知財求人 - 知財ポータルサイト「IP Force」
特開2022-94335脅威検知ネットワークにおける脅威検知方法、及び脅威検知ネットワーク
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2022094335
(43)【公開日】2022-06-24
(54)【発明の名称】脅威検知ネットワークにおける脅威検知方法、及び脅威検知ネットワーク
(51)【国際特許分類】
G06F 21/55 20130101AFI20220617BHJP
【FI】
G06F21/55 320
【審査請求】未請求
【請求項の数】15
【出願形態】OL
(21)【出願番号】P 2021200440
(22)【出願日】2021-12-09
(31)【優先権主張番号】20213691.7
(32)【優先日】2020-12-14
(33)【優先権主張国・地域又は機関】EP
(71)【出願人】
【識別番号】511297708
【氏名又は名称】エフ-セキュア コーポレーション
(74)【代理人】
【識別番号】110001519
【氏名又は名称】特許業務法人太陽国際特許事務所
(72)【発明者】
【氏名】ストールバリ、ミカ
(72)【発明者】
【氏名】アクセラ、マッティ
(57)【要約】 (修正有)
【課題】脅威検知ネットワークにおける脅威検知方法、ネットワークノード及びバックエンドサーバを提供する。
【解決手段】コンピュータネットワーク1は、相互接続されたネットワークノード5a~5h及びバックエンド/サーバ2を含む。ネットワークノードは、夫々に関連するデータを収集するセキュリティエージェントモジュール6a~6hを含む。セキュリティエージェントモジュールは、ネットワークノードに関連するデータを収集及び/又は分析し、ローカル挙動モデルを生成し、他のノード及び/又はバックエンドシステムと共有し、ユーザ活動をローカル挙動モデル及び/又は受信した挙動モデルと比較する。ローカル挙動モデル及び/又は受信した挙動モデルからの逸脱を検出した場合、異常挙動について警告する。バックエンド/サーバは、受信した異常データを他の挙動モデルと比較し、ネットワークノードに結果及び/又は比較に関連するデータを送信する。
【選択図】図1
【解決手段】コンピュータネットワーク1は、相互接続されたネットワークノード5a~5h及びバックエンド/サーバ2を含む。ネットワークノードは、夫々に関連するデータを収集するセキュリティエージェントモジュール6a~6hを含む。セキュリティエージェントモジュールは、ネットワークノードに関連するデータを収集及び/又は分析し、ローカル挙動モデルを生成し、他のノード及び/又はバックエンドシステムと共有し、ユーザ活動をローカル挙動モデル及び/又は受信した挙動モデルと比較する。ローカル挙動モデル及び/又は受信した挙動モデルからの逸脱を検出した場合、異常挙動について警告する。バックエンド/サーバは、受信した異常データを他の挙動モデルと比較し、ネットワークノードに結果及び/又は比較に関連するデータを送信する。
【選択図】図1
【特許請求の範囲】
【請求項1】
相互接続されたネットワークノードとバックエンドシステムとを含むネットワークにおける脅威検出のための方法であって、
前記ネットワークノードの少なくとも一部は、それぞれの前記ネットワークノードに関連するデータを収集するエージェントモジュールを備え、
前記方法は、
前記ネットワークノードに関連するデータを前記ネットワークノードで収集及び/又は分析し、
収集及び/又は分析された前記データに基づいて、前記ネットワークノードに関連する、前記ネットワークノードにおける少なくとも1つのローカル挙動モデルを生成し、
前記ネットワークノードに関連する少なくとも1つの生成されたローカル挙動モデルを、1つ以上の他のノード及び/又は前記バックエンドシステムと共有し、
ノード内のユーザ活動を、前記生成されたローカル挙動モデル及び/又は受信された挙動モデルと比較し、前記生成されたローカル挙動モデル及び/又は前記受信された挙動モデルからの逸脱が検出された場合、前記バックエンドシステム及び/又は前記他のノードに異常挙動などについて警告し、及び/又は
前記バックエンドシステムにおいて、受信した異常データを、同じ組織における他の挙動モデル及び/又は既知の悪意のあるユーザ挙動モデルなどの他の挙動モデルと比較し、前記バックエンドシステムから前記ノードに、結果及び/又は比較に関連するデータを送信することを含む、方法。
前記ネットワークノードの少なくとも一部は、それぞれの前記ネットワークノードに関連するデータを収集するエージェントモジュールを備え、
前記方法は、
前記ネットワークノードに関連するデータを前記ネットワークノードで収集及び/又は分析し、
収集及び/又は分析された前記データに基づいて、前記ネットワークノードに関連する、前記ネットワークノードにおける少なくとも1つのローカル挙動モデルを生成し、
前記ネットワークノードに関連する少なくとも1つの生成されたローカル挙動モデルを、1つ以上の他のノード及び/又は前記バックエンドシステムと共有し、
ノード内のユーザ活動を、前記生成されたローカル挙動モデル及び/又は受信された挙動モデルと比較し、前記生成されたローカル挙動モデル及び/又は前記受信された挙動モデルからの逸脱が検出された場合、前記バックエンドシステム及び/又は前記他のノードに異常挙動などについて警告し、及び/又は
前記バックエンドシステムにおいて、受信した異常データを、同じ組織における他の挙動モデル及び/又は既知の悪意のあるユーザ挙動モデルなどの他の挙動モデルと比較し、前記バックエンドシステムから前記ノードに、結果及び/又は比較に関連するデータを送信することを含む、方法。
【請求項2】
前記生成されたローカル挙動モデル及び/又は前記受信された挙動モデルからの逸脱が検出されると、前記エージェントモジュール及び/又は前記ノードは、データ収集のレベルを増加させること、前記生成されたローカル挙動モデル及び/又は前記受信された挙動モデルと一致しなかった前記データを前記バックエンドシステム及び/又は前記他のノードに送信すること、ユーザのリスクレベルを高めること、前記ノードのリスクレベルを高めること、及び/又は、オペレータに警告すること、のうちの少なくとも1つのアクションを実行する、請求項1に記載の方法。
【請求項3】
前記エージェントモジュールは、統計モデル、確率モデル、及び/又はディープラーニングモデルなどの機械学習モデルを利用して、ユーザ活動に関するデータを収集及び分析することによって挙動モデルを構築する、請求項1又は請求項2に記載の方法。
【請求項4】
前記生成された又は前記受信された挙動モデルは、ユーザの、自動化、攻撃、及び/又は同じアカウントを使用する別のユーザに起因する挙動の変化を認識するために、前記ユーザの活動を監視する際に使用される、請求項1~請求項3のいずれか1項に記載の方法。
【請求項5】
同一の行動モデルが、組織における対応する活動、対応する行動、及び/又は対応する役割を有するユーザを本質的にカバーする、請求項1~請求項4のいずれか1項に記載の方法。
【請求項6】
前記エージェントモジュールが、前記挙動モデルを作成するため、及び/又はユーザ活動を挙動モデルと比較する際に、実行されるプログラムとその実行頻度、ログイン位置、ログイン時間、ログイン場所、ネットワーク使用パターン、キーボードレイアウト、キーボード言語、タイピング頻度及び/又は速度、マウス及びタッチ画面移動パターン、タイピングエラー、コマンドラインのコマンド及び引数の構文及びスタイル、クリップボードの使用、ヘッドフォン、カメラ、画面、プリンタ、USBストレージ等の周辺機器及び/又は周辺機器の活動、画面ロック状態、キーボードショートカットの使用を含むコンピュータ使用データのうちの少なくとも1つを収集する、請求項1~請求項5のいずれか1項に記載の方法。
【請求項7】
前記バックエンドシステムは、前記ノード及び/又は前記ネットワークで使用される共有アカウントを識別し、複数の挙動モデルを識別された共有アカウントにリンクする、請求項1~請求項6のいずれか1項に記載の方法。
【請求項8】
前記ネットワークノードに関連する1つ以上のローカル挙動モデルが、前記ネットワークノードによって生成され、少なくとも1つの共通挙動モデルが、前記ネットワークの前記バックエンドシステムによって、及び/又は前記ネットワークノードによって、前記受信したローカル挙動モデルに少なくとも部分的に基づいて生成される、請求項1~請求項7のいずれか1項に記載の方法。
