-14 2010-11-11 Thomas Klos System for processing electronic mail messages with specially encoded addresses
JP2010531553A (ja) 2007-03-30 2010-09-24 ネットクオス・インコーポレーテッド ネットワーク異常検出のための統計的方法およびシステム
US8707431B2 (en) * 2007-04-24 2014-04-22 The Mitre Corporation Insider threat detection
US8028061B2 (en) 2007-10-18 2011-09-27 Trendium, Inc. Methods, systems, and computer program products extracting network behavioral metrics and tracking network behavioral changes
US8055078B2 (en) * 2008-02-28 2011-11-08 Yahoo! Inc. Filter for blocking image-based spam
WO2009120083A1 (en) 2008-03-28 2009-10-01 Nederlandse Organisatie Voor Toegepast-Natuurwetenschappelijk Onderzoek Tno Automated filling of conditional probability data in a decision support apparatus that uses a bayesian belief network
EP2283446A4 (en) * 2008-04-21 2012-09-05 Sentrybay Ltd DETECTION OF FRAUDULOUS PAGES
US20090293121A1 (en) * 2008-05-21 2009-11-26 Bigus Joseph P Deviation detection of usage patterns of computer resources
US20100043066A1 (en) * 2008-05-21 2010-02-18 Miliefsky Gary S Multiple security layers for time-based network admission control
US8312540B1 (en) 2008-06-13 2012-11-13 Juniper Networks, Inc. System for slowing password attacks
CN101686235B (zh) 2008-09-26 2013-04-24 北京神州绿盟信息安全科技股份有限公司 网络异常流量分析设备和方法
US8069210B2 (en) 2008-10-10 2011-11-29 Microsoft Corporation Graph based bot-user detection
US8312542B2 (en) 2008-10-29 2012-11-13 Lockheed Martin Corporation Network intrusion detection using MDL compress for deep packet inspection
US8631081B2 (en) * 2008-11-12 2014-01-14 YeeJang James Lin System and method for information risk management
JP2010122774A (ja) 2008-11-18 2010-06-03 Toshiba Storage Device Corp 記憶装置、情報処理装置、情報処理システム
US20100192222A1 (en) * 2009-01-23 2010-07-29 Microsoft Corporation Malware detection using multiple classifiers
US20100205136A1 (en) * 2009-02-09 2010-08-12 Southwest Research Institute System and Method for Modeling and Predicting Security Threats
US20100235908A1 (en) 2009-03-13 2010-09-16 Silver Tail Systems System and Method for Detection of a Change in Behavior in the Use of a Website Through Vector Analysis
KR101242659B1 (ko) * 2009-03-19 2013-03-19 한국전자통신연구원 영상 검색 방법
US8356001B2 (en) 2009-05-19 2013-01-15 Xybersecure, Inc. Systems and methods for application-level security
JP2011090442A (ja) * 2009-10-21 2011-05-06 Kddi Corp 電子メール分類装置、電子メール分類方法及び電子メール分類プログラム
US20120137367A1 (en) 2009-11-06 2012-05-31 Cataphora, Inc. Continuous anomaly detection based on behavior modeling and heterogeneous information analysis
US9866426B2 (en) 2009-11-17 2018-01-09 Hawk Network Defense, Inc. Methods and apparatus for analyzing system events
US8924569B2 (en) * 2009-12-17 2014-12-30 Intel Corporation Cloud federation as a service
US8725666B2 (en) 2010-02-26 2014-05-13 Lawrence Livermore National Security, Llc. Information extraction system
JP2011180869A (ja) * 2010-03-02 2011-09-15 Hitachi Ltd 計算機の状態監視装置、計算機の監視システムおよび計算機の状態監視方法
MX342951B (es) * 2010-07-16 2016-10-18 Agios Pharmaceuticals Inc * Composiciones terapeuticamente activas y su metodo de uso.
