(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024007510
(43)【公開日】2024-01-18
(54)【発明の名称】複数の発生源からの自動署名生成のための方法
(51)【国際特許分類】
G06F 21/56 20130101AFI20240110BHJP
【FI】
G06F21/56 340
【審査請求】未請求
【請求項の数】8
【出願形態】OL
【外国語出願】
(21)【出願番号】P 2023108470
(22)【出願日】2023-06-30
(31)【優先権主張番号】17/855,940
(32)【優先日】2022-07-01
(33)【優先権主張国・地域又は機関】US
(71)【出願人】
【識別番号】519001338
【氏名又は名称】ノゾミ・ネットワークス・エッセアジエッレ
(74)【代理人】
【識別番号】100108453
【弁理士】
【氏名又は名称】村山 靖彦
(74)【代理人】
【識別番号】100110364
【弁理士】
【氏名又は名称】実広 信哉
(74)【代理人】
【識別番号】100133400
【弁理士】
【氏名又は名称】阿部 達彦
(72)【発明者】
【氏名】アレクセイ・クレイメノフ
(72)【発明者】
【氏名】モレノ・カルッロ
(72)【発明者】
【氏名】アンドレア・カルカノ
(57)【要約】
【課題】複数の発生源からの自動署名生成のための方法を提供すること。
【解決手段】本発明は、サンプルプロバイダからの入力サンプルを収集するステップおよび入力サンプルから生のIoCを抽出するステップと、検証済み入力サンプルを規定する入力サンプルを検証するステップと、予め規定されたレピュテーションルールに従って生のIoCの各々のレピュテーションを評価するステップおよび許容できる生のIoCを規定するため生のIoCの各々を既存の署名のデータベースと比較するステップと、許容できる生のIoCに対応する検証済み入力サンプルから検証済み署名を作成する検証済み入力サンプルから検証済み署名を生成するステップとを含む、複数の発生源からの自動署名生成のための方法に関する。
【選択図】図1
【解決手段】本発明は、サンプルプロバイダからの入力サンプルを収集するステップおよび入力サンプルから生のIoCを抽出するステップと、検証済み入力サンプルを規定する入力サンプルを検証するステップと、予め規定されたレピュテーションルールに従って生のIoCの各々のレピュテーションを評価するステップおよび許容できる生のIoCを規定するため生のIoCの各々を既存の署名のデータベースと比較するステップと、許容できる生のIoCに対応する検証済み入力サンプルから検証済み署名を作成する検証済み入力サンプルから検証済み署名を生成するステップとを含む、複数の発生源からの自動署名生成のための方法に関する。
【選択図】図1
【特許請求の範囲】
【請求項1】
複数の発生源からの自動署名生成のための方法であって、
サンプル提供者(11、12、13、14)の複数の識別済み発生源を規定するステップと、
コンピュータ化されたデータ処理ユニットによって、前記サンプル提供者(11、12、13、14)からの入力サンプルを収集するステップ(21、22)と、
前記コンピュータ化されたデータ処理ユニットによって、検証済み入力サンプルを規定する前記入力サンプルを検証するステップ(31)と、
前記コンピュータ化されたデータ処理ユニットによって、前記検証済み入力サンプルから検証済み署名を生成するステップ(41)と、
前記コンピュータ化されたデータ処理ユニットに動作可能に接続される検証済み署名データベース(51)に、前記検証済み署名を記憶するステップと
を含み、
前記収集するステップ(21、22)が、前記入力サンプルから生のIoCを抽出するステップ(23)を含み、
前記検証するステップ(31)が、予め規定されたレピュテーションルールに従って前記生のIoCの各々のレピュテーションを評価するステップ(32)と、許容できる生のIoCを規定するため、前記生のIoCの各々を前記データ処理ユニットに動作可能に接続される既存の署名のデータベースと比較するステップ(33)とを含み、
前記生成するステップ(41)が、前記許容できる生のIoCに対応する前記検証済み入力サンプルから前記検証済み署名を作成するステップを含む、方法。
サンプル提供者(11、12、13、14)の複数の識別済み発生源を規定するステップと、
コンピュータ化されたデータ処理ユニットによって、前記サンプル提供者(11、12、13、14)からの入力サンプルを収集するステップ(21、22)と、
前記コンピュータ化されたデータ処理ユニットによって、検証済み入力サンプルを規定する前記入力サンプルを検証するステップ(31)と、
前記コンピュータ化されたデータ処理ユニットによって、前記検証済み入力サンプルから検証済み署名を生成するステップ(41)と、
前記コンピュータ化されたデータ処理ユニットに動作可能に接続される検証済み署名データベース(51)に、前記検証済み署名を記憶するステップと
を含み、
前記収集するステップ(21、22)が、前記入力サンプルから生のIoCを抽出するステップ(23)を含み、
前記検証するステップ(31)が、予め規定されたレピュテーションルールに従って前記生のIoCの各々のレピュテーションを評価するステップ(32)と、許容できる生のIoCを規定するため、前記生のIoCの各々を前記データ処理ユニットに動作可能に接続される既存の署名のデータベースと比較するステップ(33)とを含み、
前記生成するステップ(41)が、前記許容できる生のIoCに対応する前記検証済み入力サンプルから前記検証済み署名を作成するステップを含む、方法。
【請求項2】
前記検証済み署名がSTIX形式のものである、請求項1に記載の、複数の発生源からの自動署名生成のための方法。
【請求項3】
前記入力サンプルが入力IoCおよび入力署名を含む、請求項1に記載の、複数の発生源からの自動署名生成のための方法。
【請求項4】
関連するメタデータと結合される予め規定された構造へ前記許容できる生のIoCを挿入して前記検証済み署名が作成される、請求項1に記載の、複数の発生源からの自動署名生成のための方法。
【請求項5】
前記予め規定された構造がXML構造またはJSON構造である、請求項4に記載の、複数の発生源からの自動署名生成のための方法。
【請求項6】
前記メタデータが、作成日、作成時間、マルウェアのカテゴリーに関係する1つまたは複数の情報を含む、請求項4に記載の、複数の発生源からの自動署名生成のための方法。
【請求項7】
前記方法は、前記入力サンプルを収集するステップ(21)の後に前記入力サンプルをフィルタ処理するステップ(61)をさらに含み、
前記収集するステップ(21)が前記入力サンプルから生の署名を抽出するステップ(121)を含み、
前記フィルタ処理するステップ(61)がアーティファクトを含む前記生の署名を除去することによって前記生の署名から前記検証済み署名を識別するステップを含む、請求項1に記載の、複数の発生源からの自動署名生成のための方法。
前記収集するステップ(21)が前記入力サンプルから生の署名を抽出するステップ(121)を含み、
前記フィルタ処理するステップ(61)がアーティファクトを含む前記生の署名を除去することによって前記生の署名から前記検証済み署名を識別するステップを含む、請求項1に記載の、複数の発生源からの自動署名生成のための方法。
【請求項8】
前記方法は、前記検証済み署名に関するテレメトリデータを受け取るステップ(71)をさらに含む、請求項1に記載の、複数の発生源からの自動署名生成のための方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、自動化システムおよび工業生産システムなどといった、インフラストラクチャの安全管理の分野に関する。
【0002】
特に、本発明は、複数の発生源からの自動署名生成のための方法に関する。
【背景技術】
【0003】
知られているタイプのセキュリティ製品は、悪意のある攻撃を検出して、それらを防ぐ動作を行うことも可能であることが多い。侵入防止システムの大多数は、署名ベース、統計的異常ベース、およびステートフルプロトコル解析の間の検出方法のうちの1つを利用する。署名ベースIDSは、ネットワーク中のパケットを監視して、署名として知られている予め構成され予め決定された攻撃パターンと比較する。異常ベースであるIDSは、ネットワークトラフィックを監視してそれを確立されたベースラインに対して比較する。ベースラインは、そのネットワークにとって普通であるものを識別することになる。最後に、ステートフルプロトコル解析検出は、観察されるイベントを、良性の活動の一般的に受け入れられる規定の予め決定されたプロファイルと比較することによって、プロトコル状態の偏差を識別する。
【0004】
署名(簡単に「ルール」としても知られる)は、上述の方法のうちの第1のもので使用されており、各手法は利点および欠点を有する。行動ルールによって、デバイスを新しい攻撃およびこれまで知られていない攻撃から保護することが可能になる。しかし、行動システムのカバレージは限定されており、多くの攻撃はカバーされず、システムは、より多くの誤検出を生じる。
【0005】
署名は、実際には、所与の攻撃のフィンガープリントである。署名は、所与の攻撃に固有である動作を捕捉する。この実際的な手法は、特定の攻撃に焦点を合わせ、誤検出の割合を低下させる点で非常に正確である。
【0006】
セキュリティ製品は、一般的に、悪意のある活動または安全性が低いシステム状態に関連するパターンの、周期的に更新される知識ベースを有して出荷される。これらのパターンは、いわゆるルールまたは署名の部分として出荷される。一度ルールパターンがエンドポイントまたはネットワーク上の活動と一致すると、顧客は、行動を起こすための何らかの警告の形でそのことを知ることになる。
【0007】
毎日、増加するルールが入手可能であり、複数のシステムが、複数の異なる発生源から、好ましくはIoCベースのサンプルといったサンプルを集めることが可能である。
【0008】
したがって、そのようなサンプルに基づいた自動検出を発することが望ましい。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】米国特許出願第17/064010号
【特許文献2】US2022109688A1
【発明の概要】
【課題を解決するための手段】
【0010】
本発明の目的は、上述の欠点を最小化することが可能な、複数の発生源からの自動署名生成のための方法を提供することである。特に、新たな脅威に基づいた、予防的自動検出を可能にすることができる方法を有することが望ましい。
【0011】
したがって、本発明によれば、添付される特許請求の範囲に従って、複数の発生源からの自動署名生成のための方法が記載される。
【0012】
本発明は、
- サンプル提供者の複数の識別済み発生源を規定するステップと、
- コンピュータ化されたデータ処理ユニットによって、サンプル提供者からの入力サンプルを収集するステップと、
- コンピュータ化されたデータ処理ユニットによって、検証済み入力サンプルを規定する入力サンプルを検証するステップと、
- コンピュータ化されたデータ処理ユニットによって、検証済み入力サンプルから検証済み署名を生成するステップと、
- コンピュータ化されたデータ処理ユニットに動作可能に接続される検証済み署名データベースに、検証済み署名を記憶するステップと
を含み、
収集するステップが、入力サンプルから生のIoCを抽出するステップを含み、
検証するステップが、予め規定されたレピュテーションルールに従って生のIoCの各々のレピュテーションを評価するステップと、許容できる生のIoCを規定するため、生のIoCの各々をデータ処理ユニットに動作可能に接続される既存の署名のデータベースと比較するステップとを含み、
生成するステップが、許容できる生のIoCに対応する前記検証済み入力サンプルから検証済み署名を作成するステップを含む。
- サンプル提供者の複数の識別済み発生源を規定するステップと、
- コンピュータ化されたデータ処理ユニットによって、サンプル提供者からの入力サンプルを収集するステップと、
- コンピュータ化されたデータ処理ユニットによって、検証済み入力サンプルを規定する入力サンプルを検証するステップと、
- コンピュータ化されたデータ処理ユニットによって、検証済み入力サンプルから検証済み署名を生成するステップと、
- コンピュータ化されたデータ処理ユニットに動作可能に接続される検証済み署名データベースに、検証済み署名を記憶するステップと
を含み、
収集するステップが、入力サンプルから生のIoCを抽出するステップを含み、
検証するステップが、予め規定されたレピュテーションルールに従って生のIoCの各々のレピュテーションを評価するステップと、許容できる生のIoCを規定するため、生のIoCの各々をデータ処理ユニットに動作可能に接続される既存の署名のデータベースと比較するステップとを含み、
生成するステップが、許容できる生のIoCに対応する前記検証済み入力サンプルから検証済み署名を作成するステップを含む。
【0013】
本発明のこれらおよびさらなる特徴および利点は、添付図面中に非限定の例として図示される好ましい実施形態の開示から明らかになろう。
【図面の簡単な説明】
【0014】
【図1】本発明による、複数の発生源からの自動署名生成のための方法を実行する装置を示すブロック図である。
【発明を実施するための形態】
【0015】
本発明は、複数の発生源からの自動署名生成のための方法に関する。具体的には、本発明による方法は、物理的またはITのインフラストラクチャに有益な用途が見出された。
【0016】
本発明の方法で、複数のシステムまたは発生源からの、IoCタイプなどのサンプルを収集することが可能である。この方法では、そのような収集されたサンプルに基づいた自動検出を発すること、最終的には、それらの状態を検査することが可能になるはずである。
【0017】
一実施形態では、入力サンプルは、入力IoCおよび入力署名を含むが、異なる入力サンプルも考えられる。
【0018】
サンプル提供者の識別済み発生源は、自動化入力の提供者ならびに手動で導入された入力の提供者を含むことができる。したがって、図1では、サンプル提供者の識別済み発生源は、オープンソースインテリジェンス(OSINT)についてのクローラ、アイテム13、IoTハニーポット、アイテム14、アイテム12によるサードパーティ供給、またはアイテム11による手動登録を含む。
【0019】
本発明による方法は、コンピュータ化されたデータ処理ユニットによって、検証済み入力サンプルを規定する入力サンプルを検証するステップ31を含む。特に、方法は、生のIoC(ネットワークアーティファクトまたはファイルハッシュ)、または、生のIoCを抽出することができる既存の署名(生の署名)のいずれかといった、複数の入力サンプルを入力として受け入れる。
【0020】
さらに、方法は、コンピュータ化されたデータ処理ユニットによって、検証済み入力サンプルからの検証済み署名を生成するステップ41と、次いで、コンピュータ化されたデータ処理ユニットに動作可能に接続される検証済み署名データベース51に前記検証済み署名を記憶するステップとを含む。
【0021】
具体的には、収集するステップ22は、入力サンプルから生のIoCを抽出するステップ23を含む。さらに、検証するステップ31は、予め規定されたレピュテーションルールに従って生のIoCの各々のレピュテーションを評価するステップ32と、許容できる生のIoCを規定するため、生のIoCの各々をデータ処理ユニットに動作可能に接続される既存の署名のデータベースと比較するステップ33とを含む。したがって、収集された痕跡がブロックされるのが間違いないことを確実にするため外部のオラクルに生のIoCが渡されて、既存のIoCのコレクションと重複がないことを確認する。参照によって本明細書に組み込まれる、2020年10月10日に出願された米国特許出願第17/064010号に記載され、US2022109688A1で公開された方法などの、ネットワークに関する侵害指標の品質を評価するための方法は、この範囲で使用することができる。
【0022】
下でより詳細に記載されるように、許容できる生のIoCが、新しい署名を生成するため、または、提供されたものを取り除くためのいずれかに使用される検証済みIoCのサブセット131を規定する。
【0023】
一実施形態では、生成するステップ41が、許容できる生のIoCに対応する検証済み入力サンプルから検証済み署名を作成するステップを含む。一実施形態では、検証済み署名は、STIX形式のものであるが、サポートされる署名の形式は、STIXに限定されない。次いで、関連するメタデータと結合される予め規定された構造へ許容できる生のIoCを挿入して検証済み署名が作成される。この場合、署名を生成するプロセスは、限定しないが、許容できる生のIoCを、それが作られた日時、含まれるマルウェアのカテゴリーおよびファミリー、ならびに対応する脅威の状況および説明を含む関連するメタデータと結合される予め規定された構造(たとえば、STIXの場合、XMLまたはJSON)に入れることを含むことができる。
【0024】
入力としてAPI IoCから始めるステップ22を考慮に入れて、ゴールは、生のIoCからSTIX署名を生成することである。既存の署名のデータベース中に存在せず予め規定されたレピュテーションルールに合格した生のIoCだけが、許容できる生のIoCを規定することになり、検証済み署名に変換される。
【0025】
生のIoCの入力例は次である。
curl -H "Content-Type: application/json" -d '{"<optional_filename>": ["aksdfjalsdkjf.com", "dfklajbdk.com", "example.com"]}' 'http://3.122.166.153:5000/input/iocs?source=ITHA'
curl -H "Content-Type: application/json" -d '{"<optional_filename>": ["aksdfjalsdkjf.com", "dfklajbdk.com", "example.com"]}' 'http://3.122.166.153:5000/input/iocs?source=ITHA'
【0026】
上述の生のIoCに基づいた検証済み署名の出力例は次である。
[
{
"signature_id": "ecc4aa6c-c65e-41eb-aa13-ae68e4ce5902", "values": [
{
"description": "ITHAフィードの部分として提出されたマルウェア",
"source": "ITHA",
"status": "成功",
"threat": "Trojan",
"value": "aksdfjalsdkjf.com"
},
{
"description": "ITHAフィードの部分として提出されたマルウェア",
"source": "ITHA",
"status": "成功",
"threat": "Trojan",
"value": "dfklajbdk.com"
},
{
"description": "ITHAフィードの部分として提出されたマルウェア",
"source": "ITHA",
"status": "除外",
"threat": "Trojan",
"value": "example.com"
}]
}
]
[
{
"signature_id": "ecc4aa6c-c65e-41eb-aa13-ae68e4ce5902", "values": [
{
"description": "ITHAフィードの部分として提出されたマルウェア",
"source": "ITHA",
"status": "成功",
"threat": "Trojan",
"value": "aksdfjalsdkjf.com"
},
{
"description": "ITHAフィードの部分として提出されたマルウェア",
"source": "ITHA",
"status": "成功",
"threat": "Trojan",
"value": "dfklajbdk.com"
},
{
"description": "ITHAフィードの部分として提出されたマルウェア",
"source": "ITHA",
"status": "除外",
"threat": "Trojan",
"value": "example.com"
}]
}
]
【0027】
さらなる実施形態によれば、本発明による、複数の発生源からの自動署名生成のための方法は、入力サンプルを収集した後に入力サンプルをフィルタ処理するステップ61をさらに含み、収集するステップ21が入力サンプルから生の署名を抽出するステップ121を含み、フィルタ処理するステップ61がアーティファクトを含む生の署名を除去することによって生の署名から検証済み署名を識別するステップを含む。
【0028】
したがって、フィルタ処理するステップ61は、生の署名を取り除くプロセスを含み、検証検査に合格することができず、したがって、必要な十分に高い精度で脅威を識別しないので保護目的で使用するのに安全でないとみなされる生のIoCに関連する部分を除去するステップを含む。具体的には、生の署名が受け取られ、方法はそれらが含むアーティファクトに対してレピュテーション検査を実行し、手動での検討をより容易にし、それらを消費者に送信する。
【0029】
生の署名の入力例は次である。
curl -F 'file=@example.zip' 'http://3.122.166.153:5000/input/signatures?source=ITHA&sig_type=STIX'
curl -F 'file=@example.zip' 'http://3.122.166.153:5000/input/signatures?source=ITHA&sig_type=STIX'
【0030】
上述の生の署名に基づいた検証済み署名の出力例は次である。
[{
"status": "成功",
"signature_id": "ecc4aa6c-c65e-41eb-aa13-ae68e4ce5902"
}]
[{
"status": "成功",
"signature_id": "ecc4aa6c-c65e-41eb-aa13-ae68e4ce5902"
}]
【0031】
生のIoCまたは生の署名のいずれかからの全部の検証済み署名の結果が、コンピュータ化されたデータ処理ユニットに動作可能に接続される検証済み署名データベース51に記憶される。
【0032】
次いで、同じ検証済み署名を、集合的に100と番号付けられる、保護目的でサポートされている全ての消費者とテレメトリ収集パートナーに送信することができる。検証済み署名をリリースする前に、人間の分析者による検討を考えることも可能である(図示せず)。
【0033】
提出の結果として、方法のユーザは、彼らの固有の署名IDの形で検証済み署名についての情報を受け取ることになる。これらのIDは、同じ方法を後で使用して、テレメトリの形で戻される消費者の環境に対応する署名がヒットするのを探すことができる。
【0034】
したがって、一実施形態では、本発明による複数の発生源からの自動署名生成のための方法は、前記検証済み署名に関するテレメトリデータ171を受け取るステップ71をさらに含む。好ましくは、方法は、テレメトリを収集するために署名IDのリスト271を受け取り、テレメトリに対するクエリを走らせて、結果をJSON形式で戻す。
【0035】
テレメトリの入力例は次である。
curl -H "Content-Type: application/json" -d '["9e067f24-b131-4 1ed-bf85-dab588fdca00"]' 'http://3.122.166.153:5000/output/telemetry?source=ITHA&from_date=2022-05-01&to_date=2022-05-02'
curl -H "Content-Type: application/json" -d '["9e067f24-b131-4 1ed-bf85-dab588fdca00"]' 'http://3.122.166.153:5000/output/telemetry?source=ITHA&from_date=2022-05-01&to_date=2022-05-02'
【0036】
図1のアイテム200に図示されるように、統計的可視化を行うこともできる。
【0037】
本発明は、より良好な拡張性のため、ウェブAPIの形で実装するべきである。
【0038】
したがって本発明は、上述の欠点を最小化することが可能な、複数の発生源からの自動署名生成のための方法を提供する。具体的には、本発明は、新たな脅威から消費者を保護する高い事前対策を可能にすることができる方法を提供する。
【符号の説明】
【0039】
11 サンプル提供者、手動登録
12 サンプル提供者、サードパーティ供給
13 サンプル提供者、オープンソースインテリジェンス(OSINT)についてのクローラ
14 サンプル提供者、IoTハニーポット
21 収集するステップ
22 収集するステップ、始めるステップ
23 抽出するステップ
31 検証するステップ
32 評価するステップ
33 比較するステップ
41 生成するステップ
51 署名データベース
61 フィルタ処理するステップ
71 受け取るステップ
121 抽出するステップ
131 検証済みIoCのサブセット
171 テレメトリデータ
271 リスト
12 サンプル提供者、サードパーティ供給
13 サンプル提供者、オープンソースインテリジェンス(OSINT)についてのクローラ
14 サンプル提供者、IoTハニーポット
21 収集するステップ
22 収集するステップ、始めるステップ
23 抽出するステップ
31 検証するステップ
32 評価するステップ
33 比較するステップ
41 生成するステップ
51 署名データベース
61 フィルタ処理するステップ
71 受け取るステップ
121 抽出するステップ
131 検証済みIoCのサブセット
171 テレメトリデータ
271 リスト
【図1】
【外国語明細書】