JP7250703B2 - 相関関係駆動型脅威の評価と修復 - Google Patents
相関関係駆動型脅威の評価と修復 Download PDFInfo
- Publication number
- JP7250703B2 JP7250703B2 JP2019563833A JP2019563833A JP7250703B2 JP 7250703 B2 JP7250703 B2 JP 7250703B2 JP 2019563833 A JP2019563833 A JP 2019563833A JP 2019563833 A JP2019563833 A JP 2019563833A JP 7250703 B2 JP7250703 B2 JP 7250703B2
- Authority
- JP
- Japan
- Prior art keywords
- address
- network
- internal
- external
- management platform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/062—Generation of reports related to network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0213—Standardised network management protocols, e.g. simple network management protocol [SNMP]
Description
本明細書における「実施態様」または「一実施態様」への言及は、記載されている特定の特徴、機能、構造、または特性が、少なくとも一つの実施態様に含まれていることを意味する。このようなフレーズの出現は、必ずしも同じ実施態様を指すものではなく、また必ずしも相互に排他的な代替実施態様を指すものでもない。
本明細書に記載される技術の1つの利点は、組織のデジタル資産(「サイバ資産」とも呼ばれる)に対する攻撃のベクトルを予測して識別および拒否する能力である。複数のソースからのデータは、統一されたワークフローを作成するためにインテリジェントに統合させることが出来る。例えば、図4では、3つの未分類のインターネット規模のデータストリーム402a-cが、単一の統一されたワークフロー404に統合されている。
●定期的にスキャンさせかつ高度なデータ分析を行うことができるネットワーク地図データ。例えば、ネットワーク地図データは、毎日インターネットから取得させ、次いでスキャンさせて、公衆向けIPアドレス、コンピューティングデバイス、およびサービスのリアル-タイムの攻撃対象領域を検出させても良い。
●組織に属する資産とインターネット上にある外部IPアドレスとの間で発生するパケット交換を特徴付けるネットフローデータ。送信元IPアドレス、送信先IPアドレス、通信時間、通信ポート、等を含むパケット交換の様々な特性を精査することが出来る。
●これらのコンピュータプログラムが、特定のインターネットサービスプロバイダ(ISP)およびコンテンツ配信ネットワーク(CDN)によりハイパーテキスト転送プロトコール(HTTP: Hypertext Transfer Protocol)またはHTTPセキュア(HTTPS)要求を行う際に、ネットワーク地図上のコンピュータプログラムのクラスおよび/またはバージョンを識別するユーザエージェントデータ。
図5は、コンピュータネットワーク504上に展開された複数のスキャナ502a-cを含むネットワーク環境500を示す。コンピュータネットワーク504は、例えば、インターネットまたは組織に関連付けられているローカルネットワーク(「内部ネットワーク」とも呼ばれる)としても良い。
上述の5つのリスクフィルタに関して、各リスクフィルタは、第1のIPアドレスが第2のIPアドレスと通信していることを要求する。通常、これは、内部IPアドレスが外部IPアドレスと通信している形態で発生する。一般に、内部IPアドレスは、組織に関連付けられている組織ネットワークの境の内にあるIPアドレスであるが、外部IPアドレスは、内部ネットワークの境の外にあるIPアドレスである。セキュリティ管理プラットフォームは、内部ネットワークを通過するフローを精査するのではなく、グローバルネットフロー(例、全てのインターネットトラフィック)を、内部IPアドレスに関与するフローにフィルタリングすることが出来る。つまり、セキュリティ管理プラットフォームは、グローバルネットワークを、ソースまたは送信先の何れかとして内部IPアドレスを持つフローに、フィルタリングすることが出来る。
●BACnet、Modbus、DNS3、Vxworks、Niagara Fox、EthrtnetIPの様な産業用制御システム;
●MSSQL、MySQL、Postgres、Redis、MongoDBの様なデータベースサービス;
●セッション開始プロトコール(SIP: Session Initiated Protocol);
)およびリアル-タイムストリーミングプロトコール(RSTP: Real Time Streaming Protocol)の様なオーディオ/ビデオ(A/V)プロトコール;
●Telnet、NetBIOS、簡易ネットワーク管理プロトコール(SNMP: Simple Network Management Protocol)、仮想ネットワークコンピューティング(VNC: Virtual Network Computing)、リモートデスクトッププロトコール(RDP: Remote Desktop Protocol)、サーバメッセージブロック(SMB: Server Message Block)の様なネットワークプロトコール;そして
●ファイル転送プロトコール(FTP: File Transfer Protocol)およびセキュアシェル(SSH: Secure Shell)の様な古いWebサーバプロトコール、および様々なメーカーのデフォルトのWebサーバ構成を備えたコンピューティングデバイス。
●組織内の実際のターゲットに関する詳細を指定するフロー情報;および
●内部IPアドレスを介した通信を担当するコンピューティングデバイスの種類(例、デスクトップコンピュータ、コンピュータサーバ、支払い処理システム)を指定する提供情報。
組織と協働することにより、セキュリティ管理プラットフォームは、内部ネットワーク上に永続的に存在するエンドポイント(例、デスクトップコンピュータおよびコンピュータサーバ)を識別することが出来る。さらに、グローバルネットフローを精査することにより、セキュリティ管理プラットフォームは、内部ネットワーク上に一時的に存在するエンドポイント(例、携帯電話およびラップトップコンピュータ)を識別することが出来る。内部ネットワーク全体をより良く理解するために、セキュリティ管理プラットフォームは、永続的なエンドポイントと非永続的なエンドポイントを監視することが出来なければならない。
●旧バージョンのコンピュータソフトウェア(例、まだ幾つのWindows XP(登録商標)オペレーティングシステムのインスタンスが、内部ネットワークに存在しているか、まだ幾つのInternet Explorer(登録商標)6が、水飲み場型攻撃により容易に搾取されるリスクがある内部ネットワークに存在しているか、等);
●脆弱性のあるまたは禁止されているコンピューティングデバイス(例、Huawei Technologies Co.、ZTE Corporation、およびXiaomi Inc.が製造した中国製コンピューティングデバイスは、米国連邦政府および多くの企業に関連する内部ネットワークに対し禁止されている);
●脆弱性のあるコンピュータソフトウェア(例、多くのモバイルアプリケーションが、それらが企業データポリシに違反してインストールされている携帯電話に関するビーコン情報に、知られている);
●マルウェアビーコン(例、既知のユーザエージェントシグネチャは、脅威インテリジェンスフィードによって提供される既知のマルウェアサンプルと比較させる、または一致が存在するか否かを決定するリバースエンジニアリングによって導出させることが出来る);そして
●一意に識別された通信(例、対応する組織に固有の内部ネットワーク上には、ユーザエージェント文字列が存在し、そしてこれらのユーザエージェント文字列は、内部サービスがインターネットと確立している接続を識別するために、不正なエンティティによって使用される可能性がある)。
図13-14は、セキュリティ管理プラットフォームが生成することが出来るレポートのいくつかの例を示す。図13は、1つ以上のフィルタを満たすレコードを含むレポートを示す。ここでは、4つの異なるフィルタ(つまり、ACK、顧客へのフロー、全ての理由、および最後の7日)が指定されていて、そして4つ全てのフィルタを満たすレコードが、ポートごとにグループ化されている。各レコードは、セキュリティ管理プラットフォームが管理する内部ネットワークに対する様々なセキュリティ脅威に、対応することができる。例えば、ポート80は、内部IPアドレスと外部IPアドレスの異なるペア間の通信に対応する4つの異なるレコードに、関連付けられている。一方、図14は、もしユーザ(例、ネットワークアドミニストレータ)がレコードを選択すると、このレコードに関する追加情報がどのように提供させることが出来るかを示す。例えば、ユーザは、レコードを選択して、どのような修復アクション(ある場合)がセキュリティ管理プラットフォームによって推奨されるかを決定しても良い。同様に、ユーザは、レコードを選択して、修復アクション(例、資格情報の取消し、インターネットへのアクセス禁止、またはコンピュータソフトウェアの更新)を開始させても良い。
本明細書では、1つまたは複数のネットワークを横断するトラフィックを精査してセキュリティ脅威を検出することができるセキュリティ管理プラットフォーム(「セキュリティイベント検出システム」とも呼ばれる)が、説明されている。図5に示されるように、このセキュリティ管理プラットフォームは、脅威検出モジュールとリポジトリを含むことが出来る。このセキュリティ管理プラットフォームは、コンピューティングデバイスに関連付けられているネットワークトラフィックデータおよび/またはアクティブプローブデータを受信するように構成されているインターフェースを含んでいても良い。いくつかの実施態様では、異なるインターフェースが、これらの異なるタイプのデータを受信する。
このクエリは、応答を引起こすことを目的としてこのコンピューティングデバイスに送信される。この応答の精査によって、セキュリティ管理プラットフォームは、このコンピューティングデバイスによってどのようなリスク(ある場合)がもたらされるかを決定することが出来る。これに加えまたは代えて、このセキュリティ管理プラットフォームは、コンピューティングデバイス自体がどのようなリスクを経験しているのかを決定することが出来る。ステップ2503で、このプロセッサは、このコンピューティングデバイスからクエリに対する応答を受け取ることが出来る。いくつかの実施態様では、このプロセッサは、さらなる精査のためにクエリおよび応答をストレージに格納する。例えば、ステップ2504に示されるように、このプロセッサは、クエリおよび応答をこのコンピューティングデバイスに対応するデータベースレコードに格納しても良い。より具体的には、このプロセッサは、クエリ、応答、および他の情報(例、プローブの日付および時刻)を含むレコードをデータベース内に生成および/または配置しても良い。
図29は、本明細書に記載される少なくともいくつかの操作を実施することができる処理システム2900の一例を示すブロック図である。例えば、処理システム2900のいくつかのコンポーネントは、セキュリティ管理プラットフォーム(例、図5のこのセキュリティ管理プラットフォーム506)を含むコンピューティングデバイス上でホストさせても良い。別の例では、処理システム2900のいくつかのコンポーネントは、アクティブプロービングセッション中にセキュリティ管理プラットフォームによって照会されるコンピューティングデバイス上でホストされても良い。
請求される主題の様々な実施態様の前述の説明は、例示および説明の目的のために提供されている。制限列挙であること、または請求された主題を開示された正確な形態に限定することは、意図されていない。当業者には多くの修正および変形が明らかであろう。実施態様は、本発明の原理およびその実際の用途を最もよく説明するために選択および説明された。これにより、関連分野の当業者が、特定の用途に適したクレームされた主題、様々な実施態様、および様々な修正を理解することが可能になる。
[例]
1.
