知財求人 - 知財ポータルサイト「IP Force」
▶ ビット ディスカバリー, インコーポレイテッドの特許一覧
特表2022-551763グラフデータ構造を使用した資産検索および発見システム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2022-12-13
(54)【発明の名称】グラフデータ構造を使用した資産検索および発見システム
(51)【国際特許分類】
G06F 16/28 20190101AFI20221206BHJP
G06F 16/21 20190101ALI20221206BHJP
G06F 16/26 20190101ALI20221206BHJP
【FI】
G06F16/28
G06F16/21
G06F16/26
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2022528320
(86)(22)【出願日】2020-11-11
(85)【翻訳文提出日】2022-06-20
(86)【国際出願番号】 US2020059918
(87)【国際公開番号】W WO2021101764
(87)【国際公開日】2021-05-27
(31)【優先権主張番号】62/937,432
(32)【優先日】2019-11-19
(33)【優先権主張国・地域又は機関】US
(31)【優先権主張番号】63/025,900
(32)【優先日】2020-05-15
(33)【優先権主張国・地域又は機関】US
(31)【優先権主張番号】16/890,995
(32)【優先日】2020-06-02
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
(71)【出願人】
【識別番号】522189986
【氏名又は名称】ビット ディスカバリー, インコーポレイテッド
(74)【代理人】
【識別番号】100078282
【弁理士】
【氏名又は名称】山本 秀策
(74)【代理人】
【識別番号】100113413
【弁理士】
【氏名又は名称】森下 夏樹
(74)【代理人】
【識別番号】100181674
【弁理士】
【氏名又は名称】飯田 貴敏
(74)【代理人】
【識別番号】100181641
【弁理士】
【氏名又は名称】石川 大輔
(74)【代理人】
【識別番号】230113332
【弁護士】
【氏名又は名称】山本 健策
(72)【発明者】
【氏名】グロスマン, ジェレマイア ジェイコブ
(72)【発明者】
【氏名】ハンセン, ロバート スティーブン
【テーマコード(参考)】
5B175
【Fターム(参考)】
5B175BA01
5B175FB03
5B175HA01
5B175KA12
(57)【要約】
検索およびデータベースシステムでは、グラフ発生器が、ノードと、エッジとを含むグラフを作成し、そのグラフをデータベースまたは他のデータ構造内に記憶し、繰り返される拡張および選抜除去プロセスを使用し、グラフを作成する。その記憶装置から、グラフは、グラフについて知ることに興味があるユーザのためのディスプレイ、および/または、そのグラフデータに関してクエリ等を実施するためのディスプレイを発生させるために使用されることができる。
【特許請求の範囲】
【請求項1】
グラフデータ構造を構築する方法であって、前記グラフデータ構造は、見込み資産目録グラフを表し、各々がネットワークの資産を表すノードと、各々がノード間の接続を表すエッジとを備え、少なくともいくつかのエッジが、グラフデータ構造内に表される重みを有し、前記グラフデータ構造内に表される資産の共同統制を示し、前記方法は、
前記グラフデータ構造内に少なくとも1つのシード資産の表現を記憶することと、
合致基準に基づいて、追加のノードを含むように前記見込み資産目録グラフを拡張することであって、前記合致基準は、前記追加のノードと、前記見込み資産目録グラフ上にすでに存在する既存ノードとの間の合致を示す前記合致基準に基づいて、前記追加のノードが前記資産の前記共同統制下にあると推定されることを示す、ことと、
前記追加のノードと、前記見込み資産目録グラフ上にまだ表されていない第3の資産を表す第3のノードとの間に前記合致基準を反復的に適用することと、
共同統制を示す印閾値より小さい重みを有するエッジの識別に基づいて、前記見込み資産目録グラフの枝を選抜除去することと、
前記拡張することおよび選抜除去することに基づいて、前記グラフデータ構造を更新することと
を含む、方法。
【請求項2】
拡張することは、前記見込み資産目録グラフを読み取ることによって、前記見込み資産目録グラフ上にすでに存在する資産の組を含む既知の資産に関するメタデータを識別することと、
前記既知の資産についての所定のメタデータを選択することと、
前記所定のメタデータを正規化し、正規化されたメタデータを形成することと、
前記正規化されたメタデータに対する合致に関して資産データベースを検索することと、
メタデータが所有権または統制の印ではなく、登録プロセスのアーチファクトである可能性が高い資産に関するノードをフィルタ除去することと、
各残りの合致に関して、その資産を前記見込み資産目録グラフに追加することと
を含む、請求項1に記載の方法。
【請求項3】
前記見込み資産目録グラフのエッジの重みは、個々の合致重みの総和であり、それによって、前記エッジの前記重みは、より大きい数の合致に関して増加させられる、請求項1に記載の方法。
【請求項4】
ノードは、信頼レベルを割り当てられ、ノードの信頼レベルは、前記ノードの資産が共同統制された資産である可能性に対応する、請求項1に記載の方法。
【請求項5】
追加のノードが、資産所有権または資産関係を示すデータ構造から導出される、請求項1に記載の方法。
【請求項6】
前記データ構造は、ドメインネーミングシステム(DNS)データベース、ASNレジストリ、履歴DNSデータベース、企業所有文書データベース、履歴ルックアップデータベース、および/またはWHOISデータベースのうちの1つ以上を備え、前記グラフデータ構造を拡張することは、前記ドメインネーミングシステム(DNS)データベース、前記履歴DNSデータベース、および/または前記WHOISデータベースを検索し、合致基準を満たすノードを識別することを含む、請求項5に記載の方法。
【請求項7】
前記データ構造は、二分木、ファイルの共有組、ルックアップテーブル、API、および/またはmtblのうちの1つ以上を備えている、請求項5に記載の方法。
【請求項8】
選抜除去することは、人の入力、ブラックリスト、および/またはオブジェクトが共同統制された資産ではないことを示す機械学習出力を反映する手動入力を取得することを含む、請求項1に記載の方法。
【請求項9】
前記合致基準を反復的に適用することは、自動的に実施され、選択は、選択的深度、信頼度、設定、または他の基準に基づく利用可能なリンク付け方法の一部を含み、選択は、方法を含むことおよび/または方法を除外することを含む、請求項1に記載の方法。
【請求項10】
前記合致基準を反復的に適用することは、ユーザ定義された反復と、選択とに従って実施され、前記選択は、選択的深度、信頼度、設定、または他の基準に基づく利用可能なリンク付け方法の一部を含み、前記選択は、方法を含むことおよび/または方法を除外することを含む、請求項1に記載の方法。
【請求項11】
前記見込み資産目録グラフの表現を表示フォーマットにフォーマットすることと、前記表示フォーマットをディスプレイ上に提示することと
をさらに含む、請求項1に記載の方法。
【請求項12】
前記見込み資産目録グラフ上の資産についてのメタデータは、ホスト名、脆弱性のリスト、使用されるオープンポートのリスト、前記資産の推測されるジオロケーション、前記資産のために使用されるオペレーティングシステム、前記資産のサービスバナー、前記資産のTLS証明書詳細、IPアドレス、DNSタイプインジケータ、DNS登録データ、および/または前記IPアドレスのASN情報のうちの1つ以上を備えている、請求項1に記載の方法。
【請求項13】
メタデータは、ウェブアプリケーションの言語、前記ウェブアプリケーションのAPI、および/またはソーシャル信号を含むHTTPリンクのうちの1つ以上を示す技術スタックのコンテンツをさらに備えている、請求項12に記載の方法。
【請求項14】
前記ネットワークの資産は、ドメイン、インターネット接続された資産、サブドメイン、IPアドレス、仮想ホスト、ウェブサーバ、ネームサーバ、IoTデバイス、デスクトップコンピュータ、ネットワークプリンタ、メールサーバ、前記インターネットまたは内部ネットワークに接続されるデバイス、コンテンツ配信ネットワーク、プロキシ、ファイアウォール、進入検出システム、ルータ、および/またはスイッチのうちの1つ以上を備えている、請求項1に記載の方法。
【請求項15】
前記ネットワークの資産は、ネットワークトラフィックを受け入れることが可能である1つ以上のデバイスを備えている、請求項1に記載の方法。
【請求項16】
第1の資産は、第1のドメインであり、第2の資産は、第2のドメインであり、前記第1の資産は、前記見込み資産目録グラフ上に存在し、前記合致基準は、前記第2のドメインが前記第1のドメインと共通の登録電子メールアドレスを共有するかどうかに関する第1の試験と、
前記第2のドメインが前記第1のドメインと共通の登録電子メールアドレスドメインを共有するかどうかに関する第2の試験と、
前記第2のドメインが、前記第1のドメインのそれに合致する電子メールドメインを伴う電子メールアドレスを使用して登録されたかどうかに関する第3の試験と、
前記第2のドメインと前記第1のドメインとが共通のWHOISフィールドを共有するかどうかに関する第4の試験と、
前記第2のドメインと前記第1のドメインとの両方が、共通のホストに戻って参照するホストされたコンテンツを含むかどうかに関する第5の試験と、
前記第2のドメインと前記第1のドメインとの両方が、共通の証明機関を使用するかどうかに関する第6の試験と
のうちの1つ以上を含む、請求項1に記載の方法。
【請求項17】
少なくとも1つの試験が、履歴データを使用して実施される、請求項16に記載の方法。
【請求項18】
少なくとも1つのドメインは、サブドメインである、請求項16に記載の方法。
【請求項19】
少なくとも1つの試験が、特定の時間における状態に対して実施される、請求項16に記載の方法。
【請求項20】
前記合致基準は、サイトが特定の他のサイトへのリンクを含むページを有しているかどうかをチェックするための試験を含み、前記特定の他のサイトは、共通のリンク先サイトの所定の組を除く、請求項1に記載の方法。
【請求項21】
前記合致基準は、第1のサイトと第2のサイトとの間の相関、および/または、前記第1のサイトおよび前記第2のサイトの両方において見出される共通のリンク間の相関の試験を含む、請求項1に記載の方法。
【請求項22】
再利用可能な内部アドレスの所定のリスト上のアドレスのフィルタリングをさらに含む、請求項1に記載の方法。
【請求項23】
共同で再利用されるTLDの所定のリスト上に存在するTLD、またはTLDの共同で再利用される部分の所定のリスト上のTLDの一部に関してフィルタリングすることをさらに含む、請求項1に記載の方法。
【請求項24】
複数の無関連エンティティにわたって再利用可能であるアドレス範囲を重ねることによって最終的なアドレスが隠されるアドレス空間の使用に基づいて相関が最初に決定されたかどうかに基づいて、相関を調節することをさらに含む、請求項1に記載の方法。
【請求項25】
前記アドレス空間の使用は、内部RFC1918アドレス、RFC4193アドレス、RFC6890アドレス、RFC3927アドレス、ループバックアドレス、ローカルリンクアドレス、ブロードキャストアドレス、キャリアグレードNAT、ユニークローカルアドレス、および/または非ルーティング可能インターネットプロトコルアドレスのうちの1つ以上を含む、請求項24に記載の方法。
【請求項26】
アドレス空間を共有する既知のプロバイダ間のつながりの所定のリストに基づいて相関を調節することをさらに含む、請求項1に記載の方法。
【請求項27】
プライバシサービスの所定のリストに基づいて相関を調節することをさらに含み、それによって、所与のプライバシサービスを使用する無関連の当事者に関する相関は、それらが関連する当事者であった場合より互いに関係付けられていないと見なされる、請求項1に記載の方法。
【請求項28】
第1の資産は、第1のサブドメインであり、第2の資産は、第2のサブドメインであり、前記第1の資産は、前記見込み資産目録グラフ上に存在し、前記合致基準は、前記第2のサブドメインと前記第1のサブドメインとが共通のIPアドレスを共有するかどうかに関する第1の試験と、
前記第2のサブドメインと前記第1のサブドメインとが共通のCIDRブロックを共有するかどうかに関する第2の試験と、
前記第2のサブドメインと前記第1のサブドメインとが共通のCIDR特徴を共有するかどうかに関する第3の試験と
のうちの1つ以上を含む、請求項1に記載の方法。
【請求項29】
複数の無関連の当事者によって使用されるプライバシサービスを介してIP空間を共有する既知のプロバイダによって引き起こされるつながりの確率を低減させることをさらに含む、請求項1に記載の方法。
【請求項30】
共有することは、電子メールアドレス、電話番号、物理的アドレス、whoisエントリ、および/また企業アドレスのうちの1つ以上を共有することである、請求項29に記載の方法。
【請求項31】
ドメインプロキシサービス、ドメインプライバシサービス、ブランクまたは未定義のwhois結果、および/またはプレースホルダ結果のうちの1つ以上の共有によって引き起こされるつながりの確率を低減させることをさらに含む、請求項1に記載の方法。
【請求項32】
ユーザ定義された反復をさらに含む、請求項1に記載の方法。
【請求項33】
2つ以上のIPの両方が共有される上位レベルドメインに対するホスト名に関するPTRレコードを有しているかどうかに基づいて処理することをさらに含む、請求項1に記載の方法。
【請求項34】
無関連エンティティにわたって使用される上位レベルドメインによって引き起こされるつながりの確率を低減させることをさらに含む、請求項1に記載の方法。
【請求項35】
有効TLDまたはTLDが、相関の所定の調整可能な重みと互いに関係があるとして扱われる、請求項34に記載の方法。
【請求項36】
予備または非公開であるとして指定されるASNは、互いに関係がないと見なされる、請求項1に記載の方法。
【請求項37】
グラフデータ構造を構築する方法であって、前記グラフデータ構造は、見込み資産目録グラフを表し、各々がネットワークの資産を表すノードと、各々がノード間の接続を表すエッジとを備え、少なくともいくつかのエッジが、グラフデータ構造内に表される重みを有し、前記グラフデータ構造内に表される資産の共同統制を示し、前記方法は、
前記グラフデータ構造の表現を取得することと、
第1のノードと第2のノードとの間の前記資産の共同統制を示す合致基準を取得することと、
共同統制の可能性が高い誤検出指示に対応する規則の組を取得することと、
前記規則の組を前記グラフデータ構造に適用することによって、前記規則の組における規則が前記合致基準が誤検出指示につながる条件を示すことを示すとき、前記第1のノードと前記第2のノードとの間の第1の重みを低減させることと
を含む、方法。
【請求項38】
前記規則の組を前記グラフデータ構造に適用することによって、前記第1の重みを低減させることは、各々が可能性が高い誤検出共同統制の指示を示す前記規則の組の複数の規則を処理することを含む、請求項37に記載の方法。
【請求項39】
誤検出を示す手動フィードバックを適用し、前記第1の重みを低減させることをさらに含む、請求項37に記載の方法。
【発明の詳細な説明】
【技術分野】
【0001】
(関連出願の相互参照)
本願は、その開示が、参照することによってそれらの全体として本明細書に明白に組み込まれる2020年5月15日に出願された米国仮特許出願第63/025,900号、2019年11月19日に出願された米国仮特許出願第62/937,432号、および2020年6月2日に出願された米国非仮出願第16/890,995号の優先権を主張する。
(技術分野)
本願は、その開示が、参照することによってそれらの全体として本明細書に明白に組み込まれる2020年5月15日に出願された米国仮特許出願第63/025,900号、2019年11月19日に出願された米国仮特許出願第62/937,432号、および2020年6月2日に出願された米国非仮出願第16/890,995号の優先権を主張する。
(技術分野)
【0002】
本開示は、概して、分散コンピューティング環境内の資産を管理することに関する。本開示は、より具体的に、ネットワーク接続された資産の検索を実施し、エンティティの統制下にある資産を識別するための装置および技法に関する。
【背景技術】
【0003】
ネットワーク接続性を有する組織のコンピュータおよびデジタル資産をセキュリティ保護し、統制し、それにアクセスすることは、多くの場合、それらの資産を追跡し、それらの目録化を行うための能力を要求する。資産は、コンピュータシステム、データベース、および、ドメイン名、ホスト、アドレス等の論理資産を含むこともある。多くの場合、組織は、別の組織を入手し、組織は、その別の組織が所有および/または統制する資産の全体像を有していないこともある。
【0004】
所有または統制される資産についての情報を欠くことは、セキュリティリスクを提示し得る。例えば、サーバが、特定のウェブアドレスに向けられた要求に応答し得る。そのサーバが、セキュリティ保護されていない場合、それは、ハッカーが所有者のネットワークインフラストラクチャの残部に潜入するための開口部を提供し得る。所有者が資産を保有していることを認識していない場合、所有者は、それがセキュリティ保護されていることを確実にする労力、またはネットワークリソースからそれを除去するための労力を費やさないこともある。
【0005】
その結果、ネットワーク接続された環境内の統制下にある資産を識別することが可能であることが、望ましい。
【発明の概要】
【課題を解決するための手段】
【0006】
検索およびデータベースシステムの一実施形態において、グラフ発生器は、ノードと、エッジとを含むグラフを作成し、そのグラフをデータベースまたは他のデータ構造内に記憶し、繰り返される拡張および選抜除去プロセスを使用し、グラフを作成する。その記憶装置から、グラフは、グラフについて知ることに興味があるユーザのためのディスプレイ、および/またはそのグラフデータに関してクエリ等を実施するためのディスプレイを発生させるために使用されることができる。
【0007】
いくつかの実施形態において、グラフは、インターネット接続された資産の目録を表し、グラフを作成することは、ノードの初期の組からより大きいグラフへの発見のプロセスによって行われる。発見プロセスは、資産についてのデータへのアクセスを有するコンピュータまたはサーバ上で起動するソフトウェア等のコンピュータシステム、データを評価すること、エッジおよびノード、およびそれらのエッジおよびノードについてのデータをグラフに追加することを伴い得る。このグラフのいくつかの使用は、グラフ上に存在する資産を識別すること、目録化を行うこと、表示すること、管理すること等を行うためである。
【0008】
資産が、1人の人または1つのエンティティによって所有されることがあり得るか、または、資産が、1人の人物、1つのエンティティ、または1つの組織によって統制されることがあり得る。本明細書に説明される方法およびシステムの目的のために、実際に資産に対する法的所有権を有する人または物は、重要ではなく、彼らが資産を所有する点、彼らが資産を占有する点、彼らが資産を管理する任務を負う点、彼らがそれらの価値を保存するために資産をセキュリティ保護することに興味がある点、または、その任務を負う彼らが資産を維持する必要がある点等において、グラフが、人、エンティティ、または組織によって統制される資産のものであることを決定することが十分であることがあり得る。したがって、資産の「所有者」および「統制者」は、別様に示されない限り、異なる文脈において使用され得、置き換えられ得ることがあり得る。
【0009】
具体的な実施形態において、初期のノードは、既知の所有者を伴う資産を示し、所有者は、その資産を統制するための法律的権利および/または自身または別の人を代表してその資産を統制するための技術的能力を有する人物、エンティティ、または組織を指す。その具体的な実施形態において、グラフ発見コンピュータまたはコンピュータプロセスは、初期のノードからグラフを拡張し、その既知の所有者によって所有される資産のより大きいグラフを識別する。結果として生じるより大きいグラフは、その所有者の資産の目録を表すことができる。このグラフは、グラフとして表されることができる、または資産の列挙として提示され得る。
【0010】
目録が、生成されると、所有者は、それらの資産を維持し得る。完全な目録がない場合、いくつかの資産が、見過ごされることもある。例えば、所有者がホスト名またはドメイン名を所有するが、それを把握していないこともあり、その場合、ホスト名が、もはやIPアドレスに辿り着かないことがあり得る。おそらく他のエンティティを入手した後等、所有者が大きい組織である場合、所有者が所有する資産の中央レコードが存在しないこともある。
【0011】
具体的な実施形態において、グラフデータ構造を構築するためのコンピュータ実装方法が、提供され、前記グラフデータ構造は、見込み資産目録グラフを表し、各々がネットワークの資産を表すノードと、各々がノード間の接続を表すエッジとを備え、少なくともいくつかのエッジが、グラフデータ構造内に表される重みを有し、前記グラフデータ構造内に表される資産の共同統制を示す。方法は、グラフデータ構造内に少なくとも1つのシード資産の表現を記憶することと、追加のノードと、すでに見込み資産目録グラフ上に存在するノードとの間の合致を示す合致基準に基づいて、追加のノードが共同統制下にあると推定されることを示す合致基準に基づいて、追加のノードを含むように見込み資産目録グラフを拡張することと、追加のノードと、まだ見込み資産目録グラフ上に表されていない第3の資産を表す第3のノードとの間に合致基準を反復的に適用することと、共同統制を示す印閾値より小さい重みを有するエッジの識別に基づいて、見込み資産目録グラフの枝を選抜除去することと、拡張することおよび選抜除去することに基づいて、グラフデータ構造を更新することとを含む。
【0012】
反復は、自動的反復またはユーザ定義された反復であり得る。ユーザ定義された反復に関して、ユーザまたはシステムが、選択的深度、信頼度、設定、または他の基準に基づいて、利用可能なリンク付け方法のサブセットのみを使用することを選定することができる。選択は、方法を含む、および/または方法を除外する、選択であり得る。
【0013】
拡張することは、すでに見込み資産目録グラフ上に存在する資産の組を含む既知の資産に関するメタデータを識別するために見込み資産目録グラフを読み取ることと、既知の資産についての所定のメタデータを選択することと、メタデータを正規化することと、正規化されたメタデータに対する合致に関して資産データベースを検索することと、メタデータが所有権または統制の印ではなく、登録プロセスのアーチファクトである可能性が高い資産に関するノードをフィルタ除去することと、各残りの合致に関して、その資産を見込み資産目録グラフに追加することとを含み得る。
【0014】
見込み資産目録グラフのエッジの重みは、個々の合致重みの総和であり得、それによって、重みが、より大きい数の合致に関して増加させられる。ノードは、信頼レベルを割り当てられ得、ノードの信頼レベルは、ノードの資産が共同統制された資産である可能性に対応する。追加のノードは、ドメインネーミングシステム(DNS)データベース、履歴DNSデータベース、および/またはWHOISデータベースから導出され得、グラフを拡張することは、ドメインネーミングシステム(DNS)データベース、履歴DNSデータベース、および/またはWHOISデータベースを検索し、合致基準を満たすノードを識別することを含む。選抜除去することは、人の入力を反映する手動入力を取得することを含み得る。追加のノードは、IPアドレス、DNSタイプ(例えば、A、AAAA、MX、NS、SOA等)、DNS登録データ(例えば、電子メールアドレス、住所、電話番号、会社名等)、および/またはIPアドレスのASN情報から導出され得る。
【0015】
方法は、見込み資産目録グラフの表現を表示フォーマットにフォーマットすることと、表示フォーマットをディスプレイ上に提示することとを含み得る。
【0016】
見込み資産目録グラフ上の資産についてのメタデータは、ホスト名、脆弱性のリスト、使用されるオープンポートのリスト、資産の推測されるジオロケーション、資産のために使用されるオペレーティングシステム、資産のサービスバナー、および/または資産のTLS証明書詳細のうちの1つ以上を含み得る。ネットワークの資産は、ドメイン、インターネット接続された資産、サブドメイン、IPアドレス、仮想ホスト、ウェブサーバ、ネームサーバ、IoTデバイス、デスクトップコンピュータ、ネットワークプリンタ、メールサーバ、またはインターネットまたは内部ネットワークに接続されるデバイスのうちの1つ以上を含み得る。他の資産は、コンテンツ配信ネットワーク、プロキシ、ウェブアプリケーションファイアウォール、進入検出システム、ファイアウォール、ルータ、スイッチ、またはネットワークトラフィックを受入し得る任意のデバイスを含み得る。
【0017】
特定の実施形態において、第1の資産は、第1のドメインであり、第2の資産は、第2のドメインであり、第1の資産は、見込み資産目録グラフ上に存在し、合致基準は、第2のドメインが第1のドメインと共通の登録電子メールアドレスを共有するかどうかに関する第1の試験と、第2のドメインが第1のドメインと共通の登録電子メールアドレスドメインを共有するかどうかに関する第2の試験と、第2のドメインが、第1のドメインのそれに合致する電子メールドメインを伴う電子メールアドレスを使用して登録されたかどうかに関する第3の試験と、第2のドメインおよび第1のドメインが共通のIPアドレスを共有するかどうかに関する第4の試験と、第2のドメインおよび第1のドメインが共通のWHOISフィールドを共有するかどうかに関する第5の試験と、第2のドメインおよび第1のドメインが共通のCIDRブロックを共有するかどうかに関する第6の試験と、第2のドメインおよび第1のドメインが共通のCIDR特徴を共有するかどうかに関する第7の試験と、第2のドメインおよび第1のドメインの両方が、共通のホストに戻って参照するホストされたコンテンツを含むかどうかに関する第8の試験と、第2のドメインおよび第1のドメインの両方が、共通の証明機関を使用するかどうかに関する第9の試験とのうちの1つ以上を含む。ある試験は、履歴データを使用して実施され得る。例えば、いくつかの試験は、2つのドメインがもはや共通のIPアドレスを共有していない場合に関係なく、それらが具体的な時点において共通のIPアドレスを共有したかどうかを試験することにおけるように、共通の時点において存在していたような、データ要素の比較を伴い得る。
【0018】
付随の図面とともに、以下の詳細な説明は、本実施形態の性質および利点のより深い理解を提供するであろう。
【図面の簡単な説明】
【0019】
【0020】
【0021】
【0022】
【0023】
【0024】
【0025】
【発明を実施するための形態】
【0026】
以下の説明では、種々の実施形態が、説明されるであろう。解説の目的のために、具体的な構成および詳細が、実施形態の完全な理解を提供するために記載されている。しかしながら、実施形態が具体的詳細がなくとも実践され得ることも、当業者に明白であろう。さらに、周知の特徴が、説明されている実施形態を曖昧にしないように、省略または単純化され得る。
【0027】
本明細書に説明および提案される技法は、時として、拡張および選抜除去プロセスを使用して、資産のグラフを作成することを含む。
(概観)
(概観)
【0028】
検索およびデータベースシステムが、説明される。一実施形態において、システムは、グラフ発生器であり、グラフ発生器は、ノードとエッジとを含むグラフを作成し、そのグラフをデータベースまたは他のデータ構造内に記憶し、繰り返される拡張および選抜除去プロセスを使用し、グラフを作成する。その記憶装置から、グラフは、グラフについて知ることに興味があるユーザのためのディスプレイ、および/または、そのグラフデータに関してクエリ等を実施するためのディスプレイを発生させるために使用されることができる。
【0029】
いくつかの実施形態において、グラフは、インターネット接続された資産の目録を表し、グラフを作成することは、ノードの初期の組からより大きいグラフへの発見のプロセスによって行われる。発見プロセスは、資産についてのデータへのアクセスを有するコンピュータまたはサーバ上で起動するソフトウェア等のコンピュータシステム、データを評価すること、エッジおよびノードをグラフに追加すること、およびそれらのエッジおよびノードについてのデータをグラフに追加することを伴い得る。このグラフのいくつかの使用は、グラフ上に存在する資産を識別すること、目録化を行うこと、表示すること、管理すること等を行うためである。
【0030】
資産は、1人の人または1つのエンティティによって所有され得、または、資産は、1人の人物、1つのエンティティ、または1つの組織によって統制され得る。本明細書に説明される方法およびシステムの目的のために、実際に資産に対する法的所有権を有する人またはものは重要ではなく、
グラフが、人、エンティティ、または組織によって統制される(彼らが資産を所有する点、彼らが資産を占有する点、彼らが資産を管理する任務を負う点、彼らがそれらの価値を保存するために資産をセキュリティ保護することに興味がある、またはその任務を負う点、彼らが資産を維持する必要がある点等において)資産のグラフであることを決定することが十分であることがあり得る。したがって、資産の「所有者」および「統制者」は、別様に示されない限り、異なる文脈において使用され得、置き換えられ得ることがあり得る。
グラフが、人、エンティティ、または組織によって統制される(彼らが資産を所有する点、彼らが資産を占有する点、彼らが資産を管理する任務を負う点、彼らがそれらの価値を保存するために資産をセキュリティ保護することに興味がある、またはその任務を負う点、彼らが資産を維持する必要がある点等において)資産のグラフであることを決定することが十分であることがあり得る。したがって、資産の「所有者」および「統制者」は、別様に示されない限り、異なる文脈において使用され得、置き換えられ得ることがあり得る。
【0031】
具体的な実施形態において、初期のノードは、既知の所有者を伴う資産を示し、所有者は、その資産を統制するための法律的権利および/または自身または別の人を代表してその資産を統制するための技術的能力を有する人物、エンティティ、または組織を指す。その具体的な実施形態において、グラフ発見コンピュータまたはコンピュータプロセスは、初期のノードからグラフを拡張し、その既知の所有者によって所有される資産のより大きいグラフを識別する。結果として生じるより大きいグラフは、その所有者の資産の目録を表すことができる。このグラフは、グラフとして表されることができるか、または、資産のリストとして提示され得る。