【請求項9】
前記ネットワークがスウォームインテリジェンスネットワークであり、かつ/又は前記スウォームインテリジェンスネットワークが、ローカルコンピュータネットワークの複数の相互接続されたネットワークノードを含み、前記挙動モデルが、前記バックエンドシステム及び/又は前記スウォームインテリジェンスネットワークのノードと共有される、請求項1~請求項8のいずれか1項に記載の方法。
【請求項10】
相互接続されたネットワークノードとバックエンドシステムとを含む、脅威検出ネットワークのネットワークノードであって、
前記ネットワークノードは、少なくとも1つ以上のプロセッサと、前記それぞれのネットワークノードに関連するデータを収集するように構成された少なくとも1つのセキュリティエージェントモジュールと、を備え、前記ネットワークノードは、前記ネットワークノードに関連するデータを収集及び/又は分析するように構成され、
前記ネットワークノードは、前記収集及び/又は分析されたデータに基づいて、前記ネットワークノードに関連する少なくとも1つのローカル挙動モデルを生成するようにさらに構成され、
前記ネットワークノードは、前記ネットワークノードに関連する少なくとも1つの生成されたローカル挙動モデルを、1つ以上の他のノードと、及び/又は前記バックエンドシステムと共有するようにさらに構成され、
前記ネットワークノードは、ノード内のユーザ活動を前記生成されたローカル挙動モデル及び/又は受信された挙動モデルと比較し、前記生成されたローカル挙動モデル及び/又は前記受信された挙動モデルからの逸脱が検出された場合、前記バックエンドシステム及び/又は前記他のノードに、異常挙動などについて警告するようにさらに構成され、及び/又は
前記ネットワークノードは、前記バックエンドシステムから、前記バックエンドシステムによって実行された比較に関する結果及び/又はデータを受信するように構成され、前記比較は、同一の組織における他の挙動モデル及び/又は既知の悪意のあるユーザの挙動モデルなどの他の挙動モデルによって受信された異常データを比較することを含む、ネットワークノード。
前記ネットワークノードは、少なくとも1つ以上のプロセッサと、前記それぞれのネットワークノードに関連するデータを収集するように構成された少なくとも1つのセキュリティエージェントモジュールと、を備え、前記ネットワークノードは、前記ネットワークノードに関連するデータを収集及び/又は分析するように構成され、
前記ネットワークノードは、前記収集及び/又は分析されたデータに基づいて、前記ネットワークノードに関連する少なくとも1つのローカル挙動モデルを生成するようにさらに構成され、
前記ネットワークノードは、前記ネットワークノードに関連する少なくとも1つの生成されたローカル挙動モデルを、1つ以上の他のノードと、及び/又は前記バックエンドシステムと共有するようにさらに構成され、
前記ネットワークノードは、ノード内のユーザ活動を前記生成されたローカル挙動モデル及び/又は受信された挙動モデルと比較し、前記生成されたローカル挙動モデル及び/又は前記受信された挙動モデルからの逸脱が検出された場合、前記バックエンドシステム及び/又は前記他のノードに、異常挙動などについて警告するようにさらに構成され、及び/又は
前記ネットワークノードは、前記バックエンドシステムから、前記バックエンドシステムによって実行された比較に関する結果及び/又はデータを受信するように構成され、前記比較は、同一の組織における他の挙動モデル及び/又は既知の悪意のあるユーザの挙動モデルなどの他の挙動モデルによって受信された異常データを比較することを含む、ネットワークノード。
【請求項11】
脅威検出ネットワークのバックエンドサーバであって、前記脅威検出ネットワークは、相互接続されたネットワークノードと、バックエンドシステムと、を含み、
前記バックエンドサーバは、少なくとも1つ以上のプロセッサを備え、前記ネットワークノードで収集され分析されたデータに基づいて前記ネットワークノードによって生成された少なくとも1つのローカル挙動モデルを前記ネットワークノードから受信するように構成され、
前記バックエンドサーバは、前記生成されたローカル挙動モデル及び/又は受信された挙動モデルからの逸脱が前記ネットワークノードで検出された場合、検出された異常挙動などについて、前記ネットワークノードから警告を受信するようにさらに構成され、
前記バックエンドサーバは、前記バックエンドシステムにおいて、異常データを、少なくとも1つの受信したローカル挙動モデルに基づいて前記バックエンドサーバによって作成された共通挙動モデル、同じ組織内の他の挙動モデル、及び/又は既知の悪意のあるユーザの挙動モデルなどの他の挙動モデルと比較し、結果及び/又は比較に関連するデータを前記バックエンドシステムから前記ネットワークノードに送信するように更に構成される、
バックエンドサーバ。
前記バックエンドサーバは、少なくとも1つ以上のプロセッサを備え、前記ネットワークノードで収集され分析されたデータに基づいて前記ネットワークノードによって生成された少なくとも1つのローカル挙動モデルを前記ネットワークノードから受信するように構成され、
前記バックエンドサーバは、前記生成されたローカル挙動モデル及び/又は受信された挙動モデルからの逸脱が前記ネットワークノードで検出された場合、検出された異常挙動などについて、前記ネットワークノードから警告を受信するようにさらに構成され、
前記バックエンドサーバは、前記バックエンドシステムにおいて、異常データを、少なくとも1つの受信したローカル挙動モデルに基づいて前記バックエンドサーバによって作成された共通挙動モデル、同じ組織内の他の挙動モデル、及び/又は既知の悪意のあるユーザの挙動モデルなどの他の挙動モデルと比較し、結果及び/又は比較に関連するデータを前記バックエンドシステムから前記ネットワークノードに送信するように更に構成される、
バックエンドサーバ。
【請求項12】
請求項10に記載の少なくとも1つのネットワークノード、及び/又は
請求項11に記載の少なくとも1つのバックエンドサーバを備えた脅威検出ネットワーク。
請求項11に記載の少なくとも1つのバックエンドサーバを備えた脅威検出ネットワーク。
【請求項13】
請求項2~請求項9のいずれか1項に記載の方法を実行するように構成される、脅威検出ネットワーク。
【請求項14】
コンピュータによって実行されると、請求項1~請求項9のいずれか1項に記載の方法をコンピュータに実行させる命令を含むコンピュータプログラム。
【請求項15】
請求項14に記載のコンピュータプログラムを含む、コンピュータ可読媒体。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、脅威検知ネットワークにおける脅威検知方法、脅威検知ネットワークのネットワークノード、脅威検知ネットワークのバックエンドサーバ、及び脅威検知ネットワークに関する。
【背景技術】
【0002】
コンピュータ及びコンピュータネットワークのセキュリティシステムは、コンピュータ及びネットワークにおける脅威及び異常を検出するために使用される。その例は、エンドポイント検知及び応答(EDR:Endpoint Detection & Response)、管理された検知及び応答(MDR:Managed Detection and Response)の製品及びサービスである。EDRは、ブリーチ(侵害)が発生した際のブリーチの検出及び監視に焦点を当て、検出されたブリーチにどのように最良に応答するかを決定するのに役立つ。効率的で堅牢なEDRソリューションの発展は、機械学習、ビッグデータ、クラウドコンピューティングの出現によって部分的に可能になった。次に、MDRは、脅威の検知、応答、及び修復のためのサービスを提供する管理されたサイバーセキュリティサービスである。
【0003】
EDR又は他の対応するシステムは、(ITインフラストラクチャの任意の要素とすることができる)選択されたネットワークエンドポイント上にデータコレクタを配備する。データコレクタは、エンドポイントで行われている活動を監視し、収集したデータを、クラウドにあることが多い中央バックエンドシステム(「EDRバックエンド」)に送信する。EDRバックエンドがデータを受信すると、データは、EDRプロバイダによってセキュリティ侵害及び異常の兆候について分析及びスキャンされる前に処理(例えば、集約及び濃縮)される。
【0004】
