知財求人 - 知財ポータルサイト「IP Force」
特開2024-77624人間のようなパターンをシミュレートする周辺デバイスによって生成されたデータトラフィック内の異常を検出するための方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024077624
(43)【公開日】2024-06-07
(54)【発明の名称】人間のようなパターンをシミュレートする周辺デバイスによって生成されたデータトラフィック内の異常を検出するための方法
(51)【国際特許分類】
G06F 21/56 20130101AFI20240531BHJP
G06N 3/02 20060101ALI20240531BHJP
【FI】
G06F21/56
G06N3/02
【審査請求】未請求
【請求項の数】10
【出願形態】OL
【外国語出願】
(21)【出願番号】P 2023199957
(22)【出願日】2023-11-27
(31)【優先権主張番号】18/058,985
(32)【優先日】2022-11-28
(33)【優先権主張国・地域又は機関】US
(71)【出願人】
【識別番号】519001338
【氏名又は名称】ノゾミ・ネットワークス・エッセアジエッレ
(74)【代理人】
【識別番号】100108453
【弁理士】
【氏名又は名称】村山 靖彦
(74)【代理人】
【識別番号】100110364
【弁理士】
【氏名又は名称】実広 信哉
(74)【代理人】
【識別番号】100133400
【弁理士】
【氏名又は名称】阿部 達彦
(72)【発明者】
【氏名】アレッサンドロ・カヴァッラーロ・コルティ
(72)【発明者】
【氏名】ルカ・クレモナ
(72)【発明者】
【氏名】アレッサンドロ・ディ・ピント
(72)【発明者】
【氏名】アレッサンドロ・バレンテ
(72)【発明者】
【氏名】アレッサンドロ・ザンベルレッティ
(57)【要約】
【課題】不正な周辺デバイス検出するための方法を提供すること。
【解決手段】本発明は、人間のようなパターンをシミュレートする周辺デバイスによって生成されたデータトラフィック内の異常を検出するための方法であって、周辺機器によってコンピュータに送られたすべてのデータパケットを取り出すステップと、所定のタイムフレーム内の複数のデータパケットとしてデータ通信を特定するステップと、データ通信の複数の通信特徴を抽出するために、データ通信のデータパケットの各々の内容をパースするステップと、絶対分類器のセットを通して、および、大多数分類器のセットを通して、通信特徴を分類するステップと、大多数分類器のセット内の少なくとも大多数または絶対分類器のセット内の少なくとも1つがデータ通信を悪意があるとして定義するとき、データ通信の異常をシグナリングするステップとを含む、方法に関する。
【選択図】なし
【解決手段】本発明は、人間のようなパターンをシミュレートする周辺デバイスによって生成されたデータトラフィック内の異常を検出するための方法であって、周辺機器によってコンピュータに送られたすべてのデータパケットを取り出すステップと、所定のタイムフレーム内の複数のデータパケットとしてデータ通信を特定するステップと、データ通信の複数の通信特徴を抽出するために、データ通信のデータパケットの各々の内容をパースするステップと、絶対分類器のセットを通して、および、大多数分類器のセットを通して、通信特徴を分類するステップと、大多数分類器のセット内の少なくとも大多数または絶対分類器のセット内の少なくとも1つがデータ通信を悪意があるとして定義するとき、データ通信の異常をシグナリングするステップとを含む、方法に関する。
【選択図】なし
【特許請求の範囲】
【請求項1】
人間のようなパターンをシミュレートする周辺デバイスによって生成されたデータトラフィック内の異常を検出するための方法であって、
コンピュータ化されたデータ処理手段によって、周辺機器によってコンピュータに送られたすべてのデータパケットを取り出すステップと、
前記コンピュータ化されたデータ処理手段によって、所定のタイムフレーム内の複数の前記データパケットとしてデータ通信を特定するステップと、
前記コンピュータ化されたデータ処理手段によって、前記データ通信の複数の通信特徴を抽出するために、前記データ通信の前記データパケットの各々の内容をパースするステップと、
前記コンピュータ化されたデータ処理手段によって、2つ以上の絶対分類器を含む二項タイプの絶対分類器のセットを通して、および、奇数の大多数分類器を含む二項タイプの大多数の分類器のセットを通して、前記通信特徴を分類するステップと、
前記コンピュータ化されたデータ処理手段によって、大多数分類器の前記セット内の少なくとも大多数または絶対分類器の前記セット内の少なくとも1つが前記通信特徴を異常としてマークするとき、前記データ通信の異常をシグナリングするステップと
を含む、方法。
コンピュータ化されたデータ処理手段によって、周辺機器によってコンピュータに送られたすべてのデータパケットを取り出すステップと、
前記コンピュータ化されたデータ処理手段によって、所定のタイムフレーム内の複数の前記データパケットとしてデータ通信を特定するステップと、
前記コンピュータ化されたデータ処理手段によって、前記データ通信の複数の通信特徴を抽出するために、前記データ通信の前記データパケットの各々の内容をパースするステップと、
