特許7544738 | 知財ポータル「IP Force」

知財求人 - 知財ポータルサイト「IP Force」

青山学院大学 (神奈川県相模原市中央区淵野辺)

▶ キンドリル・インクの特許一覧

特許7544738ロギングによる機密データの暴露の検出

書誌要約請求の範囲詳細な説明課題実施例実施するための形態図面の説明

目に優しい文字サイズ小中大 PDF Top

< >

1
2
3
4
5
6
7
8

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】

(24)【登録日】2024-08-26

(45)【発行日】2024-09-03

(54)【発明の名称】ロギングによる機密データの暴露の検出

(51)【国際特許分類】

G06F 21/55 20130101AFI20240827BHJP

G06F 21/56 20130101ALI20240827BHJP

【ＦＩ】

G06F21/55 320

G06F21/56 320

【請求項の数】 23

(21)【出願番号】P 2021558907

(86)(22)【出願日】2020-03-23

(65)【公表番号】

(43)【公表日】2022-06-20

(86)【国際出願番号】 EP2020058028

(87)【国際公開番号】W WO2020212093

(87)【国際公開日】2020-10-22

【審査請求日】2023-01-10

(31)【優先権主張番号】16/387,632

(32)【優先日】2019-04-18

(33)【優先権主張国・地域又は機関】US

(73)【特許権者】

【識別番号】521555742

【氏名又は名称】キンドリル・インク

【氏名又は名称原語表記】ＫｙｎｄｒｙｌＩｎｃ．

【住所又は居所原語表記】ＯｎｅＶａｎｄｅｒｂｉｌｔＡｖｅｎｕｅ，１５ｔｈＦｌｏｏｒ，ＮｅｗＹｏｒｋ，ＮｅｗＹｏｒｋ１００１７，ＵＳＡ

(74)【代理人】

【識別番号】110000420

【氏名又は名称】弁理士法人ＭＩＰ

(72)【発明者】

【氏名】ウドゥピラグヘブンドラ、アージュン

(72)【発明者】

【氏名】スゥル、マティアス

(72)【発明者】

【氏名】シェイデラー、ティム

(72)【発明者】

【氏名】アイロルディ、ティツィアーノ

【審査官】吉田歩

(56)【参考文献】

【文献】国際公開第２０１８／１９８７３３（ＷＯ，Ａ１）

【文献】特開２００５－１３６５２６（ＪＰ，Ａ）

【文献】特開２０１８－０３２３５５（ＪＰ，Ａ）

【文献】国際公開第２０１８／１７７２１０（ＷＯ，Ａ１）

【文献】河内清人ほか，シナリオを用いたサイバー攻撃検知方式の提案，２０１４年暗号と情報セキュリティシンポジウム概要集，日本，電子情報通信学会，2014年01月24日，pp.1-7

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｇ０６Ｆ２１／５５

Ｇ０６Ｆ２１／５６

(57)【特許請求の範囲】

【請求項1】

コンピュータ実装方法であって、
一連のセキュリティ・イベントを受信することと、
前記受信された一連のセキュリティ・イベントにおいて、サイバー攻撃チェーンの第１の部分的サイバー攻撃のセキュリティ侵害インジケータの検出のために事前に定義されたルールのセットを適用することによって、相関関係エンジンを使用して第１のサイバー攻撃パターンを決定し、それによって、特定のサイバー攻撃チェーンを識別することと、
前記識別された特定のサイバー攻撃チェーンの前記第１の部分的サイバー攻撃のパターンにおける種類および属性を決定することと、
前記第１の部分的サイバー攻撃の攻撃パターンにおける前記種類および前記属性に基づいて、前記特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも１つのルールを構成することと、
前記少なくとも１つの構成されたルールを、情報技術システムに対するセキュリティ脅威を動的に識別するために前記相関関係エンジンによって使用される前記事前に定義されたルールのセットに追加することと、
条件が満たされたことに応答して、前記事前に定義されたルールのセットから前記少なくとも１つの構成されたルールを削除することと
を含む、コンピュータ実装方法。

【請求項2】

前記受信された一連のセキュリティ・イベントにおいて、前記サイバー攻撃チェーンの第２のサイバー攻撃における第２のセキュリティ侵害インジケータの検出のために前記構成された少なくとも１つのルールを適用することによって、前記相関関係エンジンを使用して第２のサイバー攻撃パターンを決定することをさらに含む、請求項１に記載の方法。

【請求項3】

前記ルールのセットがマルウェア特徴属性一覧および脅威情報構造化記述形式に関する情報を使用する、請求項１または２に記載の方法。

【請求項4】

新しいセキュリティ侵害インジケータを追加することによって、前記事前に定義されたルールのセットを継続的に更新することをさらに含む、請求項３に記載の方法。

【請求項5】

コンピュータ実装方法であって、
一連のセキュリティ・イベントを受信することと、
前記受信された一連のセキュリティ・イベントにおいて、サイバー攻撃チェーンの第１の部分的サイバー攻撃のセキュリティ侵害インジケータの検出のために事前に定義されたルールのセットを適用することによって、相関関係エンジンを使用して第１のサイバー攻撃パターンを決定し、それによって、特定のサイバー攻撃チェーンを識別することと、
前記識別された特定のサイバー攻撃チェーンの前記第１の部分的サイバー攻撃のパターンにおける種類および属性を決定することと、
前記第１の部分的サイバー攻撃の攻撃パターンにおける前記種類および前記属性に基づいて、前記特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも１つのルールを構成することと、
前記少なくとも１つの構成されたルールを、情報技術システムに対するセキュリティ脅威を動的に識別するために前記相関関係エンジンによって使用される前記事前に定義されたルールのセットに追加することと
を含み、前記少なくとも１つの構成されたルールを前記ルールのセットに追加することが、
相関関係ルールを選択的に構成すること、もしくは有効化すること、またはその両方と、
ルールをグループ化することと、
前記構成されて追加された少なくとも１つのルールを一般的ルールよりも優先することとから成る群から選択されたアクションを実行することによって実行される、方法。

【請求項6】

下流の部分的サイバー攻撃のための前記少なくとも１つのルールを構成することが、
リポジトリからの戦術技術プロシージャ識別ルール、マルウェア特徴属性一覧、および脅威情報構造化記述形式に関するデータを使用することを含む、請求項１ないし５のいずれかに記載の方法。

【請求項7】

下流の部分的サイバー攻撃のための前記少なくとも１つのルールを構成することが、
前記識別された特定のサイバー攻撃チェーンの前記第１の部分的サイバー攻撃の前記パターンにおいて前記決定された種類および属性に関連するサイバー攻撃チェーンの典型的な下流の部分的サイバー攻撃に関連する追加のルールを構成することをさらに含む、請求項１ないし６のいずれかに記載の方法。

【請求項8】

１つのサイバー攻撃チェーンに対応する事前に定義された数のその後の部分的セキュリティ攻撃が決定された後に、警報信号をトリガーすることをさらに含む、請求項１に記載の方法。

【請求項9】

コンピュータ実装方法であって、
一連のセキュリティ・イベントを受信することと、
前記受信された一連のセキュリティ・イベントにおいて、サイバー攻撃チェーンの第１の部分的サイバー攻撃のセキュリティ侵害インジケータの検出のために事前に定義されたルールのセットを適用することによって、相関関係エンジンを使用して第１のサイバー攻撃パターンを決定し、それによって、特定のサイバー攻撃チェーンを識別することと、
前記識別された特定のサイバー攻撃チェーンの前記第１の部分的サイバー攻撃のパターンにおける種類および属性を決定することと、
前記第１の部分的サイバー攻撃の攻撃パターンにおける前記種類および前記属性に基づいて、前記特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも１つのルールを構成することと、
前記少なくとも１つの構成されたルールを、情報技術システムに対するセキュリティ脅威を動的に識別するために前記相関関係エンジンによって使用される前記事前に定義されたルールのセットに追加することと、
前記特定のサイバー攻撃チェーンのリスク値が既定のリスクしきい値未満に減少したということが決定された場合に、前記ルールのセットにおいて、前記特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための前記少なくとも１つの構成されたルールを削除することと
を含む、方法。

【請求項10】

前記少なくとも１つの構成されたルールを使用する相関関係エンジンが事前に定義された時間の間に下流のサイバー攻撃パターンを決定しなかった場合、前記特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための前記少なくとも１つの構成されたルールを削除することをさらに含む、請求項９に記載の方法。

【請求項11】

前記ルールのセットにおいて、前記特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも１つの構成されたルールに関連するルールを、マルウェア特徴属性一覧および脅威情報構造化記述形式のリポジトリから削除することをさらに含む、請求項９に記載の方法。

【請求項12】

コンピュータ・システムであって、
プロセッサと、
前記プロセッサによって実行するためのプログラム命令を格納するコンピュータ可読ストレージ・デバイスとを備え、前記プログラム命令が、
一連のセキュリティ・イベントを受信する命令と、
前記受信された一連のセキュリティ・イベントにおいて、サイバー攻撃チェーンの第１の部分的サイバー攻撃のセキュリティ侵害インジケータの検出のために事前に定義されたルールのセットを適用することによって、相関関係エンジンを使用して第１のサイバー攻撃パターンを識別する命令であって、それによって、特定のサイバー攻撃チェーンを識別する、前記命令と、
前記識別された特定のサイバー攻撃チェーンの前記第１の部分的サイバー攻撃のパターンにおける種類および属性を決定する命令と、
前記第１の部分的サイバー攻撃の攻撃パターンにおける前記種類および前記属性に基づいて、前記特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも１つのルールを構成する命令と、
前記少なくとも１つの構成されたルールを、情報技術システムに対するセキュリティ脅威を動的に識別するために前記相関関係エンジンによって使用される前記事前に定義されたルールのセットに追加する命令と、
条件が満たされたことに応答して、前記事前に定義されたルールのセットから前記少なくとも１つの構成されたルールを削除する命令と
を含む、コンピュータ・システム。

【請求項13】

決定する命令が、
前記受信された一連のセキュリティ・イベントにおいて、前記サイバー攻撃チェーンの第２のサイバー攻撃における第２のセキュリティ侵害インジケータの検出のために前記構成された少なくとも１つのルールを適用することによって、前記相関関係エンジンを使用して第２のサイバー攻撃パターンを決定する命令を含む、請求項１２に記載のシステム。

【請求項14】

前記ルールのセットが、
マルウェア特徴属性一覧および脅威情報構造化記述形式に関する情報を使用することを含む、請求項１２または１３に記載のシステム。

【請求項15】

新しいセキュリティ侵害インジケータを追加することによって、前記事前に定義されたルールのセットを継続的に更新する命令をさらに含む、請求項１４に記載のシステム。

【請求項16】

コンピュータ・システムであって、
プロセッサと、
前記プロセッサによって実行するためのプログラム命令を格納するコンピュータ可読ストレージ・デバイスとを備え、前記プログラム命令が、
一連のセキュリティ・イベントを受信する命令と、
前記受信された一連のセキュリティ・イベントにおいて、サイバー攻撃チェーンの第１の部分的サイバー攻撃のセキュリティ侵害インジケータの検出のために事前に定義されたルールのセットを適用することによって、相関関係エンジンを使用して第１のサイバー攻撃パターンを識別する命令であって、それによって、特定のサイバー攻撃チェーンを識別する、前記命令と、
前記識別された特定のサイバー攻撃チェーンの前記第１の部分的サイバー攻撃のパターンにおける種類および属性を決定する命令と、
前記第１の部分的サイバー攻撃の攻撃パターンにおける前記種類および前記属性に基づいて、前記特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも１つのルールを構成する命令と、
前記少なくとも１つの構成されたルールを、情報技術システムに対するセキュリティ脅威を動的に識別するために前記相関関係エンジンによって使用される前記事前に定義されたルールのセットに追加する命令と
を含み、前記追加する命令が、
相関関係ルールを選択的に構成すること、もしくは有効化すること、またはその両方と、
ルールをグループ化することと、
前記構成されて追加された少なくとも１つのルールを一般的ルールよりも優先することとから成る群から選択されたアクションを実行する命令をさらに含む、システム。

【請求項17】

構成する前記命令によって使用される戦術技術プロシージャ識別ルール、マルウェア特徴属性一覧、および脅威情報構造化記述形式に関するデータを格納するためのリポジトリをさらに備える、請求項１２ないし１６のいずれかに記載のシステム。

【請求項18】

下流の部分的サイバー攻撃のための前記少なくとも１つのルールを構成する前記命令が、
前記識別された特定のサイバー攻撃チェーンの前記第１の部分的サイバー攻撃の前記パターンにおいて前記決定された種類および属性に関連するサイバー攻撃チェーンの典型的な下流のサイバー攻撃に関連する追加のルールを構成する命令を含む、請求項１２ないし１７のいずれかに記載のシステム。

【請求項19】

１つのサイバー攻撃チェーンに対応する事前に定義された数のその後の部分的セキュリティ攻撃が決定された後に、警報信号をトリガーする命令をさらに含む、請求項１２ないし１８のいずれかに記載のシステム。

【請求項20】

コンピュータ・システムであって、
プロセッサと、
前記プロセッサによって実行するためのプログラム命令を格納するコンピュータ可読ストレージ・デバイスとを備え、前記プログラム命令が、
一連のセキュリティ・イベントを受信する命令と、
前記受信された一連のセキュリティ・イベントにおいて、サイバー攻撃チェーンの第１の部分的サイバー攻撃のセキュリティ侵害インジケータの検出のために事前に定義されたルールのセットを適用することによって、相関関係エンジンを使用して第１のサイバー攻撃パターンを識別する命令であって、それによって、特定のサイバー攻撃チェーンを識別する、前記命令と、
前記識別された特定のサイバー攻撃チェーンの前記第１の部分的サイバー攻撃のパターンにおける種類および属性を決定する命令と、
前記第１の部分的サイバー攻撃の攻撃パターンにおける前記種類および前記属性に基づいて、前記特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも１つのルールを構成する命令と、
前記少なくとも１つの構成されたルールを、情報技術システムに対するセキュリティ脅威を動的に識別するために前記相関関係エンジンによって使用される前記事前に定義されたルールのセットに追加する命令と、
前記特定のサイバー攻撃チェーンのリスク値が既定のリスクしきい値未満に減少したということの決定に応答して、前記ルールのセットにおいて、前記特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための前記少なくとも１つの構成されたルールを削除する命令と
を含む、システム。

【請求項21】

削除する前記命令が、前記少なくとも１つの構成されたルールを使用する前記相関関係エンジンが事前に定義された時間の間に下流のサイバー攻撃パターンを決定しなかったということの決定に応答して、前記特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための前記少なくとも１つの構成されたルールを削除することを含む、請求項２０に記載のシステム。

【請求項22】

削除する前記命令が、
事前に定義されたルールのセットから、少なくとも１つの構成されたルールに関連するルールを削除する命令を含む、請求項２０に記載のシステム。

【請求項23】

攻撃パターンによって表された一連の部分的サイバー攻撃から成るサイバー攻撃チェーンを含んでいるセキュリティ脅威を動的に識別するためのコンピュータ・プログラムであって、前記コンピュータ・プログラムが、プログラム命令を備えており、前記プログラム命令が、方法を実行するために１つまたは複数のコンピューティング・システムまたはコントローラの１つまたは複数のプロセッサによって実行可能であり、前記プログラム命令が、
一連のセキュリティ・イベントを受信する命令と、
前記受信された一連のセキュリティ・イベントにおいて、前記サイバー攻撃チェーンの第１の部分的サイバー攻撃のセキュリティ侵害インジケータの検出のために事前に定義されたルールのセットを適用することによって、相関関係エンジンを使用して第１のサイバー攻撃パターンを決定する命令であって、それによって、特定のサイバー攻撃チェーンを識別する、前記命令と、
前記識別された特定のサイバー攻撃チェーンの前記第１の部分的サイバー攻撃のパターンにおける種類および属性を決定する命令と、
前記第１の部分的サイバー攻撃の攻撃パターンにおける前記種類および前記属性に基づいて、前記特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも１つのルールを構成する命令と、
前記少なくとも１つの構成されたルールを、情報技術システムに対するセキュリティ脅威を動的に識別するために前記相関関係エンジンによって使用される前記事前に定義されたルールのセットに追加する命令と、
条件が満たされたことに応答して、前記事前に定義されたルールのセットから前記少なくとも１つの構成されたルールを削除する命令と
を含む、コンピュータ・プログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、一般に、セキュリティ脅威を識別するための方法に関し、より詳細には、攻撃パターンによって表された一連の部分的サイバー攻撃から成るサイバー攻撃チェーンを含んでいるセキュリティ脅威を動的に識別するためのコンピュータ実装方法に関する。本発明は、サイバー攻撃チェーンを含んでいるセキュリティ脅威を動的に識別するためのセキュリティ情報イベント監視システム、ならびにコンピュータ・プログラム製品にさらに関する。

【背景技術】

【0002】

ＩＴインフラストラクチャに対するセキュリティ攻撃は、企業のＩＴ組織が今日直面する最も困難な課題の１つである。最高情報セキュリティ責任者（ＣＩＳＯ：chief information security officer）の役割は、企業組織にとってますます重要になっている。市販されているセキュリティ情報イベント監視（ＳＩＥＭ：security information and event monitoring）ソリューションの大部分は、少なくとも組織の一部においてセキュリティ・インシデントにつながることがある潜在的なセキュリティ脅威を識別して検出するために、高度なスキルを持つ人員によって監視されて調整される、複雑な相関関係ルールのセットを必要とする。一般データ保護規則（ＧＤＰＲ：general data protection regulation）によれば、欧州連合において活動する企業は、顧客のデータを保護していないということが明らかになった場合、高額な金銭的負担が生じることがある。

【0003】

莫大な数の取り込まれたセキュリティ・イベントが受信されてログ・ファイルに書き込まれている間に、同時に、リアルタイムにチェックされ、査定され、評価される必要がある条件および相互依存関係のセットに一致するように、相関関係の単語が、ｒｅｇｅｘ（regular expressions：正規表現）、フィルタ、およびしきい値に基づいて設計されるため、ＳＩＥＭ相関関係ルール・エンジン（SIEM correlation rule engine）は、通常、ＣＰＵ時間およびメモリの要件の形態で、比較的高いシステム・リソース消費を要求する。

【0004】

平均すると、典型的なＩＴ（information technology：情報技術）環境内に加えて、セキュリティ・ソリューションの端末装置によって生成されるセキュリティ・イベントおよびログは、１ｋＥＰＳ（events per second：１秒当たりのイベント数）～１００ｋＥＰＳの間で変化することがあり、平均で約１５０～４００の個別のルールのセットにわたって相互に関連付けられる必要があることがある。したがって、ＳＩＥＭシステムの技術の大部分には、コンピュータ・システム・リソースに対する非常に高い要求が存在する。

【0005】

最新のサイバー攻撃は、もはや個別のインシデントで構成されず、むしろ、最新のＩＴインフラストラクチャを解析して突破し、利用するように設計された、一連の特定のステップを形成する。これらのサイバー攻撃チェーンは、文献において、「サイバー・キル・チェーン」または「サイバー攻撃キル・チェーン」とも呼ばれる。さらに、一連の関連するサイバー攻撃にわたって、潜在的なセキュリティ脅威をマッピングするための、セキュリティ・イベント間の相関関係は、追加のシステム・リソースを必要とし、低性能および適切に調整されていない相関関係ルールに起因して、システム性能の低下をもたらすこともある。

【0006】

これらの複雑なサイバー攻撃の検出および修復は、通常、特定のインシデント・ステップのサイバー攻撃チェーン全体に関する異質の知識を必要とする。サイバー攻撃チェーンの完全な知識を持つことができなければ、コンピューティング・システムの不足しているセキュリティ侵害部分を危険にさらし、ハッカーがその違反行為を続行または再開することを許すことになる場合がある。

【0007】

現在のＳＩＥＭシステムでは、相関関係ルールは、正規化された過去のセキュリティ・イベント・データのセットを、サイバー攻撃チェーンの段階の各々に沿っている可能性がある複数の値に対して照合するために、デプロイされ、有効化される。一例として、相関関係ルールの目的は、すべてのサイバー攻撃チェーンの段階を含んでいる脅威の状況およびサイバー攻撃を招く使用事例をサポートすることであり、これらのルールは、ｘ＊ｎ＊ｍのシステム・リソースＤｕｍｏｎｔを使用して、事前に定義された「ｍ」個の値のセットに対して、取り込まれて正規化された各イベント／ログ・エントリの「ｎ」個の構文解析された属性のセットを検出するように構成される必要があり、「ｘ」はサイバー攻撃チェーンの段階の数である。

【0008】

このような状況において、一部の方法は、この難問に対処しようとした。文献ＷＯ２０１５／１２７４７２Ａ２は、コンピュータ・ネットワーク環境内のマルウェアのイベントを監視するためのシステムおよび方法を開示している。この方法は、セキュリティ上のリスクに関係している疑いがあるネットワーク・トランザクションまたはコンピュータの動作に関するデータに従って複数の疑わしいオブジェクトを識別するステップを含む。疑わしいオブジェクトは、解析サービスを使用して１つまたは複数の汎用デジタル・コンピュータ上で動作する期待サービス（expectation service）に送信される。

【0009】

さらに、文献米国特許出願公開第２０１８／０２３４４４５（Ａ１）号は、コンピュータ・システムに関連付けられたエントリによって示される、挙動の異常を識別するデータを受信することを含む技術を開示している。この技術は、修正された異常を提供するための脅威インテリジェンスに少なくとも部分的に基づいて、挙動の異常をコンテキストに関連付けることを含む。修正された異常を分類するため、および挙動の異常を識別するために、機械学習が使用される。

【0010】

しかし、これらの技術はすべて、多かれ少なかれ、無制限の計算能力を有することを仮定した。特にＣＰＵ時間およびメモリにおける、制限されたリソースの反映は、行われない。したがって、計算リソースの制限された可用性も考慮する、さらに最適化されたセキュリティ情報イベント監視ソリューションに対する必要性が残されている。

【発明の概要】

【0011】

本発明の１つの態様によれば、攻撃パターンによって表された一連の部分的サイバー攻撃から成るサイバー攻撃チェーンを含んでいるセキュリティ脅威を動的に識別するためのコンピュータ実装方法を提供することができる。この方法は、一連のセキュリティ・イベントを受信することと、受信された一連のセキュリティ・イベントにおいて、サイバー攻撃チェーンの第１の部分的サイバー攻撃のセキュリティ侵害インジケータの検出のために事前に定義されたルールのセットを適用することによって、相関関係エンジンを使用して第１のサイバー攻撃パターンを決定し、それによって、特定のサイバー攻撃チェーンを識別することと、識別された特定のサイバー攻撃チェーンの第１の部分的サイバー攻撃のパターンにおける種類および属性も決定することとを含んでよい。

【0012】

さらに、この方法は、第１の部分的サイバー攻撃の攻撃パターンにおける種類および属性に基づいて、特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも１つのルールを構成することと、少なくとも１つの構成されたルールを、情報技術システムに対するセキュリティ脅威を動的に識別するために相関関係エンジンによって使用される事前に定義されたルールのセットに追加することとを含んでもよい。

【0013】

本発明の別の態様によれば、サイバー攻撃チェーンを含んでいるセキュリティ脅威を動的に識別するためのセキュリティ情報イベント監視（ＳＩＥＭ）システムを提供することができる。このシステムは、一連のセキュリティ・イベントを受信するように適応された受信ユニットと、受信された一連のセキュリティ・イベントにおいて、サイバー攻撃チェーンの第１の部分的サイバー攻撃のセキュリティ侵害インジケータの検出のために事前に定義されたルールのセットを適用することによって、相関関係エンジンを使用して第１のサイバー攻撃パターンを決定するように適応された決定ユニットとを備えてよい。それによって、特定のサイバー攻撃チェーンが識別されてよい。決定ユニットは、識別された特定のサイバー攻撃チェーンの第１の部分的サイバー攻撃のパターンにおける種類および属性を決定するように適応されてもよい。

【0014】

さらに、ＳＩＥＭシステムは、第１の部分的サイバー攻撃の攻撃パターンにおける種類および属性に基づいて、特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも１つのルールを構成するように適応された構成ユニットと、少なくとも１つの構成されたルールを、情報技術システムに対するセキュリティ脅威を動的に識別するために相関関係エンジンによって使用される事前に定義されたルールのセットに追加するように適応された追加モジュールとを備えてよい。

【0015】

攻撃パターンによって表された一連の部分的サイバー攻撃から成るサイバー攻撃チェーンを含んでいるセキュリティ脅威を動的に識別するための提案されたコンピュータ実装方法は、次の複数の優位性および技術的効果を提供することができる。

【0016】

複数の段階のサイバー攻撃チェーンを検出し、場合によっては防止するために必要なコンピュータ・リソースを、大幅に減らすことができる。サイバー攻撃チェーンの最初の要素の検出は、あらゆる種類のセキュリティ侵害インジケータを識別するために、ルールの完全なセットを使用して実行されてよいが、サイバー攻撃チェーンの後の段階に属するその後の部分的サイバー攻撃は、セキュリティ侵害インジケータを識別して決定するために、ルールの削減されたセット、または場合によっては、ルールの変更されたセットのみを必要としてよい。

【0017】

最初の部分的攻撃が受信された場合、限定された数の選択肢のみがサイバー攻撃チェーンに使用可能であることがあるということが知られているため、セキュリティ侵害インジケータを識別するための元の変更されていないルールの完全なセットを使用して、２番目の段階または３番目の段階（など）の部分的攻撃を徹底的に追及する必要がない。ルールのセットを変更し、特に削減するために、サイバー攻撃チェーンおよび一連の部分的攻撃に関する継承された知識が使用されてよい。

【0018】

したがって、最初の部分的攻撃の後の、２番目以降の段階として意味のない部分的攻撃の決定が取り除かれてよい。これは、必要な計算リソースに大きな影響を与えることがあり、すなわち、同じ精度またはさらに良い精度で一連のサイバー攻撃を識別するために必要なＣＰＵ時間およびメモリの量が、大幅に少なくなる。この脅威インシデントの検出精度は、限られた量の計算リソースのみが使用可能であってよいため、実現し得る。本明細書で提案された概念を使用して、サイバー攻撃チェーンを識別するという同じ目標を達成するための計算リソースの大幅な削減を可能にすることができる。したがって、変更されていないルールのセットによってその後の部分的攻撃にも何度も繰り返して適用される、サイバー攻撃チェーンを検出するための最先端技術に従う方法と比較した場合、より小さく性能が低いコンピューティング・システムを使用しても、同じ結果を達成することができる。

【0019】

以下では、本発明の概念の追加の実施形態が説明される。

【0020】

１つの好ましい実施形態によれば、この方法は、受信された一連のセキュリティ・イベントにおいて、前のステップですでに決定されているサイバー攻撃チェーンの第２のサイバー攻撃における第２のセキュリティ侵害インジケータの検出のために構成された少なくとも１つのルールを適用することによって、相関関係エンジンを使用して第２のサイバー攻撃パターンを決定することを含んでもよい。サイバー・スレッド（cyber thread）の初期識別の後のこの第２のステップによって、ルールの完全なセットまたは拡張されたセットを常に使用する場合よりも少ない計算量で、特定のサイバー攻撃チェーンの検出が確認されてよい。

【0021】

この方法の１つの有利な実施形態によれば、ルールのセットは、マルウェア特徴属性一覧（ＭＡＥＣ（malware attribute enumeration and characterization）と呼ばれる）および脅威情報構造化記述形式（ＳＴＩＸ（structured threat information expressions）と呼ばれる）に関する情報を使用してよい。それによって、セキュリティ侵害インジケータと、サイバー攻撃チェーンの一部である攻撃パターンの間の関係の参照が使用されてよい。関連する情報が、提案された方法または関連するシステムあるいはその両方によってアクセス可能であるリポジトリに設定されてよい。

【0022】

１つの許容される実施形態によれば、この方法は、新しいセキュリティ侵害インジケータを追加することによって、事前に定義されたルールのセットを継続的に更新することを含んでもよい。産業界には、定期的にセキュリティ防御センター（security defense centers）間で相互に情報を提供し、更新するための、実際にかなり良い方法が存在する。セキュリティ防御センターのうちの１つによって新しい攻撃パターンまたは攻撃キャンペーンが識別された後に、それに応じて、短期間に他のセンターに情報が提供されてよい。

【0023】

この方法のさらに１つの好ましい実施形態によれば、少なくとも１つの構成されたルールをルールのセットに追加することは、相関関係ルール（特に、第１の攻撃には関係しないが、第２のさらに下流の攻撃には関係する相関関係ルール）を選択的に構成すること、もしくは有効化すること、またはその両方、ルールをグループ化すること、および／あるいは構成されて追加された少なくとも１つのルールを一般的ルールよりも優先することによって、実行されてよい。このようにして、サイバー・セキュリティ脅威に対する防御のための未来の挙動が定義されてよく、それによって、同時に、同じサイバー攻撃チェーンの未来のサイバー・セキュリティ攻撃（すなわち、専用の一連の部分的サイバー攻撃）の識別に必要な労力を大幅に減らすことができる。

【0024】

この方法の任意選択的な実施形態によれば、下流の部分的サイバー攻撃のための少なくとも１つのルールを構成することは、リポジトリからの、戦術技術プロシージャ（ＴＴＰ：tactic-technique-procedure）識別ルール、マルウェア特徴属性一覧（ＭＡＥＣ）、および脅威情報構造化記述形式（ＳＴＩＸ）に関するデータを使用することを含んでもよい。そのようなリポジトリは、各情報を最新に保つために、定期的に、必要な場合に、または要求に応じて、更新されてよい。

【0025】

この方法の１つの許容される実施形態によれば、下流の部分的サイバー攻撃のための少なくとも１つのルールを構成することは、識別された特定のサイバー攻撃チェーンの第１の部分的サイバー攻撃のパターンにおいて決定された種類および属性に関連するサイバー攻撃チェーンの典型的な下流のサイバー攻撃に関連する追加のルールを構成することを含んでもよい。ここで再び、未来の識別の労力を減らすため、および同時に、速度を増やすために、変更された方法で、識別された特定のサイバー攻撃チェーンの未来の部分的サイバー攻撃が予想されてよい。したがって、特定のサイバー攻撃チェーンのすべての段階に対するルールの完全な蓄積が有効化されてよい。

【0026】

さらに別の有用な実施形態によれば、この方法は、１つのサイバー攻撃チェーンに対応する事前に定義された数のその後の部分的セキュリティ攻撃が決定された後に、警報信号をトリガーすることを含んでもよい。この事前に定義された数は、「１」（すなわち、仮定されたサイバー攻撃チェーンの第１の部分的サイバー攻撃の識別の直後）であってよい。そのような警報によって、サイバー・セキュリティ責任者は、警戒することができ、必要な場合にＳＩＥＭシステムをより綿密に監視し、制御することができてよい。他の実施形態では、この警報は、２つまたは３つの部分的サイバー攻撃が同じサイバー攻撃チェーンに属することが識別された場合に、トリガーされてよい。したがって、ＳＩＥＭシステムの活動の一部は、一緒に属している部分的サイバー攻撃のしきい値に達するまで自動的に動作してよく、一方、他のサイバー攻撃チェーンの場合、既知のサイバー攻撃チェーンの第１のサイバー攻撃を識別した直後に、警報がトリガーされてよい。

【0027】

１つの追加の好ましい実施形態によれば、この方法は、特定のサイバー攻撃チェーンのリスク値が既定のリスクしきい値未満に減少したということが決定された場合に、ルールのセットにおいて、特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも１つの構成されたルールを削除することを含んでもよい。代替または改良の実施形態では、この方法は、少なくとも１つの構成されたルールを使用する相関関係エンジンが事前に定義された時間の間に（例えば、事前に定義された日数の後に）下流のサイバー攻撃パターンを決定しなかった場合、特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも１つの構成されたルールを削除することを含んでよい。このようにして、多すぎる相関関係がチェックされて評価され、多くの時間とリソースを消費する必要がないように、ルールのセットが過剰に拡張されないことが保証されてよい。場合によっては必要とされなくなったそれらのルールを削除することによって、ＳＩＥＭシステムは、クリーンで効果的な状態に保たれてよい。対応するサイバー攻撃パターンの観測がないことに関する情報が、マルウェア特徴属性一覧（ＭＡＥＣ）および脅威情報構造化記述形式のリポジトリにフィードバックされる。このようにして、より高いレベルの脅威の定義へのフィードバック・ループが確立されてよい。この提供によって、無駄がないリソースに適したＳＩＥＭシステムも保証する。

【0028】

１つのさらに別の任意選択的な実施形態によれば、この方法は、ルールのセットにおいて、特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃からの少なくとも１つの構成されたルールに関連するルールを、マルウェア特徴属性一覧および脅威情報構造化記述形式のリポジトリから削除することを含んでもよい。やはりこの提供によって、無駄がないリソースに適したＳＩＥＭシステムを保証することができる。

【0029】

さらに、実施形態は、コンピュータまたは任意の命令実行システムによって、またはこれらに接続して使用するためのプログラム・コードを提供するコンピュータ使用可能媒体またはコンピュータ可読媒体からアクセスできる関連するコンピュータ・プログラム製品の形態を取ってよい。この説明の目的で、コンピュータ使用可能媒体またはコンピュータ可読媒体は、命令実行システム、命令実行装置、または命令実行デバイスによって、またはこれらに接続して使用するためのプログラムを格納するか、伝達するか、伝搬するか、または運ぶための手段を含むことができる任意の装置であってよい。

【0030】

本発明の実施形態が、さまざまな対象を参照して説明されるということに注意するべきである。具体的には、一部の実施形態は、方法タイプの請求項を参照して説明され、他の実施形態は、装置タイプの請求項を参照して説明される。ただし、当業者は、前述の説明および以下の説明から、特に注記のない限り、対象の１つの種類に属している特徴の任意の組合せに加えて、異なる対象に関連する特徴間、特に、方法タイプの請求項の特徴間、および装置タイプの請求項の特徴間の任意の組合せも、本明細書内で開示されると見なされるということを推測するであろう。

【0031】

上で定義された態様および本発明のその他の態様は、以下に記載された実施形態の例から明らかであり、実施形態の例を参照して説明されるが、本発明はこれらに限定されない。

【0032】

以下の図面を参照し、本発明の好ましい実施形態について単なる例として説明する。

【図面の簡単な説明】

【0033】

【図1】攻撃パターンによって表された一連の部分的サイバー攻撃から成るサイバー攻撃チェーンを含んでいるセキュリティ脅威を動的に識別するための本発明のコンピュータ実装方法の実施形態のブロック図を示す図である。

【図2】サイバー攻撃チェーンの典型的なフェーズを示す図である。

【図3】従来のインシデント検出および提案された概念の基礎の比較のブロック図を示す図である。

【図4】動的に適応できるコンポーネントおよび固定されたコンポーネントを含むルール・セットの構造の実施形態のブロック図を示す図である。

【図5】主要な構成要素を使用して提案された概念の実施形態のブロック図を示す図である。

【図6】より詳細な視点から本発明の概念のステップを示すフローチャートのブロック図を示す図である。

【図7】攻撃パターンによって表された一連の部分的サイバー攻撃から成るサイバー攻撃チェーンを含んでいるセキュリティ脅威を動的に識別するためのセキュリティ情報イベント監視システムのブロック図を示す図である。

【図8】提案された方法に関連するプログラム・コードを実行するのに適しており、図７に従うシステムを含んでいるコンピューティング・システムの実施形態のブロック図を示す図である。

【発明を実施するための形態】

【0034】

この説明の文脈では、以下の規則、用語、または表現、あるいはその組合せを使用できる。

【0035】

「セキュリティ脅威」という用語は、脆弱性を利用して情報技術システムのセキュリティを突破することがあり、したがって損害をもたらす可能性がある起こり得る危険を示してよい。この用語は、コンピュータ・セキュリティの技術分野に関連しており、侵入者または侵入システムによる可能性のある攻撃、許可されていないアクセス、またはコンピュータ・システムもしくはストレージ・システム内のデータの可能性のある破壊もしくは操作、あるいはコンピュータ、ストレージ、または通信システムの制御を引き継ぐことを表す。セキュリティ脅威は、通常、サイバー攻撃から生じる。

【0036】

「サイバー攻撃チェーン」という用語は、コンピュータまたは同様のシステムに対する一連の下位攻撃を示してよい。この連続の各段階は、前の段階に基づく。一連のサイバー攻撃またはサイバー攻撃のチェーンの７段階を含み、１８段階も含む、理論モデルが存在する。本明細書の中では、「一連の部分的サイバー攻撃」、「サイバー攻撃チェーン」という用語が、同意語として使用されることがある。

【0037】

「一連のセキュリティ・イベント」という用語は、一連の部分的サイバー攻撃の各々が、セキュリティ対策の突破を確立することがあることを示してよく、セキュリティ対策のほとんどは、単にサイバー攻撃防御システムの探知能力の下で動作する。検出されていないことが多い攻撃の第１のセットは、最後の段階になって初めて、攻撃されたシステムの制御を引き継ぐために、可能性のあるターゲットを調査するように動作可能である。

【0038】

「第１のサイバー攻撃パターン」という用語は、一連の部分的サイバー攻撃における攻撃の第１のアクションを示してよい。サイバー攻撃チェーンの７層モデルでは、この用語は、偵察段階または偵察フェーズに関連してよい。

【0039】

「相関関係エンジン」という用語は、イベントを事前に定義されたパターンに関連付けることが可能にされたシステムを示してよく、すなわちこのシステムは、多数のイベントの意味を理解し、その大量の情報のうちの本当に重要な少数のイベントを正確に示すための技術である。このシステムは、イベントと事前に定義されたパターンの間の関係を探して解析することによって実現される。相関関係を検出するために、フィルタリング、集計、解析、マスキングなどの一連のアクションが必要になることがある。相関関係エンジンは、相関関係メカニズムを実行するように適応される。

【0040】

「事前に定義されたルールのセット」という用語は、本明細書との関連においてルールのグループを示してよく、ＩＴ環境内のセキュリティ・システムのログ・イベントは、これらのルールを使用してサイバー攻撃の検出を試みる。

【0041】

「セキュリティ侵害インジケータ（ＩｏＣ：indicator of compromise）」という用語は、コンピュータ・フォレンジックおよびＩＴセキュリティにおいて、ネットワーク上またはオペレーティング・システム内で観測された、高い信頼性でコンピュータ侵入を示すアーチファクトを示してよい。典型的なＩｏＣは、ウイルス・シグネチャおよびＩＰアドレス、マルウェア・ファイルのＭＤ５ハッシュ、あるいはボットネット・コマンドおよび制御サーバのＵＲＬまたはドメイン名である。インシデント対応およびコンピュータ・フォレンジックのプロセスにおいてＩｏＣが識別された後に、それらのＩｏＣは、侵入検出システムおよびウイルス対策ソフトウェアを使用して未来の攻撃の試みを早期に検出するために使用され得る。既知のインジケータは、通常、産業界内で交換される。

【0042】

「下流」という用語は、現在の部分的サイバー攻撃の後の部分的サイバー攻撃を示してよい。例えば、現在の部分的サイバー攻撃が、期待される列または連続内で２番目である場合、下流の部分的サイバー攻撃は、２番目の後に続く（すなわち、３番目、４番目、５番目など）部分的サイバー攻撃である。

【0043】

「マルウェア特徴属性一覧」（ＭＡＥＣ）（「マイク」と発音される）という用語は、挙動、アーチファクト、およびマルウェアのサンプル間の関係などの属性に基づいて、マルウェアに関する高忠実度の情報をエンコードして共有するために、コミュニティによって開発された構造化言語である。ＭＡＥＣは、マルウェアの説明に現在存在する曖昧さおよび不正確さを取り除くことによって、およびシグネチャへの依存を減らすことによって、（ｉ）関連付け、統合、および自動化を可能にすることと、（ｉｉ）マルウェアに関する人間間、人間とツールの間、ツール間、およびツールと人間の間の情報伝達を改善することと、（ｉｉｉ）以前に観察されたマルウェアの事例に対する対応を活用する能力を有効にすることによって、対抗手段のより速い開発を可能にすることと、（ｉｖ）研究者によるマルウェア解析の努力の繰り返しの可能性を減らすこととを目指す。

【0044】

「脅威情報構造化記述形式」（ＳＴＩＸ）という用語は、サイバー・セキュリティに関連する表現のうちの収集された表現のリポジトリを示してよい。ＳＴＩＸは、サイバー脅威情報を表す構造化言語を定義して開発するために、コミュニティによって推進されている協調的な取り組みである。ＳＴＩＸ言語は、可能性のあるサイバー脅威情報をすべて伝達し、できるだけ完全な表現、柔軟、拡張可能、自動化可能、および人間によって解読可能になることを目指す。関心があるすべての関係者が、オープンな協調的コミュニティの一部として、進化しつつあるＳＴＩＸに参加することが歓迎されている。ＳＴＩＸの使用事例は、（ｉ）サイバー脅威を解析することと、（ｉｉ）サイバー脅威のインジケータのパターンを指定することと、（ｉｉｉ）サイバー脅威の防止および対応の活動を管理することと、（ｉｖ）サイバー脅威情報を共有することとを含む。

【0045】

以下では、図について詳細に説明する。図内のすべての命令は概略図である。最初に、攻撃パターンによって表された一連の部分的サイバー攻撃から成るサイバー攻撃チェーンを含んでいるセキュリティ脅威を動的に識別するための本発明のコンピュータ実装方法の実施形態のブロック図が示される。その後、さらに別の実施形態に加えて、サイバー攻撃チェーンを含んでいるセキュリティ脅威を動的に識別するためのセキュリティ情報イベント監視システムの実施形態が説明される。

【0046】

図１は、攻撃パターンによって表された一連の部分的サイバー攻撃から成るサイバー攻撃チェーンを含んでいるセキュリティ脅威を動的に識別するためのコンピュータ実装方法１００の実施形態のブロック図を示している。方法１００は、一連のセキュリティ・イベントを受信すること（１０２）を含む。これらのセキュリティ・イベントは、サイバー・セキュリティ監視システムまたはＳＩＥＭシステムのログ・ソースから受信されてよい。

【0047】

方法１００は、第１のステップとして、受信された一連のセキュリティ・イベントにおいて、サイバー攻撃チェーンの第１の部分的サイバー攻撃のセキュリティ侵害インジケータの検出のために事前に定義されたルールのセット（特に、ＴＴＰルール、戦術技術プロシージャ識別ルール）を適用することによって、相関関係エンジンを使用して第１のサイバー攻撃パターンを決定すること（１０４）を含む。それによって、第１の部分的サイバー攻撃が、特定のサイバー攻撃チェーンを識別する。

【0048】

さらに、方法１００は、識別された特定のサイバー攻撃チェーンの第１の部分的サイバー攻撃のパターンにおいて、種類および属性（種類および属性のセットのうちの少なくとも１つ）を決定すること（１０６）を含む。このようにして、キャンペーンのシグネチャが受信されてよい。

【0049】

さらに、方法１００は、第１の部分的サイバー攻撃の攻撃パターンにおける種類および属性に基づいて、特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも１つのルールを構成すること（１０８）を含む。このようにして、この方法は、従来のＳＩＥＭシステムと比較した場合に、より少ないリソースを使用してより速く未来の部分的サイバー攻撃を識別できるように、未来の部分的サイバー攻撃を予想してＳＩＥＭシステムを準備する。

【0050】

最後に重要なこととして、方法１００は、少なくとも１つの構成されたルールを、情報技術システムに対するセキュリティ脅威を動的に識別するために相関関係エンジンによって使用される事前に定義されたルールのセットに追加すること（１１０）を含む。

【0051】

図２は、サイバー攻撃チェーンの典型的なフェーズの図２００を示している。ランサムウェアまたはトロイの木馬のような典型的なサイバー・セキュリティ攻撃が、互いに依存し、前のステップからの情報を使用する特定の一連のアクションに従うということが分かっている。典型的な７ステップの方法は、以下を含む。
１偵察－侵入者がターゲットを選択して調査し、ターゲット・ネットワークにおける脆弱性を識別しようとする。
２悪意のある設計－侵入者が、ウイルスまたはワームなどの、１つまたは複数の脆弱性に合わせて調整されたリモート・アクセス・マルウェア・エージェントを作成する。
３配信－侵入者が、（例えば、電子メールの添付ファイル、Ｗｅｂサイト、またはＵＳＢドライブを介して）エージェントをターゲットに送信する。
４利用－マルウェア・エージェントのプログラム・コードが、脆弱性を利用するためにターゲット・ネットワークに対して実行するアクションをトリガーする。
５インストール－マルウェア・エージェントが、侵入者によって使用可能なアクセス・ポイント（例えば、「バックドア」）をインストールする。
６コマンドおよび制御－マルウェアが、侵入者がターゲット・ネットワークに対する（キーボードで操作できる）永続的アクセス権限を持つことを可能にする。
７目的に対するアクション－侵入者が、データの抽出、データの破壊、または身代金のための暗号化などの、自分の目標を達成するためのアクションを実行する。

【0052】

この知識を使用して、サイバー・セキュリティ・チェーンと戦うための労力を減らすことができる。従来の方法では、ｎ個の異なるソースからのすべてのセキュリティ・イベント（特に、ＩＰアドレス、電子メールＩＤ、ファイル・ハッシュ、ＵＲＬなど）を、ｍ個のマルウェア・キャンペーンからのセキュリティ侵害インジケータの完全に知られているリスト（特に、ここでもＩＰアドレス、電子メールＩＤ、ファイル・ハッシュ、ＵＲＬなど）に対して構文解析する必要がある。この処理を、典型的なキャンペーンに含まれているステップの数だけ繰り返す必要があるため、ＩＴ環境を保護するには、７＊ｎ＊ｍ回の異なる決定を行う必要があり、多くのシステム・リソースの利用が必要になる。

【0053】

本明細書で提案された概念を使用して、この労力を大幅に減らすことができる。ｎ個の異なるソースからのセキュリティ・イベントの代わりに、ＩＰアドレス、電子メールＩＤ、ファイル・ハッシュ、ＵＲＬなどについて、ｎ’個の異なるソースのサブセットから構文解析されたセキュリティ・イベントのみを検索する必要がある。この処理を、ＴＴＰに基づくｍ’個のマルウェア・キャンペーンのサブセットのセキュリティ侵害インジケータの既知のリストについて繰り返す必要があるため、７＊ｎ’＊ｍ’の積は、前述した７＊ｎ＊ｍ回の異なる決定の場合よりはるかに小さい。したがって、提案された概念は、サイバー・セキュリティ脅威に対する保護のためのシステム・リソースの利用を大幅に減らすことができる。

【0054】

要するに、イベントを総当たりで処理する代わりに、洞察に基づく処理の能動的な調整が適用される。最適化された方法によって、サイバー攻撃チェーンのフット・プロテクション（foot protection）および関連付けが、事前に定義されたＳＩＥＭリソース制約の範囲内で、リアルタイムに実行され得る。

【0055】

図３は、従来のインシデント検出および提案された概念の基礎の比較のブロック図３００を示している。時間の矢印が図の上部で開始し、下部に下っていることに注意する。図の上半分は、受信セキュリティ・イベント３０２を監視する従来のＳＩＥＭシステム３０４を示している。従来の方法では、通常、以前の部分的サイバー攻撃に基づくどのルール・セットも採用せずに、管理が行われている。

【0056】

したがって、「現在」の時間に新しいイベント３０６が受信された場合、従来のＳＩＥＭシステム３０４は、この新しいイベント３０６を、以前のセキュリティ・イベントが処理された方法で（すなわち、多かれ少なかれ静的ルールに従って）処理する。

【0057】

図３の下半分には、提案された概念に従うＳＩＥＭシステム３２０が示されている。サイバー・セキュリティ・チェーンは、部分的サイバー攻撃を含む特定のフェーズに従って現れ、部分的サイバー攻撃の各々が、それ自体では脅威を表さないことがあるため、新しいイベント３０６は、ＳＩＥＭシステム３２０によって、「現在」の時間の後に受信されることがある一連の部分的サイバー攻撃における第１のサイバー攻撃として識別されてよい。したがって、未来のイベント３０８、．．．、３１８は、完全なサイバー攻撃チェーンのさらなるフェーズであることがある。ここで、新しいイベント３０６に基づいて、本明細書で提案された方法および提案されたＳＩＥＭシステム３２０は、ルールを構成することによって、図３の場合には、識別されたサイバー・セキュリティ・チェーンに属することが知られている未来のイベント３０８、３１２、および３１８をより簡単に識別するように準備する。このようにして、部分的サイバー・セキュリティ攻撃のチェーンに基づくサイバー・セキュリティ攻撃の検出、識別、および確認が最適化されることができ、従来の方法と比較した場合に、より少ないリソースを使用して実行されることができる。

【0058】

図４は、動的に適応できるコンポーネントおよび固定されたコンポーネントを含むルール・セットの構造の実施形態のブロック図４００を示している。ＴＴＰ識別ルール（TTP identifying rules）のセット４０２の各々は、ｎ個のイベント属性を、ｍ_ｎ個のセキュリティ侵害インジケータと比較できるようにする。キャンペーン固有のルール４０４は、１つまたはごく少数のイベント属性のみを、セキュリティ侵害インジケータの短いリストと比較する。したがって、キャンペーン固有のルール４０４からの負荷は、一般的ルールによって引き起こされる負荷と比較してわずかである。最後に、一般的ルール４０６の各々は、ｍ_ｎ個のセキュリティ侵害インジケータとのｎ個のイベント属性の比較に関連している。

【0059】

サイバー・セキュリティ攻撃は、サイバー・セキュリティ攻撃の異なるフェーズ（特に、フェーズ１～フェーズ７）内の一連の部分的サイバー・セキュリティ攻撃として現れることがある。フェーズＰ１～Ｐ７の各々に部分的サイバー・セキュリティ攻撃が存在することがあるが、各フェーズにおいて個別の部分的サイバー・セキュリティ攻撃が実行される必要がないことがある。したがって、キャンペーン３のみが、７つのフェーズの各々に関するルールを示している。他のキャンペーン（例えば、キャンペーン１、２、またはｃ）は、フェーズのサブセットに関するルールのみを示している。どのフェーズに関して新しい部分的サイバー・セキュリティ攻撃が予期され得るかということが、通常、知られているため、それらの特定のフェーズに対処することにおいて、相関関係エンジンのルールを構成して有効化することのみが必要であってよい。

【0060】

一例として、ランサムウェア・キャンペーンについて考え、ＴＴＰデータベースは、ランサムウェア・キャンペーンに関して以下の情報を含んでいる。
・フェーズ１－偵察：悪意のあるＩＰアドレスａ．ｂ．ｃ．ｄからのネットワーク・スキャン
・フェーズ２－悪意のある設計「あなた向けの電子メール」または「あなた向けの写真」という件名でドメイン＠ｂｅｎｅｆｉｔ－ｃｉｔｙ．ｃｏｍから送信された電子メール
・フェーズ４－配信：ハッシュ・キー（ウイルス対策シグネチャ４ＣＢ５Ｆ）を持つマルウェア
・フェーズ４～７の詳細はまだ知られていない
キャンペーン・ルール「ランサムウェア」は、攻撃をトリガーする以下の３つの個別のルールを含む。
１．ＩＰａ．ｂ．ｃ．ｄに関するファイアウォール・イベント「拒否」の数＞１００（一般的な、ファイアウォール拒否イベントのしきい値に対して事前に定義された値）である場合
２．受信された電子メールのイベントが、送信者＝「＠ｂｅｎｅｆｉｔ－ｃｉｔｙ．ｃｏｍ」かつ（件名＝「あなた向けの電子メール」または件名＝「あなた向けの写真」）と同様のものを含む場合、または
３．ハッシュ・キー＝４ＣＢ５Ｆを持つ「ディスクに格納されたファイル」というウイルス対策イベントが検出された場合

【0061】

この例のキャンペーン・ルールは、少数の既知の悪意のある値に対して少数の属性を非常に具体的にチェックするため、ルール・エンジンに対してわずかな負荷しか引き起こさない。図４の右側に、ルール実行の仮定された順序４０８が示されていることにも注意する。

【0062】

図５は、主要な構成要素を使用して提案された概念の実施形態のブロック図５００を示している。相関関係エンジン５１８およびＴＴＰ固有ルール・セット識別器５２０という２つの主要な構成要素が示されている。セキュリティ・イベントが、例えば１つまたは複数のセキュリティ・イベント・ログ（図示されていない）に対するアクセス権限として、イベント収集器５０２から受信される。相関関係エンジン５１８はＴＴＰ識別ルール５０６にアクセスし、ＴＴＰ識別ルール５０６は、既知のセキュリティ侵害インジケータに対して受信イベントを照合する。既知のセキュリティ侵害インジケータは、ＴＴＰ／ＭＡＥＣ識別器５１２が、関係を照会してマッピングし、ＴＴＰ／ＭＡＥＣリポジトリ５１６からの追加の攻撃パターンを識別するのをトリガーする。セキュリティ侵害インジケータの照合が怪しいＴＴＰ（攻撃パターン）を識別した場合、ルール開発エンジン５１４が、追加のＴＴＰをキャンペーン固有のルールの小さいセット５０８に変換し、相関関係エンジン５１８でこのセットを有効化する。

【0063】

ルール実行器５０４が、サイバー攻撃パターン以外（例えば、内部関係者の脅威）を監視するように実装された一般的ルール５１０にもアクセスする（図４、４０８を比較する）。既知のＴＴＰ／ＭＡＥＣ識別器のブロック５１２およびサイバー攻撃チェーン用のルール開発エンジン５１４は、ＴＴＰ固有ルール・セット識別器５２０の主要な構成要素である。

【0064】

最後に、ブロック５０４で実行されたルールがセキュリティ脅威を識別した場合、警報生成器５２２がトリガーされてよい。

【0065】

図６は、より詳細な視点から本発明の概念のステップを示すフローチャート６００のブロック図を示している。

【0066】

本発明の概念の方法は、可能性のあるセキュリティ・インシデントに関する完全なサイバー攻撃チェーンを検出するための相関関係ルールの動的メモリ割り当てをサポートする適応相関関係を可能にする以下のステップを含んでいる。

【0067】

最初に、セキュリティ・イベント６０２が、１つまたは複数のイベント収集器を介してログ・ソースから収集された後に、イベント・プリプロセッサに送信される。次に、システム・リソースの可用性に基づいて相関関係エンジンを通るイベントの数を処理する相関関係エンジンのキュー・マネージャによって、セキュリティ・イベントが読み込まれて（６０４）処理される（６０６）。

【0068】

その後、処理された（６０６）イベントが、相互関係キューを介して、相関関係ルール実行器（５０６を比較する）を通り、ＴＴＰ識別ルールのセットが、相関関係ルール実行器に読み込まれる。キューからのイベントは、相関関係ルール実行器において、ルールによってチェックされる。イベントおよびＴＴＰ識別相関関係ルールに一致が存在する場合（「はい」の場合）、ルール・エンジンが、完全なチェーンのためのルールの作成または変更あるいはその両方に関して、ＴＴＰを解析する（６１６）。

【0069】

さらに、ルール・エンジンは、ＴＴＰ／ＭＡＥＣリポジトリ６１８を常にチェックし、ＴＴＰ／ＭＡＥＣに基づいて新しいマルウェア・キャンペーンに適用できるルールを動的に開発する。有効化されたキャンペーン固有のルールは、ＴＴＰの攻撃パターンおよびセキュリティ侵害インジケータに関する最新の更新情報で定期的に更新される。

【0070】

これに基づいて、サイバー攻撃チェーン全体に沿って追加の部分的サイバー・セキュリティ攻撃を監視するために、一連の追加のサイバー攻撃ルールがルール実行器に追加される（またはそれぞれ読み込まれる（６２０））。

【0071】

決定中である場合（６０８）（一致が検出されなかった（「いいえ」の）場合）、キャンペーン固有のルール（図４、４０４を比較する）および追加として一般的ルール（図４、４０８を比較する）によって、受信されたイベントが処理され（６１０）、ルールの肯定的結果／決定に基づいて（６１２）、決定されたサイバー攻撃チェーンのレベルと共に、警報が有効化される（６１４）。

【0072】

「はい」の決定の場合（６０８）、フローチャートの分岐「はい、未来の相関関係」にも続くということにも注意する。つまり、サイバー攻撃チェーン全体に沿って追加のサイバー・セキュリティ攻撃を監視するために、追加のサイバー攻撃チェーン・ルールがルール実行器に読み込まれる（６２２）。次に、ルールが、特定のサイバー攻撃チェーンに関する信頼度のマッピングに適用され（６２４を比較する）、ルールの結果に基づいて、決定されたサイバー攻撃チェーンのレベルと共に警報が有効化される（６１４）。

【0073】

完全性のために、図７は、攻撃パターンによって表された一連の部分的サイバー攻撃から成るサイバー攻撃チェーンを含んでいるセキュリティ脅威を動的に識別するためのセキュリティ情報イベント監視システム７００のブロック図を示している。システム７００は、一連のセキュリティ・イベントを受信するように適応された受信ユニット７０２と、受信された一連のセキュリティ・イベントにおいて、サイバー攻撃チェーンの第１の部分的サイバー攻撃のセキュリティ侵害インジケータの検出のために事前に定義されたルールのセットを適用し、それによって特定のサイバー攻撃チェーンを識別することによって、相関関係エンジンを使用して第１のサイバー攻撃パターンを決定するように適応された決定ユニット７０４とを備えている。決定ユニット７０４は、識別された特定のサイバー攻撃チェーンの第１の部分的サイバー攻撃のパターンにおける種類および属性を決定するようにも適応される。

【0074】

さらに、システム７００はまた、第１の部分的サイバー攻撃の攻撃パターンにおける種類および属性に基づいて、特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも１つのルールを構成するように適応された構成ユニット７０６と、少なくとも１つの構成されたルールを、情報技術システムに対するセキュリティ脅威を動的に識別するために相関関係エンジンによって使用される事前に定義されたルールのセットに追加するように適応された追加モジュール７０８とを備えている。

【0075】

本発明の実施形態は、プログラム・コードを格納することまたは実行することあるいはその両方に適しているプラットフォームに関わらず、事実上、任意の種類のコンピュータと一緒に実装されてよい。図８は、一例として、提案された方法に関連するプログラム・コードを実行するのに適しているコンピューティング・システム８００を示している。

【0076】

コンピューティング・システム８００は、適切なコンピュータ・システムの一例にすぎず、コンピュータ・システム８００が上記で示された機能のいずれかを実装されること、または実行すること、あるいはその両方を行うことができるかどうかに関わらず、本明細書に記載された本発明の実施形態の使用または機能の範囲に関してどのような限定も示唆するよう意図されていない。コンピュータ・システム８００には、他の多数の汎用または専用のコンピューティング・システム環境または構成と共に動作できるコンポーネントが存在する。コンピュータ・システム／サーバ８００と共に使用するのに適した周知のコンピューティング・システム、環境、または構成、あるいはその組合せの例としては、パーソナル・コンピュータ・システム、サーバ・コンピュータ・システム、シン・クライアント、シック・クライアント、ハンドヘルドまたはラップトップ・デバイス、マイクロプロセッサ・システム、マイクロプロセッサベース・システム、セット・トップ・ボックス、プログラマブル・コンシューマ・エレクトロニクス、ネットワークＰＣ、マイクロコンピュータ・システム、メインフレーム・コンピュータ・システム、およびこれらの任意のシステムまたはデバイスを含む分散クラウド・コンピューティング環境などが挙げられるが、これらに限定されない。コンピュータ・システム／サーバ８００は、コンピュータ・システム７００によって実行されているプログラム・モジュールなどの、コンピュータ・システムによって実行可能な命令との一般的な関連において説明されてよい。通常、プログラム・モジュールは、特定のタスクを実行するか、または特定の抽象データ型を実装するルーチン、プログラム、オブジェクト、コンポーネント、論理、データ構造などを含んでよい。コンピュータ・システム／サーバ８００は、通信ネットワークを介してリンクされたリモート処理デバイスによってタスクが実行される、分散クラウド・コンピューティング環境で実行されてよい。分散クラウド・コンピューティング環境において、プログラム・モジュールは、メモリ・ストレージ・デバイスを含む、ローカルおよびリモートの両方のコンピュータ・システム・ストレージ媒体に配置されてよい。

【0077】

図に示されているように、コンピュータ・システム／サーバ８００は、汎用コンピューティング・デバイスの形態で示されている。コンピュータ・システム／サーバ８００のコンポーネントは、１つまたは複数のプロセッサまたはプロセッシング・ユニット８０２、システム・メモリ８０４、およびシステム・メモリ８０４を含むさまざまなシステム・コンポーネントをプロセッサ８０２に結合するバス８０６を含むことができるが、これらに限定されない。バス８０６は、メモリ・バスまたはメモリ・コントローラ、ペリフェラル・バス、アクセラレーテッド・グラフィックス・ポート、およびさまざまなバス・アーキテクチャのいずれかを使用するプロセッサまたはローカル・バスを含む、複数の種類のバス構造のいずれかのうちの１つまたは複数を表す。例として、そのようなアーキテクチャは、ＩＳＡ（Industry Standard Architecture）バス、ＭＣＡ（Micro Channel Architecture）バス、ＥＩＳＡ（Enhanced ISA）バス、ＶＥＳＡ（Video Electronics Standards Association）ローカル・バス、およびＰＣＩ（Peripheral Component Interconnects）バスを含むが、これらに限定されない。コンピュータ・システム／サーバ８００は、通常、さまざまなコンピュータ・システム可読媒体を含む。そのような媒体は、コンピュータ・システム／サーバ８００によってアクセスできる任意の使用可能な媒体であってよく、揮発性および不揮発性媒体、取り外し可能および取り外し不可の媒体を含む。

【0078】

システム・メモリ８０４は、ランダム・アクセス・メモリ（ＲＡＭ：random access memory）８０８またはキャッシュ・メモリ８１０あるいはその両方などの、揮発性メモリの形態でのコンピュータ・システム可読媒体を含んでよい。コンピュータ・システム／サーバ８００は、その他の取り外し可能／取り外し不可、揮発性／不揮発性のコンピュータ・システム・ストレージ媒体をさらに含んでよい。単に例として、取り外し不可、不揮発性の磁気媒体（図示されておらず、通常は「ハード・ドライブ」と呼ばれる）に対する読み取りと書き込みを行うために、ストレージ・システム８１２が提供されてよい。図示されていないが、取り外し可能、不揮発性の磁気ディスク（例えば、「フロッピー（Ｒ）・ディスク」）に対する読み取りと書き込みを行うための磁気ディスク・ドライブ、およびＣＤ－ＲＯＭ、ＤＶＤ－ＲＯＭ、またはその他の光媒体などの取り外し可能、不揮発性の光ディスクに対する読み取りと書き込みを行うための光ディスク・ドライブが提供されてよい。そのような例では、それぞれを、１つまたは複数のデータ媒体インターフェイスによってバス８０６に接続することができる。下で詳細に示され、説明されているように、メモリ８０４は、本発明の実施形態の機能を実行するように構成された（例えば、少なくとも１つの）プログラム・モジュールのセットを備える少なくとも１つのプログラム製品を含んでよい。

【0079】

例えば、（少なくとも１つの）プログラム・モジュール８１６のセットを含んでいるプログラム／ユーティリティがメモリ８０４に格納されてよいが、これに限定されず、オペレーティング・システム、１つまたは複数のアプリケーション・プログラム、その他のプログラム・モジュール、およびプログラム・データも格納されてよい。オペレーティング・システム、１つまたは複数のアプリケーション・プログラム、その他のプログラム・モジュール、およびプログラム・データまたはこれらの組合せの各々は、ネットワーク環境の実装を含んでよい。プログラム・モジュール８１６は、通常、本明細書に記載された本発明の実施形態の機能または方法あるいはその両方を実行する。

【0080】

コンピュータ・システム／サーバ８００は、キーボード、ポインティング・デバイス、ディスプレイ８２０などの１つまたは複数の外部デバイス８１８、ユーザがコンピュータ・システム／サーバ８００と情報をやりとりできるようにする１つまたは複数のデバイス、またはコンピュータ・システム／サーバ８００が１つまたは複数の他のコンピューティング・デバイスと通信できるようにする任意のデバイス（例えば、ネットワーク・カード、モデムなど）、あるいはその組合せと通信してもよい。そのような通信は、入出力（Ｉ／Ｏ：Input/Output）インターフェイス８１４を介して行うことができる。さらに、コンピュータ・システム／サーバ８００は、ローカル・エリア・ネットワーク（ＬＡＮ：local area network）、一般的な広域ネットワーク（ＷＡＮ：wide area network）、またはパブリック・ネットワーク（例えば、インターネット）、あるいはその組合せなどの１つまたは複数のネットワークと、ネットワーク・アダプタ８２２を介して通信してよい。図示されているように、ネットワーク・アダプタ８２２は、バス８０６を介してコンピュータ・システム／サーバ８００の他のコンポーネントと通信してよい。図示されていないが、その他のハードウェア・コンポーネントまたはソフトウェア・コンポーネントあるいはその両方を、コンピュータ・システム／サーバ８００と併用できるということが理解されるべきである。その例として、マイクロコード、デバイス・ドライバ、冗長プロセッシング・ユニット、外部ディスク・ドライブ・アレイ、ＲＡＩＤシステム、テープ・ドライブ、およびデータ・アーカイブ・ストレージ・システムなどが挙げられるが、これらに限定されない。

【0081】

さらに、サイバー攻撃チェーンを含んでいるセキュリティ脅威を動的に識別するためのセキュリティ情報イベント監視システム７００が、バス・システム８０６に接続されてよい。

【0082】

本発明のさまざまな実施形態の説明は、例示の目的で提示されているが、網羅的であることは意図されておらず、開示された実施形態に限定されない。記載された実施形態の範囲および思想を逸脱することなく多くの変更および変形が当業者にとって明らかであろう。本明細書で使用された専門用語は、実施形態の原理、実際の適用、または市場で見られる技術を超える技術的改良を最も適切に説明するため、または他の当業者が本明細書で開示された実施形態を理解できるようにするため選択されている。

【0083】

本発明は、システム、方法、またはコンピュータ・プログラム製品、あるいはその組合せとして具現化されてよい。コンピュータ・プログラム製品は、プロセッサに本発明の態様を実行させるためのコンピュータ可読プログラム命令を含んでいるコンピュータ可読ストレージ媒体（または複数の媒体）を含んでよい。

【0084】

この媒体は、電子、磁気、光、電磁気、赤外線、または伝搬媒体用の半導体システムであってよい。コンピュータ可読媒体の例としては、半導体メモリまたは固体メモリ、磁気テープ、取り外し可能・コンピュータ・ディスケット、ランダム・アクセス・メモリ（ＲＡＭ：random access memory）、読み取り専用メモリ（ＲＯＭ：read-only memory）、剛体磁気ディスク、および光ディスクが挙げられる。光ディスクの現在の例としては、コンパクト・ディスク読み取り専用メモリ（ＣＤ－ＲＯＭ：compact disk-read only memory）、コンパクト・ディスク読み取り／書き込み（ＣＤ－Ｒ／Ｗ：compact disk-read/write）、およびブルーレイディスクが挙げられる。

【0085】

コンピュータ可読ストレージ媒体は、命令実行デバイスによって使用するための命令を保持および格納できる有形のデバイスであり得る。コンピュータ可読ストレージ媒体は、例えば、電子ストレージ・デバイス、磁気ストレージ・デバイス、光ストレージ・デバイス、電磁ストレージ・デバイス、半導体ストレージ・デバイス、またはこれらの任意の適切な組合せであってよいが、これらに限定されない。コンピュータ可読ストレージ媒体のさらに具体的な例の非網羅的リストは、ポータブル・コンピュータ・ディスケット、ハード・ディスク、ランダム・アクセス・メモリ（ＲＡＭ）、読み取り専用メモリ（ＲＯＭ）、消去可能プログラマブル読み取り専用メモリ（ＥＰＲＯＭ：erasable programmable read-only memoryまたはフラッシュ・メモリ）、スタティック・ランダム・アクセス・メモリ（ＳＲＡＭ：static random access memory）、ポータブル・コンパクト・ディスク読み取り専用メモリ（ＣＤ－ＲＯＭ：compact disk read-only memory）、デジタル・バーサタイル・ディスク（ＤＶＤ：digital versatile disk）、メモリ・スティック、フロッピー（Ｒ）・ディスク、パンチカードまたは命令が記録されている溝の中の隆起構造などの機械的にエンコードされるデバイス、およびこれらの任意の適切な組合せを含む。本明細書において使用されるとき、コンピュータ可読ストレージ媒体は、それ自体が、電波またはその他の自由に伝搬する電磁波、導波管またはその他の送信媒体を伝搬する電磁波（例えば、光ファイバ・ケーブルを通過する光パルス）、あるいはワイヤを介して送信される電気信号などの一過性の信号であると解釈されるべきではない。

【0086】

本明細書に記載されたコンピュータ可読プログラム命令は、コンピュータ可読ストレージ媒体から各コンピューティング・デバイス／処理デバイスへ、またはネットワーク（例えば、インターネット、ローカル・エリア・ネットワーク、広域ネットワーク、または無線ネットワーク、あるいはその組合せ）を介して外部コンピュータまたは外部ストレージ・デバイスへダウンロードされ得る。このネットワークは、銅伝送ケーブル、光伝送ファイバ、無線送信、ルータ、ファイアウォール、スイッチ、ゲートウェイ・コンピュータ、またはエッジ・サーバ、あるいはその組合せを備えてよい。各コンピューティング・デバイス／処理デバイス内のネットワーク・アダプタ・カードまたはネットワーク・インターフェイスは、コンピュータ可読プログラム命令をネットワークから受信し、それらのコンピュータ可読プログラム命令を各コンピューティング・デバイス／処理デバイス内のコンピュータ可読ストレージ媒体に格納するために転送する。

【0087】

本発明の動作を実行するためのコンピュータ可読プログラム命令は、アセンブラ命令、命令セット・アーキテクチャ（ＩＳＡ：instruction-set-architecture）命令、マシン命令、マシン依存命令、マイクロコード、ファームウェア命令、状態設定データ、あるいは、Ｓｍａｌｌｔａｌｋ（Ｒ）、Ｃ＋＋などのオブジェクト指向プログラミング言語、および「Ｃ」プログラミング言語または同様のプログラミング言語などの従来の手続き型プログラミング言語を含む１つまたは複数のプログラミング言語の任意の組合せで記述されたソース・コードまたはオブジェクト・コードであってよい。コンピュータ可読プログラム命令は、ユーザのコンピュータ上で全体的に実行すること、ユーザのコンピュータ上でスタンドアロン・ソフトウェア・パッケージとして部分的に実行すること、ユーザのコンピュータ上で部分的におよびリモート・コンピュータ上で部分的に実行すること、あるいはリモート・コンピュータ上またはサーバ上で全体的に実行することができる。後者のシナリオでは、リモート・コンピュータは、ローカル・エリア・ネットワーク（ＬＡＮ：local area network）または広域ネットワーク（ＷＡＮ：wide area network）を含む任意の種類のネットワークを介してユーザのコンピュータに接続されてよく、または接続は、（例えば、インターネット・サービス・プロバイダを使用してインターネットを介して）外部コンピュータに対して行われてよい。一部の実施形態では、本発明の態様を実行するために、例えばプログラマブル論理回路、フィールドプログラマブル・ゲート・アレイ（ＦＰＧＡ：field-programmable gate arrays）、またはプログラマブル・ロジック・アレイ（ＰＬＡ：programmable logic arrays）を含む電子回路は、コンピュータ可読プログラム命令の状態情報を利用することによって、電子回路を個別化するためのコンピュータ可読プログラム命令を実行してよい。

【0088】

本発明の態様は、本明細書において、本発明の実施形態に従って、方法、装置（システム）、およびコンピュータ・プログラム製品のフローチャート図またはブロック図あるいはその両方を参照して説明される。フローチャート図またはブロック図あるいはその両方の各ブロック、およびフローチャート図またはブロック図あるいはその両方に含まれるブロックの組合せが、コンピュータ可読プログラム命令によって実装され得るということが理解されるであろう。

【0089】

これらのコンピュータ可読プログラム命令は、コンピュータまたはその他のプログラム可能なデータ処理装置のプロセッサを介して実行される命令が、フローチャートまたはブロック図あるいはその両方の１つまたは複数のブロックに指定される機能／動作を実施する手段を作り出すべく、汎用コンピュータ、専用コンピュータ、または他のプログラム可能なデータ処理装置のプロセッサに提供されてマシンを作り出すものであってよい。これらのコンピュータ可読プログラム命令は、命令が格納されたコンピュータ可読ストレージ媒体がフローチャートまたはブロック図あるいはその両方の１つまたは複数のブロックに指定される機能／動作の態様を実施する命令を含んでいる製品を含むように、コンピュータ可読ストレージ媒体に格納され、コンピュータ、プログラム可能なデータ処理装置、または他のデバイス、あるいはその組合せに特定の方式で機能するように指示できるものであってもよい。

【0090】

コンピュータ可読プログラム命令は、コンピュータ上、その他のプログラム可能な装置上、または別のデバイス上で実行される命令が、フローチャートまたはブロック図あるいはその両方の１つまたは複数のブロックに指定される機能／動作を実施するように、コンピュータ実装プロセスを生成するために、コンピュータ、その他のプログラム可能なデータ処理装置、または別のデバイスに読み込まれ、コンピュータ上、その他のプログラム可能な装置上、またはその他のデバイス上で一連の動作可能なステップを実行させるものであってもよい。

【0091】

図内のフローチャートまたはブロック図あるいはその両方は、本発明のさまざまな実施形態に従って、システム、方法、およびコンピュータ・プログラム製品の可能な実装のアーキテクチャ、機能、および動作を示す。これに関連して、フローチャートまたはブロック図内の各ブロックは、規定された論理機能を実装するための１つまたは複数の実行可能な命令を備える、命令のモジュール、セグメント、または部分を表してよい。一部の代替の実装では、ブロックに示された機能は、図に示された順序とは異なる順序で発生してよい。例えば、連続して示された２つのブロックは、実際には、含まれている機能に応じて、実質的に同時に実行されるか、または場合によってはブロックが逆の順序で実行されてよい。ブロック図またはフローチャート図あるいはその両方の各ブロック、ならびにブロック図またはフローチャート図あるいはその両方に含まれるブロックの組合せは、規定された機能または動作を実行するか、または専用ハードウェアとコンピュータ命令の組合せを実行する専用ハードウェアベースのシステムによって実装できるということにも注意する。

【0092】

本明細書で使用される専門用語は、特定の実施形態を説明することのみを目的としており、本発明を限定することを意図していない。本明細書で使用される単数形「ある（ａ）」、「１つの（ａｎ）」、および「その（ｔｈｅ）」は、関連が特に明示的に示されない限り、複数形も含むことが意図されている。「備える」または「備えている」あるいはその両方の用語は、本明細書で使用される場合、記載された機能、完全体、ステップ、動作、要素、またはコンポーネント、あるいはその組合せの存在を示すが、１つまたは複数のその他の機能、完全体、ステップ、動作、要素、コンポーネント、またはこれらのグループ、あるいはその組合せの存在または追加を除外していないということが、さらに理解されるであろう。

【0093】

下の特許請求の範囲内のすべての手段またはステップおよび機能要素の対応する構造、材料、動作、および均等物は、具体的に請求されるその他の請求された要素と組み合わせて機能を実行するための任意の構造、材料、または動作を含むことが意図されている。本発明の説明は、例示および説明の目的で提示されているが、網羅的であることは意図されておらず、開示された形態での発明に限定されない。本発明の範囲および思想を逸脱することなく多くの変更および変形が当業者にとって明らかである。本発明の原理および実際の適用を最も適切に説明するため、および他の当業者が、企図されている特定の用途に適しているようなさまざまな変更を伴う多様な実施形態に関して、本発明を理解できるようにするために、実施形態が選択されて説明されている。

【0094】

要約すると、以下の番号付き項において規定されたさまざまな実施形態が説明された。
１．攻撃パターンによって表された一連の部分的サイバー攻撃から成るサイバー攻撃チェーンを含んでいるセキュリティ脅威を動的に識別するためのコンピュータ実装方法であって、
一連のセキュリティ・イベントを受信することと、
受信された一連のセキュリティ・イベントにおいて、サイバー攻撃チェーンの第１の部分的サイバー攻撃のセキュリティ侵害インジケータの検出のために事前に定義されたルールのセットを適用することによって、相関関係エンジンを使用して第１のサイバー攻撃パターンを決定し、それによって、特定のサイバー攻撃チェーンを識別することと、
識別された特定のサイバー攻撃チェーンの第１の部分的サイバー攻撃のパターンにおける種類および属性を決定することと、
第１の部分的サイバー攻撃の攻撃パターンにおける種類および属性に基づいて、特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも１つのルールを構成することと、
少なくとも１つの構成されたルールを、情報技術システムに対するセキュリティ脅威を動的に識別するために相関関係エンジンによって使用される事前に定義されたルールのセットに追加することと
を含む、コンピュータ実装方法。
２．受信された一連のセキュリティ・イベントにおいて、サイバー攻撃チェーンの第２のサイバー攻撃における第２のセキュリティ侵害インジケータの検出のために構成された少なくとも１つのルールを適用することによって、相関関係エンジンを使用して第２のサイバー攻撃パターンを決定することをさらに含む、第１項の方法。
３．ルールのセットがマルウェア特徴属性一覧および脅威情報構造化記述形式に関する情報を使用している、第１項または第２項の方法。
４．新しいセキュリティ侵害インジケータを追加することによって、事前に定義されたルールのセットを継続的に更新することをさらに含む、第３項の方法。
５．少なくとも１つの構成されたルールをルールのセットに追加することが、
相関関係ルールを選択的に構成すること、もしくは有効化すること、またはその両方、
ルールをグループ化すること、および／あるいは
構成されて追加された少なくとも１つのルールを一般的ルールよりも優先すること
によって実行される、第１項ないし第４項のいずれかの方法。
６．下流の部分的サイバー攻撃のための少なくとも１つのルールを構成することが、
リポジトリからの戦術技術プロシージャ識別ルール、マルウェア特徴属性一覧、および脅威情報構造化記述形式に関するデータを使用することを含む、第１項ないし第５項のいずれかの方法。
７．下流の部分的サイバー攻撃のための少なくとも１つのルールを構成することが、
識別された特定のサイバー攻撃チェーンの第１の部分的サイバー攻撃のパターンにおいて決定された種類および属性に関連するサイバー攻撃チェーンの典型的な下流の部分的サイバー攻撃に関連する追加のルールを構成することをさらに含む、第１項ないし第６項のいずれかの方法。
８．１つのサイバー攻撃チェーンに対応する事前に定義された数のその後の部分的セキュリティ攻撃が決定された後に、警報信号をトリガーすることをさらに含む、第１項ないし第７項のいずれかの方法。
９．特定のサイバー攻撃チェーンのリスク値が既定のリスクしきい値未満に減少したということが決定された場合に、ルールのセットにおいて、特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも１つの構成されたルールを削除することをさらに含む、第１項ないし第８項のいずれかの方法。
１０．少なくとも１つの構成されたルールを使用する相関関係エンジンが事前に定義された時間の間に下流のサイバー攻撃パターンを決定しなかった場合、特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも１つの構成されたルールを削除することをさらに含む、第９項の方法。
１１．ルールのセットにおいて、特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも１つの構成されたルールに関連するルールを、マルウェア特徴属性一覧および脅威情報構造化記述形式のリポジトリから削除することを含む、第９項の方法。
１２．攻撃パターンによって表された一連の部分的サイバー攻撃から成るサイバー攻撃チェーンを含んでいるセキュリティ脅威を動的に識別するためのセキュリティ情報イベント監視システムであって、
一連のセキュリティ・イベントを受信するように適応された受信ユニットと、
受信された一連のセキュリティ・イベントにおいて、サイバー攻撃チェーンの第１の部分的サイバー攻撃のセキュリティ侵害インジケータの検出のために事前に定義されたルールのセットを適用することによって、相関関係エンジンを使用して第１のサイバー攻撃パターンを決定し、それによって、特定のサイバー攻撃チェーンを識別するように適応された決定ユニットであって、
識別された特定のサイバー攻撃チェーンの第１の部分的サイバー攻撃のパターンにおいて種類および属性を決定するようにも適応されている、決定ユニットと、
第１の部分的サイバー攻撃の攻撃パターンにおける種類および属性に基づいて、特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも１つのルールを構成するように適応された構成ユニットと、
少なくとも１つの構成されたルールを、情報技術システムに対するセキュリティ脅威を動的に識別するために相関関係エンジンによって使用される事前に定義されたルールのセットに追加するように適応された追加モジュールと
を備える、セキュリティ情報イベント監視システム。
１３．決定ユニットが、
受信された一連のセキュリティ・イベントにおいて、サイバー攻撃チェーンの第２のサイバー攻撃における第２のセキュリティ侵害インジケータの検出のために構成された少なくとも１つのルールを適用することによって、相関関係エンジンを使用して第２のサイバー攻撃パターンを決定するようにも適応される、第１２項のシステム。
１４．ルールのセットが、
マルウェア特徴属性一覧および脅威情報構造化記述形式に関する情報を使用するように適応される、第１２項または第１３項のシステム。
１５．新しいセキュリティ侵害インジケータを追加することによって、事前に定義されたルールのセットを継続的に更新するように適応された更新ユニットをさらに含む、第１４項のシステム。
１６．追加モジュールが、
相関関係ルールを選択的に構成すること、もしくは有効化すること、またはその両方、
ルールをグループ化すること、および／あるいは
構成されて追加された少なくとも１つのルールを一般的ルールよりも優先すること
を実行するようにも適応される、第１３項ないし第１５項のいずれかのシステム。
１７．構成ユニットによって使用される戦術技術プロシージャ識別ルール、マルウェア特徴属性一覧、および脅威情報構造化記述形式に関するデータを格納するためのリポジトリをさらに備える、第１３項ないし第１６項のいずれかのシステム。
１８．下流の部分的サイバー攻撃のための少なくとも１つのルールを構成する場合、構成ユニットが、
識別された特定のサイバー攻撃チェーンの第１の部分的サイバー攻撃のパターンにおいて決定された種類および属性に関連するサイバー攻撃チェーンの典型的な下流のサイバー攻撃に関連する追加のルールを構成するようにも適応される、第１３項ないし第１７項のいずれかのシステム。
１９．１つのサイバー攻撃チェーンに対応する事前に定義された数のその後の部分的セキュリティ攻撃が決定された後に、警報信号をトリガーするように適応された警報ユニットをさらに備える、第１３項ないし第１８項のいずれかのシステム。
２０．特定のサイバー攻撃チェーンのリスク値が既定のリスクしきい値未満に減少したということが決定された場合に、ルールのセットにおいて、特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも１つの構成されたルールを削除するように適応された削除モジュールをさらに備える、第１３項ないし第１９項のいずれかのシステム。
２１．削除モジュールが、
少なくとも１つの構成されたルールを使用する相関関係エンジンが事前に定義された時間の間に下流のサイバー攻撃パターンを決定しなかった場合、特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも１つの構成されたルールを削除するようにも適応される、第２０項のシステム。
２２．削除モジュールが、
事前に定義されたルールのセットから、少なくとも１つの構成されたルールに関連するルールを削除するようにも適応される、第２０項のシステム。
２３．攻撃パターンによって表された一連の部分的サイバー攻撃から成るサイバー攻撃チェーンを含んでいるセキュリティ脅威を動的に識別するためのコンピュータ・プログラム製品であって、前記コンピュータ・プログラム製品が、プログラム命令が具現化されているコンピュータ可読ストレージ媒体を備えており、前記プログラム命令が、前記１つまたは複数のコンピューティング・システムに、
一連のセキュリティ・イベントを受信することと、
受信された一連のセキュリティ・イベントにおいて、サイバー攻撃チェーンの第１の部分的サイバー攻撃のセキュリティ侵害インジケータの検出のために事前に定義されたルールのセットを適用することによって、相関関係エンジンを使用して第１のサイバー攻撃パターンを決定し、それによって、特定のサイバー攻撃チェーンを識別することと、
識別された特定のサイバー攻撃チェーンの第１の部分的サイバー攻撃のパターンにおける種類および属性を決定することと、
第１の部分的サイバー攻撃の攻撃パターンにおける種類および属性に基づいて、特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも１つのルールを構成することと、
少なくとも１つの構成されたルールを、情報技術システムに対するセキュリティ脅威を動的に識別するために相関関係エンジンによって使用される事前に定義されたルールのセットに追加することと
を実行させるように、１つまたは複数のコンピューティング・システムまたはコントローラによって実行可能である、コンピュータ・プログラム製品。

【図1】