IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > INTERNATIONAL BUSINESS MACHINES CORPORATION

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ インターナショナル・ビジネス・マシーンズ・コーポレーションの特許一覧

特許7640200セキュリティ脅威に関する量子コンピューティング機械学習
<>
  • 特許-セキュリティ脅威に関する量子コンピューティング機械学習 図1
  • 特許-セキュリティ脅威に関する量子コンピューティング機械学習 図2
  • 特許-セキュリティ脅威に関する量子コンピューティング機械学習 図3
  • 特許-セキュリティ脅威に関する量子コンピューティング機械学習 図4
  • 特許-セキュリティ脅威に関する量子コンピューティング機械学習 図5A
  • 特許-セキュリティ脅威に関する量子コンピューティング機械学習 図5B
  • 特許-セキュリティ脅威に関する量子コンピューティング機械学習 図6
  • 特許-セキュリティ脅威に関する量子コンピューティング機械学習 図7
  • 特許-セキュリティ脅威に関する量子コンピューティング機械学習 図8
  • 特許-セキュリティ脅威に関する量子コンピューティング機械学習 図9
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2025-02-25
(45)【発行日】2025-03-05
(54)【発明の名称】セキュリティ脅威に関する量子コンピューティング機械学習
(51)【国際特許分類】
   G06F 21/56 20130101AFI20250226BHJP
   G06N 10/00 20220101ALI20250226BHJP
【FI】
G06F21/56 360
G06N10/00
【請求項の数】 10
(21)【出願番号】P 2022565741
(86)(22)【出願日】2021-04-15
(65)【公表番号】
(43)【公表日】2023-06-16
(86)【国際出願番号】 EP2021059812
(87)【国際公開番号】W WO2021223974
(87)【国際公開日】2021-11-11
【審査請求日】2023-09-25
(31)【優先権主張番号】16/867,586
(32)【優先日】2020-05-06
(33)【優先権主張国・地域又は機関】US
(73)【特許権者】
【識別番号】390009531
【氏名又は名称】インターナショナル・ビジネス・マシーンズ・コーポレーション
【氏名又は名称原語表記】INTERNATIONAL BUSINESS MACHINES CORPORATION
【住所又は居所原語表記】New Orchard Road, Armonk, New York 10504, United States of America
(74)【代理人】
【識別番号】100112690
【弁理士】
【氏名又は名称】太佐 種一
(74)【代理人】
【識別番号】100120710
【弁理士】
【氏名又は名称】片岡 忠彦
(72)【発明者】
【氏名】ライヴァー、ケリー、ニコール
【審査官】岸野 徹
(56)【参考文献】
【文献】米国特許出願公開第2018/0367561(US,A1)
【文献】国際公開第2019/142345(WO,A1)
【文献】特開2003-141538(JP,A)
【文献】特開2017-059074(JP,A)
【文献】特表2018-516419(JP,A)
【文献】米国特許出願公開第2018/0349605(US,A1)
【文献】風戸 雄太,グラフ畳み込みニューラルネットワークを用いた脅威情報における悪性度推定手法の一検討,電子情報通信学会技術研究報告 Vol.118 No.466 [online],日本,一般社団法人電子情報通信学会,2019年02月25日,第118巻,pp.265~270
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/55-56
G06N 10/00
(57)【特許請求の範囲】
【請求項1】
セキュリティ・モデルのためのコンピュータ実装方法であって、
セキュリティ・ドメインのシステム情報およびイベント管理(SIEM)と、脅威情報構造化記述形式-検知指標情報自動交換手順(STIX-TAXII)とに基づいて、前記STIX-TAXIIから得られる攻撃方法を、前記SIEMから決定される、攻撃方法が発生する時間を用いて、時間軸を含む多次元空間における点で表すことによってブロッホ球を生成することと、
前記ブロッホ球に基づいて量子状態確率マトリックスを生成することと、
前記量子状態確率マトリックスに基づいてセキュリティ脅威の分類を実行するようにセキュリティ脅威モデルを訓練することと、
前記量子状態確率マトリックスに基づいて前記セキュリティ・ドメインの機械学習分類を実行することと
を含む、コンピュータ実装方法。
【請求項2】
前記機械学習分類を実行することは、
前記STIX-TAXIIから得られる複数の攻撃カテゴリのうちの第1の攻撃カテゴリおよび前記量子状態確率マトリックスに基づいて、悪意のある行為者が、前記複数の攻撃カテゴリのうちの第2の攻撃カテゴリを実行すると判定すること
み、前記攻撃方法を表す前記点は、前記多次元空間の原点から前記ブロッホ球の表面上の点まで延びる、前記攻撃方法が含まれる攻撃カテゴリを表すベクトルに沿った点である、請求項1に記載の方法。
【請求項3】
前記機械学習分類を実行することは、
前記第2の攻撃カテゴリおよび前記量子状態確率マトリックスに基づいて、前記悪意のある行為者が前記第2の攻撃カテゴリに含まれる特定の攻撃方法を実行すると判定すること
含む、請求項2に記載の方法。
【請求項4】
前記機械学習分類を実行することは、
複数の悪意のある行為者がゲーム理論攻撃を実行していると判定すること
含む、請求項1に記載の方法。
【請求項5】
前記悪意のある行為者が前記ゲーム理論攻撃を実行していると判定することは、
前記量子状態確率マトリックスを生成することにおいて前記STIX-TAXIIから得られる攻撃カテゴリの複数のペアの間の移行に関する複数の量子状態確率マトリックス生成されるとして、前記複数の量子状態確率マトリックスのうちの2つ以上の間で複数の確率が重複すると判定すること
を含む、請求項4に記載の方法。
【請求項6】
前記量子状態確率マトリックスは複数の確率を含み、前記複数の確率は、
悪意のある行為者が、前記STIX-TAXIIから得られる攻撃カテゴリの全ての可能な組合せの間を移行する可能性と、
前記悪意のある行為者が、全ての前記攻撃カテゴリのうちの第1の攻撃カテゴリに基づいて全ての前記攻撃カテゴリのうちの第2の攻撃カテゴリに含まれる特定の攻撃方法を使用する可能性と
を表す、請求項1に記載の方法。
【請求項7】
前記悪意のある行為者が前記攻撃カテゴリの組合せの間を移行する前記可能性は、前記悪意のある行為者が前記第2の攻撃カテゴリに含まれる複数の特定の攻撃方法を実行する複数の可能性を含む、請求項6に記載の方法。
【請求項8】
前記ブロッホ球は、
原点と、
3次元空間を表す3つの軸であって、前記3つの軸のうちの1つは攻撃方法が実行される時間を表す前記時間軸である、前記3つの軸と
を含む、請求項1に記載の方法。
【請求項9】
プロセッサに、
セキュリティ・ドメインのシステム情報およびイベント管理(SIEM)と、脅威情報構造化記述形式-検知指標情報自動交換手順(STIX-TAXII)とに基づいて、前記STIX-TAXIIから得られる攻撃方法を、前記SIEMから決定される、攻撃方法が発生する時間を用いて、時間軸を含む多次元空間における点で表すことによってブロッホ球を生成することと、
前記ブロッホ球に基づいて量子状態確率マトリックスを生成することと、
前記量子状態確率マトリックスに基づいてセキュリティ脅威の分類を実行するようにセキュリティ脅威モデルを訓練することと、
前記量子状態確率マトリックスに基づいて前記セキュリティ・ドメインの機械学習分類を実行することと
を実行させるためのコンピュータ・プログラム。
【請求項10】
システムであって、
コンピュータ処理回路と、
前記コンピュータ処理回路によって実行された場合に、前記コンピュータ処理回路に方法を実行させるように構成される命令を記憶するコンピュータ可読記憶媒体とを備え、前記方法は、
セキュリティ・ドメインのシステム情報およびイベント管理(SIEM)と、脅威情報構造化記述形式-検知指標情報自動交換手順(STIX-TAXII)とに基づいて、前記STIX-TAXIIから得られる攻撃方法を、前記SIEMから決定される、攻撃方法が発生する時間を用いて、時間軸を含む多次元空間における点で表すことによってブロッホ球を生成することと、
前記ブロッホ球に基づいて量子状態確率マトリックスを生成することと、
前記量子状態確率マトリックスに基づいてセキュリティ脅威の分類を実行するようにセキュリティ脅威モデルを訓練することと、
前記量子状態確率マトリックスに基づいて前記セキュリティ・ドメインの機械学習分類を実行することと
を含む、システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はセキュリティ脅威に関し、より詳細には、セキュリティ脅威に関する量子コンピューティング機械学習に関する。
【背景技術】
【0002】
機械学習モデルは、特定の分類を実行する方法を学習するように構成されるコンピュータ・コード化されたアルゴリズムとすることができる。分類は、特定の状態をラベル付けするために機械学習モデルが行う決定とすることができる。たとえば、コンピュータ・セキュリティの分野では、分類は、コンピュータ・システムの状態を分析することと、システムが攻撃の脅威にさらされているか否かを判定することと、それに応じてコンピュータの状態をラベル付けすることとを含むことができる。このようにして、セキュリティ脅威に関する例示的な機械学習モデルは、コンピュータ・システムを安全なものまたは脅威にさらされているもののいずれかとして分類することができる。
【0003】
従来のコンピューティングは、セキュリティ脅威を識別するという問題を、管理可能なレベルの複雑さに分解することができるモデルを使用して、可能性のあるセキュリティ脅威を識別するのに有用である。しかしながら、従来のアプローチは、ハッカーおよびマルウェアなどの悪意のある行為者(malicious actor)が過去にどのように行動したかに関する仮定に依存し得る。このため、従来のアプローチは、新しいまたは未見の行動を伴うセキュリティ脅威を識別するのに適していない場合がある。
【0004】
さらに、コンピューティング・テクノロジーがますます高度化することによって、セキュリティ脅威を開発している人々と、セキュリティ脅威を阻止しようとしている人々との間に競争が生じている。このため、セキュリティ脅威を識別するための新しいアプローチがなければ、人工知能、ゲーム理論などの新しいテクノロジーは、セキュリティ脅威を識別する複雑さを、従来のコンピュータの解決能力を超えて高める可能性があり得る。
【発明の概要】
【0005】
セキュリティ・モデルのための方法の実施形態を開示する。この方法は、セキュリティ・ドメインのシステム情報およびイベント管理(SIEM: system information and event management)と、脅威情報構造化記述形式(structured threat information expression)-検知指標情報自動交換手順(trusted automated exchange of indicator information)とに基づいてブロッホ球を生成することを含む。この方法は、ブロッホ球に基づいて量子状態確率マトリックスを生成することをさらに含む。さらに、この方法は、量子状態確率マトリックスに基づいてセキュリティ脅威の分類を実行するようにセキュリティ脅威モデルを訓練することを含む。さらに、この方法は、量子状態確率マトリックスに基づいてセキュリティ・ドメインの機械学習分類を実行することを含む。有利なことに、そのような実施形態は、現在の脅威の解決策よりも迅速にセキュリティ脅威を識別するのに有用である。追加の利点では、そのような実施形態は、人工知能の悪意のある行為者を識別するのに有用である。
【0006】
任意選択により、いくつかの実施形態では、この方法は、前の攻撃カテゴリおよび量子状態確率マトリックスに基づいて、悪意のある行為者が特定の攻撃カテゴリを実行すると判定することをさらに含む。他の任意選択の実施形態では、この方法は、特定の攻撃カテゴリおよび量子状態確率マトリックスに基づいて、悪意のある行為者が特定の攻撃カテゴリの特定の攻撃方法を実行すると判定することをさらに含む。有利なことに、そのような実施形態は、現在の脅威の解決策よりも迅速に特定の攻撃方法および特定の攻撃カテゴリを識別するのに有用である。
【0007】
セキュリティ・モデルのための方法の追加の実施形態を開示する。この方法は、セキュリティ・ドメインのSIEMと、STIX-TAXIIとに基づいてブロッホ球を生成することを含む。この方法は、ブロッホ球に基づいて量子状態確率マトリックスを生成することをさらに含む。さらに、この方法は、量子状態確率マトリックスに基づいてセキュリティ脅威の分類を実行するようにセキュリティ脅威モデルを訓練することを含む。さらに、セキュリティ脅威の分類は、前の攻撃カテゴリに基づいてセキュリティ・ドメインに対する次の攻撃カテゴリを推論する。有利なことに、そのような実施形態は、現在の脅威の解決策よりも迅速にセキュリティ脅威を識別するのに有用である。追加の利点では、そのような実施形態は、人工知能の悪意のある行為者を識別するのに有用である。
【0008】
セキュリティ・モデルのための方法の追加の実施形態を開示する。この方法は、セキュリティ・ドメインのSIEMと、STIX-TAXIIとに基づいてブロッホ球を生成することを含む。この方法は、ブロッホ球に基づいて量子状態確率マトリックスを生成することをさらに含む。量子状態確率マトリックスは、悪意のある行為者が攻撃カテゴリの全ての可能な組合せの間を移行する可能性を表す複数の確率を含む。さらに、量子状態確率マトリックスの複数の確率は、悪意のある行為者が前の攻撃カテゴリに基づいて全ての攻撃カテゴリのうちの特定の攻撃方法を使用する可能性を表す。さらに、この方法は、量子状態確率マトリックスに基づいてセキュリティ脅威の分類を実行するようにセキュリティ脅威モデルを訓練することを含む。セキュリティ脅威の分類は、前の攻撃カテゴリに基づいて、セキュリティ・ドメインに対する次の攻撃カテゴリを推論する。有利なことに、そのような実施形態は、現在の脅威の解決策よりも迅速にセキュリティ脅威を識別するのに有用である。追加の利点では、そのような実施形態は、人工知能の悪意のある行為者を識別するのに有用である。
【0009】
本発明のさらなる態様は、コンピュータ実装方法に関して上記で論じた機能と同様の機能を有するシステムおよびコンピュータ・プログラム製品に向けられている。本概要は、本発明の各態様、全ての実装形態、または全ての実施形態、あるいはそれらの組合せを示すことを意図するものではない。
【0010】
本出願に含まれる図面は、本明細書に組み込まれており、本明細書の一部を形成する。図面は本発明の実施形態を例示し、本説明と共に、本発明の原理を説明するのに役立つ。図面は特定の実施形態を例示するものにすぎず、本発明を限定するものではない。
【図面の簡単な説明】
【0011】
図1】本発明のいくつかの実施形態による、量子コンピューティング・ベースの機械学習モデルのための例示的なシステムのブロック図である。
図2】本発明のいくつかの実施形態による、例示的なブロッホ球の図である。
図3】本発明のいくつかの実施形態による、量子コンピューティング機械学習モデルのための方法の処理フロー・チャートである。
図4】本発明のいくつかの実施形態による、例示的なブロッホ球の図である。
図5A】本発明のいくつかの実施形態による、例示的なブロッホ球の図である。
図5B】本発明のいくつかの実施形態による、例示的なブロッホ球の図である。
図6】本発明のいくつかの実施形態による、例示的なブロッホ球の図である。
図7】本発明のいくつかの実施形態による、例示的なセキュリティ脅威モデル・マネージャのブロック図である。
図8】本発明のいくつかの実施形態による、クラウド・コンピューティング環境の図である。
図9】本発明のいくつかの実施形態による、クラウド・コンピューティング環境によって提供される機能的抽象化モデル・レイヤのセットの図である。
【発明を実施するための形態】
【0012】
本発明は様々な修正および代替の形態が可能であるが、その詳細を例として図面に示しており、詳しく説明する。しかしながら、その意図は、記載した実施形態に本発明を限定することではないということを理解されたい。それどころか、その意図は、本発明の範囲内にある全ての修正例、均等物、および代替例を含めることである。
【0013】
機械学習は、コンピュータ・システムおよびネットワークに対する可能性のあるセキュリティ脅威を識別するための有用な方法である。多くの機械学習モデルは、可能性のあるセキュリティ脅威を分析するための特定のフレームワークに依存する。業界のフレームワークの3つの例には、侵入分析のダイヤモンド・モデル(Diamond Model of Intrusion Analysis)、脅威情報構造化記述形式-検知指標情報自動交換手順(STIX-TAXII:Structured Threat Information eXpression-Trusted Automated eXchange of Indicator Information)フレームワーク、およびロッキード・マーチン社のサイバー・キル・チェーン(R)が含まれる。これらの3つのフレームワークは、悪意のある行為者または敵対者がどのように攻撃し得るかを特定するための有用なツールである。興味深いことに、これらのフレームワークは、物理的な戦場で使用されるようなキネティックな(kinetic)戦争モデルに基づいている。そのため、物理的な戦場では、兵士または兵士のグループがある地理的位置から他の地理的位置に直線的に移動し得、またはそのように動く武器を発射し得るので、これらの従来のフレームワークを本明細書では直線的(linear)(およびキネティック)と呼ぶ。
【0014】
ダイヤモンド・フレームワークでは、あらゆる人(個人、会社、またはグループ)が被害者または敵対者であると述べられている。敵対者は被害者になり得、被害者は敵対者になり得る。この哲学は孫子の兵法を大まかに基にしている。典型的な(キネティックな/対称的な)攻撃は、敵対者が自身の能力を利用して何らかのインフラストラクチャを悪用することによって被害者に到達することを示す。ダイヤモンド・フレームワークは、確率モデルを使用して、敵対者が特定の攻撃経路を介して被害者にアクセスする確率を(ある程度)決定することができる。
【0015】
ロッキード・マーチン社のサイバー・キル・チェーン(R)は、攻撃方法のシーケンスを指定する。攻撃方法には、偵察(reconnaissance)、武器化(weaponization)、配送(delivery)、エクスプロイト(exploitation)、インストール、コマンド・アンド・コントロール(C&C:command and control)、および目的実行(actions on objectives)が含まれる。偵察とは、悪意のある行為者が攻撃の標的候補を監視することを指す。武器化は、標的システムのツールを使用して攻撃を容易にすることを含み得る。たとえば、悪意のある行為者またはマルウェアは、コンピュータ・システムへのログイン・アクセスを提供するシステム認証情報(credential)を取得し、これを使用して認証情報を武器化することによって、悪意のある目的でコンピュータ・システムに侵入することができる。配送およびエクスプロイトは、標的システムへの初期アクセス(initial access)を含み得る。インストールとは、マルウェアの実行可能バージョンを標的システムにコピーすることを指す。「コマンド・アンド・コントロール」という用語は、悪意のある行為者またはマルウェアあるいはその両方が標的システムを完全に制御している状態を指す。「目的実行」という攻撃方法は、悪意の行為者がアクセスするときに実行するアクション、たとえば、データの盗難または持ち出し(exfiltrating)などを含み得る。標的システム候補のセキュリティ・ドメイン内では、そのようなデータには、国家機密、企業秘密、銀行およびクレジット・カードの口座、個人の電子メールおよび写真などが含まれ得る。
【0016】
ロッキード・マーチン社のサイバー・キル・チェーン(R)は、STIX-TAXIIフレームワークの攻撃方法のサブセットを含む。さらに、STIX-TAXIIフレームワークは、攻撃方法を異なる順序、すなわちシーケンスに並べる。STIX-TAXIIフレームワークは、攻撃戦略の観点から見てキネティックなものとして説明することができる。以下の例示的なSTIX-TAXIIフレームワークは、カテゴリ別に配列された攻撃方法のテーブルを含む。これらのカテゴリおよび攻撃方法はSTIX-TAXIIフレームワークのサブセットにすぎず、STIX-TAXIIフレームワークは現在433個の攻撃方法を含んでいるが、増え続けている。
【0017】
【表1】
【0018】
これらのタイプのこれらのフレームワークにおける仮定は、悪意のある行為者が初期アクセス(A)から始めるということである。環境へのアクセスが取得されると、行為者は何らかの種類のマルウェア(すなわち、ボット、ウイルス、ワーム、トロイの木馬)の実行(B)を開始することができる。そこから、行為者は永続化(Persistence)(C)へと移行していき、フレームワーク全体を通過することができる。そのようなフレームワークにおけるもう1つの仮定は、敵対者がある種類のエクスプロイトから開始し、攻撃チェーンを下へ直線的に、またはキネティックに進行するということである。このため、悪意のある行為者が最初の初期アクセスの攻撃方法であるドライブバイ・コンプロマイズ(Drive-by compromise)に成功しなかった場合、この行為者は初期アクセスの列を下へ移動し、次に外部公開(public-facing)アプリケーション(アプリ)へのエクスプロイトを試み得る。しかしながら、ドライブバイ・コンプロマイズが成功した場合、悪意のある行為者は、実行カテゴリの攻撃方法を実行することにより、STIX-TAXIIフレームワークの次の列に移行し得る。
【0019】
これらのフレームワークが有用である理由の1つは、悪意のある行為者がキル・チェーンまたはSTIX-TAXIIフレームワークの次のステップに進み得る確率を決定できることである。このように、これらのフレームワークに依存する機械学習モデルは、悪意のある行為者が直線的な思考をする者(linear thinker)であり、したがってステップAからB、Cへなどと一貫して移行するという見通しに基づいて分類を行い得る。しかしながら、悪意のある行為者(たとえば、人工知能マルウェア)はこの見通しに反する可能性がある。そのため、これらのフレームワークは、悪意のある行為者が特定のフレームワークの直線上を移動しない場合があるサイバー戦場ではそれほど有用ではない場合がある。たとえば、敵対的生成ネットワークおよび量子コンピューティング・ベースの攻撃者などの人工知能の敵対者は、例示的なSTIX-TAXIIフレームワークに配置されたイベントをランダムに進み得る。
【0020】
従来のコンピューティングは、世界中の組織および個人に利益をもたらしている。しかしながら、従来のシステムが合理的な時間枠内で解決できない課題が存在する。より具体的には、特定のサイズおよび複雑さを上回る問題の場合、それらに取り組むために従来の2進のコンピュータ・プロセッサ(たとえば、値が0または1のビットを使用する計算方法)を使用すると計算能力が不足する。これらの問題のいくつかを解決しようとするための1つのアプローチは、比較的新しい種類のコンピューティング、すなわち、ユニバーサル量子コンピューティングを要する。ユニバーサル量子コンピュータは、重ね合わせおよびもつれの量子力学的現象を利用して、キュービットの数に応じて指数関数的に増える状態を作成することができ、キュービットを本明細書では量子力学系および量子ビットとも呼ぶ。
【0021】
そこで、本発明の実施形態は、可能性のあるセキュリティ脅威を識別するための量子コンピューティング・ベースの機械学習モデルを提供する。このモデルは、悪意のある行為者が1つの攻撃カテゴリから複数の攻撃カテゴリのうちの任意の1つに移行する複数の確率を決定することが可能であり得る。さらに、このモデルは、悪意のある行為者が1つの攻撃方法から複数の攻撃方法のうちの任意の1つに移行する確率を決定することが可能であり得る。
【0022】
たとえば、量子コンピューティング・ベースの機械学習モデルは、悪意のある行為者がアクセスの取得後に初期アクセスから実行、永続化、権限昇格(Privilege Escalation)、防衛回避(Defense Evasion)、および認証情報アクセスのそれぞれに移行する確率を決定することができる。さらに、量子コンピューティング・ベースの機械学習モデルは、悪意のある行為者が各攻撃カテゴリ内の各攻撃方法候補を選択する確率を決定することができる。
【0023】
図1は、本発明のいくつかの実施形態による、量子コンピューティング・ベースの機械学習モデルのための例示的なシステム100のブロック図である。システム100は、ネットワーク102、セキュリティ・ドメイン104、セキュリティ脅威モデル106、量子コンピューティング・デバイス108、信頼された自動情報交換(trusted automated exchange of information)、たとえば、脅威情報構造化記述形式-検知指標情報自動交換手順(STIX-TAXII)フレームワーク110、およびクエリ・エンジン112を含む。
【0024】
ネットワーク102は、1つまたは複数のコンピュータ通信ネットワークを含み得る。例示的なネットワーク102は、インターネット、ローカル・エリア・ネットワーク(LAN)、ワイド・エリア・ネットワーク(WAN)、無線LAN(WLAN)などの無線ネットワークなどを含むことができる。ネットワーク102は、銅線伝送ケーブル、光伝送ファイバ、無線伝送、ルータ、ファイアウォール、スイッチ、ゲートウェイ・コンピュータ、またはエッジ・サーバ、あるいはそれらの組合せを含み得る。セキュリティ・ドメイン104、セキュリティ脅威モデル106、量子コンピューティング・デバイス108、STIX-TAXIIフレームワーク110、およびクエリ・エンジン112の一部として実装される各コンピューティング/処理デバイスのネットワーク・アダプタ・カードまたはネットワーク・インターフェースは、たとえばネットワーク102から、またはネットワーク102を介して、あるいはその両方でメッセージまたは命令あるいはその両方を受信し、メッセージまたは命令あるいはその両方を記憶または実行(など)のためにそれぞれのコンピューティング/処理デバイスのそれぞれのメモリまたはプロセッサに転送し得る。ネットワーク102は、図1では説明の目的で単一のエンティティとして示しているが、他の例では、ネットワーク102は、システム100のコンポーネントが通信し得る複数のプライベート・ネットワークまたはパブリック・ネットワークあるいはその両方を含み得る。
【0025】
セキュリティ・ドメイン104は、セキュリティ脅威モデル106が可能性のあるセキュリティ脅威を識別することができるコンピュータ・ハードウェアおよびソフトウェア・アーキテクチャとすることができる。このコンピュータ・ハードウェアおよびソフトウェア・アーキテクチャは、パーソナル・コンピューティング・デバイス、モバイル・コンピューティング・デバイス、デスクトップおよびラップトップ・コンピュータ、仮想アプライアンス、コンテナ、または他の任意のクラウド・コンポーネントを含むことができる。セキュリティ・ドメイン104は、ネットワーク化されたシステム114と、セキュリティ情報およびイベント管理プラットフォーム(SIEMプラットフォーム116)とを含むことができる。ネットワーク化されたシステム114は、1つまたは複数のコンピュータ通信ネットワークに接続された1つまたは複数のコンピュータ・システムとすることができる。たとえば、ネットワーク化されたシステム114は、サーバ・ファームを含むことができる。代替としてまたは追加として、ネットワーク化されたシステム114は、任意の数のコンピュータおよびネットワーク・ノード、ならびに関連するハードウェアおよびソフトウェアの組合せを含むことができる。SIEMプラットフォーム116は、セキュリティ情報および悪意のある攻撃の管理を組み合わせたソフトウェア・ツールまたはサービスあるいはその両方を指すことができる。
【0026】
セキュリティ脅威モデル106は、可能性のある攻撃を識別するように訓練された機械学習モデルとすることができる。機械学習モデルは、状態の特定の特徴に基づいて分類を行うことができる。たとえば、機械学習モデルは、デジタル写真の特徴に基づいて、デジタル写真を人間または動物の被写体のいずれかを含むものとして分類することができる。デジタル写真の特徴は、各ピクセルの色と、相互に関連するピクセルの構成とを含むことができる。これらの特徴を使用して、機械学習モデルは、デジタル写真が人間または動物の被写体を含む確率を計算することができる。機械学習モデルは、確率が高い方のクラスのラベルをデジタル写真に付けることができる。
【0027】
本発明の実施形態では、セキュリティ脅威モデル106は、セキュリティ・ドメイン104のネットワーク化されたシステム114の特徴を学ぶことができる。さらに、セキュリティ脅威モデル106は、セキュリティ・ドメイン104およびネットワーク化されたシステム114の特徴に基づいて、いくつかの攻撃方法候補の確率を決定することができる。より具体的には、セキュリティ脅威モデル106は、悪意のある攻撃者が実行し得る特定のシーケンスの攻撃方法タイプ候補の確率を表す量子状態確率(QSP:quantum state probabilities)マトリックス118を生成することができる。いくつかの実施形態では、セキュリティ脅威モデル106は、STIX-TAXIIフレームワーク110に配列された攻撃方法候補ごとに1つの確率を含むようにQSPマトリックス118を生成することができる。セキュリティ脅威モデル106は、QSPマトリックス118を生成する場合に、攻撃方法候補のソースとしてSTIX-TAXIIフレームワーク110を使用し得る。以下の例示的なQSPマトリックス1は、QSPマトリックス118の一例である。
【0028】
【表2】
【0029】
この例では、行および列の見出しA~Eは特定の状態を表している。状態は攻撃カテゴリを表すことができる。このため、Aは初期アクセスを表すことができ、Bは偵察を表すことができる、などである。さらに、例示的なマトリックス1の行見出しは悪意のある行為者の現在の状態を表すことができ、列見出しは悪意のある行為者の推論される状態を表すことができる。推論される状態は、セキュリティ脅威モデル106が可能性として推論しようとしている状態が、初期状態が与えられた場合の悪意のある行為者の次の行為であることを表すことができる。したがって、例示的なQSPマトリックス1の各セルは、悪意のある行為者が特定の(現在の)攻撃カテゴリから他の攻撃カテゴリに進む計算された確率を表すことができる。本発明のいくつかの実施形態では、確率は2進値の配列として表すことができる。2進値の配列は、攻撃カテゴリ内の攻撃方法候補ごとに1つの値を含むことができる。QSP計算器120は、特定の攻撃方法の可能性が低い場合は2進値を0に設定し、特定の攻撃方法の可能性が高い場合は値を1に設定することができる。このため、2進値を1に設定することによって、特定の攻撃方法が行われる可能性がそうでない可能性よりも高いことを示すことができる。それに応じて、QSP計算器120は、カテゴリの各攻撃方法の個々の可能性の決定結果を使用して、悪意のある行為者が攻撃カテゴリを実行する全体としての可能性を決定することができる。
【0030】
例示的なQSPマトリックス1では、2進値の配列は、攻撃の7つの異なるフェーズを表す7つの値を含む。「?」は不明な量子位置を表すことができ、不明な量子位置の背後にある状態が同じままであるか否かも不明である。さらに、「??」は、AからBに移行する確率が、AからCに移行する確率よりも所定の閾値だけ高確率であり得ることを意味し、その理由は、これが従来のコンピュータで実行される直線的モデルでの機能の仕方であるためである。
【0031】
しかしながら、配列はより多いまたはより少ない値を含むことができる。本発明のいくつかの実施形態では、値の数を12に増やして、MITRE ATT&CKフレームワークの側方領域(lateral area)をカバーし、それらの側方領域をブロッホ球に(ベクトルによって)オーバーレイすることができる。量子状態を使用するいくつかの実施形態では、値の数は2つまたは4つであり得る。悪意のある行為者のアクション候補の可能性を表現することにより、セキュリティ・ドメイン104が対応能力を決定し、セキュリティ制御を特定の領域に狙いを定め、それに応じて暗号化方法を改善することを可能にするパターンを識別可能にすることができる。
【0032】
例示的なQSPマトリックス1では、悪意のある行為者がカテゴリAの攻撃からカテゴリBの攻撃に移行する確率を表すセルは、「<1010101>」として表され、これは同じカテゴリ内の攻撃方法候補の半数の可能性が高いことを示す。さらに、QSP計算器120は、これらの個々の可能性を全体として考えて、特定の攻撃カテゴリの可能性を決定することができる。このため、個々の攻撃方法の半数の可能性が高く、それらを全体として考えた場合、対応する攻撃カテゴリの可能性も高くなり得る。このようにして、QSPマトリックス118は、悪意のある行為者がある攻撃カテゴリから他の攻撃カテゴリに移行する可能性を表すことができる。さらに、悪意のある行為者が特定の攻撃カテゴリに移行する場合、QSPマトリックス118は、悪意のある行為者がそのカテゴリ内の攻撃方法のいずれか1つを使用する可能性を表すことができる。
【0033】
悪意のある行為者が同じカテゴリの攻撃方法を使用する確率を表すセルは「<1111111>」であり、同じカテゴリ内の全ての攻撃方法候補の可能性が高いことを示していることに留意されたい。これは、悪意のある行為者が単に同じ状態のままであるシナリオを表すことができる。さらに、QSP計算器120は、これらの個々の可能性を全体として考えて、個々の攻撃方法の全ての可能性が高い場合、対応する攻撃カテゴリの可能性も高いと判定することができる。
【0034】
QSPマトリックス118の生成は、量子コンピューティング・デバイス108などの量子コンピューティング・デバイスの使用を含むことができる。量子コンピューティング・デバイス108は一般に、個々のビットに情報を記憶および操作する能力に依存する従来のコンピューティング・デバイスとの比較で説明することができる。ビットは、情報を2進数の0および1の状態として記憶するコンピュータ記憶単位である。従来のコンピューティング・デバイスとは対照的に、量子コンピューティング・デバイス108は、量子力学的特性を利用して情報を記憶および操作する。より具体的には、量子コンピューティング・デバイス108は、重ね合わせ、もつれ、および干渉の量子力学的特性を使用して、キュービットの状態を操作する。重ね合わせとは、状態の組合せを指す(従来のデバイスでは独立して記述される)。重ね合わせの概念は音楽の分野に類似し得、2つの音を同時に奏でると、2つの音の重ね合わせが生じる。もつれは、物理的な宇宙では本来見られない振る舞いを説明する、直感に反する量子現象である。もつれとは、独立した粒子が一緒に系として振る舞う現象を指す。
【0035】
したがって、QSP計算器120は、量子コンピューティングの能力を利用して、複数の可能性のあるセキュリティ脅威の複数の確率を線形複雑度の問題として計算することができる。QSP計算器120は、QSPマトリックス118内の各確率を計算するために、ベクトル方程式、線形代数テーブル(linear algebra table)、および他の関連する数学的処理を含むことができる。これは、悪意のある行為者が多数の攻撃カテゴリ候補のそれぞれを実行する確率を含むことができる。この確率は、直近の攻撃カテゴリに基づくことができる。さらに、QSP計算器120は、悪意のある行為者が指定された攻撃カテゴリ内の多数の攻撃方法候補のそれぞれを実行する確率を決定するために、そのような数学的処理を含むことができる。このようにして、QSP計算器120はQSPマトリックス118を生成することができる。
【0036】
本発明のいくつかの実施形態では、QSP計算器120は、悪意のある行為者が過去にどのように攻撃を実行したかを調べるためのSIEMプラットフォーム116からの過去のデータと、モバイル・サイバー・レンジとに基づいて、初期量子状態確率マトリックス118を生成することができる。モバイル・サイバー・レンジとは、シミュレートされたインターネット環境に接続されたセキュリティ・ドメインのシミュレーションを指す。モバイル・サイバー・レンジは、セキュリティ・テストのための安全で合法的な環境を提供することができる。このようにしてQSPマトリックス118を生成することにより、初期量子状態確率マトリックス118は確率の初期テーブルを含むことができ、これは過去のイベントに基づくものであるが、悪意のある行為者が特定の攻撃カテゴリおよび対応する攻撃方法を実行する確率を決定するために使用され得る。
【0037】
STIX-TAXIIフレームワーク110は、STIXデータベース122およびTAXIIサーバ124を含むことができる。STIXという用語は、セキュリティ脅威に関する情報を記述するための標準化された言語を指す。このため、STIXは、セキュリティ脅威に関する動機、能力、機能、および対応を記述することができる。STIXはTAXIIまたは他の類似のツールを介して共有することができる。さらに、STIXデータベース122は、様々なセキュリティ脅威を記述したいくつかのSTIXファイルを含むことができる。いくつかの実施形態では、STIX-TAXIIフレームワーク110からのデータを、SIEMエンジンまたは機械学習プラットフォームに事前にロードし、脅威インテリジェンス・データ(threat intelligence data)の基礎として使用することができる。人工知能および機械学習と共に、これを訓練データとして使用することができる。しかしながら、人工知能および機械学習がなければ、これはルール・エンジンを構築可能なデータ・セットとして使用することができる。そのため、悪意のある行為者による攻撃があった場合、その行為者またはハッキングからのデータは、事前にロードされたルール・セットと比較される。量子状態確率に関して、STIX-TAXIIフレームワーク110からのデータは、ブロッホ球内の初期ベクトル位置を設定するために使用するか、または量子モデルもしくは量子デバイスをテストできるデータ・セットとして機能することができる。
【0038】
TAXIIサーバ124は、セキュリティ脅威に関する情報がオンライン・サービスおよびメッセージ交換を介してどのようにして共有することができるかを定義するツールとすることができる。TAXIIサーバ124は、一般的な共有モデルと互換性のあるRESTful APIサービス(図示せず)を提供することによって、STIXデータベース122へのアクセスを提供することができる。たとえば、TAXIIサーバ124は4つのサービスを定義することができ、これらを選択し、実装し、異なる共有モデルへと組み合わせることができる。
【0039】
クエリ・エンジン112は、攻撃の候補の可能性を特定するためにセキュリティ脅威モデル106にクエリを行うことができるコンピュータのハードウェアまたはソフトウェアあるいはその両方のアーキテクチャを表すことができる。このようにして、実施形態は将来の攻撃を予測または推論可能にすることができる。セキュリティ脅威モデル106にクエリを行うことにより、1)攻撃は、パターンに適合するため、既知の悪意のある行為者から来ている、2)攻撃は、過去の同様の攻撃に基づくパターンに適合する、または3)攻撃は後に続く、あるいはこれらの組合せ、といった可能性を識別することができる。
【0040】
図2は、本発明のいくつかの実施形態による、例示的なブロッホ球200の図である。量子力学では、ブロッホ球は2レベルのキュービットの純粋な状態空間の幾何学的表現である。この例では、ブロッホ球200は、単一の悪意のある行為者による攻撃方法候補の母集団を表すことができる。ブロッホ球200内で、各攻撃方法は3次元空間内の点によって表される。例示的なブロッホ球200は、ブロッホ球200の中心に原点202を含む。さらに、例示的なブロッホ球200は、3つの空間次元を定義する軸204を含む。
【0041】
軸204は、ブロッホ球200が占有する3次元空間を表す。ツールとして、軸204は多次元空間を提供し、球の表面上の2点間の距離が、悪意のある行為者があるカテゴリの攻撃方法を実行し、次いで他のカテゴリの攻撃方法の実行に進む可能性に対応する。さらに、軸は多次元空間を定義し、攻撃カテゴリを表すベクトルに沿った原点202から特定の点までの距離が、特定のカテゴリを選択した悪意のある行為者が特定の点に対応する攻撃方法を実行する可能性に対応する。例示的なブロッホ球200は3次元空間を占有するが、本発明の実施形態は、3次元以上のブロッホ球を使用することができる。
【0042】
軸の数および定義は異なり得るが、この例の目的で、軸は時間(Z)軸204-1、横(X)軸204-2、および縦(Y)軸204-3を含む3次元を表す。時間軸204-1は、攻撃方法が発生する時間を表すことができる。攻撃方法が発生する時間は、SIEMプラットフォーム116などのソースから決定することができる。時間軸204-1、横軸204-2、および縦軸204-3は、QSP計算器120が上記の3次元空間内の攻撃方法を表す位置点と組み合わせて使用することができる従来の3次元(x,y,z)空間を表すことができる。
【0043】
有利なことに、直線的モデルの代わりに球を使用すると、悪意のある攻撃の潜在的なランダム性を視覚化するのが簡単になる。たとえば、ブロッホ球200は、原点202から始まり、ブロッホ球200の表面上の点で終わるベクトル206を含む。各ベクトル206は異なる攻撃方法カテゴリを表し、この例では、初期アクセス206-1、権限昇格206-2、および持ち出し206-3のカテゴリのベクトル206が含まれている。QSP計算器120は、各ベクトル206の他のベクトルに対する相対位置が、悪意のある行為者がある攻撃カテゴリから他の攻撃カテゴリに移行する確率を表すように、ブロッホ球内のベクトル206を生成することができる。さらに、本発明の実施形態では、各攻撃方法はベクトルに沿った点を表すことができる。したがって、原点202から各点までの距離は、悪意のある攻撃者が特定の攻撃カテゴリを選択した場合に、悪意のある攻撃者が特定の攻撃方法を使用する確率を表すことができる。
【0044】
このようにして、QSP計算器120は、ブロッホ球200の表面上の点を使用して、悪意のある行為者がある攻撃方法カテゴリから他の攻撃方法カテゴリに移行し得る確率208を決定することができる。このため、悪意のある行為者が初期アクセスから権限昇格に移行し得る確率は、確率208で示される、初期アクセス206-1および権限昇格206-2のベクトル206の表面点の間の、ブロッホ球200内のある点から他の点への距離によって表される。
【0045】
攻撃中、初期アクセス206-1の攻撃方法が、悪意のある行為者がパスワードを解読することを含むと仮定する。キネティックな移行(水平的な思考(lateral thinking))に基づいて将来の攻撃方法を識別しようとするのではなく、QSP計算器120は、攻撃チェーン内のいくつかの候補に基づいて量子状態確率マトリックス118を生成することができる。このため、ブロッホ球200は、球形を使用して攻撃方法のシーケンスを視覚化する方法を提供する。したがって、STIX-TAXIIフレームワーク110のような直線的な2次元の線のように発生する特定の攻撃方法のシーケンスに限定されるのではなく、ブロッホ球200は、予期しない攻撃方法のシーケンスを視覚化するのに役立つことができる。たとえば、悪意のある行為者は、初期アクセス攻撃の実行に成功し得る。しかしながら、STIX-TAXIIフレームワークに従って、次に実行攻撃を実行するのではなく、悪意のある行為者は次に持ち出し攻撃を試み得る。したがって、例示的なブロッホ球200は、初期アクセス206-1から持ち出し206-3までの経路候補を提供し、その距離はそのシナリオの数学的確率を表す。そのため、QSP計算器120は、ブロッホ球200などのブロッホ球を使用して、QSPマトリックス118の確率を入力することができる。このように、攻撃カテゴリを表す各ベクトル206間の距離を決定することによって、QSP計算器120は、悪意のある行為者がある攻撃カテゴリから他の攻撃カテゴリに移行する確率を決定することができる。さらに、悪意のある行為者が新しい攻撃カテゴリを選択すると、QSP計算器120は、関連付けられたベクトル206に沿った、原点から対応する点までの距離を計算することによって、悪意のある行為者がそのカテゴリの各攻撃方法を試みる確率を決定することができる。
【0046】
この例では、ブロッホ球200は、典型的な攻撃方法のシーケンスを表す3つの攻撃カテゴリを含む。この典型的な攻撃方法のシーケンスは、パスワードを解読してシステムにアクセスすること、攻撃されたシステムにおける悪意のある行為者のアクセス権限を高めること、およびデータを持ち出すことを含むことができる。このシーケンスは、悪意のある行為者が標的情報の在り処を知っているために、持ち出し前にシステムのファイルをスキャンしない場合があるシナリオを表すことができる。
【0047】
明確にするために、例示的なブロッホ球200は、3つの攻撃カテゴリを含む。しかしながら、本発明のいくつかの実施形態は、3つ以上の攻撃カテゴリを含むことができる。たとえば、ブロッホ球200は、偵察、武器化、配送、権限昇格、探索(discovery)、コマンド・アンド・コントロール、および持ち出しの7つの攻撃カテゴリを含むことができる。したがって、悪意のある行為者が従来の直線的な攻撃シーケンスに従わない場合、悪意のある行為者が、たとえば、配送の攻撃方法を実行したのち探索を実行する、または権限昇格から武器化に戻るなどの確率を決定することが可能である。さらに、過去のデータにより、特定の悪意のある行為者の攻撃シーケンスの傾向を特定可能にすることができる。たとえば、過去のデータは、悪意のある行為者がバイナリ・パディングまたは認証情報ダンピングのいずれの攻撃方法から開始するか、また、悪意のある行為者が水平展開(lateral movement)または認証情報アクセスのいずれの攻撃方法を使用する傾向があるかを示すことができる。
【0048】
図3は、本発明のいくつかの実施形態による、量子コンピューティング機械学習モデルのための方法300の処理フロー・チャートである。QSP計算器およびセキュリティ脅威モデル(たとえば、QSP計算器120およびセキュリティ脅威モデル106)は、方法300を実行することができる。
【0049】
動作302において、QSP計算器120は、SIEMおよびSTIX-TAXIIフレームワークに基づいてブロッホ球を生成することができる。ブロッホ球は、たとえば、ブロッホ球200とすることができる。さらに、SIEMおよびSTIX-TAXIIフレームワークは、それぞれ、図1に関して説明したSIEMプラットフォーム116およびSTIX-TAXIIフレームワーク110とすることができる。
【0050】
動作304において、QSP計算器120は、量子状態デバイスを使用してブロッホ球200のQSPマトリックスを生成することができる。QSPマトリックスは、たとえば、QSPマトリックス118とすることができる。さらに、量子状態デバイスは、量子コンピューティング・デバイス108とすることができる。いくつかの実施形態では、QSP計算器120は、上記の量子コンピューティング・デバイス108の特性を使用して、QSPマトリックスの全てのセルに同時に入力することができる。QSPマトリックス118に関して、前述のように、QSPマトリックス118の各セルは、第1のタイプのセキュリティ・イベントの後に第2のタイプのセキュリティ・イベントが発生する確率を、組合せによって、表す値の配列を含むことができる。さらに、第2のタイプのセキュリティ・イベントが発生したと仮定すると、配列内の各値は、特定のセキュリティ・イベントが発生する可能性が高いか否かを示すことができる。
【0051】
動作306において、セキュリティ脅威モデル106は、QSPマトリックス118に基づいてセキュリティ脅威の分類を実行するようにセキュリティ脅威モデル106の分類器を訓練することができる。分類器の訓練は、可能性のあるセキュリティ脅威の特徴を、それらの特徴がセキュリティ脅威を表すか否かを示すラベルによって記述する訓練データの生成を含むことができる。特徴は、可能性のある攻撃者のインターネット・プロトコル(IP)アドレス、可能性のある攻撃者によって実行されるアクションなど、セキュリティ・ドメイン104の特定の状態を記述するデータを含むことができる。いくつかの実施形態では、セキュリティ脅威モデル106は、SIEMプラットフォーム116から訓練データの特徴を選択することができ、各訓練データのトランザクションに手動でラベル付けすることができる。このようにして、セキュリティ脅威モデル106の分類器は、可能性のあるセキュリティ脅威を識別することを学習することができる。
【0052】
動作308において、セキュリティ脅威モデル106は、訓練された分類器を使用して、セキュリティ・ドメイン104のセキュリティ脅威イベントを推論することができる。推論とは、分類処理を指す。このため、セキュリティ脅威モデル106は、その分類器が上記のように可能性の高い攻撃カテゴリおよび攻撃方法を決定する場合に推論を行う。したがって、クエリ・エンジン112は、セキュリティ脅威モデル106に、悪意のある行為者が次に試みる攻撃カテゴリおよび攻撃方法の候補を決定するように依頼することができる。それに応答して、セキュリティ脅威モデル106は、量子状態確率マトリックス118を使用して、どの攻撃カテゴリおよび方法がその他よりも比較的可能性が高いかを決定することができる。
【0053】
図4は、本発明のいくつかの実施形態による、例示的なブロッホ球400の図である。例示的なブロッホ球400は、図2に関して説明した例示的なブロッホ球200と類似し得る。したがって、例示的なブロッホ球400は、原点402、軸404、攻撃方法カテゴリ406、および確率408を含む。さらに、例示的なブロッホ球400では、攻撃方法406は、偵察406-1、武器化406-2、初期アクセス406-3、権限昇格406-4、探索406-5、コマンド・アンド・コントロール406-6、および持ち出し406-7を含む。
【0054】
本発明のいくつかの実施形態では、セキュリティ脅威モデル106は、悪意のある行為者がある攻撃方法406からその他に移行する確率を決定することができる。たとえば、セキュリティ脅威モデル106は、悪意のある行為者が偵察406-1から武器化406-2に移行する確率408-1を決定することができる。同様に、セキュリティ脅威モデルは、悪意のある行為者が権限昇格406-4から探索406-5に移行する確率408-2を決定することができる。しかしながら、そのようなシーケンスは、1人の行為者が脅威を実行しており、システマチックかつ合理的に球の周りを時計回りに移動しているという仮定を反映し得る。これはキネティックな戦争に似ている。しかしながら、悪意のある行為者は、ランダムな方向に移動したり、または標的を攻撃する様々な方法を試したり、あるいはその両方を行い得る。
【0055】
このため、1)攻撃者が特定のカテゴリの攻撃方法、たとえば、偵察406-1の攻撃方法から始めた場合、次の可能性の高い攻撃方法カテゴリは何か、2)次の可能性の高い特定の攻撃方法は何か?の2つのことを知ることが有用である。次の可能性の高いカテゴリを決定するために、セキュリティ脅威モデル106は、悪意のある行為者が偵察406-1から、たとえば、武器化406-2、初期アクセス406-3、権限昇格406-4、探索406-5、コマンド・アンド・コントロール406-6、および持ち出し406-7のそれぞれに移行する確率を有するQSPマトリックス118を分析することができる。次の可能性の高い攻撃方法を決定するために、セキュリティ脅威モデル106は、QSPマトリックス118における次の可能性の高いカテゴリ内の各攻撃方法候補の確率を分析することができる。
【0056】
いくつかの実施形態では、セキュリティ脅威モデル106は、マルコフ連鎖を使用してこれらの確率を決定することができる。例示的な確率テーブル1は、悪意のある行為者が異なる攻撃方法間を移行する確率の一例を示している。
【0057】
【表3】
【0058】
例示的な確率テーブル1は、悪意のある行為者が各攻撃方法からその他に移行する確率を示している。たとえば、悪意のある行為者が偵察から初期アクセスに移行する可能性は少なくとも0.50(たとえば、50%)であり、悪意のある行為者が偵察から武器化に移行する可能性は0.10である。悪意のある行為者は環境へのアクセスをまだ取得していないので、この可能性は比較的小さい。さらに、悪意のある行為者が初期アクセスから偵察に戻る可能性は0.20である。さらに、悪意のある行為者が初期アクセスから武器化に移行する可能性は、少なくとも悪意のある行為者が初期アクセスに留まるのと同じである。また、悪意のある行為者が武器化に留まる可能性は、悪意のある行為者が突然気が変わって初期アクセスまで1ステップ戻る確率(0.05)または偵察まで2ステップ戻る確率(0.05)と比較して、0.90である(非常に可能性が高い)。
【0059】
マルコフ連鎖は、悪意のある行為者の過去の行動に適用される場合に有用であり得る(それに関するデータは、セキュリティ脅威モデル106が行動分析ツールにより取り出すことができる)。さらに、パターン認識(そこからのデータも我々は有している)は、マルコフ・イベントとして、次に何が起こるか(イベント2)を知るために、前のイベント(イベント1)に関する情報を有している必要があり、過去のデータを調べるのに有用である。
【0060】
図5Aは、本発明のいくつかの実施形態による、例示的なブロッホ球500Aの図である。例示的なブロッホ球500Aは、図4に関して説明したブロッホ球400と類似し得る。したがって、例示的なブロッホ球500Aは、原点502、軸504、攻撃方法カテゴリ506、および確率508を含み、これらは図4に関して説明した原点402、軸404、攻撃方法406、および確率408にそれぞれ類似し得る。さらに、攻撃方法506は、偵察506-1、武器化506-2、初期アクセス506-3、権限昇格506-4、探索506-5、コマンド・アンド・コントロール506-6、および持ち出し506-7を含む。
【0061】
本発明の実施形態は、標的に対する攻撃において協働している2人以上の攻撃者を識別するのに有用であり得る。協働は、攻撃中の協力、共謀、または逃亡(defecting)、あるいはそれらの組合せを含むことができる。逃亡とは、悪意のある行為者の一方(または両方)が行っていることを止めて攻撃から離脱することを指す。逃亡は、悪意のある行為者が人間である場合にのみ発生する。悪意のある行為者がソフトウェア、ボット、アルゴリズム、または人工知能である場合、逃亡が発生することはない。
【0062】
協力および共謀などを通じて協力することは、ゲーム理論と呼ばれる。複数の悪意のある行為者が一緒に攻撃を実行し得る場合でも、悪意のある行為者が同時に同じ攻撃カテゴリで作業していない場合がある。たとえば、一方の行為者が偵察506-1を実行している間に、他方の行為者は、悪意のある行為者が認証情報を見つけたセキュリティ・ドメイン104で権限昇格506-4を実行し得る。
【0063】
そこで、本発明のいくつかの実施形態では、QSP計算器120は複数のQSPマトリックス118を生成することができ、各QSPマトリックス118はそれぞれの悪意のある行為者のアクション候補を表す。さらに、セキュリティ脅威モデル106は、重複についてQSPマトリックス118を比較することができる。識別された重複は、複数の悪意のある行為者が協働していることを示し得る。たとえば、確率508-1は、偵察506-1を実行した第1の悪意のある行為者が、続いて武器化506-2を実行する可能性を表すことができる。さらに、確率508-2は、権限昇格506-4を実行した第2の悪意のある行為者が、続いて探索506-5を実行する可能性を表すことができる。本発明の実施形態では、悪意のある行為者それぞれの可能性の高い攻撃方法を表すQSPマトリックス118は、重複し得る。以下の例示的なゲーム理論テーブル1は、ランサムウェアをインストールする目的に成功する場合の2人の行為者によるゲーム理論攻撃を示し得る重複する確率を示している。
【0064】
【表4】
【0065】
ゲーム理論攻撃では、2人の異なる悪意のある行為者が同じ攻撃方法を使用する確率は、一方が武器化の方法に到達するまでほぼ同じであり得る。悪意のある行為者の一方が捕まった場合、他方の悪意のある行為者がランサムウェアのインストールを続行する可能性が高くなり得る。
【0066】
図5Bは、本発明のいくつかの実施形態による、例示的なブロッホ球500Bの図である。例示的なブロッホ球500Bは、図5Aに関して説明したブロッホ球500Aと類似し得る。
【0067】
例示的なブロッホ球500Bは、第3の悪意のある行為者が、図5Aに関して説明した最初の2人の悪意のある行為者と協力しているシナリオを表すことができる。そこで、本発明のいくつかの実施形態では、QSP計算器120は3つのQSPマトリックス118を生成することができ、各QSPマトリックス118はそれぞれの悪意のある行為者のアクション候補を表す。このようにして、セキュリティ脅威モデル106は、3人の悪意のある行為者の間に重複があるか否かを判定することができる。このため、確率508-1、508-2に加えて、確率508-3は、武器化506-2を実行した第3の悪意のある行為者が、続いて初期アクセス506-3を実行する可能性を表すことができる。セキュリティ脅威モデル106は、第3の悪意のある行為者と、その他の悪意のある行為者の一方または両方との間の重複を識別することができる。
【0068】
三者間のゲーム理論攻撃の一例は、内部脅威(insider threat)である。内部脅威を伴う攻撃中、第3の悪意のある行為者は、セキュリティ・ドメインにアクセスするのに有用な情報を提供する。そのような情報は、セキュリティ・ドメイン104を使用する会社の現在の従業員または元従業員からのバッジ、フォブ、または機密情報の形態のセキュリティ認証情報を含むことができる。ダーク・ウェブを、サーバ名、サーバの場所、ルート管理者の認証情報などの機密情報のソースとすることもできる。あるいは、第3の悪意のある行為者は、スクリプトまたは事前に準備されたコードなどのマルウェアとすることができる。
【0069】
例示的なゲーム理論テーブル2は、ランサムウェアをインストールする目的に成功する場合の3人の行為者による攻撃の重複する確率を示している。
【0070】
【表5】
【0071】
例示的なゲーム理論テーブル3は、ランサムウェアをインストールする目的が失敗する場合の3人の行為者による別の攻撃の重複する確率を示している。
【0072】
【表6】
【0073】
例示的なゲーム理論テーブル3では、偵察時であっても、確率は均等に分散していない。そうではなく、悪意のある行為者Aがソーシャル・メディアを監視する確率は0.50である。しかしながら、悪意のある行為者BおよびCがそれぞれ外部トラフィックおよび内部トラフィックをキャプチャする確率は、悪意のある行為者Aがどれだけ成功するかに依存し得る。初期アクセスに関して、分析は同じであり得る。武器化に関して、悪意のある行為者Aが何の価値も提供することができずに捕らえられ、提供すべき有効な認証情報を有する悪意のある行為者Bがハッキングのリスクが高すぎると判断して退却した場合、悪意のある行為者Cはランサムウェアのインストールに失敗する可能性が高い。
【0074】
図6は、本発明のいくつかの実施形態による、例示的なブロッホ球600の図である。したがって、例示的なブロッホ球600は、原点602、軸604、攻撃方法カテゴリ606、および確率608を含み、これらは図4に関して説明した原点402、軸404、攻撃方法406、および確率408にそれぞれ類似し得る。さらに、攻撃方法606は、エクスプロイト606-1、偵察606-2、武器化606-3、初期アクセス606-4、実行606-5、権限昇格606-6、探索606-7、コマンド・アンド・コントロール606-8、収集606-9、持ち出し606-10、および永続化606-11を含む。
【0075】
例示的なブロッホ球600は、人工知能の悪意のある行為者による攻撃を表すことができる。人工知能の悪意のある行為者はボットとは異なる。ボットは、所定の攻撃方法を実行するように構成されるコンピュータ・プログラムであり得る。対照的に、人工知能の悪意のある行為者は、多数のシナリオ候補に基づいて様々な異なるタイプの攻撃方法を決定するように訓練することができる。人工知能の悪意のある行為者が攻撃方法606を進めるのに要する時間は、人工知能の悪意のある行為者の背後にある計算能力次第で30秒未満であり得る。いくつかのシナリオでは、アルゴリズムおよび機械学習によって最も比較的効果的な攻撃方法をより短時間で見つけるように人工知能の悪意のある行為者を訓練することができる。このように、人工知能の悪意のある行為者は、人間の悪意のある行為者のようには機能しない場合がある。このため、人工知能の悪意のある行為者は、球の周りを進むことができる(すなわち、例示的なブロッホ球600で表される攻撃方法カテゴリ606を、人間の悪意のある行為者よりも比較的速く実行する)。人工知能の悪意のある行為者はまた、人間の行為者とは異なる攻撃方法606を選択して侵入し得る。このため、攻撃の侵入ポイントは、エクスプロイト606-1を含まない場合があり、代わりに、脆弱性、ソフトウェア・バグ、またはマルウェアであり得る。
【0076】
したがって、本発明のいくつかの実施形態では、量子状態確率計算器120は、攻撃方法606間の各遷移の確率の量子状態確率マトリックス118を生成することができる。たとえば、人工知能の悪意のある行為者は、人間の悪意のある行為者よりも速い速度で遷移することができる。このため、人工知能の悪意のある行為者がエクスプロイト606-1、偵察606-2、武器化606-3、初期アクセス606-4、実行606-5、権限昇格606-6、探索606-7、持ち出し606-10、および永続化606-11を比較的迅速に移行する場合、セキュリティ脅威モデル106は、確率608-1~608-7を比較することによって悪意のある行為者を識別することができる。
【0077】
いくつかの実施形態では、セキュリティ脅威モデル106は、どの種類の行為者がシステムを攻撃しているか、すなわち、悪意のある行為者が人間か人工知能システムかを判定することができる。さらに、セキュリティ脅威モデル106は、高度なスキル・セットを有する悪意のある行為者を識別し、特定の悪意のある行為者が容疑者のプール内の特定の人物である確率を生成することができる。
【0078】
さらに、悪意のある行為者は、攻撃方法のシーケンスが全く別のシステムへのエクスプロイトを引き起こす可能性があるシナリオを利用することができる。たとえば、人工知能の悪意のある行為者は、エクスプロイト606-1を使用して、セキュリティ・ドメイン(たとえば、セキュリティ・ドメイン104)に侵入することができる。人工知能の悪意のある行為者が有用な認証情報のセット(たとえば、ハードコードされたユーザ名およびパスワード)を取得すると、認証情報を使用して他のネットワーク化されたシステムに移動することができる。本発明のいくつかの実施形態では、セキュリティ脅威モデル106は、セキュリティ・ドメイン104のネットワーク化されたシステム114ごとにブロッホ球を生成することができる。さらに、量子状態確率計算器120は、悪意のある行為者が攻撃の一部として第1のネットワーク化されたシステムから第2のネットワーク化されたシステムに移動する確率を表す量子状態確率マトリックス118を生成することができる。
【0079】
図7は、本発明のいくつかの実施形態による、例示的なセキュリティ脅威モデル・マネージャ700のブロック図である。様々な実施形態において、セキュリティ脅威モデル・マネージャ700は、インシデント・モデラー(incident modeler)96と同様であり、図3に記載した方法、または図1図2図5、および図6で論じた機能、あるいはその両方を実行することができる。いくつかの実施形態では、セキュリティ脅威モデル・マネージャ700は、前述の方法または機能あるいはその両方に関する命令をクライアント・マシンに提供し、クライアント・マシンは、セキュリティ脅威モデル・マネージャ700によって提供された命令に基づいて、方法または方法の一部を実行する。いくつかの実施形態では、セキュリティ脅威モデル・マネージャ700は、複数のデバイスに組み込まれたハードウェア上で実行されるソフトウェアを含む。
【0080】
セキュリティ脅威モデル・マネージャ700は、メモリ725、ストレージ730、相互接続(たとえば、バス)720、1つまたは複数のCPU705(本明細書ではプロセッサ705とも呼ぶ)、I/Oデバイス・インターフェース710、I/Oデバイス712、およびネットワーク・インターフェース715を含む。
【0081】
各CPU705は、メモリ725またはストレージ730に記憶されたプログラミング命令を取り出して実行する。相互接続720は、プログラミング命令などのデータを、CPU705、I/Oデバイス・インターフェース710、ストレージ730、ネットワーク・インターフェース715、およびメモリ725の間で移動させるために使用される。相互接続720は、1つまたは複数のバスを使用して実装することができる。CPU705は、様々な実施形態において、単一のCPU、複数のCPU、または複数の処理コアを有する単一のCPUとすることができる。いくつかの実施形態では、CPU705はデジタル信号プロセッサ(DSP)とすることができる。いくつかの実施形態では、CPU705は、1つまたは複数の3D集積回路(3DIC)(たとえば、3Dウェーハ・レベル・パッケージング(3DWLP)、3Dインターポーザー・ベース統合、3DスタックIC(3D-SIC)、モノリシック3D IC、3Dヘテロジニアス・インテグレーション、3Dシステム・イン・パッケージ(3DSiP)、またはパッケージ・オン・パッケージ(PoP)CPU構成、あるいはそれらの組合せ)を含む。メモリ725は、一般に、ランダム・アクセス・メモリ(たとえば、スタティック・ランダム・アクセス・メモリ(SRAM)、ダイナミック・ランダム・アクセス・メモリ(DRAM)、またはフラッシュ)を表すために含められている。ストレージ730は、一般に、ハード・ディスク・ドライブ、ソリッド・ステート・デバイス(SSD)、リムーバブル・メモリ・カード、光ストレージ、またはフラッシュ・メモリ・デバイス、あるいはそれらの組合せなどの不揮発性メモリを表すために含められている。さらに、ストレージ730は、ストレージ・エリア・ネットワーク(SAN)デバイス、クラウド、またはI/Oデバイス・インターフェース710を介してセキュリティ脅威モデル・マネージャ700に接続されるか、もしくはネットワーク・インターフェース715を介してネットワーク750に接続される他のデバイスを含むことができる。
【0082】
いくつかの実施形態では、メモリ725は命令760を記憶する。しかしながら、様々な実施形態では、命令760は、部分的にメモリ725に、および部分的にストレージ730に記憶され、または完全にメモリ725に記憶されるか、もしくは完全にストレージ730に記憶され、あるいはネットワーク・インターフェース715を介してネットワーク750越しにアクセスされる。
【0083】
命令760は、図3に記載した方法または図1図2図5、および図6で論じた機能、あるいはその両方の任意の部分または全部を実行するためのプロセッサ実行可能命令とすることができる。
【0084】
様々な実施形態では、I/Oデバイス712は、情報を提示し、入力を受け取ることが可能なインターフェースを含む。たとえば、I/Oデバイス712は、セキュリティ脅威モデル・マネージャ700とやりとりするリスナー(listener)に情報を提示し、リスナーから入力を受け取ることができる。
【0085】
セキュリティ脅威モデル・マネージャ700は、ネットワーク・インターフェース715を介してネットワーク750に接続される。ネットワーク750は、物理、無線、セルラー、または異なるネットワークを含むことができる。
【0086】
いくつかの実施形態では、セキュリティ脅威モデル・マネージャ700は、マルチ・ユーザ・メインフレーム・コンピュータ・システム、シングル・ユーザ・システム、または直接的なユーザ・インターフェースをほとんどまたは全く有さないが他のコンピュータ・システム(クライアント)からの要求を受信するサーバ・コンピュータまたは同様のデバイスとすることができる。さらに、いくつかの実施形態では、セキュリティ脅威モデル・マネージャ700は、デスクトップ・コンピュータ、ポータブル・コンピュータ、ラップトップもしくはノートブック・コンピュータ、タブレット・コンピュータ、ポケット・コンピュータ、電話、スマート・フォン、ネットワーク・スイッチもしくはルータ、または他の任意の適切なタイプの電子デバイスとして実装することができる。
【0087】
図7は、例示的なセキュリティ脅威モデル・マネージャ700の代表的な主要コンポーネントを描写することを意図していることに留意されたい。しかしながら、いくつかの実施形態では、個々のコンポーネントは、図7に示したよりも高いまたは低い複雑度を有することができ、図7に示した以外のまたは追加のコンポーネントが存在することができ、そのようなコンポーネントの数、タイプ、および構成は変化することができる。
【0088】
本開示はクラウド・コンピューティングに関する詳細な説明を含むが、本明細書に列挙した教示の実装形態はクラウド・コンピューティング環境に限定されない。むしろ、本発明の実施形態は、現在知られているまたは今後開発される他の任意のタイプのコンピューティング環境と共に実装することが可能である。
【0089】
クラウド・コンピューティングは、最小限の管理労力またはサービスのプロバイダとのやりとりによって迅速にプロビジョニングおよび解放することができる、設定可能なコンピューティング・リソース(たとえば、ネットワーク、ネットワーク帯域幅、サーバ、処理、メモリ、ストレージ、アプリケーション、仮想マシン、およびサービス)の共有プールへの便利なオンデマンドのネットワーク・アクセスを可能にするためのサービス配信のモデルである。このクラウド・モデルは、少なくとも5つの特徴と、少なくとも3つのサービス・モデルと、少なくとも4つのデプロイメント・モデルとを含むことができる。
【0090】
特徴は以下の通りである。
【0091】
オンデマンド・セルフ・サービス:クラウド・コンシューマは、サービスのプロバイダとの人的な対話を必要とせずに、必要に応じて自動的に、サーバ時間およびネットワーク・ストレージなどのコンピューティング能力を一方的にプロビジョニングすることができる。
【0092】
ブロード・ネットワーク・アクセス:能力はネットワークを介して利用することができ、異種のシンまたはシック・クライアント・プラットフォーム(たとえば、携帯電話、ラップトップ、およびPDA)による使用を促進する標準的なメカニズムを介してアクセスされる。
【0093】
リソース・プーリング:プロバイダのコンピューティング・リソースをプールして、様々な物理リソースおよび仮想リソースが需要に応じて動的に割り当ておよび再割り当てされるマルチ・テナント・モデルを使用して複数のコンシューマにサービス提供する。一般にコンシューマは、提供されるリソースの正確な位置に対して何もできず、知っているわけでもないが、より高い抽象化レベル(たとえば、国、州、またはデータセンターなど)では位置を特定可能であり得るという点で位置非依存の感覚がある。
【0094】
迅速な弾力性:能力を迅速かつ弾力的に、場合によっては自動的にプロビジョニングして素早くスケール・アウトし、迅速に解放して素早くスケール・インすることができる。コンシューマにとって、プロビジョニング可能な能力は無制限であるように見えることが多く、任意の時間に任意の数量で購入することができる。
【0095】
測定されるサービス:クラウド・システムは、サービスのタイプ(たとえば、ストレージ、処理、帯域幅、およびアクティブ・ユーザ・アカウント)に適したある抽象化レベルでの計量機能を活用して、リソースの使用を自動的に制御し、最適化する。リソース使用量を監視、管理、および報告して、利用されるサービスのプロバイダおよびコンシューマの両方に透明性を提供することができる。
【0096】
サービス・モデルは以下の通りである。
【0097】
ソフトウェア・アズ・ア・サービス(SaaS):コンシューマに提供される能力は、クラウド・インフラストラクチャ上で動作するプロバイダのアプリケーションを使用することである。アプリケーションは、Webブラウザ(たとえば、Webベースの電子メール)などのシン・クライアント・インターフェースを介して様々なクライアント・デバイスからアクセス可能である。コンシューマは、限定されたユーザ固有のアプリケーション構成設定を可能性のある例外として、ネットワーク、サーバ、オペレーティング・システム、ストレージ、さらには個々のアプリケーション機能を含む、基盤となるクラウド・インフラストラクチャを管理も制御もしない。
【0098】
プラットフォーム・アズ・ア・サービス(PaaS):コンシューマに提供される能力は、プロバイダによってサポートされるプログラミング言語およびツールを使用して作成された、コンシューマが作成または取得したアプリケーションをクラウド・インフラストラクチャ上にデプロイすることである。コンシューマは、ネットワーク、サーバ、オペレーティング・システム、またはストレージを含む、基盤となるクラウド・インフラストラクチャを管理も制御もしないが、デプロイされたアプリケーションおよび場合によってはアプリケーション・ホスティング環境構成を制御する。
【0099】
インフラストラクチャ・アズ・ア・サービス(IaaS):コンシューマに提供される能力は、オペレーティング・システムおよびアプリケーションを含むことができる任意のソフトウェアをコンシューマがデプロイして動作させることが可能な、処理、ストレージ、ネットワーク、および他の基本的なコンピューティング・リソースをプロビジョニングすることである。コンシューマは、基盤となるクラウド・インフラストラクチャを管理も制御もしないが、オペレーティング・システム、ストレージ、デプロイされたアプリケーションを制御し、場合によっては選択したネットワーキング・コンポーネント(たとえば、ホスト・ファイアウォール)を限定的に制御する。
【0100】
デプロイメント・モデルは以下の通りである。
【0101】
プライベート・クラウド:クラウド・インフラストラクチャは組織専用に運用される。これは組織または第三者によって管理することができ、構内または構外に存在することができる。
【0102】
コミュニティ・クラウド:クラウド・インフラストラクチャはいくつかの組織によって共有され、共通の懸念(たとえば、ミッション、セキュリティ要件、ポリシー、およびコンプライアンスの考慮事項など)を有する特定のコミュニティをサポートする。これは組織または第三者によって管理することができ、構内または構外に存在することができる。
【0103】
パブリック・クラウド:クラウド・インフラストラクチャは、一般大衆または大規模な業界団体に対して利用可能にされ、クラウド・サービスを販売する組織によって所有される。
【0104】
ハイブリッド・クラウド:クラウド・インフラストラクチャは、固有のエンティティのままであるが、データおよびアプリケーションの移植性を可能にする標準化技術または独自技術(たとえば、クラウド間の負荷分散のためのクラウド・バースティング)によって結合された2つ以上のクラウド(プライベート、コミュニティ、またはパブリック)を合成したものである。
【0105】
クラウド・コンピューティング環境は、ステートレス性、低結合性、モジュール性、および意味論的相互運用性に重点を置いたサービス指向型である。クラウド・コンピューティングの中核にあるのは、相互接続されたノードのネットワークを含むインフラストラクチャである。
【0106】
図8は、本発明のいくつかの実施形態による、クラウド・コンピューティング環境810である。図示のように、クラウド・コンピューティング環境810は、1つまたは複数のクラウド・コンピューティング・ノード800を含む。クラウド・コンピューティング・ノード800は、図3で説明した方法、または図1図2図5、および図6で論じた機能、あるいはその両方を実行することができる。さらに、クラウド・コンピューティング・ノード800は、たとえば、パーソナル・デジタル・アシスタント(PDA)もしくは携帯電話800A、デスクトップ・コンピュータ800B、ラップトップ・コンピュータ800C、または自動車コンピュータ・システム800N、あるいはそれらの組合せなどの、クラウド・コンシューマによって使用されるローカル・コンピューティング・デバイスと通信することができる。さらに、クラウド・コンピューティング・ノード800は相互に通信することができる。クラウド・コンピューティング・ノード800はまた、たとえば、上述のプライベート、コミュニティ、パブリック、もしくはハイブリッド・クラウド、またはそれらの組合せなどの1つまたは複数のネットワークにおいて、物理的または仮想的にグループ化することができる(図示せず)。これにより、クラウド・コンピューティング環境810は、クラウド・コンシューマがローカル・コンピューティング・デバイス上にリソースを維持する必要がない、インフラストラクチャ・アズ・ア・サービス、プラットフォーム・アズ・ア・サービス、またはソフトウェア・アズ・ア・サービス、あるいはそれらの組合せを提供することが可能になる。図8に示したコンピューティング・デバイス800A~Nのタイプは例示的なものにすぎないことを意図しており、コンピューティング・ノード800およびクラウド・コンピューティング環境810は、任意のタイプのネットワークまたはネットワーク・アドレス指定可能接続(たとえば、Webブラウザを使用)あるいはその両方を介して任意のタイプのコンピュータ化デバイスと通信できることを理解されたい。
【0107】
図9は、本発明のいくつかの実施形態による、クラウド・コンピューティング環境810(図8)によって提供される機能的抽象化モデル・レイヤのセットである。図9に示したコンポーネント、レイヤ、および機能は例示的なものにすぎないことを意図しており、本発明の実施形態はこれらに限定されないことを事前に理解されたい。以下に示すように、以下のレイヤおよび対応する機能が提供される。
【0108】
ハードウェアおよびソフトウェア・レイヤ900は、ハードウェア・コンポーネントおよびソフトウェア・コンポーネントを含む。ハードウェア・コンポーネントの例には、メインフレーム902、RISC(縮小命令セット・コンピュータ)アーキテクチャ・ベースのサーバ904、サーバ906、ブレード・サーバ908、ストレージ・デバイス910、ならびにネットワークおよびネットワーキング・コンポーネント912が含まれる。いくつかの実施形態では、ソフトウェア・コンポーネントは、ネットワーク・アプリケーション・サーバ・ソフトウェア914およびデータベース・ソフトウェア916を含む。
【0109】
仮想化レイヤ920は抽象化レイヤを提供し、抽象化レイヤから、仮想エンティティの以下の例、すなわち、仮想サーバ922、仮想ストレージ924、仮想プライベート・ネットワークを含む仮想ネットワーク926、仮想アプリケーションおよびオペレーティング・システム928、ならびに仮想クライアント930を提供することができる。
【0110】
一例では、管理レイヤ940は、下記の機能を提供することができる。リソース・プロビジョニング942は、クラウド・コンピューティング環境内でタスクを実行するために利用されるコンピューティング・リソースおよび他のリソースの動的調達を提供する。計量および価格決定944は、クラウド・コンピューティング環境内でリソースが利用されたときの費用追跡と、これらのリソースの消費に対する請求またはインボイス発行とを提供する。一例では、これらのリソースはアプリケーション・ソフトウェア・ライセンスを含むことができる。セキュリティは、クラウド・コンシューマおよびタスクの同一性検証だけでなく、データおよび他のリソースに対する保護も提供する。ユーザ・ポータル946は、コンシューマおよびシステム管理者にクラウド・コンピューティング環境へのアクセスを提供する。サービス・レベル管理948は、要求されたサービス・レベルが満たされるような、クラウド・コンピューティング・リソースの割り当ておよび管理を提供する。サービス・レベル管理948は、静的センサデータを処理するのに適切な処理能力およびメモリを割り当てることができる。サービス・レベル合意(SLA)の計画および履行950は、SLAに従って将来要求されると予想されるクラウド・コンピューティング・リソースの事前手配および調達を提供する。
【0111】
ワークロード・レイヤ960は、クラウド・コンピューティング環境を利用することができる機能性の例を提供する。このレイヤから提供することができるワークロードおよび機能の例は、マッピングおよびナビゲーション962、ソフトウェア開発およびライフサイクル管理964、仮想教室教育配信966、データ分析処理968、取引処理970、ならびにセキュリティ脅威モデル・マネージャ972、を含む。
【0112】
本発明は、任意の可能な技術的詳細レベルの統合におけるシステム、方法、またはコンピュータ・プログラム製品、あるいはそれらの組合せであり得る。コンピュータ・プログラム製品は、本発明の態様をプロセッサに実行させるためのコンピュータ可読プログラム命令をその上に有するコンピュータ可読記憶媒体(または複数の媒体)を含み得る。
【0113】
コンピュータ可読記憶媒体は、命令実行デバイスによる使用のために命令を保持および記憶可能な有形のデバイスとすることができる。コンピュータ可読記憶媒体は、たとえば、限定はしないが、電子ストレージ・デバイス、磁気ストレージ・デバイス、光学ストレージ・デバイス、電磁ストレージ・デバイス、半導体ストレージ・デバイス、またはこれらの任意の適切な組合せであり得る。コンピュータ可読記憶媒体のより具体的な例の非網羅的なリストには、ポータブル・コンピュータ・ディスケット、ハード・ディスク、ランダム・アクセス・メモリ(RAM)、読み取り専用メモリ(ROM)、消去可能プログラム可能読み取り専用メモリ(EPROMまたはフラッシュ・メモリ)、スタティック・ランダム・アクセス・メモリ(SRAM)、ポータブル・コンパクト・ディスク読み取り専用メモリ(CD-ROM)、デジタル・バーサタイル・ディスク(DVD)、メモリ・スティック(R)、フロッピー(R)・ディスク、命令が記録されたパンチ・カードまたは溝の隆起構造などの機械的にコード化されたデバイス、およびこれらの任意の適切な組合せが含まれる。コンピュータ可読記憶媒体は、本明細書で使用する場合、たとえば、電波または他の自由に伝搬する電磁波、導波管もしくは他の伝送媒体を介して伝搬する電磁波(たとえば、光ファイバ・ケーブルを通過する光パルス)、または有線で伝送される電気信号などの一過性の信号自体であると解釈されるべきではない。
【0114】
本明細書に記載のコンピュータ可読プログラム命令は、コンピュータ可読記憶媒体からそれぞれのコンピューティング/処理デバイスに、あるいは、たとえば、インターネット、ローカル・エリア・ネットワーク、ワイド・エリア・ネットワーク、もしくは無線ネットワーク、またはそれらの組合せなどのネットワークを介して外部コンピュータまたは外部ストレージ・デバイスにダウンロードすることができる。ネットワークは、銅線伝送ケーブル、光伝送ファイバ、無線伝送、ルータ、ファイアウォール、スイッチ、ゲートウェイ・コンピュータ、またはエッジ・サーバ、あるいはそれらの組合せを含み得る。各コンピューティング/処理デバイスのネットワーク・アダプタ・カードまたはネットワーク・インターフェースは、ネットワークからコンピュータ可読プログラム命令を受信し、コンピュータ可読プログラム命令を転送して、それぞれのコンピューティング/処理デバイス内のコンピュータ可読記憶媒体に記憶する。
【0115】
本発明の動作を実行するためのコンピュータ可読プログラム命令は、アセンブラ命令、命令セット・アーキテクチャ(ISA)命令、機械命令、機械依存命令、マイクロコード、ファームウェア命令、状態設定データ、集積回路の構成データ、あるいは、Smalltalk(R)、C++などのオブジェクト指向プログラミング言語、および「C」プログラミング言語または類似のプログラミング言語などの手続き型プログラミング言語を含む、1つまたは複数のプログラミング言語の任意の組合せで書かれたソース・コードまたはオブジェクト・コードのいずれか、であり得る。コンピュータ可読プログラム命令は、完全にユーザのコンピュータ上で、部分的にユーザのコンピュータ上で、スタンドアロン・ソフトウェア・パッケージとして、部分的にユーザのコンピュータ上かつ部分的にリモート・コンピュータ上で、あるいは完全にリモート・コンピュータまたはサーバ上で実行され得る。後者のシナリオでは、リモート・コンピュータは、ローカル・エリア・ネットワーク(LAN)またはワイド・エリア・ネットワーク(WAN)を含む任意のタイプのネットワークを介してユーザのコンピュータに接続され得、または(たとえば、インターネット・サービス・プロバイダを使用してインターネットを介して)外部コンピュータへの接続がなされ得る。いくつかの実施形態では、たとえば、プログラマブル論理回路、フィールド・プログラマブル・ゲート・アレイ(FPGA)、またはプログラマブル・ロジック・アレイ(PLA)を含む電子回路は、本発明の態様を実行するために、コンピュータ可読プログラム命令の状態情報を利用してコンピュータ可読プログラム命令を実行することによって、電子回路を個人向けにし得る。
【0116】
本発明の態様は、本発明の実施形態による方法、装置(システム)、およびコンピュータ・プログラム製品のフローチャート図またはブロック図あるいはその両方を参照して本明細書で説明している。フローチャート図またはブロック図あるいはその両方の各ブロック、およびフローチャート図またはブロック図あるいはその両方におけるブロックの組合せが、コンピュータ可読プログラム命令によって実装できることが理解されよう。
【0117】
これらのコンピュータ可読プログラム命令は、コンピュータまたは他のプログラム可能データ処理装置のプロセッサを介して実行される命令が、フローチャートまたはブロック図あるいはその両方の1つまたは複数のブロックにおいて指定された機能/動作を実装するための手段が生成されるように、コンピュータまたは他のプログラム可能データ処理装置のプロセッサに提供されてマシンを作り出すものであってよい。また、これらのコンピュータ可読プログラム命令は、命令が記憶されたコンピュータ可読記憶媒体が、フローチャートまたはブロック図あるいはその両方の1つまたは複数のブロックにおいて指定された機能/動作の態様を実装する命令を含む製造品を構成するように、コンピュータ可読記憶媒体に記憶され、コンピュータ、プログラム可能データ処理装置、または他のデバイス、あるいはそれらの組合せに特定の方法で機能するように指示することができるものであってもよい。
【0118】
また、コンピュータ可読プログラム命令は、コンピュータ、他のプログラム可能装置、または他のデバイス上で実行される命令が、フローチャートまたはブロック図あるいはその両方の1つまたは複数のブロックにおいて指定された機能/動作を実装するように、コンピュータ実装処理を生成すべく、コンピュータ、他のプログラム可能データ処理装置、または他のデバイスにロードされ、コンピュータ、他のプログラム可能装置、または他のデバイス上で一連の動作ステップを実行させるものであってもよい。
【0119】
図中のフローチャートおよびブロック図は、本発明の様々な実施形態によるシステム、方法、およびコンピュータ・プログラム製品の可能な実装形態のアーキテクチャ、機能、および動作を示している。これに関して、フローチャートまたはブロック図の各ブロックは、指定された論理的機能を実装するための1つまたは複数の実行可能命令を含むモジュール、ベクトル、または命令の一部を表し得る。いくつかの代替的実装形態では、ブロックに記載した機能は、図示した順序以外で行われ得る。たとえば、関与する機能に応じて、連続して示した2つのブロックは、実際には、1つのステップとして実現され得、同時に、実質的に同時に、部分的にまたは完全に時間的に重なるように実行され得、またはそれらのブロックは、場合により逆の順序で実行され得る。ブロック図またはフローチャート図あるいはその両方の各ブロック、およびブロック図またはフローチャート図あるいはその両方におけるブロックの組合せは、指定された機能もしくは動作を実行するか、または専用ハードウェアおよびコンピュータ命令の組合せを実行する専用のハードウェア・ベースのシステムによって実装できることにも気付くであろう。
【0120】
本発明のいくつかの態様を示すために、非限定的な例のリストを以下に提供する。例1は、セキュリティ・モデルのためのコンピュータ実装方法である。この方法は、セキュリティ・ドメインのシステム情報およびイベント管理(SIEM)と、脅威情報構造化記述形式-検知指標情報自動交換手順(STIX-TAXII)とに基づいてブロッホ球を生成することと、ブロッホ球に基づいて量子状態確率マトリックスを生成することと、量子状態確率マトリックスに基づいてセキュリティ脅威の分類を実行するようにセキュリティ脅威モデルを訓練することと、量子状態確率マトリックスに基づいてセキュリティ・ドメインの機械学習分類を実行することとを含む。
【0121】
例2は、任意選択の特徴を含むかまたは除外した、例1の方法を含む。この例では、この方法は、前の攻撃カテゴリおよび量子状態確率マトリックスに基づいて、悪意のある行為者が特定の攻撃カテゴリを実行すると判定することを含む。任意選択により、この方法は、特定の攻撃カテゴリおよび量子状態確率マトリックスに基づいて、悪意のある行為者が特定の攻撃カテゴリの特定の攻撃方法を実行すると判定することを含む。
【0122】
例3は、任意選択の特徴を含むかまたは除外した、例1~例2のいずれか1つの方法を含む。この例では、この方法は、複数の悪意のある行為者がゲーム理論攻撃を実行していると判定することを含む。任意選択により、悪意のある行為者がゲーム理論攻撃を実行していると判定することは、攻撃カテゴリの複数のペアの間の移行に関する複数の量子状態確率マトリックスを生成することと、複数の量子状態確率マトリックスのうちの2つ以上の間で複数の確率が重複すると判定することとを含む。
【0123】
例4は、任意選択の特徴を含むかまたは除外した、例1~例3のいずれか1つの方法を含む。この例では、量子状態確率マトリックスは複数の確率を含み、複数の確率は、悪意のある行為者が攻撃カテゴリの全ての可能な組合せの間を移行する可能性と、悪意のある行為者が前の攻撃カテゴリに基づいて全ての攻撃カテゴリのうちの特定の攻撃方法を使用する可能性とを表す。任意選択により、悪意のある行為者が攻撃カテゴリの組合せの間を移行する可能性は、悪意のある行為者が特定の攻撃カテゴリの複数の特定の攻撃方法を実行する複数の可能性を含む。
【0124】
例5は、任意選択の特徴を含むかまたは除外した、例1~例4のいずれか1つの方法を含む。この例では、ブロッホ球は、原点と、3次元空間を表す3つの軸であって、3つの軸のうちの1つは攻撃方法が実行される時間を表す、3つの軸とを含む。
【0125】
例6は、コンピュータ可読記憶媒体に記憶されたプログラム命令を含むコンピュータ・プログラム製品である。コンピュータ可読媒体は、セキュリティ・ドメインのシステム情報およびイベント管理(SIEM)と、脅威情報構造化記述形式-検知指標情報自動交換手順(STIX-TAXII)とに基づいてブロッホ球を生成することと、ブロッホ球に基づいて量子状態確率マトリックスを生成することと、量子状態確率マトリックスに基づいてセキュリティ脅威の分類を実行するようにセキュリティ脅威モデルを訓練することと、量子状態確率マトリックスに基づいてセキュリティ・ドメインの機械学習分類を実行することとを行うようにプロセッサに指示する命令を含む。
【0126】
例7は、任意選択の特徴を含むかまたは除外した、例6のコンピュータ可読媒体を含む。この例では、コンピュータ可読媒体は、前の攻撃カテゴリおよび量子状態確率マトリックスに基づいて、悪意のある行為者が特定の攻撃カテゴリを実行すると判定することを含む。任意選択により、コンピュータ可読媒体は、特定の攻撃カテゴリおよび量子状態確率マトリックスに基づいて、悪意のある行為者が特定の攻撃カテゴリの特定の攻撃方法を実行すると判定することを含む。
【0127】
例8は、任意選択の特徴を含むかまたは除外した、例6~例7のいずれか1つのコンピュータ可読媒体を含む。この例では、コンピュータ可読媒体は、複数の悪意のある行為者がゲーム理論攻撃を実行していると判定することを含む。任意選択により、悪意のある行為者がゲーム理論攻撃を実行していると判定することは、攻撃カテゴリの複数のペアの間の移行に関する複数の量子状態確率マトリックスを生成することと、複数の量子状態確率マトリックスのうちの2つ以上の間で複数の確率が重複すると判定することとを含む。
【0128】
例9は、任意選択の特徴を含むかまたは除外した、例6~例8のいずれか1つのコンピュータ可読媒体を含む。この例では、量子状態確率マトリックスは複数の確率を含み、複数の確率は、悪意のある行為者が攻撃カテゴリの全ての可能な組合せの間を移行する可能性と、悪意のある行為者が前の攻撃カテゴリに基づいて全ての攻撃カテゴリのうちの特定の攻撃方法を使用する可能性とを表す。任意選択により、悪意のある行為者が攻撃カテゴリの組合せの間を移行する可能性は、悪意のある行為者が特定の攻撃カテゴリの複数の特定の攻撃方法を実行する複数の可能性を含む。
【0129】
例10は、任意選択の特徴を含むかまたは除外した、例6~例9のいずれか1つのコンピュータ可読媒体を含む。この例では、ブロッホ球は、原点と、3次元空間を表す3つの軸であって、3つの軸のうちの1つは攻撃方法が実行される時間を表す、3つの軸とを含む。
【0130】
例11はシステムである。このシステムは、コンピュータ処理回路と、コンピュータ処理回路によって実行された場合に、コンピュータ処理回路に方法を実行させるように構成される命令を記憶するコンピュータ可読記憶媒体とを含み、この方法は、セキュリティ・ドメインのシステム情報およびイベント管理(SIEM)と、脅威情報構造化記述形式-検知指標情報自動交換手順(STIX-TAXII)とに基づいてブロッホ球を生成することと、ブロッホ球に基づいて量子状態確率マトリックスを生成することと、量子状態確率マトリックスに基づいてセキュリティ脅威の分類を実行するようにセキュリティ脅威モデルを訓練することと、量子状態確率マトリックスに基づいてセキュリティ・ドメインの機械学習分類を実行することとを含む。
【0131】
例12は、任意選択の特徴を含むかまたは除外した、例11のシステムを含む。この例では、このシステムは、前の攻撃カテゴリおよび量子状態確率マトリックスに基づいて、悪意のある行為者が特定の攻撃カテゴリを実行すると判定することと、特定の攻撃カテゴリおよび量子状態確率マトリックスに基づいて、悪意のある行為者が特定の攻撃カテゴリの特定の攻撃方法を実行すると判定することとを含む。
【0132】
例13は、任意選択の特徴を含むかまたは除外した、例11~例12のいずれか1つのシステムを含む。この例では、このシステムは、複数の悪意のある行為者がゲーム理論攻撃を実行していると判定することを含み、悪意のある行為者がゲーム理論攻撃を実行していると判定することは、攻撃カテゴリの複数のペアの間の移行に関する複数の量子状態確率マトリックスを生成することと、複数の量子状態確率マトリックスのうちの2つ以上の間で複数の確率が重複すると判定することとを含む。
【0133】
例14は、任意選択の特徴を含むかまたは除外した、例11~例13のいずれか1つのシステムを含む。この例では、量子状態確率マトリックスは複数の確率を含み、複数の確率は、悪意のある行為者が攻撃カテゴリの全ての可能な組合せの間を移行する可能性と、悪意のある行為者が前の攻撃カテゴリに基づいて全ての攻撃カテゴリのうちの特定の攻撃方法を使用する可能性とを表す。任意選択により、悪意のある行為者が攻撃カテゴリの組合せの間を移行する可能性は、悪意のある行為者が特定の攻撃カテゴリの複数の特定の攻撃方法を実行する複数の可能性を含む。
【0134】
例15は、任意選択の特徴を含むかまたは除外した、例11~例14のいずれか1つのシステムを含む。この例では、ブロッホ球は、原点と、3次元空間を表す3つの軸であって、3つの軸のうちの1つは攻撃方法が実行される時間を表す、3つの軸とを含む。
【0135】
例16は、セキュリティ・モデルのためのコンピュータ実装方法である。この方法は、セキュリティ・ドメインのシステム情報およびイベント管理(SIEM)と、脅威情報構造化記述形式-検知指標情報自動交換手順(STIX-TAXII)とに基づいてブロッホ球を生成することと、ブロッホ球に基づいて量子状態確率マトリックスを生成することと、量子状態確率マトリックスに基づいてセキュリティ脅威の分類を実行するようにセキュリティ脅威モデルを訓練することであって、セキュリティ脅威の分類は、前の攻撃カテゴリに基づいてセキュリティ・ドメインに対する次の攻撃カテゴリを推論する、訓練することとを行うようにプロセッサに指示する命令を含む。
【0136】
例17は、任意選択の特徴を含むかまたは除外した、例16の方法を含む。この例では、この方法は、量子状態確率マトリックスに基づいてセキュリティ・ドメインの機械学習分類を実行することを含む。
【0137】
例18は、セキュリティ・モデルのためのコンピュータ実装方法である。この方法は、セキュリティ・ドメインのシステム情報およびイベント管理(SIEM)と、脅威情報構造化記述形式-検知指標情報自動交換手順(STIX-TAXII)とに基づいてブロッホ球を生成することと、ブロッホ球に基づいて量子状態確率マトリックスを生成することであって、量子状態確率マトリックスは複数の確率を含み、複数の確率は、悪意のある行為者が攻撃カテゴリの全ての可能な組合せの間を移行する可能性と、悪意のある行為者が前の攻撃カテゴリに基づいて全ての攻撃カテゴリのうちの特定の攻撃方法を使用する可能性とを表す、生成することと、量子状態確率マトリックスに基づいてセキュリティ脅威の分類を実行するようにセキュリティ脅威モデルを訓練することであって、セキュリティ脅威の分類は、前の攻撃カテゴリに基づいてセキュリティ・ドメインに対する次の攻撃カテゴリを推論する、訓練することとを行うようにプロセッサに指示する命令を含む。
【0138】
前述の本発明の好ましい実施形態では、セキュリティ・モデルのためのコンピュータ実装方法であって、セキュリティ・ドメインのシステム情報およびイベント管理(SIEM)と、脅威情報構造化記述形式-検知指標情報自動交換手順(STIX-TAXII)とに基づいてブロッホ球を生成することと、ブロッホ球に基づいて量子状態確率マトリックスを生成することと、量子状態確率マトリックスに基づいてセキュリティ脅威の分類を実行するようにセキュリティ脅威モデルを訓練することであって、セキュリティ脅威の分類は、前の攻撃カテゴリに基づいてセキュリティ・ドメインに対する次の攻撃カテゴリを推論する、訓練することとを含む、コンピュータ実装方法が提供される。好ましくは、この方法は、量子状態確率マトリックスに基づいてセキュリティ・ドメインのセキュリティ脅威の分類を実行することをさらに含む。前述の本発明の好ましい実施形態では、セキュリティ・モデルのためのコンピュータ実装方法であって、セキュリティ・ドメインのシステム情報およびイベント管理(SIEM)と、脅威情報構造化記述形式-検知指標情報自動交換手順(STIX-TAXII)とに基づいてブロッホ球を生成することと、ブロッホ球に基づいて量子状態確率マトリックスを生成することであって、量子状態確率マトリックスは複数の確率を含み、複数の確率は、悪意のある行為者が攻撃カテゴリの全ての可能な組合せの間を移行する可能性と、悪意のある行為者が前の攻撃カテゴリに基づいて全ての攻撃カテゴリのうちの特定の攻撃方法を使用する可能性とを表す、生成することと、量子状態確率マトリックスに基づいてセキュリティ脅威の分類を実行するようにセキュリティ脅威モデルを訓練することであって、セキュリティ脅威の分類は、前の攻撃カテゴリに基づいてセキュリティ・ドメインに対する次の攻撃カテゴリを推論する、訓練することとを含む、コンピュータ実装方法が提供される。
図1
図2
図3
図4
図5A
図5B
図6
図7
図8
図9
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.