特開2023-169131脅威検出ネットワークにおける脅威検出方法及び脅威検出ネットワーク
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023169131
(43)【公開日】2023-11-29
(54)【発明の名称】脅威検出ネットワークにおける脅威検出方法及び脅威検出ネットワーク
(51)【国際特許分類】
G06F 21/55 20130101AFI20231121BHJP
【FI】
G06F21/55
【審査請求】未請求
【請求項の数】16
【出願形態】OL
【外国語出願】
(21)【出願番号】P 2023080837
(22)【出願日】2023-05-16
(31)【優先権主張番号】22173414.8
(32)【優先日】2022-05-16
(33)【優先権主張国・地域又は機関】EP
(71)【出願人】
【識別番号】511297708
【氏名又は名称】ウィズセキュア コーポレーション
(74)【代理人】
【識別番号】110001519
【氏名又は名称】弁理士法人太陽国際特許事務所
(72)【発明者】
【氏名】コマシンスキー、ドミトリー
(72)【発明者】
【氏名】パルーンボ、パオロ
(57)【要約】
【課題】脅威検出ネットワークにおける脅威検出方法を提供する。
【解決手段】脅威検出ネットワークのバックエンドシステムはバックエンド脅威検出モデルを利用し、ネットワークノードの少なくとも一部分は各々のネットワークノードに関連するデータを収集するセキュリティエージェントモジュールを含み、ネットワークノードはローカル脅威検出モデルおよびローカル整合性モデルを利用する。ローカル整合性モデルは、ローカル脅威検出モデルとバックエンド脅威検出モデルとの間の信頼レベル情報を提供するネットワークノードにおいてセキュリティエージェントモジュールによってネットワークノードに関連するデータを収集し、収集されたデータにローカル脅威検出モデルを適用し、ローカル脅威検出モデルおよびローカル整合性モデルの結果に基づいてエンドポイントにおいてセキュリティ関連の決定を行う。
【選択図】図1
【解決手段】脅威検出ネットワークのバックエンドシステムはバックエンド脅威検出モデルを利用し、ネットワークノードの少なくとも一部分は各々のネットワークノードに関連するデータを収集するセキュリティエージェントモジュールを含み、ネットワークノードはローカル脅威検出モデルおよびローカル整合性モデルを利用する。ローカル整合性モデルは、ローカル脅威検出モデルとバックエンド脅威検出モデルとの間の信頼レベル情報を提供するネットワークノードにおいてセキュリティエージェントモジュールによってネットワークノードに関連するデータを収集し、収集されたデータにローカル脅威検出モデルを適用し、ローカル脅威検出モデルおよびローカル整合性モデルの結果に基づいてエンドポイントにおいてセキュリティ関連の決定を行う。
【選択図】図1
【特許請求の範囲】
【請求項1】
脅威検出ネットワークにおける脅威検出方法であって、
前記脅威検出ネットワークは相互接続されたネットワークノードとバックエンドシステムとを含み、
前記バックエンドシステムはバックエンド脅威検出モデルを利用し、
前記ネットワークノードの少なくとも一部分は、前記ネットワークノードの各々に関連するデータを収集するセキュリティエージェントモジュールを含み、
前記ネットワークノードは、ローカル脅威検出モデルおよびローカル整合性モデルを利用し、
前記ローカル整合性モデルは、前記ローカル脅威検出モデルと前記バックエンド脅威検出モデルとの間の信頼レベル情報を提供するように構成され、
前記脅威検出方法は、
前記ネットワークノードで前記セキュリティエージェントモジュールによって前記ネットワークノードに関連するデータを収集し、
収集された前記データにローカル脅威検出モデルを適用し、
前記ローカル脅威検出モデルおよび前記ローカル整合性モデルの結果に基づいて、エンドポイントでセキュリティ関連決定を行う、
脅威検出方法。
前記脅威検出ネットワークは相互接続されたネットワークノードとバックエンドシステムとを含み、
前記バックエンドシステムはバックエンド脅威検出モデルを利用し、
前記ネットワークノードの少なくとも一部分は、前記ネットワークノードの各々に関連するデータを収集するセキュリティエージェントモジュールを含み、
前記ネットワークノードは、ローカル脅威検出モデルおよびローカル整合性モデルを利用し、
前記ローカル整合性モデルは、前記ローカル脅威検出モデルと前記バックエンド脅威検出モデルとの間の信頼レベル情報を提供するように構成され、
前記脅威検出方法は、
前記ネットワークノードで前記セキュリティエージェントモジュールによって前記ネットワークノードに関連するデータを収集し、
収集された前記データにローカル脅威検出モデルを適用し、
前記ローカル脅威検出モデルおよび前記ローカル整合性モデルの結果に基づいて、エンドポイントでセキュリティ関連決定を行う、
脅威検出方法。
【請求項2】
前記ローカル脅威検出モデルと前記バックエンド脅威検出モデルとの間の前記信頼レベル情報は、前記ローカル脅威検出モデル、および、前記バックエンドシステムによって利用される前記バックエンド脅威検出モデルによって提供される評決の間の一致の推定を含む、
請求項1に記載の脅威検出方法。
請求項1に記載の脅威検出方法。
【請求項3】
前記ローカル整合性モデルによって提供される信頼性レベル情報が高い、および/または所定の信頼性レベル値を上回るとき、前記ネットワークノードにおける前記セキュリティ関連決定は、前記ネットワークノードによって独立して行われる、
請求項1または2に記載の脅威検出方法。
請求項1または2に記載の脅威検出方法。
【請求項4】
前記ローカル整合性モデルによって提供される信頼性レベル情報が低いおよび/または所定の信頼性レベル値を下回るとき、前記ネットワークノードにおける前記セキュリティ関連決定は、ネットワーク接続性、例えば、インターネット接続性の利用可能性など、前記ネットワークノードのコンテキストに基づいて行われる、
請求項1~請求項3のいずれか1項に記載の脅威検出方法。
請求項1~請求項3のいずれか1項に記載の脅威検出方法。
【請求項5】
前記ネットワークノードおよび/または前記ネットワークノードの前記セキュリティエージェントモジュールがオンラインである場合、前記ネットワークノードは、検出されたオブジェクト上で前記バックエンド脅威検出モデルを利用するためにバックエンドをクエリし、バックエンドセキュリティ脅威モデルに基づいてセキュリティ関連決定が行われる、請求項1~請求項4のいずれか1項に記載の脅威検出方法。
【請求項6】
前記ネットワークノードおよび/または前記ネットワークノードの前記セキュリティエージェントモジュールがオフラインである場合、前記ネットワークノードは検出されたオブジェクトを隔離するように移動し、
