JP7223579B2 - 予測されるサイバー防御 - Google Patents
予測されるサイバー防御 Download PDFInfo
- Publication number
- JP7223579B2 JP7223579B2 JP2019001900A JP2019001900A JP7223579B2 JP 7223579 B2 JP7223579 B2 JP 7223579B2 JP 2019001900 A JP2019001900 A JP 2019001900A JP 2019001900 A JP2019001900 A JP 2019001900A JP 7223579 B2 JP7223579 B2 JP 7223579B2
- Authority
- JP
- Japan
- Prior art keywords
- identification
- threat scenario
- network assets
- machine learning
- threat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/20—Ensemble learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Data Mining & Analysis (AREA)
- Artificial Intelligence (AREA)
- Medical Informatics (AREA)
- Mathematical Physics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Debugging And Monitoring (AREA)
Description
本開示は、概して、サイバーセキュリティの脅威を予測し、対処することに関する。
サイバーセキュリティの脅威並びに侵入検出及び軽減の分野は飛躍的に成長しており、政府、産業界、犯罪者及びカジュアルなサイバー攻撃元の世界のエネルギー、創造性及びリソースに高度で持続的な脅威は存在する。検出、分析及び対応に依拠する従来の防御は、毎日遭遇する脅威の襲来においては不十分である。非犯罪的な世界は、われわれの制度に信任と信頼を取り戻すには、議論、合意及び法学に依存しており、動きが遅い。このペースは、われわれの情報システムの、妨害されず且つ制御できない攻撃元のハイパーソニックな速度と比較して、異様に遅い。
今日、サイバー攻撃の被害者は通常、攻撃が発見されてから14~30日以内に、根本原因の分析に続いて、攻撃を報告している。初期のインシデントの通知を提出するスケジュールは、機関や民間産業によって異なり、変更されるが、現在、政府及び民間部門の一部は、初期のインシデントが検出されてから1時間以内にそのようなインシデントを報告する義務がある。初期のインシデントレポートには、検証されていない非常にわずかなレベルの情報が含まれていることがある。これらのレポートは、新しい情報が利用可能になるにつれて迅速に更新される必要があることがある。
24時間の報告制限を遵守するためには、さまざまな方法及びシステムが整備されていなければならない。これは、特定のシステムに警戒態勢を取らせ、且つ/又は自身のインフラストラクチャ若しくは製品に対する同じ若しくは同じ種類の攻撃を防ぐことを目的として、わずかではあるが即時の情報を利用するために必要である。
さまざまな実施形態によれば、複数のネットワーク資産の予測できるサイバー防御のコンピュータにより実施される方法が開示される。本方法は、複数のサイバーインシデントレポートを受領すること;複数のサイバーインシデントレポートからキーワードを抽出すること;少なくとも複数のネットワーク資産のキーワード及び識別に浅層機械学習技術を適用して、少なくとも第1の脅威シナリオに対して脆弱なネットワーク資産の第1のサブセットの識別と第1の脅威シナリオの識別とを取得すること;少なくとも第1の脅威シナリオに対して脆弱なネットワーク資産の第1のサブセットの識別、第1の脅威シナリオの識別、キーワード、及び複数のネットワーク資産の識別に深層機械学習技術を適用して、少なくとも第2の脅威に対して脆弱なネットワーク資産の第2のサブセットの識別と第2の脅威シナリオの識別とを取得すること;複数のネットワーク資産及び第2の脅威シナリオをシミュレートして、少なくとも第3の脅威シナリオに対して脆弱な複数のネットワーク資産を通る少なくとも一つの経路を識別すること;並びに複数のネットワーク資産を通る少なくとも一つの経路の識別及び少なくとも第3の脅威シナリオの識別を出力することを含む。
上述の実施形態の様々なオプションの特徴には、以下が含まれる。本方法は、複数のネットワーク資産を通る少なくとも一つの経路の識別及び少なくとも第3の脅威シナリオの識別を複数のサイバーインシデントレポートに追加すること;抽出を繰り返し、浅層機械学習技術を適用し、深層機械学習技術を適用し、且つ少なくとも第4の脅威シナリオに対して脆弱な複数のネットワーク資産を通る少なくとも第2の経路を識別することを少なくとも一度はシミュレートすること;並びに複数のネットワーク資産を通る少なくとも第2の経路の識別及び少なくとも第4の脅威シナリオの識別を出力することを含み得る。本方法は、少なくとも第3の脅威シナリオに対する改善策を取ることを含み得る。改善策は、少なくとも一つのセキュリティ対策を講じること、少なくとも一つのポートを閉じること、少なくとも一つの資産を止めること、又は少なくとも一つの資産を断絶することの少なくとも一つを含み得る。浅層機械学習技術は、最近傍技術を含み得る。深層機械学習技術は、ニューラルネットワーク技術、相関ルールマイニング技術、又は語埋め込み技術を含み得る。シミュレーションは、離散事象シミュレーション(DES)エンジンによって実施することができる。本方法は、シミュレーションにより識別される多くの経路を制限することを含み得る。制限には、シミュレーションにより識別される多くの経路を取り除くこと、又は深層機械学習技術における数多くのレベルを制限することが含まれ得る。複数のサイバーインシデントレポートからキーワードを抽出することには、複数のサイバーインシデントレポートから、少なくとも一つの履歴異常のデータベースから、少なくとも一つの脅威シナリオデータベースから、且つ資産データベースからキーワードを抽出することがさらに含まれてもよい。
さまざまな実施形態によれば、複数のネットワーク資産の予測できるサイバー防御のためのシステムが開示される。本方法は、複数のサイバーインシデントレポートを受領すること;複数のサイバーインシデントレポートからキーワードを抽出すること;少なくとも複数のネットワーク資産のキーワード及び識別に浅層機械学習技術を適用して、少なくとも第1の脅威シナリオに対して脆弱なネットワーク資産の第1のサブセットの識別と第1の脅威シナリオの識別とを取得すること;少なくとも第1の脅威シナリオに対して脆弱なネットワーク資産の第1のサブセットの識別、第1の脅威シナリオの識別、キーワード、及び複数のネットワーク資産の識別に深層機械学習技術を適用して、少なくとも第2の脅威に対して脆弱なネットワーク資産の第2のサブセットの識別と第2の脅威シナリオの識別とを取得すること;複数のネットワーク資産及び第2の脅威シナリオをシミュレートして、少なくとも第3の脅威シナリオに対して脆弱な複数のネットワーク資産を通る少なくとも一つの経路を識別すること;並びに複数のネットワーク資産を通る少なくとも一つの経路の識別及び少なくとも第3の脅威シナリオの識別を出力することを実施するよう構成された少なくとも一つの電子プロセッサを含む。
上述の実施形態の様々なオプションの特徴には、以下が含まれる。少なくとも一つ電子プロセッサは、複数のネットワーク資産を通る少なくとも一つの経路の識別及び少なくとも第3の脅威シナリオの識別を複数のサイバーインシデントレポートに追加すること;抽出を繰り返し、浅層機械学習技術を適用し、深層機械学習技術を適用し、且つ少なくとも第4の脅威シナリオに対して脆弱な複数のネットワーク資産を通る少なくとも第2の経路を識別することを少なくとも一度はシミュレートすること;並びに複数のネットワーク資産を通る少なくとも第2の経路の識別及び少なくとも第4の脅威シナリオの識別を出力することを実施するようさらに構成されていてもよい。少なくとも一つの電子プロセッサは、少なくとも第3の脅威シナリオに対する改善策を取るようさらに構成されていてもよい。改善策は、少なくとも一つのセキュリティ対策を講じること、少なくとも一つのポートを閉じること、少なくとも一つの資産を止めること、又は少なくとも一つの資産を断絶することの少なくとも一つを含み得る。浅層機械学習技術は、最近傍技術を含み得る。深層機械学習技術は、ニューラルネットワーク技術、相関ルールマイニング技術、又は語埋め込み技術を含み得る。シミュレーションは、離散事象シミュレーション(DES)エンジンによって実施することができる。少なくとも一つの電子プロセッサは、シミュレーションにより識別される多くの経路を制限するようさらに構成されていてもよい。制限には、シミュレーションにより識別される多くの経路を取り除くこと、又は深層機械学習技術における数多くのレベルを制限することが含まれ得る。複数のサイバーインシデントレポートからキーワードを抽出することには、複数のサイバーインシデントレポートから、少なくとも一つの歴史上異例のデータベースから、少なくとも一つの脅威シナリオデータベースから、且つ資産データベースからキーワードを抽出することがさらに含まれてもよい。
実施例は、以下の詳細な説明を参照し、添付の図面と関連性を考慮することによって、より深く理解されるため、実施例の様々な特徴が更に十分に評価されうる。
添付図面に示す開示される実施例に、以下で詳しく言及していく。可能な場合には、同一の又は類似した部品を参照するために、図面全体を通して同一の参照番号が使用される。以下の説明において、添付図面を参照するが、添付図面は本明細書の一部を形成するものであり、特定の実施例の形で示される。これらの実施例は、当業者がそれらを実施することができるよう十分に詳細に記載されており、他の実施例が利用可能であること、本発明の範囲から逸脱せずに、変更を加えうることが理解されるであろう。したがって、以下の説明は単なる例示にすぎない。
