知財求人 - 知財ポータルサイト「IP Force」
▶ オラクル・インターナショナル・コーポレイションの特許一覧
特許7499262セキュリティシステムエンティティを動的に修正するための方法、システム、およびコンピュータ読取可能媒体
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-06-05
(45)【発行日】2024-06-13
(54)【発明の名称】セキュリティシステムエンティティを動的に修正するための方法、システム、およびコンピュータ読取可能媒体
(51)【国際特許分類】
G06F 21/57 20130101AFI20240606BHJP
【FI】
G06F21/57 370
【請求項の数】
17
(21)【出願番号】P 2021544658
(86)(22)【出願日】2020-01-17
(65)【公表番号】
(43)【公表日】2022-04-12
(86)【国際出願番号】 US2020014017
(87)【国際公開番号】W WO2020176174
(87)【国際公開日】2020-09-03
【審査請求日】2023-01-17
(31)【優先権主張番号】16/286,508
(32)【優先日】2019-02-26
(33)【優先権主張国・地域又は機関】US
(73)【特許権者】
【識別番号】502303739
【氏名又は名称】オラクル・インターナショナル・コーポレイション
(74)【代理人】
【識別番号】110001195
【氏名又は名称】弁理士法人深見特許事務所
(72)【発明者】
【氏名】ゴパル,ラジャット
(72)【発明者】
【氏名】リウ,チョン
【審査官】岸野 徹
(56)【参考文献】
【文献】特開2007-006054(JP,A)
【文献】国際公開第2013/084381(WO,A1)
【文献】特開2015-035061(JP,A)
【文献】米国特許出願公開第2005/0198099(US,A1)
【文献】特表2010-510707(JP,A)
【文献】特表2009-543163(JP,A)
【文献】米国特許出願公開第2014/0351940(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/57
(57)【特許請求の範囲】
【請求項1】
信頼されているネットワークをサポートするセキュリティシステムエンティティ(SSE)のためのベースラインセキュリティスコアを、前記SSEのセキュリティ構成に基づいて確立するステップと、前記信頼されているネットワークに向けられた進入ネットワークトラフィックフローを、前記SSEによって受信するステップと、
前記SSEの前記セキュリティ構成と、前記SSEを介して前記信頼されているネットワークへの進入を許可された前記進入ネットワークトラフィックフローとに基づいて、前記SSEのための更新されたセキュリティスコアを求めるステップと、
前記更新されたセキュリティスコアが既定の量だけ前記ベースラインセキュリティスコアとは異なる場合に、前記SSEの前記セキュリティ構成の自動改善を介して前記SSEを動的に修正するステップとを含み、
前記ベースラインセキュリティスコアおよび前記更新されたセキュリティスコアの各々は、受信された前記進入ネットワークトラフィックフローの複数の異なるネットワーク抽象化層のそれぞれに存在するネットワークトラフィックフローパラメータの評価に対応する複数のトラフィック多様性指数に基づく動的セキュリティスコアを含む、コンピュータによって実行される方法。
【請求項2】
前記ベースラインセキュリティスコアおよび前記更新されたセキュリティスコアの各々は、静的セキュリティスコアをさらに含む、請求項1に記載のコンピュータによって実行される方法。
【請求項3】
前記SSEのための前記更新されたセキュリティスコアは、前記信頼されているネットワークから受信され、前記SSEを横断することを許可された前記進入ネットワークトラフィックフローに基づく、請求項2に記載のコンピュータによって実行される方法。
【請求項4】
前記SSEは、前記セキュリティ構成を前記SSEに提供するために使用されるインターフェイスを含むシステム構成マネージャを含む、請求項1~3のいずれか1項に記載のコンピュータによって実行される方法。
【請求項5】
前記SSEの前記セキュリティ構成を改善するステップは、以前に承認されたセキュリティ構成状態に戻るステップを含む、請求項1~4のいずれか1項に記載のコンピュータによって実行される方法。
【請求項6】
前記SSEは、セキュアインターネットゲートウェイ、ファイアウォール、またはネットワークトラフィックセキュリティゲートウェイ機能を含む、請求項1~5のいずれか1項に記載のコンピュータによって実行される方法。
【請求項7】
少なくとも1つのプロセッサおよびメモリを含むセキュリティシステムエンティティ(SSE)と、前記メモリに格納されたセキュリティ評価エンジン(SAE)とを含む、システムであって、
前記SAEは、前記少なくとも1つのプロセッサによって実行されると、
信頼されているネットワークをサポートする前記SSEのためのベースラインセキュリティスコアを、前記SSEのセキュリティ構成に基づいて確立し、
前記信頼されているネットワークに向けられた進入ネットワークトラフィックフローを、前記SSEを介して処理し、
前記SSEの前記セキュリティ構成と、前記SSEを介して前記信頼されているネットワークへの進入を許可された前記進入ネットワークトラフィックフローの一部とに基づいて、前記SSEのための更新されたセキュリティスコアを求め、
前記更新されたセキュリティスコアが既定の量だけ前記ベースラインセキュリティスコアとは異なる場合に、前記SSEの前記セキュリティ構成の自動改善を介して前記SSEを動的に修正する、
ために構成され、
前記ベースラインセキュリティスコアおよび前記更新されたセキュリティスコアの各々は、受信された前記進入ネットワークトラフィックフローの複数の異なるネットワーク抽象化層のそれぞれに存在するネットワークトラフィックフローパラメータの評価に対応する複数のトラフィック多様性指数に基づく動的セキュリティスコアを含む、システム。
【請求項8】
前記ベースラインセキュリティスコアおよび前記更新されたセキュリティスコアの各々は、静的セキュリティスコアと、前記動的セキュリティスコアとを含む、請求項7に記載のシステム。
【請求項9】
前記SSEのための前記更新されたセキュリティスコアは、前記信頼されているネットワークから受信され、前記SSEを横断することを許可された前記進入ネットワークトラフィックフローに基づく、請求項8に記載のシステム。
【請求項10】
前記SSEは、前記セキュリティ構成を前記SSEに提供するために使用されるインターフェイスを含むシステム構成マネージャを含む、請求項7~9のいずれか1項に記載のシステム。
【請求項11】
前記SSEの前記セキュリティ構成を改善することは、以前に承認されたセキュリティ構成状態に戻ることを含む、請求項7~10のいずれか1項に記載のシステム。
【請求項12】
前記SSEは、セキュアインターネットゲートウェイ、ファイアウォール、またはネットワークトラフィックセキュリティゲートウェイ機能を含む、請求項7~11のいずれか1項に記載のシステム。
【請求項13】
コンピュータのプロセッサによって実行されると複数のステップを行なうように前記コンピュータを制御する実行可能命令を備えるプログラムであって、前記複数のステップは、信頼されているネットワークをサポートするセキュリティシステムエンティティ(SSE)のためのベースラインセキュリティスコアを、前記SSEのセキュリティ構成に基づいて確立するステップと、
前記信頼されているネットワークに向けられた進入ネットワークトラフィックフローを、前記SSEによって受信するステップと、
前記SSEの前記セキュリティ構成と、前記SSEを介して前記信頼されているネットワークへの進入を許可された前記進入ネットワークトラフィックフローの一部とに基づいて、前記SSEのための更新されたセキュリティスコアを求めるステップと、
前記更新されたセキュリティスコアが既定の量だけ前記ベースラインセキュリティスコアとは異なる場合に、前記SSEの前記セキュリティ構成の自動改善を介して前記SSEを動的に修正するステップとを含み、
前記ベースラインセキュリティスコアおよび前記更新されたセキュリティスコアの各々は、受信された前記進入ネットワークトラフィックフローの複数の異なるネットワーク抽象化層のそれぞれに存在するネットワークトラフィックフローパラメータの評価に対応する複数のトラフィック多様性指数に基づく動的セキュリティスコアを含む、プログラム。
【請求項14】
前記ベースラインセキュリティスコアおよび前記更新されたセキュリティスコアの各々は、静的セキュリティスコアと、前記動的セキュリティスコアとを含む、請求項13に記載のプログラム。
【請求項15】
前記SSEのための前記更新されたセキュリティスコアは、前記信頼されているネットワークから受信され、前記SSEを横断することを許可された前記進入ネットワークトラフィックフローに基づく、請求項14に記載のプログラム。
【請求項16】
前記SSEは、前記セキュリティ構成を前記SSEに提供するために使用されるインターフェイスを含むシステム構成マネージャを含む、請求項13~15のいずれか1項に記載のプログラム。
【請求項17】
前記SSEの前記セキュリティ構成を改善するステップは、以前に承認されたセキュリティ構成状態に戻るステップを含む、請求項13~16のいずれか1項に記載のプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
優先権主張
本願は、2019年2月26日に出願された米国特許出願連続番号第16/286,508号の優先権利益を主張する。当該特許出願の開示は、その全体がここに引用により援用される。
本願は、2019年2月26日に出願された米国特許出願連続番号第16/286,508号の優先権利益を主張する。当該特許出願の開示は、その全体がここに引用により援用される。
【0002】
技術分野
ここに説明される主題は、企業ネットワークに関連付けられたセキュリティシステムを修正するためにネットワークトラフィックフローを動的に評価することに関する。より特定的には、ここに説明される主題は、セキュリティシステムエンティティを動的に修正するための方法、システム、およびコンピュータ読取可能媒体に関する。
ここに説明される主題は、企業ネットワークに関連付けられたセキュリティシステムを修正するためにネットワークトラフィックフローを動的に評価することに関する。より特定的には、ここに説明される主題は、セキュリティシステムエンティティを動的に修正するための方法、システム、およびコンピュータ読取可能媒体に関する。
【背景技術】
【0003】
背景
現在、企業ネットワーキングアプリケーションセキュリティシステムは、企業ネットワーク環境などの信頼されているネットワークを保護する任務を負うネットワーク機能またはアプリケーションサーバに対して実施されるように定義されたセキュリティポリシーに大いに依存する。とりわけ、セキュリティシステムをこのように使用することは、構成管理とログおよびイベント分析との利用を伴う。しかしながら、これらの手法はしばしば、セキュリティシステムデバイスが意図的に、偶然、または悪意を持って再構成されたインスタンスを区別できない。また、セキュリティシステムの構成の変化が意図的である場合でさえ、そのような変化がよりセキュアなシステムをもたらすか否かが必ずしも明らかであるとは限らない。
現在、企業ネットワーキングアプリケーションセキュリティシステムは、企業ネットワーク環境などの信頼されているネットワークを保護する任務を負うネットワーク機能またはアプリケーションサーバに対して実施されるように定義されたセキュリティポリシーに大いに依存する。とりわけ、セキュリティシステムをこのように使用することは、構成管理とログおよびイベント分析との利用を伴う。しかしながら、これらの手法はしばしば、セキュリティシステムデバイスが意図的に、偶然、または悪意を持って再構成されたインスタンスを区別できない。また、セキュリティシステムの構成の変化が意図的である場合でさえ、そのような変化がよりセキュアなシステムをもたらすか否かが必ずしも明らかであるとは限らない。
【0004】
したがって、セキュリティシステムエンティティを動的に修正するための方法、システム、およびコンピュータ読取可能媒体の必要性が存在する。
【発明の概要】
【0005】
概要
ここに説明される主題は、セキュリティシステムエンティティを動的に修正するための方法、システム、およびコンピュータ読取可能媒体を含む。1つの方法は、信頼されているネットワークをサポートするセキュリティシステムエンティティ(security system entity:SSE)のためのセキュリティスコアを、SSEのセキュリティポリシー構成に基づいて確立するステップを含む。方法はさらに、信頼されているネットワークに向けられた進入ネットワークトラフィックフローを、SSEによって受信するステップと、SSEのセキュリティポリシー構成と、SSEを介して信頼されているネットワークへの進入を許可された進入ネットワークトラフィックフローとに基づいて、SSEのための更新されたセキュリティスコアを求めるステップとを含む。方法はまた、更新されたセキュリティスコアが既定の量だけベースラインセキュリティスコアとは異なる場合に、SSEのセキュリティポリシー構成を改善するステップを含む。
ここに説明される主題は、セキュリティシステムエンティティを動的に修正するための方法、システム、およびコンピュータ読取可能媒体を含む。1つの方法は、信頼されているネットワークをサポートするセキュリティシステムエンティティ(security system entity:SSE)のためのセキュリティスコアを、SSEのセキュリティポリシー構成に基づいて確立するステップを含む。方法はさらに、信頼されているネットワークに向けられた進入ネットワークトラフィックフローを、SSEによって受信するステップと、SSEのセキュリティポリシー構成と、SSEを介して信頼されているネットワークへの進入を許可された進入ネットワークトラフィックフローとに基づいて、SSEのための更新されたセキュリティスコアを求めるステップとを含む。方法はまた、更新されたセキュリティスコアが既定の量だけベースラインセキュリティスコアとは異なる場合に、SSEのセキュリティポリシー構成を改善するステップを含む。
【0006】
セキュリティシステムエンティティを動的に修正するためのシステムは、少なくとも1つのプロセッサおよびメモリを含むセキュリティシステムエンティティ(SSE)を含む。システムはさらに、メモリに格納されたセキュリティ評価エンジン(security assessment engine:SAE)を含み、SAEは、少なくとも1つのプロセッサによって実行されると、信頼されているネットワークをサポートするSSEのためのベースラインセキュリティスコアを、SSEのセキュリティ構成に基づいて確立し、信頼されているネットワークに向けられた進入ネットワークトラフィックフローを、SSEを介して処理し、SSEのセキュリティ構成と、SSEを介して信頼されているネットワークへの進入を許可された進入ネットワークトラフィックフローとに基づいて、SSEのための更新されたセキュリティスコアを求め、更新されたセキュリティスコアが既定の量だけベースラインセキュリティスコアとは異なる場合に、SSEのセキュリティ構成を改善するために構成される。ここに使用されるように、ネットワークトラフィックフロー(たとえば、パケットフローまたはネットワークフロー)は、ソースコンピュータから宛先へ通信されるパケット(またはフレーム)のシーケンスを含み、宛先は、別のホスト、マルチキャストグループ、またはブロードキャストドメインであってもよい。いくつかの実施形態では、ネットワークトラフィックフローは、同様のソースインターネットプロトコル(Internet protocol:IP)アドレスおよびポート番号と、同様の宛先IPアドレスおよびポート番号とを含むことによって特徴付けられてもよい。
【0007】
ここに説明される主題は、ハードウェア、ソフトウェア、ファームウェア、またはそれらの任意の組合せで実現されてもよい。そのため、ここに使用される「機能」、「ノード」、または「エンジン」という用語は、説明されている特徴を実現するためのハードウェアを指すが、それはまた、ソフトウェアおよび/またはファームウェアコンポーネントを含んでいてもよい。例示的な一実現化例では、ここに説明される主題は、コンピュータのプロセッサによって実行されると複数のステップを行なうようにコンピュータを制御するコンピュータ実行可能命令が格納された、非一時的コンピュータ読取可能媒体を使用して実現されてもよい。ここに説明される主題を実現するのに好適である例示的なコンピュータ読取可能媒体は、ディスクメモリデバイス、チップメモリデバイス、プログラマブルロジックデバイス、および特定用途向け集積回路などの非一時的コンピュータ読取可能媒体を含む。加えて、ここに説明される主題を実現するコンピュータ読取可能媒体は、単一のデバイスまたはコンピューティングプラットフォーム上に位置していてもよく、もしくは、複数のデバイスまたはコンピューティングプラットフォームにわたって分散されてもよい。
【図面の簡単な説明】
【0008】
【図1】ここに説明される主題の一実施形態に従った、セキュリティシステムエンティティを動的に修正するための例示的なネットワークを示すブロック図である。
【図2】ここに説明される主題の一実施形態に従った例示的なセキュリティシステムエンティティを示すブロック図である。
【図3A】ここに説明される主題の一実施形態に従った、セキュリティシステムエンティティを動的に修正するための例示的なプロセスを示すフローチャートである。
【図3B】ここに説明される主題の一実施形態に従った、セキュリティシステムエンティティを動的に修正するための例示的なプロセスを示すフローチャートである。
【発明を実施するための形態】
【0009】
詳細な説明
セキュリティシステムエンティティ(SSE)を動的に修正するための方法、システム、およびコンピュータ読取可能媒体が開示される。いくつかの実施形態では、開示される主題は、SSEのセキュリティスコアがいつ変化するかを検出するために、システムのセキュリティ構成および処理されたネットワークトラフィックフローの動的分析の使用を通してセキュリティシステムデバイス(たとえばSSE)のセキュリティスコアを生成することを含む。SSEの完全性またはセキュリティのレベルを評価するためのシステム監視に注目する代わりに、開示される主題は、SSEに入ってその後出る処理されたネットワークトラフィックフローに注目する。具体的には、開示されるSSEは、どのセキュリティ構成および/または基礎をなすセキュリティポリシーが、監視するSSEを横断して出ることを許可された観察されたネットワークトラフィックをもたらすかを判断するための統計的メカニズムを含む、セキュリティ評価エンジン(SAE)を採用する。加えて、開示されるSAEは、所望のネットワーク構成を保証することおよび特定のネットワークトラフィックフローを許可することに関してSSEがどれくらいセキュアであるかを示す、全体的セキュリティシステムスコアを計算するように構成される。とりわけ、開示されるSSEおよびSAEは、SSEによって採用された、以前に確立されたベースラインセキュリティ構成およびセキュリティポリシーによって見落とされた新たなトラフィックフロー入力に応答して、セキュリティシステム構成の変化および/またはセキュリティポリシーの変化を自動的に検出するために、ネットワークトラフィックフローを利用している。
セキュリティシステムエンティティ(SSE)を動的に修正するための方法、システム、およびコンピュータ読取可能媒体が開示される。いくつかの実施形態では、開示される主題は、SSEのセキュリティスコアがいつ変化するかを検出するために、システムのセキュリティ構成および処理されたネットワークトラフィックフローの動的分析の使用を通してセキュリティシステムデバイス(たとえばSSE)のセキュリティスコアを生成することを含む。SSEの完全性またはセキュリティのレベルを評価するためのシステム監視に注目する代わりに、開示される主題は、SSEに入ってその後出る処理されたネットワークトラフィックフローに注目する。具体的には、開示されるSSEは、どのセキュリティ構成および/または基礎をなすセキュリティポリシーが、監視するSSEを横断して出ることを許可された観察されたネットワークトラフィックをもたらすかを判断するための統計的メカニズムを含む、セキュリティ評価エンジン(SAE)を採用する。加えて、開示されるSAEは、所望のネットワーク構成を保証することおよび特定のネットワークトラフィックフローを許可することに関してSSEがどれくらいセキュアであるかを示す、全体的セキュリティシステムスコアを計算するように構成される。とりわけ、開示されるSSEおよびSAEは、SSEによって採用された、以前に確立されたベースラインセキュリティ構成およびセキュリティポリシーによって見落とされた新たなトラフィックフロー入力に応答して、セキュリティシステム構成の変化および/またはセキュリティポリシーの変化を自動的に検出するために、ネットワークトラフィックフローを利用している。
【0010】
ここに説明されるセキュリティスコアシステムは、多くの主要データ特性を利用する。とりわけ、ここに説明される以下の用語は、SSEによって処理されたネットワークトラフィックフローに関連付けられたいくつかの主要特性を定義するよう機能する。たとえば、ここに使用されるように、「ユーザ」とは、トラフィックデータを送信または消費する認証されたアイデンティティである。認証が関与しない状況では、ユーザは匿名であると考えられる。同様に、ここに説明されるような「ユーザデバイス」とは、ネットワーク上でネットワークトラフィックフローを送信または受信するためにユーザによって利用されるシステムである。いくつかの実施形態では、ユーザデバイスは、ハンドヘルドスマートフォン、GSMモバイルステーション、モバイルブロードバンドアダプタを装備したラップトップコンピュータ、または任意の他の同様のデバイスといった、データを受信または送信するためにモバイルサブスクライバエンドユーザによって直接利用されるあらゆるデバイスを含んでいてもよい。「ネットワーク」とは、ユーザが通信するために存在し、一般にインターネットプロトコル(IP)アドレス、プロトコル、ポート、および仮想ローカルエリアネットワーク(virtual local area network:VLAN)によって識別される、あらゆるネットワークシステムを含み得る。「アプリケーション」とは一般に、通信のためにユーザによって使用されるソフトウェアアプリケーションおよび/またはツールを指す。ここに使用されるように、「場所」とは、ネットワークトラフィックフローがどこで発生するかを特定する。場所はネットワーク情報に関連しているが、ネットワーク情報、アプリケーションデータ、ユーザ認証、および他のデータ内容から導き出された地理的場所に注目する。データとは、ネットワークトラフィックパケット(たとえばネットワークトラフィックフロー)で運ばれるリアルデータ内容を指す。
【0011】
図1は、そのネットワークノード間でのネットワークトラフィックフロー(たとえば、パケットおよび/またはフレームトラフィック)の通信を容易にするように構成された例示的なネットワーク通信環境100を示すブロック図である。図1に示すように、ネットワーク通信環境100の上部は、信頼されていないドメインとして特徴付けられ得る複数の外部ネットワーク104を含む。対照的に、ネットワーク通信環境100の底部は、信頼されているドメイン102を含み、それは、信頼されているネットワークと、そのサービスアプリケーション108とを含んでいてもよい。ここに使用されるように、信頼されているネットワークとは、信頼されているネットワークおよび/または信頼されているドメインから発生する通信が、信頼できるおよび/またはセキュリティ侵害されていない(uncompromised)と大いに考えられるように、SSE106によってサポートされ保護されるネットワークである。とりわけ、信頼されているドメイン102および信頼されているネットワークは、セキュリティシステムエンティティ(SSE)106によって実現されるセキュアな境界110によって、外部ネットワーク104から論理的に隔てられる。
【0012】
図1に示すように、SSE106は、セキュアな境界110と一致し得るネットワークエッジに位置付けられ、信頼されているドメイン102によってホストされる複数の信頼されているネットワークサービスアプリケーション108(たとえば企業ネットワークアプリケーション)にセキュリティサポートを提供する。いくつかの実施形態では、SSE106は、物理的セキュリティゲートウェイデバイス(たとえばセキュアインターネットゲートウェイ)、ファイアウォールデバイスなどを含んでいてもよい。同様に、SSE106は、ネットワークトラフィックセキュリティゲートウェイ機能、ファイアウォール機能、またはセキュアインターネットゲートウェイ機能を行なうように構成されたソフトウェア機能として具現化されてもよい。
【0013】
図1に示すように、ネットワーク通信環境100は、SSE106に通信可能に接続されたシステム構成マネージャ112を含む。いくつかの実施形態では、システム構成マネージャ112は、SSE106にアクセスし、および/またはSSE106の動作を管理するためのユーザインターフェイス手段として、システムアドミニストレータによって使用され得る。システム構成マネージャ112はまた、信頼されているネットワークのために意図されたセキュリティポリシーを受信し、次に、SSE106によって使用可能である対応するセキュリティ構成を生成するように適合されてもよい。たとえば、企業システム(たとえば、信頼されているドメイン102)のためのセキュリティ対策を定義するセキュリティポリシーが、最初にシステム構成マネージャ112に供給され得る。システム構成マネージャ112は、セキュリティ構成を生成するように適合されてもよく、それは次に入力としてSSE106に提供される。いくつかの実施形態では、セキュリティ構成は、あるレベルのアクセスを指定するとともに、サービスアプリケーション108へのユーザのアクセスがSSE106によって許可される特定のユーザ、特定のユーザデバイス、特定のネットワークまたは場所、特定のアプリケーション、および/または特定の時間周期のために調節され得る、さまざまなシステム構成パラメータまたはアイテムを含んでいてもよい。セキュリティ構成入力はまた、内容制御に関する局面またはパラメータを特定することができる。特に、内容制御構成パラメータは、特定のネットワークアドレス(たとえば、関連付けられたプロトコル/サービス)と、構成されたSSE106を横断する(たとえば、入って出る)ことができるアプリケーションデータとを特定することができる。最後に、セキュリティ構成入力は、帯域幅管理およびサービス品質(QoS)を指定することによって、特定のレベルのサービス利用可能性を特定することができ、それにより、SSE106を通してパケットを通信するユーザにサービス利用可能性を保証する。
【0014】
図2は、ここに説明される主題の一実施形態に従った例示的なセキュリティシステムエンティティを示すブロック図である。図2に示すように、SSE106は、中央処理装置(たとえば、シングルコアまたは多重処理コア)、マイクロプロセッサ、マイクロコントローラ、ネットワークプロセッサ、特定用途向け集積回路(application-specific integrated circuit:ASIC)などといった、1つ以上のプロセッサ202を含んでいてもよい。SSE106はまた、メモリ204を含んでいてもよい。メモリ204は、ランダムアクセスメモリ(random access memory:RAM)、フラッシュメモリ、磁気ディスクストレージドライブなどを含んでいてもよい。いくつかの実施形態では、メモリ204は、セキュリティ評価エンジン(SAE)206と、既知の脅威インテリジェンスデータベース210とを格納するように構成されてもよい。とりわけ、メモリ204に格納されたSAE206は、1つ以上のプロセッサ202によって実行されると、SSE106のためのさまざまな監視、管理、および/または修正機能性を行なうことができる。
【0015】
いくつかの実施形態では、SAE206は、SSE106によって受信された広範な挙動データ信号を調べるために採用され得るデータ分析技術を含む。SAE206はまた、攻撃ツール、攻撃手法、攻撃手順、および攻撃シグネチャの記録を含む既知の脅威インテリジェンスデータベース210へのアクセスを有していてもよい。脅威インテリジェンスデータベース210にはまた、ホストIPアドレスまたは他のネットワーク場所の評判がプロビジョニングされ得る。いくつかの実施形態では、SAE206は、脅威インテリジェンスデータベース210に保持されたデータを、ネットワークトラフィック特性とともに利用して、SSE106を横断するネットワークトラフィックフローのセキュリティステータスを評価する。
【0016】
SSE106がネットワーク通信環境100で構成され動作した後で、SSE106は、さまざまなタイプのネットワークパケットトラフィックをリアルタイムで処理することができる。たとえば、SSE106によって受信されたリアルタイムのネットワークトラフィックフローはその後、許可またはブロックされるネットワークトラフィックのタイプに関するリアルデータ知識および/またはインテリジェンスを生成するために使用される。また、SSE106は、帯域幅消費、提供されるアプリケーションサービスのためのサービス品質(QoS)などに関するリアルデータを生成するように適合され得る。機械学習インテリジェンスを使用して、全体的な動的セキュリティスコアが、SSM208および/またはSAE206によって、真のトラフィック処理結果を用いて生成されるであろう。
【0017】
いくつかの実施形態では、SAE206は、静的セキュリティスコアおよび動的セキュリティスコアの双方を含む、SSE106のための「全体的セキュリティスコア」を求めるように構成される。たとえば、SAE206は最初に、SSE106のセキュリティ構成(および/または基礎をなすセキュリティポリシー)を分析することによって、静的セキュリティスコアを求めるように適合され得る。いくつかの実施形態では、SAE206は、SSE106上にプロビジョニングされたセキュリティ構成に基づくとともに、横断するネットワークトラフィックフローに対してセキュリティ構成ポリシー分析を実行する(たとえば、SSE106によって受信されたどのネットワークトラフィックフローが、SSE106を出ることを許可されるかを判断する)ために使用され得る、機能(たとえば「F(X)」)を含む。たとえば、SAE206によって実行されるセキュリティ構成ポリシー分析は、信頼されていないドメインからSSE106によって受信されたネットワークトラフィックフロー(すなわち、NETin)と、SSE106を介して信頼されているドメイン102への進入を許可された処理されたネットワークトラフィックフロー(たとえば、F(NETin))との関係を判断することができる。同様に、SAE206は、信頼されているドメイン102からSSE106によって受信されたネットワークトラフィックフロー(たとえば、NETout)と、SSE106を出ることを許可された処理されたネットワークトラフィックフロー(たとえば、F(NETout))との関係を、同じように計算することができる。たとえば、SAE206は、i)NETinとF(NETin)との間、および、ii)NEToutとF(NETout)との間にそれぞれ存在する差または「開き」と、SSE106に関連付けられた静的セキュリティスコアに対するその効果とを判断することができる。とりわけ、SSE106によって受信され許可されたネットワークトラフィックフロー間に存在する開き(たとえば、F(x)<x)が大きいほど、SAE206によって規定される静的セキュリティスコアがより大きくなる。いくつかの実施形態では、静的スコアは、SAE206によって、静的スコア=100-[(F(NETin)/NETin)*100]のように求められ得る。
【0018】
いくつかの実施形態では、SAE206は、あらゆるセキュリティ脆弱性を評価するために、SSE106のシステムカーネルおよびネットワーク層ステータスを調査するように構成され得る。SAE206はまた、構成された暗号、または任意の露出面インターフェイスについてチェックするように適合される。これらのチェックを実行した後で、SAE206は、セキュリティスコアマネージャ(SSM)208を利用して、SSE106の現在の構成およびシステムセットアップのための静的セキュリティスコアを生成する。いくつかの実施形態では、SSM208は、SSE106の全体的セキュリティスコア、静的セキュリティスコア、および/または動的セキュリティスコアを計算するように構成され得る、SAE206のコンポーネントである。
【0019】
たとえば、SAE206は、(システム構成マネージャ112からの入力としてSSE106に提供された)セキュリティシステム構成を受信し、次に、さまざまな構成パラメータを評価して、SSE106のための関連付けられた静的セキュリティスコアを求めるように構成される。たとえば、SAE206は、i)システムカーネルセキュリティステータス、ii)ネットワークセットアップ、iii)露出されたサービスインターフェイスのセキュリティパラメータ、iv)システムリソース制御、ならびに、v)セキュリティ暗号およびアルゴリズムを含むもののそれらに限定されない、SSE106のシステム構成パラメータを調査するように構成され得る。SAE206はまた、脅威/トラフィックパターンインテリジェンスと、許可されたネットワークトラフィックフロー体積および持続時間とに基づいて、ネットワークトラフィックフロー(すなわち、SSE106を通って横断することを許可されたトラフィック)を監視するように適合され得る。とりわけ、SAE206は、SSE106のための静的セキュリティスコアを生成するために、これらのパラメータを処理するように構成され得る。いくつかの実施形態では、静的セキュリティスコアは、SAE206によって、静的セキュリティスコア=正規化された(SSEソフトウェア分析スコア+SSE構成分析スコア)のように求められ得る。
【0020】
いくつかの実施形態では、SAE206は、SSE106の構成セキュリティの表示、およびSSE106へのセキュリティ構成変化を動的に監視するための手段の双方として機能する静的セキュリティスコアを作成する。SAE206は、静的セキュリティスコアを導き出すために、セキュリティツールおよびプロトコル分析とセキュリティポリシーフィルター機能分析とを利用するように構成され得る。たとえば、SSE106が、HTTPSで構成されていないウェブインターフェイスを利用する場合、SAE206は、静的セキュリティスコアを減少させて、HTTPSの使用がSSE106のために勧められることを示すように構成されてもよい。同様に、HTTPSがSSE106上で構成される場合、SAE206はまた、弱いTLSプロトコル(たとえば、TLS1.0またはTLS1.1)がSSE106によって利用されている場合に静的セキュリティスコアを減少させてもよい。そのようなシナリオでは、SAE206は、TLS1.2プロトコルのための勧告を発行することによって、この欠陥を改善するよう試みることができる。また、SSE106のセキュリティシステム構成に新たな構成変化が生じた場合、SAE206は、静的セキュリティスコアを再計算して、SSE106がよりセキュアになった(または、それに代えて、よりセキュアでなくなった)という、システムオペレータへのアラートを発行することができる。SAE206は、システムセキュリティレベルの検出された変化の具体的な理由を、関連する勧告とともに提供するように適合されてもよい。いくつかの実施形態では、SAE206(および/またはSSM208)は、その静的セキュリティ構成分析に基づいて、「0」~「100」の範囲に及ぶ静的セキュリティスコアを生成するように構成される。
【0021】
上述のように、SAE206は、SSE106の静的セキュリティスコアの少なくとも一部を計算するための手段として、「セキュリティポリシーフィルター機能分析」を行なうことができる。とりわけ、SSE106上に構成されたあらゆるセキュリティポリシーは、限定的な機能として特徴付けられ得る。たとえば、これらのセキュリティポリシーは、SSE106によって受信され識別されたあるネットワークトラフィックフローの通過を拒否するように設計され得る。残りのトラフィックフローは、SSE106によって、信頼されているドメインへの進入を許可される。たとえば、「U」が、SSE106によって受信されたネットワークトラフィックのすべてを表わす場合、および、「A」が、プロビジョニングされたセキュリティ構成によって、SSE106を通過することを許可されたネットワークトラフィックを表わす場合、SAE206は、[(セキュリティツールおよびプロトコルスコア+(100-100*A/U)]/2)と等しい全体的な静的セキュリティスコアを求めるように構成され得る。とりわけ、「セキュリティツールおよびプロトコルスコア」は、上述されたようなセキュリティツールおよびプロトコル分析から計算された、セキュリティスコアの部分である。
【0022】
上述のように、全体的セキュリティスコアはさらに、動的セキュリティスコアの計算を含む。いくつかの実施形態では、SAE206は、SSE106によって受信された真の動的トラフィックに基づく2つの別個の動的セキュリティスコアを生成するように構成される。とりわけ、SAE206は、(たとえば外部ネットワーク104における)信頼されていないソースによって生成され、SSE106によって受信された信頼されていない進入パケットトラフィックフローに基づく第1の動的セキュリティスコアを生成してもよい。また、SSM208は、信頼されているドメイン102(たとえば、サポートされた信頼されている企業ネットワーク)内の信頼されているソースからSSE106によって受信された信頼されている進入パケットトラフィックフローに基づく第2の動的セキュリティスコアを生成してもよい。第1および第2の動的セキュリティスコアを計算するためにSSM208を使用した後で、SAE206(および/またはSSM208)は、SSE106のための単一の全体的な動的セキュリティスコアを計算して報告するために、これら2つの動的セキュリティスコアをともに組合せてもよい。
【0023】
いくつかの実施形態では、SAE206は、i)攻撃シグネチャを有するパケット、ii)攻撃ツールを有するパケット、iii)マルウェアパターンを呈示するパケット、iv)偵察スキャンパケット、v)繰り返す無効パケット、vi)侵入攻撃パケット、vii)リプレイパケット、viii)認証失敗パケット、および、ix)なりすましパケットを含むもののそれらに限定されない、進入トラフィックフローパケット(たとえば、受信されたネットワークトラフィックフローパケットに含まれるパラメータ)を調査することによって、第1の動的セキュリティスコアを求めるために、SSM208を使用するように構成され得る。とりわけ、SAE206は、第1の動的セキュリティスコアを求めるために、信頼されていないソースからの進入ネットワークトラフィックフロー(たとえば、信頼されていないドメインからの着信パケットトラフィック)を処理し、SSM208を実行するように構成され得る。いくつかの実施形態では、SAE206は、(以下に説明されるような)トラフィック多様性指数を導き出すために、受信された進入ネットワークトラフィックフローの抽象化層の各々を検査することによって、第1の動的セキュリティスコアを求めるように構成される。
【0024】
信頼されていないソースから開始されたトラフィックのためのこの第1の動的セキュリティスコアを求めるためにSSM208を使用することに加えて、SAE206は、信頼されているドメインにおけるソースから発生するネットワークトラフィックパケットに含まれるパケットおよび/またはパラメータを同様に調査することによって、第2の動的セキュリティスコアを求めるように構成され得る。たとえば、ネットワークトラフィックフローが、信頼されているドメインから発生する場合、トラフィックフローは、疑わしいおよび/または悪意がある可能性が低いとして指定されてもよい。しかしながら、信頼されているドメインから発生するネットワークトラフィックが必ずしも、トラフィックフローが安全であることを保証するとは限らない。たとえば、疑わしいネットワークトラフィックが、悪意のあるインサイダー(すなわち、信頼されているドメイン102内で操作するユーザ)から送信されるおそれがある。それに代えて、信頼されているドメイン102における企業ネットワークが、セキュリティ侵害されて攻撃ポイントとして使用され、またはボットネットとして機能するおそれがある。他の実施形態では、SAE206は、信頼されているドメインで発生するトラフィックのための追加のセキュリティを提供するように構成されてもよい。たとえば、SAE206は、データ保護またはデータ損失防止(data loss prevention:DLP)のために極秘データを調べるように適合され得る。
【0025】
いくつかの実施形態では、SAE206は、i)攻撃シグネチャ、ii)攻撃ツール、iii)攻撃ボットネット、iv)極秘データ、v)疑わしいDNSパケット、vi)無効ネットワークからのパケット、vii)疑わしい迷惑パケット、および、vii)保護が弱いパケットを含むもののそれらに限定されない、退出ネットワークトラフィックフローパケット(すなわち、SSEを介して信頼されているドメインから信頼されていないドメインへ流れるトラフィック)に含まれるパケットおよび/またはパラメータを調査することによって、第2の動的セキュリティスコアを求めるように構成され得る。とりわけ、SAE206は、第2の動的セキュリティスコアを求めるために、信頼されているソースからの退出ネットワークトラフィックフロー(たとえば、SSEを介した、信頼されているドメインから信頼されていないドメインへのパケットトラフィック)を処理するように構成され得る。いくつかの実施形態では、SAE206は、第2の動的セキュリティスコアを求めるために、これらのパラメータの各々に等しい重みを割り当てることができる。いくつかの実施形態では、SAE206は、(以下に説明されるような)トラフィック多様性指数を導き出すために、受信された進入ネットワークトラフィックフローの抽象化層の各々を検査することによって、第2の動的セキュリティスコアを求めるように構成される。
【0026】
いくつかの実施形態では、SAE206(および/またはSSM208)は次に、SSE106のための単一の全体的な動的セキュリティスコアを求めるために、SSM208によって求められた第1および第2の動的セキュリティスコアを組合せることができる。SSE106によって受信された動的パケットトラフィックの性質により、SAE206は、既定の時間間隔に従って動的セキュリティスコアを周期的に更新するように構成されてもよい。とりわけ、これらの既定の時間間隔は、SAE206が、ネットワークパケットトラフィック調査の管理可能で頻繁な時間周期に基づいて全体的な動的セキュリティスコアを確認することを可能にするように、システムアドミニストレータによって確立され得る。たとえば、SAE206は、複数の反復する既定の時間間隔を含む指定された長さの時間の監視セッション(たとえば、繰り返す既定の5分の時間間隔を含む10時間のセッション)を確立するように構成され得る。
【0027】
ベースライン動的セキュリティスコアを確立した後で、SAE206は、SSE106のシステムセキュリティを高めるために、周期的に計算される動的セキュリティスコアを頻繁な比較のために利用するように構成され得る。たとえば、SAE206は、SSE106によって受信されたネットワークトラフィックフローをリアルタイムで分析することができる。既定の時間間隔が満了した後で、SAE206は、SSE106を通り抜けるネットワークトラフィックのタイプのための多様性指数(diversity index:DI)を計算するために、SSM208を使用するように構成される。計算された動的セキュリティスコアと、ベースライン動的セキュリティスコアとのその比較とに基づいて、SAE206は、SSE106のセキュリティ構成を評価し、(必要であれば)改善することができる。たとえば、SAE206による多様性指数の急増の検出は、動的セキュリティスコアの減少をもたらし、それにより、SSE106があまりセキュアではないことを示すであろう。そのため、SAE206は、測定された多様性指数の増加を引き起こしている疑わしいネットワークトラフィック(たとえば、あまり知られていないネットワークトラフィック)を遅らせるかまたはドロップすることによって多様性指数を減少させるためのより限定的なルールを実現することができる。とりわけ、SAE206によって行なわれるこの改善措置は、現在のネットワーク環境における多くの分散型サービス妨害(distributed denial-of-service:DDOS)攻撃を防止することができる。
【0028】
いくつかの実施形態では、SAE206および/またはSSM208は、SSE106のためのトラフィック多様性指数(DI)を、動的セキュリティスコアの計算への最初のステップとして計算するように構成され得る。ここに使用されるように、多様性指数は、外部ネットワークインターフェイス(たとえば、信頼されていないドメイン側)および内部ネットワークインターフェイス(たとえば、信頼されているたドメイン側)上でSSE106によって受信されたネットワークトラフィックフローを観察することによって測定される動的セキュリティスコアの一部である。とりわけ、SAE206によるそのような監視および計算は、システムアドミニストレータによって既定された特定の時間間隔で連続的に実行される。たとえば、既定の時間間隔は、SSE106の利用可能な計算およびストレージリソースに基づいて、できるだけ小さくなり得る。いくつかの実施形態では、SAE206は、たとえば開放型システム間相互接続(Open Systems Interconnection:OSI)モデルスタックによって定義されるように、トラフィックをさまざまなネットワーク抽象化層にマッピングすることによって、受信されたネットワークトラフィックフローを分類する。いくつかの実施形態では、SAE206は、SSE106を横断するネットワークトラフィックフローに関連する媒体アクセス制御(media access control:MAC)アドレス、IPアドレス、ポート/プロトコル、セッション、および/またはアプリケーションを評価するように構成され得る。いくつかの実施形態では、SAE206はまた、ネットワークトラフィックフローを発信ユーザ、発信時間、および発信場所にマッピングすることができる(判明している場合)。
【0029】
例示的な一例として、SAE206は、SSE106を横断するネットワークトラフィックフローの各ネットワーク抽象化層に存在する(ネットワークトラフィックフロー内の)さまざまなネットワークトラフィックフローパラメータの特定のカウント値を計算するために使用され得る(たとえば、システムアドミニストレータによって既定された)時間間隔または時間周期を利用することができる。たとえば、SAE206は、異なるソースMACアドレス(たとえば、SSE106によって受信されたネットワークトラフィックフロー入力において示されたMACアドレス)の数と、異なる宛先MACアドレス(たとえば、SSE106から送信されたネットワークトラフィックフロー出力において示されたMACアドレス)の数とを評価することができる。SAE206は、既定の時間間隔中にSSE106を横断するネットワークトラフィックフローにおいて検出されたすべてのこれらのソースおよび宛先MACアドレスの合計を求める。
【0030】
この同じ既定の時間間隔中に(すなわち、MACアドレス総数が求められた時に)、SAE206はまた、SSE106を横断するネットワークトラフィックフローに含まれる異なるソースIPアドレスの数と宛先IPアドレスの数とを求めることに取りかかる。とりわけ、SAE206は、既定の時間間隔中にこれらのIPアドレスの合計を求める。
【0031】
同様に、トランスポート層(たとえばポート/プロトコル層)で、SAE206は、同じ前述の既定の時間間隔中にネットワークトラフィックを通信するためにSSE106によって使用される異なるプロトコルおよび異なるポート(たとえばソースポートおよび宛先ポート)の数を求めるように構成される。
【0032】
セッション層で、SAE206は、既定の時間周期中にSSE106によって扱われているライブセッションの合計を求める。たとえば、SAE206は、既定の時間間隔中に信頼されているドメインから発生しているライブセッションの数と、信頼されていないドメインから発生しているライブセッションの数とを計算するであろう。
【0033】
アプリケーション層で、SAE206は、既定の時間間隔中にSSE106を横断するネットワークトラフィックフローによって使用される、および/または当該ネットワークトラフィックフローに対応する異なるアプリケーションタイプの数の合計を求める。
【0034】
ユーザへのアプリケーションの関連付けが確立され得る場合、SAE206は、既定の時間間隔中にSSE106を横断するネットワークトラフィックフローに関連付けられた異なるユーザの合計を求める。
【0035】
場所へのネットワークデータのマッピングが確立され得る場合、SAE206は、既定の時間間隔中にネットワークトラフィックフローがSSE106によってそこから受信される発生場所の総数を求める。
【0036】
SAE206が、特定の既定の時間周期の間、上述されたように抽象化層の各々で合計を求めた後で、SAE206は、新たな既定の時間間隔を開始するように構成されてもよい。たとえば、SAE206は、参考のために、および、複数の繰り返される既定の時間間隔の各々を求めるために、SSE106でのネットワーク時間と同期するように構成される。とりわけ、SAE206は、SSE106の外部ネットワークインターフェイスおよび内部ネットワークインターフェイスの双方を横断するネットワークトラフィックデータの既定の時間間隔の各々で、スナップショットを連続的にとるように適合される。上述のように、SAE206は、SSE106の外部および内部ネットワークインターフェイスでネットワークトラフィックデータのスナップショットを使用して多様性指数を計算するように構成される。具体的には、各ネットワーク層についての別個の多様性スコア「D」が、SSM208および/またはSAE206によって計算される。いくつかの実施形態では、各抽象化層についての多様性指数は、以下のように計算され得る。
【0037】
【数1】
【0038】
とりわけ、変数「n」および変数「N」の各々は、評価されているネットワーク層に依存するエンティティの異なる数を表わす。たとえば、MAC層については、「n」は、SSEによって観察されたMACアドレスの総数を表わすことができ、一方、「N」は、可能なMACアドレスの総数を表わす。対照的に、トランスポート層については、「n」は、SSEで観察されたIPアドレスの総数を表わすことができ、一方、「N」は、可能なIPアドレスの総数を表わす。残りの層に存在するデータ点のためのnおよびNの値の決定についても、同様である。
【0039】
各層について多様性指数「D」を計算した後で、SAE206は、正規化された個々の多様性指数を合計し、対応する層の総数で除算することによって、累積多様性指数(cumulative diversity index:CDI)を計算する。いくつかの実施形態では、SAE206は、累積多様性指数を計算するために、以下の式を使用することができる。
【0040】
CDI=[正規化された(D1)+正規化された(D2)+…+正規化された(DM)]/M
とりわけ、変数「M」は、SAE206によって計算される、正規化された多様性指数の数を指す。また、多様性指数は、以下のように計算され得る動的セキュリティスコアに反比例する。
とりわけ、変数「M」は、SAE206によって計算される、正規化された多様性指数の数を指す。また、多様性指数は、以下のように計算され得る動的セキュリティスコアに反比例する。
【0041】
動的セキュリティスコア=100-累積DI
いくつかの実施形態では、SAE206は、最終的なセキュリティスコアを生成するように構成される。すなわち、セキュリティ構成で構成されるデプロイされた/動作可能なSSE106のために、1対のセキュリティスコアが、SAE206によって生成される。特に、SAE206は、静的セキュリティスコアと、(上述の第1および第2の動的セキュリティスコアを含む)全体的な動的セキュリティスコアとを生成する。いくつかの実施形態では、静的セキュリティスコアおよび全体的な動的セキュリティスコアの各々は、「0」と「100」との間で数量化されるであろう。ここで、「0」スコアは保護がないことを表わし、「100」スコアは完全な/完璧な保護を表わす。SAE206が、SSE106のセキュリティ構成に生じた変化を検出すると、SAE206は、SSE106がよりセキュアになっていること、またはよりセキュアでなくなっていることを示すレポートを生成するように適合される。
いくつかの実施形態では、SAE206は、最終的なセキュリティスコアを生成するように構成される。すなわち、セキュリティ構成で構成されるデプロイされた/動作可能なSSE106のために、1対のセキュリティスコアが、SAE206によって生成される。特に、SAE206は、静的セキュリティスコアと、(上述の第1および第2の動的セキュリティスコアを含む)全体的な動的セキュリティスコアとを生成する。いくつかの実施形態では、静的セキュリティスコアおよび全体的な動的セキュリティスコアの各々は、「0」と「100」との間で数量化されるであろう。ここで、「0」スコアは保護がないことを表わし、「100」スコアは完全な/完璧な保護を表わす。SAE206が、SSE106のセキュリティ構成に生じた変化を検出すると、SAE206は、SSE106がよりセキュアになっていること、またはよりセキュアでなくなっていることを示すレポートを生成するように適合される。
【0042】
静的セキュリティスコアが特定のしきい値未満であるとSAE206が検出した場合、SAE206は、SSE106がセキュアでない態様で静的に構成されていると判断する。それに代えて、全体的な動的セキュリティスコアが特定のしきい値を下回り、ひいては、全体的セキュリティスコアの欠陥に寄与しているとSAE206が判断した場合、SAE206は、SSE106が攻撃を受けやすいと判断する。全体的セキュリティスコアが予め定められたしきい値を下回ると、SAE206は、SSE106のための適切なセキュリティステータスを維持するために、よりセキュアな構成が必要とされると判断する。
【0043】
いくつかの実施形態では、SAE206は、セキュリティ自己保護モードがイネーブルになると自動セキュリティ構成適合プロセスを実行するように構成され得る。たとえば、SAE206は、SSEのセキュリティスコアの検出された劣化を取り消すために、適切な自動構成変更を実行するように構成され得る。とりわけ、ある検出されたネットワークトラフィックパターンに起因してセキュリティスコアが低下していることをSAE206が検出した場合、SAE206は、新たなデータトラフィックパターンがブロックされるようにセキュリティ構成ポリシーを自動的に変更することによって、セキュリティスコアを通常に戻るように増加させるよう試みることができる。
【0044】
SAE206はまた、セキュリティスコアを低下させるネットワークデータトラフィックパターンをログすることを含むセキュリティロギングおよび監査機能を実行するように構成され得る。これらのネットワークデータトラフィックパターンは、SSE106のデータベース210に格納され得る。SAE206はまた、それがSSE106のセキュリティを維持するかまたは高めるために取る任意の動的構成変更措置を記録することができる。これらのネットワークトラフィックパターンは、これらのトラフィックパターンを悪意があるかまたは良性であるとして識別することを人間の入力が支援する、教師あり学習システムの一部として作られ得る。
【0045】
いくつかの実施形態では、SAE206は、動的セキュリティスコアを求めるように構成される。とりわけ、SAE206は、異なる抽象化層で提示されたトラフィック特性を評価することによってトラフィック多様性指数値を求めるように構成される。たとえばOSIモデルに従ったインターネットプロトコル通信は、物理層、データリンク層、ネットワーク層、トランスポート層、セッション層、プレゼンテーション層、およびアプリケーション層という7つの層から構成される。物理層を除き、SAE206は、他の6つの層の各々から得られた情報を、SSE106によって監視されたネットワークトラフィックに関連付けられたトラフィック特性とともに利用する。特に、多様性指数値がより大きくなるにつれて、SSE106を横断することを許可されるネットワークトラフィックのタイプがより広範になる。さらに、多様性指数値がより大きくなるにつれて、SSE106はよりセキュアでなくなる。とりわけ、トラフィック多様性指数は、動的セキュリティスコアと逆相関する(たとえば、動的セキュリティスコア=100-多様性指数値)。加えて、SAE206は、システムのセキュリティを評価するために多様性指数の急な増加または減少について監視するように構成され得る。たとえば、多様性指数の急増は、SSEが攻撃を受けているかまたは弱点についての偵察スキャンを受けていることを示す信頼できる表示であり得る。多様性指数スコアのそのような増加は、動的セキュリティスコアの下落をもたらし、それにより、適切な改善措置をとるようにSSEおよび/またはユーザに知らせるであろう。いくつかの実施形態では、SAE206は、以前に承認されたセキュリティ構成状態にSSEを戻す改善措置を開始してもよい。他の実施形態では、SAE206は、i)SSEソフトウェアの自動パッチングを実行する、ii)外部ネットワークへのSSEの接続をディスエーブルにする、iii)その後のフォレンジック分析のためのネットワークトラフィック記録を開始する、iv)あるタイプのネットワークトラフィックフローを自動ブロックする、といったことを行なうように構成され得る。たとえば、システム(たとえば、信頼されているドメインに位置付けられたシステム)の多くはおそらく、セキュリティ侵害され、DDOS攻撃のためのボットネット(たとえば、ボットネットDNS DDOS攻撃)の一部として使用されるおそれがある。このシナリオでは、エンジンは、DNS要求のための多様性指数(DI)の急増を検出し、動的セキュリティスコアを下落させるであろう。SAE206によって実行される自動改善アクションは、これらのDNS要求をブロックするように構成される。また、信頼されているドメインに位置するデータベースは、信頼されているドメインから大量のユーザ情報が送信されるようにセキュリティ侵害されるおそれがある。そのようなシナリオでは、エンジンは、(ネットワークトラフィックフロー処理の)この層のためのDIの急増を検出するであろう。(たとえば、D1の値が既定のしきい値を上回る)急増を検出した後で、SAE206は次に、ネットワークトラフィックフローのパケットが信頼されているネットワークを出ることをブロックする自動改善措置(たとえばデータ損失防止)を実行してもよい。
【0046】
図3Aおよび図3Bは、ここに説明される主題の一実施形態に従った、セキュリティシステムエンティティを動的に修正するための例示的なプロセスまたは方法300を示すフローチャートである。いくつかの実施形態では、図3Aおよび図3Bに示す方法300は、ハードウェアプロセッサによって実行されるとブロック302~320のうちの1つ以上を行なう、メモリに格納されたアルゴリズムである。
【0047】
ブロック302で、セキュリティシステム構成が受信される。いくつかの実施形態では、SSEは、システム構成マネージャに通信可能に接続され、システム構成マネージャからセキュリティシステム構成を受信する。たとえば、システムアドミニストレータは、システム構成マネージャによってセキュリティシステム構成に変換される複数のセキュリティポリシーを入力してもよい。結果として生じるセキュリティシステム構成は次に、SSEに送られる。
【0048】
ブロック304で、SSEは、受信されたセキュリティシステム構成に従って構成される。いくつかの実施形態では、SSEは、セキュリティシステム構成を入力として受信し、その基礎をなすハードウェアおよびソフトウェアコンポーネントを、セキュリティシステム構成で特定されたセキュリティ構成パラメータに従って構成する。
【0049】
ブロック306で、SAEは、SSEのためのベースライン静的セキュリティスコアを求める。いくつかの実施形態では、SAEは、実現されたセキュリティシステム構成に由来する、SSEのシステムカーネル、任意の構成された暗号、および露出されたサービスインターフェイス(たとえば、外部ネットワークインターフェイスおよび内部ネットワークインターフェイス)を調査するように構成され得る。SAEはまた、どのネットワークトラフィックフローがSSEで許可されるかまたはブロックされるかをチェックするために、トラフィックパターンインテリジェンスを利用することができる。結果として生じる構成を処理した後で、SAEは、ベースライン静的セキュリティスコアを生成する。
【0050】
ブロック308で、SSEはデプロイされ、ネットワークトラフィックフローを受信し始める。いくつかの実施形態では、SSEはSAEを使用して、静的構成を監視し、外部ネットワークインターフェイスおよび内部ネットワークインターフェイスを介してSSEを横断するネットワークトラフィックフローを分析することを開始する。SSEが(たとえばシステムアドミニストレータによって定義されたような)期間デプロイされた後で、ネットワークトラフィックフローがSSEのインターフェイス(たとえば、SSEから信頼されているネットワークへのネットワークトラフィックフローを許可する内部ネットワークインターフェイス、および、SSEから信頼されているネットワークへのネットワークトラフィックフローを許可する外部ネットワークインターフェイス)を出るのを監視することによって、ベースライン動的セキュリティスコアが求められ得る。いくつかの実施形態では、ベースラインセキュリティスコアは、SSEを介して信頼されていないネットワークから信頼されているネットワークへ発生するネットワークトラフィックフローのみを使用して求められる。他の実施形態では、ベースライン動的セキュリティスコアは、SSEを介して信頼されているネットワークから信頼されていないネットワークへ通信されるネットワークトラフィックフロー(すなわち、信頼されているネットワークから受信され、SSEを横断することを許可されたネットワークトラフィックフロー)に基づく。
【0051】
ブロック310で、SAEは、SSEを通って横断することを許可されたネットワークトラフィックフローの抽象化層の各々を検査する。予め定められた時間周期の後で、SAEは、ベースライン動的セキュリティスコアを求めるように構成され得る。いくつかの実施形態では、SAEは、(たとえば内部ネットワークインターフェイスで)SSEを介して信頼されているドメインに入るネットワークトラフィックフロー、(たとえば外部ネットワークインターフェイスで)SSEを介して信頼されているドメインを出て信頼されていないドメインに入るネットワークトラフィックフロー、またはそれら双方を検査する。特に、SAEは、MAC層、IP層、ネットワーク層、セッション層、アプリケーション層、およびユーザ層の各々で、セキュリティ構成によって特定されるような構成アイテムについて、ネットワークトラフィックフローを検査する。SAEはさらに、ネットワークトラフィックフローが発生した場所を判断するために場所層でネットワークトラフィックフローを検査するとともに、現在の時間についてネットワークトラフィックフローを検査するように構成される。
【0052】
ブロック312で、SAEは、許可されたネットワークトラフィックフローに基づいて、累積トラフィック多様性指数を計算する。いくつかの実施形態では、SAEは、各ネットワーク層について別個の多様性スコアを求めることによって多様性指数を計算する。複数の多様性指数を求めた後で、SAEおよび/またはそのSSCは、複数の個々の多様性指数の各々を正規化し、次に、(上述のような)累積多様性指数を計算する。
【0053】
ブロック314で、SAEおよび/またはSSCは、更新された動的セキュリティスコアを計算する。いくつかの実施形態では、SAEおよび/またはSSCは、計算された累積多様性指数を使用して、更新された動的セキュリティスコアを計算するように構成され得る。とりわけ、多様性指数は、SAEおよび/またはSSCによって「100」と累積多様性指数との差として計算され得る動的セキュリティスコア(たとえば、動的セキュリティスコア=100-CDI)に反比例する。いくつかの実施形態では、更新された動的セキュリティスコアは、SSEを介して信頼されていないネットワークから信頼されているネットワークへ発生するネットワークトラフィックフローのみを使用して求められる。他の実施形態では、更新された動的セキュリティスコアはまた、SSEを介して信頼されているネットワークから信頼されていないネットワークへ通信されるネットワークトラフィックフロー(すなわち、信頼されているネットワークから受信され、SSEを横断することを許可されたネットワークトラフィックフロー)に基づく。
【0054】
ブロック316で、SAEは、以前に計算されたベースラインセキュリティスコア(すなわち、SSEのためのベースライン全体的セキュリティスコア)を、更新されたセキュリティスコア(すなわち、SSEのための更新された全体的セキュリティスコア)と比較するように構成される。更新されたセキュリティスコアがよりセキュアであるかまたはベースラインセキュリティスコアと同じセキュリティレベルであるとSAEが判断した場合、方法300はブロック318に進み、その場合、SSEは正常に機能し続ける(たとえばブロック320)。その他の場合、メッセージはブロック322に続く。他の実施形態では、更新されたセキュリティスコアはまた、SSEを介して信頼されているネットワークから信頼されていないネットワークへ通信されるネットワークトラフィックフロー(すなわち、信頼されているネットワークから受信され、SSEを横断することを許可されたネットワークトラフィックフロー)に基づく。
【0055】
いくつかの実施形態では、SAEは、よりきめ細かいレベルで機能でき、以前に計算されたベースライン静的セキュリティスコアを、ブロック314で求められた(ブロック314で求められるような)更新された静的セキュリティスコアと比較するように構成される。さらに、SAEはまた、以前に計算されたベースライン動的セキュリティスコアを、更新された動的セキュリティスコアと比較するように構成される。SAEが、i)更新された静的セキュリティスコアがよりセキュアであるかまたはベースライン静的セキュリティスコアと同じセキュリティレベルであると判断した場合、または、ii)更新された動的セキュリティスコアがよりセキュアであるかまたはベースライン動的セキュリティスコアと同じセキュリティレベルであると判断した場合、正常に機能し続ける。その他の場合、方法300はブロックに続く。
【0056】
ブロック322で、SAEは、更新されたセキュリティスコア(たとえば、更新された全体的セキュリティスコア、更新された静的セキュリティスコア、および/または更新された動的セキュリティスコア)が、既定のしきい値量だけ、それぞれのベースラインセキュリティスコアとは異なる場合に、更新されたセキュリティスコアがよりセキュアでないと判断し、次に、SSEのセキュリティ構成を改善するための対策を取る。たとえば、更新されたセキュリティスコアが単にベースラインセキュリティスコア未満である場合、もしくは、2つのセキュリティスコア間の差が既定のしきい値または範囲を上回った場合に、SAEはこの判断を下す。いくつかの実施形態では、SAEはシステム管理者に知らせてもよく、および/または別の改善措置を取ってもよい。
【0057】
ここに説明される主題の利点は、システムの入力および出力に注目することによるSSEの動的改善を含む。イベント管理に基づいてセキュリティポリシーを実施することを試みる代わりに、開示されたSAEは、セキュリティシステム構成の変化または欠陥を速やかに検出するために、ネットワークトラフィックフローを使用する。とりわけ、説明された改善手法は、セキュリティシステム構成およびポリシーへの任意の変化が検出され得るレートを増加させる。加えて、そのような対策は、SSEでの適切なセキュリティポリシーが常に有効であることを保証する。これは、ネットワークおよびアプリケーションをセキュアにするコストへの莫大な影響、ならびに、セキュリティ違反によって生じる損害を有するおそれがある。そのため、そのような態様でそれ自体を動的に改善するように構成されたSSEは、ここに説明されたように、識別された疑わしいメッセージに応答し、および/または不正攻撃を防止することができ、コンピュータネットワークに対する不正行為および他のタイプの信号伝達攻撃の可能性をより効率的な態様で減少させることによって、コンピュータネットワークセキュリティの技術分野を向上させる。
【0058】
ここに開示された主題のさまざまな詳細は、ここに開示された主題の範囲から逸脱することなく変更され得るということが理解されるであろう。また、前述の説明は、限定のためではなく、例示のみのためのものである。
【図1】
【図2】
【図3A】
【図3B】