特許 6930742 コンピュータネットワークにおけるセキュリティを管理する方法及び装置

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】6930742

(24)【登録日】2021年8月16日

(45)【発行日】2021年9月1日

(54)【発明の名称】コンピュータネットワークにおけるセキュリティを管理する方法及び装置

(51)【国際特許分類】

   G06F 21/55 20130101AFI20210823BHJP

   G06Q 50/10 20120101ALI20210823BHJP

【ＦＩ】

   G06F21/55 320

   G06F21/55 340

   G06Q50/10

【請求項の数】36

【全頁数】84

(21)【出願番号】特願2018-510311(P2018-510311)

(86)(22)【出願日】2016年5月4日

(65)【公表番号】特表2018-521430(P2018-521430A)

(43)【公表日】2018年8月2日

(86)【国際出願番号】US2016030660

(87)【国際公開番号】WO2017014823

(87)【国際公開日】20170126

【審査請求日】2019年5月7日

(31)【優先権主張番号】62/156,884

(32)【優先日】2015年5月4日

(33)【優先権主張国】US

(31)【優先権主張番号】62/198,091

(32)【優先日】2015年7月28日

(33)【優先権主張国】US

(31)【優先権主張番号】62/206,675

(32)【優先日】2015年8月18日

(33)【優先権主張国】US

(31)【優先権主張番号】62/210,546

(32)【優先日】2015年8月27日

(33)【優先権主張国】US

(31)【優先権主張番号】62/220,914

(32)【優先日】2015年9月18日

(33)【優先権主張国】US

(31)【優先権主張番号】62/286,437

(32)【優先日】2016年1月24日

(33)【優先権主張国】US

(31)【優先権主張番号】62/294,258

(32)【優先日】2016年2月11日

(33)【優先権主張国】US

(31)【優先権主張番号】62/307,558

(32)【優先日】2016年3月13日

(33)【優先権主張国】US

(31)【優先権主張番号】62/323,657

(32)【優先日】2016年4月16日

(33)【優先権主張国】US

(31)【優先権主張番号】15/145,800

(32)【優先日】2016年5月4日

(33)【優先権主張国】US

(73)【特許権者】

【識別番号】517384648

【氏名又は名称】ハサン・シェド・カムラン

(74)【代理人】

【識別番号】100125645

【弁理士】

【氏名又は名称】是枝 洋介

(74)【代理人】

【識別番号】100166774

【弁理士】

【氏名又は名称】右田 敏之

(72)【発明者】

【氏名】ハサン・シェド・カムラン

【審査官】 岸野 徹

(56)【参考文献】

【文献】 国際公開第２０１４／１２２６６２（ＷＯ，Ａ１）

【文献】 米国特許出願公開第２０１１／００２３１１５（ＵＳ，Ａ１）

【文献】 特表２０１２−５３３２３１（ＪＰ，Ａ）

【文献】 米国特許出願公開第２０１３／０１１７８５３（ＵＳ，Ａ１）

【文献】 特表２０１３−５３３５３１（ＪＰ，Ａ）

【文献】 特開２００９−０３７５４５（ＪＰ，Ａ）

【文献】 特表２０１４−５１５５３８（ＪＰ，Ａ）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｇ０６Ｆ ２１／５５

Ｇ０６Ｑ ５０／１０

(57)【特許請求の範囲】

【請求項1】

（ｉ）多数のセキュリティイベント間の関係を決定する、共謀検知サブアルゴリズムと、
（ｉｉ）未知データの型を決定し、決定した前記未知データの型への確信度を申告し、前記確信度が既定のレベルよりも低い場合は失敗フラグを返す、情報型識別サブアルゴリズムと
を備え、
前記情報型識別サブアルゴリズムは、ＩＰアドレスを含む前記セキュリティイベントの複数の属性を導出し、導出した属性を前記共謀検知サブアルゴリズムに提供し、
前記共謀検知サブアルゴリズムは、前記情報型識別サブアルゴリズムより受け付けた属性に基づいて前記セキュリティイベント間の類似度を判定し、判定した類似度に基づいて前記セキュリティイベント間の関係を決定する、
サイバーセキュリティシステム。

【請求項2】

請求項１に記載のシステムにおいて、
前記属性は、外部のポリシー及び挙動の解釈によってチェックされ、前記セキュリティイベントが処理のための閾値を超えているかどうかが確認される、システム。

【請求項3】

請求項２に記載のシステムにおいて、
前記セキュリティイベントに対して前記導出された属性は固有ＤＢに格納され、前記導出された属性の全ての組み合わせが作成され、前記組み合わせは予め定められた許可ルールによって選択され、前記選択された組み合わせは、既定の類似係数を調べるために、固有ＤＢに対して照会される、システム。

【請求項4】

請求項３に記載のシステムにおいて、
幽霊ドメイン名への対策を講じるため、前記既定の類似係数は、同一の社会保障番号および同一の発生時刻を有すること、同一のＩＰ ＬＡＮサブネット範囲、同一の個人電話番号、および同一の個人アドレスを有すること、同一ドメイン名の異なる電子メールアドレスを有すること、同一ドメイン名に属する種々の電子メールアドレスを有すること、ならびに、あるドメイン名と、ドメイン名が指すと考えられるＩＰアドレスを有すること、を含んでいる、システム。

【請求項5】

請求項３に記載のシステムにおいて、
前記共謀検知サブアルゴリズムによるチェックの結果が、管理コンソールに通知される、システム。

【請求項6】

請求項１に記載のシステムにおいて、
外来の脅威によって企業の隔離ネットワークに求められるものに基づいて、前記外来の脅威の重大度をアップグレードまたはダウングレードし、外来の脅威への認知を高めるために、第三者情報を受信する、外来エンティティ管理サブアルゴリズムと、あるユーザの記録に対して、既定のリスク係数に基づき総合リスク査定を判定する、ユーザリスク管理サブアルゴリズム、をさらに備える、システム。

【請求項7】

請求項６に記載のシステムにおいて、
前記外来エンティティ管理サブアルゴリズムでは、セキュリティイベントが前記情報型識別サブアルゴリズムによってパースされ、前記セキュリティイベントに関与している、ネットワーク上の発信元およびユーザが導出され、前記セキュリティイベントの前記ネットワーク上の発信元は、セキュリティ警戒リストに照らしてチェックされ、ユーザ情報が前記セキュリティ警戒リストで見つかった場合、前記ユーザは、前記ユーザリスク管理サブアルゴリズムによりチェックされる、システム。

【請求項8】

請求項７に記載のシステムにおいて、
チェックの結果が、外部のポリシー及び挙動に左右される、既定の閾値に基づいて考慮されて集約され、集約された結果が固有データベースに格納される、システム。

【請求項9】

請求項６に記載のシステムにおいて、
前記情報型識別サブアルゴリズムでは、並列化を目的として、提供される前記未知データについては、入力は一括で行われている、システム。

【請求項10】

請求項９に記載のシステムにおいて、
前記情報型識別サブアルゴリズムは、前記未知データの属性を抽出し、属性には、長さ、数字／文字比、特殊文字が含まれる、システム。

【請求項11】

請求項１０に記載のシステムにおいて、
前記抽出された属性は、ＤＢのデータポイントと照合され、ＤＢのデータポイントは、照合のために選択されたものである、システム。

【請求項12】

請求項１１に記載のシステムにおいて、
照合のために、まずキャッシュがチェックされる、システム。

【請求項13】

請求項１２に記載のシステムにおいて、
前記情報型識別サブアルゴリズムは、確信度レベルを求めるために照合結果を処理する、システム。

【請求項14】

請求項１３に記載のシステムにおいて、
前記結果の確信度レベルが既定の閾値より低い場合、前記結果は切り捨てられ、前記既定の閾値は動的であってもよい、システム。

【請求項15】

請求項１３に記載のシステムにおいて、
型親和性と属性の構成とを関係づけるためにパターン検知が実行され、高確信度を有するパターンは前記キャッシュに格納され、前記ＤＢは計算されたパターンを含まないが型と属性の静的な関連付けを含む、システム。

【請求項16】

請求項１５に記載のシステムにおいて、
処理された前記結果がＡＰＩに合わせて編集され、編集された前記結果が出力される、システム。

【請求項17】

請求項１６に記載のシステムにおいて、
メディアスキャナサブアルゴリズムであって、任意のメディアをスキャンし、このメディアの予期された構成に対して、違法な情報の転送、および一貫性のない／疑わしい挙動がないかチェックする、メディアスキャナサブアルゴリズム、をさらに備える、システム。

【請求項18】

請求項１７に記載のシステムにおいて、
前記メディアスキャナサブアルゴリズムでは、メディアパースが実行され、与えられた前記メディア内の情報内で疑われるポイントがハイライトされ、疑われるポイントは、メタデータまたはこのメディアのＲＡＷフォーマットに隠されている可能性があり、このメディアのデータおよびメタデータがスキャンされる、システム。

【請求項19】

請求項１７に記載のシステムにおいて、
前記情報内で疑われるポイントは、前記情報型識別サブアルゴリズムによって処理され、そこでユーザＩＤが処理されて前記ユーザリスク管理サブアルゴリズムに渡され、他の全ての情報が、汎用パーサに渡される、システム。

【請求項20】

請求項１９に記載のシステムにおいて、
前記汎用パーサは、リスクオブジェクトＤＢと連携することで、ファイル内に存在する危険な関連性を探す、システム。

【請求項21】

請求項２０に記載のシステムにおいて、
危険な関連性が見つかった場合、前記メディアは転送がブロックされ、リスクオブジェクトが生成され、前記ユーザリスク管理サブアルゴリズムには、このセキュリティイベントへの、該当するユーザの関与が通知される、システム。

【請求項22】

請求項２０に記載のシステムにおいて、
処理された結果が合成されてパースされ、前記メディアをブロックするか許可するかの判断が行われる、システム。

【請求項23】

請求項６に記載のシステムにおいて、
特権分離分析サブアルゴリズムであって、任意のユーザやプロセスがそれらに許可された特権割り当ての範囲内にあるかどうかを判定し、絶え間なく起動され、確認したあらゆる特権違反を、マスタープロセスおよびセカンダリプロセスにレポートし、セカンダリプロセスは、前記マスタープロセスが前記特権違反に対して処置を行ったことについてダブルチェックを行う、特権分離分析サブアルゴリズムをさらに備える、システム。

【請求項24】

請求項２３に記載のシステムにおいて、
前記特権分離分析サブアルゴリズムでは、ユーザ許可イベントが送信され、ユーザＩＤトークンと、リクエストされたアクセス／変更の場所が、前記情報型識別サブアルゴリズムにより抽出され、スレッドマネージャへ送られる、システム。

【請求項25】

請求項２４に記載のシステムにおいて、
前記スレッドマネージャは、場所情報を受信し、アクセス／変更が許可されているのが誰かを調べるために、場所データベースを呼び出す、場所スレッドマネージャを備える、システム。

【請求項26】

請求項２５に記載のシステムにおいて、
場所許可バンクは、前記場所の許可要件を固有ＤＢ２から受信し、ユーザセキュリティリスクのため、予防措置としてどこかの場所をブロックすべきかどうかを判断するあるスレッドからの問い合わせを受け、予防措置レベルの閾値は、外部のポリシー及び挙動を経由して決定される、システム。

【請求項27】

請求項２６に記載のシステムにおいて、
前記スレッドマネージャは、ユーザ情報を受信し、アクセス／変更が許可されている場所はどこかを調べるために、ユーザデータベースを呼び出し、また、前記ユーザに対して予防ポリシーの範囲でブロックすべき危険な場所を得るために、前記ユーザリスク管理サブアルゴリズムを呼び出す、ユーザスレッドマネージャを備える、システム。

【請求項28】

請求項２７に記載のシステムにおいて、
ユーザ許可バンクが、前記ユーザの許可属性を固有ＤＢ１から受信し、前記場所スレッドマネージャから、前記ユーザがこの場所においてリクエストされた処置を行うことを許可されているかどうかを確認する問い合わせを受ける、システム。

【請求項29】

請求項２８に記載のシステムにおいて、
許可アグリゲータは、前記場所スレッドマネージャと前記ユーザスレッドマネージャの結果を論理的に合成し、合成された結果を出力する、システム。

【請求項30】

請求項６に記載のシステムにおいて、
前記ユーザリスク管理サブアルゴリズムでは、前記既定のリスク係数は、以前のポリシー違反、過度な使用状況、および遂行された疑わしい操作を含む、システム。

【請求項31】

請求項３０に記載のシステムにおいて、
ユーザＩＤトークンが入力され、リスクの重大性の複数の関連オブジェクトを伴った、総合リスク査定パーセンテージが出力され、前記オブジェクトは、さらなる分析のため、他のサブアルゴリズムから個別にアクセス可能である、システム。

【請求項32】

請求項３１に記載のシステムにおいて、
前記ユーザに関するリスクオブジェクトが入力され、前記リスクオブジェクトと前記ユーザとの紐付けが記録される、システム。

【請求項33】

請求項３１に記載のシステムにおいて、
ユーザＩＤトークンが、リスク査定レポートの生成、またはリスクオブジェクト参照をデポジットするために提供され、ユーザのリスク履歴が、デポジットされた前記リスクオブジェクト参照を使用して構築される、システム。

【請求項34】

請求項３３に記載のシステムにおいて、
リスクオブジェクト参照が提供される場合、今後の参照のため、データベース内へのデポジットが行われる、システム。

【請求項35】

請求項３３に記載のシステムにおいて、
リスクオブジェクト参照のデポジットが行われない場合、レポートの作成が要求され、前記ユーザのリスク履歴を査定するために、固有データベースにおいて、該当するユーザＩＤが調べられる、システム。

【請求項36】

請求項３３に記載のシステムにおいて、
リスク格付が、リスクオブジェクトに対するリスク格付を与える固有ＤＢから抽出され、前記リスク格付と、抽出された前記リスクオブジェクトを使用して、最終集約レポートが作成され、出力に送られ、包括的主要リスクインデックスも出力に送られ、ユーザの直接リスク係数を特定するために使用される、システム。

【発明の詳細な説明】

【技術分野】

【0001】

関連出願の相互参照
本出願は、「コンピュータネットワークにおけるセキュリティを管理する方法および装置」と題する、２０１５年５月４日出願の米国仮特許出願第６２／１５６，８８４号、「サイバーセキュリティアルゴリズム」と題する、２０１５年７月２８日出願の米国仮特許出願第６２／１９８，０９１号、「サイバーセキュリティサブアルゴリズム」と題する、２０１５年８月１８日出願の米国仮特許出願第６２／２０６，６７５号、「ＣＩＰＯベースの反復型知的成長および反復型進化と」題する、２０１５年８月２７日出願の米国仮特許出願第６２／２１０，５４６号、「サイバーセキュリティスイート」と題する、２０１５年９月１８日出願の米国仮特許出願第６２／２２０，９１４号、「サイバースペースにおける秘密オペレーションによる秘密機械学習返報」と題する、２０１６年１月２４日出願の米国仮特許出願第６２／２８６，４３７号、「論理的推論によるゼロデータベースの演繹型リアルタイム防御」と題する、２０１６年２月１１日出願の米国仮特許出願第６２／２９４，２５８号、「クラウドおよび階層化情報セキュリティ（ＣＴＩＳ）による重要インフラストラクチャー防護および返報（ＣＩＰＲ）」と題する、２０１６年３月１３日出願の米国仮特許出願第６２／３０７，５５８号、および「クリティカルシンキングメモリおよびパーセプション（ＣＴＭＰ）」と題する、２０１６年４月１６日出願の米国仮特許出願第６２／３２３，６５７号、の優先権を主張し、それらの開示を参照することにより、本明細書に記載されているかのように、本明細書に組み入れる。

【0002】

本発明は、サイバーセキュリティ上のアラートまたはイベントを検証するために手動で行っているプロセスを、自動化して処理するためのフレームワークに関する。より詳細には、本発明は、修正処置を行うために、イベント／データを部分ごとに分割し、それらの相互関係を検討することにより、イベント／データを系統的に検査するシステムに関する。

【背景技術】

【0003】

ＦｉｒｅＥｙｅ，Ｉｎｃ．のレポートである、「数の駆け引き：多過ぎて捌ききれない量のアラート」、によれば、セキュリティアラートの件数が急激に増加したことで、セキュリティアラートに対してタイムリーかつ効果的に管理および対処することに、組織は苦慮している。アラートが把握され正しくカテゴリ化されるとしても、その途方もない量に圧倒されてしまう。そしてそれらのアラートに迅速に対応しなければ、壊滅的な結果を招く可能性がある。この大量のアラートにより要求される管理レベルは、大部分の企業が現実的に維持できるレベルを越えている。あらゆるレベルのセキュリティ要員がデータの山をかき分け、誤警報や重複する警報に向き合っている。セキュリティチームは、ノイズの入ったデータをより分け、アラートを選別しているが、それでも、上位のレベルで処理する必要のあるものがあまりに多過ぎる。アメリカ合衆国においては、３７％の組織が１ヶ月に５万件以上のアラートに直面している。これに対応するＩＴセキュリティの専門家は、通常、セキュリティ上の責任を多く担っているが、このことが、アラートを見逃す可能性をより高くしている。負担が重すぎてアナリストがアラートをくまなく審査するのに十分な時間がない、あるいはアナリストがアラートの調査における専門家でない場合、損害の大きなミスが生じる。アラートの半数以上は疑陽性であり、ノイズは重大な問題である。これらのアラートが関係付けられ重複が排除されていなければ、恐らくこの数はさらに多くなる。なぜなら、これらのアラートの３分の１以上は、冗長なものであるからである。これら全てのことが、プラットフォームが、ただ無駄なデータをあまりに多く生成するというシナリオに加わる。さらに悪いことには、全てのアラートを審査するために、貴重な時間が無駄になっている。この審査プロセスにはコストが掛かる。冗長なアラートを自動的に無視するプロセスを有している会社は６０％未満に過ぎない。アラートを自動的に無視しているというのは、これらの会社が、半分以下の時間で、実際に悪意のイベントを含むアラートに手動で対応していることを意味している。危険なアラートの審査は、第一段階にすぎない。そして、アナリストは、あるアラートが実際の攻撃をさすものあるのかを特定し，セキュリティが損なわれたシステムを修復し、損害を減ずるために科学捜査的な調査を完結させる必要がある。初期段階の審査時間における遅延は、いかなるものでもこのプロセス全体をペースダウンさせる。プロセスを最終的に成功させるためには、アラートが正確にカテゴリ化されなければならない。仮に、危険なアラートが低い優先順位にラベリングされ、迅速な応答がなされない場合、悲惨な結果を招きうる。あまりにも多くの場合、企業は、どのようにこのプロセスを改善すべきかを決定することはなく、どちらかといえばただ現状を維持しようとしているのである。もし企業のリソースが再配分されれば、アラート管理は軽快で効率的なものになるかもしれない。組織は、先を見越したテストの実行、ポリシーの審査、およびアラートプロセスをよりうまく管理するための新たな戦略を含む代替案を検討する必要がある。

【0004】

Ｚａｉｔｓｅｖへの米国特許第８７７６２４１号には、イベント収集モジュール、イベント分析モジュール、およびソリューションモジュールを備える、コンピュータネットワークにおけるセキュリティ関連インシデントの自動分析システム、が開示されている。イベント収集モジュールは、複数のクライアントコンピュータからインシデント関連情報を取得する。イベント分析モジュールは、インシデント関連情報に基づき、最初のインシデントの原因に関係し、最初のインシデントの根本原因を示す一連のイベントを再構築する。ソリューションモジュールは、クライアントコンピュータの役に立つ勧告を練り上げる。勧告は当該一連のイベントに基づいており、最初のインシデントに応答することに特化した修正／防止処置を含んでいる。

【0005】

Ｔｈｉｅｌａｍａｙによる米国特許出願第２００６０１９１００７号には、中央管理センター、ハードウェアおよびソフトウェアの情報を中枢データベースに集めるセキュリティ体制モジュール、既知のセキュリティ脆弱性のための環境に対してポーリングを行う監査モジュール、セキュリティ勧告を取得して処理する脅威分析モジュール、ネットワークセキュリティの全体的な健全性を閲覧するための上級管理者ダッシュボードモジュール、システムリスクを分析するための定義済みメトリックを提供するリスク分析モジュール、現時点およびこれまでにあったセキュリティ課題の保存および追跡のためのトラブルチケット発行モジュール、インフラストラクチャーにおける問題の分析および解決を行う解決モジュール、データを照合して環境の整合性を保証する相関関係エンジンモジュール、および、システムのセキュリティを破ろうとする際に不正なユーザが使用する技術を特定するインシデント発見モジュール、を備える自動化されたセキュリティ監視および管理フレームワークが開示されている。

【0006】

Ｗｉｎｋｌｅｒ、他への米国特許第８４５７９９６号には、モデルベースの事業継続管理フレームワークが開示されている。ビジネスプロセスモデルハンドラが、有向グラフにしたがって配置されている複数のタスクを含むビジネスプロセスモデルを決定する。複数のタスクの一部が、それらのタスクを実行するための要件と紐付いている。情報技術トポロジーモデルハンドラが、少なくとも複数のタスクの一部を実行するために使用される、ネットワークに接続されたリソースとともに、情報技術トポロジーモデルを決定する。挙動モデルジェネレータが、挙動情報ライブラリからリソースの挙動を決定し、複数のタスクとそれぞれの要件が、リソースと、複数のタスクそれぞれの挙動と結びつけられている、挙動モデルを生成する。継続アナライザが、挙動モデルに基づいて継続性分析結果を提供する。

【0007】

Ｈｏｕｓｔｏｎ、他への米国特許第７９２１４５９号には、ネットワーク上のセキュリティイベントを管理するためのシステムおよび方法が開示されている。システムは、監視されているコンピューティングネットワークに置かれたセキュリティ装置からのセキュリティイベントデータを収集するイベント管理ソフトウェアモジュールを利用している。セキュリティイベントデータの処理においては、イベントマネージャモデルが、データを整形して管理可能なデータのサマリを作成できる。イベントマネージャモデルは、セキュリティイベントデータと、そのデータに対して実行されたあらゆる処理の結果の保管もサポートしている。セキュリティイベントデータは、セキュリティイベントへの応答のために使用するため、イベントマネージャによって特定される。Ｎｅｗｔｏｎ、他への米国特許第８２０９７５９号には、セキュリティインシデントマネージャが開示されており、セキュリティインシデントマネージャは、攻撃の分析におけるイベントおよびネットワークフローを含んでいる。未加工イベントが、監視されているデバイスによってレポートされ、インシデントマネージャは、未加工イベントに対応する各種デバイスに対してネットワークフローを要求できる。そしてマネージャは、自身の次の処理工程を決定するために、そのイベントの重大度、該当性、および信憑性に、可変のスコアを割り当てる。確実で効果的な攻撃と見受けられるイベントが、違反であると分類される。

【先行技術文献】

【特許文献】

【0008】

【特許文献1】米国特許第８７７６２４１号

【特許文献2】米国特許出願第２００６０１９１００７号

【特許文献3】米国特許第８４５７９９６号

【特許文献4】米国特許第７９２１４５９号

【特許文献5】米国特許第８２０９７５９号

【非特許文献】

【0009】

【非特許文献1】“Ｔｈｅ Ｎｕｍｂｅｒｓ Ｇａｍｅ： Ｈｏｗ Ｍａｎｙ Ａｌｅｒｔｓ ａｒｅ ｔｏｏ Ｍａｎｙ ｔｏ Ｈａｎｄｌｅ？”、 ＦｉｒｅＥｙｅ， Ｉｎｃ． ２０１５年１月

【発明の概要】

【発明が解決しようとする課題】

【0010】

本発明の目的は、真のインシデントを特定するために、毎秒天文学的な数のイベントおよびアラートを分析し、続いて、該当する／許可された／指定された関係者に真のインシデントを転送し、最終処理および／または自動処理／修正処置を行うために、当該真のインシデントに対して、種々のインシデント型または閾値基準に基づくトリアージを行う、ネットワークセキュリティフレームワークを提供することである。

【0011】

各コンピュータデバイスに、セキュリティ選別プログラムがインストールされている。セキュリティ選別プログラムは、インシデント候補を見つけ出すために、コンピュータデバイスを通過するネットワークトラフィックを選別する。所定の選別ルールのもとでインシデント候補を見つけた場合、セキュリティ選別プログラムはアラートを生成する。当該インシデント候補がインシデントではないと判断された場合、二次レベルモジュールが、その選別ルールを変更するためのフィードバックソリューションを作成し、選別ルールフィードバックレポートを生成し、各コンピュータデバイスに送信する。この選別ルールフィードバックレポートには、選別ルールを変更するためのフィードバックソリューションが含まれている。

【0012】

第一の選別判定基準は疑陽性である。インシデント候補が疑陽性であると判断された場合、第一層モジュールが、疑陽性レポートを生成してコンピュータデバイスのセキュリティ選別プログラムに送信する。疑陽性レポートには、選別ルールを変更するためのソリューションが含まれている。

【0013】

第一レベルモジュールは、インシデント候補を記述する既定のインシデント評価フォームにデータを入力し、データが入力されたインシデント評価フォームを、特定のフォーム検証ルールのもとで検証する。既定のインシデント評価フォームおよび特定のフォーム検証ルールが、指定された部署ごとに異なる分類に関連している。

【0014】

本発明のセキュリティサーバは、セキュリティアラートまたはイベントを分析し、企業／組織の各種の事業または職能部門の要求および要件に基づき、トリアージ（カテゴリ化、関係付け、優先順位付け、さらなる調査および応答のため、担当者（法務、人事、プライバシー、情報開示、サイバーセキュリティ、ポリシー、運用、ＣＳＩＲＣ（コンピュータセキュリティインシデント対応機能）、ＳＯＣ（セキュリティオペレーションセンター）、総括監察官、セキュリティ、等）へのイベント割り当て）を実行し、あるいは前述の企業／組織の各種の事業または職能部門の要件に基づき修正処置を実行することで、セキュリティ脅威を修復し、損害を減ずるために有用な科学捜査情報を提供／利用する。