US9032521B2 (en) 2010-10-13 2015-05-12 International Business Machines Corporation Adaptive cyber-security analytics
US9215244B2 (en) 2010-11-18 2015-12-15 The Boeing Company Context aware network security monitoring for threat detection
US8966036B1 (en) 2010-11-24 2015-02-24 Google Inc. Method and system for website user account management based on event transition matrixes
US9552470B2 (en) * 2010-11-29 2017-01-24 Biocatch Ltd. Method, device, and system of generating fraud-alerts for cyber-attacks
US10404729B2 (en) * 2010-11-29 2019-09-03 Biocatch Ltd. Device, method, and system of generating fraud-alerts for cyber-attacks
EP2659400A4 (en) 2010-12-30 2017-01-11 Nokia Technologies Oy Method, apparatus, and computer program product for image clustering
WO2012109533A1 (en) 2011-02-10 2012-08-16 Beyondtrust Software, Inc. System and method for detecting or preventing data leakage using behavior profiling
US8800045B2 (en) * 2011-02-11 2014-08-05 Achilles Guard, Inc. Security countermeasure management platform
US20120209575A1 (en) 2011-02-11 2012-08-16 Ford Global Technologies, Llc Method and System for Model Validation for Dynamic Systems Using Bayesian Principal Component Analysis
US20130247192A1 (en) * 2011-03-01 2013-09-19 Sven Krasser System and method for botnet detection by comprehensive email behavioral analysis
WO2012154657A2 (en) 2011-05-06 2012-11-15 The Penn State Research Foundation Robust anomaly detection and regularized domain adaptation of classifiers with application to internet packet-flows
US8688601B2 (en) * 2011-05-23 2014-04-01 Symantec Corporation Systems and methods for generating machine learning-based classifiers for detecting specific categories of sensitive information
US8528088B2 (en) 2011-05-26 2013-09-03 At&T Intellectual Property I, L.P. Modeling and outlier detection in threat management system data
US20120311562A1 (en) * 2011-06-01 2012-12-06 Yanlin Wang Extendable event processing
WO2013014672A1 (en) * 2011-07-26 2013-01-31 Light Cyber Ltd A method for detecting anomaly action within a computer network
US8452871B2 (en) * 2011-08-27 2013-05-28 At&T Intellectual Property I, L.P. Passive and comprehensive hierarchical anomaly detection system and method
US8776241B2 (en) * 2011-08-29 2014-07-08 Kaspersky Lab Zao Automatic analysis of security related incidents in computer networks
EP2754070A4 (en) * 2011-09-08 2015-05-27 Hewlett Packard Development Co VISUAL COMPONENT AND FRONT ZOOM MAPPING
US8930295B2 (en) 2011-09-12 2015-01-06 Stanley Victor CAMPBELL Systems and methods for monitoring and analyzing transactions
US9106691B1 (en) * 2011-09-16 2015-08-11 Consumerinfo.Com, Inc. Systems and methods of identity protection and management
US8712921B2 (en) * 2011-10-03 2014-04-29 International Business Machines Corporation Receiving security risk feedback from linked contacts due to a user's system actions and behaviors
US8793790B2 (en) 2011-10-11 2014-07-29 Honeywell International Inc. System and method for insider threat detection
US20150052606A1 (en) 2011-10-14 2015-02-19 Telefonica, S.A. Method and a system to detect malicious software
US9106687B1 (en) 2011-11-01 2015-08-11 Symantec Corporation Mechanism for profiling user and group accesses to content repository
US10616272B2 (en) * 2011-11-09 2020-04-07 Proofpoint, Inc. Dynamically detecting abnormalities in otherwise legitimate emails containing uniform resource locators (URLs)
US8973147B2 (en) * 2011-12-29 2015-03-03 Mcafee, Inc. Geo-mapping system security events
US9349103B2 (en) 2012-01-09 2016-05-24 DecisionQ Corporation Application of machine learned Bayesian networks to detection of anomalies in complex systems
US9043905B1 (en) 2012-01-23 2015-05-26 Hrl Laboratories, Llc System and method for insider threat detection
US9129108B2 (en) 2012-01-31 2015-09-08 International Business Machines Corporation Systems, methods and computer programs providing impact mitigation of cyber-security failures
US9117076B2 (en) 2012-03-14 2015-08-25 Wintermute, Llc System and method for detecting potential threats by monitoring user and system behavior associated with computer and network activity
US9178995B2 (en) * 2012-03-19 2015-11-03 Marc Alexander Costa Systems and methods for event and incident reporting and management
US9185095B1 (en) 2012-03-20 2015-11-10 United Services Automobile Association (Usaa) Behavioral profiling method and system to authenticate a user
US9418083B2 (en) * 2012-04-20 2016-08-16 Patterson Thuente Pedersen, P.A. System for computerized evaluation of patent-related information
US8661538B2 (en) 2012-05-09 2014-02-25 Nice-Systems Ltd. System and method for determining a risk root cause
US9503463B2 (en) * 2012-05-14 2016-11-22 Zimperium, Inc. Detection of threats to networks, based on geographic location
US20130332194A1 (en) * 2012-06-07 2013-12-12 Iquartic Methods and systems for adaptive ehr data integration, query, analysis, reporting, and crowdsourced ehr application development
US8819803B1 (en) 2012-06-29 2014-08-26 Emc Corporation Validating association of client devices with authenticated clients