前記コンピュータ化されたデータ処理手段によって、2つ以上の絶対分類器を含む二項タイプの絶対分類器のセットを通して、および、奇数の大多数分類器を含む二項タイプの大多数の分類器のセットを通して、前記通信特徴を分類するステップと、
前記コンピュータ化されたデータ処理手段によって、大多数分類器の前記セット内の少なくとも大多数または絶対分類器の前記セット内の少なくとも1つが前記通信特徴を異常としてマークするとき、前記データ通信の異常をシグナリングするステップと
を含む、方法。
【請求項2】
前記通信特徴は、ワードまたはキーの組合せを含み、
絶対分類器の前記セットは、前記通信特徴が異常なワードまたはキーの組合せの所定のリストに含まれる場合、前記データ通信を異常としてマークする拒否リスト分類器を含む、請求項1に記載の人間のようなパターンをシミュレートする周辺デバイスによって生成されたデータトラフィック内の異常を検出するための方法。
絶対分類器の前記セットは、前記通信特徴が異常なワードまたはキーの組合せの所定のリストに含まれる場合、前記データ通信を異常としてマークする拒否リスト分類器を含む、請求項1に記載の人間のようなパターンをシミュレートする周辺デバイスによって生成されたデータトラフィック内の異常を検出するための方法。
【請求項3】
前記通信特徴は、タイムスタンプを備えたワードを含み、
絶対分類器の前記セットは、入力特徴として前記通信特徴を使用するニューラルネットワークが所定の出力票よりも高い出力票を生成する場合、前記データ通信を異常としてマークする、ニューラルネットワーク分類器を含む、請求項1に記載の人間のようなパターンをシミュレートする周辺デバイスによって生成されたデータトラフィック内の異常を検出するための方法。
絶対分類器の前記セットは、入力特徴として前記通信特徴を使用するニューラルネットワークが所定の出力票よりも高い出力票を生成する場合、前記データ通信を異常としてマークする、ニューラルネットワーク分類器を含む、請求項1に記載の人間のようなパターンをシミュレートする周辺デバイスによって生成されたデータトラフィック内の異常を検出するための方法。
【請求項4】
前記通信特徴は、キーのタイピングとその解放との間の時間間隔として、キー解放速度特徴を含み、
絶対分類器の前記セットは、前記通信特徴が所定の解放速度しきい値未満である場合、前記通信データを異常としてマークする、キー解放速度分類器を含む、請求項1に記載の人間のようなパターンをシミュレートする周辺デバイスによって生成されたデータトラフィック内の異常を検出するための方法。
絶対分類器の前記セットは、前記通信特徴が所定の解放速度しきい値未満である場合、前記通信データを異常としてマークする、キー解放速度分類器を含む、請求項1に記載の人間のようなパターンをシミュレートする周辺デバイスによって生成されたデータトラフィック内の異常を検出するための方法。
【請求項5】
前記通信特徴は、タイプされたキーのバイトコードとしてキーコード特徴を含み、
絶対分類器の前記セットは、前記通信特徴が所定のキーボードレイアウトと矛盾する場合、前記データ通信を異常としてマークする、矛盾コード分類器を含む、請求項1に記載の人間のようなパターンをシミュレートする周辺デバイスによって生成されたデータトラフィック内の異常を検出するための方法。
絶対分類器の前記セットは、前記通信特徴が所定のキーボードレイアウトと矛盾する場合、前記データ通信を異常としてマークする、矛盾コード分類器を含む、請求項1に記載の人間のようなパターンをシミュレートする周辺デバイスによって生成されたデータトラフィック内の異常を検出するための方法。
【請求項6】
前記通信特徴は、キーまたはワードのタイピング間の時間間隔としてキータイピング速度特徴を含み、
大多数分類器の前記セットは、前記通信特徴が所定のタイピング速度しきい値未満である場合、前記データ通信を異常としてマークする、タイピング速度分類器を含む、請求項1に記載の人間のようなパターンをシミュレートする周辺デバイスによって生成されたデータトラフィック内の異常を検出するための方法。
大多数分類器の前記セットは、前記通信特徴が所定のタイピング速度しきい値未満である場合、前記データ通信を異常としてマークする、タイピング速度分類器を含む、請求項1に記載の人間のようなパターンをシミュレートする周辺デバイスによって生成されたデータトラフィック内の異常を検出するための方法。
【請求項7】
前記通信特徴は、キーペアのタイピング間の時間間隔としてキー遷移速度特徴を含み、
大多数分類器の前記セットは、前記通信特徴が所定のタイピング速度ペアしきい値よりも低い場合、前記データ通信を異常としてマークする、遷移行列分類器を含む、請求項1に記載の人間のようなパターンをシミュレートする周辺デバイスによって生成されたデータトラフィック内の異常を検出するための方法。
大多数分類器の前記セットは、前記通信特徴が所定のタイピング速度ペアしきい値よりも低い場合、前記データ通信を異常としてマークする、遷移行列分類器を含む、請求項1に記載の人間のようなパターンをシミュレートする周辺デバイスによって生成されたデータトラフィック内の異常を検出するための方法。
【請求項8】
前記通信特徴は、単一または複数のワードにわたるタイピング速度の分布としてタイピング速度分布特徴を含み、
大多数分類器の前記セットは、前記通信特徴が所定のタイピング速度分布とは異なる場合、前記データ通信を異常としてマークする、タイピング速度分布分類器を含む、請求項1に記載の人間のようなパターンをシミュレートする周辺デバイスによって生成されたデータトラフィック内の異常を検出するための方法。
大多数分類器の前記セットは、前記通信特徴が所定のタイピング速度分布とは異なる場合、前記データ通信を異常としてマークする、タイピング速度分布分類器を含む、請求項1に記載の人間のようなパターンをシミュレートする周辺デバイスによって生成されたデータトラフィック内の異常を検出するための方法。
【請求項9】
前記データ通信は、前記所定のタイムフレーム内のワードを定義することが可能な複数の前記データパケットを含む、請求項1に記載の人間のようなパターンをシミュレートする周辺デバイスによって生成されたデータトラフィック内の異常を検出するための方法。
【請求項10】
前記データ通信は、前記所定のタイムフレーム内のワードのグループを定義することが可能な複数の前記データパケットを含む、請求項1に記載の人間のようなパターンをシミュレートする周辺デバイスによって生成されたデータトラフィック内の異常を検出するための方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、自動化システムおよび工業生産システムなど、インフラストラクチャのセキュリティ管理の分野に関する。特に、本発明は、周辺デバイスによって生成されたデータトラフィック内の異常を検出するための方法に関する。
【背景技術】
【0002】
知られているタイプのセキュリティ製品は、悪意のある攻撃を検出し、それらを防止する対策を講じることも可能である。侵入防止システム、または侵入検出システム(IDS)、の大多数は、シグネチャ・ベース、統計的異常(アノマリー)・ベース、およびステートフルプロトコル分析の検出方法のうちの1つを利用する。シグネチャ・ベースのIDSは、ネットワーク内のパケットを監視し、シグネチャとして知られている事前構成され、事前決定された攻撃パターンと比較する。異常ベースであるIDSは、ネットワークトラフィックを監視し、確立されたベースラインと比較する。ベースラインは、そのネットワークにとって何が正常であるかを特定する。最後に、ステートフルプロトコル分析検出は、観測されたイベントを、一般的に受け入れられている良性アクティビティの定義の事前決定されたプロファイルと比較することによって、プロトコル状態の逸脱を特定する。
【0003】
コンピュータのネットワーク内の異常挙動を検出することは、複雑ではあるが、IDSにとって基本的なタスクである。オペレーショナルテクノロジー(OT)ネットワークについては、検出されるべき有用な異常は、デバイスが予期せぬプロトコルと通信し始めるときであり、これは、監視下にあるデバイスがネットワーク走査を実行しているネットワーク内部の悪意のあるノードによって接触された症状であり得るか、または単なる構成エラーであり得る。さらに、検出されるべき有用な異常は、正規のプロトコルを用いた通信の中で新しい機能コードが使用されるときである。この点で、機能コードはOTデバイスがサポートする動作であり、一般的な動作は、「変数読取り」、「変数書込み」、「デバイス起動」、「デバイス停止」、または「ファームウェア更新」である。これらの動作のうちのいくつかは、デバイス自体を、そして結果として、デバイスがサービスするプロセスを混乱させることがある。デバイスに送られる予期せぬ機能コードは、攻撃者がデバイスを混乱させることを試行していること、偵察の試み、または誤構成の症状であり得る。
【0004】
さらに、周辺デバイスの使用に関するサイバーセキュリティリスクは、特に外部周辺デバイスで高まっている。不正な周辺デバイスは、正規のデバイスのような見た目や感じであるように製造されるにもかかわらず、ユーザに隠され、ハッカーによって悪用される追加的な機能が組み込まれていることがある。これらの手段によって、攻撃者は、潜在的なセキュリティ影響に気づかずに、周辺デバイスを何気なく選び接続する一般的な傾向を利用し得る。そのような種類の攻撃はしばしば、サイバーリスクに対する意識が低いユーザをターゲットにし、事実上、OSIモデルのいわゆる「レイヤ8」(ユーザ層)を利用する。
【0005】
不正な周辺デバイスに関連する攻撃の状況は広範にわたる。たとえば、キーストロークインジェクション、マルウェア配信、データ引出し(exfiltration)、ネットワークトラフィックハイジャック、電気的破損、およびデータ改変に分類することが可能である。USBタイプの周辺デバイスを考慮に入れると、USBベースのサイバー攻撃の普及している例には次のものがある:
「ラバーダック」攻撃。周辺機器は、キーストロークの形態でコマンドをホストコンピュータに送るキーボードエミュレータとして働く。
「バッシュバニー」攻撃。デバイスは、キーボードもしくはマウス、大容量デバイス、またはUSBネットワークカードをシミュレートすることが可能なUSB給電小型コンピュータである。
「ラバーダック」攻撃。周辺機器は、キーストロークの形態でコマンドをホストコンピュータに送るキーボードエミュレータとして働く。
「バッシュバニー」攻撃。デバイスは、キーボードもしくはマウス、大容量デバイス、またはUSBネットワークカードをシミュレートすることが可能なUSB給電小型コンピュータである。
【0006】
USB攻撃に対する保護、または周辺デバイスからの一般的な攻撃の観点から、企業で採用される戦略はしばしば本質的に予防的である。例は、信頼できないプロバイダを回避すること、または使用を既知の/ホワイトリストデバイスに限定することを含む。
【0007】
さらに、周辺デバイストラフィック、すなわち、USBトラフィック、をスニッフィングして、それを規則に照らして評価し、必要に応じて対策を講じることが可能な検出技術が展開されている。
【0008】
データサイエンス方法は、この方向で基本的な役割を果たすことができる。たとえば、キーストロークの時系列分析は、人間のオペレータまたは所与のキーボードレイアウトに実現不可能であるタイピングパターンまたは速度を除外するのに役立ち得る。しかしながら、効果的な異常検出は、複雑な方法でいくつかの個々の特徴に依存し得る。
【0009】
単純なしきい値ベースの検出規則は、ソフトウェアを介して攻撃者によって容易に迂回され得る。最新技術に利用可能なオープンプロジェクトでさえ、ランダムな遅延の導入を通して、人工的なキーストロークインジェクションがどのように偽装され得るかを示す。
【0010】
さらに、個々の特徴は非常に多様な信頼性を有する指標を生み出すことがあり、いくつかの有意味な指標は、個々の特徴の組合せからのみ出現し得ることに留意されたい。
【0011】
周辺デバイストラフィックに伴う課題は、したがって、一層複雑な攻撃の、高速で、信頼でき、スケーラブルな認識にある。
【0012】
したがって、前記周辺デバイスからスニッフィングされたトラフィックを利用することによって、周辺デバイスの異常挙動をリアルタイムモードで特定するための能力を用いて異常を検出することが可能な方法を有することが望ましい。
【発明の概要】
【課題を解決するための手段】
【0013】
本発明の目的は、不正な周辺デバイスを検出するための方法を提供することである。具体的には、動的な、信頼できる、高速の方法で、悪意のあるアクティビティを認識することが可能なコンピュータ内のまたはネットワーク内の周辺デバイスの異常挙動を検出するための方法を提供することが望ましい。
【0014】
本発明によれば、したがって、人間のようなパターンをシミュレートする周辺デバイスによって生成されたデータトラフィック内の異常を検出するための方法について説明される。
【0015】
方法は、
コンピュータ化されたデータ処理手段によって、周辺機器によってコンピュータに送られたすべてのデータパケットを取り出すステップと、
コンピュータ化されたデータ処理手段によって、所定のタイムフレーム内の複数のデータパケットとしてデータ通信を特定するステップと、
コンピュータ化されたデータ処理手段によって、データ通信の複数の通信特徴を抽出するために、データ通信のデータパケットの各々の内容をパースするステップと、
コンピュータ化されたデータ処理手段によって、2つ以上の絶対分類器を含む二項(binary)タイプの絶対分類器(absolute classifiers)のセットを通して、および、奇数の大多数分類器(majority classifiers)を含む二項タイプの大多数分類器のセットを通して、通信特徴を分類するステップと、
コンピュータ化されたデータ処理手段によって、大多数分類器のセット内の少なくとも大多数または絶対分類器のセット内の少なくとも1つが通信特徴を異常としてマークするとき、データ通信の異常をシグナリングするステップと
を含む。
コンピュータ化されたデータ処理手段によって、周辺機器によってコンピュータに送られたすべてのデータパケットを取り出すステップと、
コンピュータ化されたデータ処理手段によって、所定のタイムフレーム内の複数のデータパケットとしてデータ通信を特定するステップと、
コンピュータ化されたデータ処理手段によって、データ通信の複数の通信特徴を抽出するために、データ通信のデータパケットの各々の内容をパースするステップと、
コンピュータ化されたデータ処理手段によって、2つ以上の絶対分類器を含む二項(binary)タイプの絶対分類器(absolute classifiers)のセットを通して、および、奇数の大多数分類器(majority classifiers)を含む二項タイプの大多数分類器のセットを通して、通信特徴を分類するステップと、
コンピュータ化されたデータ処理手段によって、大多数分類器のセット内の少なくとも大多数または絶対分類器のセット内の少なくとも1つが通信特徴を異常としてマークするとき、データ通信の異常をシグナリングするステップと
を含む。
【0016】
さらなる実施形態では、通信特徴は、ワードまたはキーの組合せを含み、
絶対分類器のセットは、通信特徴が異常なワードまたはキーの組合せの所定のリストに含まれる場合、データ通信を異常としてマークする拒否リスト分類器を含む。
絶対分類器のセットは、通信特徴が異常なワードまたはキーの組合せの所定のリストに含まれる場合、データ通信を異常としてマークする拒否リスト分類器を含む。
【0017】
さらなる実施形態では、通信特徴は、タイムスタンプを備えたワードを含み、
絶対分類器のセットは、入力特徴として通信特徴を使用するニューラルネットワークが所定の出力票よりも高い出力票(output vote)を生成する場合、データ通信を異常としてマークする、ニューラルネットワーク分類器を含む。
絶対分類器のセットは、入力特徴として通信特徴を使用するニューラルネットワークが所定の出力票よりも高い出力票(output vote)を生成する場合、データ通信を異常としてマークする、ニューラルネットワーク分類器を含む。
【0018】
さらなる実施形態では、通信特徴は、キーのタイピングとその解放との間の時間間隔として、キー解放速度特徴を含み、
絶対分類器のセットは、通信特徴が所定の解放速度しきい値未満である場合、データ通信を異常としてマークする、キー解放速度分類器を含む。
絶対分類器のセットは、通信特徴が所定の解放速度しきい値未満である場合、データ通信を異常としてマークする、キー解放速度分類器を含む。
【0019】
さらなる実施形態では、通信特徴は、タイプされたキーのバイトコードとしてキーコード特徴を含み、
絶対分類器のセットは、通信特徴が所定のキーボードレイアウトと矛盾する場合、データ通信を異常としてマークする、矛盾コード分類器を含む。
絶対分類器のセットは、通信特徴が所定のキーボードレイアウトと矛盾する場合、データ通信を異常としてマークする、矛盾コード分類器を含む。
【0020】
さらなる実施形態では、通信特徴は、キーまたはワードのタイピング間の時間間隔としてキータイピング速度特徴を含み、
大多数分類器のセットは、通信特徴が所定のタイピング速度しきい値未満である場合、データ通信を異常としてマークする、タイピング速度分類器を含む。
大多数分類器のセットは、通信特徴が所定のタイピング速度しきい値未満である場合、データ通信を異常としてマークする、タイピング速度分類器を含む。
【0021】
さらなる実施形態では、通信特徴は、キーペアのタイピング間の時間間隔としてキー遷移速度特徴を含み、
大多数分類器のセットは、通信特徴が所定のタイピング速度ペアしきい値よりも低い場合、データ通信を異常としてマークする、遷移行列分類器を含む。
大多数分類器のセットは、通信特徴が所定のタイピング速度ペアしきい値よりも低い場合、データ通信を異常としてマークする、遷移行列分類器を含む。
【0022】
さらなる実施形態では、通信特徴は、単一または複数のワードにわたるタイピング速度の分布としてタイピング速度分布特徴を含み、
大多数分類器のセットは、通信特徴が所定のタイピング速度分布とは異なる場合、データ通信を異常としてマークする、タイピング速度分布分類器を含む。
大多数分類器のセットは、通信特徴が所定のタイピング速度分布とは異なる場合、データ通信を異常としてマークする、タイピング速度分布分類器を含む。
【0023】
さらなる実施形態では、データ通信は、所定のタイムフレーム内のワードを定義することが可能な複数のデータパケットを含む。
【0024】
さらなる実施形態では、データ通信は、所定のタイムフレーム内のワードのグループを定義することが可能な複数のデータパケットを含む。
【発明を実施するための形態】
【0025】
本発明は、ネットワーク内のコンピュータまたはインフラストラクチャに接続された、人間のようなパターンをシミュレートする周辺デバイスによって生成されたデータトラフィック内の異常を検出するための方法に関する。
【0026】
本発明による方法は、いかなる種類のコンピュータまたはコンピュータのネットワークにおいても有用な応用が見いだされる。さらに、この方法は、情報技術(IT)、オペレーションテクノロジー(OT)、およびモノのインターネット(IoT)を含め、すべての技術環境で有用な応用が見いだされる。
【0027】
以下の説明は、周辺機器としてUSBキーボードを参照するが、本発明は、ワイヤレスキーボード、キーボードまたはポインティングデバイスをシミュレートすることが可能なワイヤレスポインティングデバイスまたはワイヤレス周辺装置など、コンピュータと通信するために使用される種類の接続に制限することなく、人間のようなパターンをシミュレートすることができるいかなる種類の周辺機器に対しても有用な応用が見いだされる。
【0028】
本発明の目的は、異常をリアルタイムモードで検出するための方法を提供することである。具体的には、本発明の目標は、周辺機器とその周辺機器が動的な方法で接続されているコンピュータとの間で交換されるデータパターンの異常を検出するための方法を提供することである。
【0029】
この点で、本発明による方法は、分類器に基づくものであり、また、機械学習方法、およびそれらの結果集約にも基づく。
【0030】
「分類器」という用語は、本発明において、入力として特徴O={f1,f2,f3}の集合で構成された特定の観測量Oを所与として、この観測量をすべての可能なカテゴリーのグループから取り出された1つまたは複数のカテゴリーに関連付けるエンティティに関する。たとえば、分類器は、動物の写真を所与として、その特定の動物を示すすべての写真を認識するアルゴリズムであり得る。二項分類器は、そこから選定すべき2つの相互排他的カテゴリーのみを有する分類器に関する。分類器アンサンブルは、分類器のグループであって、各分類器が、観測量が属するカテゴリーを投票するものに関する。
【0031】
本発明による方法の開始点は、コンピュータ化されたデータ処理手段による、周辺機器によってコンピュータに送られたすべてのデータパケットの取出しである。好ましい実施形態では、データパケットは、USBキーボードが接続されたコンピュータに向けてUSBキーボードによって生成されたUSBトラフィックから取り出される。
【0032】
この方法は、コンピュータ化されたデータ処理手段によって、所定のタイムフレーム内の複数のデータパケットとしてデータ通信を特定する(すなわち、スニッフィングする)ステップをさらに含む。USBデバイスによって生成されたトラフィックをリッスンしているとき、空でないデータパケットを待つ必要がある。
【0033】
したがって、コンピュータ化されたデータ処理手段によって、データ通信の複数の通信特徴を抽出するために、データ通信のデータパケットの各々の内容のパースが行われる。新しいデータパケットが受信されるときはいつでも、データパケットは分析され、その内容はパースされて、最終的に揮発性または不揮発性の記憶媒体内に記憶される。
【0034】
十分なデータパケットが分析されると、以下でより詳細に説明されるように、トラフィック分析がトリガされる。本明細書で詳述されるように、十分なデータパケットがいつ分析されたかを決定するために多くの異なる基準が使用され得る。
【0035】
好ましい実施形態では、データ通信は、所定のタイムフレーム内のワードを定義することが可能な複数の前記データパケットを含む。すなわち、タイムフレームは、固定されず、分析される複数のデータパケットによるワードの再構成によって決定される。このワードベースの分析は、USBデータパケットからタイプされたワードを再構成することによって行われる。この手法は、タイピング速度のといった特徴を分析するだけでなく、書き込まれているものの意味的分析も行うことを可能にする。さらに、データパケットは、移動形式のタイムフレーム内にあると考えられてよく、すなわち、シフトするタイムフレームの中のデータパケットを考える。
【0036】
この戦略の効率を最適化するために、記憶されたパケットをいつ分析するかについての最良の選択肢は、ワードを分けるために一般に使用されるキーが押下されたときである。一例として、特定のワードの終了の標識として、以下のキーのグループを使用することが可能である:
セパレータキー:Enter、Tab、スペースバー、および句読点キーなど;
垂直ナビゲーションキー:上向きおよび下向き矢印、ページアップ、ページダウン、および終了;
ファンクションキー:F1、F2、F3、など;
他の特殊キー:Num Lock、クリア、ホーム、挿入、エスケープ、プリントスクリーン、ポーズ。
セパレータキー:Enter、Tab、スペースバー、および句読点キーなど;
垂直ナビゲーションキー:上向きおよび下向き矢印、ページアップ、ページダウン、および終了;
ファンクションキー:F1、F2、F3、など;
他の特殊キー:Num Lock、クリア、ホーム、挿入、エスケープ、プリントスクリーン、ポーズ。
【0037】
さらなる実施形態では、データ通信は、所定のタイムフレーム内のワードのグループを定義することが可能な複数のデータパケットを含む。すなわち、タイムフレームは、固定されず、分析される複数のデータパケットによる所定数のワードグループの再構成によって決定される。この点で、ワードの所定数は好ましくは3に等しくてよいが、3よりも多い数のワードがグループ化されてよい。さらに、データパケットは、移動様式のタイムフレーム内にあると考えられてよく、すなわち、シフトするタイムフレームの中のデータパケットを考える。
【0038】
上述のように、複数のデータパケットを有することは、より複雑な分析を可能にし、したがって、単なるタイピング速度以上の情報を外挿することを可能にする。この点で、本発明において、より多くのおよび/または異なる通信特徴も考慮に入れることができる、最高の情報をもたらす通信特徴が、本明細書において非限定的な説明で定義される。
【0039】
本実施形態で考慮される通信特徴は、したがって、「キー解放速度特徴」、すなわち、キーのタイピングとその解放との間の時間間隔、「ワード、キーの組合せおよびショートカット特徴」、「タイムスタンプを備えたワード」、キー(キーストローク)またはワードのタイピング間の時間間隔などの「キータイピング速度特徴」、特定のキーペアのタイピング間の時間間隔などの「キー遷移速度特徴」、単一または複数のワードにわたるタイピング速度の分布などの「タイピング速度分布特徴」である。さらに、タイプされたキーのバイトコードといった「キーコード特徴」であり、キーコードとキーボードレイアウトとの間の一貫性が考慮され、すなわち、押下されたキーのバイトコードがそのデバイスから我々が予想するものと一貫性があるかどうかである。たとえば、USレイアウトキーボードから日本語キーボードのキーコードが受信された場合、これは、矛盾するとしてシグナリングされることになる。
【0040】
データ通信の定義に続いて、本発明による方法は、コンピュータ化されたデータ処理手段によって、2つ以上の絶対分類器を含む二項タイプの絶対分類器のセットを通して、および、奇数の大多数分類器を含む二項タイプの大多数分類器のセットを通して、通信特徴を分類するステップを含む。したがって、抽出される通信特徴は、分析されたデータパケットから導出され、次いで、機械を操作する通常の人間によって生成されたまたは悪意のあるトラフィックインジェクションによって生成されたパターン、すなわち、USBトラフィック、を区別することを目標とする分類システムに送られる。
【0041】
本明細書において実装される分類システムは、二項分類器のアンサンブルである。上述のように、このアンサンブル内の各分類器は、抽出された通信特徴を所与として、「正常パターン」(人間)または「異常パターン」(悪意のある)のいずれかに投票する。
【0042】
最終的な選定は、特別に設計された投票システムを使用して計算される。具体的には、本発明による方法は、コンピュータ化されたデータ処理手段によって、大多数分類器のセットの少なくとも大多数および絶対分類器のセットの少なくとも1つが通信特徴を異常としてマークするとき、データ通信の異常をシグナリングするステップを含む。
【0043】
第1の例では、いわゆる「単純攻撃」を考える。このタイプの攻撃は、トラフィック、すなわち、データパケット、を最高可能速度で投入することによって行われる。このタイプの攻撃の利点は、それがほぼ即時であり、したがって、ユーザが気づくことは非常に困難なことである。しかしながら、このタイプの攻撃は、特定のデバイスのUSBトラフィックから(または、概して任意の種類のトラフィックから)外挿されたキータイピング速度特徴を分析する「単純」検出方法を使用して容易に検出され得る。このクラスの攻撃を検出するために、定数のデータパケットに関するキータイピング速度特徴の平均を計算し、それが一定のしきい値未満になるときはいつでもアラートを引き起こすことが可能である。100ミリ秒から200ミリ秒の人間的なタイピング速度範囲の平均値、したがって、タイピング速度に関する人間的なしきい値の一例は、50ミリ秒から80ミリ秒であり、そのようなしきい値未満で、キーストロークは異常としてマークされ得る。
【0044】
他方で、より複雑な攻撃の場合、キータイピング速度特徴に基づく検出方法は、悪意のあるトラフィックインジェクションを検出するのに十分ではない。複雑な攻撃の一例は、人間的なタイピングをシミュレートするために、各データパケットの送信間に遅延が導入される状況であり得る。この点で、より多くのおよび/または異なる分類器が考慮に入れられてもよい以下の分類器が本明細書で非限定的な説明において定義される。
【0045】
本実施形態で考慮される分類器は、したがって、大多数投票者の分類器として「タイピング速度分類器」、「遷移行列分類器」、および「タイピング速度全分布分類器」である。さらに、本発明で考慮される分類器は、したがって、絶対投票者の分類器として「拒否リスト分類器」、「ニューラルネットワーク分類器」、「キー解放速度分類器」、および「矛盾コード分類器」である。
【0046】
ワードまたはキーの組合せを含む通信特徴を考慮に入れると、絶対分類器のセットは、通信特徴が異常なワードまたはキーの組合せの所定のリストに含まれる場合、データ通信を異常としてマークする拒否リスト分類器を含み得る。したがって、拒否リスト分類器は、トラフィックまたはデータパケットからパースされた、再構成されたワード、コマンド、およびショートカットを分析する。これらのワードおよびコマンドは、次いで、禁じられたまたは異常なワード、パターン、およびコマンドのリストと比較される。これらのうちのいずれかがこのリストに属する場合、トラフィックは異常と考えられる。
【0047】
タイムスタンプを備えたワードを含む通信特徴を考慮に入れると、絶対分類器のセットは、入力特徴として通信特徴を使用しているニューラルネットワークが所定の出力票よりも高い出力票を生成する場合、データ通信を異常としてマークする、ニューラルネットワーク分類器を含み得る。したがって、ニューラルネットワーク分類器は、トラフィックが人間的なタイピングに適合するかどうかを決定するために人工ニューラルネットワークを使用する。ネットワークは、各キーがタイプ/解放されるタイムスタンプと一緒に、タイプされたワードを入力特徴として使用し、その投票を表す二項出力を生成する。出力が0である場合、トラフィックは人間的であると見なされ、そうでない場合、トラフィックは異常と見なされる。ニューラルネットワークをトレーニングするために使用されるデータセットは、タイプしている数人の人物から生成される有効なトラフィックと、いくつかのシミュレートされた攻撃シナリオの両方からなる。
【0048】
キー解放速度特徴を含む通信特徴を考慮に入れると、絶対分類器のセットは、通信特徴が所定の解放速度しきい値未満である場合、データ通信を異常としてマークする、キー解放速度分類器を含み得る。したがって、キー解放速度分類器は、キーのタイピングとその解放との間の時間を検査する。その時間間隔がキーボードの機械的(または電子的)限界未満である場合、トラフィックは異常と見なされる。キータイピング速度分類器と同様に、ワード全体の平均キー解放速度を考慮することが好ましい。この値は、次いで、30ミリ秒のしきい値に対して検査される。観測値がそのようなしきい値よりも低い場合、トラフィックは異常と見なされる。
【0049】
キーコード特徴を含む通信特徴を考慮に入れると、絶対分類器のセットは、通信特徴が所定のキーボードレイアウトに対して矛盾がある場合、データ通信を異常としてマークする、矛盾コード分類器を含み得る。したがって、矛盾コード分類器は、受信されたUSBパケットが現在のレイアウトと矛盾するコードを含むかどうかを検査する。そうであるならば、トラフィックは異常と見なされる。たとえば、現在のキーボードレイアウトはUSであるが、日本語またはブラジル語の文字に関するコードが受信される場合、分類器はそのトラフィックを異常としてマークすることになる。
【0050】
キータイピング速度特徴を含む通信特徴を考慮に入れると、絶対分類器のセットは、通信特徴が所定のタイピング速度しきい値未満である場合、データ通信を異常としてマークする、タイピング速度分類器を含み得る。したがって、タイピング速度分類器は、ワードがタイプされる連続的なキーストローク間の時間間隔として定義されるタイピング速度を考慮する。ワードのタイピング速度が人間的なしきい値未満である場合、トラフィックは異常としてマークされる。本発明では、単一のキーストロークのタイピング速度とより一貫したワード全体の平均タイピング速度の使用が好ましい。ワード全体の平均タイピング速度は、次いで、80ミリ秒のしきい値と比較される。
【0051】
キー遷移速度特徴を含む通信特徴を考慮に入れると、絶対分類器のセットは、通信特徴が各キーペアに固有の所定のタイピング速度しきい値よりも低い場合、データ通信を異常としてマークする、遷移行列分類器を含み得る。したがって、遷移行列分類器は、各キーペアのタイピング間の時間間隔を検査し、キーボードレイアウトに応じて、それを人間的な値と比較する。たとえば、文字「a」および「b」が人間の平均時間間隔に適合しない時間間隔内でタイプされた場合、キーボードレイアウトを所与として、トラフィックは異常と見なされることになる。本発明では、「人間の時間間隔値」を取得するために、大量の悪意のないトラフィックが分析されている。このトラフィックから、その標準偏差と一緒に、各キーペアに対する平均時間間隔が外挿されている。次いで、ラムダインデックスを使用して時間間隔適合性が計算される:
【0052】
【数1】
【0053】
ここで「t」はキーペア間の時間間隔であり、「tm」は、キーペアに対する平均時間間隔であり、「σ」は標準偏差である。好ましい実施形態では、「λ」の値が2よりも大きい場合、トラフィックは異常と見なされる。
【0054】
タイピング速度分布特徴を含む通信特徴を考慮に入れると、絶対分類器のセットは、通信特徴が所定のタイピング速度分布とは異なる場合、データ通信を異常としてマークする、タイピング速度分布分類器を含み得る。したがって、タイピング速度分布分類器は、1つまたは複数のワードにわたるタイピング速度の分布全体を考慮し、それを人間的な分布と比較する。2つの分布が適合しない場合、トラフィックは異常と考えられる。タイピング速度の人間的な分布は、前の分類器に対する遷移行列と同様に、大量の悪意のないトラフィックを分析することによって取得される。本発明では、Jensen-Shannon発散が適合性の測度として使用されるが、さらなる代替策が考慮されてもよい。この点で、トラフィックが異常と見なされるしきい値は、距離が0.5を超えるときである。
【0055】
最終的に、投票システムに対する多くの可能なオプションの中から、本発明では、組み合わされた大多数および絶対投票システムが定義される。
【0056】
分類器は2つのグループ、すなわち、大多数投票者および絶対投票者、に分割される。データパケット分析から抽出された特徴は、各分類器に送られ、各グループの投票が収集される。各グループの投票から、最終的な決定が行われる。大多数投票者の場合、その名前が示唆するように、分類器の大多数がトラフィックは異常であると投票した場合、それはそのようにマークされることになる。他方で、絶対投票者の場合、単一の分類器がトラフィックを異常であると投票することは、それをそのようにマークするには十分である。
【0057】
大多数投票者および絶対投票者からの最終投票は、次いで、絶対投票システムを使用して、もう一度組み合わされ、すなわち、絶対投票者と大多数投票者の両方がそれをそのように分類した場合のみ、パターンは「正常」と見なされることになる。この戦略は、方法論的に、大多数グループの最終的な投票を絶対投票グループ内の投票のうちの1つと見なすことに等しい。
【0058】
二項分類器をこれらの2つのグループに分けることの背後にある理論的根拠は、非常に異なる精度および挙動の分類器を離すことである。より具体的には、これらは、一緒にグループ化されており、大多数投票グループ内で、多くの可能な攻撃戦略の有効な全体的な検出を有すが、それに対するフォールスポジティブ検出またはフォールスネガティブ検出は珍しくない分類器である。投票システムにおいてこの挙動を有する多くの分類器の組合せは、検出力を高めながら、フォールスポジティブおよびフォールスネガティブの数をかなり削減することを可能にする。他方で、絶対投票グループの分類器部分は、完全に異なる挙動を有さなければならない。それらの投票の重要性を考慮すると、これらがフォールスポジティブを返す見込みは非常に低いはずである。まさにこの理由で、このグループ内の分類器の各々は特定の特徴または攻撃に集中する。これは(代わりに大多数投票者によって検出される)より一般的な攻撃に対してこれらの分類器から多くのフォールスネガティブ検出をもたらすが、特定の攻撃の非常に正確な検出を保証する(高精度および低リコール)。
【0059】
選定されたハイブリッド投票戦略、すなわち、大多数投票と絶対投票の組合せ、は、非常に有効な全体的な検出結果を可能にする。実際に、大多数投票システムにより、本発明による方法は、一般的な、特に洗練されていない攻撃(たとえば、高速トラフィックインジェクションなど)を検出することが可能である。さらに、絶対投票システムにより、より特定かつ複雑な攻撃(たとえば、リプレイされた人間的なインジェクション)を検出することも可能である。
【0060】
本発明は、したがって、悪意のある周辺デバイスからの、具体的には、USBタイプの周辺デバイスからの、トラフィックインジェクションを検出することが可能な検出パイプラインを定義する。
【0061】
本発明は、いくつかの異なる方法論で実行され得る、やはり複雑なタイプの多種多様な攻撃を特定することが可能である。
【外国語明細書】