前記ネットワークノードおよび/または前記ネットワークノードの前記セキュリティエージェントモジュールがオンラインである場合、バックエンドセキュリティ脅威モデルに基づいてセキュリティ関連決定を行うために、バックエンドをクエリし、前記バックエンド脅威検出モデルを前記オブジェクトに利用する、
請求項1~請求項5のいずれか1項に記載の脅威検出方法。
前記ネットワークノードおよび/または前記ネットワークノードの前記セキュリティエージェントモジュールがオンラインである場合、バックエンドセキュリティ脅威モデルに基づいてセキュリティ関連決定を行うために、バックエンドをクエリし、前記バックエンド脅威検出モデルを前記オブジェクトに利用する、
請求項1~請求項5のいずれか1項に記載の脅威検出方法。
【請求項7】
前記ローカル整合性モデルによって提供される前記信頼レベル情報が中程度であり、および/または所定の信頼レベル値間であるとき、前記ネットワークノードにおける前記セキュリティ関連決定は、ネットワーク接続性を含む前記ネットワークノードのコンテキストと、前記ネットワークノードのタイプおよび/または使用アクティブユーザのリスクレベルなどの前記ネットワークノードに関するさらなるコンテキスト情報とに基づいて行われる、
請求項1~請求項6のいずれか1項に記載の脅威検出方法。
請求項1~請求項6のいずれか1項に記載の脅威検出方法。
【請求項8】
前記ローカル脅威検出モデルのために前記ネットワークノードにおけるオブジェクトから抽出される属性のセットは、バックエンドのために前記ネットワークノードから抽出される属性のセットのサブセットを含む、
請求項1~請求項7のいずれか1項に記載の脅威検出方法。
請求項1~請求項7のいずれか1項に記載の脅威検出方法。
【請求項9】
整合性モデルは、ローカル脅威検出モデルと前記バックエンド脅威検出モデルとの間の検証の結果に基づいて準備される、
請求項1~請求項8のいずれか1項に記載の脅威検出方法。
請求項1~請求項8のいずれか1項に記載の脅威検出方法。
【請求項10】
機械学習ベースの脅威検出モデルの準備は、
バックエンド脅威モデルの特徴を定義し、
ローカル脅威モデルの特徴を定義し、
トレーニングデータに基づいてバックエンド脅威検出モデルおよびローカル脅威検出モデルをトレーニングし、
検証データ、ローカル脅威検出モデル、およびバックエンド脅威モデルに基づいて整合性モデルをトレーニングし、および/または、
前記バックエンド脅威検出モデル、前記ローカル脅威検出モデルおよび/または前記整合性モデルが前記バックエンドシステムにおいて準備される、
請求項1~請求項9のいずれか1項に記載の脅威検出方法。
バックエンド脅威モデルの特徴を定義し、
ローカル脅威モデルの特徴を定義し、
トレーニングデータに基づいてバックエンド脅威検出モデルおよびローカル脅威検出モデルをトレーニングし、
検証データ、ローカル脅威検出モデル、およびバックエンド脅威モデルに基づいて整合性モデルをトレーニングし、および/または、
前記バックエンド脅威検出モデル、前記ローカル脅威検出モデルおよび/または前記整合性モデルが前記バックエンドシステムにおいて準備される、
請求項1~請求項9のいずれか1項に記載の脅威検出方法。
【請求項11】
脅威検出ネットワークのネットワークノードであって、
前記脅威検出ネットワークは、相互接続されたネットワークノードとバックエンドシステムとを含み、
前記ネットワークノードは、
少なくとも1つまたは複数のプロセッサと、
前記ネットワークノードの各々に関連するデータを収集するように構成された少なくとも1つのセキュリティエージェントモジュールと、
を含み、
前記ネットワークノードは、ローカル脅威検出モデルおよびローカル整合性モデルを利用するようにさらに構成され、
前記バックエンドシステムによってトレーニングされ、および/または提供される前記ローカル整合性モデルは、前記ローカル脅威検出モデルとバックエンド脅威検出モデルとの間の信頼レベル情報を提供するように構成され、
前記ネットワークノードは、
前記ネットワークノードで前記セキュリティエージェントモジュールによって前記ネットワークノードに関連するデータを収集し、
収集された前記データにローカル脅威検出モデルを適用し、
前記ローカル脅威検出モデルおよび前記ローカル整合性モデルの結果に基づいて、エンドポイントでセキュリティ関連の決定を行う、
ように構成されている、
ネットワークノード。
前記脅威検出ネットワークは、相互接続されたネットワークノードとバックエンドシステムとを含み、
前記ネットワークノードは、
少なくとも1つまたは複数のプロセッサと、
前記ネットワークノードの各々に関連するデータを収集するように構成された少なくとも1つのセキュリティエージェントモジュールと、
を含み、
前記ネットワークノードは、ローカル脅威検出モデルおよびローカル整合性モデルを利用するようにさらに構成され、
前記バックエンドシステムによってトレーニングされ、および/または提供される前記ローカル整合性モデルは、前記ローカル脅威検出モデルとバックエンド脅威検出モデルとの間の信頼レベル情報を提供するように構成され、
前記ネットワークノードは、
前記ネットワークノードで前記セキュリティエージェントモジュールによって前記ネットワークノードに関連するデータを収集し、
収集された前記データにローカル脅威検出モデルを適用し、
前記ローカル脅威検出モデルおよび前記ローカル整合性モデルの結果に基づいて、エンドポイントでセキュリティ関連の決定を行う、
ように構成されている、
ネットワークノード。
【請求項12】
脅威検出ネットワークのバックエンドシステムであって、
前記脅威検出ネットワークは、相互接続されたネットワークノードと、バックエンドシステムとを含み、
前記バックエンドシステムは、少なくとも1つ以上のプロセッサを含み、バックエンド脅威検出モデルを利用するように構成された少なくとも1つのサーバを含み、
前記バックエンドシステムは、ローカル脅威検出モデルおよび整合性モデルを、トレーニングし、および/またはネットワークノードに提供するようにさらに構成され、
前記バックエンドシステムによってトレーニングされ、および/または提供されるローカル整合性モデルは、前記ローカル脅威検出モデルと前記バックエンド脅威検出モデルとの間の信頼レベル情報を提供するように構成され、
前記バックエンドシステムは、
前記ネットワークノードでセキュリティエージェントモジュールによって収集された前記ネットワークノードに関連するデータを受信し、
受信された前記データにバックエンド脅威検出モデルを適用し、
バックエンド検出モデルの結果に基づいてエンドポイントのセキュリティ関連決定に関連する情報を提供する、
ように構成されている、
バックエンドシステム。
前記脅威検出ネットワークは、相互接続されたネットワークノードと、バックエンドシステムとを含み、