【0032】
目録が、生成されると、所有者は、それらの資産を維持し得る。完全な目録がない場合、いくつかの資産が、見過ごされることもある。例えば、所有者がホスト名またはドメイン名を所有するが、それを把握していないこともあり、その場合、ホスト名が、もはやIPアドレスに辿り着かないことがあり得る。所有者が大きい組織である場合、おそらく他のエンティティを入手した後、所有者が所有する資産の中央レコードが存在しないこともある。いくつかの事例では、統制および所有権は、同一の広がりを持つが、他の場合、それらは、そうではないこともある。一般的な場合、所有権を決定することを伴うプロセスが、所有権、統制、または両方のために使用されることができる。
【0033】
多くの場合、ドメインを指すURLによって識別され得る多くのインターネット接続された資産が存在するように、共同資産は、ドメインであり、典型的に、ドメインによって識別され得る資産は、共同所有権または統制下にあり、そのような所有権または統制は、おそらく容易に明白ではない。しかしながら、資産は、そのように限定される必要はない。インターネット接続された資産またはインターネット関連の資産は、ドメイン(ドメイン名によって識別可能)、サブドメイン(例えば、時として、完全修飾ドメイン名、またはFQDNとしてより正確に説明される添付されたホスト名を伴うドメイン名)、IPアドレス、仮想ホスト、および/またはそれらの任意の組み合わせ等の指示子を含み得、それらの指示子を使用するインターネットまたは内部ネットワークに接続されるデバイスも、それらの指示子資産の所有者の資産であり得る。インターネット接続された資産は、パブリックネットワーク、非ルーティング可能または内部ネットワーク等の上に存在し得る。
【0034】
資産は、ウェブサーバ、ネームサーバ、IoTデバイス、デスクトップコンピュータ、ネットワークプリンタ、メールサーバ、他のサーバ、ホスト等を含み得る。資産目録は、資産および各資産のメタデータを示すデータ構造(関係型データベース等)によって表され得る。資産管理システムは、資産目録内の資産を統制する資産所有者を提供し得る。資産の管理は、それらの資産を他に転送すること、それらの資産を統制すること、それらの資産を構成すること、それらの資産を維持すること、それらの資産を保護するためにネットワークセキュリティを築くこと等を含み得る。
【0035】
資産目録内の資産についてのメタデータは、ホスト名、脆弱性の詳細、使用されるオープンポート等を含み得、アセットをセキュリティ保護するときに重要であり得る。他のメタデータは、ジオロケーション、オペレーティングシステム、サービスバナー、TLS証明書詳細等を含み得る。グラフデータ構造は、ノード毎、エッジ毎、それらのある組み合わせ、またはある他の単位のメタデータを有し得る。
(見込み資産目録グラフの作成)
(見込み資産目録グラフの作成)
【0036】
資産目録を作成する発見プロセスの特定の実施形態において、発見プロセスは、おそらくいくつかの所定のエッジを伴う1つ以上の初期のノードから、見込み資産目録として扱われ得るより大きいグラフまで、グラフを拡張する。見込み資産目録は、実際に他のノードと共同で所有されていないが、それらの資産が実際に資産の所有者によって所有されているかどうかを査定するためのさらなる人またはコンピュータの精査のための初期のガイドとしての役割を果たし得るノードを有し得る。
【0037】
図1は、ある実施形態による、資産グラフを処理するためのグラフ処理システム100を図示する。そこに図示されているように、グラフプロセッサ102は、種々のパブリックまたはプライベートデータベース104にクエリを行い、データおよびレコードを取得し、種々の資産106と相互作用し、それらの資産からデータを取得する。取得されるデータおよびレコードは、本明細書に説明されるようなものであり得る。グラフプロセッサ102は、インターネット等の通信ネットワーク110を介して他のシステム112に結合され得る。ユーザインターフェース114が、本明細書に説明されるように、提供され得、グラフ構築に関するフィードバックを選抜除去、調節、および/または提供するために使用され得る。グラフ記憶装置120が、構築されたグラフを記憶するために提供され、示されていない他のプロセスに対して利用可能にされ得る。グラフプロセッサ102は、グラフを発生させるためのいくつかの処理方法を使用して、データベースおよび資産自体からのデータから、グラフを作成することができる。
【0038】
図2は、グラフプロセッサ102のさらなる詳細を図示し、グラフプロセッサ102は、バスサブシステム204を介していくつかの周辺サブシステムと通信し、それらに動作可能に結合されるように構成され得る1つ以上のコンピュータシステムおよび1つ以上のプロセッサ202とを備え得る。これらの周辺サブシステムは、メモリサブシステム208と、ファイル記憶サブシステム210とを備えている記憶サブシステム206と、1つ以上のユーザインターフェース入力デバイス212と、ユーザインターフェース出力デバイス214と、ネットワークインターフェースサブシステム216とを含み得る。
【0039】
バスサブシステム204は、コンピュータシステム200の種々のコンポーネントおよびサブシステムが、意図されるように互いに通信することを可能にするための機構を提供し得る。バスサブシステム204は、単一のバスとして図式的に示されているが、バスサブシステムの代替実施形態は、複数のバスを利用し得る。
【0040】
ネットワークインターフェースサブシステム216は、他のコンピュータシステムおよびネットワークへのインターフェース222を提供し得る。ネットワークインターフェースサブシステム216は、グラフデータまたはユーザフィードバックを取得すること等のために他のシステムからデータを受信し、それにデータを伝送するためのインターフェースとしての役割を果たし得る。
【0041】
ユーザインターフェース入力デバイス212は、キーボード、ポインティングデバイス、および他のタイプの入力デバイスを含み得る。ユーザインターフェース出力デバイス214は、ディスプレイサブシステム、プリンタ、非視覚的ディスプレイ(例えば、オーディオおよび/または触覚出力デバイス)、または他のそのようなディスプレイデバイスを含み得る。一般に、用語「出力デバイス」の使用は、情報を出力するための全ての可能なタイプのデバイスおよび機構を含むことを意図している。ユーザインターフェース出力デバイス214は、例えば、そのような相互作用が適切であり得るとき、本明細書に説明されるプロセスおよびその中の変形例を実施するアプリケーションを用いたユーザ相互作用を促進するためのユーザインターフェースを発生させ、および/または提示するために使用され得る。
【0042】
記憶サブシステム206は、グラフプロセッサの機能性を提供するプログラミングおよびデータ構築物を記憶するためのコンピュータ読み取り可能な記憶媒体を提供し得る。1つ以上のプロセッサ202によって実行されると本明細書に説明される実施形態の機能性を提供し得るソフトウェア(プログラム、コードモジュール、命令)が、記憶サブシステム206内に記憶され得る。記憶サブシステム206は、グラフ処理において使用されるデータを記憶するためのリポジトリも提供し得る。例示的ソフトウェアは、本明細書に説明される、選抜除去、フィルタリング、調節、検索、および他の機能を実装するためのプログラムコードを含み得る。
【0043】
メモリサブシステム208は、例えば、プログラム実行中の命令およびデータの記憶装置のためのランダムアクセスメモリ(RAM)218と、固定された命令が記憶され得る読み取り専用メモリ(ROM)220とを含むいくつかのメモリデバイスを含み得る。ファイル記憶サブシステム210は、プログラムおよびデータファイルのための非一過性永続的(不揮発性)記憶装置を提供し得、ハードディスクドライブおよび他の記憶媒体を含み得る。
【0044】
グラフプロセッサ102は、種々のタイプのコンピュータを備え得、ある場合、いくつかのアプリケーションのうちのいずれかを動作させるために使用され得る1つ以上のユーザコンピュータ、コンピューティングデバイス、または処理デバイスを含み得る多種多様な動作環境内に実装され得る。ユーザまたはクライアントデバイスは、おそらく、インターフェースのユーザ選択に応じて、標準的オペレーティングシステムを起動するデスクトップ、ラップトップ、またはタブレット型コンピュータ等のいくつかの汎用目的パーソナルコンピュータ、およびモバイルソフトウェアを起動し、いくつかのネットワーキングおよびメッセージングプロトコルをサポートすることが可能であるセルラー型、無線型、およびハンドヘルド型デバイスのうちのいずれも含み得る。種々の実施形態は、伝送統制プロトコル/インターネットプロトコル(「TCP/IP」)、ユーザデータグラムプロトコル(「UDP」)、オープンシステムインターコネクション(「OSI」)モデルの種々の層内で動作するプロトコル、ファイル転送プロトコル(「FTP」)等の種々の商業的に利用可能なプロトコルのうちのいずれかを使用する通信をサポートするために当業者によく知られているであろう、少なくとも1つのネットワークを使用し得る。コードまたはコードの一部を含むための記憶媒体およびコンピュータ読み取り可能な媒体は、限定ではないが、コンピュータ読み取り可能な命令、データ構造、プログラムモジュール、または他のデータ等の情報の記憶および/または伝送のための任意の方法または技術内に実装される揮発性および不揮発性、リムーバブルおよび非リムーバブル媒体等の記憶媒体および通信媒体を含む、当技術分野において公知であるか、または、使用される適切な媒体を含むことができる。
【0045】
図3は、ある実施形態による、グラフプロセッサの一部として使用される要素を図示する。図3はまた、プロセッサによって、本明細書に説明される実施形態の要素を実装するために使用され得るメモリ要素のある例も図示する。例えば、機能ブロックが、参照される場合、それは、メモリ内に記憶されるプログラムコードとして実装され得る。図3は、アプリケーションを有する記憶デバイス348の簡略化された機能ブロック図であり、アプリケーションは、統制下の資産を管理することにおいて資産グラフを使用するグラフプロセッサ、および/またはコンピュータシステムの一部であり得るようなコンピュータシステム内のプロセッサによって、アクセスおよび実行され得る。アプリケーションは、サーバ、クライアント、または他のプラットフォームまたはデバイス上で起動し、他所において図示されるクライアントおよび/またはサーバのうちの一方のメモリを表し得る本明細書に説明されるアプリケーションのうちの1つ以上のものであることができる。記憶デバイス348は、プロセッサによってアクセスされ得る1つ以上のメモリデバイスであることができ、記憶デバイス348は、1つ以上のプロセッサ読み取り可能命令を記憶するように構成され得るアプリケーションコード350をその上に記憶していることができる。アプリケーションコード350は、アプリケーションに関連付けられたアプリケーション論理352、ライブラリ関数354、およびファイルI/O関数356を含むことができる。
【0046】
記憶デバイス348は、アプリケーション変数362も含むことができ、アプリケーション変数362は、アプリケーション変数364を受信するように構成された1つ以上の記憶場所を含み得る。アプリケーション変数362は、アプリケーションによって発生させられた変数、またはアプリケーションに対してローカルである変数を含むことができる。アプリケーション変数362は、例えば、ユーザまたは外部デバイスまたはアプリケーション等の外部ソースから読み出されたデータから発生させられることができる。プロセッサは、アプリケーションコード350を実行し、記憶デバイス348に提供されるアプリケーション変数362を発生させることができる。
【0047】
1つ以上のメモリ場所が、デバイスデータ366を記憶するように構成されることができる。デバイスデータ366は、ユーザまたは外部デバイス等の外部ソースによって供給されるデータを含むことができる。デバイスデータ366は、例えば、伝送されることに先立って、または受信された後、サーバ間で渡されているレコードを含むことができる。他のデータ368も、供給され得る。
【0048】
記憶デバイス348は、アプリケーションの結果またはアプリケーションに提供される入力を記憶するように構成された1つ以上の記憶場所384を有するログファイル380も含むことができる。例えば、ログファイル380は、アクションの履歴を記憶するように構成されることができる。
【0049】
図3のメモリ要素は、ユーザとインターフェースをとり、グラフを発生させ、および/または、本明細書に説明されるプロセスの他の側面を管理するサーバまたはコンピュータのために使用され得る。
【0050】
本明細書に説明されるプロセスの動作は、本明細に別様に示されない限り、または文脈によって明確に別様に反論されない限り、任意の好適な順序において実施されることができる。本明細書に説明されるプロセス(またはその変形例および/または組み合わせ)は、実行可能命令を伴って構成される1つ以上のコンピュータシステムの統制下で実施され得、ハードウェアまたはその組み合わせによって、1つ以上のプロセッサ上で集合的に実行する、コード(例えば、実行可能命令、1つ以上のコンピュータプログラム、または1つ以上のアプリケーション)として実装され得る。コードは、例えば、1つ以上のプロセッサによって実行可能な複数の命令を含むコンピュータプログラムの形態にあり、コンピュータ読み取り可能な記憶媒体上に記憶され得る。コンピュータ読み取り可能な記憶媒体は、非一過性であり得る。
(グラフの作成)
いくつかの実施形態において、グラフが、作成され、他の実施形態において、それらは、外部ソースから取得される。見込み資産目録グラフを作成するためのプロセスが、ここで説明されるであろう。このプロセスは、入力、メモリ、出力、およびインターネット等のネットワークへのアクセスを有し、ドメインネーミングシステム(DNS)データベース、履歴DNSデータベース、WHOISデータベース等の着目データベースにアクセスし得るコンピュータシステム上で動作することができる。
(グラフの作成)
いくつかの実施形態において、グラフが、作成され、他の実施形態において、それらは、外部ソースから取得される。見込み資産目録グラフを作成するためのプロセスが、ここで説明されるであろう。このプロセスは、入力、メモリ、出力、およびインターネット等のネットワークへのアクセスを有し、ドメインネーミングシステム(DNS)データベース、履歴DNSデータベース、WHOISデータベース等の着目データベースにアクセスし得るコンピュータシステム上で動作することができる。
【0051】
見込み資産目録グラフを作成するためのそのようなプロセスでは、グラフにおけるノードおよびエッジ、および/または、それらのエッジおよびノードについてのメタデータに基づいて、下記に説明されるいくつかのステップが、見込み資産目録グラフにノードおよび/またはエッジを追加するために使用され得る。
【0052】
いくつかのプロセスでは、グラフは、あるノードから開始し、他のノードが、他の資産が既存ノードとのある関係(および、おそらく、既存ノードと新しいノードとの間のグラフエッジに関して示されるある重み)を伴って発見されるにつれて、追加されるだけではなく、このプロセスは、後に、グラフとあまり関連していないと思えるノードを選抜除去することを伴う。選抜除去することは、手動入力も伴い得る。例えば、グラフは、example.comと、example1.comと、example-inc.comと、example-inc-sucks.comとを含むように作成され得、手動精査は、手動精査担当者が、そのドメインが、他の資産と共に、実際に共同で所有されていない、または統制されていない、またはその可能性が低いことを決定すると、グラフからexample-inc-sucks.comを選抜除去するであろう。
【0053】
グラフのディスプレイを観察した後のユーザフィードバックを含むあるフィードバックを使用して、このプロセスは、他のノードを追加し得るか、または、グラフの枝を選抜除去し得る。
(ドメインの追加)
(ドメインの追加)
【0054】
ある場合、ドメインは、それらのドメインが見込み資産目録グラフ内に既に存在するドメインと共通するメタデータ((ドメインを登録するために使用された同じ電子メールアドレス、または同じ電話番号等)を有する場合、見込み資産目録グラフに追加される。一般に、合致プロセスでは、フィールドに応じて、合致ステップの前に、データの正規化(例えば、全ての文字列を小文字にする、電話番号内の句読点、ダッシュ、スペースを削除する、ゼロが文字「O」と同一に扱われるように、共通のホモグリフを置換する等)が行われ得る。
【0055】
合致プロセスは、以下を含み得る:(a)見込み資産目録グラフを読み取り、すでに見込み資産目録グラフ内に存在するドメイン(既知のドメイン)の組に関するメタデータを識別するステップ、(b)既知のドメインについての特定のメタデータを選択するステップ、(c)そのメタデータを正規化するステップ、(d)その正規化されたメタデータに対する合致に関して(DNAデータベース、WHOISデータベース等の)ドメインデータベースを検索するステップ、(e)随意に、メタデータが、所有権の印ではなく、登録プロセスのアーチファクト(例えば、登録のための「whoisguard」タイプの電子メールアドレス、所有者および多くの他の無関連の当事者にサービスを提供する大規模なクラウドサービスを指し示すIPアドレス、所有者自身のドメイン名ではなく、電子メールサービスプロバイダの電子メールドメイン名等の使用)である可能性が高いドメインをフィルタ除去するステップ、(f)各残りの合致に関して、見込み資産目録グラフにそのドメインを追加するステップ、(g)所望に応じて繰り返すステップ(例えば、新しいドメインが追加されなくなるまで、またはいくつかの所定の数の繰り返しが実施されるまで)。
【0056】
正規化に加えて、またはその代わりに、正規表現等のワイルドカード表現が、使用され得る。例えば、WHOISデータベースを検索することにおいて、検索語が、「example.*¥.com」であり、whois/zone=”example.*¥.com”を有するWHOISデータベース内の全てのドメインを返し得る。
【0057】
検索するために使用されるデータベースは、現在のデータベースまたは履歴データベースであり得る。例えば、ドメインが、登録アドレスまたは技術的連絡先アドレスとして会社電子メールアドレスを使用して登録され、後に、非公開登録に変更された場合(登録アドレスまたは技術的連絡先アドレスは、登録者のそれらである)、履歴DNSデータベースまたは履歴WHOISデータベースの参照が、より多くの接続を提供し、特定の所有者の資産をより識別し得る。別の例として、所有者がクラウドプロバイダのサブネット(例えば、Cloudflare、Incapsula、DoSArrest、Akamai等)に切り替えた場合、合致プロセスは、履歴データベースを走査し、所有者のドメインがそのようなサブネットを使用していなかったときを見出し、その時点のIPアドレスを確認し、その時点で同じIPアドレスを指していた他のドメインを見出すことができる。次いで、今日まで早送りし、依然として同一の場所にあるものを把握する。但し、それは、共有されるホスト化および他の理由に起因して、多くの誤検出を伴う合致プロセスを提供し得る。データベース自体だけではなく、二分木、ファイルの共有組、ルックアップテーブル、および/またはmtblデータ構造のうちの1つ以上のもの等の他のデータ構造も検索され得る。より一般的に、効率的なルックアップを可能にするデータ構造が、直接統合、APIを介してアクセス可能、フラットファイルにわたる繰り返し、メモリ内のポインタまたはキャッシュの使用、またはある他の方法のいずれかで、使用され得る。
【0058】
グラフプロセッサがアクセスするデータベースは、公的に利用可能なDNSサーバ等のパブリックデータベースであり得るか、または、履歴WHOISデータベース等のサブスクリプションによって維持および提供されるプライベートデータベースであり得るか、または、グラフプロセッサのオペレータによって内部的に維持されるプライベートデータベースであり得る。
(選抜除去)
(選抜除去)
【0059】
いくつかの実施形態において、資産のデータベースのグラフは、すでに既知であるが、所有権または統制のいかなる指示も有していないこともある。他の場合、このグラフまたはデータベースは、それが生成される必要がないように、クエリのために構築またはアクセス可能であり得、その結果、それは、共同所有権下にないように思われる資産をフィルタ除去すること、および/または共同所有権下にないように思われるグラフの枝を選抜除去することによって、共同所有権下にある資産のグラフを決定するプロセスのために使用され得る。共同所有権またはその反対を示すあるデータが、ノイズの多いデータであり得る。複数のインジケータを使用することによって、共同所有権のよりロバストなグラフが、構築され得る。共同所有権のグラフは、グラフが分割され得る場合、または複数のグラフが組み合わせられ得る場合に関して、人のフィードバックを取り込むことによって、さらに改良され得る。追加のインジケータが、グラフの忠実度を改良するようにグラフエッジ重みを調節するために処理され得る。グラフは、共同で所有される資産の全てを厳密に示さないこともあり、共同で所有されていない資産を示さないこともあるが、それにもかかわらず、そのようなグラフは、依然として、資産の所有権に関する価値のある情報を提供するものとして有用であることができる。一例は、それらの資産をネットワーク統制下に置き、パッチを用いてそれらを更新し、未使用資産を廃止すること等によってそれらをセキュリティ保護しようとするエンティティである。良好なグラフにより、そして、エンティティは、時として、グラフがエンティティによって実際に所有されていない資産を提案し、エンティティによって実際に所有されるある資産が欠落していることもある場合でも、エンティティが所有する資産を追跡し、サービス提供することができる。したがって、グラフは、完璧である必要はないが、資産精査のタスクが管理可能であるようにいくつかのフィルタリングを提供するべきである。
【0060】
ある実施形態において、資産評価システムが、ネットワーク接続された資産のグラフまたはデータベースを処理し、またはそれにアクセスし、一連の評価を実行し、特定の所有エンティティに関連付けられている資産、またはその可能性が低い資産を決定し得る。したがって、評価の一部は、肯定的インジケータであり、評価の一部は、否定的インジケータである。
【0061】
追加のインジケータは。おそらくグラフの精査の後、またはそうでない人の入力からであり得る。いくつかの実施形態において、人の入力が、データだけではなく、グラフプロセッサが見出すデータを処理するためにグラフプロセッサによって使用される規則も修正するために使用されることができる。例えば、ユーザは、グラフプロセッサが資産の共同所有権を査定することにおいて、任意のURL類似性をスキップするための選択肢、またはそれを検討しないための選択肢を選択し得る。
(エッジの重み付け)
(エッジの重み付け)
【0062】
ある場合、重みが、エッジに割り当てられ得る。例えば、見込み資産目録グラフ内に存在する第1のドメインが、見込み資産目録グラフ内に存在しない第2のドメインと共同で所有されていることが確実であることを伴って知られている場合、第2のドメインは、第1のドメインと第2のドメインとを接続するエッジとともに、グラフ内にノードとして追加されることができ、エッジは、1.0の重みを有する。新しいノードを追加するために行われる特定の検索ステップが、より不確かであり得る場合、エッジは、より低い重みを割り当てられ得る。例えば、ドメイン<companyname1.com>が、すでに見込み資産目録グラフ内に存在し、正規化を介したノードである場合、ドメイン<companynameI.com>は、見込み資産目録グラフ内への新しいノードとしての追加として考慮され、エッジは、見込み資産目録グラフ内に<companyname1.com>に関するノードと<companynameI.com>に関するノードとの間に追加され、2つのドメインが共同で所有されているかどうかについての可能な不確実性を反映するための0.6の重みを表すそのエッジに関するメタデータが、記録され得る。したがって、いくつかの検索ステップが、接続重みに加えて、ドメインまたは他のノード詳細を返し得る。
【0063】
資産グラフの表現を提示するとき、重みのある指示が、提示され得、信頼度の格付けとして提示され得る。可能な所有者によって所有される資産に関するものである、1つのノードの信頼度が、ノードのチェーンに基づく場合、信頼度の格付けは、適宜、調節されることができる。例えば、見込み資産目録グラフが、所有者Oがドメイン「owner-o.tld」を所有し、ドメイン「owner-oh.tld」も所有する40%の確率を伴うことを確実に示す場合、発見プロセスは、ドメイン「owners-of-oh.tld」がドメイン「owner-oh.tld」とともに共同で所有されている50%の確率を有すると決定し、次いで、発見プロセスは、ノードをドメイン「owner-oh.tld」に関する見込み資産目録グラフに追加することと、それにそれらの確率を示す信頼度値または重みを与えることとを伴い得る。これは、40%*50%=20%であるか、または、重みを組み合わせるいくつかの他の様式であり得る。
【0064】
重みは、相加的であり得る。例えば、1つの検索が、2つのドメインが、共通の登録電子メールアドレスを有することを示す場合、それらの2つのドメイン間のエッジが、W1の重みを割り当てられ得、別の検索が、それらの2つのドメインが、証明機関を共有すること、および共有が、それ自体でW2の重みに値するであろうことを示す場合、見込み資産目録グラフ内で、それらの2つのドメインに関するノード間で使用される重みは、W1+W2の重み、または少なくともW1およびW2のうちのより高い方より大きい重みであり得る。
【0065】
エッジの重み付け(それは、1つのノードが所有者の資産を表す場合、別のノードもその所有者の資産である可能性が高いことの相対的信頼度を表し得る)に加えて、ノードそれら自体が、信頼度レベルを示すメタデータを有し得る。後者は、所与のノードが、存在し得る他のノードおよびエッジとは無関係に、所与の所有者によって所有される信頼レベルであろう。ノードに関する信頼レベルは、そのノードに接続されるエッジの信頼レベルの関数であり得るが、ある他の様式で計算され得る。
【0066】
図4は、多すぎるノイズを追加されたデータの中に導入することを回避するために使用され得るような、おそらく資産の共同統制を示すデータ点に適用され得る重み付けのある例を図示する。そこに図示されているように、いくつかのより関連のある印が、高く等級付けられ、ノイズの多い印が、より低く等級付けされるであろう。グラフプロセッサは、エリア402内に存在する印が、データの自動受入を可能にするために十分な品質を有すると思われる一方、エリア404内に存在する印が、人の介入に関してフラグを立てられ、エリア406内に存在する印が、考慮されていないか、または図から非表示にされるように、プログラムされ得る。
(ドメイン合致規則の例)
(ドメイン合致規則の例)
【0067】
共同統制を有する見込み資産目録グラフにドメインが追加されることをもたらすドメイン合致のいくつかの例は、以下を含み得る。
【0068】
1.2つの(またはそれを上回る)ドメインが、共通の登録電子メールアドレスを共有する例:グラフ内に存在するドメインに関して、WHOISデータベースが、クエリされ、ドメインが登録されたときに供給される連絡先の人(技術的連絡先、管理連絡先等)の電子メールアドレスを識別することができる。それらの電子メールアドレスは、次いで、クエリ入力として使用され、すでに見込み資産目録グラフ内に存在するドメインの登録電子メールアドレスに合致する登録電子メールアドレスを有するドメインのレコードを見出すことができる。このサブプロセスのための論理式は、以下であり得る。
(domain1.registration_email_address ===
domain2.registration_email_address)
(domain1.registration_email_address ===
domain2.registration_email_address)
【0069】
2.2つの(またはそれを上回る)ドメインが、共通の登録電子メールアドレスドメインを共有する例:#1と同様であるが、登録電子メールアドレスのユーザ名が電子メールドメインと厳密に合致する必要がない場合、随意に、資産の共同統制である可能性が高いことを示していない、数の多い共有ドメインをフィルタ除去する。(例えば、username 1@gmail.comおよびusername 2@gmail.comを使用した登録は、gmail.comが、多くの無関連のユーザ間で共有されているので、必ずしも共同統制を示すわけではないであろう。)このサブプロセスのための論理式は、以下であり得る。
(hostname(domain1.registration_email_address) === hostname(domain2.registration_email_address)
(hostname(domain1.registration_email_address) === hostname(domain2.registration_email_address)
【0070】
3.グラフ内の既存のドメインのドメインを伴う電子メールアドレスを使用して登録されるドメイン:すでにグラフ上に存在するドメインのそれぞれのドメイン名が、グラフからクエリされることができる。そして、WHOISデータベースが、他のドメイン(それらのアドレスがグラフ上に存在するドメインを含む連絡先情報電子メールアドレスを有している)を見出すために検索されることができる。例えば、example.comが、グラフ上に存在する場合、この合致ステップは、WHOISデータベース内で、user@example.comの形態の連絡先情報電子メールアドレスを有する他のドメインを識別するであろう。フィルタが、共通の電子メールサービスによってホストされているそれらの連絡先情報電子メールアドレスを有するドメインを捕捉しないように、定位置に設置され得る。しかしながら、このフィルタは、グラフが、共通の電子メールサービスを参照するそれらのドメインを資産として含む可能性が低い場合、必要とされないこともある(例えば、gmail.comの統制者以外に関して作成されているグラフは、ユーザの資産のうちの1つとしてgmail.comを含む可能性が低いグラフである)。このサブプロセスのための論理式は、以下であり得る。
(domain1 === domain2.registration_email_address.domain).
(domain1 === domain2.registration_email_address.domain).
【0071】
4.2つの(またはそれを上回る)ドメインが、共通のIPアドレスを共有する例:グラフ内に存在するドメインに関して、DNSルックアップが、各既存のドメインに関して行われ、そのドメインがホストされるIPアドレスを識別し得る。次いで、DNSデータは、その同一のIPアドレスにおいてホストされる他のドメインに関しても検索され、それらの他のドメインがグラフに追加され得る。フィルタが、IPアドレスがクラウドホスティングサービスに関連付けられるドメイン内への追加を除外するために提供され得、そうでなければ、共同エンドユーザ統制下にないクラウドホスティングサービスの顧客の多数の無関連のドメインが、グラフに追加されるであろう。このサブプロセスのための論理式は、以下であり得る。
(domain1.ip_address === domain2.ip_address)
(domain1.ip_address === domain2.ip_address)
【0072】
5.2つの(またはそれを上回る)ドメインが、他の共通のWHOISフィールドを共有する例:グラフ内に存在するドメインに関して、WHOISデータベースが、連絡先電子メールアドレス以外のWHOISフィールドを識別するためにクエリされることができ、それらのフィールドは、次いで、共同統制を示し得るそれらのフィールドを共通に有する他のドメインのレコードを見出すために、クエリ入力として使用されることができる。例は、以下を含む。
a.以下におけるような電話番号
(domain1.phone_number === domain2.phone_number)
b.CIDRブロック
c.ドメインを登録した人またはエンティティのIPアドレス(不正使用監視データベースサービスから取得され得る)
a.以下におけるような電話番号
(domain1.phone_number === domain2.phone_number)
b.CIDRブロック
c.ドメインを登録した人またはエンティティのIPアドレス(不正使用監視データベースサービスから取得され得る)
【0073】
6.合致コンテンツの相互参照:第1のホストに関するあるホストされたコンテンツが、別のホストに関するコンテンツを参照することがある、および/または2つのホストに関するホストされたコンテンツの両方が、別のホストに戻って参照することもあり、それは、第1のホストおよび第2のホストが、同一のエンティティによって統制される資産であることの印であることができる。その場合、第1のホストが、グラフ上に存在し、第2のホストが、そうではない場合、第2のホストが、第1のホストと第2のホストとの間のエッジとともにグラフに追加されることができ、エッジは、相互参照に基づいて決定される重みを有する。そのような相互参照の一例は、他のブログを管理するソフトウェアが、適宜、更新し得るように、1つのブログ上での更新および他のイベントに関してブログ間で信号伝達するブログサイト上で使用されるトラックバックである。トラックバックは、コンテンツ内に埋め込まれるトラックバックURLによって表され得る。
【0074】
トラックバックURLの1つの具体的な例は、WordPressブログと共に使用され、WordPressコンテンツは、トラックバックURLを含み得る。このサブプロセスのための論理式は、以下であり得る。
(domain1.html.wordpress_trackback === domain2.html.wordpress_trackback)
(domain1.html.wordpress_trackback === domain2.html.wordpress_trackback)
【0075】
別の例は、コールバックに関するものである。グラフ上に存在する第1のホストを要求する(HTTP要求等)であろうプログラムコードが、トリガされることができる。HTTP要求を発行する機械が、応答して、コールバックを受信し得る。そのコールバックは、グラフ上に存在していない第2のホストからのものであり得る。コールバック返答のドメイン名、IPアドレス、および/またはURLが、要求の受信者とその要求に対するコールバックの発行元とが、共同統制される資産である可能性に応じて、グラフに追加され得る。
【0076】
7.2つの(またはそれを上回る)資産が、CIDRブロックを共有する例:クラスレスドメイン間ルーティング(CIDR)ブロックが、共同統制され得るある範囲のIPアドレスを表すことができる。いくつかの資産が、特定のCIDRブロックにマップされることができる。例えば、検索プロセスが、ローカルDNSシステムにクエリし、第1のサブドメインである第1の資産に関連付けられた第1のIPアドレス、および第2のサブドメインである第2の資産に関連付けられた第2のIPアドレスを見出すことができる。第1のIPアドレスおよび第2のIPアドレスが同一のCIDRブロック内に存在し、第1の資産がグラフ上に存在し、第2の資産がそうではない場合、第2の資産は、それらの両方が、共通に割り当てられたCIDRブロックを指していることに基づいて、グラフに追加され得る。
【0077】
典型的に、1つのエンティティが、(IPアドレスレジストリまたは配分データベーを通して決定され得る)CIDRブロック全体を割り当てられる場合、そのCIDRブロックにおけるIPアドレスを指し示すサブドメインは、そのエンティティによって共同統制され得る。資産をグラフに追加するための決定は、IPアドレスがクラウドホスティングサービスまたはサービスとしてのソフトウェアサービスに関連付けられた資産内への追加を除外するためにフィルタリングされ得、そうでなければ、共同エンドユーザ統制下にないサービスの顧客の多数の無関連の資産が、グラフに追加されるであろう。
【0078】
資産が、すでにグラフ上に存在する資産と共通のCIDRブロックを有することに基づいて追加されると、資産間のエッジが、資産のCIDRブロックとの結び付きの強度の指示に対応する重みとともにグラフに追加され得る。
【0079】
そのようなノードを追加することの適応性または使用される重みは、おそらく、人間ユーザから取得されるフィードバックから記憶されるデータに依存し得る。例えば、他のユーザが、共通のCIDR内の資産が、共同統制されていないことを示している場合、それは、後の合致の重みを低減させ得る。
【0080】
共通のCIDRブロックに基づいてノードを追加するステップは、閾値を有し得、資産がグラフに追加される前、2つ以上の統制された資産(5個または10個の資産等)が、共通のCIDRブロック内に存在する必要がある。
【0081】
8.2つの(またはそれを上回る)資産が、他の資産によって定義される共通のIP範囲を共有する例:第1の資産および第2の資産が、グラフ内に列挙され、異なるIPアドレスを有する場合、それらのIPアドレスは、ある範囲のIPアドレスを定義する。グラフ上に存在しない資産である関連付けられたIPアドレスを有する他の資産を検討するとき、それらは、それに基づいてグラフに追加され得る。これは、複数のIPアドレスにおける資産が単一のエンティティによって統制される場合、その単一のエンティティが、それらの既知のIPアドレス間のIPアドレスを統制することも行い得る確率が高いという仮定に由来し得る。資産をグラフに追加するための決定が、IPアドレスがクラウドホスティングサービスまたはサービスとしてのソフトウェアサービスに関連付けられた資産における追加を除外するためにフィルタリングされ得、そうでなければ、共同エンドユーザ統制下にないサービスの顧客の多数の無関連の資産が、グラフに追加されるであろう。
【0082】
資産がすでにグラフ上に存在する資産のIPアドレス間のある範囲内のIPアドレスを有することに基づいて追加されると、資産間のエッジが、資産のIPアドレス範囲との結び付きの強度の指示に対応する重みとともに、グラフに追加され得る。
【0083】
そのようなノードを追加することの適応性または使用される重みは、おそらく、人間ユーザから取得されるフィードバックから記憶されるデータに依存し得る。例えば、他のユーザが、IPアドレス範囲内の資産が、共同統制されていないことを示している場合、それは、後の合致の重みを低減させ得る。
【0084】
9.2つの(またはそれを上回る)資産が、他のCIDRブロック特徴を共有する例:1つの資産が、グラフ上に存在し、別の資産が、共通特徴を有し、グラフ上に存在しない場合、第2の資産が、追加されることができる。共通特徴のある例は、トメインが、類似する注目ドメインに関する全てのドメインに関するIP空間を取り囲む「example.*¥.com」ドメインのような共通特徴を有することである。これは、RIRゾーンファイルから得られた最小/最大に限定されたCIDRブロックによって絞り込まれる。
【0085】
10.2つの(またはそれを上回る)資産が、ASN相関を有する例:グラフ上に存在する第1のドメインのASN情報が、グラフ上に存在していない第2のホストのASN情報に合致する場合、第2のホストが、第1のホストと第2のホストとの間のエッジとともに、グラフに追加されることができる。共通のASN情報を伴うドメインの全ては、同じの空間を指し示す可能性が高い(特に、重複が、その同じIP空間の中を指し示す2つ以上のドメイン間において大きい場合)。ASNは、一意に、かつ大域的に自律システムを識別する自律システム番号であり得る。自律システムは、接続されたIPルーティングプレフィクスを使用し、特定の管理エンティティまたはドメインによって統制され、またはインターネットサービスプロバイダ(ISP)によって統制されるホストを備え得る。ASNは、大域的レジストリ内に登録され得る。
【0086】
11.証明機関(CA)の相関:このプロセスは、利用可能である場合、ノードから、CAドメインが使用するメタデータを抽出する。使用中のCAのリストが、次いで、検索入力として使用され、CAデータベースまたはツリーを検索し、それらのドメインがグラフ内に存在するドメインと共通してCAを有する場合、グラフ内にまだ存在しない他のドメインを識別する。これは、CAを共有する資産を捕捉し、それは、それらが共同で所有されている可能性を示し得る。これは、CAの大きさに基づいて重み付けされることができ、すなわち、より大きいCAを共有する2つのドメインは、より小さいCAを共有する2つのドメインより共同で所有されている可能性が低くあり得る。
【0087】
12.履歴DNSおよびWHOISエントリの分析:現在のDNSデータベースまたはWHOISデータベースをウォークスルーすることに加えて、上記のステップのうちのいくつかが、DNSデータベースまたはWHOISデータベースの履歴バージョンまたはアーカイブバージョンに対して実施され、グラフに関する追加のノードを識別し得る。履歴検索を介して追加されるノードのエッジの重みが、レコードの古さに基づいて重み付けされ得る。例えば、第1のドメインが、グラフ上に存在し、第2のドメインおよび第3のドメインが、そうではないが、第2のドメインおよび第3のドメインが、第1のドメインと共通の登録電子メールアドレスを有するか、または、それらの全てが、かつて、共通のIPアドレスに関連付けられていた場合、第2のドメインおよび第3のドメインが、グラフに追加され得る。第1のドメインと第2のドメインとの間の接続が、履歴データにおいて、第1のドメインと第3のドメインとの間の接続より、はるかに最近のものである場合、おそらく、第1のドメインと第2のドメインとの間のエッジは、第1のドメインと第3のドメインとの間のエッジより高い重みを割り当てられるであろう。
(ウェブページコンテンツに基づいたドメインまたはウェブページの追加)
(ウェブページコンテンツに基づいたドメインまたはウェブページの追加)
【0088】
別のプロセスでは、ドメイン名、ウェブページ等の資産の暫定的所有権が、ウェブページのコンテンツを処理することによって行われる。そのようなコンテンツを考慮することによって、自動化プロセスが、資産を見込み資産目録グラフに追加すべきかどうかを決定することができる。正規化も、ここで同様に使用され得る。
【0089】
合致プロセスは、所有権の印としての役割を果たし得る文字列または他のメタデータを識別するために見込み資産目録グラフを読み取るステップを含み得る。例えば、ウェブページは、著作権表示および会社名を含み得るか、または、会社名は、そのHTMLコード内に埋め込まれ得る。次いで、それらの印が、ウェブページ、検索エンジンインデックス等、他のコンテンツ内で検索される。検索において見出される合致が、見込み資産目録グラフに追加されることができる。既知の誤検知に関するフィルタリングも、同様に行われることができる。資産が、追加されるように、繰り返しが、行われ得、所望に応じて(例えば、新しいドメインが追加されなくなるまで、またはいくつかの所定の数の繰り返しが実施されるまで)新たに追加された資産にわたって繰り返す。
【0090】
そのような印の例は、以下を含み得る:
1.広告システムキーワード(例えば、Google AnalyticsキーまたはGoogle Adwordsキー):特定のキーワードに関してコンテンツにわたって検索し、そのキーワードを含むドメインまたは他の資産を識別し、それをグラフに追加する。
2.リンクタグ:2つ以上のサイトが同一のサイト/ページであると主張するときに識別するためのrelタイプを含むリンクタグを検索する。正規化が、使用されることも、そうでないこともある。
3.異なるHTMLページ上の特有の文字列:他のサイト上の他のHTMLに合致する会社名および著作権表示(例えば、Copyright 20xx, Company Inc.)を探索する。名称は、わずかなスペルミスおよび変動が同じものであるものとして扱われるように正規化され得る。
(他の例)
1.広告システムキーワード(例えば、Google AnalyticsキーまたはGoogle Adwordsキー):特定のキーワードに関してコンテンツにわたって検索し、そのキーワードを含むドメインまたは他の資産を識別し、それをグラフに追加する。
2.リンクタグ:2つ以上のサイトが同一のサイト/ページであると主張するときに識別するためのrelタイプを含むリンクタグを検索する。正規化が、使用されることも、そうでないこともある。
3.異なるHTMLページ上の特有の文字列:他のサイト上の他のHTMLに合致する会社名および著作権表示(例えば、Copyright 20xx, Company Inc.)を探索する。名称は、わずかなスペルミスおよび変動が同じものであるものとして扱われるように正規化され得る。
(他の例)
【0091】
1)実施され得る1つの試験は、サイトSが、特定の他のサイトへのリンクを含むページを有し、したがって、可能な相関を示しているかどうかをチェックすることであろう。いくつかの過度に共通のリンク先サイトが、除外され、無関連であるが共通のサイト(大規模な検索エンジンサイトおよび大規模なソーシャルメディアサイト等)との相関を推論することを回避し得る。これらの相関は、計算され、ヒストグラムとして提示されるか、ブラックリストとして記憶されるか、または、可能性が高い誤検出を示すためのユーザフィードバック(目的が資産ではないこと示す機械学習出力等)を使用し得る。例えば、グラフからのデータが、ネットワーキングおよびインターネットプロトコルに精通しているユーザ、およびサービスプロバイダに提供されることができ、彼らは、次いで、共同統制下にあるものとしてフラグを立てられた接続を容易に見分け得るが、あるサービスプロバイダが無関連の顧客資産を経由したその接続を使用していることを把握する。そのような接続は、次いで、誤検出として標識され得る。
【0092】
2)別の試験は、システムにURLの近接度試験を実施させることである。例えば、「example.com」を含むURLは、「example-test.com」を含む別のURLと互いに関係があると見なされ得る。ユーザフィードバックまたはコンピュータプロセスは、いくつかのURLが共同統制下にあるように思われるが、下層資産が、そうではないことを決定し得る。例えば、URLが、コンテンツ配信ネットワークまたはクラウドサービスプロバイダによって、それらの複数の無関連の顧客に対して発生させられる一方、オブジェクトが、asset1.<CDN-TLD>.comおよびasset2.<CDN-TLD>.com等、類似し、関連付けられるURLを有し得る(その類似性は、必ずしもそれらの資産の共同統制から結果として生じるわけではない)。
【0093】
3)さらに別の試験では、サイトYが、見出される一方、続くリンクがサイトXから開始し、サイトYが、サイトXのページへのリンクを含む場合、それは、XとYとの相関であると見なされ得る。
【0094】
4)サイトXおよびサイトZの両方が、サイト目録内に記憶されており、両方がサイトYのページにリンクすることが見出され、サイトYのページ上のリンクが、XまたはZを指し示す場合、それは、相関の指示として使用されることができる。
【0095】
5)内部使用アドレスに関するフィルタリング:いくつかの実施形態において、相関が、例えば、無関連の当事者によって、彼らの内部ネットワークのために使用されることが既知であるIPアドレス(それは、関連しているように思われるが、それらのIPアドレスは、アドレス10.x.x.xおよび192.168.x.x等、内部使用である)に基づいて仮定された場合、フラグを立てることが有用であり得る。これは、通常の大域的使用以外のための予備であることが既知である、アドレス範囲にも適用され得る。
【0096】
6)必ずしも相関しているわけではない共同で使用されるTLDに関するフィルタリング:例えば、.arpa TLDを伴うホスト名に関するPTRレコードを有する2つ以上のIPは、それが多くの無関連のIPv4およびIPv6アドレスに当てはまり得るので、いかなる相関にも起因しないこともある。
【0097】
7)有効TLDに関するフィルタリング:いくつかの実施形態において、見なし相関が、それらが「有効」TLDに基づく場合、考慮されない。例えば、*.co.ukドメインは、*.example.comドメインに当てはまるであろうように互いに関係付けられていない。むしろ、それらは、異なるサブドメインではなく、異なるドメインとして扱われている「example.co.uk」および「example2.co.uk」等の有効ドメインに基づいて互いに関係付けられるべきである。ある変形例では、システムは、有効TLDまたはTLDを互いに関係付けられているが、有効TLDに関して相関の重要性が低いまたは調整可能な測定値として扱う。例えば、<company>.<tld>、または.<company>は、それらの全てが単一のエンティティによって所有されていることが既知である場合、互いに関係付けられ得る。
【0098】
相関の調節:システムは、相関が、2つの無関連エンティティが同一のルーティング不可能なIPへの異なるDNS参照を有することを示し得る内部RFC1918タイプアドレス、RFC4193タイプアドレス、RFC6890タイプアドレス、RFC3927タイプアドレス、ループバックアドレス、ローカルリンクアドレス、ブロードキャストアドレス、キャリアグレードNATプロセス、ユニークローカルアドレス、他の非ルーティング可能インターネットプロトコルアドレス等、最初にアドレス空間の異常な使用に基づいて決定されているかどうか等の要因に基づいて、相関の重みを増大させること、または相関の重みを低減させることを行い得る。より一般的に、アドレス空間は、複数の無関連エンティティにわたって再利用されるそれらであり得、従って、2つの資産が、同じアドレス空間内に存在し得るが、それは、必ずしも1つのエンティティに関連付けられたアドレス空間であるわけではなく、従って、相関は、誤検出の資産の関連付けをもたらすであろう。
【0099】
システムが行い得る別の相関調節は、IP空間を共有する既知のプロバイダ(共有されるホスティングプロバイダ、クラウドベースのWAF、CDN、および仮想ホスティングプロバイダ等)間のつながりの確率に関して、重みを除去すること、またはそれを著しく低減させることである。
【0100】
システムが行い得るさらに別の相関調節は、見出されたリンクが、限定ではないが、ドメインプロキシサービス、ドメインプライバシサービス、ブランクまたは未定義のwhois結果、これが未知であるか、または、非表示であることを示すプレースホルダ結果、明らかにするために手動/非自動化ステップを要求する、プレースホルダ結果、または任意の種類のプライバシプロキシ企業を含む、プライバシサービスに対して既知であるとき、限定ではないが、whoisまたは任意の既知の、または企業由来のアドレスを含む、電子メールアドレス、電話番号、および物理的アドレスを介したつながりの確率に関して、重みを除去すること、またはそれを著しく低減させることである。
【0101】
図5は、例示的グラフ作成プロセスのフローチャートである。そこに図示されているように、ステップ501において、グラフプロセッサが、ソースを伴う目録を取得し得る。ステップ502において、グラフプロセッサは、新しいまたは既知の重みに基づいてドメイン提案プロセスを開始する。ステップ503において、グラフプロセッサは、誤検出をもたらすことが既知であるソースを除去し得る。ステップ504において、グラフプロセッサは、おそらく、経路の長さに関する限界を条件として、残りのソースに関するつながりを見出し得る。ステップ505において、グラフプロセッサは、既知の誤検出を除去し得る。ステップ506において、グラフプロセッサは、おそらく、図4に示されるそれら等のメトリックに基づいて、ソースを目録に自動的に追加するかどうかを試験し得る。ステップ507において、グラフプロセッサは、図4のエリア404内にあるそれらの印におけるように、手動精査を求め得、ステップ508において、低い可能性のエッジを非表示にするか、または、削除し得る。ステップ506において、このプロセスは、ステップ502に戻り得る。ステップ507において、このプロセスは、ステップ509に進行し、ユーザ入力に基づいて重みを調節し、次いで、ステップ510に進行し、ユーザが合意したソースを目録に追加し得、このプロセスは、ステップ502に戻り得る。
(実装例)
(実装例)
【0102】
いくつかの実施形態において、グラフ処理が、実施され、入力データから、おそらく種々の程度の確実性または確率を伴って、共同統制下にあると思われる資産の組を示すグラフまたは他のデータ構造を決定する。資産の組は、ネットワーク接続されたデバイス、サービス、論理オブジェクト、商標、名称、参照物等であり得る。1つのアプローチでは、広範囲な検索が、行われ、次いで、それは、誤検出、または結果として生じるデータを改良するために結果の調節の他の印に関する人間ユーザフィードバックに基づいて、縮小される。いくつかの事例では、グラフは、資産、およびそれらの他の資産への接続を示す接続されたグラフである。他の実施形態において、結果として生じるグラフは、データ構造であり得、それは、資産の全て(または資産の一部でさえ)を他の資産に必ずしも接続するわけではない。
【0103】
いくつかの実施形態において、異なる印は、異なる重み付けを有し得、資産の統制の共通性が、個々の印の加重和によって決定され得る。重み付けは、人の入力、機械学習、フィードバック、または他の方法から導出され得る。重み付けは、正および/または負であり得、例えば、インジケータ上の正の重みは、インジケータが、共同統制下にある資産を提案または決定することを含意し得、インジケータ上の負の重みは、インジケータが、共同統制下にない資産を提案または決定することを含意し得る。
【0104】
いくつかの実施形態において、機械規則および/または人の入力が、ロングテール接続を低減させるために使用され得る。例えば、グラフプロセッサは、資産Aおよび資産Bが、共同で所有されており、資産Bおよび資産Cが、共同で所有されていることを決定し、したがって、資産Aおよび資産Cも、共同で所有されていると結論付け得る。グラフプロセッサは、例えば、資産A、B、C、・・・、J、K、Lの各々が、上で説明されるように、シーケンス内の次の資産と共同所有されている可能性が高いと見出され、8つのステップのグラフ経路が、存在する場合、資産A-Hは、共同所有であると見なされ得るが、個々のステップにおいて資産Aから資産Lまでの経路が存在するので、資産I-Lは単独であると見なされ得るように、エクステンションの数を限定するようにプログラムされ得る。
【0105】
いくつかの実施形態において、初期のグラフが、そのチームの組織の統制下にあることが既知である資産を列挙する運用チームによって維持される、カンマ区切りファイルまたはスプレッドシート等のユーザツールを使用して、アップロードされる。そこから、グラフプロセッサは、リスト上に存在していない資産への外挿を行うことができる。
【0106】
図6は、グラフ検索およびグラフ限定を図示する。図示されているように、グラフプロセッサ602は、資産Aをそのエントリのうちの1つとして含む資産目録604を読み取る。グラフプロセッサ602は、資産Aにクエリし、資産Aについてのより多くのデータを識別し、それが依然として、存在し、応答すること等をチェックする。グラフプロセッサ602は、すでに資産目録604内に存在する他の資産についてもこれを行い得る。資産Aが、1つ以上の印に従って資産Bおよび資産Cと互いに関係し、グラフプロセッサ602が、同様に、資産Bおよび資産Cにクエリし、それらについてのより多くのデータを識別し、それらが依然として、存在し、応答することをチェックし得ることに留意されたい。グラフプロセッサ602は、資産Aとのつながりに基づいて資産Cを訪問し、資産Cと資産Dとの間の相関を見出し得る。この例では、資産Dは、検討するには遠隔すぎると見なされ、従って、それは、訪問されない。
【0107】
図7は、追加の実施形態を図示する。
【0108】
一実施形態によると、本明細書に説明される技法は、ファームウェア、メモリ、他の記憶装置、または組み合わせ内のプログラム命令に準拠して技法を実施するようにプログラムされる1つまたは一般化されたコンピューティングシステムによって実装される。技法を実装するための有線および/またはプログラム論理を組み込む、デスクトップコンピュータシステム、ポータブルコンピュータシステム、ハンドヘルドデバイス、ネットワーキングデバイス、または任意の他のデバイス等の特殊目的コンピューティングデバイスが、使用され得る。
【0109】
本明細書に説明されるプロセスの動作は、本明細書に別様に示されない限り、または文脈によって明確に別様に反論されない限り、任意の好適な順序において実施されることができる。本明細書に説明されるプロセス(またはその変形例および/または組み合わせ)は、実行可能命令を伴って構成される1つ以上のコンピュータシステムの統制下で実施され得、ハードウェアまたはその組み合わせによって、1つ以上のプロセッサ上で集合的に実行するコード(例えば、実行可能命令、1つ以上のコンピュータプログラム、または1つ以上のアプリケーション)として実装され得る。コードは、例えば、1つ以上のプロセッサによって実行可能な複数の命令を含むコンピュータプログラムの形態にある、コンピュータ読み取り可能な記憶媒体上に記憶され得る。コンピュータ読み取り可能な記憶媒体は、非一過性であり得る。
【0110】
「A、B、およびCのうちの少なくとも1つ」または「A、BおよびCのうちの少なくとも1つ」の形態の語句等の接続的文言は、別様に具体的に記載されない限り、または文脈によって明確に別様に反論されない限り、概して、項目、用語等がA、B、またはCのうちのいずれか、またはAおよびBおよびCの集合の任意の非空部分集合であり得ることを提示するために使用されるような文脈で別様に理解される。例えば、3つの構成要素を有する集合の例示的例では、接続語句「A、B、およびCのうちの少なくとも1つ」および「A、BおよびCのうちの少なくとも1つ」は、以下の集合、すなわち、{A}、{B}、{C}、{A, B}、{A, C}、{B, C}、{A, B, C}のうちのいずれかを指す。したがって、そのような接続的文言は、概して、ある実施形態が、Aのうちの少なくとも1つ、Bのうちの少なくとも1つ、およびCのうちの少なくとも1つの各々が存在することを要求することを含意することを意図していない。
【0111】
本明細書に提供される、あらゆる例または例示的な言い回し(例えば、「等」)の使用は、別様に請求されない限り、本開示の実施形態をより明瞭に照明することを意図しているにすぎず、本開示の範囲に限定を課すものではない。本明細書におけるいかなる言い回しも、任意の非請求要素を、本発明の実践に対して不可欠であるように示しているものとして解釈されるべきではない。
【0112】
前述の明細書では、本発明の実施形態が、実装間で変動し得る多数の具体的な詳細を参照して説明されている。故に、本明細書および図面は、制限的意味ではなく、例証的意味において見なされるべきである。本発明の範囲の唯一かつ排他的指標、および本出願人によって本発明の範囲であると意図されるものは、本願から発行する一連の請求項の文字通りかつ同等の範囲であり、そのような請求項が発行する具体的形態において、任意の後続の補正を含む。
【0113】
さらなる実施形態が、本開示を熟読した後、当業者に想起され得る。他の実施形態において、上記の開示される発明の組み合わせまたは副次的組み合わが、有利に、実現されることができる。構成要素の例示的配列が、例証の目的のために示され、組み合わせ、追加、再配列等が、本発明の代替実施形態において考えられることを理解されたい。したがって、本発明は、例示的実施形態に対して説明されているが、当業者は、多数の修正が、可能なことを認識するであろう。
【0114】
例えば、本明細書に説明されるプロセスは、ハードウェアコンポーネント、コンポーネントコンポーネント、および/またはそれらの任意の組み合わせを使用して実装され得る。故に、本明細書および図面は、制限的意味ではなく、例証的意味において見なされる。しかしながら、種々の修正および変更が、請求項で述べられている通り、本発明のより広義の精神および範囲から逸脱することなく、それらに成され得ること、および本発明が、以下の請求項の範囲内の全ての修正および均等物を網羅することを意図していることが、明白であろう。
【0115】
本明細書に引用される、公開文書、特許出願、および特許を含む全ての参考文献は、各参考文献が、参照することによって組み込まれ、その全体として本明細書に記載されると個々にかつ具体的に示される場合と同程度に、参照することによって本明細書によって組み込まれる。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【手続補正書】
【提出日】2022-06-20
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
グラフデータ構造を構築する方法であって、前記グラフデータ構造は、見込み資産目録グラフを表し、ノードであって、各ノードがネットワークの資産を表す、ノードと、エッジであって、各エッジがノード間の接続を表す、エッジとを備え、少なくともいくつかのエッジが、グラフデータ構造内に表される重みを有し、前記グラフデータ構造内に表される資産の共同統制を示し、前記方法は、
前記グラフデータ構造内に少なくとも1つのシード資産の表現を記憶することと、
合致基準に基づいて、追加のノードを含むように前記見込み資産目録グラフを拡張することであって、前記合致基準は、前記追加のノードと、前記見込み資産目録グラフ上にすでに存在する既存ノードとの間の合致を示す前記合致基準に基づいて、前記追加のノードが前記資産の前記共同統制下にあると推定されることを示す、ことと、
前記ノードのうちの少なくともいくつかに信頼レベルを割り当てることであって、所与のノードの信頼レベルは、前記所与のノードの前記資産が共同統制された資産である可能性に対応する、ことと、
前記追加のノードと、前記見込み資産目録グラフ上にまだ表されていない第3の資産を表す第3のノードとの間に前記合致基準を反復的に適用することと、
共同統制を示す印閾値より小さい重みを有するエッジの識別に基づいて、前記見込み資産目録グラフの枝を選抜除去することと、
前記拡張することおよび選抜除去することに基づいて、前記グラフデータ構造を更新することと
を含む、方法。
【請求項2】
拡張することは、前記見込み資産目録グラフを読み取ることによって、前記見込み資産目録グラフ上にすでに存在する資産の組を含む既知の資産に関するメタデータを識別することと、
前記既知の資産についての所定のメタデータを選択することと、
前記所定のメタデータを正規化し、正規化されたメタデータを形成することと、
前記正規化されたメタデータに対する合致に関して資産データベースを検索することと、
メタデータが所有権または統制の印ではなく、登録プロセスのアーチファクトである可能性が高い資産に関するノードをフィルタ除去することと、
各残りの合致に関して、その資産を前記見込み資産目録グラフに追加することと
を含む、請求項1に記載の方法。
【請求項3】
前記見込み資産目録グラフのエッジの重みは、個々の合致重みの総和であり、それによって、前記エッジの前記重みは、より大きい数の合致に関して増加させられる、請求項1に記載の方法。
【請求項4】
追加のノードが、資産所有権または資産関係を示すデータ構造から導出される、請求項1に記載の方法。
【請求項5】
前記データ構造は、ドメインネーミングシステム(DNS)データベース、ASNレジストリ、履歴DNSデータベース、企業所有文書データベース、履歴ルックアップデータベース、および/またはWHOISデータベースのうちの1つ以上を備え、前記グラフデータ構造を拡張することは、前記ドメインネーミングシステム(DNS)データベース、前記履歴DNSデータベース、および/または前記WHOISデータベースを検索し、合致基準を満たすノードを識別することを含む、請求項4に記載の方法。
【請求項6】
前記データ構造は、二分木、ファイルの共有組、ルックアップテーブル、API、および/またはmtblのうちの1つ以上を備えている、請求項4に記載の方法。
【請求項7】
選抜除去することは、人の入力、ブラックリスト、および/またはオブジェクトが共同統制された資産ではないことを示す機械学習出力を反映する手動入力を取得することを含む、請求項1に記載の方法。
【請求項8】
前記合致基準を反復的に適用することは、自動的に実施され、選択は、選択的深度、信頼度、設定、または他の基準に基づく利用可能なリンク付け方法の一部を含み、選択は、方法を含むことおよび/または方法を除外することを含む、請求項1に記載の方法。
【請求項9】
前記合致基準を反復的に適用することは、ユーザ定義された反復と、選択とに従って実施され、前記選択は、選択的深度、信頼度、設定、または他の基準に基づく利用可能なリンク付け方法の一部を含み、前記選択は、方法を含むことおよび/または方法を除外することを含む、請求項1に記載の方法。
【請求項10】
前記見込み資産目録グラフの表現を表示フォーマットにフォーマットすることと、前記表示フォーマットをディスプレイ上に提示することと
をさらに含む、請求項1に記載の方法。
【請求項11】
前記見込み資産目録グラフ上の資産についてのメタデータは、ホスト名、脆弱性のリスト、使用されるオープンポートのリスト、前記資産の推測されるジオロケーション、前記資産のために使用されるオペレーティングシステム、前記資産のサービスバナー、前記資産のTLS証明書詳細、IPアドレス、DNSタイプインジケータ、DNS登録データ、および/または前記IPアドレスのASN情報のうちの1つ以上を備えている、請求項1に記載の方法。
【請求項12】
メタデータは、ウェブアプリケーションの言語、前記ウェブアプリケーションのAPI、および/またはソーシャル信号を含むHTTPリンクのうちの1つ以上を示す技術スタックのコンテンツをさらに備えている、請求項11に記載の方法。
【請求項13】
前記ネットワークの資産は、ドメイン、インターネット接続された資産、サブドメイン、IPアドレス、仮想ホスト、ウェブサーバ、ネームサーバ、IoTデバイス、デスクトップコンピュータ、ネットワークプリンタ、メールサーバ、前記インターネットまたは内部ネットワークに接続されるデバイス、コンテンツ配信ネットワーク、プロキシ、ファイアウォール、進入検出システム、ルータ、および/またはスイッチのうちの1つ以上を備えている、請求項1に記載の方法。
【請求項14】
前記ネットワークの資産は、ネットワークトラフィックを受け入れることが可能である1つ以上のデバイスを備えている、請求項1に記載の方法。
【請求項15】
第1の資産は、第1のドメインであり、第2の資産は、第2のドメインであり、前記第1の資産は、前記見込み資産目録グラフ上に存在し、前記合致基準は、前記第2のドメインが前記第1のドメインと共通の登録電子メールアドレスを共有するかどうかに関する第1の試験と、
前記第2のドメインが前記第1のドメインと共通の登録電子メールアドレスドメインを共有するかどうかに関する第2の試験と、
前記第2のドメインが、前記第1のドメインのそれに合致する電子メールドメインを伴う電子メールアドレスを使用して登録されたかどうかに関する第3の試験と、
前記第2のドメインと前記第1のドメインとが共通のWHOISフィールドを共有するかどうかに関する第4の試験と、
前記第2のドメインと前記第1のドメインとの両方が、共通のホストに戻って参照するホストされたコンテンツを含むかどうかに関する第5の試験と、
前記第2のドメインと前記第1のドメインとの両方が、共通の証明機関を使用するかどうかに関する第6の試験と
のうちの1つ以上を含む、請求項1に記載の方法。
【請求項16】
少なくとも1つの試験が、履歴データを使用して実施される、請求項15に記載の方法。
【請求項17】
少なくとも1つのドメインは、サブドメインである、請求項15に記載の方法。
【請求項18】
少なくとも1つの試験が、特定の時間における状態に対して実施される、請求項15に記載の方法。
【請求項19】
前記合致基準は、サイトが特定の他のサイトへのリンクを含むページを有しているかどうかをチェックするための試験を含み、前記特定の他のサイトは、共通のリンク先サイトの所定の組を除く、請求項1に記載の方法。
【請求項20】
前記合致基準は、第1のサイトと第2のサイトとの間の相関、および/または、前記第1のサイトおよび前記第2のサイトの両方において見出される共通のリンク間の相関の試験を含む、請求項1に記載の方法。
【請求項21】
再利用可能な内部アドレスの所定のリスト上のアドレスのフィルタリングをさらに含む、請求項1に記載の方法。
【請求項22】
共同で再利用されるTLDの所定のリスト上に存在するTLD、またはTLDの共同で再利用される部分の所定のリスト上のTLDの一部に関してフィルタリングすることをさらに含む、請求項1に記載の方法。
【請求項23】
複数の無関連エンティティにわたって再利用可能であるアドレス範囲を重ねることによって最終的なアドレスが隠されるアドレス空間の使用に基づいて相関が最初に決定されたかどうかに基づいて、相関を調節することをさらに含む、請求項1に記載の方法。
【請求項24】
前記アドレス空間の使用は、内部RFC1918アドレス、RFC4193アドレス、RFC6890アドレス、RFC3927アドレス、ループバックアドレス、ローカルリンクアドレス、ブロードキャストアドレス、キャリアグレードNAT、ユニークローカルアドレス、および/または非ルーティング可能インターネットプロトコルアドレスのうちの1つ以上を含む、請求項23に記載の方法。
【請求項25】
アドレス空間を共有する既知のプロバイダ間のつながりの所定のリストに基づいて相関を調節することをさらに含む、請求項1に記載の方法。
【請求項26】
プライバシサービスの所定のリストに基づいて相関を調節することをさらに含み、それによって、所与のプライバシサービスを使用する無関連の当事者に関する相関は、それらが関連する当事者であった場合より互いに関係付けられていないと見なされる、請求項1に記載の方法。
【請求項27】
第1の資産は、第1のサブドメインであり、第2の資産は、第2のサブドメインであり、前記第1の資産は、前記見込み資産目録グラフ上に存在し、前記合致基準は、前記第2のサブドメインと前記第1のサブドメインとが共通のIPアドレスを共有するかどうかに関する第1の試験と、
前記第2のサブドメインと前記第1のサブドメインとが共通のCIDRブロックを共有するかどうかに関する第2の試験と、
前記第2のサブドメインと前記第1のサブドメインとが共通のCIDR特徴を共有するかどうかに関する第3の試験と
のうちの1つ以上を含む、請求項1に記載の方法。
【請求項28】
複数の無関連の当事者によって使用されるプライバシサービスを介してIP空間を共有する既知のプロバイダによって引き起こされるつながりの確率を低減させることをさらに含む、請求項1に記載の方法。
【請求項29】
共有することは、電子メールアドレス、電話番号、物理的アドレス、whoisエントリ、および/また企業アドレスのうちの1つ以上を共有することである、請求項28に記載の方法。
【請求項30】
ドメインプロキシサービス、ドメインプライバシサービス、ブランクまたは未定義のwhois結果、および/またはプレースホルダ結果のうちの1つ以上の共有によって引き起こされるつながりの確率を低減させることをさらに含む、請求項1に記載の方法。
【請求項31】
ユーザ定義された反復をさらに含む、請求項1に記載の方法。
【請求項32】
2つ以上のIPの両方が共有される上位レベルドメインに対するホスト名に関するPTRレコードを有しているかどうかに基づいて処理することをさらに含む、請求項1に記載の方法。
【請求項33】
無関連エンティティにわたって使用される上位レベルドメインによって引き起こされるつながりの確率を低減させることをさらに含む、請求項1に記載の方法。
【請求項34】
有効TLDまたはTLDが、相関の所定の調整可能な重みと互いに関係があるとして扱われる、請求項33に記載の方法。
【請求項35】
予備または非公開であるとして指定されるASNは、互いに関係がないと見なされる、請求項1に記載の方法。
【請求項36】
グラフデータ構造を構築する方法であって、前記グラフデータ構造は、見込み資産目録グラフを表し、各々がネットワークの資産を表すノードと、各々がノード間の接続を表すエッジとを備え、少なくともいくつかのエッジが、グラフデータ構造内に表される重みを有し、前記グラフデータ構造内に表される資産の共同統制を示し、前記方法は、
前記グラフデータ構造の表現を取得することと、
第1のノードと第2のノードとの間の前記資産の共同統制を示す合致基準を取得することと、
共同統制の可能性が高い誤検出指示に対応する規則の組を取得することと、
前記規則の組を前記グラフデータ構造に適用することによって、前記規則の組における規則が前記合致基準が誤検出指示につながる条件を示すことを示すとき、前記第1のノードと前記第2のノードとの間の第1の重みを低減させることと
を含む、方法。
【請求項37】
前記規則の組を前記グラフデータ構造に適用することによって、前記第1の重みを低減させることは、各々が可能性が高い誤検出共同統制の指示を示す前記規則の組の複数の規則を処理することを含む、請求項36に記載の方法。
【請求項38】
誤検出を示す手動フィードバックを適用し、前記第1の重みを低減させることをさらに含む、請求項36に記載の方法。【手続補正2】
【補正対象書類名】明細書
【補正対象項目名】0018
【補正方法】変更
【補正の内容】
【0018】
付随の図面とともに、以下の詳細な説明は、本実施形態の性質および利点のより深い理解を提供するであろう。
本発明はさらに、例えば、以下を提供する。
(項目1)
グラフデータ構造を構築する方法であって、前記グラフデータ構造は、見込み資産目録グラフを表し、各々がネットワークの資産を表すノードと、各々がノード間の接続を表すエッジとを備え、少なくともいくつかのエッジが、グラフデータ構造内に表される重みを有し、前記グラフデータ構造内に表される資産の共同統制を示し、
前記方法は、
前記グラフデータ構造内に少なくとも1つのシード資産の表現を記憶することと、
合致基準に基づいて、追加のノードを含むように前記見込み資産目録グラフを拡張することであって、前記合致基準は、前記追加のノードと、前記見込み資産目録グラフ上にすでに存在する既存ノードとの間の合致を示す前記合致基準に基づいて、前記追加のノードが前記資産の前記共同統制下にあると推定されることを示す、ことと、
前記追加のノードと、前記見込み資産目録グラフ上にまだ表されていない第3の資産を表す第3のノードとの間に前記合致基準を反復的に適用することと、
共同統制を示す印閾値より小さい重みを有するエッジの識別に基づいて、前記見込み資産目録グラフの枝を選抜除去することと、
前記拡張することおよび選抜除去することに基づいて、前記グラフデータ構造を更新することと
を含む、方法。
(項目2)
拡張することは、
前記見込み資産目録グラフを読み取ることによって、前記見込み資産目録グラフ上にすでに存在する資産の組を含む既知の資産に関するメタデータを識別することと、
前記既知の資産についての所定のメタデータを選択することと、
前記所定のメタデータを正規化し、正規化されたメタデータを形成することと、
前記正規化されたメタデータに対する合致に関して資産データベースを検索することと、
メタデータが所有権または統制の印ではなく、登録プロセスのアーチファクトである可能性が高い資産に関するノードをフィルタ除去することと、
各残りの合致に関して、その資産を前記見込み資産目録グラフに追加することと
を含む、項目1に記載の方法。
(項目3)
前記見込み資産目録グラフのエッジの重みは、個々の合致重みの総和であり、それによって、前記エッジの前記重みは、より大きい数の合致に関して増加させられる、項目1に記載の方法。
(項目4)
ノードは、信頼レベルを割り当てられ、ノードの信頼レベルは、前記ノードの資産が共同統制された資産である可能性に対応する、項目1に記載の方法。
(項目5)
追加のノードが、資産所有権または資産関係を示すデータ構造から導出される、項目1に記載の方法。
(項目6)
前記データ構造は、ドメインネーミングシステム(DNS)データベース、ASNレジストリ、履歴DNSデータベース、企業所有文書データベース、履歴ルックアップデータベース、および/またはWHOISデータベースのうちの1つ以上を備え、前記グラフデータ構造を拡張することは、前記ドメインネーミングシステム(DNS)データベース、前記履歴DNSデータベース、および/または前記WHOISデータベースを検索し、合致基準を満たすノードを識別することを含む、項目5に記載の方法。
(項目7)
前記データ構造は、二分木、ファイルの共有組、ルックアップテーブル、API、および/またはmtblのうちの1つ以上を備えている、項目5に記載の方法。
(項目8)
選抜除去することは、人の入力、ブラックリスト、および/またはオブジェクトが共同統制された資産ではないことを示す機械学習出力を反映する手動入力を取得することを含む、項目1に記載の方法。
(項目9)
前記合致基準を反復的に適用することは、自動的に実施され、選択は、選択的深度、信頼度、設定、または他の基準に基づく利用可能なリンク付け方法の一部を含み、選択は、方法を含むことおよび/または方法を除外することを含む、項目1に記載の方法。
(項目10)
前記合致基準を反復的に適用することは、ユーザ定義された反復と、選択とに従って実施され、前記選択は、選択的深度、信頼度、設定、または他の基準に基づく利用可能なリンク付け方法の一部を含み、前記選択は、方法を含むことおよび/または方法を除外することを含む、項目1に記載の方法。
(項目11)
前記見込み資産目録グラフの表現を表示フォーマットにフォーマットすることと、
前記表示フォーマットをディスプレイ上に提示することと
をさらに含む、項目1に記載の方法。
(項目12)
前記見込み資産目録グラフ上の資産についてのメタデータは、ホスト名、脆弱性のリスト、使用されるオープンポートのリスト、前記資産の推測されるジオロケーション、前記資産のために使用されるオペレーティングシステム、前記資産のサービスバナー、前記資産のTLS証明書詳細、IPアドレス、DNSタイプインジケータ、DNS登録データ、および/または前記IPアドレスのASN情報のうちの1つ以上を備えている、項目1に記載の方法。
(項目13)
メタデータは、ウェブアプリケーションの言語、前記ウェブアプリケーションのAPI、および/またはソーシャル信号を含むHTTPリンクのうちの1つ以上を示す技術スタックのコンテンツをさらに備えている、項目12に記載の方法。
(項目14)
前記ネットワークの資産は、ドメイン、インターネット接続された資産、サブドメイン、IPアドレス、仮想ホスト、ウェブサーバ、ネームサーバ、IoTデバイス、デスクトップコンピュータ、ネットワークプリンタ、メールサーバ、前記インターネットまたは内部ネットワークに接続されるデバイス、コンテンツ配信ネットワーク、プロキシ、ファイアウォール、進入検出システム、ルータ、および/またはスイッチのうちの1つ以上を備えている、項目1に記載の方法。
(項目15)
前記ネットワークの資産は、ネットワークトラフィックを受け入れることが可能である1つ以上のデバイスを備えている、項目1に記載の方法。
(項目16)
第1の資産は、第1のドメインであり、第2の資産は、第2のドメインであり、前記第1の資産は、前記見込み資産目録グラフ上に存在し、前記合致基準は、
前記第2のドメインが前記第1のドメインと共通の登録電子メールアドレスを共有するかどうかに関する第1の試験と、
前記第2のドメインが前記第1のドメインと共通の登録電子メールアドレスドメインを共有するかどうかに関する第2の試験と、
前記第2のドメインが、前記第1のドメインのそれに合致する電子メールドメインを伴う電子メールアドレスを使用して登録されたかどうかに関する第3の試験と、
前記第2のドメインと前記第1のドメインとが共通のWHOISフィールドを共有するかどうかに関する第4の試験と、
前記第2のドメインと前記第1のドメインとの両方が、共通のホストに戻って参照するホストされたコンテンツを含むかどうかに関する第5の試験と、
前記第2のドメインと前記第1のドメインとの両方が、共通の証明機関を使用するかどうかに関する第6の試験と
のうちの1つ以上を含む、項目1に記載の方法。
(項目17)
少なくとも1つの試験が、履歴データを使用して実施される、項目16に記載の方法。
(項目18)
少なくとも1つのドメインは、サブドメインである、項目16に記載の方法。
(項目19)
少なくとも1つの試験が、特定の時間における状態に対して実施される、項目16に記載の方法。
(項目20)
前記合致基準は、サイトが特定の他のサイトへのリンクを含むページを有しているかどうかをチェックするための試験を含み、前記特定の他のサイトは、共通のリンク先サイトの所定の組を除く、項目1に記載の方法。
(項目21)
前記合致基準は、第1のサイトと第2のサイトとの間の相関、および/または、前記第1のサイトおよび前記第2のサイトの両方において見出される共通のリンク間の相関の試験を含む、項目1に記載の方法。
(項目22)
再利用可能な内部アドレスの所定のリスト上のアドレスのフィルタリングをさらに含む、項目1に記載の方法。
(項目23)
共同で再利用されるTLDの所定のリスト上に存在するTLD、またはTLDの共同で再利用される部分の所定のリスト上のTLDの一部に関してフィルタリングすることをさらに含む、項目1に記載の方法。
(項目24)
複数の無関連エンティティにわたって再利用可能であるアドレス範囲を重ねることによって最終的なアドレスが隠されるアドレス空間の使用に基づいて相関が最初に決定されたかどうかに基づいて、相関を調節することをさらに含む、項目1に記載の方法。
(項目25)
前記アドレス空間の使用は、内部RFC1918アドレス、RFC4193アドレス、RFC6890アドレス、RFC3927アドレス、ループバックアドレス、ローカルリンクアドレス、ブロードキャストアドレス、キャリアグレードNAT、ユニークローカルアドレス、および/または非ルーティング可能インターネットプロトコルアドレスのうちの1つ以上を含む、項目24に記載の方法。
(項目26)
アドレス空間を共有する既知のプロバイダ間のつながりの所定のリストに基づいて相関を調節することをさらに含む、項目1に記載の方法。
(項目27)
プライバシサービスの所定のリストに基づいて相関を調節することをさらに含み、それによって、所与のプライバシサービスを使用する無関連の当事者に関する相関は、それらが関連する当事者であった場合より互いに関係付けられていないと見なされる、項目1に記載の方法。
(項目28)
第1の資産は、第1のサブドメインであり、第2の資産は、第2のサブドメインであり、前記第1の資産は、前記見込み資産目録グラフ上に存在し、前記合致基準は、
前記第2のサブドメインと前記第1のサブドメインとが共通のIPアドレスを共有するかどうかに関する第1の試験と、
前記第2のサブドメインと前記第1のサブドメインとが共通のCIDRブロックを共有するかどうかに関する第2の試験と、
前記第2のサブドメインと前記第1のサブドメインとが共通のCIDR特徴を共有するかどうかに関する第3の試験と
のうちの1つ以上を含む、項目1に記載の方法。
(項目29)
複数の無関連の当事者によって使用されるプライバシサービスを介してIP空間を共有する既知のプロバイダによって引き起こされるつながりの確率を低減させることをさらに含む、項目1に記載の方法。
(項目30)
共有することは、電子メールアドレス、電話番号、物理的アドレス、whoisエントリ、および/また企業アドレスのうちの1つ以上を共有することである、項目29に記載の方法。
(項目31)
ドメインプロキシサービス、ドメインプライバシサービス、ブランクまたは未定義のwhois結果、および/またはプレースホルダ結果のうちの1つ以上の共有によって引き起こされるつながりの確率を低減させることをさらに含む、項目1に記載の方法。
(項目32)
ユーザ定義された反復をさらに含む、項目1に記載の方法。
(項目33)
2つ以上のIPの両方が共有される上位レベルドメインに対するホスト名に関するPTRレコードを有しているかどうかに基づいて処理することをさらに含む、項目1に記載の方法。
(項目34)
無関連エンティティにわたって使用される上位レベルドメインによって引き起こされるつながりの確率を低減させることをさらに含む、項目1に記載の方法。
(項目35)
有効TLDまたはTLDが、相関の所定の調整可能な重みと互いに関係があるとして扱われる、項目34に記載の方法。
(項目36)
予備または非公開であるとして指定されるASNは、互いに関係がないと見なされる、項目1に記載の方法。
(項目37)
グラフデータ構造を構築する方法であって、前記グラフデータ構造は、見込み資産目録グラフを表し、各々がネットワークの資産を表すノードと、各々がノード間の接続を表すエッジとを備え、少なくともいくつかのエッジが、グラフデータ構造内に表される重みを有し、前記グラフデータ構造内に表される資産の共同統制を示し、
前記方法は、
前記グラフデータ構造の表現を取得することと、
第1のノードと第2のノードとの間の前記資産の共同統制を示す合致基準を取得することと、
共同統制の可能性が高い誤検出指示に対応する規則の組を取得することと、
前記規則の組を前記グラフデータ構造に適用することによって、前記規則の組における規則が前記合致基準が誤検出指示につながる条件を示すことを示すとき、前記第1のノードと前記第2のノードとの間の第1の重みを低減させることと
を含む、方法。
(項目38)
前記規則の組を前記グラフデータ構造に適用することによって、前記第1の重みを低減させることは、各々が可能性が高い誤検出共同統制の指示を示す前記規則の組の複数の規則を処理することを含む、項目37に記載の方法。
(項目39)
誤検出を示す手動フィードバックを適用し、前記第1の重みを低減させることをさらに含む、項目37に記載の方法。
本発明はさらに、例えば、以下を提供する。
(項目1)
グラフデータ構造を構築する方法であって、前記グラフデータ構造は、見込み資産目録グラフを表し、各々がネットワークの資産を表すノードと、各々がノード間の接続を表すエッジとを備え、少なくともいくつかのエッジが、グラフデータ構造内に表される重みを有し、前記グラフデータ構造内に表される資産の共同統制を示し、
前記方法は、
前記グラフデータ構造内に少なくとも1つのシード資産の表現を記憶することと、
合致基準に基づいて、追加のノードを含むように前記見込み資産目録グラフを拡張することであって、前記合致基準は、前記追加のノードと、前記見込み資産目録グラフ上にすでに存在する既存ノードとの間の合致を示す前記合致基準に基づいて、前記追加のノードが前記資産の前記共同統制下にあると推定されることを示す、ことと、
前記追加のノードと、前記見込み資産目録グラフ上にまだ表されていない第3の資産を表す第3のノードとの間に前記合致基準を反復的に適用することと、
共同統制を示す印閾値より小さい重みを有するエッジの識別に基づいて、前記見込み資産目録グラフの枝を選抜除去することと、
前記拡張することおよび選抜除去することに基づいて、前記グラフデータ構造を更新することと
を含む、方法。
(項目2)
拡張することは、
前記見込み資産目録グラフを読み取ることによって、前記見込み資産目録グラフ上にすでに存在する資産の組を含む既知の資産に関するメタデータを識別することと、
前記既知の資産についての所定のメタデータを選択することと、
前記所定のメタデータを正規化し、正規化されたメタデータを形成することと、
前記正規化されたメタデータに対する合致に関して資産データベースを検索することと、
メタデータが所有権または統制の印ではなく、登録プロセスのアーチファクトである可能性が高い資産に関するノードをフィルタ除去することと、
各残りの合致に関して、その資産を前記見込み資産目録グラフに追加することと
を含む、項目1に記載の方法。
(項目3)
前記見込み資産目録グラフのエッジの重みは、個々の合致重みの総和であり、それによって、前記エッジの前記重みは、より大きい数の合致に関して増加させられる、項目1に記載の方法。
(項目4)
ノードは、信頼レベルを割り当てられ、ノードの信頼レベルは、前記ノードの資産が共同統制された資産である可能性に対応する、項目1に記載の方法。
(項目5)
追加のノードが、資産所有権または資産関係を示すデータ構造から導出される、項目1に記載の方法。
(項目6)
前記データ構造は、ドメインネーミングシステム(DNS)データベース、ASNレジストリ、履歴DNSデータベース、企業所有文書データベース、履歴ルックアップデータベース、および/またはWHOISデータベースのうちの1つ以上を備え、前記グラフデータ構造を拡張することは、前記ドメインネーミングシステム(DNS)データベース、前記履歴DNSデータベース、および/または前記WHOISデータベースを検索し、合致基準を満たすノードを識別することを含む、項目5に記載の方法。
(項目7)
前記データ構造は、二分木、ファイルの共有組、ルックアップテーブル、API、および/またはmtblのうちの1つ以上を備えている、項目5に記載の方法。
(項目8)
選抜除去することは、人の入力、ブラックリスト、および/またはオブジェクトが共同統制された資産ではないことを示す機械学習出力を反映する手動入力を取得することを含む、項目1に記載の方法。
(項目9)
前記合致基準を反復的に適用することは、自動的に実施され、選択は、選択的深度、信頼度、設定、または他の基準に基づく利用可能なリンク付け方法の一部を含み、選択は、方法を含むことおよび/または方法を除外することを含む、項目1に記載の方法。
(項目10)
前記合致基準を反復的に適用することは、ユーザ定義された反復と、選択とに従って実施され、前記選択は、選択的深度、信頼度、設定、または他の基準に基づく利用可能なリンク付け方法の一部を含み、前記選択は、方法を含むことおよび/または方法を除外することを含む、項目1に記載の方法。
(項目11)
前記見込み資産目録グラフの表現を表示フォーマットにフォーマットすることと、
前記表示フォーマットをディスプレイ上に提示することと
をさらに含む、項目1に記載の方法。
(項目12)
前記見込み資産目録グラフ上の資産についてのメタデータは、ホスト名、脆弱性のリスト、使用されるオープンポートのリスト、前記資産の推測されるジオロケーション、前記資産のために使用されるオペレーティングシステム、前記資産のサービスバナー、前記資産のTLS証明書詳細、IPアドレス、DNSタイプインジケータ、DNS登録データ、および/または前記IPアドレスのASN情報のうちの1つ以上を備えている、項目1に記載の方法。
(項目13)
メタデータは、ウェブアプリケーションの言語、前記ウェブアプリケーションのAPI、および/またはソーシャル信号を含むHTTPリンクのうちの1つ以上を示す技術スタックのコンテンツをさらに備えている、項目12に記載の方法。
(項目14)
前記ネットワークの資産は、ドメイン、インターネット接続された資産、サブドメイン、IPアドレス、仮想ホスト、ウェブサーバ、ネームサーバ、IoTデバイス、デスクトップコンピュータ、ネットワークプリンタ、メールサーバ、前記インターネットまたは内部ネットワークに接続されるデバイス、コンテンツ配信ネットワーク、プロキシ、ファイアウォール、進入検出システム、ルータ、および/またはスイッチのうちの1つ以上を備えている、項目1に記載の方法。
(項目15)
前記ネットワークの資産は、ネットワークトラフィックを受け入れることが可能である1つ以上のデバイスを備えている、項目1に記載の方法。
(項目16)
第1の資産は、第1のドメインであり、第2の資産は、第2のドメインであり、前記第1の資産は、前記見込み資産目録グラフ上に存在し、前記合致基準は、
前記第2のドメインが前記第1のドメインと共通の登録電子メールアドレスを共有するかどうかに関する第1の試験と、
前記第2のドメインが前記第1のドメインと共通の登録電子メールアドレスドメインを共有するかどうかに関する第2の試験と、
前記第2のドメインが、前記第1のドメインのそれに合致する電子メールドメインを伴う電子メールアドレスを使用して登録されたかどうかに関する第3の試験と、
前記第2のドメインと前記第1のドメインとが共通のWHOISフィールドを共有するかどうかに関する第4の試験と、
前記第2のドメインと前記第1のドメインとの両方が、共通のホストに戻って参照するホストされたコンテンツを含むかどうかに関する第5の試験と、
前記第2のドメインと前記第1のドメインとの両方が、共通の証明機関を使用するかどうかに関する第6の試験と
のうちの1つ以上を含む、項目1に記載の方法。
(項目17)
少なくとも1つの試験が、履歴データを使用して実施される、項目16に記載の方法。
(項目18)
少なくとも1つのドメインは、サブドメインである、項目16に記載の方法。
(項目19)
少なくとも1つの試験が、特定の時間における状態に対して実施される、項目16に記載の方法。
(項目20)
前記合致基準は、サイトが特定の他のサイトへのリンクを含むページを有しているかどうかをチェックするための試験を含み、前記特定の他のサイトは、共通のリンク先サイトの所定の組を除く、項目1に記載の方法。
(項目21)
前記合致基準は、第1のサイトと第2のサイトとの間の相関、および/または、前記第1のサイトおよび前記第2のサイトの両方において見出される共通のリンク間の相関の試験を含む、項目1に記載の方法。
(項目22)
再利用可能な内部アドレスの所定のリスト上のアドレスのフィルタリングをさらに含む、項目1に記載の方法。
(項目23)
共同で再利用されるTLDの所定のリスト上に存在するTLD、またはTLDの共同で再利用される部分の所定のリスト上のTLDの一部に関してフィルタリングすることをさらに含む、項目1に記載の方法。
(項目24)
複数の無関連エンティティにわたって再利用可能であるアドレス範囲を重ねることによって最終的なアドレスが隠されるアドレス空間の使用に基づいて相関が最初に決定されたかどうかに基づいて、相関を調節することをさらに含む、項目1に記載の方法。
(項目25)
前記アドレス空間の使用は、内部RFC1918アドレス、RFC4193アドレス、RFC6890アドレス、RFC3927アドレス、ループバックアドレス、ローカルリンクアドレス、ブロードキャストアドレス、キャリアグレードNAT、ユニークローカルアドレス、および/または非ルーティング可能インターネットプロトコルアドレスのうちの1つ以上を含む、項目24に記載の方法。
(項目26)
アドレス空間を共有する既知のプロバイダ間のつながりの所定のリストに基づいて相関を調節することをさらに含む、項目1に記載の方法。
(項目27)
プライバシサービスの所定のリストに基づいて相関を調節することをさらに含み、それによって、所与のプライバシサービスを使用する無関連の当事者に関する相関は、それらが関連する当事者であった場合より互いに関係付けられていないと見なされる、項目1に記載の方法。
(項目28)
第1の資産は、第1のサブドメインであり、第2の資産は、第2のサブドメインであり、前記第1の資産は、前記見込み資産目録グラフ上に存在し、前記合致基準は、
前記第2のサブドメインと前記第1のサブドメインとが共通のIPアドレスを共有するかどうかに関する第1の試験と、
前記第2のサブドメインと前記第1のサブドメインとが共通のCIDRブロックを共有するかどうかに関する第2の試験と、
前記第2のサブドメインと前記第1のサブドメインとが共通のCIDR特徴を共有するかどうかに関する第3の試験と
のうちの1つ以上を含む、項目1に記載の方法。
(項目29)
複数の無関連の当事者によって使用されるプライバシサービスを介してIP空間を共有する既知のプロバイダによって引き起こされるつながりの確率を低減させることをさらに含む、項目1に記載の方法。
(項目30)
共有することは、電子メールアドレス、電話番号、物理的アドレス、whoisエントリ、および/また企業アドレスのうちの1つ以上を共有することである、項目29に記載の方法。
(項目31)
ドメインプロキシサービス、ドメインプライバシサービス、ブランクまたは未定義のwhois結果、および/またはプレースホルダ結果のうちの1つ以上の共有によって引き起こされるつながりの確率を低減させることをさらに含む、項目1に記載の方法。
(項目32)
ユーザ定義された反復をさらに含む、項目1に記載の方法。
(項目33)
2つ以上のIPの両方が共有される上位レベルドメインに対するホスト名に関するPTRレコードを有しているかどうかに基づいて処理することをさらに含む、項目1に記載の方法。
(項目34)
無関連エンティティにわたって使用される上位レベルドメインによって引き起こされるつながりの確率を低減させることをさらに含む、項目1に記載の方法。
(項目35)
有効TLDまたはTLDが、相関の所定の調整可能な重みと互いに関係があるとして扱われる、項目34に記載の方法。
(項目36)
予備または非公開であるとして指定されるASNは、互いに関係がないと見なされる、項目1に記載の方法。
(項目37)
グラフデータ構造を構築する方法であって、前記グラフデータ構造は、見込み資産目録グラフを表し、各々がネットワークの資産を表すノードと、各々がノード間の接続を表すエッジとを備え、少なくともいくつかのエッジが、グラフデータ構造内に表される重みを有し、前記グラフデータ構造内に表される資産の共同統制を示し、
前記方法は、
前記グラフデータ構造の表現を取得することと、
第1のノードと第2のノードとの間の前記資産の共同統制を示す合致基準を取得することと、
共同統制の可能性が高い誤検出指示に対応する規則の組を取得することと、
前記規則の組を前記グラフデータ構造に適用することによって、前記規則の組における規則が前記合致基準が誤検出指示につながる条件を示すことを示すとき、前記第1のノードと前記第2のノードとの間の第1の重みを低減させることと
を含む、方法。
(項目38)
前記規則の組を前記グラフデータ構造に適用することによって、前記第1の重みを低減させることは、各々が可能性が高い誤検出共同統制の指示を示す前記規則の組の複数の規則を処理することを含む、項目37に記載の方法。
(項目39)
誤検出を示す手動フィードバックを適用し、前記第1の重みを低減させることをさらに含む、項目37に記載の方法。
【手続補正3】
【補正対象書類名】明細書
【補正対象項目名】0046
【補正方法】変更
【補正の内容】
【0046】
記憶デバイス348は、アプリケーション変数362も含むことができ、アプリケーション変数362は、アプリケーション変数を受信するように構成された1つ以上の記憶場所を含み得る。アプリケーション変数362は、アプリケーションによって発生させられた変数、またはアプリケーションに対してローカルである変数を含むことができる。アプリケーション変数362は、例えば、ユーザまたは外部デバイスまたはアプリケーション等の外部ソースから読み出されたデータから発生させられることができる。プロセッサは、アプリケーションコード350を実行し、記憶デバイス348に提供されるアプリケーション変数362を発生させることができる。
【手続補正4】
【補正対象書類名】明細書
【補正対象項目名】0048
【補正方法】変更
【補正の内容】
【0048】
記憶デバイス348は、アプリケーションの結果またはアプリケーションに提供される入力を記憶するように構成されたログファイル380も含むことができる。例えば、ログファイル380は、アクションの履歴を記憶するように構成されることができる。
【手続補正5】
【補正対象書類名】図面
【補正対象項目名】図3
【補正方法】変更
【補正の内容】
【図3】
【国際調査報告】