知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2022008250
(43)【公開日】2022-01-13
(54)【発明の名称】脅威制御方法およびシステム
(51)【国際特許分類】
G06F 21/55 20130101AFI20220105BHJP
G06N 20/00 20190101ALI20220105BHJP
G06N 3/08 20060101ALI20220105BHJP
【FI】
G06F21/55
G06N20/00
G06N3/08
【審査請求】未請求
【請求項の数】16
【出願形態】OL
(21)【出願番号】P 2021104988
(22)【出願日】2021-06-24
(31)【優先権主張番号】20182542.9
(32)【優先日】2020-06-26
(33)【優先権主張国・地域又は機関】EP
(71)【出願人】
【識別番号】511297708
【氏名又は名称】エフ-セキュア コーポレーション
(74)【代理人】
【識別番号】110001519
【氏名又は名称】特許業務法人太陽国際特許事務所
(72)【発明者】
【氏名】コマシンスキー、ドミトリー
(72)【発明者】
【氏名】パルーンボ、パオロ
(72)【発明者】
【氏名】レイヴ、ヨハンネス
(72)【発明者】
【氏名】アクセラ、マッティ
(57)【要約】
【課題】相互接続されたネットワークノードを備える脅威制御ネットワークのための脅威検出モデルの構成要素を配布するためのシステムおよび方法を提供することを目的とする。
【解決手段】脅威制御ネットワークはセキュリティエージェントモジュールのそれぞれのネットワークノードに関連するデータを収集し、確立された内部ネットワークで収集されたデータに基づいて情報を共有し、収集されたデータと内部ネットワークから受信した情報を使用して、それぞれのネットワークノードに関連する脅威検出モデルを生成し、適応させるセキュリティエージェントモジュールから構成される。ノードの一部は、検出規則を備える検出論理部、パラメータ値を備える検出論理パラメータ部、キープリミティブのセットを備えるコアデータプリミティブ部を備える。この方法は、脅威検出モデルの構成要素を、同じノードの他の構成要素とは独立してノードに分配することを含む。
【選択図】図1
【解決手段】脅威制御ネットワークはセキュリティエージェントモジュールのそれぞれのネットワークノードに関連するデータを収集し、確立された内部ネットワークで収集されたデータに基づいて情報を共有し、収集されたデータと内部ネットワークから受信した情報を使用して、それぞれのネットワークノードに関連する脅威検出モデルを生成し、適応させるセキュリティエージェントモジュールから構成される。ノードの一部は、検出規則を備える検出論理部、パラメータ値を備える検出論理パラメータ部、キープリミティブのセットを備えるコアデータプリミティブ部を備える。この方法は、脅威検出モデルの構成要素を、同じノードの他の構成要素とは独立してノードに分配することを含む。
【選択図】図1
【特許請求の範囲】
【請求項1】
相互接続されたネットワークノードであるノードを含む脅威制御ネットワークのための脅威検出モデルの構成要素を配布する方法であって、
前記脅威制御ネットワークは、セキュリティエージェントモジュールのそれぞれのネットワークノードに関連するデータを収集し、確立された内部ネットワーク内の前記収集されたデータに基づいて情報を共有し、前記収集されたデータと、前記それぞれのネットワークノードに関連する脅威検出モデルを生成し適合させるように前記内部ネットワークから受信した情報とを使用するセキュリティエージェントモジュールを備え、
前記ノードの少なくとも一部は、前記脅威検出モデルの構成要素である、検出規則を含む検出論理部、パラメータ値を含む検出論理パラメータ部およびキープリミティブの集合を構成するコアデータプリミティブ部を少なくとも含み、
脅威検出モデルの前記構成要素を、同じノードの他の前記構成要素とは独立してノードに分配することを含む方法。
前記脅威制御ネットワークは、セキュリティエージェントモジュールのそれぞれのネットワークノードに関連するデータを収集し、確立された内部ネットワーク内の前記収集されたデータに基づいて情報を共有し、前記収集されたデータと、前記それぞれのネットワークノードに関連する脅威検出モデルを生成し適合させるように前記内部ネットワークから受信した情報とを使用するセキュリティエージェントモジュールを備え、
前記ノードの少なくとも一部は、前記脅威検出モデルの構成要素である、検出規則を含む検出論理部、パラメータ値を含む検出論理パラメータ部およびキープリミティブの集合を構成するコアデータプリミティブ部を少なくとも含み、
脅威検出モデルの前記構成要素を、同じノードの他の前記構成要素とは独立してノードに分配することを含む方法。
【請求項2】
ノードの前記脅威検出モデルの前記構成要素の分配は、異なる時間インスタンスにおいて、かつ/または異なる時間間隔および/または更新頻度において、異なるソースから互いに独立して実行される、請求項1に記載の方法。
【請求項3】
セキュリティ脅威を検出するために使用される前記検出規則、前記パラメータ値、前記キープリミティブのセット、および/または検出機構は、前記検出規則に関連する機械学習、パラメータ値、および/またはキープリミティブを含み、かつ/または機械学習モデル、スキャニングエンジン、ヒューリスティック規則、統計的異常検出、ファジー論理ベースのモデル、および/または所定の規則を使用することを含む、請求項1または請求項2に記載の方法。
【請求項4】
前記脅威検出モデルの前記構成要素を含む前記ノードの少なくとも一部は、セキュリティエージェントモジュールを含む、請求項1~3のいずれか一項に記載の方法。
【請求項5】
前記脅威検出モデルの前記構成要素を含む前記ノードの少なくとも一部は、バックエンドシステムの一部である請求項1~4のいずれか一項に記載の方法。
【請求項6】
各セキュリティエージェントモジュールは、前記脅威検出モデルの前記構成要素を含み、かつ/または前記脅威検出モデルの前記構成要素は、セキュリティエージェントに分配される、請求項1~5のいずれか一項に記載の方法。
【請求項7】
前記検出論理部は1日に複数回、例えば、1時間毎、または1日毎に更新され、かつ/または、人間の入力に基づいて修正される、請求項1~6のいずれか一項に記載の方法。
【請求項8】
前記検出論理パラメータ部は、機械学習によって、および/または1日に複数回、例えば1時間に複数回、自動的に更新される、請求項1~7のいずれか一項に記載の方法。
【請求項9】
前記検出論理パラメータ部は、例えば、メンバーシップチェック、機械学習モデルの結果に対する閾値等の機械学習の推論を可能にするパラメータのうち少なくとも1つを含む、請求項1~8のいずれか一項に記載の方法。
【請求項10】
前記コアデータプリミティブ部は、ソフトウェアビルド更新で更新され、かつ/または人間の入力に基づいて修正される、請求項1~9のいずれか一項に記載の方法。
【請求項11】
前記脅威制御ネットワークは、脅威制御群知能ネットワークであり、かつ/または前記脅威制御群知能ネットワークは、ローカルコンピュータネットワークの複数の相互接続されたネットワークノードを備える、請求項1~10のいずれか一項に記載の方法。
【請求項12】
請求項1~10のいずれか一項に記載の方法であって、セキュリティエージェントモジュールは、前記セキュリティエージェントモジュールのそれぞれのネットワークノードに関連するデータを収集し、前記確立された内部ネットワーク内の前記収集されたデータに基づいて情報を共有し、前記収集されたデータと前記内部ネットワークから受信した情報を使用して、前記それぞれのネットワークノードに関連する脅威検出モデルを生成し、適応させるように構成される方法。
【請求項13】
相互接続されたネットワークノードであるノードを含む脅威制御ネットワークを備えるシステムであって、
前記脅威制御ネットワークはセキュリティエージェントモジュールのそれぞれのネットワークノードに関連するデータを収集し、確立された内部ネットワーク内の前記収集されたデータに基づいて情報を共有し、前記収集されたデータと、前記それぞれのネットワークノードに関連する脅威検出モデルを生成し適応させるように前記内部ネットワークから受信した情報とを使用するために構成されたセキュリティエージェントモジュールを含み、
前記ノードの少なくとも一部は、前記脅威検出モデルの構成要素である、検出規則を含む検出論理部、パラメータ値を含む検出論理パラメータ部、およびキープリミティブの集合を構成するコアデータプリミティブ部を少なくとも含み、
脅威検出モデルの前記構成要素を、同じノードの他の前記構成要素とは独立してノードに分配するように構成されるシステム。
前記脅威制御ネットワークはセキュリティエージェントモジュールのそれぞれのネットワークノードに関連するデータを収集し、確立された内部ネットワーク内の前記収集されたデータに基づいて情報を共有し、前記収集されたデータと、前記それぞれのネットワークノードに関連する脅威検出モデルを生成し適応させるように前記内部ネットワークから受信した情報とを使用するために構成されたセキュリティエージェントモジュールを含み、
前記ノードの少なくとも一部は、前記脅威検出モデルの構成要素である、検出規則を含む検出論理部、パラメータ値を含む検出論理パラメータ部、およびキープリミティブの集合を構成するコアデータプリミティブ部を少なくとも含み、
脅威検出モデルの前記構成要素を、同じノードの他の前記構成要素とは独立してノードに分配するように構成されるシステム。
【請求項14】
請求項2~12のいずれか一項に記載の方法を実施するようにさらに構成される、請求項13に記載のシステム。
【請求項15】
コンピュータシステムまたはサーバ上で実行されるとき、前記コンピュータシステムまたは前記サーバを請求項13または請求項14に記載のシステムまたはサーバとして動作させる、コンピュータ読み取り可能コードを含むコンピュータプログラム。
【請求項16】
請求項15に記載の一時的でないコンピュータ読み取り可能媒体とコンピュータプログラムとを備えるコンピュータプログラム製品であって、前記コンピュータプログラムは、前記コンピュータ読み取り可能媒体に記憶されることを特徴とするコンピュータプログラム製品。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンピュータネットワークセキュリティシステムにおける脅威制御方法およびコンピュータネットワークセキュリティシステムに関する。
【背景技術】
【0002】
コンピュータネットワークセキュリティシステムが普及し始めている。そのようなもの例は、エンドポイント検出および応答(EDR)製品およびサービスとして知られている。EDRは侵害が発生したときの検出および監視に焦点を当て、侵害が発生した後に、どのようにして最良の応答および/または自動化されたアクションを取るかを決定するのに役立つ。EDRの成長は、機械学習、ビッグデータおよびクラウドコンピューティングの出現によって部分的に可能になった。
【0003】
従来のEDRまたはその他の同様のシステムでは、選択したネットワークエンドポイント(ITインフラストラクチャの任意の要素とすることができる)にデータコレクタが配置される。データコレクタはエンドポイントで発生しているアクティビティを監視し、収集したデータを中央のバックエンドシステム(「EDRバックエンド」)に送信する。これは多くの場合、クラウドに配置される。EDRバックエンドがデータを受信すると、データは分析され、EDR プロバイダーによってセキュリティ侵害や異常の兆候がないかスキャンされる前に処理される(集計や拡張など)。
【0004】
データ量および脅威の表面は、膨大な速度で拡大する。コンピュータシステムに対する脅威は、高速で仕立てられることができるので、脅威に対するセキュリティモデルも発展させる必要がある。現在の「単純な」エンドポイント保護方法を使用するか、クラウドとバックエンドの機能を強化するだけでは、ファイルベースとファイルレスの両方で、増え続けるサイバー脅威に対応することはできない。しかしながら、スマートエンドポイントはまた、脆弱性および機能とデータプライバシー要求との増加に関して複数の問題をもたらす。したがって、従来の手段は単に、遭遇する変化の速さおよび様々な状況に対処することができない。
【0005】
F-Secure(RTM)リアルタイム保護ネットワーク(ORSP)およびImmunet(RTM)のような従来の解決策が存在し、クラウドベースのアプローチでこれらの問題を解決することを目指している。これらは、エンドポイントによって照会されるクラウドに保存されている従来の署名に基づいている。したがって、1人のユーザに対して脅威が検出されてブロックされると、他のすべてのユーザは同じ保護を受け取る。しかしながら、例えば攻撃がターゲットとされ、各システムに対して新規である状況において、これらのソリューションは、脅威が発展する各デバイスに対して最良の可能な保護を提供せず、データ容積が増加し続けるにつれて、完全に集中化された処理アプローチもあまり効果的ではない。したがって、より良好でより効果的な保護を提供する解決策が必要とされている。
【0006】
また、従来技術の解決策は、様々な種類の環境および状況において脅威因子を効果的に検出することも、様々な状況に対して効率的な方法でそれ自体を適応させることもできない。これらの理由から、従来の方法では検出が困難な攻撃に対処できる、改良されたコンピュータネットワークセキュリティシステムが必要である。
【発明の概要】
【発明が解決しようとする課題】
【0007】
以下は様々な発明の実施形態のいくつかの態様の基本的な理解を提供するために、簡略化された概要を提示する。この概要は、本発明の広範な概要ではない。これは、本発明の重要なまたは重要な要素を識別することも、本発明の範囲を描写することも意図していない。以下の概要は単に、本発明の例示的な実施形態のより詳細な説明の前置きとして、本発明のいくつかの概念を簡略化された形態で提示する。
【0008】
例えば、EDRソリューションを用いて脅威因子を確実に検出するためには、異なるコンテキストにおける挙動を処理するときに変動が予想されなければならない。例えば、誤使用検出はあまりにも狭く、高精度および低リコール率を生じさせ、一方、異常検出システムは一般化を越えて、視認性の欠如を被る。したがって、上述の技術はすべての環境またはコンテキストにおいて同じように使用することはできず、代わりに、それらが動作する必要があるコンテキストの特定の知識に基づく注意深いカスタマイズ(すなわち、パラメータ化)を必要とする。
【課題を解決するための手段】
【0009】
本発明は上述の問題を解決し、様々な種類の環境およびコンテキストにおいて、様々な因子、例えば、エンドポイントおよび/またはバックエンド(1つまたは複数)に対して、どのように検出が確実かつ効率的に特殊化されるかを最適化するための方法を提供する。
【0010】
本発明の第1の態様によれば、請求項1に記載の相互接続されたネットワークノードを備える脅威制御ネットワークの脅威検出モデルの構成要素を配布する方法が提供される。脅威制御ネットワークはセキュリティエージェントモジュールのそれぞれのネットワークノードに関連するデータを収集し、確立された内部ネットワーク内の収集されたデータに基づいて情報を共有し、収集されたデータと、内部ネットワークから受信した情報とを使用して、それぞれのネットワークノードに関連する脅威検出モデルを生成し、適合させるセキュリティエージェントモジュールを含む。本発明の解決策では、ノードの少なくとも一部が脅威検出モデルの少なくとも以下の構成要素を備える。即ち、構成要素は、検出規則を備える検出論理部、パラメータ値を備える検出論理パラメータ部、キープリミティブのセットを備えるコアデータプリミティブ部である。この方法は、脅威検出モデルの前記構成要素を、同じノードの他の前記構成要素とは独立してノードに分配することを含む。
【0011】
本発明の第2の態様によれば、請求項13に記載のシステムが提供される。システムは脅威制御ネットワークを含み、脅威制御ネットワークは、相互接続されたネットワークノードを含む。脅威制御ネットワークはセキュリティエージェントモジュールのそれぞれのネットワークノードに関連するデータを収集し、確立された内部ネットワーク内の収集されたデータに基づいて情報を共有し、収集されたデータと内部ネットワークから受信した情報を使用して、それぞれのネットワークノードに関連する脅威検出モデルを生成し、適応させるように構成されたセキュリティエージェントモジュールを含む。ノードの少なくとも一部は脅威検出モデルの少なくとも以下の構成要素、すなわち、検出規則を備える検出論理部と、パラメータ値を備える検出論理パラメータ部と、キープリミティブのセットを備えるコアデータプリミティブ部とを備える。システムは、脅威検出モデルの前記構成要素を、同じノードの他の前記構成要素とは独立してノードに分配するように構成される。
【0012】
本発明の第3の態様によれば、コンピュータコードが記憶されたコンピュータ記憶媒体を含むコンピュータプログラム製品が提供され、コンピュータコードは、コンピュータシステム上で実行されると、システムを本発明の上記第2の態様によるサーバとして動作させる。
【0013】
本発明の解決策により、コンピュータネットワークにおける脅威制御は、様々な状況および様々なコンテキストに確実かつ効率的に適応させることができ、様々な種類の環境およびコンテキストにおける脅威因子を効果的に検出することができる。
【0014】
本発明の解決策は、例えば、互いに非常に異なり、異常の定義が非常にコンテキストに依存する環境での動作を容易にするために、EDR解決策で使用することができる。
【0015】
本発明の解決策は、エンドポイントおよび/またはバックエンド側で実施することができる。
【0016】
本発明の様々な例示的かつ非限定的な実施形態はその追加の目的および利点と共に、構成および動作方法の両方に関して、添付の図面と関連して読まれるとき、特定の例示的かつ非限定的な実施形態の以下の説明から最もよく理解されるのであろう。
【0017】
「含む」という動詞は、本明細書では非記載の特徴の存在を排除または要求しないオープンな限定として使用される。従属請求項に記載された特徴は特に明記しない限り、相互に自由に組み合わせることができる。
【0018】
さらに、本明細書全体を通して、単数形の使用は、複数を排除しないことを理解されたい。
【0019】
本発明の実施形態は、添付の図面の図において、限定としてではなく、例として示されている。
【図面の簡単な説明】
【0020】
【図1】本発明の一実施形態に係るネットワークアーキテクチャを概略的に示す。
【図2】本発明の一実施形態に係る脅威検知モデル構成要素の例示的な配布を提示する。
【図3】本発明の一実施形態に係る2つのローカルコンピュータネットワークと1つのセキュリティサービスネットワークとを含む解決策の例を提示する。
【図4】本発明の一実施形態に係るセキュリティエージェントのモジュール構成を例示する。
【発明を実施するための形態】
【0021】
図1は、本発明の解決策を使用することができる、本発明の一実施形態の例示的なネットワークアーキテクチャを概略的に示す。図1には、コンピュータシステム、例えばEDRシステムがインストールされた第1のコンピュータネットワーク1の一部が概略的に示されている。また、本発明の実施形態を実施することができる任意の他のコンピュータシステムを、この例で使用されるEDRシステムの代わりに、またはそれに加えて使用することができる。最初のコンピュータネットワークはセキュリティサービスネットワークに接続されており、ここではクラウド3を介してセキュリティバックエンド/サーバ2に接続されている。バックエンド/サーバ2は、第1のコンピュータネットワークに対するセキュリティサービスコンピュータネットワーク上のノードを形成する。セキュリティサービスコンピュータネットワークはEDRシステムプロバイダによって管理することができ、ゲートウェイまたは他のインターフェース(図示せず)またはバックエンド2に適切な他のネットワーク要素によってクラウド3から分離することができる。第1のコンピュータネットワーク1は、ゲートウェイ4または他のインターフェースによってクラウド3から分離されてもよい。他のネットワーク構造も可能である。
【0022】
第1のコンピュータネットワーク1は複数の相互接続されたネットワークノード5a~5hから形成され、それぞれはコンピュータ、スマートフォン、タブレット、ラップトップ、または他のネットワーク可能なハードウェアなどのコンピュータネットワーク1内の要素を表す。コンピュータネットワークに示される各ネットワークノード5a~5hは、データコレクタまたは「センサ」を含むことができるセキュリティエージェントモジュール6a~6hがインストールされるEDRエンドポイントも表す。セキュリティエージェントモジュールは、ゲートウェイや他のインターフェースなど、コンピュータネットワークの他の要素にインストールすることもできる。図1の例では、セキュリティエージェントモジュール4aがゲートウェイ4にインストールされている。セキュリティエージェントモジュール6a~6h、4aはノード5a~5hまたはゲートウェイ4で様々なタイプのデータを収集し、これには例えば、プログラムまたはファイルハッシュ、ノード5a~5hに記憶されたファイル、ネットワークトラフィックのログ、プロセスログ、メモリから切り出されたバイナリまたはファイル(例えば、DLL、EXE、またはメモリフォレンジックアートファクト)、および/またはノード5a~5hまたはゲートウェイ4上で実行されるプログラムまたはスクリプトによって実行される監視アクション(例えば、tcpダンプ)からのログが含まれる。
【0023】
収集されたデータは、さらなる使用のために情報記憶のためにデータベースまたは類似のモデルに記憶されてもよい。アプリケーション/サービス/プロセスの挙動の任意の種類の挙動プロファイル/表現はさらに、セキュリティアプリケーション、バックエンド/サーバ2、および/または第2のサーバによってノード5a~5hで構築され、データベースに格納されてもよい。ノード5a~5hとサーバ2は、通常、ハードドライブ、プロセッサおよびRAMから構成される。
【0024】
セキュリティ侵害またはシステムへの侵入など、セキュリティ脅威の検出および監視を支援することができる任意のタイプのデータを、そのライフサイクル中にセキュリティエージェントモジュール6a~6h、4aによって収集することができ、監視および収集されるデータのタイプはEDRシステムのインストール時に、かつ/または本発明の解決策による脅威検出モデルの構成要素を配布するときに、EDRシステムプロバイダによって定義される規則に従って設定することができる。本発明の一実施形態では、セキュリティエージェントモジュール6a~6hの少なくとも一部が監視および収集されたデータのタイプに関する意思決定を行う能力も有することができる。例えば、セキュリティエージェント6a~6h、4aはEDRエンドポイント上で実行されるプログラムの挙動に関するデータを収集し、新しいプログラムがいつ開始されるかを観察することができる。適切なリソースが利用可能な場合、収集されたデータは、セキュリティエージェントモジュール6a~6h、4aによって、それぞれのネットワークノードまたは第1のコンピュータネットワーク1(図示せず)上の適切な記憶場所に永久的にまたは一時的に記憶され得る。
【0025】
セキュリティエージェントモジュール6a~6h、4aはそれらが収集したデータなどの情報を送信したり、クラウド3を介してEDRバックエンド2と命令を送受信したりするように設定される。これにより、EDRシステムプロバイダは第1のコンピュータネットワーク1を管理する組織において一定の人間の存在を維持する必要なしに、EDRシステムを遠隔的に管理することができる。
【0026】
本発明によれば、セキュリティエージェントモジュール6a~6h、4aはローカルコンピュータネットワーク1の複数の相互接続されたネットワークノード5a~5hのセキュリティエージェントモジュールを含む内部ネットワーク、例えば、内部群知能ネットワークを確立するように構成することもできる。セキュリティエージェントモジュール6a~6h,4aは、各セキュリティエージェントモジュール6a~6h,4aのそれぞれのネットワークノード5a~5hに関連するデータを収集するので、確立された内部ネットワーク内の収集データに基づいて情報を共有するようにさらに構成される。一実施形態では、群知能ネットワークが同様にそれ自身で機能することができる複数の半独立セキュリティノード(セキュリティエージェントモジュール)から構成される。したがって、群内のインスタンスの数は、十分に変化し得る。また、1つのローカルコンピュータネットワーク内に、互いに協働する複数の接続された群があってもよい。
【0027】
セキュリティエージェントモジュール6a~6h、4aはそれぞれのネットワークノード5a~5hに関連するモデルを生成し適合させるために、内部ネットワークから受信された収集されたデータおよび情報を使用するようにさらに構成される。例えば、既知のセキュリティ脅威が検出された場合、セキュリティエージェントモジュール6a~6h、4aは内部ネットワークおよびローカルコンピュータネットワーク内のローカルセンターノード(図示せず)にセキュリティ警告を生成して送信し、検出されたセキュリティ脅威に対応するためのセキュリティ対策を起動するように構成される。さらに、新たな脅威である可能性が非常に高いと推定される異常が識別された場合、セキュリティエージェントモジュール6a~6h、4aは脅威を検証および収容し、収集されたデータおよび受信された情報に基づいて新たな脅威モデルを生成し、生成された新たな脅威モデルを群知能ネットワークなどの内部ネットワークおよびローカルセンターノードで共有するように構成される。
【0028】
本発明の一実施形態による1つの脅威制御方法は、ローカルコンピュータネットワークの複数の相互接続されたネットワークノードのセキュリティエージェントモジュールを含む、群知能ネットワークなどの内部ネットワークを確立することを含むことができる。
【0029】
このシナリオでは、1つ以上のセキュリティエージェントモジュールがセキュリティエージェントモジュールのそれぞれのネットワークノードに関連するデータを収集する。データは、様々な種類のエンドポイントセンサを使用することによって、複数のネットワークノードから収集されてもよい。収集されたデータブロックは、イベントと呼ばれる場合がある。一実施形態では、第1の疑わしいイベントおよび任意の関連するイベントの挙動を監視することは、コンピュータプロセスおよびその任意の子プロセスの挙動を監視することを含むことができる。ほとんどの場合、収集されたデータの多くは実際には疑わしい起源ではないが、システムはすべての悪意のあるアクティビティに気づくように注意を払わなければならないので、監視およびデータ収集は常にアクティブのままである可能性がある。しかし、関心のあるものに気づくことに基づいて、一元化された場所から、またはセンサ自体によって、データ収集の粒度を調整することが可能である。
【0030】
収集したデータに基づく情報は、確立された内部ネットワークで共有することができる。一実施形態では、内部ネットワーク内の任意の2つのセキュリティエージェントモジュール間で交換される情報量は、互いに近い位置にあるセキュリティエージェントモジュール間で、互いに離れた位置にあるセキュリティエージェントモジュール間よりも多くてもよい。参照される情報は例えば、集合情報、注目される疑わしいプロセス/ユーザ/ホスト/イベントの識別、または同様のものであり得る。
【0031】
収集されたデータおよび内部ネットワークから受信された情報は、セキュリティエージェントモジュールにおいて、それぞれのネットワークノードに関連するモデルを生成し、適合させるために使用することができる。適応モデルは例えば、それぞれのホスト上の局所的な挙動を学習するように構成することができ、これにより、そのノードにおける正常な挙動のより細かい理解を確立することができ、したがって、異常のより容易な検出が可能になる。適応が局所的に行われる場合、必要に応じて変化に反応することは、はるかに効率的かつ迅速であり得る。一実施形態では、互いに近くに配置されたセキュリティエージェントモジュールによって使用されるモデルがより強力な情報共有の結果として、より遠くに配置されたものと比較した場合、挙動がより類似し得る。モジュール間の距離は必ずしも物理的な距離である必要はなく、例えば、通信強度に基づく共有ローカライゼーションである。
【0032】
既知のセキュリティ脅威が検出された場合、セキュリティアラートをセキュリティエージェントによって生成してから、内部ネットワークとローカルコンピュータネットワーク内のローカルセンターノードに送信できる。さらに、検出されたセキュリティ脅威に応答するための任意のセキュリティ対策を起動することができる。
【0033】
新しい脅威が特定された場合、その脅威は、セキュリティエージェントモジュールによって検証され、含まれることができ、収集されたデータと受信情報とに基づいて新しい脅威モデルを生成することができる。そのようなモデルの例は、新たに観察された脅威に類似するイベントを識別するために、そのノード上のイベント/行動データ上で訓練された検出規則または確率モデルを自動的に生成することができる。さらに、生成された新しい脅威モデルを内部ネットワークとローカルセンターノードで共有し、すべてのノードがプライバシーに敏感な方法で類似の脅威を検出できるようにすることができる。
【0034】
一実施形態では、セキュリティエージェントモジュールがそのモジュラーアーキテクチャの1つ以上の構成要素を活性化し、それ自体を複製することができる。さらに、セキュリティエージェントモジュールのいずれかが、検出されたセキュリティ脅威を管理するためのさらなるリソースの必要性、または疑わしいセキュリティ脅威の分析の必要性を検出した場合、セキュリティエージェントモジュールは本発明の一実施形態において、他のセキュリティエージェントモジュールからリソースを要求するか、または新たな仮想セキュリティエージェントモジュールを生成することさえ可能である。
【0035】
一実施形態では、セキュリティエージェントモジュールが検出されたセキュリティ脅威に対する救済を決定するため、かつ/または潜在的に悪意のあるエンティティの挙動をさらに分析するために、サンドボックス化技法を使用する。サンドボックス化は、結果が観察され、脅威の有効性が確立され得る環境において、疑わしいコードまたはアクションを実行するために利用され得る。
【0036】
一実施形態では、監視されるイベントの中の疑わしいイベントが使用される1つまたは複数の検出機構によって検出され得る。一実施形態では、疑わしいイベントを検出するために使用される検出機構が機械学習モデル、スキャニングエンジン、ヒューリスティック規則、統計的異常検出、ファジー論理ベースモデル、任意の所定の規則のうちの少なくとも1つを使用することを含むことができる。
【0037】
一実施形態では本方法が脅威の検出において、かつ/または脅威に対する応答として、機械学習モデルを訓練するために使用される1つまたは複数の以下のアプローチを利用することによって使用される機械学習モデルを訓練することをさらに含むことができ、このアプローチはローカルおよびグローバル情報およびモデル部分を組み合わせることによる分散学習、成功した最終結果に関するフィードバックを得ることによる強化学習、学習プロセスにおける外部情報を利用することによるメタ学習、および/またはブートストラップモデルへの情報共有、および学習挙動の調整である。
【0038】
本発明の解決策では、前記機能の意思決定機能およびパラメータ化がエンドポイントおよび/またはバックエンドなどのネットワークノードに独立して分散される。本発明の解決策のコンテキストにおける機能は検出規則(例えば、特定のおよび/またはヒューリスティック)、統計的論理およびモデル、機械学習訓練および推論能力のうちの少なくとも1つを含むことができる。本発明の解決策のコンテキストにおけるパラメータ化は、パラメータ、情報のセット、データ構造、および正しく動作するために上述の機能によって必要とされる係数を含むことができる。コア機能のセットは、エンドポイントにおいて利用可能であり得る。図2は本発明の一実施形態による脅威検出モデルの配布の一実施形態例を示し、ここで、脅威制御ネットワークを構成および管理するときにエンドポイントのコンテキストが考慮される。
【0039】
本発明の解決策では、これは脅威検出モデルの構成要素を、同じノードの他の前記構成要素から独立してノードに配布することによって達成することができる。ノードの脅威検出モデルの構成要素の分配は異なる時間インスタンスにおいて、異なるソースから、および/または異なる時間間隔および/または更新頻度において、互いに独立して実行することができる。
【0040】
本発明の解決策では、脅威制御ネットワークが例えば、上記のように、セキュリティエージェントモジュールのそれぞれのネットワークノードに関連するデータを収集し、確立された内部ネットワーク内の収集されたデータに基づいて情報を共有し、収集されたデータと、それぞれのネットワークノードに関連する脅威検出モデルを生成および適応するために内部ネットワークから受信した情報とを使用するように構成されたセキュリティエージェントモジュールを含むことができる、相互接続されたネットワークノードを含むことができる。ノードの少なくとも一部は脅威検出モデルの少なくとも以下の独立に分散された構成要素、すなわち、検出規則を備える検出論理部と、パラメータ値を備える検出論理パラメータ部と、キープリミティブのセットを備えるコアデータプリミティブ部とを備える。
【0041】
本発明の一実施形態では、検出論理部が1日に複数回、例えば、1時間毎、または1日毎に更新され、および/または人間の入力に基づいて修正される。検出規則は、非常に頻繁に変更することができる特定の検出論理を含むことができる。本発明の一実施形態では、検出規則がノードに分配する前に、人間によって評価および/または修正される。
【0042】
本発明の一実施形態では、検出論理パラメータ部が機械学習モデルの結果に対するメンバーシップチェックおよび/または閾値などの機械学習の推論を可能にするパラメータのうちの少なくとも1つを含む。検出論理パラメータは、例えば自動化されたシステムによって、連続的に最新の状態に保つことができる。本発明の一実施形態では、検出論理パラメータ部が機械学習によって自動的に、および/または1日に複数回、例えば1時間に複数回更新される。
【0043】
コアデータプリミティブ部はキープリミティブのセットを含むことができ、それらはめったに変更することができない。キープリミティブのセットは例えば、人間によって修正することができ、かつ/または、関連性があり、かつ/または必要であれば、トレーニング機能までのいくつかのレベルのインターフェースを含むことができる。本発明の一実施形態では、コアデータプリミティブ部がソフトウェアビルド更新で更新され、かつ/または人間の入力に基づいて修正される。
【0044】
本発明の解決策では検出論理部、検出論理パラメータ部、およびコアデータプリミティブ部は互いに独立して、必要な柔軟性をもって配置され、分散されることができる。
【0045】
脅威検出モデルの前記構成要素(検出論理部、検出論理パラメータ部、およびコアデータプリミティブ部)は構成要素が所望の方法で互いに動作するように、例えば、検出論理パラメータがうまく解釈され、例えば、検出論理パラメータが検出規則を機能させるように、構成される。構成要素への独立したアップデートは、アップデートによって検出論理の一貫性が損なわれないように行う必要がある。
【0046】
本発明の一実施形態では、検出規則、パラメータ値、キープリミティブのセット、および/またはセキュリティ脅威を検出するために使用される検出機構は、機械学習に関連する検出規則、パラメータ値、および/またはキープリミティブを含み、かつ/または機械学習モデル、スキャニングエンジン、ヒューリスティック規則、統計的異常検出、ファジー論理ベースモデル、および/または所定の規則を使用することを含む。
【0047】
本発明の一実施形態では、脅威検出モデルの前記構成要素を含むノードの少なくとも一部がセキュリティエージェントモジュールを含む。本発明の一実施形態では、脅威検出モデルの前記構成要素を含むノードの少なくとも一部がバックエンドシステムの一部とすることができる。
【0048】
本発明の一実施形態では各セキュリティエージェントモジュールが脅威検出モデルの前記構成要素を含み、かつ/または脅威検出モデルの前記構成要素はセキュリティエージェントに分散される。
【0049】
本発明の一実施形態では脅威制御ネットワークは脅威制御群知能ネットワークであり、かつ/または脅威制御群知能ネットワークはローカルコンピュータネットワークの複数の相互接続されたネットワークノードを含む。
【0050】
本発明の一実施形態では、セキュリティエージェントモジュールがセキュリティエージェントモジュールのそれぞれのネットワークノードに関連するデータを収集し、確立された内部ネットワーク内の収集されたデータに基づいて情報を共有し、収集されたデータおよび内部ネットワークから受信した情報を使用して、それぞれのネットワークノードに関連する脅威検出モデルを生成し、適応させるように構成される。
【0051】
以下では、本発明の解決策の異なる構成要素について、いくつかの実施例を示す。
【0052】
ロジスティック回帰に基づく推論の例では、以下のように定義される。
【数1】
【0053】
その後、
検出論理部の検出規則は、p(x)<閾値とすることができる。
検出論理部の検出規則は、p(x)<閾値とすることができる。
【0054】
検出論理パラメータ部のパラメータ値は、(w,b,閾値)であることができる。
【0055】
コアデータプリミティブ部の主要プリミティブの集合は、次のことが可能である。
シグモイド関数の実装と内積。
シグモイド関数の実装と内積。
【0056】
ガウス型カーネル密度推定器の例では、次のように定義される。
【数2】
【0057】
その後、
検出論理部の検出規則は、p(x)<閾値とすることができる。
検出論理部の検出規則は、p(x)<閾値とすることができる。
【0058】
検出論理パラメータ部のパラメータ値は、(閾値,{x1,…,xN},h)であることができる。
【0059】
コアデータプリミティブ部の主要プリミティブの集合は、次のことが可能である。
ガウス分布確率密度関数の実装。
ガウス分布確率密度関数の実装。
【0060】
図3は、本発明の一実施形態の高レベル概念を示す。図3の例は2つのローカルコンピュータネットワーク1A、1B、およびセキュリティサービスネットワーク2を示し、各ローカルコンピュータネットワーク1A、1Bは、ローカルセンターノード7、8、および複数の相互接続されたネットワークノードと、複数のネットワークノードのそれぞれにおけるセキュリティエージェントモジュールとをさらに備える。セキュリティエージェントモジュールは、各ローカルコンピュータネットワークで内部群知能ネットワークを確立するように設定できる。
【0061】
通常の操作モードの例では、エージェントのデプロイメント構造がローカル通信ノードと情報集約センター(ローカルセンターノード7,8) と共に、1つのエンドポイントに常駐する平均1つのエージェントで構成できる。一実施形態では、図4に示すように、セキュリティエージェントはたとえ存在するとしても、それらの機能の少なくとも一部が非アクティブであるように構築することができ、それによって、新しいエージェントを、元のホストが有するものとは異なる役割にも複製することができる。
【0062】
図3および図4に示される例示的な実施形態では脅威検出モデルの検出論理パラメータ部およびコアデータプリミティブ部が例えば、上述のように、および/または例えば、検出論理部、検出論理パラメータ部、およびコアデータプリミティブ部がローカルコンピュータネットワークおよび/またはローカルコンピュータネットワークの異なる部において異なるように、互いに独立して展開され、分散されてもよい。
【0063】
以下では、脅威検出システムの環境および動作のさらなる例が記載され、ここで、脅威検出構成要素の分布が本発明に従って利用され得る。
【0064】
一実施形態では1つまたは複数のメタ学習モデルを使用して、新しい脅威検出モデル、アクション・モデル、および/または応答モデルを生成し、学習された情報のより高いレベルの表現のみが、内部群知能ネットワークおよびローカルセンターノードで共有される。さらに、例えば、イベント抽象化は正確なデータセット、装置およびバージョンにわたるデータの使用を可能にするために、収集されたデータから構築されてもよい。
【0065】
一実施形態では警告、状態、および他の関連エンティティに関する情報は少なくとも1つの言語モデルを使用することによって共有され、情報がコンピュータシステムおよび人間の専門家の両方によって解釈可能になることを可能にする。
【0066】
セキュリティアラートおよび/または生成された新しい脅威モデルは、ローカルセンターノードからセキュリティサービスネットワークに送信され、セキュリティサービスネットワークが受信したセキュリティアラートおよび/または新しい脅威モデルを他のローカルコンピュータネットワークと共有し、受信したセキュリティアラートおよび新しい脅威検出モデルに基づいてさらにアクションを実行できるようにする。実施形態では、プライバシー保護方式でのクロスローカルネットワーク学習のための情報の部分的または完全なセットがローカルセンターノードとセキュリティサービスネットワークとの間で伝送される。
【0067】
さらに、セキュリティエージェントモジュールは、セキュリティサービスネットワークから命令および/または脅威検出構成要素を受信して、セキュリティ脅威の検出および/またはセキュリティ脅威への対応のためにセキュリティエージェントモジュールの動作を発展させるように構成される。例えば、検出および/または応答アクションに関連するガイダンスは、人間のセキュリティエキスパートとセキュリティエージェントモジュールとの間の相互作用を可能にするために、人間の言語モデルに近い言語モデルの専門家から、セキュリティエージェントモジュールで受け取ることができる。
【0068】
実施形態では、攻撃者が停止され、その移動の任意のトレースが破壊されないようにネットワークノードの設定を変更することによって即時アクションを取るなど、脅威が検出されたときに、コンピュータネットワークおよび/または任意の関連するネットワークノードをセキュアにするために、さらなるアクションを取ることができる。設定の変更には、例えば、1つ以上のノード(コンピュータまたは他の装置であってもよい)がRAM内の情報を保持するためにスイッチオフされること、ファイアウォールが攻撃者を即座に遮断するために1つ以上のノードでスイッチオンされること、1つ以上のネットワークノードのネットワーク接続が遅くなったりブロックされたりすること、疑わしいファイルが除去されたり隔離されたりすること、ログがネットワークノードから収集されること、コマンドのセットがネットワークノード上で実行されること、1つ以上のノードのユーザは侵害が検出され、それらのワークステーションが調査中であることが警告されること、および/または侵害の兆候が検出されたことに応答してシステム更新またはソフトウェアパッチがEDRバックエンドからノードに送信されること、などが含まれる。本発明の一実施形態では、これらのアクションのうちの1つまたは複数を、上述のモデルまたはアルゴリズムによって自動的に開始することができる。例えば、上述の方法を使用して、データが収集され、コンピュータネットワーク内のノードおよびEDRバックエンドと共有され、脅威モデルまたは分析アルゴリズムが、違反の兆候が検出されたと判定した。モデル/アルゴリズムは違反の兆候が検出されたと判定するとすぐに、ノードにおいて上述のアクションのうちの1つまたは複数を自動的に開始するために、人間の介入なしに、関連するネットワークノードにコマンドを生成し、発行することができる。これを行うことによって、人間の介入なしに、非常に高速で、侵害を停止することができ、かつ/または損傷を自動的に最小限に抑えることができる。
【0069】
以下では、脅威検出モデルのさらなる実施形態を、実際の実施例として説明する。
【0070】
従来技術の解決策では大量のインテリジェンスが集中化されるか、または「強力である」エージェントを有することが必要であると仮定することが一般的であったが、より効果的な解決策は、十分に装備されているが、それ自体の能力がいくらか全体的ではなく、エージェント間の相互運用から利益を得ることができる個々のエージェントであってもよい。完全に複製されたモデルにすべてを符号化しようとすることの欠如は、群内のすべてのノードからの応答が同じではなく、したがって、1つのノード上で回避技法が成功したとしても、すべてのノードにわたって一般化されることが期待されないので、汎用モデルの盗用および回避タイプの攻撃に対して保護されたモデルを有することを可能にする。
【0071】
しかしながら、ノードは、(相互顧客学習を可能にするために)中央ホストのために顧客構内の外部のノードにも、(情報共有が本質的に完全にオープンである)1つの顧客構内に位置する群内の両方で、高度に接続され、情報を共有すべきである。この情報共有にはデータが含まれることもあるが、例えば、増分モデルの追加や、可能性のある脅威の特定の部分に直面する特定のサブモデルなどに関する学習が含まれ、通信に使用される提案された言語モデルで通信されることもある。
【0072】
互いにより近いネットワークのノード間、または互いに「近くで」働くエージェント間はるかに深い共同作業(例えば、それらのロケーション間で共有される情報の量によって測定される)、またはエージェントの出力および学習に関して、ノード固有のエージェント適応だけでなく、組織固有の、場合によってはチーム、オフィスなど固有の、すべてを明示的に定義する必要なしに、パラメータおよび動作の局所的な変動を可能にする、より遠く離れたエージェントよりも類似するエージェント間はるかに深い共同作業も含む。したがって、本発明の解決策は、必要に応じてそれ自体を複製する能力を有することができる、複数の接続された対話するネットワークノードの群型アプローチを使用することができる。
【0073】
従来技術の強化学習モデルは、通常、多くの事前知識を利用しないので、学習するために膨大な量のデータを必要とするという厳しい課題に悩まされている。ここでは、メタ学習モデル(学習方法の学習)、周囲の世界に関する情報の符号化(おそらく、確率的状態モデルまたは同様のアプローチによる)、およびノード間での情報共有のための適切な方法を使用することが提案される。これは連合転送学習タイプのシナリオとしても見ることができるが、キーは完全なモデルを共有することではなく、学習モデルの単なる増分を共有することであり、両方とも非効率的であるだけでなく、攻撃を受けやすいだけでなく、ローカルに適用することができる学習情報のより高いレベルの表現をも共有することである。強化学習の一例では、実装技術が深い学習に基づいていてもいなくてもよい。それは、同様に、適切であると見出されたほとんど任意の他のタイプの機械学習モデルであってもよい。しかし、その核心は、学習の仕方と学習の共有の仕方という概念にある。したがって、本発明の解決策は、メタ学習、ワールドモデル、および情報共有を伴う分散強化学習を使用することができる。
【0074】
本発明の解決策は、情報共有のためにAIおよび人間の専門家の両方によって共有される言語モデルを使用することができる。一実施形態では、言語のような形式でモデルを訓練するために使用することができる符号化情報を使用することができる。しかしながら、これは、さらに一歩踏み出され、AIと専門家との間のコミュニケーションおよびガイダンス共有のための手段として使用されてもよい。コードまたはデータを受信するだけで学習する代わりに、またはアクションから学習する代わりに、AIは、AIおよびエキスパートの両方によって同様に解釈可能な文のような記述の形成で情報を共有することができる。ガイダンスを共有する方法を使用する例は、検証された脅威検出がまだ行われていない場合であっても、異常な挙動を示しているノードを含むようにAI駆動エージェントに命令する決定を行う専門家であってもよい。
【0075】
モデルを有すること、特に強化学習タイプのシナリオでさえ、様々な状況で適切に学習することに対する別の主要な課題は報酬関数の定式化であり、過度に単純であるが効果的な報酬モデルから生じる可能性のある望ましくない挙動である。一実施形態では、これは意図された状態(侵入なし)でモデル化され、肯定的なアクションから利益を得られ、システムにわたって適用可能なレベルに抽象化される、より小さいサブ構成要素を有する高レベルの目的駆動型報酬モデルによって回避されることが提案される。さらに、関与の規則は各エージェントがどのようなアクションをとることができ、どのような状況で起こり得る競合を無効にするかを指示することができる。これらの理由のために、本発明の解決策は望ましくない挙動を回避するために、関与の規則を用いた目的ベースの学習を使用することができる。
【0076】
そのようなシステムの使用を妨げるさらなる構成要素は、データの複雑さおよび変動性であった。したがって、本発明の解決策は、情報の複数のドメインを、転送可能性のためにイベント抽象化に符号化することができる。一実施形態による提案された解決策は、正確なデータセット、装置、およびバージョンにわたって情報を使用することができるように、情報のイベント抽象化を構築することを中心に展開することができる。抽象化はまた、データから構築され、人間が解釈可能な構成要素を含めて、最新のままであり、使用可能であるように学習および更新されてもよい。
【0077】
次に、実施形態に係る動作の具体的なステップ例について説明する。
【0078】
脅威検出モデルの構成要素の展開および分配について説明する。上述のように、本発明の解決策では、検出論理部、検出論理パラメータ部、およびエージェントのコアデータプリミティブ部を、互いに独立に、かつ必要な柔軟性をもって展開および分配することができる。本発明の一実施形態では、すべてのエージェントが基本的に、モジュールアーキテクチャ内の異なる構成要素をアクティブ化し、それ自体を複製することによって、同じコードベースおよび/またはそれらの役割に適応する能力を有することができ、十分なアクセス権を有する顧客ネットワーク内に1つの初期エージェントを展開するだけでよく、それによって、サーバを発見し、それ自体のコピーを適切な位置にインストールし、内部通信ネットワーク、たとえば、内部群通信ネットワーク、ならびにバックエンド更新、報告、および通信チャネルを確立することになる。さらに、認証やその他の必要な問題を考慮する必要があるかもしれず、最初の具体化では、エージェントは個々のホストに展開されるかもしれない。
【0079】
通常の作業について説明する。エージェントは自分の環境を継続的に監視し、データを収集し、自分が見ているものから学習し、自分のホストとその周辺のモデルを構築する。これらのモデルは群ノード間で共有され、例えば、ネットワーク内のあるコンピュータと他のコンピュータ上のユーザの行動の学習に使用される。さらに、抽象的な情報がプライバシー保護の方法でバックエンドに送られるかもしれない。エージェントは、正常であることを知るためにも準備されるべき上述の学習モデルを利用する。
【0080】
既知の脅威に対処について説明する。既知の脅威または既知の脅威を示す異常のいずれかを検出するエージェントは群メイトに状況を即座に警告することができ、また、それらを非アクティブ化することができる脅威を準備し、必要に応じて追加のリソースを要求する(新たな仮想エージェントをスピンアップするか、または妥協の危険がある場合にそれらを別のホストから配信させる)。エージェントがすでに応答手段を有している場合、そのアクションを取ることができる。
【0081】
新規の脅威に対処について説明する。エージェントは、常に正常なものを学習し、自身のノードのデータとの特異性のために非常にきめ細かく配置され、新規の脅威を検出するようにも装備される。ユーザと対話する彼らの能力は脅威を検証するために使用され、脅威が検証された場合、それを含むための措置をとるとともに、公知の言語で、群メイトおよび中央リンクを介して他の顧客の両方に循環される新規の脅威モデルを構築する。いくつかの実施形態では、脅威のリスクが非常に大きいと判断され、最終決定を待つ前に、自律的な封じ込め措置をとることもできる。自律動作の程度は、必要に応じて常に調整することができる。接続性モデルはまた、必要に応じて人間の専門家の助けを求めることを可能にする。
【0082】
新規の脅威を中和について説明する。エージェントはまた、安全な環境および封じ込めのために利用され得るサンドボックス能力を含んでもよく、それは新規の脅威を中和する方法(試行-評価-変異-再試行)を検出するための進化的アプローチの使用、ならびにそのような脅威の挙動をはるかに詳細に理解すること、およびその情報をさらに伝達することを可能にする。
【0083】
新規の脅威知識を共有について説明する。新規の脅威が識別されると、それらは、エージェントを横切って、中央で、およびそこから他の顧客にも共有するために、内部言語表現に符号化され、プライバシー保護方式で、すべての顧客の最適な保護を保証する。
【0084】
バックエンド準備について説明する。動作中は常に、イベントおよび脅威の両方に関する情報を抽象化し、バックエンドに送信することができる。これにより、バックエンドの「研究所」はセキュアな(サンドボックスのように)環境でより効果的な防御ツールに関する実験を継続することができ、多数の個々のインテリジェントセンサから送信されるデータのさらなる相関および分析を提供する。
【0085】
したがって、説明されたモデルは基本的に、プラットフォーム、脅威、およびシナリオにわたって、分散され、適応的であるが、依然として協働的な方法で、サイバーセキュリティソリューションを実施するための新しい方法である。したがって、次世代のサイバーセキュリティソリューションは自律的、対話的、および局所的なAIエージェント群から構成されてもよく、これはその状態に到達するためのアプローチの一例である。
【0086】
本発明の一実施形態は多数の適応ネットワークノードをどのように作成し、配備するかの解決策を可能にするだけでなく、ノードが自分自身の間で、ならびにバックエンドとの間で情報および命令を共有することを可能にすることも可能にし、人間の専門家はローカルにより正確であるが、依然としてグローバルな態様を含む方法で、知見を追加し、発見を解釈することができる。
【0087】
本発明の一実施形態では、必要に応じて自分自身を複製する能力を有することができる、複数の接続された対話するノードの群タイプのアプローチが使用される。
【0088】
一実施形態では、メタ学習、ワールドモデル、および情報共有を伴う分散強化学習が使用される。さらに、情報共有のためにAIおよび人間の専門家の両方によって共有される言語モデルを利用することができる。一実施形態では、望ましくない行動を回避するために、関与の規則を用いた目的に基づく学習が使用される。
【0089】
一実施形態では、転送可能性を可能にするために、情報の複数のドメインをイベント抽象化に符号化することができる。
【0090】
一般的に、提案したアプローチは、従来の解法に数多くの改良を導入する。そのような改善は例えば、最小限のデータ転送で共有学習を可能にすること、ならびにAI(言語モデル)と通信する人間が理解可能な手段を含む。これは、見られたことに基づくデータからの学習だけでなく、AIエージェント間の学習、および本質的に真の次世代動的適応群人工知能に基づくEPPおよび/またはEDRソリューションを生成する対話型モデルにおける人間の専門家からの学習も可能にする。
【0091】
一実施形態による別の改善は、クライアントエンドポイント上でより多くのアクションを実行することによって、常に増大するデータ量で純粋にバックエンド処理を実行するコストが低減されることである。さらに、必要とされ、しばしば抽象化された形式でデータのみを送信することによって、プライバシーの懸念を低減することができる。さらに、個別化された局所モデルを使用することにより、モデル盗用および大量規模でのモデルミスリードの重要なセキュリティ問題を回避することができ、同じミスは学習されず、すべてのモデルは同じではない。さらに、増分またはフルモデルの代わりに抽象化およびブートストラップ情報を共有することは、学習プロセスの複雑さによって引き起こされる学習情報を共有する際の課題を低減するのに役立つ。
【0092】
一実施形態によるさらなる改善は、生成されたモデルの精度が顧客/ホストに固有のパターンのローカル学習を使用することによって、ローカルパフォーマンスのために最適化され得ることである。さらに、ローカル学習は使用される学習の抽象化のために顧客システムの機密性を維持しながら、顧客にわたってより一般的な方法で共有することができる。さらなる改善は、予防への進化的アプローチを用いることによって、最も適切な予防手段を見出す能力でもある。
【0093】
また、実施形態のもう一つの改善は、データ共有に加えて言語モデルに基づく抽象化を用いることによって、人間のエキスパートガイダンスをAI主導プロセスに組み込むことができることである。さらに、AIプロセスはアクションを制御するために関与の規則を使用することによって制御されないときに、望ましくない方向に学習しないことを保証することができる。さらなる改善は、絶えず変化する脅威状況が動的な学習および情報のグローバルな使用によって適応され得ることである。
【0094】
上述したように、システム(例えば、EDR)によって使用されるモデルの性質はトレーニングデータセットを使用してトレーニングされたニューラルネットワーク、正確またはヒューリスティック規則(例えば、ハードコード論理)、ファジー論理ベースのモデリング、および統計的推論ベースのモデリングのうちの1つまたは複数からの要素であってもよく、または要素を組み込んでもよい。モデルは、特定のパターン、ファイル、プロセス、接続部、およびプロセス間の依存性を考慮に入れて定義されてもよい。
【0095】
本発明は上述のような好ましい実施形態に関して説明されてきたが、これらの実施形態は例示的なものにすぎず、特許請求の範囲はこれらの実施形態に限定されないことを理解されたい。当業者は、添付の特許請求の範囲内にあると考えられる開示を考慮して、修正および代替を行うことができるのであろう。本明細書に開示または例示される各特徴は、単独であろうと、または本明細書に開示または例示される任意の他の特徴との任意の適切な組み合わせであろうと、本発明に組み込まれてもよい。上記の説明で提供される例のリストおよびグループは特に明記しない限り、網羅的ではない。
【図1】
【図2】
【図3】
【図4】
