JP6723267B2 - スペースおよび時間効率のよい脅威検知 - Google Patents
スペースおよび時間効率のよい脅威検知 Download PDFInfo
- Publication number
- JP6723267B2 JP6723267B2 JP2017558628A JP2017558628A JP6723267B2 JP 6723267 B2 JP6723267 B2 JP 6723267B2 JP 2017558628 A JP2017558628 A JP 2017558628A JP 2017558628 A JP2017558628 A JP 2017558628A JP 6723267 B2 JP6723267 B2 JP 6723267B2
- Authority
- JP
- Japan
- Prior art keywords
- threat
- event data
- data
- indicator
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
- G06F21/6254—Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Bioethics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Computer And Data Communications (AREA)
- Alarm Systems (AREA)
- Debugging And Monitoring (AREA)
Description
本開示は、一般にサイバー脅威検知の分野に関する。
関連出願の相互参照
本出願は、2015年1月30日に出願された米国特許仮出願第62/109,862号、および2016年1月26日に出願された米国特許出願第15/007,131号の利益およびそれらに対する優先権を主張するものであり、それらは、その全体が参照によって本明細書に組み込まれている。
本出願は、2015年1月30日に出願された米国特許仮出願第62/109,862号、および2016年1月26日に出願された米国特許出願第15/007,131号の利益およびそれらに対する優先権を主張するものであり、それらは、その全体が参照によって本明細書に組み込まれている。
技術の説明
サイバー脅威検知は、オンラインシステムのセキュリティーインフラストラクチャーの不可欠な部分である。典型的な脅威検知システムの鍵となる部分は、脅威情報フィード、すなわち、不審な行動に関連付けられているエンティティーを示すフィードである。脅威情報フィードからの情報は次いで、オンラインシステムから収集されたイベント情報と比較されて、それらのイベントのうちのいずれかがサイバー脅威に関連付けられている可能性があるかどうかを決定する。いくつかのケースにおいては、脅威情報フィードは、本来なら無害であるイベントがサイバー脅威として誤ってフラグ設定されるようにしてしまう情報を含む可能性がある。これは、誤った情報から生じる偽陽性または偽陰性に起因して、不必要な調査負荷をオンラインシステムのオペレータに課す。
サイバー脅威検知は、オンラインシステムのセキュリティーインフラストラクチャーの不可欠な部分である。典型的な脅威検知システムの鍵となる部分は、脅威情報フィード、すなわち、不審な行動に関連付けられているエンティティーを示すフィードである。脅威情報フィードからの情報は次いで、オンラインシステムから収集されたイベント情報と比較されて、それらのイベントのうちのいずれかがサイバー脅威に関連付けられている可能性があるかどうかを決定する。いくつかのケースにおいては、脅威情報フィードは、本来なら無害であるイベントがサイバー脅威として誤ってフラグ設定されるようにしてしまう情報を含む可能性がある。これは、誤った情報から生じる偽陽性または偽陰性に起因して、不必要な調査負荷をオンラインシステムのオペレータに課す。
開示されている実施形態は、詳細な説明、添付の特許請求の範囲、および添付の図(または図面)からさらに容易に明らかになる利点および特徴を有している。それらの図の簡単な紹介は、下記のとおりである。
脅威検知のために構成されているコンピューティング環境を示す図である。
図1における脅威検知エンジンの詳細な図を示す。
セキュリティーモニタリングシステムから受信されたアグリゲートされたイベントデータを格納するためのブルームフィルタの階層を示す図である。
所与のセキュリティーモニタリングシステムに関する脅威報告モジュールによって生成された例示的な脅威報告インターフェースを示す図である。
所与のセキュリティーモニタリングシステムに関する脅威報告モジュールによって生成された例示的な脅威報告インターフェースを示す図である。
脅威検知エンジンによって生成された例示的なフォレンジックインターフェースを示す図である。
脅威検知エンジンによって生成された例示的なストアインターフェースを示す図である。
セキュリティーモニタリングシステムから受信されたアグリゲートされたイベントデータに基づいて脅威を検知するための例示的な流れ図を示す。
マシン可読媒体から命令を読み取ってそれらの命令をプロセッサ(またはコントローラ)において実行するように構成されている例示的なマシンのコンポーネントを示すブロック図である。
図および以降の説明は、単なる例示としての好ましい実施形態に関する。以降の論考から、本明細書において開示されている構造および方法の代替的実施形態が、特許請求の範囲の原理から逸脱することなく用いられることが可能である実行可能な代替案として容易に認識されるであろうということに留意されたい。
いくつかの実施形態に対して詳細に参照が行われ、それらの実施形態の例が、添付の図において示されている。実用的である場合は常に、類似のまたは同様の参照番号が、図において使用されることが可能であり、類似のまたは同様の機能を示すことができるということが留意される。それらの図は、開示されているシステム(または方法)の実施形態を、例示のみの目的で表示している。本明細書において示されている構造および方法の代替的実施形態が、本明細書において記述されている原理から逸脱することなく用いられることが可能であるということを、当業者なら、以降の説明から容易に認識するであろう。
構成の概観
例示的な実施形態として開示されているのは、下流クライアントシステムから受信されたイベント情報を自動制御で処理して、赤色フラグイベント、すなわち、サイバー脅威を示すイベントを識別する脅威分析システムである。オペレーションにおいては、下流クライアントによって運用されているセキュリティーモニタリングシステムが、下流クライアントのコンピューティング環境内で発生したイベントを示すイベント情報を継続的に収集する。それぞれのイベントは、入ってくる要求に関連付けられているインターネットプロトコル(IP)アドレス、ファイルハッシュ、ドメイン、Eメールアドレス、およびその他のタイプの情報など、そのイベントに関連付けられているエンティティー識別子を指定する。モニタリングシステムは、脅威分析システムによって提供されたソフトウェアを使用して、イベント情報を、安全でスペース効率のよいデータ構造へとアグリゲートする。イベント情報は、別々の時間ウィンドウに従ってアグリゲートされることが可能であり、それによって、あるデータ構造は、1カ月にわたってアグリゲートされたイベント情報を含むことができ、別のデータ構造は、1時間にわたってアグリゲートされたイベント情報を含むことができる。モニタリングシステムは、アグリゲートされたイベント情報を格納しているデータ構造をさらなる処理のために脅威分析システムへ送信する。代替的実施形態においては、イベント情報は、アグリゲートされることなく単一のイベントとして脅威分析システムへ送信される。
例示的な実施形態として開示されているのは、下流クライアントシステムから受信されたイベント情報を自動制御で処理して、赤色フラグイベント、すなわち、サイバー脅威を示すイベントを識別する脅威分析システムである。オペレーションにおいては、下流クライアントによって運用されているセキュリティーモニタリングシステムが、下流クライアントのコンピューティング環境内で発生したイベントを示すイベント情報を継続的に収集する。それぞれのイベントは、入ってくる要求に関連付けられているインターネットプロトコル(IP)アドレス、ファイルハッシュ、ドメイン、Eメールアドレス、およびその他のタイプの情報など、そのイベントに関連付けられているエンティティー識別子を指定する。モニタリングシステムは、脅威分析システムによって提供されたソフトウェアを使用して、イベント情報を、安全でスペース効率のよいデータ構造へとアグリゲートする。イベント情報は、別々の時間ウィンドウに従ってアグリゲートされることが可能であり、それによって、あるデータ構造は、1カ月にわたってアグリゲートされたイベント情報を含むことができ、別のデータ構造は、1時間にわたってアグリゲートされたイベント情報を含むことができる。モニタリングシステムは、アグリゲートされたイベント情報を格納しているデータ構造をさらなる処理のために脅威分析システムへ送信する。代替的実施形態においては、イベント情報は、アグリゲートされることなく単一のイベントとして脅威分析システムへ送信される。
脅威分析システムはまた、インテリジェンスフィードデータソースから脅威インジケータを受信する。これらの脅威インジケータは、インテリジェンスフィードデータソースによって潜在的な脅威として識別された、IPアドレス、ドメイン名、およびユニフォームリソースロケータ(URL)などのエンティティー識別子を含む。脅威分析システムは、それぞれのセキュリティーモニタリングシステムから受信されたイベント情報を、インテリジェンスフィードデータソースから収集された脅威インジケータと比較する。脅威インジケータが、イベント情報に含まれているエンティティー識別子にマッチした場合には、脅威分析システムは、その脅威インジケータの有効性を決定する。その脅威インジケータが、有効な脅威であると決定された場合には、そのエンティティー識別子に関連付けられているイベントは、赤色フラグイベントとみなされる。脅威分析システムは、イベント情報を処理して、赤色フラグイベントに関連したすべての情報を合成し、赤色フラグイベントを下流クライアントに報告する。
例示的なコンピューティング環境アーキテクチャー
図1は、実施形態による、脅威検知のために構成されているコンピューティング環境100を示している。示されているように、コンピューティング環境100は、セキュリティーモニタリングシステム110(0)〜110(N)(全体としてセキュリティーモニタリングシステム110、および個々にセキュリティーモニタリングシステム110)、脅威分析システム120、および脅威データソース130(0)〜130(N)(全体として脅威データソース130、および個々に脅威データソース130)を含む。セキュリティーモニタリングシステム110(0)〜110(N)のそれぞれは、アドオンモジュール115(0)〜115(N)(全体としてアドオンモジュール115、および個々にアドオンモジュール115)のうちの1つに結合されている。
図1は、実施形態による、脅威検知のために構成されているコンピューティング環境100を示している。示されているように、コンピューティング環境100は、セキュリティーモニタリングシステム110(0)〜110(N)(全体としてセキュリティーモニタリングシステム110、および個々にセキュリティーモニタリングシステム110)、脅威分析システム120、および脅威データソース130(0)〜130(N)(全体として脅威データソース130、および個々に脅威データソース130)を含む。セキュリティーモニタリングシステム110(0)〜110(N)のそれぞれは、アドオンモジュール115(0)〜115(N)(全体としてアドオンモジュール115、および個々にアドオンモジュール115)のうちの1つに結合されている。
セキュリティーモニタリングシステム110は、イベント収集モジュール112およびイベントストア114を含む。一実施形態においては、セキュリティーモニタリングシステム110は、セキュリティー情報およびイベント管理(SIEM)システムであることが可能である。イベント収集モジュール112は、クライアントシステムのコンピューティングインフラストラクチャー内のさまざまなサービスに接続して、それらのサービスからイベント情報を継続的に収集する。そのようなサービスは、ネットワークデバイス、セキュリティーシステム、サーバ、データベース、およびソフトウェアアプリケーションを含む。それぞれのイベントは、少なくともタイムスタンプおよびエンティティー識別子に関連付けられており、それらに、そのイベントは起因すると考えられることができる。エンティティー識別子は、IPアドレス、ドメイン名、ユーザ名、MACアドレス、Eメールアドレス、ファイルハッシュ、またはその他の任意の技術的に実現可能な一意の識別子であることが可能である。エンティティー識別子へのイベントの帰属は、断定的な帰属または推定された帰属であることが可能である。イベント収集モジュール112は、収集されたイベント情報をイベントストア114において格納する。
セキュリティーモニタリングシステム110に結合されているアドオンモジュール115は、イベント情報をアグリゲートする目的で脅威分析システム120によってセキュリティーモニタリングシステム110に提供されたソフトウェアモジュールである。アドオンモジュール115は、イベントアグリゲーションモジュール116(あるいは、アグリゲーションモジュール116)および構成ストア118を含む。イベントアグリゲーションモジュール116は、イベントストア114において格納されているイベント情報を、脅威分析システム120へ送信するためにアグリゲートする。イベントアグリゲーションモジュール116は、イベント情報をアグリゲートする際の2つの主な原理、すなわち、データセキュリティーおよびストレージ効率のもとで機能する。両方を達成するために、イベントアグリゲーションモジュール116は、イベント情報を、時間効率のよい様式で検索されることが可能であるスペース効率のよい難読化されたデータ構造へとアグリゲートする。これらのデータ構造は、本明細書においては、「アグリゲートされたイベントデータ構造」と呼ばれる。アグリゲートされたイベントデータ構造の例は、ハッシュマップ、ビットマップ、ブルームフィルタ、キー/値ペア、リスト、処理を伴わない生データなどを含む。一実施形態においては、イベントアグリゲーションモジュール116は、イベント情報を1または複数のホワイトリストと比較して、目下のまたは差し迫った脅威に関連したイベントではないと以前に判断されたイベントを除外する。それらのホワイトリストは、アグリゲーションモジュール116にとって利用可能な脅威情報に応じて構成できるものであることおよび頻繁に変更されることが可能である。
一実施形態においては、イベントアグリゲーションモジュール116は、所与の期間、たとえば、年、月、日、時間に関連付けられているイベント情報を、ブルームフィルタ、すなわち、あるタイプのアグリゲートされたイベントデータ構造へとアグリゲートする。一般には、ブルームフィルタは、所与の要素、たとえば、エンティティー識別子のハッシュがそのブルームフィルタに含まれているかどうかをテストするために使用されるスペース効率のよい確率的なデータ構造である。ブルームフィルタを検索することは、偽陽性を生み出す可能性があるが、偽陰性を生み出す可能性はない。オペレーションにおいては、イベントアグリゲーションモジュール116は、所与の期間に関連付けられているブルームフィルタを、その所与の期間においてクライアントシステム内で発生したイベントに関連付けられているエンティティー識別子に基づいて生成する。重要なことに、ブルームフィルタは、実際のエンティティー識別子を格納せず、代わりに、そのエンティティー識別子の難読化されたバージョン、すなわちハッシュを格納する。ブルームフィルタは、拡張可能なカウンティングブルームフィルタであることが可能であり、それによって、ブルームフィルタのサイズは、必要に応じて増大されることが可能である。ブルームフィルタは、所与のエンティティー識別子に関して生成されると、そのエンティティー識別子が確実にそのブルームフィルタに含まれていないかどうかを決定するために検索されることが可能である。イベント情報は、ブルームフィルタ以外のデータ構造において同じ様式でアグリゲートされることが可能であるということを当業者なら容易に認識するであろう。
構成ストア118は、構成を格納し、その構成に従って、イベントアグリゲーションモジュール116がイベント情報をアグリゲートする。そのような1つの構成は、イベント情報が、アグリゲートされたイベントデータ構造へとアグリゲートされる頻度、たとえば、毎日、毎月、毎時、リアルタイムなどである。イベントアグリゲーションモジュール116は、その結果として、構成によって指定されている時点で、アグリゲートされたイベントデータ構造を生成する。別の構成は、イベント情報がアグリゲートされることになる期間、たとえば、1年にわたるアグリゲートされたイベント情報、1カ月にわたるアグリゲートされたイベント情報などである。イベントアグリゲーションモジュール116は、その結果として、構成ストア118において指定されているさまざまな期間にわたるアグリゲートされたイベントデータ構造を生成する。その他の構成は、イベントアグリゲーションモジュール116によって生成されるデータ構造、たとえばブルームフィルタに関する最大のサイズおよびエラー率に関連することが可能である。一例においては、これらの構成は、イベントアグリゲーションモジュール116によって生成されるデータ構造、たとえばブルームフィルタに関するサイズおよびエラー率の要件を決定する。一実施形態においては、ブルームフィルタに関するサイズおよびエラー率の要件は、ブルームフィルタに関連付けられている期間に応じてさまざまである。たとえば、所与の1年間にわたる難読化されたイベント情報を格納しているブルームフィルタは、当然のことながら、所与の1カ月間にわたる難読化されたイベント情報を格納しているブルームフィルタよりも大きいこと、および高いエラー率を有することが可能である。
一実施形態においては、アグリゲーション中に、イベントアグリゲーションモジュール116は、クラッシュ回復の目的で、これまでアグリゲートされたイベント情報に定期的にチェックポイントを設定する。具体的には、セキュリティーモニタリングシステム110が全体として、またはイベントアグリゲーションモジュール116が特に、アグリゲーションプロセス中にクラッシュを経験した場合には、イベントアグリゲーションモジュール116は、アグリゲーションプロセスを最初から開始するのとは対照的に、最後のチェックポイントから回復することができる。
イベントアグリゲーションモジュール116は、生成された、アグリゲートされたイベントデータ構造を、脅威検知の目的で脅威分析システム120へ送信する。代替的実施形態においては、イベント情報は、アグリゲートされることなく単一のイベントとして脅威分析システムへ送信される。脅威分析システム120は、クライアントインターフェースエンジン122、脅威検知エンジン124、およびフィードインターフェースエンジン126を含む。
クライアントインターフェースエンジン122は、脅威分析システム120がセキュリティーモニタリングシステム110と通信することを可能にする統合された双方向の通信インターフェースを提供する。とりわけ、クライアントインターフェースエンジン122は、アグリゲートされたイベントデータ構造をセキュリティーモニタリングシステム110から受信し、それらのデータ構造を脅威検知エンジン124へ送信する。重要なことに、クライアントインターフェースエンジン122は、別々のセキュリティーモニタリングシステム110にわたってさまざまな通信プロトコルを抽出し、それによって、脅威分析システム120のその他のダウンストリームコンポーネントは、それらのさまざまなプロトコルの具体的な知識がなくても機能する。クライアントインターフェースエンジン122は、脅威分析システム120のダウンストリームコンポーネントが単一の通信をすべてのセキュリティーモニタリングシステム110へ送信することを可能にする一対多のプッシュ通信機能を含む。さらに、セキュリティーモニタリングシステム110から入ってくる通信に関して、クライアントインターフェースエンジン122は、それらの通信にチェックポイントを設定し、それによって、何らかの理由で通信が中断した場合に、セキュリティーモニタリングシステム110は、通信を再び最初から開始することを要求されないこととなる。
フィードインターフェースエンジン126は、脅威分析システム120が脅威データソース130から脅威データフィードを受信することを可能にする通信インターフェースを提供する。脅威データフィードは、そのフィードが受信された脅威データソース130が脅威とみなした脅威インジケータのリストを含む。フィードインターフェースエンジン126は、脅威データフィードを受信し、それらのフィードをさらなる処理のために脅威検知エンジン124へ送信する。
脅威検知エンジン124は、(1)赤色フラグイベント、すなわち、サイバー脅威を示すイベントを識別すること、(2)赤色フラグイベントに関する詳細なレポートを、関連するセキュリティーモニタリングシステム110に提供すること、および(3)入ってくる脅威データフィードの品質を分析することという少なくとも3つの機能を提供する。少なくともこれらの機能を実行する際の脅威検知エンジン124のオペレーションが、以降で図2〜図4に関連して詳細に記述されている。
脅威検知プロセス
図2は、図1における脅威検知エンジン124の詳細な図を示している。示されているように、脅威検知エンジン124は、脅威識別モジュール202、脅威報告モジュール204、フィード品質モジュール206、脅威データフィードストア208、およびアグリゲートされたイベントストア210を含む。
図2は、図1における脅威検知エンジン124の詳細な図を示している。示されているように、脅威検知エンジン124は、脅威識別モジュール202、脅威報告モジュール204、フィード品質モジュール206、脅威データフィードストア208、およびアグリゲートされたイベントストア210を含む。
脅威データフィードストア208は、フィードインターフェースエンジン126を介して脅威データソース130から受信された脅威データフィードを格納する。それぞれの脅威データフィードに関連して、脅威データフィードストア208は、そのフィードが受信された脅威データソース130に一意に関連付けられている識別子と、そのフィードが受信された時刻と、そのフィードに関連付けられている品質メトリックとを格納する。品質メトリックは、独立したソースから受信されることが可能であり、(以降でフィード品質モジュール206に関連して論じられている)脅威検知エンジン124によって算出されることが可能であり、または独立したソースから受信されたメトリックと、脅威検知エンジン124によって算出されたメトリックとの組合せであることが可能である。
アグリゲートされたイベントストア210は、クライアントインターフェースエンジン122を介してセキュリティーモニタリングシステム110から受信された、アグリゲートされたイベントデータ構造を格納する。それぞれのアグリゲートされたイベントデータ構造に関連して、アグリゲートされたイベントストア210は、そのデータ構造が受信されたセキュリティーモニタリングシステム110に一意に関連付けられている識別子と、そのデータ構造が受信された時刻と、そのデータ構造が生成された期間とを格納する。
一実施形態においては、アグリゲートされたイベントストア210は、セキュリティーモニタリングシステム110から受信されたアグリゲートされたイベントデータ構造を、インデックス付けされた階層で格納する。図3は、セキュリティーモニタリングシステム110から受信されたアグリゲートされたイベントデータを格納するためのブルームフィルタの階層を示している。示されているように、ブルームフィルタ302〜308のそれぞれは、別々のレベルの時間ベースの粒度を有する。たとえば、年別ブルームフィルタ302は、所与の1年に関連付けられており、月別ブルームフィルタ304はそれぞれ、その所与の1年の異なる月に関連付けられており、日別ブルームフィルタ306はそれぞれ、1カ月の異なる日に関連付けられており、時間別ブルームフィルタ308はそれぞれ、その1日の異なる1時間に関連付けられている。その他のタイプのデータ構造が、図3におけるブルームフィルタに関して示されている同じタイプの階層へと編成されることが可能であるということを当業者なら認識するであろう。
図2へ戻ると、脅威識別モジュール202は、アグリゲートされたイベントデータ構造を処理して、赤色フラグイベント、すなわち、セキュリティーモニタリングシステム110において取り込まれた、サイバー脅威を示すイベントを識別する。赤色フラグイベントを識別するために、脅威識別モジュール202は、特定のセキュリティーモニタリングシステム110に関連付けられているアグリゲートされたイベントデータ構造を、そのデータ構造によって表されているエンティティー識別子と、ストア208において格納されている脅威データフィードに含まれている脅威インジケータとの間におけるマッチを求めて検索する。
一実施形態においては、脅威識別モジュール202は、1または複数のインジケータ拡張技術を介してストア208における利用可能な脅威インジケータを拡張する。インジケータ拡張技術によって、脅威識別モジュール202が、脅威インジケータの1または複数のパラメータを評価して、それらのパラメータに基づいてさらなるインジケータを生成することが可能となる。たとえば、インターネットプロトコルアドレスを含む脅威インジケータに関しては、脅威識別モジュール202は、そのアドレスのドメインを決定することができる。そのドメインに基づいて、脅威識別モジュール202は次に、そのドメインに以前に関連付けられたその他のIPアドレスを決定する。そしてそれらのさらなるIPアドレスも、脅威インジケータ、より具体的には、拡張された脅威インジケータになる。
別の例においては、Eメールアドレスを含む脅威インジケータに関しては、脅威識別モジュール202は、ドメイン登録者情報に基づいて、そのEメールアドレスを使用して登録されているドメインを決定することができる。そしてそのドメインも、脅威インジケータになる。別の例においては、脅威識別モジュール202は、セキュリティーモニタリングシステム110によって提供されたログ情報を分析して、システム110によって経験された脅威または攻撃に関連付けられているインターネットプロトコルアドレス、Eメールアドレス、ドメイン、またはその他の情報に基づいて、さらなる脅威インジケータを識別することができる。脅威識別モジュール202は、拡張された脅威インジケータを、脅威データフィードから直接に受信された脅威インジケータとともにストア208において格納する。脅威識別モジュール202はさらに、赤色フラグイベントを識別する際に、これらの拡張された脅威インジケータを使用する。
データ構造がブルームフィルタである実施形態においては、脅威識別モジュール202は、それぞれの脅威インジケータがそのブルームフィルタにおいて存在していないかどうかを決定する。インジケータが存在していない場合には、ブルームフィルタによって表されているイベントは、その脅威インジケータによって示されている脅威に関連付けられていない。インジケータが存在している場合には(これは、ブルームフィルタのケースにおいては、偽陽性である可能性がある)、ブルームフィルタによって表されている少なくとも1つのイベントは、その脅威インジケータによって示されている脅威に関連付けられている。セキュリティーモニタリングシステム110から受信されたブルームフィルタが、(図3において示されているように)時間ベースの階層として編成されている一実施形態においては、脅威識別モジュール202は、所与のインジケータが、最も低い粒度に関連付けられているブルームフィルタ(たとえば、年別ブルームフィルタ)において存在しているかどうかを最初に決定し、そこで初めて、より高い粒度(たとえば、月別)に関連付けられているブルームフィルタへ進むことができる。この階層的な検索は、時間効率がよく、それによって、必要なブルームフィルタのみが検索される。ブルームフィルタは、ハッシュマップ、ビットマップ、ブルームフィルタ、キー/値ペア、リスト、処理を伴わない生データなどを含むその他のタイプのイベントデータ構造と置き換えられることが可能であるということを当業者なら認識するであろう。
イベントが、所与の脅威インジケータに関連付けられていると決定された場合には、脅威識別モジュール202は、任意選択で、その脅威インジケータに関連付けられている脅威の有効性を調査することができる。いくつかのケースにおいては、脅威インジケータを含む脅威フィードは、完全に正確ではない。したがって、脅威の有効性へのさらなる調査は、セキュリティーモニタリングシステム110への脅威の誤った報告の可能性を低減する。いくつかの実施形態においては、脅威識別モジュール202は、そのような評価を実行するための手動のプロセスを開始する。いくつかの実施形態においては、脅威識別モジュール202は、脅威の有効性を評価するための自動化されたプロセスを伴って構成されている。一例においては、脅威識別モジュール202は、脅威の有効性の数値的な確実性を示すそれぞれの脅威に関する脅威確実性スコアを算出する。そのような確実性スコアは、脅威インジケータそのもの、および全体としての脅威フィードに関連した機能を考慮に入れる機械学習アルゴリズムを使用して算出されることが可能である。脅威インジケータ機能の例は、脅威に関連付けられているwhois情報、ドメインネームスペース、およびウイルス総合情報を含む。いくつかの実施形態においては、脅威識別モジュール202によって算出された脅威確実性スコアは、脅威分析システム120の管理者またはその他のユーザによって手作業でオーバーライドされることが可能である。重要なことに、無効であると決定されている脅威は、ストア208において格納されている脅威データフィードにおいて無効な脅威としてフラグ設定される。したがって脅威データフィードは、時間とともにますます正確になる。
脅威インジケータにマッチしているエンティティー識別子に帰属されるイベントは、赤色フラグイベントとみなされる。脅威報告モジュール204は、イベント情報を収集した必要なセキュリティーモニタリングシステム110に赤色フラグイベントの存在を報告する。脅威報告モジュール204は、赤色フラグイベントが識別された時での個別のアラート、およびすべての識別された赤色フラグイベントの時間ベースの(たとえば、毎時、毎週、および毎月の)報告を含むさまざまなタイプの報告メカニズムをサポートする。
一実施形態においては、脅威識別モジュール202は、ドメイン生成アルゴリズムによって生成されたドメインに帰属される赤色フラグイベントを識別する。ドメイン生成アルゴリズムは、悪意あるエンティティーによって、それらの悪意あるエンティティーのシステムにリンクされている多数のドメイン名を定期的に生成するために使用される。多数のドメイン名は、これらのドメインを追跡して悪意あるものとして事前に識別することを困難にする。そのようなシナリオに対処するために、脅威識別モジュール202は、所与のイベントに関連付けられているドメインがサイバー脅威を示しているかどうかを、ドメイン名を分析することによって決定する。ドメイン名の分析は、ドメイン名の長さがしきい値を超えているかどうか、ドメイン名が辞書の言葉を含んでいるかどうか、ドメイン名が、繰り返されている文字を含んでいるかどうか等などのルールに基づくことが可能である。これらのルールは、機械学習を使用して決定されることが可能である。
図4は、所与のセキュリティーモニタリングシステム110に関する脅威報告モジュール204によって生成された例示的な脅威報告インターフェース400を示している。脅威報告インターフェース400は、所与のセキュリティーモニタリングシステム110に関して識別された赤色フラグイベントなどの脅威データの多次元の対話型表示を提示する。
脅威報告インターフェース400は、パネル402〜412などの複数のパネルを含む。それぞれのパネルは、特定の次元に従って編成された脅威データを表示する。パネルが生成されることが可能であることに準じたさまざまな次元は、脅威の時間(パネル402におけるような)、脅威のタイプ、脅威が有効である確実性、脅威の重大度(パネル406におけるような)、脅威となるアクションのタイプ(パネル412)、宛先ポートおよびソースポート、タグ、ならびに地形を含む。一実施形態においては、脅威報告インターフェース400は、図4において示されているさまざまなパネルを同じ表示インターフェース上に同時に表示する。代替的実施形態においては、脅威報告インターフェース400は、個々のパネルまたはパネルのグループに関して別々のインターフェースを生成する。
一実施形態においては、脅威報告モジュール204は、所与のセキュリティーモニタリングシステム110に関する脅威マップパネル410を、そのセキュリティーモニタリングシステム110に関して識別された赤色フラグイベントに基づいて生成する。脅威マップパネル410は、赤色フラグイベントに関連付けられている地球上のさまざまなロケーションを視覚的に示す。そのようなロケーションは、赤色フラグイベントに関して収集されたイベント情報、および/または脅威インジケータに関する脅威データフィードに含まれている情報に基づいて決定されることが可能である。
一実施形態においては、脅威報告インターフェース400、およびその中に含まれている個々のパネルは、対話式である。たとえば、脅威報告インターフェース400が表示されるユーザは、パネルの一部分を選択し、その部分における脅威データを拡大して、その脅威データのさらなる詳細および/またはより詳細な内訳を見ることができる。さらに、脅威報告インターフェース400における個々のパネルどうしはリンクされることが可能であり、それによって、ユーザ対話が所与のパネルに対する更新をもたらした場合には、1または複数のその他のパネルが同様に更新されることが可能である。たとえば、時間別に脅威データを示しているパネルが所与の期間へズームインした場合には、1または複数のその他のパネルが同様に更新して、その所与の期間において取り込まれた脅威データのみを示す。一実施形態においては、脅威報告インターフェース400はタッチセンサー方式であり、それによってユーザは、タッチ入力を使用してインターフェース400およびその中のパネルに対して対話および操作を行うことができる。
脅威報告インターフェース400はまた、ユーザが、クエリー入力414においてテキストクエリーを提供して、インターフェース400において提示される脅威データをさまざまなカテゴリーに従ってフィルタリングすることを可能にする。そのようなカテゴリーは、インバウンドの/アウトバウンドの脅威、許可された/拒否された脅威、脅威の重大度、脅威のタイプ、時間、宛先/ソースなどを含む。オペレーションにおいては、ユーザがテキストクエリーを入力した場合には、脅威報告モジュール204は、そのクエリーのテキストを解析して、そのクエリーにおいて指定されているフィルタリングパラメータを決定する。それぞれのフィルタリングパラメータは、脅威データがフィルタリングされるべきである際に基づくカテゴリーを示し、そのフィルタリングパラメータを満たすことになる値の範囲を任意選択で含む。脅威報告モジュール204は、決定されたフィルタリングパラメータに従って所与のセキュリティーモニタリングシステム110に関する脅威データを処理する。脅威報告モジュール204は、結果として生じるフィルタリングされた脅威データを脅威報告インターフェース400において提示する。
図2へ戻ると、リアルタイムの(またはリアルタイムに近い)脅威検知とともに、脅威識別モジュール202は、所与のセキュリティーモニタリングシステム110に関連付けられている、ストア210において格納されているアグリゲートされたイベントデータ構造上で履歴分析を実行することもできる。たとえば、以前に脅威として識別されなかったインジケータが今度は脅威として識別された場合には、識別モジュール202は、アグリゲートされたイベントデータ構造において過去のイベントを評価して、セキュリティーモニタリングシステム110がその脅威を経験したかどうかを決定することができる。
さらに、図3において示されているように、アグリゲートされたイベントデータ構造を時間ベースの階層で編成することは、新たな脅威が識別されている状況においてフォレンジックオペレーションを効率よく実行することを可能にする。アグリゲートされたイベントデータ構造によって駆動されるフォレンジックオペレーションは、1または複数のセキュリティーモニタリングシステム110によって経験されているリアルタイムの脅威をエンティティーが調査することを可能にする。オペレーションにおいては、脅威検知エンジン124は、アグリゲートされたイベントデータ構造において利用可能な過去のデータ、ならびにストア208において格納されている脅威インジケータに基づいて脅威を検索するための1または複数のパラメータを指定するフォレンジック検索クエリーを受信する。脅威検知エンジン124は、データ構造の階層的なインデックスを使用してリアルタイムの検索オペレーションを実行して、検索クエリーにマッチするイベントを識別する。脅威検知エンジン124は、検索結果を対話式のインターフェースにおいて提示する。
一実施形態においては、フォレンジック検索クエリーは、利用可能な脅威インジケータを拡張して、ひいては、フォレンジックオペレーションの一部とみなされることになるさらなる脅威インジケータを生成するための1または複数のパラメータを指定する。拡張は、フォレンジック検索クエリーのその他の側面にマッチする特定の脅威インジケータまたは脅威インジケータのグループ上で実行されることが可能である。
図5は、脅威検知エンジン124によって生成された例示的なフォレンジックインターフェース500を示している。インターフェース500は、評価されている脅威データの持続時間をインターフェース500のユーザが選択することを可能にする持続時間選択要素502を含む。インターフェース500はまた、フォレンジックオペレーションを実行するためのテキストフォレンジック検索クエリーをユーザが提供することを可能にするクエリー入力504を含む。
インターフェース500は、検索クエリーの結果をグラフ要素506およびテーブル要素508において提示する。グラフ要素506は、時間軸上に描かれた検索クエリーにマッチするイベントのカウントを示している。テーブル要素508は、検索クエリーにマッチするイベントのうちのそれぞれの詳細を示している。それぞれのイベントに関する詳細は、イベントが発生した時刻、脅威のタイプ、脅威に関連付けられているインターネットプロトコルアドレス、脅威が現実のものであるという確実性レベル、脅威の重大度レベル、および、脅威に関連付けられている任意のメタデータ、たとえばタグを含む。一実施形態においては、インターフェース500は、特定の詳細を視覚的に強調表示して、ユーザの注目を得る。たとえば、高い重大度レベルを有しているイベントは、強調表示されること、またはその他のイベントと比べて異なる色で着色されることが可能である。
フィード品質モジュール206は、脅威データソース130から受信されたそれぞれの脅威データフィードに関連付けられている品質メトリックを定期的に算出する。オペレーションにおいては、所与のデータフィードに関して、フィード品質モジュール206は、時間とともに無効であるとみなされた脅威インジケータの数を決定する。品質メトリックは、少なくとも、無効な脅威インジケータの数の数値表示である。一実施形態においては、フィード品質モジュール206は、それぞれのセキュリティーモニタリングシステム110に関する関連性インデックスを生成することもできる。所与のセキュリティーモニタリングシステム110に関して、所与の脅威インジケータを使用して赤色フラグイベントが識別された場合には、脅威分析システム120は、そのような脅威がセキュリティーモニタリングシステム110に関連しているということを示すように、そのタイプの脅威インジケータに関する関連性インデックスを再び算出する。所与のセキュリティーモニタリングシステム110に関する脅威フィードまたはあるタイプの脅威インジケータの関連性インデックスは、そのフィードまたはそのタイプの脅威がシステム110にとっていかに関連しているかを示す。フィード品質モジュール206は、脅威データフィードに関して算出された品質メトリックと、セキュリティーモニタリングシステム110に関して算出された関連性インデックスとを脅威データフィードストア208において格納する。
品質メトリックおよび関連性インデックスは、いくつかの方法で使用されることが可能である。たとえば、所与の脅威データソース130から受信された脅威データフィードの品質メトリックは、脅威データソース130からの今後の購入決定を行うために使用されることが可能である。具体的には、脅威データソース130から受信されたデータフィードの平均品質メトリックが、最小しきい値を下回っている場合には、今後のデータフィードに対して支払われる価格は、最大額を上限とされることが可能であり、またはデータフィードがまったく購入されないことも可能である。別の例として、脅威検知プロセス中に、脅威識別モジュール202は、セキュリティーモニタリングシステム110によって取り込まれたイベントとのマッチを生じさせた脅威データフィードの品質メトリックを決定することができる。品質メトリックが、低い品質を示している場合には、脅威識別モジュール202は、品質メトリックが、より高い品質を示している場合とは対照的に、より厳格な脅威検証プロセスを実行することができる。
一実施形態においては、脅威検知エンジン124は、脅威データフィードを購入するためのデジタルストアを顧客に提供する。デジタルストアにおいては、脅威検知エンジン124は、脅威データフィードを相対的な品質メトリックに従ってソートすることができる。脅威検知エンジン124は、あるいは、または追加として、脅威データフィードを、その特定の顧客(セキュリティーモニタリングシステム110など)に関して算出された関連性インデックスに従って提示することができる。一実施形態においては、脅威検知エンジン124は、顧客が、2つ以上の脅威データフィードをそれらの関連性インデックスおよびインジケータオーバーラップ(もしあれば)のサイズに従って比較することを可能にする。インジケータオーバーラップは、2つ以上の脅威データフィードが、少なくともいくつかの共通の脅威インジケータを含んでいる、したがっていくらかのオーバーラップを有している場合に発生する。
図6は、脅威検知エンジン124によって生成された例示的なストアインターフェース600を示している。示されているように、ストアインターフェース600は、フィード606および608を含む脅威データフィードのリスト602を含む。それぞれのフィードに関して、ストアインターフェース600は、そのフィードの名前、そのフィードのソース、およびそのフィードに関して算出されている関連性スコアを提示する。たとえば、関連性スコア604が、フィード606に関して算出されている。ストアインターフェース600はまた、エンドユーザが、2つ以上のフィードを比較して、それらのフィードの間においてどれぐらい多くのインジケータオーバーラップが存在するかを決定することを可能にする。示されている例示的なイラストにおいては、ユーザは、フィード606および608を比較のために選択している。ストアインターフェース600は、フィード606と608との間において存在するインジケータオーバーラップの量を視覚的に表すオーバーラップ要素610を表示している。
図7は、セキュリティーモニタリングシステム110から受信されたアグリゲートされたイベントデータに基づいて脅威を検知するための例示的な流れ図を示している。その他の実施形態は、図7において示されているプロセスのステップを異なる順序で実行することができ、異なる、さらなる、および/またはより少ないステップを含むことができる。このプロセスは、脅威検知エンジン124などの任意の適切なエンティティーによって実行されることが可能である。
脅威検知エンジン124は、クライアントインターフェースエンジン122を介してセキュリティーモニタリングシステム110から、アグリゲートされたイベントデータをステップ702で受信する。アグリゲートされたイベントデータは、所与の期間においてセキュリティーモニタリングシステム110によって収集されたイベントに関連付けられている情報を含む。それぞれのイベントは、少なくともタイムスタンプおよびエンティティー識別子に関連付けられており、それらに、そのイベントは帰属させられることが可能である。一実施形態においては、アグリゲートされたイベントデータは、スペース効率のよいデータ構造、たとえばブルームフィルタへと編成され、難読化されることが可能である。
脅威検知エンジン124は、脅威データフィードストア208において格納されている1または複数の脅威インジケータが、アグリゲートされたイベントデータにおいて存在しているかどうかをステップ704で決定する。具体的には、脅威検知エンジン124は、アグリゲートされたイベントデータを、脅威データフィードに含まれている脅威インジケータと比較して、脅威インジケータがイベントデータにおいて存在しているかどうかを決定する。脅威インジケータが、アグリゲートされたイベントデータにおいて存在していない場合には、脅威検知エンジン124は、ステップ706でそれ以上は進まない。しかしながら、脅威インジケータが、アグリゲートされたイベントデータにおいて存在している場合には、脅威検知エンジン124は、ステップ706でステップ708へ進む。
脅威検知エンジン124は、アグリゲートされたイベントデータにおいて存在している脅威インジケータに関連付けられている脅威の有効性をステップ708で決定する。いくつかの実施形態においては、脅威識別モジュール202は、脅威の有効性を評価するための自動化された手順を伴って構成されている。その他の実施形態においては、脅威識別モジュール202は、そのような評価を実行するための手動のプロセスを開始する。脅威インジケータに関連付けられている脅威が無効であると決定された場合には、脅威検知エンジン124は、ステップ710でそれ以上は進まない。しかしながら、脅威インジケータに関連付けられている脅威が有効であると決定された場合には、脅威検知エンジン124は、ステップ710でステップ714へ進む。
脅威が有効であると決定された場合には、脅威インジケータにマッチするエンティティー識別子に帰属されるイベントは、赤色フラグイベントとみなされる。脅威検知エンジン124は、イベント情報を収集した必要なセキュリティーモニタリングシステム110に赤色フラグイベントの存在および対応する脅威情報をステップ714で報告する。脅威報告モジュール204は、赤色フラグイベントが識別された時の個別のアラート、およびすべての識別された赤色フラグイベントの時間ベースの(たとえば、毎時、毎週、および毎月の)報告を含むさまざまなタイプの報告メカニズムをサポートする。
例示的なコンピュータシステム
図8は、マシン可読媒体から命令を読み取ってそれらの命令をプロセッサ(またはコントローラ)において実行することができる例示的なマシンのコンポーネントを示すブロック図である。具体的には、図8は、コンピュータシステム800の例示的な形態におけるマシンの図表示を示している。コンピュータシステム800は、本明細書において記述されている方法(またはプロセス)のうちの任意の1または複数をこのマシンに実行させるための命令824(たとえば、プログラムコードまたはソフトウェア)を実行するために使用されることが可能である。代替的実施形態においては、このマシンは、スタンドアロンのデバイス、またはその他のマシンに接続している接続された(たとえば、ネットワーク接続された)デバイスとして機能する。ネットワーク接続された展開においては、このマシンは、サーバ/クライアントネットワーク環境においてサーバマシンもしくはクライアントマシンのキャパシティー内で、またはピアツーピアの(もしくは分散された)ネットワーク環境においてピアマシンとして機能することができる。
図8は、マシン可読媒体から命令を読み取ってそれらの命令をプロセッサ(またはコントローラ)において実行することができる例示的なマシンのコンポーネントを示すブロック図である。具体的には、図8は、コンピュータシステム800の例示的な形態におけるマシンの図表示を示している。コンピュータシステム800は、本明細書において記述されている方法(またはプロセス)のうちの任意の1または複数をこのマシンに実行させるための命令824(たとえば、プログラムコードまたはソフトウェア)を実行するために使用されることが可能である。代替的実施形態においては、このマシンは、スタンドアロンのデバイス、またはその他のマシンに接続している接続された(たとえば、ネットワーク接続された)デバイスとして機能する。ネットワーク接続された展開においては、このマシンは、サーバ/クライアントネットワーク環境においてサーバマシンもしくはクライアントマシンのキャパシティー内で、またはピアツーピアの(もしくは分散された)ネットワーク環境においてピアマシンとして機能することができる。
このマシンは、サーバコンピュータ、クライアントコンピュータ、パーソナルコンピュータ(PC)、タブレットPC、セットトップボックス(STB)、スマートフォン、インターネットオブシングス(IoT)アプライアンス、ネットワークルータ、スイッチもしくはブリッジ、または、そのマシンが行うことになるアクションを指定する(シーケンシャルな、もしくはその他の)命令824を実行することができる任意のマシンであることが可能である。さらに、単一のマシンのみが示されているが、「マシン」という用語は、個別にまたは共同で命令824を実行して、本明細書において論じられている方法のうちの任意の1または複数を実行するマシンの任意の集合を含むようにも理解されなければならない。
例示的なコンピュータシステム800は、1または複数の処理ユニット(一般的にプロセッサ802)を含む。プロセッサ802は、たとえば、中央処理装置(CPU)、グラフィックスプロセッシングユニット(GPU)、デジタルシグナルプロセッサ(DSP)、コントローラ、状態マシン、1もしくは複数の特定用途向け集積回路(ASIC)、1もしくは複数の無線周波数集積回路(RFIC)、またはこれらの任意の組合せである。コンピュータシステム800はまた、メインメモリ804を含む。このコンピュータシステムは、ストレージユニット816を含むことができる。プロセッサ802、メモリ804、およびストレージユニット816は、バス808を介して通信する。
加えて、コンピュータシステム800は、スタティックメモリ806、グラフィックディスプレイ850(たとえば、プラズマディスプレイパネル(PDP)、液晶ディスプレイ(LCD)、またはプロジェクタを駆動するための)を含むことができる。コンピュータシステム800は、英数字入力デバイス852(たとえば、キーボード)、カーソルコントロールデバイス814(たとえば、マウス、トラックボール、ジョイスティック、モーションセンサ、またはその他のポインティング機器)、信号生成デバイス818(たとえば、スピーカー)、およびネットワークインターフェースデバイス820を含むこともでき、これらはまた、バス808を介して通信するように構成されている。
ストレージユニット816は、マシン可読媒体822を含み、そのマシン可読媒体822の上に、本明細書において記述されている方法または機能のうちの任意の1または複数を具体化する命令824(たとえば、ソフトウェア)が格納されている。命令824は、コンピュータシステム800によるその実行中に、メインメモリ804内に、またはプロセッサ802内に(たとえば、プロセッサのキャッシュメモリ内に)、完全にまたは少なくとも部分的に存在することも可能であり、メインメモリ804およびプロセッサ802も、マシン可読媒体を構成している。命令824は、ネットワークインターフェースデバイス820を介してネットワーク826を通じて送信または受信されることが可能である。
マシン可読媒体822は、例示的な実施形態においては単一のメディアであるように示されているが、「マシン可読媒体」という用語は、命令824を格納することができる単一の媒体または複数の媒体(たとえば、集中型のもしくは分散型のデータベース、または関連付けられているキャッシュおよびサーバ)を含むと理解されるべきである。「マシン可読媒体」という用語は、マシンによる実行のための命令824を格納することができ、ならびに、本明細書において開示されている方法のうちの任意の1または複数をマシンに実行させる任意の媒体を含むとも理解されなければならない。「マシン可読媒体」という用語は、ソリッドステートメモリ、光メディア、および磁気メディアの形態のデータリポジトリを含むが、それらには限定されない。
さらなる考慮事項
本明細書を通じて、単一のインスタンスとして記述されているコンポーネント、オペレーション、または構造を複数のインスタンスが実施することができる。1または複数の方法の個々のオペレーションは、別々のオペレーションとして示され記述されているが、それらの個々のオペレーションのうちの1または複数は、同時に実行されることが可能であり、それらのオペレーションが、示されている順序で実行されることを必要とするものはない。例示的な構成において別々のコンポーネントとして提示されている構造および機能は、組み合わされた構造またはコンポーネントとして実施されることが可能である。同様に、単一のコンポーネントとして提示されている構造および機能は、別々のコンポーネントとして実施されることが可能である。これらおよびその他の変形、修正、追加、および改良は、本明細書における主題の範囲内に収まる。
本明細書を通じて、単一のインスタンスとして記述されているコンポーネント、オペレーション、または構造を複数のインスタンスが実施することができる。1または複数の方法の個々のオペレーションは、別々のオペレーションとして示され記述されているが、それらの個々のオペレーションのうちの1または複数は、同時に実行されることが可能であり、それらのオペレーションが、示されている順序で実行されることを必要とするものはない。例示的な構成において別々のコンポーネントとして提示されている構造および機能は、組み合わされた構造またはコンポーネントとして実施されることが可能である。同様に、単一のコンポーネントとして提示されている構造および機能は、別々のコンポーネントとして実施されることが可能である。これらおよびその他の変形、修正、追加、および改良は、本明細書における主題の範囲内に収まる。
特定の実施形態は、本明細書においては、ロジック、または、たとえば図1および図2において示されているような複数のコンポーネント、モジュール、もしくはメカニズムを含むものとして記述されている。モジュールは、ソフトウェアモジュール(たとえば、マシン可読媒体上で、もしくは送信信号において具体化されるコード)、またはハードウェアモジュールを構成することができる。ハードウェアモジュールは、特定のオペレーションを実行することができる有形のユニットであり、特定の様式で構成または配置されることが可能である。例示的な実施形態においては、1もしくは複数のコンピュータシステム(たとえば、スタンドアロンのコンピュータシステム、クライアントコンピュータシステム、もしくはサーバコンピュータシステム)、またはコンピュータシステムの1もしくは複数のハードウェアモジュール(たとえば、プロセッサ、もしくはプロセッサのグループ)が、ソフトウェア(たとえば、アプリケーション、またはアプリケーションの部分)によって、本明細書において記述されている特定のオペレーションを実行するように機能するハードウェアモジュールとして構成されることが可能である。
さまざまな実施形態においては、ハードウェアモジュールは、機械的にまたは電子的に実装されることが可能である。たとえば、ハードウェアモジュールは、特定のオペレーションを実行するように(たとえば、フィールドプログラマブルゲートアレイ(FPGA)または特定用途向け集積回路(ASIC)などの特殊用途のプロセッサとして)永続的に構成されている専用の回路またはロジックを含むことができる。ハードウェアモジュールは、特定のオペレーションを実行するようにソフトウェアによって一時的に構成されている(たとえば、汎用プロセッサまたはその他のプログラマブルプロセッサ内に包含されている)プログラム可能なロジックまたは回路を含むこともできる。ハードウェアモジュールを機械的に実装するか、専用の永続的に構成されている回路で実装するか、または一時的に構成されている(たとえば、ソフトウェアによって構成されている)回路で実装するかの決定は、コストおよび時間の考慮事項によって行われる場合があるということが理解されるであろう。
本明細書において記述されている例示的な方法のさまざまなオペレーションは、関連するオペレーションを実行するように(たとえば、ソフトウェアによって)一時的に構成されている、または永続的に構成されている1または複数のプロセッサ、たとえばプロセッサ802によって、少なくとも部分的に実行されることが可能である。一時的に構成されているか、または永続的に構成されているかにかかわらず、そのようなプロセッサは、1または複数のオペレーションまたは機能を実行するように機能するプロセッサ実施モジュールを構成することができる。本明細書において言及されているモジュールは、いくつかの例示的な実施形態においては、プロセッサ実施モジュールを含む。
1または複数のプロセッサは、「クラウドコンピューティング」環境における、または「サービス型ソフトウェア」(SaaS)としての関連するオペレーションの実行をサポートするように機能することもできる。たとえば、オペレーションのうちの少なくともいくつかは、(プロセッサを含むマシンの例としての)コンピュータのグループによって実行されることが可能であり、これらのオペレーションは、ネットワーク(たとえば、インターネット)を介して、および1または複数の適切なインターフェース(たとえば、アプリケーションプログラムインターフェース(API))を介してアクセス可能である。
オペレーションのうちのいくつかの実行は、単一のマシン内に存在しているだけでなく複数のマシンにわたって展開されてもいる1または複数のプロセッサの間で分散されることが可能である。いくつかの例示的な実施形態においては、1または複数のプロセッサまたはプロセッサ実施モジュールは、単一の地理的ロケーションにおいて(たとえば、家庭環境、オフィス環境、またはサーバファーム内に)配置されることが可能である。その他の例示的な実施形態においては、1または複数のプロセッサまたはプロセッサ実施モジュールは、複数の地理的ロケーションにわたって分散されることが可能である。
本明細書のいくつかの部分は、マシンメモリ(たとえば、コンピュータメモリ)内のビットまたはバイナリーデジタル信号として格納されているデータ上のオペレーションのアルゴリズムまたはシンボル表示という点から提示されている。これらのアルゴリズムまたはシンボル表示は、データ処理技術分野における当業者たちによって、それらの技術者たちの作業の実体を他の当業者たちに伝達するために使用される技術の例である。本明細書において使用される際には、「アルゴリズム」とは、所望の結果へつながるオペレーションまたは同様の処理の首尾一貫したシーケンスである。このコンテキストにおいては、アルゴリズムおよびオペレーションは、物理量の物理的な操作を含む。典型的には、ただし必ずというわけではないが、そのような量は、マシンによって格納されること、アクセスされること、転送されること、組み合わされること、比較されること、またはその他のやり方で操作されることが可能な電気信号、磁気信号、または光信号の形態を取ることができる。「データ」、「コンテンツ」、「ビット」、「値」、「要素」、「シンボル」、「文字」、「用語」、「数」、「数字」等などの言葉を使用してそのような信号を指すことが、主として共通の使用という理由から、時として好都合である。しかしながら、これら言葉は便宜上のラベルにすぎず、適切な物理量に関連付けられるものである。
特に別段の記載がない限り、「処理する」、「算出する」、「計算する」、「決定する」、「提示する」、「表示する」等などの言葉を使用している本明細書における論考は、情報を受信、格納、送信、または表示する1または複数のメモリ(たとえば、揮発性メモリ、不揮発性メモリ、もしくはそれらの組合せ)、レジスタ、またはその他のマシンコンポーネント内の物理的な(たとえば、電子的な、磁気的な、または光学的な)量として表されているデータを操作または変換するマシン(たとえば、コンピュータ)のアクションまたはプロセスを指すことが可能である。
本明細書において使用される際には、「一実施形態」または「実施形態」へのいかなる言及も、その実施形態に関連して記述されている特定の要素、機能、構造、または特徴が、少なくとも1つの実施形態に含まれているということを意味する。「一実施形態においては」という語句が、本明細書におけるさまざまな個所に登場しても、それらは、必ずしもすべて同じ実施形態を指しているとは限らない。
いくつかの実施形態は、「結合される」および「接続される」という表現をそれらの派生語とともに使用して記述されているかもしれない。たとえば、いくつかの実施形態は、2つ以上の要素が直接の物理的なまたは電気的な接触状態にあるということを示すために、「結合される」という用語を使用して記述されているかもしれない。しかしながら、「結合される」という用語は、2つ以上の要素が互いに直接の接触状態にはないが、それでもなお互いに協力または対話しているということを意味することもある。実施形態は、このコンテキストにおいて限定されるものではない。
本明細書において使用される際には、「comprises」、「comprising」、「includes」、「including」、「has」、「having」という用語、またはそれらのその他の任意の変形は、非排他的な包含をカバーすることを意図されている。たとえば、要素のリストを含むプロセス、方法、製品、または装置は、それらの要素だけに必ずしも限定されず、明示的にリストアップされてはいない、またはそのようなプロセス、方法、製品、もしくは装置に固有のその他の要素を含むことができる。さらに、そうではないと明示されていない限り、「または(もしくは)」は、排他的な「または(もしくは)」ではなく、包括的な「または(もしくは)」を指す。たとえば、AまたはBという条件は、「Aが真であり(または存在して)、Bが偽である(または存在しない)」、「Aが偽であり(または存在せず)、Bが真である(または存在する)」、ならびに「AおよびBの両方が真である(または存在する)」のうちのいずれか1つによって満たされる。
加えて、「a」または「an」の使用は、本明細書における実施形態の要素およびコンポーネントについて記述するために用いられている。これは、便宜上、および本発明の一般的な意味を与えるために行われているにすぎない。そうではないことが意味されているということが明らかである場合は除いて、この記述は、1つまたは少なくとも1つを含むと読み取られるべきであり、単数は複数も含む。
当業者なら、本開示を読めば、本明細書における開示されている原理を通じて、脅威検知のためのシステムおよびプロセスのためのいっそうさらなる代替の構造的なおよび機能的な設計を理解するであろう。したがって、特定の実施形態および応用例が示され記述されているが、開示されている実施形態は、本明細書において開示されている厳密な構造およびコンポーネントに限定されるものではないということを理解されたい。当業者にとって明らかであろうさまざまな修正、変更、および変形が、添付の特許請求の範囲において定義されている趣旨および範囲から逸脱することなく、本明細書において開示されている方法および装置のアレンジ、オペレーション、および詳細において行われることが可能である。
Claims (21)
- 脅威検知を実行するための方法であって、
サーバーにおいてクライアントシステムからイベントデータを受信するステップであり、前記イベントデータは、前記クライアントシステム上で発生しているさまざまなイベントに関連付けられているエンティティー識別子の難読化された表示を含みおよび前記エンティティー識別子自体を含まない、ステップと、
前記サーバーにおいて前記イベントデータを受信することに応答して、前記イベントデータが少なくとも1つのサイバー脅威に関連付けられているということを決定するステップであって、前記イベントデータを1または複数の脅威インジケータと比較して、少なくとも1つの脅威インジケータが前記イベントデータにおいて存在しているかどうかを決定するステップを含み、それぞれの脅威インジケータは、少なくとも1つの潜在的なサイバー脅威に関連付けられており、前記イベントデータは、イベントのインデックス付けされた階層を含み、前記インデックス付けされた階層における第1のレベルが、前記インデックス付けされた階層における第2のレベルと比べて異なる時間ベースの粒度に関連付けられている、ステップと、
前記サーバーによって前記少なくとも1つのサイバー脅威の存在を前記クライアントシステムに報告するステップと
を含むことを特徴とする方法。 - 前記イベントデータが少なくとも1つのサイバー脅威に関連付けられているということを決定するステップは、前記イベントデータに関連付けられているドメイン名が悪意あるエンティティーに関連しているかどうかを決定するステップを含むことを特徴とする請求項1に記載の方法。
- 前記イベントデータを前記1または複数の脅威インジケータと比較するステップは、前記インデックス付けされた階層における前記第1のレベルを前記1または複数の脅威インジケータと比較して、前記第1のレベルと、前記1または複数の脅威インジケータのうちの少なくとも1つとの間においてマッチが存在する場合にのみ、前記第2のレベルへ進むステップを含むことを特徴とする請求項1に記載の方法。
- 前記1または複数の脅威インジケータに含まれていないさらなる脅威インジケータを識別するステップと、
前記イベントデータ上で1または複数のリアルタイムフォレンジックオペレーションを実行して、前記さらなる脅威インジケータに関連付けられているサイバー脅威が前記イベントデータにおいて存在しているかどうかを決定するステップと
をさらに含むことを特徴とする請求項1に記載の方法。 - 前記少なくとも1つのサイバー脅威の存在を報告するステップは、脅威データのマルチパネル表示を表示するステップを含み、前記マルチパネル表示におけるそれぞれのパネルは、別々のデータ次元に従って前記少なくとも1つの脅威インジケータの存在を提示することを特徴とする請求項1に記載の方法。
- 前記データ次元は、脅威の時間、脅威のタイプ、脅威が有効である確実性、脅威の重大度、脅威となるアクションのタイプ、宛先ポート、ソースポート、タグ、および地勢から構成されているグループから選択された少なくとも1つを含むことを特徴とする請求項5に記載の方法。
- 前記マルチパネル表示における第1のパネルの一部分を選択するためのユーザ入力を受信して、前記選択された部分のさらに詳細なビューを前記第1のパネルにおいて提示するステップをさらに含むことを特徴とする請求項5に記載の方法。
- 前記第1のパネルにおける前記選択された部分に基づいて前記マルチパネル表示におけるさらなるパネルを更新するステップをさらに含むことを特徴とする請求項7に記載の方法。
- 前記マルチパネル表示における少なくとも1つのパネルが、ディスプレイ表面上でのユーザのタッチを使用して操作されることを特徴とする請求項5に記載の方法。
- 前記脅威データをフィルタリングするための1または複数のパラメータを指定するテキスト検索クエリーを受信して、前記1または複数のパラメータに従ってフィルタリングされた前記脅威データを提示するように前記マルチパネル表示を更新するステップをさらに含むことを特徴とする請求項5に記載の方法。
- 第1の脅威インジケータから第2の脅威インジケータを、前記第1の脅威インジケータから抽出されたデータに基づいて生成するステップをさらに含み、前記第2の脅威インジケータは、前記1または複数の脅威インジケータに含まれることを特徴とする請求項1に記載の方法。
- 前記1または複数の脅威インジケータのうちの少なくとも1つを含む脅威データソースから複数の脅威データフィードを受信するステップをさらに含むことを特徴とする請求項1に記載の方法。
- 前記脅威データフィードのうちのそれぞれに関連付けられている関連性インデックスを算出するステップをさらに含み、所与の脅威データフィードに関する前記関連性インデックスは、前記脅威データフィードに含まれている脅威インジケータが前記クライアントシステムにとっていかに関連しているかを示すことを特徴とする請求項12に記載の方法。
- 前記複数の脅威データフィードをデジタルストアにおける購入のためにクライアントシステムに提供するステップをさらに含むことを特徴とする請求項12に記載の方法。
- 前記複数の脅威データフィードのうちの複数の間においていくつの脅威インジケータが共通しているかを前記クライアントシステムが比較することを可能にするステップをさらに含むことを特徴とする請求項14に記載の方法。
- 第1の脅威インジケータを処理して、前記第1の脅威インジケータの1または複数のパラメータに基づいてさらなる脅威インジケータを生成するステップと、
前記さらなる脅威インジケータが前記イベントデータにおいて存在しているということを決定するステップと
をさらに含むことを特徴とする請求項1に記載の方法。 - イベントデータ上でフォレンジックオペレーションを実行するための方法であって、
サーバーにおいてイベントデータ上でフォレンジックオペレーションを実行するための1または複数の検索パラメータを指定するフォレンジッククエリーをクライアントシステムから受信するステップであり、前記イベントデータは、クライアントシステム上で発生しているさまざまなイベントに関連付けられているエンティティー識別子の難読化された表示を含みおよび前記エンティティー識別子自体を含まない、ステップと、
前記サーバーによって、前記フォレンジッククエリーを受信することに応答して前記検索パラメータのうちの少なくとも1つを満たす1または複数のサイバー脅威を識別するステップであり、それぞれの脅威インジケータは、少なくとも1つの潜在的なサイバー脅威に関連付けられている、ステップと、
前記サーバーによって前記イベントデータ上でリアルタイムフォレンジックオペレーションを実行して、前記イベントデータが前記サイバー脅威のうちの少なくとも1つを示しているかどうかを決定するステップであって、前記イベントデータを1または複数の脅威インジケータと比較して、少なくとも1つの脅威インジケータが前記イベントデータにおいて存在しているかどうかを決定するステップを含み、前記イベントデータは、イベントのインデックス付けされた階層を含み、前記インデックス付けされた階層における第1のレベルが、前記インデックス付けされた階層における第2のレベルと比べて異なる時間ベースの粒度に関連付けられている、ステップと
を含むことを特徴とする方法。 - 少なくとも1つの潜在的なサイバー脅威に関連付けられているさらなる脅威インジケータを生成するために第1の脅威インジケータを拡張する第1の拡張パラメータを受信するステップをさらに含むことを特徴とする請求項15に記載の方法。
- 前記イベントデータ上でリアルタイムフォレンジックオペレーションを実行して、前記さらなる脅威インジケータに関連付けられているサイバー脅威が前記イベントデータにおいて存在しているかどうかを決定するステップをさらに含むことを特徴とする請求項16に記載の方法。
- サーバーのプロセッサによって実行されると、前記プロセッサに、
クライアントシステムからイベントデータを受信することであって、前記イベントデータは、前記クライアントシステム上で発生しているさまざまなイベントに関連付けられているエンティティー識別子の難読化された表示を含みおよび前記エンティティー識別子自体を含まない、ことと、
前記イベントデータを受信することに応答して、前記イベントデータが少なくとも1つのサイバー脅威に関連付けられているということを決定することであって、前記イベントデータを1または複数の脅威インジケータと比較して、少なくとも1つの脅威インジケータが前記イベントデータにおいて存在しているかどうかを決定することを含み、それぞれの脅威インジケータは、少なくとも1つの潜在的なサイバー脅威に関連付けられ、前記イベントデータは、イベントのインデックス付けされた階層を含み、前記インデックス付けされた階層における第1のレベルが、前記インデックス付けされた階層における第2のレベルと比べて異なる時間ベースの粒度に関連付けられている、ことと、
前記少なくとも1つのサイバー脅威の存在を前記クライアントシステムに報告することと
をさせる命令を格納するコンピュータ可読メディア。 - 前記イベントデータを前記1または複数の脅威インジケータと比較するステップは、前記インデックス付けされた階層における前記第1のレベルを前記1または複数の脅威インジケータと比較して、前記第1のレベルと、前記1または複数の脅威インジケータのうちの少なくとも1つとの間においてマッチが存在する場合にのみ、前記第2のレベルへ進むステップを含むことを特徴とする請求項20に記載のコンピュータ可読メディア。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201562109862P | 2015-01-30 | 2015-01-30 | |
| US62/109,862 | 2015-01-30 | ||
| US15/007,131 | 2016-01-26 | ||
| US15/007,131 US10230742B2 (en) | 2015-01-30 | 2016-01-26 | Space and time efficient threat detection |
| PCT/US2016/015167 WO2016123238A1 (en) | 2015-01-30 | 2016-01-27 | Space and time efficient threat detection |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2018508918A JP2018508918A (ja) | 2018-03-29 |
| JP2018508918A5 JP2018508918A5 (ja) | 2019-03-07 |
| JP6723267B2 true JP6723267B2 (ja) | 2020-07-15 |
Family
ID=56544287
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017558628A Active JP6723267B2 (ja) | 2015-01-30 | 2016-01-27 | スペースおよび時間効率のよい脅威検知 |
Country Status (7)
| Country | Link |
|---|---|
| US (2) | US10230742B2 (ja) |
| EP (1) | EP3251010B1 (ja) |
| JP (1) | JP6723267B2 (ja) |
| CN (1) | CN107430535B (ja) |
| CA (1) | CA2974708C (ja) |
| MX (1) | MX2017009762A (ja) |
| WO (1) | WO2016123238A1 (ja) |
Families Citing this family (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9866576B2 (en) * | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
| US10366229B2 (en) | 2016-06-20 | 2019-07-30 | Jask Labs Inc. | Method for detecting a cyber attack |
| EP3291120B1 (en) * | 2016-09-06 | 2021-04-21 | Accenture Global Solutions Limited | Graph database analysis for network anomaly detection systems |
| US10673880B1 (en) | 2016-09-26 | 2020-06-02 | Splunk Inc. | Anomaly detection to identify security threats |
| US10462170B1 (en) * | 2016-11-21 | 2019-10-29 | Alert Logic, Inc. | Systems and methods for log and snort synchronized threat detection |
| WO2018097344A1 (ko) * | 2016-11-23 | 2018-05-31 | 라인 가부시키가이샤 | 탐지 결과의 유효성을 검증하는 방법 및 시스템 |
| US10469509B2 (en) * | 2016-12-29 | 2019-11-05 | Chronicle Llc | Gathering indicators of compromise for security threat detection |
| US11075987B1 (en) * | 2017-06-12 | 2021-07-27 | Amazon Technologies, Inc. | Load estimating content delivery network |
| US10503899B2 (en) | 2017-07-10 | 2019-12-10 | Centripetal Networks, Inc. | Cyberanalysis workflow acceleration |
| US11030308B2 (en) * | 2017-08-09 | 2021-06-08 | Nec Corporation | Inter-application dependency analysis for improving computer system threat detection |
| JP7105096B2 (ja) * | 2018-04-18 | 2022-07-22 | 株式会社日立システムズ | 複数組織間の脅威情報共有システム及び方法 |
| US10855711B2 (en) | 2018-06-06 | 2020-12-01 | Reliaquest Holdings, Llc | Threat mitigation system and method |
| US11709946B2 (en) | 2018-06-06 | 2023-07-25 | Reliaquest Holdings, Llc | Threat mitigation system and method |
| GB201810294D0 (en) * | 2018-06-22 | 2018-08-08 | Senseon Tech Ltd | Cybe defence system |
| US11063967B2 (en) | 2018-07-03 | 2021-07-13 | The Boeing Company | Network threat indicator extraction and response |
| US10936488B1 (en) * | 2018-08-31 | 2021-03-02 | Splunk Inc. | Incident response in an information technology environment using cached data from external services |
| CN110929187A (zh) * | 2018-09-18 | 2020-03-27 | 北京数安鑫云信息技术有限公司 | 威胁事件可视化展现方法、装置、存储装置及计算机设备 |
| US11228603B1 (en) * | 2018-09-27 | 2022-01-18 | Juniper Networks, Inc. | Learning driven dynamic threat treatment for a software defined networking environment |
| CN111027056A (zh) * | 2019-01-31 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种图形化展示安全威胁事件的方法、装置及存储介质 |
| US11831669B2 (en) * | 2019-02-14 | 2023-11-28 | Raytheon Bbn Technologies Corp. | Systems and methods for evaluating cyber assets |
| EP4028964A4 (en) | 2019-09-09 | 2023-09-27 | Reliaquest Holdings, LLC | THREAT MITIGATION SYSTEM AND METHODS |
| CN110737890B (zh) * | 2019-10-25 | 2021-04-02 | 中国科学院信息工程研究所 | 一种基于异质时序事件嵌入学习的内部威胁检测系统及方法 |
| CN113328976B (zh) * | 2020-02-28 | 2022-11-22 | 华为技术有限公司 | 一种安全威胁事件识别方法、装置及设备 |
| US11368469B2 (en) * | 2020-06-22 | 2022-06-21 | Google Llc | Preventing data manipulation and protecting user privacy in determining accurate location event measurements |
| EP3955140A1 (en) * | 2020-08-10 | 2022-02-16 | Magnet Forensics Inc. | Systems and methods for cloud-based collection and processing of digital forensic evidence |
| CN112202764B (zh) * | 2020-09-28 | 2023-05-19 | 中远海运科技股份有限公司 | 网络攻击链路可视化系统、方法和服务器 |
| JP7408530B2 (ja) | 2020-11-13 | 2024-01-05 | 株式会社日立製作所 | セキュリティ管理システム、及びセキュリティ管理方法 |
| US11374898B1 (en) * | 2020-12-14 | 2022-06-28 | Lenovo (Singapore) Pte. Ltd. | Use of partial hash of domain name to return IP address associated with the domain name |
| CN112667629A (zh) * | 2020-12-22 | 2021-04-16 | 互联网域名系统北京市工程研究中心有限公司 | 基于布隆过滤器的威胁检测方法和系统 |
Family Cites Families (76)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1535164B1 (en) * | 2002-08-26 | 2012-01-04 | International Business Machines Corporation | Determining threat level associated with network activity |
| US20050193429A1 (en) * | 2004-01-23 | 2005-09-01 | The Barrier Group | Integrated data traffic monitoring system |
| US8239669B2 (en) * | 2004-03-17 | 2012-08-07 | Telecommunication Systems, Inc. | Reach-back communications terminal with selectable networking options |
| US7784097B1 (en) | 2004-11-24 | 2010-08-24 | The Trustees Of Columbia University In The City Of New York | Systems and methods for correlating and distributing intrusion alert information among collaborating computer systems |
| WO2006071985A2 (en) * | 2004-12-29 | 2006-07-06 | Alert Logic, Inc. | Threat scoring system and method for intrusion detection security networks |
| US7624448B2 (en) * | 2006-03-04 | 2009-11-24 | 21St Century Technologies, Inc. | Intelligent intrusion detection system utilizing enhanced graph-matching of network activity with context data |
| US7530105B2 (en) * | 2006-03-21 | 2009-05-05 | 21St Century Technologies, Inc. | Tactical and strategic attack detection and prediction |
| US8332947B1 (en) * | 2006-06-27 | 2012-12-11 | Symantec Corporation | Security threat reporting in light of local security tools |
| US20080047009A1 (en) * | 2006-07-20 | 2008-02-21 | Kevin Overcash | System and method of securing networks against applications threats |
| US20080148398A1 (en) * | 2006-10-31 | 2008-06-19 | Derek John Mezack | System and Method for Definition and Automated Analysis of Computer Security Threat Models |
| US8707431B2 (en) * | 2007-04-24 | 2014-04-22 | The Mitre Corporation | Insider threat detection |
| US9336385B1 (en) * | 2008-02-11 | 2016-05-10 | Adaptive Cyber Security Instruments, Inc. | System for real-time threat detection and management |
| US8595282B2 (en) * | 2008-06-30 | 2013-11-26 | Symantec Corporation | Simplified communication of a reputation score for an entity |
| US8286239B1 (en) | 2008-07-24 | 2012-10-09 | Zscaler, Inc. | Identifying and managing web risks |
| US8095964B1 (en) * | 2008-08-29 | 2012-01-10 | Symantec Corporation | Peer computer based threat detection |
| US8060936B2 (en) * | 2008-10-21 | 2011-11-15 | Lookout, Inc. | Security status and information display system |
| US8347386B2 (en) * | 2008-10-21 | 2013-01-01 | Lookout, Inc. | System and method for server-coupled malware prevention |
| US9231964B2 (en) * | 2009-04-14 | 2016-01-05 | Microsoft Corporation | Vulnerability detection based on aggregated primitives |
| US8239668B1 (en) * | 2009-04-15 | 2012-08-07 | Trend Micro Incorporated | Computer security threat data collection and aggregation with user privacy protection |
| JP5559306B2 (ja) * | 2009-04-24 | 2014-07-23 | アルグレス・インコーポレイテッド | 対話的グラフを用いた予測モデリングのための企業情報セキュリティ管理ソフトウェア |
| US8631330B1 (en) * | 2009-08-16 | 2014-01-14 | Bitdefender IPR Management Ltd. | Security application graphical user interface customization systems and methods |
| US10027711B2 (en) * | 2009-11-20 | 2018-07-17 | Alert Enterprise, Inc. | Situational intelligence |
| US8806620B2 (en) * | 2009-12-26 | 2014-08-12 | Intel Corporation | Method and device for managing security events |
| US8468599B2 (en) * | 2010-09-20 | 2013-06-18 | Sonalysts, Inc. | System and method for privacy-enhanced cyber data fusion using temporal-behavioral aggregation and analysis |
| US9032521B2 (en) * | 2010-10-13 | 2015-05-12 | International Business Machines Corporation | Adaptive cyber-security analytics |
| ES2442747T3 (es) * | 2011-02-10 | 2014-02-13 | Telefónica, S.A. | Procedimiento y sistema para mejorar la detección de amenazas de seguridad en redes de comunicación |
| WO2012109633A2 (en) * | 2011-02-11 | 2012-08-16 | Achilles Guard, Inc. D/B/A Critical Watch | Security countermeasure management platform |
| US10356106B2 (en) * | 2011-07-26 | 2019-07-16 | Palo Alto Networks (Israel Analytics) Ltd. | Detecting anomaly action within a computer network |
| US20130074143A1 (en) * | 2011-09-15 | 2013-03-21 | Mcafee, Inc. | System and method for real-time customized threat protection |
| US9686293B2 (en) * | 2011-11-03 | 2017-06-20 | Cyphort Inc. | Systems and methods for malware detection and mitigation |
| KR101575282B1 (ko) * | 2011-11-28 | 2015-12-09 | 한국전자통신연구원 | 보안관리 도메인들 간에 익명 식별자 기반의 보안정보를 공유하기 위한 에이전트 장치 및 방법 |
| US8973147B2 (en) * | 2011-12-29 | 2015-03-03 | Mcafee, Inc. | Geo-mapping system security events |
| US9971896B2 (en) | 2011-12-30 | 2018-05-15 | International Business Machines Corporation | Targeted security testing |
| CN102571812B (zh) * | 2011-12-31 | 2014-11-05 | 华为数字技术(成都)有限公司 | 一种网络威胁的跟踪识别方法及装置 |
| US9710644B2 (en) * | 2012-02-01 | 2017-07-18 | Servicenow, Inc. | Techniques for sharing network security event information |
| US9015859B2 (en) | 2012-02-15 | 2015-04-21 | Empire Technology Development Llc | Contextual use and expiration of digital content |
| EP2831842A4 (en) * | 2012-03-26 | 2016-03-23 | Tata Consultancy Services Ltd | PARTICIPATORY SURVEILLANCE BASED ON LOCALIZATION TRIGGERED BY EVENTS |
| KR101868893B1 (ko) | 2012-07-09 | 2018-06-19 | 한국전자통신연구원 | 네트워크 보안 상황 시각화 방법 및 그 장치 |
| US9392003B2 (en) * | 2012-08-23 | 2016-07-12 | Raytheon Foreground Security, Inc. | Internet security cyber threat reporting system and method |
| PL2926308T3 (pl) | 2012-11-28 | 2020-01-31 | Telefónica Germany GmbH & Co. OHG | Sposób anonimizacji przez transmitowanie zbioru danych między różnymi jednostkami |
| EP2866484B1 (en) * | 2013-10-24 | 2018-10-10 | Telefónica Germany GmbH & Co. OHG | A method for anonymization of data collected within a mobile communication network |
| US9378361B1 (en) * | 2012-12-31 | 2016-06-28 | Emc Corporation | Anomaly sensor framework for detecting advanced persistent threat attacks |
| US9143519B2 (en) * | 2013-03-15 | 2015-09-22 | Mcafee, Inc. | Remote malware remediation |
| US9904893B2 (en) * | 2013-04-02 | 2018-02-27 | Patternex, Inc. | Method and system for training a big data machine to defend |
| US20140337974A1 (en) * | 2013-04-15 | 2014-11-13 | Anupam Joshi | System and method for semantic integration of heterogeneous data sources for context aware intrusion detection |
| WO2014179805A1 (en) * | 2013-05-03 | 2014-11-06 | Webroot Inc. | Method and apparatus for providing forensic visibility into systems and networks |
| WO2015009296A1 (en) * | 2013-07-17 | 2015-01-22 | Hewlett-Packard Development Company, L.P. | Event management system |
| US8826434B2 (en) * | 2013-07-25 | 2014-09-02 | Splunk Inc. | Security threat detection based on indications in big data of access to newly registered domains |
| US8752178B2 (en) * | 2013-07-31 | 2014-06-10 | Splunk Inc. | Blacklisting and whitelisting of security-related events |
| CN105556526B (zh) * | 2013-09-30 | 2018-10-30 | 安提特软件有限责任公司 | 提供分层威胁智能的非暂时性机器可读介质、系统和方法 |
| US9392007B2 (en) * | 2013-11-04 | 2016-07-12 | Crypteia Networks S.A. | System and method for identifying infected networks and systems from unknown attacks |
| US10296761B2 (en) * | 2013-11-22 | 2019-05-21 | The Trustees Of Columbia University In The City Of New York | Database privacy protection devices, methods, and systems |
| GB2520987B (en) * | 2013-12-06 | 2016-06-01 | Cyberlytic Ltd | Using fuzzy logic to assign a risk level profile to a potential cyber threat |
| US9692789B2 (en) * | 2013-12-13 | 2017-06-27 | Oracle International Corporation | Techniques for cloud security monitoring and threat intelligence |
| US10367827B2 (en) * | 2013-12-19 | 2019-07-30 | Splunk Inc. | Using network locations obtained from multiple threat lists to evaluate network data or machine data |
| US10289838B2 (en) * | 2014-02-21 | 2019-05-14 | Entit Software Llc | Scoring for threat observables |
| US9338181B1 (en) * | 2014-03-05 | 2016-05-10 | Netflix, Inc. | Network security system with remediation based on value of attacked assets |
| WO2015160357A1 (en) * | 2014-04-18 | 2015-10-22 | Hewlett-Packard Development Company, L.P. | Rating threat submitter |
| US10447733B2 (en) * | 2014-06-11 | 2019-10-15 | Accenture Global Services Limited | Deception network system |
| US9794279B2 (en) * | 2014-06-11 | 2017-10-17 | Accenture Global Services Limited | Threat indicator analytics system |
| US10212176B2 (en) * | 2014-06-23 | 2019-02-19 | Hewlett Packard Enterprise Development Lp | Entity group behavior profiling |
| US10902468B2 (en) * | 2014-06-23 | 2021-01-26 | Board Of Regents, The University Of Texas System | Real-time, stream data information integration and analytics system |
| US10469514B2 (en) * | 2014-06-23 | 2019-11-05 | Hewlett Packard Enterprise Development Lp | Collaborative and adaptive threat intelligence for computer security |
| US20160191558A1 (en) * | 2014-12-23 | 2016-06-30 | Bricata Llc | Accelerated threat mitigation system |
| US9565204B2 (en) * | 2014-07-18 | 2017-02-07 | Empow Cyber Security Ltd. | Cyber-security system and methods thereof |
| WO2016014014A1 (en) * | 2014-07-21 | 2016-01-28 | Hewlett-Packard Development Company, L.P. | Remedial action for release of threat data |
| US9596266B1 (en) * | 2014-07-23 | 2017-03-14 | Lookingglass Cyber Solutions, Inc. | Apparatuses, methods and systems for a real-time cyber threat indicator verification mechanism |
| US11122058B2 (en) * | 2014-07-23 | 2021-09-14 | Seclytics, Inc. | System and method for the automated detection and prediction of online threats |
| WO2016018382A1 (en) * | 2014-07-31 | 2016-02-04 | Hewlett-Packard Development Company, L.P. | Creating a security report for a customer network |
| GB2529150B (en) * | 2014-08-04 | 2022-03-30 | Darktrace Ltd | Cyber security |
| US10382454B2 (en) * | 2014-09-26 | 2019-08-13 | Mcafee, Llc | Data mining algorithms adopted for trusted execution environment |
| US20160191549A1 (en) * | 2014-10-09 | 2016-06-30 | Glimmerglass Networks, Inc. | Rich metadata-based network security monitoring and analysis |
| JP6196397B2 (ja) * | 2014-10-21 | 2017-09-13 | アイアンネット・サイバーセキュリティ・インコーポレイテッドIronNet Cybersecurity, Inc. | サイバーセキュリティシステム |
| US10574675B2 (en) * | 2014-12-05 | 2020-02-25 | T-Mobile Usa, Inc. | Similarity search for discovering multiple vector attacks |
| US9699209B2 (en) * | 2014-12-29 | 2017-07-04 | Cyence Inc. | Cyber vulnerability scan analyses with actionable feedback |
| US10657286B2 (en) * | 2015-01-14 | 2020-05-19 | Hewlett Packard Enterprise Development Lp | System, apparatus and method for anonymizing data prior to threat detection analysis |
-
2016
- 2016-01-26 US US15/007,131 patent/US10230742B2/en active Active
- 2016-01-27 EP EP16744048.6A patent/EP3251010B1/en active Active
- 2016-01-27 JP JP2017558628A patent/JP6723267B2/ja active Active
- 2016-01-27 WO PCT/US2016/015167 patent/WO2016123238A1/en active Application Filing
- 2016-01-27 MX MX2017009762A patent/MX2017009762A/es active IP Right Grant
- 2016-01-27 CA CA2974708A patent/CA2974708C/en active Active
- 2016-01-27 CN CN201680015075.4A patent/CN107430535B/zh active Active
-
2019
- 2019-01-23 US US16/255,708 patent/US10616248B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US20160226895A1 (en) | 2016-08-04 |
| JP2018508918A (ja) | 2018-03-29 |
| CN107430535A (zh) | 2017-12-01 |
| CA2974708C (en) | 2020-09-22 |
| EP3251010B1 (en) | 2021-09-29 |
| CN107430535B (zh) | 2020-09-11 |
| WO2016123238A1 (en) | 2016-08-04 |
| EP3251010A4 (en) | 2018-09-05 |
| MX2017009762A (es) | 2018-03-28 |
| US10616248B2 (en) | 2020-04-07 |
| US20190158514A1 (en) | 2019-05-23 |
| CA2974708A1 (en) | 2016-08-04 |
| EP3251010A1 (en) | 2017-12-06 |
| US10230742B2 (en) | 2019-03-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6723267B2 (ja) | スペースおよび時間効率のよい脅威検知 | |
| US11212306B2 (en) | Graph database analysis for network anomaly detection systems | |
| US11196756B2 (en) | Identifying notable events based on execution of correlation searches | |
| US20220210200A1 (en) | Ai-driven defensive cybersecurity strategy analysis and recommendation system | |
| EP2990984B1 (en) | Security threat information analysis | |
| US11550921B2 (en) | Threat response systems and methods | |
| US11019092B2 (en) | Learning based security threat containment | |
| US20180234328A1 (en) | Service analyzer interface | |
| JP2018508918A5 (ja) | ||
| CN112074834A (zh) | 用于运营技术系统的分析装置、方法、系统和存储介质 | |
| KR101503701B1 (ko) | 빅데이터 기반 정보 보호 방법 및 장치 | |
| US11658863B1 (en) | Aggregation of incident data for correlated incidents | |
| Mücahit et al. | Graph visualization of cyber threat intelligence data for analysis of cyber attacks | |
| US11811587B1 (en) | Generating incident response action flows using anonymized action implementation data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190124 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190124 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20191106 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191119 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200214 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200526 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200623 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6723267 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |