知財求人 - 知財ポータルサイト「IP Force」
▶ アブソリュート ソフトウェア コーポレイションの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2023-06-01
(54)【発明の名称】行動予測モデルを用いたエンドポイントセキュリティ
(51)【国際特許分類】
G06F 21/55 20130101AFI20230525BHJP
【FI】
G06F21/55
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2022565944
(86)(22)【出願日】2021-03-25
(85)【翻訳文提出日】2022-10-27
(86)【国際出願番号】 CA2021050393
(87)【国際公開番号】W WO2021217239
(87)【国際公開日】2021-11-04
(31)【優先権主張番号】63/016,454
(32)【優先日】2020-04-28
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
(71)【出願人】
【識別番号】511015984
【氏名又は名称】アブソリュート ソフトウェア コーポレイション
(74)【代理人】
【識別番号】100078880
【弁理士】
【氏名又は名称】松岡 修平
(74)【代理人】
【識別番号】100123124
【弁理士】
【氏名又は名称】角田 昌大
(74)【代理人】
【識別番号】100121083
【弁理士】
【氏名又は名称】青木 宏義
(74)【代理人】
【識別番号】100138391
【弁理士】
【氏名又は名称】天田 昌行
(72)【発明者】
【氏名】ト, レイ
(72)【発明者】
【氏名】ソン, ユンフイ
(72)【発明者】
【氏名】ファン, チェンユ
(72)【発明者】
【氏名】レイ, ボー
(57)【要約】
既知のセキュリティ問題を反映する、エンドポイント・セキュリティイベントのセットが定義され収集される。エンドポイントを保護するための、エンドポイント・セキュリティアクションの、対応するセットが定義され実行される。エンドポイント・セキュリティイベントと、エンドポイント・セキュリティアクションとの間の関係を反映して、データモデルを構築するために、機械学習が使用される。データモデルは、脅威レベルを決定する中間段階なしに、セキュリティイベントから直接、セキュリティアクションを予測することができる。エンドポイントアプリケーションは、データモデルを直接使用し、セキュリティイベントが発生するたびに、セキュリティアクションを適用するように開発されている。
【特許請求の範囲】
【請求項1】
電子機器を保護する方法であって、セキュリティアクションでラベル付けされたセキュリティイベントグループを含むマルチラベル分類データモデルを生成するステップと、
1以上のセキュリティイベントを検出するステップと、
前記マルチラベル分類データモデルを用いて、前記検出された1以上のセキュリティイベントに基づく、1以上のセキュリティアクションを予測するステップと、
前記電子機器で、前記予測された1以上のセキュリティアクションを実行するステップと、を備える方法。
【請求項2】
前記予測および実行のステップは、脅威レベルを決定せずに実行されることを特徴とする、請求項1に記載の方法。
【請求項3】
前記予測および実行のステップは、セキュリティ問題を特定せずに実行されることを特徴とする、請求項1に記載の方法。
【請求項4】
前記実行ステップは、自動的に実行されることを特徴とする、請求項1に記載の方法。
【請求項5】
前記実行ステップは、リアルタイムで実行されることを特徴とする、請求項1に記載の方法。
【請求項6】
管理者に、前記1以上のセキュリティイベントと、前記予測された1以上のセキュリティアクションとを通知するステップを備える、請求項1に記載の方法。
【請求項7】
前記実行ステップが、前記管理者によって開始されることを特徴とする、請求項6に記載の方法。
【請求項8】
前記1以上のセキュリティイベントが、現在の時間で終わる固定の期間内に発生することを特徴とする、請求項1に記載の方法。
【請求項9】
前記セキュリティイベントのうちの少なくとも1つは一般的なセキュリティイベントであり、他の前記セキュリティイベントのうちの1つは特定のセキュリティイベントであることを特徴とする、請求項1に記載の方法。
【請求項10】
前記セキュリティイベントのうちの少なくとも1つは、複数の構成セキュリティイベントを含むことを特徴とする、請求項1に記載の方法。
【請求項11】
複数の電子機器からのセキュリティイベントおよびセキュリティアクションを用いて、前記マルチラベル分類データモデルを学習するステップを備える、請求項1に記載の方法。
【請求項12】
複数の電子機器からのセキュリティイベントおよびセキュリティアクションを用いて、前記マルチラベル分類データモデルを強化するステップを備える、請求項1に記載の方法。
【請求項13】
前記検出されたセキュリティイベントに、信頼レベルを割り当てるステップと、前記信頼レベルがしきい値を上回る場合、自動的に前記実行ステップに進むステップと、
前記信頼レベルが前記しきい値を下回る場合、管理者に通知し、当該管理者からの指示に従い前記実行ステップに進むステップと、
を備える、請求項1に記載の方法。
【請求項14】
電子機器を保護するシステムであって、プロセッサと、
コンピュータ読み取り可能な命令を格納するコンピュータ読み取り可能な記録媒体であって、前記プロセッサにより実行されると、前記プロセッサに以下を行わせるもの:
セキュリティアクションでラベル付けされたセキュリティイベントグループを含むマルチラベル分類データモデルを生成し、
前記電子機器に関連して検出された1以上のセキュリティイベントを受信し、
前記マルチラベル分類データモデルを用いて、前記検出された1以上のセキュリティイベントに基づく、1以上のセキュリティアクションを予測し、
前記予測された1以上のセキュリティアクションを実行するよう、前記電子機器に指示する、ことを行わせるもの、
を備えるシステム。
【請求項15】
前記プロセッサとコンピュータ読み取り可能な記録媒体とを提供するサーバと、前記マルチラベル分類データモデルのコピーがインストールされた前記電子機器と、
を備える、請求項14に記載のシステム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、電子デバイスの保護に関する。特に、セキュリティイベントに応じたセキュリティアクション(セキュリティ動作)を予測するデータモデルを使用した、リアルタイムのエンドポイントセキュリティ保護に関する。
【背景技術】
【0002】
こんにち、ウィルス、ランサムウェア、フィッシングウェア、IDの盗難、デバイスの盗難など、多くのエンドポイントセキュリティ問題が存在している。スマートフォン、タブレット、ノートパソコン、その他のモバイルデバイスなどのエンドポイントに保存され、エンドポイントから送信される機密情報を保護することは、重要でありかつ困難である。
【0003】
市場には多くのエンドポイントセキュリティプロバイダが存在し、その多くは、セキュリティ問題を解決するための似たようなソリューション(解決策)を提供する。そのうちの1つが、Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP)(登録商標)である。このソリューションの主な戦略は、知識に基づくルールの実装である。ルールベースの実装の典型的なワークフローは以下の通りである。セキュリティ問題に関する情報がエンドポイントから収集されると、セキュリティプロバイダは、その情報を分析して解決策を決定する。その後、セキュリティ問題を解決するために、アプリケーションがエンドポイントに展開される。この意味で、解決策は、ルールベースのアプリケーションである。
【0004】
ルールベースの戦略にはいくつかの欠点がある。特定のプロバイダから提供される、セキュリティ問題を解決するためのソリューションは、必ずしも標準であるとは限らず、必ずしも最良で信頼されるとも限らない。なぜなら、それは、この特定のプロバイダの、問題を分析し、対応する修正ルールを構築する能力次第だからである。さらに、この方法は多くの手動ステップを必要とする。さらに、エンドポイントに解決策が適用できるようになる前に、プロバイダが情報を収集して問題を分析する必要があるので、新しく出現したセキュリティ問題を解決するのに、いくらかの遅延が生じる可能性がある。
【0005】
他の解決策として、人工知能(AI)を使用して、検出されたイベントを脅威か脅威ではないかに分類することで、脅威を特定するものもある。AIモデルの出力は、リスクスコアや、イベントのパターンが異常であるかどうかとすることが可能である。しかし、ひとたび脅威または異常が確認されると、ルールベース技法などの他の技法を使用して、どの対応を取るべきかを決定する。救済の行動は、リスクスコア、脅威の予測、または異常の確認に基づく。救済の行動は自動化されるか、または管理者に委ねられる。管理者は、AIモデルの予測が正しいかどうかを確認し、モデルにフィードバックすることができる。
【0006】
Thampyの米国特許公開第2019/0068627号は、クラウドサービスを利用するときのユーザの行動のリスクを分析している。Mudduらの米国特許第9609011号は、機械学習を用いたネットワーク内の異常検出について開示している。Beckらの米国特許公開第2019/0260804号は、機械学習を使用してネットワークエンティティ内の脅威を検出する。脅威にスコアが割り当てられ、スコアに基づく自動応答を行うことができる。Rostamabadiらの米国特許第10200389号は、ログファイルを見てマルウェアを識別することを開示している。Dwyerらの米国特許公開第2019/0230100号は、エンドポイントでのイベントを分析するためのルールベースのソリューションである。救済の行動は、エンドポイントまたは接続されたサーバで決定することができる。
【発明の概要】
【0007】
AIデータモデルは、イベントのリスクや脅威レベルを決定する中間のステップをバイパス(迂回)して、検出されたセキュリティイベントに対応して実行される救済の行動を直接予測する。データモデルは、セキュリティイベントと、それに対応するセキュリティアクションとで学習(トレーニング)される。データモデルは、複数のユーザのアクションからのデータを用いて学習され、その結果、データモデルが予測するアクションが最良の実践であるとみなされる可能性がある。
【0008】
データモデルが熟練すると、すなわち、データモデルを学習するのに十分なデータを用いて機械学習技術が用いられた後では、データモデルは、類似のセキュリティイベントパターンがその後にエンドポイント上で発生した場合にどうすべきかを予測する能力を有する。予測の結果は、エンドポイントに適用される必要がある1つまたは複数のセキュリティアクションである。データモデルがエンドポイントに存在する場合は、エンドポイントをリアルタイムで保護することができる。
【0009】
また、まったく新しいセキュリティ問題が発生した場合にも、エンドポイントを保護できる。新しいセキュリティ問題が、データモデルで既知の、またはデータモデル内のものに近いセキュリティイベントのセットを引き起こさせる(トリガする)場合、データモデルは、その特定のセキュリティ問題がこの時点でまだ知られていなくても、適切な1つまたは複数のセキュリティアクションを予測する能力を有する。
【0010】
開示された特定のAIモデルは、脅威レベルを決定するステップを省略して、一連のイベントを一連のアクションに直接分類するマルチラベル分類である。脅威レベルを決定するステップを省略することによって、より高い効率を得ることができる。
【0011】
以下において、電子機器を保護する方法であって、セキュリティアクションでラベル付けされたセキュリティイベントグループを含むマルチラベル分類データモデルを生成するステップと、1以上のセキュリティイベントを検出するステップと、前記マルチラベル分類データモデルを用いて、前記検出された1以上のセキュリティイベントに基づく、1以上のセキュリティアクションを予測するステップと、前記電子機器で、前記予測された1以上のセキュリティアクションを実行するステップと、を備える方法が開示される。
【0012】
また、以下において、電子機器を保護するシステムであって、プロセッサと、コンピュータ読み取り可能な命令を格納するコンピュータ読み取り可能な記録媒体であって、前記プロセッサにより実行されると、前記プロセッサに以下を行わせるもの:セキュリティアクションでラベル付けされたセキュリティイベントグループを含むマルチラベル分類データモデルを生成し、前記電子機器に関連して検出された1以上のセキュリティイベントを受信し、前記マルチラベル分類データモデルを用いて、前記検出された1以上のセキュリティイベントに基づく、1以上のセキュリティアクションを予測し、前記予測された1以上のセキュリティアクションを実行するよう、前記電子機器に指示する、を備えるシステムが開示される。
【図面の簡単な説明】
【0013】
【発明を実施するための形態】
【0014】
A.用語解説
データモデル、AIモデル、AIデータモデル、または機械学習モデル : 以前に見られたかまたは見られなかった複雑な入力を受け取り、入力に最も正しく対応する出力を予測するアルゴリズム。予測は、データモデルを学習するために使用される、入力と出力のデータセットに基づいており、特定の入力に対する出力は、正しいものまたは正しくないものとして識別される。
データモデル、AIモデル、AIデータモデル、または機械学習モデル : 以前に見られたかまたは見られなかった複雑な入力を受け取り、入力に最も正しく対応する出力を予測するアルゴリズム。予測は、データモデルを学習するために使用される、入力と出力のデータセットに基づいており、特定の入力に対する出力は、正しいものまたは正しくないものとして識別される。
【0015】
エンドポイント、またはデバイス(装置): これは、保護される、任意の電子デバイスまたはコンピューティングデバイス(計算装置)である。以下に限られないが、デバイスの例としては、ラップトップ(ノートパソコン)、携帯電話、携帯情報端末、スマートフォン、メモリスティック、パーソナル情報機器、ゲーム機器、パーソナルコンピュータ、タブレットコンピュータ、電子書籍、ネットワークインターフェースを有するカメラ、ネットブックを含む。本発明によって保護されるほとんどの装置はモバイルデバイスであるが、デスクトップコンピュータ、プロジェクタ、テレビ、コピー機、および家庭用電気機器などの静的デバイスも保護することができる。ハイファイ機器、カメラ、自転車、車、バーベキュー、玩具など、メモリおよびプロセッサを備えていれば、他の多くの種類の電子装置を含んでも良い。デバイスは、リモートサーバと通信するように構成され、デバイスから通信を開始することもでき、および/またはサーバによって通信を開始することもできる。通信は、例えば、WiFi(登録商標)、SMS、セルラーデータあるいは衛星を介して行われてもよく、または他の通信プロトコルを使用してもよい。本発明は、ノート型コンピュータに関連して説明されることが多いが、他の電子デバイスや、コンピューティングデバイスにも本発明が同様に適用されることを理解されたい。
【0016】
セキュリティイベント: セキュリティイベントは、セキュリティ上の懸念事項である、エンドポイント上の変更または異常な動作であり、例えば、ソフトウェアの変更、ハードウェアの変更、設定の変更、異常なウェブ/ネットワークの使用、異常なソフトウェアの使用、異常なハードウェアの使用、異常なデバイスの使用、または異常なデータファイルの使用などである。セキュリティイベントは、特定のものと一般的なものがあり、また、構成するセキュリティイベントを複数含む場合がある。2つの構成イベントで構成されるセキュリティイベントの、ある順番での場合と、同じ2つの構成イベントから構成されるセキュリティイベントの、異なる順番での場合とは、別のものである場合がある。セキュリティイベントは、エンドポイントの状態(ユーザがログインしているか、ネットワークに接続されているか、またはその場所など)に依存する場合がある。
【0017】
セキュリティ問題: これは、エンドポイントに関連する問題、例えば、ウイルス、ランサムウェア、フィッシングウェア、ID盗用、デバイス盗用などの、上位記述である。セキュリティ問題は、1つまたは複数のセキュリティイベントの原因となりうる。
【0018】
セキュリティアクション: セキュリティ問題、または、1もしくは複数のセキュリティイベントから、エンドポイントを保護するために、エンドポイントに適用される手段。たとえば、セキュリティアクションは、アプリケーションの停止、サービスの停止、警告メッセージの表示、ユーザのログアウト、画面のロック、アプリケーションのアンインストール、データの消去、オペレーティング・システム(OS)の消去、またはエンドポイントのフリーズなどが可能である。セキュリティイベントまたはセキュリティ問題に対応して、1または複数のセキュリティアクションを実装(実行)することができる。
【0019】
システム: 別段の指定がない限り、これは発明の主題をいう。1または複数のエンドポイントを保護するように構成された、ハードウェア、ファームウェア、ソフトウェアを含む、1または複数の物理デバイスの組合せを指す。システムは、マルチラベル分類データモデルを使用して、1または複数の検出されたセキュリティイベントに基づいて1または複数のセキュリティアクションを予測し、予測されたアクションをエンドポイントに実装する。
【0020】
B.実施例
以下で説明する実施形態は、AIデータモデルを使用して、検出されたセキュリティイベントから直接セキュリティアクションを予測することを可能にする。
以下で説明する実施形態は、AIデータモデルを使用して、検出されたセキュリティイベントから直接セキュリティアクションを予測することを可能にする。
【0021】
セキュリティ問題は、エンドポイントに適用された不十分な手段の結果である可能性があり、エンドポイントで一連のセキュリティイベントを引き起こす可能性がある。例えば、ランサムウェアがエンドポイントに影響を与えると、以下のセキュリティイベントのうちの1つ以上が発生する可能性がある:不正なアプリケーションがエンドポイントにダウンロードされること;不正なアプリケーションがバックグラウンドで実行されること;不正なアプリケーションが、通常のエンドポイントの稼働時間と比べて、不規則な時間に実行されること;不正なアプリケーションがプロセッサ、メモリ、または入出力の多くのリソースを使用すること;または不正なアプリケーションが機密データファイルにアクセスすること。
【0022】
開示された解決策で使用される方策は、事実に基づくもの(ファクトベース)である。特定のセキュリティ問題が、共通の、または、ほぼ共通のセキュリティイベント群を引き起こし、また、管理ユーザの大多数が、特定のセキュリティイベント群が発生した場合に、同じ特定のセキュリティ応答を適用すると仮定すると、この特定のセキュリティ応答は、この特定のセキュリティ問題を解決するための最良の事例と見なされる。特定のセキュリティ応答には、エンドポイントに、1つ以上のセキュリティアクションを適用することが含まれる。
【0023】
セキュリティイベントの例は、表1の第2列に示されている。それぞれの特定のセキュリティイベントは、一般的なセキュリティイベントと呼ぶことができる、特定のタイプのセキュリティイベントに属するものとして示されている。しかしながら、データモデルを構築するために一般化は必要ではない。イベントのタイプや一般的なイベントではなく、特定のイベントを分析することで、データモデルをより明確にし、より正確にすることができる。
【0024】
【表1】
【0025】
セキュリティアクションは、エンドポイントに対して異なるレベルの影響を与える可能性があり、一般に、より大きな影響を与えるセキュリティアクションは、それに対応する、より大きな脅威に対して要求される応答である。セキュリティアクションのいくつかの例を、それらの影響レベルと共に表2に示す。しかしながら、脅威のレベルを決定する必要はなく、脅威への対応に必要な行動のレベルを決定する必要もない。これは、セキュリティイベントがデータモデル内のアクションで直接ラベル付けされており、セキュリティイベントからセキュリティアクションを直接予測できるからである。
【0026】
【表2】
【0027】
何かが異常な動作を表しているかどうかは、エンドポイントの現在の動作と通常の動作との比較に基づいている。通常の動作は、継続的なデバイスの通常の使用に基づいて定義されるか、あるいは、デバイスが安全であることがわかっている期間にわたる使用に基づいて定義されるか、または、類似のユーザによる類似のデバイスの使用に基づいて定義される。異常な動作は、通常の動作をベースラインとして用いて、現在の動作を分析することで決定される。
【0028】
機械学習は、セキュリティイベントとセキュリティアクションの間の関係を構築するデータモデルを構築するために選択された技術である。具体的には、この解決策で説明される方法は、マルチラベル分類ケースとして扱うことができる。データモデルへの入力は、エンドポイント上で発生するセキュリティイベントである。データモデルの出力は、セキュリティ問題の決定(特定)ではなく、セキュリティアクションである。したがって、エンドポイント上の脅威に対する対応は、セキュリティ問題が最初に決定され、その後に脅威のリスクレベルで評価される場合よりも少ないステップで決定することができる。
【0029】
図1は、検出されたセキュリティイベントからセキュリティアクションを直接予測することを可能にする様々なエンティティ間の相互作用の概要である。本開示のソリューションは、セキュリティイベントなどの、エンドポイント10からの入力またはエンドポイント10上で発生する入力を取得する。このソリューションはまた、エンドポイント上で発生して検出されたセキュリティイベントに応答して、エンドポイントに、どのセキュリティアクションを適用するかの決定をする、管理ユーザまたはコンピュータセキュリティ担当者などのユーザ12からの入力を受け取る。
【0030】
エンドポイント10で発生するセキュリティイベント、およびユーザ12によってエンドポイントに適用されるセキュリティアクションは、サーバ、例えばクラウド上のサーバの機械学習(ML)アプリケーション14に供給されて、アクション予測モデル16を構築する。アクション予測モデル16は、セキュリティイベントに応じたセキュリティアクションを予測するデータモデルである。
【0031】
図2の使用事例の概略図は、ソリューションを適用するために開発される必要があるステップおよび特徴を説明する。最初に、ステップ20で、セキュリティイベントを表すデータが複数のエンドポイントから収集される。次に、ステップ22で、エンドポイントの責任者である管理ユーザーがセキュリティイベントを分析する。ステップ24で、管理ユーザーは、分析の結果として、またセキュリティイベントに応答して、セキュリティアクションをエンドポイントに適用する。ステップ25において、セキュリティアクションが収集され、対応するセキュリティイベントと関連付けられる。その後、ステップ26において、収集されたセキュリティイベントおよびセキュリティアクションを使用して、アクション予測モデルを構築するために機械学習が使用される。アクション予測モデルは、例えば、データ科学者(データ・サイエンティスト)の指導の下で作成して、学習することができる。アクション予測モデルが学習された後、ステップ28において、エンドポイントの保護に適用することができる。
【0032】
マルチラベル分類データモデルであるアクション予測モデル16は、例えば、表3にリストされたセキュリティイベントの定義を用いることができる。イベントシナリオは、所定の期間内に検出される1つ以上のセキュリティイベントを含むことができ、それらの属性によって記述することができる。属性やそれらのIDは、機械学習プロセスと、学習された後のアクション予測モデル16の動作中との両方で使用され得る。与えられた属性の例は非限定的であり、他の属性がリストに含まれていてもよい。また、列挙されている属性も変更されてもよい。例えば、期間については、特定の実施形態に応じて、1日未満または1日より長く設定されてもよい。属性によって異なる期間を持つようにしても良い。一部の属性は、例えばOR論理和を使用して、1つの属性に結合されても良い。また他の属性は、異常なリソース使用の場合など、複数の個別の属性に分割することができる。
【0033】
【表3】
【0034】
機械学習アプリケーションが、セキュリティイベントシナリオまたはセキュリティイベントのセットにラベルを付けるために使用できるラベルの例には、表4に定義されているものが含まれる。これらのラベルは、アクション予測モデルによって予測された場合に実行されるセキュリティアクションを表す。ここでも、これらは非限定的な例であり、追加することができる。これらのラベルはまた、エンドポイントを保護するために使用されるときに、アクション予測モデルにおいて使用される。セキュリティイベントの共通サブセットに関連するラベルは、他のセキュリティイベントまたは属性に応じて異なってもよい。たとえば、ユーザーがログオンしていない間に検出されたイベントは、同じセキュリティイベントがユーザーのログオン中に発生した場合よりも、シリアスな(重大な)ものとみなされる。
【0035】
【表4】
【0036】
データモデルを学習させるために機械学習アプリケーションによって使用されるサンプルデータを表5に示す。各行は、1つまたは複数のセキュリティイベントの検出を表す。したがって、各行はセキュリティイベントのシナリオを表すと言うことができる。各シナリオは、1つまたは複数のセキュリティイベントが検出される特定の期間を表すことができる。いくつかの行では、個々のセキュリティイベント、すなわち属性が、0回、1回、または3回検出されたことが示されている。
【0037】
【表5】
【0038】
完全に開発されたケースでは、あらゆるセキュリティ問題、またはすべての種類のセキュリティ問題に対して、適切なセキュリティイベントのセットが確実に取得され、アクション予測モデルの学習に使用されるようにする必要があるが、これは必ずしも必須ではない。1つの選択肢として、アクション予測モデルが十分に熟練していない場合には、最初は、アクション予測モデル16を、セキュリティアクションの予測のためにエンドポイントに対して活用することをせず、かわりにエンドポイントからセキュリティイベントを収集し、それらをサーバ側に送信して、分析と、最適な1または複数のセキュリティアクションの選択をすることも考えられる。アクション予測モデル16が学習された後、それはエンドポイント上に展開され、セキュリティアクションを予測するために使用される。しかしながら、これは、初期モードにおいて、セキュリティアクションをエンドポイントに自動的に適用するのではなく、アクション予測モデルが管理ユーザに対して、エンドポイントにどのセキュリティアクションを適用すべきかを提案するようにしてもよい。これは半自動的なソリューションであり、予測されたアクションについて、実装の前に管理者による検証が要求される。
【0039】
図3は、エンドポイント30およびサーバ50を含むシステムの構成要素の例である。アクション予測モデル16はサーバ50内に存在し、オプションとして、エンドポイント30内に動作予測モデルのコピーまたは別のバージョン16Aが存在してもよい。
【0040】
エンドポイント30は、セキュリティイベントの監視および収集を行い、システムのサーバ側にあるサーバ50にイベントを報告する、エンドポイント側アプリケーション36を有する。エンドポイント30はまた、セキュリティイベントが発生したときに、アクション予測モデル16または16Aによって決定されたセキュリティアクションを適用するための、1または複数のエンドポイント側アプリケーション38のセットも有する。
【0041】
エンドポイント30、および他の同様なエンドポイント40、42は、インターネットなどのネットワーク44を介してサーバ50に接続されている。サーバ50は、エンドポイント30、40、42からイベントを受信して処理するためのサーバ側アプリケーション56のセットを有する。また、サーバ50は、セキュリティイベントデータおよびセキュリティアクションデータを処理し、セキュリティイベントと、エンドポイントにより自律的に、ないし管理者により行われる、両方の対応セキュリティアクションと、を分析し、機械学習を使用してアクション予測モデル16を構築する、機械学習アプリケーション14を提供する(ホストする・主催する)。
【0042】
また、ネットワーク44を介してエンドポイント30、40、42に接続された管理者のコンピュータ60も存在する。管理者のコンピュータ60は、セキュリティイベントおよびセキュリティアクションの表示と、管理者に、セキュリティイベントを分析し、エンドポイント30、40、42に適用されるまたは適用されるべきセキュリティアクションを選択すること、とを可能にする、アプリケーションのセットを有する。例えば、管理者のコンピュータ60の表示画面66は、イベントシナリオ(またはインシデント)70の一覧リストと共にユーザインタフェースを表示することができ、各シナリオは、異なるセキュリティ問題に起因してもよく、または同じセキュリティ問題によって複数の類似または非類似のシナリオが引き起こされてもよい。また、ユーザインタフェースには、各シナリオを構成する一連の1つまたは複数のセキュリティイベント72、各シナリオに対する一連の1つまたは複数の予測されたセキュリティアクション74、およびセキュリティ問題を解決するのに役立つ可能性がある、他の任意選択的なセキュリティアクション76のリストが表示される。予測されたセキュリティアクション74、および他のセキュリティアクション76は、管理者によって個別に削除されてもよく、または、更なるセキュリティアクションが他のセキュリティアクションのリストに追加されてもよい。管理者が所定のセキュリティイベントシナリオに対してセキュリティアクション74、76を実施する準備ができると、選択列78の選択ボックス80をチェックし、「実施」ボタン82をクリックすることができる。予想されるように、管理者が予測されたアクションを観察し、予測されたアクションを実行し、エンドポイントに適用されるセキュリティアクションのリストを修正することを可能にするために、ユーザーインターフェースが取ることができる他の多くの異なる形態がある。
【0043】
図4は、使用時のシステムの例示的な処理のフローチャートである。最初に、ステップ86でセキュリティイベントが検出され、ステップ88で、例えば管理ユーザ90によって、対応するセキュリティアクションが適用される。次に、これらは、ステップ92において、別の管理ユーザ91(又は同じ管理ユーザ90)によって分析される。ステップ94では、分析92の結果を用いて、ステップ94におけるアクション予測モデルが構築される。分析92の結果は、例えば、検出されたイベント86および適用されたアクション88をアクション予測モデル94に含めることができる。これらの初期ステップは、データモデル94を学習させるために多数回繰り返される。
【0044】
いったんデータモデル94が学習されると、ステップ86で検出されたセキュリティイベントは、分析ステップ92をバイパス(迂回)して、データモデル94に直接渡される。次に、データモデル94は、ステップ96において、どのセキュリティアクションを取るべきかを予測する。セキュリティアクションは、ステップ88において、データモデル94の制御下で直接適用されてもよく、あるいは、適用される前に、ステップ98において管理ユーザ91によって最初に検証されてもよい。
【0045】
個々のエンドポイントでの実行中のアプリケーションによって、継続的に実行される予測されたアクションは、アクション予測モデルを継続的に学習させ、発展させ、強化するために使用することができる。同様に、管理者によって実行されるアクションも、アクション予測モデルを継続的に学習させ、発展させ、強化するために使用することができる。例えば、新しいセキュリティ問題が発生するたびに、管理者は、アクション予測モデルによって予測されるセキュリティアクションを承認するか、またはより適切なセキュリティアクションのセットを提案するか、のいずれかの機会を与えられるようにしてもよい。
【0046】
以前には見られなかったセキュリティイベントのパターンまたはシナリオを引き起こす新しいセキュリティ問題が発生した場合、アクション予測モデルによって作成され、リアルタイムに適用される予測されたアクションは、場合によっては最適ではない可能性があるが、最適に近いと予想される。1つまたは複数の新しいセキュリティイベントのセットに応答して、自動的に行われるセキュリティアクションが最適でない場合、管理者は、集中セキュリティプロバイダが最も適切なアクションを決定する前に、検証ステップ98を介して問題を分析し、適切なアクションを選択する可能性が高い。これは、世界中の複数の異なる管理者が同じ全く新しい問題に直面する可能性がある一方で、既存のセキュリティプロバイダのスタッフ/時間とワークロードは限られており、新しい問題に迅速に対処できない可能性があるためである。予測されたアクションが複数の管理者によって強化されたり、修正されてから複数の管理者によって呼び出されたりすると、効果的に最適なアクションになる場合がある。
【0047】
ステップ96において、予測されたセキュリティアクションが最適である場合、ステップ98において、集中型セキュリティプロバイダがそうする前に、上記と同じ理由で、管理者のうちの1人によって検証される可能性が高い。ルールエンジンではなく機械学習データモデルを使用する理由の1つは、予測された応答が、ルールエンジンによって決定された応答よりも人間の応答に近い可能性が高いことである。このモデルは、新たなセキュリティ問題が発生するたびに定期的に進化するので、やがて、新たなセキュリティ問題ごとに最適な対応を提供できる能力を獲得できる。
【0048】
図5を参照すると、例示的なアクション予測モデルが示される。データモデルは、セキュリティイベントのグループ100、102、104を含み、各グループは、1つまたは複数のセキュリティアクションラベル110、112、114、および116でラベル付けされている。セキュリティイベントのグループは、セキュリティイベントシナリオと考えることができる。例えば、イベントグループ1(100)は、セキュリティアクション1及び2(110、112)でラベル付けされる。イベントグループ2(102)は、セキュリティアクション1、2およびM(110、112、116)でラベル付けされている。イベントグループN(104)は、セキュリティアクション3(114)でラベル付けされる。
【0049】
イベントグループ1(100)に類似するイベントグループ120、122もまた、イベントグループ1と同じアクションのラベルが付けられる。イベントグループ100、120、122は、セキュリティイベントのパターン1(124)に属すると言うことができる。イベントグループ2(102)に類似するイベントグループ130、132は、イベントグループ2と同じアクションのラベルが付けられる。イベントグループ102、130、132は、セキュリティイベントのパターン2(134)に属すると言うことができる。イベントグループN(104)に類似するイベントグループ140、142は、イベントグループNと同じアクションのラベルが付けられる。イベントグループ104、140、142は、セキュリティイベントのパターンN(144)に属すると言うことができる。データモデルに応じて、同じパターン内のイベントグループ間の差異は、他のパターン内よりも広い場合も狭い場合もあり、違いが無い場合があってもよい。アクション予測モデルについて注目すべきことは、リスクレベルを明示的に出力せず、特定のセキュリティ問題を識別しないことである。その代わりに、必要なセキュリティアクションの予測に直接ジャンプする。
【0050】
上記の結果として、以前のどのイベントグループとも同一でない、新しいイベントのセットは、モデルによって、既知のパターンの範囲内にあるとみなされ、従って、パターンに対応するアクションのラベルが付けられる。あるいは、新しいイベントのセットは、他のどのパターンよりもあるパターンに近いと判断され、したがって、その最も近いパターンに対応するアクションのラベルが付けられてもよい。
【0051】
C.変形例
セキュリティイベントを表1のように一般化することによって、互いに類似する個々の特定のセキュリティイベントを識別する必要がなくなるため、データモデルはより単純になる。
セキュリティイベントを表1のように一般化することによって、互いに類似する個々の特定のセキュリティイベントを識別する必要がなくなるため、データモデルはより単純になる。
【0052】
上に列挙したもの以外にも、他のラベルもイベントに適用することができる。たとえば、ラベルには、デバイスの追跡、写真の撮影、ビデオの録画、キーストロークの捕獲、ファイルの隔離などを含んでもよい。これらのラベルは、セキュリティイベントによってデータが盗まれたことが示唆された場合に、データを保護しながらリカバリするためにエンドポイントによって実行されるセキュリティアクションに対応する。
【0053】
また他のラベルは、それらの定義のなかに量を含んでいてもよい。たとえば、異常なインターネット使用は、ギガバイト数のしきい値を上回るものとして定義されていてもよい。
【0054】
2つ以上のセキュリティイベントが発生する順序は、別々のセキュリティイベントとして定義することができ、それにアトリビュート(属性)が帰属するようにしてもよい。セキュリティイベントが捕捉される期間は、他の実施形態において変更されてもよく、また期間は可変であってもよい。2つのセキュリティイベントの間の時間間隔は、それ自体が、アトリビュート(属性)を帰属させることが可能なセキュリティイベントとすることも可能である。
【0055】
検出されたセキュリティイベントの各セットに、信頼レベルが添付されていてもよく、この信頼レベルは、検出されたセキュリティイベントのセットがイベントの既知パターン内にあることについて、データモデルがどの程度確かであるかを示す。信頼レベルが高い場合、検出されたイベントのセットは、ラベル(すなわち、セキュリティアクション)が明確に定義されている既知のイベントのパターンと非常によく一致し、時間のテストに耐えたと仮定することができる。信頼レベルが高い場合、必ずしも管理者に警告することなく、アクションのセットを自動的に実施することができる。
【0056】
しかしながら、信頼レベルが低い場合、データモデルは、検出されたセキュリティアクションのセットが、少なくとも2つのパターンのうちのどれに属するかに関して不確実である。この場合には、管理者が警告を受け、管理者の決定が要求される場合がある。別の実施形態では、データモデルは、最も安全なセキュリティアクションのセットを選択して適用するようにデフォルト設定(規定値に設定)することができる。あるいは、データモデルは、セキュリティイベントのセットが2以上の既知パターン内に入る可能性がある場合に、予測されるすべてのアクションを自動的に呼び出すことができる。これは、データモデルがより用心する側で動作していることを意味する。管理者が応答を求められたが、設定された時間内に応答しない場合、データモデルは、予測されたすべてのアクションを自動的に呼び出すことができる。
【0057】
管理者は、信頼レベルがしきい値を下回った場合にどのように動作するかをデータモデルに指示するルールを設定することができる。管理者は、しきい値のレベルを設定できる。例えば、しきい値は、データモデルの初期展開中には比較的高く設定することができ、データモデルが熟練して、管理者がそれに対する信頼を得た後には、しきい値を比較的低いレベルに設定することができる。管理者は、代わりに、設定された期間中に通知を受け取る予測セキュリティアクションの数を定義するパーセンテージを設定することができる。
【0058】
セキュリティイベントが処理された後、データモデルが各アクションの予測を生成するために使用される場合、各アクションに対してスコアが作成される。スコアは、各アクションの適合性に関する確率を表し、その値は、例えば、0~1の範囲とすることができる。信頼レベルは、このスコアから定義することができる。複数のアクションが予測される場合、各アクションはそれ自体のスコアを有し、アクションのセットに対する全体的な信頼レベルは、個々のスコアの平均であってもよい。そして、しきい値は、全体的な信頼レベルに基づいてもよい。
【0059】
検出されたセキュリティイベントのパターンが、既知のどのパターンとも大きく異なる場合、データモデルは、エンドポイントをシャットダウンして管理者に通知することをデフォルト(規定値)として設定してもよい。
【0060】
他の管理者は、どの管理者が勤務中であるかに応じて、予測され実行されたセキュリティアクションを通知されてもよい。
【0061】
データモデルは、シミュレートされたイベントや、過去のイベントの複製、ならびに実際の、最新またはリアルタイムのイベントを用いて、学習または強化することができる。
【0062】
システムは、複数のエンドポイントにわたって検出された、類似のセキュリティイベントのパターンを自動的に関連付けし、複数のエンドポイントが類似の方法で影響を受けていることを管理者に警告することができる。
【0063】
アプリケーションは、例えば、管理者との通信、管理者がどのセキュリティアクションを適用するかの学習、および、管理者が予測されたセキュリティアクションのセットをどのように検証するかの学習、のためのボット(自動アプリケーション)を含むことができる。
【0064】
いくつかの実施形態は、検出されたイベントのセットに応答して、予測される1つまたは複数のアクションに対するスコアの割り当てを含むことができる。スコアは、管理者がアクションを使用する頻度に関連付けられてもよい。いくつかの実施形態は、スコアに基づいて何をすべきかを決定するルールエンジンを組み込んでもよい。
【0065】
イベントは、異なって処理されてもよく、すなわち、いくつかはリアルタイムで処理され、いくつかはそうでなくてもよい。
【0066】
プロセッサが記載されている場合、プロセッサは2つ以上の構成プロセッサを含んでいてもよい。コンピュータ読み取り可能なメモリは、同じタイプまたは異なるタイプの、複数の構成メモリに分割されていてもよい。フローチャートおよび他の図におけるステップは、本発明から逸脱することなく、異なる順序で実行されてもよく、ステップは省略されてもよく、または追加のステップが含まれてもよい。
【0067】
本説明は、主題の一般的な原理を説明する目的でなされており、限定的な意味で解釈されるものではなく、主題は、主題の根底にある原理の理解から当業者には明らかであるように、なされた開示の範囲から逸脱することなく様々な実装形態において有用性を見出すことができる。
【図1】
【図2】
【図3】
【図4】
【図5】
【国際調査報告】