知財求人 - 知財ポータルサイト「IP Force」
特表2022-533552システムレベルセキュリティのための階層的挙動行動のモデル化および検出システムおよび方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2022-07-25
(54)【発明の名称】システムレベルセキュリティのための階層的挙動行動のモデル化および検出システムおよび方法
(51)【国際特許分類】
G06F 21/55 20130101AFI20220715BHJP
【FI】
G06F21/55 320
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2021566057
(86)(22)【出願日】2020-01-24
(85)【翻訳文提出日】2021-11-15
(86)【国際出願番号】 US2020015001
(87)【国際公開番号】W WO2020226709
(87)【国際公開日】2020-11-12
(31)【優先権主張番号】16/405,788
(32)【優先日】2019-05-07
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
(71)【出願人】
【識別番号】521483559
【氏名又は名称】セキュアワークス コーポレーション
(74)【代理人】
【識別番号】110002572
【氏名又は名称】特許業務法人平木国際特許事務所
(72)【発明者】
【氏名】ウルバンスキ,ウィリアム エム.
(72)【発明者】
【氏名】ヴィダス,ティモシー エム.
(72)【発明者】
【氏名】ソーダー,カイル
(72)【発明者】
【氏名】ラムジー,ジョン
(72)【発明者】
【氏名】ダンフォード,ロバート,ウィリアム
(72)【発明者】
【氏名】ハックワース,アーロン
(57)【要約】
本開示は、1つまたは複数のセキュリティ脅威または悪意のある行為を検出するシステムおよび方法を提供する。
本開示によれば、データは、1つまたは複数のデータ生成部から受信され、挙動プロセッサに提供され得る。前記挙動プロセッサは、その中に含まれる1つまたは複数のデータ、特徴、または特性に基づいて、前記データから1つまたは複数の挙動を抽出し、特定し、または検出し、前記1つまたは複数の特定された挙動を戦術プロセッサに提供する。前記戦術プロセッサは、前記1つまたは複数の特定された挙動に基づいて、1つまたは複数の戦術を抽出し、特定し、または検出し、前記1つまたは複数の特定された戦術を戦術分類器に送信し、前記1つまたは複数の特定された戦術が前記1つまたは複数のセキュリティ脅威または悪意のある行為を示すかどうかを判定する。他の態様も記載される。
【選択図】図1
本開示によれば、データは、1つまたは複数のデータ生成部から受信され、挙動プロセッサに提供され得る。前記挙動プロセッサは、その中に含まれる1つまたは複数のデータ、特徴、または特性に基づいて、前記データから1つまたは複数の挙動を抽出し、特定し、または検出し、前記1つまたは複数の特定された挙動を戦術プロセッサに提供する。前記戦術プロセッサは、前記1つまたは複数の特定された挙動に基づいて、1つまたは複数の戦術を抽出し、特定し、または検出し、前記1つまたは複数の特定された戦術を戦術分類器に送信し、前記1つまたは複数の特定された戦術が前記1つまたは複数のセキュリティ脅威または悪意のある行為を示すかどうかを判定する。他の態様も記載される。
【選択図】図1
【特許請求の範囲】
【請求項1】
セキュリティ脅威または悪意のある行為を検出するシステムであって、1つまたは複数のプロセッサと、前記1つまたは複数のプロセッサによって実行されたときに、1つまたは複数の構成要素を実行する複数の命令が格納された少なくとも1つのメモリと、を備え、
前記1つまたは複数の構成要素は、
1つまたは複数のデータ生成部からデータを受信し、
前記データを挙動プロセッサに送信し、
前記挙動プロセッサを使用して、前記データに含まれるデータ、特徴、および/または特性に基づいて、前記データから1つまたは複数の挙動を特定し、
前記1つまたは複数の特定された挙動を戦術プロセッサに提供し、
前記戦術プロセッサを使用して、前記1つまたは複数の特定された挙動に基づいて、1つまたは複数の戦術を特定し、
前記1つまたは複数の特定された戦術を戦術分類器に送信し、
前記戦術分類器を使用して、前記1つまたは複数の特定された戦術が1つまたは複数のセキュリティ脅威または悪意のある行為を示すかどうかを判定する、ように構成される、システム。
【請求項2】
前記1つまたは複数の構成要素は、前記1つまたは複数の特定された戦術が1つまたは複数のセキュリティ脅威または悪意のある行為を示すと判定された場合に、セキュリティ脅威または悪意のある行為をユーザに通知するアラートまたはアラームを生成するようにさらに構成される、請求項1に記載のシステム。
【請求項3】
前記データは、システムログ、ユーザメタデータ、インフラストラクチャデータ、またはそれらの組み合わせを含む、請求項1に記載のシステム。
【請求項4】
前記1つまたは複数の挙動を特定するために、前記挙動プロセッサは、前記データに含まれる前記1つまたは複数のデータ、特徴、または特性を、挙動データ記憶装置に記憶された既知の挙動に対してマッピングするように構成される、請求項1に記載のシステム。
【請求項5】
前記1つまたは複数の戦術を特定するために、前記戦術プロセッサは、前記1つまたは複数の特定された挙動を、戦術データ記憶装置に記憶された既知の戦術に対してマッピングするように構成される、請求項1に記載のシステム。
【請求項6】
前記1つまたは複数の構成要素は、前記挙動プロセッサを使用して、前記1つまたは複数のデータ、特徴、または特性、
前記1つまたは複数の特定された挙動、または、
それらの組み合わせ、
に基づいて、1つまたは複数の追加の挙動を特定するようにさらに構成される、請求項1に記載のシステム。
【請求項7】
前記1つまたは複数の構成要素は、前記挙動プロセッサを使用して、前記1つまたは複数の特定された戦術に基づいて、1つまたは複数の追加の挙動を抽出または特定するようにさらに構成される、請求項1に記載のシステム。
【請求項8】
前記1つまたは複数の構成要素は、前記戦術プロセッサを使用して、前記1つまたは複数の特定された挙動、
前記1つまたは複数の特定された戦術、または、
それらの組み合わせ、
に基づいて、1つまたは複数の追加の戦術を特定するようにさらに構成される、請求項1に記載のシステム。
【請求項9】
前記戦術分類器は、統計モデルまたは機械学習モデルを含む、請求項1に記載のシステム。
【請求項10】
1つまたは複数のセキュリティ脅威または悪意のある行為を検出する方法であって、1つまたは複数のデータ生成部からのデータを受信すること、
挙動プロセッサへ前記データを提供すること、
前記挙動プロセッサによって、前記データに含まれるデータ、特徴、または特性に基づいて、前記データから1つまたは複数の挙動を特定すること、
前記1つまたは複数の特定された挙動を戦術プロセッサに提供すること、
前記戦術プロセッサによって、前記1つまたは複数の特定された挙動に基づいて、1つまたは複数の戦術を特定すること、
前記1つまたは複数の特定された戦術を戦術分類器に送信すること、および、
前記戦術分類器によって、前記1つまたは複数の特定された戦術が前記1つまたは複数のセキュリティ脅威または悪意のある行為を示すかどうかを判定すること、を有する方法。
【請求項11】
前記1つまたは複数の特定された戦術が1つまたは複数のセキュリティ脅威または悪意のある行為を示すと判定された場合に、セキュリティ脅威または悪意のある行為をユーザに通知するアラートまたはアラームを生成し、提供すること、をさらに有する請求項10に記載の方法。
【請求項12】
前記1つまたは複数の挙動を特定することは、前記挙動プロセッサによって、前記データに含まれる前記1つまたは複数のデータ、特徴、または特性を、挙動データ記憶装置に記憶された既知の挙動に対してマッピングすること、を含む請求項10に記載の方法。
【請求項13】
前記1つまたは複数の戦術を特定することは、前記戦術プロセッサによって、1つまたは複数の特定された挙動を、戦術データ記憶装置に記憶された既知の戦術に対してマッピングすること、を含む請求項10に記載の方法。
【請求項14】
前記挙動プロセッサによって、前記1つまたは複数のデータ、特徴、または特性、
前記1つまたは複数の特定された挙動、または、
それらの組み合わせ、
に基づいて、1つまたは複数の追加の挙動を特定すること、をさらに有する請求項10に記載の方法。
【請求項15】
前記挙動プロセッサによって、前記1つまたは複数の特定された戦術に基づいて、1つまたは複数の追加の挙動を特定すること、をさらに有する請求項10に記載の方法。
【請求項16】
前記戦術プロセッサによって、前記1つまたは複数の特定された挙動、
前記1つまたは複数の特定された戦術、または、
それらの組み合わせ、
に基づいて、1つまたは複数の追加の戦術を特定すること、をさらに有する請求項10に記載の方法。
【請求項17】
前記戦術分類器は、統計モデルまたは機械学習モデルを含む、請求項10に記載の方法。
【請求項18】
前記データは、システムログ、ユーザメタデータ、インフラストラクチャデータ、またはそれらの組み合わせを含む、請求項10に記載の方法。
【発明の詳細な説明】
【技術分野】
【0001】
<参照による組み込み>
2019年5月7日に出願された米国特許出願第16/405,788号は、その全体が記載されるように参照により本明細書に組み込まれる。
2019年5月7日に出願された米国特許出願第16/405,788号は、その全体が記載されるように参照により本明細書に組み込まれる。
【背景技術】
【0002】
情報処理、コンピューティング、および/またはネットワーク化されたシステムでは、敵対(例えば、「悪意のある」または「脅威のある」)者は、マネージドセキュリティサービスプロバイダ(「MSSP」)やセキュリティ研究者などのシステム防御者と常に対立している。敵対者は、防衛者による検出または反応を回避するために、様々な抽象化レベルにわたって技術的および運用上の変更を定期的に組み込む。すなわち、敵対者は、しばしば、ツールまたは技法を使用すること、および/または、容易に悪意があるように見えない変更を実施すること、を試みることがある。これらの変更は、一般に、与えられた観測可能なイベント後にかなりの時間が経過した後にのみ犠牲者またはセキュリティ防御者に明らかになり、セキュリティ防御者は、事件が発生し、例えばデジタル科学捜査を含む長い事故対応手順が実行されるまで、敵対者によって採用された新しい技術/戦術に気付かないことがある。また、防止技術は、一般に、悪意のあるソフトウェア(または「マルウェア」)またはマルウェアの特定のサブ構成要素の正確なインスタンスを古典的にスキャンするなど、多くのセキュリティ指向の検出方法において、より低い抽象化レベルで動作する。したがって、敵対者がマルウェアをわずかに変更したに過ぎない場合であっても、そのような厳しい検出方法を回避するのに十分であることがある。さらに、敵対者に恩恵を与える変化は、典型的に、セキュリティ防衛者によってなされた補償の変更を上回り、敵対者によって引き起こされる深刻な危害を防ぐ防衛者の困難性を増大させる。セキュリティ指向の技術がこれらのより低い抽象化レベルで動作するとき、関連する検出は、典型的には、狭く調査され、時には他の潜在的に関連する観察または情報を不明瞭にする。
【0003】
したがって、より高い抽象化レベルで動作し、敵対者によって実施されるより低レベルの変更に対してより強靭であり、関連情報からコンテキストを組み込むことができ、さらに敵対者によって実施される以前には見えなかった/検出されなかった変更を予測することができる、より堅牢な検出システムおよび方法が必要とされていることが分かる。本開示は、当技術分野における前述および他の関連する、並びに、関連しない問題/出来事を対象とする。
【発明の概要】
【0004】
簡単に説明すると、様々な態様によれば、本開示は、様々なデータソースから提供され、開発され、または取得されたデータまたはデータセットに影響するシステムおよび方法を対象とし、このデータまたはデータセットを、行動の抽象表現にモデル化または分析し、攻撃者によって直接的または間接的になされた行動を検出または分類する。これらの表現は、一般に、本質的に階層的であり、システムの外部の構造化されたデータおよび構造化されていないデータから始まり、より低次の「挙動」をモデル化し、より高次の挙動(戦術と呼ばれる)の配列を検出し、最終的には、挙動または戦術のサブセットを攻撃者に属するものとして分類する。
【0005】
一実施形態では、本開示は、1つまたは複数のセキュリティ脅威または悪意のある行為を検出するシステムを提供することができる。このシステムは、1つまたは複数のプロセッサと、1つまたは複数のプロセッサによって実行されたときに挙動または戦術を攻撃者に属するものとして分類するように構成された1つまたは複数の構成要素を実行する複数の命令を格納した少なくとも1つのメモリと、を備えることができる。前記システムは、1つまたは複数のデータ生成部からデータまたはデータセットを受信し、前記データまたはデータセットを挙動プロセッサに提供するように構成された1つまたは複数の構成要素を含むことができる。前記データまたはデータセットには、システムログ、ユーザメタデータ、インフラストラクチャデータなど、またはその他の適切なセキュリティ関連データを含めることができる。
【0006】
前記挙動プロセッサは、その中に含まれる1つまたは複数のデータ、特徴、または特性に基づいて、前記データまたはデータセットから1つまたは複数の挙動を抽出および/または特定するように構成することができる。前記挙動プロセッサは、さらに、前記1つまたは複数の抽出または特定された挙動を戦術プロセッサに提供することができる。いくつかのバリエーションにおいて、前記挙動プロセッサは、さらに、前記特定された挙動に基づいて、1つまたは複数の追加または複合挙動を抽出および/または特定するように構成することができる。
【0007】
一実施形態では、前記挙動プロセッサは、挙動データ記憶装置に記憶された既知の挙動に対して、前記データまたはデータセットに含まれる前記1つまたは複数のデータ、特徴、または特性をマッピングするように(例えば、ストリームマッピング、正規表現タイプマッピングなどを使用して)構成することもできる。前記1つまたは複数の特定または抽出された戦略は、前記挙動プロセッサのさらなる開発のために、前記挙動プロセッサにさらに提供することができる。
【0008】
前記戦術プロセッサは、前記1つまたは複数の抽出または特定された挙動に基づいて、1つまたは複数の戦術を抽出または特定するように構成することができ、これらの1つまたは複数の特定された戦術を戦術分類器に送信する。いくつかのバリエーションにおいて、前記戦術プロセッサは、また、前記1つまたは複数の抽出または特定された挙動と前記1つまたは複数の抽出または特定された戦術とに基づいて、1つまたは複数の追加または複合戦術を抽出または特定するように構成することができ、前記挙動プロセッサは、抽出または特定された戦術に基づいて、1つまたは複数の挙動を抽出または特定するようにさらに構成することができる。
【0009】
一実施形態では、前記戦術プロセッサは、戦術データ記憶装置に記憶された既知の戦術に対して、前記1つまたは複数の特定または抽出された挙動をマッピング(例えば、ストリームマッピング、正規表現タイプマッピングなどを使用して)するように構成される。
【0010】
前記戦術プロセッサは、前記特定または抽出された戦術を戦術分類器に送信し、前記戦術分類器は、前記抽出または特定された戦術を受信し、前記1つまたは複数の特定または抽出された戦術が1つまたは複数のセキュリティ脅威または悪意のある行為を示すかどうかを判定する。前記戦術分類器は、本開示の範囲から逸脱することなく、統計モデル、機械学習モデル、または任意の適切な/信頼できる教師付きまたは非教師付き学習アルゴリズムやモデルなどを含むことができる。
【0011】
いくつかの変形例では、前記システムは、前記1つまたは複数の特定された戦術が1つまたは複数のセキュリティ脅威または悪意のある行為を示すと判定された場合に、セキュリティ脅威または悪意のある行為をユーザに通知するアラートまたはアラームを生成することができる。
【0012】
一実施形態では、本開示は、また、1つまたは複数のセキュリティ脅威または悪意のある行為を検出する方法を含むことができる。前記方法は、1つまたは複数のデータ生成部からデータまたはデータセットを受信し、前記データまたはデータセットを挙動プロセッサに提供することを含むことができる。前記方法は、また、前記挙動プロセッサによって、前記データまたはデータセットに含まれる1つまたは複数のデータ、特徴、または特性に基づいて、前記データまたはデータセットから1つまたは複数の挙動を抽出または特定すること、および、前記1つまたは複数の抽出または特定された挙動を戦術プロセッサに提供すること、を含むことができる。その後、前記方法は、前記戦術プロセッサによって、前記1つまたは複数の抽出または特定された挙動に基づいて、1つまたは複数の戦術を抽出または特定すること、および、前記1つまたは複数の特定された戦術を、例えば、統計学習モデルまたは機械学習モデルを含む戦術分類器に送信すること、を含むことができる。さらに、前記方法は、前記戦術分類器によって、前記1つまたは複数の特定された戦術が前記1つまたは複数のセキュリティ脅威または悪意のある行為を示すかどうかを判定することを含むことができ、いくつかのバリエーションにおいて、前記方法は、前記特定された戦術がセキュリティ脅威または悪意のある行為を示す場合に、アラート、アラームなどを生成すること、を含むことができる。
【0013】
一態様において、セキュリティ脅威または悪意のある行為を検出するシステムは、1つまたは複数のプロセッサと、1つまたは複数のプロセッサによって実行されたときに1つまたは複数の構成要素を実行する複数の命令をそこに格納したメモリと、を備えることができ、前記1つまたは複数の構成要素は、1つまたは複数のデータ生成部からデータを受信し、前記データを挙動プロセッサに送信し、前記挙動プロセッサを使用して、そこに含まれるデータ、特徴、または特定に基づいて、前記データから1つまたは複数の挙動を特定し、前記1つまたは複数の特定された挙動を戦術プロセッサに提供し、前記戦術プロセッサを使用して、前記1または複数の特定された挙動に基づいて、1つまたは複数の戦術を特定し、前記1つまたは複数の特定された戦術を戦術分類器に送信し、前記戦術分類器を使用して、前記1つまたは複数の特定された戦術が1つまたは複数のセキュリティ脅威または悪意のある行為を示しているかどうかを判定する。
【0014】
前記1つまたは複数の構成要素は、前記1つまたは複数の特定された戦術が1つまたは複数のセキュリティ脅威または悪意のある行為を示すと判定された場合に、セキュリティ脅威または悪意のある行為をユーザに通知するアラートまたはアラームを生成するようにさらに構成することができる。
【0015】
前記データは、システムログ、ユーザメタデータ、インフラストラクチャデータ、またはそれらの組み合わせを含むことができる。
【0016】
前記1つまたは複数の挙動を特定するために、前記挙動プロセッサは、前記データに含まれる前記1つまたは複数のデータ、特徴、または特性を、挙動データ記憶装置に記憶された既知の挙動に対して、マッピングするように構成することができる。
【0017】
前記1つまたは複数の戦術を特定するために、前記戦術プロセッサは、前記1つまたは複数の特定された挙動を、戦術データ記憶装置に記憶された既知の戦術に対して、マッピングするように構成することができる。
【0018】
前記1つまたは複数の構成要素は、前記挙動プロセッサを使用して、前記1つまたは複数のデータ、特徴、または特性、1つまたは複数の特定された挙動、若しくは、それらの組み合わせに基づいて、1つまたは複数の追加の挙動を特定するようにさらに構成することができる。
【0019】
前記1つまたは複数の構成要素は、さらに、前記挙動プロセッサを使用して、前記1つまたは複数の特定された戦術に基づいて、1つまたは複数の追加の挙動を抽出または特定するように構成することができる。
【0020】
前記1つまたは複数の構成要素は、さらに、前記戦術プロセッサを使用して、前記1つまたは複数の特定された挙動、前記1つまたは複数の特定された戦術、または、それらの組み合わせに基づいて、1つまたは複数の追加の戦術を特定するように構成することができる。
【0021】
前記戦術分類器は、統計モデルまたは機械学習モデルを含むことができる。
【0022】
一態様では、1つまたは複数のセキュリティ脅威または悪意のある行為を検出する方法は、1つまたは複数のデータ生成部からデータを受信すること、挙動プロセッサにデータを提供すること、前記挙動プロセッサによって、そこに含まれるデータ、特徴、または特性に基づいて、前記データから1つまたは複数の挙動を特定すること、前記1つまたは複数の特定された挙動を戦術プロセッサに提供すること、前記戦術プロセッサによって、前記1つまたは複数の特定された挙動に基づいて、1つまたは複数の戦術を特定すること、前記1つまたは複数の特定された戦術を戦術分類器に送信すること、および、前記戦術分類器によって、前記1つまたは複数の特定された戦術が前記1つまたは複数のセキュリティ脅威または悪意のある行為を示すかどうかを判定すること、を含むことができる。
【0023】
前記方法は、また、前記1つまたは複数の特定された戦術が1つまたは複数のセキュリティ脅威または悪意のある行為を示すと判定された場合に、セキュリティ脅威または悪意のある行為をユーザに通知するアラートまたはアラームを生成および提供すること、を含むことができる。
【0024】
前記1つまたは複数の挙動を特定することは、前記挙動プロセッサによって、前記データに含まれる前記1つまたは複数のデータ、特徴、または特性を、挙動データ記憶装置に記憶された既知の挙動に対して、マッピングすること、を含むことができる。
【0025】
前記1つまたは複数の戦術を特定することは、前記戦術プロセッサによって、1つまたは複数の特定された挙動を、戦術データ記憶装置に記憶された既知の戦術に対して、マッピングすること、を含むことができる。
【0026】
前記方法は、また、前記挙動プロセッサによって、前記1つまたは複数のデータ、特徴、または特性、1つまたは複数の特定された挙動、若しくは、それらの組み合わせに基づいて、1つまたは複数の追加の挙動を特定すること、を含むことができる。
【0027】
前記方法は、また、前記挙動プロセッサによって、前記1つまたは複数の特定された戦術に基づいて、1つまたは複数の追加の挙動を特定すること、を含むことができる。
【0028】
前記方法は、また、前記戦術プロセッサによって、前記1つまたは複数の特定された挙動、前記1つまたは複数の特定された戦術、またはそれらの組み合わせに基づいて、1つまたは複数の追加の戦術を特定すること、を含むことができる。
【0029】
前記戦術分類器は、統計モデルまたは機械学習モデルを含むことができる。
【0030】
前記データは、システムログ、ユーザメタデータ、インフラストラクチャデータ、またはそれらの組み合わせを含むことができる。
【0031】
本開示の様々な目的、特徴、および利点は、添付の図面と併せて以下の詳細な説明を再検討することにより、当業者に明らかになる。
【図面の簡単な説明】
【0032】
説明を簡単かつ明確にするために、図面に示された要素は、必ずしも一定の縮尺で描かれていないことが理解される。例えば、いくつかの要素の寸法は、他の要素に対して誇張されている可能性がある。本開示の教示を組み込んだ実施形態は、以下の図面に関して示され、説明される。
【0033】
【図1】本開示の原理によるシステムレベルセキュリティのための階層的挙動行動のモデル化および/または検出システムを示す。
【0034】
【0035】
【図3】本開示による例示的な戦術のフローダイアグラムを示す。
【0036】
【0037】
【図5】本開示の原理による情報処理システムのネットワークシステムを示す。
【0038】
【図6A】本開示の一例による、セキュリティ脅威または悪意のある行動の階層的モデル化または検出プロセスまたは方法を示す。
【図6B】本開示の一例による、セキュリティ脅威または悪意のある行動の階層的モデル化または検出プロセスまたは方法を示す。
【0039】
異なる図面における同じ参照符号の使用は、類似または同一のアイテムを示す。
【発明を実施するための形態】
【0040】
図面と組み合わせた以下の説明は、本明細書に開示される教示の理解を助けるために提供される。この説明は、本教示の特定の実装および実施形態に焦点を当てており、本教示の説明を助けるために提供される。この焦点は、教示の範囲または適用可能性に対する限定として解釈されるべきではない。
【0041】
図1-6Bに示すように、本開示は、システムレベルセキュリティのための階層的挙動行動モデル化および検出システムおよび方法を含む。例えば、外部ソースからのデータまたはデータセット(例えば、オペレーティングシステムログ、ネットワークデバイスログ、ネットフローレコード、エンドポイントセキュリティレコード、インフラストラクチャ監査ログなど)は、受信/取得され、解釈され、分析され、モデル化されるなどの可能性があり、データまたはデータセットが、敵対/脅威者によって取られた行為によって生成された可能性が高いデータソースに関する、またはデータソースからの1つまたは複数のデータ配列を含むかどうかを判定する。
【0042】
図1は、セキュリティ脅威または悪意のある行為のモデル化または検出システム10の概略図を示す。図1に示すように、データ生成部12は、データまたはデータセットを作成し、そのようなデータまたはデータセットを1つまたは複数の入力14としてシステム10に提供する。図1は、データが複数のデータ生成部12によって様々な形態で提供されても良いことを示し、データは、システムログ、ユーザメタデータ、インフラストラクチャデータなど、または、外部または内部データ生成部からの他の適切なデータまたは情報を含むが、これらに限定されない。データ生成部12は、共通の実装を共有しても良いが、複数の主体によって動作される可能性がある。また、単一の主体は、異なる実装で複数のデータ生成部を動作させても良い。
【0043】
本明細書に示され、説明されるすべてのデータは、それぞれのソースごとに、最小の意味のあるデータ、特徴、または特性にセグメント化される可能性があることが、さらに、一般に理解される。通常、データ、特徴、または特性は、ソースデータ生成部12によって生成または観測された単一の離散イベントの発生を構成する粒度の高い情報量を含むことができる。例えば、エンドポイントセキュリティテクノロジは、ホスト上で実行されるすべてのプロセスのデータを発行しても良く、ファイアウォールテクノロジは、ブロックされた/ブロックされていない通信のデータを発行しても良く、ネットワークテクノロジは、ネットワーク「フロー」等のデータを発行しても良い。
【0044】
一実施形態では、プリプロセッサ(図2Aに示すプリプロセッサ50など)は、そのようなデータをより一般的なクラスまたはタイプ(例えば、エンドポイント、ファイアウォール、IDSなど)のデータに正規化するために使用されても良い。データのタイプは、一般に、ソース固有であっても良く、様々なデータプロバイダ12が、複数のタイプのデータを発行しても良い。本開示の実施形態は、本開示の範囲から逸脱することなく、様々なグループ分け、符号化、フォーマット、または表現に作用しても良い。
【0045】
さらに図1に示すように、システム10は、入力データ12を消費し、データ配列を処理し、挙動プロセッサ16と通信する挙動データ記憶装置18に記録として記憶された既知の挙動などの既知の挙動に一致するデータ、特徴、特性、またはそれらの配列を特定、抽出、または検出する1つまたは複数の挙動プロセッサ16を含む。挙動は、単一のデータ、若しくは、時系列または手続き順の挙動構成要素の順序集合から構成されても良い。挙動プロセッサ16は、データまたはデータセット12の1つまたは複数のデータ、特徴、または特性、若しくは配列を、挙動データ記憶装置18に記録として記憶された既知の挙動(または、そのデータ、特徴、または特性)に対して、マッピングまたはマッチングするように構成される可能性がある。
【0046】
いくつかのバリエーションにおいて、挙動プロセッサ16は、ストリームマッチング、正規表現型マッチングなどを採用することができるが、挙動データ記憶装置18内の記録は、本開示の範囲を逸脱することなく、任意の適切なマッピングまたはオントロジーを用いて、別のサブシステム、プロセスまたは分析を用いて、および/またはデータプロバイダなどに関連する環境または類似のメタデータのコンテキストの理解を介して、挙動を特定、抽出、または検出するために使用されても良い。
【0047】
本開示の実施形態によれば、挙動データ記憶装置18内の記録は、オペレーティングシステムに対する特定のまたは個別の変更を構成する単一の行動を表しても良い。挙動の特定は、受信された1つまたは複数のデータセット内のデータ、特徴、または特性に関する特定の基準に依存しても良い。一例では、特定のマイクロソフトWindows(登録商標)レジストリキーの作成を示す外部オペレーティングシステムまたはエンドポイントセキュリティログからのデータが、既知のプロセスの挙動が情報処理システムまたは装置上で実行されたことを示すことができる。
【0048】
別の例では、既知の敵対的インフラストラクチャへのアウトバウンドネットワーク接続を開始するコンピュータを特定する外部ネットワークデバイスログから受信されたネットフローデータは、データ漏洩または指揮統制型の挙動を示すことができる。さらに別の例では、例えば、1つまたは複数のログソースからの兆候であって、ユーザが特定のウェブページ、電子メールアカウントなどにログインまたはアクセスしたことを示す兆候は、挙動を示す可能性がある。さらに、挙動は、異なるシステムユーティリティの実行、様々なシステムツールの実行、様々なネットワークデバイスのスキャンなど、単一の挙動としてフラグを立てられる様々な異なるタイプの特定の行動を表す汎用挙動を含むことができる。
【0049】
図1は、さらに、システム10が、特定された挙動22を受信して、それに基づいて戦術データ記憶装置24に記憶された既知の戦術の配列を特定、抽出、または検出する戦術プロセッサ20も含む、ことを示す。戦術プロセッサ20は、特定された挙動に基づいて、例えば、特定された挙動を、戦術データ記憶装置24に記録として記憶された既知の戦術に対して、マッピングまたはマッチングすることによって、1つまたは複数の既知の戦術を特定、抽出、または検出するように構成される可能性がある。いくつかの変形例では、戦術プロセッサ20は、ストリームマッチングまたは正規表現タイプマッチングを採用または使用することができるが、本開示の範囲から逸脱することなく、戦術データ記憶装置24内の記録から既知の戦術を特定し、抽出し、または検出するための他の適切/信頼できる照合またはマッピング方法または他のオントロジーが使用または採用される可能性がある。
【0050】
挙動データ記憶装置18および戦術データ記憶装置24内の記録または情報は、一般に、それぞれ既知の挙動および既知の戦術の機械可読表現を含む。挙動データ記憶装置18および戦術データ記憶装置24は、データベース(例えば、DBMS、RDMS、RDBMSなどのリレーショナルデータベース)、インデックス、ファイル(例えば、スプレッドシート、txtファイルなど)または他の適切なデータ記憶装置など、本開示の範囲から逸脱することなく、任意の適切なデータ記憶装置を含むことができる。さらに、挙動および戦術は、必ずしも任意の特定の個人、グループ、および/または技術に本質的に固有のものではない(例えば、多くの戦術が2人以上の敵対者によって採用されてもよい)と理解されるが、挙動および戦術は、特定のツールおよび/または手続きを繰り返し採用し得る敵対者などの特定の敵対者の特定の行為またはトレードクラフトを示しても良い。
【0051】
本開示の実施形態によれば、戦術データ記憶装置24内の記録は、時系列的に、または親子、ネットワークポートソースおよび宛先マッチなどの何らかの他の意味関係、または他の適切な関係に従って順序付けられた既知の挙動の順序付けられたセットである戦術の表現である。したがって、戦術プロセッサ20は、既知の悪意あるまたは悪い挙動のための入力ソースとして戦術データ記憶装置24を使用して、比較的長い期間にわたって既知の挙動を追跡し、既知の戦略を特定し、抽出し、検出することができ、戦術データ記憶装置24も、戦術プロセッサによって特定される新しい戦術または戦術のバリエーションで補足される可能性がある。
【0052】
例えば、1つの既知の悪意ある戦術は「ビジネスメール詐欺」と呼ばれる技法を含み、敵対者がユーザのビジネスメールアカウント情報を盗むか、または他の方法でユーザのビジネスメールアカウントにアクセスし、ユーザに送られた特定のメールを得るために、電子メール、例えば、特定の件名行に一致する電子メールを、外部の電子メールアドレスに転送する転送ルールを作成する。したがって、このような戦術の特定または抽出のために、戦術プロセッサ20は、電子メールアカウントへのログイン、転送ルールの作成、および外部電子メールアドレスへの電子メールの転送/送信(例えば、時間の経過とともに発生する)などの一連の既知の挙動を追跡し、マッピングまたはマッチングすることができ、戦術の終了条件が満たされたとき、以下に論じるように、戦術分類器30に転送することができる戦術として、これらの一連の挙動を抽出および/または特定することができる。
【0053】
図1は、特定された戦術26が、1つまたは複数の複合戦術、例えば、2つ以上の個別の戦術から構成される戦術、を特定、抽出、または検出するために、戦術プロセッサ22のための1つまたは複数の入力28になっても良いことをさらに示す。例えば、図1に示すように、1つまたは複数の戦術を特定すると、特定された戦術を戦術プロセッサ20に送信することができ、1つまたは複数の特定された戦術26、または1つまたは複数の特定された戦術26および1つまたは複数の特定された挙動22の組み合わせに基づいて、戦術プロセッサ20は、1つまたは複数の複合戦術を抽出、特定、または検出することができる(例えば、戦術データ記憶装置24内の記録のマッピングまたはマッチングを使用)。
【0054】
さらに、いくつかの変形例では、特定された挙動22または特定された戦術26の各々が、2つ以上の挙動から構成される挙動、または、1つまたは複数の挙動および1つまたは複数の戦略から構成される挙動など、1つまたは複数の追加または複合挙動の訓練および特定または抽出を支援するために、挙動プロセッサ16への入力32および33になっても良い。例えば、図1に示すように、挙動プロセッサ16による挙動22の抽出、特定、または検出時に、特定された挙動22は、例えば、(例えば、挙動データ記憶装置18内の記録のマッピングまたはマッチングによって)1つまたは複数の挙動を含む1つまたは複数の複合挙動の抽出、特定、または検出のために挙動プロセッサ16に送信される可能性がある。さらに、戦術26の抽出、特定、または検出時に、特定された戦術は、1つまたは複数の戦術を含む追加の挙動の特定、抽出、または検出のために戦術プロセッサに送信される可能性がある(例えば、マッピングまたはマッチングは、抽出/特定された戦術、特定された挙動および/またはデータまたはデータセットのデータ、特徴、または特性を挙動データ記憶装置18と比較するために、使用される可能性がある)。
【0055】
本開示の実施形態によれば、挙動は、(i)単一のデータ、(ii)2つ以上のデータ、(iii)挙動および1つまたは複数のデータ、(iv)2つ以上の挙動、(v)1つまたは複数の戦術および1つまたは複数のデータ、(vi)1つまたは複数の戦術および1つまたは複数の挙動、または(vi)1つまたは複数の戦術、1つまたは複数の挙動、および1つまたは複数のデータ、を含むことができる。また、戦術は、(i)1つの挙動、(ii)2つ以上の挙動、または(iii)1つまたは複数の戦術および1つまたは複数の挙動、を含むことができる。
【0056】
また、図1に示されるように、システム10は、特定された戦術26を1つまたは複数の入力として受信する戦術分類器30を含む(例えば、1つまたは複数の戦術および/または複合戦術の特定時に、戦術プロセッサ20は、これらを戦術分類器30に送信することができる)。戦術分類器30は、各特定された戦術26およびその関連する特性を含む特定のデータ配列に従って、これらの特定された戦術26を処理または分析することができる。
【0057】
いくつかの変形例では、データは、データプロバイダ12、挙動データ記憶装置18、および戦術データ記憶装置24によって提供されるメタデータに基づいて、重大度または信頼度に従ってランク付けされても良い。さらに、戦術分類器30は、統計モデル化、機械学習などの複数の分類および閾値ベースの技術を採用しても良く、データ生成部からのデータ、特徴、または特性、特定された挙動、および/または特定された戦術を含むデータに基づいて悪意のある戦術を分類する。
【0058】
一実施形態では、戦術分類器30は、異常検出機械学習アルゴリズムを採用することができるが、本開示の範囲から逸脱することなく、他の適切なアルゴリズム(例えば、機械学習、統計学など)が使用される可能性がある。戦術分類器30からの分類または出力は、悪意のある戦術を経時的に分類する際の戦術分類器30の精度または有効性を改善するのを助けるために、戦術分類器30を連続的に更新または訓練するために使用される可能性がある。
【0059】
一実施形態では、システム10から出力された情報または戦術の分類34は、特定のクラス(すなわち、敵対者)に属する戦術の特定に関して、システムオペレータ、ユーザなどに警告するように設計された別個のシステムまたはプロセッサ36に送信され、それによって消費される可能性がある。例えば、戦術が敵対者34によって使用された戦術として分類される場合、システム/プロセッサ36は、アラート、アラームなどを生成して、システム防御者またはユーザに、悪意の可能性のある行動を通知することができる。
【0060】
単純化および明確化のために、図1に関して提供された説明は、データが外部ソースから連続的に提供される「ストリーミング」データモデルの仮定の下にあり、処理および出力は、システム10によって永続的に実行されることが理解される。しかしながら、本開示の範囲から逸脱することなく、等価な機能は、「バッチ」方式で達成することが可能である。
【0061】
図2Aおよび図2Bは、本開示の原理に従って、例えば、挙動プロセッサ16を使用する挙動処理の概略図を提供し、挙動処理は経時的に示され、例えば、図2Aの左側はより早い時刻を示す。図2Aに示すように、外部データ生成部12は、システム10によって受信されるか、またはシステム10に進められるデータまたはデータセットを出力し、このデータまたはデータセットは、システム10での使用のために、データまたはデータセットをフォーマットするために前処理される前処理装置または一連の前処理装置50に送信または進めることが可能である。プリプロセッサ50は、挙動プロセッサ16と通信する別個の構成要素であっても良いが、プリプロセッサ50は、本開示の範囲から逸脱することなく、挙動プロセッサ16の一部として組み込んでも良い。図2Aは、さらに、挙動プロセッサ16、戦術プロセッサ20などのシステム10内部のデータソース51も、挙動処理のためのデータを生成する、ことを示す。しかし、この内部データは、前処理を必要としない場合がある。
【0062】
図2Aに示すように、データまたはデータセットは、一般に、挙動プロセッサ16によって順次処理される特定のデータ、特徴、または特性52を含む。例えば、外部データ生成部Bからのデータ52を含むデータは、EDb1、EDb2、EDb3~EDbNの順序で処理され、内部のデータ生成部Aからのデータ52を含むデータは、IDa1、IDa2、IDa3~IdaNの順序で処理される。
【0063】
その後、図2Bに示すように、挙動プロセッサ16は、挙動データ記憶装置18を使用して、挙動22(B1、B2、B3~BNなど)を特定または抽出する。例えば、システム10が外部データEDm1およびEDm2を観測し、その組合せが挙動データ記憶装置18に存在すると、挙動B1が特定される。さらに、挙動B2は単一のデータEDb3から特定される可能性があり、挙動B3は外部データプロバイダAから発信されるデータ52、すなわちEDa3、および異なる外部データプロバイダBから発信されるデータ52、すなわちEDb4から特定される可能性がある、ことが分かる。
【0064】
図2Bは、さらに、いくつかのタイプの複合挙動を示す。例えば、図2Bに示すように、挙動B4は、異なる外部のプロバイダからの2つのデータ52、すなわちEDm2およびEDm5だけでなく、以前の挙動B1から構成される。さらに、挙動B5は、図2Bに概略的に示されるように、内部のデータプロバイダAからのデータ52、すなわちIDa1と、外部のプロバイダBからのデータ52、すなわちEDb5と、から構成される。特定された挙動22は、その後、図1および図2Bに示されるように、戦術プロセッサ20によって処理される可能性がある。
【0065】
挙動の構成要素データ、特徴、または特性52は、一般に、各挙動の作成前に観察される(例えば、EDm1およびEDm2は、B1の作成前に生じる)。そうでなければ、図2Bのデータの垂直整列は、複数のソースからのデータが他のソースからのデータと同期して処理されなければならないこと、任意の与えられたソースが他のソースからのデータを待って「ブロック」すること、またはデータの正確な垂直整列に関連する任意の他の推論を意味しない。
【0066】
本開示の実施形態によれば、図3および4A~4Hに一般的に示されるように、戦術は、一般に、フローチャート、有向グラフ、有限オートマトンなどを使用して描写することができる。図3は、フローチャートとして示される例示的な戦術68を描写する。図3に示されるように、例示的な戦術68は、初期または開始状態70(すなわち、「状態1」)から終了または最終状態72(すなわち、「状態3」)にシステムまたはデバイスを変更するまたは変化させることを含むことができ、例えば、例示的な戦術68は、この初期状態70(すなわち、「状態1」)からこの最終状態72(すなわち、「状態3」)にシステム/デバイスを変更するいくつかの個別の挙動22と挙動22のいくつかの組合せとを含むことができる。特に、いくつかの単一の挙動22(例えば、挙動C、D)は、それ自体で、システム/デバイスを初期状態70(すなわち、「状態1」)から終了状態72(すなわち、「状態3」)に直接変更して、戦術68の検出を完了し、さらに、いくつかの挙動(例えば、挙動A、G、L、M)は、システム/デバイスを初期状態70(すなわち、「状態1」)から中間状態74(すなわち、「状態2」)に変更し、追加の挙動(挙動Bなど)は、システム/デバイスをこの中間状態74(すなわち、「状態2」)から終了/最終状態72(すなわち、「状態3」)にして、戦術68の検出を完了する。
【0067】
図3に示す一例のシーケンスでは、挙動Aに遭遇した場合、「一致A」との判定が実行され、フローは中間状態74(すなわち、「状態2」)に移動し、次いで、挙動Dに遭遇した場合、「一致D」との判定が実行され、フローは、再び中間状態74(すなわち、「状態2」)に移動/戻る。この時点で、挙動Bに遭遇した場合、「一致B」との判定が実行され、戦術68が完了される(例えば、システム/デバイスは最終/終了状態72、すなわち、「状態3」に移動する)。したがって、図3に示すように、挙動A、D、Bのシーケンスは、フローが最終/終了状態72(すなわち、「状態3」)に到達することになる。
【0068】
しかしながら、挙動22の他のシーケンスも、最終状態72(すなわち、「状態3」)に到達することができ、それゆえ、この既知の戦術68によって示されるのと同じアプローチを示すこともできる。例えば、終了状態72(すなわち、「状態3」)にうまく到達することができる挙動22の有効なシーケンスのセットは、AMB、AB、ADDDB、GNDB、MB、MMB、CおよびDを含むが、これらに限定されない。本開示によれば、これらのシーケンスのいずれかが、戦術プロセッサ20によって特定される場合、戦術68が特定または抽出される。さらに、図3から、挙動22が種々の異なる位置で起こり得ることが、図3から理解される。例えば、挙動Mは、シーケンス内でMが遭遇するときに応じて、初期状態70(すなわち、「状態1」)の後、または中間状態74(すなわち、「状態2」)の後に決定がなされることができる。挙動22のシーケンスは、順序付けられてもよいが、図2Bに示されるように隣接している必要はない。
【0069】
いくつかのバリエーションにおいて、単一のデータ、挙動、または戦術は、それ自体で、セキュリティ関連性を有しても良い。これらの場合、単一のデータ、挙動、または戦術は、より大きな特定された戦術の検出を「アンカー」すると言われる。そうでなく、より大きな戦術が検出されない場合、この「アンカー」はより大きな戦術を検出させても良く、またはアンカーが検出の属性に影響を及ぼしても良い(例えば、信頼度を増加させる)。例えば、図3に示すように、挙動ADDDQBおよびADDDBのシーケンスは、両方とも終了状態74(すなわち、「状態3」)に達し、同様に横断する。しかしながら、挙動A、D、およびBが比較的良性であり、この特定の配列であれば、セキュリティ関連挙動、すなわちQの追加は、配列を有意に関心のあるものにすることができるので、わずかに関心のあるものになるだけである。
【0070】
図4A~4Eは、例示的な戦術68の代替的なグラフィカルな描写を提供し、いくつかの挙動22を介して、連続する4A~4Eに漸進的に描写されるこの戦術68の例示的な特定を描写する。図4Aでは、初期状態70(すなわち、「状態1」)が示されている。図4Bでは、挙動Aが処理し、グラフを中間状態74(すなわち、「状態2」)に進めることが分かる。挙動Dは、図4Cに示されており、図4Cに示すように、挙動Dは、再び中間状態74(すなわち、「状態2」)に進む。同様に、挙動Dの第2の例が、図4Dで処理され、再び中間状態74(すなわち、「状態2」)に進む。最後に、図4Eに示すように、挙動Bが処理されると、グラフは、最終/終了状態72(すなわち、「状態3」)に進み、戦術68の検出を完了する。
【0071】
図4Fは、中間状態74(すなわち、「状態2」)への代替遷移を示す。すなわち、図4Fでは、挙動Gが処理されて、中間状態74(すなわち、「状態2」)に進む。図4Gは、挙動Cの処理が初期状態70(すなわち、「状態1」)から最終/終了状態72(すなわち、「状態3」)に直接進む異なる遷移を示す。
【0072】
図4Hは、戦術68の検出/展開の例示的な描写である。図4Hに示すように、挙動22(A、G、LまたはM)のいずれかは、初期状態70(すなわち、「状態1」)から中間状態74(すなわち、「状態2」)に進み、一方、挙動CまたはD(22)は、中間状態74(すなわち、「状態2」)から最終/終了状態72(すなわち、「状態2」)に直接進む。さらに、挙動M、D、N、またはQのいずれかが、中間状態74(すなわち、「状態2」)から、中間状態74(すなわち、「状態2」)に進み/再び戻る(ただし、必要に応じて任意の属性を更新する)。しかしながら、中間状態74(すなわち、「状態2」)からの挙動Bは、中間状態(すなわち、「状態2」)から終了状態72(すなわち、「状態3」)に進む。その結果、一例では、戦術68は、戦術68を検出する(([AGLM])([MDNQ])*B)|([CD])のような終了状態72(すなわち、「状態3」)に類似する正規表現を使用して部分的に符号化されても良い。
【0073】
図3とは異なり、図4A-4Eは、挙動22の属性を示し、そのうちのいくつかは、グラフ内の状態の属性に関連し、影響を及ぼしても良い。挙動22は、0以上の属性を有しても良く、そのいずれかが、戦術の特定または後続の分類に影響を及ぼしても良い。図4A~4Eにおいて、属性「x」の値は、各状態における属性「y」の値に影響を及ぼす。この影響は、各戦術表明に対する各属性に対して変化し得る機能を介して適用される。属性は、本開示から逸脱することなく、戦術定義の一部として使用され、状態遷移がいつ発生するかを指示し、システムの出力に受動的に渡され、特定の戦術特定(例えば、「信頼値」)のインスタンスに関する何らかのプロパティを導出するために使用され、または何らかの他の目的のために使用され得る。
【0074】
いくつかの変形例では、システム10は、データ生成者12によって提供されるデータ、特徴、または特性の解像度、信頼度、および/または忠実度を組み込む。これらのプロパティは、図4A~4Eに属性として組み込まれ、図2Aに示されるプリプロセッサ50に組み込まれ、または、他の場所に組み込まれ得る。いくつかの変形例では、単一の外部イベントによって、データ、特徴、または特性が2つ以上のデータ生成部12によって提供されても良く、これらのデータ、特徴、または特性は、解像度、信頼度、および/または忠実度について異なる値を有しても良い。このような場合、システム10は、各データ、特徴、または特性を独立して(例えば、2つ以上の挙動を特定する)考慮して行動し、または、それら非独立して(例えば、1つの挙動を特定し、追加データ、特徴、または特性に起因してその挙動にさらに影響を及ぼす)行動しても良い。
【0075】
本開示の実施形態によれば、システム10の様々な構成要素(例えば、図1に示される挙動プロセッサ16、戦術プロセッサ20、戦術分類器30など)は、例えば、図5に概して示されるように、メモリに格納される可能性があり、且つ、1つまたは複数の情報処理システム80の1つまたは複数のプロセッサ(概して「プロセッサ」と呼ばれる)によって実行またはアクセスされる可能性がある、コンピュータプログラム可能命令、ワークフローなどを含むことができる。いくつかの例では、図1に示されているすべての構成要素(例えば、挙動プロセッサ16、戦術プロセッサ20、戦術分類器30など)は、例えば、その中に十分なプロセッサおよびメモリコンピューティングリソースがある場合など、個々の情報処理システム/デバイスの一部として実行可能であることが理解される。
【0076】
しかしながら、他の例では、システム10は、様々な情報処理システム/デバイスにわたって配備されても良い(すなわち、物理的な存在または「クラウド」インフラストラクチャに関係なくシステムを配備する)。さらに、図1は、その様々なプロセスを実行するための単一の挙動プロセッサ16、戦術プロセッサ20、および戦術分類器30のみを示しているが、システム10は、本開示の範囲から逸脱することなく、任意の適切な数の挙動プロセッサ16、戦術プロセッサ20、および/または戦術分類器30を含むことができる。
【0077】
本開示の目的のために、情報処理システム80(図5)は、ビジネス、科学、制御、または他の目的のための任意の形態の情報、インテリジェンス、またはデータを計算し、算出し、判定し、分類し、処理し、送信し、受信し、検索し、発信し、切り替え、格納し、表示し、通信し、明示し、検出し、記録し、再生し、処理し、または利用するように動作可能な任意の手段または手段の集合を含んでも良い。
【0078】
例えば、情報処理システムは、パーソナルコンピュータ(例えば、デスクトップまたはラップトップ)、タブレットコンピュータ、モバイルデバイス(例えば、パーソナルデジタルアシスタント(PDA)またはスマートフォン)、サーバ(例えば、ブレードサーバまたはラックサーバ)、ネットワークストレージデバイス、または任意の他の適切なデバイスであっても良く、サイズ、形状、性能、機能性、および価格が異なっても良い。情報処理システムは、ランダムアクセスメモリ、中央処理装置(CPU)若しくはハードウェアまたはソフトウェア制御ロジックのような1つまたは複数の処理リソース、リードオンリーメモリ(ROM)、および/または他のタイプの不揮発性メモリを含んでも良い。情報処理システムの追加の構成要素は、キーボード、マウス、タッチスクリーンおよび/またはビデオディスプレイなどの様々な入出力(I/O)と同様に、1つまたは複数のディスクドライブ、外部装置と通信する1つまたは複数のネットワークポートを含んでも良い。また、情報処理システムは、様々なハードウェア構成要素間の通信を伝送するように動作可能な1つまたは複数のバスを含んでも良い。
【0079】
図5に示すように、いくつかの実施形態では、システム10は、情報処理システム/デバイス80または他の通信可能なシステム/デバイスのネットワークシステム82を含むことができる。ネットワーク84は、ワークステーション、パーソナルコンピュータ、スマートセルラーフォン、パーソナルデジタルアシスタント、ラップトップコンピュータ、サーバ、および他の適切な装置を含むことができる情報処理システム/装置80間のデータ通信を提供しても良い。ネットワーク84は、ローカルエリアネットワークのようなプライベートまたはパブリックネットワーク、またはインターネット若しくは別のワイドエリアネットワークのような他の適切なネットワーク、仮想パーソナルネットワーク、ピアツーピアファイリング共有システム、および/または他の適切な通信回線、またはそれらの組み合わせを含むことができる。図5は、また、リンクされたまたはネットワーク化された情報処理システム80が、ネットワーク84に通信可能に接続された1つまたは複数の監視装置86を含んでも良いことを示す。監視装置86は、管理セキュリティ・サービス・プロバイド(「MSSP」)によって管理される可能性がある。
【0080】
一実施形態では、監視デバイス86は、プロセッサおよびメモリまたは他の適切な記憶装置を有するサーバまたはシーケンスアナライザまたは他のクライアント適切なコンピューティングデバイスを含んでも良い。メモリは、ランダムアクセスメモリ、リードオンリーメモリ、および/または他の非一時的なコンピュータ読み取り可能媒体を含むことができる。監視装置56は、さらに典型的には、各ネットワーク化されたシステムでの行動、例えば、ネットワーク84に接続された情報処理システム80の行動を、リアルタイムで連続的に監視するために、コンピュータ可読命令を記憶し実行するように動作可能である。監視デバイス86は、情報処理システム80の行動に関連する情報またはデータログを取り込み/集約することができ、これらの取り込まれた/集約データログ、または情報、またはそれに関連するデータを、それによって処理するためにシステム10によって提供することができる。
【0081】
加えて、または代替案として、システム10は、複数のネットワーク化された情報処理システム80と共に、MSSPによって管理されたデータセンター88のようなデータセンター88を含むことができる。データセンター88は、例えば、少なくとも1つのメモリ92およびシステム82の情報処理システム80の行動に関連する情報またはデータログを受信する1つまたは複数のプロセッサ94を有する、1つまたは複数のサーバ90を含む。これらの情報/データログは、生または正規化された情報、または、それによって処理するためにシステム10に提供される可能性があるデータを含むことができる。
【0082】
図6Aおよび図6Bは、本開示による、悪意のある行為またはセキュリティ脅威の階層的検出および分類方法またはプロセスのフロー図を示す。図6Aに示されるように、102において、選択されたデータソースまたはデータ生成部からのセキュリティデータ、データセット、または他の情報は、システム10によって受信または他の方法で取得される可能性があり、受信または取得されたセキュリティデータは、挙動プロセッサ16に送信または進められる可能性がある(104)。
【0083】
その後、106において、挙動プロセッサ16を使用して、受信されたセキュリティデータに含まれる1つまたは複数のデータ、特徴、または特性、またはそれらの組み合わせが、挙動データ記憶装置18に格納された1つまたは複数の挙動に関係するかどうか(例えば、受信または取得されたセキュリティデータ内のデータを挙動データ記憶装置18内の記録に対してマッピングまたはマッチングすることによって)判定される可能性がある。
【0084】
106において、1つまたは複数の既知の挙動が挙動プロセッサ16によって特定される場合、1つまたは複数の挙動は、108において、1つまたは複数のデータに関連付けられる可能性がある。図6Aがさらに示すように、106Aにおいて、特定された挙動は、挙動プロセッサ16に提供または送信される可能性があり、セキュリティデータが1つまたは複数の複合挙動、例えば、2つ以上の挙動から構成される挙動を含むかどうか判定する。
【0085】
110で示されるように、いくつかの変形例では、挙動データ記憶装置18内の既知の挙動に関連しないデータを削除することができ、これによって、システム10によるさらなる処理中に考慮されない。しかし、任意的に、挙動データ記憶装置18内の1つまたは複数の既知の挙動に関連付けられないデータについて、1つまたは複数の挙動を、適切な場合/時に(例えば、機械学習、統計モデル化などを使用して)判定することができ、これらの挙動を、挙動データ記憶装置18、挙動プロセッサ16などに提供することができる。
【0086】
その後、112において、特定された挙動は、戦術プロセッサ20に提供される可能性があり、戦術プロセッサ20は、特定された挙動またはそれらの組み合わせが、例えば、特定された挙動を戦術データ記憶装置24内の記録に対してマッピングまたはマッチングすることによって、戦術データ記憶装置24に記憶された1つまたは複数の戦術に関連するかどうかを判定することができる(114)。
【0087】
戦術データ記憶装置24からの1つまたは複数の既知の戦術が特定された挙動に関連する場合、1つまたは複数の特定された挙動は、1つまたは複数の戦術として特定されるまたは関連付けられる可能性がある(116)。図6Aが116Aにおいてさらに示すように、特定された戦術は、任意の複合戦術、すなわち、2つ以上の戦術を含む戦術の特定のために、戦術プロセッサ20に提供される可能性がある。さらに、116Bに示されるように、特定された戦術は、1つまたは複数の戦術を含む任意の追加の挙動を特定するために、挙動プロセッサ16に提供される可能性がある。
【0088】
特定された挙動のうちの1つまたは複数が戦術データ記憶装置24内の既知の挙動に対応しない場合、そのような挙動は削除することが可能で、例えば、戦術分類器30に送信されないが(117)、いくつかの変形例では、本開示の範囲から逸脱することなく、例えば、これらの挙動と組み合わせて1つまたは複数の戦術を含む複合戦術を特定するために、これらの挙動が戦術プロセッサ20に送信される可能性がある。任意的に、いくつかの変形例では、これらの挙動のための1つまたは複数の戦術は、特定され、生成される可能性があり(例えば、機械学習/統計モデル化などを使用して)、戦術データ記憶装置24、戦術プロセッサ20、挙動プロセッサ16、および他のデータ記憶装置/デバイスに提供される可能性がある(108、116A、または116B)。
【0089】
図6Bは、1つまたは複数の特定された戦術が戦術分類器30によって悪意のあるもの、良性のものなどとして分類されるように(120)、戦術分類器30に進められ、または送信される可能性がある(118)、ことを示す。
【0090】
いくつかの変形例では、(124で示されるように)プロセス/方法が1つまたは複数の戦術の分類に基づいて様々な行動を取っても良い。例えば、戦術分類器30が戦術を良性として分類する場合、システムの将来のアプリケーションで使用するために(126)、プロセスを終了しても良いし、および/または、分類が、挙動データ記憶装置、戦術データ記憶装置、挙動抽出器、戦術プロセッサ、戦術分類器など、またはそれらと組み合わせた1つまたは複数のデータ記憶装置に提供される可能性がある。
【0091】
あるいは、戦術に悪意があると判定された場合(124)、アラーム、アラート、または通知を生成することができ、および/または分類を挙動データ記憶装置、戦術データ記憶装置、挙動抽出器、戦術プロセッサ、戦術分類器など、またはそれらと組み合わせた1つまたは複数のデータ記憶装置に提供することができる(128)。例えば、1つまたは複数の特定された戦術の分類、特定された挙動、またはセキュリティデータからのデータを含むラベル付けされたデータを使用して、後の分類またはその将来の反復のために戦術分類器30を訓練/更新することができる。
【0092】
しかしながら、1つまたは複数の戦術が未定義である場合、それらは、例えば、MSSPまたはセキュリティ研究者などによって、悪意または良性であるかどうか、または戦術分類器30がさらなる訓練、更新などを必要とするかどうかを判定するために、二次レビューのために送信されても良い(130)。
【0093】
前述の説明は一般に、本開示の様々な実施形態を例示し、説明する。しかし、本明細書に開示された開示の精神および範囲から逸脱することなく、本開示の上記の構成に様々な変更および修正を行うことができ、上記の説明に含まれた、または添付の図面に示されたすべての事項は例示的なものとして解釈されるべきであり、限定的な意味で解釈されるべきではないことが意図されていることが、当業者には理解されよう。さらに、本開示の範囲は、本開示の範囲内にあると考えられる、上記および上記の実施形態に対する様々な修正、組み合わせ、追加、変更などを包含すると解釈されるべきである。したがって、本明細書で説明される本開示の様々な特徴および特徴は、本開示の他の図示された実施形態および図示されていない実施形態に選択的に交換され、適用されてもよく、添付の特許請求の範囲に記載される本発明の精神および範囲から逸脱することなく、多数の変形形態、修正形態、および追加形態が本開示にさらになされ得る。
【図1】
【図2A】
【図2B】
【図3】
【図4A-D】
【図4E-H】
【図5】
【図6A】
【図6B】
【国際調査報告】