US9049235B2 (en) * 2012-07-16 2015-06-02 Mcafee, Inc. Cloud email message scanning with local policy application in a network environment
JP5344654B2 (ja) * 2012-07-18 2013-11-20 キヤノンマーケティングジャパン株式会社 電子メール制御装置及びその制御方法及びプログラム
US9258321B2 (en) * 2012-08-23 2016-02-09 Raytheon Foreground Security, Inc. Automated internet threat detection and mitigation system and associated methods
US9146895B2 (en) * 2012-09-26 2015-09-29 International Business Machines Corporation Estimating the time until a reply email will be received using a recipient behavior model
US11126720B2 (en) * 2012-09-26 2021-09-21 Bluvector, Inc. System and method for automated machine-learning, zero-day malware detection
US8566938B1 (en) * 2012-11-05 2013-10-22 Astra Identity, Inc. System and method for electronic message analysis for phishing detection
WO2014088912A1 (en) 2012-12-06 2014-06-12 The Boeing Company Context aware network security monitoring for threat detection
US9679131B2 (en) 2013-01-25 2017-06-13 Cybereason Inc. Method and apparatus for computer intrusion detection
US9165250B2 (en) * 2013-01-30 2015-10-20 Bank Of America Corporation Dynamic incident response
US20140259095A1 (en) * 2013-03-06 2014-09-11 James Alvin Bryant Method of providing cyber security as a service
US20140259171A1 (en) * 2013-03-11 2014-09-11 Spikes, Inc. Tunable intrusion prevention with forensic analysis
US9413781B2 (en) * 2013-03-15 2016-08-09 Fireeye, Inc. System and method employing structured intelligence to verify and contain threats at endpoints
US9965937B2 (en) * 2013-03-15 2018-05-08 Palantir Technologies Inc. External malware data item clustering and analysis
US9773405B2 (en) * 2013-03-15 2017-09-26 Cybersponse, Inc. Real-time deployment of incident response roadmap
US9904893B2 (en) 2013-04-02 2018-02-27 Patternex, Inc. Method and system for training a big data machine to defend
US9736147B1 (en) * 2013-04-08 2017-08-15 Titanium Crypt, Inc. Artificial intelligence encryption model (AIEM) with device authorization and attack detection (DAAAD)
US9264442B2 (en) 2013-04-26 2016-02-16 Palo Alto Research Center Incorporated Detecting anomalies in work practice data by combining multiple domains of information
IL226747B (en) * 2013-06-04 2019-01-31 Verint Systems Ltd A system and method for studying malware detection
US9142102B2 (en) * 2013-07-02 2015-09-22 Icf International Method and apparatus for visualizing network security alerts
US9319425B2 (en) 2013-07-23 2016-04-19 Crypteia Networks S.A. Systems and methods for self-tuning network intrusion detection and prevention
CN104424235B (zh) 2013-08-26 2018-01-05 腾讯科技(深圳)有限公司 实现用户信息聚类的方法和装置
US9558347B2 (en) 2013-08-27 2017-01-31 Globalfoundries Inc. Detecting anomalous user behavior using generative models of user actions
US9401925B1 (en) 2013-09-12 2016-07-26 Symantec Corporation Systems and methods for detecting security threats based on user profiles
US8966074B1 (en) * 2013-09-13 2015-02-24 Network Kinetix, LLC System and method for real-time analysis of network traffic
JP5891213B2 (ja) 2013-09-18 2016-03-22 ヤフー株式会社 事後確率算出装置、事後確率算出方法、およびプログラム
EP3053074A4 (en) * 2013-09-30 2017-04-05 Hewlett-Packard Enterprise Development LP Hierarchical threat intelligence
WO2015051181A1 (en) * 2013-10-03 2015-04-09 Csg Cyber Solutions, Inc. Dynamic adaptive defense for cyber-security threats
US9578052B2 (en) * 2013-10-24 2017-02-21 Mcafee, Inc. Agent assisted malicious application blocking in a network environment
US9712548B2 (en) 2013-10-27 2017-07-18 Cyber-Ark Software Ltd. Privileged analytics system
US9516039B1 (en) 2013-11-12 2016-12-06 EMC IP Holding Company LLC Behavioral detection of suspicious host activities in an enterprise
US9753796B2 (en) 2013-12-06 2017-09-05 Lookout, Inc. Distributed monitoring, evaluation, and response for multiple devices
US9361463B2 (en) 2013-12-11 2016-06-07 Ut-Batelle, Llc Detection of anomalous events
US10063654B2 (en) * 2013-12-13 2018-08-28 Oracle International Corporation Systems and methods for contextual and cross application threat detection and prediction in cloud applications
US9692789B2 (en) * 2013-12-13 2017-06-27 Oracle International Corporation Techniques for cloud security monitoring and threat intelligence
US9386034B2 (en) 2013-12-17 2016-07-05 Hoplite Industries, Inc. Behavioral model based malware protection system and method
US9348742B1 (en) 2013-12-18 2016-05-24 Amazon Technologies, Inc. Detecting code alteration based on memory allocation
US9830450B2 (en) * 2013-12-23 2017-11-28 Interset Software, Inc. Method and system for analyzing risk
KR101501669B1 (ko) 2013-12-24 2015-03-12 한국인터넷진흥원 비정상 행위를 탐지하기 위한 행위 탐지 시스템
WO2015103338A1 (en) * 2013-12-31 2015-07-09 Lookout, Inc. Cloud-based network security
US20150039513A1 (en) 2014-02-14 2015-02-05 Brighterion, Inc. User device profiling in transaction authentications
CN103825888A (zh) * 2014-02-17 2014-05-28 北京奇虎科技有限公司 网络威胁处理方法及设备
US9565208B2 (en) * 2014-03-11 2017-02-07 Vectra Networks, Inc. System and method for detecting network intrusions using layered host scoring
US20160078365A1 (en) 2014-03-21 2016-03-17 Philippe Baumard Autonomous detection of incongruous behaviors
US9749344B2 (en) * 2014-04-03 2017-08-29 Fireeye, Inc. System and method of cyber threat intensity determination and application to cyber threat mitigation
US9589245B2 (en) 2014-04-07 2017-03-07 International Business Machines Corporation Insider threat prediction
US9679125B2 (en) 2014-04-29 2017-06-13 PEGRight, Inc. Characterizing user behavior via intelligent identity analytics
US10419457B2 (en) 2014-04-30 2019-09-17 Hewlett Packard Enterprise Development Lp Selecting from computing nodes for correlating events
US9367694B2 (en) * 2014-05-16 2016-06-14 Raytheon Bbn Technologies Corp. Probabilistic cyber threat recognition and prediction
US9503467B2 (en) 2014-05-22 2016-11-22 Accenture Global Services Limited Network anomaly detection
US10496927B2 (en) * 2014-05-23 2019-12-03 DataRobot, Inc. Systems for time-series predictive data analytics, and related methods and apparatus
US11005814B2 (en) 2014-06-10 2021-05-11 Hewlett Packard Enterprise Development Lp Network security
US10447733B2 (en) * 2014-06-11 2019-10-15 Accenture Global Services Limited Deception network system
US9984334B2 (en) 2014-06-16 2018-05-29 Mitsubishi Electric Research Laboratories, Inc. Method for anomaly detection in time series data based on spectral partitioning
US10284573B1 (en) 2014-06-17 2019-05-07 Wells Fargo Bank, N.A. Friction management
US9727723B1 (en) 2014-06-18 2017-08-08 EMC IP Holding Co. LLC Recommendation system based approach in reducing false positives in anomaly detection
US9996444B2 (en) 2014-06-25 2018-06-12 Vmware, Inc. Automated methods and systems for calculating hard thresholds
US10452992B2 (en) * 2014-06-30 2019-10-22 Amazon Technologies, Inc. Interactive interfaces for machine learning model evaluations
US9565204B2 (en) * 2014-07-18 2017-02-07 Empow Cyber Security Ltd. Cyber-security system and methods thereof
US9118714B1 (en) * 2014-07-23 2015-08-25 Lookingglass Cyber Solutions, Inc. Apparatuses, methods and systems for a cyber threat visualization and editing user interface
GB2529150B (en) 2014-08-04 2022-03-30 Darktrace Ltd Cyber security
US20160062950A1 (en) 2014-09-03 2016-03-03 Google Inc. Systems and methods for anomaly detection and guided analysis using structural time-series models
US10049222B1 (en) * 2014-09-23 2018-08-14 Amazon Technologies, Inc. Establishing application trust levels using taint propagation
US9773112B1 (en) 2014-09-29 2017-09-26 Fireeye, Inc. Exploit detection of malware and malware families
US10505825B1 (en) * 2014-10-09 2019-12-10 Splunk Inc. Automatic creation of related event groups for IT service monitoring
US10592093B2 (en) * 2014-10-09 2020-03-17 Splunk Inc. Anomaly detection
US9754106B2 (en) * 2014-10-14 2017-09-05 Symantec Corporation Systems and methods for classifying security events as targeted attacks
US9473504B2 (en) * 2014-10-15 2016-10-18 Ayla Networks, Inc. Role based access control for connected consumer devices
IL235423A0 (en) 2014-10-30 2015-01-29 Ironscales Ltd Method and system for mitigating targeted phishing attacks
US9661010B2 (en) 2014-11-21 2017-05-23 Honeywell International Inc. Security log mining devices, methods, and systems
US9866578B2 (en) 2014-12-03 2018-01-09 AlphaSix Corp. System and method for network intrusion detection anomaly risk scoring
US9210185B1 (en) * 2014-12-05 2015-12-08 Lookingglass Cyber Solutions, Inc. Cyber threat monitor and control apparatuses, methods and systems
US20200067861A1 (en) * 2014-12-09 2020-02-27 ZapFraud, Inc. Scam evaluation system
US9584536B2 (en) * 2014-12-12 2017-02-28 Fortinet, Inc. Presentation of threat history associated with network activity
US9571512B2 (en) 2014-12-15 2017-02-14 Sophos Limited Threat detection using endpoint variance
US10050868B2 (en) * 2015-01-16 2018-08-14 Sri International Multimodal help agent for network administrator
US9917860B2 (en) * 2015-01-16 2018-03-13 Sri International Visually intuitive interactive network cyber defense
US9800605B2 (en) * 2015-01-30 2017-10-24 Securonix, Inc. Risk scoring for threat assessment
US10021125B2 (en) * 2015-02-06 2018-07-10 Honeywell International Inc. Infrastructure monitoring tool for collecting industrial process control and automation system risk data
US20160241576A1 (en) 2015-02-13 2016-08-18 Canon Kabushiki Kaisha Detection of anomalous network activity
WO2016138067A1 (en) * 2015-02-24 2016-09-01 Cloudlock, Inc. System and method for securing an enterprise computing environment
US20160182544A1 (en) * 2015-02-28 2016-06-23 Brighterion, Inc. Method of protecting a network computer system from the malicious acts of hackers and its own system administrators
US10412106B2 (en) * 2015-03-02 2019-09-10 Verizon Patent And Licensing Inc. Network threat detection and management system based on user behavior information
EP3065076A1 (en) * 2015-03-04 2016-09-07 Secure-Nok AS System and method for responding to a cyber-attack-related incident against an industrial control system
US9762585B2 (en) * 2015-03-19 2017-09-12 Microsoft Technology Licensing, Llc Tenant lockbox
WO2016154785A1 (zh) * 2015-03-27 2016-10-06 华为技术有限公司 一种云平台、运行应用的方法及接入网单元
US9749310B2 (en) * 2015-03-27 2017-08-29 Intel Corporation Technologies for authentication and single-sign-on using device security assertions
US9367877B1 (en) * 2015-04-01 2016-06-14 Hartford Fire Insurance Company System for electronic administration of employee skill certification badge program
US9906539B2 (en) * 2015-04-10 2018-02-27 PhishMe, Inc. Suspicious message processing and incident response
US10476753B2 (en) * 2015-04-16 2019-11-12 Nec Corporation Behavior-based host modeling
US10225268B2 (en) * 2015-04-20 2019-03-05 Capital One Services, Llc Systems and methods for automated retrieval, processing, and distribution of cyber-threat information
US9836598B2 (en) * 2015-04-20 2017-12-05 Splunk Inc. User activity monitoring
US20160308898A1 (en) * 2015-04-20 2016-10-20 Phirelight Security Solutions Inc. Systems and methods for tracking, analyzing and mitigating security threats in networks via a network traffic analysis platform
US20160314447A1 (en) * 2015-04-24 2016-10-27 Kony, Inc. Control of enterprise licensing across mobile devices
US10681060B2 (en) 2015-05-05 2020-06-09 Balabit S.A. Computer-implemented method for determining computer system security threats, security operations center system and computer program product
US9596265B2 (en) * 2015-05-13 2017-03-14 Google Inc. Identifying phishing communications using templates
US20160359695A1 (en) * 2015-06-04 2016-12-08 Cisco Technology, Inc. Network behavior data collection and analytics for anomaly detection
AU2016204068B2 (en) * 2015-06-17 2017-02-16 Accenture Global Services Limited Data acceleration
US10536484B2 (en) * 2015-06-22 2020-01-14 Fireeye, Inc. Methods and apparatus for graphical user interface environment for creating threat response courses of action for computer networks
US20160381049A1 (en) 2015-06-26 2016-12-29 Ss8 Networks, Inc. Identifying network intrusions and analytical insight into the same
US9825986B1 (en) * 2015-06-29 2017-11-21 Symantec Corporation Systems and methods for generating contextually meaningful animated visualizations of computer security events
US9729571B1 (en) * 2015-07-31 2017-08-08 Amdocs Software Systems Limited System, method, and computer program for detecting and measuring changes in network behavior of communication networks utilizing real-time clustering algorithms
US9516052B1 (en) * 2015-08-01 2016-12-06 Splunk Inc. Timeline displays of network security investigation events
US9756067B2 (en) * 2015-08-10 2017-09-05 Accenture Global Services Limited Network security
US10193919B2 (en) * 2015-08-24 2019-01-29 Empow Cyber Security, Ltd Risk-chain generation of cyber-threats
US9699205B2 (en) * 2015-08-31 2017-07-04 Splunk Inc. Network security system
IN2015CH04673A (ja) * 2015-09-03 2015-09-11 Wipro Ltd
US10902114B1 (en) * 2015-09-09 2021-01-26 ThreatQuotient, Inc. Automated cybersecurity threat detection with aggregation and analysis
US10148679B2 (en) * 2015-12-09 2018-12-04 Accenture Global Solutions Limited Connected security system
US9641544B1 (en) 2015-09-18 2017-05-02 Palo Alto Networks, Inc. Automated insider threat prevention
US10630706B2 (en) * 2015-10-21 2020-04-21 Vmware, Inc. Modeling behavior in a network
US11089045B2 (en) * 2015-10-28 2021-08-10 Qomplx, Inc. User and entity behavioral analysis with network topology enhancements
US10320827B2 (en) * 2015-10-28 2019-06-11 Fractal Industries, Inc. Automated cyber physical threat campaign analysis and attribution
US10594714B2 (en) * 2015-10-28 2020-03-17 Qomplx, Inc. User and entity behavioral analysis using an advanced cyber decision platform
US11184401B2 (en) * 2015-10-28 2021-11-23 Qomplx, Inc. AI-driven defensive cybersecurity strategy analysis and recommendation system
US10326772B2 (en) * 2015-11-20 2019-06-18 Symantec Corporation Systems and methods for anonymizing log entries
WO2017100364A1 (en) * 2015-12-07 2017-06-15 Prismo Systems Inc. Systems and methods for detecting and responding to security threats using application execution and connection lineage tracing
AU2016367922B2 (en) * 2015-12-11 2019-08-08 Servicenow, Inc. Computer network threat assessment
WO2017106998A1 (en) * 2015-12-21 2017-06-29 Sensetime Group Limited A method and a system for image processing
US10050998B1 (en) * 2015-12-30 2018-08-14 Fireeye, Inc. Malicious message analysis system
US9717101B1 (en) * 2016-01-22 2017-07-25 Andrew D. Burnham Emergency response system and method for elderly individuals using mobile device
US10394802B1 (en) * 2016-01-31 2019-08-27 Splunk, Inc. Interactive location queries for raw machine data
GB2547202B (en) 2016-02-09 2022-04-20 Darktrace Ltd An anomaly alert system for cyber threat detection
GB2547201B (en) 2016-02-09 2022-08-31 Darktrace Holdings Ltd Cyber security
AU2017200941B2 (en) * 2016-02-10 2018-03-15 Accenture Global Solutions Limited Telemetry Analysis System for Physical Process Anomaly Detection
US10552615B2 (en) * 2016-02-18 2020-02-04 Swimlane Llc Threat response systems and methods
GB201603304D0 (en) 2016-02-25 2016-04-13 Darktrace Ltd Cyber security
US9467401B1 (en) * 2016-02-25 2016-10-11 International Business Machines Corporation Enabling conext aware ehancement for automatic electronic mail reply to mitigate risk
US10536478B2 (en) * 2016-02-26 2020-01-14 Oracle International Corporation Techniques for discovering and managing security of applications
US11689544B2 (en) * 2016-03-15 2023-06-27 Sri International Intrusion detection via semantic fuzzing and message provenance
US20170270422A1 (en) 2016-03-16 2017-09-21 Canon Kabushiki Kaisha Information processing apparatus, information processing method, and program
US10313382B2 (en) * 2016-03-29 2019-06-04 The Mitre Corporation System and method for visualizing and analyzing cyber-attacks using a graph model
CN109154965B (zh) * 2016-04-11 2021-08-10 策安保安有限公司 用于使用3d抽象建模的离散时间参考中的威胁事件证实的系统和方法
US20210157312A1 (en) * 2016-05-09 2021-05-27 Strong Force Iot Portfolio 2016, Llc Intelligent vibration digital twin systems and methods for industrial environments
US20170329972A1 (en) * 2016-05-10 2017-11-16 Quest Software Inc. Determining a threat severity associated with an event
US10686792B1 (en) * 2016-05-13 2020-06-16 Nuvolex, Inc. Apparatus and method for administering user identities across on premise and third-party computation resources
CA2968710A1 (en) * 2016-05-31 2017-11-30 Valarie Ann Findlay Security threat information gathering and incident reporting systems and methods
US10498605B2 (en) * 2016-06-02 2019-12-03 Zscaler, Inc. Cloud based systems and methods for determining and visualizing security risks of companies, users, and groups
US10270788B2 (en) * 2016-06-06 2019-04-23 Netskope, Inc. Machine learning based anomaly detection
US20170353475A1 (en) * 2016-06-06 2017-12-07 Glasswall (Ip) Limited Threat intelligence cloud
US11038925B2 (en) * 2016-06-10 2021-06-15 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US10032361B2 (en) * 2016-06-23 2018-07-24 Intel Corporation Threat monitoring for crowd environments with swarm analytics
US20170374076A1 (en) * 2016-06-28 2017-12-28 Viewpost Ip Holdings, Llc Systems and methods for detecting fraudulent system activity
US10135705B2 (en) * 2016-06-30 2018-11-20 Rockwell Automation Technologies, Inc. Industrial internet of things data pipeline for a data lake
US10171497B2 (en) * 2016-07-11 2019-01-01 Bitdefender IPR Management Ltd. Systems and methods for detecting online fraud
US10324609B2 (en) * 2016-07-21 2019-06-18 Palantir Technologies Inc. System for providing dynamic linked panels in user interface
US20180034837A1 (en) * 2016-07-27 2018-02-01 Ss8 Networks, Inc. Identifying compromised computing devices in a network
US10542015B2 (en) * 2016-08-15 2020-01-21 International Business Machines Corporation Cognitive offense analysis using contextual data and knowledge graphs
US20180077190A1 (en) * 2016-09-09 2018-03-15 WHOA Networks, Inc. Cloud-based threat observation system and methods of use
US10567415B2 (en) * 2016-09-15 2020-02-18 Arbor Networks, Inc. Visualization of network threat monitoring
US10496831B2 (en) * 2016-09-20 2019-12-03 Intel Corporation Dynamic electronic display privacy filter
US20180082190A1 (en) * 2016-09-21 2018-03-22 Scianta Analytics, LLC System for dispatching cognitive computing across multiple workers
US10673880B1 (en) * 2016-09-26 2020-06-02 Splunk Inc. Anomaly detection to identify security threats
US10425442B2 (en) * 2016-09-26 2019-09-24 Splunk Inc. Correlating forensic data collected from endpoint devices with other non-forensic data
US11049039B2 (en) * 2016-09-30 2021-06-29 Mcafee, Llc Static and dynamic device profile reputation using cloud-based machine learning
US10445523B2 (en) * 2016-10-14 2019-10-15 Google Llc Information privacy in virtual reality
US10530749B1 (en) * 2016-10-24 2020-01-07 Mission Secure, Inc. Security system, device, and method for operational technology networks
US10977316B2 (en) * 2016-10-31 2021-04-13 Splunk Inc. Pushing data visualizations to registered displays
US10366219B2 (en) * 2016-11-16 2019-07-30 Bank Of America Corporation Preventing unauthorized access to secured information using identification techniques
US10298605B2 (en) * 2016-11-16 2019-05-21 Red Hat, Inc. Multi-tenant cloud security threat detection
US11722513B2 (en) * 2016-11-30 2023-08-08 Agari Data, Inc. Using a measure of influence of sender in determining a security risk associated with an electronic message
US10348758B1 (en) * 2016-12-02 2019-07-09 Symantec Corporation Systems and methods for providing interfaces for visualizing threats within networked control systems
US10397257B2 (en) * 2016-12-07 2019-08-27 General Electric Company Multi-mode boundary selection for threat detection in industrial asset control system
US10204226B2 (en) * 2016-12-07 2019-02-12 General Electric Company Feature and boundary tuning for threat detection in industrial asset control system
US10699181B2 (en) * 2016-12-30 2020-06-30 Google Llc Virtual assistant generation of group recommendations
US10699012B2 (en) * 2017-01-11 2020-06-30 Cylance Inc. Endpoint detection and response utilizing machine learning
US20180234302A1 (en) * 2017-02-10 2018-08-16 Qualcomm Incorporated Systems and methods for network monitoring
US10505953B2 (en) * 2017-02-15 2019-12-10 Empow Cyber Security Ltd. Proactive prediction and mitigation of cyber-threats
US11277420B2 (en) * 2017-02-24 2022-03-15 Ciena Corporation Systems and methods to detect abnormal behavior in networks
US10728261B2 (en) * 2017-03-02 2020-07-28 ResponSight Pty Ltd System and method for cyber security threat detection
US10922716B2 (en) * 2017-03-09 2021-02-16 Adobe Inc. Creating targeted content based on detected characteristics of an augmented reality scene
US10050987B1 (en) * 2017-03-28 2018-08-14 Symantec Corporation Real-time anomaly detection in a network using state transitions
US10362046B1 (en) * 2017-03-29 2019-07-23 Amazon Technologies, Inc. Runtime behavior of computing resources of a distributed environment
RU2670030C2 (ru) * 2017-04-05 2018-10-17 Общество С Ограниченной Ответственностью "Яндекс" Способы и системы для определения нестандартной пользовательской активности
US10880332B2 (en) * 2017-04-24 2020-12-29 Unisys Corporation Enterprise security management tool
US10979455B2 (en) * 2017-04-24 2021-04-13 Unisys Corporation Solution definition for enterprise security management
US10476902B2 (en) * 2017-04-26 2019-11-12 General Electric Company Threat detection for a fleet of industrial assets
US10367839B2 (en) * 2017-04-28 2019-07-30 Cisco Technology, Inc. Graphical user interface programmed to display complex indicators based on structured threat expressions
US20180314833A1 (en) * 2017-04-28 2018-11-01 Honeywell International Inc. Risk analysis to identify and retrospect cyber security threats
US11032307B2 (en) * 2017-04-30 2021-06-08 Splunk Inc. User interface for defining custom threat rules in a network security system
US20180324207A1 (en) * 2017-05-05 2018-11-08 Servicenow, Inc. Network security threat intelligence sharing
US10778702B1 (en) * 2017-05-12 2020-09-15 Anomali, Inc. Predictive modeling of domain names using web-linking characteristics
US10623431B2 (en) * 2017-05-15 2020-04-14 Forcepoint Llc Discerning psychological state from correlated user behavior and contextual information
US10554669B2 (en) * 2017-05-31 2020-02-04 International Business Machines Corporation Graphical user interface privacy, security and anonymization
US10983753B2 (en) * 2017-06-09 2021-04-20 International Business Machines Corporation Cognitive and interactive sensor based smart home solution
US11888883B2 (en) * 2017-06-14 2024-01-30 International Business Machines Corporation Threat disposition analysis and modeling using supervised machine learning
IL300653B2 (en) * 2017-06-23 2024-06-01 Cisoteria Ltd Operational cyber security risk management and resource planning
EP3649767A1 (en) * 2017-07-06 2020-05-13 Pixm Phishing detection method and system
US11343276B2 (en) * 2017-07-13 2022-05-24 KnowBe4, Inc. Systems and methods for discovering and alerting users of potentially hazardous messages
US10181032B1 (en) * 2017-07-17 2019-01-15 Sift Science, Inc. System and methods for digital account threat detection
US10776903B2 (en) * 2017-07-17 2020-09-15 Open Text Corporation Systems and methods for image modification and image based content capture and extraction in neural networks
US10902252B2 (en) * 2017-07-17 2021-01-26 Open Text Corporation Systems and methods for image based content capture and extraction utilizing deep learning neural network and bounding box detection training techniques
US10574696B2 (en) * 2017-07-18 2020-02-25 Revbits, LLC System and method for detecting phishing e-mails
US10212043B1 (en) * 2017-07-26 2019-02-19 Citrix Systems, Inc. Proactive link load balancing to maintain quality of link
US11477212B2 (en) 2017-07-27 2022-10-18 Upstream Security, Ltd. System and method for connected vehicle cybersecurity
US11611574B2 (en) * 2017-08-02 2023-03-21 Code42 Software, Inc. User behavior analytics for insider threat detection
IL254573A0 (en) * 2017-09-18 2017-11-30 Cyber Sepio Systems Ltd Install a method and computer software product for securing a local network from threats posed by foreign or hostile accessories
WO2019051507A1 (en) * 2017-09-11 2019-03-14 Carbon Black, Inc. METHODS OF BEHAVIORAL DETECTION AND PREVENTION OF CYBERATTAICS, AS WELL AS APPARATUS AND RELATED TECHNIQUES
US10476912B2 (en) * 2017-09-18 2019-11-12 Veracity Security Intelligence, Inc. Creating, visualizing, and simulating a threat based whitelisting security policy and security zones for networks
US10693758B2 (en) * 2017-09-25 2020-06-23 Splunk Inc. Collaborative incident management for networked computing systems
US10713365B2 (en) * 2017-09-28 2020-07-14 Oracle International Corporation Testing cloud application integrations, data, and protocols
US10574676B2 (en) * 2017-10-06 2020-02-25 Fyde, Inc. Network traffic inspection
CA3079840A1 (en) * 2017-10-31 2019-05-09 Edgewave, Inc. Analysis and reporting of suspicious email
US10812499B2 (en) * 2017-11-09 2020-10-20 Accenture Global Solutions Limited Detection of adversary lateral movement in multi-domain IIOT environments
US10409898B2 (en) * 2017-11-17 2019-09-10 Adobe Inc. Generating a targeted summary of textual content tuned to a target audience vocabulary
CN108055256A (zh) * 2017-12-07 2018-05-18 成都博睿德科技有限公司 云计算SaaS的平台高效部署方法
US11132660B2 (en) * 2017-12-12 2021-09-28 Mastercard International Incorporated Systems and methods for distributed peer to peer analytics
US10681064B2 (en) * 2017-12-19 2020-06-09 Sap Se Analysis of complex relationships among information technology security-relevant entities using a network graph
US10686830B2 (en) * 2017-12-20 2020-06-16 International Business Machines Corporation Corroborating threat assertions by consolidating security and threat intelligence with kinetics data
US10740568B2 (en) * 2018-01-24 2020-08-11 Servicenow, Inc. Contextual communication and service interface
US10834111B2 (en) 2018-01-29 2020-11-10 International Business Machines Corporation Method and system for email phishing attempts identification and notification through organizational cognitive solutions
US11036715B2 (en) * 2018-01-29 2021-06-15 Microsoft Technology Licensing, Llc Combination of techniques to detect anomalies in multi-dimensional time series
US11271966B2 (en) * 2018-02-09 2022-03-08 Bolster, Inc Real-time detection and redirecton from counterfeit websites
US11301560B2 (en) * 2018-02-09 2022-04-12 Bolster, Inc Real-time detection and blocking of counterfeit websites
US10862906B2 (en) * 2018-02-16 2020-12-08 Palo Alto Networks, Inc. Playbook based data collection to identify cyber security threats
US10834128B1 (en) * 2018-03-30 2020-11-10 Fireeye, Inc. System and method for identifying phishing cyber-attacks through deep machine learning via a convolutional neural network (CNN) engine
US10958683B2 (en) * 2018-04-26 2021-03-23 Wipro Limited Method and device for classifying uniform resource locators based on content in corresponding websites
US10997463B2 (en) * 2018-11-08 2021-05-04 Adobe Inc. Training text recognition systems
US10986121B2 (en) * 2019-01-24 2021-04-20 Darktrace Limited Multivariate network structure anomaly detector
WO2020183267A1 (ja) * 2019-03-08 2020-09-17 株式会社半導体エネルギー研究所 画像検索方法、画像検索システム
US11973774B2 (en) 2020-02-28 2024-04-30 Darktrace Holdings Limited Multi-stage anomaly detection for process chains in multi-host environments

Also Published As

Publication number Publication date
EP3528461B8 (en) 2022-06-22
US20240121263A1 (en) 2024-04-11
US11606373B2 (en) 2023-03-14
US20190260782A1 (en) 2019-08-22
US20220337612A1 (en) 2022-10-20
JP2019145107A (ja) 2019-08-29
DK3528463T3 (da) 2023-05-01
EP3528458B1 (en) 2020-09-23
US20190260779A1 (en) 2019-08-22
US20190260793A1 (en) 2019-08-22
US20190260784A1 (en) 2019-08-22
EP3528459A1 (en) 2019-08-21
US11843628B2 (en) 2023-12-12
CA3034155A1 (en) 2019-08-20
US11716347B2 (en) 2023-08-01
US20190260794A1 (en) 2019-08-22
US20230080471A1 (en) 2023-03-16
AU2019201137B2 (en) 2023-11-16
US11799898B2 (en) 2023-10-24
EP3528458A1 (en) 2019-08-21
AU2019201137A1 (en) 2019-09-05
EP3528463B1 (en) 2023-04-05
US20190260764A1 (en) 2019-08-22
EP3528462B1 (en) 2024-01-24
US11336669B2 (en) 2022-05-17
US11477219B2 (en) 2022-10-18
US20240064168A1 (en) 2024-02-22
US11457030B2 (en) 2022-09-27
US20190260804A1 (en) 2019-08-22
US20240022595A1 (en) 2024-01-18
US11546359B2 (en) 2023-01-03
CA3034176A1 (en) 2019-08-20
EP3528460A1 (en) 2019-08-21
DK3800856T3 (da) 2023-08-28
EP3528459B1 (en) 2020-11-04
EP3800856A1 (en) 2021-04-07
US11522887B2 (en) 2022-12-06
EP3800856B1 (en) 2023-07-05
US11075932B2 (en) 2021-07-27
US11902321B2 (en) 2024-02-13
US20220353286A1 (en) 2022-11-03
DK3528462T3 (da) 2024-02-26
US20190260795A1 (en) 2019-08-22
SG10201901386UA (en) 2019-09-27
US20190260786A1 (en) 2019-08-22
EP4312420A3 (en) 2024-04-03
US20190260781A1 (en) 2019-08-22
EP3528463A1 (en) 2019-08-21
US11689557B2 (en) 2023-06-27
US20190260785A1 (en) 2019-08-22
US20190260770A1 (en) 2019-08-22
EP4312420A2 (en) 2024-01-31
EP3528461A1 (en) 2019-08-21
US11689556B2 (en) 2023-06-27
EP3528461B1 (en) 2022-04-27
US20190260783A1 (en) 2019-08-22
US11546360B2 (en) 2023-01-03
EP3528462A1 (en) 2019-08-21
US11418523B2 (en) 2022-08-16
US20200358799A1 (en) 2020-11-12
US20240073242A1 (en) 2024-02-29
US20190260780A1 (en) 2019-08-22
US11336670B2 (en) 2022-05-17

Similar Documents

Publication Publication Date Title
US11606373B2 (en) Cyber threat defense system protecting email networks with machine learning models
US20210273961A1 (en) Apparatus and method for a cyber-threat defense system
US12069073B2 (en) Cyber threat defense system and method
US20210360027A1 (en) Cyber Security for Instant Messaging Across Platforms
US20230012220A1 (en) Method for determining likely malicious behavior based on abnormal behavior pattern comparison
US20210273973A1 (en) SOFTWARE AS A SERVICE (SaaS) USER INTERFACE (UI) FOR DISPLAYING USER ACTIVITIES IN AN ARTIFICIAL INTELLIGENCE (AI)-BASED CYBER THREAT DEFENSE SYSTEM
US11985142B2 (en) Method and system for determining and acting on a structured document cyber threat risk

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20230921

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231018

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20231018

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240828