組織が管理する内部ネットワークに対するセキュリティ脅威を識別するためのコンピュータ実装方法であって、前記方法が、
現在前記内部ネットワークに存在する内部インターネットプロトコール(IP)アドレスを識別するステップと、
前記内部ネットワークに対応するネットフローを取得するステップであって、前記ネットフローには、特定の時間間隔で前記内部ネットワークを通過した全てのトラフィックが含まれる、ステップと、
前記内部ネットワーク上に現在存在しない外部IPアドレスを識別するステップと、
前記外部IPアドレスで実行されているサービスから応答を引出すように設計されたクエリを送信することにより、前記外部IPアドレスをプローブするステップと、
前記外部IPアドレスで実行されている前記サービスから前記応答を受信するステップと、
前記ネットフローと前記応答に基づいて前記内部ネットワークに対する前記リスクレベルを評価するステップであって、前記リスクレベルが、前記内部IPアドレスと前記外部IPアドレスとの間の通信によってもたらされる潜在的な害を表示する、ステップと
を備える方法。
2.
当該ネットフローを取得するステップが、
前記インターネットに対応するグローバルネットフローを取得するステップであって、前記グローバルネットフローが、特定の時間間隔で前記インターネットを通過した全てのトラフィックを含む、ステップと、
前記ネットフローを得るために前記グローバルネットフローをフィルタリングするステップと、
を備える、例1に記載のコンピュータ実装方法。
3.
前記グローバルネットフローが、1つまたは複数のインターネットサービスプロバイダ(ISP)から取得される、例2に記載のコンピュータ実装方法。
4.
当該ネットフローを取得するステップが、
前記内部ネットワークの境に沿って装備された1つ以上のフローコレクタから前記ネットフローを取得するステップ
を備える、例1に記載のコンピュータ実装方法。
5.
当該ネットフローを取得するステップが、
前記インターネットに対応するグローバルネットフローを取得するステップであって、前記グローバルネットフローが、前記特定の時間間隔で前記インターネットを通過した全てのトラフィックを含む、ステップと、
前記グローバルネットフローをフィルタリングして、前記ネットフローを示す第1のデータを取得するステップと、
前記内部ネットワークの境に沿って装備された1つ以上のフローコレクタから前記ネットフローを示す第2データを取得するステップと、
前記第1のデータと前記第2のデータとを、前記ネットフローとして精査される1つのデータセットに統合するステップと、
を備える、例1に記載のコンピュータ実装方法。
6.
前記第1のデータおよび前記第2のデータが、前記内部ネットワークの境を越えた通信に関与する全てのデータパケットの同一のコピーを含む、例5に記載のコンピュータ実装方法。
7.
当該プローブするステップが、
現在前記内部ネットワークの外部に存在する複数の外部IPアドレスの各外部IPアドレスに、別々のクエリを送信するステップを、
備える、例1に記載のコンピュータ実装方法。
8.
別個のクエリが、前記インターネットプロトコールバージョン4(IPv4)空間内に存在する各外部IPアドレスに、送信される、例7に記載のコンピュータ実装方法。
9.
別個のクエリが、前記インターネットプロトコールバージョン6(IPv6)空間内に存在する各外部IPアドレスに、送信される、例7に記載のコンピュータ実装方法。
10.
前記クエリが、前記外部IPアドレスに送信された複数のクエリの1つであり、そして前記複数のクエリの各クエリが、前記対応する外部IPアドレスで実行される複数のサービスの異なるサービスから応答を引出すように設計されている、例1に記載のコンピュータ実装方法。
11.
プロセッサによって実施されると、前記プロセッサに実行させる操作が、格納されている非一時的コンピュータ可読媒体であって、前記操作が、
特定の時間間隔でインターネットを通過した全てのトラフィックを含むグローバルネットフローを取得するステップと、
特定の時間間隔で組織に関連付けられている内部ネットワークを通過した全てのトラフィックを含むローカルネットフローを取得するために前記グローバルネットワークをフィルタリングするステップと、
前記内部ネットワークに存在する内部インターネットプロトコール(IP)アドレスと、前記内部ネットワークに存在しない外部IPアドレスとに関与する通信アクティビティを検出するために、前記ローカルネットフローを精査するステップと、
前記内部IPアドレス、前記外部IPアドレス、または前記通信アクティビティに関与するデータパケットの特性に基づいて、前記通信アクティビティによって前記内部ネットワークにもたらされるリスクを評価するステップと、
を備える、非一時的コンピュータ可読媒体。
12.
前記通信アクティビティが、前記内部IPアドレスから前記外部IPアドレスへの、前記内部ネットワークの境を越える前記データパケットの送信に関与する、例11に記載の非一時的コンピュータ可読媒体。
13.
前記通信アクティビティが、前記外部IPアドレスから前記内部IPアドレスへの、前記内部ネットワークの境を越える前記データパケットの送信に関与する、例11に記載に記載の非一時的コンピュータ可読媒体。
14.
前記特性が、前記データパケットのサイズである、例11に記載の非一時的コンピュータ可読媒体。
15.
前記操作が、さらに、
前記外部IPアドレスから応答を引出すように設計されているクエリを送信することにより、前記外部IPアドレスをプローブするステップと、
前記外部IPアドレスから応答を受信するステップであって、不正アクセスに対して脆弱であると判断されたサービスが、前記外部IPアドレスで実行されているか否かを検出するために、当該評価するステップが、前記応答を分析するステップを備える、ステップと
を備える、非一時的コンピュータ可読媒体。
16.
前記操作が、さらに、
前記外部IPアドレスで実行されている特定のサービスから応答を引出すように設計されているクエリを送信することにより、前記外部IPアドレスをプローブするステップと、
前記応答の受信に応じて、前記特定のサービスが、現在前記外部IPアドレスで実行されていると決定するステップと、
を備える、例11に記載の非一時的コンピュータ可読媒体。
17.
前記操作が、さらに、
前記内部IPアドレスから応答を引出すように設計されているクエリを送信することにより、前記内部IPアドレスをプローブするステップと、
前記内部IPアドレスから前記応答を受信するステップであって、当該評価するステップが、前記不正アクセスに対して脆弱であると決定されたサービスが、前記内部IPアドレスで実行されているか否かを検出するために、前記応答を分析するステップを備える、ステップと、
を備える、例11に記載の非一時的コンピュータ可読媒体。
18.
前記操作が、さらに、
精査中の前記内部ネットワークの履歴ローカルネットフローを精査するステップと、
前記履歴ローカルネットフローに少なくとも部分的に基づいて、閾値を生成するステップと、
前記ローカルネットフローを前記閾値と比較するステップであって、当該比較するステップにより、前記内部ネットワークが、前記履歴ローカルネットフローに基づいて予想されるよりも大きなトラフィック量を処理しているか否かについての決定を行うことが可能になる、ステップと、
を備える、例11に記載の非一時的コンピュータ可読媒体。
19.
前記操作が、さらに、
前記外部IPアドレスを、セキュリティリスクの増加に関連付けられていることが知られている前記外部IPアドレスのリストと比較するステップ、
を備える、例11に記載の非一時的コンピュータ可読媒体。
20.
組織が管理するネットワークに対するセキュリティ脅威を識別するための命令を含むメモリを備える電子デバイスであって、前記命令が、プロセッサによって実行されると、前記プロセッサに、次の動作:
特定の時間間隔で前記インターネットを通過した全てのトラフィックを含むグローバルネットフローを取得する動作;
前記特定の時間間隔で前記ネットワークを通過した全てのトラフィックを含むローカルネットフローを取得するために、前記グローバルネットフローをフィルタリングする動作;
前記ネットワークの境を越えたデータパケットの交換に関与する全ての通信アクティビティを識別するために、前記ローカルネットフローを解析する動作であって、各通信アクティビティが、前記ネットワーク上にある第1のインターネットプロトコール(IP)アドレスと、前記ネットワーク上にない第2のIPアドレスに関与する、動作;
通信アクティビティごとに、ターゲットIPアドレスで実行されているサービスから応答を引出すように設計されたクエリを送信することにより、前記第1のIPアドレスまたは前記第2のIPアドレスをプローブする動作;
送信されたクエリに対する全ての応答を含むアクティブプロービングデータを、その後の精査のためにリポジトリに格納する動作;そして
前記ローカルネットフローと前記アクティブプローブデータに基づいて、前記ネットワークへの各通信アクティビティによってもたらされるリスクを評価する動作、
を行わせる、電子デバイス。
21.
前記命令が、さらに、前記プロセッサに、以下の動作:
前記ネットワーク上に存在する前記通信アクティビティに関与する全てのIPアドレスの第1のリストを生成する動作;
前記第1のリストを、前記組織によって監視されている全てのIPアドレスの第2のリストと比較する動作;
前記第1のリストと前記第2のリストの間に不一致があると決定する動作;そして
前記組織によって現在監視されていない前記ローカルネットフローで少なくとも1つのIPアドレスが検出されたことを示す通知を生成する動作;
を行わせる、例20に記載の電子デバイス。
22.
