JP7302019B2 - システムレベルセキュリティのための階層的挙動行動のモデル化および検出システムおよび方法 - Google Patents

システムレベルセキュリティのための階層的挙動行動のモデル化および検出システムおよび方法 Download PDF

Info

Publication number
JP7302019B2
JP7302019B2 JP2021566057A JP2021566057A JP7302019B2 JP 7302019 B2 JP7302019 B2 JP 7302019B2 JP 2021566057 A JP2021566057 A JP 2021566057A JP 2021566057 A JP2021566057 A JP 2021566057A JP 7302019 B2 JP7302019 B2 JP 7302019B2
Authority
JP
Japan
Prior art keywords
data
tactics
identified
behaviors
behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021566057A
Other languages
English (en)
Other versions
JP2022533552A (ja
Inventor
エム. ウルバンスキ,ウィリアム
エム. ヴィダス,ティモシー
ソーダー,カイル
ラムジー,ジョン
ダンフォード,ロバート,ウィリアム
ハックワース,アーロン
Original Assignee
セキュアワークス コーポレーション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by セキュアワークス コーポレーション filed Critical セキュアワークス コーポレーション
Publication of JP2022533552A publication Critical patent/JP2022533552A/ja
Application granted granted Critical
Publication of JP7302019B2 publication Critical patent/JP7302019B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N7/00Computing arrangements based on specific mathematical models
    • G06N7/01Probabilistic graphical models, e.g. probabilistic networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Algebra (AREA)
  • Probability & Statistics with Applications (AREA)
  • Mathematical Analysis (AREA)
  • Computational Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

<参照による組み込み>
2019年5月7日に出願された米国特許出願第16/405,788号は、その全体が記載されるように参照により本明細書に組み込まれる。
情報処理、コンピューティング、および/またはネットワーク化されたシステムでは、敵対(例えば、「悪意のある」または「脅威のある」)者は、マネージドセキュリティサービスプロバイダ(「MSSP」)やセキュリティ研究者などのシステム防御者と常に対立している。敵対者は、防衛者による検出または反応を回避するために、様々な抽象化レベルにわたって技術的および運用上の変更を定期的に組み込む。すなわち、敵対者は、しばしば、ツールまたは技法を使用すること、および/または、容易に悪意があるように見えない変更を実施すること、を試みることがある。これらの変更は、一般に、与えられた観測可能なイベント後にかなりの時間が経過した後にのみ犠牲者またはセキュリティ防御者に明らかになり、セキュリティ防御者は、事件が発生し、例えばデジタル科学捜査を含む長い事故対応手順が実行されるまで、敵対者によって採用された新しい技術/戦術に気付かないことがある。また、防止技術は、一般に、悪意のあるソフトウェア(または「マルウェア」)またはマルウェアの特定のサブ構成要素の正確なインスタンスを古典的にスキャンするなど、多くのセキュリティ指向の検出方法において、より低い抽象化レベルで動作する。したがって、敵対者がマルウェアをわずかに変更したに過ぎない場合であっても、そのような厳しい検出方法を回避するのに十分であることがある。さらに、敵対者に恩恵を与える変化は、典型的に、セキュリティ防衛者によってなされた補償の変更を上回り、敵対者によって引き起こされる深刻な危害を防ぐ防衛者の困難性を増大させる。セキュリティ指向の技術がこれらのより低い抽象化レベルで動作するとき、関連する検出は、典型的には、狭く調査され、時には他の潜在的に関連する観察または情報を不明瞭にする。
したがって、より高い抽象化レベルで動作し、敵対者によって実施されるより低レベルの変更に対してより強靭であり、関連情報からコンテキストを組み込むことができ、さらに敵対者によって実施される以前には見えなかった/検出されなかった変更を予測することができる、より堅牢な検出システムおよび方法が必要とされていることが分かる。本開示は、当技術分野における前述および他の関連する、並びに、関連しない問題/出来事を対象とする。
簡単に説明すると、様々な態様によれば、本開示は、様々なデータソースから提供され、開発され、または取得されたデータまたはデータセットに影響するシステムおよび方法を対象とし、このデータまたはデータセットを、行動の抽象表現にモデル化または分析し、攻撃者によって直接的または間接的になされた行動を検出または分類する。これらの表現は、一般に、本質的に階層的であり、システムの外部の構造化されたデータおよび構造化されていないデータから始まり、より低次の「挙動」をモデル化し、より高次の挙動(戦術と呼ばれる)の配列を検出し、最終的には、挙動または戦術のサブセットを攻撃者に属するものとして分類する。
一実施形態では、本開示は、1つまたは複数のセキュリティ脅威または悪意のある行為を検出するシステムを提供することができる。このシステムは、1つまたは複数のプロセッサと、1つまたは複数のプロセッサによって実行されたときに挙動または戦術を攻撃者に属するものとして分類するように構成された1つまたは複数の構成要素を実行する複数の命令を格納した少なくとも1つのメモリと、を備えることができる。前記システムは、1つまたは複数のデータ生成部からデータまたはデータセットを受信し、前記データまたはデータセットを挙動プロセッサに提供するように構成された1つまたは複数の構成要素を含むことができる。前記データまたはデータセットには、システムログ、ユーザメタデータ、インフラストラクチャデータなど、またはその他の適切なセキュリティ関連データを含めることができる。
前記挙動プロセッサは、その中に含まれる1つまたは複数のデータ、特徴、または特性に基づいて、前記データまたはデータセットから1つまたは複数の挙動を抽出および/または特定するように構成することができる。前記挙動プロセッサは、さらに、前記1つまたは複数の抽出または特定された挙動を戦術プロセッサに提供することができる。いくつかのバリエーションにおいて、前記挙動プロセッサは、さらに、前記特定された挙動に基づいて、1つまたは複数の追加または複合挙動を抽出および/または特定するように構成することができる。
一実施形態では、前記挙動プロセッサは、挙動データ記憶装置に記憶された既知の挙動に対して、前記データまたはデータセットに含まれる前記1つまたは複数のデータ、特徴、または特性をマッピングするように(例えば、ストリームマッピング、正規表現タイプマッピングなどを使用して)構成することもできる。前記1つまたは複数の特定または抽出された戦略は、前記挙動プロセッサのさらなる開発のために、前記挙動プロセッサにさらに提供することができる。
前記戦術プロセッサは、前記1つまたは複数の抽出または特定された挙動に基づいて、1つまたは複数の戦術を抽出または特定するように構成することができ、これらの1つまたは複数の特定された戦術を戦術分類器に送信する。いくつかのバリエーションにおいて、前記戦術プロセッサは、また、前記1つまたは複数の抽出または特定された挙動と前記1つまたは複数の抽出または特定された戦術とに基づいて、1つまたは複数の追加または複合戦術を抽出または特定するように構成することができ、前記挙動プロセッサは、抽出または特定された戦術に基づいて、1つまたは複数の挙動を抽出または特定するようにさらに構成することができる。
一実施形態では、前記戦術プロセッサは、戦術データ記憶装置に記憶された既知の戦術に対して、前記1つまたは複数の特定または抽出された挙動をマッピング(例えば、ストリームマッピング、正規表現タイプマッピングなどを使用して)するように構成される。
前記戦術プロセッサは、前記特定または抽出された戦術を戦術分類器に送信し、前記戦術分類器は、前記抽出または特定された戦術を受信し、前記1つまたは複数の特定または抽出された戦術が1つまたは複数のセキュリティ脅威または悪意のある行為を示すかどうかを判定する。前記戦術分類器は、本開示の範囲から逸脱することなく、統計モデル、機械学習モデル、または任意の適切な/信頼できる教師付きまたは非教師付き学習アルゴリズムやモデルなどを含むことができる。
いくつかの変形例では、前記システムは、前記1つまたは複数の特定された戦術が1つまたは複数のセキュリティ脅威または悪意のある行為を示すと判定された場合に、セキュリティ脅威または悪意のある行為をユーザに通知するアラートまたはアラームを生成することができる。
一実施形態では、本開示は、また、1つまたは複数のセキュリティ脅威または悪意のある行為を検出する方法を含むことができる。前記方法は、1つまたは複数のデータ生成部からデータまたはデータセットを受信し、前記データまたはデータセットを挙動プロセッサに提供することを含むことができる。前記方法は、また、前記挙動プロセッサによって、前記データまたはデータセットに含まれる1つまたは複数のデータ、特徴、または特性に基づいて、前記データまたはデータセットから1つまたは複数の挙動を抽出または特定すること、および、前記1つまたは複数の抽出または特定された挙動を戦術プロセッサに提供すること、を含むことができる。その後、前記方法は、前記戦術プロセッサによって、前記1つまたは複数の抽出または特定された挙動に基づいて、1つまたは複数の戦術を抽出または特定すること、および、前記1つまたは複数の特定された戦術を、例えば、統計学習モデルまたは機械学習モデルを含む戦術分類器に送信すること、を含むことができる。さらに、前記方法は、前記戦術分類器によって、前記1つまたは複数の特定された戦術が前記1つまたは複数のセキュリティ脅威または悪意のある行為を示すかどうかを判定することを含むことができ、いくつかのバリエーションにおいて、前記方法は、前記特定された戦術がセキュリティ脅威または悪意のある行為を示す場合に、アラート、アラームなどを生成すること、を含むことができる。
一態様において、セキュリティ脅威または悪意のある行為を検出するシステムは、1つまたは複数のプロセッサと、1つまたは複数のプロセッサによって実行されたときに1つまたは複数の構成要素を実行する複数の命令をそこに格納したメモリと、を備えることができ、前記1つまたは複数の構成要素は、1つまたは複数のデータ生成部からデータを受信し、前記データを挙動プロセッサに送信し、前記挙動プロセッサを使用して、そこに含まれるデータ、特徴、または特定に基づいて、前記データから1つまたは複数の挙動を特定し、前記1つまたは複数の特定された挙動を戦術プロセッサに提供し、前記戦術プロセッサを使用して、前記1または複数の特定された挙動に基づいて、1つまたは複数の戦術を特定し、前記1つまたは複数の特定された戦術を戦術分類器に送信し、前記戦術分類器を使用して、前記1つまたは複数の特定された戦術が1つまたは複数のセキュリティ脅威または悪意のある行為を示しているかどうかを判定する。
前記1つまたは複数の構成要素は、前記1つまたは複数の特定された戦術が1つまたは複数のセキュリティ脅威または悪意のある行為を示すと判定された場合に、セキュリティ脅威または悪意のある行為をユーザに通知するアラートまたはアラームを生成するようにさらに構成することができる。
前記データは、システムログ、ユーザメタデータ、インフラストラクチャデータ、またはそれらの組み合わせを含むことができる。
前記1つまたは複数の挙動を特定するために、前記挙動プロセッサは、前記データに含まれる前記1つまたは複数のデータ、特徴、または特性を、挙動データ記憶装置に記憶された既知の挙動に対して、マッピングするように構成することができる。
前記1つまたは複数の戦術を特定するために、前記戦術プロセッサは、前記1つまたは複数の特定された挙動を、戦術データ記憶装置に記憶された既知の戦術に対して、マッピングするように構成することができる。
前記1つまたは複数の構成要素は、前記挙動プロセッサを使用して、前記1つまたは複数のデータ、特徴、または特性、1つまたは複数の特定された挙動、若しくは、それらの組み合わせに基づいて、1つまたは複数の追加の挙動を特定するようにさらに構成することができる。
前記1つまたは複数の構成要素は、さらに、前記挙動プロセッサを使用して、前記1つまたは複数の特定された戦術に基づいて、1つまたは複数の追加の挙動を抽出または特定するように構成することができる。
前記1つまたは複数の構成要素は、さらに、前記戦術プロセッサを使用して、前記1つまたは複数の特定された挙動、前記1つまたは複数の特定された戦術、または、それらの組み合わせに基づいて、1つまたは複数の追加の戦術を特定するように構成することができる。
前記戦術分類器は、統計モデルまたは機械学習モデルを含むことができる。
一態様では、1つまたは複数のセキュリティ脅威または悪意のある行為を検出する方法は、1つまたは複数のデータ生成部からデータを受信すること、挙動プロセッサにデータを提供すること、前記挙動プロセッサによって、そこに含まれるデータ、特徴、または特性に基づいて、前記データから1つまたは複数の挙動を特定すること、前記1つまたは複数の特定された挙動を戦術プロセッサに提供すること、前記戦術プロセッサによって、前記1つまたは複数の特定された挙動に基づいて、1つまたは複数の戦術を特定すること、前記1つまたは複数の特定された戦術を戦術分類器に送信すること、および、前記戦術分類器によって、前記1つまたは複数の特定された戦術が前記1つまたは複数のセキュリティ脅威または悪意のある行為を示すかどうかを判定すること、を含むことができる。
前記方法は、また、前記1つまたは複数の特定された戦術が1つまたは複数のセキュリティ脅威または悪意のある行為を示すと判定された場合に、セキュリティ脅威または悪意のある行為をユーザに通知するアラートまたはアラームを生成および提供すること、を含むことができる。
前記1つまたは複数の挙動を特定することは、前記挙動プロセッサによって、前記データに含まれる前記1つまたは複数のデータ、特徴、または特性を、挙動データ記憶装置に記憶された既知の挙動に対して、マッピングすること、を含むことができる。
前記1つまたは複数の戦術を特定することは、前記戦術プロセッサによって、1つまたは複数の特定された挙動を、戦術データ記憶装置に記憶された既知の戦術に対して、マッピングすること、を含むことができる。
前記方法は、また、前記挙動プロセッサによって、前記1つまたは複数のデータ、特徴、または特性、1つまたは複数の特定された挙動、若しくは、それらの組み合わせに基づいて、1つまたは複数の追加の挙動を特定すること、を含むことができる。
前記方法は、また、前記挙動プロセッサによって、前記1つまたは複数の特定された戦術に基づいて、1つまたは複数の追加の挙動を特定すること、を含むことができる。
前記方法は、また、前記戦術プロセッサによって、前記1つまたは複数の特定された挙動、前記1つまたは複数の特定された戦術、またはそれらの組み合わせに基づいて、1つまたは複数の追加の戦術を特定すること、を含むことができる。
前記戦術分類器は、統計モデルまたは機械学習モデルを含むことができる。
前記データは、システムログ、ユーザメタデータ、インフラストラクチャデータ、またはそれらの組み合わせを含むことができる。
本開示の様々な目的、特徴、および利点は、添付の図面と併せて以下の詳細な説明を再検討することにより、当業者に明らかになる。
説明を簡単かつ明確にするために、図面に示された要素は、必ずしも一定の縮尺で描かれていないことが理解される。例えば、いくつかの要素の寸法は、他の要素に対して誇張されている可能性がある。本開示の教示を組み込んだ実施形態は、以下の図面に関して示され、説明される。
本開示の原理によるシステムレベルセキュリティのための階層的挙動行動のモデル化および/または検出システムを示す。
本開示の一例による挙動マッピングのためのプロセスを示す。 本開示の一例による挙動マッピングのためのプロセスを示す。
本開示による例示的な戦術のフローダイアグラムを示す。
本開示の例による戦術特定の例を示す。 本開示の例による戦術特定の例を示す。
本開示の原理による情報処理システムのネットワークシステムを示す。
本開示の一例による、セキュリティ脅威または悪意のある行動の階層的モデル化または検出プロセスまたは方法を示す。 本開示の一例による、セキュリティ脅威または悪意のある行動の階層的モデル化または検出プロセスまたは方法を示す。
異なる図面における同じ参照符号の使用は、類似または同一のアイテムを示す。
図面と組み合わせた以下の説明は、本明細書に開示される教示の理解を助けるために提供される。この説明は、本教示の特定の実装および実施形態に焦点を当てており、本教示の説明を助けるために提供される。この焦点は、教示の範囲または適用可能性に対する限定として解釈されるべきではない。
図1-6Bに示すように、本開示は、システムレベルセキュリティのための階層的挙動行動モデル化および検出システムおよび方法を含む。例えば、外部ソースからのデータまたはデータセット(例えば、オペレーティングシステムログ、ネットワークデバイスログ、ネットフローレコード、エンドポイントセキュリティレコード、インフラストラクチャ監査ログなど)は、受信/取得され、解釈され、分析され、モデル化されるなどの可能性があり、データまたはデータセットが、敵対/脅威者によって取られた行為によって生成された可能性が高いデータソースに関する、またはデータソースからの1つまたは複数のデータ配列を含むかどうかを判定する。
図1は、セキュリティ脅威または悪意のある行為のモデル化または検出システム10の概略図を示す。図1に示すように、データ生成部12は、データまたはデータセットを作成し、そのようなデータまたはデータセットを1つまたは複数の入力14としてシステム10に提供する。図1は、データが複数のデータ生成部12によって様々な形態で提供されても良いことを示し、データは、システムログ、ユーザメタデータ、インフラストラクチャデータなど、または、外部または内部データ生成部からの他の適切なデータまたは情報を含むが、これらに限定されない。データ生成部12は、共通の実装を共有しても良いが、複数の主体によって動作される可能性がある。また、単一の主体は、異なる実装で複数のデータ生成部を動作させても良い。
本明細書に示され、説明されるすべてのデータは、それぞれのソースごとに、最小の意味のあるデータ、特徴、または特性にセグメント化される可能性があることが、さらに、一般に理解される。通常、データ、特徴、または特性は、ソースデータ生成部12によって生成または観測された単一の離散イベントの発生を構成する粒度の高い情報量を含むことができる。例えば、エンドポイントセキュリティテクノロジは、ホスト上で実行されるすべてのプロセスのデータを発行しても良く、ファイアウォールテクノロジは、ブロックされた/ブロックされていない通信のデータを発行しても良く、ネットワークテクノロジは、ネットワーク「フロー」等のデータを発行しても良い。