【0015】

本発明のシステムはデバイス（例えば、サーバ、または小規模な配置用の他の機器）で稼働させることができ、あるいは、毎秒天文学的な数のイベントおよびアラートを処理するために、仮想（多数のクライアント向け）または専用（各クライアント向け）のクラウドベース環境で実行させることができる。

【0016】

本発明の重要な特性は以下の通りである。
１）システムは、イベントおよびアラートの分析を通じてインシデントを即座に押さえ込むことを可能にするため、何が起こったのかを発見する。
２）システムは、以下のことを決定するために、インシデントの人的要素を読み解くための科学捜査プロセスにかかる時間を、自動化を通じて、ミリ秒、秒、または分単位にまで削減する。
ａ．何が為されたのか
ｂ．なぜそれが為されたのか
ｃ．どこでそれが起きたのか
ｄ．いつそれが起きたのか
ｅ．どのようにしてそれが起きたのか
ｆ．誰がそれを為したのか
ｇ．サイバーセキュリティインシデント／攻撃に関する特性
ｉ．それは企業／組織／エンティティにとって重大であるか
ｉｉ．あるいは、単なる気晴らし目的の個人またはグループのコンピュータハッカー（データが機密性のものではない、等）であるか
ｉｉｉ．その他
３）システムは、インシデントが再び発生することを防ぐために、任意の影響を即座に押さえ込み脆弱性に対処するにはどうすればよいかを決定する。

【0017】

セキュリティイベントは、ネットワークサービスまたはＩＴサービスの日常的なオペレーションにおける変化であり、セキュリティポリシー違反が発生した可能性、あるいはセキュリティ防御処置が失敗した可能性があることを示している。

【0018】

イベントの最初の兆候は、ソフトウェアで定義されたアラートから、あるいは、ネットワークサービスが重くなったことをエンドユーザがヘルプデスクに知らせることによってもたらされるかもしれない。

【0019】

コンピュータデバイスには、任意のセキュリティイベントジェネレータまたはデバイス、つまり、ルータ、コンピュータ（ノートパソコン、ＰＣ、タブレット、等）、モバイルデバイス、等が含まれる。

【0020】

第二層モジュールの人間によるインシデント検証分析は、正確さ、効率、および有効性を保証するため、人間、あるいはイベントの生成から修正処置までのセキュリティイベント分析ライフサイクル全体を自動化する、セキュリティイベントアナライザによって実行することができる。

【0021】

本発明の要点は以下の通りである。（１）情報分析への階層化アプローチ、（２）各層における粒度レベル、（３）部署固有の粒度、（４）組織および各部署（組織内の部署、例えば、総括監察官、法務、金融、プライバシー、ネットワークセキュリティ、等）固有の要件およびポリシーに基づいて、イベント生成から修正処置までのセキュリティイベントライフサイクル全体の分析を自動化すること。

【課題を解決するための手段】

【0022】

この目的を達成するため、本発明は、セキュリティイベントを処理するコンピュータセキュリティシステムを提供し、コンピュータセキュリティシステムは、複数のサブアルゴリズムを備える挙動モジュールであって、各サブアルゴリズムが、既定のセキュリティ問題に関連した既定のカテゴリに対応する、挙動モジュールと、挙動モジュールの出力に基づくセキュリティ分析を提供する、コンビネーションモジュールを備える。

【0023】

複数のサブアルゴリズムは、並行して実行され、各サブアルゴリズムが、入力を処理し、出力を格納する。情報処理リクエストが、少なくとも１つのサブアルゴリズムに送信され、各サブアルゴリズムは、セキュリティイベントのデータを処理し、各サブアルゴリズムの結果が、そのサブアルゴリズムのためのデータベースに格納される。

【0024】

システムは、予め定められた確信度レベルを超える前記複数のサブアルゴリズムの結果を選別する、高確信度フィルタをさらに備える。コンビネーションリクエストが、コンビネーションアルゴリズムに送信され、コンビネーションアルゴリズムは、コンビネーションリクエストの型に応じて２つ以上のサブアルゴリズムを合成し、コンビネーションアルゴリズムは、既定の判定基準に基づいて結果を選択する。

【0025】

システムは、ポリシーと挙動との組み合わせに基づいてセキュリティイベントのカテゴリを決定する、カテゴリ化モジュールと、セキュリティイベントの挙動パターンに基づいてセキュリティイベントを選り分ける、パターンマッチングモジュールをさらに備え、カテゴリ化モジュールは、パターンマッチングモジュールからの選別済みイベントのカテゴリを決定する。

【0026】

挙動モジュールは挙動データベースと接続され、挙動データベースは複数のカテゴリを含むメタデータを格納する。複数のカテゴリはそれぞれ、参照識別子、第一概念、第二概念、およびアルゴリズムが決定した関連性インデックスを含む。システムは、入力されたイベントを無害化ポリシーに基づいて選別する、無害化モジュールをさらに備える。

【0027】

本発明はさらに、多数のセキュリティイベントの背景をチェックし、多数のセキュリティイベント間のパターンおよび関係を決定する、共謀検知サブアルゴリズムと、未知データの型を決定し、選択したデータ型への確信度を申告し、確信度が既定のレベルよりも低い場合は失敗フラグを返す、情報型識別サブアルゴリズムを備える、サイバーセキュリティシステムを提供する。

【0028】

共謀検知サブアルゴリズムにおいては、セキュリティイベントが情報型識別サブアルゴリズムによってパースされ、情報型識別サブアルゴリズムは、セキュリティイベントに該当する属性を導出し、属性は、外部のポリシー及び挙動の解釈によってチェックされ、セキュリティイベントが処理のための閾値を超えているかどうかが確認される。

【0029】

セキュリティイベントに対して導出されたイベント属性が固有ＤＢに格納され、導出されたイベント属性の全ての組み合わせが作成され、組み合わせは予め定められた許可ルールによって選択され、選択された組み合わせは、既定の類似係数を調べるために、固有ＤＢに対して照会される。

【0030】

幽霊ドメイン名への対策を講じるため、既定の類似係数は、同一の社会保障番号および同一の発生時刻を有すること、同一のＩＰ ＬＡＮサブネット範囲、同一の個人電話番号、および同一の個人アドレスを有すること、同一ドメイン名の異なる電子メールアドレスを有すること、同一ドメイン名に属する種々の電子メールアドレスを有すること、ならびに、あるドメイン名と、ドメイン名が指すと考えられるＩＰアドレスを有すること、を含んでいる。共謀検知サブアルゴリズムによるチェックの結果が、管理コンソールに通知される。

【0031】

システムは、外来の脅威によって企業の隔離ネットワークに求められるものに基づいて、外来の脅威の重大度をアップグレードまたはダウングレードし、外来の脅威への認知を高めるために、第三者情報を受信する、外来エンティティ管理サブアルゴリズムと、あるユーザの記録に対して、既定のリスク係数に基づき総合リスク査定を判定する、ユーザリスク管理サブアルゴリズム、をさらに備える。

【0032】

外来エンティティ管理サブアルゴリズムにおいては、セキュリティイベントが情報型識別サブアルゴリズムによってパースされ、当該セキュリティイベントに関与している、ネットワーク上の発信元およびユーザが導出され、当該セキュリティイベントのネットワーク上の発信元は、セキュリティ警戒リストに照らしてチェックされ、ユーザ情報がセキュリティ警戒リストで見つかった場合、当該ユーザは、ユーザリスク査定サブアルゴリズムによりチェックされる。チェックの結果が、外部のポリシー及び挙動に左右される、既定の閾値に基づいて考慮されて集約され、集約された結果が固有データベースに格納される。

【0033】

情報型識別サブアルゴリズムにおいては、並列化を目的として、提供される未知データについては、入力は一括で行われている。情報型識別サブアルゴリズムは、当該未知データの属性を抽出し、属性には、長さ、数字／文字比、特殊文字が含まれる。抽出された属性は、ＤＢのデータポイントと照合される。ＤＢのデータポイントは、照合のために選択されたものである。照合のために、まずキャッシュがチェックされる。情報型識別サブアルゴリズムは、確信度レベルを求めるために照合結果を処理する。当該結果の確信度レベルが既定の閾値より低い場合、結果は切り捨てられる。既定の閾値は動的であってもよい。型親和性と属性の構成とを関係づけるためにパターン検知が実行され、高確信度を有するパターンはキャッシュに格納され、ＤＢは計算されたパターンを含まないが、型と属性の静的な関係付けを含む。処理された結果がＡＰＩに合わせて編集され、出力される。

【0034】

システムは、メディアスキャナサブアルゴリズムであって、任意のメディアをスキャンし、このメディアの予期された構成に対して、違法な情報の転送、および一貫性のない／疑わしい挙動がないかチェックする、メディアスキャナサブアルゴリズム、をさらに備える。メディアスキャナサブアルゴリズムにおいては、メディアパースが実行され、与えられたメディア内の情報内で疑われるポイントがハイライトされ、疑われるポイントは、メタデータまたはこのメディアのＲＡＷフォーマットに隠されている可能性があり、このメディアのデータおよびメタデータがスキャンされる。

【0035】

情報内で疑われるポイントは、情報型識別サブアルゴリズムによって処理され、そこでユーザＩＤが処理されてユーザリスク管理サブアルゴリズムに渡され、他の全ての情報が、汎用パーサに渡される。汎用パーサは、リスクオブジェクトＤＢと連携することで、ファイル内に存在する危険な関連性を探す。危険な関連性が見つかった場合、このメディアは転送がブロックされ、リスクオブジェクトが生成され、ユーザリスク管理サブアルゴリズムには、このセキュリティイベントへの、該当するユーザの関与が通知される。

【0036】

システムは、特権分離分析サブアルゴリズムであって、任意のユーザやプロセスがそれらに許可された特権割り当ての範囲内にあるかどうかを判定し、絶え間なく起動され、確認したあらゆる特権違反を、マスタープロセスおよびセカンダリプロセスにレポートし、セカンダリプロセスは、マスタープロセスがその特権違反に対して処置を行ったことについてダブルチェックを行う、特権分離分析サブアルゴリズムをさらに備える。特権分離分析サブアルゴリズムにおいては、ユーザ許可イベントが送信され、ユーザＩＤトークンと、リクエストされたアクセス／変更の場所が、情報型識別サブアルゴリズムにより抽出され、スレッドマネージャへ送られる。スレッドマネージャは、場所情報を受信し、アクセス／変更が許可されているのが誰かを調べるために、場所データベースを呼び出す、場所スレッドマネージャを備える。

【0037】

場所許可バンクは、当該場所の許可要件を固有ＤＢ２から受信し、ユーザセキュリティリスクのため、予防措置としてどこかの場所をブロックすべきかどうかを判断するあるスレッドからの問い合わせを受け、予防措置レベルの閾値は、外部のポリシー及び挙動を経由して決定される。スレッドマネージャは、ユーザ情報を受信し、アクセス／変更が許可されている場所はどこかを調べるために、ユーザデータベースを呼び出し、また、このユーザに対して予防ポリシーの範囲でブロックすべき危険な場所を得るために、ユーザリスク管理サブアルゴリズムを呼び出す、ユーザスレッドマネージャを備える。

【0038】

ユーザ許可バンクは、当該ユーザの許可属性を固有ＤＢ１から受信し、場所スレッドマネージャから、当該ユーザがこの場所においてリクエストされた処置を行うことを許可されているかどうかを確認する問い合わせを受ける。許可アグリゲータは、場所スレッドマネージャとユーザスレッドマネージャの結果を論理的に合成し、合成された結果を出力する。

【0039】

ユーザリスク管理サブアルゴリズムにおいては、既定のリスク係数は、以前のポリシー違反、過度な使用状況、および遂行された疑わしい操作を含む。ユーザＩＤトークンが入力され、リスクの重大性の複数の関連オブジェクトを伴った、総合リスク査定パーセンテージが出力され、これらのオブジェクトは、さらなる分析のため、他のサブアルゴリズムから個別にアクセス可能である。当該ユーザに関するリスクオブジェクトが入力され、そのリスクオブジェクトと当該ユーザとの紐付けが記録される。ユーザＩＤトークンが、リスク査定レポートの生成、またはリスクオブジェクト参照をデポジットするために提供され、ユーザのリスク履歴が、デポジットされたリスクオブジェクト参照を使用して構築される。

【0040】

リスクオブジェクト参照が提供される場合、今後の参照のため、データベース内へのデポジットが行われる。リスクオブジェクト参照のデポジットが行われない場合、スレッドマネージャはレポートの作成を要求し、当該ユーザのリスク履歴を査定するために、固有データベースにおいて、該当するユーザＩＤが調べられる。リスク格付が、リスクオブジェクトに対するリスク格付を与える固有ＤＢから抽出され、リスク格付と、抽出されたリスクオブジェクトを使用して、最終集約レポートが作成され、出力に送られ、包括的主要リスクインデックスも出力に送られ、ユーザの直接リスク係数を特定するために使用される。

【0041】

本発明はさらに、反復型知的成長の方法を提供し、方法は、初期ルールセットの入力を受信する工程と、複数のパーソナリティトレイトの入力を受信する工程であって、パーソナリティトレイトは、セキュリティイベントに対して働くべき反応的性質を定義する、工程と、パーソナリティトレイトを選び、そのパーソナリティトレイトを進化系統に割り当てる工程と、前記工程を、他の進化系統に対して、全てのパーソナリティトレイトについて繰り返す工程と、進化系統を実行する工程であって、進化系統はそれぞれ、与えられたパーソナリティトレイトにしたがって複数の世代を進化させる、工程、を備える。各進化系統の操作は、他の進化系統の操作からは仮想的に隔離されている。

【0042】

パーソナリティトレイトは、ｉ）関係の度合いに基づいてＣＰＵ時間を使用する、現実的なトレイト、ｉｉ）個人またはコンピュータシステムを含む、任意のエンティティについて、以前にセキュリティインシデントがあったかどうかに基づいてＣＰＵ時間を使用する、非寛容的なトレイト、ｉｉｉ）修正処置の利用可能性に基づいてＣＰＵ時間を使用する、日和見的なトレイト、またはｉｖ）寛容さまたは許容範囲がほとんどない仮定に基づいてＣＰＵ時間を使用する、厳密で予防的なトレイト、を含む。ＣＰＵ時間は、ＣＰＵサイクル数／秒で計測される。

【0043】

監視および連携システムは、セキュリティイベントを、疑似セキュリティ脅威（ＡＳＴ）システムから進化系統に投入し、セキュリティ挙動クラウドから、セキュリティイベントに関連するセキュリティ応答を中継するものであり、進化系統のいずれかが、与えられたセキュリティ課題を解決できないという不定状態に対している場合は、その進化系統の実行が破棄され、破棄された進化系統のパーソナリティトレイトが変更され、変更されたパーソナリティトレイトは別の進化系統に割り当てられ、破棄された進化系統のセキュリティイベントは、この別の進化系統に投入され、この別の進化系統が実行され、監視および連携システムは、進化系統のパフォーマンスを出力し、パーソナリティトレイトを変更するための入力を受信する。

【0044】

相互参照モジュールが、任意のセキュリティイベントへのセキュリティシステム応答を分析し、セキュリティシステム応答が意味のあるものであるかを判断し、このセキュリティシステム応答を、トレイトタグ付けモジュールに送る。トレイトタグ付けモジュールは、セキュリティシステム応答を、トレイトタグ付けモジュールに提供されたパーソナリティ型にしたがって分類する。トレイト連携モジュールは、パーソナリティトレイト同士の関係を分析し、分析結果がセキュリティ挙動クラウドに渡され、セキュリティ挙動クラウドは、分析結果を監視／連携システムに渡す。

【0045】

本発明はさらに、サイバー脅威インテリジェンス識別統合および分析システムを提供し、サイバー脅威インテリジェンス識別統合および分析システムは、２つの親形状を受信し、２つの親形状をハイブリッド形状にマージするインテリジェントセレクタであって、親形状はデータの抽象的な構造を表す、インテリジェントセレクタと、システムが使用されているアルゴリズムの型を定義するモードモジュールであって、インテリジェントセレクタは、当該アルゴリズムの型に基づいてマージする部分を決定する、モードモジュールと、形状がどのようにマージされるべきかを決めるための、カスタム化データの入力を受信する、静的基準モジュールを備える。カスタム化データは、格付けの優先順位付け、所望のデータ比、およびモードモジュールによって定義されているアルゴリズムの型に応じて行われるマージを指揮するデータを含む。

【0046】

インテリジェントセレクタは、静的基準モジュールにより提供されるカスタム化データに基づき、生データ比較を２つの親形状に対して行う、生データ比較モジュールを備え、生データ比較モジュールは、関連する変更点および非変更点を出力し、インテリジェントセレクタは、カスタム化データに基づいて変更点の重要性を格付けし、変更点と非変更点が、静的基準のカスタム化データおよび、モードのアルゴリズムの型に基づいてハイブリッド形状にマージされ、マージは、データの比分布、データの重要性、およびデータ間の関係の調整を含み、比モード、優先順位モード、およびスタイルモードが、システムにプリセットされている。

【0047】

比モードにおいては、静的基準によって設定された比に応じて、共通している情報の量が選別され、この比が大きく設定されている場合は、大量の形状データがそのままハイブリッド形状にマージされ、この比が小さく設定されている場合は、ハイブリッド形状の大半が過去の反復状態結果とは大きく異なるように構築される。優先順位モードにおいては、ある形状の中の同じ箇所で、ある特徴の定義が双方のデータセットで競合しているときは、優先順位付けプロセスが起動し、重立った特徴と、共通しているために隠される特徴を選び出し、ただ１つのトレイトだけがハイブリッド形状を占有できる場合は、優先順位付けプロセスが起動する。スタイルモードにおいては、このようにして、共通するポイントがマージされ、静的基準とモードによって、このモジュールが、ある一方を他方にマージすることを優先させるように指揮されている。

【0048】

セキュリティイベントを、それらに対する応答とともに照会しやすくするために、トレイトの組成と、インデックス付けされたセキュリティ関心ポイント（ＰＯＩ）が提供され、ＰＯＩはセキュリティＰＯＩプールに格納され、ＰＯＩは、トレイトインデックスにつなげられており、セキュリティ問題に関するパーソナリティトレイトが照会されたとき、該当するＰＯＩがＰＯＩプールで検索され、該当するイベント＋応答ストレージが取り出されて返され、ＰＯＩインタフェースモジュールにおいては、パーソナリティトレイトはＰＯＩに紐付いている。

【0049】

システムはさらに、応答パーサであって、セキュリティイベントを記述するデータとセキュリティイベントへの応答が受信され、セキュリティ挙動モジュールは既知のＰＯＩを提供し、セキュリティイベントにタグ付けされたパーソナリティトレイトのための入力が受信される、相互参照モジュールと、パーソナリティトレイトの既定と過去のセキュリティ挙動からのパターン相関に基づいて、セキュリティ応答とパーソナリティトレイトを紐付ける、トレイトタグ付けモジュールと、トレイトタグ付けモジュールからトレイトの組成を受信し、その内部的な互換性を査定する、トレイト連携モジュール、を備える、応答パーサを備える。セキュリティイベント、応答、およびトレイトは、セキュリティ挙動クラウドに格納される。

【0050】

セキュリティルールセットが、疑似エクスプロイトでテストされ、エクスプロイトが実行された後、当該エクスプロイトが機能し、さらにエクスプロイトＤＢに組み込まれるべきとされた場合は、結果フィードバックモジュールが結果を提供し、情報リリースモジュールが、次のエクスプロイトをどのようなものにするべきかについて、詳細な情報を案出モジュールに提供し、情報は、情報リリースモジュールとエクスプロイトＤＢの間でマージされ、当該エクスプロイトは、全ての進化系統が、同じエクスプロイトで同時並行的にテストされるバッチとして実行され、案出モジュールは、情報リリースモジュールの結果に基づいて、従来の複数のエクスプロイトの長所が用いられ、エクスプロイトの既知の弱点を回避した、ハイブリッドエクスプロイトを生成する。

【0051】

管理監督モジュールが、エクスプロイトの格納状況および使用状況の発達を監視し、エクスプロイトが、外部からの入力によって生成／変更／削除され、複数のエクスプロイトの、ある条件下における過去の動作状況、およびエクスプロイトの重要性を記述している、既知の挙動履歴に沿って格納されている。

【0052】

システムはさらに、案出モジュールが、ある系統の次の世代を生成している、監視／連携システムを備えており、２つの入力形状が、セキュリティ挙動クラウドからの編集済みセキュリティ挙動と、セキュリティ審査モジュールからの変数であり、得られたハイブリッド形状が反復操作プロセッサに送られ、反復操作プロセッサは、案出モジュールから送られたハイブリッド形状を処理して新しい世代を組み立て、新しい世代を、該当する進化系統にロードし、セキュリティ審査モジュールは、進化系統からレポート変数を受信して疑似セキュリティ脅威（ＡＳＴ）システムに対するセキュリティ上のパフォーマンスを評価し、今後の審査のためにレポートを出力してこのレポートを案出モジュールに送信し、次の世代の反復操作を行い、セキュリティ挙動クラウドは、該当するイベント＋応答をセキュリティ審査モジュールに供給し、判定基準がトレイトインデックスクエリを通じて決定され、パフォーマンスが良いという評価をセキュリティ審査モジュールが受信したときは、セキュリティ挙動クラウドの中でこのエクスプロイトを打ち破るべく、より良いエクスプロイトを見つけようとし、トレイトの組成がセキュリティ挙動クラウドに提供され、セキュリティ挙動クラウドは、世代ルールセットをどのように構成すべきかを指揮するために、トレイトの組成を案出モジュールに提供する。

【0053】

自動成長誘導システムが、外部制御と監視／連携システムの間に介在し、モジュール型により所望のモジュールの挙動が何かが判別され、強制フィードバックが、あるモジュールが新たな命令を受けるたびに、自分の現在の条件を知らせることによる応答であり、ハイレベルマスター変数が、外部から静的基準に入力され、前回の所望の結果と実際の結果を受け、案出モジュールは新たな所望の結果を判別し、被制御モジュールの状況および状態を含む実際の結果が、モジュール追跡ＤＢに格納され、実際の結果が、当該モジュールおよび案出モジュールによってモジュール追跡ＤＢに入力され、モジュール追跡ＤＢは、被制御モジュールのために内部的に選ばれた成長パターンを反映した入力形状を、案出モジュールに提供し、案出モジュールは、当該モジュールのための新しい制御を、モジュール追跡部および当該モジュール自身に送り、モジュール追跡部が単一のインスタンスで稼働し、多数のモジュールを同時に扱うために分割されていることを除けば、複数のモジュールが並行して制御されており、実際のモジュール履歴から導出された情報を含む、被制御モジュールからのフィードバックが、現実ＤＢに格納され、理論ＤＢは、案出モジュールにより提供された、当該モジュールのための理論上の制御を含んでおり、制御が予期されたとおり実行される場合は、同一の成長パターンが守られ、制御の実行が奇異な場合は、代わりの成長パターンが採用される。

【0054】

システムはさらに、構成における理論上の変化を考慮するために既存のマルウェアが反復操作される、マルウェア予測追跡アルゴリズムを備え、理論上の時間が経過するにつれて、マルウェアは案出モジュールと連携しながら進化し、カテゴリＡは、認識され削除されたことが実証された履歴を有する、確認済みのマルウェア脅威を表し、カテゴリＢは、システムがその存在を知っているが、絶対的な確信をもって認識および削除することができないマルウェアを表し、カテゴリＣは、システムにとってあらゆる面で完全に未知であるマルウェアを表し、マルウェア予測プロセスは、カテゴリＡから開始され、既知のマルウェアが案出モジュールに送られ、現時点で未知のマルウェアを表わす、バリエーションの候補を含むハイブリッド形状を生成し、そして、カテゴリＢに基づき、理論的なプロセスは、未知の脅威がどのようなものであるかについての最良の推定結果を表しており、カテゴリＣに基づくプロセスは、システムが知らない、予測しようとしている実際の脅威を表しており、既知で確認済みの反復操作の遷移を表すために、あるパターンが生成され、遷移パターンは、現時点で未知の脅威を予測するために使用される。

【0055】

システムはさらに、信用プラットフォーム内セキュリティ情報同期サービスを備えた、クラウドおよび階層化情報セキュリティによる重要インフラストラクチャー防護および返報（ＣＩＰＲ／ＣＴＩＳ）を備え、マネージドネットワークおよびセキュリティサービスプロバイダ（ＭＮＳＰ）内の多数のセキュリティアルゴリズム間で情報が流れ、企業イントラネット、エクストラネット、およびインターネット内の全ての企業トラフィックが、リアルタイムで遡及的なセキュリティ分析のために、ＶＰＮ経由でＭＮＳＰクラウドに中継され、遡及的セキュリティ分析においては、イベントと、それぞれのセキュリティ応答とトレイトが、今後の問い合わせのために格納されインデックス付けされ、共謀検知は、多数のセキュリティイベントに対する定期的な素性チェックを提供し、パターンや関係を判定しようと試み、並行する複数の進化系統が発達し選択され、反復操作された世代が、同一のＡＳＴバッチに適応し、最良のパーソナリティトレイトを有する系統が、最終的にはこのセキュリティ脅威に対して最も良く耐えることになり、リアルタイムセキュリティ分析においては、構文モジュールが、コンピュータのコードを読み書きするためのフレームワークを提供しており、目標モジュールは構文モジュールを用いてコードから目標を導出し、この目標を、自身の複合目標フォーマットに出力し、企業ネットワークとデータベースが、仮想環境内に複製され、取扱注意のデータが模擬（偽の）データと置き換えられ、単一擬態は、仮想難読化（保護）が分析的に完結したときに使用される、返報の形状を提供し、内部整合性チェックが、外来コードの全ての内部機能の辻褄が合っていることをチェックし、外来コード改訂が、構文モジュールと目標モジュールを使用し、外来コードを複合目標フォーマットにまとめ、秘密コード検知が、データおよび送信パケット内に密かに埋め込まれたコードを検知し、外来コードがシステムの目的全体にフィットしているかを判断するために、マップ化された要求および目標の階層構造が参照される。

