知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2022-07-06
(54)【発明の名称】DNSセキュリティ用のスマートホワイトリスティング
(51)【国際特許分類】
H04L 12/66 20060101AFI20220629BHJP
H04L 12/22 20060101ALI20220629BHJP
H04L 61/4511 20220101ALI20220629BHJP
【FI】
H04L12/66
H04L12/22
H04L61/4511
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2021564240
(86)(22)【出願日】2020-04-16
(85)【翻訳文提出日】2021-12-27
(86)【国際出願番号】 US2020028441
(87)【国際公開番号】W WO2020223027
(87)【国際公開日】2020-11-05
(31)【優先権主張番号】16/399,252
(32)【優先日】2019-04-30
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
(71)【出願人】
【識別番号】517308688
【氏名又は名称】インフォブロックス・インコーポレーテッド
【氏名又は名称原語表記】INFOBLOX INCORPORATED
(74)【代理人】
【識別番号】110000028
【氏名又は名称】弁理士法人明成国際特許事務所
(72)【発明者】
【氏名】バートン・レニー・キャロル
【テーマコード(参考)】
5K030
【Fターム(参考)】
5K030GA15
5K030HA08
5K030HD09
(57)【要約】
【解決手段】ドメイン名システム(DNS)セキュリティ用のスマートホワイトリスティングのための技術が提供されている。いくつかの実施形態において、いくつかの実施形態に従ったDNSセキュリティ用のスマートホワイトリスティングのためのシステム/処理/コンピュータプログラム製品は、1セットのネットワーク関連イベントデータを受信することであって、1セットのネットワーク関連イベントデータは、ドメイン名システム(DNS)関連イベントデータを含む、受信することと;1セットのネットワーク関連脅威データを受信することであって、1セットのネットワーク関連脅威データは、DNS関連脅威データを含む、受信することと;1セットのネットワーク関連イベントデータおよび1セットのネットワーク関連脅威データを用いてホワイトリストを生成することであって、ホワイトリストは、DNS関連イベントデータおよびDNS関連脅威データのデータ駆動モデルに基づいて、DNS関連イベントデータに含まれるネットワークドメインのサブセットを含む、生成することと、を備える。
【選択図】図1
【選択図】図1
【特許請求の範囲】
【請求項1】
システムであって、プロセッサであって、
1セットのネットワーク関連イベントデータを受信する工程であって、前記1セットのネットワーク関連イベントデータは、ドメイン名システム(DNS)関連イベントデータを含む、工程と、
1セットのネットワーク関連脅威データを受信する工程であって、前記1セットのネットワーク関連脅威データは、DNS関連脅威データを含む、工程と、
前記1セットのネットワーク関連イベントデータおよび前記1セットのネットワーク関連脅威データを用いてホワイトリストを生成する工程であって、前記ホワイトリストは、前記DNS関連イベントデータおよび前記DNS関連脅威データのデータ駆動モデルに基づいて、前記DNS関連イベントデータに含まれるネットワークドメインのサブセットを含む、工程と、を実行するよう構成されたプロセッサと、
前記プロセッサに接続され、前記プロセッサに命令を提供するよう構成されたメモリと、
を備える、システム。
【請求項2】
請求項1に記載のシステムであって、前記DNS関連イベントデータは、1セットの人気ネットワークドメインを含む、システム。
【請求項3】
請求項1に記載のシステムであって、前記DNS関連脅威データは、DNS脅威フィードを含む、システム。
【請求項4】
請求項1に記載のシステムであって、前記DNS関連脅威データは、第1企業ネットワークに関連するDNS脅威フィードを含む、システム。
【請求項5】
請求項1に記載のシステムであって、前記DNS関連脅威データは、マルウェアに関連するネットワークドメインのポピュラリティを決定するために自動的にフィルタリングされるDNS脅威フィードを含む、システム。
【請求項6】
請求項1に記載のシステムであって、前記ホワイトリストに含まれるネットワークドメインの前記サブセットは、分類子を用いて選択される、システム。
【請求項7】
請求項1に記載のシステムであって、前記ホワイトリストに含まれるネットワークドメインの前記サブセットは、統計的分類子を用いて選択される、システム。
【請求項8】
請求項1に記載のシステムであって、前記プロセッサは、さらに、スマートホワイトリストを生成するために、前記DNS関連イベントデータをフィルタリングする工程であって、前記DNS関連イベントデータは、マルウェアに関連する1または複数のネットワークドメインを除外するために分類子を用いて自動的にフィルタリングされる、工程と、
前記スマートホワイトリストを用いてDNSセキュリティ要求をフィルタリングするためにネットワークデバイスへ前記スマートホワイトリストを出力する工程と、
を実行するよう構成されている、システム。
【請求項9】
請求項1に記載のシステムであって、前記プロセッサは、さらに、スマートホワイトリストを生成するために、前記DNS関連イベントデータをフィルタリングする工程であって、前記DNS関連イベントデータは、マルウェアに関連する1または複数のネットワークドメインを除外するために分類子を用いて自動的にフィルタリングされる、工程と、
別のセットのネットワーク関連イベントデータおよび別のセットのネットワーク関連脅威データに基づいて、前記スマートホワイトリストを定期的に更新する工程であって、前記スマートホワイトリストは、第1企業ネットワークに関連する生産データ環境の変化に合わせて自動的かつ動的に調整される、工程と、
を実行するよう構成されている、システム。
【請求項10】
請求項1に記載のシステムであって、前記プロセッサは、さらに、ネットワークドメインが適切にブラックリストに含まれているか否かを判定するために、さらなる評価に向けて前記ネットワークドメインを特定する工程を実行するよう構成されている、システム。
【請求項11】
方法であって、1セットのネットワーク関連イベントデータを受信する工程であって、前記1セットのネットワーク関連イベントデータは、ドメイン名システム(DNS)関連イベントデータを含む、工程と、
1セットのネットワーク関連脅威データを受信する工程であって、前記1セットのネットワーク関連脅威データは、DNS関連脅威データを含む、工程と、
前記1セットのネットワーク関連イベントデータおよび前記1セットのネットワーク関連脅威データを用いてホワイトリストを生成する工程であって、前記ホワイトリストは、前記DNS関連イベントデータおよび前記DNS関連脅威データのデータ駆動モデルに基づいて、前記DNS関連イベントデータに含まれるネットワークドメインのサブセットを含む、工程と、
を備える、方法。
【請求項12】
請求項11に記載の方法であって、前記DNS関連イベントデータは、1セットの人気ネットワークドメインを含む、方法。
【請求項13】
請求項11に記載の方法であって、前記DNS関連脅威データは、DNS脅威フィードを含む、方法。
【請求項14】
請求項11に記載の方法であって、前記DNS関連脅威データは、第1企業ネットワークに関連するDNS脅威フィードを含む、方法。
【請求項15】
請求項11に記載の方法であって、前記DNS関連脅威データは、マルウェアに関連するネットワークドメインのポピュラリティを決定するために自動的にフィルタリングされるDNS脅威フィードを含む、方法。
【請求項16】
コンピュータプログラム製品であって、前記コンピュータプログラム製品は、有形のコンピュータ読み取り可能記憶媒体内に具現化され、1セットのネットワーク関連イベントデータを受信するためのコンピュータ命令であって、前記1セットのネットワーク関連イベントデータは、ドメイン名システム(DNS)関連イベントデータを含む、コンピュータ命令と、
1セットのネットワーク関連脅威データを受信するためのコンピュータ命令であって、前記1セットのネットワーク関連脅威データは、DNS関連脅威データを含む、コンピュータ命令と、
前記1セットのネットワーク関連イベントデータおよび前記1セットのネットワーク関連脅威データを用いてホワイトリストを生成するためのコンピュータ命令であって、前記ホワイトリストは、前記DNS関連イベントデータおよび前記DNS関連脅威データのデータ駆動モデルに基づいて、前記DNS関連イベントデータに含まれるネットワークドメインのサブセットを含む、コンピュータ命令と、
を備える、コンピュータプログラム製品。
【請求項17】
請求項16に記載のコンピュータプログラム製品であって、前記DNS関連イベントデータは、1セットの人気ネットワークドメインを含む、コンピュータプログラム製品。
【請求項18】
請求項16に記載のコンピュータプログラム製品であって、前記DNS関連脅威データは、DNS脅威フィードを含む、コンピュータプログラム製品。
【請求項19】
請求項16に記載のコンピュータプログラム製品であって、前記DNS関連脅威データは、第1企業ネットワークに関連するDNS脅威フィードを含む、コンピュータプログラム製品。
【請求項20】
請求項16に記載のコンピュータプログラム製品であって、前記DNS関連脅威データは、マルウェアに関連するネットワークドメインのポピュラリティを決定するために自動的にフィルタリングされるDNS脅威フィードを含む、コンピュータプログラム製品。
【発明の詳細な説明】
【背景技術】
【0001】
ドメイン名システムのネットワークサービスは、一般に、IPベースのネットワークにおいてユビキタスである。一般に、クライアント(例えば、コンピュータデバイス)が、ウェブアドレス(ドメイン名または完全修飾ドメイン名を含むユニフォームリソースロケータ(URL))を用いて、インターネット上のサーバへの接続を試みる。ウェブアドレスは、IPアドレスに変換される。ドメイン名システム(DNS)は、このウェブアドレスからIPアドレスへの変換の実行に関与する。具体的には、ウェブアドレスを含む要求が、DNSサーバに送信され、DNSサーバは、対応するIPアドレスで応答するか、または、ドメインが登録されていない、すなわち、存在しないドメインの場合には、エラーメッセージで応答する(例えば、存在しないドメインについては、NX Domain応答(NXDOMAIN応答とも呼ばれる)がDNSサーバによって返される)。
以下の詳細な説明と添付の図面において、本発明の様々な実施形態を開示する。
以下の詳細な説明と添付の図面において、本発明の様々な実施形態を開示する。
【図面の簡単な説明】
【0002】
【図1】いくつかの実施形態に従って、ドメイン名システム(DNS)用のスマートホワイトリスティングのためのシステムアーキテクチャを示す図。
【0003】
【図2】いくつかの実施形態に従って、DNSセキュリティ用のイベント駆動型スマートリストを生成およびデプロイするためのシステム処理アーキテクチャの概要を示す図。
【0004】
【図3】いくつかの実施形態に従って、DNSセキュリティ用のイベント駆動型スマートリストを生成するための処理を示す図。
【0005】
【図4A】いくつかの実施形態に従って、クラウドベースのセキュリティソリューションのドメインによるデータカバレッジを示すグラフ。
【図4B】いくつかの実施形態に従って、DNS脅威データと比較した、ドメインによるサンプルDNSデータソースカバリッジの上位95%を示すグラフ。
【0006】
【図5】いくつかの実施形態に従って、脅威インジケータと比較した人気ドメインセットの例を示すプロット。
【0007】
【図6】いくつかの実施形態に従って、スマートリスティングのための変化する尤度関数のシミュレーションを示すチャート。
【0008】
【図7】いくつかの実施形態に従って、DNSセキュリティ用のスマートホワイトリスティングのための処理を示すフローチャート。
【0009】
【図8】いくつかの実施形態に従って、DNSセキュリティ用のスマートホワイトリスティングのための処理を示す別のフローチャート。
【発明を実施するための形態】
【0010】
本発明は、処理、装置、システム、物質の組成、コンピュータ読み取り可能な格納媒体上に具現化されたコンピュータプログラム製品、および/または、プロセッサ(プロセッサに接続されたメモリに格納および/またはそのメモリによって提供される命令を実行するよう構成されたプロセッサ)を含め、様々な形態で実施されうる。本明細書では、これらの実施例または本発明が取りうる任意の他の形態が、技術と呼ばれうる。一般に、開示されている処理の工程の順序は、本発明の範囲内で変更されてもよい。特に言及しない限り、タスクを実行するよう構成されるものとして記載されたプロセッサまたはメモリなどの構成要素は、或る時間にタスクを実行するよう一時的に構成された一般的な構成要素として、または、タスクを実行するよう製造された特定の構成要素として実装されてよい。本明細書では、「プロセッサ」という用語は、1または複数のデバイス、回路、および/または、コンピュータプログラム命令などのデータを処理するよう構成された処理コアを指すものとする。
【0011】
以下では、本発明の原理を示す図面を参照しつつ、本発明の1または複数の実施形態の詳細な説明を行う。本発明は、かかる実施形態に関連して説明されているが、どの実施形態にも限定されない。本発明の範囲は、特許請求の範囲によってのみ限定されるものであり、本発明は、多くの代替物、変形物、および、等価物を含む。以下の説明では、本発明の完全な理解を提供するために、多くの具体的な詳細事項が記載されている。これらの詳細事項は、例示を目的としたものであり、本発明は、これらの具体的な詳細事項の一部または全てがなくとも特許請求の範囲に従って実施可能である。簡単のために、本発明に関連する技術分野で周知の技術事項については、本発明が必要以上にわかりにくくならないように、詳細には説明していない。
【0012】
ドメイン名システムのネットワークサービスは、一般に、IPベースのネットワークにおいてユビキタスである。一般に、クライアント(例えば、コンピュータデバイス)が、ウェブアドレス(ドメイン名または完全修飾ドメイン名を含むユニフォームリソースロケータ(URL))を用いて、インターネット上のサーバへの接続を試みる。ウェブアドレスは、IPアドレスに変換される。ドメイン名システム(DNS)は、このウェブアドレスからIPアドレスへの変換の実行に関与する。具体的には、ウェブアドレスを含む要求が、DNSサーバに送信され、DNSサーバは、対応するIPアドレスで応答するか、または、ドメインが登録されていない、すなわち、存在しないドメインの場合には、エラーメッセージで応答する(例えば、存在しないドメインについては、NX Domain応答(NXDOMAIN応答とも呼ばれる)がDNSサーバによって返される)。
【0013】
ブラックリスト(例えば、ブロックリストとも呼ばれる)は、一般に、例えば、URL、ドメイン名、IPアドレス、および/または、その他の名称/アドレス(例えば、電子メールアドレス、ファイル名、など)に適用されることで、ブラックリストに含まれる任意のかかるオブジェクトへのアクセスを拒否することができるアクセス制御メカニズムを指す。ホワイトリスト(例えば、許可リストとも呼ばれる)は、例えば、URL、ドメイン名、IPアドレス、および/または、その他の名称/アドレス(例えば、電子メールアドレス、ファイル名、など)に適用されることで、ホワイトリストに含まれる任意のオブジェクトへのアクセスを許可することができるアクセス制御メカニズムを指す。
【0014】
例えば、ブラックリストに含まれるURLまたはドメイン名が、そのURLまたはドメイン名にアクセスしようとするユーザのウェブブラウジング要求へのアクセスを拒否するために、DNSサーバおよび/またはウェブブラウザによって利用されうる。別の例として、ホワイトリストに含まれるURLまたはドメイン名が、そのURLまたはドメイン名にアクセスしようとするユーザのウェブブラウジング要求へのアクセスを許可するために、DNSサーバおよび/またはウェブブラウザによって利用されうる。
【0015】
ブラックリストおよび/またはホワイトリストは、企業ネットワークおよび/またはホームネットワークなどのために、アクセス制御およびやネットワークセキュリティを強化するために利用されうる。例えば、ブラックリストおよび/またはホワイトリストは、ネットワークおよび/またはホスト/エンドポイントデバイスにおいて、DNSサーバ、ファイアウォール、電子メールサーバ、および/または、その他の要素で適用されうる。例えば、DNSサーバは、例えば、マルウェアウェブサイトまたはその他の不正ウェブサイト(例えば、企業ネットワークのために構成されたネットワーク/セキュリティポリシーに基づいて、アルコール、ギャンブル、および/または、その他のタイプのサイト)にユーザがアクセスするのをブロックするため、もしくは、許可されたウェブサイト(例えば、企業ネットワークのために構成されたネットワーク/セキュリティポリシーに基づいて、内部、事前承認済み、および/または、その他のタイプの許可されたサイト)にユーザがアクセスするのを許可するために、1または複数のウェブアドレス(例えば、ドメイン名および/またはFQDNを含むURL)を含むブラックリストおよび/またはホワイトリストを実施するよう構成されうる。
【0016】
ブラックリストの実装例(市販のDNSセキュリティ製品に見られるものなど)は、一般に、人間由来および自動化由来のエラーを起こしやすい。ホワイトリストは、かかるエラーの影響を最小限に抑えるための予防策として一般に利用されているが、絶えず進化するウェブサイトおよびインターネット環境の中では作成および管理するには、技術的に困難であり、時間がかかる。
【0017】
例えば、ホワイトリストは、しばしば、古くなり、不適切な項目または過度に広い項目を含む。また、ホワイトリストは、ブラックリストにおけるエラーが顧客の生産データ環境に与える影響を最小限に抑えつつ、短いリスト(例えば、潜在的に望ましくないグレイウェアおよび/またはマルウェアのドメインを過度に含まない比較的短いドメインリスト)であることが好ましい。
【0018】
ホワイトリストへの既存のアプローチは、一般に、手作業でのリスト生成プロセスに基づいており、これは、時間がかかり、エラーの起こりやすいプロセスである。また、ホワイトリストへの既存のアプローチは、脅威インジケータリストに見られる誤判定に基づいて手作業でキュレートされたリストを利用しうるが、これは、一般に、コンテキストアウェアではなく、ホワイトリストのサイズの膨張を引き起こす古く疑わしいエントリの原因になる。例えば、安全であるとわかったドメインが、後に、悪意のある行為者によって購入される場合がある。ホワイトリストへの別の一般的なアプローチは、https://www.alexa.com/siteinfo/100k.toで入手可能なAlexa上位10万ウェブサイトリスト、https://majestic.com/reports/majestic-millionで入手可能なMajestic Million、https://www.domcop.com/で入手可能なDomCop、または、その他の市販/一般公開されている上位訪問ウェブサイトリストなど、一般公開されているリストをホワイトリストの作成に用いるアプローチである。しかしながら、これは危険なアプローチである。なぜなら、これらのリストは、悪意のあるドメイン(例えば、マルウェアドメイン)を時々含むことが知られており、さらに、データ生成環境を適切にモデル化しえないパースペクティブから生成されるからである。いくつかの既存のアプローチでは、顧客ネットワーク内のドメインのポピュラリティが考慮されるが、環境内の脅威に関わらず考慮される。したがって、既存のアプローチは、一般に、小さすぎて効果的ではないホワイトリスト、もしくは、(例えば、マルウェアドメイン、および/または、特定のデータ生成環境でホワイトリストに載せるべきではないドメイン、を含めるなど、ホワイトリストに載せるべきではないドメインを含めることによって)大きすぎて安全性に欠けるホワイトリスト、を作成する。
【0019】
DNSセキュリティ用のスマートホワイトリスティングのための技術の概要
【0020】
したがって、ドメイン名システム(DNS)セキュリティ用のスマートホワイトリスティングのための新規な改良技術が提供されている。いくつかの実施形態において、いくつかの実施形態に従ったDNSセキュリティ用のスマートホワイトリスティングのためのシステム/処理/コンピュータプログラム製品は、1セットのネットワーク関連イベントデータ(例えば、1セットの人気ネットワークドメイン)を受信することであって、1セットのネットワーク関連イベントデータは、ドメイン名システム(DNS)関連イベントデータを含む、受信することと;1セットのネットワーク関連脅威データを受信することであって、1セットのネットワーク関連脅威データは、DNS関連脅威データ(例えば、一般的なDNS脅威フィード、第1企業ネットワークに関連するDNS脅威フィード、および/または、第1業種に関連するDNS脅威フィード、などのDNS脅威フィード)を含む、受信することと;1セットのネットワーク関連イベントデータおよび1セットのネットワーク関連脅威データを用いてホワイトリストを生成することであって、ホワイトリストは、DNS関連イベントデータおよびDNS関連脅威データのデータ駆動モデルに基づいて、DNS関連イベントデータに含まれるネットワークドメインのサブセットを含む、生成することと、を備える。
【0021】
例えば、DNSセキュリティ用のスマートホワイトリスティングのための技術は、生産データ環境(例えば、企業、政府組織、および/または、別のタイプの組織のコンピュータネットワーク環境)の変化に自動的かつ動的に適応するコンテキスト固有のデータ駆動型ホワイトリスト(例えば、本明細書ではスマートリストとも呼ばれる)を生成するために適用されてよく、これにより、エラーを最小限に抑えつつ生産データ環境のセキュリティ保護を最大化することが容易になる。具体的には、DNSセキュリティ用のスマートホワイトリスティングのための開示技術は、DNSセキュリティ用の改良ホワイトリストを生成するため、また、経時的にスマートリストを自動的かつ動的に調整するためのデータからの学習を容易するために、適用されてよい。さらに、DNSセキュリティ用のスマートホワイトリスティングのための技術は、(例えば、ブラックリストに載せるべきまたは載せるべきでない1または複数の項目を特定することによって)生産データ環境のDNSセキュリティ用のブラックリストに関する問題の特定を容易にしうる。
【0022】
いくつかの実施形態において、いくつかの実施形態に従ったDNSセキュリティ用のスマートホワイトリスティングのためのシステム/処理/コンピュータプログラム製品は、さらに、スマートホワイトリストを生成するためにDNS関連イベントデータをフィルタリングすることであって、DNS関連イベントデータは、マルウェアに関連する1または複数のネットワークドメインを除外するために分類子を用いて自動的にフィルタリングされる、フィルタリングすることと;スマートホワイトリストを用いてDNS要求をフィルタリングするためにネットワークデバイス(例えば、スマートホワイトリストを用いてDNS要求をフィルタリングできるDNSデバイス(DNSアプライアンスなど)および/または別のタイプのネットワーク/セキュリティデバイス)へスマートホワイトリストを出力することと、を備える。
【0023】
いくつかの実施形態において、いくつかの実施形態に従ったDNSセキュリティ用のスマートホワイトリスティングのためのシステム/処理/コンピュータプログラム製品は、さらに、スマートホワイトリストを生成するためにDNS関連イベントデータをフィルタリングすることであって、DNS関連イベントデータは、マルウェアに関連する1または複数のネットワークドメインを除外するために分類子を用いて自動的にフィルタリングされる、フィルタリングすることと;別のセットのネットワーク関連イベントデータおよび別のセットのネットワーク関連脅威データに基づいて、スマートホワイトリストを定期的に更新することであって、スマートホワイトリストは、第1企業ネットワークに関連する生産データ環境の変化に合わせて自動的かつ動的に調整される、更新することと、を備える。一実施例において、分類子は、DNS関連データに基づいて経時的に自動的かつ動的に調整される条件付き確率分布の作成を容易にする統計的分類子(例えば、後に詳述するように、ベイズ統計を用いて実装される)を含む。
【0024】
何らかのデータソース(例えば、ホワイトリスト作成のためのhttps://www.alexa.com/siteinfo/100k.toで入手可能なAlexa上位10万ウェブサイトリスト、https://majestic.com/reports/majestic-millionで入手可能なMajestic Million、https://www.domcop.com/で入手可能なDomCop、または、その他の市販/一般公開されている上位訪問ウェブサイトリストなど)において手作業でまたは固定閾値に基づいてなされるホワイトリスティングへの既存のアプローチと異なり、DNSセキュリティ用のスマートホワイトリスティングのための開示技術は、脅威および顧客への影響に基づいてホワイトリストを調整する(例えば、DNSセキュリティソリューションによって保護された生産データ環境向けにカスタマイズされる)ために、ドメインのランク付けと、脅威インジケータ(例えば、市販のInfoblox(登録商標。以下同じ)脅威情報データエクスチェンジ(TIDE)ソリューションなど、一般公開/市販されているソースからの脅威インジケータであり、もしくは、インターネットストームセンター、DGAアーカイブ、または、SURBLで市販されているものなど、その他の一般公開/市販されている脅威インジケータのソースも同様に利用でき、ならびに/もしくは、2以上のかかる脅威インジケータソースの組みあわせも、DNSセキュリティ用のスマートリストを生成するための開示技術を実施するために同様に利用可能である)と、履歴パースペクティブとを組み合わせた統計モデルを生成する。例えば、DNSセキュリティ用のスマートホワイトリスティングのための開示技術は、特定のデータソース(例えば、市販のInfoblox Active Trust Cloud(ATC)または別のDNS関連データセット)内に存在する脅威レベルと共に増減するホワイトリストを生成する。DNSセキュリティソリューション用のスマートホワイトリスティングのための開示技術は、DNSセキュリティに限定されるものではなく、その他のセキュリティソリューション(例えば、経時的に自動的かつ動的に適応する2つの競合する力を用いた統計的分類子を適用するコンテキストベースのソリューションの利用が有効であるアンチスパムおよび/またはその他のセキュリティ関連アプリケーション)のためのホワイトリストおよびブラックリストにも同様に適用可能である。
【0025】
いくつかの実施形態において、DNSセキュリティ用のスマートホワイトリスティングのための開示技術は、ドメインのポピュラリティを考慮して、最も人気のある脅威ドメインを所与の時点でハイウォーターマークとして用いることにより、サイバー脅威がDNS内でどれだけ人気になるのかの確率的尺度としてアクティブ脅威インジケータを用いて、特定のコンテキスト(例えば、大規模なクラウドDNSサービスなど、デプロイメントのためのデータ環境、もしくは、銀行、大学、個人用デバイスなど、特定のネットワーク環境)内でホワイトリストを生成する。次いで、DNSセキュリティ用のスマートホワイトリスティングのための開示技術は、データに基づいて経時的に自動的かつ動的に調整される(例えば、所与のデータソース内の脅威の影響に基づいて異なる)このハイウォーターマークの増減に基づいて、ホワイトリストに適切な閾値を自動的に学習するために、機械学習技術(MLT)を実行する。また、別の利点として、DNSセキュリティ用のスマートホワイトリスティングのための開示技術は、さらなるレビュー(例えば、セキュリティアナリストによる手動レビュー、および/または、さらなる自動セキュリティ解析)を必要とするインジケータを脅威インジケータリスト内で特定することを容易にする。例えば、開示されているスマートリストは、生成されたスマートリストを、所与の生産データ環境のためのブラックリストに優先する優先ホワイトリストとして提供することにより、DNSセキュリティのために実装されうる。
【0026】
上述の統計的分類子の一実施例では、所与の時点に以下の3つの要素から作成されたベイズ推論モデルが用いられる:(1)データセット(例えば、ATCまたは別のDNS関連データセット)内でのポピュラリティに基づいてドメインをブロックする影響;(2)ポピュラリティに基づいて悪意あるドメインをホワイトリストに載せる影響;および、(3)アクティブ脅威インジケータに基づいた、ドメインが悪意あるドメインである可能性。この実施例において、1セットの脅威インジケータ(例えば、ブラックリスト上のドメイン)(以下では、「THREAT」とする)が、特定のデータセットにどれだけ高い脅威が到達しているか(例えば、DNSデータソース内のハイウォーターマーク)を測定するために用いられ、それにより、スマートリストを利用してDNSセキュリティを強化するためのこれらの技術における観察バイアスが回避される。各ホワイトリスト作成で、これらの技術は、THREATデータを用いて、悪意あるドメインの尤度分布(例えば、事後オッズ)を更新し、これは、後に詳述するように、次のホワイトリストにフィードされる。
【0027】
したがって、手動入力またはポピュラリティに関する静的閾値に基づき、コンテキスト固有ではないホワイトリストへの既存のアプローチとは異なり、DNSセキュリティ用のスマートホワイトリスティングのための開示技術は、ホワイトリストが経時的に変化する環境へ自動的かつ動的に適応し、また、特定の顧客生産データ環境に合わせて調整されるようにする技術的改善を提供する。このように、DNSセキュリティ用のスマートホワイトリスティングのための開示技術は、脅威フィードを用いてホワイトリストを生成し、また、後に詳述するように、脅威フィード内で起こりうる問題を特定できる。
【0028】
例えば、既知の脅威の深さを条件として、ドメインをブロックすることによる顧客への影響の測定を組み合わせると、DNSセキュリティ用のスマートホワイトリスティングのための開示技術は、ホワイトリスト上のドメインが悪意あるドメインである可能性を動的にモデル化することが可能になる。良好なホワイトリストは、サイズが比較的限定的/小規模でありながら、顧客の通常のDNS利用の大部分を誤判定から保護する(例えば、アクセスすべきではないWebサイト(マルウェアドメインまたはその他の不正ドメインなど)へのアクセスを許可せず、顧客のGithub.comへのアクセスを阻害する誤りを防ぐために、ホワイトリストにGitHubを含めることにより、その生産データ環境上のユーザにとってアクセス可能であるべきWebサイトへのアクセスを許可するが、サイズが大きくなりすぎて、ブラックリストに載せるべきドメインを含む可能性もあるホワイトリストを生成するのを避けることも一般に望まれているので、ホワイトリストに含まれるドメインの信頼度が高く、マルウェアドメインまたはその他の不正ドメインがホワイトリスト上にあることを望まない動的なホワイトリストを生成することが望まれる)。また、後に詳述するように、統計的分類子(例えば、後に詳述するように、ベイズ統計を利用して実装される)の利用は、DNS関連データに基づいて経時的に自動的かつ動的に調整される条件付き確率分布の作成を容易にする(例えば、過去の所与の日にホワイトリストに手動で追加されたドメインがその後にマルウェアドメインになったとしてもホワイトリストに残る可能性があるために、エラーが起こりやすく、絶えず増大し、メンテナンスが困難である、手動生成のホワイトリストとは異なる)。
【0029】
したがって、DNSセキュリティ用のスマートホワイトリスティングのための開示技術は、DNSセキュリティ用のスマートホワイトリスティングのためのコンテキスト固有のソリューションを提供する。例えば、DNSセキュリティ用のスマートホワイトリスティングのための開示技術は、後に詳述するようなオンプレミスDNSデータ(例えば、一般的な顧客固有ではないDNSデータと対照的な顧客のDNSデータ)を利用することによって、異なる顧客に対して適応的に実行されうる。別の例として、DNSセキュリティ用のスマートホワイトリスティングのための開示技術は、ISP組織、銀行組織、政府組織、教育組織、および/または、その他のタイプの組織など、様々な業種に対して実行可能である。開示技術は、クライアントデバイスによるウェブブラウジングなど、特定のタイプのトラフィックに対しても実施可能である。
【0030】
同様に、脅威インジケータソースは、データのオンプレミス脅威インジケータソース(例えば、一般的な顧客固有ではないDNSデータと対照的な顧客のDNSデータ)を利用すること、および/または、後に詳述するようなデータのクラウドベース脅威インジケータソースを利用することによって、様々な顧客に対して適応的に実行可能である。例えば、データの脅威インジケータソースは、所与の顧客のネットワーク環境に固有であるようにオンプレミスに固有であり、および/または、所与の業種に適応されるようにクラウドベースであってよい。別の例として、脅威インジケータデータのソースがサイバー脅威の状況を完全にはモデル化せず、その代わりに、安全なドメイン空間への侵入のみを利用していると仮定すると、例えばTIDEを用いて、または、別の脅威インジケータソースを用いて、完全な尤度分布をモデル化するために、1または複数の脅威インジケータデータソースを利用できる。
【0031】
ここで、DNSセキュリティ用のスマートホワイトリスティングのための開示技術を実行するための様々なシステムおよび処理の実施形態について、以下に詳述する。
【0032】
DNSセキュリティ用のスマートホワイトリスティングのためのシステムアーキテクチャの概要
【0033】
図1は、いくつかの実施形態に従って、ドメイン名システム(DNS)用のスマートホワイトリスティングのためのシステムアーキテクチャを示す図である。図1は、生産データ環境(例えば、企業、政府組織、および/または、別のタイプの組織のコンピュータネットワーク環境)のDNSセキュリティ用のスマートホワイトリストを生成およびデプロイするために利用できるマルチステージ自動DNSセキュリティ分析システムを示す。具体的には、マルチステージ自動DNSセキュリティ分析システムは、DNSセキュリティ用のスマートホワイトリスティングのための開示技術を実行するために利用可能である。一実施例において、システムは、特定の生産データ環境のDNSセキュリティ用のスマートホワイトリストを生成およびデプロイするためのオンプレミスなシステムおよびソリューションとして、および/または、複数の異なる顧客のDNSセキュリティ用のスマートホワイトリスト(例えば、後に詳述するように、それぞれの生産データ環境および/またはそれぞれの業種に合わせて調整可能である)を生成およびデプロイするためのクラウドベースのシステムおよびソリューションとして、実施されうる。
【0034】
図1を参照すると、DNS脅威データ102が、104において、現在のDNS脅威を特定するためにフィルタリングされる。106において、イベントデータ108と、構成要素110から受信された或る期間(例えば、設定可能な期間)にわたるドメインのポピュラリティとに基づいて、脅威のポピュラリティが決定される。114において、事前確率分布構成要素112から受信された事前確率分布を更新するために、構成要素106および110から受信された新たなデータに基づいて、確率が更新される。新たなデータに基づいて更新された確率(114)は、122に示すように新たなホワイトリスト(例えば、スマートリスト)を生成するために利用され、ホワイトリストは、その後、124に示すように様々な製品(例えば、ホワイトリストを利用したDNSセキュリティ製品またはその他のセキュリティ関連製品)にネットワーク(例えば、インターネットまたは企業ネットワーク)を介して配布されうる。また、新たなデータに基づいて更新された確率(114)は、120に示すように、セキュリティアナリストによるレビューのための新たな項目(118)を生成しうる。また、新たなデータに基づいて更新された確率(114)は、更新済み確率分布構成要素116に提供され、その後、図1に示すように、事前確率分布112として提供および格納される。脅威データおよびイベントデータは、経時的にホワイトリストを絶えず更新することにより、経時的に進化する脅威環境に適応したホワイトリスト(例えば、スマートリスト)を自動的かつ動的に生成するために、定期的に受信されうる。これらの構成要素および処理動作の各々について、以下でさらに説明する。
【0035】
DNSセキュリティ用のスマートホワイトリスティングのためのシステム処理アーキテクチャの概要
【0036】
図2は、いくつかの実施形態に従って、DNSセキュリティ用のイベント駆動型スマートリストを生成およびデプロイするためのシステム処理アーキテクチャの概要を示す。この実施例において、処理は、市販のAmazon Web Services(登録商標)(AWS)S3を用いて実行され、もしくは、当業者にとって明らかであるように、図1に関して上述したようなシステムアーキテクチャを用いて実施されうる、図2に示す開示処理を実行するために、他のクラウドベースのコンピュータおよびストレージのソリューションが同様に用いられてもよく、または、サーバクラスのハードウェアおよびストレージのソリューションを利用するオンプレミスコンピュータソリューションが同様に用いられてもよい。
【0037】
図2を参照すると、202において、一般公開/市販されているソースまたは専有のソースからの脅威インジケータが、Apache Parquet出力フォーマット(例えば、optimized row-columnar(ORC)と同様の列指向ストレージファイルフォーマット)を用いて、市販のAmazon Web Services(登録商標)S3インベントリに格納される。次いで、脅威インジケータは、204に示すように、積極的にリストに載せられたドメインであるドメインを見つけるために処理される。206において、(例えば、様々なDNSセキュリティイベントデータ関連ソースからの)イベントデータも、Apache Parquet出力フォーマットを用いて、市販のAmazon Web Service(登録商標)S3に格納される。次いで、イベントデータは、208に示すように、何らかの設定(例えば、設定可能な期間)に基づいて上位N個のドメインを算出するために別個に処理される。212において、積極的にリストに載せられたドメインおよび算出された上位N個のドメインは、214に示すように、210の閾値を用いて、ホワイトリスト(例えば、後に詳述するように、所与の顧客の生産データ環境および/または特定の業種に対して、タイプ固有のホワイトリスト)を生成するために処理され、216に示すように、セキュリティアナリストによるさらなるレビューに向けて脅威アイテムが特定される。210の閾値は、静的(例えば、75%に設定)であってもよいし、機械学習アルゴリズムで動的に導出されてもよい。動的閾値が用いられる場合、積極的にリストに載せられたドメインおよび算出された上位N個のドメインは、モデルを改良し将来のホワイトリスト用の閾値を調整するための統計値を生成するために処理される。例えば、次に、工程218に示すような重複の事後オッズ(220に示すように、任意選択的に、ベイズ処理に提供される)が、210の閾値(例えば、後に詳述するように、ベイズ処理動作(220)からの入力に基づいて動的閾値として実装される)を更新するために利用される。これらの構成要素および処理動作の各々について、以下でさらに説明する。
【0038】
図3は、いくつかの実施形態に従って、DNSセキュリティ用のイベント駆動型スマートリストを生成するための処理を示す。スマートリスティングは、一般に、データ駆動型ホワイトリストを生成するための開示技術のことであり、いくつかの実施形態においては、さらに、既存のブラックリストインジケータを評価することを含んでもよい。様々な実施形態について述べているように、スマートホワイトリスティングは、比較的小さい/最小限のサイズでありながら、インジケータソースの誤判定による顧客の企業ネットワークへの潜在的な混乱のリスクを低減するホワイトリストを生成するために実施されうる。一般に、ホワイトリスティングは、企業ネットワークを保護することと、かかる企業ネットワーク上での活動への混乱を避けることとの間のバランスである。様々な実施形態に関して開示されているように、スマートリスティングは、本明細書でさらに説明するように、イベントおよびDNSデータに基づいて、企業ネットワークを保護することと、かかる企業ネットワーク上での活動への混乱を避けることとの間で、自動的かつ動的にバランスを取る。例えば、後述の図3に示すように、潜在的な安全データのソースには以下の2つのタイプがある:生イベントデータ、および、一般公開されているドメインポピュラリティリスト。
【0039】
イベント処理
【0040】
図3を参照すると、イベントベースの処理は、302に示すセカンドレベルドメイン(SLD)によって集約された様々な市販および専有のイベントデータと、312に示す経時的なドメインのポピュラリティ(Alexa、Majestic、および、DomCop、など)を利用する。次いで、302に格納されたイベントサマリーデータ(例えば、市販および専有のDNS関連イベントデータ)が、イベントロードステージ304で処理され、そのステージは、さらに、比較日310を入力として受信し、イベントロードステージ304での処理は、データと、SLDごとのイベントの総数を算出および追加する修飾名(qname)とをロードすることを含む。306において、イベントデータは、無効なトップレベルドメイン(TLD)およびポインタ(PTR)レコード(例えば、DNSの逆引きに用いられる)を除去するためにクリーニングされ、その後、イベントは、上位100万個のドメイン(例えば、または、別の閾値数の上位ドメイン)を算出するために、308で要約される。これらのサマリーは、ドメイン要約処理を毎日または別の間隔で定期的に実行することによって生成されうる。図2に関して同様に上述したように、スマートホワイトリストは、或る期間(例えば、5~7日間、または、別の閾値期間)にわたるポピュラリティに基づいて、データから作成される。ホワイトリストは、サイバーセキュリティ製品(例えば、DNSファイアウォールおよびクライアントデバイス)に供給される。一実施例において、閾値が、後に詳述するように、重要な履歴データ分析に基づいて決定される。この実施例において、ホワイトリストは、THREATデータセット内に含まれることで特定された既知の脅威を取り除かれる。この実施例において、スマートリストは、全体のポピュラリティを利用し、他の要素によっては標準化されない。脅威インジケータの「ハイウォーターマーク」が記録され、後に詳述するように既知の脅威から学習するバージョンのスマートリストを作成するために利用される。
【0041】
公開ポピュラリティ処理
【0042】
312に示すように、公開ポピュラリティ処理は、図2に関して同様に上述したように、様々な公開ドメインポピュラリティリスト(Alexa、DomCop、および、Majesticデータ、など)を利用する。この実施例において、リストは、毎日の上位N個の人気ドメインを降順で含む。これら人気のドメインデータソースの各々は、様々な異なる基準に基づいてドメインポピュラリティリストを生成しうる。312に格納された公開ドメンポピュラリティリストデータは、ポピュラリティロードステージ314で処理され、そのステージは、さらに、比較日310を入力として受信し、ポピュラリティロードステージ314での処理は、後に詳述するように、公開ポピュラリティリストをロードして標準化することを含む。この実施例において、スマートホワイトリストは、一日の収集データから作成される。ホワイトリストは、サイバーセキュリティ製品(例えば、DNSファイアウォール)に供給される。既知の脅威であるドメインが、ホワイトリストから除外される。脅威インジケータを含む人気ドメインのランクが、スマートリスティングのための将来の動的モデルで利用するために記録される。
【0043】
イベントおよび公開ドメインポピュラリティリストの共通処理
【0044】
316および318に示すように、ポピュラリティロードステージ314およびイベント要約ステージ308の出力は各々、上位N件Sparkデータフレーム316および上位N件Pandasデータフレーム318の両方に供給される。この実施例において、PandasデータフレームおよびSparkデータフレームは、ビッグデータ/クラスタ処理(所与のデータセットからの情報を分析、変更、および/または、抽出するための様々な機能)を効率的に実行するために用いられる。
【0045】
上位N件Pandasデータフレーム318を用いて実行される処理に言及すると、イベントベースのリストが、イベントのランクを決定するために、サマリー強化ステージ320に提供される。上位N件Sparkデータフレーム処理に供給される脅威インジケータ(この実施例では、THREAT)データ処理に言及すると、322に示すようにS3データストアに格納されているTHREATデータが、関連する現在の脅威を選択するために、アクティブ脅威データロードステージ324に提供され、次いで、これらのフィルタリングされたTHREATイベントは、326で出力され、その後に上位N件Sparkデータフレーム処理に提供される。上位N件Sparkデータフレーム316を用いて実行される処理に言及すると、イベントベースのリストが、THREAT内のアクティブな脅威であるドメインを上位N個のドメインの中で見つけて、次いで、330に示すようにTHREAT Sparkデータフレーム内のヒットとして出力するために、ヒット発見ステージ328に提供される。上位N件Pandasデータフレーム318を用いて実行される処理を参照すると、イベントベースのリストが、イベントのランクを決定するために、サマリー強化ステージ320に提供される。公開リスト、および、サマリー強化ステージ320の出力、ならびに、THREAT Sparkデータフレーム330内のヒットは、上位N個のドメインにおけるアクティブなTHREATのランクを決定して、334に示すTHREAT「ヒット」へ出力するために、脅威レベル算出ステージ332に提供される(例えば、THREAT「ヒット」出力は、比較的人気のあるドメインで見つかった脅威インジケータに関する情報を含み、ドメイン、ランク、脅威情報(例えば、マルウェアまたはフィッシングドメイン)などを含みうる)。脅威レベル算出ステージ332の出力は、固定された決定ロジック(例えば、既知のシンクホールドメインの除外)に基づいて、さらにフィルタリングされる。ステージ336からのフィルタリング済みの出力は、レビュー必要性算出ステージ338に供給され、ホワイトリスト算出ステージ344にも供給される。レビュー必要性算出ステージ338は、更なるレビューを必要とするSLDを決定し、その後、それは、レビューステージ340に提供され、レビューステージ340は、ホワイトリスティングの前に更なるレビューをなされるドメインを特定する。ホワイトリスト算出ステージ344は、スマートリスト346を生成するために、342に示すスマートリストのための閾値入力に基づいて、ホワイトリストに載るドメインを決定し、ホワイトリストは、THREATデータセットに含まれず、人気のあるドメインのフィルタリング済みのセットを含む。
【0046】
この実施例では、上位N個のドメイン(例えば、上位100万個のドメイン)が、この処理の副産物として生成および格納される。さらなるレビューを必要とするドメインのリスト(340)が、提案されたホワイトリストとTHREATとの重複に基づいて作成される。これらは、THREATインジケータのためのドメインであり、一般に、(例えば、セキュリティアナリストによって、および/または、自動セキュリティ分析を用いて)さらにレビューされることが好ましい。一部の例では、これらのインジケータが有効な脅威インジケータではなく、過度に広く、または、修正TTL値を有することが好ましい可能性がある。さらなるレビューを必要とするドメインは、この例では、THREAT内でタスクされ、336のさらなるフィルタリングを満たすSLDのみを含む。
【0047】
イベントおよび公開ドメインポピュラリティリストの共通処理の出力
【0048】
この実施例において、上述の処理は、複数の目的でいくつかの出力を生成している。第1に、THREATドメインをクリーニング/フィルタリングされたホワイトリストが、ポピュラリティに基づいて、各ソースに対して生成される。第2に、人気ドメインで見つかったすべての脅威インジケータと、各ソースにおけるそれらのランクとのリストが出力される。第3に、各ソースについて上位N個のリストが出力される(例えば、上位100万)。これらは、「最新」バージョン、および、さらなるレビューのために提供される「THREAT」内の項目、だけでなく、履歴も格納される。
【0049】
ホワイトリストおよび脅威レビューのための統計的分類子
【0050】
上述のDNSセキュリティ用のスマートリスティング処理は、2つのタイプの潜在的な安全データのソースに基づいて実行される:(1)生イベントデータ、および、(2)一般公開されているドメインのポピュラリティリスト。ホワイトリスティングの観点から、スマートリスティングは、様々な脅威フィードにおける誤判定によってトラフィックが妨害されないことを保証しつつ、真の脅威が顧客のネットワークに侵入することを許可しない可能性を最小限に抑えるように、顧客の正常なトラフィックの大部分を効果的にホワイトリストに載せるために実装できるドメインのための分類子である。
【0051】
イベントモデル
【0052】
同様に上述したように(例えば、図1~図3に関して上述した実施形態などのように)、ドメインのためのスマートリスティング分類子は、所与のランク尺度(例えば、ポピュラリティ)のコンテキストでデータを検討し、閾値を超えるかかるドメインをホワイトリスト載せるものとして分類できる閾値を見つけるために実装されうる。いくつかの実施形態において、ランクは、顧客ネットワーク内の活動の累積密度によって測定される。当業者にとって明らかであるように、影響の他の尺度も同様に、ランク(オープンソースのポピュラリティなど)を測定するために利用できる。
【0053】
図4Aは、いくつかの実施形態に従って、クラウドベースのセキュリティソリューションのドメインによるデータカバレッジを示すグラフである。一例として、図4Aは、1週間にわたるDNSイベントデータソースについての累積密度を示している。この場合、すべてのイベントの75%が、402で示す垂直閾値によって示されるように、~12,000ドメイン内にある。この閾値は、累積分布関数(CDF)の傾きが実質的に減少した後にあることに注意されたい。結果として、イベントの約5%だけホワイトリストの対象範囲を増大させるためには、ホワイトリストに載せるドメインを倍増させることになり、悪意あるドメインをホワイトリストに載せるリスクを高める。
【0054】
一実施例において、約1か月分のデータおよびTHREATインジケータとの相互作用を評価することに基づいて、静的閾値が、を顧客空間のカバレッジとリスク許容度との間のバランスとして選択される(例えば、75%の累積密度)。結果として、この実施例において、静的閾値メカニズムを利用する場合、毎週のホワイトリストは、前週のトラフィックの75%を占める可変数のドメインを含む。
【0055】
一実施例において、上位ドメインを特定した後、THREAT内にある閾値を超えるドメインが除外される。他の実施例では、これらは、ホワイトリストから除外されない。これらの重複するドメインは、閾値の5%のさらなる近接したドメインに加えて、同様に上述したように手動レビューに向けて特定されたドメインとしてフラグを付される。これらのドメインは、脅威インジケータクリーニングまたはスマートブラックリスティングのために利用できる。この実装例では、累積密度に基づいた静的閾値を利用して、ランク付けされたドメインの上位75%に含まれるSLDを有するTHREAT内のドメインが、ホワイトリストから除外され、同様に上述したように、さらなるレビューに向けてフラグを付されうる。
【0056】
図4Bは、いくつかの実施形態に従って、DNS脅威データと比較した、ドメインによるサンプルDNSデータソースカバリッジの上位95%を示すグラフである。図4Bは、SLDレベルで集約されたTHREATデータが、サンプルDNSイベントソースで見られるDNSクエリとどれだけ重複しているのかを示す。この例において、データが非常に偏っているので、グラフを見やすくするために、ボリュームで、410で示すドメインの上位95%のみを見る。図に示すように、THREATドメインは、この範囲のランク付けされたドメインと重複しており、いくつかが上位75%に入り込んでいる。
【0057】
いくつかの実施形態において、イベントによる全体のポピュラリティが、DNSセキュリティ用のスマートリストを生成するための開示イベントベース処理を実行するために利用される。他の実施形態において、別のランク尺度が利用される。以下に説明するように、開示技術は、基礎となるランク尺度(すなわち、ドメインのランク順序を決定する関数)が不明である場合でも実施可能である。
【0058】
公開ポピュラリティモデル
【0059】
同様に上述したように、公開ポピュラリティ分析も、DNSセキュリティ用のスマートリストを生成するための開示技術を実行する際に利用される。一実施例において、公開ポピュラリティ分析は、https://www.alexa.com/siteinfo/100k.toで入手可能なAlexa上位10万ウェブサイトリスト、https://majestic.com/reports/majestic-millionで入手可能なMajestic Million、https://www.domcop.com/で入手可能なDomCop、または、その他の市販/一般公開されている上位訪問ウェブサイトリストなど、一般公開されているリストを利用することを含む。
【0060】
上述の実施形態で説明したように、DNSセキュリティ用のスマートリストを生成するための開示技術は、スマートリストと脅威インジケータ評価を併用する(例えば、一実施例において、DNSセキュリティ用のスマートリストを生成するための開示技術を実施するために、Infoblox脅威情報データエクスチェンジ(TIDE)ソリューションまたはその他の一般公開/市販されている脅威インジケータソースなど、一般公開/市販されているソースからの脅威インジケータが、かかる脅威評価のために同様に利用可能であり、および/または、2以上のかかる脅威インジケータソースの組み合わせが、かかる脅威評価のために同様に利用可能である)。
【0061】
図5は、いくつかの実施形態に従って、脅威インジケータと比較した人気ドメインセットの例を示すプロットである。具体的には、図5は、いくつかの実施形態に従って、一般公開されている人気ドメインのリストが脅威インジケータにどのように対応するのかを示している。同様に上述したように、以前のアプローチは、脅威インジケータ評価を全く行わずに、これらのリストについて上位100k(10万)個のドメインをホワイトリストに載せていた。図5に示すプロットから、この範囲内で多数のTHREATヒットを観察することができ、これは、かかる以前のアプローチでは、疑わしいドメイン(例えば、マルウェアのドメインまたはマルウェアの可能性があるドメイン)をホワイトリストに載せる結果となることを意味する。したがって、上述のイベントベースのデータへの同様のアプローチが、一般公開されているデータソースに実装される。
【0062】
しかしながら、一般公開されているリストは、ランクの順序を決定する方法を開示していない、または、幅広い基礎データソースの知見を提供しない場合がある。リストは、各プロバイダが異なる基準を用いて独立的に決定した降順のポピュラリティランクで、毎日のランク(例えば、上位100万件の人気ドメイン)を含む。イベントベースのホワイトリスト作成で行った累積密度関数の計算に必要な情報がなくても、脅威インジケータとランキングとの重複を計算して、ホワイトリスティングのための閾値を決定できる。いくつかの実施形態において、例えば、一般公開されているランクをイベントデータにプロキシすることで、およその累積密度関数を得ることができる。
【0063】
一実施例において、或る期間(例えば、数週間または数ヶ月または別の期間)のデータ、および、THREATインジケータとの相互作用を評価した後、510における20,000の静的ランク閾値が選択される。図5から明らかなように、この閾値を超えるポピュラリティランクを有するアクティブな脅威がまだ存在しうる。閾値は、顧客環境内のリスク許容度を考慮するように調整されうる。
【0064】
したがって、いくつかの実施形態において、脅威インジケータを用いたイベント評価に関して上述したのと同様の処理に従って、510の静的閾値を超えるすべてのドメインが、さらなるフィルタを満たすものを除外した後(例えば、既知のシンクホール化されたドメインを除外した後)にホワイトリスティングされる。いくつかの場合では、除外されたドメインは、さらなるレビュー(例えば、セキュリティアナリストによる手動レビューおよび/または他のさらなる自動セキュリティ分析)と、THREAT(例えば、および/または、別の脅威インジケータソース)からそれらを除外すべきか否かの判定と、のために特定されうる(例えば、上述のTHREATクリーナ構成要素は、これらの開示技術を実施するために利用可能である)。一実施例において、これらの重複ドメインは、設定閾値を超えるマージンなど、かかるさらなる分析に向けてフラグを付されうる。
【0065】
別の実施形態において、代替的なポピュラリティモデルが、DNSセキュリティ用のスマートリストを生成するための開示技術を実行するために実装されてもよい。上述の実施形態は、全体のポピュラリティを利用する。代替実施形態は、代替的なランク尺度を用いて実施されうる。
【0066】
統計的分類子を実装するためのベイズ推論モデル
【0067】
いくつかの実施形態において、DNSセキュリティ用のスマートリストを生成するために利用される統計的分類子を実装するための開示技術を実行するために、ベイズ推論モデルが利用される。様々な実施形態に関して同様に上述したように(例えば、上述した図1の構成要素112、114、および、116、ならびに、上述した図2の構成要素/ステージ218および220、など)、ホワイトリストに適切な各データソース内の閾値とコンテキストとを学習するために、THREAT(すなわち、1または複数の脅威インジケータデータソース)のハイウォーターマークを利用して、動的なスマートリストを生成できる。
【0068】
一実施例において、(例えば、特定の製品または顧客ネットワーク内の)所与のコンテキストにおけるすべてのドメインのポピュラリティ(所与のDNSデータセット上の任意のドメインをブロックする影響の代わり)と、ドメインのランクを作成するポピュラリティ尺度に対して、THREATを介して観測される脅威の分布との、2つの競合する力から始める。この基礎となる仮定は、十分に人気のあるドメインが、真のサイバー脅威を表す可能性が低いと同時に、ドメインに関連する一部の脅威(例えば、マルウェアのドメイン)のポピュラリティが非常に高くなる可能性があるという仮定である。さらに、悪意あるドメインが上昇するランクは、一般に、経時的に変動する。したがって、統計的閾値が決定され、それにより、後に詳述するように、高い信頼度で、優良/安全なドメイン(例えば、非マルウェアまたは既知の優良ドメイン)を残りのドメインから効果的に分離できるようになる。上述した様々な実施形態は、ポピュラリティ尺度を利用するが、他の実施形態が、任意の数のさらなる要素(例えば、ドメインの履歴、ネームサーバのレピュテーション)を同様に利用してもよい。他の実施形態において、顧客指定のリスクモデル(ドメインの分類、ネットワーク内のデバイスのタイプ、など)が組み込まれて、これらは、ホワイトリスト閾値を微調整するために利用されうる。さらに、上述した様々な実施形態において、累積密度に基づくポピュラリティモデルを利用しているが、様々な他の実施形態において、機能的に類似した適切なランキングが用いられてもよい。その結果、DNSセキュリティ用のスマートリストを生成するための上述した技術を変更することなしに、Majestic Millionオープンソースランキングなどのデータソースを別のデータソースとして同様に利用できる。
【0069】
この実施例において、この処理は、ベイズ条件付き確率モデルを用いて、閾値を算出する。脅威およびポピュラリティに対して経時的にかなりの期間のトラフィックを利用して、最大脅威ランクに対して情報事前尤度分布を作成する。所与のホワイトリストについて、設定期間(例えば、1週間またはその他の設定期間)にわたってすべてのドメインのポピュラリティランクを算出する。現在の既知の脅威の対応するランク分布を算出し、ハイウォーターマーク、すなわち、データセットで観察される最も人気のある脅威、を決定する。この観察結果は、ベイズの定理を用いて尤度モデルを更新して事後確率分布を作成するために用いられる。或る仮定(尤度分布とも呼ばれる)を前提としたこの観察結果のこの確率は、様々な異なる方法でモデル化されることができ、実施例は、その値を中心としたガウス分布を再び利用する。最大尤度を有する事後分布の値が、新たな閾値となる。ホワイトリストは、閾値よりも小さい累積密度あるいは高いポピュラリティを有するすべてのものを含む。この実施例において、情報事前分布が、データ解析によって作成されるが、他の実施形態においては、一様な事前分布またはその他の事前分布、ならびに、尤度分布の他の選択が利用される。THREATクリーナ(例えば、同様に上述したTHREATクリーナ構成要素)は、何らかの任意選択的な所定の閾値パディング(threshold padding)(例えば、5%またはその他の閾値パディング値)を閾値に加えた値を超えるすべての推定的に悪意のあるドメインを強調する。例えば、このパディングは、ポピュラリティ値の自然な流動性に対処する。
【0070】
一具体例として、事前確率分布が75%(すなわち0.75)の累積密度を中心としたガウス分布であると仮定する。これを、データセット内で脅威が到達する最高ランクの確率分布と考えると、最大尤度は0.75であり、これは、0.75の閾値が最大レベルになる可能性が最も高いことを意味する。真のレベルは、より高いまたは低い可能性があるが、これらは、より低い確率で起こる。したがって、この最大尤度は、ホワイトリストの閾値として利用できる。この例では事後確率分布の最大尤度が利用されているが、他の実施形態において、当業者にとって明らかなように、別の統計的基準を利用してもよい。
【0071】
図6は、いくつかの実施形態に従って、スマートリスティングのための変化する尤度関数のシミュレーションを示すチャートである。このチャートは、経時的に(例えば、かかる変化が、ポピュラリティおよび脅威データの新たなデータセットに基づいて経時的に起こるにつれて)可能性の高い閾値について新たなマルウェアドメイン観察結果に基づいて増大する閾値(例えば、602で示す)を示している。
【0072】
一例として、観察された最高脅威がその週に0.73レベルで発生した場合、それが正しい確率を、各仮定を中心としたガウス分布としてモデル化する選択をしてよい。次いで、事後確率分布が、ベイズの定理に従って、現在の尤度分布に事前確率を乗じることによって算出される。これにより、0.73付近で確率が上がり、その点から離れた値では確率が下がる。事後オッズ分布の最大尤度が新たな閾値になり、その閾値は、0.73の観察値からまだ或る程度し離れている場合がある。新たなホワイトリストを算出するたびに、観察されたデータを用いて確率を更新する。ベイズモデルは、閾値が、新たな観察結果と共に動くが揺れ動かないことを保証するように調整される。脅威レベルの増減に応じて、閾値は、これらの開示技術を用いて自動的かつ動的に調整される。
【0073】
別の実施形態において、別の尤度モデルが、この閾値を決定するためのこれらの技術を同様に実行するために用いられてもよい。例えば、ベイズアプローチは、事前確率分布に適切なモデルに大きく依存している。我々のケースでは、これは、最も高いサイバー脅威が顧客のDNS活動の上位x%内で発生する可能性である。この実施例において、60日分の利用可能なDNSデータおよび脅威インジケータデータの詳細な分析に基づいて、アプローチにシードを与えた。代替例として、(例えば、無情報事前分布、または、情報事前分布への別のアプローチを用いて)初期の尤度分布と、観察に向けて尤度分布と、の両方を変更してもよい。他の実施形態において、例えば、サポートベクターマシン(SVM)、k-近傍法(KNN)、ロジスティック回帰、ニューラルネット、および/または、任意のその他のML/分類子アルゴリズムなど、様々なその他の機械学習/分類子技術が、これらの技術を同様に実行するために利用されてもよいが、かかる利用は、このDNSセキュリティアプリケーションコンテキスト用のホワイトリスティングについて、異なるパフォーマンスインパクトおよび/または効果を有しうる。
【0074】
別の実施形態において、一次元モデルの代わりに、多次元モデルが、この閾値を決定するための開示技術を実行するために実装されてもよい。例えば、追加の次元は、以下の要素の例の内の1または複数など、様々な他の要素を考慮しうる:DNSクエリが複数の異なるコンピュータ/ネットワークデバイス(例えば、クライアントデバイス)から受信されているのか、単一のコンピュータ/ネットワークデバイスから受信されているか;クライアントIPの数;および、DNSクエリの時刻。この例において、より複雑な決定境界をサポートできるSVMが実装されうる(例えば、DNSクエリが1つのクライアントデバイスにのみ関連付けられている場合、影響は比較的小さくなりうる、および/または、生成されたスマートホワイトリストは、顧客または業種のためのDNSデータに関連付けられた時刻に基づいて動的になりうる)。
【0075】
脅威フィードクリーニング
【0076】
また、スマートリスティング処理は、悪意がない可能性のある項目(例えば、マルウェアドメインを特定するための機械学習ツールによる誤分類、または、人的ミス、自動分類エラーによって起こりうる他のタイプの誤分類がなされたドメイン、ならびに/もしくは、もはやマルウェアには関連していない可能性のあるドメイン)をブラックリスト内で特定するための効果的なメカニズムを提供する。一実施例において、ホワイトリストが生成される時、閾値からパディングされた距離内にある任意のドメインを特定する。例えば、閾値が75%である場合、この例における5%のパディング閾値に基づいて、顧客イベントの上位80%に含まれるすべてのブラックリストドメインを考慮することができる。同様に上述したように、パディング閾値は、かかるドメインポピュラリティ尺度に存在する不確実性を補償するための効果的なメカニズムである。
【0077】
自動化およびデプロイメント
【0078】
いくつかの実施形態において、開示されているDNSセキュリティ処理のためのスマートリスティングは、入手可能な各DNSイベントソースおよびドメインの公開ポピュラリティリスト(例えば、Alexa、DOMCOP、Majestic、および/または、その他のかかるデータソースが、ドメインの公開ポピュラリティリストのために同様に利用可能である)から1つのホワイトリストを生成する。他の実施形態において、これらのソースおよび/または最終的なホワイトリストは、統計関数によって組み合わせられる。
【0079】
複数のデータソースを考慮すると、人的な相互作用または介入なしにまたは最低限で、再現性のある製品を作るために、自動化が望ましい。一実施例において、コードは、様々なデータセットスキーマを標準/規格フォーマットに標準化すると共に、出力を自動的に生成して適切なデータベースに格納するためのコマンドラインで再現可能なスクリプトであるように設計される。この実施例において、デプロイメント部分は、ホワイトリストの自動作成およびリリース/デプロイメントをサポートする。スマートホワイトリストは、所定のホワイトリストリリース日(例えば、毎週月曜日、または、その他の所定のホワイトリストリリース日)を満たす定期的なジョブ(例えば、cronジョブ)によって自動的に生成されてよい。他の実施形態において、ホワイトリスト処理は、ストリーミングデータ上で実行して、ほぼリアルタイムで基準ランキングデータおよび閾値の両方を調整してもよい。
【0080】
DNSセキュリティ用のスマートホワイトリスティングのための処理の例
【0081】
図7は、いくつかの実施形態に従って、DNSセキュリティ用のスマートホワイトリスティングのための処理を示すフローチャートである。様々な実施形態において、処理700は、図1~図6に関して上述したシステムおよび処理技術によって実行される。
【0082】
工程702で、1セットのネットワーク関連イベントデータが受信される。例えば、1セットのネットワーク関連イベントデータは、同様に上述したような1セットの人気ネットワークドメインなど、ドメイン名システム(DNS)関連イベントデータを含みうる。別のネットワーク関連イベントデータは、Webブラウジングで生成されるURL要求、および、一般的なIPトラフィックのためのIPパケットの送信を含む。
【0083】
工程704で、1セットのネットワーク関連脅威データが受信される。例えば、1セットのネットワーク関連脅威データは、同様に上述したように、一般的なDNS脅威フィード、第1企業ネットワークに関連するDNS脅威フィード、および/または、第1業種に関連するDNS脅威フィードを含む、DNS脅威フィードなど、DNS関連脅威データを含みうる。
【0084】
工程706で、1セットのネットワーク関連イベントデータおよび1セットのネットワーク関連脅威データを用いてホワイトリストの生成が実行される。例えば、ホワイトリストは、同様に上述したように、DNS関連イベントデータおよびDNS関連脅威データのデータ駆動モデルに基づいて、DNS関連イベントデータに含まれるネットワークドメインのサブセットを含むように生成されうる。
【0085】
図8は、いくつかの実施形態に従って、DNSセキュリティ用のスマートホワイトリスティングのための処理を示す別のフローチャートである。様々な実施形態において、処理800は、図1~図6に関して上述したシステムおよび処理技術によって実行される。
【0086】
工程802で、1セットのネットワーク関連イベントデータが受信される。例えば、1セットのネットワーク関連イベントデータは、同様に上述したような1セットの人気ネットワークドメインなど、ドメイン名システム(DNS)関連イベントデータを含みうる。
【0087】
工程804で、1セットのネットワーク関連脅威データが受信される。例えば、1セットのネットワーク関連脅威データは、同様に上述したように、一般的なDNS脅威フィード、第1企業ネットワークに関連するDNS脅威フィード、および/または、第1業種に関連するDNS脅威フィードを含む、DNS脅威フィードなど、DNS関連脅威データを含みうる。
【0088】
工程806で、1セットのネットワーク関連脅威データを用いて、1セットのネットワーク関連イベントデータがフィルタリングされる。例えば、DNS関連イベントデータをフィルタリングすることで、スマートホワイトリスト(例えば、スマートリスト)を生成することができ、ここで、DNS関連イベントデータは、マルウェアに関連する1または複数のネットワークドメインを除外するために分類子を用いて自動的にフィルタリングされる。一実施例において、分類子は、同様に上述したようにDNS関連データに基づいて経時的に自動的かつ動的に調整される条件付き確率分布の作成を容易にする統計的分類子(例えば、ベイズ統計を用いて実装される)を含む。また、同様に上述したように、スマートリストは、別のセットのネットワーク関連イベントデータおよび別のセットのネットワーク関連脅威データに基づいて定期的に更新されうる(例えば、スマートホワイトリストは、第1企業ネットワークに関連する生産データ環境の変化に合わせて自動的かつ動的に調整されうる)。
【0089】
工程808で、ネットワーク関連イベントデータのフィルタリング済みのセットを用いてスマートホワイトリストの生成が実行される。例えば、スマートホワイトリスト(例えば、スマートリスト)は、同様に上述したように、DNS関連イベントデータおよびDNS関連脅威データのデータ駆動モデルに基づいて、DNS関連イベントデータに含まれるネットワークドメインのサブセットを含むように生成されうる。
【0090】
工程810で、スマートホワイトリストは、ネットワークデバイスに出力される。例えば、スマートホワイトリスト(例えば、スマートリスト)は、同様に上述したように、スマートリストを用いてDNS要求をフィルタリングするためにネットワークデバイスへ出力されうる(例えば、スマートリストは、スマートリストを用いてDNS要求をフィルタリングできるDNSデバイス(DNSアプライアンスなど)および/または別のタイプのネットワーク/セキュリティデバイスへ出力されうる)。
【0091】
上述の実施形態は、理解しやすいようにいくぶん詳しく説明されているが、本発明は、提供された詳細事項に限定されるものではない。本発明を実施する多くの代替方法が存在する。開示された実施形態は、例示であり、限定を意図するものではない。
【図1】
【図2】
【図3】
【図4A】
【図4B】
【図5】
【図6】
【図7】
【図8】
【国際調査報告】