JP6703616B2 - セキュリティ脅威を検出するためのシステム及び方法 - Google Patents

セキュリティ脅威を検出するためのシステム及び方法 Download PDF

Info

Publication number
JP6703616B2
JP6703616B2 JP2018549213A JP2018549213A JP6703616B2 JP 6703616 B2 JP6703616 B2 JP 6703616B2 JP 2018549213 A JP2018549213 A JP 2018549213A JP 2018549213 A JP2018549213 A JP 2018549213A JP 6703616 B2 JP6703616 B2 JP 6703616B2
Authority
JP
Japan
Prior art keywords
security
signature
computer
report
client device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018549213A
Other languages
English (en)
Other versions
JP2019516160A (ja
Inventor
アレハンドロ ラウンディー・ケビン
アレハンドロ ラウンディー・ケビン
ハート・マイケル
ゲイツ・クリストファー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NortonLifeLock Inc
Original Assignee
Symantec Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Symantec Corp filed Critical Symantec Corp
Publication of JP2019516160A publication Critical patent/JP2019516160A/ja
Application granted granted Critical
Publication of JP6703616B2 publication Critical patent/JP6703616B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/11File system administration, e.g. details of archiving or snapshots
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/86Event-based monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

個人及び組織は一般に、それらのコンピューティングリソースをセキュリティ脅威及び対応する攻撃者から保護しようと努めている。したがって、企業組織は、エンドポイントアンチウイルス製品及びネットワークファイアウォール製品などの従来型のセキュリティ製品による解決法を採用し得る。一部の例では、マネージドセキュリティサービスプロバイダとしての機能を果たしているセキュリティベンダは、効率的に顧客に対する大量のセキュリティサービスを管理することができる。より詳細には、一部の実施例では、マネージドセキュリティサービスプロバイダは、様々なエンドポイントセキュリティ製品及びソフトウェアセキュリティエージェントからのセキュリティインシデントシグニチャを統合及び正規化することができ、それによって、コンピューティングリソースセキュリティ及び関連するセキュリティインシデントのより包括的かつ情報価値のある概観を提供する。
それにもかかわらず、クライアントコンピューティングリソースは多数のエンドポイントセキュリティ製品から恩恵を受けることができる一方で、企業組織は1つ以上のこれらの製品を、コスト及び限定的なリソースの割り当てを含む様々な理由のために、あらゆるクライアントコンピューティングリソースに実装することができない場合がある。したがって、他のクライアントマシンで利用できるエンドポイントセキュリティ製品のより小規模なサブセットのみを含むこれらのクライアントコンピューティングリソースは、対応するセキュリティ脅威から最適に保護されないことになる。したがって、本開示は、セキュリティ脅威を検出するための改善されたシステム及び方法の必要性を特定する。
より詳細に後述するように、本開示は、例えば、1つのセキュリティ製品からのセキュリティインシデントシグニチャともう1つの異なるセキュリティ製品からのセキュリティインシデントシグニチャとの間の統計的な相関を記録するデータベースを整備することによる、セキュリティ脅威を検出するための様々なシステム及び方法を記述する。統計的な相関のデータベースによって、セキュリティベンダは、あるセキュリティ製品がセキュリティインシデントシグニチャをトリガしたであろうということを、たとえそのセキュリティ製品がクライアントデバイスで利用可能でなかったとしても、以下に更に論じられるように、そのクライアントデバイスで利用可能であった、かつセキュリティインシデントシグニチャをトリガした別のセキュリティ製品による統計的相関に基づいて、推定することが可能になり得る。一実施例において、セキュリティ脅威を検出するためのコンピュータ実装方法は、(1)ソフトウェアセキュリティプログラムによってクライアントデバイスでのセキュリティインシデントを検出して、その結果、ソフトウェアセキュリティプログラムがシグニチャレポートを生成してセキュリティインシデントを特定することと、(2)シグニチャレポートを用いてアソシエーションデータベースを検索して、セキュリティインシデント検出時にクライアントデバイスで利用可能ではなかった異なるソフトウェアセキュリティプログラムが、クライアントデバイスで予測可能に生成したであろう別のシグニチャレポートを推定することと、(3)少なくとも1つの保護措置を実施して、アソシエーションデータベースを検索することによって推定される他のシグニチャレポートに基づいて、セキュリティインシデントに関連したセキュリティ脅威からクライアントデバイスを保護することと、を含み得る。
一部の実施例では、アソシエーションデータベースは、アソシエーションルールマイニングアルゴリズムにしたがって構築され得る。アソシエーションルールマイニングアルゴリズムは、閾値頻度を超えて同時に発生する少なくとも2つのシグニチャレポートのグループを特定することができる。更なる実施例において、別のシグニチャレポートを推定することは、少なくとも2つのシグニチャレポートを推定することを含んでもよい。更なる実施例において、本方法は、少なくとも1つのシグニチャレポートがセキュリティ侵害を示すという判定に基づいて、少なくとも2つのシグニチャレポートのうち少なくとも1つのシグニチャレポートをフィルタリングすることを含んでもよい。少なくとも1つのシグニチャレポートがセキュリティ侵害を示すという判定は、そのシグニチャレポートが、統計的な測定値にしたがってセキュリティ侵害状態と不相応に関連付けられるという判定を含み得る。少なくとも1つのシグニチャレポートがセキュリティ侵害を示すという判定はまた、セキュリティ侵害を示すシグニチャレポートにおける信頼度の自動測定値が、信頼度閾値を満たすという判定を含み得る。
一部の実施例では、別のシグニチャレポートを推定することは、セキュリティインシデントの属性を推論することを含んでもよい。この属性は、(1)セキュリティインシデントを引き起こしたファイルに対するファイル識別子、(2)セキュリティインシデントを引き起こしたウェブロケーションに対するユニフォームリソースロケータ、及び(3)セキュリティインシデントを引き起こしたウェブロケーションに対するインターネットプロトコルアドレスの少なくとも1つを含み得る。加えて、本方法は、属性を推論することが正しいという信頼度の程度を測定すること、及びその際に、測定された信頼度の程度が信頼度閾値を満たすことを判定することを更に含み得る。
一実施形態において、上述の方法を実装するためのシステムは、(1)ソフトウェアセキュリティプログラムの一部として、クライアントデバイスでのセキュリティインシデントを検出して、その結果、ソフトウェアセキュリティプログラムがシグニチャレポートを生成してセキュリティインシデントを特定する、メモリ内に格納される検出モジュールと、(2)シグニチャレポートを用いてアソシエーションデータベースを検索して、セキュリティインシデント検出時にクライアントデバイスで利用可能ではなかった異なるソフトウェアセキュリティプログラムが、クライアントデバイスで予測可能に生成したであろう別のシグニチャレポートを推定する、メモリ内に格納される検索モジュールと、(3)少なくとも1つの保護措置を実施して、アソシエーションデータベースを検索することによって推定される他のシグニチャレポートに基づいて、セキュリティインシデントに関連したセキュリティ脅威からクライアントデバイスを保護する、メモリ内に格納される実施モジュールと、(4)検出モジュール、検索モジュール、及び実施モジュールを実行するように構成される少なくとも1つの物理プロセッサと、を含み得る。
一部の実施例では、上述の方法は、非一時的コンピュータ可読媒体上のコンピュータ可読命令としてコード化されてもよい。例えば、コンピュータ可読媒体は、コンピューティングデバイスの少なくとも1つのプロセッサによって実行されるときに、(1)ソフトウェアセキュリティプログラムによってクライアントデバイスでのセキュリティインシデントを検出して、その結果、ソフトウェアセキュリティプログラムがシグニチャレポートを生成してセキュリティインシデントを特定し、(2)シグニチャレポートを用いてアソシエーションデータベースを検索して、セキュリティインシデント検出時にクライアントデバイスで利用可能ではなかった異なるソフトウェアセキュリティプログラムが、クライアントデバイスで予測可能に生成したであろう別のシグニチャレポートを推定し、(3)少なくとも1つの保護措置を実施して、アソシエーションデータベースを検索することによって推定される他のシグニチャレポートに基づいて、セキュリティインシデントに関連したセキュリティ脅威からクライアントデバイスを保護する、コンピューティングデバイスをもたらし得る、1つ以上のコンピュータ実行可能命令を含み得る。
上述の実施形態のいずれかによる特徴は、本明細書に記載される一般原理にしたがって、互いに組み合わせて使用されてもよい。これら及び他の実施形態、特徴、及び利点は、添付の図面及び特許請求の範囲と併せて以下の発明を実施するための形態を読むことによって更に十分に理解されるだろう。
添付の図面は、いくつかの例示的な実施形態を図示するものであり、本明細書の一部である。以下の説明と併せて、これらの図面は、本開示の様々な原理を実証及び説明する。
セキュリティ脅威を検出するための例示的なシステムのブロック図である。 セキュリティ脅威を検出するための追加の例示的なシステムのブロック図である。 セキュリティ脅威を検出するための例示的な方法のフローチャートである。 セキュリティ脅威を検出するためのシステム及び方法に関連した例示的なシグニチャレポートのブロック図である。 本明細書に記載及び/又は例証される実施形態のうちの1つ以上を実装することができる例示的なコンピューティングシステムのブロック図である。 本明細書に記載及び/又は例証される実施形態のうちの1つ以上を実装することができる例示的なコンピューティングネットワークのブロック図である。
図面を通して、同一の参照符号及び記述は、必ずしも同一ではないが、類似の要素を示す。本明細書で説明される例示的実施形態は、様々な修正物及び代替的な形態が可能であるが、特定の実施形態が例として図面に示されており、本明細書に詳細に記載される。しかしながら、本明細書に記載される例示的実施形態は、開示される特定の形態に限定されることを意図しない。むしろ、本開示は、添付の特許請求の範囲内にある全ての修正物、等価物、及び代替物を網羅する。
本開示は、概して、セキュリティ脅威を検出するためのシステム及び方法に関する。以下により詳細に説明されるように、本開示のシステム及び方法は、セキュリティ製品によるレポート及び通知の情報量並びに品質を改善することができる。例えば、本開示のシステム及び方法により、以下に更に論じられるように、対応するセキュリティ製品がエンドポイントコンピューティングデバイス上で利用可能ではないか又は有効ではない場合でさえ、ユーザがセキュリティ製品の予測可能なシグニチャレポートから、恩恵を受けることが可能になり得る。
図1〜2を参照すると、以下は、セキュリティ脅威を検出するための例示的なシステムの詳細な説明を提供する。対応するコンピュータ実装方法についての詳細な説明もまた、図3〜図4と関連して提供されることになる。更に、本明細書で説明される実施形態のうちの1つ以上を実施できる例示的なコンピューティングシステム及びネットワークアーキテクチャについての詳細な説明が、それぞれ、図5及び図6と関連して提供されることになる。
図1は、セキュリティ脅威を検出するための例示的なシステム100のブロック図である。この図に図示されるように、例示的なシステム100は、1つ以上のタスクを実施するための1つ以上のモジュール102を含んでもよい。例えば、そして以下により詳細に説明されるように、例示的なシステム100は、ソフトウェアセキュリティプログラムの一部として、クライアントデバイスでのセキュリティインシデントを検出することができ、その結果、ソフトウェアセキュリティプログラムがシグニチャレポートを生成してセキュリティインシデントを特定する検出モジュール104を含み得る。例示的なシステム100はまた、シグニチャレポートを用いてアソシエーションデータベースを検索して、異なるソフトウェアセキュリティプログラムが、クライアントデバイスで予測可能に生成したであろう別のシグニチャレポートを推定する検索モジュール106を含み得る。その異なるソフトウェアセキュリティプログラムは、セキュリティインシデントの検出時にクライアントデバイスでは利用可能ではなかったとしてもよい。加えて、より詳細に後述するように、例示的なシステム100は、少なくとも1つの保護措置を実施して、アソシエーションデータベースを検索することによって推定される他のシグニチャレポートに基づいて、セキュリティインシデントに関連したセキュリティ脅威からクライアントデバイスを保護することができる、実施モジュール108を含み得る。別々の要素として図示されるが、図1のモジュール102のうちの1つ以上は、単一のモジュール又はアプリケーションの部分を表してもよい。
特定の実施形態では、図1のモジュール102のうち1つ以上は、コンピューティングデバイスによって実行されると、コンピューティングデバイスに1つ以上のタスクを実施させ得る、1つ以上のソフトウェアアプリケーション又はプログラムを表し得る。例えば、より詳細に後述するように、モジュール102のうちの1つ以上は、図2に示されるデバイス(例えば、コンピューティングデバイス202及び/若しくはサーバ206)、図5のコンピューティングシステム510、並びに/又は図6の例示的なネットワークアーキテクチャ600の部分など、1つ以上のコンピューティングデバイスに格納され、その上で動くように構成されている、ソフトウェアモジュールを表してもよい。図1のモジュール102のうち1つ以上はまた、1つ以上のタスクを実施するように構成されている1つ以上の専用コンピュータの全て又は一部を表し得る。
図1に示すように、例示的なシステム100はまた、データベース120などの1つ以上のデータベースを含んでもよい。一実施例において、データベース120は、異なるソフトウェアセキュリティ製品及びエージェントによってトリガされ、かつ発行されたシグニチャレポートの間の相関を示し得る、相関122を格納するように構成され得る。相関122は、本開示のシステム及び方法が、以下に更に論じられるように、その追加のシグニチャレポートがクライアントコンピューティングデバイス上で利用可能ではないか又は有効ではなかったソフトウェアセキュリティ製品に対応する場合でさえ、以前のシグニチャレポートのトリガリングに基づいて、追加のシグニチャレポートを推定又は推論することを可能にし得る。
データベース120は、単一のデータベース若しくはコンピューティングデバイスの部分、又は複数のデータベース若しくはコンピューティングデバイスの部分を表してもよい。例えば、データベース120は、図2のサーバ206の一部分、図5のコンピューティングシステム510、及び/又は図6の例示的なネットワークアーキテクチャ600の部分を表してもよい。あるいは、図1のデータベース120は、図2のサーバ206、図5のコンピューティングシステム510、及び/又は図6の例示的なネットワークアーキテクチャ600の部分など、コンピューティングデバイスによってアクセスすることができる、1つ以上の物理的に別個のデバイスを表してもよい。
図1の例示的なシステム100は、様々な方法で実装され得る。例えば、例示的なシステム100の全て又は一部は、図2における例示的なシステム200の部分を表してもよい。図2に示されるように、システム200は、ネットワーク204を介してサーバ206と通信するコンピューティングデバイス202を含んでもよい。一実施例では、コンピューティングデバイス202は、モジュール102のうち1つ以上を用いてプログラムされてもよく、かつ/又はデータベース120内のデータの全て若しくは一部分を記憶することができる。加えて、又は代替的に、サーバ206は、モジュール102のうちの1つ以上を用いてプログラムされてもよく、及び/又はデータベース120のデータの全て若しくは一部を記憶してもよい。
一実施形態では、図1のモジュール102のうち1つ以上は、コンピューティングデバイス202及び/又はサーバ206のうち少なくとも1つのプロセッサによって実行されると、コンピューティングデバイス202及び/又はサーバ206がセキュリティ脅威を検出するのを可能にしてもよい。例えば、より詳細に後述するように、検出モジュール104は、ソフトウェアセキュリティプログラム220の一部としてコンピューティングデバイス202におけるセキュリティインシデントを検出することができ、その結果、ソフトウェアセキュリティプログラムがシグニチャレポート210を生成してセキュリティインシデントを特定する。検索モジュール106は、シグニチャレポート210を用いてデータベース120を検索して、異なるソフトウェアセキュリティプログラム222が、コンピューティングデバイス202で予測可能に生成したであろう別のシグニチャレポート212を推定することができる。ソフトウェアセキュリティプログラム222は、セキュリティインシデントの検出時にコンピューティングデバイス202では利用可能ではなかったとしてもよい。実施モジュール108は、少なくとも1つの保護措置を実施して、データベース120を検索することによって推定されるシグニチャレポート212に基づいて、セキュリティインシデントに関連したセキュリティ脅威から、コンピューティングデバイス202を保護することができる。
コンピューティングデバイス202は、一般に、コンピュータ実行可能命令を読み取ることができる任意のタイプ又は形態のコンピューティングデバイスを表す。コンピューティングデバイス202の例としては、非限定的に、ラップトップ、タブレット、デスクトップ、サーバ、携帯電話、携帯情報端末(PDA)、マルチメディアプレーヤー、組込みシステム、ウェアラブルデバイス(例えば、スマートウォッチ、スマートグラスなど)、ゲーム機、それらの1つ以上の組み合わせ、図5の例示的なコンピューティングシステム510、あるいは他の任意の好適なコンピューティングデバイスが挙げられる。
サーバ206は、一般に、更に後述するように、方法300の実施を容易にすることができる任意のタイプ又は形態のコンピューティングデバイスを表す。サーバ206の例としては、限定することなく、様々なデータベースサービスを提供するように、かつ/又はある特定のソフトウェアアプリケーションを作動させるように構成されたアプリケーションサーバ及びデータベースサーバが挙げられる。
ネットワーク204は、一般に、通信若しくはデータ転送を容易にすることが可能な、任意の媒体又はアーキテクチャを表す。ネットワーク204の例としては、非限定的に、イントラネット、広域ネットワーク(WAN)、ローカルエリアネットワーク(LAN)、パーソナルエリアネットワーク(PAN)、インターネット、電力線通信(PLC)、セルラーネットワーク(例えば、Global System for Mobile Communications(GSM(登録商標))ネットワーク)、図6の例示的なネットワークアーキテクチャ600などが挙げられる。ネットワーク204は、無線接続又は有線接続を使用して、通信又はデータ転送を容易にしてもよい。一実施形態では、ネットワーク204は、コンピューティングデバイス202とサーバ206との間の通信を容易にしてもよい。
図3は、セキュリティ脅威を検出するための例示的なコンピュータ実施方法300のフローチャートである。図3に示されるステップは、任意の好適なコンピュータ実行可能コード及び/又はコンピューティングシステムによって実施されてもよい。一部の実施形態では、図3に示すステップは、図1のシステム100、図2のシステム200、図5のコンピューティングシステム510、及び/又は図6の例示的なネットワークアーキテクチャ600の部分の構成要素のうち1つ以上によって実施されてもよい。