当該プローブが、定期的に実行される、例20に記載の電子デバイス。
23.
前記命令が、さらに、前記プロセッサに、以下の動作:
統一されたワークフローを作成するために、前記アクティブプロービングデータと前記ローカルネットフローとを統合する動作;および
前記統一されたワークフローに基づいて、前記ネットワークのアーキテクチャのモデルを形成する動作、
を行わせる、例20に記載の電子デバイス。
24.
組織に関連付けられている内部ネットワークに存在する1つ以上の内部インターネットプロトコール(IP)アドレスに関与するトラフィックフローを発見するためのコンピュータ実装方法であって、前記方法が、
特定の時間間隔中に前記インターネットを通過した特定の特性を持つ全てのトラフィックを含むグローバルネットフローを取得するステップと、
ローカルネットフローを示す第1のデータを取得するために、前記グローバルネットフローをフィルタリングするステップであって、前記ローカルネットフローには、前記特定の時間間隔中に前記内部ネットワークの境界を通過した前記特定の特性を持つ全てのトラフィックが含まれている、ステップと、
前記特定の時間間隔中に公衆通信アクティビティに関与している各内部IPアドレスを識別するために、前記第1のデータを解析するステップであって、前記公衆通信アクティビティが、前記内部ネットワークに存在する内部IPアドレスと内部ネットワークに存在しない前記外部IPアドレスとの間のデータパケットの交換に関与している、ステップと、
上記の解析に基づいて、前記特定の時間間隔中に公衆通信アクティビティに関与した全ての内部IPアドレスに関与する第1のリストを作成するステップと
を備える、コンピュータ実装方法。
25.
前記内部ネットワークの前記境界に沿って装備された1つまたは複数のフローコレクタから前記ローカルネットフローを示す第2のデータを取得するステップと、
前記第1のデータと前記第2のデータを組み合わせて、解析されるべき単一のデータセットにするステップと
をさらに備える、例24に記載のコンピュータ実装方法。
26.
前記ローカルネットフローが、前記外部IPアドレスによって内部IPアドレスに送信されるデータパケット、内部IPアドレスによって前記外部IPアドレスに送信されるデータパケット、またはそれらの任意の組み合わせを含む、例24に記載のコンピュータ実装方法。
27.
前記組織によって現在監視されている全ての内部IPアドレスに関与する第2のリストを取得するステップと、
前記第1のリストと前記第2のリストを比較して、不一致を識別するステップと、
前記比較に基づいて、前記第1のリストに含まれる少なくとも1つの内部IPアドレスが、前記第2のリストに含まれないことを決定するステップと、
をさらに備える、例24に記載のコンピュータ実装方法。
28.
前記少なくとも1つの内部IPアドレスを識別する前記通知を生成するステップと、
前記内部ネットワークの管理を担当するアドミニストレータに関連付けられているコンピューティングデバイスに前記通知を送信するステップと、
をさらに備える、例27に記載のコンピュータ実装方法。
29.
前記グローバルネットフローが、1つまたは複数のインターネットサービスプロバイダ(ISP)、1つまたは複数のコンテンツ配信ネットワーク(CDN)、またはそれらの任意の組み合わせから取得される、例24に記載のコンピュータ実装方法。
30.
定期的に前記インターネットから地図データを取得するステップと、
前記地図データに基づいて前記内部ネットワークのモデルを生成するステップ、
をさらに備える、例24に記載のコンピュータ実装方法。
31.
応答を引出すように設計されているクエリを送信することにより、前記第1のリストに含まれる各内部IPアドレスをプローブするステップと、
前記第1のリストに含まれる前記内部IPアドレスから受信した応答からプローブデータを作成するステップであって、前記プローブデータが、前記内部ネットワークに存在する少なくともいくつかのコンピュータプログラムのクラス、タイプ、またはバージョンを指定する、ステップと
をさらに備える、例30に記載のコンピュータ実装方法。
32.
プロセッサによって実施されると、前記プロセッサに、以下のステップ:
セキュリティ管理プラットフォームによって、少なくとも2つの異なるソースから複数の未分類のデータストリームを取得するステップであって、前記複数の未分類データストリームの各未分類データストリームには、組織に関連付けられている内部ネットワークの境界を通過したトラフィックに関する情報が含まれている、ステップ;
前記セキュリティ管理プラットフォームが、複数の未分類のデータストリームを統合して、統一されたワークフローを形成するステップ;
前記セキュリティ管理プラットフォームが、前記統一されたワークフローを精査することにより、前記内部ネットワークに存在するサイバ資産に対する攻撃のベクトルを識別するステップ;
修復のアクションを実行して、攻撃の前記ベクトルを拒否させるステップ、
を備える操作を実行させる命令が、格納されている非一時的コンピュータ可読媒体。
33.
当該拒否させるステップが、
前記セキュリティ管理プラットフォームが、前記修復アクションを識別する通知を生成するステップと、
前記セキュリティ管理プラットフォームが、前記内部ネットワークの管理を担当するアドミニストレータに関連付けられているコンピューティングデバイスに前記通知を送信するステップと、
を備える、例32に記載の非一時的コンピュータ可読媒体。
34
前記複数の未分類のデータストリームが、
前記内部ネットワークに存在するIPアドレス、コンピューティングデバイス、またはサービスの攻撃対象領域を特徴付ける地図データ、
前記内部ネットワークの前記境界を越えるデータパケットの交換を含む通信アクティビティを特徴付けるネットフローデータ、および
前記内部ネットワークに存在する少なくとも1つのコンピュータプログラムのクラス、タイプ、またはバージョンを特徴付けるプローブデータ。
を含む、例32に記載の非一時的コンピュータ可読媒体。
35.
前記操作が、
前記セキュリティ管理プラットフォームが、応答を引出すように設計されているクエリを送信することにより、内部ネットワークに存在する各内部IPアドレスをプローブするステップと、
前記セキュリティ管理プラットフォームが、前記対応する内部IPアドレスから受信した応答を精査することにより、前記内部ネットワークに存在する各インターネット接続コンピューティングデバイスのステータスを決定するステップと、
をさらに備える、例32に記載の非一時的コンピュータ可読媒体。
36.
当該プローブするステップが、各インターネット接続コンピューティングデバイスの前記ステータスが、特定の時間間隔にわたって監視させることが出来るように、定期的に実行される、例35に記載の非一時的コンピュータ可読媒体。
37.
前記時間間隔が、日、月、年、または無期限の期間である、例36に記載の非一時的コンピュータ可読媒体。
38.
前記操作が、さらに、前記セキュリティ管理プラットフォームが、さらなる分析のために全ての応答を示すデータを格納するステップを、備える、例35に記載の非一時的コンピュータ可読媒体。
39.
インターネットを介して外部IPアドレスと通信する内部インターネットプロトコール(IP)アドレスを発見するための命令を含むメモリを備える電子デバイスであって、前記命令が、プロセッサによって実施されると、前記プロセッサに、次の動作:
特定の時間間隔で前記インターネットを通過した特定の特性を持つ全てのトラフィックを含むグローバルネットフローを取得する動作;
前記特定の時間間隔の少なくとも一部の間に前記内部IPアドレスが存在していた内部ネットワークに対応するローカルネットフローを取得するために、グローバルネットフローをフィルタリングする動作であって、前記ローカルネットフローには、前記特定の時間間隔中に前記内部ネットワークの境界を通過した前記特定の特性を持つ全てのトラフィックが含まれる、動作;
前記特定の時間間隔中に公衆通信アクティビティに関与した各内部IPアドレスを識別するために、前記ローカルネットフローを解析する動作;
前記特定の時間間隔中に公衆通信アクティビティに関与した全ての内部IPアドレスに関与する第1のリストを作成する動作;
前記第1のリストを、現在監視されている全ての内部IPアドレスに関与する第2のリストと比較する動作;そして
前記公衆通信アクティビティによってもたらされるリスクを決定する動作;
を行わせる、電子デバイス。
40.
前記命令が、さらに、前記プロセッサに、前記第1のリストに含まれる少なくとも1つの内部IPアドレスが、前記第2のリストに含まれていないことを決定させる、例39の電子デバイス。
41.
前記命令が、さらに、前記プロセッサに、
少なくとも1つの内部IPアドレスを識別する通知を生成させ、そして
前記内部ネットワークの管理を担当するアドミニストレータに関連付けられているコンピューティングデバイスに前記通知を送信させる、例40に記載の電子デバイス。
42.
前記命令が、さらに、前記プロセッサに、前記内部ネットワークに関連付けられている組織により管理されているストレージから前記第2のリストを検索させる、例39に記載の電子デバイス。
43.
前記グローバルネットフローが、前記インターネット上に展開された1つまたは複数のスキャン機構から取得される、例39に記載の電子デバイス。
44.
組織に関連付けられている内部ネットワークに存在する内部インターネットプロトコール(IP)アドレスに関与する公衆通信アクティビティによってもたらされるリスクを推定するためのコンピュータ実装方法であって、前記方法が、
ローカルネットフローを精査して、内部ネットワークに存在する内部IPアドレスと前記内部ネットワークに存在しない外部IPアドレスに関与する公衆通信アクティビティを検出するステップと、
応答を引出すように設計されているクエリを送信することにより、前記外部IPアドレスをプローブするステップと、
前記外部IPアドレスから前記応答を受信するステップと、
前記応答を分析して、不正アクセスに対して脆弱であると判断されたサービスが、前記外部IPアドレスで実行されているか否かを検出することにより、前記内部ネットワークに対する前記公衆通信アクティビティによってもたらされるリスクを評価するステップと
を備えるコンピュータ実装方法。
45.