【0056】

システムはさらに、企業システム内のあらゆるデジタル転送が、ＬＩＺＡＲＤのインスタンスを経由して中継される、論理的推論によるゼロデータベースの演繹型リアルタイム防御（ＬＩＺＡＲＤ）を備え、企業の外部へ出力される、または企業システムの外部から入力される全ての情報の経路は、ＬＩＺＡＲＤ ＶＰＮおよびＬＩＺＡＲＤクラウドを経由し、反復操作モジュール（ＩＭ）が、静的コア（ＳＣ）を使用して、ダイナミックシェル（ＤＳ）のコードベースを構文的に変更し、変更されたバージョンのＬＩＺＡＲＤが、疑似セキュリティ脅威（ＡＳＴ）によって、多数のさまざまなセキュリティシナリオのもとで（並行して）ストレステストを受け、ＬＩＺＡＲＤが行った判断の信頼性が低い場合、データ返送中継が、今後のＬＩＺＡＲＤの反復操作結果を改善するために、該当するデータをＡＳＴに中継し、疑似セキュリティ脅威（ＡＳＴ）は、反復操作プロセスを実行可能にするために、シミュレートされたセキュリティ脅威を伴う仮想テスト環境を生成し、ＬＩＺＡＲＤの静的コアが、論理的に必要な機能を、初期のより簡易な機能から導出し、構文モジュール機能によって直接読み解かれる任意の（汎用）コードを、任意に選ばれた既知のコンピュータ言語に変換し、コードロジックをより簡易な形状にまとめて、相互に接続された機能のマップを生成し、反復操作拡張は、目標の関連性を参照し、詳細と複雑性を追加して、単純なゴールを複合目標に進化させ、仮想難読化モジュールは、コードを徐々にかつ部分的に仮想化された偽の環境に浸すことで、コードを乱雑にし、制限し、マルウェアが、仮定に基づいて企業セキュリティシステムを迂回し、ＬＩＺＡＲＤが、入力されたコードのブロックの意図／目標について、低確信度の査定を有しており、疑問の余地のあるコードが密かに、データの半分が模擬（偽の）データと知的に混合されている環境に割り当てられ、実データ同期部が、混合環境に与えられるデータを、どの優先順位で与えるのかを知的に選択し、模擬データジェネレータは、偽造かつ無用なデータを作成するためのテンプレートとして、実データ同期部を使用する。

【0057】

システムはさらに、二重スパイが、取扱注意のファイルのコピーを目立たずに入手し、入手したファイルが、企業ネットワークの外側の詐欺的な宛先サーバに送られる、サイバースペースモジュールにおける秘密オペレーションによる秘密機械学習および返報を備え、リアルタイム分析および長期間分析のために伝達される標準ログが生成され、リアルタイム分析が、悪意のある活動をほぼ即時に認識して、それた実行する前に停止させ、長期間分析が、分析により多くの時間を掛けることによって、悪意のある挙動を認識する。

【0058】

システムはさらに、クリティカルシンキング・メモリ・パーセプションアルゴリズムであって、観察者のエミュレーションを生成し、全てのパーセプションポイント候補が、このような観察者エミュレーションを使用してテスト／比較される、クリティカルシンキング・メモリ・パーセプションアルゴリズムを備え、選ばれたパーセプションの優先順位が、重み付けの降順で選択され、ポリシーが切り捨てを選択する方法を定め、パーセプションおよび該当する重み付けが、そのインデックスとしての比較可能可変フォーマット（ＣＶＦ）とともに格納され、データ強化ログから導出されたＣＶＦが、パーセプションストレージのデータベース検索における判定基準として使用され、メトリック処理は、選択パターンマッチングアルゴリズム（ＳＰＭＡ）のセキュリティ応答からの変数をリバースエンジニアリングし、このセキュリティ応答の一部と、これに対応するシステムメタデータを使用して、セキュリティ応答の元のパーセプションを再現し、従来の構文ベースの情報カテゴリ化によって、デバッグおよびアルゴリズム追跡が、個別のカテゴリに分割され、このカテゴリは、セキュリティ上のリスクおよび対象と相関関係を有する、個別のセキュリティ応答をまとめ上げて生成するために使用される。

【図面の簡単な説明】

【0059】

本発明は、以下の添付図面と併せて詳細な説明を読むことで、より十分に理解される。

【図1】本発明に係るサイバーアラートアナライザのタスクフローを示す、流れ図である。

【図2】インターネットへのアウトバウンドトラフィックからの、ノード間データフローの例とともにサイバーアラートアナライザの各機能を示す、概略図である。

【図3】処理済みのデータ／イベントを（自身の第一層モジュールの分析機能に基づいて）組織の該当する部署に分配する、サイバーアラートアナライザを示す、概略図である。

【図4】コンピュータネットワークを示す、概略図である。

【図5】コンピュータデバイスを示す、概略図である。

【図6】本発明に係るセキュリティ管理方法を示す、流れ図である。

【図7】本発明に係るセキュリティサーバを示す、概略図である。

【図8】サイバーアラートアナライザの多層構造を示す、概略図である。

【図9】プロセス／ワークフローの全容であり、サイバーインシデントアナライザにおいて各種の概念が組み合わされる様子を示している。

【図10】サイバーインシデントアナライザにおいて、挙動分析が専門のまたは「サブの」アルゴリズムに分けられていく様子を示している。

【図11】サイバーインシデントアナライザのポリシーおよび挙動を示している。

【図12】共謀検知サブアルゴリズムを示す、概略図である。

【図13】外来エンティティ管理サブアルゴリズムを示す、概略図である。

【図14】情報型識別サブアルゴリズムを示す、概略図である。

【図15】メディアスキャナサブアルゴリズムを示す、概略図である。

【図16】特権分離分析サブアルゴリズムを示す、概略図である。

【図17】ユーザリスク管理サブアルゴリズムを示す、概略図である。

【図18】前述の各サブアルゴリズムを使用するセキュリティケースシナリオを示す、概略図である。

【図19】反復型知的成長アルゴリズムを示す、概略図である。

【図20】反復的進化アルゴリズムを示す、概略図である。

【図21】サイバー脅威インテリジェンス識別統合および分析アルゴリズムを示す概略図である。

【図22】休眠マルウェアセキュリティユースケースを示す、概略図である。

【図23-26】案出アルゴリズムを示す、概略図である。

【図27】セキュリティ挙動クラウドを示す、概略図である。

【図28】応答パーサアルゴリズムを示す、概略図である。

【図29】サイバー上の犯罪的で異常な挙動の検知および分析を示す、概略図である。

【図30】疑似セキュリティ脅威アルゴリズムを示す、概略図である。

【図31】監視／連携システムアルゴリズムを示す、概略図である。

【図32】セキュリティ審査モジュールアルゴリズムを示す、概略図である。

【図33-36】自動成長誘導アルゴリズムを示す、概略図である。

【図37-45】マルウェア予測追跡アルゴリズムを示す、概略図である。

【図46】反復的成長アルゴリズムおよび反復的進化アルゴリズムの依存構造を示す、概略図である。

【図47】進化系統および情報型識別サブアルゴリズムの依存構造を示す、概略図である。

【図48】共謀検知、メディアスキャナ、および特権分離分析の各サブアルゴリズムの依存構造を示す、概略図である。

【図49】ユーザリスク管理サブアルゴリズム依存構造を示す、概略図である。

【図50】外来エンティティ管理および応答パーサの各サブアルゴリズムの依存構造を示す、概略図である。

【図51】セキュリティ挙動クラウドの依存構造を示す、概略図である。

【図52】案出アルゴリズムの依存構造を示す、概略図である。

【図53】疑似セキュリティ脅威アルゴリズムの依存構造を示す、概略図である。

【図54】自動成長誘導の依存構造を示す、概略図である。

【図55】セキュリティ審査モデルの依存構造を示す、概略図である。

【図56】監視連携システムの依存構造を示す、概略図である。

【図57-58】セキュリティ攻撃動機と、それを読み解く手段の全容である。

【図59】ハードウェア／ソフトウェアベンダや法執行機関などの第三者と連携する、信用プラットフォームを示す、概略図である。

【図60-66】マネージドネットワークおよびセキュリティサービスプロバイダ（ＭＮＳＰ）をマネージドネットワークおよびセキュリティサービスプロバイダ（ＭＮＳＰ）構成する、各アルゴリズムの全容を示す、概略図である。

【図67-72】論理的推論によるゼロデータベースの演繹型リアルタイム防御（ＬＩＺＡＲＤ）アルゴリズムの全容を示す、概略図である。

【図73】秘密のオペレーション上の分析およびアルゴリズムによる適切なソリューションに関する犯人の攻撃元区分を列挙する、概略図である。

【図74-75】クリティカルシンキング・メモリ・パーセプション（ＣＴＭＰ）アルゴリズムの機能的全容を示す、概略図である。

【図76-78】クリティカルシンキング・メモリ・パーセプション（ＣＴＭＰ）アルゴリズムの依存構造を示す、概略図である。

【図79】セキュリティイベントを処理するコンピュータセキュリティシステムを示す、概略図である。

【図80】サイバーセキュリティシステムとそのサブアルゴリズムを示す、概略図である。

【図81】反復型知的成長の方法を示す、流れ図である。

【発明を実施するための形態】

【0060】

疑陽性とは、異常であるまたは悪意があると識別された、正常または予定通りの任意の挙動である。疑陽性が起こり得るのは、（１）正当なアプリケーションの中には、ＩＥＴＦ ＲＦＣに厳密には従っていないものもあり、そのようなアプリケーションが稼働しているときに、当該ＲＦＣに書かれているシグネチャが疑陽性の引き金になる可能性があり、（２）異常検知システムの訓練段階で遭遇しなかったアプリケーションが稼働しようとすると、そのアプリケーションがアラートの引き金になりやすく、（３）あるシグネチャの記述が広範に過ぎることがあるために正当なトラフィックと不当な両方のトラフィックを含んでしまう可能性があり、（４）ある組織のある領域では異常な挙動が容認されうる一方で、それが他の領域では非常に疑わしい場合がある、からである。例として、ＮＢＴ（ＮｅｔＢＩＯＳ ｏｖｅｒ ＴＣＰ／ＩＰ）トラフィックは、Ｗｉｎｄｏｗｓ ＬＡＮ環境では一般的であるが、インターネット上では通常予期されるものではない。上記は疑陽性が起こり得るリストの全てでなはいが、ＩＤＳ、ファイアウォール、ＤＬＰ、及び他のサイバーセキュリティアプリケーション／システムは、疑陽性が起こり得る最もありふれた場所である。疑陽性は、サイバーセキュリティシステムを実装する人間が直面する最大の問題の一つである。疑陽性によって生じる重大な問題は、その疑陽性が正当なアラートを容易に圧倒してしまうことである。疑陽性を引き起こすたった１つのルールが、何千ものアラートをたやすく短時間に生じ得る。１人のアナリストが５分毎に１件のアラートを審査できると仮定すると、そのアナリストは１日におよそ１００件のアラートを審査できることになる。５分おきに１件のアラートを審査するとなると、徹底した分析を行うには速すぎるが、アラートの中には徹底した分析を必要としないとものもあり、分析にかかる平均時間を減らせると仮定できる。これらの数値を目にすると、少数の疑陽性が正当なアラートを圧倒し得ることは明白である。疑陽性を繰り返し引き起こすルールによるアラートは無視されたり無効化されたりすることが多い。それから後、組織はその問題となっているルールが探していた攻撃を、実質的に看過するようになる。ほとんどどのようなルールであっても疑陽性は生じ得る。サイバーセキュリティシステム管理の技術は、該当する攻撃を組織に看過させることなく、いかに疑陽性を最小限にするかを学習することである。

【0061】

図１〜３を参照して、本発明は、イベント／データを部分ごとに分割し、それらの相互関係を検討することで、そのイベント／データを系統的に検査するシステムを提供する。

【0062】

民用既製品または他のソフトウェアを備えたコンピュータやデバイス等のＩＣＴシステムから生成されたデータイベントは、氏名、アドレス、社会保障番号、雇用主番号、特定の文言、画像、ファイル型、ファイルのサイズ、日付、曜日、月、年、時刻等を含む固有の判定基準に基づくデータ／イベントを生成する。

【0063】

このようなデータ／イベントは、種々の判定基準により検証され、その判断基準には疑陽性、真陽性、ノイズ等がある。

【0064】

このシステムのワークフローは、データ／イベントの分割、データ／イベントの処理、及び転送通知の各プロセスを有する。

【0065】

データ／イベントの分割は、例えば、職能組織（行動指針グループ／人事、総括監察官、プライバシー、情報開示、ポリシー、セキュリティ、労働組合、等）、重大度（高、中、低、等）、データ量（ファイルサイズ、項目数等）、及びインテリジェンスカテゴリ、などを含む判定基準に基づいている。

【0066】

データ／イベントの処理は、例えば、与えられた判定基準（例えば、疑陽性、プライバシー関連、等かどうか）に基づいている。処理は、特定の職能組織にいるスタッフに承認等を求めるための処置レポート／フォームにデータを入力することを含む。フォームは、組織固有の要件、判定基準、等に基づいて作成される（例えば、プライバシーフォーム、情報開示フォーム、人事フォーム、等）。

【0067】

データ処理の後、与えられた判定基準（例えば、疑陽性、プライバシー関連等）に従い、メールを転送する、または他の方法で、フォームへの承認を求める通知がそれぞれの組織／人物に送信される。より重大な／付加的な判定基準（例えば、１日、１週間、１月、等に、同一の個人から５件以上のインシデントがある、通知が総括監察官宛である、等）に対しては、通知は着手される処置に基づき、マネージャ、上層部、特定の組織へ送信される。

【0068】

レポート（及び／またはアラート）はリアルタイムまたは準リアルタイムベースで即時に、そして静的または動的に与えられる。レポートの内容は、例えば、いくつかのインシデント、ならびに、組織別及び型別に特定の情報、等を含み得る。

【0069】

サイバーセキュリティシステムからのセキュリティイベントを審査すると、このシステム（サイバーイベントアナライザ）は、そのセキュリティイベントが真陽性か疑陽性かを検証する（疑陽性以外の、他の判定基準が扱われ得る）。セキュリティイベントが疑陽性でないと検証された場合、サイバーイベントアナライザは、セキュリティイベントが、（１）疑われる意図的または無許可の情報開示、（２）疑われる意図的でない情報開示、または（３）疑われる内部ポリシー違反、等であるかどうかを判断する。サイバーイベントアナライザは、３つの場合全てに共通して、（ａ）インシデント候補として分類するための、特定のフォーム／レポートへのデータの入力、（ｂ）インシデントとして分類するための、フォームの内容の検証、（ｃ）さらなる処置のため、ＣＵＩ／ダッシュボード上に完成したフォームを表示することによる、それぞれの組織への通知、及び、（ｄ）万が一ネガティブインシデントである場合にポリシー変更を行うための、インシデント収集システムへのフィードバック、および／または（ｅ）組織固有の判定基準に基づく修正処置、の各タスクを実行する。

【0070】

図１を参照して、本発明の階層構造を再び手短に説明する。第一層モジュールは、与えられたネットワークイベントに対して疑陽性検証を行う。第一層モジュールは、外部ネットワークセキュリティシステムから提供されたアラートを検証してもよいし、自分自身でコンピュータネットワーク内のデータ通信をモニターしてもよい。第二層モジュールは、総括監察官、プライバシー、セキュリティ、等を含む判定基準に基づいて、部署特定の分別を行う。第３層モジュールは、インシデントの明確化を行う。つまり、第３層モジュールは、コンピュータネットワークで生成されたあるアラートに関連するデータ通信が、本当にそのネットワークへの脅威であるかどうかを分析し判断する。第４層モジュールは、修正処置、セキュリティ脅威修復、科学捜査情報レポート、および被害軽減などの査定を行う。

【0071】

図４および６を参照して、コンピュータネットワーク１０における組織１２のセキュリティ管理の方法を説明する。ネットワーク１０は、複数のコンピュータデバイス１４を有する。方法は、１台または複数台のコンピュータデバイスから生成されたアラート、およびそのアラートに関連するインシデント候補のためのデータ、を受信することＳ０１、インシデント候補についてデータを分析することＳ０２、第一の選別判定基準のもとで、そのインシデント候補がセキュリティ脅威であるかどうかを判断することＳ０３、および、そのインシデント候補がセキュリティ脅威でないと判断された場合、第一の調査ルールのもとでそのインシデント候補について第一の調査を行うことＳ０４。

【0072】

図３を参照すると、組織１２は複数の部署１６を有する。第一の調査のステップＳ０４では、そのインシデント候補を組織１２に属する複数の部署１６の１つに割り当てる。

【0073】

方法はさらに、そのインシデント候補を指定された部署にレポートすることＳ０５、および、指定された部署が、インシデント候補がインシデントであるかどうかを判断することＳ０６、を有する。

【0074】

インシデントを判断するステップＳ０６は、第２の調査ルールのもとで第２の調査を行うステップＳ０７を有する。第２の調査ルールは、部署固有の判定基準（例えば、プライバシーインシデント、情報開示インシデント、犯罪インシデント、セキュリティインシデント、等）を含む。

【0075】

方法はさらに、アラートまたはインシデント候補がインシデントであるとされた場合に、リスク査定プロセスを行うステップＳ０８、を有する。

【0076】

第一の調査ルールは、インシデント候補のためのデータの感度に関連する調査判定基準にしたがって部署を割り当て、各部署の役割を割り当てている。

【0077】

調査判定基準は、インシデント候補のためのデータが、疑われる意図的情報開示であるかどうか、インシデント候補のためのデータが、疑われる無許可の情報開示であるかどうか、および、インシデント候補のためのデータが、疑われるポリシー違反であるかどうか、を含んでいる。

【0078】

インシデント候補のためのデータが、意図的または意図的でないが無許可の疑われる情報開示と判断された場合、電子的犯罪を扱う部署１８が指定され、インシデント候補のためのデータが、意図でないが許可された疑われる情報開示であると判断された場合、プライバシーインシデントを管理する部署２０が指定され、そこで、インシデント候補のためのデータがそれ以外と判断された場合、セキュリティオペレーションセンターの機能を有する部署２２が指定される。

【0079】

図５を参照すると、各コンピュータデバイス１４に、セキュリティ選別プログラム２４がインストールされている。セキュリティ選別プログラム２４は、インシデント候補を見つけ出すために、コンピュータデバイス１４を通過するネットワークトラフィックを選別する。所定の選別ルール２８のもとでインシデント候補を見つけた場合、セキュリティ選別プログラム２４はアラート３０を生成する。あるいは、各コンピュータデバイスにインストールされているセキュリティ選別プログラムをインストールする必要なしに前述の機能を実行するために、ネットワークまたはサイバーセキュリティの選別サーバ／デバイスが、任意の企業／組織のインバウンド／アウトバウンドトラフィックをモニターすることができる。

【0080】

方法はさらに、インシデント候補２６がインシデント３４ではないと判断された場合に、選別ルール２８を変更するためのフィードバックソリューション３２を作成することＳ０９、そして、選別ルールフィードバックレポート３６を生成して各コンピュータデバイスに送信することＳ１０の各ステップを有する。この選別ルールフィードバックレポート３６には、選別ルール２８を変更するためのフィードバックソリューション３２が含まれている。

【0081】

本実施形態において、第一の選別判定基準は疑陽性である。方法はさらに、インシデント候補２６が疑陽性であるかどうかを判断するステップＳ０３において、インシデント候補２６が疑陽性であると判断された場合、疑陽性レポート３８を生成して各コンピュータデバイス１４のセキュリティ選別プログラム２４に送信するステップＳ１１を有する。

【0082】

疑陽性レポートを生成するステップＳ１１において、疑陽性レポート３８には、選別ルール２８を変更するためのソリューションが含まれている。

【0083】

方法はさらに、インシデント候補２６を調査するステップＳ０４の後で、インシデント候補２６を記述する既定のインシデント評価フォームにデータを入力するステップＳ１２、および、データが入力されたインシデント評価フォーム４０を既定のフォーム検証ルールのもとで検証するステップＳ１３、を有する。既定のインシデント評価フォームおよび既定のフォーム検証ルールが、指定された部署ごとに異なるカテゴリに関連している。

【0084】

図７を参照すると、セキュリティサーバ４４は、組織１２のコンピュータネットワーク１０におけるセキュリティを管理している。セキュリティサーバ４４は、コンピュータネットワーク１０と通信可能に結合された第一レベルモジュール４６を備え、１台または複数台のコンピュータデバイス１４から生成されたアラート３０、およびアラート３０に関連するインシデント候補２６のためのデータ、を受信し、インシデント候補２６についてデータを分析し、インシデント候補２６が疑陽性であるかどうかを判断し、そしてインシデント候補２６が疑陽性でないと判断された場合、第一の調査ルールのもとで、インシデント候補２６について調査を行う。

【0085】

セキュリティサーバ４４はさらに、第一レベルモジュール４６と動作可能に接続された二次レベルモジュール４８を備える。各部署１６は、二次レベルモジュール４８を有している。第一レベルモジュール４６は、組織１２に属する複数の部署１６のうちの１つが有する二次レベルモジュール４８に、インシデント候補２６を割り当てる。

【0086】

第一レベルモジュール４６は、指定された部署１６が有する二次レベルモジュール４８に、インシデント候補２６をレポートする。指定された部署１６が有する二次レベルモジュール４８は、インシデント候補２６がインシデント３４であるかどうかを判断する。

【0087】

二次レベルモジュール４８は、第２の調査ルールのもとで、インシデントを判断する。

【0088】

インシデント候補２６がインシデント３４であると判断された場合、二次レベルモジュール４８は、リスク査定プロセスを実行する。

【0089】

インシデント候補２６がインシデント３４ではないと判断された場合、二次レベルモジュール４８が、選別ルール２８を変更するためのフィードバックソリューション３２を作成し、選別ルールフィードバックレポート３６を生成し、各コンピュータデバイス１４に送信する。

【0090】

インシデント候補２６が疑陽性であると判断された場合、第一レベルモジュール４６が疑陽性レポート３８を生成してコンピュータデバイス１４のセキュリティ選別プログラム２４に送信する。

【0091】

第一レベルモジュール４６は、インシデント候補２６を記述する既定のインシデント評価フォーム４０にデータを入力し、データが入力されたインシデント評価フォーム４６を、既定のフォーム検証ルール４２のもとで検証する。このようにして、特定のインシデントに対処するための修正処置が、組織／部署固有の判定基準、ポリシー、法令、等に基づいて提供される。

【0092】

図９〜１１は、サイバーセキュリティのためのアルゴリズムの詳細を示している。１つの主要な挙動アルゴリズム（多数のサブアルゴリズムから入力を受信する）は、組織の挙動によって駆動され、（１）動的ポリシー、（２）自動分析、（３）即時／リアルタイムの修正処置、および（４）挙動、ポリシーおよびその他のルール変更、のために必要に応じて適宜人員を投入することを確実なものにする。

【0093】

これらのアルゴリズムは、（１）異常、（２）データのパターン／完全マッチング、（３）動的データ／フロー分析（リアルタイム）、（４）経験的知識および／または履歴データ／証拠、（５）自己学習、および（６）インテリジェント仮想エージェントを有する人工知能（ＡＩ）を利用している。

【0094】

図９は、プロセス／ワークフローの全容を示しており、各種の概念が組み合わされる様子を示している。
・挙動モジュールは、「メタデータ」からなるＤＢにアクセスする。
・ＤＢ内の「メタデータ」には種々のカテゴリが存在しており、一つ一つのカテゴリが、サブアルゴリズムで代表される。
・このようなデータは、本質的に、種々の概念と確信度の格付けとのつながりを引き出すものである。カテゴリは典型的には４つのカラム：参照識別子、概念ａ、概念ｂ、アルゴリズムが決定する関連性インデックス（該当するサブアルゴリズムの出力を意味する）が含まれている。
・汎用の「コンビネーション」アルゴリズムは、種々のカテゴリ間の有益なリンクを合成する。
・汎用のアルゴリズムからの結果出力に基づいて、反応が決定される。

【0095】

上記の論理フローは、図９に示す、列挙されたポイントを包含する。鍵になるのは、並列に実行される複数のサブアルゴリズムを有することと、入力を処理し出力を格納することである（たとえその出力の品質が低いまたは未知のものかもしれないとしても）。そして、汎用のアルゴリズムは、この情報プールから最も該当する情報を得るために、ある簡易な格付けを実施し、挙動モジュール全体の最終結果を出力し、それと同時に、メタデータの品質を向上させるために、いくつかのデータベース行を変更／削除することによって、ＤＢへのフィードバックを行う。このことは、次の図で明瞭かつ詳細に説明する。

【0096】

図１０は、挙動分析がどのように専門の、または「サブの」アルゴリズムに分けられていくのかを示している。メインの、または「コンビネーション」アルゴリズムは、主要セキュリティ分析などの所望の最終結果を伝達しており、一方で、専門のまたは「サブの」アルゴリズムは、個々のタイプのセキュリティ問題をカテゴリする（あるアルゴリズムは社会保障番号を分析し、別のアルゴリズムは場所の分析を実施し、また別のアルゴリズムは名前を分析する、等のように）。

【0097】

サブアルゴリズムはコンビネーションアルゴリズムとは独立して生成され、結果をＤＢに入力する（たとえ、その結果が低品質なものであっても）。コンビネーションアルゴリズムの補佐をする「高確信度フィルタ」は、有意で高品質な結果が出力されることを確実にすることに携わるものである。ＤＢに低品質な結果が格納されていることは重要である。なぜなら、それらの低品質な結果も、高品質なものへと発達する可能性があるからである。

【0098】

例えば、あるサブアルゴリズムが場所に関する異常を捉えたようであるが、それを証明する証拠が非常に少ない（低い確信度）。時間の経過とともに、より多くのデータを通じて、その異常がついには、コンビネーションアルゴリズムが高確信度フィルタ経由で捉える高い確信度のセキュリティ脅威に発達し、人間に届けられる最終出力に伝達される。低確信度のものが低確信度なままであることも時にはあるものの、低確信度なものの価値はその可能性にあるので、低確信度のままであることが許容される。

【0099】

図１１は、ポリシーおよび挙動を示している。

【0100】

図９を詳細に説明する。このフローチャートは、情報分析のメインシーケンスを表している。
・入力されたイベントはまず、いくぶん簡易で静的なポリシールールに基づいて無害化される。
・パターンマッチングモジュールは、確立された挙動パターンを、会社／企業のデータベースと合わせて使用し、非常に弱いアラート（実質的な疑陽性）を除去する。疑陽性は未だ記録されているものの、人間による審査の可能性があるため、「スパムフィルタ」風の場所に置かれる。
・イベントが初期パターンマッチング層を通過する場合、イベントはカテゴリプロセスを通過し、カテゴリプロセスは、ポリシーと挙動の組み合わせを利用して、部署およびアラートの重大度を決定する。
・相応しい部署および重大度の情報を伴ったこのようなイベントは、該当する部署のコンソール（固有コンソール）に表示され、また汎用コンソールにも表示される。汎用コンソールは、全てのセキュリティ活動を閲覧することに関心のある、いくつかの部門の従業員に適用される。
・実行が推奨される処置がＡＩによって利用可能になる場合には、該当するコンソールにその処置が表示される。

【0101】

図１０を詳細に説明する。独立スレッドマネージャが、該当するサブアルゴリズムに情報処理リクエスト（「サブリクエスト」）を送信する。そのサブアルゴリズムは、非常に寛容な／甘いフィルタを使用して、別途用意された自身のデータベーステーブルに処理済データを格納する。このフィルタは、元は低品質であった結果から、高品質の結果の候補を徐々に築き上げるようなものとして調整される。別途用意されたスレッドマネージャは、並行してリクエストをコンビネーションアルゴリズムに送信する。コンビネーションアルゴリズムは、コンビネーションリクエストの型によっていくつかのサブアルゴリズムの組み合わせを使用する。結果は、高品質／高確信度の基準に基づいて選択される。

【0102】

図１１を詳細に説明する。
ポリシー：
人間は、実際はルールデータベースに置かれている静的ルールを直接作成／変更する。人間は、「大規模ルール」の作成を通じて、複数の静的ルールセットを作成してもよい。大規模ルールに属する小規模ルールは自動的に導出される。
挙動：
人間は、イベント情報を受け取り、分類の度合いの候補及び／または着手すべき処置についてのオプションが与えられる。このような判断は、二者択一の「ｙｅｓ」か「ｎｏ」（および「スキップ」）に基づいて行われるかもしれない。このような挙動履歴はすべて記録され、そこから、変化が徐々に起こる安定した状態における動的ルールがルールデータベースに反映される。

【0103】

人的管理部は、該当するＡＩがそのような履歴に基づいて行った判断とともに、人間の挙動履歴を監督する。人的管理部は、静的ルール作成変更に関する監督も行う。

【0104】

共謀検知
図１２は、共謀検知サブアルゴリズムを示している。このサブアルゴリズムは、多数の「共謀」セキュリティイベントに対する定期的な素性チェックを提供し、一見無関係なセキュリティイベント同士のパターンや関係を判定しようと試みる。出力は、主に人間のサイバーセキュリティアナリストの便宜のためであって、さらなるＡＩ的な処置を行うためではない。

【0105】

重大なセキュリティイベントは、情報型識別部５０によってパースされ、該当する全ての属性の情報（ＩＰアドレス、時刻、場所、社会保障番号、等）が導出される。これらの変数は、外部のポリシー及び挙動の解釈によってチェックされ、これらのイベント属性が、処理のための閾値を超えているかどうかが確認される。

【0106】

本実施形態において、
抽出された情報は以下の通りである
ユーザＩＤトークン：Ａ１Ｂ２Ｃ３
ＩＰアドレス：１１２．２０．１９０．１７６
タイムスタンプ：１４３９２２６５０４
閾値チェック：Ｙｅｓ。このセキュリティイベントは処理されるに十分なほど重大である。

【0107】

並列属性５２を参照すると、導出された全ての属性が特定のＤＢに登録され、共謀検知サブアルゴリズムの将来の反復操作結果のために使用される。

【0108】

本実施形態において、
警戒すべき対象の属性をここに示す。
ユーザＩＤトークン：Ａ１Ｂ２Ｃ３
ＩＰアドレス：１１２．２０．１９０．１７６
タイムスタンプ：１４３９２２６５０４

【0109】

並行比較５４を参照すると、類似度を調べるために、ありとあらゆる可能な組み合わせの属性がまとめられ、特定のＤＢに対して照会される。類似度を調べるために検索される仮定のセキュリティイベントは以下の通りである。
１）同一の社会保障番号および同一の発生時刻を有する複数のセキュリティイベント。
２）同一のＩＰ ＬＡＮサブネット範囲、同一の個人電話番号、および同一の個人アドレスを有する複数のセキュリティイベント。
３）同一ドメイン名に属する種々の電子メールアドレスを有する複数のセキュリティイベント。
４）幽霊ドメイン名への対策を講じるために、ドメイン名と、ドメイン名が指すと考えられるＩＰアドレスを有する、複数のセキュリティイベント。

【0110】

プレゼンテーション５６を参照すると、これまでに作成された、何らかの該当する傾向または関係が、人間が読める形式に処理され、管理コンソールに通知され、コンソールのデータが更新されてあらゆる有意な変化が反映される。

【0111】

本実施形態において、
コンソール管理スクリーンに、中国に端を発する、高危険度の協調攻撃が表示される。

【0112】

外来エンティティ管理
図１３に、外来エンティティ管理サブアルゴリズムを示す。このサブアルゴリズムは、認知された外来の脅威によって企業の隔離ネットワークに求められるものに基づいて、それら脅威の重大度を絶えずアップグレード／ダウングレードすることにより、それら外来の脅威を管理している。このサブアルゴリズムは、外来の脅威らしきものへのパーセプションを高めるために、第三者情報も受信する。

【0113】

ネットワークイベント５８が、情報型識別サブアルゴリズムによってパースされる。情報型識別サブアルゴリズムは、図１４を参照して後述する。ネットワーク上の発信元および関係するユーザ（該当する場合）は、求められる２つの主要変数である。

【0114】

本実施形態において、
ネットワーク上の発信元：１１２．２０．１９０．１７６
ユーザＩＤトークン：Ａ１Ｂ２Ｃ３

【0115】

このネットワーク上の発信元は、セキュリティ警戒リスト６０に照らしてチェックされ、セキュリティ警戒リスト６０は、信用できる第二者または第三者によって保守される。第二者または第三者は、企業の組織機構の内にあっても外にあってもよい。

【0116】

本実施形態において、第二者または第三者曰く：このＩＰアドレスには、ある好ましからぬセキュリティ上の前歴がある。

【0117】

ユーザ情報が見つかった場合、そのユーザは、ユーザリスク査定サブアルゴリズム６２によりチェックされる。

【0118】

本実施形態において、
ユーザリスク管理：ユーザＡ１Ｂ２Ｃ３は、リスク係数が７５％であり、取扱注意の社会保障番号を扱わせるべきではない。

【0119】

リスク集約部６４を参照して、外部のポリシー及び挙動に左右される閾値に基づいて、全ての該当する結果が考慮され集約される場合。

【0120】

本実施形態において、
現時点のポリシーおよび挙動に基づいて、このＩＰアドレスは、システムの利用を長期にわたり禁止すべきである。

【0121】

デポジット６６を参照すると、学習された新しい情報はいずれも、今後の参考のため、特定のデータベースに登録される。

【0122】

本実施形態において、
ＤＢへのデポジット：ＩＰアドレス１１２．２０．１９０．１７６は禁止されている。
ユーザリスク管理へのデポジット：ユーザＡ１Ｂ２Ｃ３は、考えられていたよりさらに危険であり、このユーザに関する情報を、いくらかここに示す。

【0123】

情報型識別部
図１４に、情報型識別サブアルゴリズムを示す。このサブアルゴリズムは、未知データの型／性質を判定する。このサブアルゴリズムは、未知データが社会保障番号、自宅住所、電話番号、等のどれであるかを判断できる。このサブアルゴリズムは、自身が選択したデータ型への確信度を申告し、その確信度が低すぎる場合は、失敗フラグを返す。

【0124】

参照符号６８を参照すると、未知データが入力されている。実際のコードでは、並列化を目的として、入力は一括で行われている。

【0125】

本実施形態において、
１２３−４５−６７８９が入力で与えられている。

【0126】

属性の抽出７０を参照すると、長さ、数字／文字比、特殊文字などの属性が、導出される。

【0127】

本実施形態において、
属性は、９つの数字、数字／文字比が１００％、２つのダッシュを有する、である。

【0128】

ＤＢ共通部分判定７２を参照すると、照合のためにＤＢのデータポイントが選択される。

【0129】

本実施形態において、
データベースへの照会：９つの数字、数字／文字比が１００％、２つのダッシュを有すると定義されたデータ型は存在するか？

【0130】

キャッシュバイパス７４を参照すると、照合のために、まずキャッシュがチェックされる。

【0131】

本実施形態において、
キャッシュへの照会：前回、これと似たリクエストをした。そのときの返答は何か？また、どのくらい確信があったか？（もしあれば）

【0132】

確信限界の計算７６を参照すると、確信度レベルを求めるために結果が処理される。

【0133】

本実施形態において、
社会保障番号の判定基準に１００％一致した。よって、これが社会保障番号であることに、１００％の確信がある。

【0134】

低確信度の除去７８を参照すると、結果に対する確信について閾値切捨が適用される。閾値は動的であってもよい。

【0135】

本実施形態において、
確信が１００％であるので、これが社会保障番号であるという判断が出力に回される。

【0136】

確信パターンのキャッシュ８０を参照すると、型親和性と属性の構成とを関係づけるためにパターン検知が実行される。高確信度を有するパターンはキャッシュに格納され、ＤＢは計算されたパターンを含まないが、型と属性の静的な関連付けを含む。

【0137】

本実施形態において、
パターンルールの生成：全体の長さが１１で、の文字列が存在する場合、９つの数字と２つのダッシュが含まれている場合、これが社会保障番号であることは１００％確かなので、ＤＢに問い合わせることもしない。

【0138】

出力８２を参照すると、結果がＡＰＩに合わせて編集され、出力される。

【0139】

本実施形態において、
ＡＰＩのシンタックスへの出力：これが社会保障番号であることは、１００％確かである。

【0140】

メディアスキャナ
図１５に、メディアスキャナサブアルゴリズムを示す。

【0141】

このサブアルゴリズムには、文書／写真等が与えられ、このようなメディアの予期された構成に対して、違法な情報の転送、および一貫性のない／疑わしい挙動がないかチェックする。

【0142】

メディアイベント８４を参照すると、（初期メディアパース）、文書／写真が受信され、メディアパースが実行され、情報内で疑われるポイントがハイライトされる。疑われるポイントには、メタデータ、または文書等のＲＡＷフォーマットに隠された情報が含まれる。

【0143】

本実施形態において、
データおよびメタデータがスキャンされる。

【0144】

情報型識別部８６を参照すると、情報の疑われる重要なポイントが、情報型識別部によって処理される。ユーザＩＤは、どんなものでもユーザリスク管理サブアルゴリズムに渡される。他の全ての情報が、汎用パーサに渡される。

【0145】

本実施形態において、
関心ポイントの候補が見つかった
見つかったユーザＩＤトークン：Ａ１Ｂ２Ｃ３
複数の社会保障番号が見つかった

【0146】

参照番号８８、９０、および９２を参照すると、汎用パーサは、リスクオブジェクトＤＢと連携することで、ファイル内に存在する、極めて危険な関連性を探す。例えば：文書内のある社会保障番号が、リスクオブジェクトＤＢで見つかっており、この社会保障番号は、この２４時間でリークされたことが疑われていると判明している。よって、この文書は最終的には転送をブロックされ、リスクオブジェクトが生成され、ユーザリスク管理アルゴリズムには、このインシデントへの、該当するユーザの関与が、通知される。

【0147】

本実施形態において、
見つかった社会保障番号のうちの１つが、この２４時間でリークされた社会保障番号を有する共通の文書に存在する。

【0148】

参照番号９４を参照すると、このファイルをブロックするか許可するかの判断を行うために、結果が合成され、パースされる。

【0149】

本実施形態において、
見つかったユーザは高いリスク係数を有し、複数の社会保障番号の漏洩で不正の前歴を有しており、このファイル内の社会保障番号の１つが他のファイルに見つかっており、この他のファイルには、この２４時間でリークされた他の社会保障番号が含まれている。
これら全ての情報により、このメディアの搬送をブロックする。

【0150】

特権分離分析
図１６に、特権分離分析サブアルゴリズムを示す。このサブアルゴリズムは、任意のユーザやプロセスがそれらに許可された特権割り当ての範囲内にあるかどうかを判定する。このサブアルゴリズムは、絶え間なく起動されるよう設計されており、任意のユーザやプロセスに、それらが活動しているセクターに存在することが許可されているかどうかを判定するウォッチドッグプロセスである。このプロセスは、マスタープロセスから背景情報を与えられ、自らは能動的に情報を探さない。いかなる特権違反も、確認されると直ちにマスタープロセスとセカンダリプロセスにレポートされ、セカンダリプロセスは、マスタープロセスが結局その特権違反に対して何らかの行為を行ったのかをダブルチェックしている。

【0151】

ユーザ許可イベント９６が送信される。このようなイベントは直接人間によるものとは限らず、許可を検証される必要のあるユーザアカウントを使用するプロセスである場合もある。ユーザＩＤトークンと、リクエストされたアクセス／変更の場所が、情報型識別サブアルゴリズムにより抽出され、該当するスレッドマネージャへ送られる。

【0152】

本実施形態において、
見つかったユーザＩＤトークン：Ａ１Ｂ２Ｃ３
リクエストされた場所：人事部の社会保障番号フォルダへの許可がリクエストされた：読み取り専用（変更なし）

【0153】

場所スレッドマネージャ９８を参照すると、スレッドマネージャは、場所情報を受信し、アクセス／変更が許可されているのが誰であるかを調べるために、場所データベースを呼び出す。

【0154】

本実施形態において、
データベースへの質問：人事部の社会保障番号フォルダからファイルを読み出すことが可能な全ての人は？

【0155】

ユーザスレッドマネージャ１００を参照すると、このスレッドマネージャは、ユーザ情報を受信し、アクセス／変更が許可されている場所はどこかを調べるために、ユーザデータベースを呼び出す。また、このスレッドマネージャは、この特定のユーザに対して予防ポリシーの範囲でブロックすべき、危険な場所の候補を得るために、ユーザリスク管理サブアルゴリズムも呼び出す。

【0156】

本実施形態において、
ユーザＡ１Ｂ２Ｃ３は、このリストにある２５個のフォルダからの読み出しが許可されている。
ユーザリスク管理サブアルゴリズムによると、このユーザに対して、これらのフォルダへのアクセスをブロックすべきである。

【0157】

ユーザ許可バンク１０２は、当該ユーザの許可属性を固有ＤＢ１から受信し、場所スレッドマネージャから、当該ユーザがこの場所においてリクエストされた処置を行うことを許可されているかどうかを確認する問い合わせを受ける。その結果は、許可アグリゲータに登録される。

【0158】

本実施形態において、
ユーザＡ１Ｂ２Ｃ３は、人事部の社会保障番号フォルダに対する読み出しと書き込みが可能である。

【0159】

場所許可バンク１０４は、当該場所の許可要件を固有ＤＢ２から受信し、ユーザセキュリティリスクのため、予防措置としてどこかの場所をブロックすべきかどうかを判断するあるスレッドからの問い合わせを受ける。予防措置レベルの閾値は、外部のポリシー及び挙動を経由して決定される。

【0160】

本実施形態において、
人事部の社会保障番号フォルダは、ユーザＡ１Ｂ２Ｃ３により読み出し可能である。しかし、このユーザは７５％の危険度があり、また社会保障番号を扱うことについて不正の前歴があるため、予防措置として、このユーザをブロックすべきである。

【0161】

許可アグリゲータ１０６は、ユーザ許可バンク１０２と場所許可バンク１０４の双方の結果ストリームを論理的に合成し、自身の意見を出力へ送る。

【0162】

本実施形態において、
ユーザＡ１Ｂ２Ｃ３は、人事部の社会保障番号フォルダに存在するいかなるものへの読み出しもブロックされている。

【0163】

ユーザリスク管理
図１７に、ユーザリスク管理サブアルゴリズムを示す。このサブアルゴリズムは、ユーザ（従業員または他の人間の可能性がある）の記録に対する総合リスク査定を求める。リスク要因は、以前のポリシー違反、過度な使用状況、遂行された疑わしい操作、等である。必須の入力は、ユーザＩＤトークンであり、出力は、リスクの重大性の種々の関連オブジェクトを伴った総合リスク査定パーセンテージである。これらのオブジェクトは、さらなる分析のため、他のサブアルゴリズムから個別にアクセス可能である。任意の入力は、当該ユーザに関連するリスクオブジェクト参照である。そして、ユーザリスク管理サブアルゴリズムは、リスクオブジェクトと当該ユーザとの紐付けを記録し、デフォルトではリスク査定を出力しない。

【0164】

ユーザＩＤトークン１０８が、リスク査定レポートの生成、またはリスクオブジェクト参照のデポジットのいずれかのために提供される。このようなデポジットは、ユーザのリスク履歴を構築するために行われ、このような使用状況のケースについては、有意な出力は与えられない。

【0165】

本実施形態において、
ユーザＩＤトークン：Ａ１Ｂ２Ｃ３のリスクオブジェクト参照：なし

【0166】

リスクオブジェクト参照１１０が提供されると、将来の参照のためにデータベースへのデポジットが行われ、アルゴリズムインスタンスは実行を終える。

【0167】

本実施形態において、
リスクオブジェクト参照は与えられていないので、ＤＢへのデポジットは行われない

【0168】

レポートの開始１１２を参照すると、リスクオブジェクト参照のデポジットは行われない。そこで、スレッドマネージャはレポートの作成を要求する。当該ユーザのリスク履歴を査定するために、固有データベースにおいて、該当するユーザＩＤが調べられる。

【0169】

本実施形態において、
ＤＢで見つかったユーザＩＤトークンＡ１Ｂ２Ｃ３には、この１週間で３件のセキュリティインシデントがあり、この１年で１２件のセキュリティインシデントがある。

【0170】

参照番号１１４（オブジェクトの取得）を参照すると、固有ＤＢへの問い合わせによって生成されたオブジェクト参照が具体化される。当該オブジェクトの完全な詳細が、他のアルゴリズムがアクセス可能なオブジェクトＤＢから抽出される。

【0171】

本実施形態において、
リスクオブジェクト１９２および８６６を、ＤＢから取得する。

【0172】

参照番号１１６を参照すると、全てのリスク詳細が格付けされる。リスク格付が、固有ＤＢから抽出される。固有ＤＢは、各種のリスクオブジェクトに対するリスク格付を与える。リスク格付と、抽出されたリスクオブジェクトを使用して、最終集約レポートが作成され、出力に送られる。包括的主要リスクインデックスも出力に送られ、他のモジュールがユーザの直接リスク係数を迅速に特定するために使用される。

【0173】

本実施形態において、
リスクオブジェクト１９２および８６６を考慮すると、リスク格付によって、これらの非常に不正なセキュリティ違反行為を、我々は考慮すべきであることがわかる。このユーザは、外来の詐欺的なエンティティに社会保障番号を漏洩したことが確認されている。したがって、このユーザに対しては、企業の社会保障番号へのアクセスをブロックし、場合によっては全てのメールトラフィックさえもブロックすることを強く推奨する。
リスクインデックス：７５％

【0174】

セキュリティケースシナリオ
図１８に、上述のサブアルゴリズムが使用されるセキュリティケースシナリオを示す。このシナリオでは、１５個の社会保障番号が、ある従業員によってメールに記載され、会社ネットワークの外部に送信される。このメールが、通常のセキュリティチェックとして、メディアスキャナに送られる。メディアスキャナサブアルゴリズムが、メールにある１５個の社会保障番号を検知し、これに危険度高のフラグを立てる。コンビネーションリクエストモジュールは、さらに当該セキュリティ脅威の重大度を測定するために、リスクオブジェクトＤＢ、ユーザリスク管理サブアルゴリズム、特権分離サブアルゴリズム、および外来エンティティ管理サブアルゴリズムを参照する。この処理では、各サブアルゴリズムが、静的ポリシーおよび動的挙動の全てのインスタンスを、個別に査定する。各サブアルゴリズムは、セキュリティイベントについて独自のコンテキストを解釈するために必要な該当ルールを査定する。
リスクオブジェクトＤＢは、セキュリティインシデントを列挙しているリスクオブジェクトを含むものであり、１５個の社会保障番号うち２個が過去に漏洩したことがあり、したがって本イベントは高危険度であることを返す。ユーザリスク管理サブアルゴリズムは、総合的なリスクを判定するものであり、当該従業員は危険で、過去に取扱注意の情報を漏洩させる挙動をとったことを返す。特権分離分析サブアルゴリズムは、ある処置／イベントが許可されているかどうかを判断するものであり、当該従業員が会社の外へ出るメールに１５個の社会保障番号を含めることを許可されていなかったことを返す。外来エンティティ管理サブアルゴリズムは、非企業体の総合的なリスクを決定するものであり、メールで意図された受信者が高危険度で、詐欺的で、会社ネットワークの外にいることを返す。この結果に基づいて、修正処置がとられる。このイベントのリスクにより、（１）会社の外へ出るメールはブロックされ、（２）当該従業員についての、インバウンドおよびアウトバウンドトラフィックはすべてブロックされ、（３）該当する管理が通知される。

【0175】

反復型知的成長
図１９に、さまざまなセキュリティ脅威に適応するにつれて、静的ルールセットが発達する様子を示している。連続する代々のルールセットが作成され、これらルールセットの進化は、「パーソナリティ」トレイトの定義によって行われる。このようなルールセットは、入力されたセキュリティアラートを処理し、最も所望の通知および修正処置を行うために使用される。

【0176】

参照符号１１６を参照すると、サイバーセキュリティアナリストは、進化の連鎖を開始するために、初期ルールセットを生成する。

【0177】

本実施形態において、
人事部から送られたものでない、会社の外へ出るメールには、５個以上の社会保障番号を含めることができない。

【0178】

参照符号１１８を参照すると、疑似セキュリティ脅威（ＡＳＴ）は、一貫したセキュリティ開発環境を提供する、隔離されたシステムである。

【0179】

本実施形態において、
ＡＳＴシステムが、ＬＡＮ上のコンピュータにマルウェアを感染させた。このマルウェアが、ネットワークの外に取扱注意の情報を送信し、感染したコンピュータを完全にロックした。

【0180】

進化系統１２０は、一貫した「パーソナリティ」を有する複数の世代の連鎖の全体である。ＣＰＵ時間が進むにつれ、世代は次第に動的になる。初期静的ルールセットは通用しなくなり、場合によっては消去されたり上書きされたりする。

【0181】

本実施形態において、
進化系統Ａは、厳密で予防的なトレイトを有し、このトレイトは、寛容さまたは許容範囲がほとんどない仮定を有する。

【0182】

系統パーソナリティ１２２は、セキュリティイベントに対して働くべき反応的性質を定義している変数の集合である。このようなトレイトは、人間によって直接定義され、現実および疑似のセキュリティ脅威への反応における人間の挙動を観察することにより関係付けられる。
どの一連の判断がトレイトｘおよびｙのものであるかを伝えられると、系統パーソナリティ１２２は、疑似セキュリティ脅威（ＡＳＴ）システムにより提供されたセキュリティシナリオにおけるそれらのトレイトを適用できる。

【0183】

本実施形態において、
このようなセキュリティシステムのためのトレイトの例
・現実的：関連が曖昧なセキュリティイベントが存在する場合は常に、アルゴリズムは、セキュリティ問題はないという、疑わしきは罰せずの原則を採る。代わりに、アルゴリズムは、より実際的で現実的な脅威にＣＰＵ時間を集中させる。
・非寛容的：ある個人やシステムが、前にセキュリティインシデントを起こしている場合、このようなエンティティを、より長期にわたって疑い深く扱う。
・日和見的：アルゴリズムは、修正処置の候補を認知するたびに、この修正処置を試して目的を果たすため、全ての可能性のある証拠を追及する。

【0184】

反復的進化
図２０および２１に、並行する複数の進化系統が発達し選択される手法を示している。反復操作された世代が、同一の疑似セキュリティ脅威（ＡＳＴ）に適応し、最良のパーソナリティトレイトを有する系統が、結局はこのセキュリティ脅威に対して最もよく耐えることになる。

【0185】

ＣＰＵ時間１２４は、ある期間にわたるＣＰＵパワーの計測値である。ＣＰＵ時間１２４は、ＣＰＵサイクル数／秒で計測される。１つの進化系統のための処理負荷量を、時間だけで測定するのは十分ではなく、コア数および各ＣＰＵのパワーが考慮されなくてはならない。

【0186】

本実施形態において、
ペンティアム（登録商標）ＩＩＩでは千年かかる要求の処理が、ハスウェルプロセッサでは３０分で済むかもしれない。

【0187】

参照符号１２６を参照すると、全ての進化系統は、仮想的に隔離されており、それぞれの反復操作結果が、それら自身のパーソナリティの判定基準からのみに基づいていることを保証している。

【0188】

本実施形態において、
系統Ｂは、系統Ｃが困難なセキュリティ課題を解決したことを全く知らず、自分自身のパーソナリティトレイトおよび学習データに依存してソリューションを求めなければならない。

【0189】

監視／連携システム１２８は、疑似セキュリティ脅威（ＡＳＴ）システムからセキュリティイベントを投入し、セキュリティ挙動クラウド（全てが固有のパーソナリティトレイトに従っている）から、セキュリティイベントに関連するセキュリティ応答を中継するプラットフォームである。

【0190】

本実施形態において、
この監視システムが、世代１２を組み上げるのに必要なセキュリティ応答を、系統Ｂに提供した。

【0191】

疑似セキュリティ脅威（ＡＳＴ）１３０は、安定したセキュリティ開発環境を提供する、隔離されたシステムである。疑似セキュリティ脅威（ＡＳＴ）１３０は、システムにセキュリティ応答およびトレイトの種々の候補を認識させる練習および訓練をさせるためのセキュリティ訓練を、サイバーアナリストに提供する。

【0192】

本実施形態において、
ＡＳＴシステムが、ＬＡＮ上のコンピュータにマルウェアを感染させた。このマルウェアが、ネットワークの外に取扱注意の情報を送信し、感染したコンピュータを完全にロックした。

【0193】

参照符号１３２を参照すると、いくつかの系統は、セキュリティ課題を解決できないという不定状態に達しているので、破棄されることがある。最も可能性が高い結論としては、パーソナリティを変更して新たな系統を生成しなければならないというものである。

【0194】

本実施形態において、
系統Ｄは、１００ＣＰＵ時間単位の間、セキュリティ課題を解決できなかった。したがって、この系統全体を破棄した。

【0195】

参照符号１３４を参照すると（セキュリティ挙動クラウド）、サイバーセキュリティアナリストの挙動が処理され、進化系統が学習できるように格納される。

【0196】

本実施形態において、
系統Ａは、特定の現況と日和見的パーソナリティ型に一致するセキュリティ脅威に対する多数の反応を見つけた。すると、系統Ａはそのような挙動を模倣するルールを生成する。

【0197】

参照符号１３６を参照すると、サイバーアナリストは、各系統のパフォーマンスを確認し、加えて特化した変更を行うために、監視／連携システムを使用することができる。人間は、監視／連携システムに対して、直接命令を行う。つまり、手動で系統を中止させ、系統パーソナリティ等のマスター変数を変更する

【0198】

本実施形態において、
サイバーアナリストは、系統Ｄのパーソナリティトレイトの合成が合理的でないためにパフォーマンスが悪いので、手動で系統Ｄを破棄した。

【0199】

参照符号１３８を参照すると、相互参照モジュールは、セキュリティイベントと、サイバーセキュリティアナリストによる応答との間を分析的につなげるものである。有意な処置を抽出した後、相互参照モジュールはこの処置をトレイトタグ付けモジュールに送る。セキュリティイベントは、現実のイベントまたはセキュリティ訓練のいずれかから与えられ得る。

【0200】

本実施形態において、
サイバーアナリストは、１つのメールに許可されている社会保障番号の数の上限の９０％を有するメールの危険度を手動で引き上げた。相互参照モジュールは、この処置ならびにこの処置について自ら宣言したパーソナリティの特徴（サイバーセキュリティアナリストにより定義されている）を記録した。

【0201】

トレイトタグ付けモジュール１４０は、パーソナリティ型に従う全ての挙動を分割する。

【0202】

本実施形態において、
このサイバーセキュリティアナリストが、４つの社会保障番号を有するこのメールに危険であるとのフラグを立てた場合、トレイトタグ付けモジュールは、このアナリストが過去の複数のイベントにおいて挙動が共通しているが、自称用心深い人物でもあるので。この行為に対して予防的パーソナリティであるというフラグを立てる。

【0203】

トレイト連携モジュール１４２は、種々のパーソナリティ間の関係を分析する。この情報は、セキュリティ挙動クラウドに渡され、その後監視／連携システムおよび各系統自身に渡される。セキュリティ挙動クラウドは、セキュリティイベント同士を関係づける機械学習プロセスからのデータを格納し、どのトレイトに依存してどの適切な反応を行うのかが特定される。

【0204】

本実施形態において、
非寛容的および現実的パーソナリティは、使用される状況に共通するところが多く、同一のイベントに対しては、同様の反応を返す。

【0205】

サイバー脅威インテリジェンス識別統合および分析（ＣＴＩ^３Ａ）
図２２に、サイバー脅威インテリジェンス識別統合および分析アルゴリズムを示す。定義：休眠マルウェアは、システムの一部である正常なコードをマスクする。そして、このコードがトリガされたとき、マルウェアは取扱注意の情報を外部のハッカーサーバへ送ろうとする。このマルウェアは、予め設定されたタイムスタンプ、内部のイベント（例えば金融データといったタイトルで保存されるファイル）、あるいは無害なメールを受信するなどの、外部から刺激されたイベントによってトリガされることができる。
既知で、検証済で、予測可能なパターンを有するマルウェアが、反復操作のために渡され、システムが直接対応したことのない、将来の未知のマルウェア候補が割り出される。反復操作された理論上のマルウェアと、既知のマルウェアが、会社のシステム（ＰＣのファイル・プログラム、サーバのファイル、データベースのファイル、等）に見つかったコードのブロックと比較される。マルウェアシグネチャに重大な共通部分が存在する場合、マルウェアは検疫され、当該マルウェアが試みたトリガが早期に検知される。それらトリガの影響（つまり、会社の機密データを外部のハッカーサーバへ送信すること）は、実行前にブロックされる。

【0206】

案出
図２３〜２６に、前形状から新たなハイブリッド形状を知的に案出する処理を実行し、多数のアルゴリズムに処理を提供するプラグインモジュールとして使用される、案出モジュールを示す。

【0207】

参照符号１４４を参照すると、２つの親形状（前形状）がインテリジェントセレクタに送られ、ハイブリッド形状が生成される。これらの親形状は、データの抽象的な構造を表すことができる。インテリジェントセレクタアルゴリズム１４６は、新たな特徴を選択し、ハイブリッド形状にマージする。

【0208】

本実施形態において、
形状Ａは、エクスプロイトＤＢによって導出されるセキュリティエクスプロイトの平均的なモデルを表している。形状Ｂは、セキュリティエクスプロイトに対してどのように反応したかに関するセキュリティルールセットによりリリースされた、新たな情報を表している。形状Ｂにある情報によって、生成されたハイブリッド形状は、形状Ａが表しているものより優れたセキュリティエクスプロイトとすることができる。

【0209】

モード１４８は、案出モジュールが使用されているアルゴリズムの型を定義する。このように、インテリジェントセレクタは、使用されているアプリケーションに応じて、どの部分がマージするのに適切であるかを知っている。システムには、入力されたデータセットの型と所望の出力が何であるかを取り扱えるようマージプロセスを構成するために、複数のモードがプリセットされている。静的基準によって設定された比に応じて、共通している情報の量が選別される。この比が大きく設定されている場合は、大量の形状データがそのままハイブリッド形状にマージされる。この比が小さく設定されている場合は、ハイブリッド形状の大半が過去の反復操作結果とは大きく異なるように構築される。ある形状の中の同じ箇所で、ある特徴の定義が双方のデータセットで競合しているときは、優先順位付けプロセスが起動し、卓越した特徴と、共通しているために隠される特徴を選び出す。このようにして、共通するポイントがマージされる。大体の場合、ある特定のマージが発生する状況は多岐に亘っている。このため、静的基準とモードによって、このモジュールが、ある一方を他方にマージすることを優先させるように指揮されている。

【0210】

本実施形態において、
モードが「疑似セキュリティ脅威」と設定されているので、インテリジェントセレクタは、予期された入力データが、エクスプロイトＤＢの代表（形状Ａ）のものであり、また、セキュリティエクスプロイト（形状Ｂ）に対するルールセットの反応を詳細に記述している、新しくリリースされた情報のものであることを知っている。特徴付けられたモードが、有効なハイブリッド形状を生成するには、どのように新しいデータを古いデータとマージするのが最良なのかに関する詳細な方法を定義する。

【0211】

形状がどのようにマージされるべきかを決めるための汎用カスタム化を提供する静的基準１５０が、サイバーセキュリティアナリストによって与えられている。このようなデータは、格付けの優先順位付け、所望のデータ比、および、どのモードが選択されているかに応じて行われるマージを指揮するデータを含み得る。

【0212】

本実施形態において、
モードが「疑似セキュリティ脅威」と選択されたとすると、あるエクスプロイトが失敗した場合、そこから得られる結果は、このようなエクスプロイトの構成を強力に変えるため、エクスプロイトＤＢに多大な影響を与えるべきである。もし変更後においてもこのエクスプロイトが失敗し続ける場合は、このエクスプロイトを完全に放棄する。

【0213】

入力された形状の両方に対して、生データ比較１５２がサイバーセキュリティアナリストによって与えられた静的基準に応じて実行される。

【0214】

本実施形態において、
生データ比較が実行された結果、静的基準により、これらの形状の大部分が互換可能であることがわかった。唯一の相違点は、形状Ａが、静的基準によって「外来」であるとフラグを立てられた応答を含んでいることであった。このことは、エクスプロイトＤＢの代表である形状Ｂが、形状Ａに見つかったある異常を包含／表現していないことを意味する。

【0215】

参照符号１５４を参照すると、与えられた静的基準にしたがって、どの変更が重要あるいは重要でないのかが格付けされる。

【0216】

本実施形態において
形状Ｂで表現されていない異常が形状Ａで見つかったので、この異常が極めて重要であることを静的基準は認識している。よって、このことが結果的に、ハイブリッド形状ＡＢを生成するためにマージプロセスにおいてなされる重立った変更になる。

【0217】

参照符号１５６（モード、比、優先順位、スタイル−をマージ）を参照すると、残すべきものと、異なっていると判明したものが、静的基準と、使用されているモードに基づき、ハイブリッド形状に再構成される。このようなバリエーションは、データの比分布、あるデータの重要性、そのデータが互いにどのように噛み合い／関連するかを含みうる。

【0218】

本実施形態において、
異常の構成についての、格付けされた重要性が受信される。適切な調整がなされた後、静的基準によって導かれたプロセスが、この異常への反応が、このデータの他の箇所と互換性がないかどうかを判別する。そして、マージプロセスが、この異常の解決策がこのような既存のデータと効果的に調和するように、既存のデータを変更する。

【0219】

参照符号１５８を参照すると、ただ１つのトレイトだけが、ある場所（赤くハイライトされている）を占有できる場合は、優先順位付けプロセスが、その特徴を選び出すために起動される。ある形状の中の同じ箇所で、ある特徴の定義が双方のデータセットで競合しているときは、優先順位付けプロセスが起動し、重立った特徴と、共通しているために隠される特徴を選び出す。

【0220】

本実施形態において、
図では、２つの結論の候補が示されている。実際には、これらの形状のうち、恐らくただ１つだけが最終的な出力となる可能性がある。

【0221】

参照符号１６０を参照すると、大体の場合、特徴間には共通する形状があり、したがって、マージされたトレイトを有する形状が生成できる。このようにして、共通するポイントがマージされる。大体の場合、ある特定のマージが発生する状況は多岐に亘っている。このため、静的基準とモードによって、このモジュールが、ある一方を他方にマージすることを優先させるように指揮されている。

【0222】

本実施形態において、
三角形と円形が入力形状として与えられたとき、「パックマン」の形が生成される。

【0223】

セキュリティ挙動
図２７に、セキュリティ挙動モジュールを示す。イベントと、それぞれの応答とトレイトが、今後の問い合わせのために格納されインデックス付けされる。

【0224】

参照符号１６２（イベント＋応答ストレージ）を参照すると、あるイベントとその応答が格納される。トレイトの組成が定義され、さらに、セキュリティイベントをそれらの適切な応答とともに照会しやすくするために、セキュリティ関心ポイント（ＰＯＩ）としてインデックス付けされる。

【0225】

本実施形態において、
営業時間外に社会保障番号がＦＴＰ経由で転送されるイベントが格納される。この転送、加えてこの送信者と受信者に直接関連する全てのエンティティをブロックするという応答が、予防的応答としてマークされる。ＰＯＩは、社会保障番号型とＦＴＰプロトコルである。

【0226】

参照符号１６４（セキュリティＰＯＩプール）を参照すると、参照のため、およびトレイトインデックスとをつなげるために、ＰＯＩがここに格納されている。このようにして、誰かがあるトレイトをある判定基準とともに調べた場合、格納されたイベントが示される。これらのイベントは、ＰＯＩインデックス経由で問い合わせられる。

【0227】

本実施形態において、
社会保障番号を扱う、厳密で中立的なトレイトを調べるためのクエリが発行される。該当するＰＯＩがＰＯＩプールで調べられ、そして該当するイベント＋応答ストレージが抽出され、返される。

【0228】

外部クエリ１６６が、トレイトまたはイベント＋応答のいずれかを調べるために実行される。

【0229】

本実施形態において、
ＦＴＰプロトコルを扱うイベントを調べるためのクエリが発行される。該当するＰＯＩがＰＯＩプールで調べられ、そして該当するイベント＋応答ストレージが取り出され、返される。

【0230】

参照符号１６８（トレイトインデックス）を参照すると、ＰＯＩインタフェースが、トレイトの統計データと、該当するイベント＋応答を結びつけている。

【0231】

本実施形態において、
楽観的パーソナリティが５個以上の社会保障番号が送出されるのをブロックするのかどうかを尋ねるために、トレイトクエリが実行される。ＰＯＩインタフェースは、社会保障番号ＰＯＩを調べ、楽観的パーソナリティがどうするのかを示すために、イベント＋応答を取り出す。

【0232】

応答パーサ
図２８に、応答パーサモジュールを示す。応答パーサは、セキュリティシナリオに対する人間の反応を監視し、このようなセキュリティ応答を促した挙動トレイトの種類を判別する。

【0233】

参照符号１７０を参照すると、記述データが、セキュリティシナリオ（現実のものかあれ訓練であるかに関わらず）から受信される。

【0234】

本実施形態において、
セキュリティシナリオＡは、会社の営業時間外に、異例の個数の社会保障番号がＦＴＰポート経由で発行されることを記述している。

【0235】

参照符号１７２を参照すると、既知のセキュリティ関心ポイント（ＰＯＩ）が、セキュリティ挙動モジュールによって提供される。このようなＰＯＩは、セキュリティシナリオの評価、および人間の応答と関連してどの部分が問題なのかを評価することの一助となる

【0236】

本実施形態において、
社会保障番号が送信されることはＰＯＩであり、これらの社会保障番号は、当該セキュリティシナリオにてハイライトされ、人間の応答において調べられる。

【0237】

参照符号１７４を参照すると、当該セキュリティ脅威に応答しているサイバーセキュリティアナリストは、それぞれの処置にあるトレイトをタグ付けする。この情報は、トレイトタグ付けモジュールに渡される。

【0238】

本実施形態において、
サイバーセキュリティアナリストのジョンは、社会保障番号セキュリティ漏洩に対する自らの応答に、「厳密」で「悲観的」な応答であるとタグ付けした。

【0239】

参照符号１７６を参照すると、トレイトタグ付けモジュールは、当該セキュリティ応答とその応答トレイトとを関連付ける。この関連付けは、人間が自ら記述したトレイトと、過去のセキュリティ挙動からのパターン相関とを組み合わせることで行われる。パターン検知は、過去のセキュリティ挙動との共通部分がないかチェックし、自己規定されたタグ付けがある場合、パターン検知は、このタグ付けが、このモジュールの判断を裏付けるものであるかを調べるためにチェックを行う。これらの変数は、このモジュールのタグ付けの最終的な確信度を変更する。

【0240】

本実施形態において、
過去のセキュリティ挙動は、セキュリティ応答Ａが「悲観的」であり、自己記述されたトレイトが「中立的」であることを示している。

【0241】

参照符号１７８を参照すると、トレイト連携モジュールは、トレイトタグ付けモジュールからトレイトの組成を受信し、その内部的な互換性を査定する。

【0242】

本実施形態において、
トレイトの組成は、強い悲観的トレイトと強い楽観的トレイトを含んでいる。これら２つのトレイトは、相互に排他的であり、よってこれらのトレイトの発行をキャンセルする。

【0243】

参照符号１８０を参照すると、初期セキュリティシナリオおよび、そのシナリオに対する、互換性のあるトレイトに沿った応答が、セキュリティ挙動クラウドにデポジットされる。

【0244】

本実施形態において、
異例の個数の社会保障番号が営業時間外にＦＴＰで送信されることへの応答は、その転送、およびこの送信者と受信者に関連する全てのエンティティをブロックすることである。この応答は、予防的トレイトを有するものとしてタグ付けされる。

【0245】

サイバー上の犯罪的で異常な挙動の検知および分析（ＣＮＡＤＡ）
図２９に、サイバー上の犯罪的で異常な挙動の検知および分析アルゴリズムを示す。定義：あるウェブサイトを訪れたり、フィッシングメールでクリックしたり、感染したサムドライブ（フラッシュドライブ）を使用する等によって、休眠マルウェアがネットワークにおいて遠隔操作で送り込まれる。活性化の後、マルウェアは、とぎれとぎれの少量のアラートでは検知できないが、アルゴリズムが犯罪的活動を検知するのに必要なデータの量を提供する各種のソースから受信する大量のアラートによって検知できるような、犯罪的活動を実行する。個々のイベントのリスク査定は非常に低い。しかしながら、これらのイベントが大規模なパターンに翻訳されると、これらのイベントはひとまとまりで、大きなリスクおよび犯罪的活動が可能なコードの候補を表す。情報型識別部は、比較が正確に行えるよう、情報型／属性を検知する。共謀検知サブアルゴリズムは、類似度を調べるために、可能な全ての属性の組み合わせをＤＢに対してチェックする。共謀検知サブアルゴリズム多数のイベント（関係のあるおよび無関係のもの）を受信する。共謀検知サブアルゴリズムは、以前の重大なセキュリティイベントに対して、大規模なパターンの比較を実行する。共謀検知サブアルゴリズムは、その危険度および適切な修正処置が採られていることを報告する。修正処置段階では、攻撃に対して耐えることおよびマルウェアをねらうことにおける長所を示すセキュリティアラートの、自動反復世代（分析）を通じて、総合リスク査定が計算される。現行の世代は、９５％というリスク査定を受信すると、知的に練り上げられた修正処置を提供する。

【0246】

疑似セキュリティ脅威
図３０に、疑似セキュリティ脅威モジュールを示す。このモジュールは、セキュリティルールセットの効力をテストするための、仮想のセキュリティシナリオを提供する。各セキュリティ脅威は、セキュリティシナリオの意味のある比較が行えるように、重大度および型において一貫している。

【0247】

参照符号１８２を参照すると、セキュリティルールセットが、疑似エクスプロイトでテストされている。エクスプロイトが実行された後、当該エクスプロイトが機能し、さらに当該エクスプロイトをエクスプロイトＤＢに組み込むべきとされた場合は、「結果フィードバック」を通じて、即時に簡素な結果が提供される。「情報リリース」は、次のエクスプロイトをどのようなものにするべきかについて、詳細な情報を案出モジュールに提供する（情報は、「情報リリース」およびエクスプロイトＤＢの間でマージされる）。

【0248】

本実施形態において、
セキュリティエクスプロイトＡは、ルールセットを見抜くことができなかったので、エクスプロイトＤＢは、「結果フィードバック」を通じて当該エクスプロイトの評価を低くすることを、直ちに通知される。そして、案出モジュールは、新しい「情報リリース」および、エクスプロイトＤＢにある既存のエクスプロイトから、次のエクスプロイトを作成する。このように、新しく作成されたエクスプロイトは、その前のエクスプロイトが直面したのと同じ弱点に直面することがない。

【0249】

参照符号１８４（編集されたセキュリティエクスプロイトバッチ）を参照すると、あるエクスプロイトが実行される。このエクスプロイトは、バッチとして実行され、バッチとは、全ての進化系統が、同じエクスプロイトで同時並行的にテストされることを意味している。このように、最良の系統を判別するために、各進化系統の間で正当な競争が行われる。

【0250】

本実施形態において、
エクスプロイトバッチでテストされた５つの進化系統のうち、２つだけが、このエクスプロイトに耐えた。

【0251】

参照符号１８６を参照すると、モードは、案出モジュールが使用されているアルゴリズムの型を定義する。このように、インテリジェントセレクタは、使用されているアプリケーションに応じて、どの部分がマージするのに適切かを知っている。

【0252】

本実施形態において、
モードが「疑似セキュリティ脅威」と設定されているので、インテリジェントセレクタは、予期された入力データが、エクスプロイトＤＢの代表（形状Ａ）のものであり、また、セキュリティエクスプロイト（形状Ｂ）に対するルールセットの反応を詳細に記述している、新しくリリースされた情報のものであることを知っている。効果的なハイブリッド形状を生成するためには、新しいデータを古いデータにどのようにマージするのが最良なのかに関する詳細な方法を、設定されたモードが定義する。

【0253】

参照符号１８８を参照すると、案出モジュールは、以前の複数のエクスプロイトの長所が用いられ、（「リリース情報」により既知である）エクスプロイトの既知の弱点を回避した、ハイブリッドエクスプロイトを知的に生成する。

【0254】

本実施形態において、
セキュリティエクスプロイトＡは、ルールセットを見抜くことができなかった。エクスプロイトＢは、エクスプロイトＡで見つかった弱点を解消し、エクスプロイトＡを失敗させた弱点を迂回する重立った既知の長所をエクスプロイトＤＢから作り出すことによって生成されている。

【0255】

監督管理１９０は、エクスプロイトの格納状況および使用状況の発達を監視および追跡するものである。このようなエクスプロイトは、サイバーセキュリティアナリストによって手動で生成／変更／削除される。

【0256】

本実施形態において、
サイバーセキュリティアナリストは、あるエクスプロイトの発達パターンを１週間にわたって監視した。アナリストは、発達パターンの進展が改善していることに気付いているが、自らより良いエクスプロイトを生成した。アナリストは、古いエクスプロイトをエクスプロイトＤＢから削除し、自らの手で生成したエクスプロイトを組み込んだ。

【0257】

参照符号１９２（エクスプロイトＤＢ）を参照すると、複数のエクスプロイトが、既知の挙動履歴（それらのエクスプロイトの、ある条件下における過去の動作状況）に沿って格納されている。エクスプロイトの重要性も格納され、それによって案出モジュールは、あるエクスプロイトについて既知の重要性を考慮することができる。

【0258】

本実施形態において、
エクスプロイトＡは、ＤＢ内で最も強力で信頼できるエクスプロイトのひとつである。エクスプロイトＡは、様々な状況において、およびルールセットの変更に対して良く機能したという長い実績がある。エクスプロイトＡは、エクスプロイトＤＢにおいて、高評価／高重要度とラベル付けされる。

【0259】

形状がどのようにマージされるべきかを決めるための汎用カスタム化を提供する静的基準１９４が、サイバーセキュリティアナリストによって与えられている。
このようなデータは、格付けの優先順位付け、所望のデータ比、および、どのモードが選択されているかに応じて行われるマージを指揮するデータを含み得る。

【0260】

本実施形態において、
モードが「疑似セキュリティ脅威」として選択されている。あるエクスプロイトが失敗した場合、そこから得られる結果は、このようなエクスプロイトの構成を強力に変えるため、エクスプロイトＤＢに多大な影響を与えている。もし変更後においてもこのエクスプロイトが失敗し続ける場合は、このエクスプロイトを完全に放棄する。

【0261】

監視／連携システム
図３１に、監視／連携システムモジュールを示す。このモジュールは、進化系統と、データバンク／人間による介入の間を取り持つ。

【0262】

参照符号１９６を参照すると、サイバーセキュリティのアナリストの挙動が処理され、進化系統が学習できるように格納される。

【0263】

本実施形態において、
系統Ａは、特定の状況と「日和見的」パーソナリティ型に一致したセキュリティ脅威に対する多数の反応を見つけた。すると、系統Ａはそのような挙動を模倣するルールを生成する。

【0264】

参照符号１９８を参照すると、ある系統の次の世代を生成するために、ここでは案出モジュールが使用されている。入力される２つの形状は、セキュリティ挙動クラウド１９６からの編集済みセキュリティ挙動と、セキュリティ審査モジュール２０４からの変数である。得られたハイブリッド形状は、反復操作プロセッサ２０２に送られる。

【0265】

本実施形態において、
セキュリティ審査モジュールは、世代９が弱いと報告している。セキュリティ審査モジュールは、セキュリティ上の欠点をハイライトし、世代９を案出モジュールに渡す。案出モジュールは、既知のセキュリティ挙動を用いてマージプロセスを実行し、このセキュリティ上の欠点を解決する、より順応性のある世代を生成する。

【0266】

参照符号２００を参照すると、形状がどのようにマージされるべきかを決めるための汎用カスタム化を提供する静的基準が、サイバーセキュリティアナリストによって与えられている。このようなデータは、格付けの優先順位付け、所望のデータ比、および、選択されているモードに応じて行われるマージを指揮するためのデータを含んでよい。

【0267】

本実施形態において、
モードが、「反復操作プロセッサ」であると選択されている。「セキュリティ審査モジュール」から得られた情報は、現在の世代に、あるセキュリティ上の欠点があることを示している。この情報は、既知のセキュリティ挙動にマージされ、当該セキュリティ上の欠点を修復したハイブリッド世代が生成される。

【0268】

参照符号２０２を参照すると、反復操作プロセッサが案出モジュールから送られたハイブリッド形状を処理し、該当する進化系統に同化する新しい世代が組み立てられる。

【0269】

本実施形態において、
案出モジュールが、世代１０の構築ポイントを送信する。世代９の処理が中止され、世代１０が仮想化環境にロードされ、セキュリティ脅威が活性化された。

【0270】

参照符号２０４を参照すると、セキュリティ審査モジュールは、当該進化系統からレポート変数を受信し、疑似セキュリティ脅威（ＡＳＴ）システムに対する、当該進化系統のセキュリティ上のパフォーマンスを評価する。セキュリティ審査モジュールは、集めたレポートを、サイバーセキュリティアナリストが閲覧するために送り、また、次の世代の反復操作を行うため、案出モジュールに送る。

【0271】

本実施形態において、
世代９は、あるセキュリティ上の欠点と同等の変数をレポートし、閲覧モジュールに通知され、案出モジュールは、このセキュリティ上の欠点を除外したハイブリッド形状（次の世代）を生成するのに必要な詳細を得た。

【0272】

セキュリティ審査モジュール
図３２に、セキュリティ審査モジュールを示す。セキュリティ審査モジュールは、専ら監視／連携システムに属している。

【0273】

案出モジュールは、ハイブリッド形状を反復操作プロセッサ２０６に送る。反復操作プロセッサ２０６は、次の世代をロードする技術的タスクを管理する。

【0274】

本実施形態において、
案出モジュールが、世代１０の構築ポイントを送信した。世代９の処理が中止され、世代１０が仮想化環境にロードされ、セキュリティ脅威が活性化された。

【0275】

セキュリティ挙動クラウド２０８を使用して、案出モジュールへ入力形状が提供され、該当するイベント＋応答がセキュリティ審査モジュールに供給される。判定基準が、トレイトインデックスクエリを通じて決定される。

【0276】

本実施形態において、
「極めて悲観的」なトレイトを求めて、トレイトインデックスクエリが実行された。悲観的なトレイトの組成全体に関するイベント＋応答がセキュリティモジュールに提供され、ルールセットの弱点が検索された。セキュリティ挙動クラウドは、悲観的なハイブリッド形状の全体を生成するための入力として、基本形状も提供した。

【0277】

参照符号２１０を参照すると、パフォーマンスが悪いという評価をセキュリティ審査モジュールが受信したとき、案出モジュールがその欠点を克服すべく新しい世代に反復操作を行う。パフォーマンスが良いという評価をセキュリティ審査モジュールが受信したときは、このエクスプロイトを打ち破るべく、より良いエクスプロイトを見つけようとする。

【0278】

本実施形態において、
このルールセットは極めて良いパフォーマンスを出したので、この世代を反復操作しなかった。代わりに、より強力でより該当するエクスプロイトがイベント＋応答クエリで見つかり、このエクスプロイトをこの世代に対して実行しようとしている。

【0279】

参照符号２１２を参照すると、世代ルールセットをどのように構成すべきかのガイドラインを、セキュリティ挙動クラウドと、最終的には案出モジュールへ通知するために、系統パーソナリティからトレイトの組成が提供される。

【0280】

本実施形態において、
この系統パーソナリティは、全体的に「厳密」なので、案出モジュールは、トレイトを保っている形状と、トレイトの特徴を受け取った。多くの反復操作を実行した後でさえも、このルールセットは「厳密」という全体的なパーソナリティをまだ保っている。

【0281】

自動成長誘導
図３３〜３６に、自動成長誘導モジュールを示す。自動成長誘導モジュールは、人間と、人間によって制御される機能の間に、あるレイヤを追加し、広範にわたるシステムの成長と保守をさらに自動化する。

【0282】

参照符号２１４を参照すると、手動モードにおいて、サイバーセキュリティアナリストは、該当する変数を直接制御する。自動モードにおいては、アナリストが制御する変数の数はずっと少なく、制御プロセス全体は自動化され、システムの成長が全体的に誘導されている。

【0283】

本実施形態において、
システムが自動モードと中立の環境に置かれる。システム全体が最適にセットアップされ、最終的に、全てのセキュリティ脅威の方式および企業ネットワークのカスタム環境に適応した。

【0284】

参照符号２１６を参照すると、リストアップされているのは、人間から直接制御される各種のモジュールである。自動成長誘導システムは、人間とそのモジュールの間に入り、つなげる役割を果たことができる。

【0285】

本実施形態において、
自動成長誘導システムは、長期的により効果的な脅威を生成するよう疑似セキュリティ脅威モジュールを自動的に調整した。

【0286】

参照符号２１８を参照すると、所望のモジュールの結果／挙動が何かを判別するために、モジュール型が提供される。強制フィードバックとは、あるモジュールが、新たな命令を与えられるたびに、自分の現在の条件を知らせる応答機構である。

【0287】

本実施形態において、
モジュール型が、疑似セキュリティ脅威（ＡＳＴ）であると設定される。案出モジュールに、このモジュール型を伝えることにより、所望の結果が求められる。

【0288】

参照符号２２０を参照すると、ハイレベル変数は少数であり、なお人間によって制御されている。ハイレベル変数は、システム全体を大規模かつ長期的に差配している。

【0289】

本実施形態において、
「システムの安全性」という変数が高に設定されたので、システム全体が、ノンリスキーで、漸進的で、予測可能という設定にされた。

【0290】

参照符号２２２を参照すると、前回の所望の結果と実際の結果を受けて、案出モジュールが新たな所望の結果を判別する。

【0291】

本実施形態において、新たな所望の結果とは、疑似セキュリティ脅威（ＡＳＴ）システムは、より攻撃的であるべきというものである。

【0292】

参照符号２２４を参照すると、実際の結果（当該モジュールの状況および状態）が、モジュール追跡ＤＢに格納される。この結果は、当該モジュール自身および案出モジュールによって直接入力される（この部分は、具体的には、将来実装されるかもしれない理論上の制御のためである）。モジュール追跡ＤＢ自身は、被制御モジュールのために内部的に選ばれた成長パターンを反映した入力形状を、案出モジュールに提供する。

【0293】

本実施形態において、
モジュール追跡は、前回のパターンが機能しなかったので、代替パターンを内部的に選んだ。この新しいパターンのデータが、入力形状として案出モジュールに送信された。

【0294】

参照符号２２６を参照すると、案出モジュールは、当該モジュールのための新しい制御を、モジュール追跡部および当該モジュール自身に送る。

【0295】

本実施形態において、
案出モジュールは、ＡＳＴシステムのために、ＦＴＰプロトコルを伴う新しいエクスプロイトをＡＳＴシステムに教示する制御を生成した。

【0296】

参照符号２２８を参照すると、モジュール追跡部が単一のインスタンスで稼働し、多数のモジュールを同時に扱うために分割されていることを除けば、複数のモジュールが並行して制御されている。
・モジュール追跡部が単一のインスタンスで稼働し、多数のモジュールを同時に扱うために分割されていることを除けば、複数のモジュールが並行して制御されている。

【0297】

本実施形態において、
２つの別々の処理スレッドにおいて、ＡＳＴシステムおよび進化系統コンテナの両方が同時に変更される。

【0298】

参照符号２３０を参照すると、被制御モジュールからのフィードバックが、現実ＤＢに格納される。フィードバックは、実際のモジュール履歴から導出された情報を示している。

【0299】

本実施形態において、
ＡＳＴが、自身のセキュリティエクスプロイトのパフォーマンスが、全体的に極めて悪かったというフィードバックを送信した。

【0300】

参照符号２３２を参照すると、理論ＤＢは、当該モジュールのための理論上の制御（所望の結果と混同しないように。所望の結果は、具体的には「制御」ではなく「結果」を扱っている）を含んでいる。これらの理論上の結果は、案出モジュールに入力される。

【0301】

本実施形態において、
案出モジュールは、プロトコルのある新しいエクスプロイトを実行しているＡＳＴシステムに、理論上の制御を送信した。

【0302】

参照符号２３４を参照すると、制御が予期されたとおりに実行される場合、同一の成長パターンが守られ、その逆も成り立つ。成長パターンは、案出モジュールの入力に影響する。

【0303】

本実施形態において、
新しいエクスプロイトの型を、立て続けにＡＳＴシステムに追加する成長パターンが機能している。よって、案出モジュールはこの成長パターンを存続させる。

【0304】

マルウェア予測追跡
図３７〜４５に、マルウェア予測追跡アルゴリズムを示す。マルウェア予測追跡アルゴリズムは、マルウェア進化パターンを反復操作するために、案出モジュールを様々なスコープで強化するものである。これらの反復操作スコープは、マルウェア予測の長期的な分析において、種々の優先順位を表しており、マルウェア予測は、正確さと効率のトレードオフに直面する。既知の脅威が、未知の脅威の構成の範囲を予測するためのアナロジーとして使用される。

【0305】

図３７を参照すると、構成における理論上の変化を考慮するために、既存のマルウェアが反復操作される。理論上の時間が経過するにつれて、マルウェアは、案出モジュールと連携しながら進化する。

【0306】

図３８を参照すると、反復操作スコープは、反復操作毎のマルウェアの変化の度合いを表している。狭い反復操作スコープとは、最も予期された反復操作結果だけが処理されることを意味している。狭い反復操作スコープでは、ＣＰＵ時間当たりの投資に対する見返りが大きいが、現実のマルウェアの形成を予測する可能性は低い。広い反復操作スコープとは、多くの反復操作結果が、たとえ現実世界における実際のマルウェアの進化を表す可能性が低くとも、処理されることを意味している。広い反復操作スコープでは、現実のマルウェアの形成を予測する可能性が高いが、正しい予測をするたびに、多くのＣＰＵ時間を犠牲にする。動的な反復操作スコープでは、任意の所望の効果的な判定基準に従って、広い反復操作スコープと狭い反復操作スコープを交互に行う。

【0307】

図３９を参照すると、カテゴリＡは、認識され削除されたことが実証された履歴を有する、確認済みのマルウェア脅威を表している。カテゴリＢは、システムがその存在を知っているが、絶対的な確信をもって認識および削除することができないマルウェアを表している。カテゴリＣは、システムにとってあらゆる面で完全に未知であるマルウェアを表している。マルウェア予測プロセスは、既知のマルウェア脅威から開始される。連続する反復操作のそれぞれにおいて、反復操作は、極力多くのカテゴリＢの脅威を守備範囲にしようとする。反復操作スコープが広い場合は、その反復操作は、より多くのカテゴリＣの脅威を、副次的な優先順位として守備範囲とする。

【0308】

図４０および４１を参照すると、マルウェア予測プロセスは、カテゴリＡから開始される。既知のマルウェアが案出モジュールに送られ、現時点で未知のマルウェアを表わす、バリエーションの候補を含むハイブリッド形状を生成する。セキュリティ挙動クラウドにより、以前のセキュリティイベント＋応答が案出モジュールに送られ、未知の脅威が予測される。そして、カテゴリＢに基づき、理論的なプロセスは、未知の脅威がどのようなものであるかについての最良の推定結果を表している。アルゴリズムは、確認を一切行っていないが、過去のセキュリティ挙動に基づいて確信のある予測を行っている。カテゴリＣに基づくプロセスは、システムの知らない、予測しようとしている実際の脅威を表している。通常、理論化された脅威は、現実の未知の脅威と全く同一のものとはならないが、それでも、シグネチャにおいて共通部分が多くあることによって、効果的な防御がもたらされる。

【0309】

図４２を参照すると、既知で確認済みの反復操作の遷移を表すために、あるパターンが生成される。遷移パターンは、その後、現時点で未知の脅威を予測するために使用される。遷移パターンは、既知のマルウェアが、何に進化する可能性があるのかを予測するために使用される。この新しいカラーセットが、初期の脅威とより良く一致するので、追加されているピースは、既知の反復操作において追加されたものとまったく同一のものではない。このことは、パターン反復操作が動的であり、また反復操作の特徴が初期入力に依存することを意味している。

【0310】

図４３および４４を参照すると、カテゴリＣに関連して、あるセキュリティシナリオで遭遇したか、実際に被害が出ているかのいずれかである未知の脅威が、既知の脅威として分析され格納される。そして、その未知の脅威は、カテゴリＢにおいてなされた予測と比較される。予測と現実との間で比較が行われ、その結果がセキュリティ挙動クラウドに格納される。この情報は、案出モジュールに入力形状を提供している、新たにアップデートされたセキュリティ挙動クラウドを通じて、次回により良い予測を試みるために使用される。現実のセキュリティシナリオにおいて、将来いつかは連携が起こりうるので、未知の脅威が既知となる。そして、それまで未知だったマルウェアの構造を推定するにあたって、予測式がどのくらい正確であったのかを判別するため、比較が行われる。

【0311】

図４５を参照すると、図示されている例は、図形／色／位置と、機能／属性との間で作られうる、より高度な関係の候補を反映してはいないものの、いくつかの属性によって表される多くのマルウェアの例が示されている。例えば、４つの、種々の幾何学図形の組み合わせは、遺伝子型、つまりマルウェアの機能または属性の、構文上の組成を表している。これら４つのマルウェアの表現型は、マルウェアの機能または属性の、記述的かつ実際的な発現を表しており、これらの表現型は、（１）ＦＴＰプロトコル経由で詐欺的なコードを実行するファイル転送エクスプロイト、（２）ＳＳＨプロトコル経由で詐欺的なコードを実行するファイル転送エクスプロイト、（３）マルウェアが、意図されたターゲットのふりをする中間者傍受戦略、（４）このマルウェアは、意図されたファイルサーバターゲットのふりをして、ログインを試みているコンピュータから、ファイルにアクセスするために、ＳＳＨプロトコルを悪用する、である。

【0312】

図４６〜５６は、本発明のネットワークセキュリティシステムのアルゴリズム及び／またはモジュール同士の依存マップを示す概略図である。

【0313】

図４６は、全体的なアルゴリズムの依存性を示す概略図である。反復型知的成長アルゴリズムは、代々のルールセットを生成し、「パーソナリティ」トレイトの定義を通じて進化を行わせる。このようなルールセットは、入力されたセキュリティアラートを処理し、最も望ましい通知および修正処置を行うために使用される。反復型知的成長アルゴリズムは、案出モジュール、疑似セキュリティ脅威モジュール、セキュリティ挙動モジュール、および進化系統モジュールに依存する。

【0314】

反復的進化アルゴリズムにおいて、並行する複数の進化系統が発達し選択される。反復操作された世代が、同一の疑似セキュリティ脅威（ＡＳＴ）に適応し、最良のパーソナリティトレイトを有する系統が、最終的にはこのセキュリティ脅威に対して最も良く耐えることになる。反復的進化アルゴリズムは、監視連携システムモジュール、疑似セキュリティ脅威モジュール、セキュリティ挙動モジュール、および進化系統モジュールに依存する。

【0315】

進化経路Ｘアルゴリズムは、仮想的に収められ隔離された一連のルールセットの世代である。進化の特徴および基準は、このような系統パーソナリティＸによって定義される。自動成長誘導モジュール、反復的進化モジュール、および反復型知的成長モジュールは、進化経路Ｘアルゴリズムに依存する。

【0316】

図４７は、サブアルゴリズムの依存性を示す概略図である。情報型識別サブアルゴリズムは、未知データの型／性質を判定する。このサブアルゴリズムは、未知データが社会保障番号、自宅住所、電話番号、等のどれであるかを判断できる。共謀検知サブアルゴリズム、特権分離分析サブアルゴリズム、メディアスキャナサブアルゴリズム、外来エンティティ管理サブアルゴリズム、および犯罪的活動モジュールは、情報型識別サブアルゴリズムに依存する。

【0317】

共謀検知サブアルゴリズムは、複数の「共謀」セキュリティイベントに対する定期的な素性チェックを提供し、一見無関係なセキュリティイベント同士のパターンや関係を判定しようと試みる。共謀検知サブアルゴリズムは、情報型識別サブアルゴリズムおよびセキュリティ挙動モジュールに依存する。

【0318】

メディアスキャナサブアルゴリズムは、文書／写真等を受信し、このようなメディアの予期された構成に対して、違法な情報の転送、および一貫性のない／疑わしい挙動がないかチェックする。メディアスキャナサブアルゴリズムは、情報型識別サブアルゴリズム、およびユーザリスク管理サブアルゴリズムに依存する。セキュリティケースシナリオ１モジュールは、メディアスキャナサブアルゴリズムに依存する。

【0319】

特権分離分析サブアルゴリズムは、絶え間なく起動されるプロセスであり、あるユーザまたはプロセスに、それらが活動しているセクターに存在することが許可されているかどうかを判定する。特権分離分析サブアルゴリズムは、情報型識別サブアルゴリズム、ユーザリスク管理サブアルゴリズム、およびセキュリティ挙動モジュールに依存する。セキュリティケースシナリオ１モジュールは、特権分離分析サブアルゴリズムに依存する。

【0320】

ユーザリスク管理サブアルゴリズムは、あるユーザに対して総合リスク査定を判定する。リスク要因は、ポリシー違反、過度な使用状況、遂行された疑わしい操作、等を含む。ユーザリスク管理サブアルゴリズムは、セキュリティ挙動モジュールに依存する。メディアスキャナサブアルゴリズム、特権分離分析サブアルゴリズム、外来エンティティ管理サブアルゴリズム、およびセキュリティケースシナリオ１モジュールは、ユーザリスク管理サブアルゴリズムに依存する。

【0321】

外来エンティティ管理サブアルゴリズムは、認知された外来の脅威によって企業の隔離ネットワークに求められるものに基づいて、それら脅威の重大度を絶えずアップグレードおよびダウングレードすることにより、それら外来の脅威を管理している。外来エンティティ管理サブアルゴリズムは、情報型識別サブアルゴリズム、ユーザリスク管理サブアルゴリズム、およびセキュリティ挙動モジュールに依存する。セキュリティケースシナリオ１モジュールは、外来エンティティ管理サブアルゴリズムに依存する。

【0322】

図４８〜５６は、モジュールの依存性を示す概略図である。セキュリティ挙動モジュールにおいて、イベントと、それぞれのセキュリティ応答とトレイトが、今後の問い合わせのために格納されインデックス付けされる。共謀検知、特権分離分析、ユーザリスク管理、外来エンティティ管理の各サブアルゴリズム、反復的進化および反復型知的成長の各アルゴリズム、監視連携システム、休眠マルウェア、応答パーサ、セキュリティ審査、およびマルウェア予測追跡の各モジュールは、セキュリティ挙動モジュールに依存する。

【0323】

案出モジュールは、前形状から新たなハイブリッド形状を知的に案出する処理を含み、多数のアルゴリズムに処理を提供するプラグインモジュールとして使用される。反復型知的成長アルゴリズム、ならびに疑似セキュリティ脅威、セキュリティ審査、監視連携システム、マルウェア予測追跡、自動成長誘導、および休眠マルウェアの各モジュールは、案出モジュールに依存する。

【0324】

疑似セキュリティ脅威モジュールは、セキュリティルールセットの効力をテストするための、仮想のセキュリティシナリオを提供する。各セキュリティ脅威は、セキュリティシナリオの意味のある比較が行えるように、重大度および型において一貫している。疑似セキュリティ脅威モジュールは、案出モジュールに依存する。反復的進化および反復型知的成長の各アルゴリズム、および監視連携システム、セキュリティ審査、および自動成長誘導の各モジュールは、セキュリティ挙動モジュールに依存する。

【0325】

自動成長誘導モジュールは、人間と、人間によって制御される機能の間に、あるレイヤを追加し、広範にわたるシステムの成長と保守をさらに自動化する。自動成長誘導モジュールは、進化系統Ｘアルゴリズム、ならびに、疑似セキュリティ脅威、応答パーサ、監視連携システム、および案出の各モジュールに依存する。

【0326】

応答パーサモジュールは、セキュリティシナリオに対する人間の反応を監視し、このようなセキュリティ応答を促した挙動トレイトの種類を判別する。応答パーサモジュールは、セキュリティ挙動モジュールに依存する。反復的進化アルゴリズムおよび自動成長誘導モジュールは、応答パーサモジュールに依存する。

【0327】

セキュリティ審査モジュールは、反復操作され進化したセキュリティ機構と疑似セキュリティ脅威を編成する。セキュリティ審査モジュールは、セキュリティ機構の進化を指導するのを助けるものであり、人間による分析のためのアクセスポイントである。セキュリティ審査モジュールは、案出、疑似セキュリティ脅威、およびセキュリティ挙動の各モジュールに依存する。反復型知的成長アルゴリズムおよび監視連携システムモジュールは、セキュリティ審査モジュールに依存する。

【0328】

監視連携システムモジュールは、進化系統およびデータバンクと連携し、人間のために、洗練された制御／監視システムを提供する。監視連携システムモジュールは、案出、疑似セキュリティ脅威、セキュリティ挙動、およびセキュリティ審査の各モジュールに依存する。自動成長誘導モジュールおよび反復的進化アルゴリズムは、監視連携システムモジュールに依存する。

【0329】

クラウドおよび階層化情報セキュリティによる重要インフラストラクチャー防護および返報（ＣＩＰＲ／ＣＴＩＳ）
図５７は、最新サイバーセキュリティに関する、誰が、何を、何時、への質問に対する分析を示している。図５８は、最新サイバーセキュリティに関する、何処で、何故、如何にして、への質問に対する分析を示している。図５９は、信用プラットフォーム内セキュリティ情報同期サービスを示している。信用プラットフォームとは、セキュリティ情報およびサービスを共有することにより相互に便宜を得ている、検証が済んだ複数の会社およびシステムのグループである。図６０は、マネージドネットワークおよびセキュリティサービスプロバイダ（ＭＮＳＰ）内にある、多数のセキュリティアルゴリズム間の情報の流れを示している。図６１は、多数の法人（例えば、エネルギー会社）が、産業プライベートエクストラネットを経由して協力している様子を示している。このようなエクストラネットは、ＭＮＳＰクラウドサービスに接続している。図６２は、リアルタイムで遡及的なセキュリティ分析のために、企業イントラネット内の全ての企業トラフィックが、ＶＰＮを経由してＭＮＳＰクラウドに中継されることを示している。図６３は、ＶＰＮ経由でＭＮＳＰクラウドに情報を中継している、非企業環境（コーヒーショップ）内の企業デバイスを示している。図６４は、Ｉ^２ＧＥ（反復型知的成長および進化）についての遡及的セキュリティ処理を示している。

【0330】

参照符号２３６を参照すると、イベントと、それぞれのセキュリティ応答とトレイトが、今後の問い合わせのために格納されインデックス付けされる。

【0331】

参照符号２３８を参照すると、共謀検知は、複数の「共謀」セキュリティイベントに対する定期的な素性チェックを提供し、一見無関係なセキュリティイベント同士のパターンや関係を判定しようと試みる。

【0332】

参照符号２４０を参照すると、並行する複数の進化系統が発達し選択される。反復操作された世代が、同一のＡＳＴバッチに適応し、最良のパーソナリティトレイトを有する系統が、最終的にはこのセキュリティ脅威に対して最も良く耐えることになる。

【0333】

図６５は、ＬＩＺＡＲＤクラウドベースの暗号化セキュリティについてのリアルタイムセキュリティ処理を示している。参照符号２４６を参照すると、構文モジュールが、コンピュータのコードを読み書きするためのフレームワークを提供している。書き込みでは、構文モジュールは、ＰＭ（目標モジュール）から複合フォーマットの目標を受信し、コードを任意のコードの構文で書き込み、それによって、ヘルパ機能がこの任意のコードを（所望の言語に依存して）実際の実行可能コードへと翻訳できる。読み込みでは、構文モジュールは、ＰＭが、コードの機能性の目標を導出できるよう、このコードの構文解釈を提供する。

【0334】

参照符号２４８を参照すると、目標モジュールは、構文モジュールを用いて（図６５）コードから目標を導出し、この目標を、自身の「複合目標フォーマット」に出力する。この目標は、ＳＭ（構文モジュール）によって解釈されたままのコードブロックの、意図された機能性を十分に記述している（たとえこのコードが、データ内に密かに埋め込まれていても）。

【0335】

参照符号２５０を参照すると、企業ネットワークとデータベースが、仮想環境内に複製され、取扱注意のデータが模擬（偽の）データと置き換えられる。ターゲットの挙動に従って、環境がリアルタイム動的に変更され、システムのより多くの偽の要素、またはより多くの現実の要素が広範囲に含まれる。

【0336】

参照符号２５２を参照すると、信号擬態は、仮想難読化（保護）が分析的に完結したときに通常使用される、返報の形状を提供する。信号擬態は、マルウェアがハッカーと通信するための構文を読み解くために、構文モジュールを使用する。信号擬態は、その後この通信を乗っ取り、取扱注意のデータをハッカーに送ることに成功という、誤った印象をマルウェアに与える（偽のデータが、ハッカーの虚像に対して送信されたとしても）。ＬＩＺＡＲＤは、マルウェアのエラーコードも現実のハッカーに送信し、このエラーコードがマルウェアから来たもののように思わせる。これによって、ハッカーの時間とリソースが、誤ったデバッグ作業という、脱線した作業に流用させられ、ついには、マルウェアが機能しなかったという誤った印象をもちながら、機能しているマルウェアを放棄させる。

【0337】

参照符号２５４を参照すると、内部整合性チェックが、外来コードの全ての内部機能の辻褄が合っていることがチェックする。外来コード全体としての目標と内部的に相容れないコードの断片が存在しないことを確かめる。

【0338】

参照符号２５６を参照すると、外来コード改訂が、構文モジュールと目標モジュールを使用し、外来コードを複合目標フォーマットにまとめる。その後、導出された目標を使用するコードセットを構築する。これによって、外来コードから読み解かれた所望の目標だけが企業内で実行され、意図しない機能が実行されることでシステムにアクセスすることのないことが保証される。

【0339】

参照符号２５８を参照すると、秘密コード検知が、データおよび送信パケット内に密かに埋め込まれたコードを検知する。

【0340】

参照符号２６０を参照すると、外来コードがシステムの目的全体にフィットしているかを判断するために、マップ化された要求および目標の階層構造が参照される。

【0341】

図６６に、知的情報の管理、閲覧、および制御を示す。

【0342】

参照符号２６２を参照すると、多数のプラットフォームから情報ストリームがマージされ、タグ付けされつつ、汎用のレベル判定基準を使用して、必要で冗長な情報が除去されている。

【0343】

参照符号２６４を参照すると、設定および導入サービスは、新たな企業の資産（コンピュータ、ノートパソコン、携帯電話）を、正しいセキュリティ設定と通信設定で導入するためのインタフェースである。あるデバイスが追加され設定が行われた後、セキュリティ設定と通信設定は、管理フィードバック制御を仲立ちにして、管理コンソールを通じて微調整される。設定および導入サービスは、新たな顧客／クライアントのユーザアカウントの導入も管理している。この導入は、ハードウェアとユーザアカウント、インタフェースのカスタマイズ、顧客／クライアント変数（例えば、ビジネスタイプ、製品タイプ等）のリストとの関連付けを含んでもよい。

【0344】

参照符号２６６を参照すると、タグ付けされた情報のプールが、管理コンソールのユーザに該当する管轄範囲にしたがって、排他的に分割される。

【0345】

参照符号２６８を参照すると、個々の脅威にしたがって情報が整理される。あらゆる型のデータは、ある脅威と関係付けられて多少の情報が追加されるか、あるいは削除される。

【0346】

参照符号２７０を参照すると、プロセスのこの段階に至ると、残ったデータは、一群の島々のように見える。島はそれぞれ、サイバーセキュリティの脅威である。セキュリティアナリストの熟達のために、各プラットフォーム間で相互関係が結ばれる。脅威パターンを読み解くため、（ＬＩＺＡＲＤとは対照的に、Ｉ^２ＧＥから）履歴データがアクセスされ、ＣＴＭＰが、クリティカルシンキング分析のために使用される。

【0347】

参照符号２７２を参照すると、サイバーセキュリティの脅威が、俯瞰図（全体像）から認知される。このような脅威は、グラフィカルに表現するために、管理コンソールに渡される。脅威の仕組みに関連する、計算された測定値が、最終的に多数のプラットフォームからマージされているので、より多くの情報を得た状態で、脅威を管理する上での判断が自動的に実行される。

【0348】

参照符号２７４を参照すると、自動化制御は、ＭＮＳＰ、ＴＰ（信用プラットフォーム）、３ＰＳ（サードパーティーサービス）の管理に関する制御を行うことにアルゴリズムがアクセスすることを表している。

【0349】

参照符号２７６を参照すると、ポリシー作成、科学捜査、脅威の調査等を容易にするために使用できる、すべてのＭＮＳＰクラウド、信用プラットフォーム（ＴＰ）、追加のサードパーティーサービス（３ＰＳ）に基づくサービスの、ハイレベルな制御を提供している。このような管理制御は最終的に、カスタマイズ可能な適切な画像と効率的なプレゼンテーションとともに、管理コンソール（ＭＣ）上に明示される。これによって、必要に応じて拡大して詳細を見ることのできる単一のインタフェースから直接、システム（ＭＮＳＰ、ＴＰ、３ＰＳ）全体が効率的に制御・操作可能になっている。

【0350】

参照符号２７８を参照すると、手動制御は、ＭＮＳＰ、ＴＰ、３ＰＳの管理に関する制御を行うことに人間がアクセスすることを表している。

【0351】

参照符号２８０を参照すると、ダイレクトマネジメントが、ヒューマンインターフェースを提供するために、手動制御を強化している。

【0352】

参照符号２８２を参照すると、管理コンソールのユーザは、自分の管轄範囲および情報カテゴリアクセスの範囲を定義したログイン認証情報を使用する。

【0353】

参照符号２８４を参照すると、データベクタの候補は、移動中のデータ、休止中のデータ、および使用中のデータで全てである。

【0354】

参照符号２８６を参照すると、管理コンソールは、企業のさまざまな部署（経理、金融、人事、ＩＴ、法務、セキュリティ／総括監察官、プライバシー／情報公開、労働組合、等）および当事者（それぞれの部署のスタッフ、管理職、幹部）、加えて、第三者パートナー、法執行機関等向けの、カスタマイズ可能な画像を表示している。

【0355】

参照符号２８８を参照すると、監視、ログ採取、レポート発行、イベントの関係付け、アラートの処理、ポリシー／ルールセット生成、修正処置、アルゴリズム調整、サービスプロビジョニング（新しい顧客／変更）、信用プラットフォームの利用、加えて、第三者サービス（第三者サービスプロバイダおよび第三者サービスベンダをからのレポートおよびアラート／ログ、等を受信することを含む）など、機能の候補の全てが、単一のビューに集約されている。

【0356】

参照符号２９０を参照すると、画像は、境界、企業、データセンター、クラウド、リムーバブルメディア、モバイルデバイス等を表している。

【0357】

参照符号２９２を参照すると、資格を有する専門家のチームが、多数のシステムの活動および状況を全体にわたって監視している。知的情報処理およびＡＩによる判断が行われているので、経験年数の少ない人員を少人数だけ雇うことができるため、コストを下げることが可能である。チームの第一の目的は、大規模な分析ポイントを処理しつつ、万一の際には、システムが所望の判定基準にしたがって発達し、処理を行っていることを検証することにおいて、代替となること。

【0358】

ＬＩＺＡＲＤ（論理的推論によるゼロデータベースの演繹型リアルタイム防御）：クラウドベースの暗号化セキュリティ
図６７は、企業システム内のあらゆるデジタル転送が、ＬＩＺＡＲＤのインスタンスを経由して中継される様子を示している。この転送がＬＡＮ上で行われる場合は、個々のエンドポイントで稼働するＬＩＺＡＲＤの軽量版がセキュリティ手順を管理する。企業の外部へ出力される、または企業の外部から入力される全ての情報の経路は、ＬＩＺＡＲＤ ＶＰＮおよびＬＩＺＡＲＤクラウドを経由しなければならない。仮想難読化のような複雑な機能は、処理に必要なリソースの管理を埋め合わせるために、ＬＩＺＡＲＤ軽量版からＬＩＺＡＲＤクラウドへと中継される。図６８は、ＬＩＺＡＲＤリアルタイムセキュリティアルゴリズムの概要を示している。

【0359】

参照符号２９４を参照すると、ダイナミックシェルは、反復操作を通じた変化を最も受けやすい。自身の目的を達成するために大きな計算量を必要とするモジュールは、通常、ダイナミックシェルに属する。というのも、これらのモジュールは、プログラマのチームが扱える計算量のレベルを凌駕しているからである。

【0360】

参照符号２９６を参照すると、反復操作モジュール（ＩＭ）は、静的コア（ＳＣ）を使用して、「決定されたゴール」の定義された目標およびデータ返送中継（ＤＲＲ）からのデータにしたがって、ダイナミックシェル（ＤＳ）のコードベースを構文的に変更する。この変更されたバージョンのＬＩＺＡＲＤは、疑似セキュリティ脅威（ＡＳＴ）によって、多数のさまざまなセキュリティシナリオのもとで（並行して）ストレステストを受ける。最も成功した反復操作が、実稼働版として採用される。

【0361】

参照符号２９８を参照すると、データ返送中継が示されている。ＬＩＺＡＲＤが行った判断の確信度が低い場合、データ返送中継は、今後のＬＩＺＡＲＤの反復操作結果を改善するために、該当するデータをＡＳＴに中継する。ＬＩＺＡＲＤ自身は、判断を行うためのデータに直接頼ることはなく、脅威を進化させることに関するデータが、今後のＬＩＺＡＲＤの反復操作が行うかもしれない演繹的な意思決定に、間接的に寄与できる。

【0362】

参照符号３００を参照すると、疑似セキュリティ脅威（ＡＳＴ）は、反復操作プロセスを実行可能にするために、シミュレートされたセキュリティ脅威を伴う仮想テスト環境を生成する。犯罪的で悪意のあるサイバー活動の自然な進化の先を行くように、ＡＳＴの疑似的な進化は、十分に行われる。

【0363】

参照符号３０２を参照すると、静的コアが示されている。ＬＩＺＡＲＤのこのレイヤは、自動化された反復操作による変化を最も受けにくく、その代わりに人間のプログラマによって直接変えられる。特に、最も内側の濃い赤の四角形は、自動化された反復操作の影響を全く受けない。この、最も内側のレイヤは、ＬＩＺＡＲＤの方向性と全体の能力を誘導するツリーの根のようなものである。

【0364】

図６９は、ＬＩＺＡＲＤの静的コアの概要を示している。参照符号３０４を参照すると、論理導出が、論理的に必要な機能を、初期のより簡易な機能から導出する。最終的な結果として、機能の依存性のツリー全体が、宣言された複合目標から構築される。

【0365】

参照符号３０６を参照すると、コード翻訳が、構文モジュール機能によって直接読み解かれる任意の（汎用）コードを、任意に選ばれた既知のコンピュータ言語に変換する。既知のコンピュータ言語から任意のコードへの逆翻訳も行われる。

【0366】

参照符号３０８を参照すると、論理削減が、コードロジックを、より簡易な形状にまとめて相互に接続された機能のマップを生成する。

【0367】

参照符号３１０を参照すると、複合目標フォーマットが、目標全体を表している、相互に接続された複数の下位目標を格納するための格納フォーマットを表している。

【0368】

参照符号３１２を参照すると、目標の関連性とは、挙動の機能および型がどの種類の目標を参照しているかを調べるための、ハードコーティングされた参考資料のことである。

【0369】

参照符号３１４を参照すると、反復操作拡張は、目標の関連性を参照し、詳細と複雑性を追加して、単純なゴールを複合目標に進化させる。

【0370】

参照符号３１６を参照すると、反復操作解釈は、相互に接続された機能を全て繋ぎ合わせ、かつ、目標の関連性を参照することにより、解釈された目標を生成する。

【0371】

参照符号３１８を参照すると、外側コアが示されている。構文モジュール（ＳＭ）および目標モジュール（ＰＭ）は協力しあい、未知の外来コードから論理的な目標を導出し、また宣言された機能コードのゴールから実行可能コードを生成する。

【0372】

図７０は、ＬＩＺＡＲＤの静的コアの内側コアを示している。内側コアは、該当するサイバーセキュリティの専門家によって、直接かつ独占的にプログラムされた、システムの必須のコア機能を示している。

【0373】

図７１は、ＬＩＺＡＲＤのダイナミックシェルを示している。

【0374】

参照符号３２０を参照すると、人間／信頼度の関係が示されている。平均的な関係は存在するものの、より静的／人間寄りのコードと、より信頼された／確立されたコードとの間には、直接的な因果関係のリンクが全く存在しない。

【0375】

参照符号３２２を参照すると、新規の実験的なアルゴリズムが示されている。新しいモジュールが必要であることが、人間またはＡＩによって決定される

【0376】

参照符号３２４を参照すると、内部整合性チェックは、外来コードの任意のブロックが作成した全ての内部機能の辻褄が合っているかどうかをチェックする。外来コード全体としての目標と内部的に相容れないコードの断片が存在しないことが確かめられる。

【0377】

参照符号３２６を参照すると、外来コード改訂が示されている。外来コードの目標が導出された後、コードの一部あるいは全部が改訂され、改訂版だけが実行を許可される。ミラーテストにより、改訂版の入出力挙動が、元のコードのものと同じであることが確かめられる。このようにして、元のコードに存在する任意の隠されたエクスプロイトは使われなくなり、二度と実行されることがない。

【0378】

参照符号３２８を参照すると、ＡＳＴオーバーフロー中継が示されている。システムが低確信度の判断しかできないときは、今後の反復操作の改善のために、データがＡＳＴに中継される。

【0379】

参照符号３３０を参照すると、要求マップマッチングが示されている。外来コードがシステムの目的全体（例えば、パズル）にフィットしているかを判断するために、マップ化された要求および目標の階層構造が参照される。

【0380】

参照符号３３２を参照すると、仮想難読化が示されている。コード、つまりマルウェアの候補を、徐々に、かつ部分的に仮想化された偽の環境に浸すことで、コードを乱雑にし、制限する。

【0381】

参照符号３３４を参照すると、コード検疫が示されている。外来コードが、制限付の仮想環境（例えば、シャーレ）に隔離される。

【0382】

参照符号３３６を参照すると、秘密コード検知が示されている。データおよび送信パケット内に密かに埋め込まれたコードが検知される。

【0383】

図７２は、仮想難読化を示している。参照符号３３８を参照すると、マルウェアが、仮定に基づいて企業ファイアウォール／侵入検知システム／ウイルス対策、等を、迂回する。

【0384】

参照符号３４０を参照すると、ＬＩＺＡＲＤが、入力されたコードのブロックの意図／目標について、低確信度の査定を有している。無害なプロセスが、使用する資格を有する非常に重要なデータの使用を拒まれるリスクを緩和するため、そして、悪意のあるコードが取扱注意のデータを有することを許してしまうリスクを回避するため、疑問の余地のあるコードが密かに、データの半分が模擬（偽の）データと知的に混合されている環境に割り当てられる。

【0385】

参照符号３４２を参照すると、実データ同期部は、混合環境に与えられるデータを、どの優先順位で与えるのかを知的に選択している、２つのレイヤのうちの１つである（もう一方は、データマネージャである）。このようにして、極めて取扱注意の情報は、疑われるマルウェアからはアクセスできず、周知で信用できることが確立されたコードだけに利用可能となる。

【0386】

参照符号３４４を参照すると、模擬データジェネレータは、偽造かつ無用なデータを作成するためのテンプレートとして、実データ同期部を使用している。データ型、データフォーム、データ密度、データ詳細、等の属性が、実データから模倣され、システム全体にうまく統合されたように見える、本物に見えるデータを有するデータベース（不適切で奇異なデータがない）が生成される。

【0387】

サイバースペースにおける秘密オペレーションによる秘密機械学習（ＭＡＣＩＮＴ）および返報
図７３は、ＭＡＣＩＮＴ秘密オペレーションの概要を示しており、犯人が企業システムを悪用する様子を示している。

【0388】

参照符号３４６を参照すると、二重スパイは、取扱注意のファイルのコピーを、目立たずに入手する。

【0389】

参照符号３４８を参照すると、入手したファイルは、暗号化を経由し、企業ネットワークの外側の詐欺的な宛先サーバに送られる。このような暗号化（例えば、ｈｔｔｐｓ）は、ポリシーによって許可されている。このため、この送信は、すぐにはブロックされない。

【0390】

参照符号３５０を参照すると、標準ログが生成される。標準ログは、リアルタイム分析および長期間分析のために伝達される。

【0391】

参照符号３５２を参照すると、ログ集約は、該当するデータを、リアルタイムスキャンおよび長期間スキャンに送る。

【0392】

参照符号３５４を参照すると、リアルタイムスキャンは、悪意のある活動をほぼ即時に認識して、それた実行する前に停止させるために、不完全な状態で準備される。

【0393】

参照符号３５６を参照すると、長期間スキャンは、分析により多くの時間を掛けることが出来るという利点を有するので、悪意のある挙動を最終的に認識する。

【0394】

参照符号３５８を参照すると、任意の第三者のシステムに属するあるコンピュータが使用され、取扱注意のファイルを転送し、調査を逃れて当該任意の第三者に濡れ衣を着せる。

【0395】

参照符号３６０を参照すると、窃盗犯は、その存在を隠し続けながら、彼らのボットネットを通じて取扱注意のファイルを受け取る。違法な恐喝と利益のために、取扱注意のファイルを使用し始める。

【0396】

クリティカルシンキング・メモリ・パーセプション（ＣＴＭＰ）アルゴリズム
図７４および７５は、ＣＴＭＰの機能的な概要を示している。図７６は、ＣＴＭＰの依存構造を示している。

【0397】

参照符号３６２を参照すると、観察者のエミュレーションが生成され、全てのパーセプションポイント候補が、このような観察者エミュレーションを使用してテスト／比較される。入力は、そのパーセプションポイントの候補の全てと、データ増強ログであり、一方で、出力は、このようなデータ増強ログから、このような選択されたパーセプションの組み合わせと、最良で、最も該当する、最も注意深い観察者によって生成される、結果としてのセキュリティ上の判断である。

【0398】

参照符号３６４を参照すると、調整可能ポリシーは、観察者エミュレーションを実行するために強化されるパーセプションの数を定める。選ばれたパーセプションの優先順位が、重み付けの降順で選択される。そして調整可能ポリシーは、パーセンテージ、固定値、あるいは、より複雑な選択アルゴリズムではなく、切り捨てを選択する方法を定めることができる。

【0399】

参照符号３６６を参照すると、データ増強ログから導出されたＣＶＦ（比較可能可変フォーマット）が、パーセプションストレージ（ＰＳ）のデータベース検索における判定基準として使用される。

【0400】

参照符号３６８を参照すると、メトリック処理は、選択パターンマッチングアルゴリズム（ＳＰＭＡ）のセキュリティ応答からの変数をリバースエンジニアリングし、このアルゴリズムの知性から、パーセプションを「救い出す」。

【0401】

参照符号３７０を参照すると、このセキュリティ応答の一部と、これに対応するシステムメタデータを使用して、セキュリティ応答の元のパーセプションを再現する。

【0402】

参照符号３７２を参照すると、ＣＴＭＰを決定するための最終ロジックが出力される。

【0403】

参照符号３７４を参照すると、従来の構文ベースの情報カテゴリ化によって、デバッグおよびアルゴリズム追跡が、個別のカテゴリに分割される。そして、このカテゴリは、セキュリティ上のリスクおよび対象と相関関係を有する、個別のセキュリティ応答をまとめ上げて生成するために使用することができる。

【0404】

参照符号３７６を参照すると、入力されたシステムメタデータが、意味のあるセキュリティ上の因果関係に分割される。

【0405】

参照符号３７８を参照すると、全てのセキュリティ上の対象が、該当するリスクと応答とともに、包括的に仕分けられる。

【0406】

参照符号３８０を参照すると、対象ナビゲータは、全ての適用可能な対象をスクロールする。

【0407】

参照符号３８２を参照すると、対象データ投入部は、その対象と関係のある、適切なリスクと応答を抽出する。

【0408】

参照符号３８４を参照すると、パーセプションがインデックス付けされて格納される。それらに該当する重み付けに加え、パーセプションが、そのインデックスとしての比較可能可変フォーマット（ＣＶＦ）とともに格納される。このことは、入力クエリ検索としてＣＶＦを受け取れるようにデータベースが最適化され、そして検索の結果は、パーセプションの取り合わせであることを意味している。

【0409】

図７７は、ＣＴＭＰの依存構造を示している。参照符号３８６を参照すると、現時点で既知のパーセプションの視点から意味づけることのできる、データのパーセプションの視点が導出される。

【0410】

参照符号３８８を参照すると、入力された生のログは、既知の知識を表している。このモジュールは、報告可能なログの限界を越えた、未知である可能性がある知識のスコープおよび型を推定する。このようにして、この結果生じるＣＴＭＰのクリティカルシンキング的な特徴によって、システムが直接知っている、または知らない、関与する知識の全ての可能なスコープを広げることができる。

【0411】

参照符号３９０を参照すると、パーセプションの視点は、メトリックのカテゴリに分割される。

【0412】

参照符号３９２を参照すると、個々のメトリックは、パーセプションの視点全体に戻される。

【0413】

参照符号３９４を参照すると、多数のさまざまなパーセプションの視点のメトリックが、個々のデータベースに、カテゴリ別に格納される。メトリックの上限は、それぞれのメトリックＤＢのピーク知識によって表される。メトリックは、増強され複雑性が高められると、戻されてパーセプションの視点に変換され、クリティカルシンキングのために強化される。

【0414】

参照符号３９６を参照すると、情報ストリームが、比較可能可変フォーマット（ＣＶＦ）に変換される。

【0415】

図７８は、ＣＴＭＰの依存構造を示している。参照符号３９８を参照すると、ルールセットのクリティカルシンキングスコープを拡張するために、既知のパーセプションが強化される。

【0416】

参照符号４００を参照すると、ルール構文導出から受信したパーセプションから、比較可能可変フォーマット（ＣＶＦ）が形成される。新たに形成されたＣＶＦは、パーセプションストレージ（ＰＳ）内で類似したインデックスを有する、該当するパーセプションを検索するために使用される。一致する候補が、ルール構文生成に戻される。

【0417】

参照符号４０２を参照すると、入力されたデータから、無秩序なフィールドが形成される。既知の概念を認識するために、フィールドスキャンが行われる。

【0418】

参照符号４０４を参照すると、全ての概念が、個別に、インデックスとして知られる別々の部分に最適化される。これらのインデックスは、無秩序なフィールドと連携するために、文字スキャナにより使用される。

【0419】

参照符号４０６を参照すると、セキュリティインシデントログが、履行可能なルールを調べるためにスキャンされる。適用可能で履行可能なあらゆるルールが、セキュリティを向こうにする決定を生成するために実行される。

【0420】

参照符号４０８を参照すると、メモリが無秩序なフィールドをスキャンすることにより、存在して履行可能であると確認されたルールが、該当する所望のクリティカルシンキング決定を生成するために実行される。

【0421】

参照符号４１０を参照すると、ＲＦＰ（ルール履行パーサ）は、ルールの個々の部分を、認識のタグとともに受信する。各部分は、メモリ認識（ＭＲ）によって、無秩序なフィールド内で見つかった、または見つからなかったとマークされる。そして、ＲＦＰは、どのルール全体、つまり、そのルールの全部分の合成が、無秩序なフィールド内でルール実行（ＲＥ）に値するほど十分に認識されたのかを、論理的に推論することができる。

【0422】

参照符号４１２を参照すると、修正されたルールが分割され、型ごとにまとめられる。したがって、全ての処置、プロパティ、条件、およびオブジェクトが、別々に束ねられる。これによって、システムは、どの部分が無秩序なフィールド内で見つかっていて、どの部分が見つかっていないのかを判別することが可能となる。

【0423】

参照符号４１４を参照すると、論理的な「白か黒か」ルールが、メトリックベースのパーセプションに変換される。多数のルールの複雑な配列が、さまざまな勾配の多数のメトリックにより表現される、単一で一様なパーセプションに変換される。

【0424】

参照符号４１６を参照すると、ルール構文生成（ＲＳＧ）は、パーセプションフォーマットに格納されている、前回確認されたパーセプションを受信する。ルール構文生成（ＲＳＧ）は、パーセプションの内部的なメトリック構成に携わる。このような勾配ベースのメトリックの測定値は、元のパーセプションの入力／出力される情報のフローを列挙する、二値で論理的なルールセットに変換される。

【0425】

本発明を、特許請求の範囲の観点から再び説明する。図１〜１１および７９を参照すると、セキュリティイベントを処理するコンピュータセキュリティシステムが、複数のサブアルゴリズムを備える挙動モジュールであって、各サブアルゴリズムが、既定のセキュリティ問題に関連した既定のカテゴリに対応する、挙動モジュールと、挙動モジュールの出力に基づくセキュリティ分析を提供する、コンビネーションモジュールを備える。

【0426】

複数のサブアルゴリズムは、並行して実行され、各サブアルゴリズムは、入力を処理し、出力を格納する。情報処理リクエストが、少なくとも１つのサブアルゴリズムに送信され、各サブアルゴリズムは、セキュリティイベントのデータを処理し、各サブアルゴリズムの結果が、そのサブアルゴリズムのためのデータベースに格納される。

【0427】

システムは、予め定められた確信度レベルを超える前記複数のサブアルゴリズムの結果を選別する、高確信度フィルタをさらに備える。コンビネーションリクエストが、コンビネーションアルゴリズムに送信され、コンビネーションアルゴリズムは、コンビネーションリクエストの型に応じて２つ以上のサブアルゴリズムを合成し、コンビネーションアルゴリズムは、既定の判定基準に基づいて結果を選択する。

【0428】

システムは、ポリシーと挙動との組み合わせに基づいてセキュリティイベントのカテゴリを決定する、カテゴリ化モジュールと、セキュリティイベントの挙動パターンに基づいてセキュリティイベントを選り分ける、パターンマッチングモジュールをさらに備え、カテゴリ化モジュールは、パターンマッチングモジュールからの選別済みイベントのカテゴリを決定する。

【0429】

挙動モジュールは挙動データベースと接続され、挙動データベースは複数のカテゴリを含むメタデータを格納する。複数のカテゴリはそれぞれ、参照識別子、第一概念、第二概念、およびアルゴリズムが決定した関連性インデックスを含む。システムは、入力されたイベントを無害化ポリシーに基づいて選別する、無害化モジュールをさらに備える。

【0430】

図１２〜１８および８０を参照すると、サイバーセキュリティシステムが、多数のセキュリティイベントの背景をチェックし、多数のセキュリティイベント間のパターンおよび関係を決定する、共謀検知サブアルゴリズムと、未知データの型を決定し、選択したデータ型への確信度を申告し、確信度が既定のレベルよりも低い場合は失敗フラグを返す、情報型識別サブアルゴリズムを備える。

【0431】

図１２を参照すると、共謀検知サブアルゴリズムにおいては、セキュリティイベントが情報型識別サブアルゴリズムによってパースされ、情報型識別サブアルゴリズムは、セキュリティイベントに該当する属性を導出し、属性は、外部のポリシー及び挙動の解釈によってチェックされ、セキュリティイベントが処理のための閾値を超えているかどうかが確認される。

【0432】

セキュリティイベントに対して導出されたイベント属性が固有ＤＢに格納され、導出されたイベント属性の全ての組み合わせが作成され、組み合わせは予め定められた許可ルールによって選択され、選択された組み合わせは、既定の類似係数を調べるために、固有ＤＢに対して照会される。

【0433】

幽霊ドメイン名への対策を講じるため、既定の類似係数は、同一の社会保障番号および同一の発生時刻を有すること、同一のＩＰ ＬＡＮサブネット範囲、同一の個人電話番号、および同一の個人アドレスを有すること、同一ドメイン名の異なる電子メールアドレスを有すること、同一ドメイン名に属する種々の電子メールアドレスを有すること、ならびに、あるドメイン名と、ドメイン名が指すと考えられるＩＰアドレスを有すること、を含んでいる。共謀検知サブアルゴリズムによるチェックの結果が、管理コンソールに通知される。

【0434】

図１３を参照すると、システムは、外来の脅威によって企業の隔離ネットワークに求められるものに基づいて、外来の脅威の重大度をアップグレードまたはダウングレードし、外来の脅威への認知を高めるために、第三者情報を受信する、外来エンティティ管理サブアルゴリズムと、あるユーザの記録に対して、既定のリスク係数に基づき総合リスク査定を判定する、ユーザリスク管理サブアルゴリズム、をさらに備える。

【0435】

外来エンティティ管理サブアルゴリズムにおいては、セキュリティイベントが情報型識別サブアルゴリズムによってパースされ、当該セキュリティイベントに関与している、ネットワーク上の発信元およびユーザが導出され、当該セキュリティイベントのネットワーク上の発信元は、セキュリティ警戒リストに照らしてチェックされ、ユーザ情報がセキュリティ警戒リストで見つかった場合、当該ユーザは、ユーザリスク査定サブアルゴリズムによりチェックされる。チェックの結果が、外部のポリシー及び挙動に左右される、予め定められた閾値に基づいて考慮されて集約され、集約された結果が固有データベースに格納される。

【0436】

図１４を参照すると、情報型識別サブアルゴリズムにおいては、並列化を目的として、提供される未知データについては、入力は一括で行われている。情報型識別サブアルゴリズムは、当該未知データの属性を抽出し、属性には、長さ、数字／文字比、特殊文字が含まれる。抽出された属性は、ＤＢのデータポイントと照合される。ＤＢのデータポイントは、照合のために選択されたものである。照合のために、まずキャッシュがチェックされる。情報型識別サブアルゴリズムは、確信度レベルを求めるために照合結果を処理する。当該結果の確信度レベルが既定の閾値より低い場合、結果は切り捨てられる。既定の閾値は動的であってもよい。型親和性と属性の構成とを関係づけるためにパターン検知が実行され、高確信度を有するパターンはキャッシュに格納され、ＤＢは計算されたパターンを含まないが型と属性の静的な関係付けを含む。処理された結果がＡＰＩに合わせて編集され、出力される。

【0437】

図１５を参照すると、システムは、任意のメディアをスキャンし、このメディアの予期された構成に対して、違法な情報の転送、および一貫性のない／疑わしい挙動がないかチェックする、メディアスキャナサブアルゴリズム、をさらに備える。メディアスキャナサブアルゴリズムにおいては、メディアパースが実行され、与えられたメディア内の情報内で疑われるポイントがハイライトされ、疑われるポイントは、メタデータまたはこのメディアのＲＡＷフォーマットに隠されている可能性があり、このメディアのデータおよびメタデータがスキャンされる。

【0438】

情報内で疑われるポイントは、情報型識別サブアルゴリズムによって処理され、そこでユーザＩＤが処理されてユーザリスク管理サブアルゴリズムに渡され、他の全ての情報が、汎用パーサに渡される。汎用パーサは、リスクオブジェクトＤＢと連携することで、ファイル内に存在する危険な関連性を探す。危険な関連性が見つかった場合、このメディアは転送がブロックされ、リスクオブジェクトが生成され、ユーザリスク管理サブアルゴリズムには、このセキュリティイベントへの、該当するユーザの関与が通知される。処理された結果が合成されてパースされ、このメディアをブロックするか許可するかの判断が行われる。

【0439】

図１６を参照すると、システムは、任意のユーザやプロセスがそれらに許可された特権割り当ての範囲内にあるかどうかを判定し、絶え間なく起動され、確認したあらゆる特権違反を、マスタープロセスおよびセカンダリプロセスにレポートし、セカンダリプロセスは、マスタープロセスがその特権違反に対して処置を行ったことについてダブルチェックを行う、特権分離分析サブアルゴリズムをさらに備える。特権分離分析サブアルゴリズムにおいては、ユーザ許可イベントが送信され、ユーザＩＤトークンと、リクエストされたアクセス／変更の場所が、情報型識別サブアルゴリズムにより抽出され、スレッドマネージャへ送られる。スレッドマネージャは、場所情報を受信し、アクセス／変更が許可されているのが誰かを調べるために、場所データベースを呼び出す、場所スレッドマネージャを備える。

【0440】

場所許可バンクは、当該場所の許可要件を固有ＤＢ２から受信し、ユーザセキュリティリスクのため、予防措置としてどこかの場所をブロックすべきかどうかを判断するあるスレッドからの問い合わせを受け、予防措置レベルの閾値は、外部のポリシー及び挙動を経由して決定される。スレッドマネージャは、ユーザ情報を受信し、アクセス／変更が許可されている場所はどこかを調べるために、ユーザデータベースを呼び出し、また、このユーザに対して予防ポリシーの範囲でブロックすべき危険な場所を得るために、ユーザリスク管理サブアルゴリズムを呼び出す、ユーザスレッドマネージャを備える。

【0441】

ユーザ許可バンクは、当該ユーザの許可属性を固有ＤＢ１から受信し、場所スレッドマネージャから、当該ユーザがこの場所においてリクエストされた処置を行うことを許可されているかどうかを確認する問い合わせを受ける。許可アグリゲータは、場所スレッドマネージャとユーザスレッドマネージャの結果を論理的に合成し、合成された結果を出力する。

【0442】

図１７を参照すると、ユーザリスク管理サブアルゴリズムにおいては、既定のリスク係数は、以前のポリシー違反、過度な使用状況、および遂行された疑わしい操作を含む。ユーザＩＤトークンが入力され、リスクの重大性の複数の関連オブジェクトを伴った、総合リスク査定パーセンテージが出力され、これらのオブジェクトは、さらなる分析のため、他のサブアルゴリズムから個別にアクセス可能である。当該ユーザに関するリスクオブジェクトが入力され、そのリスクオブジェクトと当該ユーザとの紐付けが記録される。ユーザＩＤトークンが、リスク査定レポートの生成、またはリスクオブジェクト参照をデポジットするために提供され、ユーザのリスク履歴が、デポジットされたリスクオブジェクト参照を使用して構築される。

【0443】

リスクオブジェクト参照が提供される場合、今後の参照のため、データベース内へのデポジットが行われる。リスクオブジェクト参照のデポジットが行われない場合、スレッドマネージャはレポートの作成を要求し、当該ユーザのリスク履歴を査定するために、固有データベースにおいて、該当するユーザＩＤが調べられる。リスク格付が、リスクオブジェクトに対するリスク格付を与える固有ＤＢから抽出され、リスク格付と、抽出されたリスクオブジェクトを使用して、最終集約レポートが作成され、出力に送られ、包括的主要リスクインデックスも出力に送られ、ユーザの直接リスク係数を特定するために使用される。

【0444】

図１９〜２１および図８１を参照すると、本発明はさらに、反復型知的成長の方法を提供し、方法は、初期ルールセットの入力を受信する工程と、複数のパーソナリティトレイトの入力を受信する工程であって、パーソナリティトレイトは、セキュリティイベントに対して働くべき反応的性質を定義する、工程と、パーソナリティトレイトを選び、そのパーソナリティトレイトを進化系統に割り当てる工程と、前記工程を、他の進化系統に対して、全てのパーソナリティトレイトについて繰り返す工程と、進化系統を実行する工程であって、進化系統はそれぞれ、与えられたパーソナリティトレイトにしたがって複数の世代を進化させる、工程、を備える。各進化系統の操作は、他の進化系統の操作からは仮想的に隔離されている。

【0445】

パーソナリティトレイトは、ｉ）相関関係の度合いに基づいてＣＰＵ時間を使用する、現実的なトレイト、ｉｉ）個人またはコンピュータシステムを含む、任意のエンティティについて、以前のセキュリティインシデントがあったかどうかに基づいてＣＰＵ時間を使用する、非寛容的なトレイト、ｉｉｉ）修正処置の利用可能性に基づいてＣＰＵ時間を使用する、日和見的なトレイト、またはｉｖ）寛容さまたは許容範囲がほとんどない仮定に基づいてＣＰＵ時間を使用する、厳密で予防的なトレイト、を含む。ＣＰＵ時間は、ＣＰＵサイクル数／秒で計測される。

【0446】

図２０を参照すると、監視／連携システムは、セキュリティイベントを、疑似セキュリティ脅威（ＡＳＴ）システムから進化系統に投入し、セキュリティ挙動クラウドから、セキュリティイベントに関連するセキュリティ応答を中継するものであり、進化系統のいずれかが、与えられたセキュリティ課題を解決できないという不定状態に対している場合は、その進化系統の実行が破棄され、破棄された進化系統のパーソナリティトレイトが変更され、変更されたパーソナリティトレイトは別の進化系統に割り当てられ、破棄された進化系統のセキュリティイベントは、この別の進化系統に投入され、この別の進化系統が実行され、監視／連携システムは、進化系統のパフォーマンスを出力し、パーソナリティトレイトを変更するための入力を受信する。

【0447】

図２１を参照すると、相互参照モジュールが、任意のセキュリティイベントへのセキュリティシステム応答を分析し、セキュリティシステム応答が意味のあるものであるかを判断し、このセキュリティシステム応答を、トレイトタグ付けモジュールに送る。トレイトタグ付けモジュールは、セキュリティシステム応答を、トレイトタグ付けモジュールに提供されたパーソナリティ型にしたがって分類する。トレイト連携モジュールは、パーソナリティトレイト同士の関係を分析し、分析結果がセキュリティ挙動クラウドに渡され、セキュリティ挙動クラウドは、分析結果を監視／連携システムに渡す。

【0448】

図２２〜３６を参照すると、本発明はさらに、サイバー脅威インテリジェンス識別統合および分析システムを提供し、サイバー脅威インテリジェンス識別統合および分析システムは、２つの親形状を受信し、２つの親形状をハイブリッド形状にマージするインテリジェントセレクタであって、親形状はデータの抽象的な構造を表す、インテリジェントセレクタと、システムが使用されているアルゴリズムの型を定義するモードモジュールであって、インテリジェントセレクタは、当該アルゴリズムの型に基づいてマージする部分を決定する、モードモジュールと、形状がどのようにマージされるべきかを決めるための、カスタム化データの入力を受信する、静的基準モジュールを備える。カスタム化データは、格付けの優先順位付け、所望のデータ比、およびモードモジュールによって定義されているアルゴリズムの型に応じて行われるマージを指揮するデータを含む。

【0449】

図２４を参照すると、インテリジェントセレクタは、静的基準モジュールにより提供されるカスタム化データに基づき、生データ比較を２つの親形状に対して行う、生データ比較モジュールを備え、生データ比較モジュールは、関連する変更点および非変更点を出力し、インテリジェントセレクタは、カスタム化データに基づいて変更点の重要性を格付けし、変更点と非変更点が、静的基準のカスタム化データおよび、モードのアルゴリズムの型に基づいてハイブリッド形状にマージされ、マージは、データの比分布、データの重要性、およびデータ間の関係の調整を含み、比モード、優先順位モード、およびスタイルモードが、システムにプリセットされている。

【0450】

比モードにおいては、静的基準によって設定された比に応じて、共通している情報の量が選別され、この比が大きく設定されている場合は、大量の形状データがそのままハイブリッド形状にマージされ、この比が小さく設定されている場合は、ハイブリッド形状の大半が過去の反復操作結果とは大きく異なるように構築される。優先順位モードにおいては、ある形状の中の同じ箇所で、ある特徴の定義が双方のデータセットで競合しているときは、優先順位付けプロセスが起動し、重立った特徴と、共通しているために隠される特徴を選び出し、ただ１つのトレイトだけがハイブリッド形状を占有できる場合は、優先順位付けプロセスが起動する。スタイルモードにおいては、このようにして、共通するポイントがマージされ、静的基準とモードによって、このモジュールが、ある一方を他方にマージすることを優先させるように指揮されている。

【0451】

図２７を参照すると、セキュリティイベントを、それらに対する応答とともに照会しやすくするために、トレイトの組成と、インデックス付けされたセキュリティ関心ポイント（ＰＯＩ）が提供され、ＰＯＩはセキュリティＰＯＩプールに格納され、ＰＯＩは、トレイトインデックスにつなげられており、セキュリティ問題に関するパーソナリティトレイトが照会されたとき、該当するＰＯＩがＰＯＩプールで検索され、該当するイベント＋応答ストレージが取り出されて返され、ＰＯＩインタフェースモジュールにおいては、パーソナリティトレイトはＰＯＩに紐付いている。

【0452】

図２８を参照すると、システムはさらに、応答パーサであって、セキュリティイベントを記述するデータとセキュリティイベントへの応答が受信され、セキュリティ挙動モジュールは既知のＰＯＩを提供し、セキュリティイベントにタグ付けされたパーソナリティトレイトのための入力が受信される、相互参照モジュールと、パーソナリティトレイトの既定と過去のセキュリティ挙動からのパターン相関に基づいて、セキュリティ応答とパーソナリティトレイトを紐付ける、トレイトタグ付けモジュールと、トレイトタグ付けモジュールからトレイトの組成を受信し、その内部的な互換性を査定する、トレイト連携モジュール、を備える、応答パーサを備える。セキュリティイベント、応答、およびトレイトは、セキュリティ挙動クラウドに格納される。

【0453】

セキュリティルールセットが、疑似エクスプロイトでテストされ、エクスプロイトが実行された後、当該エクスプロイトが機能し、さらにエクスプロイトＤＢに組み込まれるべきとされた場合は、結果フィードバックモジュールが結果を提供し、情報リリースモジュールが、次のエクスプロイトをどのようなものにするべきかについて、詳細な情報を案出モジュールに提供し、情報は、情報リリースモジュールとエクスプロイトＤＢの間でマージされ、当該エクスプロイトは、全ての進化系統が、同じエクスプロイトで同時並行的にテストされるバッチとして実行され、案出モジュールは、情報リリースモジュールの結果に基づいて、従来の複数のエクスプロイトの長所が用いられ、エクスプロイトの既知の弱点を回避した、ハイブリッドエクスプロイトを生成する。

【0454】

管理監督モジュールが、エクスプロイトの格納状況および使用状況の発達を監視し、エクスプロイトが、外部からの入力によって生成／変更／削除され、複数のエクスプロイトの、ある条件下における過去の動作状況、およびエクスプロイトの重要性を記述している、既知の挙動履歴に沿って格納されている。

【0455】

図３１を参照すると、システムはさらに、案出モジュールが、ある系統の次の世代を生成している、監視／連携システムを備えており、２つの入力形状が、セキュリティ挙動クラウドからの編集済みセキュリティ挙動と、セキュリティ審査モジュールからの変数であり、得られたハイブリッド形状が反復操作プロセッサに送られ、反復操作プロセッサは、案出モジュールから送られたハイブリッド形状を処理して新しい世代を組み立て、新しい世代を、該当する進化系統にロードし、セキュリティ審査モジュールは、進化系統からレポート変数を受信して疑似セキュリティ脅威（ＡＳＴ）システムに対するセキュリティ上のパフォーマンスを評価し、今後の審査のためにレポートを出力してこのレポートを案出モジュールに送信し、次の世代の反復操作を行い、セキュリティ挙動クラウドは、該当するイベント＋応答をセキュリティ審査モジュールに供給し、判定基準がトレイトインデックスクエリを通じて決定され、パフォーマンスが良いという評価をセキュリティ審査モジュールが受信したときは、セキュリティ挙動クラウドの中でこのエクスプロイトを打ち破るべく、より良いエクスプロイトを見つけようとし、トレイトの組成がセキュリティ挙動クラウドに提供され、セキュリティ挙動クラウドは、世代ルールセットをどのように構成すべきかを指揮するために、トレイトの組成を案出モジュールに提供する。

【0456】

図３３〜３６を参照すると、自動成長誘導システムが、外部制御と監視／連携システムの間に介在し、モジュール型により所望のモジュールの挙動が何かが判別され、強制フィードバックが、あるモジュールが新たな命令を受けるたびに、自分の現在の条件を知らせることによる応答であり、ハイレベルマスター変数が、外部から静的基準に入力され、前回の所望の結果と実際の結果を受け、案出モジュールは新たな所望の結果を判別し、被制御モジュールの状況および状態を含む実際の結果が、モジュール追跡ＤＢに格納され、実際の結果が、当該モジュールおよび案出モジュールによってモジュール追跡ＤＢに入力され、モジュール追跡ＤＢは、被制御モジュールのために内部的に選ばれた成長パターンを反映した入力形状を、案出モジュールに提供し、案出モジュールは、当該モジュールのための新しい制御を、モジュール追跡部および当該モジュール自身に送り、モジュール追跡部が単一のインスタンスで稼働し、多数のモジュールを同時に扱うために分割されていることを除けば、複数のモジュールが並行して制御されており、実際のモジュール履歴から導出された情報を含む、被制御モジュールからのフィードバックが、現実ＤＢに格納され、理論ＤＢは、案出モジュールにより提供された、当該モジュールのための理論上の制御を含んでおり、制御が予期されたとおり実行される場合は、同一の成長パターンが守られ、制御の実行が奇異な場合は、代わりの成長パターンが採用される。

【0457】

図３７〜４５を参照すると、システムはさらに、構成における理論上の変化を考慮するために既存のマルウェアが反復操作される、マルウェア予測追跡アルゴリズムを備え、理論上の時間が経過するにつれて、マルウェアは案出モジュールと連携しながら進化し、カテゴリＡは、認識され削除されたことが実証された履歴を有する、確認済みのマルウェア脅威を表し、カテゴリＢは、システムがその存在を知っているが、絶対的な確信をもって認識および削除することができないマルウェアを表し、カテゴリＣは、システムにとってあらゆる面で完全に未知であるマルウェアを表し、マルウェア予測プロセスは、カテゴリＡから開始され、既知のマルウェアが案出モジュールに送られ、現時点で未知のマルウェアを表わす、バリエーションの候補を含むハイブリッド形状を生成し、そして、カテゴリＢに基づき、理論的なプロセスは、未知の脅威がどのようなものであるかについての最良の推定結果を表しており、カテゴリＣに基づくプロセスは、システムが知らない、予測しようとしている実際の脅威を表しており、既知で確認済みの反復操作の遷移を表すために、あるパターンが生成され、遷移パターンは、現時点で未知の脅威を予測するために使用される。

【0458】

図５７〜６６を参照すると、システムはさらに、信用プラットフォーム内セキュリティ情報同期サービスを備えた、クラウドおよび階層化情報セキュリティによる重要インフラストラクチャー防護および返報（ＣＩＰＲ／ＣＴＩＳ）を備え、マネージドネットワークおよびセキュリティサービスプロバイダ（ＭＮＳＰ）内の多数のセキュリティアルゴリズム間で情報が流れ、企業イントラネット、エクストラネット、およびインターネット内の全ての企業トラフィックが、リアルタイムで遡及的なセキュリティ分析のために、ＶＰＮ経由でＭＮＳＰクラウドに中継され、遡及的セキュリティ分析においては、イベントと、それぞれのセキュリティ応答とトレイトが、今後の問い合わせのために格納されインデックス付けされ、共謀検知は、多数のセキュリティイベントに対する定期的な素性チェックを提供し、パターンや関係を判定しようと試み、並行する複数の進化系統が発達し選択され、反復操作された世代が、同一のＡＳＴバッチに適応し、最良のパーソナリティトレイトを有する系統が、最終的にはこのセキュリティ脅威に対して最も良く耐えることになり、リアルタイムセキュリティ分析においては、構文モジュールが、コンピュータのコードを読み書きするためのフレームワークを提供しており、目標モジュールは構文モジュールを用いてコードから目標を導出し、この目標を、自身の複合目標フォーマットに出力し、企業ネットワークとデータベースが、仮想環境内に複製され、取扱注意のデータが模擬（偽の）データと置き換えられ、単一擬態は、仮想難読化（保護）が分析的に完結したときに使用される、返報の形状を提供し、内部整合性チェックが、外来コードの全ての内部機能の辻褄が合っていることをチェックし、外来コード改訂が、構文モジュールと目標モジュールを使用し、外来コードを複合目標フォーマットにまとめ、秘密コード検知が、データおよび送信パケット内に密かに埋め込まれたコードを検知し、外来コードがシステムの目的全体にフィットしているかを判断するために、マップ化された要求および目標の階層構造が参照される。

【0459】

図６７〜７２を参照すると、システムはさらに、企業システム内のあらゆるデジタル転送が、ＬＩＺＡＲＤのインスタンスを経由して中継される、論理的推論によるゼロデータベースの演繹型リアルタイム防御（ＬＩＺＡＲＤ）を備え、企業の外部へ出力される、または企業システムの外部から入力される全ての情報の経路は、ＬＩＺＡＲＤ ＶＰＮおよびＬＩＺＡＲＤクラウドを経由し、反復操作モジュール（ＩＭ）が、静的コア（ＳＣ）を使用して、ダイナミックシェル（ＤＳ）のコードベースを構文的に変更し、変更されたバージョンのＬＩＺＡＲＤが、疑似セキュリティ脅威（ＡＳＴ）によって、多数のさまざまなセキュリティシナリオのもとで（並行して）ストレステストを受け、ＬＩＺＡＲＤが行った判断の信頼性が低い場合、データ返送中継が、今後のＬＩＺＡＲＤの反復操作結果を改善するために、該当するデータをＡＳＴに中継し、疑似セキュリティ脅威（ＡＳＴ）は、反復操作プロセスを実行可能にするために、シミュレートされたセキュリティ脅威を伴う仮想テスト環境を生成し、ＬＩＺＡＲＤの静的コアが、論理的に必要な機能を、初期のより簡易な機能から導出し、構文モジュール機能によって直接読み解かれる任意の（汎用）コードを、任意に選ばれた既知のコンピュータ言語に変換し、コードロジックをより簡易な形状にまとめて、相互に接続された機能のマップを生成し、反復操作拡張は、目標の関連性を参照し、詳細と複雑性を追加して、単純なゴールを複合目標に進化させ、仮想難読化モジュールは、コードを徐々にかつ部分的に仮想化された偽の環境に浸すことで、コードを乱雑にし、制限し、マルウェアが、仮定に基づいて企業セキュリティシステムを迂回し、ＬＩＺＡＲＤが、入力されたコードのブロックの意図／目標について、低確信度の査定を有しており、疑問の余地のあるコードが密かに、データの半分が模擬（偽の）データと知的に混合されている環境に割り当てられ、実データ同期部が、混合環境に与えられるデータを、どの優先順位で与えるのかを知的に選択し、模擬データジェネレータは、偽造かつ無用なデータを作成するためのテンプレートとして、実データ同期部を使用する。

【0460】

図７３を参照すると、システムはさらに、二重スパイが、取扱注意のファイルのコピーを目立たずに入手し、入手したファイルが、企業ネットワークの外側の詐欺的な宛先サーバに送られる、サイバースペースモジュールにおける秘密オペレーションによる秘密機械学習および返報を備え、リアルタイム分析および長期間分析のために伝達される標準ログが生成され、リアルタイム分析が、悪意のある活動をほぼ即時に認識して、それた実行する前に停止させ、長期間分析が、分析により多くの時間を掛けることによって、悪意のある挙動を認識する。

【0461】

図７４〜７８を参照すると、システムはさらに、観察者のエミュレーションを生成し、全てのパーセプションポイント候補が、このような観察者エミュレーションを使用してテスト／比較される、クリティカルシンキング・メモリ・パーセプションアルゴリズムを備え、選ばれたパーセプションの優先順位が、重み付けの降順で選択され、ポリシーが切り捨てを選択する方法を定め、パーセプションおよび該当する重み付けが、そのインデックスとしての比較可能可変フォーマット（ＣＶＦ）とともに格納され、データ強化ログから導出されたＣＶＦが、パーセプションストレージのデータベース検索における判定基準として使用され、メトリック処理は、選択パターンマッチングアルゴリズム（ＳＰＭＡ）のセキュリティ応答からの変数をリバースエンジニアリングし、このセキュリティ応答の一部と、これに対応するシステムメタデータを使用して、セキュリティ応答の元のパーセプションを再現し、従来の構文ベースの情報カテゴリ化によって、デバッグおよびアルゴリズム追跡が、個別のカテゴリに分割され、このカテゴリは、セキュリティ上のリスクおよび対象と相関関係を有する、個別のセキュリティ応答をまとめ上げて生成するために使用される。

【図1】

【図2】

【図3】

【図4】

【図5】

【図6】

【図7】

【図8】

【図9】

【図10】

【図11】

【図12】

【図13】

【図14】

【図15】

【図16】

【図17】

【図18】

【図19】

【図20】

【図21】

【図22】

【図23】

【図24】

【図25】

【図26】

【図27】

【図28】

【図29】

【図30】

【図31】

【図32】

【図33】

【図34】

【図35】

【図36】

【図37】

【図38】

【図39】

【図40】

【図41】

【図42】

【図43】

【図44】

【図45】

【図46】

【図47】

【図48】

【図49】

【図50】

【図51】

【図52】

【図53】

【図54】

【図55】

【図56】

【図57】

【図58】

【図59】

【図60】

【図61】

【図62】

【図63】

【図64】

【図65】

【図66】

【図67】

【図68】

【図69】

【図70】

【図71】

【図72】

【図73】

【図74】

【図75】

【図76】

【図77】

【図78】

【図79】

【図80】

【図81】