図3に示されるように、ステップ302において、本明細書に記載の1つ以上のシステムは、ソフトウェアセキュリティプログラムを通してクライアントデバイスでのセキュリティインシデントを検出することができ、その結果、ソフトウェアセキュリティプログラムがシグニチャレポートを生成してセキュリティインシデントを特定する。例えば、検出モジュール104は、図2のサーバ206の一部としてコンピューティングデバイス202でのセキュリティインシデントを検出することができ、その結果、ソフトウェアセキュリティプログラム220がシグニチャレポート210を生成してセキュリティインシデントを特定する。
本明細書で使用するとき、用語「セキュリティインシデント」は、一般に、候補のセキュリティ脅威としてのイベントを検出するか、又は別の方法で不審なコンピューティングアクティビティを調査するように構成される、対応するソフトウェアセキュリティプログラムによって検出される任意のイベントを意味する。更に、本明細書で使用するとき、用語「シグニチャレポート」は、一般に、ソフトウェアセキュリティプログラムが、検出されたセキュリティインシデントをセキュリティインシデントの他の識別されたタイプ、カテゴリ、及び/又は種類と区別するために使用する任意の識別子又は文字列を意味する。
検出モジュール104は、様々な方法で、セキュリティインシデントを検出し得る。例えば、検出モジュール104は、サーバ206の一部として、クライアント側セキュリティエージェント(例えば、ソフトウェアセキュリティプログラム220)からのレポートを受信することができ、対応するクライアントデバイスでのシグニチャがトリガされたことを示す。加えて、又は代替的に、検出モジュール104は、コンピューティングデバイス202の一部として、コンピューティングデバイス202でのセキュリティインシデントの存在を直接検出することができる。検出モジュール104は、セキュリティインシデント若しくは候補のセキュリティ脅威を示すイベント、属性、プロセス、ファイル、ネットワークパケット、アクティビティ、若しくは他の特徴をモニタリング及び/又は特定するための任意の好適な技術によって、セキュリティインシデントを検出することができる。例えば、検出モジュール104は、連続的に又は所定のスケジュールにしたがって、1つ以上のこれらの特徴の存在をモニタすることができ、これらの特徴は、1つ以上の対応するシグニチャセット若しくはパターンに適合するかを判定するためにスキャンされ得る。所定のシグニチャセットに適合する任意の識別されたイベント、属性、プロセス、ファイル、ネットワークパケット、アクティビティ、又は他の特徴を検出すると同時に、検出モジュール104は、対応するセキュリティインシデントを検出し、対応するシグニチャレポートを生成することができる。
図3に戻って、ステップ304において、本明細書に記載の1つ以上のシステムは、シグニチャレポートを用いてアソシエーションデータベースを検索して、異なるソフトウェアセキュリティプログラムが、クライアントデバイスで予測可能に生成したであろう別のシグニチャレポートを推定することができる。その異なるソフトウェアセキュリティプログラムは、セキュリティインシデントの検出時にクライアントデバイスでは利用可能ではなかったとしてもよい。例えば、検索モジュール106は、図2におけるサーバ206の一部として、シグニチャレポート210を用いてデータベース120を検索して、異なるソフトウェアセキュリティプログラムがコンピューティングデバイス202で予測可能に生成したであろう別のシグニチャレポート212を推定することができる。
本発明で使用するとき、語句「シグニチャレポートを用いてアソシエーションデータベースを検索する」は、一般に、シグニチャレポートに基づいてアソシエーションデータベースの内容を分析すること(例えば、他の相関するか又は関連するシグニチャレポートを推定すること)を広く意味する。同様に、語句「予測可能に生成したであろう」は、一般に、異なるソフトウェアセキュリティ製品が、そのソフトウェアセキュリティ製品が当該クライアントデバイスで利用可能かつ有効であった場合に、そのシグニチャレポート(すなわち、シグニチャレポート212)を、元の実際に検出されたシグニチャレポート(すなわち、シグニチャレポート210)との相関又は関連に基づいて、トリガしたであろうという推論を意味する。加えて、語句「クライアントデバイスで利用可能ではない」は、一般に、異なるソフトウェアセキュリティ製品がクライアントデバイスに存在しないか、又はたとえソフトウェアセキュリティ製品が存在したとしても、そのソフトウェアセキュリティ製品が無効化されていたか、若しくは別の方法で機能していなかったことを意味する。
検索モジュール106は、様々な方法でアソシエーションデータベースを検索することができる。一部の実施例では、アソシエーションデータベースは、アソシエーションルールマイニングアルゴリズムにしたがって構築され得る。本明細書で使用するとき、用語「アソシエーションルールマイニングアルゴリズム」は、一般に、異なるソフトウェアセキュリティ製品若しくはエージェントからのシグニチャレポート間の相関又は同時発生率を、方法300の所定の機能に適した方法で示す、裏付けのための信頼度の閾値レベルを超えた規則を導出する任意の技術を意味する。1つの例証的な例として、「アソシエーションルールマイニングアルゴリズム」は、「アソシエーションルールマイニング」に対するWikipedia記事に記述されている定義にしたがって定義することができ、その全体が参照により本明細書中に組み込まれる(https://en.wikipedia.org/wiki/Association_rule_learning)(2016年3月21日にアクセスされた)。一般に、アソシエーションルールマイニングアルゴリズムは、閾値頻度を超えて同時に発生する少なくとも2つのシグニチャレポートのグループを特定するように機能することができる。
更に、一部の実施例では、検索モジュール106は、少なくとも2つのシグニチャレポートを推定することによって、シグニチャレポート212を推定してもよい。更に、検索モジュール106は、少なくとも1つのシグニチャレポートがセキュリティ侵害を示すという判定に基づいて、少なくとも2つのシグニチャレポートのうち少なくとも1つのシグニチャレポートをフィルタリングしてもよい。一部の実施例では、少なくとも1つのシグニチャレポートがセキュリティ侵害を示すという判定は、そのシグニチャレポートが、統計的な測定値にしたがってセキュリティ侵害状態と不相応に関連付けられる判定を含み得る。更なる実施例では、少なくとも1つのシグニチャレポートがセキュリティ侵害を示すという判定は、セキュリティ侵害を示すシグニチャレポートにおける信頼度の自動測定値が、信頼度閾値を満たすという判定を含み得る。
一部の実施例では、検索モジュール106は、セキュリティインシデントの属性を推論することによって少なくとも部分的にシグニチャレポート212を推定し得る。この属性は、(1)セキュリティインシデントを引き起こした(又は、別の方法でセキュリティインシデントに関連する)ファイルに対するファイル識別子、(2)セキュリティインシデントを引き起こした(又は、別の方法でセキュリティインシデントに関連する)ウェブロケーションに対するユニフォームリソースロケータ、及び/又は(3)セキュリティインシデントを引き起こした(又は、別の方法でセキュリティインシデントに関連する)ウェブロケーションに対するインターネットプロトコルアドレスの少なくとも1つを含み得る。したがって、検索モジュール106は、シグニチャレポートの1つ以上のフィールド又は他の通知を、推論されたこれらの属性とともに読み込み、それによって、シグニチャレポートによって提供される情報の質又は量を改善することができる。代替的に又は加えて、検索モジュール106は、シグニチャレポートに対する更なるコンテキストを提供することができるか、又は別の方法でシグニチャレポート及び関連する保護のためのセキュリティ対策の情報品質並びに実態の反映を改善することができる、セキュリティインシデントの任意の他の属性を推論することができる。加えて、一部の実施例では、検索モジュール106は更に、属性を推論することが正しいという信頼度の程度を測定することができ、かつ測定された信頼度の程度が信頼度閾値を満たすことを判定することができる。したがって、検索モジュール106は、対応する推論が正しいという信頼度が相対的に高い場合にのみ、推論された属性が使用されるか又は報告されることを保証し得る。
図4の例において、マネージドセキュリティサービスプロバイダ(「MSSP」)は、当該図に示されているMSSPワークフロー402にしたがって機能し得る。この図に更に示されるように、MSSPワークフロー402は、多数の異なるセキュリティ製品又はプログラム(例えば、異なるバージョン又は銘柄のソフトウェアセキュリティ製品)によって発行される、シグニチャレポート又は他の通知を統合及び/又は正規化することができる。明白に、この図に列挙されたセキュリティ製品は仮想のものである。シグニチャレポート又は他の通知は、イベントテーブル404に統合及び/又は正規化され得て、セキュリティインシデントのソース、セキュリティインシデントのターゲット、及び/又はセキュリティインシデントのタイプを更に特定することができる。
図4は更にサマリテーブル406を示し、これには、上記で概要を述べたように、対応するソフトウェアセキュリティプログラムによって発行される該当するシグニチャレポート又は他の通知に対するシグニチャ番号、マシン数、総計、及びシグニチャ名が列挙される。特に、いくつかのシグニチャ名及びレポートは、他のものよりもより情報価値が高い場合がある。例えば、シグニチャ番号681868は、比較的分かりにくく情報価値のない「ASA−6−605:Misc.Unknown IP」というシグニチャ名をただ有するのみである。対照的に、シグニチャ番号92575は、よりいっそう詳細で明確であり、そのため、ユーザ又は顧客にとってより情報価値がありかつ有用な「Worm2.exe Targeted PW Exploit」というシグニチャ名を有する。具体的に、このシグニチャ名は、セキュリティインシデントが、標的化されていない攻撃又は一般大衆への無差別の攻撃とは異なり、標的化された攻撃(「Targeted」)においてパスワード(「PW」)を悪用するか又は脅かす特定のタイプの実行ファイル(「Worm2.exe」)を用いる既知のマルウェアの特定の種に関連していることを示す。したがって、シグニチャ番号92575は、シグニチャ番号681868よりもよりいっそう詳細な、実態に迫った、かつ有用な情報を提供する。
図4は更に、サマリテーブル406内に列挙されたシグニチャ番号間の相関又は同時発生率を更に説明する相関テーブル408を示す。議論を単純かつ容易にするために、また図4の余白の制約のために、相関テーブル408は、シグニチャ番号681868とサマリテーブル406内の残りのシグニチャ番号との間の相関を示すのみである。それにもかかわらず、読者は、たとえシグニチャ番号681868が各相関に関与しない場合であっても、相関テーブル408が、サマリテーブル406内に列挙されたシグニチャ番号間の任意の他の相関を更に含み得ることを容易に理解し得る。