特定の時間間隔中に前記インターネットを通過した特定の特性を有する全てのトラフィックを含むグローバルネットフローを取得するステップと、
前記グローバルネットフローをフィルタリングして、前記特定の時間間隔中に前記内部ネットワークの境界を越えた特定の特性を持つ全てのトラフィックを含むローカルネットフローを取得するステップと
を備える、例44に記載のコンピュータ実装方法。
46
各データパケットの構造を精査することにより、前記グローバルネットフローに含まれるデータパケットに特定の特性があるか否かを決定するステップをさらに備える、例44に記載のコンピュータ実装方法。
47
当該決定するステップが、各データパケットのヘッダのコンテンツを精査することを含む、例46に記載のコンピュータ実装方法。
48.
前記構造が、各データパケットが、インターネットプロトコールバージョン4(IPv4)またはインターネットプロトコールバージョン6(IPv6)に従ってルーティングされるか否かを示す、例46に記載のコンピュータ実装方法。
49.
組織に関連する内部ネットワークに存在する内部インターネットプロトコール(IP)アドレスに関与する公衆通信アクティビティによってもたらされるリスクを推定するためのコンピュータ実装方法であって、前記方法が、
ローカルネットフローを精査して、前記内部ネットワークに存在する前記内部IPアドレスと前記内部ネットワークに存在しない前記外部IPアドレスに関与する公衆通信アクティビティを検出するステップと、
特定のサービスから応答を引出すように設計されているクエリを送信することにより、前記外部IPアドレスをプローブするステップと、
前記外部IPアドレスから前記応答を受信するステップと、
前記応答の受信に応じて、特定のサービスが現在前記外部IPアドレスで実行されていると判断するステップと、
前記外部IPアドレスに特定のサービスが存在するために、前記公衆通信アクティビティが前記内部アクティビティに与えるリスクを評価するステップと
を備える、コンピュータ実装方法。
50.
特定の時間間隔で前記インターネットを通過した特定の特性を持つ全てのトラフィックを含むグローバルネットフローを取得するステップと、
前記特定の時間間隔中に前記内部ネットワークの境界を越えた前記特定の特性を持つ全てのトラフィックを含む前記ローカルネットフローを取得するために前記グローバルネットフローをフィルタリングするステップと、
を備える、例49に記載のコンピュータ実装方法。
51.
前記グローバルネットフローが、1つまたは複数のインターネットサービスプロバイダ(ISP)、1つまたは複数のコンテンツ配信ネットワーク(CDN)、またはそれらの任意の組み合わせから取得される、例50に記載のコンピュータ実装方法。
52.
組織に関連付けられている内部ネットワークに存在する内部インターネットプロトコール(IP)アドレスに関与する公衆通信アクティビティによってもたらされるリスクを推定するためのコンピュータ実装方法であって、前記方法が、
内部ネットワークに存在する内部IPアドレスと内部ネットワークに存在しない前記外部IPアドレスに関与する公衆通信アクティビティを検出するために、ローカルネットフローを精査するステップと、
前記内部IPアドレスを精査するために、前記応答を引出すように設計されているクエリを送信するステップと、
前記内部IPアドレスから応答を受信するステップと、
不正アクセスに対して脆弱であると判断されたサービスが、前記内部IPアドレスで実行されているか否かを検出するために前記応答を分析することにより、前記公衆通信アクティビティによる前記内部ネットワークへのリスクを評価するステップと、
を備える、コンピュータ実装方法。
53.
脆弱性のあるサービスが、前記内部IPアドレスで実行されていると決定するステップと、
前記脆弱性のあるサービスを識別する通知を生成するステップと、
前記内部ネットワークの管理を担当するアドミニストレータに関連付けられているコンピューティングデバイスに、前記通知を送信するステップと
をさらに備える、例52に記載のコンピュータ実装方法。
54.
前記通知が、前記脆弱性のあるサービスによるセキュリティリスクの増加に対処するように設計されている修復アクションを実行するための推奨事項を含む、例53に記載のコンピュータ実装方法。
55.
前記公共通信アクティビティが、前記内部ネットワークの境界を横切る前記内部IPアドレスから前記外部IPアドレスへのデータパケットの送信に関与する、例52に記載のコンピュータ実装方法。
56.
前記通信アクティビティが、前記内部ネットワークの境界を越える前記外部IPアドレスから内部IPアドレスへのデータパケットの送信に関与する、例52に記載のコンピュータ実装方法。
57.
組織に関連付けられている内部ネットワークに存在する1つまたは複数の内部インターネットプロトコール(IP)アドレスに関与する公衆通信アクティビティによってもたらされるリスクを推定するためのコンピュータ実装方法であって、前記方法が、
第1の時間間隔で前記内部ネットワークの境界を通過した全てのトラフィックを含むローカルネットフローを取得するステップと、
第2の時間間隔で前記内部ネットワークの前記境界を通過した全てのトラフィックを含む履歴ローカルネットフローを精査するステップと、
前記履歴ローカルネットフローに少なくとも部分的に基づいて閾値を生成するステップと、
前記ローカルネットフローを前記閾値と比較することにより、前記ローカルネットワークに対する前記第1の時間間隔での公衆通信アクティビティによってもたらされるリスクを評価するステップと
を備える、コンピュータ実装方法。
58.
前記第1および第2の時間間隔が、日、週、または月に対応する、例57に記載のコンピュータ実装方法。
59.
前記ローカルネットフローを前記閾値と比較することが、前記内部ネットワークが、前記履歴ローカルネットフローに基づいて予測以上に大きなトラフィックの量を扱っているか否かについて、決定を下すことを可能にする、例57に記載のコンピュータ実装方法。
60.
組織が管理する内部ネットワーク上に存在する内部インターネットプロトコール(IP)アドレスに関与する公衆通信アクティビティによってもたらされるリスクを推定するためのコンピュータ実装方法であって、前記方法が、
特定の時間間隔で前記内部ネットワークの境界を通過した全てのトラフィックを含むローカルネットフローを取得するステップと、
前記内部ネットワークに存在する内部IPアドレスと前記内部ネットワークに存在しない外部IPアドレスに関与する公衆通信アクティビティを検出するために、前記ローカルネットフローを精査するステップと、
前記外部IPアドレスを、セキュリティリスクの増加に関連付けられていることが知られている1つ以上の前記外部IPアドレスを含むソースリストと比較するステップと、
当該比較に基づいて、前記内部ネットワークに対する前記公衆通信アクティビティによってもたらされるリスクを評価するステップと
を備えるコンピュータ実装方法。
61.
米国連邦政府により維持されているWebサイトから前記ソースリストを取得するステップを、さらに備える、例60に記載のコンピュータ実装方法。
62.
前記ソースリストのコンテンツが時間とともに変化し、当該検索が定期的に実行されるステップを、さらに備える、例61に記載のコンピュータ実装方法。
63.
前記ソースリストが、外国資産管理局によってセキュリティリスクとみなされる外国企業に関連付けられている少なくとも1つのIPアドレスを含む、例60に記載のコンピュータ実装方法。
64.
組織に関連付けられている内部ネットワークに対するセキュリティ脅威を評価するためのシステムであって、前記システムが、
第1のネットワークに展開された1つ以上のスキャン機構であって、各スキャン機構が、
応答を引出すように設計されているクエリを送信することにより、少なくとも1つのインターネットプロトコール(IP)アドレスをプローブし、かつ
前記少なくとも1つのIPアドレスから受信された応答からプローブデータを作成するように、構成されている、スキャン機構と、
次の動作:
特定の時間間隔中に第2のネットワークの境界を通過した全てのトラフィックを含むローカルネットフローを取得する動作;
公衆通信アクティビティを検出するために前記ローカルネットフローを精査する動作であって、各公衆通信アクティビティが、前記第2のネットワークにある内部IPアドレスと前記第2のネットワークにない前記外部IPアドレスに関与している、動作;および
前記ローカルネットフローと前記プローブデータに基づいて、前記公衆通信アクティビティによってもたらされるリスクを評価する動作、
を行うように構成されているセキュリティ管理プラットフォームと
を備える、システム。
65.
前記第1のネットワークと前記第2のネットワークが、異なるネットワークである、例64に記載のシステム。
66.
前記第1のネットワークがインターネットであり、前記第2のネットワークが組織に関連付けられている内部ネットワークである、例64に記載のシステム。
67.
各走査機構が、さらに、
公衆通信アクティビティに関与する各前記外部IPアドレスから発信された、またはそれに送信されたトラフィックを精査して、どのサービスが、各外部IPアドレスを実行しているかを決定するように構成されている、例64に記載のシステム。
68.
当該精査することが、前記トラフィックに含まれるデータパケットのヘッダのコンテンツを分析することを含む、例67に記載のシステム。
69.
前記第2のネットワークに存在するサイバ資産への不正アクセスの試行を隔離するように構成されたハニーポットサーバと、
前記第2のネットワークの前記境界に沿って展開されたファイアウォールであって、
前記ファイアウォールが、
特定の前記外部IPアドレスから通信を受信し、
前記通信が着信スキャン攻撃を表していることを決定し、
前記ハニーポットサーバへの通信をそらすことにより、前記第2のネットワークの侵害を防ぐ、
ように構成されている、ファイアウォールと
をさらに備える、例67に記載のシステム。
70.
前記セキュリティ管理プラットフォームが、
特定の時間間隔で第1のネットワークを通過した特定の特性を持つ全てのトラフィックを含むグローバルネットフローを取得し、
前記ハニーポットサーバに関連付けられている1つ以上のIPアドレスに関与するトラフィックを取得するために、前記グローバルネットフローをフィルタリングし、そして、
前記トラフィックが、ボットによるスキャンの試行を含むことを決定する、
ように構成されている、例69に記載のシステム。
71.
前記セキュリティ管理プラットフォームが、さらに、
前記ボットの特性を識別するために前記試行されたスキャンを精査し、そして、
前記ボットとの通信に現在関与している全ての内部IPアドレスを識別する、
ように構成されている、例70に記載のシステム。
72.
前記セキュリティ管理プラットフォームが、さらに、
前記試行されたスキャンを精査して、前記ボットの特性を特定し、そして、
前記特性に基づいて、前記ボットとコマンド-アンド-コントロールセンタに関与する公衆通信アクティビティを識別する、
ように構成されている、例70に記載のシステム。
73.
内部ネットワークに存在する内部インターネットプロトコール(IP)アドレスと、前記内部ネットワークに存在しない外部IPアドレスに関与する公衆通信アクティビティによってもたらされるリスクを推定するためのコンピュータ実装方法であって、前記方法が、
セキュリティ管理プラットフォームが、前記インターネット上に展開された1つ以上のスキャン機構からプローブデータを取得するステップであって、
各スキャン機構が、特定のサービスから応答を引出すように設計されているクエリを送信することにより、少なくとも1つのインターネットプロトコール(IP)アドレスをプローブするように構成されていて、そして
前記プローブデータが、前記内部IPアドレスによって提供される第1の応答と、前記外部IPアドレスによって提供される第2の応答とを含む、ステップと、
前記セキュリティ管理プラットフォームが、前記プローブデータに基づいて前記公衆通信アクティビティによってもたらされるリスクを評価するステップと、
前記セキュリティ管理プラットフォームが、前記リスクが特定の閾値を超えていると決定するステップと、
前記セキュリティ管理プラットフォームが、前記内部ネットワークの境界に展開されたファイアウォールに指示を送信するステップであって、前記命令が、着信通信を前記外部IPアドレスからハニーポットサーバにそらすことにより、前記内部ネットワークの将来の侵害を防ぐようにファイアウォールに命令する、ステップと
を備える、コンピュータ実装方法。
74.
前記セキュリティ管理プラットフォームが、特定の時間間隔中に内部ネットワークの境界を通過した全てのトラフィックを含むローカルネットフローを取得するステップを、 さらに備える、例73に記載のコンピュータ実装方法。
75.
前記セキュリティ管理プラットフォームが、前記外部IPアドレスに関与する全ての公衆通信アクティビティを識別する前記ローカルネットフローを精査するステップを、さらに備える、例74に記載のコンピュータ実装方法。
76.
当該取得するステップが、
前記セキュリティ管理プラットフォームが、前記特定の時間間隔中に前記インターネットを通過した特定の特性を有する全てのトラフィックを含むグローバルネットフローを取得するステップと、
前記ローカルネットフローを取得するために、前記グローバルネットフローをフィルタリングするステップと
をさらに備える、例74に記載のコンピュータ実装方法。
77.
前記セキュリティ管理プラットフォームが、前記内部ネットワークに通信可能に結合されたコンピュータサーバ上に存在する、例73に記載のコンピュータ実装方法。
78.
インターネット上に展開された1つ以上のスキャン機構であって、各スキャン機構が、
応答を引出すように設計されているクエリを送信することにより、少なくとも1つのインターネットプロトコール(IP)アドレスをプローブし、そして、
少なくとも1つのIPアドレスから受信した応答からプローブデータを作成する、
ように構成されている、1つ以上のスキャン機構と、
次の動作:
特定の時間間隔中に内部ネットワークの境界を通過した全てのトラフィックを含むローカルネットフローを取得する動作;
内部ネットワークに存在する内部IPアドレスと内部ネットワークに存在しない前記外部IPアドレスに関与する公衆通信アクティビティを検出するために前記ローカルネットフローを精査する動作;
公衆通信アクティビティによってもたらされるリスクが特定の閾値を超えると決定する動作;
前記内部IPネットワークの境界に沿って展開されたファイアウォールに、前記外部IPアドレスから受信した今後の通信がハニーポットサーバに転送されるべきであると通知する動作、
を行うように構成されているセキュリティ管理プラットフォームと、
を備える、システム。
79.
前記ハニーポットサーバが、内部ネットワーク上に存在するサイバ資産への不正アクセスを得る試みを隔離するように構成されている、例78に記載のシステム。
80.
前記ファイアウォールが、前記外部IPアドレスからの通信を受信すると、前記ハニーポットサーバへの通信を偏向させて、内部ネットワークの侵害を防ぐように構成されている、例78に記載のシステム。
81.
前記セキュリティ管理プラットフォームが、
ボットネットに関連付けられているブラックリストに前記外部IPアドレスを追加し、そして
前記ブラックリストに含まれる前記外部IPアドレスに関与する全ての公衆通信アクティビティを識別することにより、ボットネットアクティビティを監視する、
ように構成される、例78に記載のシステム。
82.
前記セキュリティ管理プラットフォームが、さらに、一定期間、公衆通信アクティビティに関与していない前記外部IPアドレスを削除することにより、前記ブラックリストを定期的に更新する、ように構成されている、例81に記載のシステム。
83.
前記セキュリティ管理プラットフォームが、さらに、
前記外部IPアドレスから発信される、または前記外部IPアドレスに向けられるトラフィックを精査して、もしあれば、どのサービスが、前記外部IPアドレスで実行されているかを決定するように、構成されている、例78に記載のシステム。
ここでは、説明のみを目的として特定の例が示されている。当業者は、物理的な可能性に反しない限り、各例を他の例と組み合わせることができることを認識するであろう。
本出願は、「グローバルインターネットセンサの統合(Global Internet Sensor Fusion)」という名称で2017年5月18日に出願された米国仮出願第62/508,298号、および2017年11月15日に出願された「相関関係駆動型脅威の評価と修復(Correlation Driven Threat Assessment and Remediation)」という名称の米国仮出願第62/586,669号、に対して優先権を主張し、これらの出願のそれぞれは、参照によりその全体が本書に組み込まれている。
Claims (20)
- 組織が管理する内部ネットワークに対するセキュリティ脅威を識別するためのコンピュータ実装方法であって、前記方法が、
現在前記内部ネットワークに存在する内部インターネットプロトコール(IP)アドレスを識別するステップと、
前記内部ネットワークに対応するネットフローを取得するステップであって、
特定の時間間隔でインターネットを通過した全てのトラフィックを表すグローバルネットフローを取得すること、によるもの、および、
前記ネットフローを取得するために前記グローバルネットフローをフィルタリングすることであって、
(i)前記内部ネットワークから始まる前記グローバルネットフローにおける第1トラフィック、および、(ii)前記内部ネットワークを送信先とする前記グローバルネットフローにおける第2トラフィックを識別することにより、かつ、
前記第1トラフィックおよび前記第2トラフィックを、前記ネットフローとして精査されるように1つのデータセットへと統合することによるもの、であり、
前記ネットフローは、前記特定の時間間隔で前記内部ネットワークを通過した全てのトラフィックを表す、
ステップと、
前記内部IPアドレスと前記内部ネットワーク上に現在存在しない外部IPアドレスとの間の通信を検出するために前記ネットフローを精査するステップと、
前記外部IPアドレスで実行されているサービスから応答を引出すように設計されたクエリを送信することにより、前記外部IPアドレスをプローブするステップと、
前記外部IPアドレスで実行されている前記サービスから前記応答を受信するステップと、
前記ネットフローと前記応答に基づいて前記内部ネットワークに対するリスクレベルを評価するステップであって、前記リスクレベルが、前記内部IPアドレスと前記外部IPアドレスとの間の前記通信によってもたらされる潜在的な害を表示する、ステップと、
を備える、コンピュータ実装方法。 - 前記グローバルネットフローが、1つまたは複数のインターネットサービスプロバイダ(ISP)から取得される、請求項1に記載のコンピュータ実装方法。
- 当該プローブするステップが、
現在前記内部ネットワークの外部に存在する複数の外部IPアドレスの各外部IPアドレスに、別々のクエリを送信するステップを、
備える、請求項1に記載のコンピュータ実装方法。 - 別個のクエリが、前記インターネットプロトコールバージョン4(IPv4)空間内に存在する各外部IPアドレスに、送信される、請求項3に記載のコンピュータ実装方法。
- 別個のクエリが、前記インターネットプロトコールバージョン6(IPv6)空間内に存在する各外部IPアドレスに、送信される、請求項3に記載のコンピュータ実装方法。
- 前記クエリが、前記外部IPアドレスに送信された複数のクエリの1つであり、そして前記複数のクエリの各クエリが、前記対応する外部IPアドレスで実行される複数のサービスの異なるサービスから応答を引出すように設計されている、請求項1に記載のコンピュータ実装方法。
- プロセッサによって実施されると、前記プロセッサに実行させる操作が、格納されている非一時的コンピュータ可読媒体であって、前記操作が、
複数のソースから特定の時間間隔でインターネットを通過した全てのトラフィックを含むグローバルネットフローを取得するステップと、
組織に関連付けられている内部ネットワークについてローカルネットフローを取得するために前記グローバルネットフローをフィルタリングするステップであって、
(i)前記内部ネットワークから始まる前記グローバルネットフローにおける第1トラフィック、および、(ii)前記内部ネットワークを送信先とする前記グローバルネットフローにおける第2トラフィックを識別することにより、かつ、
前記第1トラフィックおよび前記第2トラフィックを、前記ローカルネットフローとして精査されるように1つのデータセットへと統合することによるもの、であり、
前記ローカルネットフローは、前記特定の時間間隔で前記内部ネットワークを通過した全てのトラフィックを含む、
ステップと、
前記内部ネットワークに存在する内部インターネットプロトコール(IP)アドレスと、前記内部ネットワークに存在しない外部IPアドレスとに関与する通信アクティビティを検出するために、前記ローカルネットフローを精査するステップと、
前記内部IPアドレス、前記外部IPアドレス、または前記通信アクティビティに関与するデータパケットの特性に基づいて、前記通信アクティビティによって前記内部ネットワークにもたらされるリスクを評価するステップと、
を備える、非一時的コンピュータ可読媒体。 - 前記通信アクティビティが、前記内部IPアドレスから前記外部IPアドレスへの、前記内部ネットワークの境を越える前記データパケットの送信に関与する、請求項7に記載の非一時的コンピュータ可読媒体。
- 前記通信アクティビティが、前記外部IPアドレスから前記内部IPアドレスへの、前記内部ネットワークの境を越える前記データパケットの送信に関与する、請求項7に記載に記載の非一時的コンピュータ可読媒体。
- 前記特性が、前記データパケットのサイズである、請求項7に記載の非一時的コンピュータ可読媒体。
- 前記操作が、さらに、
前記外部IPアドレスから応答を引出すように設計されているクエリを送信することにより、前記外部IPアドレスをプローブするステップと、
前記外部IPアドレスから応答を受信するステップであって、不正アクセスに対して脆弱であると判断されたサービスが、前記外部IPアドレスで実行されているか否かを検出するために、当該評価するステップが、前記応答を分析するステップを備える、ステップと
を備える、請求項7に記載の非一時的コンピュータ可読媒体。 - 前記操作が、さらに、
前記外部IPアドレスで実行されている特定のサービスから応答を引出すように設計されているクエリを送信することにより、前記外部IPアドレスをプローブするステップと、
前記応答の受信に応じて、前記特定のサービスが、現在前記外部IPアドレスで実行されていると決定するステップと、
を備える、請求項7に記載の非一時的コンピュータ可読媒体。 - 前記操作が、さらに、
前記内部IPアドレスから応答を引出すように設計されているクエリを送信することにより、前記内部IPアドレスをプローブするステップと、
前記内部IPアドレスから前記応答を受信するステップであって、当該評価するステップが、前記不正アクセスに対して脆弱であると決定されたサービスが、前記内部IPアドレスで実行されているか否かを検出するために、前記応答を分析するステップを備える、ステップと、
を備える、請求項7に記載の非一時的コンピュータ可読媒体。 - 前記操作が、さらに、
精査中の前記内部ネットワークの履歴ローカルネットフローを精査するステップと、
前記履歴ローカルネットフローに少なくとも部分的に基づいて、閾値を生成するステップと、
前記ローカルネットフローを前記閾値と比較するステップであって、当該比較するステップにより、前記内部ネットワークが、前記履歴ローカルネットフローに基づいて予想されるよりも大きなトラフィック量を処理しているか否かについての決定を行うことが可能になる、ステップと、
を備える、請求項7に記載の非一時的コンピュータ可読媒体。 - 前記操作が、さらに、
前記外部IPアドレスを、セキュリティリスクの増加に関連付けられていることが知られている前記外部IPアドレスのリストと比較するステップ、
を備える、請求項7に記載の非一時的コンピュータ可読媒体。 - 組織が管理するネットワークに対するセキュリティ脅威を識別するための命令を含むメモリを備える電子デバイスであって、前記命令が、プロセッサによって実行されると、前記プロセッサに、次の動作:
特定の時間間隔でインターネットを通過した全てのトラフィックを含むグローバルネットフローを取得する動作;
ローカルネットフローを取得するために、前記グローバルネットフローをフィルタリングする動作であって、
(i)前記ネットワークから始まる前記グローバルネットフローにおける第1トラフィック、および、(ii)前記ネットワークを送信先とする前記グローバルネットフローにおける第2トラフィックを識別することにより、かつ、
前記第1トラフィックおよび前記第2トラフィックを、前記ローカルネットフローとして精査されるように1つのデータセットへと統合することによるもの、であり、
前記ローカルネットフローは、前記特定の時間間隔で前記ネットワークを通過した全てのトラフィックを含む、
動作;
前記ネットワークの境を越えたデータパケットの交換に関与する全ての通信アクティビティを識別するために、前記ローカルネットフローを解析する動作であって、各通信アクティビティが、前記ネットワーク上にある第1のインターネットプロトコール(IP)アドレスと、前記ネットワーク上にない第2のIPアドレスに関与する、動作;
通信アクティビティごとに、ターゲットIPアドレスで実行されているサービスから応答を引出すように設計されたクエリを送信することにより、前記第1のIPアドレスまたは前記第2のIPアドレスをプローブする動作;
送信されたクエリに対する全ての応答を含むアクティブプロービングデータを、その後の精査のためにリポジトリに格納する動作;そして
前記ローカルネットフローと前記アクティブプロービングデータに基づいて、前記ネットワークへの各通信アクティビティによってもたらされるリスクを評価する動作、
を行わせる、電子デバイス。 - 前記命令が、さらに、前記プロセッサに、以下の動作:
前記ネットワーク上に存在する前記通信アクティビティに関与する全てのIPアドレスの第1のリストを生成する動作;
前記第1のリストを、前記組織によって監視されている全てのIPアドレスの第2のリストと比較する動作;
前記第1のリストと前記第2のリストの間に不一致があると決定する動作;そして
前記組織によって現在監視されていない前記ローカルネットフローで発見された少なくとも1つのIPアドレスを指定する通知を生成する動作;
を行わせる、請求項16に記載の電子デバイス。 - 当該プローブする動作が、定期的に実行される、請求項16に記載の電子デバイス。
- 前記命令が、さらに、前記プロセッサに、以下の動作:
統一されたワークフローを作成するために、前記アクティブプロービングデータと前記ローカルネットフローとを統合する動作;および
前記統一されたワークフローに基づいて、前記ネットワークのアーキテクチャのモデルを形成する動作、
を行わせる、請求項16に記載の電子デバイス。 - 前記複数のソースは、インターネットサービスプロバイダ(ISP)、前記内部ネットワークの境に沿って装備されたフローコレクタ、前記組織によって管理されるデータベース、または、これらの任意の組み合わせ、を含む、