前記バックエンドシステムは、少なくとも1つ以上のプロセッサを含み、バックエンド脅威検出モデルを利用するように構成された少なくとも1つのサーバを含み、
前記バックエンドシステムは、ローカル脅威検出モデルおよび整合性モデルを、トレーニングし、および/またはネットワークノードに提供するようにさらに構成され、
前記バックエンドシステムによってトレーニングされ、および/または提供されるローカル整合性モデルは、前記ローカル脅威検出モデルと前記バックエンド脅威検出モデルとの間の信頼レベル情報を提供するように構成され、
前記バックエンドシステムは、
前記ネットワークノードでセキュリティエージェントモジュールによって収集された前記ネットワークノードに関連するデータを受信し、
受信された前記データにバックエンド脅威検出モデルを適用し、
バックエンド検出モデルの結果に基づいてエンドポイントのセキュリティ関連決定に関連する情報を提供する、
ように構成されている、
バックエンドシステム。
【請求項13】
請求項11に記載の少なくとも1つのネットワークノード、および/または、
請求項12に記載の少なくとも1つのバックエンドシステム、
を含む脅威検出ネットワーク。
請求項12に記載の少なくとも1つのバックエンドシステム、
を含む脅威検出ネットワーク。
【請求項14】
請求項2~請求項10のいずれか1項に記載の方法を実行するように構成される、
脅威検出ネットワーク。
脅威検出ネットワーク。
【請求項15】
コンピュータによって実行されると、請求項1~請求項10のいずれか1項に記載の方法をコンピュータに実行させる命令を含むコンピュータプログラム。
【請求項16】
請求項15に記載の前記コンピュータプログラムを含む、コンピュータ可読媒体。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、脅威検出ネットワークにおける脅威検出方法、脅威検出ネットワークのネットワークノード、脅威検出ネットワークのバックエンドシステム、及び脅威検出ネットワークに関する。
【背景技術】
【0002】
コンピュータおよびコンピュータネットワークのためのセキュリティおよび脅威検出システムは、コンピュータおよびネットワークにおける脅威および異常を検出するために使用される。そのような例は、エンドポイント保護プラットフォーム(EPP)、エンドポイント検出および応答(EDR)、ならびに管理された検出および応答(MDR)製品およびサービスである。エンドポイント保護プラットフォーム(EPP)はファイルベースのマルウェア攻撃を防ぎ、悪意のあるアクティビティを検出し、動的セキュリティインシデントおよびアラートに対応するために必要な調査および修復機能を提供するために、エンドポイントデバイスに展開されるソリューションである。また、EDRシステムは、違反が発生するときの違反の検出および監視に焦点を当て、検出された違反に最も良く応答する方法を決定するのに役立つ。MDRは、脅威の検出、対応、および修復のための管理型サイバーセキュリティサービスである。機械学習、ビッグデータ、およびクラウドコンピューティングの出現によって、効率的でロバストな脅威検出ソリューションの成長が一部可能になった。
【0003】
EPP、EDR、または他の対応するシステムは、ITインフラストラクチャの任意の要素とすることができる、選択されたネットワークエンドポイント上にデータコレクタを展開する。データコレクタはエンドポイントで行われているアクティビティを観察し、収集されたデータを、しばしばクラウド内に位置する中央のバックエンドシステムに送信する。バックエンドがデータを受信すると、データはセキュリティ違反および異常の兆候についてセキュリティシステムプロバイダによって分析およびスキャンされる前に処理される(例えば、集約および強化される)。
【0004】
現代のサイバー脅威に効果的に対抗するためにはできるだけ保護するためにエンティティに近いところで動作することが大切であり、保護するエンティティがエンドポイントである場合、この手段はエンドポイントにできるだけ近いところでモバイルデータ収集、解析、脅威検知、対応、および修復機能を行う。
【0005】
このような目標を達成することは、かなりの努力を必要とする複雑な作業であり、この努力は多くの形態をとることができる。多くの場合、この目標を達成するために機械学習(ML)が使用される。機械学習自体はこの領域において多くの方法で使用することができ、これらの可能な方法のうちの1つは、エンドユーザデバイス上のマルウェアの積極的かつ迅速な検出のためのオンデバイス機械学習モデルの適用に焦点を当てる。
【発明の概要】
【発明が解決しようとする課題】
【0006】
このアプローチは、オンセンサ機械学習モデルの限られた能力の問題を含む、いくつかの欠点を有する。特に、オンセンサマルウェア検出機械学習モデルはユーザエクスペリエンスが損なわれないように、リソース消費を最小限に保ちながら、妥当な品質の決定を提供しなければならない。例えば、動的分析技法は、静的分析技法と比較して、オブジェクト挙動を捕捉することがより良好である。同時に、動的分析技法はそれらが実行されるマシンに対してより集中的である傾向があり、この性能オーバーヘッドは最終的に、エンドポイントデバイスにおけるそれらの適用可能性を制限する。結果として、より単純なケースを処理するためにエンドポイント上でより単純でより少ないリソースを消費する解析技術を実行するハイブリッドソリューションも提示され、より高度なものは、より強力な属性抽出および解析技術のおかげで高品質の決定を得ることができるクラウド電力検出機構の支援で処理される。
【0007】
このようなハイブリッドシステムを設計する際の重要な課題の1つは、比較的単純なタスクと、その代わりに高度であり、単純なエンドポイント側モデルおよび分析能力に対処することができないタスクとを区別することである。
【0008】
したがって、リソース消費を合理的なレベルに保つこともできる信頼できる脅威検出システムを達成する必要がある。
【課題を解決するための手段】
【0009】
以下は様々な発明の実施形態のいくつかの態様の基本的な理解を提供するために、簡略化された概要を提示する。この概要は、本発明の広範な概要ではない。それは、本発明の主要なまたは重要な要素を特定することも、本発明の範囲を線引きすることも意図されていない。以下の概要は単に、本発明の例示的な実施形態のより詳細な説明の前置きとして、簡略化された形態で本発明のいくつかの概念を提示するに過ぎない。
【0010】
第1の態様によれば、本発明は脅威検出ネットワークにおける脅威検出の方法、例えば、コンピュータ実装方法に関し、脅威検出ネットワークは相互接続されたネットワークノードと、バックエンドシステムとを含み、バックエンドシステムはバックエンド脅威検出モデルを利用する。ネットワークノードの少なくとも一部分はネットワークノードの各々に関連するデータを収集するセキュリティエージェントモジュールを含み、ネットワークノードはローカル脅威検出モデルおよびローカル整合性モデルを利用する。ローカル整合性モデルは、ローカル脅威検出モデルとバックエンド脅威検出モデルとの間の信頼レベル情報を提供するように構成される。この方法は、ネットワークノードにおいてセキュリティエージェントモジュールによってネットワークノードに関連するデータを収集し、収集されたデータにローカル脅威検出モデルを適用し、ローカル脅威検出モデルおよびローカル整合性モデルの結果に基づいてエンドポイントにおいてセキュリティ関連の決定を行う。
【0011】
本発明の一実施形態では、ローカル脅威検出モデルとバックエンド脅威検出モデルとの間の信頼レベル情報は、ローカル脅威検出モデルおよびバックエンドシステムによって利用されるバックエンド脅威検出モデルによって提供される評決の間の一致の推定を含む。
【0012】
本発明の一実施形態ではローカル整合性モデルによって提供される信頼レベル情報が高い、および/またはある信頼レベル値を上回るとき、ネットワークノードにおけるセキュリティ関連決定はネットワークノードによって独立して行われる。
【0013】
本発明の一実施形態ではローカル整合性モデルによって提供される信頼性レベル情報が低いおよび/またはある信頼性レベル値未満であるとき、ネットワークノードにおけるセキュリティ関連決定はネットワーク接続性、たとえばインターネット接続性の利用可能性など、ネットワークノードのコンテキストに基づいて行われる。
【0014】
本発明の一実施形態ではネットワークノードおよび/またはネットワークノードのセキュリティエージェントモジュールがオンラインである場合、ネットワークノードは検出されたオブジェクト上でバックエンド脅威検出モデルを利用するためにバックエンドをクエリし、セキュリティ関連の決定はバックエンドセキュリティ脅威モデルに基づいて行われる。
【0015】
本発明の一実施形態では、ネットワークノードのネットワークノードおよび/またはセキュリティエージェントモジュールがオフラインである場合、ネットワークノードは検出されたオブジェクトを隔離するように移動し、ネットワークノードのネットワークノードおよび/またはセキュリティエージェントモジュールがバックエンドセキュリティ脅威モデルに基づいてセキュリティ関連の決定を行うためにオンラインであるとき、バックエンドをクエリして、バックエンド脅威検出モデルをオブジェクトに利用する。
【0016】
本発明の一実施形態ではローカル整合性モデルによって提供される信頼性レベル情報が中程度であるとき、および/または特定の信頼性レベル値間であるとき、ネットワークノードにおけるセキュリティ関連決定はネットワーク接続性を含むネットワークノードのコンテキストと、ネットワークノードのタイプおよび/または使用アクティブユーザのリスクレベルなど、ネットワークノードに関するさらなるコンテキスト情報とに基づいて行われる。
【0017】
本発明の一実施形態では、ローカル脅威検出モデルのためにネットワークノードのオブジェクトから抽出される属性のセットがバックエンドのネットワークノードから抽出される属性のセットのサブセットを含む。
【0018】
本発明の一実施形態では、整合性モデルがローカル脅威検出モデルとバックエンド脅威検出モデルとの間の検証の結果に基づいて準備される。
【0019】
本発明の一実施形態ではバックエンド脅威検出モデル、ローカル脅威検出モデル、および/または整合性モデルはバックエンドシステムにおいて準備される。
【0020】
本発明の一実施形態では、機械学習ベースの脅威検出モデルの準備がバックエンド脅威モデル特徴を定義し、ローカル脅威モデル特徴を定義し、トレーニングデータに基づいてバックエンド脅威検出モデルおよびローカル脅威検出モデルを定義し、検証データ、ローカル脅威検出モデルおよびバックエンド脅威検出モデルに基づいてトレーニング整合性モデルを作成することを含む。
【0021】
第2の態様によれば、本発明は脅威検出ネットワークのネットワークノードに関し、ネットワークは、相互接続されたネットワークノードとバックエンドシステムとを含む。ネットワークノードは、少なくとも1つ以上のプロセッサと、ネットワークノードの各々に関連するデータを収集するように構成された少なくとも1つのセキュリティエージェントモジュールとを含む。ネットワークノードはローカル脅威検出モデルおよびローカル整合性モデルを利用するようにさらに構成され、バックエンドシステムによってトレーニングおよび/または提供されるローカル整合性モデルはローカル脅威検出モデルとバックエンド脅威検出モデルとの間の信頼レベル情報を提供するように構成される。ネットワークノードはネットワークノードでセキュリティエージェントモジュールによってネットワークノードに関連するデータを収集し、収集されたデータにローカル脅威検出モデルを適用し、ローカル脅威検出モデルおよびローカル整合性モデルの結果に基づいてエンドポイントでセキュリティ関連決定を行うように構成される。
【0022】
第3の態様によれば、本発明は脅威検出ネットワークのバックエンドシステムに関し、脅威検出ネットワークは、相互接続されたネットワークノードとバックエンドシステムとを含む。バックエンドシステムは、少なくとも1つまたは複数のプロセッサを含み、バックエンド脅威検出モデルを利用するように構成された少なくとも1つのサーバを含む。バックエンドシステムはローカル脅威検出モデルおよび整合性モデルをネットワークノードにトレーニングおよび/または提供するようにさらに構成され、バックエンドシステムによってトレーニングおよび/または提供されるローカル整合性モデルはローカル脅威検出モデルとバックエンド脅威検出モデルとの間の信頼レベル情報を提供するように構成される。バックエンドシステムは(任意選択で)ネットワークノードにおいてセキュリティエージェントモジュールによって収集されたネットワークノードに関連するデータを受信し、受信されたデータにバックエンド脅威検出モデルを適用し、および/またはバックエンド検出モデルの結果に基づいてエンドポイントのセキュリティ関連決定に関連する情報を提供するようにさらに構成され得る。
【0023】
第4の態様によれば、本発明は、本発明による少なくとも1つのネットワークノードおよび/または本発明による少なくとも1つのバックエンドシステムを含む脅威検出ネットワークに関する。
【0024】
第5の態様によれば、本発明は、コンピュータによって実行されると、コンピュータに本発明による方法を実行させる命令を含むコンピュータプログラムに関する。
【0025】
第6の態様によれば、本発明は、本発明によるコンピュータプログラムを含むコンピュータ可読媒体に関する。
【発明の効果】
【0026】
本発明のソリューションにより、リソース消費を合理的なレベルに保つこともできる信頼できる脅威検出システムを達成することが可能である。本発明のソリューションでは、条件が変化した場合、例えばノードまたはエンドポイントがオフラインまたはオンラインである場合でも、信頼できる脅威検出結果を提供することができる。システムは、例えば、低リスク脅威をオフラインで扱うことができ、高リスク脅威を隔離することができ、および/またはノード、装置、またはエンドポイントがオンラインであることを待つことができるように、変化する条件に脅威レベルに適応することができる。
【図面の簡単な説明】
【0027】
【図1】本発明の一実施形態の例示的なネットワークアーキテクチャを概略的に示す。
【図2】準備フェーズおよび機能フェーズに関する本発明のソリューションの例示的な実施形態を提示する。
【図3】本発明の一実施形態による例示的な方法を示す。
【発明を実施するための形態】
【0028】
本発明の様々な例示的かつ非限定的な実施形態は構造および動作方法の両方に関して、その追加の目的および利点とともに、添付の図面と関連して読まれるとき、特定の例示的かつ非限定的な実施形態の以下の説明から最も良く理解されるであろう。
【0029】
「含む」およびこれに類似する動詞は引用されていない特徴の存在を排除することも必要とすることもない、オープンな限定として、本明細書で使用される。従属請求項に記載された特徴は特に明記しない限り、相互に自由に組み合わせることができる。
【0030】
さらに、本明細書全体を通して、「1つの」またはこれに類似する語、すなわち単数形の使用は、複数形を排除しないことを理解されたい。
【0031】
本発明の実施形態は、添付の図面において、限定ではなく例として示される。
【0032】
本発明の一実施形態による脅威検出ネットワークは、少なくとも1つのネットワークノードと、少なくとも1つのバックエンドサーバを含むバックエンドシステムとを含むことができる。この場合、情報、例えば脅威検出関連データは、ノード間及び/又はノードとバックエンドシステムとの間で共有することができる。
【0033】
図1は、本発明のソリューションを使用することができる、本発明の一実施形態の例示的なネットワークアーキテクチャを概略的に示す。図1において、第1のコンピュータネットワーク1の一部が概略的に示されており、その中に、コンピュータシステム、例えばEPPまたはEDRシステムが設置されている。また、本発明の実施形態を実施することができる任意の他のコンピュータシステムを、この例で使用されるEPPまたはEDRシステムの代わりに、またはそれに加えて使用することができる。第1のコンピュータネットワークはセキュリティサービスネットワーク、ここではセキュリティバックエンドシステムまたはサーバ2に、クラウド3を介して接続される。バックエンドシステムまたはサーバ2は、第1のコンピュータネットワークに対してセキュリティサービスコンピュータネットワーク上にノードを形成する。セキュリティサービスコンピュータネットワークは脅威検知システムプロバイダによって管理することができ、ゲートウェイまたは他のインターフェース(図示せず)またはバックエンド2に適した他のネットワーク要素によってクラウド3から分離することができる。第1のコンピュータネットワーク1はまた、ゲートウェイ4または他のインターフェースによってクラウド3から分離されてもよい。他のネットワーク構造も可能である。
【0034】
第1のコンピュータネットワーク1は、各々がコンピュータ、スマートフォン、タブレット、ラップトップ、または他のネットワーク対応ハードウェアなどであるコンピュータネットワーク1内の要素を表す、複数の相互接続されたネットワークノード5a~5hから形成される。本発明の一実施形態では、ノードは、ネットワーク上の任意のデバイスであるが、ゲートウェイではない。コンピュータネットワークに示される各ネットワークノード5a~5hはまた、データコレクタまたは「センサ」を含み得るセキュリティエージェントモジュール6a~6hがインストールされるエンドポイント、例えばEDRエンドポイントまたはEPPエンドポイントを表す。セキュリティエージェントモジュールはまた、コンピュータネットワークの任意の他の要素、例えば、ゲートウェイまたは他のインターフェース上にインストールされてもよい。図1の例では、セキュリティエージェントモジュール4aがゲートウェイ4にインストールされている。セキュリティエージェントモジュール6a~6h、4aは例えば、プログラムまたはファイルハッシュ、ノード5a~5hに記憶されたファイル、ネットワークトラフィックのログ、プロセスログ、メモリ(例えば、DLL、EXE、またはメモリフォレンジックアーティファクト)から切り取られたバイナリまたはファイル、および/またはノード5a~5hまたはゲートウェイ4上で実行されるプログラムまたはスクリプトによって実行される監視アクションからのログ(例えば、tcpダンプ)を含む、ノード5a~5hまたはゲートウェイ4における様々なタイプのデータを収集する。収集されたデータは、さらなる使用のための情報記憶のためにデータベースまたは同様のモデルに記憶され得る。任意の種類の脅威検出モデルおよび整合性モデルが、バックエンド/サーバ2において、および/または第2のサーバにおいてさらに構築され、データベースに記憶され得る。ノード5a~5hおよびサーバ2は、典型的にはハードドライブ、プロセッサ、およびRAMを含む。
【0035】
セキュリティ侵害またはシステムへの侵入など、セキュリティ脅威の検出および監視を支援することができる任意のタイプのデータはそれらのライフサイクル中にセキュリティエージェントモジュール6a~6h、4aによって収集することができ、監視および収集されるデータのタイプは脅威検出システムのインストール時および/または脅威検出モデルおよび/または挙動モデルの構成要素を配信するときに、脅威検出システムプロバイダによって定義される規則に従って設定することができる。本発明の一実施形態では、セキュリティエージェントモジュール6a~6hの少なくとも一部分はまた、それ自体で観測および収集されたデータのタイプに関する決定を行う能力を有することができる。例えば、セキュリティエージェント6a~6h、4aはエンドポイント上で実行されているプログラムの挙動に関するデータを収集することができ、新しいプログラムが開始されたときに観察することができる。適切なリソースが利用可能である場合、収集されたデータは、セキュリティエージェントモジュール6a~6h、4aによって、それらの各々のネットワークノード、または第1のコンピュータネットワーク1上の適切な記憶場所(図示せず)に永続的または一時的に記憶され得る。
【0036】
セキュリティエージェントモジュール6a~6h、4aは、それらが収集または送信したデータなどの情報を、クラウド3を介して脅威検出システムバックエンド2との間で送受信するように設定される。これは、脅威検出システムプロバイダが第1のコンピュータネットワーク1を管理する組織において人間の存在をコンスタントに維持する必要なしに、システムを遠隔管理することを可能にする。
【0037】
本発明の一実施形態ではセキュリティエージェントモジュール6a~6h、4aはローカルコンピュータネットワーク1の複数の相互接続されたネットワークノード5a~5hのセキュリティエージェントモジュールを含む内部ネットワーク、例えば内部スウォームインテリジェンスネットワークを確立するように構成することもできる。セキュリティエージェントモジュール6a~6h、4aは、各セキュリティエージェントモジュール6a~6h、4aの各々のネットワークノード5a~5hに関するデータを収集するので、確立された内部ネットワーク内の収集されたデータに基づく情報を共有するようにさらに構成される。一実施形態では、スウォームインテリジェンスネットワークがそれ自体で同様に機能することができる複数の半独立セキュリティノード(セキュリティエージェントモジュール)から構成される。したがって、スウォームインテリジェンスネットワークにおけるインスタンスの数は、十分に変化し得る。また、1つのローカルコンピュータネットワーク内に、互いに協働する2つ以上の接続されたスウォームインテリジェンスネットワークがあってもよい。
【0038】
セキュリティエージェントモジュール6a~6h、4aおよび/またはバックエンドシステムは各々のネットワークノード5a~5hおよび/またはそのユーザに関連するモデルを生成および適応させるために、内部ネットワークから受信された収集データおよび情報を使用するようにさらに構成される。モデルは、例えば、脅威検出モデル、および/または整合性モデルとすることができる。
【0039】
図2は、本発明のソリューションの一実施形態による準備フェーズおよび機能フェーズに関する本発明のソリューションの例示的な実施形態を示す。準備フェーズは機能フェーズの機能にとって重要なアイテムのセットを生成するために使用することができ、例えば、分類器が処理しなければならない特定のオブジェクトを表すために使用される特徴のセット、および、供給されるオブジェクトを分類するために上述の特徴に基づいてオブジェクトの表現を活用する決定モデルが使用される。
【0040】
機械学習ベースの脅威検出モデルの準備は、バックエンド脅威モデル特徴を定義すること、ローカル脅威モデル特徴を定義すること、トレーニングデータに基づいてバックエンド脅威検出モデルおよびローカル脅威検出モデルを定義すること、ならびに検証データ、ローカル脅威検出モデルおよびバックエンド脅威検出モデルに基づいてトレーニング整合性モデルを作成することを含むことができる。
【0041】
一実施形態では、エンドポイント特徴ならびにクラウドおよび/またはバックエンド特徴のモデルの作成を定義することができる。トレーニングデータおよび定義された特徴に基づいて、例えば、クラウド/バックエンド脅威検出モデルおよびローカル脅威検出モデルをトレーニングすることができる。モデルは、例えば機械学習モデルとすることができる。準備フェーズの間、トレーニングデータは、所与のデータを効果的に表すことができる特徴の適切なセットを見つけて選択するための前処理を受けることができる。次いで、そのような特徴は、決定モデルの作成中に活用される。準備フェーズの終了後、特徴定義およびトレーニングされたモデルの両方が、到来する未知の入力オブジェクトに対して使用される。以前に見られなかった項目の入力フロー内の各オブジェクトは選択された特徴によって指示されるように、適切な空間にマッピングされる。入力オブジェクトのそのような表現は、次いで、トレーニングされたモデルに供給され、モデルの予測がモデルのための任意のさらなる出力とともに収集される。
【0042】
本発明のソリューションは悪意のあるオブジェクトおよび/または悪意のある挙動の検出のために、エンドポイントおよびバックエンドで利用可能な機械学習モデルを使用する。図2の例では、センサ側検出モデルおよびクラウド検出モデルの両方がバックエンドシステムにおいて、たとえばクラウドにおいて、たとえば上記の方法でトレーニングされる。センサ側検出モデルは限られた能力を有する軽量モデルであり得、バックエンド検出モデルはそれほど限定されず、したがって、より信頼性の高いモデルである。センサ側検出モデルは抽出され得るセンサ側の特徴のセットに依存し、一方、バックエンド検出モデルは、そのように限定されず、エンドポイント1のスーパーセットと見なすことができる。バックエンド側モデルは、性能オーバーヘッドのためにエンドポイントセンサ上で抽出または分析することができない属性の多くにわたって動作することができる。
【0043】
ローカルおよびバックエンド脅威検出モデルのトレーニングプロセスの最後に、これらのモデルの検証の結果が比較され、属性空間について、センサ側モデルが依拠し、さらに別の実数値関数が得られる。この関数は両方のモデルの整合性レベルを表し、整合性モデルと呼ぶことができる。したがって、整合性モデルは、検証データ、抽出特徴、およびトレーニングされたローカル脅威検出モデル、ならびにトレーニングされたバックエンド/クラウド脅威検出モデルに基づいてトレーニングおよび/または準備され得る。整合性レベルのこのマッピングはセンサ側機械学習脅威検出モデルをサポートするために、機械学習モードとしてエンドポイントに提供することができる。次いで、センサ側モデルおよび整合性モデルをセンサに送信することができる。エンドポイント側では、センサ側機械学習検出モデルに決定が要求されるたびに、整合性モデルも参照することができる。整合性モデルは、検出モデルの出力がどの程度信頼できるかの情報を提供できるように準備される。したがって、エンドポイントはローカル脅威検出モデルを収集されたデータに適用し、ローカル脅威検出モデルおよびローカル整合性モデルの結果に基づいて、エンドポイントにおいてセキュリティ関連の決定を行う。
【0044】
ローカル脅威検出モデルとバックエンド脅威検出モデルとの間の信頼レベル情報は、ローカル脅威検出モデルおよびバックエンドシステムによって利用されるバックエンド脅威検出モデルによって提供される評決の間の一致の推定を与えるために使用される。
【0045】
整合性モデルは例えば、エンドポイントの脅威検出モデルと直列または並列に使用することができる。モデルの使用はまた、コンテキスト、リスクレベル、ならびにエンドポイントおよび/または脅威検出に関連する他の要因に依存し得る。例示的な一実施形態では、整合性モデルによって提供される信頼性レベルが高いとき、センサはローカル(すなわち、センサ側)決定に独立して作用することを決定することができる。そうでなければ、センサは例えば以下のように、コンテキストに従って作用することができる:
【0046】
●エンドポイントおよび/またはエンドポイントセンサがオンラインであり、整合性モデルレベルによって提供される信頼性レベルが低い場合、センサ側検出モデルを使用することを省略することができ、代わりにオブジェクトをクラウドにサブミットすることができ、エンドポイントは、クラウドによって提供される決定に作用することができる;
【0047】
●エンドポイントおよび/またはエンドポイントセンサがオフラインであり、整合性モデルレベルによって提供される信頼性レベルが低い場合、オブジェクトを一時的に隔離移動することができ、ユーザに通知することができ、センサがオンライン状態になると、オブジェクトをクラウドにサブミットすることができる;
【0048】
●整合性モデルレベルによって提供される信頼性レベルが中程度であり、クラウド決定が延期される場合、エンドポイントは、エンドポイントのタイプ(サーバ、非サーバなど)および/または使用アクティブユーザのリスクレベルなどの追加のコンテキスト情報に依存することができる。
【0049】
図3は、本発明の一実施形態による例示的な方法を示す。ステップS301における例示的な方法では、データがネットワークノードにおけるセキュリティエージェントモジュールによってネットワークノードに関連して収集される。次いで、ステップS302において、ローカル脅威検出モデルが収集されたデータに適用され、ステップS303において、ローカル脅威検出モデルおよびローカル整合性モデルの結果に基づいて、セキュリティ関連の決定がエンドポイントにおいて行われる。
【0050】
1つの例示的なシナリオが、以下の段落において提示される。この例示的な実施形態では、ネットワークノード上のアクションに関連する生データが受信される。生データは複数のネットワークノード(5a~5h)から受信/収集されてもよく、異なるデータタイプは入力イベントとして整列され、サブミットするために収集されてもよい。複数の異なるタイプのイベントが存在し得る。本発明の一実施形態では、センサが数秒間イベントを収集し、次いで、これらの収集されたイベントを1回の送信で送信して、ネットワーク接続および/または要求の数を減らす。サブミッション処理コンポーネントは、様々な種類のエンドポイントセンサから受信されるすべてのデータサブミッションの初期前処理を担うことができる。
【0051】
各ネットワークノードに関連する生データは、コンピュータネットワークのネットワークノード、および/またはコンピュータネットワークの複数のネットワークノードからのセキュリティサーババックエンドによって収集することができる。ネットワークノードに関連する観測されたイベントは、事実上、多数の基礎となるプロセス/アクタによって引き起こされる何らかの測定可能なものである。そのようなアクタは例えば、実際のユーザまたはオペレーティングシステムであり得る。
【0052】
ネットワークおよび/またはネットワークノードにおける脅威は本発明のソリューションに従って、機械学習脅威検出モデル、例えば、ローカル脅威検出モデルおよびバックエンド脅威検出モデルを利用することによって識別することができる。
【0053】
一実施形態では、脅威が検出されたとき、たとえば、データ収集のレベルを増加させること、生成されたローカル挙動モデルおよび/または受信された挙動モデルと一致しなかったデータをバックエンドに送信すること、ユーザのリスクレベルを高めること、ノードのリスクレベルを高めること、および/またはオペレータに警告すること、および/または攻撃者が停止され、それらの動きのいかなるトレースも破壊されないことを確実にするために、ネットワークノードの設定を変更することによって即座のアクションをとることなど、コンピュータネットワークおよび/または任意の関連するネットワークノードをセキュアにするためにさらなるアクションがとられ得る。設定を変更することは、例えば、1つまたは複数のノード(コンピュータまたは他のデバイスであり得る)がRAM内の情報を保持するためにスイッチオフされることを防止され、ファイアウォールが攻撃者を即座に遮断するために1つまたは複数のノードにおいてスイッチオンされ得、ネットワークノードのうちの1つまたは複数のネットワーク接続が減速またはブロックされ得、疑わしいファイルが除去または隔離して入れられ得、ログがネットワークノードから収集され得、コマンドのセットがネットワークノード上で実行され得、1つまたは複数のノードのユーザの脅威または異常が検出され、それらのワークステーションが調査中であることを警告され得、および/または、通常の挙動からの逸脱の兆候の検出に応答して、システム更新またはソフトウェアパッチが、脅威検出バックエンドからノードに送信され得る。本発明の一実施形態では、これらの動作のうちの1つまたは複数が上述のモデルまたはアルゴリズムによって自動的に開始され得る。例えば、上記の方法を使用して、データが収集され、コンピュータネットワーク内のノードおよび脅威検出バックエンドと共有され、脅威モデルまたは分析アルゴリズムが、脅威が検出されたと決定する。モデル/アルゴリズムは脅威についての決定を行うとすぐに、人間の介入なしに関連するネットワークノードにコマンドを生成して発行し、ノードにおける上述の動作のうちの1つまたは複数を自動的に開始することができる。これを行うことによって、人間の介入なしに、非常に高速で自動的に破損を停止し、および/または損傷を最小限に抑えることができる。
【0054】
一実施形態では、監視されたイベントのうちの疑わしいイベントが使用される1つまたは複数の検出機構によって検出され得る。一実施形態では、疑わしいイベントを検出するために使用される検出機構が(機械学習モデルに加えて)スキャンエンジン、ヒューリスティックルール、統計的異常検出、ファジー論理ベースのモデル、任意の所定のルールを使用することを含み得る。
【0055】
本発明のソリューションで使用される機械学習モデル、例えば、バックエンド脅威検出モデル、ローカル脅威検出モデル、ローカル整合性モデルのための入力は、様々なオブジェクトとすることができる。これらは、例えば、実行可能なファイルおよび文書、URI、ログトレースエンティティ、ならびに時間ウィンドウ、プロセス、ユーザなどにわたるそれらの集約であり得る。異なる入力タイプは、独自の特徴セットによって表すことができる。
【0056】
本発明のソリューションで使用される機械学習モデルの出力は、あるモデルが対処しようとする問題に依存し得る。マルウェア検出ドメインについて、モデルの出力は例えば、バイナリ(すなわち、バイナリ分類タスク、例えば、「悪意のある」または「良性である」)、カテゴリ(すなわち、マルチクラス分類問題、カテゴリは例えば、「アドウェア」、「リスクウェア」、「マルウェア」、「グレーウェア」などである)、および/または数値(例えば、リスクスコア、異常レベル評価などの回帰タスク)であり得る。MDRまたはEDR機械学習モデルの場合、出力は、ローカル検出、応答動作、イベントの異常レベル、プロセス、ユーザ、様々な優先度割り当て推奨などを生成する結果を表す同じタイプのものとすることができる。
【0057】
本発明のソリューションにおいて使用される機械学習モデルのタイプは、問題(例えば、入力および/または出力特徴のタイプ)および利用可能なデータ(例えば、ラベルおよびそれらのタイプの利用可能性)に依存し得る。例えば、バイナリ分類タスクはトレーニングデータにおけるラベルの利用可能性を示唆することができ、ロジスティック回帰、ニューラルネットワーク、決定ツリー、ならびにバギングおよびブースティング技法に依存するそれらの高度なバージョンを含む、いくつかの方法を用いて解くことができる。
【0058】
一実施形態では、方法は、ローカル脅威検出モデル、バックエンド脅威検出モデル、ローカル整合性モデル、などの脅威検出に使用される機械学習モデルを準備およびトレーニングすることをさらに含み得、および/または、ローカルおよびグローバル情報およびモデル部分を組み合わせることを介した分散学習、成功した最終結果に関するフィードバックを得ることを介した強化学習、学習プロセスにおける外部情報を利用することを介したメタ学習、および/またはブートストラップモデルへの情報共有および学習行動の調整、の機械学習モデルをトレーニングするために使用される1つ以上のアプローチを利用することによる脅威への応答として含み得る。
【0059】
本発明の一実施形態では本発明のソリューションで使用される脅威検出モデル、例えば、バックエンド脅威検出モデル、ローカル脅威検出モデルは既存のデータ、すなわちトレーニングデータに対してトレーニングされる。トレーニングデータは例えば、少なくとも1つの悪意に関連する特性または特徴に関連付けることができる複数のトレーニングデータ要素を含むことができる。このトレーニングされたモデルは、新しい関連オブジェクトについての予測を生成するために展開され得る。例えば、脅威が進展し、トレーニングデータが完全ではないので、モデルの性能は、時間の経過とともに連続的に制御される必要があり得る。要求される性能レベルを維持するために、トレーニングデータを更新し、モデルを、例えば定期的に再トレーニングすることができる。
【0060】
本発明の一実施形態では準備フェーズ中に、トレーニングデータは所与のデータを効果的に表すことができる特徴の適切なセットを見つけて選択するための前処理を受けることができる。そのような特徴は、次いで、決定モデルの準備中に活用され得る。準備フェーズの終了後、特徴定義およびトレーニングされたモデルの両方を、到来する未知の入力オブジェクトに対して使用することができる。以前に見られなかった項目の入力フロー内の各オブジェクトは選択された特徴によって指示されるように、適切な空間にマッピングされる。入力オブジェクトのそのような表現は次いで、トレーニングされたモデルに供給されることができ、モデルの予測は、モデルのための任意のさらなる出力とともに収集される。
【0061】
ローカル脅威検出モデルは、例えば、エンドポイントまたはデバイス側で機能することができる。ローカルな脅威検出モデルは例えば、一般に、予測力のコストのために性能をより速くする特徴を用いてトレーニングすることができる(これは、限定された数の特徴、および、高度なものと比較して、しばしばあまり有益でない軽量特徴抽出ルーチンを適用することによる)。モデルは高速で、計算的に安価に得ることができる特徴(例えば、静的処理から利用可能な軽量の特徴)および安全な(制御された実行のような潜在的に安全でないローカル動作を必要としない)特徴に依拠することができる。例えば、エンドポイント保護製品では、それらの特徴がバイトnグラム、文字列、ファイルヘッダの内容、及び埋め込まれたアクティブコンテンツの静的解析から利用可能な他の内部構造及びデータブロック(並びに、実行可能コード、埋め込まれたスクリプト及びマクロの解析セクション及び逆アセンブリの結果)に関係することができる。検出及び応答サービスにおいて、特徴は、コンピュータプログラム及びシステム及び/又はユーザログの利用可能なトレースからの情報、並びにマルウェア検出エンジン、メモリスキャナ及びレピュテーションサービスのようなセンサ側補助システムから利用可能な他の事実を含むこともできる。
【0062】
バックエンド脅威検出モデルは性能のコストに対する予測能力を改善する特徴を用いてトレーニングすることができる(これは、例えば、使用される特徴の数がより多く、高度でリソース高価な特徴抽出技法を適用することに起因し得る)。バックエンド脅威検出モデルはローカル脅威検出モデルのために利用可能なすべての入力にアクセスすることができ、さらに、例えば、エンドポイント保護製品のために、埋め込まれたアクティブコンテンツの動的分析(例えば、制御された実行、エミュレーション、およびサンドボックス化)の結果、および動的分析技法を適用した後に利用可能になる属性(例えば、バイトnグラム、文字列、ファイルヘッダの内容、ならびに静的分析技法のためにアクセス不可能な他の内部構造およびデータブロック)のような、単一のエンドポイントのために取得することが困難である特徴に依存することもできる。検出および応答サービスにおいて、モデルの特徴はコンピュータプログラムおよびシステムおよび/またはユーザログのトレースから利用可能な情報、ならびにすべてのセンサから取得可能な他の事実を含むことができ、したがって、それらは、ローカルなものに加えて一般的なコンテキストを使用することができる。
【0063】
ローカル整合性モデルはエンドポイント側で機能し、したがって、例えば、エンドポイントまたはデバイスにおいてローカルに取得可能な特徴を扱う。同時に、本発明の一実施形態では、整合性モデルによって使用される特徴セットが所与の入力に対するローカル脅威検出モデルとバックエンド脅威検出モデルとの間の整合性のレベルを提示する異なる目的に焦点を当てるので、ローカル脅威検出モデルが依存するのと同じである必要はない。
【0064】
ラベルが例えば、トレーニングデータのために使用される場合、これらの少なくとも一部は、アナリスト、脅威ハンター、インシデント調査者、およびドメインの知識を有する他の人々、ならびに様々なオープンレピュテーションサービス、情報交換プログラムなどの他のソースから生じ得る。いくつかの実施形態ではラベル付きデータは必要とされず、例えば、多くの異常検出方法は教師なし学習方式で適用可能である。
【0065】
以上、本発明を好ましい実施形態について説明したが、これらの実施形態は例示に過ぎず、特許請求の範囲はこれらの実施形態に限定されないことを理解されたい。当業者は、添付の特許請求の範囲内にあると考えられる開示を考慮して、修正および代替を行うことができるであろう。本明細書に開示または例示される各特徴は、単独で、または本明細書に開示または例示される任意の他の特徴との任意の適切な組み合わせで、本発明に組み込まれ得る。上記の説明において提供される例のリストおよび群は特に明記しない限り、網羅的ではない。
【図1】
【図2】
【図3】
【外国語明細書】