この図において更に示されるように、シグニチャ番号681868は、相関率98%を有するシグニチャ番号92575を除いて、その他全てのシグニチャ番号とゼロ又はほぼゼロの相関率を有する。信頼度若しくは妥当性の任意の又は所定の統計的な測定値(例えば、90%相関よりも大きい)に適合し得る、98%という比較的高い相関率は、シグニチャ番号681868及びシグニチャ番号92575が同一の脅威又は攻撃の一部として互いに関連することを強く示している。換言すれば、相関テーブル408は、比較的分かりにくく情報価値のないシグニチャ番号681868が、よりいっそう詳細で情報価値のあるシグニチャ番号92575と更に関連するということを強く示している。したがって、ユーザ又は顧客が、シグニチャ番号681868を生成したクライアントマシン上で、シグニチャ番号92575を予測可能に生成したであろう異なるソフトウェアセキュリティ製品を使用することもなく、特定のセキュリティ製品を使用した場合、ユーザ又は顧客は、シグニチャ番号92575の生成からあらかじめ恩恵を受けることはなかったであろう。それにもかかわらず、たとえユーザ又は顧客が、クライアントデバイス上のシグニチャ番号92575と関連した異なるセキュリティ製品を有効化していなかったとしても、本開示のシステム及び方法は、相関テーブル408における相関などの相関を特定することによって、及びこれらの相関を用いてシグニチャ番号681868と関連するシグニチャレポートを、ユーザ又は顧客が、シグニチャ番号92575の仮想の又は予測されたトリガリングから恩恵を受け得るように、補足又は改善することによって、これらの事態に関連した問題を克服することができる。
図3に戻って、ステップ306において、本明細書に記載の1つ以上のシステムは、少なくとも1つの保護措置を実施して、アソシエーションデータベースを検索することによって推定される他のシグニチャレポートに基づいて、セキュリティインシデントに関連したセキュリティ脅威からクライアントデバイスを保護することができる。例えば、実施モジュール108は、図2におけるサーバ206の一部として、少なくとも1つの保護措置を実施して、データベース120を検索することによって推定されるシグニチャレポート212に基づいて、セキュリティインシデントに関連したセキュリティ脅威からコンピューティングデバイス202を保護することができる。
本明細書で使用するとき、用語「保護措置」は、一般に、ソフトウェアセキュリティ製品及び/又はセキュリティベンダが、方法300にしたがって、対応するセキュリティ脅威からクライアントデバイスを保護するために実施することができる任意の好適な措置を意味する。好適な保護措置の例には、セキュリティインシデントレポートを改変、校正及び/若しくは改善すること(例えば、シグニチャレポート212についての情報を含むセキュリティインシデントレポートを校正若しくは補足することによって)、ユーザ若しくは管理者に通知すること、並びに/又はアンチウイルスシグニチャセットを更新すること、1つ以上のクリーニング若しくはイノキュレーション(inoculation)スクリプト若しくはプログラムを実行すること、1つ以上のセキュリティ対策、設定及び/若しくは特性を有効にすること、高めること及び/若しくは強化すること、及び/若しくは1つ以上のソフトウェア、ハードウェア、仮想及び/若しくはネットワークコンピューティングリソースを無効にすること、隔離すること、サンドボックス化すること及び/若しくは電源切断すること(例えば、これらの保護措置の1つ以上がシグニチャレポート210及び/若しくはシグニチャレポート212に明確に規定及び/若しくは調整されている場合に)などの是正措置を自動的に実施すること(及び/若しくはユーザ又は管理者が実施するように促すこと)を挙げてもよい。
実施モジュール108は、様々な方法で保護措置を実施することができる。一般に、実施モジュール108は、上述のようにシグニチャレポート212の推定から導出される情報を用いてセキュリティインシデントレポートを補足又は改善することによって、保護措置を実施することができる。したがって、実施モジュール108は、方法300のステップ304にしたがって推定又は推論された「架空のイベント(phantom event)」に関連する情報を用いてセキュリティインシデントレポートを補足することによって、セキュリティインシデントレポート又は他の通知の情報の質及び量を改善することができる。補足された情報によって、実施モジュール108が、より詳細に調整されてシグニチャレポート212と関連するより詳細に特定されたセキュリティ脅威に対処する、上記の措置などの追加の是正措置を実施することも可能になり得る。
上記図3の議論は、本明細書に開示される様々なシステム及び方法の包括的な説明を提供する。加えて、以下の議論は、更なる実施形態についての追加の詳細を提供する。
マネージドセキュリティサービスプロバイダ(「MSSP」)によるインシデント検出は、各顧客が一式のセキュリティ製品を配備しているため困難である。エンドポイントセキュリティエージェントがクライアントデバイスに配備されている場合、1つの特定の銘柄のファイアウォールにおける脅威の痕跡情報は、エンドポイントセキュリティエージェントが常に特定する特定のボットネットを示し得るが、エンドポイントセキュリティエージェントが配備されていない場合、ファイアウォールにおける脅威の痕跡情報の意義が極めて不明確になり、不完全な証拠によって提示されるときに顧客によって措置が講じられなくなる場合がある。本開示のシステム及び方法は、有用な「仮想のイベント」(すなわち、実際の及び元の脅威の痕跡情報が発生した時点で実際には存在せず、かつ有効ではなかった仮定上のエンドポイントセキュリティエージェントからの)が、仮定上のエンドポイントセキュリティエージェント又は製品がクライアント上で利用可能かつ有効であった場合にトリガされたであろうことを推論することによって、顧客のインシデントを理解する能力を向上させる。
セキュリティインシデントに対する追加のコンテキストとして欠落しているイベントを推論することにより、本開示のシステム及び方法は、追加のセキュリティエージェント及び製品が多くの場合に出力するであろうコンテキストを提供する。1つの目的は、セキュリティインシデントシナリオにおいて第1のセキュリティ製品によって生成されるどのシグニチャが、第2の異なる製品によって生成されるシグニチャの特定のセットの存在を、2つの製品が顧客環境においてお互いに並列に配備されている場合に必ず、強く暗示するかを特定することである。顧客が第2の製品を欠いた状態で第1の製品を配備し、第1の製品がセキュリティインシデントを検出する場合、本システム及び方法は、第2の製品によって強く暗示される「架空のイベント」としてのシグニチャを含んで、セキュリティインシデントに対する追加のコンテキストを提供することができる。第2の製品により暗示されるシグニチャは、実際にトリガされた第1の製品のシグニチャとの相関の統計的閾値を満たすという意味で「強く暗示され」得る。
架空のイベントを特定するために、複数の可能な方法がある。一実施形態では、アソシエーションルールマイニングは架空のイベントを特定することができる。アソシエーションルールマイニングは、頻繁に同時発生するシグニチャの高頻度のグループを特定することによって進行し得る(すなわち、統計的閾値にしたがって)。一実施形態では、本システム及び方法は、2つの製品が特定の顧客環境に共に配備されるときに、2つの製品の間の架空のシグナルを生成するためにシグニチャの高頻度のグループを算出する。2つの製品に及ぶシグニチャのグループが一旦特定されたら、本システム及び方法は、2つの製品由来のシグニチャ間の規則の裏付けを測定する(例えば、アソシエーションルールマイニングにしたがって)。本システム及び方法はまた、アソシエーションルールマイニングの規則(例えば、規則が利用する時間の比率)の1つ以上の裏付けを判別し得る。
一部の実施例では、本システム及び方法は、特定の架空のイベントのみが報告されるか又は実行されるように、選択的に架空のイベントをフィルタリングしてもよい。例えば、いくつかの架空のイベントは、他の架空のイベントよりもセキュリティ侵害をより顕著に示し得る。一般に、いくつかの架空のイベントは、情報の質及び洞察の観点から他の架空のイベントよりも有益であり得る。本システム及び方法は、次のメカニズム、(1)高度な厳密さ又は高い信頼度にしたがって手動で特定された仮想のイベントを含むこと、(2)どの架空のイベント(又はイベントタイプ)が、セキュリティ侵害ではない状態(すなわち、偽陽性)とは対照的にセキュリティ侵害状態において不相応に作動しているかを判定すること、及び(3)常に又はほとんど常に(統計的閾値にしたがって)真のセキュリティ侵害を示すより深刻なシグニチャと関連して発生するシグニチャを特定する、セキュリティベンダの信頼度スコアを使用すること、によってより価値の高い架空のイベントを特定することができる。
加えて、本システム及び方法は、架空のイベントに対する属性を自動的に読み込むことができる。本システム及び方法は、架空のイベントの属性を推論することができる。本システム及び方法はまた、そのイベント(例えば、ブロックされない、ブロックされる、隔離される)に関連する最も起こりそうな措置などのイベントタイプを特定することができる。推論可能であり得る追加のフィールドは、関与したファイル、ユニフォームリソースロケータ、インターネットプロトコルアドレスなどを含む。一部の実施例では、本システム及び方法は、統計的な測定値及び閾値にしたがって高い確実性を有して推論され得るならば、これらの更なる属性のみを含むであろう。
したがって、本システム及び方法は、マネージドセキュリティサービスの顧客が、マネージドセキュリティサービスプロバイダ(及び関連するソフトウェア)が検出するシグニチャをより理解することを支援する。本システム及び方法によって、顧客がこれらの検出に基づいて行動することになる可能性も増大する。本システム及び方法はまた、顧客が期待して、追加のセキュリティ製品(例えば、マネージドセキュリティサービスプロバイダから配布された)の実際の配備によって得られるであろうことを顧客に示すメカニズムとして有用である。
図5は、本明細書に記載及び/又は図示される実施形態のうち1つ以上を実装できる例示的なコンピューティングシステム510のブロック図である。例えば、コンピューティングシステム510の全て又は一部は、単独で又は他の要素と組み合わせのいずれかで、(図3に示されるステップのうち1つ以上などの)本明細書に記載されるステップのうち1つ以上を実施してもよく、及び/又はそれを実施するための手段であってもよい。コンピューティングシステム510の全て又は一部は、また、本明細書に記載及び/又は図示される他の任意のステップ、方法、若しくは処理を実施し、及び/又はそれを実施するための手段となり得る。
コンピューティングシステム510は、コンピュータ可読命令を実行することが可能な任意のシングル若しくはマルチプロセッサのコンピューティングデバイス又はシステムを幅広く表す。コンピューティングシステム510の例としては、非限定的に、ワークステーション、ラップトップ、クライアント側端末、サーバ、分散型コンピューティングシステム、ハンドヘルドデバイス、又は他の任意のコンピューティングシステム若しくはデバイスが挙げられる。その最も基本的な構成において、コンピューティングシステム510は、少なくとも1つのプロセッサ514及びシステムメモリ516を含んでもよい。
プロセッサ514は、データの処理又は命令の解釈及び実行が可能な任意のタイプ若しくは形式の物理的処理ユニット(例えば、ハードウェア実装型中央処理ユニット)を、一般に表す。特定の実施形態では、プロセッサ514は、ソフトウェアアプリケーション又はモジュールから命令を受信してもよい。これらの命令は、プロセッサ514に、本明細書において記載及び/又は図示される例示的な実施形態のうちの1つ以上の機能を実施させてもよい。
システムメモリ516は、一般に、データ及び/又は他のコンピュータ可読命令を格納することができる任意のタイプ若しくは形態の揮発性又は不揮発性記憶デバイスを表す。システムメモリ516の例としては、非限定的に、ランダムアクセスメモリ(RAM)、読み出し専用メモリ(ROM)、フラッシュメモリ、又は他の任意の好適なメモリデバイスが挙げられる。必須ではないが、特定の実施形態では、コンピューティングシステム510は、揮発性メモリユニット(例えば、システムメモリ516など)、及び不揮発性記憶デバイス(例えば、詳細に後述するような、一次記憶デバイス532など)の両方を含み得る。一実施例では、図1のモジュール102のうち1つ以上がシステムメモリ516にロードされ得る。
特定の実施形態では、例示的なコンピューティングシステム510は、また、プロセッサ514及びシステムメモリ516に加えて、1つ以上の構成要素又は要素を含んでもよい。例えば、図5に示されるように、コンピューティングシステム510は、メモリコントローラ518、入力/出力(I/O)コントローラ520、及び通信インターフェース522を含んでもよいが、それらはそれぞれ通信基盤512を介して相互接続されてもよい。通信基盤512は、一般に、コンピューティングデバイスの1つ以上の構成要素間の通信を容易にすることができる、任意のタイプ又は形態の基盤を表す。通信基盤512の例としては、非限定的に、通信バス(業界標準アーキテクチャ(ISA)、周辺装置相互接続(PCI)、PCIエクスプレス(PCIe)、又は類似のバスなど)及びネットワークが挙げられる。
メモリコントローラ518は、一般に、メモリ若しくはデータを扱うこと、又はコンピューティングシステム510の1つ以上の構成要素間の通信を制御することが可能な、任意のタイプ又は形態のデバイスを表す。例えば、特定の実施形態では、メモリコントローラ518は、通信基盤512を介して、プロセッサ514、システムメモリ516、及びI/Oコントローラ520の間の通信を制御してもよい。
I/Oコントローラ520は、一般に、コンピューティングデバイスの入出力機能を調整及び/又は制御することが可能な、任意のタイプ又は形態のモジュールを表す。例えば、特定の実施形態では、I/Oコントローラ520は、プロセッサ514、システムメモリ516、通信インターフェース522、ディスプレイアダプタ526、入力インターフェース530、及び記憶インターフェース534など、コンピューティングシステム510の1つ以上の要素間におけるデータの転送を制御し、又はそれを容易にし得る。
通信インターフェース522は、例示的なコンピューティングシステム510と1つ以上の追加のデバイスとの間の通信を容易にすることが可能な、任意のタイプ又は形態の通信デバイス又はアダプタを幅広く表す。例えば、特定の実施形態では、通信インターフェース522は、コンピューティングシステム510と、追加のコンピューティングシステムを含む私設又は公共ネットワークとの間の通信を容易にし得る。通信インターフェース522の例としては、非限定的に、有線ネットワークインターフェース(ネットワークインターフェースカードなど)、無線ネットワークインターフェース(無線ネットワークインターフェースカードなど)、モデム、及び他の任意の好適なインターフェースが挙げられる。少なくとも1つの実施形態では、通信インターフェース522は、インターネットなどのネットワークへの直接リンクを介して、リモートサーバへの直接接続を提供し得る。通信インターフェース522はまた、例えば、ローカルエリアネットワーク(イーサネット(登録商標)ネットワークなど)、パーソナルエリアネットワーク、電話若しくはケーブルネットワーク、セルラー電話接続、衛星データ接続、又は他の任意の好適な接続を通して、そのような接続を間接的に提供し得る。
特定の実施形態では、通信インターフェース522はまた、外部バス又は通信チャネルを介して、コンピューティングシステム510と1つ以上の追加のネットワーク又は記憶デバイスとの間の通信を容易にするように構成された、ホストアダプタを表し得る。ホストアダプタの例としては、非限定的に、小型コンピュータシステムインターフェース(SCSI)ホストアダプタ、ユニバーサルシリアルバス(USB)ホストアダプタ、米国電気電子学会(IEEE)1394ホストアダプタ、アドバンストテクノロジーアタッチメント(ATA)、パラレルATA(PATA)、シリアルATA(SATA)、及び外部SATA(eSATA)ホストアダプタ、ファイバーチャネルインターフェースアダプタ、イーサネット(登録商標)アダプタなどが挙げられる。通信インターフェース522はまた、コンピューティングシステム510が分散型又はリモートコンピューティングに関与することを可能にし得る。例えば、通信インターフェース522は、実行のためにリモートデバイスから命令を受信、又はリモートデバイスに命令を送信し得る。
図5に示すように、コンピューティングシステム510はまた、ディスプレイアダプタ526を介して通信基盤512に連結される少なくとも1つのディスプレイデバイス524を含み得る。ディスプレイデバイス524は、ディスプレイアダプタ526によって転送される情報を視覚的に表示することができる、任意のタイプ若しくは形態のデバイスを、一般に表す。同様に、ディスプレイアダプタ526は、ディスプレイデバイス524に表示するために、通信基盤512から(又は当該技術分野において既知であるように、フレームバッファから)グラフィックス、テキスト、及び他のデータを転送するように構成された、任意のタイプ若しくは形態のデバイスを、一般に表す。
図5に示すように、例示的なコンピューティングシステム510はまた、入力インターフェース530を介して通信基盤512に連結される少なくとも1つの入力デバイス528を含み得る。入力デバイス528は、コンピュータ又は人間のいずれかが生成した入力を、例示的なコンピューティングシステム510に提供することができる、任意のタイプ若しくは形態の入力デバイスを、一般に表す。入力デバイス528の例としては、非限定的に、キーボード、ポインティングデバイス、音声認識デバイス、又は他の任意の入力デバイスが挙げられる。
図5に示すように、例示的なコンピューティングシステム510はまた、記憶インターフェース534を介して通信基盤512に連結される、一次記憶デバイス532及びバックアップ記憶デバイス533を含み得る。記憶デバイス532及び533は、一般に、データ及び/又は他のコンピュータ可読命令を格納することができる、任意のタイプ若しくは形態の記憶デバイス又は媒体を表す。例えば、記憶デバイス532及び533は、磁気ディスクドライブ(例えば、いわゆるハードドライブ)、ソリッドステートドライブ、フロッピーディスクドライブ、磁気テープドライブ、光ディスクドライブ、フラッシュドライブなどであり得る。記憶インターフェース534は、一般に、記憶デバイス532及び533とコンピューティングシステム510の他の構成要素との間でデータを転送するための、任意のタイプ若しくは形態のインターフェース又はデバイスを表す。一実施例では、図1のデータベース120は、一次記憶デバイス532内に格納され得る。
特定の実施形態では、記憶デバイス532及び533は、コンピュータソフトウェア、データ、又は他のコンピュータ可読情報を格納するように構成された取外し可能な記憶ユニットから読み出す、及び/又はそれに書き込むように構成され得る。好適な取外し可能な記憶ユニットの例としては、非限定的に、フロッピーディスク、磁気テープ、光ディスク、フラッシュメモリデバイスなどが挙げられる。記憶デバイス532及び533はまた、コンピュータソフトウェア、データ、又は他のコンピュータ可読命令が、コンピューティングシステム510にロードされることを可能にする、他の同様の構造体又はデバイスを含み得る。例えば、記憶デバイス532及び533は、ソフトウェア、データ、又は他のコンピュータ可読情報を読み出すように、及びこれを書き込むように構成され得る。記憶デバイス532及び533はまた、コンピューティングシステム510の一部であってもよく、又は他のインターフェースシステムを介してアクセスされる別個のデバイスであってもよい。
他の多くのデバイス又はサブシステムが、コンピューティングシステム510に接続され得る。反対に、図5に示す構成要素及びデバイスの全てが、本明細書に記載及び/又は図示される実施形態を実践するために存在する必要があるわけではない。上記で言及したデバイス及びサブシステムはまた、図5に示されるのとは異なる方法で相互接続され得る。コンピューティングシステム510はまた、任意の数のソフトウェア、ファームウェア、及び/又はハードウェアの構成を用い得る。例えば、本明細書で開示する例示的な実施形態の1つ以上は、コンピュータ可読媒体上で、コンピュータプログラム(コンピュータソフトウェア、ソフトウェアアプリケーション、コンピュータ可読命令、又はコンピュータ制御論理とも称される)としてコード化されてもよい。「コンピュータ可読媒体」という用語は、本明細書で使用するとき、一般に、コンピュータ可読命令を格納することができる、任意の形態のデバイス、キャリア、又は媒体を指す。コンピュータ可読媒体の例としては、非限定的に磁気記憶媒体(例えば、ハードディスクドライブ、テープドライブ、及びフロッピーディスク)、光学記憶媒体(例えば、コンパクトディスク(CD)、デジタルビデオディスク(DVD)、及びブルーレイ(BLU−RAY(登録商標))ディスク)、電子記憶媒体(例えば、ソリッドステートドライブ及びフラッシュメディア)、及び他の分散システムなどの非一時的媒体が挙げられる。

コンピュータプログラムを包含するコンピュータ可読媒体は、コンピューティングシステム510にロードされ得る。コンピュータ可読媒体に格納されたコンピュータプログラムの全て又は一部は、次に、システムメモリ516に、及び/又は記憶デバイス532及び533の様々な部分に格納され得る。プロセッサ514によって実行されると、コンピューティングシステム510にロードされたコンピュータプログラムは、プロセッサ514に、本明細書に記載及び/又は図示される例示的な実施形態のうち1つ以上の機能を実施させ、及び/又はそれらを実施するための手段となり得る。追加的に又は代替案として、本明細書に記載及び/又は図示される例示的な実施形態の1つ以上は、ファームウェア及び/又はハードウェアに実装されてもよい。例えば、コンピューティングシステム510は、本明細書に開示される例示的な実施形態のうちの1つ以上を実装するように適合された特定用途向け集積回路(ASIC)として構成されてもよい。
図6は、クライアントシステム610、620、及び630、並びにサーバ640及び645がネットワーク650に連結され得る、例示的なネットワークアーキテクチャ600のブロック図である。上記に詳述したように、ネットワークアーキテクチャ600の全て又は一部は、単独又は他の要素との組み合わせのいずれかで、本明細書に開示されるステップのうちの1つ以上(図3に示されるステップのうちの1つ以上など)を実施してもよく、及び/又はそれを実施するための手段であってもよい。ネットワークアーキテクチャ600の全て又は一部はまた、本開示に記載される他のステップ及び特徴を実施するのに使用されてもよく、及び/又はそれを実施するための手段であってもよい。
クライアントシステム610、620、及び630は、一般に、図5の例示的なコンピューティングシステム510など、任意のタイプ若しくは形態のコンピューティングデバイス又はシステムを表す。同様に、サーバ640及び645は、様々なデータベースサービスを提供し、及び/又は特定のソフトウェアアプリケーションを実行するように構成された、アプリケーションサーバ又はデータベースサーバなどのコンピューティングデバイス又はシステムを、一般に表す。ネットワーク650は、例えばイントラネット、WAN、LAN、PAN、又はインターネットを含む、任意の電気通信又はコンピュータネットワークを、一般に表す。一実施例では、クライアントシステム610、620、及び/若しくは630、並びに/又はサーバ640及び/若しくは645は、図1からのシステム100の全て、又は一部を含み得る。
図6に示すように、1つ以上の記憶デバイス660(1)〜(N)はサーバ640に直接取り付けられてもよい。同様に、1つ以上の記憶デバイス670(1)〜(N)は、サーバ645に直接取り付けられてもよい。記憶デバイス660(1)〜(N)及び記憶デバイス670(1)〜(N)は、データ及び/又は他のコンピュータ可読命令を格納することができる、任意のタイプ若しくは形態の記憶デバイス又は媒体を、一般に表す。特定の実施形態では、記憶デバイス660(1)〜(N)及び記憶デバイス670(1)〜(N)は、ネットワークファイルシステム(NFS)、サーバメッセージブロック(SMB)、又は共通インターネットファイルシステム(CIFS)など、様々なプロトコルを使用して、サーバ640及び645と通信するように構成された、ネットワーク接続ストレージ(NAS)デバイスを意味してもよい。
サーバ640及び645はまた、ストレージエリアネットワーク(SAN)ファブリック680に接続されてもよい。SANファブリック680は、一般に、複数の記憶デバイス間の通信を容易にすることが可能な、任意のタイプ若しくは形態のコンピュータネットワーク又はアーキテクチャを表す。SANファブリック680は、サーバ640及び645と、複数の記憶デバイス690(1)〜(N)及び/又はインテリジェント記憶アレイ695との間の通信を容易にし得る。SANファブリック680はまた、記憶デバイス690(1)〜(N)及びインテリジェント記憶アレイ695が、クライアントシステム610、620、及び630にローカルで取り付けられたデバイスとして現れるような方式で、ネットワーク650並びにサーバ640及び645を介して、クライアントシステム610、620、及び630と、記憶デバイス690(1)〜(N)及び/又はインテリジェント記憶アレイ695との間の通信を容易にし得る。記憶デバイス660(1)〜(N)及び記憶デバイス670(1)〜(N)と同様に、記憶デバイス690(1)〜(N)及びインテリジェント記憶アレイ695は、データ及び/又は他のコンピュータ可読命令を格納することができる任意のタイプ若しくは形態の記憶デバイス又は媒体を、一般に表す。
特定の実施形態では、また図5の例示的なコンピューティングシステム510を参照すると、図5の通信インターフェース522などの通信インターフェースは、それぞれのクライアントシステム610、620、及び630とネットワーク650との間の接続を提供するために使用され得る。クライアントシステム610、620、及び630は、例えば、ウェブブラウザ又は他のクライアントソフトウェアを使用して、サーバ640又は645上の情報にアクセスすることが可能であり得る。かかるソフトウェアは、クライアントシステム610、620、及び630が、サーバ640、サーバ645、記憶デバイス660(1)〜(N)、記憶デバイス670(1)〜(N)、記憶デバイス690(1)〜(N)、又はインテリジェント記憶アレイ695によってホストされるデータにアクセスすることを可能にし得る。図6は、データを交換するために(インターネットなどの)ネットワークを使用することを示しているが、本明細書に記載及び/又は図示される実施形態は、インターネット又は任意の特定のネットワークベースの環境に限定されない。
少なくとも1つの実施形態では、本明細書に開示される例示的な実施形態のうち1つ以上の全て又は一部は、コンピュータプログラムとしてコード化され、サーバ640、サーバ645、記憶デバイス660(1)〜(N)、記憶デバイス670(1)〜(N)、記憶デバイス690(1)〜(N)、インテリジェント記憶アレイ695、又はこれらの任意の組み合わせ上にロードされ、これらによって実行され得る。本明細書に開示される例示的な実施形態のうち1つ以上の全て又は一部はまた、コンピュータプログラムとしてコード化され、サーバ640に格納され、サーバ645によって作動し、ネットワーク650上でクライアントシステム610、620、及び630に配信されてもよい。
上で詳述されたように、コンピューティングシステム510及び/又はネットワークアーキテクチャ600の1つ以上の構成要素は、単独又は他の要素との組み合わせのいずれかで、セキュリティ脅威を検出するための例示的な方法の1つ以上のステップを実施し得る、及び/又は実施するための手段であり得る。
前述の開示は、特定のブロック図、フローチャート、及び実施例を使用して様々な実施形態を記載しているが、本明細書に記載及び/又は図示されるそれぞれのブロック図の構成要素、フローチャートのステップ、動作、及び/又は構成要素は、個別にかつ/又は集合的に、広範なハードウェア、ソフトウェア、又はファームウェア(若しくはそれらの任意の組み合わせ)の構成を使用して実現されてもよい。それに加えて、同じ機能性を達成するように他の多くのアーキテクチャを実現することができるので、他の構成要素内に包含される構成要素のあらゆる開示は、本質的に例示と見なされるべきである。
一部の実施例では、図1の例示的なシステム100の全て又は一部は、クラウドコンピューティング環境又はネットワークベースの環境の一部を表してもよい。クラウドコンピューティング環境は、インターネットを介して、様々なサービス及びアプリケーションを提供してもよい。これらのクラウドベースのサービス(例えば、サービスとしてのソフトウェア、サービスとしてのプラットフォーム、サービスとしての基盤など)は、ウェブブラウザ又は他のリモートインターフェースを通してアクセス可能であってもよい。本明細書に記載する様々な機能は、リモートデスクトップ環境又は他の任意のクラウドベースのコンピューティング環境を通して提供されてもよい。
様々な実施形態では、図1の例示的なシステム100の全て又は一部は、クラウドベースのコンピューティング環境内におけるマルチテナンシーを容易にしてもよい。換言すれば、本明細書に記載するソフトウェアモジュールは、本明細書に記載する機能の1つ以上に対するマルチテナンシーを容易にするように、コンピューティングシステム(例えば、サーバ)を構成してもよい。例えば、本明細書に記載するソフトウェアモジュールの1つ以上は、2つ以上のクライアント(例えば、顧客)がサーバ上で作動しているアプリケーションを共有するのを可能にするように、サーバをプログラムしてもよい。このようにプログラムされたサーバは、複数の顧客(即ち、テナント)の間で、アプリケーション、オペレーティングシステム、処理システム、及び/又は記憶システムを共有してもよい。本明細書に記載するモジュールの1つ以上はまた、ある顧客が別の顧客のデータ及び/又は設定情報にアクセスできないように、顧客ごとにマルチテナントアプリケーションのデータ及び/又は設定情報を分割してもよい。
様々な実施形態によれば、図1の例示的なシステム100の全て又は一部は仮想環境内で実現されてもよい。例えば、本明細書に記載するモジュール及び/又はデータは、仮想機械内で常駐及び/又は実行してもよい。本明細書で使用するとき、「仮想機械」という用語は、一般に、仮想機械マネージャ(例えば、ハイパーバイザ)によってコンピューティングハードウェアから抽出される、任意のオペレーティングシステム環境を指す。それに加えて、又は別の方法として、本明細書に記載するモジュール及び/又はデータは、仮想化層内で常駐及び/又は実行してもよい。本明細書で使用するとき、「仮想化層」という用語は、一般に、オペレーティングシステム環境にオーバーレイする、並びに/あるいはそこから抽出される、任意のデータ層及び/又はアプリケーション層を指す。仮想化層は、基礎となる基本オペレーティングシステムの一部であるかのように仮想化層を提示する、ソフトウェア仮想化ソリューション(例えば、ファイルシステムフィルタ)によって管理されてもよい。例えば、ソフトウェア仮想化ソリューションは、最初に基本ファイルシステム及び/又はレジストリ内の場所に方向付けられる呼び出しを、仮想化層内の場所にリダイレクトしてもよい。
一部の実施例では、図1の例示的なシステム100の全て又は一部は、モバイルコンピューティング環境の一部を表してもよい。モバイルコンピューティング環境は、携帯電話、タブレットコンピュータ、電子ブックリーダー、携帯情報端末、ウェアラブルコンピューティングデバイス(例えば、ヘッドマウントディスプレイを備えたコンピューティングデバイス、スマートウォッチなど)などを含む、広範なモバイルコンピューティングデバイスによって実現されてもよい。一部の実施例において、モバイルコンピューティング環境は、例えば、バッテリ電力への依存、任意の所与の時間での1つのみのフォアグラウンドアプリケーションの提示、リモート管理特性、タッチスクリーン特性、位置及び移動データ(例えば、グローバルポジショニングシステム、ジャイロスコープ、加速度計などによって提供される)、システムレベルの構成への修正を制限する、及び/又は第3者のソフトウェアが他のアプリケーションの挙動を検査する能力を限定する制限されたプラットフォーム、アプリケーションのインストールを(例えば、認可されたアプリケーションストアからのみ生じるように)制限する制御などを含む、1つ以上の個別の特性を有することができる。本明細書で説明される様々な機能は、モバイルコンピューティング環境に対して提供され得る、及び/又はモバイルコンピューティング環境と相互作用し得る。
それに加えて、図1の例示的なシステム100の全て又は一部は、情報管理のための1つ以上のシステムの部分を表してもよく、それと相互作用してもよく、それによって生成されるデータを消費してもよく、かつ/又はそれによって消費されるデータを生成してもよい。本明細書で使用するとき、「情報管理」という用語は、データの保護、組織化、及び/又は記憶を指してもよい。情報管理のためのシステムの例としては、非限定的に、記憶システム、バックアップシステム、アーカイブシステム、複製システム、高可用性システム、データ検索システム、仮想化システムなどを挙げることができる。
一部の実施形態では、図1の例示的なシステム100の全て又は一部は、情報セキュリティのための1つ以上のシステムの部分を表してもよく、それによって保護されるデータを生成してもよく、かつ/又はそれと通信してもよい。本明細書で使用するとき、「情報セキュリティ」という用語は、保護されたデータに対するアクセスの制御を指してもよい。情報セキュリティのためのシステムの例としては、非限定的に、管理されたセキュリティサービスを提供するシステム、データ損失防止システム、本人認証システム、アクセス制御システム、暗号化システム、ポリシー遵守システム、侵入検出及び防止システム、電子証拠開示システムなどを挙げることができる。
一部の実施例によれば、図1の例示的なシステム100の全て又は一部は、エンドポイントセキュリティのための1つ以上のシステムの部分を表してもよく、それと通信してもよく、かつ/又はそれから保護を受けてもよい。本明細書で使用するとき、「エンドポイントセキュリティ」という用語は、不正及び/若しくは違法な使用、アクセス、並びに/又は制御からのエンドポイントシステムの保護を指してもよい。エンドポイント保護のためのシステムの例としては、非限定的に、アンチマルウェアシステム、ユーザ認証システム、暗号化システム、プライバシーシステム、スパムフィルタリングサービスなどを挙げることができる。
本明細書に記載及び/又は図示されるプロセスパラメータ及びステップの順序は、単なる例として与えられるものであり、所望に応じて変更することができる。例えば、本明細書に図示及び/又は記載されるステップは特定の順序で図示又は考察されることがあるが、これらのステップは、必ずしも図示又は考察される順序で実施される必要はない。本明細書に記載及び/又は図示される様々な例示的な方法はまた、本明細書に記載若しくは図示されるステップの1つ以上を省略するか、又は開示されるものに加えて追加のステップを含んでもよい。
様々な実施形態を、完全に機能的なコンピューティングシステムの文脈で本明細書に記載及び/又は図示してきたが、これらの例示的な実施形態の1つ以上は、実際に配布を実施するのに使用されるコンピュータ可読媒体の特定のタイプにかかわらず、様々な形態のプログラム製品として配布されてもよい。本明細書に開示される実施形態はまた、特定のタスクを実施するソフトウェアモジュールを使用して実現されてもよい。これらのソフトウェアモジュールは、コンピュータ可読記憶媒体又はコンピューティングシステムに格納されてもよい、スクリプト、バッチ、若しくは他の実行可能ファイルを含んでもよい。一部の実施形態では、これらのソフトウェアモジュールは、本明細書に開示される例示的な実施形態の1つ以上を実施するようにコンピューティングシステムを構成してもよい。
それに加えて、本明細書に記載するモジュールの1つ以上は、データ、物理的デバイス、及び/又は物理的デバイスの表現を、1つの形態から別の形態へと変換してもよい。それに加えて、又は別の方法として、本明細書に列挙されるモジュールの1つ以上は、コンピューティングデバイス上で実行し、コンピューティングデバイスにデータを格納し、並びに/あるいは別の方法でコンピューティングデバイスと相互作用することによって、プロセッサ、揮発性メモリ、不揮発性メモリ、及び/又は物理的コンピューティングデバイスの他の任意の部分を、1つの形態から別の形態へと変換してもよい。
上述の記載は、本明細書に開示される例示的な実施形態の様々な態様を他の当業者が最良に利用するのを可能にするために提供されてきた。この例示的な記載は、網羅的であることを意図するものではなく、又は開示される任意の正確な形態に限定することを意図するものではない。本開示の趣旨及び範囲から逸脱することなく、多くの修正及び変形が可能である。本明細書に開示される実施形態は、あらゆる点で例示的であり、限定的ではないものと見なされるべきである。本開示の範囲を決定する際に、添付の特許請求の範囲及びそれらの等価物を参照するべきである。
別途記載のない限り、「〜に接続される」及び「〜に連結される」という用語(並びにそれらの派生語)は、本明細書及び特許請求の範囲で使用するとき、直接的接続及び間接的接続(即ち、他の要素若しくは構成要素を介する)の両方を許容するものとして解釈されるものである。それに加えて、「a」又は「an」という用語は、本明細書及び特許請求の範囲で使用するとき、「〜のうち少なくとも1つ」を意味するものとして解釈されるものである。最後に、簡潔にするため、「含む」及び「有する」という用語(並びにそれらの派生語)は、本明細書及び特許請求の範囲で使用するとき、「備える」という単語と互換性があり、同じ意味を有する。

Claims (15)

  1. セキュリティ脅威を検出するためのコンピュータ実装方法であって、前記方法の少なくとも一部が少なくとも1つのプロセッサを備えるコンピューティングデバイスによって実施され、
    ソフトウェアセキュリティプログラムによってクライアントデバイスでのセキュリティインシデントを検出して、その結果、前記ソフトウェアセキュリティプログラムがシグニチャレポートを生成して前記セキュリティインシデントを特定することと、
    前記シグニチャレポートを用いてアソシエーションデータベースを検索して、前記セキュリティインシデント検出時に前記クライアントデバイスで利用可能ではなかった異なるソフトウェアセキュリティプログラムが、前記クライアントデバイスで予測可能に生成したであろう別のシグニチャレポートを推定することと、
    少なくとも1つの保護措置を実施して、前記アソシエーションデータベースを検索することによって推定される他の前記シグニチャレポートに基づいて、前記セキュリティインシデントに関連したセキュリティ脅威から前記クライアントデバイスを保護することと、を含む、方法。
  2. 前記アソシエーションデータベースがアソシエーションルールマイニングアルゴリズムにしたがって構築される、請求項1に記載のコンピュータ実装方法。
  3. 前記アソシエーションルールマイニングアルゴリズムが、閾値頻度を超えて同時に発生する少なくとも2つのシグニチャレポートのグループを特定する、請求項2に記載のコンピュータ実装方法。
  4. 別のシグニチャレポートを推定することが、少なくとも2つのシグニチャレポートを推定することを含む、請求項1に記載のコンピュータ実装方法。
  5. 少なくとも1つのシグニチャレポートがセキュリティ侵害を示すという判定に基づいて、少なくとも2つの前記シグニチャレポートのうち少なくとも1つの前記シグニチャレポートをフィルタリングすることを更に含む、請求項4に記載のコンピュータ実装方法。
  6. 少なくとも1つの前記シグニチャレポートがセキュリティ侵害を示すという前記判定が、前記シグニチャレポートが統計的な測定値にしたがってセキュリティ侵害状態と不相応に関連付けられる判定を含む、請求項5に記載のコンピュータ実装方法。
  7. 少なくとも1つの前記シグニチャレポートがセキュリティ侵害を示すという前記判定が、セキュリティ侵害を示す前記シグニチャレポートにおける信頼度の自動測定値が信頼度閾値を満たす判定を含む、請求項5に記載のコンピュータ実装方法。
  8. 別のシグニチャレポートを推定することが、前記セキュリティインシデントの属性を推論することを含む、請求項1に記載のコンピュータ実装方法。
  9. 前記属性が、
    前記セキュリティインシデントを引き起こしたファイルに対するファイル識別子と、
    前記セキュリティインシデントを引き起こしたウェブロケーションに対するユニフォームリソースロケータと、
    前記セキュリティインシデントを引き起こしたウェブロケーションに対するインターネットプロトコルアドレスと、のうち少なくとも1つを含む、請求項8に記載のコンピュータ実装方法。
  10. 請求項8に記載のコンピュータ実装方法であって、
    前記属性の前記推論することが正しいという信頼度の程度を測定することと、
    前記測定された信頼度の程度が信頼度閾値を満たすことを判定することと、を更に含む、方法。
  11. セキュリティ脅威を検出するためのシステムであって、
    ソフトウェアセキュリティプログラムの一部として、クライアントデバイスでのセキュリティインシデントを検出して、その結果、前記ソフトウェアセキュリティプログラムがシグニチャレポートを生成して前記セキュリティインシデントを特定する、メモリ内に格納される検出する手段と、
    前記シグニチャレポートを用いてアソシエーションデータベースを検索して、前記セキュリティインシデント検出時に前記クライアントデバイスで利用可能ではなかった異なるソフトウェアセキュリティプログラムが、前記クライアントデバイスで予測可能に生成したであろう別のシグニチャレポートを推定する、メモリ内に格納される検索する手段と、
    少なくとも1つの保護措置を実施して、前記アソシエーションデータベースを検索することによって推定される他の前記シグニチャレポートに基づいて、前記セキュリティインシデントに関連したセキュリティ脅威から前記クライアントデバイスを保護する、メモリ内に格納される実施する手段と、
    前記検出する手段、前記検索する手段、及び前記実施する手段を実行するように構成される少なくとも1つの物理的プロセッサと、
    を備える、システム。
  12. 前記アソシエーションデータベースがアソシエーションルールマイニングアルゴリズムにしたがって構築される、請求項11に記載のシステム。
  13. 前記アソシエーションルールマイニングアルゴリズムが、閾値頻度を超えて同時に発生する少なくとも2つのシグニチャレポートのグループを特定する、請求項12に記載のシステム。
  14. 前記検索する手段が、少なくとも2つのシグニチャレポートを推定することによって別のシグニチャレポートを推定する、請求項11に記載のシステム。
  15. コンピュータ可読命令を格納する非一時的コンピュータ可読媒体であって、1つ以上のコンピュータ実行可能命令を含み、コンピューティングデバイスの少なくとも1つのプロセッサによって実行されると、前記コンピューティングデバイスに、
    ソフトウェアセキュリティプログラムによってクライアントデバイスでのセキュリティインシデントを検出して、その結果、前記ソフトウェアセキュリティプログラムがシグニチャレポートを生成して前記セキュリティインシデントを特定することと、
    前記シグニチャレポートを用いてアソシエーションデータベースを検索して、前記セキュリティインシデント検出時に前記クライアントデバイスで利用可能ではなかった異なるソフトウェアセキュリティプログラムが、前記クライアントデバイスで予測可能に生成したであろう別のシグニチャレポートを推定することと、
    少なくとも1つの保護措置を実施して、前記アソシエーションデータベースを検索することによって推定される他の前記シグニチャレポートに基づいて、前記セキュリティインシデントに関連したセキュリティ脅威から前記クライアントデバイスを保護することと、をもたらす非一時的コンピュータ可読媒体。
JP2018549213A 2016-03-30 2016-12-28 セキュリティ脅威を検出するためのシステム及び方法 Active JP6703616B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/084,522 2016-03-30
US15/084,522 US10003606B2 (en) 2016-03-30 2016-03-30 Systems and methods for detecting security threats
PCT/US2016/069027 WO2017171954A1 (en) 2016-03-30 2016-12-28 Systems and methods for detecting security threats

Publications (2)

Publication Number Publication Date
JP2019516160A JP2019516160A (ja) 2019-06-13
JP6703616B2 true JP6703616B2 (ja) 2020-06-03

Family

ID=57882143

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018549213A Active JP6703616B2 (ja) 2016-03-30 2016-12-28 セキュリティ脅威を検出するためのシステム及び方法

Country Status (5)

Country Link
US (1) US10003606B2 (ja)
EP (1) EP3437287A1 (ja)
JP (1) JP6703616B2 (ja)
CN (1) CN109155774B (ja)
WO (1) WO2017171954A1 (ja)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10771479B2 (en) * 2016-09-26 2020-09-08 Splunk Inc. Configuring modular alert actions and reporting action performance information
EP3319355A1 (en) * 2016-11-03 2018-05-09 Cyan Security Group GmbH Distributed firewall system
US20180191781A1 (en) * 2016-12-30 2018-07-05 Microsoft Technology Licensing, Llc Data insights platform for a security and compliance environment
US10848501B2 (en) 2016-12-30 2020-11-24 Microsoft Technology Licensing, Llc Real time pivoting on data to model governance properties
US10579821B2 (en) 2016-12-30 2020-03-03 Microsoft Technology Licensing, Llc Intelligence and analysis driven security and compliance recommendations
US10250389B2 (en) * 2017-01-17 2019-04-02 Go Daddy Operating Company, LLC Script verification using a hash
US10333716B2 (en) * 2017-01-17 2019-06-25 Go Daddy Operating Company, LLC Script verification using a digital signature
CN109302407A (zh) * 2018-10-31 2019-02-01 广东电网有限责任公司 一种网络安全态势预测方法、装置、设备及存储介质
TWI732169B (zh) * 2019-01-15 2021-07-01 中華電信股份有限公司 驗證威脅情資有效性的方法及驗證系統
US11531570B2 (en) * 2020-03-11 2022-12-20 Fortinet, Inc. Adaptive resource provisioning for a multi-tenant distributed event data store
US20230039584A1 (en) * 2021-08-04 2023-02-09 International Business Machines Corporation Data access control management computer system for event driven dynamic security
US20230269256A1 (en) * 2022-02-21 2023-08-24 Palo Alto Networks (Israel Analytics) Ltd. Agent prevention augmentation based on organizational learning

Family Cites Families (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7051362B2 (en) 2000-05-16 2006-05-23 Ideaflood, Inc. Method and system for operating a network server to discourage inappropriate use
US9027121B2 (en) * 2000-10-10 2015-05-05 International Business Machines Corporation Method and system for creating a record for one or more computer security incidents
US7748038B2 (en) 2004-06-16 2010-06-29 Ironport Systems, Inc. Method and apparatus for managing computer virus outbreaks
US7490352B2 (en) 2005-04-07 2009-02-10 Microsoft Corporation Systems and methods for verifying trust of executable files
CN101160563A (zh) 2005-04-18 2008-04-09 捷讯研究有限公司 用于托管并执行组件应用程序的方法和系统
US8060860B2 (en) 2005-04-22 2011-11-15 Apple Inc. Security methods and systems
US7352280B1 (en) 2005-09-01 2008-04-01 Raytheon Company System and method for intruder tracking using advanced correlation in a network security system
WO2007117585A2 (en) 2006-04-06 2007-10-18 Smobile Systems Inc. System and method for managing malware protection on mobile devices
US9098706B1 (en) 2006-07-31 2015-08-04 Symantec Corporation Installer trust chain validation
US8510834B2 (en) 2006-10-09 2013-08-13 Radware, Ltd. Automatic signature propagation network
US20080148398A1 (en) * 2006-10-31 2008-06-19 Derek John Mezack System and Method for Definition and Automated Analysis of Computer Security Threat Models
US9959404B2 (en) 2007-10-01 2018-05-01 Symantec Corporation Methods and systems for creating and updating approved-file and trusted-domain databases
US8146151B2 (en) 2008-02-27 2012-03-27 Microsoft Corporation Safe file transmission and reputation lookup
US8931086B2 (en) 2008-09-26 2015-01-06 Symantec Corporation Method and apparatus for reducing false positive detection of malware
CN101436967A (zh) * 2008-12-23 2009-05-20 北京邮电大学 一种网络安全态势评估方法及其系统
US20100228852A1 (en) 2009-03-06 2010-09-09 Steven Gemelos Detection of Advertising Arbitrage and Click Fraud
US8806620B2 (en) * 2009-12-26 2014-08-12 Intel Corporation Method and device for managing security events
US8438644B2 (en) 2011-03-07 2013-05-07 Isight Partners, Inc. Information system security based on threat vectors
US20130074143A1 (en) 2011-09-15 2013-03-21 Mcafee, Inc. System and method for real-time customized threat protection
US8839435B1 (en) * 2011-11-04 2014-09-16 Cisco Technology, Inc. Event-based attack detection
US8214905B1 (en) 2011-12-21 2012-07-03 Kaspersky Lab Zao System and method for dynamically allocating computing resources for processing security information
US9710644B2 (en) 2012-02-01 2017-07-18 Servicenow, Inc. Techniques for sharing network security event information
US20140096246A1 (en) 2012-10-01 2014-04-03 Google Inc. Protecting users from undesirable content
US9147073B2 (en) * 2013-02-01 2015-09-29 Kaspersky Lab, Zao System and method for automatic generation of heuristic algorithms for malicious object identification
WO2014143000A1 (en) 2013-03-15 2014-09-18 Mcafee, Inc. Server-assisted anti-malware
US9270467B1 (en) 2013-05-16 2016-02-23 Symantec Corporation Systems and methods for trust propagation of signed files across devices
EP3044718A4 (en) 2013-09-10 2017-05-17 Symantec Corporation Systems and methods for using event-correlation graphs to detect attacks on computing systems
US9288220B2 (en) 2013-11-07 2016-03-15 Cyberpoint International Llc Methods and systems for malware detection
US9413780B1 (en) 2014-05-06 2016-08-09 Synack, Inc. Security assessment incentive method for promoting discovery of computer software vulnerabilities
US9485272B1 (en) 2014-06-17 2016-11-01 Symantec Corporation Systems and methods for estimating confidence scores of unverified signatures
US10686759B2 (en) 2014-06-22 2020-06-16 Webroot, Inc. Network threat prediction and blocking
US9832219B2 (en) 2014-09-05 2017-11-28 International Business Machines Corporation System for tracking data security threats and method for same
US9398036B2 (en) 2014-09-17 2016-07-19 Microsoft Technology Licensing, Llc Chunk-based file acquisition and file reputation evaluation
US9646159B2 (en) 2015-03-31 2017-05-09 Juniper Networks, Inc. Multi-file malware analysis
US9792169B2 (en) * 2015-07-29 2017-10-17 Quest Software Inc. Managing alert profiles
US9838405B1 (en) 2015-11-20 2017-12-05 Symantec Corporation Systems and methods for determining types of malware infections on computing devices

Also Published As

Publication number Publication date
EP3437287A1 (en) 2019-02-06
CN109155774B (zh) 2021-10-29
WO2017171954A1 (en) 2017-10-05
CN109155774A (zh) 2019-01-04
JP2019516160A (ja) 2019-06-13
US20170289178A1 (en) 2017-10-05
US10003606B2 (en) 2018-06-19

Similar Documents

Publication Publication Date Title
JP6703616B2 (ja) セキュリティ脅威を検出するためのシステム及び方法
JP6756933B2 (ja) 悪意のあるコンピューティングイベントを検出するためのシステム及び方法
US9998480B1 (en) Systems and methods for predicting security threats
US9800606B1 (en) Systems and methods for evaluating network security
US10284587B1 (en) Systems and methods for responding to electronic security incidents
JP6364547B2 (ja) セキュリティイベントを標的型攻撃として分類するシステム及び方法
US9838405B1 (en) Systems and methods for determining types of malware infections on computing devices
EP3039609B1 (en) Systems and methods for identifying private keys that have been compromised
US9065849B1 (en) Systems and methods for determining trustworthiness of software programs
EP3455770B1 (en) Systems and methods for determining security risk profiles
CA2915068C (en) Systems and methods for directing application updates
JP2018522359A (ja) コンピューティングプロセス内の未知の脆弱性を検出するためのシステム及び方法
US9800590B1 (en) Systems and methods for threat detection using a software program update profile
US9934378B1 (en) Systems and methods for filtering log files
US9652615B1 (en) Systems and methods for analyzing suspected malware
US10250588B1 (en) Systems and methods for determining reputations of digital certificate signers
US9900330B1 (en) Systems and methods for identifying potentially risky data users within organizations
US9166995B1 (en) Systems and methods for using user-input information to identify computer security threats
US9552481B1 (en) Systems and methods for monitoring programs
US9160757B1 (en) Systems and methods for detecting suspicious attempts to access data based on organizational relationships
US10169584B1 (en) Systems and methods for identifying non-malicious files on computing devices within organizations
US10043013B1 (en) Systems and methods for detecting gadgets on computing devices
US10650142B1 (en) Systems and methods for detecting potentially malicious hardware-related anomalies
US9659176B1 (en) Systems and methods for generating repair scripts that facilitate remediation of malware side-effects
US12034764B1 (en) Systems and methods for detecting malware based on anomalous cross-customer financial transactions

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180917

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180917

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20180927

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190927

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191015

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191210

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200414

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200508

R150 Certificate of patent or registration of utility model

Ref document number: 6703616

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R154 Certificate of patent or utility model (reissue)

Free format text: JAPANESE INTERMEDIATE CODE: R154

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250