連邦情報セキュリティ管理法に基づく特定の政策下では、いくつかの団体は、検出から24時間以内にサイバー攻撃を公に報告する必要がある。そのような政策は、初期の通知を迅速に処理するために、原因分析がインシデント処理プロセスの最終段階へ移されることを必要とする。「キャッチ」は、シグネチャの更新、又は部分的若しくは全体的な原因分析(例えば、どこから攻撃が発生したか)を待っている場合、以前と同じくらい企業が脆弱であることである。これらは、初期のインシデントの通知では利用することができないと予測されている。いくつかの実施形態は、一ヶ月早く、そしておそらくは同じタイプの攻撃が自身のインフラストラクチャに対して行われる前に機能する機会を提供する。よって、いくつかの実施形態は、情報が非常にわずかであっても、初期の早期通知要件への準拠を可能にする。
いくつかの実施形態は、入力として、一又は複数の初期インシデントレポートを受け入れ、サイバー脅威から保護するのに有用な様々な情報を出力する。いくつかの実施形態は、初期のインシデントレポートに記載されるものと同じ方法及び攻撃元によって潜在的に攻撃される可能性のある企業内のすべてのシステムを識別する。いくつかの実施形態は、初期のインシデントレポートに記載されているように、攻撃元がシステム侵害の同じレベル及び場所に到達するために取り得るすべての潜在的な経路を識別する。いくつかの実施形態は、潜在的に攻撃されるシステム及び潜在的な攻撃経路を初期のインシデントレポートを受領して7分以内に人間のユーザに知らせる。いくつかの実施形態は、攻撃についての利用可能な初期情報に基づいて、先行技術によれば、攻撃が発見されてから14~30日後から、攻撃が発見されてから約68分(図1)まで、十分に24時間の報告制限内で、脆弱性の窓を減少させる。いくつかの実施形態は、初期のインシデントレポートの更新である、新規の更新されたレポートが報告される度に、識別の工程を反復する。さらに、いくつかの実施形態は、可能性のあるサイバー攻撃ツリーの枝を、それが使われなくなるにつれてプルーニング、新しいリーフ、中間ノード、又はトップレベルのノードを、それらが更新されたインシデントレポートで識別されるようになるにつれて追加する。これら及び他の実施形態を本明細書で詳細に記載する。
図1は、様々な実施形態によるシステム100の概略図である。いくつかの実施形態は、相互接続した資産の標的となる企業のシステムへの潜在的な脅威を、同様の又は異なる産業セクターからの任意のわずかの初期のインシデントレポートに基づいて計算する。いくつかの実施形態は、離散事象シミュレーション(DES)プロセス又はエンジンによって定義され且つそれに基づきターゲットシステムの資産のそれぞれに対する攻撃の可能性に関連する。いくつかの実施形態は、必要に応じてターゲットシステムへの侵入地点を含む潜在的な攻撃経路を計算する。いくつかの実施形態は、さらなる対応のために上記の発見のいずれか、又はその組合せを人間のユーザに提示する。いくつかの実施形態は、自動的にさらなる対応を取る。さらなる対応には、例えば、人間のユーザに攻撃に対する心構えをさせること、ポート又はシステム部分を閉じること、潜在的な標的となる資産に対するさらなるセキュリティ対策及び他の対策を取ることが含まれ得る。
システム100への入力102は、初期のインシデントレポートを含む。そのようなインシデントレポートは、インシデントが発生する(又は検出される)とすぐに、生成され、システム100へ提供され得る。インシデントレポートは、産業共有メカニズム又は政府を通じて利用可能であり得る。インシデントレポートは、典型的には、コンピュータ可読テキストフォーマットである。様々な供給源は異なる方法及び分類を有するため、特定のフォーマット又は分類は想定されない。インシデントレポートには、ファイルシステムの侵害(例えば、ファイルの削除や暗号化等)、処理の減速、又はウェブサイトの改ざんのような異常挙動のトップレベルの観察が含まれ得る。インシデントレポートには、ファイルシステム若しくはデータベースの種類、オペレーティングシステムの種類若しくはバージョン、又はインターネットブラウザの種類若しくはバージョンなど、侵入先のコンピュータシステムに関する情報が含まれ得る。インシデントレポートは、コンピュータ可読であり得、非構造化(自然言語で表されたテキスト)情報を含み得る。インシデントレポートは、新情報で(例えば詳細が利用可能になるにつれて)迅速に(例えば毎時間)又はゆっくりと更新され得る。そのような新情報は、以下のいずれかであらゆる順序であってもよい:初期侵入点の種類(例えば、インターネット、内部)、攻撃元がどのようにアクセスしたか(例えば、パスワードクラッカー、パスワードが数か月前に盗まれたか)、実行可能ファイルの識別、メモリアクセスの識別、難読化技術、攻撃元のインターネットアドレス、又は新しいマルウェアのシグネチャ若しくは実行可能ファイル、そして最後に攻撃の詳細な説明。
入力102は、米国政府発行レポート、欧州連合発行レポート、米国コンピュータ緊急対応チーム(US-CERT)、米国原子力規制委員会(NRC)、非公開リスト、金融セクターからのリスト、又は、例えば航空宇宙セクターからの、情報共有分析センター(ISAC)のいずれか、又は組合せをさらに含み得る。
入力102は、履歴異常情報を有するデータベース、脅威シナリオを有するデータベース、又はすべての(ユーザ)システム資産のデータベース、それらの直近(最近傍)の相互接続、並びにそれらのハードウェア及びソフトウェアバージョンのいずれか、又は組合せをさらに含み得る。そのような電子データベースは業界水準であり、それらの操作は業界標準である。
システム100は情報抽出サブシステム104も含み、それは図3を参照して以下に詳述する。
システム100はまた、二つの機械学習モデルを含む。処理工程中、システム100は、例えば最近傍法又はいくつかの他の効率的なパターンマッチング法のバージョンの一つに基づく浅層機械学習サブシステム106と、例えば従来のニューラルネットワークの基づく深層機械学習サブシステム108とへのアクセスを有する。浅層機械学習サブシステム106は、図4及び5を参照して、以下に詳述する。深層機械学習サブシステム108は、図6を参照して、以下に詳述する。
システム100は、離散事象シミュレーションサブシステム110も含む。離散事象シミュレーションサブシステム110は、図7を参照して、以下に詳述する。
システム100は報告サブシステム112も含み、それは報告及び情報を出力する。報告及び情報は、以下のいずれか、又はそれらの組み合わせのテキスト表現及び/又は視覚表現を含むことができる:ターゲットシステムが侵入される可能性があるかどうか、例えば初期のインシデントレポートで利用可能な情報による判断、並びにこの事象に関連する可能性、侵入される可能性のある潜在的な資産のリスト、及びこれらの結果に関連する可能性、攻撃が企業のシステム及び資産を通過する可能性のある経路、及びそれらに関連する可能性、及び/又はシステムへの潜在的な侵入点、及びそれらに関連する可能性。さらに、報告及び情報には、過去の事象との類似性、事象の場所、脅威への対応、システムへの影響、脅威ベクトル、又は異常ツリーの視覚化(関連する可能性での決定ツリー及び根本原因分析)のいずれか、又はそれらの組み合わせが含まれることがある。
図1は例示的な現在のタイムライン114及び例示的な新タイムライン116も含むことに留意されたい。示されているように、例示的な現在のタイムラインは根本原因の分析への到達には典型的には30日以上かかることを示す。この時のみ、攻撃シグネチャが生成され、業界に配布されて脅威防止プロセスが開始される。いくつかの実施形態によれば初期のインシデント通知は約1時間かかることがあり、情報抽出サブシステム104による処理はごくわずかな時間のみかかることがあり、浅層機械学習サブシステムによる処理は約1分間かかることがあり、深層機械学習サブシステム108による処理は約1分かかることがあり、離散事象シミュレーションサブシステム110による処理は約5分間かかることがあり、脅威防止に関連するレポート又は他の情報の出力は約1分間かかることがあり、この時点で業界は脅威防止プロセスを開始することができることを、例示的な新タイムライン116は示している。したがって、いくつかの実施形態は、既存の技術に対して大きな改善を示す。
図2は、様々な実施形態によるシステム出力の概略図である。ターゲットシステム200は、(場合によっては)例えば飛行機、データベース、空港、ウェブサービス、エンドユーザ装置、無線及び有線接続、電子メールサービス等の相互接続資産を含む。いくつかの実施形態の出力は、以下のいずれか又は組合せを含むことができる。
・ターゲットシステムが同一又は類似する攻撃に屈することがある可能性、P(システム)202;
・資産が同一又は類似する攻撃に屈することがある可能性、P(資産)204;
・異なる資産間の接続経路が同一又は類似する攻撃に屈することがある可能性、P(経路)206;又は
・システムへの侵入点が同一又は類似する攻撃に屈することがある可能性、P(侵入)208。
・ターゲットシステムが同一又は類似する攻撃に屈することがある可能性、P(システム)202;
・資産が同一又は類似する攻撃に屈することがある可能性、P(資産)204;
・異なる資産間の接続経路が同一又は類似する攻撃に屈することがある可能性、P(経路)206;又は
・システムへの侵入点が同一又は類似する攻撃に屈することがある可能性、P(侵入)208。
図3は、様々な実施形態による情報抽出サブシステム300のハイブリッド図である。情報抽出サブシステムの目的は、初期のインシデントレポートから重要な概念及びキーワードを抽出することである。初期のインシデントレポートは、異常が検出された場合のオペレータのシステムの外部挙動の観察についてのテキストによる説明を含む。それは、異常に挙動していると観察されている資産、及び場合によってはいくつかのさらなる観察情報に関する説明を含み得る。時間が経過するにつれて、初期のインシデントレポートは利用可能になった時点でより多くの情報で更新される。
いくつかの実施形態は、NIST SP 800-61 Rev 2のようにすべての初期のインシデントレポートがフォーマットに準拠することを必要としない(例えば、それはEU又はNISTガイドラインに従わない国で発生した可能性がある)。したがって、このサブシステムは、他のシステム構成要素により使用される情報を解析及び抽出するために機能する。
図3に示されるように、情報抽出サブシステム300への入力は、任意のソースから且つ任意のフォーマットの、構造化且つ未構造化の、広範な概念レベルの少なくとも一つの初期のインシデントレポート302を含む。そのような初期のインシデントレポートは、異常に挙動するシステムの説明を含み、異常挙動が明記されている(例えば、減速、漏洩等)。図3に示されるような初期のインシデントレポート302は、「Krack」と呼ばれるWPA2に対する脆弱性の説明を含む。保護されるドメイン資産は、ドメインの分類中のWAP(ワイヤレスアクセスポイント)であり、それは、浅層クラスの機械学習技術に属する連関ルールマッピング機械学習技術をドメインの資産説明データベースに使用することにより得ることができる。
情報抽出サブシステム300への入力は、保護される資産の説明も含む。情報抽出サブシステム300は、例えば図1のシステム100への入力102にあるような、全ての(ユーザ)システム資産、それらの直近相互接続、並びにそれらのハードウェア及びソフトウェアバージョンの電子データベースからそのような情報を得ることができる。
情報抽出エンジン304は、ドメイン(すなわち保護される資産のセット)用に構成及び特化され、ターゲット会社の資産の分類上でマッピングされた任意の標準化された抽出・加工・書き込み(ETL)又は情報抽出ツール(IET)プロセスを利用することができる。これらのツールは、観察された異常挙動(所有権、情報、漏洩、データベース等)及び攻撃されたシステム/資産の種類(例えば、データベース管理システム(DBMS)バージョン)に関するキーワードを抽出する。そのようなツールは、事象の分類、及び場合によっては異常なサブイベントの既知の(サブ)シーケンスの一方若しくは両方、又は根本原因、侵入点、及び完全な脅威の軌跡を出力する。図3に示されるように、情報抽出エンジン304は、以下の抽出された用語306を初期のインシデントレポート302から抽出する:「wpa2」、「ワイヤレス」、「アクセスポイント」、「アンドロイドアプリ」及び「銀行業務アプリ」。
情報抽出サブシステム300は、キーワードマッピングエンジン308も含み、それは、抽出された用語306を、入力として提供された保護される資産の説明へマッピングする。キーワードマッピングエンジン308は、出力として、抽出されたキーワードと保護される電子資産との間の電子的に表された関連付け310を提供する。
図4は、様々な実施形態による浅層機械学習サブシステム400のハイブリッド図である。浅層機械学習サブシステム400は、効率的なアルゴリズムを使用して、初期のインシデントレポートとターゲットシステムの説明、すなわち保護される資産の説明との間に高速の一致を導き出す。浅層機械学習サブシステム400は、後述する図6の深層機械学習サブシステム600の動作レベルである意味(意味)類似性とは対照的に、構文(テキスト)類似性のレベルで動作することができる。浅層機械学習サブシステムは、本質的には以下の二つの質問に回答する。一つ目は、「以前にこのようなことがわれわれに対して発生したか?」ということであり、二つ目は、「このようなことがわれわれに対して発生し得るか?」ということである。
浅層機械学習サブシステム400への入力402は、図3の情報抽出サブシステム300からのキーワード、資産、及び異常出力のリスト、並びに資産データベースを含む。資産データベースは、保護される資産の説明、それらの直近(例えば最近傍)の相互接続、並びにそれらのハードウェア及びソフトウェアバージョン、例えば図1のシステム100への入力102など)を含み得る。入力402は、履歴異常データベース、及び脅威シナリオデータベースの一方又は両方からの情報をさらに含み得る。
複数の異なる機械学習パターンマッチング法は、浅層機械学習サブシステム400に適している。例えば、連関ルールマッピングに加えて、k近傍(KNN)法が使用されてもよい。この方法は、最も簡潔な形態では予備トレーニングを必要としない。これは、「怠惰な」機械学習法のカテゴリに属する。「近傍」は、非限定的な例として、ハミング距離又はレーベンシュタイン距離などの様々な測定基準によって判断することができる。KNN法は、資産データベース、脅威シナリオデータベース、及び履歴異常データベースに適用することができる(404)。特に、KNN方法は、情報抽出サブシステム300から出力された個々のキーワードに対して、そのような各データベース内の最近傍を見つけることによって適用することができる(404)。
浅層機械学習サブシステム400の出力406は、以下の一又は複数を含む:
- 情報抽出サブシステム300により識別される資産に最も近く一致する保護システム内で動作される資産(インシデントレポートにおいて、他の場所で現在攻撃を受けている資産に最も近く一致する保護システムの資産)の識別(例えばリスト)。
- 一又は複数のキーワードが、情報抽出サブシステム300によって出力されたキーワードに対する保護資産の関連付け310と一致する、脅威シナリオ又は過去の異常の識別。
・一連の異常事象、根本原因、侵入点、脅威の軌跡等の、情報抽出サブシステム300の任意の他の形態の出力についてのパターンマッチング。
- 例えば保守要員がラップトップを航空機のシステム又はワイヤレスアクセスポイントに接続するときに、サブシステム300及びサブシステム400によって導き出された概念を含む、異常挙動の最も重要な要因の視覚的表現。
- 将来的な参照及び/又は分析のための更新。
- 情報抽出サブシステム300により識別される資産に最も近く一致する保護システム内で動作される資産(インシデントレポートにおいて、他の場所で現在攻撃を受けている資産に最も近く一致する保護システムの資産)の識別(例えばリスト)。
- 一又は複数のキーワードが、情報抽出サブシステム300によって出力されたキーワードに対する保護資産の関連付け310と一致する、脅威シナリオ又は過去の異常の識別。
・一連の異常事象、根本原因、侵入点、脅威の軌跡等の、情報抽出サブシステム300の任意の他の形態の出力についてのパターンマッチング。
- 例えば保守要員がラップトップを航空機のシステム又はワイヤレスアクセスポイントに接続するときに、サブシステム300及びサブシステム400によって導き出された概念を含む、異常挙動の最も重要な要因の視覚的表現。
- 将来的な参照及び/又は分析のための更新。
出力406は、例えば、人間のユーザのために視覚的表現にフォーマットされることにより、又は図5を参照して以下に示され且つ説明されるようなフィードバックループに提供されることにより、さらに処理され得る(408)。
浅層機械学習サブシステム400によって処理される例として、新たな候補(例えば、図4に図示されるようなWAP、ワイヤレスアクセスポイント)が、名詞、語句及びシステム資産を表す他の用語の制御された語彙に対して試験されると、出力406として、類似性測定基準に応じて、最近傍はWAP AFT及びWAP FWD等であることが決定される。
図5は、様々な実施形態による拡張フィードバックループ500のハイブリッド図である。拡張フィードバックループ500は、図4の浅層機械学習サブシステム400の出力406の情報を入力402として浅層機械学習サブシステム400に戻すことによって追加の情報を生成する。フィードバックループ500を使用しないと、図4に示すように履歴異常データベース内の情報と何も一致しなかったのに対し、フィードバックループ500を使用すると、図5に示すように、一致する履歴異常が出力406で識別される。図4に示すように、入力402は、WAP AFT」及び「WAP FWD」の識別を含む。これらは、航空機のそれらの場所によって命名された、この例におけるワイヤレスアクセスポイントの実例である。
図6は、様々な実施形態による深い機械学習サブシステム600のハイブリッド図である。深層機械学習サブシステム600は、構文の類似性のレベルについてのみ機能する浅層パターンマッチングシステムが発見できない可能性がある一致を識別するために使用される。深層機械学習技術によって検出された一致は、機内エンターテインメントシステムの異なる種類のアプリケーション、又はクレジットカードを使用して銀行業務アプリケーションと特徴を共有するという事実など、様々な概念レベルの関連付けである。浅層機械学習技術が、距離測定基準に基づいてテキストマイニング及び類似性検索を利用することができるのに対して、深層法は、代わりに、事実、実体及び他の情報間の関係に焦点を当てる。よって、深層機械学習サブシステム600は、図3の情報抽出サブシステム300から抽出されたキーワードの制限されたリストからより高いレベルの概念を導き出し、それらを使用して、より高い(より広い)レベルですべての履歴データベース、脅威シナリオデータベース及び資産データベースとパターンマッチングする。深層機械学習サブシステム600は以下の質問に回答する。この脅威は潜在的にわれわれの資産に当てはまるか、そしてわれわれの環境ではそれはどのように見えるか?ということである。
深層機械学習サブシステム600は、初期のインシデントレポートの仕様書が包括的でなく、この特徴を欠いたシステムが、用語、又は識別された攻撃指標の広さ若しくは深さのいずれかにおいて包括的ではなく、且つそれらのシステムが構文的に一致する可能性がないため、いくつかの実施形態で使用される。初期のレポートで言及される特定の特徴は、初期のインシデントレポートで言及されるものに関連するより高い又はより低いレベルの概念の両方が含まれない場合、それら自体のシステム内で、可能性のある攻撃のいくつかの重要な指標を見落とすことがある。深層機械学習サブシステム600は、均一に適用又は適合されたオントロジーを必要としない。むしろ、オントロジーに依存しない。これは、適合させることができる形式主義は容認されないが、実施形態は攻撃を予想する機会を見逃してはならないためである。
深層機械学習サブシステムは、入力602として、情報抽出サブシステム300からのすべての出力及び浅層機械学習サブシステム400からのすべての出力を容認する。深層機械学習サブシステム600は、入力602として、履歴異常情報を有するデータベース、脅威シナリオを有するデータベース、又はすべての(ユーザ)システム資産のデータベース、それらの直近(最近傍)の相互接続、並びにそれらのハードウェア及びソフトウェアバージョンのいずれか、又はそれらの組合せからの情報も容認する。
深層機械学習サブシステム600は、非制限的な例として、実体関係モデリング(すなわち実体間の学習関係)、又はリンク及び連関分析を含む様々な深層学習技術を実行し得る。連関ルールマッピング(アプリオリアルゴリズム)、単語埋め込み、及びニューラルネットワーク(例えば畳み込みニューラルネットワーク)が特に適している。よって、深層機械学習技術は、資産データベース、脅威シナリオデータベース、及び履歴異常データベースに適用することができる(604)。
これらのツールは、初期のインシデントレポートから抽出キーワードからより高いレベルの概念を作り出す。例えば、初期のインシデントレポートが「ルータ」を列挙する場合、この用語は、すべてのボーダールータ、内部ルータ、ボーダーゲートウェイプロトコル(BGP)及びその他のプロトコルデバイス、スイッチ、そして最終的にはネットワークデバイスの調査をもたらし得る。潜在的には、ありとあらゆるこれらのコンピューティング、ネットワーキング、ストレージ等の資産は、後のフォレンジックで影響を受けることがある。
深層機械学習サブシステム600の出力606は、本質的には浅層機械学習サブシステム400のものと同じ種類の出力であるが、より広くより深い到達度を有する。言い換えれば、深層機械学習サブシステム600は、キーワードそのものではなく、キーワードが何を意味しているのかを識別する。
例えば、深層機械学習サブシステム600は、用語「IFEシステム(「機内エンターテインメントシステム」)に適用されると、それに関連する機内ショッピングを含むすべての関連アプリケーションを出力606として導き出す。用語「機内ショッピング」は、出力606の別の部分である「クレジットカード」に大きく関連する。また、図6に示すように、「IFEシステム」と「WAP FWD」との間の関連性が資産データベースから導き出されることにも留意されたい。潜在的なターゲットである、IFE FWD及びWAP AFTのどちらも、初期のインシデントレポートでは言及されなかったことにも留意されない。これらは、最終的な(先行技術の)脆弱性又はインシデント分析レポートで言及される可能性があるが、それは本開示の方法におけるこの工程から数週間後のことだろう。
いくつかの実施形態は、深層機械学習サブシステム600で古典的な自然言語処理情報抽出法を使用し得る。ここでは「情報抽出」とは、プレーンテキストからの機械処理ができる構造化情報を抽出するための方法の集合(実体抽出、関係抽出、事象抽出等と命名される)を指す。企業又は他の資産のセットが、関連する、ラベル付けされた、資産のリスト及びそれらの関係を有する場合、古典的な方法での作業が好ましい。しかしながら、必要とされる情報を抽出するためのすべての必要とされる情報の、広範で、正確な、適切に維持された機械可読リポジトリは、実際に入手するのは困難である。適切にレベル付けされたデータセットの潜在的な欠損に加えて、ラベル付けの人的エラー及び情報のギャップが存在することがある。したがって、いくつかの実施形態は、監視なしの設定でニューラルネットワーク法を使用し得る。深層ニューラルネットワークにおけるいくつかの方法は、監視なしの方法において、神経言語プログラミングタスクのための深層学習を行い、利用可能なテキスト及びあらゆる種類のデータコーパスからそれらのデータ及びテキスト内に含有される事実及び関係についての知識を蓄積することによって学習する。したがって、いくつかの実施形態は、任意のテキストから直接関係句とともに事実を抽出するために、事前定義されたオントロジー又は関係クラスを必要としない既存の手法を使用する。
図7は、様々な実施形態による離散事象シミュレーションサブシステム700のハイブリッド図である。離散事象シミュレーションサブシステム700は、根本原因、脅威経路、及び保護されるシステムに対する潜在的なダメージを決定するために使用され得る。より詳細には、離散事象シミュレーションサブシステム700は、保護資産のモデルを使用して、資産、事象、並びにキーワード及びより高いレベルの概念により識別されるその他のアーチファクトを含むシミュレートされたシステムを作り出す。離散事象シミュレーションサブシステム700は、初期のインシデントレポートからの事象それ自体についての情報及び深層機械学習サブシステム600の結果として追加されたものをきっかけにして動作する可能性のあるシステムを通して根本原因及び潜在的な経路を明らかにする。
離散事象シミュレーションサブシステム700への入力702は、情報抽出サブシステム300の出力(例えば関連付け310)、浅層機械学習サブシステム400の出力406、及び深層機械学習サブシステム600の出力606のいずれか、又はそれらの組み合わせを含む。
離散事象シミュレーションサブシステム700は、離散事象シミュレーションエンジン704を含み、該エンジンは、入力702で離散事象シミュレーションを実行して、インプットからのキーワードのいずれか一つ又は組み合わせを含むわれわれの動作システムを通る全ての経路を、出力706として識別及び提供する。
よって、離散事象シミュレーションサブシステム700は、考慮中の脅威又は類似する脅威が取る可能性のある保護下の資産を通る潜在的な攻撃経路、そのような攻撃の侵入点、及び動作システムへの影響を出力706として提供する。より具体的には、離散事象シミュレーションサブシステム700は、以下の識別を出力706として提供する:侵入に対して脆弱な経路、侵入に対して脆弱な資産、侵入点、侵入に対して脆弱な全体的なシステム、及びこれらのいずれかの可能性。
図7を参照して上記に示され説明される技術は、識別される経路の過剰な拡散を潜在的に引き起こすことがある。実際、開示される技術の利点は、人間が解決困難なすべての経路及び経路の組み合わせを検討することができる点である。識別された経路の数を、重要な経路を維持するだけでなく、その技術が確実に収束するレベルに保つために考えられる2つの技術がある。第1のプルーニング技術は、深層機械学習サブシステム600による概念生成の深さを制御することである。この技術は、多くのレベルの概念が深層機械学習サブシステム600によってキーワードからどのように生成されるかを制限する。これは設定可能なシステムパラメータである。第1の技術は、システムの前方、「拡張」方向に適用されることに留意されたい。第2のプルーニング技術は、システムを通して、枝又は経路全体を切り取ることである。この技術は、図8及び9を参照して、以下に記載される。
図8は、様々な実施形態によるプルーニングループ800の第1のハイブリッド図である。この技術は、後方「プルーニング」方向で使用され、ここでシステム100は、その「リスニング」状態へ戻り、さらなる更新を待つ。より詳細な情報によって、システム100は連続する工程に集中し、管理可能且つ人前に出せる状態になるであろう。一般に、プルーニングループ800は、深層機械学習サブシステム600による処理が終了した後、概念図806に図示されるように、任意の他の概念とは接続性を見出さないキーワードリスト802及び警戒リスト804中の全エントリを削除する。プルーニングループ800の後、システムは、資産の現在の知識とともにLISTEN状態に定まり、WAP FWD、IFEシステム及び機内ショッピングを警戒する。
図9は、様々な実施例によるプルーニングループの第2のハイブリッド図を示す。システム100は、初期のインシデントレポート902から警戒する資産904へ移行した。ユーザへのディスプレイは、いくつかの実施形態による右側の箱と似ている。初期のインシデントレポート902中の構文のいずれも、警戒する資産904中の構文のいずれかと完全に一致しない。
図11は、様々な実施形態による方法1100のフロー図である。方法1000は、例えば図12を参照して示され且つ説明されるハードウェアを使用して、図1のシステム100により実行され得る。
ブロック1102では、システム100は、少なくとも一つの初期のインシデントレポートを受領する。レポートは、図1を参照して上に示され且つ説明されるようなものであり得る。初期のインシデントレポートは、電子固定記憶装置から且つ/又はインターネットのようなネットワーク上で受領され得る。
ブロック1104では、システム100はキーワードを抽出する。キーワードは、図3を参照して上に示され且つ説明されるようなものであり得る。
ブロック1106では、システム100は浅層機械学習技術を適用する。浅層機械学習技術は、図4を参照して上に示され且つ説明されるように適用され得る。
ブロック1108では、システム100は深層機械学習技術を適用する。深層機械学習技術は、図6を参照して上に示され且つ説明されるように適用され得る。
ブロック1110では、システム100は、資産が保護されることをシミュレートする。シミュレーションは、図7を参照して上に示され且つ説明されるように達成され得る。
ブロック1112では、システム100は出力を提供する。出力は、人間のユーザ、又は別のコンピュータシステム、例えば改善策を自動的に実行するよう構成されているシステムへのものであり得る。改善策は、その出力に応じて自動的に人間のユーザによって開始されても、システム100によって開始されても、少なくとも一つのセキュリティ対策を取ること、少なくとも一つのポートを閉じること、少なくとも一つの資産を止めること、又は少なくとも一つの資産を断絶することを含みみ得る。
図12は、様々な実施形態による例示的なハードウェア実装の概略図である。プロセッサシステム1200は、様々なコア構成(多数のコアを含む)及びクロック周波数の一又は複数のプロセッサ1202を含み得る。一又は複数のプロセッサ1202は、指示を実行する、論理を適用する等のために動作可能であり得る。これらの機能は、多数のプロセッサにより又は並行して且つ/若しくは通信可能に結合して動作する単一チップ上の多数のコアにより提供され得ることが認識されるであろう。少なくとも一つの実施形態では、一又は複数のプロセッサ1202は、一又は複数の図形処理ユニットであり得るか、又はそれを含み得る。
プロセッサシステム1200は、画像、ファイル、及びプロセッサ1202によって実行されるプログラム命令などのデータを記憶するための、様々な物理的寸法、アクセス可能性、記憶容量等の一又は複数の記憶装置及び/又はコンピュータ可読媒体1204(例えばフラッシュドライブ、ハードドライブ、ディスク、ランダムアクセスメモリなど)であり得るか、又はそれらを含み得るメモリシステムも含み得る。一実施形態では、コンピュータ可読媒体1204は、プロセッサ1202によって実行されるときに、プロセッサシステム1200に動作を実施させるよう構成されている指示を記憶し得る。例えば、そのような指示の実行は、プロセッサシステム1200が本明細書に記載される方法の一又は複数の部分及び/又は実施形態を実施することを生じさせ得る。
プロセッサシステム1200は、一又は複数のネットワークインターフェース1206もまた含んでいてよい。ネットワークインターフェース1206は、任意のハードウェアアプリケーション、及び/又は他のソフトウェアを含み得る。したがって、ネットワークインターフェース1206は、イーサネット、ワイヤレスイーサネット等のプロトコルを使用する有線又は無線媒体上での通信のためのイーサネットアダプタ、ワイヤレストランシーバ、周辺機器構成要素相互接続(PCI)インターフェース、及び/又はシリアルネットワーク構成要素を含み得る。
プロセッサシステム1200は、ディスプレイスクリーン、プロジェクタ、キーボード、マウス、タッチパッド、センサ、他の種類のインプット及び/又は出力周辺機器等との通信のための一又は複数の周辺機器インターフェース1208をさらに含み得る。いくつかの実装では、プロセッサシステム1200のための構成要素は、単一のエンクロージャ中に囲われる必要はなく、あるいは互いに接近して配置される必要さえないが、他の実装では、構成要素及び/又は他のものは、単一のエンクロージャ中に提供され得る。
コンピュータ可読媒体1204は、又は複数の記憶デバイス12010にデータを記憶するよう物理的又は論理的に配置又は構成され得る。記憶デバイス1210は、一又は複数の任意の適切なフォーマットのファイルシステム又はデータベースを含み得る。記憶デバイス1210は、一又は複数のソフトウェアプログラム1212も含んでよく、これは開示される方法の一又は複数を実施するための解釈可能又は実行可能な指示を含有してもよい。ソフトウェアプログラム1212の一又は複数、又はその一部は、プロセッサ1202により要求されるとき、プロセッサ1202による実行のために記憶デバイス1210からメモリデバイス1204へロードされ得る。
プロセッサシステム1200は、開示されている実行形態を実施するために必要なあらゆる随伴ファームウェア又はソフトウェアを含む、任意の種類のハードウェア構成要素を含み得るため、上述の構成要素はハードウェア構成の一例にすぎないことを、当業者は認識するであろう。プロセッサシステム1200は、部分的又は全体的に、特定用途向け集積回路(ASIC)やフィールドプログラマブルゲートアレイ(FPGA)といった、電子回路構成要素又はプロセッサによっても実装され得る。
さらに、本開示は、以下の条項による実施形態を含む。
条項1:複数のネットワーク資産の予測されるサイバー防御のコンピュータにより実施される方法であって、複数のサイバーインシデントレポートを受領すること;複数のサイバーインシデントレポートからキーワードを抽出すること;少なくとも複数のネットワーク資産のキーワード及び識別に浅層機械学習技術を適用して、少なくとも第1の脅威シナリオに対して脆弱なネットワーク資産の第1のサブセットの識別と第1の脅威シナリオの識別とを取得すること;少なくとも第1の脅威シナリオに対して脆弱なネットワーク資産の第1のサブセットの識別、第1の脅威シナリオの識別、キーワード、及び複数のネットワーク資産の識別に深層機械学習技術を適用して、少なくとも第2の脅威に対して脆弱なネットワーク資産の第2のサブセットの識別と第2の脅威シナリオの識別とを取得すること;複数のネットワーク資産及び第2の脅威シナリオをシミュレートして、少なくとも第3の脅威シナリオに対して脆弱な複数のネットワーク資産を通る少なくとも一つの経路を識別すること;並びに複数のネットワーク資産を通る少なくとも一つの経路の識別及び少なくとも第3の脅威シナリオの識別を出力することを含む、方法。
条項2:複数のネットワーク資産を通る少なくとも一つの経路の識別及び少なくとも第3の脅威シナリオの識別を複数のサイバーインシデントレポートに追加すること;抽出を繰り返し、浅層機械学習技術を適用し、深層機械学習技術を適用し、且つ少なくとも第4の脅威シナリオに対して脆弱な複数のネットワーク資産を通る少なくとも第2の経路を識別することを少なくとも一度はシミュレートすること;並びに複数のネットワーク資産を通る少なくとも第2の経路の識別及び少なくとも第4の脅威シナリオの識別を出力することをさらに含む、条項1に記載の方法。
条項3:少なくとも第3の脅威シナリオに対する改善策を取ることをさらに含む、条項1に記載の方法。
条項4:改善策が、少なくとも一つのセキュリティ対策を講じること、少なくとも一つのポートを閉じること、少なくとも一つの資産を止めること、又は少なくとも一つの資産を断絶することの少なくとも一つを含む、条項3に記載の方法。
条項5:浅層機械学習技術が最近傍技術を含む、条項1に記載の方法。
条項6:深層機械学習技術が、ニューラルネットワーク技術、相関ルールマイニング技術、又は語埋め込み技術を含む、条項1に記載の方法。
条項7:シミュレーションが離散事象シミュレーション(DES)エンジンにより実施される、条項1に記載の方法。
条項8:シミュレーションにより識別される多くの経路を制限することをさらに含む、条項1に記載の方法。
条項9:制限が、シミュレーションにより識別される多くの経路を取り除くこと、又は深層機械学習技術における数多くのレベルを制限することを含む、条項8に記載の方法。
条項10:複数のサイバーインシデントレポートからキーワードを抽出することが、複数のサイバーインシデントレポートから、少なくとも一つの履歴異常のデータベースから、少なくとも一つの脅威シナリオデータベースから、且つ資産データベースからキーワードを抽出することをさらに含む、条項1に記載の方法。
条項11:複数のネットワーク資産の予測されるサイバー防御のためのシステムであって、複数のサイバーインシデントレポートを受領すること;複数のサイバーインシデントレポートからキーワードを抽出すること;少なくとも複数のネットワーク資産のキーワード及び識別に浅層機械学習技術を適用して、少なくとも第1の脅威シナリオに対して脆弱なネットワーク資産の第1のサブセットの識別と第1の脅威シナリオの識別とを取得すること;少なくとも第1の脅威シナリオに対して脆弱なネットワーク資産の第1のサブセットの識別、第1の脅威シナリオの識別、キーワード、及び複数のネットワーク資産の識別に深層機械学習技術を適用して、少なくとも第2の脅威に対して脆弱なネットワーク資産の第2のサブセットの識別と第2の脅威シナリオの識別とを取得すること;複数のネットワーク資産及び第2の脅威シナリオをシミュレートして、少なくとも第3の脅威シナリオに対して脆弱な複数のネットワーク資産を通る少なくとも一つの経路を識別すること;並びに複数のネットワーク資産を通る少なくとも一つの経路の識別及び少なくとも第3の脅威シナリオの識別を出力することを実施するよう構成された少なくとも一つの電子プロセッサを含む、システム。
条項12:少なくとも一つ電子プロセッサが、複数のネットワーク資産を通る少なくとも一つの経路の識別及び少なくとも第3の脅威シナリオの識別を複数のサイバーインシデントレポートに追加すること;抽出を繰り返し、浅層機械学習技術を適用し、深層機械学習技術を適用し、且つ少なくとも第4の脅威シナリオに対して脆弱な複数のネットワーク資産を通る少なくとも第2の経路を識別することを少なくとも一度はシミュレートすること;並びに複数のネットワーク資産を通る少なくとも第2の経路の識別及び少なくとも第4の脅威シナリオの識別を出力することを実施するようさらに構成されている、条項11に記載のシステム。
条項13:少なくとも一つの電子プロセッサが、少なくとも第3の脅威シナリオに対する改善策を取るようさらに構成されている、条項11に記載のシステム。
条項14:改善策が、少なくとも一つのセキュリティ対策を講じること、少なくとも一つのポートを閉じること、少なくとも一つの資産を止めること、又は少なくとも一つの資産を断絶することの少なくとも一つを含む、条項13に記載のシステム。
条項15:浅層機械学習技術が最近傍技術を含む、条項11に記載のシステム。
条項16:深層機械学習技術が、ニューラルネットワーク技術、相関ルールマイニング技術、又は語埋め込み技術を含む、条項11に記載のシステム。
条項17:シミュレーションが離散事象シミュレーション(DES)エンジンにより実施される、条項11に記載のシステム。
条項18:少なくとも一つの電子プロセッサが、シミュレーションにより識別される多くの経路を制限するようさらに構成されている、条項11に記載のシステム。
条項19:少なくとも一つの電子プロセッサによる制限が、シミュレーションにより識別される多くの経路を取り除くこと、又は深層機械学習技術における数多くのレベルを制限することを含む、条項18に記載のシステム。
条項20:複数のサイバーインシデントレポートからキーワードを抽出することが、複数のサイバーインシデントレポートから、少なくとも一つの履歴異常のデータベースから、少なくとも一つの脅威シナリオデータベースから、且つ資産データベースからキーワードを抽出することをさらに含む、条項11に記載のシステム。
上述のある実施例は、コンピュータアプリケーション又はプログラムを使用して部分的に実行されうる。コンピュータプログラムは、機能している場合も休止しているも、様々な形態で存在しうる。例えば、コンピュータプログラムは、ソースコード、オブジェクトコード、実行可能コード又は他の形式のプログラム命令、ファームウェアプログラム、又はハードウェア記述言語(HDL)ファイルからなりうる、一又は複数のソフトウェアプログラム、ソフトウェアモジュール、又はその両方で存在しうる。上述のいずれかは、圧縮された形態又は非圧縮形態コンピュータ可読記憶デバイス及び媒体を含みうる、コンピュータ可読媒体上で具現化されうる。例示的なコンピュータ可読記憶デバイス及び媒体は、従来のコンピュータシステムのRAM(ランダムアクセスメモリ)、ROM(読出し専用メモリ)、EPROM(消去可能なプログラマブルROM)、EEPROM(電気的に消去可能なプログラマブルROM)、及び磁気ディスク又は磁気テープ或いは光ディスク又は光テープを含む。
当業者であれば、上述の実施例に対して、その理念及び範囲を逸脱することなく、様々な修正を行うことが可能であろう。本明細書で使用されている用語及び記述は、説明のみを目的としたもので、限定を意図していない。詳細には、方法は例によって説明されているが、この方法のステップは、例示とは異なる順序で、又は同時に、実施されうる。当業者には、これらの変形例及びその他の変形例は、以下の特許請求の範囲及びその均等物において規定される理念及び範囲に含まれることが可能であることが、認識されよう。
Claims (10)
- 複数のネットワーク資産(200)の予想されるサイバー防御のコンピュータにより実施される方法であって、
複数のサイバーインシデントレポート(302、902)を受領すること(1102);
前記複数のサイバーインシデントレポートからキーワードを抽出すること(300、1104);
前記複数のネットワーク資産の少なくとも前記キーワード及び識別に浅層機械学習技術(400、1106)を適用して、少なくとも第1の脅威シナリオに対して脆弱な前記ネットワーク資産の第1のサブセットの識別及び前記第1の脅威シナリオの識別を得ること;
前記第1の脅威シナリオに対して脆弱な前記ネットワーク資産の第1のサブセットの少なくとも前記識別、前記第1の脅威シナリオの前記識別、前記キーワード、及び前記複数のネットワーク資産の識別に、深層機械学習技術(600、1108)を適用して、少なくとも第2の脅威シナリオに対して脆弱な前記ネットワーク資産の第2のサブセットの識別及び前記第2の脅威シナリオの識別を得ること;
前記複数のネットワーク資産及び前記第2の脅威シナリオをシミュレートして、少なくとも第3の脅威シナリオに対して脆弱な前記複数のネットワーク資産を通る少なくとも一つの経路を識別すること(700、1110);並びに
前記複数のネットワーク資産を通る前記少なくとも一つの経路の識別及び前記少なくとも第3の脅威シナリオの識別を出力すること(1112)
を含む、方法。 - 少なくとも前記第3の脅威シナリオに対する改善策を取ることをさらに含む、請求項1に記載の方法。
- 前記浅層機械学習技術が最近傍技術を含む、請求項1又は2に記載の方法。
- 前記深層機械学習技術が、ニューラルネットワーク技術、相関ルールマイニング技術、又は語埋め込み技術を含む、請求項1から3のいずれか一項に記載の方法。
- 前記シミュレートすることが離散事象シミュレーション(DES)エンジン(704)により実施される、請求項1から4のいずれか一項に記載の方法。
- 前記シミュレートすることにより識別される多くの経路を制限することをさらに含む、請求項1から5のいずれか一項に記載の方法。
- 前記複数のサイバーインシデントレポートからキーワードを抽出することが、前記複数のサイバーインシデントレポートから、少なくとも一つの履歴異常のデータベースから、少なくとも一つの脅威シナリオデータベースから、且つ資産データベースからキーワードを抽出することをさらに含む、請求項1から6のいずれか一項に記載の方法。
- 複数のネットワーク資産(200)の予測されるサイバー防御のためのシステム(1200)であって、
複数のサイバーインシデントレポート(302、902)を受領すること(1102);
前記複数のサイバーインシデントレポートからキーワードを抽出すること(300、1104);
前記複数のネットワーク資産の少なくとも前記キーワード及び識別に浅層機械学習技術(400、1106)を適用して、少なくとも第1の脅威シナリオに対して脆弱な前記ネットワーク資産の第1のサブセットの識別及び前記第1の脅威シナリオの識別を得ること;
前記第1の脅威シナリオに対して脆弱な前記ネットワーク資産の第1のサブセットの少なくとも前記識別、前記第1の脅威シナリオの前記識別、前記キーワード、及び前記複数のネットワーク資産の識別に、深層機械学習技術(600、1108)を適用して、少なくとも第2の脅威シナリオに対して脆弱な前記ネットワーク資産の第2のサブセットの識別及び前記第2の脅威シナリオの識別を得ること;
前記複数のネットワーク資産及び前記第2の脅威シナリオをシミュレートして、少なくとも第3の脅威シナリオに対して脆弱な前記複数のネットワーク資産を通る少なくとも一つの経路を識別すること(700、1110);並びに
前記複数のネットワーク資産を通る前記少なくとも一つの経路の識別及び前記少なくとも第3の脅威シナリオの識別を出力すること(1112)
を実施するよう構成された少なくとも一つの電子プロセッサを含む、システム(1200)。 - 前記少なくとも一つの電子プロセッサが、少なくとも前記第3の脅威シナリオに対する改善策を取るようさらに構成されている、請求項8に記載のシステム。
- 前記浅層機械学習技術が最近傍技術を含む、請求項8又は9に記載のシステム。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/870,275 | 2018-01-12 | ||
| US15/870,275 US10812510B2 (en) | 2018-01-12 | 2018-01-12 | Anticipatory cyber defense |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019145091A JP2019145091A (ja) | 2019-08-29 |
| JP7223579B2 true JP7223579B2 (ja) | 2023-02-16 |
Family
ID=64661076
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019001900A Active JP7223579B2 (ja) | 2018-01-12 | 2019-01-09 | 予測されるサイバー防御 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US10812510B2 (ja) |
| EP (1) | EP3512176B1 (ja) |
| JP (1) | JP7223579B2 (ja) |
| KR (1) | KR102590773B1 (ja) |
| CN (1) | CN110035049B (ja) |
| AU (1) | AU2018250491B2 (ja) |
| BR (1) | BR102018074362A2 (ja) |
| CA (1) | CA3021168C (ja) |
| RU (1) | RU2018136768A (ja) |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190318223A1 (en) * | 2018-04-12 | 2019-10-17 | Georgia Tech Research Corporation | Methods and Systems for Data Analysis by Text Embeddings |
| US10749890B1 (en) | 2018-06-19 | 2020-08-18 | Architecture Technology Corporation | Systems and methods for improving the ranking and prioritization of attack-related events |
| US10817604B1 (en) | 2018-06-19 | 2020-10-27 | Architecture Technology Corporation | Systems and methods for processing source codes to detect non-malicious faults |
| US11601442B2 (en) | 2018-08-17 | 2023-03-07 | The Research Foundation For The State University Of New York | System and method associated with expedient detection and reconstruction of cyber events in a compact scenario representation using provenance tags and customizable policy |
| US11429713B1 (en) * | 2019-01-24 | 2022-08-30 | Architecture Technology Corporation | Artificial intelligence modeling for cyber-attack simulation protocols |
| US11128654B1 (en) | 2019-02-04 | 2021-09-21 | Architecture Technology Corporation | Systems and methods for unified hierarchical cybersecurity |
| US11675915B2 (en) * | 2019-04-05 | 2023-06-13 | International Business Machines Corporation | Protecting data based on a sensitivity level for the data |
| US11301578B2 (en) | 2019-04-05 | 2022-04-12 | International Business Machines Corporation | Protecting data based on a sensitivity level for the data |
| US11652839B1 (en) * | 2019-05-02 | 2023-05-16 | Architecture Technology Corporation | Aviation system assessment platform for system-level security and safety |
| US11403405B1 (en) | 2019-06-27 | 2022-08-02 | Architecture Technology Corporation | Portable vulnerability identification tool for embedded non-IP devices |
| JP7074739B2 (ja) | 2019-10-21 | 2022-05-24 | 矢崎総業株式会社 | 脆弱性評価装置 |
| US11444974B1 (en) | 2019-10-23 | 2022-09-13 | Architecture Technology Corporation | Systems and methods for cyber-physical threat modeling |
| US11503075B1 (en) | 2020-01-14 | 2022-11-15 | Architecture Technology Corporation | Systems and methods for continuous compliance of nodes |
| US12081576B2 (en) * | 2020-04-30 | 2024-09-03 | Arizona Board Of Regents On Behalf Of Arizona State University | Systems and methods for improved cybersecurity named-entity-recognition considering semantic similarity |
| CN112104656B (zh) * | 2020-09-16 | 2022-07-12 | 杭州安恒信息安全技术有限公司 | 一种网络威胁数据获取方法、装置、设备及介质 |
| US11924239B2 (en) | 2020-10-23 | 2024-03-05 | International Business Machines Corporation | Vulnerability and attack technique association |
| KR102287394B1 (ko) * | 2020-12-21 | 2021-08-06 | 한국인터넷진흥원 | 익스플로잇 공격 유형 분류 방법 및 그 장치 |
| WO2023009795A1 (en) * | 2021-07-30 | 2023-02-02 | Epiphany Systems, Inc. | Systems and methods for applying reinforcement learning to cybersecurity graphs |
| US12081571B2 (en) * | 2021-07-30 | 2024-09-03 | Reveald Holdings, Inc. | Graphics processing unit optimization |
| US20230141928A1 (en) * | 2021-10-13 | 2023-05-11 | Oracle International Corporation | Adaptive network attack prediction system |
| KR102592624B1 (ko) * | 2021-12-14 | 2023-10-24 | (주)유엠로직스 | 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 이용한 위협 헌팅 시스템 및 그 방법 |
| KR102562671B1 (ko) * | 2021-12-16 | 2023-08-03 | (주)유엠로직스 | 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 시스템 및 그 방법 |
| WO2023181145A1 (ja) | 2022-03-23 | 2023-09-28 | 三菱電機株式会社 | リスク抽出装置、リスク抽出方法、リスク抽出プログラム |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014102555A (ja) | 2012-11-16 | 2014-06-05 | Ntt Docomo Inc | 判別ルール生成装置及び判別ルール生成方法 |
| WO2014208427A1 (ja) | 2013-06-24 | 2014-12-31 | 日本電信電話株式会社 | セキュリティ情報管理システム及びセキュリティ情報管理方法 |
| US20170228658A1 (en) | 2015-07-24 | 2017-08-10 | Certis Cisco Security Pte Ltd | System and Method for High Speed Threat Intelligence Management Using Unsupervised Machine Learning and Prioritization Algorithms |
Family Cites Families (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8983889B1 (en) * | 1996-03-25 | 2015-03-17 | Martin L. Stoneman | Autonomous humanoid cognitive systems |
| US9027121B2 (en) * | 2000-10-10 | 2015-05-05 | International Business Machines Corporation | Method and system for creating a record for one or more computer security incidents |
| US20090043637A1 (en) * | 2004-06-01 | 2009-02-12 | Eder Jeffrey Scott | Extended value and risk management system |
| US7296007B1 (en) * | 2004-07-06 | 2007-11-13 | Ailive, Inc. | Real time context learning by software agents |
| US8312549B2 (en) * | 2004-09-24 | 2012-11-13 | Ygor Goldberg | Practical threat analysis |
| US7640583B1 (en) | 2005-04-01 | 2009-12-29 | Microsoft Corporation | Method and system for protecting anti-malware programs |
| US9824609B2 (en) * | 2011-04-08 | 2017-11-21 | Wombat Security Technologies, Inc. | Mock attack cybersecurity training system and methods |
| US9558677B2 (en) * | 2011-04-08 | 2017-01-31 | Wombat Security Technologies, Inc. | Mock attack cybersecurity training system and methods |
| CN103312679B (zh) * | 2012-03-15 | 2016-07-27 | 北京启明星辰信息技术股份有限公司 | 高级持续威胁的检测方法和系统 |
| US10122747B2 (en) * | 2013-12-06 | 2018-11-06 | Lookout, Inc. | Response generation after distributed monitoring and evaluation of multiple devices |
| US11122058B2 (en) * | 2014-07-23 | 2021-09-14 | Seclytics, Inc. | System and method for the automated detection and prediction of online threats |
| WO2016022705A1 (en) * | 2014-08-05 | 2016-02-11 | AttackIQ, Inc. | Cyber security posture validation platform |
| US9710648B2 (en) | 2014-08-11 | 2017-07-18 | Sentinel Labs Israel Ltd. | Method of malware detection and system thereof |
| US10574675B2 (en) * | 2014-12-05 | 2020-02-25 | T-Mobile Usa, Inc. | Similarity search for discovering multiple vector attacks |
| CN104965812B (zh) * | 2015-07-13 | 2017-12-01 | 深圳市腾讯计算机系统有限公司 | 一种深层模型处理方法及装置 |
| US9699205B2 (en) * | 2015-08-31 | 2017-07-04 | Splunk Inc. | Network security system |
| CN106878262B (zh) * | 2016-12-19 | 2021-04-16 | 新华三技术有限公司 | 报文检测方法及装置、建立本地威胁情报库的方法及装置 |
| US10367846B2 (en) * | 2017-11-15 | 2019-07-30 | Xm Cyber Ltd. | Selectively choosing between actual-attack and simulation/evaluation for validating a vulnerability of a network node during execution of a penetration testing campaign |
| CN107040795A (zh) * | 2017-04-27 | 2017-08-11 | 北京奇虎科技有限公司 | 一种直播视频的监控方法和装置 |
| US10819718B2 (en) * | 2017-07-05 | 2020-10-27 | Deep Instinct Ltd. | Methods and systems for detecting malicious webpages |
| CN107465667B (zh) * | 2017-07-17 | 2019-10-18 | 全球能源互联网研究院有限公司 | 基于规约深度解析的电网工控安全协同监测方法及装置 |
| US10885469B2 (en) | 2017-10-02 | 2021-01-05 | Cisco Technology, Inc. | Scalable training of random forests for high precise malware detection |
| US10673871B2 (en) | 2017-10-04 | 2020-06-02 | New Context Services, Inc. | Autonomous edge device for monitoring and threat detection |
| US10841333B2 (en) | 2018-01-08 | 2020-11-17 | Sophos Limited | Malware detection using machine learning |
-
2018
- 2018-01-12 US US15/870,275 patent/US10812510B2/en active Active
- 2018-10-16 CA CA3021168A patent/CA3021168C/en active Active
- 2018-10-18 RU RU2018136768A patent/RU2018136768A/ru unknown
- 2018-10-19 AU AU2018250491A patent/AU2018250491B2/en active Active
- 2018-11-12 KR KR1020180137811A patent/KR102590773B1/ko active IP Right Grant
- 2018-11-26 BR BR102018074362-7A patent/BR102018074362A2/pt unknown
- 2018-12-06 EP EP18210674.0A patent/EP3512176B1/en active Active
- 2018-12-06 CN CN201811487623.0A patent/CN110035049B/zh active Active
-
2019
- 2019-01-09 JP JP2019001900A patent/JP7223579B2/ja active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014102555A (ja) | 2012-11-16 | 2014-06-05 | Ntt Docomo Inc | 判別ルール生成装置及び判別ルール生成方法 |
| WO2014208427A1 (ja) | 2013-06-24 | 2014-12-31 | 日本電信電話株式会社 | セキュリティ情報管理システム及びセキュリティ情報管理方法 |
| US20170228658A1 (en) | 2015-07-24 | 2017-08-10 | Certis Cisco Security Pte Ltd | System and Method for High Speed Threat Intelligence Management Using Unsupervised Machine Learning and Prioritization Algorithms |
Also Published As
| Publication number | Publication date |
|---|---|
| BR102018074362A2 (pt) | 2019-07-30 |
| KR20190086346A (ko) | 2019-07-22 |
| CA3021168C (en) | 2023-02-14 |
| RU2018136768A (ru) | 2020-04-20 |
| EP3512176A1 (en) | 2019-07-17 |
| CN110035049A (zh) | 2019-07-19 |
| JP2019145091A (ja) | 2019-08-29 |
| EP3512176B1 (en) | 2020-10-14 |
| AU2018250491B2 (en) | 2023-09-28 |
| CA3021168A1 (en) | 2019-07-12 |
| US10812510B2 (en) | 2020-10-20 |
| AU2018250491A1 (en) | 2019-08-01 |
| KR102590773B1 (ko) | 2023-10-17 |
| US20190222593A1 (en) | 2019-07-18 |
| CN110035049B (zh) | 2023-01-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7223579B2 (ja) | 予測されるサイバー防御 | |
| US20210064751A1 (en) | Provenance-based threat detection tools and stealthy malware detection | |
| Husari et al. | Using entropy and mutual information to extract threat actions from cyber threat intelligence | |
| US11483319B2 (en) | Security model | |
| Cui et al. | Risk taxonomy, mitigation, and assessment benchmarks of large language model systems | |
| Alam et al. | Looking beyond IoCs: Automatically extracting attack patterns from external CTI | |
| Zhang et al. | EX‐Action: Automatically Extracting Threat Actions from Cyber Threat Intelligence Report Based on Multimodal Learning | |
| US20230396635A1 (en) | Adaptive system for network and security management | |
| Corrêa et al. | An investigation of the hoeffding adaptive tree for the problem of network intrusion detection | |
| Payne et al. | How secure is your iot network? | |
| Marin et al. | Inductive and deductive reasoning to assist in cyber-attack prediction | |
| Marin et al. | Reasoning about future cyber-attacks through socio-technical hacking information | |
| Mendes et al. | Explainable artificial intelligence and cybersecurity: A systematic literature review | |
| Lim et al. | CVE records of known exploited vulnerabilities | |
| Purba et al. | Extracting Actionable Cyber Threat Intelligence from Twitter Stream | |
| Alaba et al. | Ransomware attacks on remote learning systems in 21st century: a survey | |
| Al-Sada et al. | MITRE ATT&CK: State of the Art and Way Forward | |
| Chen et al. | Data curation and quality assurance for machine learning-based cyber intrusion detection | |
| Ghalaty et al. | A hierarchical framework to detect targeted attacks using deep neural network | |
| Basavaraju | Ransomware detection on windows platform using machine learning-based threat detection model of api calls | |
| US20240146755A1 (en) | Risk-based vulnerability management | |
| Njoroge | A Crypto-ransomware Detection Model For The Pre-encryption Stage Using Random Forest Algorithm | |
| US20220382876A1 (en) | Security vulnerability management | |
| Laurenza | Critical infrastructures security: improving defense against novel malware and Advanced Persistent Threats | |
| Queiroz | Detection of Software Vulnerability Communication in Expert Social Media Channels: A Data-driven Approach |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220106 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20221209 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230110 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230206 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7223579 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |