JP7114375B2 - 適応型機械学習機能を有するサイバーセキュリティシステム - Google Patents

適応型機械学習機能を有するサイバーセキュリティシステム Download PDF

Info

Publication number
JP7114375B2
JP7114375B2 JP2018131191A JP2018131191A JP7114375B2 JP 7114375 B2 JP7114375 B2 JP 7114375B2 JP 2018131191 A JP2018131191 A JP 2018131191A JP 2018131191 A JP2018131191 A JP 2018131191A JP 7114375 B2 JP7114375 B2 JP 7114375B2
Authority
JP
Japan
Prior art keywords
user device
machine learning
security
threat
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018131191A
Other languages
English (en)
Other versions
JP2019032828A (ja
Inventor
ジョン ダブリュー. グラットフェルター,
ウィリアム ディー. ケルシー,
ブライアン ディー. ラフリン,
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Boeing Co
Original Assignee
Boeing Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Boeing Co filed Critical Boeing Co
Publication of JP2019032828A publication Critical patent/JP2019032828A/ja
Application granted granted Critical
Publication of JP7114375B2 publication Critical patent/JP7114375B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/002Specific input/output arrangements not covered by G06F3/01 - G06F3/16
    • G06F3/005Input arrangements through a video camera
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/68Gesture-dependent or behaviour-dependent

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Mathematical Physics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Medical Informatics (AREA)
  • Social Psychology (AREA)
  • Molecular Biology (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Multimedia (AREA)
  • Human Computer Interaction (AREA)
  • Telephonic Communication Services (AREA)
  • Debugging And Monitoring (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Alarm Systems (AREA)

Description

本開示は、サイバーセキュリティの分野に関し、特にサイバーセキュリティにおける機械学習に関する。
大企業でのサイバーセキュリティのリスクは、日々のビジネス活動で使用されるネットワーク接続デバイスの急増によりますます複雑化している。従業員のスマートフォンなどのエンドユーザデバイスは、サイバー脅威の標的とされたり、又はデバイスの物理的盗難の結果として、ユーザ又は組織の機密情報を公開してしまう可能性がある。このような脅威を追跡し防ぐ従来のアプローチでは、大規模な組織全体でデバイスの脆弱性の影響を効率的に検出、解決、及び理解するための適切な情報が提供されない。
本明細書で説明する実施形態は、適応型機械学習機能を有するサイバーセキュリティシステムを提供する。情報技術(IT)システムによって管理されるエンドユーザデバイスは、ローカルマシン学習機能を備えている。機械学習機能は、経時的にユーザデバイスの使用を監視することにより学習された、特定の挙動パターンに固有のユーザシグネチャを確立する。ユーザシグネチャは、ユーザデバイスが盗難されたこと、不正ユーザによって使用されていること、又はマルウェアによって危殆化されたことを示唆する使用など、ユーザデバイスに対する異常使用イベントを定義及び検出するために機械学習機能によって使用される。このようなイベントを検出した後、機械学習機能は、セキュリティ脅威に応答する一連の自動アクションをトリガーする。実行される特定のアクション又はシーケンスは、時間の経過とともに機械学習機能に適応し、不正なアクターネットワーク及びデバイスからの問い合わせ、並びにユーザデバイス上の特定の情報又はリソースへのアクセスの試みを含む疑わしい脅威イベントのデータを効果的にマイニングすることができる。マイニングしたデータは、攻撃パターンを識別し、セキュリティ脅威に応答するための特定の命令又はデータ(例えばアクセス要求に対して提供する誤情報)をユーザデバイスに提供する機械学習機能を備える中央又はリモート管理サーバに送信することもできる。
一実施形態は、ネットワークを介して複数のユーザデバイスを管理するよう構成されているサーバと、インタフェイス及びプロセッサを含むユーザデバイスとを含むシステムである。インタフェイスは、ネットワーク上のサーバと通信するよう構成されており、かつ、プロセッサは、ユーザデバイスとのユーザインタラクションを経時的に監視して使用プロファイルを確立し、使用プロファイルの不一致に基づいてユーザデバイスの異常使用を検出し、異常使用がセキュリティ脅威を表すものであるかどうかを判定し、かつ、1以上の自動アクションを実行してセキュリティ脅威に応答するようにユーザデバイスへ命令するよう構成されている機械学習機能を実装する。
別の実施形態は、ユーザデバイスの使用履歴に基づいてユーザデバイスの異常使用を検出し、異常使用の情報を機械学習機能に入力し、サイバー脅威の特性を決定するよう構成されているプロセッサを含む装置である。プロセッサはまた、サイバー脅威の特性に基づいてユーザデバイスが実行する自動アクションを決定し、サイバー脅威に応答するための自動アクションを実行するようにユーザデバイスへ命令するよう構成されている。
他の例示的な実施形態(例えば上述の実施形態に関する方法及びコンピュータ可読媒体)は、後述する。上述の特徴、機能及び利点は、様々な実施形態において単独で実現することが可能であり、又はさらに別の実施形態において組み合わせることが可能であるが、それらのさらなる詳細は、以下の説明及び図面を参照して理解することができる。
ここで、本開示のいくつかの実施形態を、例示としてのみ、添付図面を参照して説明する。すべての図面で、同じ参照番号は、同じ要素又は同じタイプの要素を表わす。
例示的な実施形態における企業ネットワーク環境を示す。 例示的な実施形態における適応型セキュリティシステムのブロック図である。 例示的な実施形態における、適応型セキュリティシステムによって強化されたユーザ機器のブロック図である。 例示的な実施形態における、適応型セキュリティシステムによって強化されたリモートサーバのブロック図である。 例示的な実施形態における、適応型セキュリティシステムによって強化された管理サーバのブロック図である。 例示的な実施形態における、セキュリティ脅威を検出して、それに応答する方法を示すフローチャートである。 例示的な実施形態における、セキュリティ脅威に自動的に応答するための方法を示すフローチャートである。 例示的な実施形態における、セキュリティ脅威に自動的に応答するための方法を示すフローチャートである。 例示的な実施形態における、セキュリティ脅威に自動的に応答するための方法を示すフローチャートである。 例示的な実施形態における、セキュリティ脅威に自動的に応答するための方法を示すフローチャートである。 例示的な実施形態における、異常がセキュリティ脅威を示すかどうかを判定するための方法を示すフローチャートである。 例示的な実施形態における、グラフィカルな侵入イベントシーケンスを導出するための方法を示すフローチャートである。 例示的な実施形態における、企業ネットワーク環境のセキュリティポリシーを更新するための方法を示すフローチャートである。
これらの図面及び以下の説明により、本開示の特定の例示的な実施形態を示す。したがって、当業者は、本明細書に明示的に記載又は図示されていない様々な装置を考案して本開示の原理を具現化することができるが、それらは本開示の範囲に含まれることを理解されたい。さらに、本明細書に記載のいかなる実施例も、本開示の原理の理解に資するためのものであり、具体的に列挙された実施例及び諸条件に限定されないものとして解釈されるべきである。結果として、本開示は、下記に記載される特定の実施形態又は実施例に限定されず、特許請求の範囲及びその等価物によって限定される。
図1は、例示的な実施形態における企業ネットワーク環境を示す。企業ネットワーク環境100は、大規模な組織又は企業のコンピュータセキュリティを管理する管理システム110を備える企業ネットワーク102を含む。企業ネットワーク102はまた、サーバ、ゲートウェイ、ファイアウォール、ルータ、及び企業ネットワーク102と外部ネットワーク(単数又は複数)124との間のトラフィックを監視し、疑わしいトラフィックを報告/ブロックする他のネットワーク要素等のエッジデバイス1081、2...によって形成される侵入検知システム106を含む。企業ネットワーク102は、各ユーザ1521、2...によって作動されるユーザ機器(UE)1501、2...をサポートして、様々なコンピュータタスクを実行する。UE150は、例えばパーソナルコンピュータ、ラップトップ、スマートフォン等を含み得る。UE150は、企業の従業員又は顧客によって作動され得る。
図1に示すように、UE150は、企業ネットワーク102と直接的にインタフェイスする(例えば、中で作動する)か、又は1以上の外部ネットワーク124を介して間接的にインタフェイスする(例えば、外で作動する)ことができる。いずれにしても、UE150は、インターネットなどの外部ネットワーク124を介して、ウェブサイト、データベース及びサーバ等の外部リソース126にアクセスすることができる。外部リソース126の一部、又は外部ネットワーク124上の悪意のあるアクター128は、UE150にセキュリティ脅威を与える可能性がある。セキュリティ脅威は、UE150を介して企業に属する機密又は貴重な情報にアクセスしようとする、手動又は自動攻撃を含み得る。
多くの最新のセキュリティ脅威には、既存の検出/応答メカニズムを回避するために、脅威を時間とともに自動的に進化する洗練されたテクニックが含まれている。さらに、機密又は貴重な企業情報は、後に企業ネットワーク102内で悪用する目的で企業ネットワーク102(例えばモバイルデバイス)の外部のデバイスを標的とする攻撃にますます晒されやすくなっている。従来のシステムでは、ネットワークに接続されている、企業に関係するデバイスの悪用又は物理的な盗難を伴う攻撃を検出するのは困難であり、一般的にセキュリティ担当者は、企業のセキュリティ上の脆弱性を識別して修復するのに使用することができるであろう、攻撃元に関する情報を収集することができない。
したがって、企業ネットワーク環境100のコンピュータセキュリティを改善するために、管理システム110、リモートサーバ130及びUE150が、適応型セキュリティシステム170によって強化されてもよい。UE150に関しては、適応型セキュリティシステム170は、特定のデバイスに固有の挙動プロファイルに基づいてセキュリティ脅威を検出し、それに応答することができる。すなわち、各UE150は、異なる性能で、異なる環境下で、異なるユーザ152によって作動することができ、適応型セキュリティシステム170は、各UE150のローカル使用及び設定に従って自動セキュリティアクションを制御することができる。リモートサーバ130に関しては、適応型セキュリティシステム170は、進行中のセキュリティ脅威に対する支援機能をUE150に提供することができる。管理システム110に関しては、適応型セキュリティシステム170が、システム全体のセキュリティ脅威パターンの分析を提供して、攻撃者プロファイル及びセキュリティルールを確立することができる。企業ネットワーク環境100は議論のための例示的な環境であることと、本明細書に記載の適応型セキュリティシステム170の特徴は代替の環境及びアプリケーションにおいて採用されてもよいことが理解されよう。管理システム110、リモートサーバ130及びUEに関する適応型セキュリティシステム170の動作の実例及び詳細は、以下で論じられる。
図2は、例示的な実施形態における適応型セキュリティシステムのブロック図である。適応型セキュリティシステム170は、インタフェイスコンポーネント202、1以上のプロセッサ204、及びメモリ206を含む。インタフェイスコンポーネント202は、外部ネットワーク124及び/又は企業ネットワーク102などのネットワークを介してメッセージを交換するためにUE150、リモートサーバ130又は管理システム110と通信するよう構成されているハードウェアコンポーネント又はデバイス(例えばトランシーバー、アンテナ等)を含んでもよい。プロセッサ204は、内部回路、ロジック、ハードウェア等を表し、適応型セキュリティシステム170の機能を提供する。メモリ206は、データ、命令、アプリケーション等のためのコンピュータ可読記憶媒体(例えば読み出し専用メモリ(ROM)又はフラッシュメモリ)であり、プロセッサ204によってアクセス可能である。適応型セキュリティシステム170は、図2に具体的に示されていない様々な他のコンポーネントを含むことができる。
プロセッサ204は、機械学習機能(Machine Learning Function:MLF)210を実装する。MLF210は、機械学習技術を実施するように動作可能なハードウェア、ファームウェア及び/又はソフトウェアの任意の組み合わせで実装され得る。機械学習とは一般に、入力データを解析し、データから学習し、その学習に基づいて出力を適合させることが可能な自動化プロセスを指す。これは、同じ入力が与えられたら同じステップが繰り返されるように命令又はプログラミングが予め定義されており明示的な、従来のコンピュータプロセスとは異なる。すなわち、MLF210は、事前に定義されたアクティビティを有するのではなく、データ内のパターンを観察するように訓練され、明示的なハンドコーディングプログラミング又はユーザの介入/命令なしに取るべきアクション又はステップを時間とともに適応的に調整することができる。
図3は、例示的な実施形態における、適応型セキュリティシステム170によって強化されたUE150のブロック図である。UE150は、ラップトップ又はスマートフォンなどのユーザデバイス、ルータ又はネットワーク要素などのエッジデバイス108、あるいは企業ネットワーク102の管理システム110によって管理される任意の他のデバイスを含むことができる。UE150は、UE150の動作を制御し、かつ、本明細書に記載の技術の実施形態を実装せよとのコンピュータ実行可能命令を処理するよう構成されている1以上のプロセッサ302を含む。プロセッサ302は、ハードウェア304を含むUE150の様々なサブシステムと対話する。ハードウェア304は、メモリ306、組み込みハードウェアコンポーネント330、処理入力コンポーネント335及びネットワークコンポーネント340を含む。この例では、ハードウェアコンポーネント330は、タッチスクリーン入力を受信するように動作可能なディスプレイ331、画像及び動画を取り込むように動作可能なカメラ332、音声を投影するように動作可能なスピーカ333、並びに音声を取り込むように動作可能なマイクロフォン334を含む。処理入力コンポーネント335は、キーボード及び外部記憶デバイスなどの入力/出力(I/O)周辺機器336、1以上のプロセッサ337、及びランダムアクセスメモリ(RAM)338を含む。例示的なネットワークコンポーネント340は、Bluetooth341、全地球測位衛星(GPS)342、WiFi343及び無線機344のための通信コンポーネントを含む。
UE150は、モジュール360-365に連結されているMLF210を含む適応型セキュリティシステム170によって強化される。より詳細には、適応型セキュリティシステム170は、アクティビティ監視モジュール360、異常検出モジュール361、脅威応答モジュール362、初期化モジュール363、ハニーポットモジュール364及びレポートモジュール365を含む。モジュール360-365の各々は、ハードウェア、ファームウェア及びソフトウェアの任意の組み合わせで実装されることが可能であり、かつ、MLF210とインタフェイスするか又はそれに実装されて、セキュリティ脅威を検出し、それに応答するための機械学習技術を実行することができる。適応型セキュリティシステム170及び/又はMLF210のコンポーネントは、オペレーティングシステム(OS)310の一部、すなわちOS310のカーネル312(例えば、OS310のカーネル312の上のメモリ306の保護領域、別個のプログラム若しくはアプリケーション内のハードウェア抽象化層(HAL)318、特殊なハードウェアバッファ若しくはプロセッサ、又はこれらの任意の組み合わせ)に実装することもできる。さらに、適応型セキュリティシステム170及び/又はMLF210のコンポーネントは、プロセッサ302による使用のためにメモリ306に格納されてもよく、又はプロセッサ302による使用のためにRAM338に一時的にロードされてもよいと考えられる。
OS310は、大まかに、ネイティブのアプリケーションとユーザインストールのアプリケーションを含むことができるアプリケーション層305、サービス、マネージャ及びランタイム環境を含むことができるフレームワーク層307、並びにシステムライブラリ及び他のユーザライブラリを含むことができるライブラリ層308を含む。ユーザは、OS310上で動くアプリケーションを制御及び使用するためのメニュー、ボタン及び選択可能な制御項目を提示するグラフィカルユーザインタフェイス(GUI)などのインタフェイス303を介して、OS310と対話することができる。HAL318は、OS310とハードウェア層との間の層であり、OS310を異なるプロセッサアーキテクチャに合わせる役割を担う。OS310は、HAL318をカーネル312内部に含むか、又はアプリケーションがハードウェア周辺機器と対話するための一貫したインタフェイスを提供するデバイスドライバの形態で含んでもよい。それに代えて又はそれに加えて、HAL318は、システムイベント、状態変化などを監視/観察するために、UE150の様々なレベルでアプリケーションプログラミングインタフェイス(API)を調整することができる。このように、OS310及び/又はHAL318は、UE150のハードウェア又はリソースにアクセスするためのアプリケーション又はアクションを認可する、UE150のための様々なセキュリティ設定を提供することができる。
モジュール360-365は、OS310及び/又はHAL318の動作を修正して、UE150のためのセキュリティ設定を適合させることができる。例えば、アクティビティ監視モジュール360は、メモリ130に向けられた入出力(I/O)要求のタイプの変化、ファイルシステム314のファイルへのアクセス、修正、ファイル名変更等の頻度の変化など、UE150上で発生するOS310の様々な内部サービス及びアクティビティを監視することができる。アクティビティ監視モジュール360は、内部データ経路上のシステムサービス316を介して受信された通信要求の変化を検出し、OS310及び/又はHAL318を介して発生する、UE150のサブシステムとの様々な交換命令、メッセージ又はイベントを記録することができる。アクティビティ監視モジュール360は、MLF210と対話して、学習された特性を取得し、監視されているリソースの数を減らすか増加させるか、又は監視されているリソースを変更するかどうかを判定することができる。アクティビティ監視モジュール360は、記録された情報をメモリ306にデバイス使用データ374として格納することもできる。
異常検出モジュール361は、UE150のデバイスが異常挙動を示しているかどうかを判定するよう構成される。異常検出モジュール361は、MLF210と対話して、脅威レベル、タイプ、分類などの異常使用情報からセキュリティ脅威の特性を取得することができる。それに代えて又はそれに加えて、異常検出モジュール361は、攻撃の識別又はアクションなどのセキュリティ脅威に関する情報を識別又は予測する攻撃者データ376を生成することができる。脅威応答モジュール362は、特定のタイプの異常挙動又はセキュリティ脅威に対するアクションプランを選択するよう構成される。初期化モジュール363は、セキュリティ設定370、パラメータ371、又はその他のポリシー、ルール若しくはユーザ設定を、MLF210によって動作を実行するためのパラメータとして適用するよう構成されている。ハニーポットモジュール364は、ユーザの要求又はアクションを防止又は妨害するよう構成されている。ハニーポットモジュール364は、HAL318を使用して、機密情報を隠し、かつ/又は悪意のあるデータ要求を誤ったデータセットに迂回させる、誤データ377を生成/提供する保護データ373を実装することができる。報告モジュール365は、機械間通信又は自動メッセージ交換を実施して、デバイス使用データ374及び/又は攻撃者データ376を、外部検出/セキュリティ脅威への応答のためにリモートサーバ130、管理システム110又はピアUE150に送信することができる。セキュリティ脅威を検出し、一連の自動アクションをトリガーするためにUE150に合わせて調整された機械学習技術を実行するための、モジュール360-365の動作のさらなる詳細を、以下に述べる。
図4は、例示的な実施形態における、適応型セキュリティシステム170によって強化されたリモートサーバ130のブロック図である。リモートサーバ130は、1以上の外部ネットワーク124、1以上のコントローラ404、及びメモリ406を介してUE150及び/又は管理システム110と通信するよう構成されているインタフェイスコンポーネント402を含む。コントローラ404は、内部回路、ロジック、ハードウェア等を表し、リモートサーバ130の機能を提供する。メモリ406は、データ、命令、アプリケーション等のためのコンピュータ可読記憶媒体であり、コントローラ404によってアクセス可能である。リモートサーバ130は、図4に具体的に示されていない様々な他のコンポーネントを含むことができる。
コントローラ404は、MLF210及び虚偽情報モジュール414を含む適応型セキュリティシステム170を実装する。虚偽情報モジュール414を、ハードウェア、ファームウェア及びソフトウェアの任意の組み合わせで実装するか、又はMLF210とインタフェイスするか若しくはそれに実装して、セキュリティ脅威を検出及び/又はそれに応答するための機械学習技術を実行することができる。コントローラ404はまた、位置、地域、ネットワーク、部門、ユーザグループ又は作業サイトなど、企業に関する共通の特性lによってグループ化された1以上のUE150のセキュリティ機能を外部ネットワーク124を介してリモート管理するよう構成されているデバイスサブグループマネージャ420を実装する。UE150のサブグループは、一般的なタイプのデバイス、モデル、プラットフォーム、ハードウェア、セキュリティ属性、又は共通の使用法に基づくこともできる。デバイスサブグループマネージャ420は、UE150からMLF210にデバイス挙動情報を入力して、パターンデータベース422内のUE150の母集団から異常デバイス使用データ及びその他のセキュリティイベントデータを確立することができる。パターンデータベース422を使用して、パターンを識別し、UE150の制御についての推奨事項を特定のタイプのセキュリティ脅威に適合させるためにMLF210を訓練してもよい。例えば、虚偽情報モジュール414は、MLF210を使用して、パターンデータベース422のパターンに従ってUE150に誤ったデータ377を提供することができる。さらに、適応型セキュリティシステム170は、管理システム110及び/又は1つのUE150に代わって機能を実行するように適合されている。例えば、ローカルセキュリティマネージャは、UE150のユーザを認証することができ、かつ、特権を取り消し、アプリケーションを終了させるか、又はその他の方法でUE150上の危殆化又は盗難された機能を無効にするコマンドを発行することができる。したがって、リモートサーバ130において、適応型セキュリティシステム170は、それがデータの中から探している特性若しくはパターン及び/又は、それが入力を分類して、それに応答する方法をUE150のサブグループ特性に基づいて変更することができる。
図5は、例示的な実施形態における、適応型セキュリティシステム170によって強化された管理システム110のブロック図である。管理システム110は、例えば企業ネットワーク102などの1以上の内部ネットワーク及び/又は1以上の外部ネットワーク124を介してUE150及び/又は管理システム110と通信するよう構成されているインタフェイスコンポーネント502を含む。管理システム110はまた、侵入イベントシーケンスを表示するよう構成されているグラフィカルユーザインタフェイス(GUI)508を含む。管理システム110は、1以上のコントローラ504と、メモリ506とをさらに含む。コントローラ504は、内部回路、ロジック、ハードウェア等を表し、管理システム110の機能を提供する。メモリ506は、データ、命令、アプリケーション等のためのコンピュータ可読記憶媒体であり、コントローラ504によってアクセス可能である。管理システム110は、図5に具体的に示されていない様々な他のコンポーネントを含むことができる。
コントローラ504は、MLF210及び、アクティビティ監視モジュール560と、異常検出モジュール561と、脅威応答モジュール562と、表示モジュール563とを含む1以上のモジュール560-563を含む適応型セキュリティシステム170を実装する。モジュール560-563の各々は、ハードウェア、ファームウェア及びソフトウェアの任意の組み合わせで実装されることが可能であり、かつ、MLF210とインタフェイスするか又はそれに実装されて、セキュリティ脅威を検出し、それに応答するための機械学習技術を実行することができる。コントローラ504はまた、エッジデバイス108及びUE150などの企業ネットワーク102内で作動するか又は企業ネットワーク102と対話するデバイス用の、システム全体のセキュリティポリシーを管理するグローバルデバイスマネージャ520を実装する。さらに管理システム110は、UE150のためのユーザ、デバイス及びパターン情報を維持するデバイスデータベース522を含むか又はそれに連結されていてもよく、該データベースは、認可されたUE150又はリモートサーバ130によって分配/回収され得、企業ネットワーク環境100のセキュリティをUE150のエンドユーザ又は企業の特定のニーズに合わせるために機械学習に適用され得る。
管理システム110はまた、エッジデバイス108において検出された異常トラフィックをMLF210にルーティングして、トラフィックデータベース532におけるトラフィックパターンを確立するよう構成されているネットワークトラフィックマネージャ530を含む。エッジデバイス108から取得された異常なトラフィック情報及びUE150から取得された異常デバイス使用情報を、管理システム110において集約して、企業の脆弱性を検出し、グローバルセキュリティマネージャ114のポリシーを改良するためにMLF210に適用することができる。管理システム110、リモートサーバ130及びUE150の多数の構成が可能である。例えば、管理システム110及び/又はリモートサーバ(単数又は複数)130は、クラウド機能又は、同じ若しくは類似の一連の記述された関数を分散させて実行するサーバ/コンピュータのクラスタを独立して又は強調して実装することができる。さらに、モジュール(例えばUEのモジュール360-365、リモートサーバの虚偽情報モジュール414、及び管理システム110のモジュール560-563)は、様々な動作を実行するものとして説明されているが、このようなモジュールは単なる例であり、後述のように、同じ又は類似の機能がより多数又はより少数のモジュールによって実行されてもよく、様々なプラットフォーム(例えばピアUE150、リモートサーバ130、管理システム110等)上で類似の機能を実行するために実装されてもよい。
図6は、例示的な実施形態における、セキュリティ脅威を検出して、それに応答する方法を示すフローチャートである。方法600は、図1の企業ネットワーク環境100に関して記載されている。とはいえ、当業者であれば、本明細書に記載の方法が、図示されていない他のデバイス又はシステムによって実行されてもよいことを認識するであろう。方法600のステップは、1以上のUE150、1以上のリモートサーバ130、管理システム110、又はこれらのいくつかの組み合わせによって実行されてもよい。本明細書に記載の方法のステップは、網羅的なものではなく、図示していない他のステップを含んでもよい。これらのステップはまた、別の順序で実施することも可能である。
最初に、管理システム110は、そのドメイン下のリモートサーバ130及びUE150に配布するセキュリティポリシーを定義することができる。管理システム110のセキュリティ担当者又はUE150のユーザは、UE150、ユーザ、脅威のタイプ、マシン応答等のうちの特定の1つ又はグループを対象とするカスタムセキュリティポリシー提供することができる。
ステップ602において、プロセッサ(例えばUE150のプロセッサ302、リモートサーバ130のコントローラ404、及び/又は管理システム110のコントローラ504)は、MLF210を実装する。すなわち、MLF210を使用して、本明細書に記載のステップ/フローチャートのいずれかの機械学習技術を実行することができる。本明細書におけるフローチャートのステップは通常、適応型セキュリティシステム170のことを指すが、適応型セキュリティシステム170及びMLF210は、UE150、リモートサーバ130及び/又は管理システム110において様々な組み合わせでアクションを実行することができる。すなわち、機械学習は、方法の各ステップで適用され、UE150、リモートサーバ130及び/又は管理システム110によって、以下でさらに詳細に説明する様々な組み合わせで実行することができる。
MLF210は、異常検出、単純ベイズ分類器、サポートベクターマシン、決定木の学習、ニューラルネットワーク学習、強化学習等を含む、任意の数の適切な機械学習プロセス、アルゴリズム又は技術を実装することができる。機械学習プロセスは、設計により機械学習パラメータ(例えばサポートベクターマシンのカーネルタイプ、決定木の木の数等)で調整されてもよい。MLF210は、パターン、相関、特徴、統計、予測又は分類を決定するために入力値を変換することができる。
ステップ604において、適応型セキュリティシステム170は、UE150とのユーザアクションを経時的に監視して、使用プロファイルを確立する。UE150において、アクティビティ監視モジュール260は、UE150を監視し、メモリ306にデバイス使用データ374を記録することができる。例えば、UE150は、ユーザの挙動(例えばキーストローク、ジェスチャ、スピーチ、動き、位置等)、システム動作(例えば通知アラート、システムリソースに対するアプリケーション要求、プロセッサ割り込み等)、ユーザ152の個人情報(例えば連絡先情報、カレンダー情報など)、他のソースから受信されたコンテンツ(例えば電話、ダウンロード、ウェブサイトアクセス等)及び/又はUE150に格納されたコンテンツ(例えばマイクロフォン334から取り込まれたオーディオデータ、カメラ332から取り込まれた画像データ又は動画データ)を監視及び/又は記録することができる。
報告モジュール365は、リモートサーバ130及び/又は管理システム110によってリモートでトリガーされたことに応答して、及び/又は企業ネットワーク環境100で検出されたイベントに応答してトリガーされたことに応答して、特定の間隔でリモートサーバ130及び/又は管理システム110にデバイス使用データ374を送信することができる。 UE150に関連する使用履歴パターンは、UE150、リモートサーバ130及び/又は管理システム110.に格納することができる。
さらに、UE150は、UE150の使用に関するデータを記録するようにUE150をトリガーする、予め定義された特性及び/又は学習された特性を(例えばメモリ306に)格納するか、又は(例えば管理システム110のデバイスデータベース内で)それらに関連付けられ得る。すなわち、予め定義された特性及び/又は学習された特性は、UE150が異常使用される可能性のあるイベント、データのタイプ、位置又は特定の時点の組み合わせを、デバイス使用データの正確な監視及び/又は記録のために識別することができる。例示的なトリガーは、(例えば予定表情報又は外部データソースから得られた既知の又は予想される位置に関する)UE150の移動位置又は方向、(例えばユーザが許可される期間又は作業プロジェクトに関する)UE150の特定のデータ又は機能を使用するためのユーザ152の権限、又は(例えば同様の期間、時間などの間に確立された挙動パターンと異なる、超過した閾値に関する)一定期間のユーザ152の挙動を含む。このようなトリガーポリシー情報は、管理システム110及び/又はリモートサーバ130によってUE150に提供されてもよい。
ステップ606において、適応型セキュリティシステム170は、使用プロファイルの不一致に基づいてUE150の異常使用を検出する。異常使用を検出するために、UE150、リモートサーバ130及び/又は管理システム110のいずれかのMLF210によって異常使用を分析することができる。分析は、リアルタイムで行われてもよいし、後の時点(例えば、UE150が範囲内に戻った後、又は互換性のあるデバイス/システム等に再接続された後、予め定義された長さの時間)で行われてもよい。上述したように、MLF210は、予め定義された命令なしで、時間とともに進化/アップデートすることができる。したがって、異常使用の検出は、自身のデバイスシグネチャ又はUE150に関連付けられている使用プロファイルとの関係で、UE150に特有である。
ステップ608において、適応型セキュリティシステム170は、異常使用がセキュリティ脅威を表すものであるかどうかを判定する。適応型セキュリティシステム170は、MLF210の出力からサイバー脅威の特性を決定することができる。すなわち、異常使用情報を利用して1つ以上のMLF210を時間をかけて訓練した後、出力される機械学習結果は、例えばサイバー脅威のタイプを分類し、将来のサイバー脅迫アクション(cyber threat action)の可能性を予測し、又はデータの閾値変化率がUE150の特定のタイプのセキュリティ脆弱性と相関することを決定するために使用することができる。いくつかの実施形態では、MLF210の出力は、攻撃者によって使用される戦術、技術又は手順などの異常使用に関係する、これまでには未確認の詳細データを予測又は公開することができる。さらに、MLF210は、攻撃を編成するために使用されるサーバのインターネットプロトコル(IP)アドレス又は攻撃に使用されるファイルのハッシュ値若しくはレジストリキーなど、サイバー攻撃の結果として残されるインジケータ又はデータリソースを出力、識別又は予測することができる。
ステップ610において、適応型セキュリティシステム170は、1以上の自動アクションを実行してセキュリティ脅威に応答するようにUE150へ命令する。すなわち、脅威応答モジュール362は、MLF210からの出力を介して実行する1以上のアクションを選択することができる。それに代えて又はそれに加えて、UE150は、MLF210からの出力、又はリモートサーバ130及び/又は管理システム110からの命令を、自動的に実行可能な命令として受け取ることができる。自動アクションについての詳細は、後述する。
図7-10は、例示的な実施形態における、セキュリティ脅威に自動的に応答するための方法を示すフローチャートである。この方法は、図1の企業ネットワーク環境100に関して記載されている。とはいえ、当業者であれば、本明細書に記載の方法が、図示されていない他のデバイス又はシステムによって実行されてもよいことを認識するであろう。該方法のステップは、1以上のUE150、1以上のリモートサーバ130、管理システム110、又はこれらのいくつかの組み合わせによって実行されてもよい。本明細書に記載の方法のステップは、網羅的なものではなく、図示していない他のステップを含んでもよい。これらのステップはまた、別の順序で実施することも可能である。
図7は、セキュリティ脅威に応答するために実行する自動アクションを決定するための方法700を示す。方法700のステップは、上述のステップ610の一部として実行されてもよい。ステップ702において、適応型セキュリティシステム170は、セキュリティ脅威を分類する。セキュリティ脅威の分類により、フォレンジックアクションプラン704、防御的アクションプラン706及び/又は攻撃的アクションプラン708の一部として、1つ又は一連のアクションを実行するためにUE150をトリガーすることができる。例えば、特定の時刻の、特定のデバイス/ユーザ/作業サイトに対するか又は特定のタイプの疑わしいイベントの場所(locus)は、特定の一連のアクションをトリガーする可能性がある。さらに、適応型セキュリティシステム170のMLF210によって決定されたアクションは、特定のUE150、そのパラメータ、セキュリティ設定、学習された特性等に固有のものであってもよい。
フォレンジックアクションプラン704には、例えば特定のアプリケーション、ファイル又はハードウェアコンポーネント等、UE150のターゲットリソースを監視すること、及び/又は予め定義されたか又は学習された特性を使用してUE150を認証することを含めることができる。防御的アクションプラン706には、機密データ又はファイルを隠すこと、アプリケーション又はユーザのアクセス又は許可を制限すること、及び進行中の攻撃の追加情報を収集して攻撃者を識別すること又は攻撃者の識別プロファイルを確立することを含めることできる。攻撃的アクションプラン708には、機密データ又はファイルを破壊すること、ファイルの機密データへのアクセス要求に応答して虚偽情報又は誤ったデータセットを提供すること、ホットスポットを使用して無線ネットワークを偽装し、範囲内のデバイスからデータをマイニングすること、無線及び携帯電話の信号を妨害すること、並びに進行中の攻撃(例えばキーストローク、カメラ画像/動画、マイクロフォン・オーディオ等をログする)についてのより大量のデータをマイニングできるようにUE150のパフォーマンスを制限するか又は能力を限定することを含めることができる。
図8は、例示的なフォレンジックアクションプラン704を実施するための方法800を示す。ステップ802において、適応型セキュリティシステム170は、UE150がセキュリティ脅威によって危殆化されたことを検出する。管理システム110は、UE150自体のMLF210を介して、あるいはUE150のMLF210及び/又はリモートサーバ130から中継されたメッセージに応じて、UE150がセキュリティ脅威によって危殆化されたことを検出することができる。ステップ804において、適応型セキュリティシステム170は、一定期間の間、企業ネットワーク102へのUE150のアクセスを無効にすることを延期する。ステップ806において、適応型セキュリティシステム170は、セキュリティ脅威の挙動を記録するようにユーザデバイスへ命令する。ステップ808において、UE150は、セキュリティ脅威の挙動を管理システム110に報告する。したがって、UE150が危殆化又は盗難された場合、管理システム110は、UE150を使用して、その攻撃者を企業の一部から除外せずに、攻撃者に関する情報を収集することができる。
UE150は、攻撃者の挙動(例えばキーストローク、ジェスチャ、スピーチ、動き、位置等)、システム動作(例えば通知アラート、システムリソースに対するアプリケーション要求、プロセッサ割り込み等)、個人情報のリソース(例えば連絡先情報、カレンダー情報など)、他のソースから受信されたコンテンツ(例えば電話、ダウンロード、ウェブサイトアクセス等)及び/又はUE150に格納されたコンテンツ(例えばマイクロフォン334から取り込まれたオーディオデータ、カメラ332から取り込まれた画像データ又は動画データ等)を監視及び/又は記録することができる。一実施形態では、適応型セキュリティシステム170は、ハードウェアコンポーネント330(例えばマイクロフォン334、カメラ332、ネットワークコンポーネント340の1つ等)のうちの少なくとも1つをアクティブにするように、かつ、ハードウェアコンポーネント330を監視することによってセキュリティ脅威の挙動を記録するようにUE150へ命令する。管理システム110は、以下でさらに詳細に論じるように、セキュリティ脅威の挙動を受信及び分析し、自身の管理下にあるUE150向けの攻撃パターンをプロファイルすることができる。
図9は、例示的な攻撃的アクションプラン706を実施するための方法900を示す。ステップ902において、適応型セキュリティシステム170は、UE150がセキュリティ脅威によって危殆化されたことを検出する。ステップ904において、適応型セキュリティシステム170は、UE150を介してアクセス可能な機密情報を識別する。例えば、機密情報を識別するルール又はポリシー情報は、管理システム110からUE150に提供され、保護されたデータ373としてUE150のメモリ306に格納され得る。ステップ906において、適応型セキュリティシステム170は、セキュリティ脅威の特性に基づいてUE150が提供する誤ったデータセットを識別する。例えば、UE150のハニーポットモジュール364及び/又はリモートサーバ130の虚偽情報モジュール414は、MLF210と対話して、UE150のメモリ306への誤ったデータ377を生成、選択及び/又は提供することができる。その後、ステップ908において、UE150は、機密情報へのアクセス要求に応答して、誤ったデータ377を提供する。
図10は、別の例示的な攻撃的アクションプラン708を実施するための方法1000を示す。ステップ1002において、適応型セキュリティシステム170は、UE150がセキュリティ脅威によって危殆化されたことを検出する。ステップ1004において、適応型セキュリティシステム170は、近接デバイスを発見するためにハードウェアコンポーネントをアクティブにするようにUE150へ命令する。例えば、MLF210は、WiFi343をアクティブにし、ホットスポットを用いて無線ネットワークを偽装するか、又はBluetooth341をアクティブにして、近接デバイスを発見若しくは接続せよとのUE150に対する命令を出力することができる。ステップ1006において、アクティビティ監視モジュール360/560は、ハードウェアコンポーネントとのメッセージ交換に関係するデータを監視及び記録して、近接デバイスの情報を収集することができる。ステップ1008において、UE150は、収集した近接デバイスの情報を管理システム110(例えばグローバルデバイスマネージャ520を含む管理サーバ)に報告する。
図11は、例示的な実施形態における、異常がセキュリティ脅威を示すものかどうかを判定するための方法1100を示すフローチャートである。ステップ1102において、適応型セキュリティシステム170は、UE150が異常使用に関連することを検出する。一実施形態では、異常使用の検出は、UE150、UE150のピア(例えば、管理システム110によって管理される別のユーザデバイス)、リモートサーバ130又は管理システム110で起こってもよい。
ステップ1104において、適応型セキュリティシステム170は、UE150の使用プロファイルを参照して、UE150に関連付けられているピアUE150を識別する。ステップ1106において、適応型セキュリティシステム170は、UE150の使用を確認するために、他のデバイスとの自動通信交換を開始する。例えば、リモートサーバ130又は管理システム110は、ユーザのラップトップ(又はスマートウェアラブル、スマート自動車システムなど)に、そのマイクロフォンをオンにし、そのユーザの声を確認し、確認結果を報告するコマンドを発行することによって、モバイルデバイスのユーザを認証することができる。そうすることで、リモートサーバ130又は管理システム110は、学習されたデバイス使用によって確立された同一のユーザに関連付けられ、かつ/又は互いに共通接続されているか若しくはスピーカ333の音が聞こえる範囲内、カメラの332の視野内などの、複数のUE150の学習された特性を(例えば、メモリ306内のデバイス使用データ374として、管理システム110のデバイスデータベース522内で)参照することができる。学習された特性はまた、リモートサーバ130又は管理システム110がUE150のピアを介してUE150の状態を正確に確認するためのタイムリーなコマンドを発行できるように、デバイス近接性に関連するタイミング情報も含むことができる。したがって、UE150は、セキュリティ脅威に対する正確な検出及び正確な応答を可能にするために、そのピアUE150、リモートサーバ130及び/又は管理システム110と協働することができる。その後、ステップ1108において、適応型セキュリティシステム170は、異常使用を分類して、それがセキュリティ脅威であるかどうかを判定する。セキュリティ脅威である場合、リモートサーバ130又は管理システム110は、デバイスデータベース522を参照して、セキュリティ脅威に応答するアクション決定を通知し得る特性を識別することができる。セキュリティ脅威でない場合、適応型セキュリティシステム170は、使用を認可し、それをMLF210及び異常検出モジュール361/561を適合させるための訓練例として使用することができる。
図12は、例示的な実施形態における、グラフィカルな侵入イベントシーケンスを導出するための方法1200を示すフローチャートであるステップ1202において、管理システム110のネットワークトラフィックマネージャ530は、ネットワークインタフェイスを介してネットワークデバイス(例えばエッジデバイス108)によって受信された通信パターンを確立するためにMLF210と対話する。一実施形態では、エッジデバイス108のアクティビティ監視モジュール360は、パターンをネットワークトラフィックマネージャ530に検出/提供することができる。ステップ1204において、適応型セキュリティシステム170は、MLF210を介して通信パターン内の侵入イベントシーケンスを検出する。例えば、MLF210は、企業ネットワーク102のサーバにおけるパケット間のパケットヘッダ、フレーム、IPアドレス、転送テーブル又は送信ルート(ホップ数)を分析し、(正常なアクティビティとして確立された)過去のアクティビティが現在のアクティビティと異なるかどうかを判定することができる。ステップ1206において、適応型セキュリティシステム170は、侵入イベントシーケンスのグラフィカルシミュレーションを生成する。例えば、表示モジュール563は、1つ又は複数のUE150に対する侵入イベントシーケンスを導出し、侵入パターン、ユーザ、位置等によってイベントをフィルタリングし、GUI508へ侵入イベントの段階的な再生を提供することができる。
図13は、例示的な実施形態における、企業ネットワーク環境100のセキュリティポリシーを更新するための方法を示すフローチャート1300である。ステップ1302において、適応型セキュリティシステム170は、パターンを集約する。ネットワークトラフィックマネージャ530は、トラフィックパターンをトラフィックデータベース532に転送することができ、グローバルデバイスマネージャ520は、デバイス使用パターンをデバイスデータベース522に転送することができる。ステップ1304において、適応型セキュリティシステム170は、そのパターンに基づいて攻撃者プロファイルを構築する。その後ステップ1306において、適応型セキュリティシステム170は、企業ネットワーク102用のポリシールールを更新する。例えば、攻撃が企業ネットワーク102の特定のエリアを対象とすることが判明した場合、その特定のエリアは、アクティビティ監視モジュール560によるより集中的/頻繁な監視のための優先順位の高いチェックポイントになることができる。
さらに、本開示は、以下の条項による実施形態を含む。
条項1: ネットワーク上の複数のユーザデバイスを管理するよう構成されているサーバ及び、ネットワーク上のサーバと通信するよう構成されているインタフェイスコンポーネントと、ユーザデバイスとのユーザインタラクションを経時的に監視して使用プロファイルを確立し、使用プロファイルの不一致に基づいてユーザデバイスの異常使用を検出し、異常使用がセキュリティ脅威を表すものであるかどうかを判定し、かつ、1以上の自動アクションを実行してセキュリティ脅威に応答するようにユーザデバイスに命令するよう構成されている機械学習機能を実装するプロセッサとを備えるユーザデバイスを備えるシステム。
条項2: サーバが、ユーザデバイスがセキュリティ脅威によって危殆化されていることを検出すると、ユーザデバイスのネットワークへのアクセスを無効化することを一定期間先送りするよう構成されており、かつ、機械学習機能が、セキュリティ脅威の挙動を記録するようにユーザデバイスへ命令し、その期間中にインタフェイスコンポーネントを介してセキュリティ脅威の挙動をネットワーク上のサーバに報告するよう構成されている、条項1のシステム。
条項3: セキュリティ脅威の挙動がキーストロークデータ、オーディオデータ、画像データ、アプリケーション使用データ又はファイルアクセス要求データのうちの1又は複数を含み、かつ、サーバが、セキュリティ脅威の挙動を分析して、ネットワーク上のユーザデバイスに向けた攻撃パターンをプロファイルするよう構成されている、条項2のシステム。
条項4: 機械学習機能が、セキュリティ脅威の挙動に関するデータ収集量を増やせるように、ユーザデバイスの能力を制限するよう構成されている、条項2のシステム。
条項5: 機械学習機能が、マイクロフォン、カメラ及びネットワークインタフェイスコンポーネントのうちの1つを含む少なくとも1つのハードウェアコンポーネントをアクティブにするようにユーザデバイスへ命令し、その少なくとも1つのハードウェアコンポーネントを監視することによってセキュリティ脅威の挙動を記録するよう構成されている、条項2のシステム。
条項6: ユーザデバイスが無線インタフェイスコンポーネントを含み、かつ、機械学習機能が、無線インタフェイスコンポーネントをアクティブにして無線ネットワークを偽装するようにユーザデバイスへ命令し、その無線ネットワークに接続する無線デバイスの情報を収集し、その無線デバイスの情報をネットワーク上のサーバに報告するよう構成されている、条項1のシステム。
条項7: 機械学習機能が、セキュリティ脅威を受けやすいユーザデバイスのメモリに格納された機密情報を識別し、ユーザデバイスのメモリ内の、その機密情報に関連する誤ったデータセットを識別して、機密情報へのアクセス要求に応答して誤ったデータセットを提供するよう構成されている、条項1のシステム。
条項8: セキュリティ脅威の挙動に関する情報を受信し、かつ、セキュリティ脅威の特性に基づいて誤ったデータセットをユーザデバイスに提供するよう構成されている機械学習システムを実装するリモートサーバをさらに含む、条項1のシステム。
条項9: ユーザデバイスに関連付けられているサーバによって管理される別のユーザデバイスをさらに含み、かつ、機械学習機能が、その別のユーザデバイスに送信された、許可されたユーザがその別のユーザデバイスの近くにいることを確認せよという命令に基づいて、異常使用がセキュリティ脅威を表すかどうかを判定するよう構成されている、条項1のシステム。
条項10: プロセッサが、ユーザデバイスのオペレーティングシステムカーネルの上にある保護されたメモリ又はユーザデバイスのハードウェア抽象化層の1つの中に機械学習機能を実装する、条項1のシステム。
条項11: ユーザデバイスのインタフェイスコンポーネントを介して、ネットワーク上の複数のユーザデバイスを管理するサーバと通信すること;ユーザデバイスのプロセッサを備える機械学習機能を実装すること;ユーザデバイスとのユーザインタラクションを経時的に監視して使用プロファイルを確立すること;使用プロファイルの不一致に基づいてユーザデバイスの異常使用を検出すること;その異常使用がセキュリティ脅威を表すものであるかどうかを判定すること;及び機械学習機能から得られた1以上の自動アクションを実行してセキュリティ脅威に応答するようにユーザデバイスへ命令することを含む、方法。
条項12: ユーザデバイスがセキュリティ脅威に危殆化されているとの検出に応答して、サーバにおいて、ユーザデバイスのネットワークへのアクセスの無効化を一定期間先送りすること;セキュリティ脅威の挙動を記録するようにユーザデバイスへ命令すること:及びその期間中にインタフェイスコンポーネントを介してセキュリティ脅威の挙動をネットワーク上のサーバに報告することをさらに含む、条項11の方法。
条項13: セキュリティ脅威の挙動を分析して、ネットワーク上のユーザデバイスに向けた攻撃パターンをプロファイルすることをさらに含み、かつ、セキュリティ脅威の挙動が、キーストロークデータ、オーディオデータ、画像データ、アプリケーション使用データ又はファイルアクセス要求データのうちの1つ以上を含む、条項12の方法。
条項14: 1以上の自動アクションが、セキュリティ脅威を受けやすいユーザデバイスのメモリに格納された機密情報を識別すること;ユーザデバイスのメモリ内の、その機密情報に関連する誤ったデータセットを識別すること;及び機密情報へのアクセス要求に応答して誤ったデータセットを提供することを含む、条項12の方法。
条項15: プロセッサによって実行されるプログラム命令を具現化する非一過性のコンピュータ可読媒体であって、該命令が、プロセッサに対して、ユーザデバイスのインタフェイスコンポーネントを介して、ネットワーク上の複数のデバイスを管理するサーバと通信し;ユーザデバイスを備える機械学習機能を実装し;ユーザデバイスとのユーザインタラクションを経時的に監視して使用プロファイルを確立し;使用プロファイルの不一致に基づいてユーザデバイスの異常使用を検出し;その異常使用がセキュリティ脅威を表すものであるかどうかを判定し;かつ、機械学習機能から得られた1以上の自動アクションを実行してセキュリティ脅威に応答するように指示する、コンピュータ可読媒体。
条項16: 該命令がプロセッサに対し、ユーザデバイスがセキュリティ脅威に危殆化されているとの検出に応答して、サーバにおいて、ユーザデバイスのネットワークへのアクセスの無効化を一定期間先送りし;セキュリティ脅威の挙動を記録するようにユーザデバイスに命令し:かつ、その期間中にインタフェイスコンポーネントを介してセキュリティ脅威の挙動をネットワーク上のサーバに報告するようにさらに指示する、条項15のコンピュータ可読媒体。
条項17: 該命令がプロセッサに対し、セキュリティ脅威の挙動を分析して、ネットワーク上のユーザデバイスに向けた攻撃パターンをプロファイルするようにさらに指示し、かつ、セキュリティ脅威の挙動が、キーストロークデータ、オーディオデータ、画像データ、アプリケーション使用データ又はファイルアクセス要求データのうちの1つ以上を含む、条項16のコンピュータ可読媒体。
条項18: 該命令がプロセッサに対し、セキュリティ脅威を受けやすいユーザデバイスのメモリに格納された機密情報を識別し;ユーザデバイスのメモリ内の、その機密情報に関連する誤ったデータセットを識別し;かつ、機密情報へのアクセス要求に応答して誤ったデータセットを提供するようにさらに指示する、条項15のコンピュータ可読媒体。
条項19: 該命令がプロセッサに対し、ユーザデバイスに関連付けられているサーバによって管理される別のユーザデバイスを識別し;かつ、別の使用デバイスに送信された、許可されたユーザがその別のユーザデバイスの近くにいることを確認せよという命令に基づいて、異常使用がセキュリティ脅威を表すものであるかどうかを判定するようにさらに指示する、条項15のコンピュータ可読媒体。
条項20: ユーザデバイスの使用履歴に基づいてユーザデバイスの異常使用を検出し、異常使用の情報を機械学習機能に入力し、機械学習機能の出力からサイバー脅威の特性を決定し、サイバー脅威の特性に基づいてユーザデバイスが実行する自動アクションを決定し、かつ、自動アクションを実行してサイバー脅威に応答するようにユーザデバイスへ命令するよう構成されているプロセッサを備える装置。
条項21: サイバー脅威の特性がユーザデバイスを介してあるタイプのデータにアクセスする脅威を含むとの判定に応答して、プロセッサが、そのタイプのデータへのアクセス要求に応答するための虚偽情報を提供するようにユーザデバイスへ命令するよう構成されている、条項20の装置。
条項22: サイバー脅威の特性がユーザデバイスのメモリ内に格納されているデータの情報漏洩に対する脅威を含むとの判定に応答して、プロセッサが、データを消去するようにユーザデバイスへ命令するよう構成されている、条項20の装置。
条項23: プロセッサが、ユーザデバイスから離れたサーバにおいて機械学習機能を実装する、条項20に記載の装置。
条項24: ユーザデバイスの使用履歴に基づいてデバイスの異常使用を検出すること;異常使用の情報を機械学習機能に入力すること;機械学習機能の出力からサイバー脅威の特性を決定すること;サイバー脅威の特性に基づいてデバイスが実行する自動アクションを決定すること;及び自動アクションを実行してサイバー脅威に応答するようにデバイスへ命令することを含む、方法。
条項25: 機械学習機能により、ネットワークインタフェイスを介してデバイスによって受信された通信パターンを確立すること;機械学習機能により通信パターン内の侵入イベントシーケンスを検出すること;及び侵入イベントシーケンスのグラフィカルシミュレーションを生成することをさらに含む、条項24の方法。
本明細書中で図示又は記載された種々の制御要素(例えば電気又は電子コンポーネント)のいずれもが、ハードウェア、プロセッサ実装ソフトウェア、プロセッサ実装ファームウェア、又はこれらの何らかの組み合わせとして実装され得る。例えば、ある要素は、専用ハードウェアとして実装され得る。専用ハードウェア要素は、「プロセッサ」、「コントローラ」、又は同様の何らかの専門用語で呼ばれてもよい。プロセッサによって提供される場合、機能は、単一の専用プロセッサによって、単一の共有プロセッサによって、又はいくつかが共有であり得る複数の個別のプロセッサによって提供され得る。さらに、「プロセッサ」又は「コントローラ」という用語の明示的な使用は、ソフトウェアを実行することができるハードウェアのみを表わすと解釈されるべきでなく、限定するものではないが、デジタル信号プロセッサ(DSP)ハードウェア、ネットワークプロセッサ、特定用途向け集積回路(ASIC)又はその他の回路、フィールドプログラマブルゲートアレイ(FPGA)、ソフトウェア格納用の読み出し専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、不揮発性記憶装置、論理若しくは何らかの他の物理ハードウェアコンポーネント又はモジュールが黙示的に含まれてもよい。
また、制御要素は、プロセッサ又はコンピュータによって実行可能な命令として実装されて、その要素の機能を実行することができる。命令のいくつかの例は、ソフトウェア、プログラムコード、及びファームウェアである。命令は、プロセッサによって実行されると動作可能になって、その要素の機能を実行するようにプロセッサへ指示する。命令は、プロセッサが読むことができる記憶デバイスに格納され得る。記憶デバイスのいくつかの例は、デジタル若しくはソリッドステートメモリ、磁気ディスク及び磁気テープなどの磁気記憶媒体、ハードドライブ又は光学的に読み取り可能なデジタルデータ記憶媒体である。
特定の実施形態が本明細書に記載されているが、本開示の範囲は、これらの特定の実施形態に限定されない。本開示の範囲は、以下の特許請求の範囲及びその均等物によって定められる。

Claims (10)

  1. システム(100)であって、
    ネットワーク(102、124)上の複数のユーザデバイス(150-1、150-2、…、150-N)を管理するよう構成されているサーバ(108)と;
    以下を備えるユーザデバイス(150):
    前記ネットワーク上の前記サーバと通信するよう構成されているインタフェイスコンポーネント(202、303、402、502)及び
    前記ユーザデバイスとのユーザインタラクションを経時的に監視して使用プロファイルを確立し、前記使用プロファイルの不一致に基づいて前記ユーザデバイスの異常使用を検出し、前記異常使用がセキュリティ脅威(128)を表すものであるかどうかを判定し、かつ、1以上の自動アクションを実行して前記セキュリティ脅威に応答するように前記ユーザデバイスへ命令するよう構成されている機械学習機能(210)を実装するプロセッサ(204、302、337)
    とを備える、システム。
  2. 前記サーバが、前記ユーザデバイスが前記セキュリティ脅威によって危殆化されていることを検出すると、前記ユーザデバイスの前記ネットワークへのアクセスを一定期間無効化することを先送りにするよう構成されており;かつ、
    前記機械学習機能が、前記セキュリティ脅威の挙動を記録するように前記ユーザデバイスへ命令し、前記期間中に前記インタフェイスコンポーネントを介して前記セキュリティ脅威の挙動を前記ネットワーク上の前記サーバに報告するよう構成されている、請求項1に記載のシステム。
  3. 前記ユーザデバイスが無線インタフェイスコンポーネント(202)を含み;かつ、
    前記機械学習機能が、前記無線インタフェイスコンポーネントをアクティブにして無線ネットワーク(124)を偽装するように前記ユーザデバイスへ命令し、前記無線ネットワークに接続する無線デバイス(126)の情報を収集し、前記無線デバイスの前記情報を前記ネットワーク上の前記サーバに報告するよう構成されている、請求項1又は2に記載のシステム。
  4. 前記機械学習機能が、前記セキュリティ脅威を受けやすい前記ユーザデバイスのメモリ(206、306、338、406、506)に格納された機密情報を識別し、前記ユーザデバイスの前記メモリ内の、前記機密情報に関連する誤ったデータセット(377)を識別して、前記機密情報へのアクセス要求に応答して前記誤ったデータセットを提供するよう構成されている、請求項1から3のいずれか一項に記載のシステム。
  5. 前記セキュリティ脅威の挙動に関する情報を受信し、前記セキュリティ脅威の特性に基づいて誤ったデータセット(377)を前記ユーザデバイスに提供するよう構成されている機械学習システムを実装するリモートサーバ(130)をさらに含む、請求項1から4のいずれか一項に記載のシステム。
  6. 方法であって、
    ユーザデバイス(150)のインタフェイスコンポーネント(202、303、402、502)を介して、ネットワーク(102、124)上の複数のユーザデバイス(150-1、150-2、…、150-N)を管理するサーバ(108)と通信すること(1202);
    前記ユーザデバイスのプロセッサ(204、302、337)に機械学習機能(210)を実装すること(602);
    前記ユーザデバイスとのユーザインタラクションを経時的に監視(604)して、使用プロファイルを確立すること;
    前記使用プロファイルの不一致に基づいて前記ユーザデバイスの異常使用を検出すること(606);
    前記異常使用がセキュリティ脅威を表すものであるかどうかを判定すること(608);及び
    前記機械学習機能から得られた1以上の自動アクションを実行して前記セキュリティ脅威に応答するように前記ユーザデバイスへ命令すること(610)
    を含む、方法。
  7. ユーザデバイスがセキュリティ脅威に危殆化されているとの検出(802、902、1002、1102)に応答して、前記サーバにおいて、前記ユーザデバイスの前記ネットワークへのアクセスの無効化を一定期間先送りすること(804);
    前記セキュリティ脅威の挙動を記録するように前記ユーザデバイスへ命令すること(806);及び
    前記期間中に前記インタフェイスコンポーネントを介して前記セキュリティ脅威の前記挙動を前記ネットワーク上の前記サーバに報告すること(808)
    をさらに含む、請求項6に記載の方法。
  8. 装置であって、
    ユーザデバイス(150)の使用履歴に基づいて前記ユーザデバイスの異常使用を検出し、前記異常使用の情報を機械学習機能(210)に入力し、前記機械学習機能の出力からサイバー脅威の特性を決定し、前記サイバー脅威の前記特性に基づいて前記ユーザデバイスが実行する自動アクションを決定し、かつ、前記自動アクションを実行して前記サイバー脅威に応答するように前記ユーザデバイスへ命令するよう構成されているプロセッサ(204、302、337)を備える、装置。
  9. 前記サイバー脅威の前記特性が前記ユーザデバイスを介してあるタイプのデータにアクセスする脅威を含むとの判定に応答して、前記プロセッサが、前記タイプのデータへのアクセス要求に応答するための虚偽情報(414)を提供するように前記ユーザデバイスへ命令するよう構成されている、請求項8に記載の装置。
  10. 前記サイバー脅威の前記特性が前記ユーザデバイスのメモリ(206、306、338、406、506)内に格納されているデータの情報漏洩に対する脅威を含むとの判定に応答して、前記プロセッサが、前記データを消去するように前記ユーザデバイスへ命令するよう構成されている、請求項8又は9に記載の装置。
JP2018131191A 2017-07-11 2018-07-11 適応型機械学習機能を有するサイバーセキュリティシステム Active JP7114375B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US15/647,173 US10419468B2 (en) 2017-07-11 2017-07-11 Cyber security system with adaptive machine learning features
US15/647,173 2017-07-11

Publications (2)

Publication Number Publication Date
JP2019032828A JP2019032828A (ja) 2019-02-28
JP7114375B2 true JP7114375B2 (ja) 2022-08-08

Family

ID=62916443

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018131191A Active JP7114375B2 (ja) 2017-07-11 2018-07-11 適応型機械学習機能を有するサイバーセキュリティシステム

Country Status (6)

Country Link
US (1) US10419468B2 (ja)
EP (1) EP3428827B1 (ja)
JP (1) JP7114375B2 (ja)
KR (1) KR102498168B1 (ja)
CN (1) CN109246072B (ja)
SG (1) SG10201805535SA (ja)

Families Citing this family (79)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10963790B2 (en) 2017-04-28 2021-03-30 SparkCognition, Inc. Pre-processing for data-driven model creation
US10623432B2 (en) * 2017-06-21 2020-04-14 International Business Machines Corporation Mitigating security risks utilizing continuous device image reload with data integrity
US11095678B2 (en) 2017-07-12 2021-08-17 The Boeing Company Mobile security countermeasures
US12058160B1 (en) 2017-11-22 2024-08-06 Lacework, Inc. Generating computer code for remediating detected events
US11785104B2 (en) 2017-11-27 2023-10-10 Lacework, Inc. Learning from similar cloud deployments
US11973784B1 (en) 2017-11-27 2024-04-30 Lacework, Inc. Natural language interface for an anomaly detection framework
US12095796B1 (en) 2017-11-27 2024-09-17 Lacework, Inc. Instruction-level threat assessment
US12034754B2 (en) 2017-11-27 2024-07-09 Lacework, Inc. Using static analysis for vulnerability detection
US11894984B2 (en) 2017-11-27 2024-02-06 Lacework, Inc. Configuring cloud deployments based on learnings obtained by monitoring other cloud deployments
US11979422B1 (en) 2017-11-27 2024-05-07 Lacework, Inc. Elastic privileges in a secure access service edge
US12021888B1 (en) 2017-11-27 2024-06-25 Lacework, Inc. Cloud infrastructure entitlement management by a data platform
US20220232025A1 (en) 2017-11-27 2022-07-21 Lacework, Inc. Detecting anomalous behavior of a device
US11765249B2 (en) 2017-11-27 2023-09-19 Lacework, Inc. Facilitating developer efficiency and application quality
US11770398B1 (en) 2017-11-27 2023-09-26 Lacework, Inc. Guided anomaly detection framework
US12095794B1 (en) 2017-11-27 2024-09-17 Lacework, Inc. Universal cloud data ingestion for stream processing
US11818156B1 (en) 2017-11-27 2023-11-14 Lacework, Inc. Data lake-enabled security platform
US10614071B1 (en) 2017-11-27 2020-04-07 Lacework Inc. Extensible query interface for dynamic data compositions and filter applications
US20220232024A1 (en) 2017-11-27 2022-07-21 Lacework, Inc. Detecting deviations from typical user behavior
US11849000B2 (en) 2017-11-27 2023-12-19 Lacework, Inc. Using real-time monitoring to inform static analysis
US11792284B1 (en) 2017-11-27 2023-10-17 Lacework, Inc. Using data transformations for monitoring a cloud compute environment
US11941114B1 (en) * 2018-01-31 2024-03-26 Vivint, Inc. Deterrence techniques for security and automation systems
US10038611B1 (en) * 2018-02-08 2018-07-31 Extrahop Networks, Inc. Personalization of alerts based on network monitoring
US20210012003A1 (en) * 2018-03-20 2021-01-14 Sony Corporation Information processing apparatus and information processing method
US20200036743A1 (en) * 2018-07-25 2020-01-30 Arizona Board Of Regents On Behalf Of Arizona State University Systems and methods for predicting the likelihood of cyber-threats leveraging intelligence associated with hacker communities
CN110943961B (zh) 2018-09-21 2022-06-21 阿里巴巴集团控股有限公司 数据处理方法、设备以及存储介质
US11128668B2 (en) * 2018-12-04 2021-09-21 International Business Machines Corporation Hybrid network infrastructure management
US11431738B2 (en) 2018-12-19 2022-08-30 Abnormal Security Corporation Multistage analysis of emails to identify security threats
US11824870B2 (en) 2018-12-19 2023-11-21 Abnormal Security Corporation Threat detection platforms for detecting, characterizing, and remediating email-based threats in real time
US11050793B2 (en) 2018-12-19 2021-06-29 Abnormal Security Corporation Retrospective learning of communication patterns by machine learning models for discovering abnormal behavior
CN109823346B (zh) * 2019-01-23 2020-10-30 广州德晟人工智能科技有限公司 基于大数据主动安全预警系统及方法
WO2020159439A1 (en) * 2019-01-29 2020-08-06 Singapore Telecommunications Limited System and method for network anomaly detection and analysis
CN109857611A (zh) * 2019-01-31 2019-06-07 泰康保险集团股份有限公司 基于区块链的硬件测试方法及装置、存储介质和电子设备
US20220147614A1 (en) * 2019-03-05 2022-05-12 Siemens Industry Software Inc. Machine learning-based anomaly detections for embedded software applications
US11281629B2 (en) * 2019-03-15 2022-03-22 International Business Machines Corporation Using and training a machine learning module to determine actions to be taken in response to file system events in a file system
US11386208B1 (en) * 2019-05-16 2022-07-12 Ca, Inc. Systems and methods for malware detection using localized machine learning
US11824872B1 (en) * 2019-05-31 2023-11-21 United Services Automobile Association (Usaa) Method and apparatus for anomaly detection for user behavior
WO2020250724A1 (ja) * 2019-06-11 2020-12-17 ソニー株式会社 情報処理方法、情報処理装置、及び、プログラム
US11341238B2 (en) * 2019-09-09 2022-05-24 Aptiv Technologies Limited Electronic device intrusion detection
US10805801B1 (en) * 2019-10-02 2020-10-13 International Business Machines Corporation Automatic mobile device usage restriction
US11100221B2 (en) 2019-10-08 2021-08-24 Nanotronics Imaging, Inc. Dynamic monitoring and securing of factory processes, equipment and automated systems
US11611576B2 (en) * 2019-12-11 2023-03-21 GE Precision Healthcare LLC Methods and systems for securing an imaging system
US11429069B2 (en) 2019-12-16 2022-08-30 Hamilton Sundstrand Corporation Real time output control based on machine learning hardware implementation
US11783235B2 (en) 2019-12-16 2023-10-10 Hamilton Sundstrand Corporation Real time output control in hardware based on machine learning
US11165823B2 (en) 2019-12-17 2021-11-02 Extrahop Networks, Inc. Automated preemptive polymorphic deception
KR102118588B1 (ko) * 2019-12-19 2020-06-03 주식회사 유니온플레이스 전용 인공 지능 시스템
US11188571B1 (en) 2019-12-23 2021-11-30 Lacework Inc. Pod communication graph
US11256759B1 (en) 2019-12-23 2022-02-22 Lacework Inc. Hierarchical graph analysis
US11201955B1 (en) 2019-12-23 2021-12-14 Lacework Inc. Agent networking in a containerized environment
US10873592B1 (en) 2019-12-23 2020-12-22 Lacework Inc. Kubernetes launch graph
US11470042B2 (en) 2020-02-21 2022-10-11 Abnormal Security Corporation Discovering email account compromise through assessments of digital activities
US11997125B2 (en) 2020-02-24 2024-05-28 Strikeready Inc. Automated actions in a security platform
US11871244B2 (en) * 2020-02-27 2024-01-09 CACI, Inc.—Federal Primary signal detection using distributed machine learning in multi-area environment
US11086988B1 (en) 2020-02-28 2021-08-10 Nanotronics Imaging, Inc. Method, systems and apparatus for intelligently emulating factory control systems and simulating response data
US11477234B2 (en) 2020-02-28 2022-10-18 Abnormal Security Corporation Federated database for establishing and tracking risk of interactions with third parties
CN115136080A (zh) * 2020-02-28 2022-09-30 纳米电子成像有限公司 用于智能地仿真工厂控制系统和模拟响应数据的方法、系统和装置
US11252189B2 (en) 2020-03-02 2022-02-15 Abnormal Security Corporation Abuse mailbox for facilitating discovery, investigation, and analysis of email-based threats
WO2021178423A1 (en) 2020-03-02 2021-09-10 Abnormal Security Corporation Multichannel threat detection for protecting against account compromise
WO2021183939A1 (en) * 2020-03-12 2021-09-16 Abnormal Security Corporation Improved investigation of threats using queryable records of behavior
US11470108B2 (en) 2020-04-23 2022-10-11 Abnormal Security Corporation Detection and prevention of external fraud
US20210392500A1 (en) * 2020-06-11 2021-12-16 Apple Inc. Network interface device
US11483375B2 (en) 2020-06-19 2022-10-25 Microsoft Technology Licensing, Llc Predictive model application for file upload blocking determinations
KR102370483B1 (ko) * 2020-06-19 2022-03-04 숭실대학교 산학협력단 하드웨어 추상화 계층을 이용하는 자원 모니터링 장치 및 방법
RU2770146C2 (ru) * 2020-08-24 2022-04-14 Акционерное общество "Лаборатория Касперского" Система и способ защиты устройств пользователя
US11546368B2 (en) 2020-09-28 2023-01-03 T-Mobile Usa, Inc. Network security system including a multi-dimensional domain name system to protect against cybersecurity threats
US11496522B2 (en) 2020-09-28 2022-11-08 T-Mobile Usa, Inc. Digital on-demand coupons for security service of communications system
US11528242B2 (en) 2020-10-23 2022-12-13 Abnormal Security Corporation Discovering graymail through real-time analysis of incoming email
US12032702B2 (en) * 2020-10-23 2024-07-09 International Business Machines Corporation Automated health-check risk assessment of computing assets
US11775693B1 (en) * 2020-12-10 2023-10-03 University Of Florida Research Foundation, Inc. Hardware trojan detection using path delay based side-channel analysis and reinforcement learning
US11687648B2 (en) 2020-12-10 2023-06-27 Abnormal Security Corporation Deriving and surfacing insights regarding security threats
US12028363B2 (en) * 2021-04-15 2024-07-02 Bank Of America Corporation Detecting bad actors within information systems
US11930025B2 (en) * 2021-04-15 2024-03-12 Bank Of America Corporation Threat detection and prevention for information systems
JP7567070B2 (ja) 2021-05-20 2024-10-15 ネットスコープ, インク. 組織のセキュリティポリシーに対するユーザコンプライアンスの信頼度のスコアリング
US11831661B2 (en) 2021-06-03 2023-11-28 Abnormal Security Corporation Multi-tiered approach to payload detection for incoming communications
CN114500038A (zh) * 2022-01-24 2022-05-13 深信服科技股份有限公司 网络安全检测方法、装置、电子设备及可读存储介质
US11658881B1 (en) 2022-06-30 2023-05-23 Bank Of America Corporation System and method for predicting anomalous requests and preventing anomalous interactions in a network
US20240056481A1 (en) * 2022-08-09 2024-02-15 Commvault Systems, Inc. Data storage management system integrating cyber threat deception
CN116467102B (zh) * 2023-05-12 2023-11-14 杭州天卓网络有限公司 一种基于边缘算法的故障检测方法及装置
CN118300811A (zh) * 2024-02-18 2024-07-05 徐州聚信科技有限公司 一种基于大数据的网络安全检测方法
CN118427837A (zh) * 2024-05-15 2024-08-02 深圳市商用管理软件有限公司 基于云计算的软件平台安全运行状态监测系统及方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005322261A (ja) 2005-05-27 2005-11-17 Intelligent Wave Inc 不正監視プログラム、不正監視の方法及び不正監視システム
US20150213246A1 (en) 2010-11-29 2015-07-30 Biocatch Ltd. Method, device, and system of generating fraud-alerts for cyber-attacks
JP2016511847A (ja) 2012-12-06 2016-04-21 ザ・ボーイング・カンパニーThe Boeing Company 脅威検出のためのコンテキスト・アウェア・ネットワーク・セキュリティ・モニタリング

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE69942063D1 (de) * 1998-09-11 2010-04-08 Curis Inc Antagonisten von 'hedgehog' und 'patched' zur inhibierung des wachstums und der differenzierung von zellen und geweben, als auch deren verwendungen
US20020157020A1 (en) * 2001-04-20 2002-10-24 Coby Royer Firewall for protecting electronic commerce databases from malicious hackers
CN1647483A (zh) * 2002-04-17 2005-07-27 计算机联合思想公司 检测和反击企业网络中的恶意代码
CN1333552C (zh) * 2005-03-23 2007-08-22 北京首信科技有限公司 基于机器学习的用户行为异常的检测方法
WO2008001972A1 (en) 2006-06-26 2008-01-03 The Industry & Academic Cooperation In Chungnam National University Method for proactively preventing wireless attacks and apparatus thereof
US8181250B2 (en) 2008-06-30 2012-05-15 Microsoft Corporation Personalized honeypot for detecting information leaks and security breaches
US8402546B2 (en) 2008-11-19 2013-03-19 Microsoft Corporation Estimating and visualizing security risk in information technology systems
US8769684B2 (en) 2008-12-02 2014-07-01 The Trustees Of Columbia University In The City Of New York Methods, systems, and media for masquerade attack detection by monitoring computer user behavior
US9117076B2 (en) 2012-03-14 2015-08-25 Wintermute, Llc System and method for detecting potential threats by monitoring user and system behavior associated with computer and network activity
CN103138986B (zh) * 2013-01-09 2016-08-03 天津大学 一种基于可视分析的网站异常访问行为的检测方法
US9185083B1 (en) 2013-05-23 2015-11-10 The Boeing Company Concealing data within encoded audio signals
US9904356B2 (en) 2013-05-28 2018-02-27 The Boeing Company Tracking a user to support tasks performed on complex-system components
US9395810B2 (en) 2013-05-28 2016-07-19 The Boeing Company Ubiquitous natural user system
US9262641B1 (en) 2013-08-29 2016-02-16 The Boeing Company System and methods of providing data to a mobile computing device
WO2015030771A1 (en) 2013-08-29 2015-03-05 Nokia Corporation Adaptive security indicator for wireless devices
US9628507B2 (en) 2013-09-30 2017-04-18 Fireeye, Inc. Advanced persistent threat (APT) detection center
US20150242760A1 (en) 2014-02-21 2015-08-27 Microsoft Corporation Personalized Machine Learning System
US10382454B2 (en) * 2014-09-26 2019-08-13 Mcafee, Llc Data mining algorithms adopted for trusted execution environment
CN104283889B (zh) * 2014-10-20 2018-04-24 国网重庆市电力公司电力科学研究院 基于网络架构的电力系统内部apt攻击检测及预警系统
US10102362B2 (en) 2014-12-26 2018-10-16 Reliance Jio Infocomm Limited Method and system of silent biometric security privacy protection for smart devices
US20160283860A1 (en) 2015-03-25 2016-09-29 Microsoft Technology Licensing, Llc Machine Learning to Recognize Key Moments in Audio and Video Calls
CN106230849B (zh) * 2016-08-22 2019-04-19 中国科学院信息工程研究所 一种基于用户行为的智能设备机器学习安全监测系统
CN106778259B (zh) * 2016-12-28 2020-01-10 北京明朝万达科技股份有限公司 一种基于大数据机器学习的异常行为发现方法及系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005322261A (ja) 2005-05-27 2005-11-17 Intelligent Wave Inc 不正監視プログラム、不正監視の方法及び不正監視システム
US20150213246A1 (en) 2010-11-29 2015-07-30 Biocatch Ltd. Method, device, and system of generating fraud-alerts for cyber-attacks
JP2016511847A (ja) 2012-12-06 2016-04-21 ザ・ボーイング・カンパニーThe Boeing Company 脅威検出のためのコンテキスト・アウェア・ネットワーク・セキュリティ・モニタリング

Also Published As

Publication number Publication date
EP3428827B1 (en) 2021-03-17
JP2019032828A (ja) 2019-02-28
US10419468B2 (en) 2019-09-17
CN109246072A (zh) 2019-01-18
CN109246072B (zh) 2023-06-16
KR20190006901A (ko) 2019-01-21
US20190020669A1 (en) 2019-01-17
KR102498168B1 (ko) 2023-02-08
EP3428827A1 (en) 2019-01-16
SG10201805535SA (en) 2019-02-27

Similar Documents

Publication Publication Date Title
JP7114375B2 (ja) 適応型機械学習機能を有するサイバーセキュリティシステム
US11882136B2 (en) Process-specific network access control based on traffic monitoring
US10462188B2 (en) Computer network security system
US10547642B2 (en) Security via adaptive threat modeling
US10924517B2 (en) Processing network traffic based on assessed security weaknesses
US10305926B2 (en) Application platform security enforcement in cross device and ownership structures
US20180302421A1 (en) Real-time contextual monitoring intrusion detection and prevention
US9104864B2 (en) Threat detection through the accumulated detection of threat characteristics
US20160134653A1 (en) Synthetic Cyber-Risk Model For Vulnerability Determination
US9892270B2 (en) System and method for programmably creating and customizing security applications via a graphical user interface
WO2018004600A1 (en) Proactive network security using a health heartbeat
GB2551735A (en) Cloud storage scanner
US20240031380A1 (en) Unifying of the network device entity and the user entity for better cyber security modeling along with ingesting firewall rules to determine pathways through a network
Anisetti et al. Security threat landscape
Huang et al. Farsighted risk mitigation of lateral movement using dynamic cognitive honeypots
US20220385683A1 (en) Threat management using network traffic to determine security states
Hafeez A Platform for Safer and Smarter Networks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210705

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220614

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220705

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220727

R150 Certificate of patent or registration of utility model

Ref document number: 7114375

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150