JP2023177336A - 脅威検出ネットワーク - Google Patents

脅威検出ネットワーク Download PDF

Info

Publication number
JP2023177336A
JP2023177336A JP2023090019A JP2023090019A JP2023177336A JP 2023177336 A JP2023177336 A JP 2023177336A JP 2023090019 A JP2023090019 A JP 2023090019A JP 2023090019 A JP2023090019 A JP 2023090019A JP 2023177336 A JP2023177336 A JP 2023177336A
Authority
JP
Japan
Prior art keywords
node
network
interaction
corresponding node
threat
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2023090019A
Other languages
English (en)
Inventor
コマシンスキー、ドミトリー
Komashinskiy Dmitriy
パルーンボ、パオロ
Palumbo Paolo
アクセラ、マッティ
Matti Axela
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
WithSecure Oyj
Original Assignee
WithSecure Oyj
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by WithSecure Oyj filed Critical WithSecure Oyj
Publication of JP2023177336A publication Critical patent/JP2023177336A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/2895Intermediate processing functionally located close to the data provider application, e.g. reverse proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/565Conversion or adaptation of application format or content
    • H04L67/5651Reducing the amount or size of exchanged application data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Computer And Data Communications (AREA)
  • Debugging And Monitoring (AREA)

Abstract

【課題】コンピュータネットワークに関連するセキュリティ脅威を監視するための脅威検出ネットワーク及び係る脅威を監視する方法を提供する。【解決手段】方法は、脅威検出ネットワークに備わる各センサが、コンピュータネットワークの複数のノードにおいて予め定義されたイベントの各々の発生を記述するデータを収集する。イベントの各々は対応するノードで動作するサブジェクトエンティティと対応するノードに関連するオブジェクトエンティティとの各々の相互作用を含む。方法はまた、1つ以上の予め定義された異常検出モデルを適用して、収集されたデータにおいて取得された複数の相互作用に対する各々の異常検出スコアを決定し、決定した異常検出スコアに応じて、ローカルアクティビティグラフの1つ以上の部分をバックエンドシステムに選択的に送信し、バックエンドシステムが、セキュリティ脅威を記述する1つ以上のセキュリティパラメータを導出する。【選択図】図2

Description

本発明の例示的かつ非限定的な実施形態は、コンピュータシステム又はコンピュータネットワークに関連するセキュリティ脅威を監視するための、エンドポイントの検出及び応答(EDR:endpoint detection and response)システム、又は拡張された検出及び応答(XDR:extended detection and response)システムなどの脅威検出ネットワークに関する。
脅威検出ネットワークソリューションは、監視対象のコンピュータネットワークの1つ以上のエンドポイントにおいて実行されるセンサソフトウェアの使用を介して、コンピュータシステム又はコンピュータネットワークに関連するセキュリティ脅威を検出するために適用可能である。センサソフトウェアは、各々のエンドポイントからデータを収集し、バックエンドシステムへ送信することで、監視対象のコンピュータシステムのセキュリティ状態をリアルタイムで分析できるように構成される。このようなアプローチは、高品質の攻撃検出、説明、及び応答サービスを可能にする。このような脅威検出ネットワークソリューションの例としては、エンドポイントの検出及び応答(EDR)及び拡張された検出及び応答(XDR)ソリューションがある。
有意義な脅威検出ネットワークを提供するためには、バックエンドシステムは、監視対象のコンピュータシステムのエンドポイントにおいてセンサソフトウェアによって収集されたデータをリアルタイムで処理することを可能にする計算リソースを有していなければならない。しかしながら、継続的に進化するサイバー脅威を確実に検出する能力を維持するためには、監視対象のコンピュータネットワークのエンドポイントにおいて増え続ける大量のデータを収集し、処理する必要がある。その一方で、収集されるデータの量の増加及び/又は監視対象のコンピュータネットワークのサイズの増加は、継続的な及び/又はリアルタイムの監視を可能にし、これにより脅威検出ネットワーク内のデータを収集・処理するためのソリューションを強化するために、バックエンドシステムの計算リソースに対して実現不可能なほど高い要求をもたらす可能性がある。
本発明の目的は、コンピュータネットワークの各ノードの動作を記述するデータを収集するように構成された複数のセンサと、収集されたデータの分析を介した脅威検出のためのバックエンドシステムであって、監視対象のコンピュータネットワークに関連するセキュリティ脅威を識別及び/又は検査するロバストで柔軟かつ信頼性の高い方法を提供するバックエンドシステムと、を含む脅威検出ネットワークを提供することである。
例示的な実施形態によれば、コンピュータネットワークに関連するセキュリティ脅威を監視するための脅威検出ネットワークが提供され、前記脅威検出ネットワークは、バックエンドシステムと、通信ネットワークを介して前記バックエンドシステムに接続された複数のセンサと、を備え、
各センサは、
前記コンピュータネットワークの複数のノードの対応する1つにおける1つ以上の予め定義されたイベントの各々の発生を記述するデータを収集し、前記イベントの各々は、対応するノードで動作するサブジェクトエンティティと、前記対応するノードに関連するオブジェクトエンティティとの各々の相互作用を含み、
1つ以上の予め定義された異常検出モデルを適用して、前記収集されたデータにおいて取得された複数の相互作用に対する各々の異常検出スコアを決定し、
前記収集されたデータにおいて取得された前記複数の相互作用の少なくとも一部を、前記対応するノードにおいて動作する1つ以上のサブジェクトエンティティと前記対応するノードに関連する1つ以上のオブジェクトエンティティとの相互作用を記述するローカルアクティビティグラフに構成し、
前記ローカルアクティビティグラフに取り込まれた各々の相互作用に対して決定された前記異常検出スコアに応じて、前記ローカルアクティビティグラフの1つ以上の部分を、対応するノード状態データとして前記バックエンドシステム(16)に選択的に送信し、
前記バックエンドシステムは、前記複数のセンサの1つ以上から受信した各々のノード状態データに基づいて 、前記コンピュータネットワークに関連する前記セキュリティ脅威を記述する1つ以上のセキュリティパラメータを導出するように構成される。
別の例示的な実施形態によれば、コンピュータネットワークに関連するセキュリティ脅威を監視するための方法が提供され、脅威検出ネットワークは、バックエンドシステムと、通信ネットワークを介して前記バックエンドシステムに接続された複数のセンサと、を備え、
前記方法は、前記複数のセンサにおいて、
各々のセンサにおいて、前記コンピュータネットワークの複数のノードの対応する1つにおける1つ以上の予め定義されたイベントの各々の発生を記述するデータを収集することであって、前記イベントの各々が、対応するノードにおいて動作するサブジェクトエンティティと前記対応するノードに関連するオブジェクトエンティティとの各々の相互作用を含む、データを収集することと、
前記各々のセンサにおいて、1つ以上の予め定義された異常検出モデルを適用して、前記収集されたデータにおいて取得された複数の相互作用に対する各々の異常検出スコアを決定することと、
前記各々のセンサにおいて、前記収集されたデータにおいて取得された前記複数の相互作用の少なくとも一部を、前記対応するノードにおいて動作する1つ以上のサブジェクトエンティティと前記対応するノードに関連する1つ以上のオブジェクトエンティティとの相互作用を記述するローカルアクティビティグラフに構成することと、
前記ローカルアクティビティグラフに取り込まれた各々の相互作用に対して決定された前記異常検出スコアに応じて、前記各々のセンサから、前記ローカルアクティビティグラフの1つ以上の部分を、対応するノード状態データとして前記バックエンドシステムに選択的に送信することと、を含み、
前記方法は、前記バックエンドシステムにおいて、前記複数のセンサのうちの1つ以上から受信した各々のノード状態データに基づいて、前記コンピュータネットワークに関連する前記セキュリティ脅威を記述する1つ以上のセキュリティパラメータを導出することをさらに含む。
別の例示的な実施形態によれば、コンピュータネットワークに関連するセキュリティ脅威を監視するためのコンピュータプログラムが提供され、脅威検出ネットワークは、バックエンドシステムと、通信ネットワークを介して前記バックエンドシステムに接続された複数のセンサと、を備え、コンピュータプログラムは、1つ以上のコンピュータ装置上で実行されたときに、1つ以上の装置に、少なくとも上述の例示的な実施形態による方法を実行させるためのコンピュータ命令を含む。
上記の例示的な実施形態によるコンピュータプログラムは、揮発性又は不揮発性のコンピュータ読み取り可能な記録媒体上で、例えば、1つ以上のコンピューティング装置によって実行されたときに、前記コンピューティング装置に、少なくとも上述の例示的な実施形態による方法を実行させるプログラムコードが格納された少なくとも1つのコンピュータ読み取り可能な非一時的媒体を含むコンピュータプログラム製品として具現化することができる。
本特許出願に提示される本発明の例示的な実施形態は、添付の特許請求の範囲の適用可能性を限定するものと解釈されるべきではない。動詞「備える(to comprise)」及びその派生語は、本特許出願において、記載されていない特徴の存在を排除しないオープンな限定として使用される。以下に記載される特徴は、明示的に別段の記載がない限り、相互に自由に組み合わせることができる。
本発明のいくつかの特徴は、添付の特許請求の範囲に記載されている。しかしながら、本発明の態様は、その構造及びその動作方法の両方に関して、そのさらなる目的及び利点とともに、添付の図面と関連して読まれるとき、いくつかの例示的な実施形態の以下の説明から最も良く理解されるであろう。
本発明の実施形態は、添付の図面の各図に例示的に示されているが、これらに限定されるものではない。
図1は、一例に係る脅威検出ネットワークの一部のコンポーネンントを示すブロック図である。 図2は、一例に係る方法を示す図である。 図3は、一例に係る集約ノード状態データの視覚的表示を示す図である。 図4は、一例に係る集約ノード状態データの視覚的表示を示す図である。 図5は、一例に係る装置の一部のコンポーネンントを示すブロック図である。
図1は、一例に係る脅威検出ネットワーク10の一部コンポーネンントを示すブロック図である。これに関して、図1に示す例は、センサ12-1、12-2、…、12-Kと、バックエンドシステム16と、を含む。ここで、センサ12-1、12-2、…、12-Kは、参照番号12を使用してまとめて参照され得る複数のセンサを表し、任意の個々のセンサは参照番号12-kを使用して参照され得る。複数のセンサ12は、通信ネットワーク14を介してバックエンドシステム16に通信可能に接続されている。脅威検出ネットワーク10は、例えば、エンドポイントの検出及び応答(EDR)システム、又は拡張された検出及び応答(XDR)システムを備えていてもよい。
センサ12-kの各々は、対応するノードの動作の1つ以上の予め定義された態様を記述する情報を取得することによって、コンピュータネットワークの対応するノードの動作を監視する。センサ12-kは、コンピュータネットワークの対応するノードの動作を記述する取得された情報の一部を、バックエンドシステム16に選択的に送信して、バックエンドシステム16においてさらに処理及び分析を行うことができる。センサ12-kからバックエンドシステム16に送信される情報は、監視対象のコンピュータネットワークの対応するノードに関するノード状態データ(node status data)と呼ばれることがある。センサ12-kによって監視されるノードは、通信ネットワーク、例えば通信ネットワーク14を介して他のデバイスに接続されるか又は接続可能な任意のコンピュータ装置を備えることができる。これに関する非限定的な例として、ノードは、デスクトップコンピュータ、ラップトップコンピュータ、タブレットコンピュータ、携帯電話などのエンドポイント装置、ゲートウェイ装置、サーバ装置、又はサーバシステムなどを含むことができる。センサ12-kは、センサ12-kが監視する対応するノードのコンピュータ装置において実行可能な及び/又は実行されるソフトウェアとして実現されてもよい。したがって、一般に、センサ12-kは、プロセッサとメモリとを備える装置の動作を通して提供されてもよい。その場合、メモリは、プロセッサによって実行されたときに、センサ12-kについて本開示において説明される動作を装置に実装させるコンピュータプログラムコードを記憶するように構成される。センサ12-kを実装するためにプロセッサ及びメモリを使用するより詳細な例については、図5を参照して本明細書で後述する。
バックエンドシステム16は、複数のセンサ12から各々のノード状態データを受信することができ、複数のセンサ12から受信した各々のノード状態データの分析を実行することができる。これに関して、バックエンドシステム16は、複数のセンサ12によって監視されるコンピュータネットワークが受ける脅威レベルを記述する1つ以上のセキュリティパラメータを導出することができ、及び/又は、バックエンドシステム16は、複数のセンサ12から受信したノード状態データ又はそこから導出された情報の少なくとも一部を、人間が操作して検査するために提供することもできる。バックエンドシステム16は、バックエンドシステム16について本開示で説明される動作を実装するように構成された、1台のコンピュータ装置、又は1つ以上のコンピュータ装置の組合せ(arrangement)を備えていてもよい。
したがって、一般に、バックエンドシステム16は、各々が対応するプロセッサ及び対応するメモリを備える1つ以上の装置の動作を介して提供されてもよい。この場合、1つ以上の装置の対応するメモリは、1つ以上の装置の対応するプロセッサによって実行されたときに、1つ以上の装置に、バックエンドシステム16について本開示で説明される動作を共同で実装させるコンピュータプログラムコードの対応する部分を記憶するように構成される。バックエンドシステム16を提供するために適用される1つ以上のコンピュータ装置のいずれかを実装するためにプロセッサ及びメモリを使用するより詳細な例については、図5を参照して本明細書で後述する。
高いレベルでは、複数のセンサ12及びバックエンドシステム16は、複数のセンサ12の各々が、各々のセンサ12-kが監視するコンピュータネットワークの対応するノードの動作の1つ以上の予め定義された態様を記述する情報を継続的に取得し、取得された情報の一部をノード状態データとしてバックエンドシステム16に選択的に送信することと、バックエンドシステム16が、複数のセンサ12によって監視されるコンピュータネットワークが受ける脅威レベルを記述する1つ以上のセキュリティパラメータを導出することと、を通して、脅威検出手順を実行することができる。脅威検出ネットワーク10の動作は、バックエンドシステム16が、1つ以上のセキュリティパラメータに基づいてさらなる分析を実行すること、バックエンドシステム16が、複数のセンサ12から受信したノード状態データ及び/又はそれから導出された情報(1つ以上のセキュリティパラメータなど)の少なくとも一部を、検出エンジン又は別の意思決定エンティティによる自動分析のために提供すること、又は、バックエンドシステム16が、複数のセンサ12から受信したノード状態データ及び/又はそれから導出された情報(1つ以上のセキュリティパラメータなど)の少なくとも一部を、人間のオペレータによる検査のために提供することを、さらに含むことができる。
脅威検出ネットワーク10の動作の例として、各センサ12-k及びバックエンドシステム16は、図2に例示され、以下に概説される方法100を実施することに関与することができる。
- センサ12-kにおいて、センサ12-kが監視するコンピュータネットワークのノードにおける1つ以上の予め定義されたイベントの各々の発生を記述するデータを収集することであって、前記イベントの各々は、対応するノードにおいて動作するサブジェクトエンティティと、対応するノードに関連するオブジェクトエンティティとの各々の相互作用を含む、データを収集すること(ブロック102)。
- センサ12-kにおいて、1つ以上の予め定義された異常検出(AD:anomaly detection)モデルを適用して、収集されたデータにおいて取得された相互作用について各々の異常検出スコアを決定すること(ブロック104)。
- センサ12-kにおいて、収集されたデータにおいて取得された相互作用の少なくとも一部を、1つ以上のサブジェクトエンティティと1つ以上のオブジェクトエンティティとの各々の相互作用を記述するローカルアクティビティグラフに構成すること(ブロック106)。
- センサ12-kから、ローカルアクティビティグラフに取り込まれた各々の相互作用について決定された異常検出スコアに応じて、対応するノード状態データとして、ローカルアクティビティグラフの1つ以上の部分をバックエンドシステム16に選択的に送信すること(ブロック108)
- バックエンドシステム16において、複数のセンサ12の1つ以上から受信した各々のノード状態データに基づいて、監視対象のコンピュータネットワークが受けるセキュリティ脅威を記述する1つ以上のセキュリティパラメータを導出すること(ブロック110)。
したがって、方法100は、分析対象のコンピュータネットワークに関連するセキュリティ脅威をリアルタイムで継続的に監視するために、及び/又は監視対象のコンピュータネットワークが受けるセキュリティ脅威を事後的に分析するために、複数のセンサ12及びバックエンドシステム16によって共同で実装することができる。ブロック102~110によって表される方法ステップを参照して説明される各々の動作は、例えば、本開示に係る脅威検出ネットワークの要素として機能する複数のセンサ12及びバックエンドシステム16の動作の各々の特徴を説明する文脈において、上記の及び/又は以下で提供される例に従って、いくつかのやり方で変更又は補完されてもよい。さらに、方法100は、1つ以上の追加のステップで補完されてもよく、方法ステップのうちの少なくとも一部を実行する順序は、図2に示される順序とは異なっていてもよく、及び/又はステップの一部は、本開示で説明する脅威検出ネットワークの動作の範囲から逸脱することなく省略されてもよい。
ここで1つ以上の予め定義されたイベント(図2のブロック102参照)の説明に戻ると、センサ12-kによって監視される1つ以上の予め定義されたイベントには、監視対象のコンピュータネットワークの対応するノードで動作する第1のエンティティが、対応するノードに関連する第2のエンティティと相互作用するイベントが含まれ、第1のエンティティは「サブジェクトエンティティ」と見なされ、第2のエンティティは「オブジェクトエンティティ」と見なされる。1つ以上の予め定義されたイベントは、サブジェクトエンティティ、オブジェクトエンティティ、又はそれらの間の相互作用が、センサ12-kによって監視されるノードの動作を介して監視するために重要である又は重要ではないが関連すると考えられるイベントを含むことができる。一例では、1つ以上の予め定義されたイベントは、以下のうちの1つ以上を含むことができる。
- (任意の)対応するノードで動作する1つ以上の予め定義されたサブジェクトエンティティによって実行される1つ以上の相互作用
- (任意の)対応するノードに関連する1つ以上の予め定義されたオブジェクトエンティティに与えられる相互作用
- サブジェクトエンティティとオブジェクトエンティティの(任意の)ペアの間の1つ以上の予め定義された相互作用、例えば、センサ12-kの動作を通して監視するために、重要である又は重要ではないが関連すると考えられる相互作用
1つ以上の予め定義されたイベントにおいて考慮されるサブジェクトエンティティの非限定的な例には、対応するノードで実行されるプロセス又はプログラム、対応するノードで動作するシステム又はサービス、対応するノードのユーザアカウントなどが含まれる。一方、1つ以上の予め定義されたイベントにおいて考慮されるオブジェクトエンティティの非限定的な例には、対応するノードの(他の)プロセス又はプログラム、対応するノードで実行される(他の)プロセス又はプログラム、対応するノードのファイルシステムのエンティティ、システムレジストリ又はシステムログなどの対応するノードのオペレーティングシステムのエンティティ、ダイナミックリンクライブラリ(DLL)などの対応するノードのライブラリエンティティ、対応するノードに通信可能に結合されたネットワークホストなどが含まれる。
1つ以上の予め定義されたイベントにおいて考慮される相互作用の非限定的な例には、対応するノードで実行されるプロセス又はプログラムとオブジェクトエンティティとの間の各々の相互作用が含まれ、例えば、以下のうちの1つ以上が含まれる。
- 1つ以上のプロセス間イベントであって、プロセス間イベントは、対応するノードで実行されているプロセス又はプログラムが、対応するノードの別のプロセス又はプログラムと相互作用することを含む、1つ以上のプロセス間イベント
- 1つ以上のファイルシステムイベントであって、ファイルシステムイベントは、対応するノードで実行されるプロセス又はプログラムが、対応するノードのファイルシステムの要素と相互作用することを含む、1つ以上のファイルシステムイベント
- 1つ以上のネットワークイベントであって、ネットワークイベントは、対応するノードのプロセス又はプログラムが、ネットワークホストと相互作用することを含む、1つ以上のネットワークイベント
上述した例示的なプロセス関連イベントのより詳細な例として、プロセス間イベントは、対応するノードにおける第1のプロセスが、対応するノードで実行するための第2のプロセスを生成すること、又は、対応するノードにおける第1のプロセスが、対応するノードで実行されている第2のプロセスの動作を変更すること、を含む場合がある。ファイルシステムイベントは、対応するノードのプロセスが、対応するノードのファイルシステムのファイル又はフォルダと相互作用すること、例えば、各々のプロセスが、対応するノードのファイルシステムのファイル又はフォルダからの読み出し、又はファイル又はフォルダへの書き込みを行うことを含むことができる。ネットワークイベントは、対応するノードのプロセスが、監視対象のコンピュータネットワークの別のノードと相互作用すること、又は対応するノードのプロセスが、監視対象のネットワークの外部にあるノードと相互作用することを含むことができ、ここでの相互作用は、各々のプロセスがネットワークホストに情報を送信すること、及び/又はネットワークホストから情報を受信することを含むことができる。
1つ以上の予め定義されたイベントにおいて考慮される相互作用のさらなる非限定的な例には、サブジェクトエンティティが対応するノードのオペレーティングシステムエンティティ(システムレジストリやシステムログなど)のコンテンツを変更するオペレーティングシステム操作イベント、サブジェクトエンティティが対応するノードのオペレーティングシステムエンティティ(システムレジストリやシステムログなど)にアクセスするオペレーティングシステムアクセスイベント、各ノードで実行されているシステム又はサービスがオブジェクトエンティティと相互作用するシステムイベント、オブジェクトエンティティと相互作用する対応するノードのユーザアカウントに関連するユーザ開始イベント(user-initiated events)などが含まれる。
したがって、1つ以上の予め定義されたイベントのそれぞれは、サブジェクトエンティティがオブジェクトエンティティとの各々の相互作用を実行することを含むものと考えることができ、その結果、監視対象ノードにおける1つ以上の予め定義されたイベントのいずれかの発生を観察することに応答してセンサ12-kによって収集されたデータに記録される情報は、各々の相互作用のサブジェクトエンティティの識別、各々の相互作用のオブジェクトエンティティの識別、およびサブジェクトエンティティとオブジェクトエンティティとの間の相互作用の特徴付けを含むことができる。
上述のラインに沿って、必ずしもそうではないが、典型的には、相互作用のサブジェクトエンティティは、対応するノードで実行されているユーザ開始プロセスまたはオペレーティングシステム(OS)プロセス(対応するノードで実行されているプログラム又はそのようなプログラムのスレッドなど)、対応するノードで実行されているシステム又はサービス、対応するノードのユーザアカウントなどを含むことができる。
一方、相互作用のオブジェクトエンティティは、対応するノードで実行されている別のプロセス又はプログラム、対応するノードで実行されている別のシステム又はサービス、対応するノードのファイルシステム内のファイル又はフォルダ、対応するノードのオペレーティングシステムエンティティ、対応するノードのライブラリオブジェクト、監視対象のネットワークの内側又は外側にあるネットワークホストなどを含むことができる。
ここで、図2のブロック104で記述された動作に戻って説明すると、1つ以上の予め定義されたADモデルの各々は、各々のセンサ12-kの動作を介して、分析中の1つ以上の予め定義されたイベントのうちの少なくとも1つについて、例えば、以下のうちの1つ以上を直接的又は間接的に定義することができる。
- サブジェクトエンティティとオブジェクトエンティティの特定のペアの間で実行される1つ以上の予想される相互作用
- 特定のサブジェクトエンティティによって実行される1つ以上の予想される相互作用
- 特定のオブジェクトエンティティが対象になる1つ以上の予想される相互作用
- 特定の相互作用についてサブジェクトエンティティとオブジェクトエンティティの1つ以上の予想されるペア
- 特定の相互作用の実行についての1つ以上の予想されるサブジェクトエンティティ
- 特定の相互作用についての1つ以上の予想されるオブジェクトエンティティ
したがって、1つ以上の予め定義されたADモデルは、対応するノードで動作するサブジェクトエンティティと、対応するノードに関連するオブジェクトエンティティとの間の予期しない又は異常な相互作用を検出するために適用されてもよい。ここで、異常性(anomalousness)は、各々の相互作用のサブジェクトエンティティ、各々の相互作用のオブジェクトエンティティ、及び/又は各々の相互作用の特徴に関連する可能性がある。
1つ以上の予め定義されたADモデルは、監視対象のコンピュータネットワークの各々のノードにおいて、監視対象のコンピュータネットワークの対応するノードにおいて、又はセキュリティ脅威がないことが知られている制御された動作環境における対応するコンピュータネットワークの対応するノードにおいて収集されたデータに基づいて決定されてもよく、それによって、1つ以上の予め定義ADモデルは、各々のノードの各々のエンティティ間の予想される(例えば、正常な)相互作用を表す。異常な事象の検出のための予め定義されたADモデルの適用は、当該技術分野において公知であり、本開示の文脈において適用される1つ以上の予め定義されたADモデルを、当該技術分野において公知の任意の適切な技術を用いて導出することができる。これに関する非限定的な例として、例えば、様々なAD技術の概説が以下の文献により提供されている。Aggarwal, C.C. (2017)、An introduction to Outlier Analysis、In: Outlier Analysis、Springer, Cham、ISBN 978-3-319-47577-6, whereas an example of specific technique applicable for detecting anomalous events is found in Das, K., Schneider, J. (2007, August)、Detecting anomalous records in categorical datasets、Proceedings of the 13th ACM SIGKDD international conference on Knowledge discovery and data mining; pp. 220-229.
収集されたデータにおいて取得された1つ以上の予め定義されたイベントの発生が観察された場合にADモデルを適用することにより(ブロック102を参照)、対応するノードで動作するサブジェクトエンティティと、対応するノードに関連するオブジェクトエンティティとの1つ以上のペアの間の各々の相互作用について、各々の異常検出スコアを取得することができる。これに関して、異常検出スコアは、予め定義された尺度(scale)において、分析中の各々の相互作用の異常性の程度を記述することができる。一例では、異常検出スコアは分析中の相互作用の異常性が増加するにつれて増加する場合があり、別の例では、異常検出スコアは分析中の相互作用の異常性が増加するにつれて減少する場合がある。
ここで、図2のブロック106で記述された動作に戻って説明すると、収集されたデータ(ブロック102を参照)において取得された相互作用の少なくとも一部を、ローカルアクティビティグラフを定義する情報に構成すること(arrangement)は、収集されたデータにおいて取得された1つ以上の予め定義されたイベントの発生に基づいて記録された情報を、ローカルアクティビティグラフの頂点及びエッジに結合及び/又は変換することを含むことができる。ローカルアクティビティグラフの2つの頂点を接続するエッジは、これら2つの頂点によって表される各々のエンティティを含む相互作用を表すことができ、エッジは、各々の相互作用のサブジェクトエンティティを表す頂点から、各々の相互作用のオブジェクトエンティティを表す頂点に向けられている。一例では、ローカルアクティビティグラフの各々のエッジによって表される相互作用について決定された各々の異常検出スコアは、例えば、ローカルアクティビティグラフの各々のエッジに割り当てられた重みとしてローカルアクティビティグラフに導入されてもよい。
ある相互作用のサブジェクトエンティティを表す頂点は、別の相互作用のオブジェクトエンティティを表すこともできる。その逆も同様であり、ある相互作用のオブジェクトエンティティを表す頂点は、別の相互作用のサブジェクトエンティティを表すこともできる。したがって、ローカルアクティビティグラフは、監視対象のコンピュータネットワークの対応するノードで動作する複数のサブジェクトエンティティと、対応するノードに関連する複数のオブジェクトエンティティとの各々の相互作用をモデル化する役割を果たすことができる。
これに関して、本開示では「ノード」という用語が、監視対象のコンピュータネットワークの要素を指すために適用されるのに対し、「頂点」という用語は、ローカルアクティビティグラフのエッジによって互いにリンクされるローカルアクティビティグラフの要素を表すために選択されることは、注目に値する。したがって、アクティビティグラフの要素を指すために「ノード」という用語を適用する文献もあるが、上述の用語の選択は本開示全体を通して適用される。
ここで、図2のブロック108で記述された動作に戻って説明すると、ローカルアクティビティグラフの1つ以上の部分を、対応するノード状態データとしてセンサ12-kからバックエンドシステム16に選択的に送信する態様は、センサ12-kが、ローカルアクティビティグラフに取り込まれた各々の相互作用について決定された異常検出スコアを考慮して選択されたローカルアクティビティグラフの1つ以上のサブグラフを送信することを含んでいてもよい。これに関して、センサ12-kは、各々の相互作用について決定された異常検出スコアに基づいて、ローカルアクティビティグラフに記録される1つ以上の相互作用を選択し、ローカルアクティビティグラフの選択された部分を定義するノード状態データをバックエンドシステム16に送信することができる。逆に、バックエンドシステム16は、複数のセンサ12から各々のノード状態データを受信することができる。
異常検出スコアに基づくノード状態データの選択には、各々の異常検出スコアが予め定義された異常閾値を超える異常性の程度を示す相互作用の選択が含まれる場合がある。異常検出スコアは分析中の相互作用の異常性が増加するにつれて増加するシナリオでは、これは異常閾値を超える異常検出スコアを有するローカルアクティビティグラフの相互作用を選択することを含むことができる。一方、異常検出スコアは検討中の相互作用の異常性が増加するにつれて減少するシナリオでは、これは異常閾値よりも小さい異常検出スコアを有するローカルアクティビティグラフの相互作用を選択することを含むことができる。
センサ12-kからバックエンドシステム16に送信されるノード状態データは、ノード状態データに含めるために選択された各相互作用について、以下を識別又は定義する情報を含むことができる。
- 各々の相互作用のサブジェクトエンティティ
- 各々の相互作用のオブジェクトエンティティ
- 各々の相互作用の特徴
一例では、センサ12-kからバックエンドシステム16に送信されるノード状態データは、ローカルアクティビティグラフの1つ以上の選択された部分、例えば、ローカルアクティビティグラフの1つ以上のサブグラフを、それに対して導出された異常検出スコア無しで含むことができる。一方、別の例では、センサ12-kからバックエンドシステム16に送信されるノード状態データは、ローカルアクティビティグラフの1つ以上の選択された部分、例えば、ローカルアクティビティグラフの1つ以上のサブグラフを、ノード状態データの一部としてバックエンドシステム16に送信するために選択された相互作用について決定された異常検出スコアと共に含むことができる。
センサ12-kは、決定された異常検出スコアが閾値を超える異常性の程度を示すローカルアクティビティグラフの1つ以上の部分(例えば、1つ以上のサブグラフ)を識別することに応答して、ノード状態データを実質的に継続的に送信する必要性を評価し、ノード状態データを実質的に遅延なく送信することができる。一例では、これは、決定された異常検出スコアが閾値を超える異常性の程度を示すローカルアクティビティグラフの1つ以上の部分を識別するために、センサ12-kが、予め定義されたスケジュールに従って(例えば、予め定義された時間隔で)、直近に導出された異常検出スコアを考慮して、ローカルアクティビティグラフを走査することによって達成されてもよい。一方、別の例では、センサ12-kは、直近の前回の走査以降に、予め定義された数(例えば、1つ)の新たな相互作用を記録したことに応答して、このような走査を実行してもよい。
ここで、図2のブロック110で記述された動作に戻って説明すると、一例によれば、監視対象のコンピュータネットワークが受ける(可能性がある)セキュリティ脅威を記述する1つ以上のセキュリティパラメータの導出は、監視対象のコンピュータネットワークの対応するノードを監視するように構成された1つ以上のセンサ12-kから受信した各々のノード状態データに基づいて、監視対象のコンピュータネットワークに関連するセキュリティ脅威の存在及び不存在の一方の指標(indication)を少なくとも導出することを含むことができる。これに関して、バックエンドシステム16は、センサ12-kで検出された異常な相互作用を報告する1つ以上のセンサ12-kに基づいて、及び/又は1つ以上のセンサ12-kによって報告された異常な相互作用の各々の特徴に基づいて、セキュリティ脅威の存在及び不存在の一方を決定することができる。これにより、監視対象のコンピュータネットワークのノード全体にわたって検出される異常なアクティビティの量、及び/又は監視対象のコンピュータネットワーク内で検出される異常なアクティビティの種類を考慮した決定が可能になる。このようなアプローチの利点は、異常なアクティビティ検出するために必要な大量の計算がコンピュータネットワークの各々のノードを監視するように構成された複数のセンサ12で実行される一方で、バックエンドシステム16の計算要件の設定が、監視対象のコンピュータネットワークのセキュリティ脅威の可能性を検出する能力を実質的に損なうことなく、緩和されることである。
バックエンドシステム16は、任意選択で、1つ以上のセンサ12-kから受信した各々のノード状態データに基づいて、バックエンドシステム16で導出された1つ以上のセキュリティパラメータに応じてさらなるアクションをとることができる。1つ以上のセキュリティパラメータが、監視対象のコンピュータネットワークにおけるセキュリティ脅威の存在及び不存在の一方の指標を含む例では、バックエンドシステム16は、セキュリティ脅威の存在の検出に応答して、警告を発する、及び/又はセキュリティ脅威を緩和又は除去するための予め定義されたアクションをとることができ、及び/又はバックエンドシステム16は、セキュリティ脅威の不存在の検出に応答して、さらなる特定のアクションをとることなく、監視を継続することができる。
図2に戻ると、方法100は、任意選択で、複数のセンサ12から受信した各々のノード状態データの少なくとも一部を、ユーザに視覚的に提示するための集約ノード状態データに構成することをさらに含むことができる(ブロック112)。これに関して、バックエンドシステム16は、複数のセンサ12から受信した各々のノード状態データを、集約ノード状態データのその後の決定のために、及び集約ノード状態データをユーザに視覚的に提示するために、バックエンドシステム16によってアクセス可能なメモリに格納することができる。バックエンドシステム16において複数のセンサ12から受信した各々のノード状態データは、各々のセンサ12-kにおける対応するノード状態データの導出時刻及び/又はバックエンドシステム16における対応するノード状態データの受信時刻を示すタイミング情報と共に格納されてもよい。これに関して、タイミング情報は、予め定義された基準時刻との関係で各々のタイミングを示す各々のタイムスタンプを含んでいてもよい。
バックエンドシステム16は、要求に応答して集約ノード状態データを決定することができ、バックエンドシステム16内に設けられた又はバックエンドシステム16に接続されたディスプレイデバイスを介して、集約ノード状態データをユーザに提示することができる。代替的に又は追加的に、集約ノード状態データは、別の装置に設けられたディスプレイデバイスを介してユーザに視覚的に提示するために、別の装置に送信されてもよい。一例では、要求は、例えば、バックエンドシステム16が監視対象のコンピュータネットワークに関連するセキュリティ脅威の存在を決定することに応じて、及び/又はバックエンドシステム16がセキュリティ脅威の存在及び不存在の一方を決定できないことに応じて、自動的に生成されてもよい。一方、別の例では、要求は、例えば、バックエンドシステム16のユーザインターフェース(UI)を介して、又はバックエンドシステム16内に設けられた通信インターフェースを介して、ユーザから受け付けてもよい。ユーザへの視覚的提示のために集約ノード状態データを導出する要求は、時間インスタンス又は時間ウィンドウを指定することができる。バックエンドシステム16は、記憶された各々のノード状態データと、要求において指定された時間インスタンス又は時間ウィンドウに一致するタイミング情報とを組み合わせることによって、集約ノード状態データを導出することができ、これによって、監視対象のコンピュータネットワーク内の異常なアクティビティの可能性を示すノード状態データの時間的なスナップショットを提供することができる。
集約ノード状態データは、集約アクティビティグラフの形式で構成されてもよく、集約アクティビティグラフは、1つ以上のセンサ12-kから各々のノード状態データとして受信した各々のサブグラフを組み合わせることによって取得されてもよい。これに関して、集約アクティビティグラフの各頂点は、監視対象のコンピュータネットワークのノードの1つで動作するサブジェクトエンティティ及び/又は監視対象のコンピュータネットワークのノードの1つに関連するオブジェクトエンティティを表すことができる。一方、集約アクティビティグラフの2つの頂点を接続する各エッジは、これらの2つの頂点によって表される各々のサブジェクトエンティティ及びオブジェクトエンティティを含む相互作用を表すことができ、各々のエッジは、各々の相互作用のサブジェクトエンティティから各々の相互作用のオブジェクトエンティティに向けられる。したがって、集約アクティビティグラフは、監視対象のコンピュータネットワークのノードの1つを操作する1つ以上のサブジェクトエンティティと、監視対象のコンピュータネットワークのノードの1つに関連する1つ以上のオブジェクトエンティティとの各々の相互作用をモデル化することができる。
図3は、集約アクティビティグラフの形式での集約ノード状態データの視覚的提示の例示的かつ非限定的な例を示す図である。ここで、円として示される頂点は、監視対象のコンピュータネットワークのノードの1つで実行されている各々のプロセス又はプログラムを表す。矩形として示される頂点は、監視対象のコンピュータネットワークのノードの1つにおけるファイルシステムの要素を表す。菱形として示される頂点は、監視対象のコンピュータネットワークのノードの少なくとも1つに通信可能に接続されたネットワークホストを表す。さらに、円として示される1つの頂点から別の頂点に向かうエッジは、プロセス間イベントを表し、実線がプロセス作成イベントを表し、破線がプロセス変更又は操作イベントを表す。円として示される頂点から矩形として示される頂点に向かうエッジは、ファイルシステムイベントを表す。円として示される頂点から菱形として示される頂点に向かうエッジは、ネットワークイベントを表す。一例では、集約アクティビティグラフの視覚的提示は、頂点の少なくとも一部について、各々の頂点によって表される各々のサブジェクトエンティティ及び/又はオブジェクトエンティティを識別する情報(例えば、テキスト及び/又は記号)をさらに備えていてもよい。
さらに図3の例を参照すると、図3に示す集約アクティビティグラフによって表される相互作用はすべて、各々のセンサ12-kの動作を介した監視対象のコンピュータネットワークの対応するノードにおけるアクティビティを表す可能性がある。一方、図3の例による集約アクティビティグラフは、集約アクティビティグラフで取得された相互作用の互いに対する異常性の相対的な程度を示すいかなる指標も提供しない可能性がある。それにもかかわらず、図3の例による集約アクティビティグラフは、監視対象のコンピュータネットワークの1つ以上のノードで観測された相互作用のさらなる知見(insight)を提供し、これは、監視対象のコンピュータネットワークに関連するセキュリティ脅威の可能性の分析を容易にする。
さらなる例では、バックエンドシステム16においてセンサ12-kから受信したノード状態データが、各々のセンサ12-kにおけるローカルアクティビティグラフの対応する1つ以上の部分(例えば、1つ以上のサブグラフ)について決定された異常検出スコアも含み得ると仮定した場合、集約ノード状態データの視覚的提示は、集約ノード状態データで取得された相互作用によって表される各々の異常性の程度を記述する視覚情報をさらに含むことができる。ここで、視覚的表現において示される相互作用の異常性に関連する視覚情報は、センサ12-kから発信された対応するノード状態データで受信された異常検出スコアに基づいて導出されてもよい。
図4は、集約アクティビティグラフに取り込まれた相互作用によって表される各々の異常性の程度を記述する視覚情報を伴う、集約アクティビティグラフの形式の集約ノード状態データの視覚的提示の例示的かつ非限定的な例を示す。ここでは、集約アクティビティグラフに取り込まれた相互作用は、各々の相互作用について得られた異常検出スコアを記述する少なくとも1つの視覚的特徴を有する背景上に示されている。これに関して、異常検出スコアは2つ以上の範囲に分割することができ、各範囲には、他の範囲の各々の背景特徴とは異なる各々の背景特徴が割り当てられる。図4の例では、視覚的な背景特徴には異なる濃度の灰色が含まれ、最低の脅威レベル(例えば、レベル0)での相互作用は背景色なしの白色背景上に示され、レベル2からレベル5へと増加する脅威レベルは、濃度が増加する灰色の背景色を用いて示される。他の例では、異なる脅威レベルを示すために、例えば、異なる色や異なるパターンの背景を適用することができる。
集約アクティビティグラフにおいて取得された相互作用の異常性の程度を視覚的に提示する別のアプローチでは、集約アクティビティグラフの少なくとも一部の頂点及び/又はエッジの各々の外観を、それらが表すべき相互作用の異常性の程度の視覚的指標(visual indication)として適用することができる。これに関する一例として、集約アクティビティグラフの少なくとも一部の頂点は、各々の頂点が表すべき相互作用について導出された異常検出スコアを説明するサイズ及び/又は色で描かれてもよい。一方、別の例では、集約アクティビティグラフの少なくとも一部のエッジは、各々のエッジが表すべき相互作用について導出された異常検出スコアを記述する太さ及び/又は色で描かれてもよい。集約アクティビティグラフにおいて取得された相互作用の異常性の程度を視覚的に提示するさらなるアプローチでは、集約アクティビティグラフの少なくとも一部のエッジは、各々のエッジが表すべき相互作用について導出された異常検出スコアを記述する数字、記号、及び/又はテキストを備えていてもよい。
監視対象のコンピュータネットワーク内の相互作用の異常性の程度をこのように選択的に視覚化することにより、特定の異常性の程度の相互作用を強調することが可能になり、これは、異常検出スコアの視覚化に適用された方法に拘わらず、監視対象のコンピュータネットワークに関連する可能性のあるセキュリティ脅威の信頼できるタイムリーな分析を容易にすることができる。
図3及び図4を参照する上記の例では、集約ノード状態データの視覚的提示として機能する集約アクティビティグラフが、バックエンドシステム16に送信される各々のノード状態データにおいてセンサ12-kによって報告されるすべての相互作用の各々の図を含むという、暗黙の前提がある。他の例では、集約アクティビティグラフ(又は集約ノード状態データの視覚的提示の別の形態)は、各々の異常検出スコアが1つ以上のイベント視覚化基準(event visualization criteria)を満たす相互作用のみを含むことができる。これに関して、1つ以上のイベント視覚化基準は、各々の異常検出スコアがイベント視覚化下限閾値を超える、及び/又はイベント視覚化上限閾値よりも小さい異常性の程度を示す相互作用のみの視覚化を定義することができる。本明細書では、1つ以上のイベント視覚化基準(例えば、イベント視覚化下限閾値及び/又はイベント視覚化上限閾値)は予め定義されたもの又は使用時に定義されたものであってもよく、及び/又はユーザへの視覚的提示のために集約ノード状態データを導出するための要求において指定されてもよい。監視対象のコンピュータネットワーク内の相互作用のこのような選択的な視覚化により、ある程度以上の異常性を有する相互作用の分析に集中することが可能になり、監視対象のコンピュータネットワークに関連するセキュリティ脅威の可能性について、信頼性のあるタイムリーな分析を容易にすることができる。
集約アクティビティグラフに取り込まれた相互作用の各々の異常性の程度を記述する視覚情報を含む上記の例では、このような視覚情報は、集約アクティビティグラフに示された相互作用に対して、そのために導出された各々の異常検出スコアに関係なく提供されてもよい。他の例では、集約アクティビティグラフに取り込まれた相互作用の各々の異常性の程度を記述する視覚情報は、各々の異常検出スコアが1つ以上の異常スコア視覚化基準(anomaly score visualization criteria)を満たす相互作用に対してのみ提供されてもよい。これに関して、1つ以上の異常スコア視覚化基準は、各々の異常検出スコアが異常スコア視覚化下限閾値を超える、及び/又は異常スコア視覚化上限閾値よりも小さい異常性の程度を示す相互作用のみに対して、各々の異常検出スコアの視覚化を定義することができる。ここで、1つ以上の異常スコア視覚化基準(例えば、異常スコア視覚化下限閾値及び/又は異常スコア視覚化上限閾値)は、予め定義されたもの又は使用時に定義されたものであってもよく、及び/又はユーザへの視覚的提示のために集約ノード状態データを導出するための要求において指定されてもよい。このような異常検出スコアの選択的な視覚化により、ある程度以上の異常性を有する相互作用を強調することが可能になり、監視対象のコンピュータネットワークに関連するセキュリティ脅威の可能性について、信頼性のあるタイムリーな分析を容易にすることができる。
図5は、センサ12-k又はバックエンドシステム16を参照して上述した動作の少なくとも一部を実装するために採用され得る装置200の一部のコンポーネンントのブロック図を示す。各々の例では、装置200は、センサ12-k又はバックエンドシステム16を実装するために使用されてもよく、又は装置200はバックエンドシステム16を実装するために機能する装置のうちの1つとして使用されてもよい。装置200は、プロセッサ210及びメモリ220を備える。メモリ220は、データ及びコンピュータプログラムコード225を記憶することができる。装置200は、他の装置との有線又は無線により通信するための通信手段230、及び/又はユーザI/O(入力/出力)コンポーネンント240をさらに含んでいてもよく、ユーザI/Oコンポーネンント240は、プロセッサ210及びコンピュータプログラムコード225の一部と共に、ユーザからの入力を受け付け、及び/又はユーザに出力を提供するためのユーザインターフェースを提供するように構成されてもよい。特に、ユーザI/Oコンポーネンントは、1つ以上のキー又はボタン、キーボード、タッチスクリーン、又はタッチパッドなどのユーザ入力手段を含むことができる。ユーザI/Oコンポーネンントは、ディスプレイ又はタッチスクリーンなどの出力手段を含むことができる。装置200のコンポーネンントは、コンポーネンント間のデータ及び制御情報の転送を可能にするバス250を介して互いに通信可能に結合される。
メモリ220及びその中に記憶されたコンピュータプログラムコード225の一部は、プロセッサ210とともに、装置200にセンサ12-k又はバックエンドシステム16の動作の少なくとも一部の態様を実行させるようにさらに構成されてもよい。プロセッサ210は、メモリ220からの読み出しとメモリ220への書き込みを行うように構成される。プロセッサ210は、それぞれ単一のコンポーネンントとして図示されているが、それぞれ1つ以上の別個の処理コンポーネンントとして実装されてもよい。同様に、メモリ220は、それぞれ単一のコンポーネンントとして図示されているが、それぞれ1つ以上の別個のコンポーネンントとして実装されてもよく、そのうちの一部又は全部は、一体/取り外し可能であってもよく、及び/又は永続的/半永続的/動的/キャッシュされた記憶装置を提供してもよい。
コンピュータプログラムコード225は、プロセッサ210にロードされたときに、センサ12-k又はバックエンドシステム16の動作の少なくとも一部の態様を実装するコンピュータ実行可能な命令を含むことができる。一例として、コンピュータプログラムコード225は、1つ以上の命令の1つ以上のシーケンスからなるコンピュータプログラムを含むことができる。プロセッサ210は、その中に含まれる1つ以上の命令の1つ以上のシーケンスをメモリ220から読み出すことによって、コンピュータプログラムをロードして実行することができる。1つ以上の命令の1つ以上のシーケンスは、プロセッサ210によって実行されたときに、装置200に、センサ12-k又はバックエンドシステム16の動作の少なくとも一部の態様を実行させるように構成されてもよい。したがって、装置200は、少なくとも1つのプロセッサ210と、1つ以上のプログラムのためのコンピュータプログラムコード225を含む少なくとも1つのメモリ220とを含むことができ、少なくとも1つのメモリ220及びコンピュータプログラムコード225は、少なくとも1つのプロセッサ210と共に、装置200に、センサ12-k又はバックエンドシステム16の動作の少なくとも一部の態様を実行させるように構成される。
コンピュータプログラムコード225は、例えば、コンピュータプログラムコード225が記憶された少なくとも1つのコンピュータ読み取り可能な非一時的な媒体を含むコンピュータプログラム製品として提供されてもよく、このコンピュータプログラムコード225は、プロセッサ210によって実行されると、装置200に、センサ12-k又はバックエンドシステム16の動作の少なくとも一部の態様を実行させる。コンピュータ読み取り可能な非一時的な媒体は、メモリデバイス、記録媒体、又はコンピュータプログラムを有形的に実現する別の製品を含んでいてもよい。別の例として、コンピュータプログラムは、コンピュータプログラムを確実に転送するように構成された信号として提供されてもよい。
本明細書におけるプロセッサへの言及は、プログラマブルプロセッサだけでなく、フィールドプログラマブルゲートアレイ(FPGA)、特定用途向け集積回路(ASIC)、及び信号プロセッサなどの専用回路も包含するものと理解されるべきである。上述した説明で説明された特徴は、明示的に説明された組合せ以外の組合せで使用されてもよい。