一実施形態では、プリプロセッサ(図2Aに示すプリプロセッサ50など)は、そのようなデータをより一般的なクラスまたはタイプ(例えば、エンドポイント、ファイアウォール、IDSなど)のデータに正規化するために使用されても良い。データのタイプは、一般に、ソース固有であっても良く、様々なデータプロバイダ12が、複数のタイプのデータを発行しても良い。本開示の実施形態は、本開示の範囲から逸脱することなく、様々なグループ分け、符号化、フォーマット、または表現に作用しても良い。
さらに図1に示すように、システム10は、入力データ12を消費し、データ配列を処理し、挙動プロセッサ16と通信する挙動データ記憶装置18に記録として記憶された既知の挙動などの既知の挙動に一致するデータ、特徴、特性、またはそれらの配列を特定、抽出、または検出する1つまたは複数の挙動プロセッサ16を含む。挙動は、単一のデータ、若しくは、時系列または手続き順の挙動構成要素の順序集合から構成されても良い。挙動プロセッサ16は、データまたはデータセット12の1つまたは複数のデータ、特徴、または特性、若しくは配列を、挙動データ記憶装置18に記録として記憶された既知の挙動(または、そのデータ、特徴、または特性)に対して、マッピングまたはマッチングするように構成される可能性がある。
いくつかのバリエーションにおいて、挙動プロセッサ16は、ストリームマッチング、正規表現型マッチングなどを採用することができるが、挙動データ記憶装置18内の記録は、本開示の範囲を逸脱することなく、任意の適切なマッピングまたはオントロジーを用いて、別のサブシステム、プロセスまたは分析を用いて、および/またはデータプロバイダなどに関連する環境または類似のメタデータのコンテキストの理解を介して、挙動を特定、抽出、または検出するために使用されても良い。
本開示の実施形態によれば、挙動データ記憶装置18内の記録は、オペレーティングシステムに対する特定のまたは個別の変更を構成する単一の行動を表しても良い。挙動の特定は、受信された1つまたは複数のデータセット内のデータ、特徴、または特性に関する特定の基準に依存しても良い。一例では、特定のマイクロソフトWindows(登録商標)レジストリキーの作成を示す外部オペレーティングシステムまたはエンドポイントセキュリティログからのデータが、既知のプロセスの挙動が情報処理システムまたは装置上で実行されたことを示すことができる。
別の例では、既知の敵対的インフラストラクチャへのアウトバウンドネットワーク接続を開始するコンピュータを特定する外部ネットワークデバイスログから受信されたネットフローデータは、データ漏洩または指揮統制型の挙動を示すことができる。さらに別の例では、例えば、1つまたは複数のログソースからの兆候であって、ユーザが特定のウェブページ、電子メールアカウントなどにログインまたはアクセスしたことを示す兆候は、挙動を示す可能性がある。さらに、挙動は、異なるシステムユーティリティの実行、様々なシステムツールの実行、様々なネットワークデバイスのスキャンなど、単一の挙動としてフラグを立てられる様々な異なるタイプの特定の行動を表す汎用挙動を含むことができる。
図1は、さらに、システム10が、特定された挙動22を受信して、それに基づいて戦術データ記憶装置24に記憶された既知の戦術の配列を特定、抽出、または検出する戦術プロセッサ20も含む、ことを示す。戦術プロセッサ20は、特定された挙動に基づいて、例えば、特定された挙動を、戦術データ記憶装置24に記録として記憶された既知の戦術に対して、マッピングまたはマッチングすることによって、1つまたは複数の既知の戦術を特定、抽出、または検出するように構成される可能性がある。いくつかの変形例では、戦術プロセッサ20は、ストリームマッチングまたは正規表現タイプマッチングを採用または使用することができるが、本開示の範囲から逸脱することなく、戦術データ記憶装置24内の記録から既知の戦術を特定し、抽出し、または検出するための他の適切/信頼できる照合またはマッピング方法または他のオントロジーが使用または採用される可能性がある。
挙動データ記憶装置18および戦術データ記憶装置24内の記録または情報は、一般に、それぞれ既知の挙動および既知の戦術の機械可読表現を含む。挙動データ記憶装置18および戦術データ記憶装置24は、データベース(例えば、DBMS、RDMS、RDBMSなどのリレーショナルデータベース)、インデックス、ファイル(例えば、スプレッドシート、txtファイルなど)または他の適切なデータ記憶装置など、本開示の範囲から逸脱することなく、任意の適切なデータ記憶装置を含むことができる。さらに、挙動および戦術は、必ずしも任意の特定の個人、グループ、および/または技術に本質的に固有のものではない(例えば、多くの戦術が2人以上の敵対者によって採用されてもよい)と理解されるが、挙動および戦術は、特定のツールおよび/または手続きを繰り返し採用し得る敵対者などの特定の敵対者の特定の行為またはトレードクラフトを示しても良い。
本開示の実施形態によれば、戦術データ記憶装置24内の記録は、時系列的に、または親子、ネットワークポートソースおよび宛先マッチなどの何らかの他の意味関係、または他の適切な関係に従って順序付けられた既知の挙動の順序付けられたセットである戦術の表現である。したがって、戦術プロセッサ20は、既知の悪意あるまたは悪い挙動のための入力ソースとして戦術データ記憶装置24を使用して、比較的長い期間にわたって既知の挙動を追跡し、既知の戦略を特定し、抽出し、検出することができ、戦術データ記憶装置24も、戦術プロセッサによって特定される新しい戦術または戦術のバリエーションで補足される可能性がある。
例えば、1つの既知の悪意ある戦術は「ビジネスメール詐欺」と呼ばれる技法を含み、敵対者がユーザのビジネスメールアカウント情報を盗むか、または他の方法でユーザのビジネスメールアカウントにアクセスし、ユーザに送られた特定のメールを得るために、電子メール、例えば、特定の件名行に一致する電子メールを、外部の電子メールアドレスに転送する転送ルールを作成する。したがって、このような戦術の特定または抽出のために、戦術プロセッサ20は、電子メールアカウントへのログイン、転送ルールの作成、および外部電子メールアドレスへの電子メールの転送/送信(例えば、時間の経過とともに発生する)などの一連の既知の挙動を追跡し、マッピングまたはマッチングすることができ、戦術の終了条件が満たされたとき、以下に論じるように、戦術分類器30に転送することができる戦術として、これらの一連の挙動を抽出および/または特定することができる。
図1は、特定された戦術26が、1つまたは複数の複合戦術、例えば、2つ以上の個別の戦術から構成される戦術、を特定、抽出、または検出するために、戦術プロセッサ22のための1つまたは複数の入力28になっても良いことをさらに示す。例えば、図1に示すように、1つまたは複数の戦術を特定すると、特定された戦術を戦術プロセッサ20に送信することができ、1つまたは複数の特定された戦術26、または1つまたは複数の特定された戦術26および1つまたは複数の特定された挙動22の組み合わせに基づいて、戦術プロセッサ20は、1つまたは複数の複合戦術を抽出、特定、または検出することができる(例えば、戦術データ記憶装置24内の記録のマッピングまたはマッチングを使用)。
さらに、いくつかの変形例では、特定された挙動22または特定された戦術26の各々が、2つ以上の挙動から構成される挙動、または、1つまたは複数の挙動および1つまたは複数の戦略から構成される挙動など、1つまたは複数の追加または複合挙動の訓練および特定または抽出を支援するために、挙動プロセッサ16への入力32および33になっても良い。例えば、図1に示すように、挙動プロセッサ16による挙動22の抽出、特定、または検出時に、特定された挙動22は、例えば、(例えば、挙動データ記憶装置18内の記録のマッピングまたはマッチングによって)1つまたは複数の挙動を含む1つまたは複数の複合挙動の抽出、特定、または検出のために挙動プロセッサ16に送信される可能性がある。さらに、戦術26の抽出、特定、または検出時に、特定された戦術は、1つまたは複数の戦術を含む追加の挙動の特定、抽出、または検出のために戦術プロセッサに送信される可能性がある(例えば、マッピングまたはマッチングは、抽出/特定された戦術、特定された挙動および/またはデータまたはデータセットのデータ、特徴、または特性を挙動データ記憶装置18と比較するために、使用される可能性がある)。
本開示の実施形態によれば、挙動は、(i)単一のデータ、(ii)2つ以上のデータ、(iii)挙動および1つまたは複数のデータ、(iv)2つ以上の挙動、(v)1つまたは複数の戦術および1つまたは複数のデータ、(vi)1つまたは複数の戦術および1つまたは複数の挙動、または(vi)1つまたは複数の戦術、1つまたは複数の挙動、および1つまたは複数のデータ、を含むことができる。また、戦術は、(i)1つの挙動、(ii)2つ以上の挙動、または(iii)1つまたは複数の戦術および1つまたは複数の挙動、を含むことができる。
また、図1に示されるように、システム10は、特定された戦術26を1つまたは複数の入力として受信する戦術分類器30を含む(例えば、1つまたは複数の戦術および/または複合戦術の特定時に、戦術プロセッサ20は、これらを戦術分類器30に送信することができる)。戦術分類器30は、各特定された戦術26およびその関連する特性を含む特定のデータ配列に従って、これらの特定された戦術26を処理または分析することができる。
いくつかの変形例では、データは、データプロバイダ12、挙動データ記憶装置18、および戦術データ記憶装置24によって提供されるメタデータに基づいて、重大度または信頼度に従ってランク付けされても良い。さらに、戦術分類器30は、統計モデル化、機械学習などの複数の分類および閾値ベースの技術を採用しても良く、データ生成部からのデータ、特徴、または特性、特定された挙動、および/または特定された戦術を含むデータに基づいて悪意のある戦術を分類する。
一実施形態では、戦術分類器30は、異常検出機械学習アルゴリズムを採用することができるが、本開示の範囲から逸脱することなく、他の適切なアルゴリズム(例えば、機械学習、統計学など)が使用される可能性がある。戦術分類器30からの分類または出力は、悪意のある戦術を経時的に分類する際の戦術分類器30の精度または有効性を改善するのを助けるために、戦術分類器30を連続的に更新または訓練するために使用される可能性がある。
一実施形態では、システム10から出力された情報または戦術の分類34は、特定のクラス(すなわち、敵対者)に属する戦術の特定に関して、システムオペレータ、ユーザなどに警告するように設計された別個のシステムまたはプロセッサ36に送信され、それによって消費される可能性がある。例えば、戦術が敵対者34によって使用された戦術として分類される場合、システム/プロセッサ36は、アラート、アラームなどを生成して、システム防御者またはユーザに、悪意の可能性のある行動を通知することができる。
単純化および明確化のために、図1に関して提供された説明は、データが外部ソースから連続的に提供される「ストリーミング」データモデルの仮定の下にあり、処理および出力は、システム10によって永続的に実行されることが理解される。しかしながら、本開示の範囲から逸脱することなく、等価な機能は、「バッチ」方式で達成することが可能である。
図2Aおよび図2Bは、本開示の原理に従って、例えば、挙動プロセッサ16を使用する挙動処理の概略図を提供し、挙動処理は経時的に示され、例えば、図2Aの左側はより早い時刻を示す。図2Aに示すように、外部データ生成部12は、システム10によって受信されるか、またはシステム10に進められるデータまたはデータセットを出力し、このデータまたはデータセットは、システム10での使用のために、データまたはデータセットをフォーマットするために前処理される前処理装置または一連の前処理装置50に送信または進めることが可能である。プリプロセッサ50は、挙動プロセッサ16と通信する別個の構成要素であっても良いが、プリプロセッサ50は、本開示の範囲から逸脱することなく、挙動プロセッサ16の一部として組み込んでも良い。図2Aは、さらに、挙動プロセッサ16、戦術プロセッサ20などのシステム10内部のデータソース51も、挙動処理のためのデータを生成する、ことを示す。しかし、この内部データは、前処理を必要としない場合がある。
図2Aに示すように、データまたはデータセットは、一般に、挙動プロセッサ16によって順次処理される特定のデータ、特徴、または特性52を含む。例えば、外部データ生成部Bからのデータ52を含むデータは、EDb1、EDb2、EDb3~EDbNの順序で処理され、内部のデータ生成部Aからのデータ52を含むデータは、IDa1、IDa2、IDa3~IdaNの順序で処理される。
その後、図2Bに示すように、挙動プロセッサ16は、挙動データ記憶装置18を使用して、挙動22(B1、B2、B3~BNなど)を特定または抽出する。例えば、システム10が外部データEDm1およびEDm2を観測し、その組合せが挙動データ記憶装置18に存在すると、挙動B1が特定される。さらに、挙動B2は単一のデータEDb3から特定される可能性があり、挙動B3は外部データプロバイダAから発信されるデータ52、すなわちEDa3、および異なる外部データプロバイダBから発信されるデータ52、すなわちEDb4から特定される可能性がある、ことが分かる。
図2Bは、さらに、いくつかのタイプの複合挙動を示す。例えば、図2Bに示すように、挙動B4は、異なる外部のプロバイダからの2つのデータ52、すなわちEDm2およびEDm5だけでなく、以前の挙動B1から構成される。さらに、挙動B5は、図2Bに概略的に示されるように、内部のデータプロバイダAからのデータ52、すなわちIDa1と、外部のプロバイダBからのデータ52、すなわちEDb5と、から構成される。特定された挙動22は、その後、図1および図2Bに示されるように、戦術プロセッサ20によって処理される可能性がある。
挙動の構成要素データ、特徴、または特性52は、一般に、各挙動の作成前に観察される(例えば、EDm1およびEDm2は、B1の作成前に生じる)。そうでなければ、図2Bのデータの垂直整列は、複数のソースからのデータが他のソースからのデータと同期して処理されなければならないこと、任意の与えられたソースが他のソースからのデータを待って「ブロック」すること、またはデータの正確な垂直整列に関連する任意の他の推論を意味しない。
本開示の実施形態によれば、図3および4A~4Hに一般的に示されるように、戦術は、一般に、フローチャート、有向グラフ、有限オートマトンなどを使用して描写することができる。図3は、フローチャートとして示される例示的な戦術68を描写する。図3に示されるように、例示的な戦術68は、初期または開始状態70(すなわち、「状態1」)から終了または最終状態72(すなわち、「状態3」)にシステムまたはデバイスを変更するまたは変化させることを含むことができ、例えば、例示的な戦術68は、この初期状態70(すなわち、「状態1」)からこの最終状態72(すなわち、「状態3」)にシステム/デバイスを変更するいくつかの個別の挙動22と挙動22のいくつかの組合せとを含むことができる。特に、いくつかの単一の挙動22(例えば、挙動C、D)は、それ自体で、システム/デバイスを初期状態70(すなわち、「状態1」)から終了状態72(すなわち、「状態3」)に直接変更して、戦術68の検出を完了し、さらに、いくつかの挙動(例えば、挙動A、G、L、M)は、システム/デバイスを初期状態70(すなわち、「状態1」)から中間状態74(すなわち、「状態2」)に変更し、追加の挙動(挙動Bなど)は、システム/デバイスをこの中間状態74(すなわち、「状態2」)から終了/最終状態72(すなわち、「状態3」)にして、戦術68の検出を完了する。
図3に示す一例のシーケンスでは、挙動Aに遭遇した場合、「一致A」との判定が実行され、フローは中間状態74(すなわち、「状態2」)に移動し、次いで、挙動Dに遭遇した場合、「一致D」との判定が実行され、フローは、再び中間状態74(すなわち、「状態2」)に移動/戻る。この時点で、挙動Bに遭遇した場合、「一致B」との判定が実行され、戦術68が完了される(例えば、システム/デバイスは最終/終了状態72、すなわち、「状態3」に移動する)。したがって、図3に示すように、挙動A、D、Bのシーケンスは、フローが最終/終了状態72(すなわち、「状態3」)に到達することになる。
しかしながら、挙動22の他のシーケンスも、最終状態72(すなわち、「状態3」)に到達することができ、それゆえ、この既知の戦術68によって示されるのと同じアプローチを示すこともできる。例えば、終了状態72(すなわち、「状態3」)にうまく到達することができる挙動22の有効なシーケンスのセットは、AMB、AB、ADDDB、GNDB、MB、MMB、CおよびDを含むが、これらに限定されない。本開示によれば、これらのシーケンスのいずれかが、戦術プロセッサ20によって特定される場合、戦術68が特定または抽出される。さらに、図3から、挙動22が種々の異なる位置で起こり得ることが、図3から理解される。例えば、挙動Mは、シーケンス内でMが遭遇するときに応じて、初期状態70(すなわち、「状態1」)の後、または中間状態74(すなわち、「状態2」)の後に決定がなされることができる。挙動22のシーケンスは、順序付けられてもよいが、図2Bに示されるように隣接している必要はない。
いくつかのバリエーションにおいて、単一のデータ、挙動、または戦術は、それ自体で、セキュリティ関連性を有しても良い。これらの場合、単一のデータ、挙動、または戦術は、より大きな特定された戦術の検出を「アンカー」すると言われる。そうでなく、より大きな戦術が検出されない場合、この「アンカー」はより大きな戦術を検出させても良く、またはアンカーが検出の属性に影響を及ぼしても良い(例えば、信頼度を増加させる)。例えば、図3に示すように、挙動ADDDQBおよびADDDBのシーケンスは、両方とも終了状態74(すなわち、「状態3」)に達し、同様に横断する。しかしながら、挙動A、D、およびBが比較的良性であり、この特定の配列であれば、セキュリティ関連挙動、すなわちQの追加は、配列を有意に関心のあるものにすることができるので、わずかに関心のあるものになるだけである。
図4A~4Eは、例示的な戦術68の代替的なグラフィカルな描写を提供し、いくつかの挙動22を介して、連続する4A~4Eに漸進的に描写されるこの戦術68の例示的な特定を描写する。図4Aでは、初期状態70(すなわち、「状態1」)が示されている。図4Bでは、挙動Aが処理し、グラフを中間状態74(すなわち、「状態2」)に進めることが分かる。挙動Dは、図4Cに示されており、図4Cに示すように、挙動Dは、再び中間状態74(すなわち、「状態2」)に進む。同様に、挙動Dの第2の例が、図4Dで処理され、再び中間状態74(すなわち、「状態2」)に進む。最後に、図4Eに示すように、挙動Bが処理されると、グラフは、最終/終了状態72(すなわち、「状態3」)に進み、戦術68の検出を完了する。
図4Fは、中間状態74(すなわち、「状態2」)への代替遷移を示す。すなわち、図4Fでは、挙動Gが処理されて、中間状態74(すなわち、「状態2」)に進む。図4Gは、挙動Cの処理が初期状態70(すなわち、「状態1」)から最終/終了状態72(すなわち、「状態3」)に直接進む異なる遷移を示す。
図4Hは、戦術68の検出/展開の例示的な描写である。図4Hに示すように、挙動22(A、G、LまたはM)のいずれかは、初期状態70(すなわち、「状態1」)から中間状態74(すなわち、「状態2」)に進み、一方、挙動CまたはD(22)は、中間状態74(すなわち、「状態2」)から最終/終了状態72(すなわち、「状態2」)に直接進む。さらに、挙動M、D、N、またはQのいずれかが、中間状態74(すなわち、「状態2」)から、中間状態74(すなわち、「状態2」)に進み/再び戻る(ただし、必要に応じて任意の属性を更新する)。しかしながら、中間状態74(すなわち、「状態2」)からの挙動Bは、中間状態(すなわち、「状態2」)から終了状態72(すなわち、「状態3」)に進む。その結果、一例では、戦術68は、戦術68を検出する(([AGLM])([MDNQ])*B)|([CD])のような終了状態72(すなわち、「状態3」)に類似する正規表現を使用して部分的に符号化されても良い。
図3とは異なり、図4A-4Eは、挙動22の属性を示し、そのうちのいくつかは、グラフ内の状態の属性に関連し、影響を及ぼしても良い。挙動22は、0以上の属性を有しても良く、そのいずれかが、戦術の特定または後続の分類に影響を及ぼしても良い。図4A~4Eにおいて、属性「x」の値は、各状態における属性「y」の値に影響を及ぼす。この影響は、各戦術表明に対する各属性に対して変化し得る機能を介して適用される。属性は、本開示から逸脱することなく、戦術定義の一部として使用され、状態遷移がいつ発生するかを指示し、システムの出力に受動的に渡され、特定の戦術特定(例えば、「信頼値」)のインスタンスに関する何らかのプロパティを導出するために使用され、または何らかの他の目的のために使用され得る。
いくつかの変形例では、システム10は、データ生成者12によって提供されるデータ、特徴、または特性の解像度、信頼度、および/または忠実度を組み込む。これらのプロパティは、図4A~4Eに属性として組み込まれ、図2Aに示されるプリプロセッサ50に組み込まれ、または、他の場所に組み込まれ得る。いくつかの変形例では、単一の外部イベントによって、データ、特徴、または特性が2つ以上のデータ生成部12によって提供されても良く、これらのデータ、特徴、または特性は、解像度、信頼度、および/または忠実度について異なる値を有しても良い。このような場合、システム10は、各データ、特徴、または特性を独立して(例えば、2つ以上の挙動を特定する)考慮して行動し、または、それら非独立して(例えば、1つの挙動を特定し、追加データ、特徴、または特性に起因してその挙動にさらに影響を及ぼす)行動しても良い。
本開示の実施形態によれば、システム10の様々な構成要素(例えば、図1に示される挙動プロセッサ16、戦術プロセッサ20、戦術分類器30など)は、例えば、図5に概して示されるように、メモリに格納される可能性があり、且つ、1つまたは複数の情報処理システム80の1つまたは複数のプロセッサ(概して「プロセッサ」と呼ばれる)によって実行またはアクセスされる可能性がある、コンピュータプログラム可能命令、ワークフローなどを含むことができる。いくつかの例では、図1に示されているすべての構成要素(例えば、挙動プロセッサ16、戦術プロセッサ20、戦術分類器30など)は、例えば、その中に十分なプロセッサおよびメモリコンピューティングリソースがある場合など、個々の情報処理システム/デバイスの一部として実行可能であることが理解される。
しかしながら、他の例では、システム10は、様々な情報処理システム/デバイスにわたって配備されても良い(すなわち、物理的な存在または「クラウド」インフラストラクチャに関係なくシステムを配備する)。さらに、図1は、その様々なプロセスを実行するための単一の挙動プロセッサ16、戦術プロセッサ20、および戦術分類器30のみを示しているが、システム10は、本開示の範囲から逸脱することなく、任意の適切な数の挙動プロセッサ16、戦術プロセッサ20、および/または戦術分類器30を含むことができる。
本開示の目的のために、情報処理システム80(図5)は、ビジネス、科学、制御、または他の目的のための任意の形態の情報、インテリジェンス、またはデータを計算し、算出し、判定し、分類し、処理し、送信し、受信し、検索し、発信し、切り替え、格納し、表示し、通信し、明示し、検出し、記録し、再生し、処理し、または利用するように動作可能な任意の手段または手段の集合を含んでも良い。
例えば、情報処理システムは、パーソナルコンピュータ(例えば、デスクトップまたはラップトップ)、タブレットコンピュータ、モバイルデバイス(例えば、パーソナルデジタルアシスタント(PDA)またはスマートフォン)、サーバ(例えば、ブレードサーバまたはラックサーバ)、ネットワークストレージデバイス、または任意の他の適切なデバイスであっても良く、サイズ、形状、性能、機能性、および価格が異なっても良い。情報処理システムは、ランダムアクセスメモリ、中央処理装置(CPU)若しくはハードウェアまたはソフトウェア制御ロジックのような1つまたは複数の処理リソース、リードオンリーメモリ(ROM)、および/または他のタイプの不揮発性メモリを含んでも良い。情報処理システムの追加の構成要素は、キーボード、マウス、タッチスクリーンおよび/またはビデオディスプレイなどの様々な入出力(I/O)と同様に、1つまたは複数のディスクドライブ、外部装置と通信する1つまたは複数のネットワークポートを含んでも良い。また、情報処理システムは、様々なハードウェア構成要素間の通信を伝送するように動作可能な1つまたは複数のバスを含んでも良い。
図5に示すように、いくつかの実施形態では、システム10は、情報処理システム/デバイス80または他の通信可能なシステム/デバイスのネットワークシステム82を含むことができる。ネットワーク84は、ワークステーション、パーソナルコンピュータ、スマートセルラーフォン、パーソナルデジタルアシスタント、ラップトップコンピュータ、サーバ、および他の適切な装置を含むことができる情報処理システム/装置80間のデータ通信を提供しても良い。ネットワーク84は、ローカルエリアネットワークのようなプライベートまたはパブリックネットワーク、またはインターネット若しくは別のワイドエリアネットワークのような他の適切なネットワーク、仮想パーソナルネットワーク、ピアツーピアファイリング共有システム、および/または他の適切な通信回線、またはそれらの組み合わせを含むことができる。図5は、また、リンクされたまたはネットワーク化された情報処理システム80が、ネットワーク84に通信可能に接続された1つまたは複数の監視装置86を含んでも良いことを示す。監視装置86は、管理セキュリティ・サービス・プロバイド(「MSSP」)によって管理される可能性がある。
一実施形態では、監視デバイス86は、プロセッサおよびメモリまたは他の適切な記憶装置を有するサーバまたはシーケンスアナライザまたは他のクライアント適切なコンピューティングデバイスを含んでも良い。メモリは、ランダムアクセスメモリ、リードオンリーメモリ、および/または他の非一時的なコンピュータ読み取り可能媒体を含むことができる。監視装置56は、さらに典型的には、各ネットワーク化されたシステムでの行動、例えば、ネットワーク84に接続された情報処理システム80の行動を、リアルタイムで連続的に監視するために、コンピュータ可読命令を記憶し実行するように動作可能である。監視デバイス86は、情報処理システム80の行動に関連する情報またはデータログを取り込み/集約することができ、これらの取り込まれた/集約データログ、または情報、またはそれに関連するデータを、それによって処理するためにシステム10によって提供することができる。
加えて、または代替案として、システム10は、複数のネットワーク化された情報処理システム80と共に、MSSPによって管理されたデータセンター88のようなデータセンター88を含むことができる。データセンター88は、例えば、少なくとも1つのメモリ92およびシステム82の情報処理システム80の行動に関連する情報またはデータログを受信する1つまたは複数のプロセッサ94を有する、1つまたは複数のサーバ90を含む。これらの情報/データログは、生または正規化された情報、または、それによって処理するためにシステム10に提供される可能性があるデータを含むことができる。
図6Aおよび図6Bは、本開示による、悪意のある行為またはセキュリティ脅威の階層的検出および分類方法またはプロセスのフロー図を示す。図6Aに示されるように、102において、選択されたデータソースまたはデータ生成部からのセキュリティデータ、データセット、または他の情報は、システム10によって受信または他の方法で取得される可能性があり、受信または取得されたセキュリティデータは、挙動プロセッサ16に送信または進められる可能性がある(104)。
その後、106において、挙動プロセッサ16を使用して、受信されたセキュリティデータに含まれる1つまたは複数のデータ、特徴、または特性、またはそれらの組み合わせが、挙動データ記憶装置18に格納された1つまたは複数の挙動に関係するかどうか(例えば、受信または取得されたセキュリティデータ内のデータを挙動データ記憶装置18内の記録に対してマッピングまたはマッチングすることによって)判定される可能性がある。
106において、1つまたは複数の既知の挙動が挙動プロセッサ16によって特定される場合、1つまたは複数の挙動は、108において、1つまたは複数のデータに関連付けられる可能性がある。図6Aがさらに示すように、106Aにおいて、特定された挙動は、挙動プロセッサ16に提供または送信される可能性があり、セキュリティデータが1つまたは複数の複合挙動、例えば、2つ以上の挙動から構成される挙動を含むかどうか判定する。
110で示されるように、いくつかの変形例では、挙動データ記憶装置18内の既知の挙動に関連しないデータを削除することができ、これによって、システム10によるさらなる処理中に考慮されない。しかし、任意的に、挙動データ記憶装置18内の1つまたは複数の既知の挙動に関連付けられないデータについて、1つまたは複数の挙動を、適切な場合/時に(例えば、機械学習、統計モデル化などを使用して)判定することができ、これらの挙動を、挙動データ記憶装置18、挙動プロセッサ16などに提供することができる。
その後、112において、特定された挙動は、戦術プロセッサ20に提供される可能性があり、戦術プロセッサ20は、特定された挙動またはそれらの組み合わせが、例えば、特定された挙動を戦術データ記憶装置24内の記録に対してマッピングまたはマッチングすることによって、戦術データ記憶装置24に記憶された1つまたは複数の戦術に関連するかどうかを判定することができる(114)。
戦術データ記憶装置24からの1つまたは複数の既知の戦術が特定された挙動に関連する場合、1つまたは複数の特定された挙動は、1つまたは複数の戦術として特定されるまたは関連付けられる可能性がある(116)。図6Aが116Aにおいてさらに示すように、特定された戦術は、任意の複合戦術、すなわち、2つ以上の戦術を含む戦術の特定のために、戦術プロセッサ20に提供される可能性がある。さらに、116Bに示されるように、特定された戦術は、1つまたは複数の戦術を含む任意の追加の挙動を特定するために、挙動プロセッサ16に提供される可能性がある。
特定された挙動のうちの1つまたは複数が戦術データ記憶装置24内の既知の挙動に対応しない場合、そのような挙動は削除することが可能で、例えば、戦術分類器30に送信されないが(117)、いくつかの変形例では、本開示の範囲から逸脱することなく、例えば、これらの挙動と組み合わせて1つまたは複数の戦術を含む複合戦術を特定するために、これらの挙動が戦術プロセッサ20に送信される可能性がある。任意的に、いくつかの変形例では、これらの挙動のための1つまたは複数の戦術は、特定され、生成される可能性があり(例えば、機械学習/統計モデル化などを使用して)、戦術データ記憶装置24、戦術プロセッサ20、挙動プロセッサ16、および他のデータ記憶装置/デバイスに提供される可能性がある(108、116A、または116B)。
図6Bは、1つまたは複数の特定された戦術が戦術分類器30によって悪意のあるもの、良性のものなどとして分類されるように(120)、戦術分類器30に進められ、または送信される可能性がある(118)、ことを示す。
いくつかの変形例では、(124で示されるように)プロセス/方法が1つまたは複数の戦術の分類に基づいて様々な行動を取っても良い。例えば、戦術分類器30が戦術を良性として分類する場合、システムの将来のアプリケーションで使用するために(126)、プロセスを終了しても良いし、および/または、分類が、挙動データ記憶装置、戦術データ記憶装置、挙動抽出器、戦術プロセッサ、戦術分類器など、またはそれらと組み合わせた1つまたは複数のデータ記憶装置に提供される可能性がある。
あるいは、戦術に悪意があると判定された場合(124)、アラーム、アラート、または通知を生成することができ、および/または分類を挙動データ記憶装置、戦術データ記憶装置、挙動抽出器、戦術プロセッサ、戦術分類器など、またはそれらと組み合わせた1つまたは複数のデータ記憶装置に提供することができる(128)。例えば、1つまたは複数の特定された戦術の分類、特定された挙動、またはセキュリティデータからのデータを含むラベル付けされたデータを使用して、後の分類またはその将来の反復のために戦術分類器30を訓練/更新することができる。
しかしながら、1つまたは複数の戦術が未定義である場合、それらは、例えば、MSSPまたはセキュリティ研究者などによって、悪意または良性であるかどうか、または戦術分類器30がさらなる訓練、更新などを必要とするかどうかを判定するために、二次レビューのために送信されても良い(130)。
前述の説明は一般に、本開示の様々な実施形態を例示し、説明する。しかし、本明細書に開示された開示の精神および範囲から逸脱することなく、本開示の上記の構成に様々な変更および修正を行うことができ、上記の説明に含まれた、または添付の図面に示されたすべての事項は例示的なものとして解釈されるべきであり、限定的な意味で解釈されるべきではないことが意図されていることが、当業者には理解されよう。さらに、本開示の範囲は、本開示の範囲内にあると考えられる、上記および上記の実施形態に対する様々な修正、組み合わせ、追加、変更などを包含すると解釈されるべきである。したがって、本明細書で説明される本開示の様々な特徴および特徴は、本開示の他の図示された実施形態および図示されていない実施形態に選択的に交換され、適用されてもよく、添付の特許請求の範囲に記載される本発明の精神および範囲から逸脱することなく、多数の変形形態、修正形態、および追加形態が本開示にさらになされ得る。

Claims (18)

  1. セキュリティ脅威または悪意のある行為を検出するシステムであって、
    1つまたは複数のプロセッサと、前記1つまたは複数のプロセッサによって実行されたときに、1つまたは複数の構成要素を実行する複数の命令が格納された少なくとも1つのメモリと、を備え、
    前記1つまたは複数の構成要素は、
    1つまたは複数のデータ生成部からデータを受信し、
    前記データを挙動プロセッサに送信し、
    前記挙動プロセッサを使用して、前記データに含まれるデータ、特徴、および/または特性に基づいて、前記データから1つまたは複数の挙動を特定し、
    前記1つまたは複数の特定された挙動を戦術プロセッサに提供し、
    少なくとも1つの前記戦術プロセッサを使用して、前記1つまたは複数の特定された挙動が戦術データ記憶装置に記憶された1つまたは複数の戦術に関連するという決定、及び前記挙動のいくつかの特定された属性に基づいて適用された影響に基づいて、1つまたは複数の戦術を特定し、
    前記1つまたは複数の特定された戦術を戦術分類器に送信し、
    前記戦術分類器を使用して、前記1つまたは複数の特定された戦術が1つまたは複数のセキュリティ脅威または悪意のある行為を示すかどうかを判定
    前記1つまたは複数の特定された戦術の悪意が特定できないことを示す決定に応じて、二次レビューからの応答に基づいて、前記1つまたは複数の特定された戦術の悪意を決定する、ように構成され、
    前記特定された属性に基づいて適用された影響は、前記1つまたは複数の特定された戦術に適用可能な特定された属性ごとに変化可能であり、前記影響は、特定の戦術特定の信頼値を決定するために使用され、前記戦術は、選択された関係に従って順序付けられた複数の既知の挙動を含む
    システム。
  2. 前記1つまたは複数の構成要素は、前記1つまたは複数の特定された戦術が1つまたは複数のセキュリティ脅威または悪意のある行為を示すと判定された場合に、セキュリティ脅威または悪意のある行為をユーザに通知するアラートまたはアラームを生成するようにさらに構成される、請求項1に記載のシステム。
  3. 前記受信したデータは、システムログ、ユーザメタデータ、インフラストラクチャデータ、またはそれらの組み合わせを含む、請求項1に記載のシステム。
  4. 前記1つまたは複数の挙動を特定するために、前記挙動プロセッサは、前記データに含まれる前記1つまたは複数のデータ、特徴、または特性を、挙動データ記憶装置に記憶された既知の挙動に対してマッピングするように構成される、請求項1に記載のシステム。
  5. 前記1つまたは複数の戦術を特定するために、前記少なくとも1つの戦術プロセッサは、前記1つまたは複数の特定された挙動を、戦術データ記憶装置に記憶された既知の戦術に対してマッピングするように構成される、請求項1に記載のシステム。
  6. 前記1つまたは複数の構成要素は、前記挙動プロセッサを使用して、
    前記1つまたは複数のデータ、特徴、または特性、
    前記1つまたは複数の特定された挙動、または、
    それらの組み合わせ、
    に基づいて、1つまたは複数の追加の挙動を特定するようにさらに構成される、請求項1に記載のシステム。
  7. 前記1つまたは複数の構成要素は、前記挙動プロセッサを使用して、前記1つまたは複数の特定された戦術に基づいて、1つまたは複数の追加の挙動を抽出または特定するようにさらに構成される、請求項1に記載のシステム。
  8. 前記1つまたは複数の構成要素は、前記少なくとも1つの戦術プロセッサを使用して、
    前記1つまたは複数の特定された挙動、
    前記1つまたは複数の特定された戦術、または、
    それらの組み合わせ、
    に基づいて、1つまたは複数の追加の戦術を特定するようにさらに構成される、請求項1に記載のシステム。
  9. 前記戦術分類器は、統計モデルまたは機械学習モデルを含む、請求項1に記載のシステム。
  10. 1つまたは複数のセキュリティ脅威または悪意のある行為を検出する方法であって、
    挙動プロセッサによって、1つまたは複数のデータ生成部からのデータを受信すること
    記挙動プロセッサによって、前記データに含まれるデータ、特徴、または特性に基づいて、前記データから1つまたは複数の挙動を特定すること、
    前記1つまたは複数の特定された挙動を戦術プロセッサに提供すること、
    前記戦術プロセッサによって、前記1つまたは複数の特定された挙動が戦術データ記憶装置に記憶された1つまたは複数の戦術に関連するという決定に基づいて、1つまたは複数の戦術を特定すること、
    前記戦術プロセッサによって、1つまたは複数の特定された戦術と1つまたは複数の特定された挙動との組み合わせに基づいて、複合戦術を決定すること、
    前記1つまたは複数の特定された戦術または前記複合戦術の内の1つまたは複数を戦術分類器に送信すること、および、
    前記戦術分類器によって、前記1つまたは複数の特定された戦術及び前記戦術に関連すると判断された1つまたは複数の特定された挙動のそれぞれを含むデータ配列に基づいて、前記1つまたは複数の特定された戦術または前記複合戦術の内の1つまたは複数が前記1つまたは複数のセキュリティ脅威または悪意のある行為を示すかどうかを判定すること、を有し、
    前記1つまたは複数の戦略のそれぞれは、選択された関係に従って順序付けられた複数の既知の挙動を含む
    方法。
  11. 前記1つまたは複数の特定された戦術が1つまたは複数のセキュリティ脅威または悪意のある行為を示すと判定された場合に、前記戦術分類器によってセキュリティ脅威または悪意のある行為をユーザに通知するアラートまたはアラームを生成し、提供すること、をさらに有する請求項10に記載の方法。
  12. 前記1つまたは複数の挙動を特定することは、
    前記挙動プロセッサによって、前記データに含まれる前記1つまたは複数のデータ、特徴、または特性を、挙動データ記憶装置に記憶された既知の挙動に対してマッピングすること、を含む請求項10に記載の方法。
  13. 前記1つまたは複数の戦術を特定することは、
    前記戦術プロセッサによって、1つまたは複数の特定された挙動を、戦術データ記憶装置に記憶された既知の戦術に対してマッピングすること、を含む請求項10に記載の方法。
  14. 前記挙動プロセッサによって、
    前記1つまたは複数のデータ、特徴、または特性、
    前記1つまたは複数の特定された挙動、または、
    それらの組み合わせ、
    に基づいて、1つまたは複数の追加の挙動を特定すること、をさらに有する請求項10に記載の方法。
  15. 前記挙動プロセッサによって、前記1つまたは複数の特定された戦術に基づいて、1つまたは複数の追加の挙動を特定すること、をさらに有する請求項10に記載の方法。
  16. 前記戦術プロセッサによって、
    前記1つまたは複数の特定された挙動、
    前記1つまたは複数の特定された戦術、または、
    それらの組み合わせ、
    に基づいて、1つまたは複数の追加の戦術を特定すること、をさらに有する請求項10に記載の方法。
  17. 前記戦術分類器は、統計モデルまたは機械学習モデルを含む、請求項10に記載の方法。
  18. 前記データは、システムログ、ユーザメタデータ、インフラストラクチャデータ、またはそれらの組み合わせを含む、請求項10に記載の方法。
JP2021566057A 2019-05-07 2020-01-24 システムレベルセキュリティのための階層的挙動行動のモデル化および検出システムおよび方法 Active JP7302019B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/405,788 US11418524B2 (en) 2019-05-07 2019-05-07 Systems and methods of hierarchical behavior activity modeling and detection for systems-level security
US16/405,788 2019-05-07
PCT/US2020/015001 WO2020226709A1 (en) 2019-05-07 2020-01-24 Systems and methods of hierarchial behavior activity modeling and detection for systems-level security

Publications (2)

Publication Number Publication Date
JP2022533552A JP2022533552A (ja) 2022-07-25
JP7302019B2 true JP7302019B2 (ja) 2023-07-03

Family

ID=73045880

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021566057A Active JP7302019B2 (ja) 2019-05-07 2020-01-24 システムレベルセキュリティのための階層的挙動行動のモデル化および検出システムおよび方法

Country Status (6)

Country Link
US (1) US11418524B2 (ja)
EP (1) EP3966719A4 (ja)
JP (1) JP7302019B2 (ja)
CA (1) CA3137671A1 (ja)
DE (1) DE20802788T1 (ja)
WO (1) WO2020226709A1 (ja)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10841337B2 (en) 2016-11-28 2020-11-17 Secureworks Corp. Computer implemented system and method, and computer program product for reversibly remediating a security risk
US10735470B2 (en) 2017-11-06 2020-08-04 Secureworks Corp. Systems and methods for sharing, distributing, or accessing security data and/or security applications, models, or analytics
US10785238B2 (en) 2018-06-12 2020-09-22 Secureworks Corp. Systems and methods for threat discovery across distinct organizations
US11310268B2 (en) 2019-05-06 2022-04-19 Secureworks Corp. Systems and methods using computer vision and machine learning for detection of malicious actions
US11381589B2 (en) 2019-10-11 2022-07-05 Secureworks Corp. Systems and methods for distributed extended common vulnerabilities and exposures data management
US11522877B2 (en) 2019-12-16 2022-12-06 Secureworks Corp. Systems and methods for identifying malicious actors or activities
US11588834B2 (en) 2020-09-03 2023-02-21 Secureworks Corp. Systems and methods for identifying attack patterns or suspicious activity in client networks
US11528294B2 (en) 2021-02-18 2022-12-13 SecureworksCorp. Systems and methods for automated threat detection
US12034751B2 (en) 2021-10-01 2024-07-09 Secureworks Corp. Systems and methods for detecting malicious hands-on-keyboard activity via machine learning
US12015623B2 (en) 2022-06-24 2024-06-18 Secureworks Corp. Systems and methods for consensus driven threat intelligence
US12072961B2 (en) * 2022-07-29 2024-08-27 Bank Of America Corporation Systems and methods for password spraying identification and prevention using hash signature segmentation and behavior clustering analysis

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015141560A1 (ja) 2014-03-19 2015-09-24 日本電信電話株式会社 トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム
US10104102B1 (en) 2015-04-13 2018-10-16 Fireeye, Inc. Analytic-based security with learning adaptability

Family Cites Families (168)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5892900A (en) 1996-08-30 1999-04-06 Intertrust Technologies Corp. Systems and methods for secure transaction management and electronic rights protection
US5937066A (en) 1996-10-02 1999-08-10 International Business Machines Corporation Two-phase cryptographic key recovery system
US6357010B1 (en) 1998-02-17 2002-03-12 Secure Computing Corporation System and method for controlling access to documents stored on an internal network
ATE326801T1 (de) 1999-06-10 2006-06-15 Alcatel Internetworking Inc Virtuelles privates netzwerk mit automatischer aktualisierung von benutzererreichbarkeitsinformation
US7406603B1 (en) 1999-08-31 2008-07-29 Intertrust Technologies Corp. Data protection systems and methods
US7085834B2 (en) 2000-12-22 2006-08-01 Oracle International Corporation Determining a user's groups
US7363339B2 (en) 2000-12-22 2008-04-22 Oracle International Corporation Determining group membership
US7302634B2 (en) 2001-03-14 2007-11-27 Microsoft Corporation Schema-based services for identity-based data access
US7269578B2 (en) 2001-04-10 2007-09-11 Latanya Sweeney Systems and methods for deidentifying entries in a data source
US7290266B2 (en) 2001-06-14 2007-10-30 Cisco Technology, Inc. Access control by a real-time stateful reference monitor with a state collection training mode and a lockdown mode for detecting predetermined patterns of events indicative of requests for operating system resources resulting in a decision to allow or block activity identified in a sequence of events based on a rule set defining a processing policy
US7331061B1 (en) 2001-09-07 2008-02-12 Secureworks, Inc. Integrated computer security management system and method
US7305392B1 (en) 2001-11-02 2007-12-04 Apex Innovations, Inc. Multi-organizational project management system
US20030172291A1 (en) 2002-03-08 2003-09-11 Paul Judge Systems and methods for automated whitelisting in monitored communications
CA2504680C (en) 2002-10-30 2014-04-01 Vidius Inc. A method and system for managing confidential information
US8984644B2 (en) 2003-07-01 2015-03-17 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US7603705B2 (en) 2004-05-04 2009-10-13 Next It Corporation Methods and systems for enforcing network and computer use policy
US7542164B2 (en) 2004-07-14 2009-06-02 Xerox Corporation Common exchange format architecture for color printing in a multi-function system
US7594270B2 (en) 2004-12-29 2009-09-22 Alert Logic, Inc. Threat scoring system and method for intrusion detection security networks
US7571474B2 (en) 2004-12-30 2009-08-04 Intel Corporation System security event notification aggregation and non-repudiation
US7606801B2 (en) 2005-06-07 2009-10-20 Varonis Inc. Automatic management of storage access control
US7979368B2 (en) 2005-07-01 2011-07-12 Crossbeam Systems, Inc. Systems and methods for processing data flows
US20070022624A1 (en) 2005-08-01 2007-02-01 Sino Golf Manufacturing Co., Ltd. Paint-drying system and method
US7492957B1 (en) 2005-08-29 2009-02-17 Symantec Corporation Using run length encoding to detect target images
US8069153B2 (en) 2005-12-02 2011-11-29 Salesforce.Com, Inc. Systems and methods for securing customer data in a multi-tenant environment
US8544058B2 (en) 2005-12-29 2013-09-24 Nextlabs, Inc. Techniques of transforming policies to enforce control in an information management system
EP1816595A1 (en) 2006-02-06 2007-08-08 MediaKey Ltd. A method and a system for identifying potentially fraudulent customers in relation to network based commerce activities, in particular involving payment, and a computer program for performing said method
US7856411B2 (en) 2006-03-21 2010-12-21 21St Century Technologies, Inc. Social network aware pattern detection
US7885342B2 (en) 2007-03-05 2011-02-08 Cisco Technology, Inc. Managing bit error rates on point-to-point wireless links in a network
US20080255997A1 (en) 2007-04-16 2008-10-16 Bluhm Thomas H Enterprise integrated business process schema
US20080320000A1 (en) 2007-06-21 2008-12-25 Sreedhar Gaddam System and Method for Managing Data and Communications Over a Network
US9009828B1 (en) 2007-09-28 2015-04-14 Dell SecureWorks, Inc. System and method for identification and blocking of unwanted network traffic
CN101939966A (zh) 2008-02-05 2011-01-05 国际商业机器公司 用于使用新的对等的概念来限制对用户简档信息的访问权限的方法和系统
US8438402B2 (en) 2008-03-25 2013-05-07 Panasonic Corporation Electronic terminal, control method, computer program and integrated circuit
US8224873B1 (en) 2008-05-22 2012-07-17 Informatica Corporation System and method for flexible security access management in an enterprise
KR101720160B1 (ko) 2008-05-30 2017-04-10 이르데토 비.브이. 인간의 개입이 없는 어플리케이션들을 위한 인증 데이터베이스 커넥티비티
US8407335B1 (en) 2008-06-18 2013-03-26 Alert Logic, Inc. Log message archiving and processing using a remote internet infrastructure
US8578393B1 (en) 2008-06-18 2013-11-05 Alert Logic, Inc. Log message collection employing on-demand loading of message translation libraries
US9069599B2 (en) 2008-06-19 2015-06-30 Servicemesh, Inc. System and method for a cloud computing abstraction layer with security zone facilities
US8079081B1 (en) 2008-06-27 2011-12-13 Alert Logic, Inc. Systems and methods for automated log event normalization using three-staged regular expressions
US8156553B1 (en) 2008-07-11 2012-04-10 Alert Logic, Inc. Systems and methods for correlating log messages into actionable security incidents and managing human responses
US8539575B2 (en) 2008-09-30 2013-09-17 Microsoft Corporation Techniques to manage access to organizational information of an entity
US9781148B2 (en) 2008-10-21 2017-10-03 Lookout, Inc. Methods and systems for sharing risk responses between collections of mobile communications devices
GB2478098B (en) 2008-11-19 2013-07-10 Secure Works Inc System and method for run-time attack prevention
EP2382575A4 (en) 2009-01-29 2013-05-22 Hewlett Packard Development Co SECURITY MANAGEMENT IN A NETWORK
US8490187B2 (en) 2009-03-20 2013-07-16 Microsoft Corporation Controlling malicious activity detection using behavioral models
US8490196B2 (en) 2009-08-05 2013-07-16 Core Security Technologies System and method for extending automated penetration testing to develop an intelligent and cost efficient security strategy
WO2011031777A2 (en) 2009-09-08 2011-03-17 Core Sdi, Incorporated System and method for probabilistic attack planning
US20120254333A1 (en) 2010-01-07 2012-10-04 Rajarathnam Chandramouli Automated detection of deception in short and multilingual electronic messages
US8516576B2 (en) 2010-01-13 2013-08-20 Microsoft Corporation Network intrusion detection with distributed correlation
US8572746B2 (en) 2010-01-21 2013-10-29 The Regents Of The University Of California Predictive blacklisting using implicit recommendation
GB2493875A (en) 2010-04-26 2013-02-20 Trustees Of Stevens Inst Of Technology Systems and methods for automatically detecting deception in human communications expressed in digital form
US8805881B2 (en) 2010-05-06 2014-08-12 International Business Machines Corporation Reputation based access control
US8510411B2 (en) 2010-05-06 2013-08-13 Desvio, Inc. Method and system for monitoring and redirecting HTTP requests away from unintended web sites
US8959115B2 (en) 2010-07-09 2015-02-17 Symantec Corporation Permission tracking systems and methods
US9201915B2 (en) 2010-09-22 2015-12-01 Nec Corporation Attribute information processing device, attribute information processing method and attribute information evaluation system
US10805331B2 (en) 2010-09-24 2020-10-13 BitSight Technologies, Inc. Information technology security assessment system
WO2012066650A1 (ja) 2010-11-17 2012-05-24 富士通株式会社 情報処理装置、メッセージ抽出方法およびメッセージ抽出プログラム
US9130988B2 (en) 2010-12-21 2015-09-08 Microsoft Technology Licensing, Llc Scareware detection
US20120185275A1 (en) 2011-01-15 2012-07-19 Masoud Loghmani System and method of automated data analysis for implementing health records personal assistant with automated correlation of medical services to insurance and tax benefits for improved personal health cost management
US8909673B2 (en) 2011-01-27 2014-12-09 Varonis Systems, Inc. Access permissions management system and method
US8621618B1 (en) 2011-02-07 2013-12-31 Dell Products, Lp System and method for assessing whether a communication contains an attack
US8800044B2 (en) 2011-03-23 2014-08-05 Architelos, Inc. Storing and accessing threat information for use in predictive modeling in a network security service
US9021471B2 (en) 2011-05-03 2015-04-28 International Business Machines Corporation Managing change-set delivery
EP2610776B1 (en) 2011-09-16 2019-08-21 Veracode, Inc. Automated behavioural and static analysis using an instrumented sandbox and machine learning classification for mobile security
US9129105B2 (en) 2011-09-29 2015-09-08 Oracle International Corporation Privileged account manager, managed account perspectives
US8886925B2 (en) 2011-10-11 2014-11-11 Citrix Systems, Inc. Protecting enterprise data through policy-based encryption of message attachments
US8898777B1 (en) 2011-10-14 2014-11-25 Symantec Corporation Systems and methods for detecting user activities to identify deceptive activity
US8839349B2 (en) 2011-10-18 2014-09-16 Mcafee, Inc. Integrating security policy and event management
US9094288B1 (en) * 2011-10-26 2015-07-28 Narus, Inc. Automated discovery, attribution, analysis, and risk assessment of security threats
US10091218B2 (en) 2012-01-23 2018-10-02 Hrl Laboratories, Llc System and method to detect attacks on mobile wireless networks based on network controllability analysis
US9369483B2 (en) 2012-02-24 2016-06-14 Google Inc. Detection and prevention of unwanted content on cloud-hosted services
US8892865B1 (en) 2012-03-27 2014-11-18 Amazon Technologies, Inc. Multiple authority key derivation
US8849747B2 (en) 2012-04-24 2014-09-30 Sap Ag Business process management
US9046886B2 (en) 2012-04-30 2015-06-02 General Electric Company System and method for logging security events for an industrial control system
US8928476B2 (en) 2012-05-17 2015-01-06 Honeywell International Inc. System for advanced security management
EP2880819A4 (en) 2012-07-31 2016-03-09 Hewlett Packard Development Co SYSTEM FOR PROCESSING NETWORK TRAFFIC
US9411955B2 (en) 2012-08-09 2016-08-09 Qualcomm Incorporated Server-side malware detection and classification
US9319897B2 (en) 2012-08-15 2016-04-19 Qualcomm Incorporated Secure behavior analysis over trusted execution environment
US9501746B2 (en) 2012-11-05 2016-11-22 Astra Identity, Inc. Systems and methods for electronic message analysis
US9742559B2 (en) 2013-01-22 2017-08-22 Qualcomm Incorporated Inter-module authentication for securing application execution integrity within a computing device
US20140222712A1 (en) 2013-02-01 2014-08-07 Sps Commerce, Inc. Data acquisition, normalization, and exchange in a retail ecosystem
US9519756B2 (en) 2013-03-15 2016-12-13 Microsoft Technology Licensing, Llc Managing policy and permissions profiles
US9338134B2 (en) 2013-03-27 2016-05-10 Fortinet, Inc. Firewall policy management
US9430534B2 (en) 2013-05-09 2016-08-30 Wipro Limited Systems and methods for improved security and precision in executing analytics using SDKS
FR3006473B1 (fr) 2013-06-04 2017-10-13 Euriware Procede d'echange de donnees descriptives d'installations techniques
US9319426B2 (en) 2013-06-18 2016-04-19 Dell Products, Lp System and method for operating malicious marker detection software on management controller of protected system
US8752178B2 (en) 2013-07-31 2014-06-10 Splunk Inc. Blacklisting and whitelisting of security-related events
US20190050554A1 (en) 2013-09-04 2019-02-14 Michael Stephen Fiske Logo image and advertising authentication
US20150074390A1 (en) 2013-09-10 2015-03-12 Opera Software Asa Method and device for classifying risk level in user agent by combining multiple evaluations
JP6559694B2 (ja) 2013-11-13 2019-08-14 パロ・アルト・ネットワークス・インコーポレーテッドPalo Alto Networks Incorporated 自動sdk受容
US9560062B2 (en) 2013-12-03 2017-01-31 Secureworks Corp. System and method for tamper resistant reliable logging of network traffic
EP2887226A1 (en) 2013-12-20 2015-06-24 Siemens Aktiengesellschaft Method for an integrated data handling for the engineering and operation of a plant
US20150186618A1 (en) 2013-12-30 2015-07-02 Robert POORVIN Medical research information exchange system
WO2015126410A1 (en) 2014-02-21 2015-08-27 Hewlett-Packard Development Company, L.P. Scoring for threat observables
US20160078365A1 (en) 2014-03-21 2016-03-17 Philippe Baumard Autonomous detection of incongruous behaviors
US11159415B2 (en) 2014-03-24 2021-10-26 Secureworks Corp. Method for determining normal sequences of events
US20150324457A1 (en) 2014-05-09 2015-11-12 Dell Products, Lp Ordering a Set of Regular Expressions for Matching Against a String
WO2015195093A1 (en) 2014-06-17 2015-12-23 Hewlett-Packard Development Company, L. P. Dns based infection scores
US10084795B2 (en) 2014-07-14 2018-09-25 Cisco Technology, Inc. Network-based real-time distributed data compliance broker
US9710672B2 (en) 2014-09-08 2017-07-18 Uri Jacob Braun System for and method of controllably disclosing sensitive data
US9043894B1 (en) 2014-11-06 2015-05-26 Palantir Technologies Inc. Malicious software detection in a computing system
US9832216B2 (en) * 2014-11-21 2017-11-28 Bluvector, Inc. System and method for network data characterization
US10050992B2 (en) 2015-02-09 2018-08-14 Telefonaktiebolaget Lm Ericsson (Publ) Mitigating the impact from Internet attacks in a RAN using Internet transport
US10116500B1 (en) 2015-03-02 2018-10-30 The Mathworks, Inc. Exchanging information among system middleware and models
US10708296B2 (en) * 2015-03-16 2020-07-07 Threattrack Security, Inc. Malware detection based on training using automatic feature pruning with anomaly detection of execution graphs
US9667656B2 (en) 2015-03-30 2017-05-30 Amazon Technologies, Inc. Networking flow logs for multi-tenant environments
CN104766014B (zh) 2015-04-30 2017-12-01 安一恒通(北京)科技有限公司 用于检测恶意网址的方法和系统
US10320813B1 (en) * 2015-04-30 2019-06-11 Amazon Technologies, Inc. Threat detection and mitigation in a virtualized computing environment
EP3295359B1 (en) 2015-05-15 2020-08-26 Virsec Systems, Inc. Detection of sql injection attacks
US9363690B1 (en) 2015-07-10 2016-06-07 Cisco Technology, Inc. Closed-loop optimization of a wireless network using an autonomous vehicle
US10523637B2 (en) 2015-07-22 2019-12-31 Paypal, Inc. Anonymous account security exchange
US9690938B1 (en) 2015-08-05 2017-06-27 Invincea, Inc. Methods and apparatus for machine learning based malware detection
US9923912B2 (en) 2015-08-28 2018-03-20 Cisco Technology, Inc. Learning detector of malicious network traffic from weak labels
US10601865B1 (en) 2015-09-30 2020-03-24 Fireeye, Inc. Detection of credential spearphishing attacks using email analysis
US9977905B2 (en) 2015-10-06 2018-05-22 Assured Enterprises, Inc. Method and system for identification of security vulnerabilities
US10884999B2 (en) 2015-10-28 2021-01-05 Qomplx, Inc. Distributable model with biases contained within distributed data
US10354197B2 (en) 2015-11-13 2019-07-16 Ca, Inc. Pattern analytics for real-time detection of known significant pattern signatures
US10268791B2 (en) 2015-12-11 2019-04-23 Taiwan Semiconductor Manufacturing Co., Ltd. System and method for multi-patterning
US10148674B2 (en) 2015-12-11 2018-12-04 Dell Products, Lp Method for semi-supervised learning approach to add context to malicious events
US10148690B2 (en) 2015-12-21 2018-12-04 Symantec Corporation Accurate real-time identification of malicious BGP hijacks
CN105447204B (zh) 2016-01-04 2017-12-12 北京百度网讯科技有限公司 网址识别方法和装置
US10263788B2 (en) 2016-01-08 2019-04-16 Dell Products, Lp Systems and methods for providing a man-in-the-middle proxy
US10594573B2 (en) 2016-01-08 2020-03-17 Secureworks Corp. Systems and methods for rule quality estimation
US10116625B2 (en) 2016-01-08 2018-10-30 Secureworks, Corp. Systems and methods for secure containerization
US10009380B2 (en) 2016-01-08 2018-06-26 Secureworks Corp. Systems and methods for security configuration
US10491632B1 (en) 2016-01-21 2019-11-26 F5 Networks, Inc. Methods for reducing compliance violations in mobile application management environments and devices thereof
US10645124B2 (en) 2016-02-19 2020-05-05 Secureworks Corp. System and method for collection of forensic and event data
US10484423B2 (en) 2016-02-19 2019-11-19 Secureworks Corp. System and method for detecting and monitoring thread creation
US10652748B2 (en) 2016-04-23 2020-05-12 Metacert, Inc. Method, system and application programmable interface within a mobile device for indicating a confidence level of the integrity of sources of information
US10033757B2 (en) 2016-06-09 2018-07-24 Rapid7, Inc. Identifying malicious identifiers
US10567415B2 (en) 2016-09-15 2020-02-18 Arbor Networks, Inc. Visualization of network threat monitoring
US10601593B2 (en) 2016-09-23 2020-03-24 Microsoft Technology Licensing, Llc Type-based database confidentiality using trusted computing
JP6926429B2 (ja) 2016-09-27 2021-08-25 日本電気株式会社 データ処理装置、データ処理方法、およびプログラム
US10581915B2 (en) 2016-10-31 2020-03-03 Microsoft Technology Licensing, Llc Network attack detection
US10454961B2 (en) 2016-11-02 2019-10-22 Cujo LLC Extracting encryption metadata and terminating malicious connections using machine learning
US10841337B2 (en) 2016-11-28 2020-11-17 Secureworks Corp. Computer implemented system and method, and computer program product for reversibly remediating a security risk
US11146578B2 (en) 2016-12-16 2021-10-12 Patternex, Inc. Method and system for employing graph analysis for detecting malicious activity in time evolving networks
US10382489B2 (en) 2016-12-29 2019-08-13 Mcafee, Llc Technologies for privacy-preserving security policy evaluation
US10868893B2 (en) 2017-03-31 2020-12-15 Xilinx, Inc. Network interface device
US10356125B2 (en) 2017-05-26 2019-07-16 Vade Secure, Inc. Devices, systems and computer-implemented methods for preventing password leakage in phishing attacks
US10805317B2 (en) 2017-06-15 2020-10-13 Microsoft Technology Licensing, Llc Implementing network security measures in response to a detected cyber attack
US11429878B2 (en) 2017-09-22 2022-08-30 International Business Machines Corporation Cognitive recommendations for data preparation
US10311231B1 (en) 2017-09-27 2019-06-04 Symantec Corporation Preventing a malicious computer application from executing in a computing environment
US10805346B2 (en) 2017-10-01 2020-10-13 Fireeye, Inc. Phishing attack detection
US10579897B2 (en) 2017-10-02 2020-03-03 Xnor.ai Inc. Image based object detection
US20190122258A1 (en) 2017-10-23 2019-04-25 Adbank Inc. Detection system for identifying abuse and fraud using artificial intelligence across a peer-to-peer distributed content or payment networks
US10735470B2 (en) 2017-11-06 2020-08-04 Secureworks Corp. Systems and methods for sharing, distributing, or accessing security data and/or security applications, models, or analytics
US10757547B2 (en) 2017-11-08 2020-08-25 Avaya Inc. Sequenced applications for controlling communication features
US10594713B2 (en) 2017-11-10 2020-03-17 Secureworks Corp. Systems and methods for secure propagation of statistical models within threat intelligence communities
US10812527B2 (en) 2017-12-01 2020-10-20 KnowBe4, Inc. Systems and methods for aida based second chance
US10853431B1 (en) 2017-12-26 2020-12-01 Facebook, Inc. Managing distribution of content items including URLs to external websites
US10834128B1 (en) 2018-03-30 2020-11-10 Fireeye, Inc. System and method for identifying phishing cyber-attacks through deep machine learning via a convolutional neural network (CNN) engine
US20190342296A1 (en) 2018-05-01 2019-11-07 Microsoft Technology Licensing, Llc Automated compliance with security, audit and network configuration policies
US11003718B2 (en) 2018-06-12 2021-05-11 Secureworks Corp. Systems and methods for enabling a global aggregated search, while allowing configurable client anonymity
US10785238B2 (en) 2018-06-12 2020-09-22 Secureworks Corp. Systems and methods for threat discovery across distinct organizations
EP3599753A1 (en) 2018-07-25 2020-01-29 Cyren Inc. Phishing detection system and method
US10944789B2 (en) 2018-07-25 2021-03-09 Easy Solutions Enterprises Corp. Phishing detection enhanced through machine learning techniques
US11178170B2 (en) * 2018-12-14 2021-11-16 Ca, Inc. Systems and methods for detecting anomalous behavior within computing sessions
EP3697117B1 (en) 2019-02-12 2023-03-29 Telefónica Cybersecurity & Cloud Tech, S.L.U. Method and system for controlling internet browsing user security
US11431734B2 (en) * 2019-04-18 2022-08-30 Kyndryl, Inc. Adaptive rule generation for security event correlation
US11489867B2 (en) 2019-05-01 2022-11-01 Jpmorgan Chase Bank, N.A. Cybersecurity email classification and mitigation platform
US11132441B2 (en) 2019-05-06 2021-09-28 The Florida International University Board Of Trustees Systems and methods for inhibiting threats to a computing environment
US11310268B2 (en) 2019-05-06 2022-04-19 Secureworks Corp. Systems and methods using computer vision and machine learning for detection of malicious actions
US11714905B2 (en) 2019-05-10 2023-08-01 Sophos Limited Attribute relevance tagging in malware recognition
US11755734B2 (en) 2019-09-30 2023-09-12 Mcafee, Llc Analysis priority of objects from cross-sectional variance
US11381589B2 (en) 2019-10-11 2022-07-05 Secureworks Corp. Systems and methods for distributed extended common vulnerabilities and exposures data management
US11675910B2 (en) * 2020-01-22 2023-06-13 Forcepoint Llc Using an entity behavior catalog when performing security operations
RU2738344C1 (ru) 2020-03-10 2020-12-11 Общество с ограниченной ответственностью «Группа АйБи ТДС» Способ и система поиска схожих вредоносных программ по результатам их динамического анализа

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015141560A1 (ja) 2014-03-19 2015-09-24 日本電信電話株式会社 トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム
US10104102B1 (en) 2015-04-13 2018-10-16 Fireeye, Inc. Analytic-based security with learning adaptability

Also Published As

Publication number Publication date
EP3966719A1 (en) 2022-03-16
US11418524B2 (en) 2022-08-16
US20200358795A1 (en) 2020-11-12
CA3137671A1 (en) 2020-11-12
WO2020226709A1 (en) 2020-11-12
EP3966719A4 (en) 2023-01-18
DE20802788T1 (de) 2022-08-25
JP2022533552A (ja) 2022-07-25

Similar Documents

Publication Publication Date Title
JP7302019B2 (ja) システムレベルセキュリティのための階層的挙動行動のモデル化および検出システムおよび方法
Khraisat et al. Survey of intrusion detection systems: techniques, datasets and challenges
CN110958220B (zh) 一种基于异构图嵌入的网络空间安全威胁检测方法及系统
US11973774B2 (en) Multi-stage anomaly detection for process chains in multi-host environments
US11463472B2 (en) Unknown malicious program behavior detection using a graph neural network
US20210273953A1 (en) ENDPOINT AGENT CLIENT SENSORS (cSENSORS) AND ASSOCIATED INFRASTRUCTURES FOR EXTENDING NETWORK VISIBILITY IN AN ARTIFICIAL INTELLIGENCE (AI) THREAT DEFENSE ENVIRONMENT
Mehmood et al. Machine learning algorithms in context of intrusion detection
Rekha et al. Intrusion detection in cyber security: role of machine learning and data mining in cyber security
Aburomman et al. Survey of learning methods in intrusion detection systems
Mehmood et al. SVM for network anomaly detection using ACO feature subset
Nagaraja et al. UTTAMA: an intrusion detection system based on feature clustering and feature transformation
Ahmad et al. Role of machine learning and data mining in internet security: standing state with future directions
Wang et al. Heterogeneous graph matching networks: Application to unknown malware detection
WO2021236661A1 (en) Endpoint client sensors for extending network visibility
Syarif Feature selection of network intrusion data using genetic algorithm and particle swarm optimization
Tianfield Data mining based cyber-attack detection
Panagiotou et al. Host-based intrusion detection using signature-based and ai-driven anomaly detection methods
Gilmore et al. Anomaly detection and machine learning methods for network intrusion detection: An industrially focused literature review
Kuppa et al. Finding rats in cats: Detecting stealthy attacks using group anomaly detection
Venkatesan et al. A comprehensive study in data mining frameworks for intrusion detection
Roundy et al. Smoke detector: cross-product intrusion detection with weak indicators
Sallay et al. Intrusion detection alert management for high‐speed networks: current researches and applications
Ajmera et al. A survey report on identifying different machine learning algorithms in detecting domain generation algorithms within enterprise network
Shinan et al. BotSward: Centrality Measures for Graph-Based Bot Detection Using Machine Learning.
Prasad et al. HIDSC2: Host-based intrusion detection system in cloud computing

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20211215

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20211115

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7426

Effective date: 20211215

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20221116

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20221122

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20230216

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230404

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230606

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230621

R150 Certificate of patent or registration of utility model

Ref document number: 7302019

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150