しかし、EDRの問題は、データコレクタによって生成されるデータの量が極めて大きくなり得ることである。データ量は、通常、所与のEDRエンドポイントで起こる活動に比例し、そのEDRエンドポイントでの活動が大きい場合、生成されるデータ量も大きい。そのような大量のデータの直接的な結果として、サービス品質の低下、サービスコストの増加、大量のデータの管理に関連するリソースの消費の増加が挙げられる。例えば、大量のデータを処理し、使用可能なフォーマットで利用可能にする必要がある場合、EDRプロバイダにとって、関連するリソース・オーバーヘッド及び金銭的コストが非常に大きくなる場合があり、そのために、顧客組織にEDRを提供するコストが高くなる可能性がある。したがって、多くの組織は、単にEDRを実装しないことを選択し、エンドポイントプロテクション(EPP:End Point Protection)ソリューションのみに依存し続け、これは、基本的なEPPサービスが高度なファイルレス脅威に対する適切な保護を提供しないため、セキュリティリスクになり得る。
【0005】
EDRシステムの中には、収集されるデータについて選択的である(すなわち、選択的なデータ収集制限のポリシーを取る)ことによって、データオーバーヘッドを低減することを提案しているものがある。しかし、この解決策は、通常、効果的な監視、検出、及び法医学的分析を行うためにできるだけ完全なデータ画像を必要とするので、問題がある。悪意のある行為主体を監視し、追跡するためにどのデータが必要とされるかを事前に知ることは、しばしば不可能である。重要な情報が収集されなかったことが認識されることで、多くの場合、調査が止まってしまう可能性があり、そのようなEDRシステムを無効にする。
【0006】
長年にわたって、プロセス、ファイル、ネットワークアドレスなどのオブジェクトに対する評判の構築、又は個々のソフトウェアエンティティの挙動の分析に基づく技術が、サイバー防御のために開発されてきた。高度なターゲット攻撃、すなわち、リソースの豊富な攻撃者がランダムなターゲットを攻撃するのではなく、特定の組織又は個々のユーザを永続的にターゲットにする攻撃は、そのような防御を迂回するように設計されている。典型的な攻撃では、キーボード上のハッカーは、何らかの方法で、正式ユーザのアクセス証明を盗み、又は推測し、次いで、それらの証明を使用して、組織の仮想エステート内で移動する。これらの攻撃では、攻撃者は「ハッキング」するのではなく「ログイン」する。
【0007】
ユーザ、エンティティ、挙動分析(UEBA:User and Entity and Behavior Analysis)は、正規のエンティティ(サーバやモバイル機器など)やユーザの異常な振る舞いを検知することを指す用語である。1つのシナリオでは、これを使用して、通常は米国から朝にログインするユーザが、中国からの夜中に突然ログインするかどうか、又は通常のオフィスワーカが突然プログラムをコンパイルしているか、コマンドラインからサーバにログインしているか、などを検出することができる。
【0008】
典型的なUEBAアプローチがカバーしない問題は、ログインしたユーザの挙動が(まだ)明らかに異常又は悪意を示していない状況である。また、攻撃者は、あらゆるユーザに想定されるような行動をとることで、それを検知のおそれなく行うことができ、様々な形態の自動化を用いて正常な挙動を真似ることで、より一層、攻撃としての振る舞いを隠そうとする可能性が高い。そのため、このような状況もより確実に、かつ偽陽性率の低い状態で認識する必要がある。
【0009】
また、大量のデータを管理することに関連するコストを削減する必要性と、EDRシステムの文脈でデータを収集し処理する方法を改善し、同時に脅威検出機能に対する重大なリスクを回避する必要性がある。
【発明の概要】
【0010】
以下は、様々な発明の実施形態のいくつかの態様の基本的な理解を提供するために、単純化された概要を提示する。この概要は、本発明の広範な概要ではない。それは、本発明の重要な又は重要な要素を識別することも、本発明の範囲を描写することも意図していない。以下の概要は、単に、本発明の例示的な実施形態のより詳細な説明の前置きとして、本発明のいくつかの概念を簡略化した形態で提示するに過ぎない。
【0011】
第1の態様によれば、本発明は、相互接続されたネットワークノードとバックエンドシステムとを含む、脅威検出ネットワークにおける脅威検出の方法、例えばコンピュータ実装方法に関する。ノードの少なくとも一部は、それぞれのネットワークノードに関連するデータを収集するセキュリティエージェントモジュールを含む。この方法は、ネットワークノードに関連するネットワークノードデータを収集及び/又は分析するステップと、収集及び/又は分析されたデータに基づいてネットワークノードに関連するネットワークノードで少なくとも1つのローカル挙動モデルを生成するステップと、ネットワークノードに関連する少なくとも1つの生成されたローカル挙動モデルを1つ又は複数の他のノード及び/又はバックエンドシステムと共有するステップと、ノード内のユーザ活動を生成されたローカル挙動モデル及び/又は1つ又は複数の受信された挙動モデルと比較するステップと、生成されたローカル挙動モデル及び/又は受信された挙動モデルからの逸脱が検出された場合に、異常挙動などについてバックエンドシステム及び/又は他のノードに警告するステップと、受信された異常データを、バックエンドにおいて、同じ組織における他の挙動モデル及び/又は既知の悪意ユーザの挙動モデルなどである他の挙動モデルと比較し、比較に関連する結果及び/又はデータをバックエンドシステムからノードに送信することを含む。本発明の一実施形態では、生成されたローカル挙動モデル及び/又は受信された挙動モデルからの、検出されたユーザ活動の逸脱は、警報が送信されるように、予め定められた、又は適応可能であってもよい特定の閾値を十分に、かつ/又は上回らなければならない。これは、偽陽性を回避するのに役立つ。
【0012】
本発明の一実施形態では、エージェント及び/又はノードは、生成されたローカル挙動モデル及び/又は受信された挙動モデルからの逸脱が検出されると、データ収集のレベルの増加、生成されたローカル挙動モデル及び/又は受信された挙動モデルと一致しなかったバックエンドへのデータの送信、ユーザのリスクレベルの増加、ノードのリスクレベルの増加、及び/又はオペレータへの警告、の少なくとも1つを実行する。
【0013】
本発明の一実施形態では、エージェントは、統計モデル、確率モデル、深部学習モデル、又は他の機械学習モデルなどの機械学習モデルを利用して、ユーザ活動に関するデータを収集し、分析することによって挙動モデルを構築する。
【0014】
本発明の一実施形態では、生成又は受信された挙動モデルは、自動化、攻撃、及び/又は同じアカウントを使用する別のユーザによる挙動の変化に気付くために、ユーザの活動を監視する際に使用される。
【0015】
本発明の一実施形態では、同じ挙動モデルが、組織内の対応する活動、対応する挙動、及び/又は対応する役割を有するユーザを本質的にカバーする。
【0016】
本発明の一実施形態では、エージェントは、挙動モデルを作成するため、及び/又はユーザ活動を挙動モデルプログラムと比較する際に、たとえば、ユーザ活動とその実行頻度、ログイン位置、ログイン時間、ログイン場所、ネットワーク使用パターン、キーボードレイアウト、キーボード言語、タイプ頻度及び/又は速度、マウス及びタッチ画面移動パターン、タイプエラー、コマンドラインにおけるコマンドと引数の構文及びスタイル、クリップボードの使用、ヘッドフォン、カメラ、画面、プリンタ、USBストレージ、などの周辺機器、及び/又はそれらの活動、画面ロック状態、キーボードショートカットの使用を含むコンピュータ使用データのうち少なくとも1つを収集する。
【0017】
本発明の一実施形態では、システムは、ノード及び/又はネットワークで使用される共有アカウントを識別し、複数の挙動モデルを識別された共有アカウントにリンクする。
【0018】
本発明の一実施形態では、ネットワークノードに関連する1つ又は複数のローカル挙動モデルがネットワークノードによって生成され、少なくとも1つの共通挙動モデルが、コンピュータネットワークのバックエンドシステムによって、及び/又は受信したローカル挙動モデルに少なくとも部分的に基づいてネットワークノードによって生成される。
【0019】
本発明の一実施形態では、脅威制御ネットワークは脅威制御スウォームインテリジェンスネットワークであり、かつ/又は脅威制御スウォームインテリジェンスネットワークは、ローカルコンピュータネットワークの複数の相互接続されたネットワークノードを含み、挙動モデルは、スウォームインテリジェンスネットワークのバックエンド及び/又はノードと共有される。
【0020】
第2の態様によれば、本発明は、相互接続されたネットワークノードとバックエンドシステムとを含む、脅威検出ネットワークのネットワークノードに関する。ネットワークノードは、それぞれのネットワークノードに関連するデータを収集するように構成された少なくとも1つのセキュリティエージェントモジュールを備え、ネットワークノードは、ネットワークノードに関連するデータを収集及び/又は分析するように構成される。ネットワークノードは、収集された及び/又は分析されたデータに基づいてネットワークノードに関連する少なくとも1つのローカル挙動モデルを生成するようにさらに構成され、ネットワークノードに関連する少なくとも1つの生成されたローカル挙動モデルを1つ又は複数の他のノードと、及び/又はバックエンドシステムと共有するようにさらに構成される。ネットワークノードは、ノード内のユーザ活動を生成されたローカル挙動モデル及び/又は1つ又は複数の受信された挙動モデルと比較し、生成されたローカル挙動モデル及び/又は受信された挙動モデルからの逸脱が検出された場合にバックエンド及び/又は他のノードに警告するようにさらに構成され、かつ/又はネットワークノードは、バックエンドシステムから、バックエンドでの比較に関する結果及び/又はデータを受信するように構成され、この比較は、異常データを、同じ組織内の他の挙動モデル及び/又は既知の悪意のあるユーザの挙動モデルなどの他の挙動モデルと比較することを含む。
【0021】
第3の態様によれば、本発明は、相互接続されたネットワークノードとバックエンドシステムとを含む脅威検出ネットワークのバックエンドサーバに関する。バックエンドサーバは、少なくとも1つ又は複数のプロセッサを備え、ネットワークノードで収集され分析されたデータに基づいてネットワークノードによって生成されたネットワークノードから少なくとも1つのローカル挙動モデルを受信するように構成される。バックエンドサーバは、生成されたローカル挙動モデル及び/又は受信された挙動モデルからの逸脱がネットワークノードで検出された場合、検出された異常挙動などについての警告をネットワークノードから受信及び警告するようにさらに構成される。バックエンドサーバは、さらに、バックエンドで異常データを、少なくとも1つの受信したローカル挙動モデルに基づいてバックエンドサーバによって作成された共通挙動モデル、同じ組織内の他の挙動モデル、及び/又は既知の悪意のあるユーザの挙動モデルなどの他の挙動モデルと比較し、結果及び/又は比較に関連するデータをバックエンドシステムからネットワークノードに送信するように構成される。
【0022】
第4の態様によれば、本発明は、本発明による少なくとも1つのネットワークノード、及び/又は本発明による少なくとも1つのバックエンドサーバを含む脅威検出ネットワークに関する。本発明の一実施形態では、脅威検出ネットワークは、複数のノードのみを含むことができ、バックエンドを含まないようにすることができる。この場合、挙動モデルなどの情報は、ノード間で共有される。本発明の一実施形態では、脅威検出ネットワークは、本発明による少なくとも1つのネットワークノードと、少なくとも1つのバックエンドサーバとを含むことができる。この場合、挙動モデルなどの情報を、ノード間で、及び/又はノードとバックエンドサーバとの間で共有することができる。
【0023】
第5の態様によれば、本発明は、コンピュータによって実行されると、コンピュータに本発明による方法を実行させる命令を含むコンピュータプログラムに関する。
【0024】
第6の態様によれば、本発明は、本発明に係るコンピュータプログラムを含むコンピュータ可読媒体に関する。
【0025】
本発明の解決策を用いると、過去の挙動を考慮すると、悪意のある活動を疑うのに十分に重要な微妙な挙動パターンの変化を理解することによって、「キーボードの前にいる」人物が、予想される人物ではないと思われるような異常状態を検出することが可能である。たとえば、ユーザはスクリプト、ログインスクリプト、マクロを実行することができ、それにより、同じユーザによって実行されるマニュアル操作とはまったく異なる人格のように見えるか、時にはステップを実行する別の人物である可能性がある。本発明の解決策によれば、これを確実かつ効率的に検出することができる。
【0026】
また、脅威及び詐欺検出システムは、偽陽性の問題を有する可能性がある。この文脈におけるこの問題は、例えば、実際のユーザの代わりに、キーボード上での人による(又は自動的)タイプ入力が行われるという多くの「正常な」状況があるという事実に由来する。本発明の解決策は、エンドポイントが互いに直接的に、かつ/又は共通のバックエンドを通じて協働するアプローチでこの問題を克服することができる。
【0027】
本発明の様々な例示的かつ非限定的な実施形態は、その追加の目的及び利点と共に、構造及び動作方法の両方に関して、添付の図面と併せて読むと、特定の例示的かつ非限定的な実施形態の以下の説明から最もよく理解されるであろう。
【0028】
備える(”to comprise”)及び含む(”to include”)という動詞は、この文書では、未認識の特徴の存在を排除することも必要とすることもないオープンな制限として使用されている。また、従属請求項に記載された特徴は、特に断りのない限り、相互に自由に組み合わせ可能である。
【0029】
さらに、本明細書全体を通じて「a」又は「an」、すなわち単数形の使用は、複数を排除しないことを理解されたい。
【0030】
本発明の実施形態は、添付の図面の図に、限定としてではなく例として示されている。
【図面の簡単な説明】
【0031】
【図1】本発明の一実施形態の例示的なネットワークアーキテクチャを概略的に示す。
【図2】2つのローカルコンピュータネットワークと1つのセキュリティサービスネットワークを含む本発明のソリューションの例示的な実施形態を提示する。
【図3】本発明は、一実施形態に係るセキュリティエージェントのモジュール構造の一例を提示する。
【図4】本発明の一実施形態による例示的な方法を提示する。
【発明を実施するための形態】
【0032】
本発明の一実施形態による脅威検出ネットワークは、少なくとも1つのネットワークノードと少なくとも1つのバックエンドサーバとを備え得る。この場合、例えば挙動モデルなどの情報を、ノード間で、及び/又はノードとバックエンドサーバとの間で共有することができる。本発明の一実施形態では、脅威検出ネットワークは、複数のノードのみを含むことができ、バックエンドサーバは必要ない。この場合、情報、例えば挙動モデルをノード間で共有することができる。
【0033】
図1は、本発明の解決策を使用することができる本発明の一実施形態の例示的なネットワークアーキテクチャを概略的に示す。図1には、コンピュータシステム、例えばEDRシステムがインストールされた第1のコンピュータネットワーク1の一部が概略的に示されている。また、本発明の実施形態を実施することができる任意の他のコンピュータシステムを、この例で使用されるEDRシステムの代わりに、又はEDRシステムに加えて使用することができる。第1のコンピュータネットワークは、クラウド3を介してセキュリティサービスネットワーク、ここではセキュリティバックエンド/サーバ2に接続されている。バックエンド/サーバ2は、第1のコンピュータネットワークに対するセキュリティサービスコンピュータネットワーク上のノードを形成する。セキュリティサービスコンピュータネットワークは、EDRシステムプロバイダによって管理することができ、ゲートウェイ又は他のインターフェース(図示せず)、あるいはバックエンド2に適した他のネットワーク要素によってクラウド3から分離することができる。また、第1のコンピュータネットワーク1は、ゲートウェイ4などのインターフェースを介してクラウド3と分離されていてもよい。他のネットワーク構造も可能である。
【0034】