Claims (15)

  1. コンピュータネットワークに関連するセキュリティ脅威を監視するための脅威検出ネットワーク(10)であって、前記脅威検出ネットワーク(10)は、バックエンドシステム(16)と、通信ネットワーク(14)を介して前記バックエンドシステム(16)に接続された複数のセンサ(12)と、を備え、
    各センサ(12-k)が、
    前記コンピュータネットワークの複数のノードの対応する1つにおける1つ以上の予め定義されたイベントの各々の発生を記述するデータを収集し、前記イベントの各々は、対応するノードで動作するサブジェクトエンティティと、前記対応するノードに関連するオブジェクトエンティティとの各々の相互作用を含み、
    1つ以上の予め定義された異常検出(AD)モデルを適用して、前記収集されたデータにおいて取得された複数の相互作用に対する各々の異常検出スコアを決定し、
    前記収集されたデータにおいて取得された前記複数の相互作用の少なくとも一部を、前記対応するノードにおいて動作する1つ以上のサブジェクトエンティティと前記対応するノードに関連する1つ以上のオブジェクトエンティティとの相互作用を記述するローカルアクティビティグラフに構成し、
    前記ローカルアクティビティグラフに取り込まれた各々の相互作用に対して決定された前記異常検出スコアに応じて、前記ローカルアクティビティグラフの1つ以上の部分を、対応するノード状態データとして前記バックエンドシステム(16)に選択的に送信し、
    前記バックエンドシステム(16)は、前記複数のセンサ(12)のうちの1つ以上から受信した各々のノード状態データに基づいて 、前記コンピュータネットワークに関連する前記セキュリティ脅威を記述する1つ以上のセキュリティパラメータを導出するように構成される、
    脅威検出ネットワーク(10)。
  2. 前記1つ以上の予め定義されたイベントは、
    前記対応するノードで動作する各々の予め定義されたサブジェクトエンティティによって実行される相互作用を含む1つ以上のイベント、
    前記対応するノードに関連する各々の予め定義されたオブジェクトエンティティに与えられる相互作用を含む1つ以上のイベント、及び、
    前記対応するノードで動作するサブジェクトエンティティによって実行され、かつ前記対応するノードに関連する各々の予め定義されたオブジェクトエンティティに与えられる、各々の予め定義された相互作用を含む1つ以上のイベント、
    のうちの1つ以上を含む、請求項1に記載の脅威検出ネットワーク(10)。
  3. 前記センサ(12-k)は、前記1つ以上の予め定義されたイベントの検出された発生を、前記ローカルアクティビティグラフを定義する情報に結合するように構成され、
    前記ローカルアクティビティグラフは、
    各々が、前記対応するノードで動作するサブジェクトエンティティ及び/又は前記対応するノードに関連するオブジェクトエンティティを表す複数の頂点と、
    各々が、第1の頂点を第2の頂点に接続し、前記第1の頂点によって表される前記サブジェクトエンティティにより、前記第2の頂点によって表されるオブジェクトエンティティに与えられる相互作用を表す複数のエッジと、を含む、
    請求項1又は請求項2に記載の脅威検出ネットワーク(10)。
  4. 特定の相互作用について決定された前記異常検出スコアは、前記各々の相互作用の異常性の程度を記述する、請求項1から請求項3までのいずれか1項に記載の脅威検出ネットワーク(10)。
  5. 前記各々の相互作用の異常性は、前記各々の相互作用のサブジェクトエンティティ、前記各々の相互作用のオブジェクトエンティティ、及び/又は前記各々の相互作用の特徴に関連し得る、請求項4に記載の脅威検出ネットワーク(10)。
  6. 前記ノード状態データは、前記各々の異常検出スコアが予め定義された異常閾値を超える異常性の程度を示す前記ローカルアクティビティグラフの1つ以上の部分を定義する情報を含む、請求項1から請求項5までのいずれか1項に記載の脅威検出ネットワーク(10)。
  7. 前記ノード状態データは、前記ローカルアクティビティグラフの1つ以上のサブグラフを定義する情報を含む、請求項1から請求項6までのいずれか1項に記載の脅威検出ネットワーク(10)。
  8. 前記ノード状態データは、前記ローカルアクティビティグラフの前記1つ以上の部分について導出された異常検出スコアをさらに含む、請求項1から請求項7までのいずれか1項に記載の脅威検出ネットワーク(10)。
  9. 前記バックエンドシステム(16)は、前記複数のセンサ(12)のうちの前記1つ以上から受信した前記各々のノード状態データに基づいて、前記コンピュータネットワークに関連する前記セキュリティ脅威の存在及び不存在の一方を示すセキュリティパラメータを決定するように構成されている、請求項1から請求項8までのいずれか1項に記載の脅威検出ネットワーク(10)。
  10. 前記バックエンドシステム(16)は、前記複数のセンサ(12)のうちの前記1つ以上から受信した前記各々のノード状態データを、ユーザに視覚的に提示するための集約ノード状態データに結合するように構成されている、請求項1から請求項9までのいずれか1項に記載の脅威検出ネットワーク(10)。
  11. 前記集約ノード状態データは、前記コンピュータネットワークの前記複数のノードの1つにおいて実行される複数のプロセスによる相互作用を記述する集約アクティビティグラフを含む、請求項10に記載の脅威検出ネットワーク(10)。
  12. 前記集約アクティビティグラフは、
    各々が、前記コンピュータネットワークの前記複数のノードの1つで動作するサブジェクトエンティティ及び/又は前記コンピュータネットワークの前記複数のノードの1つに関連するオブジェクトエンティティを表す複数の頂点と、
    各々が、第1の頂点を第2の頂点に接続し、前記第1の頂点によって表されるエンティティにより、前記第2の頂点によって表されるエンティティに与えられる相互作用を表す複数のエッジと、を含む、
    請求項11に記載の脅威検出ネットワーク(10)。
  13. 前記集約アクティビティグラフは、前記集約アクティビティグラフで定義される前記相互作用の少なくとも一部の異常性の程度の各々の視覚的提示を含む、請求項11又は請求項12に記載の脅威検出ネットワーク(10)。
  14. 前記集約アクティビティグラフは、前記コンピュータネットワークの前記複数のノードにわたる相互作用の各々の表現を含み、前記各々の異常検出スコアは、1つ以上のイベント視覚化基準を満たす異常性の程度を示す、請求項11から請求項13までのいずれか1項に記載の脅威検出ネットワーク(10)。
  15. コンピュータネットワークに係るセキュリティ脅威を監視するための方法(100)であって、脅威検出ネットワーク(10)は、バックエンドシステム(16)と、通信ネットワーク(14)を介して前記バックエンドシステム(16)に接続された複数のセンサ(12)と、を備え、
    前記方法(100)は、前記複数のセンサ(12)において、
    各々のセンサ(12-k)において、前記コンピュータネットワークの複数のノードの対応する1つにおける1つ以上の予め定義されたイベントの各々の発生を記述するデータを収集すること(102)であって、前記イベントの各々が、対応するノードにおいて動作するサブジェクトエンティティと前記対応するノードに関連するオブジェクトエンティティとの各々の相互作用を含む、データを収集すること(102)と、
    前記各々のセンサ(12-k)において、1つ以上の予め定義された異常検出(AD)モデルを適用して、前記収集されたデータにおいて取得された複数の相互作用に対する各々の異常検出スコアを決定すること(104)と、
    各々のセンサ(12-k)において、 前記収集されたデータにおいて取得された前記複数の相互作用の少なくとも一部を、前記対応するノードにおいて動作する1つ以上のサブジェクトエンティティと前記対応するノードに関連する1つ以上のオブジェクトエンティティとの相互作用を記述するローカルアクティビティグラフに構成すること(106)と、
    前記ローカルアクティビティグラフに取り込まれた各々の相互作用に対して決定された前記異常検出スコアに応じて、前記各々のセンサ(12-k)から、前記ローカルアクティビティグラフの1つ以上の部分を、対応するノード状態データとして前記バックエンドシステム(16)に選択的に送信すること(108)と、を含み、
    前記方法(100)が、前記バックエンドシステム(16)において、前記複数のセンサ(12)のうちの1つ以上から受信した各々のノード状態データに基づいて、前記コンピュータネットワークに関連する前記セキュリティ脅威を記述する1つ以上のセキュリティパラメータを導出すること(110)をさらに含む、
    方法。
JP2023090019A 2022-05-31 2023-05-31 脅威検出ネットワーク Pending JP2023177336A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP22176386.5A EP4287559A1 (en) 2022-05-31 2022-05-31 Threat detection network
EP22176386.5 2022-05-31

Publications (1)

Publication Number Publication Date
JP2023177336A true JP2023177336A (ja) 2023-12-13

Family

ID=81854704

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2023090019A Pending JP2023177336A (ja) 2022-05-31 2023-05-31 脅威検出ネットワーク

Country Status (3)

Country Link
US (1) US20230388328A1 (ja)
EP (1) EP4287559A1 (ja)
JP (1) JP2023177336A (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4229611A4 (en) * 2020-10-16 2024-04-10 Visa Int Service Ass SYSTEM, METHOD AND COMPUTER PROGRAM PRODUCT FOR DETECTING ANOMALITIES IN USER NETWORK ACTIVITY

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2587355B (en) * 2019-09-24 2022-11-16 Withsecure Corp Method of data-efficient threat detection in a computer network

Also Published As

Publication number Publication date
EP4287559A1 (en) 2023-12-06
US20230388328A1 (en) 2023-11-30

Similar Documents

Publication Publication Date Title
US11151014B2 (en) System operational analytics using additional features for health score computation
US10387240B2 (en) System and method for monitoring and measuring application performance using application index
US9996409B2 (en) Identification of distinguishable anomalies extracted from real time data streams
US10069900B2 (en) Systems and methods for adaptive thresholding using maximum concentration intervals
US9658910B2 (en) Systems and methods for spatially displaced correlation for detecting value ranges of transient correlation in machine data of enterprise systems
US9860139B2 (en) Passive monitoring of live virtual desktop infrastructure (VDI) deployments
US10521289B2 (en) Identification of performance affecting flaws in a computing system
US20180027002A1 (en) Outlier detection in enterprise threat detection
US11544374B2 (en) Machine learning-based security threat investigation guidance
US20160330217A1 (en) Security breach prediction based on emotional analysis
US9692654B2 (en) Systems and methods for correlating derived metrics for system activity
JP2023177336A (ja) 脅威検出ネットワーク
US10380867B2 (en) Alert management within a network based virtual collaborative space
JP2010231368A (ja) 監視方法及び監視プログラム
CN110674507A (zh) 检测web应用越权的方法及系统
EP3777083A1 (en) Anomaly detection and processing for seasonal data
JP2018028783A (ja) システム状態可視化プログラム、システム状態可視化方法及びシステム状態可視化装置
CN112015646A (zh) 网络请求监听方法、装置、计算机设备和存储介质
US20120036093A1 (en) Waveform Mapping Technique and Process for Tracking and Estimating Evolution of Semantic Networks
US20210365762A1 (en) Detecting behavior patterns utilizing machine learning model trained with multi-modal time series analysis of diagnostic data
US20160036670A1 (en) Detection of outage in cloud based service using synthetic measurements and anonymized usage data
JP7255636B2 (ja) 端末管理装置、端末管理方法、およびプログラム
US10439898B2 (en) Measuring affinity bands for pro-active performance management
US9929921B2 (en) Techniques for workload toxic mapping
US20170372334A1 (en) Agent-based monitoring of an application management system

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230927