請求項7に記載の非一時的コンピュータ可読媒体。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201762508298P | 2017-05-18 | 2017-05-18 | |
US62/508,298 | 2017-05-18 | ||
US201762586669P | 2017-11-15 | 2017-11-15 | |
US62/586,669 | 2017-11-15 | ||
PCT/US2018/033504 WO2018213778A1 (en) | 2017-05-18 | 2018-05-18 | Correlation-driven threat assessment and remediation |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2020521383A JP2020521383A (ja) | 2020-07-16 |
JP2020521383A5 JP2020521383A5 (ja) | 2021-08-12 |
JP7250703B2 true JP7250703B2 (ja) | 2023-04-03 |
Family
ID=64272735
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019563833A Active JP7250703B2 (ja) | 2017-05-18 | 2018-05-18 | 相関関係駆動型脅威の評価と修復 |
Country Status (7)
Country | Link |
---|---|
US (5) | US10965707B2 (ja) |
EP (1) | EP3625681A1 (ja) |
JP (1) | JP7250703B2 (ja) |
KR (1) | KR20200007931A (ja) |
AU (1) | AU2018269049A1 (ja) |
CA (1) | CA3059788A1 (ja) |
WO (1) | WO2018213778A1 (ja) |
Families Citing this family (74)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10805331B2 (en) | 2010-09-24 | 2020-10-13 | BitSight Technologies, Inc. | Information technology security assessment system |
US9438615B2 (en) | 2013-09-09 | 2016-09-06 | BitSight Technologies, Inc. | Security risk management |
US11405410B2 (en) * | 2014-02-24 | 2022-08-02 | Cyphort Inc. | System and method for detecting lateral movement and data exfiltration |
US11182720B2 (en) | 2016-02-16 | 2021-11-23 | BitSight Technologies, Inc. | Relationships among technology assets and services and the entities responsible for them |
US10574678B2 (en) * | 2016-12-13 | 2020-02-25 | Forescout Technologies, Inc. | Name translation monitoring |
US10476673B2 (en) | 2017-03-22 | 2019-11-12 | Extrahop Networks, Inc. | Managing session secrets for continuous packet capture systems |
US10965707B2 (en) | 2017-05-18 | 2021-03-30 | Expanse, Inc. | Correlation-driven threat assessment and remediation |
US10425380B2 (en) | 2017-06-22 | 2019-09-24 | BitSight Technologies, Inc. | Methods for mapping IP addresses and domains to organizations using user activity data |
US10841329B2 (en) * | 2017-08-23 | 2020-11-17 | International Business Machines Corporation | Cognitive security for workflows |
US9967292B1 (en) | 2017-10-25 | 2018-05-08 | Extrahop Networks, Inc. | Inline secret sharing |
US10389574B1 (en) | 2018-02-07 | 2019-08-20 | Extrahop Networks, Inc. | Ranking alerts based on network monitoring |
US10270794B1 (en) | 2018-02-09 | 2019-04-23 | Extrahop Networks, Inc. | Detection of denial of service attacks |
US10257219B1 (en) | 2018-03-12 | 2019-04-09 | BitSight Technologies, Inc. | Correlated risk in cybersecurity |
US10812520B2 (en) | 2018-04-17 | 2020-10-20 | BitSight Technologies, Inc. | Systems and methods for external detection of misconfigured systems |
US10868759B2 (en) * | 2018-05-03 | 2020-12-15 | Selligent, S.A. | System and method for virtual machine port translation and dynamic routing |
US11709946B2 (en) | 2018-06-06 | 2023-07-25 | Reliaquest Holdings, Llc | Threat mitigation system and method |
US10848512B2 (en) | 2018-06-06 | 2020-11-24 | Reliaquest Holdings, Llc | Threat mitigation system and method |
CA3045863C (en) * | 2018-06-12 | 2022-08-30 | Bank Of Montreal | Systems and methods for generating a snapshot view of network infrastructure |
PL3588897T3 (pl) * | 2018-06-30 | 2020-07-27 | Ovh | Sposób i system obrony infrastruktury przed rozproszonym atakiem odmowy usługi |
US10411978B1 (en) | 2018-08-09 | 2019-09-10 | Extrahop Networks, Inc. | Correlating causes and effects associated with network activity |
US11200323B2 (en) | 2018-10-17 | 2021-12-14 | BitSight Technologies, Inc. | Systems and methods for forecasting cybersecurity ratings based on event-rate scenarios |
US10521583B1 (en) | 2018-10-25 | 2019-12-31 | BitSight Technologies, Inc. | Systems and methods for remote detection of software through browser webinjects |
US10298611B1 (en) * | 2018-12-10 | 2019-05-21 | Securitymetrics, Inc. | Network vulnerability assessment |
US11563640B2 (en) * | 2018-12-13 | 2023-01-24 | At&T Intellectual Property I, L.P. | Network data extraction parser-model in SDN |
US11811813B2 (en) * | 2018-12-28 | 2023-11-07 | Trane International Inc. | Network security management for a building automation system |
US10901375B2 (en) * | 2019-01-31 | 2021-01-26 | Morgan Stanley Services Group Inc. | Chaotic system anomaly response by artificial intelligence |
CN110233821B (zh) * | 2019-04-29 | 2021-10-29 | 北京邮电大学 | 一种智能设备网络空间的探测和安全扫描系统及其方法 |
US10757117B1 (en) | 2019-05-03 | 2020-08-25 | Greynoise Intelligence Inc. | Contextual analyses of network traffic |
US10965702B2 (en) * | 2019-05-28 | 2021-03-30 | Extrahop Networks, Inc. | Detecting injection attacks using passive network monitoring |
USD926809S1 (en) | 2019-06-05 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
USD926810S1 (en) | 2019-06-05 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
USD926782S1 (en) | 2019-06-06 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
USD926811S1 (en) | 2019-06-06 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
USD926200S1 (en) | 2019-06-06 | 2021-07-27 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
US11533328B2 (en) * | 2019-06-06 | 2022-12-20 | Paypal, Inc. | Systems and methods for analyzing vulnerabilities of networked systems |
US10726136B1 (en) | 2019-07-17 | 2020-07-28 | BitSight Technologies, Inc. | Systems and methods for generating security improvement plans for entities |
US11388072B2 (en) | 2019-08-05 | 2022-07-12 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
US10742530B1 (en) | 2019-08-05 | 2020-08-11 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
US11409697B2 (en) * | 2019-08-18 | 2022-08-09 | Capitis Solutions Inc. | Efficient configuration compliance verification of resources in a target environment of a computing system |
JP7311354B2 (ja) * | 2019-08-21 | 2023-07-19 | 株式会社日立製作所 | ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラム |
US11956265B2 (en) | 2019-08-23 | 2024-04-09 | BitSight Technologies, Inc. | Systems and methods for inferring entity relationships via network communications of users or user devices |
CN110505307B (zh) * | 2019-08-30 | 2022-04-26 | 公安部交通管理科学研究所 | 一种网间交通流数据的交换方法及系统 |
US10742677B1 (en) | 2019-09-04 | 2020-08-11 | Extrahop Networks, Inc. | Automatic determination of user roles and asset types based on network monitoring |
US10848382B1 (en) | 2019-09-26 | 2020-11-24 | BitSight Technologies, Inc. | Systems and methods for network asset discovery and association thereof with entities |
US11032244B2 (en) | 2019-09-30 | 2021-06-08 | BitSight Technologies, Inc. | Systems and methods for determining asset importance in security risk management |
CN110958225B (zh) * | 2019-11-08 | 2022-02-15 | 杭州安恒信息技术股份有限公司 | 基于流量识别网站指纹的方法 |
US10791140B1 (en) | 2020-01-29 | 2020-09-29 | BitSight Technologies, Inc. | Systems and methods for assessing cybersecurity state of entities based on computer network characterization |
US10893067B1 (en) | 2020-01-31 | 2021-01-12 | BitSight Technologies, Inc. | Systems and methods for rapidly generating security ratings |
US10764298B1 (en) | 2020-02-26 | 2020-09-01 | BitSight Technologies, Inc. | Systems and methods for improving a security profile of an entity based on peer security profiles |
KR102267101B1 (ko) * | 2020-04-02 | 2021-06-18 | 한충희 | 해외 사이버위협에 대응하기 위한 보안관제시스템 및 그 방법 |