第1のコンピュータネットワーク1は、複数の相互接続されたネットワークノード5a~5hから形成され、各ノードは、コンピュータ、スマートフォン、タブレット、ラップトップ、又は他のネットワーク対応ハードウェアなどのコンピュータネットワーク1内の要素を表す。コンピュータネットワークに示される各ネットワークノード5a~5hは、データコレクタ又は「センサ」を含むことができるセキュリティエージェントモジュール6a~6hがインストールされるEDRエンドポイントも表す。セキュリティエージェントモジュールはまた、ゲートウェイ又は他のインターフェース上など、コンピュータネットワークの任意の他の要素上にインストールすることができる。図1の例では、セキュリティエージェントモジュール4aがゲートウェイ4にインストールされている。セキュリティエージェントモジュール6a~6h、4aは、ノード5a~5h又はゲートウェイ4で、例えば、プログラム又はファイルのハッシュ、ノード5a~5hに格納されたファイル、ネットワークトラフィックのログ、プロセスログ、メモリから刻まれたバイナリ又はファイル(例えば、DLL、EXE、又はメモリフォレンシックアーチファクト)、及び/又はノード5a~5h又はゲートウェイ4上で実行されるプログラム又はスクリプトによって実行されるモニタリング活動からのログ(例えば、tcpダンプ)などを含む様々なタイプのデータを収集する。
【0035】
収集されたデータは、さらなる使用のための情報記憶のために、データベース又は同様のモデルに記憶され得る。ユーザ、アプリケーション、サービス、及び/又はプロセスの挙動の任意の種類の挙動モデル、プロファイル、及び/又は表現を、セキュリティアプリケーションによってノード5a~5hで、バックエンド/サーバ2で、及び/又は第2のサーバでさらに構築し、データベースに格納することができる。ノード5a~5h及びサーバ2は、典型的には、ハードドライブ、プロセッサ、及びRAMを含む。
【0036】
セキュリティ侵害又はシステムへの侵入など、セキュリティ脅威の検出及び監視を支援することができる任意のタイプのデータを、そのライフサイクル中にセキュリティエージェントモジュール6a~6h、4aによって収集することができ、監視及び収集されるデータのタイプを、EDRシステムのインストール時に、及び/又は脅威検出モデル及び/又は挙動モデルの構成要素を分配するときに、EDRシステムプロバイダによって定義される規則に従って設定することができる。本発明の一実施形態では、セキュリティエージェントモジュール6a~6hの少なくとも一部は、それ自体で観察され収集されたデータのタイプに関する決定を行う機能も有することができる。例えば、セキュリティエージェント6a~6h、4aは、EDRエンドポイント上で実行されているプログラムの挙動に関するデータを収集することができ、新しいプログラムが開始されたときを観察することができる。適切なリソースが利用可能である場合、収集されたデータは、セキュリティエージェントモジュール6a~6h、4aによって、それらのそれぞれのネットワークノードに、又は第1のコンピュータネットワーク1上の適切な記憶場所(図示せず)に永久的に又は一時的に記憶することができる。
【0037】
セキュリティエージェントモジュール6a~6h、4aは、収集したデータ等の情報を送信したり、クラウド3を介してEDRバックエンド2との間で指示を送受信したりするように設定されている。これにより、EDRシステムプロバイダは、第1のコンピュータネットワーク1を管理する組織において一定の人間の存在を維持する必要なく、EDRシステムを遠隔管理することができる。
【0038】
本発明の一実施形態では、セキュリティエージェントモジュール6a~6h、4aは、ローカルコンピュータネットワーク1の複数の相互接続されたネットワークノード5a~5hのセキュリティエージェントモジュールを含む内部ネットワーク、例えば内部スウォームインテリジェンスネットワークを確立するように構成することもできる。セキュリティエージェントモジュール6a~6h、4aは、各セキュリティエージェントモジュール6a~6h、4aのそれぞれのネットワークノード5a~5hに関連するデータを収集するため、確立された内部ネットワーク内の収集されたデータに基づく情報を共有するようにさらに構成される。一実施形態では、スウォームインテリジェンスネットワークは、それ自体でも機能することができる複数の半独立セキュリティノード(セキュリティエージェントモジュール)から構成される。したがって、スウォームインテリジェンスネットワークにおけるインスタンスの数は、十分に異なり得る。また、1つのローカルコンピュータネットワーク内に2つ以上の接続されたスウォームインテリジェンスネットワークが存在し、これらは互いに協働する。
【0039】
セキュリティエージェントモジュール6a~6h、4aは、それぞれのネットワークノード5a~5h及び/又はそのユーザに関連するモデルを生成し、適応させるために、内部ネットワークから受信された収集されたデータ及び情報を使用するようにさらに構成される。モデルは、例えば、ユーザ挙動モデル、脅威検出モデルなどとすることができる。
【0040】
本発明の一実施形態では、ネットワークノードのエージェント、例えばエンドポイントエージェントは、ユーザの挙動モデル、例えば「コンピュータユーザ挙動人格」を構築するためにユーザが使用したデータをローカルに収集し、分析する。この実施形態のために収集することができる典型的なデータの例を以下に示すことができる。
1)実行されるプログラム及び/又はその頻度
2)ログインの位置、時間、場所
3)ネットワーク使用パターン
4)キーボードレイアウト (例、言語)
5)タイピングの頻度及び/又は速度
6)マウス及び/又はタッチ画面の移動パターン
7)タイプエラー
8)コマンドラインにおけるコマンド及び/又は引数の構文及び/又はスタイル
9)クリップボードの使用(コピーペーストなど)
10) 周辺装置及び/又はその活動、例えば、ヘッドフォン、カメラ、画面、プリンタ、USBストレージなどの装置。
11)画面ロック状態
12)キーボードショートカットの使用
1)実行されるプログラム及び/又はその頻度
2)ログインの位置、時間、場所
3)ネットワーク使用パターン
4)キーボードレイアウト (例、言語)
5)タイピングの頻度及び/又は速度
6)マウス及び/又はタッチ画面の移動パターン
7)タイプエラー
8)コマンドラインにおけるコマンド及び/又は引数の構文及び/又はスタイル
9)クリップボードの使用(コピーペーストなど)
10) 周辺装置及び/又はその活動、例えば、ヘッドフォン、カメラ、画面、プリンタ、USBストレージなどの装置。
11)画面ロック状態
12)キーボードショートカットの使用
【0041】
システムは、収集された情報に基づいて、各ユーザ又はユーザアカウントの挙動人格を学習することができる。この人格は、ネットワークノード、例えばエンドポイントでローカルに学習することができ、そこで分析を行うことができる。したがって、膨大な量のデータをバックエンドシステム及び/又は他のノードに送信する必要がない。このようにして、より少ないデータを転送する必要があるので、ユーザのプライバシーをより良好に保証することができる。結果として得られる挙動モデル、例えば、人格を表す機械学習モデルによって構築されたモデルは、バックエンドシステムに送信され、複数のエンドポイントにわたる同じ人格プロファイルに対する共有学習と比較の両方を可能にする。
【0042】
ノード(例えば、エンドポイント)のエージェントが、ユーザの挙動が正常な挙動モデルパターンと一致しないことを検出すると、バックエンドシステム及び/又は他のノードに警告することができる。この時点で、エージェントは、例えば、データ収集のレベルを高めることができ、及び/又はモデルと一致しなかったデータをバックエンドに送信することができ、及び/又はエンドポイントのネットワーク接続性を制限するなど、コンピュータネットワーク及び/又は任意の関連するネットワークノードを保護するための他のアクションを実行することができる。
【0043】
そして、バックエンドシステムは、偽陽性を防止するために、受信した異常データを、例えば、同じ組織内の他の挙動モデルと比較することができる。本発明の一実施形態では、例えば、ITワーカ、ログインスクリプト、及び他のツール、ネットワーク管理者、ならびに同僚の挙動モデルが、受信した異常と比較される。バックエンドは、挙動モデルを、以前に見た既知の悪意のあるユーザの他の異常な、又は正常な挙動モデルと比較することができる。本発明の一実施形態では、共有アカウントを識別することもでき、一実施形態では、複数の人間が同じアカウントを使用するときに、これらのモデルを複数の挙動モデルに関連付けることができる。
【0044】
また、「ユーザの模倣」(例えば、UIボタンを非常に速くクリックする)を実行するソフトウェアが存在し得る。この種のソフトウェアは、ロボットプロセス自動化、ソフトウェア試験、又は単にユーザが反復タスクを行うのを助けるために使用することができる。本発明の一実施形態では、本発明のシステムは、どの他のソフトウェアが実行されているか、及びユーザアクションの時間を監視及び/又は検出することによって、これらの種類のケースを識別することができる。また、システムは、ウィンドウズ(登録商標)上のSendMessage活動を監視することによって、どのアプリケーションがマウスの動き、クリック、及び/又はタイプ入力を注入しているかを監視して、この種の偽陽性状況を識別することができる。
【0045】
また、組織内には、独自のアカウントで多くのエンドポイントにログインするユーザが存在する可能性がある。最も典型的なものは、サーバにログインする管理者ユーザである。また、ITヘルプデスク型のユーザは、他のユーザに属するラップトップや他の装置にログインする。バックエンドは、さまざまなエンドポイントから挙動モデルを受け取ると、それらを比較することができます。ユーザの挙動は、エンドポイント間で同様の特性を有することが期待される。
【0046】
分析の後、挙動又は活動が依然として異常であると見なされ、又は攻撃者であると疑われる場合でも、システムは、ネットワークノード、システム、及び/又はたとえば事象リスポンダが異常を調査し、その異常に反応することができるように、警告を出すか、又は命令を送信することができる。
【0047】
本発明の一実施形態では、ネットワークノードは、エンドポイントセンサに統合され、収集されたデータストリームを監視することができるエージェントを含む。収集された全ての情報に基づいて、エージェントは、例えば、統計モデル、確率モデル、又はディープラーニングモデルとすることができる適切な機械学習モデルを利用して、正常なユーザ活動の挙動モデルを構築することができる。前記モデルは、転送学習のような方法を利用して、内部ネットワークで共有され、バックエンドシステムによって収集された他のモデルから、どの特徴をユーザ間で区別することができたかを知ることができる。各ユーザを識別するのに最も有益な特徴は、学習プロセスにおいて(例えば、自動的に)与えられた好み及び重みであり、モデルをそのユーザの挙動を条件とするようにすることができる。
【0048】
挙動モデルは、他のエージェント、他のネットワークノード、例えば、内部ネットワークのエージェント、及び/又はバックエンドシステムとプライバシー保護方式で共有することができ、その結果、ユーザの実際の活動に関する最小限の情報を共有する必要がある。バックエンドは、フェデレーテッド学習のような方法を利用して、複数のエンドポイントからの知識を組み合わせ、複数のエンドポイントにわたってユーザのモデルを統合することができ、かつ/又は階層モデル化アプローチを利用して、類似のユーザの挙動(ユーザの過去の挙動に対して条件付きの挙動の正常な変化、たとえばソフトウェア更新による挙動の変化)から学習し、偽陽性を回避することができる。
【0049】
次いで、挙動モデルを使用して、同じユーザの活動を監視し、自動化、攻撃、又は単に同じアカウントを使用する別のユーザ(すべての潜在的脅威シナリオ)による可能性がある挙動の変化に気づくことができる。プロファイルからの逸脱が検出されると、バックエンドに通知し、ユーザ及び/又はエンドポイントのリスクレベルを高め、及び/又はより詳細なデータ収集をアクティブ化させ、オペレータに潜在的に警告するか、又は他のアクションにつなげることができる。
【0050】
さらに、行動パターンを使用して、ユーザ間の類似性を理解し、所望であればユーザの行動に対する洞察を提供することもできる。これは、ユーザセグメンテーションなどのユースケースに適用することができるが、所望であれば、いくつかのサービスをさらに改善するためにも適用することができる。
【0051】
シナリオの一例を以下の段落に示す。この実施形態例では、ネットワークノード上のアクションに関連する生データが受信される。生データは、複数のネットワークノード(5a~5h)から受信/収集することができ、異なるデータタイプを入力イベントとして整列させ、投稿に収集することができる。複数の異なるタイプのイベントが存在し得る。本発明の一実施形態では、センサは、数秒間イベントを収集し、次いで、1つの送信でこれらの収集されたイベントを送信して、ネットワーク接続及び/又は要求の数を減らす。投稿処理コンポーネントは、様々な種類のエンドポイントセンサから受信されるすべてのデータ投稿の初期前処理を担当することができる。
【0052】
各ネットワークノードに関連する生データは、コンピュータネットワークのネットワークノード、及び/又はコンピュータネットワークの複数のネットワークノードからのセキュリティサーババックエンドによって収集することができる。ネットワークノードに関連する観察されたイベントは、多数の基礎となるプロセス/行為主体によって引き起こされる事実上何らかの測定可能なものである。このような行為主体は、例えば、実際のユーザ又はオペレーティングシステムとすることができる。
【0053】
収集された入力イベントに基づいて、ネットワークノードに関連する1つ又は複数のローカル挙動モデルが生成される。ローカル挙動モデルは、それぞれのネットワークノードに関連するユーザ又は他のエンティティの正常な挙動を特徴付けることを目的とし、ネットワークノードに関連するローカル挙動モデルは、各ネットワークノードによってローカルに生成される。各ネットワークノード及び/又はそのユーザ(複数可)に関連する生成された1つ又は複数のローカル挙動モデルは、コンピュータネットワーク、内部ネットワーク、及び/又はコンピュータネットワークのセキュリティサーババックエンドの1つ又は複数の他のネットワークノードと共有することができる。
【0054】
観察されたイベントに関連するほとんどの基礎となるプロセス/行為主体は、十分に能力のあるモデルを用いてモデル化することができる何らかの正常な挙動を有する。一実施形態では、そのような挙動は、少なくとも部分的にホスト間で共有され、部分的にローカルでもよいが、ローカル挙動は、それらが正確に同一でない場合でも共通点を共有する。例えば、オペレーティングシステムのすべての同じバージョンは、類似のバックグラウンド挙動を示す一方、すべての開発者は、わずかに異なるプラクティスを有しつつ、いくつかの類似のツール及びフローを使用する傾向がある。これは、バックグラウンド挙動間の類似性を、それらの間で検出することができるが、インスタンスが異なることを意味する。
【0055】
一実施形態では、正常な挙動モデリングは、例えば、(1つ又は複数の)生成モデルを介して達成することができる。1つ以上のそのようなモデルは、複雑さに応じて各ネットワークノードに関連して訓練されてもよく、モデルは、例えば、長期・短期メモリ(LSTM:Long Short-Term Memory)などの再帰的ニューラルネットワーク(RNN:Recurrent Neural Networks)などの非常に異なる形式をとることができるが、多くの他のモデルも可能である。
【0056】
本発明の一実施形態では、正常なユーザ挙動の少なくとも1つの共通モデルを、複数のネットワークノードに関連するローカル挙動モデルに基づいて生成することができる。正常な挙動の共通モデルは、コンピュータネットワークのセキュリティサーババックエンドによって、及び/又は任意のネットワークノードによって生成することができる。
【0057】
一実施形態では、複数のネットワークノードに関連するローカル挙動モデルを利用して、個々のネットワークノードの挙動を理解することができ、複数のホストにわたる情報を利用して、正常な挙動の共通モデル(1つ又は複数)を構築し、次いで、これらの共通学習を再分配することで、例えば、(分散/フェデレーテッド学習アプローチを利用している)モデルにおいて問題をきたすようなグローバルであるが変化し得るオペレーティングシステムアップデートや新アプリケーション版などに対応する。
【0058】
一実施形態では、正常な挙動の少なくとも1つの共通モデルがコンピュータネットワークのネットワークノードによって生成される場合、プロセスは、協働し、それらのネットワークノードに関連する共通の挙動を学習することを目的とするネットワークノードの少なくとも一部を含むことができる。この種の実装は、例えば、同じユーザが複数の異なるコンピュータを制御する場合、及び/又は同じ組織内で制御する場合に実現可能である。
【0059】
本発明の一実施形態では、1つ又は複数の入力イベントは、入力イベントが正常挙動の生成された共通モデルによって、及び/又は生成された1つ又は複数のローカル挙動モデルによって生成される可能性を推定するための尺度を使用することによってフィルタリングすることができる。モデル(正常な挙動の共通モデルと1つ又は複数のローカル挙動モデル)のうちのいずれか1つによって生成される、事前に決定された、又は適応的であり得るしきい値未満の尤度を有する入力イベントのみが、フィルタリングを通過する。また、適切なモデルは、イベントのボリュームを考慮に入れることができ、及び/又は統計を収集して、モデルの再訓練が可能であることを保証することができる。これは、偽陽性を回避するのに役立つ。
【0060】
したがって、正常なユーザ挙動の少なくとも1つの共通モデル(又はモデルの集合)を構築した後、それ(又はそれら)を利用して、ネットワークノード/センサ上で観測されるものを、観測されると予想されるもの(すなわち、モデルが生成するもの)と比較することができる。(観測されたイベントとモデルとの)比較を行うために、このイベントがモデルによって生成される可能性を推定するために使用される確率論的尺度を確立することができる。これが起こりそうにない場合、イベントが異常であると判定することができ、コンピュータネットワークを保護するために適切なさらなるアクションを取ることができる。しかし、このような異常が何らかの意味を持つことが期待される異常検知の明白なユースケースではなく、むしろ効率のよいデータ縮小の一形態と考えられる。生成された正常挙動の共通モデルを共有することで、正常に発生したすべてのイベントを、正常挙動を記述するモデルパラメータを含む1つの大きな「イベント」のみで記述することができる。これは、モデルが実際のイベントを全く含まないので、プライバシー保護方法でも実施することができる。
【0061】
本発明の一実施形態では、既知のセキュリティ脅威が検出された場合、セキュリティエージェントモジュールは、セキュリティアラートを生成し、ローカルコンピュータネットワーク内のローカルセンタノード(図示せず)に送信し、検出されたセキュリティ脅威に応答するためのセキュリティ対策をアクティブ化するように構成される。さらに、新しい脅威である可能性が非常に高いと推定される異常が識別された場合、セキュリティエージェントモジュールは、脅威を検証し、これを囲むように構成され、収集されたデータ及び受信された情報に基づいて新しいモデルを生成し、生成された新しいモデルを、ネットワークの他のノード、ならびに/又は、スウォームインテリジェンスネットワーク及び/もしくはローカルセンターノードなどのバックエンドシステム及び/もしくは内部ネットワークに共有する。
【0062】
本発明の一実施形態では、異常が、例えば、より深い分析モデルによって、又は人間の分析者によって偽陽性であると判定された場合、論理モデル及び/又は挙動モデルは、類似した対応するケースを再び異常として検出しないように訓練される。
【0063】
一実施形態では、正常な挙動からの逸脱が検出された場合、コンピュータネットワーク及び/又は任意の関連するネットワークノードを保護するために、例えば、データ収集のレベルを高めること、生成されたローカル挙動モデル及び/又は受信した挙動モデルに一致しなかったデータをバックエンドに送信すること、ユーザのリスクレベルを高めること、ノードのリスクレベルを高めること、及び/又はオペレータに警告すること、及び/又は攻撃者を停止させ、その移動の痕跡が破壊されないことを保証するためにネットワークノードの設定を変更することによって即時のアクションを取ることなどを行う。設定を変更することは、例えば、情報をRAMに保存するために1つ又は複数のノード(コンピュータ又は他のデバイスとすることができる)についてオフ状態にすることを防止すること、攻撃者をすぐに遮断するために1つ又は複数のノードでファイアウォールをオンにし、ネットワークノードの1つ又は複数のネットワーク接続性を減速又はブロックすること、疑わしいファイルを除去又は隔離に入れること、ネットワークノードからログを収集すること、ネットワークノードでコマンドの集合を実行すること、1つ又は複数のノードのユーザに、脅威又は異常が検知され、そのワークステーションが調査中であることを警告すること、及び/又は正常な挙動からの逸脱の兆候を検知することに応答してシステム更新又はソフトウェアパッチをEDRバックエンドからノードに送信することなどとできる。本発明の一実施形態では、これらのアクションの1つ又は複数を、上記のモデル又はアルゴリズムによって自動的に開始することができる。例えば、上記の方法を使用して、データが収集され、コンピュータネットワーク内のノード及びEDRバックエンドと共有され、脅威モデル又は分析アルゴリズムが、正常な挙動からの逸脱が検出されたと判定される。モデル/アルゴリズムは、正常な挙動からの逸脱が検出されたと判定するとすぐに、人間の介入なしに、関連するネットワークノードで上記のアクションの1つ又は複数を自動的に開始するコマンドを生成し、これを発行することができる。これにより、人間の介入なしに、非常に高速で、侵害を止めるか、及び/又は損傷を自動的に最小限に抑えることができる。
【0064】
図2は、本発明の一実施形態の高レベル概念を示す。図2の例は、2つのローカルコンピュータネットワーク1A、1B、及びセキュリティサービスネットワーク2を示し、各ローカルコンピュータネットワーク1A、1Bは、ローカルセンターノード7、8、ならびに複数の相互接続されたネットワークノード、ならびに複数のネットワークノードのそれぞれのセキュリティエージェントを含む。セキュリティエージェントモジュールは、各ローカルコンピュータネットワーク内に内部スウォームインテリジェンスネットワークを確立するように構成することができる。本発明のソリューションで作成される挙動モデルは、コンピュータネットワーク、ローカルセンターノード、ネットワークノード、及びバックエンドシステムの間で共有することができる。
【0065】
正常動作モードの一例では、エージェントの展開構造は、ローカル通信ノード及び情報集約センタ(ローカルセンタノード7、8)とともに、1つのエンドポイントに常駐する平均1つのエージェントから構成することができる。一実施形態では、図3に示されるように、セキュリティエージェントは、それらの機能の少なくとも一部が、たとえ存在しても非アクティブであり、それによって、元のホストが有するものとは異なる役割への新しいエージェントの複製も可能にするように構築することができる。
【0066】
一実施形態では、セキュリティエージェントモジュールは、それらのモジュールアーキテクチャの1つ又は複数のコンポーネントをアクティブ化し、それら自体を複製することができる。さらに、セキュリティエージェントモジュールのいずれかが、検出されたセキュリティ脅威を管理するための、又は疑わしいセキュリティ脅威の分析のためのさらなるリソースの必要性を検出した場合、本発明の一実施形態では、セキュリティエージェントモジュールは、他のセキュリティエージェントモジュールからリソースを要求するか、又は新しいセキュリティエージェントモジュールを生成することもできる。
【0067】
一実施形態では、セキュリティエージェントモジュールは、検出されたセキュリティ脅威に対する改善策を決定するため、及び/又は潜在的に悪意のあるエンティティの挙動をさらに分析するために、サンドボックス化技法を使用する。サンドボックス化は、結果を観察することができ、脅威の妥当性を確立することができる環境において、疑わしいコード又はアクションを実行するために利用することができる。
【0068】
一実施形態では、監視されるイベントのうちの疑わしいイベントを、使用される1つ又は複数の検出機構によって検出することができる。一実施形態では、疑わしいイベントを検出するために使用される検出機構は、機械学習モデル、走査エンジン、発見的規則、統計的異常検出、ファジー論理ベースのモデル、任意の所定の規則のうちの少なくとも1つを使用することを含むことができる。
【0069】
一実施形態では、本方法は、脅威の検出において、及び/又は脅威への応答として、機械学習モデルを訓練するために、ローカル情報とグローバル情報とモデルパーツを組み合わせることによる分散学習、成功した最終結果に関するフィードバックを得ることによる強化学習、学習プロセスにおける外部情報を使用することによるメタ学習、及び/又はブートストラップモデルへの情報共有、及び学習挙動の調整、などを含む1つ又は複数のアプローチを使用する。
【0070】
次に、実施形態に係る動作のいくつかの具体的なステップ例について説明する。
【0071】
(ユーザ挙動モデリングのコンポーネントの展開と配布)
本発明の一実施形態では、すべてのエージェントが、基本的に同じコードベース及び/又はモジュールアーキテクチャ内の異なるコンポーネントをアクティブ化し、それ自体を複製することによってその役割に適応する能力を有することができ、その場合、十分なアクセス権限を有する顧客ネットワーク内に1つの初期エージェントを展開するだけでよく、次いで、サーバを発見し、それ自体のコピーを適切な場所にインストールし、内部通信ネットワーク、たとえば内部スウォーム通信ネットワーク、ならびにバックエンド更新、報告、及び通信チャネルを確立する。さらに、認証及び他の必要な問題を考慮する必要がある場合があり、最初の具体化では、エージェントを個々のホストに配備することができる。
本発明の一実施形態では、すべてのエージェントが、基本的に同じコードベース及び/又はモジュールアーキテクチャ内の異なるコンポーネントをアクティブ化し、それ自体を複製することによってその役割に適応する能力を有することができ、その場合、十分なアクセス権限を有する顧客ネットワーク内に1つの初期エージェントを展開するだけでよく、次いで、サーバを発見し、それ自体のコピーを適切な場所にインストールし、内部通信ネットワーク、たとえば内部スウォーム通信ネットワーク、ならびにバックエンド更新、報告、及び通信チャネルを確立する。さらに、認証及び他の必要な問題を考慮する必要がある場合があり、最初の具体化では、エージェントを個々のホストに配備することができる。
【0072】
(正常動作)
エージェントは、自分の環境を継続的に監視し、データを収集し、自分が見たものから学習し、モデル、例えば行動モデルを構築する。これらのモデルは、スウォームノードにわたって共有することができ、例えば、ネットワーク内の1つのコンピュータ上のユーザの挙動対他のコンピュータ上のユーザの挙動を学習するために使用することができる。さらに、抽象情報は、プライバシー保護方式でバックエンドに送信することができる。エージェントは、上述した学習モデルを利用して、正常性を知るためにも用意する。
エージェントは、自分の環境を継続的に監視し、データを収集し、自分が見たものから学習し、モデル、例えば行動モデルを構築する。これらのモデルは、スウォームノードにわたって共有することができ、例えば、ネットワーク内の1つのコンピュータ上のユーザの挙動対他のコンピュータ上のユーザの挙動を学習するために使用することができる。さらに、抽象情報は、プライバシー保護方式でバックエンドに送信することができる。エージェントは、上述した学習モデルを利用して、正常性を知るためにも用意する。
【0073】
(既知の脅威に対処する)
既知の脅威又は既知の脅威を示す異常のいずれかを検出するエージェントは、その状況をすぐにスウォームメイトに警告し、それらを非アクティブ化する可能性がある脅威の準備も行い、必要な場合は追加のリソースを要求する(新しい仮想エージェントをスピンアップするか、又は妥協の危険がある場合は別のホストからそれらを配信させる)。検出された挙動を挙動モデルと比較する場合、ユーザの挙動に基づいて既知の脅威を検出することができる。エージェントがすでに応答のための手段を有している場合、そのアクションを取ることができる。
既知の脅威又は既知の脅威を示す異常のいずれかを検出するエージェントは、その状況をすぐにスウォームメイトに警告し、それらを非アクティブ化する可能性がある脅威の準備も行い、必要な場合は追加のリソースを要求する(新しい仮想エージェントをスピンアップするか、又は妥協の危険がある場合は別のホストからそれらを配信させる)。検出された挙動を挙動モデルと比較する場合、ユーザの挙動に基づいて既知の脅威を検出することができる。エージェントがすでに応答のための手段を有している場合、そのアクションを取ることができる。
【0074】
(新しい脅威に対処する)
エージェントは、可能なグローバル、組織、又はユーザグループレベルのモデルのより広い視野と組み合わされた自身のノードのデータに対する特異性を有することから、常に何が正常であるかを微細な形で学習し、新規の脅威を検出するためにも十分な準備ができている。ユーザと対話する彼らの能力は、脅威を検証するために使用され得、脅威が検証された場合、脅威を封じ込むアクションをとり、中央リンクを通じてスウォームメイトと他の顧客の両方に配布される新しい脅威モデルを構築する。また、検出された挙動を挙動モデルと比較し、有意な逸脱が観察される場合、ユーザの挙動に基づいて新規の脅威又は異常を検出することができる。 いくつかの実施形態では、脅威のリスクは、最終決定を待つ前に自律的な封じ込めのアクションを取ることができるほど大きいと判定することができる。なお、自律動作の度合いは、必要に応じて常に調整することができる。接続性モデルはまた、必要であれば、人間のエキスパートの助けを求めることを可能にする。
エージェントは、可能なグローバル、組織、又はユーザグループレベルのモデルのより広い視野と組み合わされた自身のノードのデータに対する特異性を有することから、常に何が正常であるかを微細な形で学習し、新規の脅威を検出するためにも十分な準備ができている。ユーザと対話する彼らの能力は、脅威を検証するために使用され得、脅威が検証された場合、脅威を封じ込むアクションをとり、中央リンクを通じてスウォームメイトと他の顧客の両方に配布される新しい脅威モデルを構築する。また、検出された挙動を挙動モデルと比較し、有意な逸脱が観察される場合、ユーザの挙動に基づいて新規の脅威又は異常を検出することができる。 いくつかの実施形態では、脅威のリスクは、最終決定を待つ前に自律的な封じ込めのアクションを取ることができるほど大きいと判定することができる。なお、自律動作の度合いは、必要に応じて常に調整することができる。接続性モデルはまた、必要であれば、人間のエキスパートの助けを求めることを可能にする。
【0075】
(バックエンドの準備)
動作中、常に、ユーザの生成された挙動モデル、及び/又はイベント及び/又は脅威に関する情報を抽象化し、バックエンドに送信することができる。これにより、バックエンド「研究所」は、安全な環境でより効果的な防御ツールに関する実験を継続することができ、多数の個々のインテリジェントセンサから送られるデータのさらなる相関及び分析を提供する。バックエンドはまた、挙動モデルをネットワークノードに共有することができる。
動作中、常に、ユーザの生成された挙動モデル、及び/又はイベント及び/又は脅威に関する情報を抽象化し、バックエンドに送信することができる。これにより、バックエンド「研究所」は、安全な環境でより効果的な防御ツールに関する実験を継続することができ、多数の個々のインテリジェントセンサから送られるデータのさらなる相関及び分析を提供する。バックエンドはまた、挙動モデルをネットワークノードに共有することができる。
【0076】
上記のように、システムによって使用されるモデル(例えば、EDR)の性質は、訓練データセットを使用して訓練されたニューラルネットワーク、正確又はヒューリスティックルール(例えば、ハードコードロジック)、ファジーロジックベースのモデリング、及び統計的推論ベースのモデリングのうちの1つ又は複数からの要素とすることができ、又はそれらの要素を組み込むことができる。モデルは、例えば、ノード、ファイル、プロセス、接続、及びプロセス間の依存性の特定の使用パターンを考慮に入れるように定義することができる。
【0077】
以上、本発明を好ましい実施形態に関して説明したが、これらの実施形態は単なる例示であり、特許請求の範囲はこれらの実施形態に限定されないことを理解されたい。 当業者は、添付の特許請求の範囲の範囲内にあると考えられる開示を考慮して、修正及び代替を行うことができるであろう。 本明細書に開示又は図示された各特徴は、単独であろうと、本明細書に開示又は図示された任意の他の特徴との任意の適切な組み合わせであろうと、本発明に組み込むことができる。上記の説明で提供される例のリスト及びグループは、特に断りのない限り、網羅的ではない。
【図1】
【図2】
【図3】
【図4】
