知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024128995
(43)【公開日】2024-09-26
(54)【発明の名称】ネットワーク危殆化アクティビティ監視システム
(51)【国際特許分類】
H04L 12/66 20060101AFI20240918BHJP
H04L 12/22 20060101ALI20240918BHJP
【FI】
H04L12/66
H04L12/22
【審査請求】有
【請求項の数】29
【出願形態】OL
【外国語出願】
(21)【出願番号】P 2024021603
(22)【出願日】2024-02-16
(31)【優先権主張番号】18/111,351
(32)【優先日】2023-02-17
(33)【優先権主張国・地域又は機関】US
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.WINDOWS
2.WIRESHARK
(71)【出願人】
【識別番号】524061781
【氏名又は名称】セレリウム インコーポレイテッド
(74)【代理人】
【識別番号】100108604
【弁理士】
【氏名又は名称】村松 義人
(72)【発明者】
【氏名】オーブリー グラント チャーニック
(72)【発明者】
【氏名】ヴィンセント オーウェン クリスラー
(57)【要約】 (修正有)
【課題】データ侵害又は他のネットワークシステム危殆化を効率的且つ効果的に早期検出するネットワーク危殆化アクティビティ監視システム、アナライザ及び方法を提供する。
【解決手段】ネットワークシステム10において、ネットワーク危殆化アクティビティ監視システム16は、ファイアウォール18、危殆化アクティビティアナライザ20及び危殆化ディフェンダーモジュールCDMを含む。ファイアウォールは、パブリック及びプライベートネットワークポート並びにファイアウォールトラフィックログを含む。危殆化アクティビティアナライザは、疑わしい宛先メタデータ、エグレストラフィックメタデータ及びネットワークデバイスメタデータにアクセスし、プライベートネットワークポートに結合されたデバイスの危殆化アクティビティレベルを求める。危殆化ディフェンダーは、求められたレベルに応じ、ブロック、アラート及び通知の少なくとも1つを行う。
【選択図】図1
【解決手段】ネットワークシステム10において、ネットワーク危殆化アクティビティ監視システム16は、ファイアウォール18、危殆化アクティビティアナライザ20及び危殆化ディフェンダーモジュールCDMを含む。ファイアウォールは、パブリック及びプライベートネットワークポート並びにファイアウォールトラフィックログを含む。危殆化アクティビティアナライザは、疑わしい宛先メタデータ、エグレストラフィックメタデータ及びネットワークデバイスメタデータにアクセスし、プライベートネットワークポートに結合されたデバイスの危殆化アクティビティレベルを求める。危殆化ディフェンダーは、求められたレベルに応じ、ブロック、アラート及び通知の少なくとも1つを行う。
【選択図】図1
【特許請求の範囲】
【請求項1】
ネットワークコネクタであって、該ネットワークコネクタは、パブリックネットワークポートと、少なくとも1つのプライベートネットワークポートと、該ネットワークコネクタのデータパケットトラフィックに関する関連付けられたネットワークコネクタトラフィックログと、を有し、前記少なくとも1つのプライベートネットワークポートに流入し、前記パブリックネットワークポートから流出するデータパケットは、エグレストラフィックであり、前記パブリックネットワークポートに流入し、前記少なくとも1つのプライベートネットワークポートから流出するデータパケットは、イングレストラフィックである、ネットワークコネクタと、
疑わしい宛先メタデータと、エグレストラフィックメタデータと、ネットワークデバイスメタデータとにアクセスする危殆化アクティビティアナライザであって、該危殆化アクティビティアナライザは、前記疑わしい宛先メタデータと、前記エグレストラフィックメタデータと、前記ネットワークデバイスメタデータとに少なくとも部分的に基づいて、前記少なくとも1つのプライベートネットワークポートに結合された1つ以上のデバイスの危殆化アクティビティレベルを求めるように動作する、危殆化アクティビティアナライザと、
前記1つ以上のデバイスの前記求められた危殆化アクティビティレベルに応じて、少なくとも1つのルールに従ってブロック、アラート及び通知のうちの少なくとも1つを行うように動作する危殆化ディフェンダーと、
を備える、ネットワーク危殆化アクティビティ監視システム。
疑わしい宛先メタデータと、エグレストラフィックメタデータと、ネットワークデバイスメタデータとにアクセスする危殆化アクティビティアナライザであって、該危殆化アクティビティアナライザは、前記疑わしい宛先メタデータと、前記エグレストラフィックメタデータと、前記ネットワークデバイスメタデータとに少なくとも部分的に基づいて、前記少なくとも1つのプライベートネットワークポートに結合された1つ以上のデバイスの危殆化アクティビティレベルを求めるように動作する、危殆化アクティビティアナライザと、
前記1つ以上のデバイスの前記求められた危殆化アクティビティレベルに応じて、少なくとも1つのルールに従ってブロック、アラート及び通知のうちの少なくとも1つを行うように動作する危殆化ディフェンダーと、
を備える、ネットワーク危殆化アクティビティ監視システム。
【請求項2】
前記危殆化アクティビティアナライザは、イングレストラフィックメタデータにもアクセスし、該イングレストラフィックメタデータは、前記1つ以上のデバイスの前記危殆化アクティビティレベルを求めるために少なくとも部分的に使用される、
請求項1に記載のネットワーク危殆化アクティビティ監視システム。
請求項1に記載のネットワーク危殆化アクティビティ監視システム。
【請求項3】
前記エグレストラフィックメタデータ及び前記イングレストラフィックメタデータは、前記ネットワークコネクタトラフィックログから得られる、
請求項2に記載のネットワーク危殆化アクティビティ監視システム。
請求項2に記載のネットワーク危殆化アクティビティ監視システム。
【請求項4】
前記危殆化アクティビティアナライザは、前記少なくとも1つのプライベートネットワークポートに関するプライベートネットワークポートメタデータにもアクセスし、該プライベートネットワークポートメタデータは、前記1つ以上のデバイスのうちの少なくとも1つの前記危殆化アクティビティレベルを求めるために少なくとも部分的に使用される、
請求項3に記載のネットワーク危殆化アクティビティ監視システム。
請求項3に記載のネットワーク危殆化アクティビティ監視システム。
【請求項5】
前記危殆化ディフェンダーは、前記危殆化アクティビティアナライザの一部である、
請求項3に記載のネットワーク危殆化アクティビティ監視システム。
請求項3に記載のネットワーク危殆化アクティビティ監視システム。
【請求項6】
前記危殆化アクティビティアナライザは、前記ネットワークコネクタの一部である、
請求項5に記載のネットワーク危殆化アクティビティ監視システム。
請求項5に記載のネットワーク危殆化アクティビティ監視システム。
【請求項7】
前記ネットワークコネクタは、ファイアウォール及びルーターのうちの一方である、
請求項3に記載のネットワーク危殆化アクティビティ監視システム。
請求項3に記載のネットワーク危殆化アクティビティ監視システム。
【請求項8】
プロセッサと、
(a)ファイアウォールのエグレストラフィックの発信元インターネットプロトコル(IP)アドレスと宛先IPアドレスとを有する少なくともエグレストラフィックメタデータを含むファイアウォールトラフィックメタデータを取り出すことと、
(b)前記エグレストラフィックメタデータの前記発信元IPアドレスをネットワークデバイスメタデータと照合して、エグレスデータパケットの少なくとも1つの発信元デバイスを特定することと、
(c)前記エグレストラフィックメタデータの前記宛先IPアドレスを疑わしい宛先メタデータと照合して、前記エグレスデータパケットの疑わしい宛先を特定することと、
(d)前記エグレストラフィックメタデータと、前記ネットワークデバイスメタデータと、前記疑わしい宛先メタデータとに基づいて、前記少なくとも1つの発信元デバイスに関する危殆化アクティビティレベルを求めることと、
(e)前記求められた危殆化アクティビティレベルに基づいて、少なくとも1つのルールに従って動作することと、
を行う、前記プロセッサ上で実行可能なコードセグメントを含む、前記プロセッサと結びつくメモリと、
を備える、ネットワークデバイス危殆化アクティビティアナライザ。
(a)ファイアウォールのエグレストラフィックの発信元インターネットプロトコル(IP)アドレスと宛先IPアドレスとを有する少なくともエグレストラフィックメタデータを含むファイアウォールトラフィックメタデータを取り出すことと、
(b)前記エグレストラフィックメタデータの前記発信元IPアドレスをネットワークデバイスメタデータと照合して、エグレスデータパケットの少なくとも1つの発信元デバイスを特定することと、
(c)前記エグレストラフィックメタデータの前記宛先IPアドレスを疑わしい宛先メタデータと照合して、前記エグレスデータパケットの疑わしい宛先を特定することと、
(d)前記エグレストラフィックメタデータと、前記ネットワークデバイスメタデータと、前記疑わしい宛先メタデータとに基づいて、前記少なくとも1つの発信元デバイスに関する危殆化アクティビティレベルを求めることと、
(e)前記求められた危殆化アクティビティレベルに基づいて、少なくとも1つのルールに従って動作することと、
を行う、前記プロセッサ上で実行可能なコードセグメントを含む、前記プロセッサと結びつくメモリと、
を備える、ネットワークデバイス危殆化アクティビティアナライザ。
【請求項9】
前記危殆化アクティビティレベルを求めることは、プライベートネットワークポートメタデータに更に基づいている、
請求項8に記載のネットワークデバイス危殆化アクティビティアナライザ。
請求項8に記載のネットワークデバイス危殆化アクティビティアナライザ。
【請求項10】
前記プライベートネットワークポートメタデータは、前記ファイアウォールの1つ以上のプライベートポートに関するものである、
請求項9に記載のネットワークデバイス危殆化アクティビティアナライザ。
請求項9に記載のネットワークデバイス危殆化アクティビティアナライザ。
【請求項11】
前記求められた危殆化アクティビティレベルに基づいて、少なくとも1つのルールに従って動作することは、ブロックすること、アラートすること及び通知することのうちの少なくとも1つを含む、
請求項8に記載のネットワークデバイス危殆化アクティビティアナライザ。
請求項8に記載のネットワークデバイス危殆化アクティビティアナライザ。
【請求項12】
前記ネットワークデバイスメタデータは、前記各デバイスのIPアドレス及びデバイスタイプを含む、請求項8に記載のネットワークデバイス危殆化アクティビティアナライザ。
【請求項13】
前記ネットワークデバイスメタデータは、MACアドレス、技術名、組織名、及び部署名のうちの1つ以上を更に含む、
請求項12に記載のネットワークデバイス危殆化アクティビティアナライザ。
請求項12に記載のネットワークデバイス危殆化アクティビティアナライザ。
【請求項14】
前記ネットワークデバイスメタデータは、危殆化変換テーブル(CTT)として記録される、
請求項8に記載のネットワークデバイス危殆化アクティビティアナライザ。
請求項8に記載のネットワークデバイス危殆化アクティビティアナライザ。
【請求項15】
前記エグレストラフィックメタデータの前記発信元IPアドレスをネットワークデバイスメタデータと照合して、前記エグレスデータパケットの少なくとも1つの発信元デバイスを特定することは、
前記エグレストラフィックメタデータの1つ以上の発信元IPアドレスのリストを作成することと、
前記1つ以上の発信元IPアドレスのリストを使用して前記CTTを検索することと、
を含む、
請求項14に記載のネットワークデバイス危殆化アクティビティアナライザ。
前記エグレストラフィックメタデータの1つ以上の発信元IPアドレスのリストを作成することと、
前記1つ以上の発信元IPアドレスのリストを使用して前記CTTを検索することと、
を含む、
請求項14に記載のネットワークデバイス危殆化アクティビティアナライザ。
【請求項16】
前記疑わしい宛先メタデータは、コンテンツ検索可能フォーマットで記録される、
請求項15に記載のネットワークデバイス危殆化アクティビティアナライザ。
請求項15に記載のネットワークデバイス危殆化アクティビティアナライザ。
【請求項17】
前記エグレストラフィックメタデータの前記宛先IPアドレスを疑わしい宛先メタデータと照合して、前記エグレスデータパケットの疑わしい宛先を特定することは、
前記エグレストラフィックメタデータの1つ以上の宛先IPアドレスのリストを作成することと、
前記1つ以上の宛先IPアドレスのリストを使用して、疑わしい脅威メタデータに前記疑わしい宛先メタデータを照会することと、
を含む、
請求項16に記載のネットワークデバイス危殆化アクティビティアナライザ。
前記エグレストラフィックメタデータの1つ以上の宛先IPアドレスのリストを作成することと、
前記1つ以上の宛先IPアドレスのリストを使用して、疑わしい脅威メタデータに前記疑わしい宛先メタデータを照会することと、
を含む、
請求項16に記載のネットワークデバイス危殆化アクティビティアナライザ。
【請求項18】
前記エグレストラフィックメタデータは、宛先IPアドレスへのエグレストラフィックのデータレートについて分析される、
請求項8に記載のネットワークデバイス危殆化アクティビティアナライザ。
請求項8に記載のネットワークデバイス危殆化アクティビティアナライザ。
【請求項19】
前記エグレストラフィックメタデータは、宛先IPアドレスによるデバイスIPアドレスへのコンタクトアクティビティ又はコールバックアクティビティについて分析される、
請求項8に記載のネットワークデバイス危殆化アクティビティアナライザ。
請求項8に記載のネットワークデバイス危殆化アクティビティアナライザ。
【請求項20】
前記エグレストラフィックメタデータは、宛先IPアドレスによる複数のデバイスIPアドレスへのコンタクトアクティビティ又はコールバックアクティビティについて分析される、
請求項19に記載のネットワークデバイス危殆化アクティビティアナライザ。
請求項19に記載のネットワークデバイス危殆化アクティビティアナライザ。
【請求項21】
デジタルプロセッサとメモリとを含む危殆化アクティビティアナライザにファイアウォールトラフィックメタデータを提供することであって、前記ファイアウォールトラフィックメタデータは、ファイアウォールのエグレストラフィックの発信元インターネットプロトコル(IP)アドレスと宛先IPアドレスとを有する少なくともエグレストラフィックメタデータを含むことと、
前記エグレストラフィックメタデータの前記発信元IPアドレスをネットワークデバイスメタデータと照合して、エグレスデータパケットの少なくとも1つの発信元デバイスを特定することと、
前記エグレストラフィックメタデータの前記宛先IPアドレスを疑わしい宛先メタデータと照合することと、
前記エグレストラフィックメタデータと、前記ネットワークデバイスメタデータと、前記疑わしい宛先メタデータとに基づいて前記少なくとも1つの発信元デバイスへの危殆化アクティビティレベルを求めることと、
前記求められた危殆化アクティビティレベルに基づいて、少なくとも1つのルールに従って動作することと、
を含む、ネットワークデバイスの危殆化アクティビティを監視するための、コンピューターに実装される方法。
前記エグレストラフィックメタデータの前記発信元IPアドレスをネットワークデバイスメタデータと照合して、エグレスデータパケットの少なくとも1つの発信元デバイスを特定することと、
前記エグレストラフィックメタデータの前記宛先IPアドレスを疑わしい宛先メタデータと照合することと、
前記エグレストラフィックメタデータと、前記ネットワークデバイスメタデータと、前記疑わしい宛先メタデータとに基づいて前記少なくとも1つの発信元デバイスへの危殆化アクティビティレベルを求めることと、
前記求められた危殆化アクティビティレベルに基づいて、少なくとも1つのルールに従って動作することと、
を含む、ネットワークデバイスの危殆化アクティビティを監視するための、コンピューターに実装される方法。
【請求項22】
前記エグレストラフィックメタデータは、所与の閾値を越えるデータレートについて分析される、
請求項21に記載のネットワークデバイスの危殆化アクティビティを監視するコンピューター実装方法。
請求項21に記載のネットワークデバイスの危殆化アクティビティを監視するコンピューター実装方法。
【請求項23】
前記エグレストラフィックメタデータは、前記エグレストラフィックの頻度及び前記エグレストラフィックのパターンのうちの少なくとも一方について分析される、
請求項21に記載のネットワークデバイスの危殆化アクティビティを監視するコンピューター実装方法。
請求項21に記載のネットワークデバイスの危殆化アクティビティを監視するコンピューター実装方法。
【請求項24】
前記ネットワークデバイスメタデータは、前記デバイスの重大性について分析される、
請求項21に記載のネットワークデバイスの危殆化アクティビティを監視するコンピューター実装方法。
請求項21に記載のネットワークデバイスの危殆化アクティビティを監視するコンピューター実装方法。
【請求項25】
前記疑わしい宛先メタデータは、脅威の深刻度について分析される、
請求項21に記載のネットワークデバイスの危殆化アクティビティを監視するコンピューター実装方法。
請求項21に記載のネットワークデバイスの危殆化アクティビティを監視するコンピューター実装方法。
【請求項26】
ファイアウォールのエグレストラフィックの発信元インターネットプロトコル(IP)アドレスと宛先IPアドレスとを有する少なくともエグレストラフィックメタデータを含むファイアウォールトラフィックメタデータを提供するコードセグメントと、
前記エグレストラフィックメタデータの前記発信元IPアドレスをネットワークデバイスメタデータと照合して、エグレスデータパケットの少なくとも1つの発信元デバイスを特定するコードセグメントと、
前記エグレストラフィックメタデータと前記ネットワークデバイスメタデータとに基づいて前記少なくとも1つの発信元デバイスへの危殆化アクティビティレベルを求めるコードセグメントと、
前記求められた危殆化アクティビティレベルに基づいて、少なくとも1つのルールに従って動作するコードセグメントと、
をコードセグメントとして含む、ネットワークデバイスの危殆化アクティビティを監視するためのデジタルプロセッサ上で実行可能なコードセグメントを含む非一時的コンピューター可読媒体。
前記エグレストラフィックメタデータの前記発信元IPアドレスをネットワークデバイスメタデータと照合して、エグレスデータパケットの少なくとも1つの発信元デバイスを特定するコードセグメントと、
前記エグレストラフィックメタデータと前記ネットワークデバイスメタデータとに基づいて前記少なくとも1つの発信元デバイスへの危殆化アクティビティレベルを求めるコードセグメントと、
前記求められた危殆化アクティビティレベルに基づいて、少なくとも1つのルールに従って動作するコードセグメントと、
をコードセグメントとして含む、ネットワークデバイスの危殆化アクティビティを監視するためのデジタルプロセッサ上で実行可能なコードセグメントを含む非一時的コンピューター可読媒体。
【請求項27】
前記エグレストラフィックメタデータは、所与の閾値を越えるデータレートについて分析される、
請求項26に記載のネットワークデバイスの危殆化アクティビティを監視するためのデジタルプロセッサ上で実行可能なコードセグメントを含む非一時的コンピューター可読媒体。
請求項26に記載のネットワークデバイスの危殆化アクティビティを監視するためのデジタルプロセッサ上で実行可能なコードセグメントを含む非一時的コンピューター可読媒体。
【請求項28】
前記エグレストラフィックメタデータは、前記エグレストラフィックの頻度及び前記エグレストラフィックのパターンのうちの少なくとも一方について分析される、
請求項26に記載のネットワークデバイスの危殆化アクティビティを監視するためのデジタルプロセッサ上で実行可能なコードセグメントを含む非一時的コンピューター可読媒体。
請求項26に記載のネットワークデバイスの危殆化アクティビティを監視するためのデジタルプロセッサ上で実行可能なコードセグメントを含む非一時的コンピューター可読媒体。
【請求項29】
前記ネットワークデバイスメタデータは、前記デバイスの重大性について分析される、
請求項26に記載のネットワークデバイスの危殆化アクティビティを監視するためのデジタルプロセッサ上で実行可能なコードセグメントを含む非一時的コンピューター可読媒体。
請求項26に記載のネットワークデバイスの危殆化アクティビティを監視するためのデジタルプロセッサ上で実行可能なコードセグメントを含む非一時的コンピューター可読媒体。
【請求項30】
前記疑わしい宛先メタデータは、脅威の深刻度について分析される、
請求項26に記載のネットワークデバイスの危殆化アクティビティを監視するためのデジタルプロセッサ上で実行可能なコードセグメントを含む非一時的コンピューター可読媒体。
請求項26に記載のネットワークデバイスの危殆化アクティビティを監視するためのデジタルプロセッサ上で実行可能なコードセグメントを含む非一時的コンピューター可読媒体。
【発明の詳細な説明】
【背景技術】
【0001】
コンピューター及びコンピューターのネットワークは、コンピューター及び/又はネットワークデバイスに不正アクセスするエンティティ(多くの場合に「ハッカー」と呼ばれる)によるますます高度な攻撃を受けている。より具体的には、ハッカーは、コンピューター、スマートフォン、タブレット、及びネットワークデバイス等のデバイスに許可なくアクセスし、多くの場合、損害を生じさせ、システムを破壊し、データを盗み、データを人質にし、又はそれ以外に、許可されているユーザーによるこれらのデバイスへのアクセスの制限を行う。ハッカーのツール、戦術、技法、及び手順は、高度化が急速に進んでおり、初期の危殆化(compromise)、コマンド及び制御からのアクティビティと、永続化と、並びにデータ流出とを、サイバーセキュリティチームやITチーム、及びそれらのチームが利用する従来のツールに検知されずに行うことが可能になっている。ハッカーは、従業員及び個人ユーザーを欺いて、悪意のある添付ファイル又はリンクを開かせ、センシティブな個人や企業データ、又はユーザーのクレデンシャル(credentials)を自由に提供させる攻撃ベクトルの作成技術を身につけている。攻撃ベクトルは、マルウェア及びウイルスの共有、悪意のある電子メール添付ファイル及びウェブリンク、フィッシング、ポップアップウィンドウ、テキストメッセージ、並びにインスタントメッセージを含む。
【0002】
マルウェアは、コンピューター、サーバー、クライアント若しくはコンピューターネットワークに混乱を引き起こしたり、プライベート情報を漏洩させたり、情報若しくはシステムに不正アクセスしたり、或いは情報へのアクセスを剥奪するように意図的に設計された任意のソフトウェアであり、又はユーザーのコンピューターセキュリティ及びプライバシーに対して、気付かれずに妨害を与える任意のソフトウェアである。マルウェアのタイプには、コンピューターウイルス、ワーム、トロイの木馬、ランサムウェア、スパイウェア、アドウェア、不正ソフトウェア、ワイパー及びキーロガーなどがある。
【0003】
ハッキング及びマルウェアに対抗する従来の防御戦略として、ネットワークファイアウォールの使用、マルウェア及びウイルスを検出するエンドポイントエージェントの使用、並びにセキュリティ情報イベント管理(SIEM:security information and event management)ツールへの集約のためのログデータの収集等を挙げられる。アンチウイルスソフトウェア及びアンチマルウェアソフトウェアは、通常、ハッキング行為に関連した挙動を検出するように設計された既知のハッシュタグ又は署名によってウイルス又はマルウェアの特定を試みる。しかしながら、これらのソフトウェアは、これまで以上に高度化したマルウェアが開発されると、検出能力のデータベースをメンテナンスし、及び定期的に更新することに依拠している。そのようなソフトウェアは、ハッカーが同じツールを使用して自身の悪意のあるコードをテストし、自身のコード又は技法が検出を逃れるか否かを判断することができるため、その使用がますます制限されている。対照的に、ファイアウォールは、着信(イングレス:ingress)ネットワークトラフィック及び発信(エグレス:egress)ネットワークトラフィックを所定のセキュリティルールに基づいて監視及び制御するセキュリティシステムである。一部のファイアウォールは、ネットワークトラフィックに対して分析を行って、悪意のあるファイル又は許可されていないユーザーアクティビティを特定する能力も有する。しかしながら、これらの方法は、十分にトレーニングされたセキュリティチームがアラートを点検及び処理して、真の攻撃を誤検出と区別することを必要とする傾向がある。ファイアウォールは、信頼できる(「プライベート」)デバイス又はデバイスのネットワークと、インターネット等の信頼できない(「パブリック」)ネットワークとの間にセキュリティバリアを確立する。しかしながら、ハッカーは、より高度なトラフィック検査能力がなければ分析することができない暗号化された通信チャネルの使用をますます増やしているため、ファイアウォールは、試行されるハッキングのすべてを防止することはできるとは限らない。
【0004】
様々なタイプのネットワーク監視ツールが、ネットワークアクティビティについてのデータを収集及び分析するのに使用される。これらのツールの中に、「Syslog」及び「NetFlow」がある。これらのツールは同様の目的に応えるものではあるが、両者の間にはいくつかの重要な相違がある。Syslogは、システムログメッセージをあるデバイスから他のデバイスに転送するのに使用される標準的なプロトコルである。Syslogは、主として、ルーター、スイッチ、及びサーバー等の様々なネットワークデバイスからのログデータの収集に使用される。Syslogメッセージは、セキュリティアラート、システムエラー、及び他のメッセージといった、デバイスで生じたイベントについての情報が含まれる。データは、テキストファイルに記録され、様々なツールを使用して分析することができる。
【0005】
他方、NetFlowは、Cisco社によって開発されたネットワークプロトコルであり、トラフィック分析及びネットワーク監視に使用される。NetFlowは、ネットワークトラフィックフローについての情報を収集及び記録し、この情報には、送信元アドレス及び宛先アドレス、トラフィックのタイプ、並びに転送されるデータの量が含まれる。NetFlowは、ネットワーク使用パターンの特定、ネットワーク性能の監視、及びセキュリティ脅威の検出を行うのに使用される。
【0006】
類似点に関して言えば、Syslog及びNetFlowの双方は、ネットワークアクティビティについてのデータを収集及び分析するのに使用され、ともにネットワークの監視及び管理において広く使用される。Syslog及びNetFlowは、ネットワーク性能、セキュリティ、及び使用パターンに対する貴重な洞察を与える。一方、両者の間の主な相違は、Syslogがログデータの収集に焦点を当てている一方、NetFlowはネットワークトラフィック分析に焦点を当てているという点である。Syslog及びNetFlowの双方は、ネットワークの監視及び管理の重要なツールであるが、異なる目的に応えるものである。Syslogは、ネットワークデバイスからのログデータを収集するのに使用される一方、NetFlowは、ネットワークトラフィックフローを分析するのに使用される。
【0007】
Syslog及びNetFlowに代わってネットワークの監視及び管理を行う多くの代替物が存在し、それぞれはそれ自身の強み及び弱みを有する。これらのものには、sFlow;簡易ネットワーク管理プロトコル(SNMP:Simple Network Management Protocol);ELKスタック;Graylog;及びWiresharkが含まれる。ツールの選択は、組織の特定のニーズ、監視されているネットワークのタイプ、及び分析に必要とされる詳細レベルに依存する。
【0008】
用語「初期アクセス(initial access)」は、ハッカー(別名は、侵入者、脅威アクター等)がネットワーク防御策を迂回し、コンピューターネットワーク又はコンピューターシステムに入る時を指す。初期アクセスは、サムドライブ又はフラッシュドライブを介してマルウェアをコンピューター内に導入することによって達成される場合もある。ネットワークアクティビティに基づいて、アクセスを検出し、或いはアクセスを防止及び/又はブロックすることを試みる多くのツールが開発されてきた。このツールには、侵入検知ツール及びファイアウォール(IDS)、侵入防止ツール及びファイアウォール(IPS)、マルウェア防御(例えば、アンチマルウェア、アンチウイルス)、エンドポイントの検出と対応(EDR:Endpoint Detections and Response)、管理された検出と対応(MDR:Managed Detection and Response)等が含まれる。これらの保護対策は、ネットワーク又はペリメーター(perimeter)に焦点を当てる傾向があるが、初期アクセスの検出、防止又は是正を行うには十分でない場合がある。コンピューターネットワーク及び/又はコンピューターシステムへの初期アクセスに成功したハッカーは、侵入者又は「脅威アクター」とみなされる。ますます多くの産業グループ及び専門家が、従来技術ツールによる保護対策(ネットワーク又はペリメーター、及び他の対策)がプライベートネットワークの安全を確保するのに十分でないことを確信している。
【0009】
国防総省(DOD:Department of Defense)は、「脅威アクター」がネットワークシステム、コンピューター又はデバイスに既に存在し得ることを前提とする彼らの「ゼロトラスト戦略」に関する公開用の文書(「DoD Zero Trust Strategy」(Department of Defense, October 21, 2022, Cleared for Open Publication November 7, 2022, Office of Prepublication and Security Review))を2022年11月7日に明らかにした。これは、侵入者を理解して対処する全く新しい解決体系の必要性を提案している。
【0010】
データ侵害(data breach)の論題は、IBM/Ponemon Instituteを含む多くの組織によって何年にもわたって研究されてきた。「データ侵害のコストレポート」(「Cost of a Data Breach Report 2022」という題名の報告書(IBM Corporation, July 2022))において、IBM/Ponemon Instituteは、データ侵害を検出する平均時間は207日であることを示唆している。IBM/Ponemon Instituteは、データ侵害によって引き起こされる損害を評価するとき、データ侵害の継続時間も考慮しなければならないことに言及している。残念なことに、データ侵害又は他のネットワークシステム危殆化の早期検出を提供する効率的且つ効果的な解決策は、従来技術では実現できていない。
【0011】
従来技術のこれらの限界及び他の限界は、以下の説明を読み、図面のいくつかを検討することで当業者に明らかになる。
【発明の概要】
【0012】
ネットワーク危殆化アクティビティ監視システムは、ネットワークコネクタと、危殆化アクティビティアナライザと、危殆化ディフェンダーとを含む。前記ネットワークコネクタは、パブリックネットワークポートと、少なくとも1つのプライベートネットワークポートと、前記ネットワークコネクタのデータパケットトラフィックに関する関連付けられたネットワークコネクタトラフィックログと、を有し、前記少なくとも1つのプライベートネットワークポートに流入し、前記パブリックネットワークポートから流出するデータパケットは、エグレストラフィックであり、前記パブリックネットワークポートに流入し、前記少なくとも1つのプライベートネットワークポートから流出するデータパケットは、イングレストラフィックである。前記危殆化アクティビティアナライザは、疑わしい宛先(suspect destination)メタデータと、エグレストラフィックメタデータと、ネットワークデバイスメタデータとにアクセスし、前記疑わしい宛先メタデータと、前記エグレストラフィックメタデータと、前記ネットワークデバイスメタデータとに少なくとも部分的に基づいて、前記少なくとも1つのプライベートネットワークポートに結合された1つ以上のデバイスの危殆化アクティビティレベルを求めるように動作する。前記危殆化ディフェンダーは、前記1つ以上のデバイスの前記求められた危殆化アクティビティレベルに応じて、少なくとも1つのルールに従ってブロック、アラート及び通知のうちの少なくとも1つを行うように動作する。
【0013】
ネットワークデバイス危殆化アクティビティアナライザが、プロセッサと、(a)ファイアウォールのエグレストラフィックの発信元インターネットプロトコル(IP)アドレスと宛先IPアドレスとを有する少なくともエグレストラフィックメタデータを含むファイアウォールトラフィックメタデータを取り出すことと、(b)前記エグレストラフィックメタデータの前記発信元IPアドレスをネットワークデバイスメタデータと照合して、エグレスデータパケットの少なくとも1つの発信元デバイスを特定することと、(c)前記エグレストラフィックメタデータの前記宛先IPアドレスを疑わしい宛先メタデータと照合して、前記エグレスデータパケットの疑わしい宛先を特定することと、(d)前記エグレストラフィックメタデータと、前記ネットワークデバイスメタデータと、前記疑わしい宛先メタデータとに基づいて、前記少なくとも1つの発信元デバイスに関する危殆化アクティビティレベルを求めることと、(e)前記求められた危殆化アクティビティレベルに基づいて、少なくとも1つのルールに従って動作することと、を行う、前記プロセッサ上で実行可能なコードセグメントを含む、前記プロセッサと結びつくメモリとを備える。
【0014】
ネットワークデバイスの危殆化アクティビティを監視するための、コンピューターに実装される方法である。この方法は、デジタルプロセッサとメモリとを含む危殆化アクティビティアナライザにファイアウォールトラフィックメタデータを提供することであって、前記ファイアウォールトラフィックメタデータは、ファイアウォールのエグレストラフィックの発信元インターネットプロトコル(IP)アドレスと宛先IPアドレスとを有する少なくともエグレストラフィックメタデータを含むことと、前記エグレストラフィックメタデータの前記発信元IPアドレスをネットワークデバイスメタデータと照合して、エグレスデータパケットの少なくとも1つの発信元デバイスを特定することと、前記エグレストラフィックメタデータの前記宛先IPアドレスを疑わしい宛先メタデータと照合することと、前記エグレストラフィックメタデータと、前記ネットワークデバイスメタデータと、前記疑わしい宛先メタデータとに基づいて前記少なくとも1つの発信元デバイスへの危殆化アクティビティレベルを求めることと、前記求められた危殆化アクティビティレベルに基づいて、少なくとも1つのルールに従って動作することと、を含む。
【0015】
ネットワークデバイスの危殆化アクティビティを監視するためのデジタルプロセッサ上で実行可能なコードセグメントを含む非一時的コンピューター可読媒体である。上記コードセグメントは、ファイアウォールのエグレストラフィックの発信元インターネットプロトコル(IP)アドレスと宛先IPアドレスとを有する少なくともエグレストラフィックメタデータを含むファイアウォールトラフィックメタデータを提供するコードセグメントと、前記エグレストラフィックメタデータの前記発信元IPアドレスをネットワークデバイスメタデータと照合して、エグレスデータパケットの少なくとも1つの発信元デバイスを特定するコードセグメントと、前記エグレストラフィックメタデータと前記ネットワークデバイスメタデータとに基づいて前記少なくとも1つの発信元デバイスへの危殆化アクティビティレベルを求めるコードセグメントと、前記求められた危殆化アクティビティレベルに基づいて、少なくとも1つのルールに従って動作するコードセグメント、とを含む。
【0016】
例示の実施の形態の利点は、ネットワークコネクタを通過するトラフィックを調べることによってサーバー及びコンピューター等のネットワークデバイスの危殆化をタイムリーに検出することができることである。ネットワークコネクタの1つの表現は、ファイアウォールである。
【0017】
これらの実施の形態、特徴及び利点、並びに他の実施の形態、特徴及び利点は、以下の説明を読み、図面のいくつかの図を検討することで当業者に明らかになる。
【0018】
次に、いくつかの例示の実施形態を図面を参照して説明する。図面において、同様の構成要素には同様の参照符号が付される。例示の実施形態は、本発明の説明を目的としており、限定を意図するものではない。図面には、以下の図が含まれる。
【図面の簡単な説明】
【0019】
【図1】ネットワーク危殆化アクティビティ分析システムを有する第1の例示のパブリック/プライベートネットワークシステムのブロック図である。
【図2】ネットワーク危殆化アクティビティ分析システムの一例示のコンピュータープラットフォームのブロック図である。
【図3】複数のネットワーク危殆化アクティビティ分析システムを含む第2の例示のパブリック/プライベートネットワークシステムのブロック図である。
【図4】一例示のクラウドベースのネットワーク危殆化アクティビティ分析システムのブロック図である。
【図6】危殆化アクティビティアナライザによって実施される一例示のプロセスのフロー図である。
【図7】ファイアウォールトラフィックメタデータを提供する一例示のプロセスのフロー図である。
【図8】一例示のファイアウォールトラフィックログファイル及びファイアウォールトラフィックメタデータテーブルの説明図である。
【図9】エグレストラフィックメタデータの発信元IPアドレスをネットワークデバイスメタデータと照合する一例示のプロセスのフロー図である。
【図10】一例示のネットワークデバイスメタデータテーブルの説明図である。
【図11】宛先IPアドレスを疑わしい宛先メタデータと照合するプロセスの一例示のフロー図である。
【図12】例示の疑わしい宛先リスト及び疑わしい宛先メタデータテーブルの説明図である。
【図13】危殆化アクティビティレベルを求める一例示の方法論の説明図である。
【図14】ネットワークポートメタデータテーブルの説明図である。
【図15】フィボナッチ数列と、関連付けられた通信数調整値及びボリューム調整値とを有するテーブルである。
【図16】求められた危殆化アクティビティレベルに基づいて少なくとも1つのルールに従って動作するプロセスの一例示のフロー図である。
【発明を実施するための形態】
【0020】
図1において、例示されるネットワークシステム10は、プライベートネットワーク12と、パブリックネットワーク14と、ネットワーク危殆化アクティビティ分析システム16とを含む。この例では、プライベートネットワーク12は、例えば民間企業のローカルエリアネットワーク(LAN:local area network)であり、パブリックネットワーク14は、インターネット等のワイドエリアネットワーク(WAN:wide area network)である。パブリックネットワーク14は、クラウドファイアウォール、仮想プライベートネットワーク(VPN:virtual private network)、クラウドコンピューティング、ソフトウェアアズアサービス(SaaS:software as a service)、クラウドデータストレージ等の複数のクラウドサービスを提供することができる。ネットワーク危殆化アクティビティ分析システム16も、この例では、ファイアウォール18と、危殆化アクティビティアナライザ20と、統合された危殆化ディフェンダーモジュールCDMとを含む。他の実施形態では、CDMは、危殆化アクティビティアナライザ20から分離したものとすることができ、例えば、インターネット14上のソフトウェアアズアサービス(SaaS)として提供されてもよい。
【0021】
ネットワークシステム10のデバイス間の通信は、データパケットのコンテンツと、発信元と、宛先とについての情報を提供するヘッダー(及び場合によってはトレーラー及び/又はフッター)を有するデジタルデータパケットを含む。例えば、インターネットプロトコル(IP:Internet Protocol)パケットは、パケットがどこからのものであるのか(その送信元IPアドレス)と、パケットがどこに向かっているのか(宛先IPアドレス)と、パケットがどれくらいの大きさであるのかと、ネットワークルーターがパケットをドロップする前にどれくらいの期間パケットを転送し続けるべきであるのかと、についての各情報を含むヘッダーを有する。ヘッダーは、パケットを断片化することができるか否かを示すこともあり、断片化されたパケットの再組み立てについての情報を含むこともある。
【0022】
プライベートネットワーク(LAN)12は、これには限られないがこの例では、複数のデバイスを含み、これらのデバイスには、ルーター22と、ハブスイッチ24と、プリンター26と、複数のサーバー28A~28Nと、スイッチ30と、複数のワークステーション32A~32Nと、WiFiルーター34と、コンピューター36、タブレット38及びモバイルフォン40という3つが例示されたWiFi対応デバイスと、が含まれる。LAN12において例示されたこれらのデバイスのそれぞれは、割り当てられたインターネットプロトコル(IP)アドレスを有しており、これらのアドレスは、静的な場合もあれば、動的な場合もある。例えば、コンピューター36、タブレット38及びモバイルフォン40等のWiFi接続デバイスがWiFiルーター34に接続されるときには、それらに動的IPアドレスが割り当てられることがある一方、サーバー28A~28Nには静的IPアドレスが割り当てられることがある。プライベートネットワーク12の様々なデバイスは一般に、プライベートネットワーク内で自由に通信することができ、ファイアウォール18を介してパブリックネットワーク14と通信することができる。
【0023】
この例では、ファイアウォール18は、Cisco Systems社、WatchGuard社、Fortinet社及びBarracuda Networks社を含む複数の製造業者から入手可能な市販のハードウェアファイアウォールである。代替の実施形態では、ファイアウォール18は、サーバー上、コンピューター上、又はクラウド内(例えば、インターネット14上のクラウドファイアウォール内)で動作するソフトウェアとして実現することができる。ファイアウォール18は、複数のモジュールを含んでおり、これらのモジュールには、或る特定のデータパケットをブロックするパケットブロッキング(PB:packet blocking)モジュールと、PBモジュールを制御するファイアウォールロジック(FL:firewall logic)モジュールと、FLモジュールによって使用されるファイアウォールルール(FR:firewall rules)モジュールと、プライベートLAN12に接続されたデバイスのIPアドレスをマスクするマスキング(MA:masking)モジュールと、ファイアウォールトラフィックログ(FT:firewall traffic log)モジュールとが含まれる。他の例では、ファイアウォールは、パブリックネットワークポートと、少なくとも1つのプライベートネットワークポートとを有する任意のハードウェアネットワーキングデバイス又は仮想ネットワーキングデバイスで構成することができる。
【0024】
ファイアウォール18の重要な目的は、プライベートLAN12とパブリックWAN14との間での悪意のあるコード又は許可されていないデータの転送を防止することである。ファイアウォール18は、これを複数の方法で行う。1つの方法では、MAモジュールは、通常、ネットワークアドレス変換(NAT:network address translation)として知られているプロセスを使用して、LAN12のデバイスのIPアドレスをパブリックネットワークからマスクすることができる。このプロセスの結果、LAN上のデバイスには、公的にアドレス指定可能な(publicly addressable)IPアドレスの代わりにプライベートIPアドレスが割り当てられる。これは、同じプライベートIPアドレスが世界中で数百万個のデバイスによって利用されるおそれがあるので、多くの場合、セキュリティ分析ツールに難題を提起する。また、FLモジュールは、送信元IPアドレス及び宛先IPアドレス、ポート番号、タイプ等についてデータパケットを検査し、FRモジュールからの一組のルールを使用して、或る特定のデータパケットがWANからLANへ転送されること、及び、場合によってはその逆方向へ転送されることをパケットブロッキングモジュールPBを用いて阻止する。
【0025】
図1に例示されたファイアウォール18は、WAN14に接続されたパブリックネットワークポート42と、LAN12に接続されたプライベートネットワークポート44とを備えている。パブリックネットワークポート42及びプライベートネットワークポート44は、通常、IEEE802.3標準規格に準拠した入力/出力(I/O:Input/Output)ポートであり、一般にEthernet(イーサネット)ポートと呼ばれる。他のファイアウォールは、異なるI/Oポート構成を有し、例えば、多くのハードウェアファイアウォールは、ルーター22の必要性を補足又は代替する複数のプライベートネットワークポートを有する。上述したように、WAN14からパブリックネットワークポート42に送信されたあらゆるデータパケットが、ファイアウォール18を通過してLAN12に入ることを許可されるとは限らない。さらに、ある場合には、LAN12からネットワークポート44に送信されたあらゆるデータパケットが、ファイアウォール18を通過してWAN14に入ることを許可されるとは限らない。FRモジュールは、一般に、どのデータパケットがファイアウォールを流通することを許可されるのか、及び、どのパケットがブロックされるのかを管理するルールテーブルを含む。
【0026】
上述したように、ファイアウォール18は、LAN12のデバイスとWAN14のデバイスとの間での進行中の交換を容易にするために、本明細書で「ファイアウォールトラフィック」と呼ばれるか又は図1では「FT」とされている、データパケットトラフィックに関するログデータを少なくとも一時的に記録するFTモジュールを含む。WAN14に向けてポート42から送信されるデータパケットは、本明細書では「エグレスデータパケット」などと呼ばれ、図1では「E」のラベルが付けられ、LAN12に向けてポート44から送信されるデータパケットは、本明細書では「イングレスデータパケット」などと呼ばれ、図1では「I」のラベルが付けられている。エグレスデータパケットは、パケットの発信元としてのLANデバイスのIPアドレスのマスクされたバージョンと、このパケットの送信先のWAN14上のデバイスのIPアドレスとを有する。逆に、イングレスデータパケットは、その発信元としてのWAN14上のデバイスのIPアドレスと、このパケットの移動先のLANデバイスのIPアドレスのマスクされたバージョンとを有する。
【0027】
危殆化アクティビティアナライザ20は、本例では、プロセッサとメモリとを含むデジタルロジックシステムであり、メモリは、ファイアウォールトラフィックメタデータ(FTM:firewall traffic metadata)モジュールと、ネットワークデバイスメタデータ(NDM:network device metadata)モジュールと、危殆化アクティビティ分析(CAA:compromise activity analysis)モジュールと、危殆化ディフェンダーモジュール(CDM:compromise defender module)と、疑わしい宛先メタデータ(SDM:suspect destination metadata)モジュールとを有する。FTMモジュールは、ファイアウォール18との直接通信(例えばEthernet接続を介した)、又は間接通信(例えば、破線によって示されたWAN14を介した)のいずれかによって、そのデータをファイアウォール18のFTモジュールから得る。NDMモジュールは、任意選択で、デバイス用のメタデータを当該デバイスのIPアドレスによって取り出すことができるように、コンテンツアドレス指定可能メモリ(CAM:content-addressable memory)等のコンテンツアドレス指定可能フォーマットにネットワークデバイスメタデータを記録することができる。CAAモジュールは、FTMモジュール及びNDMモジュールからのメタデータを使用して、デバイス危殆化インデックス(DCI:device compromise index)をプライベートネットワーク12における、様々なサーバー、コンピューター、及び他のデバイスに割り当てる。CDMモジュールは、ネットワークデバイスのDCIを使用して、システム危殆化の脅威に対処する適切な動作を行う。CDMモジュールは、この実施形態では、危殆化アクティビティアナライザ20の一部をなしているが、危殆化アクティビティアナライザと通信する別個のモジュールであってもよい。SDMモジュールは、脅威レベル、脅威のタイプ等を含むメタデータとともに、疑わしい宛先のIPアドレスを含む。SDMメタデータは、パブリックネットワーク14に設けられたデータベースを含む多様なソースから補う(supplement)ことができる。
【0028】
危殆化アクティビティアナライザ20は、エグレストラフィックメタデータと、ネットワークデバイスメタデータと、疑わしい宛先メタデータとを含むいくつかのソースからのメタデータを使用することに留意されたい。当業者によく知られているように、メタデータは、データパケットの発信元、構造及び特性、デバイス、ネットワークエンドポイント等の他のデータを記述するデータである。メタデータが取る形は変化することができるが、多くの場合には、ファイル、アレイ、テーブル又はリストの形になっている。例えば、エグレストラフィックメタデータ、例えば、送信元のIPアドレス、宛先のIPアドレス、パケット重大性、パケットサイズ、ポート番号等は、エグレストラフィックのパケットヘッダーから得ることができる。ネットワークデバイスデータは、便宜上、本明細書では危殆化変換テーブル(CTT:Compromise Translation Table)と呼ばれることがあるテーブルとして作成され、IPアドレス(複数の場合もある)、MACアドレス(複数の場合もある)、プライベートポート#、デバイス名、機能、脆弱点、ユーザー、グループ等のフィールドを含む。疑わしい宛先メタデータも、既知のバッドアクターのIPアドレス(複数の場合もある)、そのIPアドレス(複数の場合もある)に関連付けられた脅威のタイプ、脅威の深刻度等を有するテーブルとして配列することができる。様々なメタデータ構造体は、便宜上、図2のCAM53等のコンテンツアドレス指定可能メモリ(CAM)に記録することができる。例えば、疑わしい宛先メタデータをCAMに記録することによって、エグレストラフィックの各宛先アドレスは、疑わしい宛先メタデータ(数千のIPアドレスを含むことができる)を高速に検索して一致するものを得ることができる。他の検索及びメタデータのデータ構造体は当業者によく知られている。
【0029】
図2には、危殆化アクティビティアナライザ20の別の実施態様が、限定ではなく例として示され、この実施態様は、ローカルバス46と、高速スタティックランダムアクセスメモリ(SRAM:Static Random Access Memory)キャッシュメモリ50によってローカルバス46に結合された中央処理装置(CPU:Central Processing Unit)48とを含む。ダイナミックランダムアクセスメモリ(DRAM:Dynamic Random Access Memory)1次(primary)又は「メイン」メモリ52が、キャッシュメモリ50及びバス46に結合されている。コンテンツアドレス指定可能メモリ(CAM)53又は他のコンテンツ検索可能(content-searchable)データ記録装置も、或る特定の実施形態において設けることができる。基本入出力システム(BIOS:Basic Input / Output System)54はバス46に結合されており、パワーオンリセット56によってこれをリセットすることができる。危殆化アクティビティアナライザ20は、「フラッシュ」メモリ又はハードドライブ等の不揮発性メモリ58、ネットワークインターフェース60、及び他の入力/出力(I/O)インターフェース62も含む。これは、危殆化アクティビティアナライザの適したアーキテクチャの1つにすぎないことが理解されるであろう。例えば、危殆化アクティビティアナライザ20は、ファイアウォール18内に統合することもできるし、サーバー上に実装することもできるし、インターネット14上のクラウドコンピューティングにより提供することもできる。
【0030】
図3は、複数のプライベートネットワーク64A、64B、及び66と、パブリックネットワーク(例えば、インターネット)14とを含む、一例となるネットワークシステム10’を示している。プライベートネットワーク64A及び64Bは、この例では、企業イントラネット等であり、ネットワーク66は、ソフトウェアアズアソリューション(SaaS:Software as a Solution)サービスを顧客に提供するサービスプロバイダーネットワークである。例えば、サービスプロバイダーネットワーク66は、企業(別名、顧客)等に関連付けられた企業ネットワーク64Bと、パブリックネットワーク14上のプライベート仮想ネットワークと、に対してネットワーク危殆化アクティビティ監視を提供することができる。
【0031】
この例では、ネットワークは、ネットワークコネクタ、又は単なる「コネクタ」によって互いに結合されている。ネットワークコネクタをよく表している特徴は、ネットワークコネクタが1つ以上のプライベートネットワークポートと、パブリックネットワークポートと、コネクタトラフィックログ(CTL:connector traffic log)のデータを提供する能力とを有するということである。例えば、ネットワークコネクタは、Syslogデータ構造で収集されるロギングプロトコル(Syslog)メッセージを提供することができる。付加的に、又は代替的に、Netflowデータが使用されてもよい。
【0032】
ネットワークシステム10’における使用に適したコネクタとして複数のタイプが存在する。前述のファイアウォールは、ファイアウォール(コネクタ)トラフィックメタデータの基礎を提供するために、ファイアウォール(コネクタ)トラフィックログメッセージを、Syslog、Netflow、又はその他のデータ構造でそこでは記録される、そのようなネットワークコネクタの例となる。コネクタの他の例は、パブリックネットワークポート及び1つ以上のプライベートネットワークポートをともに有するとともに、ルータートラフィックメタデータ収集能力を有するネットワークルーターである。したがって、本明細書で使用されるように、「ネットワークコネクタ」又は単なる「コネクタ」は、パブリックネットワークポートと、1つ以上のプライベートネットワークポートと、コネクタトラフィックメッセージ又はログ(CTL)を提供する能力とを有するネットワークデバイスとして定義される。
【0033】
この例では、プライベートネットワーク64Aは、ネットワーク64Aのデバイスに結合される1つ以上のプライベートネットワークポート69Aと、危殆化アナライザ70及びパブリックネットワーク14に結合されるパブリックネットワークポート69Bとを有するネットワークコネクタ68A(CTLモジュールを含む)を含む。この構成は、図1に示すものと同様であり、危殆化アナライザ70(CTMモジュールを含む)は、ネットワークコネクタ68Aの近く又はネットワークコネクタ68A内に物理的に配置することもできるし、例えば、パブリックネットワーク14上の実デバイス又は仮想デバイスとして、ネットワークコネクタ68Aから離れた場所に配置することもできる。
【0034】
また、この例では、プライベートネットワーク64Bは、プライベートネットワーク64Bのデバイスに結合される1つ以上のプライベートネットワークポート71Aと、パブリックネットワーク14及びサービスプロバイダーネットワーク66の危殆化アナライザ76(CTMモジュールを含む)に結合されるパブリックネットワークポート71Bとを有するネットワークコネクタ68B(CTLモジュールを含む)を含む。危殆化アナライザ76には、プライベートネットワークポート77Aを有する仮想ネットワークコネクタ78(CTLモジュールを含む)のパブリックネットワークポート77Bも結合される。これには限られないがこの例では、プライベートネットワークポート77Aは、危殆化アナライザ76によって監視することができるモバイルデバイス79に結合される。
【0035】
本明細書で説明された一例としてのネットワーク危殆化アクティビティ監視システムは、プライベートネットワークシステムが実際に侵害される前に行われる可能性のある危殆化アクティビティを検出することができるという利点を有することが理解されるであろう。重要な情報源は、インターネットデータパケットの「レイヤ3」すなわちネットワークレイヤを一般に反映するエグレストラフィックメタデータである。特に、レイヤ3は、中間ルーターの間の全てのパケット転送を担当する。危殆化アクティビティに関する非常に有用な情報をエグレストラフィックメタデータのみから見つけることができるが、これをネットワークデバイスメタデータ(例えば、前述したCTTテーブル)、及び疑わしい宛先メタデータで補完することによって、検出プロセスが大幅に強化される。
【0036】
危殆化アクティビティの検出及び分析は、以下のものを含む侵害の潜在的な指標を監視することができる。
・新しい通信パターン
・既知の脅威ホストとの通信
・ビーコニング(beaconing)タイプ又はコールバックタイプのアクティビティ
・システムへの又はシステムからの異常なデータフロー
・非標準ポートにおける通信
・新たなSaaSサーバー又はアプリケーションサーバーとのインタラクション
・コマンド&制御アクティビティ
・データアップロード/ストレージホストとの新たなインタラクション又は異常なインタラクション
・マルウェアのダウンロード又は追加のマルウェア(ブートストラッピングマルウェア/bootstrapping Malware)のダウンロードに使用される外部サーバーとの通信-「コールバックシステム」と呼ばれることがある
・ネットワーク及びシステムインフラストラクチャを特定するとともに、機密コンテンツも探すために監視を行っている脅威アクターとの通信(「コマンド及び制御」システム(サーバー又はラップトップシステム若しくはデスクトップシステムを使用する人)との通信と呼ばれることがある)
・進行中の監視アクティビティを提供することができるコード又はマルウェア(キーロガー、リモートアクセストロイ(RAT:Remote Access Trojan)等)の植え付け(planting)
・データの破壊、データの暗号化、データの盗難又は流出。
・新しい通信パターン
・既知の脅威ホストとの通信
・ビーコニング(beaconing)タイプ又はコールバックタイプのアクティビティ
・システムへの又はシステムからの異常なデータフロー
・非標準ポートにおける通信
・新たなSaaSサーバー又はアプリケーションサーバーとのインタラクション
・コマンド&制御アクティビティ
・データアップロード/ストレージホストとの新たなインタラクション又は異常なインタラクション
・マルウェアのダウンロード又は追加のマルウェア(ブートストラッピングマルウェア/bootstrapping Malware)のダウンロードに使用される外部サーバーとの通信-「コールバックシステム」と呼ばれることがある
・ネットワーク及びシステムインフラストラクチャを特定するとともに、機密コンテンツも探すために監視を行っている脅威アクターとの通信(「コマンド及び制御」システム(サーバー又はラップトップシステム若しくはデスクトップシステムを使用する人)との通信と呼ばれることがある)
・進行中の監視アクティビティを提供することができるコード又はマルウェア(キーロガー、リモートアクセストロイ(RAT:Remote Access Trojan)等)の植え付け(planting)
・データの破壊、データの暗号化、データの盗難又は流出。
【0037】
ハッカーは、比較的温和な動機(自尊心、好奇心)からより邪悪な動機にまで及ぶ広範囲の動機を有する。危殆化アクティビティのパターンを検出することによるハッキングの早期検出は、以下のようなビジネス危殆化アクティビティの防止を助けることができる。
・潜在的「ランサムウェア」アクティビティ
・潜在的データ侵害(Data Breach)アクティビティ-ランサムウェアとともに使用されることもある
・潜在的データ損失-例えば、機密ビジネスデータ又は機密政府データ(機密扱い、CUI、FCI)-ランサムウェアとともに使用されることもある
・潜在的データ暗号化-ランサムウェアとともに使用されることもある
・データ又はシステムの潜在的破壊(「ハクティビスト(Hactivist)」、又は国家による防御システム若しくは重要なインフラストラクチャシステムへの攻撃)
・潜在的「ランサムウェア」アクティビティ
・潜在的データ侵害(Data Breach)アクティビティ-ランサムウェアとともに使用されることもある
・潜在的データ損失-例えば、機密ビジネスデータ又は機密政府データ(機密扱い、CUI、FCI)-ランサムウェアとともに使用されることもある
・潜在的データ暗号化-ランサムウェアとともに使用されることもある
・データ又はシステムの潜在的破壊(「ハクティビスト(Hactivist)」、又は国家による防御システム若しくは重要なインフラストラクチャシステムへの攻撃)
【0038】
例として、或る期間にわたる異常な通信を検出して、「正常状態」からの変化を検出することができる。例えば、新しい通信パターンを示す、又は通信数の突然の増加を示すデバイスを検出することができる。外部ホストとの通信のボリュームが突然増加したとき、大きなデータボリュームを検出することができる。例えば、通信が、履歴の標準から標準偏差で2だけ逸脱したときに、危殆化アクティビティの存在が検出される場合がある。リモートデスクトップ制御に使用されるポート3389等の疑わしいプライベートネットワークポートを用いたポート監視により、有用な危殆化アクティビティ情報が得られる。ビーコニングは、内部ホストと外部ホストとの間の周期的な通常の通信を指すが、場合によっては、危殆化アクティビティのマーカーとみなされる。
【0039】
図4は、コネクタ74Bと危殆化アクティビティアナライザ76とを含む一例となるクラウドベースのネットワーク危殆化アクティビティ分析システム16’のブロック図である。この例では、コネクタ74Bからのエグレストラフィックデータ82が危殆化アクティビティアナライザ76に入力され、処理されて、顧客プライベートネットワーク上の1つ以上のデバイスの危殆化アクティビティレベルが求められる。このタスクを行うために、危殆化アクティビティアナライザは、ネットワークデバイスメタデータを含む危殆化変換テーブル(CTT)モジュール84と、疑わしい宛先メタデータを含む外部データ指標モジュール86と、ヒューリスティック分析及び統計分析を含む内部自動化分析モジュール88と、エキスパートシステム分析及び/又はニューラルネットワーク分析を含む機械学習モジュール90とを含む複数のモジュールに結合されている。危殆化アクティビティアナライザ76とコネクタ74Bとに結合された危殆化ディフェンダーモジュール(CDM:Compromise Defender Module)92も図4に示されている。CDM92は、自動化手動統合(Automated and Manual Integration)モジュール94にも結合されている。CDM92は、この実施形態では危殆化アクティビティアナライザ76から分離していることに留意されたい。
【0040】
引き続き図4を参照すると、一例となる危殆化アクティビティアナライザ76は、ターゲットシステム関係ルックアップ(Lookup Relationship to Target Systems)モジュール96と、トラフィック分析(Analyze Traffic)モジュール98と、メタデータ抽出(Extract Metadata)モジュール100とを含む。これらの3つのモジュールは、コネクタ74Bからのエグレストラフィック82を分析し、更なる分析に使用されるエグレストラフィックメタデータを構築する。例示の危殆化アクティビティアナライザ76は、深刻度/影響の決定(Determine Severity/Impact)モジュール102と、危殆化リスク等級構築(Develop Compromise Risk Rating)モジュール104と、動作要否決定(Determine if Action is Required)モジュール106とを更に含む。これらの3つのモジュールは、CTTモジュール84から受信したデバイスメタデータに少なくとも部分的に基づいて潜在的危殆化アクティビティを分析し、危殆化アクティビティのリスクを見積もり、何らかの抑止動作が必要とされるか否かを所定の経験則(ヒューリスティクス/heuristics)に基づいて判定する。後により詳細に説明されるように、モジュール106が、動作が必要とされると判定した場合には、危殆化ディフェンダーモジュール92が活動を開始するようにすることができる。最後に、一例となる危殆化アクティビティアナライザ76は、潜在的脅威アクターアクティビティ特定(Identify Potential Threat Actor Activity)モジュール108と、変則アクティビティ特定(Identify Anomalous Activity)モジュール110と、危殆化確率決定(Determine Compromise Probability)モジュール112とを更に含む。これらのモジュールは、モジュール86~90と通信し、危殆化リスク等級を構築するための入力をモジュール104に提供する。
【0041】
図5は、図4に例示された一例となる危殆化ディフェンダーモジュール(CDM)92のブロック図である。前述したように、危殆化ディフェンダーモジュール92は、コネクタ74Bと、危殆化アクティビティアナライザ76と、自動化手動統合モジュール94とに結合されている。この例では、危殆化ディフェンダーモジュール92は、危殆化ディフェンダーエンジンモジュール114と、CTT更新要否決定(Determine if Updates Required to CTT)モジュール116と、その他自動化手動統合インタラクション(Interact with Other Automated and Manual Integrations)モジュール118とを含む。これらの3つのモジュールは協働して、検出された危殆化アクティビティに対する対応を調整するとともに、必要に応じてデバイスメタデータ(CTT)を更新する。危殆化ディフェンダーエンジンモジュール114は、アラート通知(Alerts and Notification)エンジンモジュール120も選択的に起動し、アラート通知エンジンモジュール120は、通知実行(Perform Notifications)モジュール122を選択的に起動し、通知実行モジュール122は、アラート維持更新(Maintain and Update Alerts)モジュール124を選択的に起動する。これらの3つのモジュールは、システムアドミニストレーター、デバイスアドミニストレーター、情報技術(IT:Information Technology)部署等にアラート及び通知を提供する。危殆化ディフェンダーエンジンモジュール114は、報告作成/更新(Create/Update Reporting)モジュール126も選択的に起動し、報告作成/更新モジュール126は、報告分配(Distribute Reporting)モジュール128を選択的に起動する。危殆化ディフェンダーエンジンモジュール114は、ブロッキングエンジンモジュール130を更に選択的に起動し、ブロッキングエンジンモジュール130は、エンドポイント隔離(Isolate Endpoint)モジュール132を選択的に起動し、エンドポイント隔離モジュール132は、法執行部報告(Report to Law Enforcement)モジュール134を選択的に起動し、法執行部報告モジュール134は、自動化科学捜査データ分析モジュール136を選択的に起動する。これらのモジュールは、サーバー等のネットワークデバイス(エンドポイント)を攻撃から隔離することによってエンドポイントの深刻な侵害に対応する。侵害を受けたエンドポイント(例えば、機密扱いの情報を含むサーバー)の気密性の程度に応じて、侵害が法執行部に自動的に報告される場合がある。危殆化ディフェンダーエンジンモジュール114は、緩和エンジン138も選択的に起動し、緩和エンジン138は、アクティブ危殆化監視(Monitor Active Compromise)モジュール140を選択的に起動し、アクティブ危殆化監視モジュール140は、エンドポイントパッチ(Patch Endpoint)モジュール142及び科学捜査データ収集トリガー(Trigger Forensics Data Collection)モジュール144を選択的に起動し、科学捜査データ収集トリガーモジュール144は、自動化科学捜査データ分析モジュール136を選択的に起動する。この場合に、疑わしい危殆化アクティビティを受けるネットワークデバイス(エンドポイント)は、「パッチ」、例えば新しいIPアドレスの再割り当てを受けて、問題を緩和することができる。
【0042】
図6は、例えば、図2の危殆化アクティビティアナライザ20上で動作するコードセグメントによって実施されるプロセス146の一例を示す。プロセス146は、148から開始し、動作150において、危殆化アクティビティアナライザ20は、ファイアウォールのエグレストラフィックの発信元インターネットプロトコル(IP)アドレスと宛先IPアドレスとを有する、少なくともエグレストラフィックメタデータを含むファイアウォールトラフィックメタデータを受信する。ファイアウォールトラフィックメタデータは、ファイアウォールから受信することもできるし、ファイアウォールのエグレストラフィックの検査から得ることもできるし、他の任意の適した方法によって得ることもできる。次に、動作152において、危殆化アクティビティアナライザ20は、エグレストラフィックメタデータの発信元IPアドレスをネットワークデバイスメタデータと照合して、エグレスデータパケットの少なくとも1つの発信元デバイスを特定する。ネットワークデバイスメタデータは、自動化されたネットワークマッピングによって導出することもできるし、ネットワークアドミニストレーターによって提供されるテーブル等の形態とすることもできる。動作154において、危殆化アクティビティアナライザ20は、エグレストラフィックメタデータの宛先IPアドレスを疑わしい宛先メタデータと照合して、エグレスデータパケットの疑わしい宛先を特定する。疑わしい宛先メタデータは、時間をかけて得ることもできるし、第三者機関から取得することもできる。次に、動作156において、危殆化アクティビティアナライザ20は、エグレストラフィックメタデータと、ネットワークデバイスメタデータと、疑わしい宛先メタデータとに基づいて、少なくとも1つの発信元デバイスに関する危殆化アクティビティレベルを求める。危殆化アクティビティレベルは、例えば、1~10のスケールでスケーリングすることもできるし、低、中及び高のラベルを付けることでも決定できる。最後に、動作158において、危殆化アクティビティアナライザ20は、求められた危殆化アクティビティレベルに基づいて、少なくとも1つのルールに従って動作する。例えば、危殆化アクティビティレベルが低い場合は、無視することができ、危殆化アクティビティレベルが中程度の場合は、ネットワークデバイスのアドミニストレーターにその事実を報告することができ、危殆化アクティビティレベルが高い場合は、差し迫った脅威に対する自動化対応を行うことができる。様々な動作の例として、ブロック、アラート及び通知がある。
【0043】
図7は、図6の少なくともエグレストラフィックメタデータを含むファイアウォールトラフィックメタデータを受信するプロセス150’の一例を示すフロー図である。この例では、プロセス150’は、160から開始し、動作162において、現在のファイアウォールトラフィックメタデータファイルが存在するか否かが判定される。その結果が「はい(yes)」である場合には、ファイアウォールトラフィックメタデータファイルが動作164において取り出され、そうでない場合には、新しいファイアウォールトラフィックメタデータファイルが動作166において作成される。次に、動作168は、新しいファイアウォールトラフィックログデータが存在するか否かを判定する。存在する場合には、ファイアウォールトラフィックメタデータファイルは、動作170において更新される。存在しない場合、又は動作170の後に、プロセスは動作172を続け、動作172は、ファイアウォールトラフィックメタデータがエグレストラフィックメタデータを含むか否かを判定する。含まない場合には、プロセス制御は、動作168に戻り、新たなファイアウォールトラフィックログデータを待つ。含む場合には、動作174は、ファイアウォールトラフィックメタデータを配信し、プロセス150’は176において終了する。
【0044】
図8は、リスト180を含む一例となるファイアウォールトラフィックログファイル178、及び、テーブル184を含む一例となるファイアウォールトラフィックメタデータファイル182の説明図である。ファイアウォールトラフィックログリスト180は、これには限られないがこの例では、ファイアウォールによって生成されるシステムロギングプロトコル(Syslog)メッセージから得ることができる。Syslogメッセージは、タイムスタンプと、深刻度等級と、デバイスID(IPアドレスを含む)と、イベントに固有の情報とを含む。Syslogメッセージは、通常、ユーザーデータグラムプロトコル(UDP:User Datagram Protocol)ポート514を介して送信される。UDPは、コネクションレスプロトコルとみなされており、メッセージの受信確認応答の送信も、到達の保証もされない。Syslogメッセージは、多くの場合に、人間が可読なフォーマットを有するが、これは必須ではない。そのヘッダーには、各Syslogメッセージは優先レベルを有し、この優先レベルは、メッセージを作成したデバイスのプロセスのコードと深刻度レベルとを組み合わせたものである。
【0045】
引き続き図8を参照すると、例示されたファイアウォールトラフィックメタデータファイルは、ファイアウォールトラフィックログ180に記録された大量のSyslogデータからメタデータを抽出したものである。例えば、テーブル184は、パブリックネットワーク上のデバイス(パブリックIPアドレスを有する)とプライベートネットワーク上のデバイス(プライベートIPアドレスを有する)との間の通信を表す行を有することができる。テーブル184の列は、これには限られないがこの例では、送信元IPアドレス及び宛先IPアドレスと、プライベートネットワークデバイスのポート情報と、パブリックネットワークデバイスのポート情報と、タイムスタンプと、エグレストラフィック及びイングレストラフィックのフラグと、他の関連要素とを含むことができる。エグレストラフィックメタデータ及びイングレストラフィックメタデータは、ファイアウォールトラフィックメタデータファイル182のサブセットとすることができることに留意すべきである。或いは、エグレストラフィックメタデータ及びイングレストラフィックメタデータは、それら自身のデータ構造を含むことができる。
【0046】
図9は、エグレストラフィックメタデータの発信元IPアドレスをネットワークデバイスメタデータと照合する図6における動作152のフロー図152’の一例を示す。例示されたプロセス152’は186から開始し、動作188において、ファイアウォールからのエグレストラフィックの発信元IPアドレスが、ファイアウォールトラフィックメタデータから抽出される。次に、動作190において、抽出された発信元IPアドレスが、ネットワークデバイスメタデータと照合され、発信元デバイスが特定される。プロセス152’は、その後、192において終了する。
【0047】
図10は、以下では危殆化変換テーブル(CTT)194と呼ばれるネットワークデバイスメタデータファイル構造体194の一例である。これには限られないがこの例では、CTT194は、様々なプライベートネットワークデバイス用の行と、それらのプライベートネットワークデバイスの様々な属性用の列とを有するテーブルとされる。プライベートネットワークデバイスの例として、サーバー、コンピューター、ルーター、周辺機器等がある。この例では、CTTの列によって提供されるネットワークデバイスの属性は、ネットワークデバイスのIPアドレス(複数の場合もある)と、媒体アクセス制御(MAC:Media Access Control)アドレス(複数の場合もある)と、人間が可読な名称と、機能(複数の場合もある)と、脆弱点と、ユーザーと、グループと、他の属性とを含む。CTT194は、例えばネットワークマッパーを使用して、その一部を自動的に入力することができるが、プライベートネットワークのシステムアドミニストレーターによって適したユーザーインターフェースを介して手動で補充される方が好ましい。
【0048】
図11は、エグレストラフィックメタデータの宛先IPアドレスを疑わしい宛先メタデータと照合してエグレスデータパケットの疑わしい宛先を特定する図6における動作154のフロー図154’の一例を示す。例示されたプロセス154’は196から開始し、動作198において、エグレストラフィックの宛先IPアドレスが、ファイアウォールトラフィックメタデータから抽出される。次に、動作200において、抽出された宛先IPアドレスが、疑わしい宛先メタデータと照合され、エグレスパケットデータの疑わしい宛先が特定される。プロセス154’は、その後、202において終了する。
【0049】
図12は、疑わしいIPアドレスのリスト206を含む疑わしい宛先ファイル204の一例と、テーブル210を含む疑わしい宛先メタデータファイル208の一例との説明図である。疑わしい宛先ファイルのリスト206は、静的である場合もあるし、動的である場合もあり、市販のリストを用いて入力される場合、手動によって入力される場合、経験則によって(ヒューリスティックによって)入力される場合等がある。これには限られないがこの例では、疑わしい宛先メタデータファイル208のテーブル210は、少なくとも一部を、疑わしい宛先リスト206から入力することができ、IP範囲(IP ranges)、脅威タイプ、深刻度等を含む追加のメタデータを補充することができる。
【0050】
図13は、図6における動作156の危殆化アクティビティレベルを求めるための方法論156’の一例についての説明図である。方法論156’は、ホスト感度乗数テーブル212と、宛先ホストスコア係数テーブル214と、ポート重大性(Port Criticality)係数テーブル216と、懸念通信(Communications of Concern)テーブル218と、係数/値/結果テーブル220と、例示的なスコアパラメーター222と、例示的な調整済み危殆化懸念(compromise concern)計算値224とを含む。この例では、例示的なスコアパラメーターは、23.75が最小スコアで、123.75が最大スコアであり、スコアはその後、1~100のスケールに正規化される。調整済み危殆化懸念計算値224は、フィボナッチ数列に対して2つのスケールを使用して、通信数及び通信のデータボリュームの調整値を求める。その後、通信数調整値及びデータボリューム調整値の最大値が加重平均とともに使用されて、1と100との間の危殆化懸念値(CCV:compromise concern value)が計算される。1つ以上のルールを使用してCCVから危殆化アクティビティレベル(CAL:compromise activity level)を導出することができる。例えば、1≦CCV<20である場合にはCALに値LOW(低)を割り当て、20≦CCV<80である場合にはCALに値MEDIUM(中)を割り当て、80≦CCV≦100である場合にはCALに値HIGH(高)を割り当てる、ようにすることができる。
【0051】
図14は、ファイアウォールの1つ以上のプライベートネットワークポートに関するメタデータを含むテーブル228を含むネットワークポートメタデータファイル226の説明図である。図13における方法論は、ポート重大性係数216を含むことに留意されたい。プライベートネットワークポート3389、1433、1521、1531、1541、3306等から供給される疑わしい宛先へのエグレストラフィックは全て、危殆化アクティビティレベルの懸念事項に考慮される。例えば、プライベートネットワークポート3389は、Windows RDP等によってリモートアクセスに使用される。したがって、ネットワークポートメタデータファイル226は、この例では、ポート番号、一般的なポート使用法(例えば、リモートアクセス、データベースアクセス等)、及び重大性等の項目を含むポートテーブル228を有することが理解されるであろう。
【0052】
図15は、フィボナッチ数列の列と、関連付けられた通信数調整値及びボリューム調整値の列とを有するテーブル230である。これには限られないがこの例では、フィボナッチ数列の数値ごとに、通信数調整値は5ずつ増加し、ボリューム調整値は2ずつ増加する。フィボナッチ数6765において、通信数調整値が100に固定され、フィボナッチ数12586269025において、ボリューム調整値が100に固定される。
【0053】
図13~図15を更に参照すると、危殆化懸念スコアを求める一般的な手法は、以下の通りとなる。
1.デフォルトとして50のスコアから開始する。
2.ホスト感度乗数を使用して、スコアを25%又は50%だけ調整する。
3.宛先ホスト脅威スコアを使用して、数値を50%だけ上又は下に調整する。
4.ポートの重大性に基づいてファクタリング(factoring)を適用する。
5.その結果、この例では数値は23.75と123.75との間の値になる。この数値を1~100のスケールに正規化する。
6.通信数及び通信のボリュームを使用して、以下のように加重平均に基づいてスコアを調整する。
a.フィボナッチ数列を用いて通信数及びデータボリュームを重み付けする。ここで、図15に示したように、通信数調整値は、数例に対して5ずつ増大させ、データボリューム調整値は、数例に対して2ずつ増大させる。
b.これらのスコアの最大値と、正規化スコアに対して2倍の加重平均をした値とを使用して、危殆化懸念スコア(CCS:Compromise Concern Score)を計算する(b. Use the maximum of these scores with a 2X weighted average against the Normalized Score to calculate the Compromise Concern Score (CCS))。
1.デフォルトとして50のスコアから開始する。
2.ホスト感度乗数を使用して、スコアを25%又は50%だけ調整する。
3.宛先ホスト脅威スコアを使用して、数値を50%だけ上又は下に調整する。
4.ポートの重大性に基づいてファクタリング(factoring)を適用する。
5.その結果、この例では数値は23.75と123.75との間の値になる。この数値を1~100のスケールに正規化する。
6.通信数及び通信のボリュームを使用して、以下のように加重平均に基づいてスコアを調整する。
a.フィボナッチ数列を用いて通信数及びデータボリュームを重み付けする。ここで、図15に示したように、通信数調整値は、数例に対して5ずつ増大させ、データボリューム調整値は、数例に対して2ずつ増大させる。
b.これらのスコアの最大値と、正規化スコアに対して2倍の加重平均をした値とを使用して、危殆化懸念スコア(CCS:Compromise Concern Score)を計算する(b. Use the maximum of these scores with a 2X weighted average against the Normalized Score to calculate the Compromise Concern Score (CCS))。
【0054】
図16は、求められた危殆化アクティビティレベルに基づいて少なくとも1つのルールに従って動作する図6における動作158についてのフロー図158’の一例である。プロセス158’は、危殆化懸念スコア(CCS)が受信されるまで、動作232においてアイドル状態にある。CCSがLOW(低)である場合には、動作234では、動作232に戻る前に1つ以上の潜在的システム危殆化を報告する。CCSは低であるので、その報告は、例えばシステムアドミニストレーターへの規則的なスケジューリングされた報告とすることができる。CCSがMEDIUM(中)である場合には、動作236で、1つ以上のアラートが送信される。これらのアラートは、より高い緊急性を有し、データベースサーバー管理者又はグループ管理者等の1人以上のシステム管理者に直ちに送出するものとすることができる。プロセス制御は、その後、より広範な報告を行う動作234に進むこともできるし、アイドル動作232に直接戻ることもできる。CCSがHIGH(高)である場合には、動作238で、例えば、パブリックネットワーク上の悪意のあるデバイスをファイアウォールにおいてブロックするか、又は、マルウェアに感染したプライベートネットワーク上のデバイスを隔離して、危殆化を受けたアクティビティを自動的にブロックすることができる。プロセス制御は、その後、動作236に進んで1つ以上のアラートを送信し、動作234に進んで1つ以上の報告を送信することもできるし、アイドリング動作232に直接戻ることもできる。実行され得る動作(複数の場合もある)は、例えば、通知は常に行い、場合に応じてアラートを行うが、ブロックは極端な脅威状態下でしか行わないといった1つ以上のルールに従うことが理解されるであろう。
【0055】
特定の用語及びデバイスを使用して様々な実施形態を説明してきたが、そのような説明は、例示を目的としたものにすぎない。使用されている用語は、限定の用語ではなく説明の用語である。記載された開示内容及び図面によってサポートされる様々な発明の趣旨又は範囲から逸脱することなく、当業者は変更及び変形を行うことができることが理解されるであろう。加えて、様々な他の実施形態の態様を全体的又は部分的のいずれにおいても交換することができることが理解されるべきである。したがって、特許請求の範囲は、限定も禁反言もなく、本発明の真の趣旨及び範囲に従って解釈されるべきことが意図されている。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【手続補正書】
【提出日】2024-06-17
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
デジタルプロセッサを含む、ハードウェアの又は仮想のネットワークコネクタであって、該ネットワークコネクタは、パブリックネットワークポートと、少なくとも1つのプライベートネットワークポートと、該ネットワークコネクタのデータパケットトラフィックに関する関連付けられたネットワークコネクタトラフィックログであって、少なくともエグレストラフィックの発信元IPアドレスを含むエグレストラフィックメタデータを含むものと、を有し、前記少なくとも1つのプライベートネットワークポートに流入し、前記パブリックネットワークポートから流出するデータパケットは、エグレストラフィックであり、前記パブリックネットワークポートに流入し、前記少なくとも1つのプライベートネットワークポートから流出するデータパケットは、イングレストラフィックである、ネットワークコネクタと、
ネットワークコネクタトラフィックログのエグレストラフィックメタデータを受信可能であり、プロセッサとメモリとを含む、デジタルロジック危殆化アクティビティアナライザであって、疑わしい宛先メタデータと、危殆化変換表テーブル(CTT)を含むネットワークデバイスメタデータとにアクセスするようになっており、該デジタルロジック危殆化アクティビティアナライザは、前記疑わしい宛先メタデータと、前記エグレストラフィックメタデータと、前記ネットワークデバイスメタデータとに少なくとも部分的に基づいて、前記少なくとも1つのプライベートネットワークポートに結合された1つ以上のデバイスの危殆化アクティビティレベルを求めるように動作するようになっており、前記動作に、前記発信元IPアドレスを前記エグレストラフィックメタデータから抽出し、抽出された前記発信元IPアドレスを前記CTTと照合して発信元のネットワークデバイスを特定し、前記少なくとも1つのプライベートネットワークポートに結合された1つ以上のデバイスの危殆化アクティビティレベルを少なくとも部分的に決定することを含む、デジタルロジック危殆化アクティビティアナライザと、
前記1つ以上のデバイスの前記求められた危殆化アクティビティレベルに応じて、少なくとも1つのルールに従ってブロック、アラート及び通知のうちの少なくとも1つを行うように動作する、プロセッサとメモリとを含むデジタルロジック危殆化ディフェンダーモジュールと、
を備える、ネットワーク危殆化アクティビティ監視システム。
ネットワークコネクタトラフィックログのエグレストラフィックメタデータを受信可能であり、プロセッサとメモリとを含む、デジタルロジック危殆化アクティビティアナライザであって、疑わしい宛先メタデータと、危殆化変換表テーブル(CTT)を含むネットワークデバイスメタデータとにアクセスするようになっており、該デジタルロジック危殆化アクティビティアナライザは、前記疑わしい宛先メタデータと、前記エグレストラフィックメタデータと、前記ネットワークデバイスメタデータとに少なくとも部分的に基づいて、前記少なくとも1つのプライベートネットワークポートに結合された1つ以上のデバイスの危殆化アクティビティレベルを求めるように動作するようになっており、前記動作に、前記発信元IPアドレスを前記エグレストラフィックメタデータから抽出し、抽出された前記発信元IPアドレスを前記CTTと照合して発信元のネットワークデバイスを特定し、前記少なくとも1つのプライベートネットワークポートに結合された1つ以上のデバイスの危殆化アクティビティレベルを少なくとも部分的に決定することを含む、デジタルロジック危殆化アクティビティアナライザと、
前記1つ以上のデバイスの前記求められた危殆化アクティビティレベルに応じて、少なくとも1つのルールに従ってブロック、アラート及び通知のうちの少なくとも1つを行うように動作する、プロセッサとメモリとを含むデジタルロジック危殆化ディフェンダーモジュールと、
を備える、ネットワーク危殆化アクティビティ監視システム。
【請求項2】
前記デジタルロジック危殆化アクティビティアナライザは、イングレストラフィックメタデータにもアクセスし、該イングレストラフィックメタデータは、前記1つ以上のデバイスの前記危殆化アクティビティレベルを求めるために少なくとも部分的に使用される、
請求項1に記載のネットワーク危殆化アクティビティ監視システム。
請求項1に記載のネットワーク危殆化アクティビティ監視システム。
【請求項3】
前記エグレストラフィックメタデータ及び前記イングレストラフィックメタデータは、前記ネットワークコネクタトラフィックログから得られる、
請求項2に記載のネットワーク危殆化アクティビティ監視システム。
請求項2に記載のネットワーク危殆化アクティビティ監視システム。
【請求項4】
前記デジタルロジック危殆化アクティビティアナライザは、前記少なくとも1つのプライベートネットワークポートに関するプライベートネットワークポートメタデータにもアクセスし、該プライベートネットワークポートメタデータは、前記1つ以上のデバイスのうちの少なくとも1つの前記危殆化アクティビティレベルを求めるために少なくとも部分的に使用される、
請求項3に記載のネットワーク危殆化アクティビティ監視システム。
請求項3に記載のネットワーク危殆化アクティビティ監視システム。
【請求項5】
前記危殆化ディフェンダーモジュールは、前記危殆化アクティビティアナライザの一部である、
請求項3に記載のネットワーク危殆化アクティビティ監視システム。
請求項3に記載のネットワーク危殆化アクティビティ監視システム。
【請求項6】
前記デジタルロジック危殆化アクティビティアナライザは、前記ネットワークコネクタの一部である、
請求項5に記載のネットワーク危殆化アクティビティ監視システム。
請求項5に記載のネットワーク危殆化アクティビティ監視システム。
【請求項7】
前記ネットワークコネクタは、ファイアウォール及びルーターのうちの一方である、
請求項3に記載のネットワーク危殆化アクティビティ監視システム。
請求項3に記載のネットワーク危殆化アクティビティ監視システム。
【請求項8】
プロセッサと、
(a)ファイアウォールのエグレストラフィックの発信元インターネットプロトコル(IP)アドレスと宛先IPアドレスとを有する少なくともエグレストラフィックメタデータを含むファイアウォールトラフィックメタデータを取り出すことと、
(b)前記エグレストラフィックメタデータの前記発信元IPアドレスを危殆化変換表テーブル(CTT)を含むネットワークデバイスメタデータと照合して、エグレスデータパケットの少なくとも1つの発信元デバイスを特定することと、
(c)前記エグレストラフィックメタデータの前記宛先IPアドレスを疑わしい宛先メタデータと照合して、前記エグレスデータパケットの疑わしい宛先を特定することと、
(d)前記エグレストラフィックメタデータと、前記ネットワークデバイスメタデータと、前記疑わしい宛先メタデータとに基づいて、前記少なくとも1つの発信元デバイスに関する危殆化アクティビティレベルを求めることと、
(e)前記求められた危殆化アクティビティレベルに基づいて、少なくとも1つのルールに従って動作することと、
を行う、前記プロセッサ上で実行可能なコードセグメントを含む、前記プロセッサと結びつくメモリと、
を備える、ネットワークデバイス危殆化アクティビティアナライザ。
(a)ファイアウォールのエグレストラフィックの発信元インターネットプロトコル(IP)アドレスと宛先IPアドレスとを有する少なくともエグレストラフィックメタデータを含むファイアウォールトラフィックメタデータを取り出すことと、
(b)前記エグレストラフィックメタデータの前記発信元IPアドレスを危殆化変換表テーブル(CTT)を含むネットワークデバイスメタデータと照合して、エグレスデータパケットの少なくとも1つの発信元デバイスを特定することと、
(c)前記エグレストラフィックメタデータの前記宛先IPアドレスを疑わしい宛先メタデータと照合して、前記エグレスデータパケットの疑わしい宛先を特定することと、
(d)前記エグレストラフィックメタデータと、前記ネットワークデバイスメタデータと、前記疑わしい宛先メタデータとに基づいて、前記少なくとも1つの発信元デバイスに関する危殆化アクティビティレベルを求めることと、
(e)前記求められた危殆化アクティビティレベルに基づいて、少なくとも1つのルールに従って動作することと、
を行う、前記プロセッサ上で実行可能なコードセグメントを含む、前記プロセッサと結びつくメモリと、
を備える、ネットワークデバイス危殆化アクティビティアナライザ。
【請求項9】
前記危殆化アクティビティレベルを求めることは、プライベートネットワークポートメタデータに更に基づいている、
請求項8に記載のネットワークデバイス危殆化アクティビティアナライザ。
請求項8に記載のネットワークデバイス危殆化アクティビティアナライザ。
【請求項10】
前記プライベートネットワークポートメタデータは、前記ファイアウォールの1つ以上のプライベートポートに関するものである、
請求項9に記載のネットワークデバイス危殆化アクティビティアナライザ。
請求項9に記載のネットワークデバイス危殆化アクティビティアナライザ。
【請求項11】
前記求められた危殆化アクティビティレベルに基づいて、少なくとも1つのルールに従って動作することは、ブロックすること、アラートすること及び通知することのうちの少なくとも1つを含む、
請求項8に記載のネットワークデバイス危殆化アクティビティアナライザ。
請求項8に記載のネットワークデバイス危殆化アクティビティアナライザ。
【請求項12】
前記ネットワークデバイスメタデータは、前記各デバイスのIPアドレス及びデバイスタイプを含む、請求項8に記載のネットワークデバイス危殆化アクティビティアナライザ。
【請求項13】
前記ネットワークデバイスメタデータは、MACアドレス、技術名、組織名、及び部署名のうちの1つ以上を更に含む、
請求項12に記載のネットワークデバイス危殆化アクティビティアナライザ。
請求項12に記載のネットワークデバイス危殆化アクティビティアナライザ。
【請求項14】
前記エグレストラフィックメタデータの前記発信元IPアドレスをネットワークデバイスメタデータと照合して、前記エグレスデータパケットの少なくとも1つの発信元デバイスを特定することは、
前記エグレストラフィックメタデータの1つ以上の発信元IPアドレスのリストを作成することと、
前記1つ以上の発信元IPアドレスのリストを使用して前記CTTを検索することと、
を含む、
請求項8に記載のネットワークデバイス危殆化アクティビティアナライザ。
前記エグレストラフィックメタデータの1つ以上の発信元IPアドレスのリストを作成することと、
前記1つ以上の発信元IPアドレスのリストを使用して前記CTTを検索することと、
を含む、
請求項8に記載のネットワークデバイス危殆化アクティビティアナライザ。
【請求項15】
前記疑わしい宛先メタデータは、コンテンツ検索可能フォーマットで記録される、
請求項8に記載のネットワークデバイス危殆化アクティビティアナライザ。
請求項8に記載のネットワークデバイス危殆化アクティビティアナライザ。
【請求項16】
前記エグレストラフィックメタデータの前記宛先IPアドレスを疑わしい宛先メタデータと照合して、前記エグレスデータパケットの疑わしい宛先を特定することは、
前記エグレストラフィックメタデータの1つ以上の宛先IPアドレスのリストを作成することと、
前記1つ以上の宛先IPアドレスのリストを使用して、疑わしい脅威メタデータに前記疑わしい宛先メタデータを照会することと、
を含む、
請求項8に記載のネットワークデバイス危殆化アクティビティアナライザ。
前記エグレストラフィックメタデータの1つ以上の宛先IPアドレスのリストを作成することと、
前記1つ以上の宛先IPアドレスのリストを使用して、疑わしい脅威メタデータに前記疑わしい宛先メタデータを照会することと、
を含む、
請求項8に記載のネットワークデバイス危殆化アクティビティアナライザ。
【請求項17】
前記エグレストラフィックメタデータは、宛先IPアドレスへのエグレストラフィックのデータレートについて分析される、
請求項8に記載のネットワークデバイス危殆化アクティビティアナライザ。
請求項8に記載のネットワークデバイス危殆化アクティビティアナライザ。
【請求項18】
前記エグレストラフィックメタデータは、宛先IPアドレスによるデバイスIPアドレスへのコンタクトアクティビティ又はコールバックアクティビティについて分析される、
請求項8に記載のネットワークデバイス危殆化アクティビティアナライザ。
請求項8に記載のネットワークデバイス危殆化アクティビティアナライザ。
【請求項19】
前記エグレストラフィックメタデータは、宛先IPアドレスによる複数のデバイスIPアドレスへのコンタクトアクティビティ又はコールバックアクティビティについて分析される、
請求項18に記載のネットワークデバイス危殆化アクティビティアナライザ。
請求項18に記載のネットワークデバイス危殆化アクティビティアナライザ。
【請求項20】
デジタルプロセッサとメモリとを含む危殆化アクティビティアナライザにファイアウォールトラフィックメタデータを提供することであって、前記ファイアウォールトラフィックメタデータは、ファイアウォールのエグレストラフィックの発信元インターネットプロトコル(IP)アドレスと宛先IPアドレスとを有する少なくともエグレストラフィックメタデータを含むことと、
前記エグレストラフィックメタデータの前記発信元IPアドレスを危殆化変換表テーブル(CTT)を含むネットワークデバイスメタデータと照合して、エグレスデータパケットの少なくとも1つの発信元デバイスを特定することと、
前記エグレストラフィックメタデータの前記宛先IPアドレスを疑わしい宛先メタデータと照合することと、
前記エグレストラフィックメタデータと、前記ネットワークデバイスメタデータと、前記疑わしい宛先メタデータとに基づいて前記少なくとも1つの発信元デバイスへの危殆化アクティビティレベルを求めることと、
前記求められた危殆化アクティビティレベルに基づいて、少なくとも1つのルールに従って動作することと、
を含む、ネットワークデバイスの危殆化アクティビティを監視するための、コンピューターに実装される方法。
前記エグレストラフィックメタデータの前記発信元IPアドレスを危殆化変換表テーブル(CTT)を含むネットワークデバイスメタデータと照合して、エグレスデータパケットの少なくとも1つの発信元デバイスを特定することと、
前記エグレストラフィックメタデータの前記宛先IPアドレスを疑わしい宛先メタデータと照合することと、
前記エグレストラフィックメタデータと、前記ネットワークデバイスメタデータと、前記疑わしい宛先メタデータとに基づいて前記少なくとも1つの発信元デバイスへの危殆化アクティビティレベルを求めることと、
前記求められた危殆化アクティビティレベルに基づいて、少なくとも1つのルールに従って動作することと、
を含む、ネットワークデバイスの危殆化アクティビティを監視するための、コンピューターに実装される方法。
【請求項21】
前記エグレストラフィックメタデータは、所与の閾値を越えるデータレートについて分析される、
請求項20に記載のネットワークデバイスの危殆化アクティビティを監視するコンピューター実装方法。
請求項20に記載のネットワークデバイスの危殆化アクティビティを監視するコンピューター実装方法。
【請求項22】
前記エグレストラフィックメタデータは、前記エグレストラフィックの頻度及び前記エグレストラフィックのパターンのうちの少なくとも一方について分析される、
請求項20に記載のネットワークデバイスの危殆化アクティビティを監視するコンピューター実装方法。
請求項20に記載のネットワークデバイスの危殆化アクティビティを監視するコンピューター実装方法。
【請求項23】
前記ネットワークデバイスメタデータは、前記デバイスの重大性について分析される、
請求項20に記載のネットワークデバイスの危殆化アクティビティを監視するコンピューター実装方法。
請求項20に記載のネットワークデバイスの危殆化アクティビティを監視するコンピューター実装方法。
【請求項24】
前記疑わしい宛先メタデータは、脅威の深刻度について分析される、
請求項20に記載のネットワークデバイスの危殆化アクティビティを監視するコンピューター実装方法。
請求項20に記載のネットワークデバイスの危殆化アクティビティを監視するコンピューター実装方法。
【請求項25】
ファイアウォールのエグレストラフィックの発信元インターネットプロトコル(IP)アドレスと宛先IPアドレスとを有する少なくともエグレストラフィックメタデータを含むファイアウォールトラフィックメタデータを提供するコードセグメントと、
前記エグレストラフィックメタデータの前記発信元IPアドレスを危殆化変換表テーブル(CTT)を含むネットワークデバイスメタデータと照合して、エグレスデータパケットの少なくとも1つの発信元デバイスを特定するコードセグメントと、
前記エグレストラフィックメタデータと前記ネットワークデバイスメタデータとに基づいて前記少なくとも1つの発信元デバイスへの危殆化アクティビティレベルを求めるコードセグメントと、
前記求められた危殆化アクティビティレベルに基づいて、少なくとも1つのルールに従って動作するコードセグメントと、
をコードセグメントとして含む、ネットワークデバイスの危殆化アクティビティを監視するためのデジタルプロセッサ上で実行可能なコードセグメントを含む非一時的コンピューター可読媒体。
前記エグレストラフィックメタデータの前記発信元IPアドレスを危殆化変換表テーブル(CTT)を含むネットワークデバイスメタデータと照合して、エグレスデータパケットの少なくとも1つの発信元デバイスを特定するコードセグメントと、
前記エグレストラフィックメタデータと前記ネットワークデバイスメタデータとに基づいて前記少なくとも1つの発信元デバイスへの危殆化アクティビティレベルを求めるコードセグメントと、
前記求められた危殆化アクティビティレベルに基づいて、少なくとも1つのルールに従って動作するコードセグメントと、
をコードセグメントとして含む、ネットワークデバイスの危殆化アクティビティを監視するためのデジタルプロセッサ上で実行可能なコードセグメントを含む非一時的コンピューター可読媒体。
【請求項26】
前記エグレストラフィックメタデータは、所与の閾値を越えるデータレートについて分析される、
請求項25に記載のネットワークデバイスの危殆化アクティビティを監視するためのデジタルプロセッサ上で実行可能なコードセグメントを含む非一時的コンピューター可読媒体。
請求項25に記載のネットワークデバイスの危殆化アクティビティを監視するためのデジタルプロセッサ上で実行可能なコードセグメントを含む非一時的コンピューター可読媒体。
【請求項27】
前記エグレストラフィックメタデータは、前記エグレストラフィックの頻度及び前記エグレストラフィックのパターンのうちの少なくとも一方について分析される、
請求項25に記載のネットワークデバイスの危殆化アクティビティを監視するためのデジタルプロセッサ上で実行可能なコードセグメントを含む非一時的コンピューター可読媒体。
請求項25に記載のネットワークデバイスの危殆化アクティビティを監視するためのデジタルプロセッサ上で実行可能なコードセグメントを含む非一時的コンピューター可読媒体。
【請求項28】
前記ネットワークデバイスメタデータは、前記デバイスの重大性について分析される、
請求項25に記載のネットワークデバイスの危殆化アクティビティを監視するためのデジタルプロセッサ上で実行可能なコードセグメントを含む非一時的コンピューター可読媒体。
請求項25に記載のネットワークデバイスの危殆化アクティビティを監視するためのデジタルプロセッサ上で実行可能なコードセグメントを含む非一時的コンピューター可読媒体。
【請求項29】
前記疑わしい宛先メタデータは、脅威の深刻度について分析される、
請求項25に記載のネットワークデバイスの危殆化アクティビティを監視するためのデジタルプロセッサ上で実行可能なコードセグメントを含む非一時的コンピューター可読媒体。
請求項25に記載のネットワークデバイスの危殆化アクティビティを監視するためのデジタルプロセッサ上で実行可能なコードセグメントを含む非一時的コンピューター可読媒体。
【外国語明細書】