US11516138B2 (en) | 2020-04-27 | 2022-11-29 | International Business Machines Corporation | Determining network flow direction |
CN111509863B (zh) * | 2020-05-26 | 2022-03-04 | 广东电网有限责任公司 | 一种移动变电站监控报警系统及方法 |
US11023585B1 (en) | 2020-05-27 | 2021-06-01 | BitSight Technologies, Inc. | Systems and methods for managing cybersecurity alerts |
US20220067153A1 (en) * | 2020-09-03 | 2022-03-03 | The Government Of The United States, As Represented By The Secretary Of The Army | Artificial Intelligence Embedded and Secured Augmented Reality |
US11463466B2 (en) | 2020-09-23 | 2022-10-04 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
US11310256B2 (en) | 2020-09-23 | 2022-04-19 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
US11546368B2 (en) * | 2020-09-28 | 2023-01-03 | T-Mobile Usa, Inc. | Network security system including a multi-dimensional domain name system to protect against cybersecurity threats |
US11496522B2 (en) | 2020-09-28 | 2022-11-08 | T-Mobile Usa, Inc. | Digital on-demand coupons for security service of communications system |
US11368493B2 (en) * | 2020-10-02 | 2022-06-21 | Johnson Controls Tyco IP Holdings LLP | System for and method of detecting communication security in building automation and control networks |
US11552872B2 (en) * | 2020-11-23 | 2023-01-10 | Verizon Patent And Licensing Inc. | Systems and methods for automated remote network performance monitoring |
US11122073B1 (en) | 2020-12-11 | 2021-09-14 | BitSight Technologies, Inc. | Systems and methods for cybersecurity risk mitigation and management |
US11637852B2 (en) * | 2021-01-04 | 2023-04-25 | Microsoft Technology Licensing, Llc | Internet-facing device identification |
US11792211B2 (en) | 2021-01-07 | 2023-10-17 | Bank Of America Corporation | System for detecting and remediating computing system breaches using computing network traffic monitoring |
US11349861B1 (en) | 2021-06-18 | 2022-05-31 | Extrahop Networks, Inc. | Identifying network entities based on beaconing activity |
US11783001B2 (en) | 2021-07-08 | 2023-10-10 | Bank Of America Corporation | System and method for splitting a video stream using breakpoints based on recognizing workflow patterns |
US11876775B2 (en) * | 2021-08-30 | 2024-01-16 | Arbor Networks, Inc. | System and method for monitoring communication traffic associated with dynamic internet services via DNS monitoring |
US11296967B1 (en) | 2021-09-23 | 2022-04-05 | Extrahop Networks, Inc. | Combining passive network analysis and active probing |
CN114422490A (zh) * | 2021-11-16 | 2022-04-29 | 云南电网有限责任公司信息中心 | 一种基于openresty的数控引流方法、系统 |
US11941115B2 (en) | 2021-11-29 | 2024-03-26 | Bank Of America Corporation | Automatic vulnerability detection based on clustering of applications with similar structures and data flows |
US11928221B2 (en) | 2021-11-29 | 2024-03-12 | Bank Of America Corporation | Source code clustering for automatically identifying false positives generated through static application security testing |
US20230224275A1 (en) * | 2022-01-12 | 2023-07-13 | Bank Of America Corporation | Preemptive threat detection for an information system |
US11762755B2 (en) * | 2022-01-28 | 2023-09-19 | Jpmorgan Chase Bank, N.A. | Systems and methods for non-human account tracking |
KR102636138B1 (ko) * | 2022-02-28 | 2024-03-12 | 주식회사 에이아이스페라 | 네트워크 트래픽 기반 db 서버 식별을 통한 보안 관제 방법, 장치 및 컴퓨터 프로그램 |
US11843606B2 (en) | 2022-03-30 | 2023-12-12 | Extrahop Networks, Inc. | Detecting abnormal data access based on data similarity |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007243338A (ja) | 2006-03-06 | 2007-09-20 | Kddi R & D Laboratories Inc | ログ分析装置、ログ分析プログラム、および記録媒体 |
US20130160119A1 (en) | 2011-12-19 | 2013-06-20 | Verizon Patent And Licensing Inc. | System security monitoring |
JP2016144153A (ja) | 2015-02-04 | 2016-08-08 | 日本電信電話株式会社 | サービス監視装置、および、サービス監視方法 |
Family Cites Families (44)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2337903B (en) * | 1998-05-28 | 2000-06-07 | 3Com Corp | Methods and apparatus for collecting storing processing and using network traffic data |
US8010469B2 (en) | 2000-09-25 | 2011-08-30 | Crossbeam Systems, Inc. | Systems and methods for processing data flows |
US20020072942A1 (en) | 2000-12-07 | 2002-06-13 | Kuykendall James B. | System and method for push-model fund transfers |
US7370356B1 (en) | 2002-01-23 | 2008-05-06 | Symantec Corporation | Distributed network monitoring system and method |
JP3794491B2 (ja) | 2002-08-20 | 2006-07-05 | 日本電気株式会社 | 攻撃防御システムおよび攻撃防御方法 |
US7356584B2 (en) * | 2003-03-03 | 2008-04-08 | Microsoft Corporation | Optimization of service provider load balancing |
US7979694B2 (en) * | 2003-03-03 | 2011-07-12 | Cisco Technology, Inc. | Using TCP to authenticate IP source addresses |
US8510300B2 (en) | 2004-07-02 | 2013-08-13 | Goldman, Sachs & Co. | Systems and methods for managing information associated with legal, compliance and regulatory risk |
US8032594B2 (en) | 2004-11-10 | 2011-10-04 | Digital Envoy, Inc. | Email anti-phishing inspector |
US8918883B1 (en) * | 2005-06-15 | 2014-12-23 | Tripwire, Inc. | Prioritizing network security vulnerabilities using accessibility |
EP1907940A4 (en) * | 2005-06-29 | 2012-02-08 | Univ Boston | METHOD AND DEVICE FOR TOTAL NETWORK ANALYSIS DIAGNOSIS AND METHOD FOR DETECTING AND CLASSIFYING NETWORK ANOMALIES USING TRANSPORT FEATURES |
US8516104B1 (en) * | 2005-12-22 | 2013-08-20 | At&T Intellectual Property Ii, L.P. | Method and apparatus for detecting anomalies in aggregated traffic volume data |
US9003292B2 (en) * | 2006-07-06 | 2015-04-07 | LiveAction, Inc. | System and method for network topology and flow visualization |
US7801130B2 (en) * | 2007-01-31 | 2010-09-21 | At&T Intellectual Property I, L.P. | Methods, systems and computer program products for integrating network traffic |
US8413238B1 (en) * | 2008-07-21 | 2013-04-02 | Zscaler, Inc. | Monitoring darknet access to identify malicious activity |
US8341748B2 (en) * | 2008-12-18 | 2012-12-25 | Caterpillar Inc. | Method and system to detect breaks in a border of a computer network |
US8180916B1 (en) * | 2009-07-17 | 2012-05-15 | Narus, Inc. | System and method for identifying network applications based on packet content signatures |
US8468606B2 (en) | 2009-12-08 | 2013-06-18 | Verizon Patent And Licensing Inc. | Security handling based on risk management |
US8549650B2 (en) * | 2010-05-06 | 2013-10-01 | Tenable Network Security, Inc. | System and method for three-dimensional visualization of vulnerability and asset data |
US8595843B1 (en) * | 2010-08-12 | 2013-11-26 | Amazon Technologies, Inc. | Techniques for identifying sources of unauthorized code |
WO2012023921A2 (en) * | 2010-08-19 | 2012-02-23 | Thomson Licensing | Personalization of information content by monitoring network traffic |
US8561187B1 (en) * | 2010-09-30 | 2013-10-15 | Webroot Inc. | System and method for prosecuting dangerous IP addresses on the internet |
US8874763B2 (en) * | 2010-11-05 | 2014-10-28 | At&T Intellectual Property I, L.P. | Methods, devices and computer program products for actionable alerting of malevolent network addresses based on generalized traffic anomaly analysis of IP address aggregates |
US9455872B2 (en) * | 2010-12-31 | 2016-09-27 | Open Invention Network, Llc | Method and apparatus of discovering and monitoring network devices |
US8762298B1 (en) | 2011-01-05 | 2014-06-24 | Narus, Inc. | Machine learning based botnet detection using real-time connectivity graph based traffic features |
US8934352B2 (en) * | 2011-08-30 | 2015-01-13 | At&T Intellectual Property I, L.P. | Hierarchical anomaly localization and prioritization |
US9392010B2 (en) | 2011-11-07 | 2016-07-12 | Netflow Logic Corporation | Streaming method and system for processing network metadata |
US8803884B2 (en) * | 2012-02-24 | 2014-08-12 | Florida Institute for Human and Machine Cognition | Event data visualization tool |
US9356942B1 (en) * | 2012-03-05 | 2016-05-31 | Neustar, Inc. | Method and system for detecting network compromise |
IL219361A (en) * | 2012-04-23 | 2017-09-28 | Verint Systems Ltd | Security systems and methods based on a combination of physical and cyber information |
US9043920B2 (en) | 2012-06-27 | 2015-05-26 | Tenable Network Security, Inc. | System and method for identifying exploitable weak points in a network |
US9088606B2 (en) * | 2012-07-05 | 2015-07-21 | Tenable Network Security, Inc. | System and method for strategic anti-malware monitoring |
US9258321B2 (en) * | 2012-08-23 | 2016-02-09 | Raytheon Foreground Security, Inc. | Automated internet threat detection and mitigation system and associated methods |
US9569232B1 (en) | 2013-02-19 | 2017-02-14 | Amazon Technologies, Inc. | Network traffic data in virtualized environments |
US9268967B2 (en) * | 2013-03-13 | 2016-02-23 | Lawrence Livermore National Security, Llc | Internet protocol network mapper |
WO2014138817A1 (en) * | 2013-03-15 | 2014-09-18 | Micropace Pty Limited | System and method for monitoring user activity on a plurality of networked computing devices |
US9787546B2 (en) * | 2013-08-07 | 2017-10-10 | Harris Corporation | Network management system generating virtual network map and related methods |
US20150121456A1 (en) * | 2013-10-25 | 2015-04-30 | International Business Machines Corporation | Exploiting trust level lifecycle events for master data to publish security events updating identity management |
US9769204B2 (en) * | 2014-05-07 | 2017-09-19 | Attivo Networks Inc. | Distributed system for Bot detection |
US10212176B2 (en) * | 2014-06-23 | 2019-02-19 | Hewlett Packard Enterprise Development Lp | Entity group behavior profiling |
US9202249B1 (en) * | 2014-07-03 | 2015-12-01 | Palantir Technologies Inc. | Data item clustering and analysis |
US10567396B2 (en) * | 2015-12-15 | 2020-02-18 | Webroot Inc. | Real-time scanning of IP addresses |
US10999307B2 (en) | 2016-05-19 | 2021-05-04 | Infinite Group, Inc. | Network assessment systems and methods thereof |
US10965707B2 (en) | 2017-05-18 | 2021-03-30 | Expanse, Inc. | Correlation-driven threat assessment and remediation |
-
2018
- 2018-05-18 US US15/984,030 patent/US10965707B2/en active Active
- 2018-05-18 WO PCT/US2018/033504 patent/WO2018213778A1/en unknown
- 2018-05-18 AU AU2018269049A patent/AU2018269049A1/en not_active Abandoned
- 2018-05-18 KR KR1020197037031A patent/KR20200007931A/ko unknown
- 2018-05-18 JP JP2019563833A patent/JP7250703B2/ja active Active
- 2018-05-18 CA CA3059788A patent/CA3059788A1/en not_active Abandoned
- 2018-05-18 EP EP18801732.1A patent/EP3625681A1/en not_active Withdrawn
- 2018-10-22 US US16/166,906 patent/US20190058723A1/en not_active Abandoned
- 2018-10-22 US US16/166,972 patent/US11374957B2/en active Active
- 2018-10-22 US US16/167,029 patent/US20190058725A1/en not_active Abandoned
-
2021
- 2021-03-29 US US17/216,623 patent/US20210288993A1/en active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007243338A (ja) | 2006-03-06 | 2007-09-20 | Kddi R & D Laboratories Inc | ログ分析装置、ログ分析プログラム、および記録媒体 |
US20130160119A1 (en) | 2011-12-19 | 2013-06-20 | Verizon Patent And Licensing Inc. | System security monitoring |
JP2016144153A (ja) | 2015-02-04 | 2016-08-08 | 日本電信電話株式会社 | サービス監視装置、および、サービス監視方法 |
Also Published As
Publication number | Publication date |
---|---|
WO2018213778A1 (en) | 2018-11-22 |
JP2020521383A (ja) | 2020-07-16 |
US20190058725A1 (en) | 2019-02-21 |
EP3625681A1 (en) | 2020-03-25 |
CA3059788A1 (en) | 2018-11-22 |
US11374957B2 (en) | 2022-06-28 |
US10965707B2 (en) | 2021-03-30 |
AU2018269049A1 (en) | 2019-11-21 |
US20180337941A1 (en) | 2018-11-22 |
US20190058723A1 (en) | 2019-02-21 |
US20190058724A1 (en) | 2019-02-21 |
KR20200007931A (ko) | 2020-01-22 |
US20210288993A1 (en) | 2021-09-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7250703B2 (ja) | 相関関係駆動型脅威の評価と修復 | |
US9118702B2 (en) | System and method for generating and refining cyber threat intelligence data | |
Caswell et al. | Snort intrusion detection and prevention toolkit | |
Hunt et al. | Network forensics: an analysis of techniques, tools, and trends | |
Ling et al. | TorWard: Discovery of malicious traffic over Tor | |
US20060026679A1 (en) | System and method of characterizing and managing electronic traffic | |
Santos | End-to-End Network Security | |
CA2747584C (en) | System and method for generating and refining cyber threat intelligence data | |
Lindström | Next generation security operations center | |
Singh | Cisco Certified CyberOps Associate 200-201 Certification Guide: Learn blue teaming strategies and incident response techniques to mitigate cybersecurity incidents | |
Barrett et al. | CompTIA Security+ SY0-401 Exam Cram | |
Hajdarevic | Cyber Security Audit in Business Environments | |
McMillan | CompTIA Cybersecurity Analyst (CySA+) Cert Guide | |
Ramsbrock et al. | The Botnet Problem | |
Bou-Harb et al. | On inferring and characterizing large-scale probing and DDoS campaigns | |
Adiwal et al. | Intrusion Detection and Prevention in OpenStack: A Case Study on Enhancing Security and Threat Detection | |
Hunter | A framework for Malicious Host Fingerprinting Using Distributed Network Sensors | |
Samalekas | Network Forensics: Following the Digital Trail in a Virtual Environment | |
Akinrolabu | Towards optimising the detection of sophisticated attacks in Security Operation Centres (SOCs) | |
Limwiriyakul | A method for securing online community service: A study of selected Western Australian councils | |
Ibitola et al. | Analysis of Network-Based Intrusion Detection and Prevention System in an Enterprise Network Using Snort Freeware | |
Baskerville | Intrusion Prevention Systems: How do they prevent intrusion? | |
Khan et al. | A survey on network attacks and defence-in-depth mechanism by intrusion detection system | |
West | Threats That Computer Botnets Pose to International Businesses | |
Luan | Intrusion detection and management over the world wide web |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20210517 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210518 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210518 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220531 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220531 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220829 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20221018 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20221108 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20221108 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230116 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230221 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230322 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7250703 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |