特表2023-524619関心度に基づいてデータ・フローを異なって取り扱うこと
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2023-06-13
(54)【発明の名称】関心度に基づいてデータ・フローを異なって取り扱うこと
(51)【国際特許分類】
G06F 21/55 20130101AFI20230606BHJP
【FI】
G06F21/55
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2022551736
(86)(22)【出願日】2021-02-26
(85)【翻訳文提出日】2022-10-20
(86)【国際出願番号】 IB2021000118
(87)【国際公開番号】W WO2021171092
(87)【国際公開日】2021-09-02
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Linux
2.UNIX
3.アンドロイド
4.PYTHON
(71)【出願人】
【識別番号】522339075
【氏名又は名称】ダークトレース ホールディングス リミテッド
【氏名又は名称原語表記】DARKTRACE HOLDINGS LIMITED
【住所又は居所原語表記】Maurice Wilkes Building St John’s Innovation Park Cambridge, CB4 0DS (GB)
(74)【代理人】
【識別番号】100098899
【弁理士】
【氏名又は名称】飯塚 信市
(74)【代理人】
【識別番号】100163865
【弁理士】
【氏名又は名称】飯塚 健
(72)【発明者】
【氏名】ハウレット, ガイ
(72)【発明者】
【氏名】マーカム, アレックス
(72)【発明者】
【氏名】バリントバ, マルチナ
(72)【発明者】
【氏名】ウッドフォード, アンドリュー
(72)【発明者】
【氏名】ストックデール, ジャック
(57)【要約】
クライアント・デバイスへのデータ・フローを区別することができるサイバー脅威防御プラットフォームのトラフィック・マネージャ・モジュール。登録モジュールは、クライアント・ネットワーク内のデバイス間の接続を登録して、一連のデータ・パケットを送信することができる。分類器モジュールは、接続の特徴と関心基準のセットとの比較を実行して、接続におけるサイバー脅威防御プラットフォームの関心度を決定することができる。分類器モジュールは、比較に基づいて、接続に対する関心度を説明する関心分類器を適用することができる。ディープ・パケット・インスペクション・エンジンは、関心分類器が関心ありを示す場合、サイバー脅威について、接続のデータ・パケットを試験することができる。ダイバータは、関心分類器が関心なしを示す場合、接続のデータ・パケットをディープ・パケット・インスペクション・エンジンから離れる方へ分流することができる。
【特許請求の範囲】
【請求項1】
データ・フローを区別するためのサイバー脅威防御システムのための方法であって、前記サイバー脅威防御システムのトラフィック・マネージャ・モジュールにおいて、クライアント・ネットワーク内の1又は2以上のデバイス間の接続を登録して、一連の1又は2以上のデータ・パケットを転送するステップと、
前記接続の特徴と関心基準のセットとの比較を実行して、前記接続における前記サイバー脅威防御システムの関心度を決定するステップと、
前記比較に基づいて、前記接続に対する前記関心度を説明する関心分類器を適用するステップと、
前記関心分類器が関心ありを示す場合、サイバー脅威のためのさらなる試験のために、前記接続の前記1又は2以上のデータ・パケットをディープ・パケット・インスペクション・エンジンに渡すステップと、
前記関心分類器が関心なしを示す場合、前記接続の前記1又は2以上のデータ・パケットを前記ディープ・パケット・インスペクション・エンジンから離れる方へ分流するステップと、を含む、サイバー脅威防御システムのための方法。
【請求項2】
前記接続が、長期接続であること、前記クライアント・デバイスのためのパラメータセット内で復号することができないこと、及び正常な接続パターン内にあること、のうちの少なくとも1つであることに基づいて、前記接続が興味なしであることを決定するステップをさらに含む、請求項1に記載のサイバー脅威防御システムのための方法。
【請求項3】
分流された接続についての接続長さ及びペイロード・サイズのうちの少なくとも1つを監視するステップをさらに含む、請求項1に記載のサイバー脅威防御システムのための方法。
【請求項4】
分流された接続についてのパケット・メタデータのセットを収集するステップをさらに含む、請求項1に記載のサイバー脅威防御システムのための方法。
【請求項5】
前記ディープ・パケット・インスペクション・エンジンによって処理されているパススルー接続内のパケット落ちを識別するステップと、前記パケット落ちを伴う前記パススルー接続を前記ディープ・パケット・インスペクション・エンジンから離れる方へ分流するステップと
をさらに含む、請求項1に記載のサイバー脅威防御システムのための方法。
【請求項6】
前記クライアント・デバイスにおける変則的なイベントの分析器モジュールによる検出時に前記接続を切断するステップをさらに含む、請求項1に記載のサイバー脅威防御システムのための方法。
【請求項7】
なりすましリセット・パケットへの接続に関するデータを取得するステップをさらに含む、請求項6に記載のサイバー脅威防御システムのための方法。
【請求項8】
前記クライアント・デバイスにおける変則的なイベントの分析器モジュールによる検出時に、分流された接続を前記ディープ・パケット・インスペクション・エンジンに再接続するステップをさらに含む、請求項1に記載のサイバー脅威防御システムのための方法。
【請求項9】
前記変則的なイベントに基づいて前記関心基準のセットを調節するステップをさらに含む、請求項8に記載のサイバー脅威防御システムのための方法。
【請求項10】
前記サイバー脅威防御システム内の1又は2以上の処理装置によって実行されるとき、請求項1に記載の方法を実施するようにコンピューティング・デバイスに命令するように動作可能なコンピュータ可読コードを備える非一時的なコンピュータ可読媒体。
【請求項11】
サイバー脅威防御システムのためのトラフィック・マネージャ・モジュールであって、クライアント・ネットワーク内の1又は2以上のデバイス間の接続を登録して、一連の1又は2以上のデータ・パケットを送信するように構成される登録モジュールと、
前記接続の特徴と関心基準のセットとの比較を実行して、前記接続における前記サイバー脅威防御システムの関心度を決定するように、及び前記比較に基づいて、前記接続に対する前記関心度を説明する関心分類器を適用するように構成される分類器モジュールと、
前記関心分類器が関心ありを示す場合、サイバー脅威について、前記接続の前記1又は2以上のデータ・パケットを試験するように構成されるディープ・パケット・インスペクション・エンジンと、
前記関心分類器が関心なしを示す場合、前記接続の前記1又は2以上のデータ・パケットを前記ディープ・パケット・インスペクション・エンジンから離れる方へ分流するように構成されるダイバータと
を備える、トラフィック・マネージャ・モジュール。
【請求項12】
前記分類器モジュールが、前記クライアント・ネットワークのためのホスト・パラメータのセットに基づいて前記関心基準のセットを調節するようにさらに構成される、請求項11に記載のトラフィック・マネージャ・モジュール。
【請求項13】
前記ホスト・パラメータのセットが、記憶容量、処理能力、及びネットワーク帯域幅のうちの少なくとも1つである、請求項12に記載のトラフィック・マネージャ・モジュール。
【請求項14】
前記ディープ・パケット・インスペクション・エンジンが、前記接続のための前記1又は2以上のデータ・パケットのパケット・キャプチャを収集するように構成される、請求項11に記載のトラフィック・マネージャ・モジュール。
【請求項15】
前記パケット・キャプチャをクラウド・ストレージ・システムに送信するように構成されるオフロード・モジュールをさらに備える、請求項14に記載のトラフィック・マネージャ・モジュール。
【請求項16】
前記オフロード・モジュールが、前記クラウド・ストレージ・システム内に、いつ前記パケット・キャプチャが上書きされ得るかを示す、前記パケット・キャプチャのための有効期限を設定するように構成される、請求項15に記載のトラフィック・マネージャ・モジュール。
【請求項17】
前記トラフィック・マネージャ・モジュールが、ホスト・ベースのエージェント、ハイパーバイザにインストールされる仮想化センサ、集中型の物理機器、及び集中型のクラウド機器のうちの少なくとも1つに位置する、請求項11に記載のトラフィック・マネージャ・モジュール。
【請求項18】
ネットワークであって、少なくとも1つのファイアウォールと、
少なくとも1つのネットワーク・スイッチと、
前記ネットワークのユーザによって動作可能な複数のコンピューティング・デバイスと、
サイバー脅威コーディネータ・コンポーネントであって、
1又は2以上のネットワーク・デバイスに配備される1又は2以上のプローブから、ネットワーク・デバイスによって実行されるネットワーク管理された活動を説明する入力データを収集するように構成されるプローブ・モジュールと、
前記入力データが、前記ネットワークに対するサイバー脅威に対応するかどうかを識別するように構成されるサイバー脅威モジュールと、
ホスト・ベースのトラフィック復号についてホスト・ベースのエージェントにフラグを立てるように構成される分析器モジュールとを含む、サイバー脅威コーディネータ・コンポーネントと、
トラフィック・マネージャ・モジュールであって、
前記ネットワーク上の1又は2以上のデバイス間の接続を登録して、一連の1又は2以上のデータ・パケットを転送するように構成される登録モジュールと、
前記接続の特徴と関心基準のセットとの比較を実行して、前記接続における前記サイバー脅威防御システムの関心度を決定するように、及び前記比較に基づいて、前記接続に対する前記関心度を説明する関心分類器を適用するように構成される分類器モジュールと、
前記関心分類器が関心ありを示す場合、サイバー脅威について、前記接続の前記1又は2以上のデータ・パケットを試験するように、及び前記接続のための前記1又は2以上のデータ・パケットのホスト・ベースのトラフィック復号を実行するように構成されるディープ・パケット・インスペクション・エンジンと、
前記関心分類器が関心なしを示す場合、前記接続の前記1又は2以上のデータ・パケットを前記ディープ・パケット・インスペクション・エンジンから離れる方へ分流するように構成されるダイバータとを含む、トラフィック・マネージャ・モジュールと
を備える、ネットワーク。
【請求項19】
前記サイバー脅威コーディネータ・コンポーネントの前記分析器モジュールが、エンドポイントの珍しさ、タイミングの珍しさ、ドメインの珍しさ、及び環境のうちの少なくとも1つに基づいて、前記ホスト・ベースのエージェントがホスト・ベースのトラフィック復号を許可すると決定するように構成される、請求項18に記載のネットワーク。
【請求項20】
前記ホスト・ベースのエージェントの前記ディープ・パケット・インスペクション・エンジンが、第三者エージェントから秘密鍵を受信すること、公開/秘密鍵ペアをホスト・ベースのエージェントと関連付けられた集中型の機器へアップロードすること、及び前記クライアント・ネットワークから秘密鍵を取得すること、のうちの少なくとも1つによって復号を実行するように構成される、請求項18に記載のネットワーク。
【発明の詳細な説明】
【技術分野】
【0001】
著作権の通知
本開示の一部分は、著作権保護の対象となる資料を含む。著作権者は、著作権保護の対象となる資料の他者による複製について、米国特許商標庁の特許ファイル又は記録に登場する場合には異存はないが、そうでない場合には、何であろうとも全著作権を保有する。
本開示の一部分は、著作権保護の対象となる資料を含む。著作権者は、著作権保護の対象となる資料の他者による複製について、米国特許商標庁の特許ファイル又は記録に登場する場合には異存はないが、そうでない場合には、何であろうとも全著作権を保有する。
【0002】
関連出願
本出願は、米国特許法第119条の下、2020年2月28日出願の「An Artificial Intelligence Based Cyber Security System」と題される米国仮特許出願第62/983,307号、及び2020年9月14日出願の「An Intelligent Cyber Security System」と題される米国仮特許出願第63/078,092号に対する優先権及びその利益を主張するものであり、それらの全体が参照により本明細書に組み込まれる。
本出願は、米国特許法第119条の下、2020年2月28日出願の「An Artificial Intelligence Based Cyber Security System」と題される米国仮特許出願第62/983,307号、及び2020年9月14日出願の「An Intelligent Cyber Security System」と題される米国仮特許出願第63/078,092号に対する優先権及びその利益を主張するものであり、それらの全体が参照により本明細書に組み込まれる。
【0003】
本明細書に提供される設計の実施形態は、概して、サイバー脅威防御プラットフォームに関する。一実施形態において、サイバー脅威防御プラットフォームは、変則的なデータ接続を識別するために、クライアント・デバイスにおいてディープ・パケット・インスペクションを選択的に実施し得る。
【背景技術】
【0004】
サイバーセキュリティ環境においては、ファイアウォール、エンドポイント・セキュリティ法、並びに、セキュリティ情報及びイベント管理システム(SIEM)、及びサンドボックスなどの制限された環境などの他のツールが、特定のポリシーを実行するため、及び特定の脅威に対する保護を提供するために展開される。これらのツールは現在、組織のサイバー防御戦略の重要な部分を形成するが、それらは、新時代のサイバー脅威においては不十分である。
【0005】
eメール脅威、ウイルス、トロイの木馬、及びワームを含むサイバー脅威は、巧妙であり、迅速にネットワークに危害を加え得る。加えて、人間のユーザが、悪意のある行為によってシステムにさらなる損傷を引き起こし得る。サイバーセキュリティ・システムは、これらのサイバー脅威の各々を、それらが展開する際に識別しなければならない。
【発明の概要】
【0006】
クライアント・デバイスへのデータ・フローを区別することができるサイバー脅威防御プラットフォームのトラフィック・マネージャ・モジュール。登録モジュールは、クライアント・ネットワーク内の1又は2以上のデバイス間の接続を登録して、一連の1又は2以上のデータ・パケットを送信するように構成される。分類器モジュールは、接続の特徴と関心基準のセットとの比較を実行して、接続におけるサイバー脅威防御プラットフォームの関心度を決定するように構成される。分類器モジュールは、比較に基づいて、接続に対する関心度を説明する関心分類器を適用するようにさらに構成される。ディープ・パケット・インスペクション・エンジンは、関心分類器が関心ありを示す場合、サイバー脅威について、接続の1又は2以上のデータ・パケットを試験するように構成される。ダイバータは、関心分類器が関心なしを示す場合、接続の1又は2以上のデータ・パケットをディープ・パケット・インスペクション・エンジンから離れる方へ分流するように構成される。
【0007】
本明細書に提供される設計のこれら及び他の特徴は、図面、明細書、及び請求項を参照してより良く理解することができ、それらのすべてが、本特許出願の開示を形成する。
【図面の簡単な説明】
【0008】
図面は、本明細書で提供される設計のいくつかの実施形態に言及する。
【0009】
【0010】
【0011】
【0012】
【0013】
【0014】
【0015】
【0016】
【0017】
【0018】
【0019】
【0020】
【0021】
【0022】
【0023】
【0024】
【0025】
【0026】
【0027】
【0028】
【0029】
【0030】
【0031】
【0032】
【0033】
本設計は、様々な修正形態、等価物、及び代替形式の対象となるが、それらの特定の実施形態は、図面内の例を用いて示されており、これより詳細に説明されるものとする。本設計は、開示される特定の実施形態に限定されず、それどころか、その特定の実施形態を使用するすべての修正形態、等価物、及び代替形式を網羅することが意図されるということを理解されたい。
【発明を実施するための形態】
【0034】
以下の説明において、本設計の徹底的な理解を提供するために、特定のデータ信号、名前の付いたコンポーネント、システム内のサーバの数などの多数の特定の詳細事項が明記される。しかしながら、当業者には、本設計がこれらの特定の詳細事項なしに実践され得ることは明らかである。他の例において、周知のコンポーネント又は方法は、詳細には説明されておらず、本設計を不必要に不明瞭にすることを回避するために、むしろブロック図で説明されている。さらに、第1のサーバなど、特定の数字による参照が行われ得る。しかしながら、特定の数字による参照は、文字通りの順番と解釈されるべきではなく、むしろ、第1のサーバは第2のサーバとは異なると解釈されるべきである。したがって、明記される特定の詳細事項は単に例にすぎない。また、1つの実施形態において実装される特徴は、論理的に可能な場合には別の実施形態に実装され得る。特定の詳細事項は、様々であり得、依然として、本設計の精神及び範囲内にあることが企図され得る。結合されるという用語は、コンポーネントに直接的、又は別のコンポーネントを通じてコンポーネントに間接的、のいずれかで接続されることを意味すると定義される。
【0035】
一般に、サイバー脅威防御プラットフォームは、人工知能を使用してサイバーセキュリティ脅威を分析し得る。図1は、ネットワーク活動及びネットワークと関連付けられたユーザ活動の正常な挙動について訓練される機械学習モデルを参照するサイバー脅威モジュールを有するサイバー脅威防御プラットフォームの一実施形態のブロック図を例証する。サイバー脅威モジュールは、「正常な無害な挙動であることから外れる」、したがって、悪意のある挙動である可能性が高い、「分析下のeメール活動、ネットワーク活動、及びユーザ活動の一連の1又は2以上の非正常な挙動の可能性が何であるか」を考慮に入れた脅威リスク・パラメータを決定する。
【0036】
サイバー脅威防御プラットフォーム100は、eメール・システム並びにそのネットワークからのサイバーセキュリティ脅威に対して保護し得る。サイバー脅威防御プラットフォーム100は、i)トリガ・モジュール、ii)収集モジュール、iii)データストア、iv)ネットワーク・モジュール、v)eメール・モジュール、vi)コーディネータ・モジュール、vii)比較モジュール、viii)サイバー脅威モジュール、ix)トラフィック・マネージャ・モジュール、x)ユーザ・インターフェース・モジュール、xi)分析器モジュール、xii)自律応答モジュール、xiii)必要に応じて他のポートにしっかりと接続するための少なくとも1つの入力又は出力(I/O)ポート、xiv)悪意のある活動及び関連データのためのベクトルの特徴について訓練される第1の人工知能モデル、eメールについて訓練される第2の人工知能モデル、潜在的なサイバー脅威について訓練される第3の人工知能モデル、正常な生活パターンについて訓練される第4の人工知能モデル、また各々が異なるユーザ、デバイス、システム活動及びシステム内のエンティティ間のインタラクション、並びにシステムの他の側面について訓練される1又は2以上の人工知能モデルなど、1又は2以上の機械学習モデル、並びにxv)サイバー脅威防御プラットフォーム内の他の同様のコンポーネント、などのコンポーネントを含み得る。
【0037】
トリガ・モジュールは、I)非正常な若しくはII)疑わしい挙動/活動から1又は2以上のi)イベント及び/又はii)アラートが発生していることを示すタイムスタンプ付きのデータを検出し得、次いで何か非正常なことが起きていることをトリガする。したがって、収集モジュールは、i)異常な挙動、ii)疑わしい活動、及びiii)それら両方の任意の組み合わせの特定のイベント及び/又はアラートによってトリガされる。インラインデータは、トラフィックが観察されるときにデータストアからデプロイメント上に収集され得る。この場所で利用可能なデータの範囲及び幅広いバリエーションは、分析のために良好な品質のデータを結果としてもたらす。収集されたデータは、比較モジュール及びサイバー脅威モジュールに渡される。
【0038】
収集モジュールは、分析されるイベント及び/又はアラートについて形成される特定の仮説に応じて各々がデータの異なる側面を見る複数の自動データ収集装置からなり得る。可能性のある仮説の各々のタイプに関連するデータは、追加の外部及び内部ソースから自動的に引き出される。いくつかのデータは、各々の可能性のある仮説について、収集モジュールによって引き出されるか、又は取得される。連携のフィードバック・ループが、収集モジュールと、ネットワーク及びeメール活動を監視するプローブ・モジュールと、このプロセスの異なる側面について訓練される1又は2以上のモデルを比較するための比較モジュールと、比較モジュールによる比較に基づいてサイバー脅威を識別するためのサイバー脅威モジュールとの間で発生する。eメール・モジュールが監視されるが、同様のモジュールが、悪意のある活動についてのテキスト・メッセージ及び他の潜在的なベクトルなど、他の通信システムに適用され得る。人間のユーザのインサイダ攻撃、不適切なネットワーク挙動、若しくはeメール挙動、又は悪意のあるソフトウェア若しくはマルウェア攻撃、不適切なネットワーク挙動、若しくはeメール挙動など、典型的な脅威の各々の仮説は、データの様々な支点、及びその可能性のある脅威と関連付けられた他のメトリックを有することができる。機械学習アルゴリズムは、データの関連点を見て、疑わしい活動又は異常な挙動が関連することについての各々の仮説について、どんな疑わしい活動又は異常な挙動が関連するかの特定の仮説を支持するか、又はそれに反証する。ネットワークは、収集され得る豊富なデータ及びメトリックを有し得る。収集装置は、その後、大量のデータを、データの重要な又は顕著な特色へと、フィルタリング又は集約し得る。一実施形態において、ネットワーク・モジュール、eメール・モジュール、及びコーディネータ・モジュールは、サイバー脅威モジュールの部分であり得る。
【0039】
プローブ・モジュールは、クライアント・デバイスに配備されるプローブからプローブ・データを収集するように構成され得る。クライアント・デバイスは、ネットワークと相互作用するためにユーザによって動作されるデバイスである。プローブ・データは、クライアント・デバイスによって実行され、ネットワークと関連付けられたネットワーク・アドミニストレータによって管理される任意の活動を説明する。ネットワーク管理された活動は、ネットワーク活動又はeメール活動であり得る。さらに、プローブ・モジュールは、eメール・モジュール及びネットワーク・モジュールに分割され得る。プローブ・モジュールは、1又は2以上のネットワーク・デバイスに配備される1又は2以上のプローブから、クライアント・デバイスによって実行されるネットワーク管理された活動を説明する入力データを収集するように構成され得る。
【0040】
ネットワーク管理された活動を監視するネットワーク・モジュール及びeメールを監視するeメール・モジュールは各々、これらの活動間の因果関係を相関させるためにそれらのデータをコーディネータ・モジュールにフィードして、この入力をサイバー脅威モジュールに供給し得る。コーディネータ・モジュールは、ネットワーク・データ及びeメール・データをコンテクスト化して、組み合わせたデータ・セットを分析のために作成するように構成され得る。
【0041】
サイバー脅威モジュールはまた、ネットワーク内のサイバー脅威について訓練される1又は2以上の機械学習モデルを使用し得る。サイバー脅威モジュールは、ネットワークと関連付けられたユーザ活動、ネットワーク活動、及びeメール活動の正常な挙動について訓練されるモデルを参照し得る。サイバー脅威モジュールは、これらの様々な訓練された機械学習モデル、並びにネットワーク・モジュール、eメール・モジュール、及びトリガ・モジュールからのデータを参照することができる。サイバー脅威モジュールは、一連の非正常な挙動が、潜在的なサイバー脅威にどのように相関するか、並びに「正常な無害な挙動であることから外れる」、故に、悪意のある挙動である、「分析下のネットワーク活動及びユーザ活動のこの一連の1又は2以上の非正常な挙動の可能性が何であるか」を考慮に入れた脅威リスク・パラメータを決定することができる。
【0042】
1又は2以上の機械学習モデルは、教師なし学習を使用し、かつシステムの異なる側面、例えば、eメールと関連付けられたデバイス活動及びユーザ活動の正常な挙動について訓練される、自己学習モデルであり得る。正常な挙動の自己学習モデルは、定期的に更新される。正常な挙動の自己学習モデルは、新規の入力データが受信され、それが正常な挙動の範囲内と見なされるときに更新される。正常な挙動しきい値は、コンピューティング・システムについての正常な生活パターンに対応するパラメータの変動するベンチマークとしてモデルによって使用される。正常な挙動しきい値は、コンピュータ・システム内の更新された変更に従って変動し、変動するベンチマークによって設定されるパラメータから外れるコンピューティング・システム上の挙動をモデルが見分けることを可能にする。
【0043】
比較モジュールは、自己学習機械学習モデルによって使用されるコンピューティング・システムについての正常な生活パターンに対するパラメータのそれらのそれぞれの変動するベンチマークと比較されるユーザ活動及びネットワーク活動、並びに対応する潜在的なサイバー脅威に関して、分析されたメトリックを比較することができる。
【0044】
比較モジュールは、入力データと少なくとも1つの機械学習モデルとの比較を実行して、ネットワーク・エンティティの正常な無害な挙動から逸脱するネットワーク上の挙動を見分けるように構成される。比較モジュールは、コーディネータ・モジュールから組み合わされたデータ・セットを受信する。少なくとも1つの機械学習モデルは、ネットワーク・エンティティの正常な無害な挙動について訓練される。少なくとも1つのマシンは、そのネットワーク・エンティティの活動の正常なパターンに対応するパラメータを説明する正常な挙動ベンチマークを使用する。比較モジュールは、比較を使用して、ネットワーク・エンティティが正常な挙動ベンチマークの違反状態にあるかどうかを識別することができる。
【0045】
比較モジュールは、サイバー脅威モジュールと統合され得る。サイバー脅威防御プラットフォーム100はまた、送信データ及びそのメタデータのプロパティを分類することを含む、送信データ及び関連データの複数の特徴の理解を得ることについて訓練される1又は2以上の機械学習モデルを含み得る。サイバー脅威モジュールは、次いで、分析されたメトリック、及び何が正常な挙動と見なされるかの変動するベンチマークに従って、サイバー脅威の可能性を示すサイバー脅威リスク・パラメータを決定することができる。
【0046】
サイバー脅威モジュールはまた、ネットワーク・イベント及び関連データについて訓練される機械学習モデルを参照して、分析下のネットワーク・イベント又は一連のネットワーク・イベントが潜在的に悪意のある特徴を有するかどうかを決定することができる。サイバー脅威モジュールはまた、このネットワーク・イベント特徴分析を脅威リスク・パラメータのその決定において考慮に入れることができる。サイバー脅威モジュールは、ここではユーザ又はネットワークに参加するデバイスを表すエンティティによる変則的なイベントを説明する事象データのセットを生成することができる。サイバー脅威モジュールは、この事象データを使用して、変則的なイベントが、悪意のある事象又は機密データ露出を表す違反状態を示すかどうかを決定することができる。これを行うため、サイバー脅威モジュールは、ユーザ・インターフェース及びディスプレイ・モジュールを使用して、確認のために事象データをユーザ・アナリストに提示することができる。代替的に、サイバー脅威モジュールは、機械学習を使用してエンティティが違反状態に入ったかどうかを決定するために、自律アナリストを実行することができる。
【0047】
サイバー脅威防御プラットフォーム100はまた、SaaS管理イベントの、及びSaaS管理イベント及びそのメタデータのプロパティを分類することを含む関連データの、複数の特徴の理解を得ることについて訓練される1又は2以上の機械学習モデルを含み得る。
【0048】
代替的に、サイバー脅威モジュールは、機械学習を使用して違反状態にあるネットワーク・エンティティがサイバー脅威であるかどうかを決定するために、自律アナリストを実行することができる。サイバー脅威モジュールは、比較モジュールによって識別される違反状態及びそのネットワーク・エンティティの正常な無害な挙動から逸脱する一連の関連挙動パラメータがサイバー脅威に対応するかどうかを識別するように構成される。
【0049】
サイバー脅威防御プラットフォーム100は、複数の機械学習モデルを使用し得る。各機械学習モデルは、デバイス、ユーザ、ネットワーク・トラフィック・フロー、システムを分析する1又は2以上のサイバーセキュリティ分析ツールからの出力などの、システムの正常な生活パターンの特定の側面について訓練され得る。1又は2以上の機械学習モデルはまた、サイバー脅威のタイプのすべての様式の特徴及び側面について訓練され得る。1又は2以上の機械学習モデルはまた、ネットワーク活動又はeメールなどの、悪意のある活動についてのベクトルを観察することによって訓練され得る。
【0050】
サイバー脅威防御プラットフォーム100は、データ・フローを区別して、どのデータ・フローを試験すべきかを決定するために、トラフィック・マネージャ・モジュールを有し得る。データ・フローは、一連の1又は2以上のデータ・パケットを転送する物理又は仮想化クライアント・ネットワーク内の1又は2以上のデバイスへの接続である。トラフィック・マネージャ・モジュールは、クライアント・ネットワーク内で使用されるラップトップ上など、クライアント・ネットワーク内のホスト・ベースのエージェント内にあり得る。代替的に、トラフィック・マネージャ・モジュールは、スタンドアロン仮想マシンとして、又はスパン若しくはトラフィック・ミラーリングによりパケットを受信するハイパーバイザ上に、インストールされる仮想化センサ内にあり得る。さらに、トラフィック・マネージャ・モジュールは、物理又は仮想であり得る集中型のサイバーセキュリティ機器内にあり得る。サイバー脅威防御プラットフォームは、任意のホスト・ベースのエージェント及び仮想センサプローブと通信状態にありながら、スパン又はトラフィック・ミラーリングによりパケット・データ自体を受信することができる。
【0051】
サイバー脅威防御プラットフォーム100は、ネットワーク内のクライアント・デバイス間の様々な接続を監視するために分析器モジュールを使用するユーザ及びサイバー専門家に提供されるデータを補い得る。分析器モジュールは、変則的なイベントの場所であるクライアント・デバイスにフラグを立てることができる。分析器モジュールは、ホスト・ベースのトラフィック復号についてクライアント・デバイスにフラグを立てるように構成され得る。ホスト・ベースのトラフィック復号では、ホスト・ベースのエージェントは、クライアント・デバイスにおける接続のための1又は2以上のデータ・パケットを復号することができる。分析器モジュールは、エンドポイントの珍しさ、タイミングの珍しさ、ドメインの珍しさ、及び環境のうちの少なくとも1つに基づいて、クライアント・デバイスがホスト・ベースのトラフィック復号を許可すると決定するように構成され得る。ホスト・ベースのエージェントは、第三者エージェントから秘密鍵を受信すること、公開/秘密鍵ペアをクライアント・ネットワークから構成ページにアップロードすること、又はクライアント・デバイスから秘密鍵を取得すること、のうちの少なくとも1つによって復号を実行することができる。
【0052】
サイバー脅威防御プラットフォーム100は、次いで、検出された潜在的なサイバー脅威に対抗するための行動を取ることができる。
【0053】
自律応答モジュールは、悪意のある脅威に対抗することを自律的に試みるために、人間のユーザによって事前承認される行動を取るように構成される。ここでも、人間が行動を取るのではなく、自律応答モジュールは、潜在的なサイバー脅威が検出されるとき、サイバー脅威を阻止するために取られるべき1又は2以上の自律行動を引き起こすように構成される。サイバーセキュリティ機器は、ユーザ・プログラマブル・インターフェースを伴う自律応答モジュールを有し得る。i)フィールド、ii)メニュー、及びiii)アイコンのいずれかを有するサイバーセキュリティ機器上でホストされるユーザ・プログラマブル・インターフェースは、ユーザが、サイバー脅威を阻止するための行動を取るために自律応答モジュールを事前認可することを可能にするように記述される。ユーザ・プログラマブル・フィールド/メニューは、ユーザが、そのデバイスの内側で進行する他のプロセスの動作を邪魔することなく、個々のプロセスをキルすること、特定の権限を剥奪すること、特定のファイルのダウンロードを防ぐこと、ある設定期間にわたってアクティブであるべきピア・デバイスの生活パターンにおいて観察されるプロセスのみを許可すること、他のエンドポイント保護プラットフォーム(EPP)に疑わしいファイルを隔離するように要請することなどの行動を取るためにモジュールを事前認可することを可能にする。ユーザ・インターフェースは、個々のプロセスをキルすること、そのユーザに対する他の許可を依然として許したまま特定の権限を剥奪すること、ライブ端末アクセスを得ること、特定のファイルのダウンロードを防ぐこと、ある設定期間にわたってアクティブであるべきピア・デバイスの生活パターンにおいて観察されるプロセスのみを許可すること、デバイス全体をシャットダウンすることなく、若しくは外部通信をすべてブロックすることなく、他のEPPに疑わしいファイルなどを隔離するように要請すること、又はそのユーザの特権のすべてではなくそのうちの1又は2以上を剥奪することなど、非常に特殊な行動を取るようにユーザが自律応答モジュールをプログラムするのに利用可能な選択肢において粒度を有する。一部のユーザ特権のみを剥奪すること、又はピア生活パターンを強制することなどの行動により、ユーザが、ユーザの認証情報を使用する悪意のあるソフトウェアに全く気付かずに、文書をタイプすること、又はデータをプログラムに入力することなど、そのユーザにとっての正常な活動を行っている間に、機密ファイルにアクセスしてこれをダウンロードすることなど、悪意のあるソフトウェアが開始していた可能性が非常に高い、特定の接続を実施、又は特定のプロセスを実行することを不可能にするが、ユーザが作業を継続することは可能である。
【0054】
自律応答モジュールについて人間のユーザによって事前承認されるために利用可能な例となる自律行動の例は、以下の行動、すなわち、脅威に関連した活動を防ぐ、又は遅延する;人、プロセス、デバイスを隔離又は半隔離する;隔離又はファイアウォール・ブロックなどの第三者又はベンダー特有の行動を取るように、脅威インテリジェンスをEPP並びにエンドポイント検出及び応答(EDR)プロセス及びデバイスにフィードする;クライアント・デバイスなどでの変則的なプロセスを終了する;並びに、多くの場合は、ユーザの正常な日常的活動又はエンドポイント・コンピューティング・デバイス上の他のプロセスを妨害しない、といった行動と一緒に、エンドポイント・コンピューティング・デバイスのディスプレイ画面上のユーザへの一般的なプロンプトを含み得る。
【0055】
自律応答モジュールは、行動を取る人間ではない、サイバー脅威モジュールからの脅威リスク・パラメータが、行動の指針となり得るしきい値に等しいか又はそれより大きいとき、サイバー脅威を阻止するために取られるべき1又は2以上の迅速な自律行動を引き起こすように構成され得る。サイバー脅威を阻止するために取られるべき1又は2以上の自律行動を引き起こすように、自律応答モジュールと連携して構成されるサイバー脅威モジュールは、何らかの人間の介入を待たずにサイバー脅威に応答することにより、eメールシステム内のコンピューティング・デバイスを、コンピューティング・デバイスにおける未承認のCPUサイクル、メモリスペース、及び消費電力を消費することからのサイバー脅威の影響を制限することによって、改善する。
【0056】
自律応答モジュールは、サイバー脅威の状況に応じて、自律応答に対してより低いしきい値を有するように特定のユーザをタグ付けし得る。例えば、最高財務責任者は、資金を横領するために金融取引を行うことによって、会社に大きな損害を引き起こすことができる。サイバー脅威モジュールが財政機能のサイバー脅威を識別する場合、自律応答モジュールは、サイバー脅威と関連付けられたタグ付きユーザを識別すると、自律応答のためのしきい値を下げることができる。自律応答モジュールは、どのユーザをどの脅威タイプとタグ付けすべきかを識別するために、マトリクスベースのクラスタリング、密度ベースのクラスタリング、及び階層的クラスタリング技術を含むいくつかの異なるクラスタリング法を同時に採用することができる。
【0057】
サイバー脅威防御プラットフォーム100は、デバイス上、1又は2以上のサーバ上、或いはその独自のサイバー脅威機器プラットフォーム内でホストされ得る。
【0058】
図2は、ネットワーク・エンティティについて非正常な挙動の、分析下のその他のネットワークと関連した、例となる一連の一実施形態のブロック図を例証する。
【0059】
ユーザ・インターフェースは、分析下のその他のネットワークに関連してSaaSアプリケーションについての例となる一連の非正常な挙動のグラフ200を表示することができる。
【0060】
サイバー脅威モジュールは、1又は2以上の機械学習モデルと連携する。1又は2以上の機械学習モデルは、サイバー脅威分析のために、「非正常なパターンから生じる一連の全く異なるアラート及び/又はイベントにより何が起こる可能性があるのか」を推論し、次いで、非正常なパターンを形成する一連のアラート及び/又はイベントのその全く異なる項目と関連付けられた脅威リスクを割り当てるように、数学アルゴリズムを用いて訓練され、及びそれを用いて別途構成される。
【0061】
これは、サイバー脅威モジュール及び機械学習モデルによる分析下のネットワーク、システム、デバイス、ユーザ、又はeメールなどのネットワーク・エンティティの非正常な挙動が何であるかの「挙動パターン分析」である。サイバー防御システムは、正常な挙動から逸脱する非正常な挙動を使用し、次いで、一連の非正常な挙動及びこの一連の非正常な挙動同士の因果関係を構築して、サイバー脅威を検出する。非正常な挙動が何であるかの例となる挙動パターン分析は、以下の通りであり得る。非正常なパターンは、分析下のそのネットワーク・エンティティについての正常な生活パターンであることのウィンドウ内に入る活動、イベント、又はアラートをフィルタアウトすることによって決定され得る。次いで、残っている活動、イベント、又はアラートの挙動のパターンは、フィルタリングの後に、そのパターンが、人間、プログラム、eメール、又は他の脅威などの悪意のある当事者の挙動を示すかどうかを決定するために分析され得る。防御システムは、そのパターンが悪意のある当事者の挙動を示すかどうかの可能性のある仮説を支持するか、又はそれに反証するのに役立てるために、フィルタアウトされた正常な活動のうちのいくつかに戻って、それらを引き出すことができる。その連鎖内に含まれる例となる挙動パターンは、例である7日の時間フレームにわたるグラフに示される。防御システムは、非正常なデータ転送の一連の変則的な挙動を3回、非正常なデータ転送に何らかの因果関係を有するように見える、監視されるシステム内のeメールにおける非正常な特徴を3回検出する。同様に、情報焦点地域へのアクセスしようとするという非正常な挙動を試みた2回の非正常な認証情報、又は非正常な挙動を試す非正常な認証情報と関連付けられた悪意のあるIPアドレス及びユーザは、非正常な特徴を有するそれら3つのeメールのうちの少なくとも1つと因果関係を有する。個々の挙動の挙動パターン分析又はグループとしての連鎖の挙動パターン分析が、悪意のある脅威を示すものであると考えられるとき、防御システムが、非正常なパターンが悪意のある当事者によって引き起こされたかどうかを識別するというこのアセスメントにどれくらいの確信があるのかのスコアが作成される。次に、さらに割り当てられるのは、この悪意のある当事者がどのレベルの脅威をシステムにもたらすかを示す脅威レベルパラメータ(例えば、スコア又は確率)である。最後に、サイバー脅威防御プラットフォームは、脅威の構成可能なレベルに等しい又はそれ以上である異なるタイプのサイバー脅威について、この悪意のある当事者によってもたらされたとき、防御システムが、あるとすれば、どのタイプの自動応答行動を取り得るかに関して、防御システムのそのユーザ・インターフェース内で構成可能である。
【0062】
サイバー脅威モジュールは、非正常なパターンをその一連の全く異なるアラート又はイベントのサイバー脅威分析についての全く異なる項目へと形成する個々のアラート及びイベントをつなぎ得る。サイバー脅威モジュールは、メール脅威について訓練される1又は2以上の機械学習モデルを参照して、非正常なパターンを形成する一連のアラート又はイベントで構成されている全く異なる項目を形成する個々のアラート又はイベントから同様の特徴を識別し得る。
【0063】
1又は2以上の機械学習モデルはまた、非正常なパターンを形成する一連若しくは一群のアラート又はイベントと関連付けられた脅威リスクを分析するために、サイバー脅威のタイプのすべての様式の特徴及び側面について訓練され得る。高等数学を使用する機械学習技術は、所定のルールに頼ることなく、以前に識別されなかった脅威を検出し、自動的にネットワークを防御することができる。
【0064】
本モデルは、コンピュータ及びコンピュータネットワークにおける挙動変化を検出するために、教師なしベイジアン数学モデルのアプリケーションによる正常な挙動における確率的変化を通じた脅威検出により実施し得る。核となる脅威検出システムは、「ベイジアン確率」と呼ばれる。ベイジアン確率アプローチは、複数の時系列データにおける周期性を決定し、変則挙動検出の目的のために単一又は複数の時系列データにわたる変化を識別することができる。メール、及びデータのネットワーク生ソースから、大量のメトリックを得ることができ、各々が所与のメトリックの時系列データをもたらす。
【0065】
プローブ・モジュール及び任意のSaaSモジュールコンポーネントを含む、サイバー脅威モジュール内の検出器は、ターゲットを用いて異なる変数のセットに対して特定の数学的方法を実施する離散数学モデルであり得る。したがって、各モデルは、例えば、i)そのサイバーセキュリティ分析ツール、ii)第三者SaaSインタラクションの様々な側面を分析すること、iii)システム内の特定のデバイス及び/又はユーザなどによってもたらされるアラート及び/又はイベントの生活パターンについて特にターゲットとされる。
【0066】
根本的には、サイバー脅威防御プラットフォームは、デバイスのネットワーク挙動の大量の異なる尺度/異なる尺度のセットの分析に基づいて、何が「正常な」挙動を構成するかを数学的に特徴付ける。サイバー脅威防御プラットフォームは、サイバー脅威防御プラットフォームによって保護されているシステム内のすべての人物、デバイス、eメール活動、及びネットワーク活動について何が正常を表すのかを理解する精巧な「生活パターン」を構築することができる。
【0067】
論じられるように、各機械学習モデルは、デバイス、ユーザ、ネットワーク・トラフィック・フロー、システムを分析する1又は2以上のサイバーセキュリティ分析ツールからの出力、各ユーザのeメール連絡関連性、eメール特徴及びその他など、システムの正常な生活パターンの特定の側面について訓練され得る。1又は2以上の機械学習モデルは、システムの正常な生活パターンが何であるかを確立するために少なくとも教師なし学習アルゴリズムを使用し得る。機械学習モデルは、i)そのシステムのためのアラート及びイベントの過去の正常な配信、並びにii)そのシステムのためのアラート又はイベントの挙動の正常な生活パターンを確立するために同様のピアシステムからの正常な配信情報、の両方について訓練することができる。機械学習モデルの別のセットは、SaaSアプリケーションの特徴並びにSaaSアプリケーションユーザの活動及び挙動について訓練して、これらについての正常を確立する。
【0068】
モデルは、少なくとも2つの異なるアプローチ:例えば、各システムの挙動をそれ自身の履歴と比較すること、及びそのシステムをそのピアの履歴と比較することなど、又は、eメールをeメールの特徴並びにそのeメールユーザの活動及び挙動の両方と比較することなど、を活用して変則を検出することができる。この複数ソースの比較は、デバイス、ユーザ、コンポーネント、eメールなどのセキュリティ侵害されるエンティティが、それらの隣接ピアとは異なる挙動を呈することから、モデルが既存の悪い挙動を「正常な挙動」として学習することを回避することを可能にする。
【0069】
加えて、1又は2以上の機械学習モデルは、i)同じ複数の次元空間内にマッピングされるそのシステムのためのアラート及びイベントの過去の正常な配信に対応するそのシステムについての正常な生活パターンと、ii)分析下の現在の一連の個々のアラート及びイベント挙動との比較を使用することができる。この比較は、プロットされた個々のアラート又はイベント内の挙動の1又は2以上の非正常なパターンの検出をもたらすことができ、それが、単に既定義の記述的オブジェクト又はシグネチャを用いてサイバー脅威を見つけ出すことと比較して、以前に識別されなかったサイバー脅威の検出を可能にする。したがって、低レベルのアラート及びイベントを生成するために自らがいつ行動を起こすかをえり好みするますます利口な悪意のあるサイバー脅威が、サイバー分析の他の方法ではまだ識別されていなかったとしても、依然として検出されることになる。これらの利口な悪意のあるサイバー脅威は、マルウェア、スパイウェア、キーロガー、eメール内の悪意のあるリンク、eメール内の悪意のある添付ファイル及びその他、並びに任意の高レベルのアラート又はイベントを始動させない方法をよく知っている不法な内部情報技術スタッフを含み得る。
【0070】
プロッティング及び比較は、そのシステムにとって正常であることをフィルタアウトし、次いでそのシステムにとって異常又は非正常なことについての分析に焦点を合わせることができるやり方である。その後、一連の非正常なイベント又はアラートにより何が起こり得るかの各々の仮説について、収集モジュールは、元々「正常な挙動」と見なされるメトリックのプールを含むデータストアから追加のメトリックを集めて、分析下のこの一連の非正常な挙動により何が起こり得るかの各々の可能性のある仮説を支持するか、又はそれに反証し得る。
【0071】
非正常なパターンを形成する一連のアラート又はイベント内の個々のアラート又はイベントの各々が、巧妙な異常な挙動を示すことができることに留意されたい。したがって、各アラート又はイベントは、その個々のアラート又はイベントと関連付けられた低い脅威リスクを有することができる。しかしながら、1又は2以上の機械学習モデルによって一連の非正常なパターンを形成する全く異なる一連又は一群のアラート又はイベント挙動として分析されるとき、その全く異なる一連のアラート又はイベントは、ここではその連鎖内の個人及び/又はイベントのいずれかよりもはるかに高い脅威リスクを有することが決定され得る。
【0072】
加えて、現代のサイバー攻撃は、人間による応答が十分な速さで生じることができないほどの深刻度及び速度のものであり得る。これらの自己学習の進展のおかげで、マシンは、これらの出現する脅威を発見し、最も深刻なサイバー脅威に反撃するために適切なリアルタイムの応答を展開し得る。
【0073】
脅威検出システムは、真の変則を見分けるために自己学習して正常性を検出する能力を有し、あらゆるサイズの組織が、個々及び群レベルの両方で組織のネットワーク上のユーザ及びマシンの挙動を理解することを可能にする。既定義の記述的オブジェクト及び/又はシグネチャを使用するのではなく、挙動を監視することは、より多くの攻撃が前もって見分けられ、不正行為の極めて巧妙な標識が検出され得ることを意味する。従来のレガシー防御とは異なり、特定の攻撃タイプ又は新規マルウェアは、それが検出され得る前に、第一に目にされる必要がない。挙動防御アプローチは、今日のますます精巧なサイバー攻撃ベクトルを予測し把握するために、セキュリティ侵害の際及びその地点の後で、マシン、eメール、及び人間の活動の両方を挙動的に、数学的にモデル化する。したがって、何が正常であるかをコンピュータ的に確立して、次いで異常であることを検出することが可能である。加えて、機械学習は、確率的数学を使用して、挙動に関する仮定を絶えず再訪する。サイバー脅威防御プラットフォームの教師なし機械学習法は、予め規定されたラベルを用いてデータを訓練することを必要としない。代わりに、教師なし機械学習法は、人間による入力を必要とすることなく、データ内の主なパターン及び傾向を識別し得る。
【0074】
ユーザ・インターフェース及び出力モジュールはまた、一連の挙動を形成する個々のアラート及び/又はイベントを、i)時間のウィンドウの横軸、ii)連鎖内の各アラート及び/又はイベントに割り当てられた脅威リスクを示す目盛りの垂直軸、並びに、iii)連鎖の全く異なる項目を形成する個々のアラート及びイベント間で共有される同様の特徴に対する異なる色という第3の次元の、少なくとも3次元を有するユーザ・インターフェース上へ投影し得る。異なる色は、赤、青、黄色、又はその他であり得る。グレースケールの場合は、ユーザ・インターフェースは、潜在的に異なるハッシュパターンを有するグレー、黒、及び白の異なる濃淡を使用し得る。連鎖内のイベント又はアラートのこれらの類似性は、人間が、データのテキストログを単に閲覧するのではなく、特定の連鎖を空間的及びコンテンツごとに作り上げるのは何であるかを視覚的に見ることができるように、例えば、同じデバイス、同じユーザ認証情報、同じグループ、同じソース識別子、同じ宛先インターネット・プロトコル・アドレス、同じタイプのデータ転送、同じタイプの非正常な活動、同じタイプのアラート、行われている同じ珍しい接続、同じタイプのイベント、又はその他からもたらされるアラート又はイベントであり得る。人間の知力が、投影されたパターン及び対応するデータを視覚的に見ると、人間は、サイバー脅威がもたらされるかどうかを最終的に決定することができるということに留意されたい。ここでも、少なくとも3次元の投影は、人間がこの情報をより容易に合成することに役立つ。ユーザ・インターフェース上への視覚化は、サイバー脅威防御プラットフォームがなぜこれらの凝集されたアラート又はイベントが潜在的に悪意のあるものであり得るかを支持する、又はそれに反証するデータを人間が見ることを可能にする。また、単純な2値出力「悪意のある」又は「無害の」を生成する代わりに、サイバー脅威防御プラットフォームの数学アルゴリズムは、潜在的なセキュリティ侵害の異なる程度を示す出力をもたらす。
【0075】
防御システム
図3は、例となるネットワークを保護する例となるサイバー脅威防御プラットフォームを例証する。図3の例となるネットワークは、脅威検出システムを使用するコンピュータ・システム50のネットワークの一例を示す。図3によって描写されるシステムは、本発明の説明を簡単にするために提供される簡略化された一例を示す。システム50は、建物内に第1のコンピュータ・システム10を備え、第1のコンピュータ・システム10は、検出のための脅威検出システムを使用し、それにより、その範囲内でコンピューティング・デバイスへの脅威を防ぐことを試みる。第1のコンピュータ・システム10は、3つのコンピュータ1、2、3、ローカルサーバ4、並びに、印刷、スキャン、及びファクシミリ機能をコンピュータ1、2、3の各々に提供する多機能デバイス(MFD)5を備える。第1のコンピュータ・システム10内のデバイスのすべては、ローカル・エリア・ネットワーク(LAN)6を介して通信可能に結合される。その結果、すべてのコンピュータ1、2、3は、LAN6を介してローカルサーバ4にアクセスし、LAN6を介してMFD5の機能を使用することができる。
図3は、例となるネットワークを保護する例となるサイバー脅威防御プラットフォームを例証する。図3の例となるネットワークは、脅威検出システムを使用するコンピュータ・システム50のネットワークの一例を示す。図3によって描写されるシステムは、本発明の説明を簡単にするために提供される簡略化された一例を示す。システム50は、建物内に第1のコンピュータ・システム10を備え、第1のコンピュータ・システム10は、検出のための脅威検出システムを使用し、それにより、その範囲内でコンピューティング・デバイスへの脅威を防ぐことを試みる。第1のコンピュータ・システム10は、3つのコンピュータ1、2、3、ローカルサーバ4、並びに、印刷、スキャン、及びファクシミリ機能をコンピュータ1、2、3の各々に提供する多機能デバイス(MFD)5を備える。第1のコンピュータ・システム10内のデバイスのすべては、ローカル・エリア・ネットワーク(LAN)6を介して通信可能に結合される。その結果、すべてのコンピュータ1、2、3は、LAN6を介してローカルサーバ4にアクセスし、LAN6を介してMFD5の機能を使用することができる。
【0076】
第1のコンピュータ・システム10のLAN6は、インターネット20に接続され、この際インターネット20は、コンピュータ1、2、3にサーバ30及び第2のコンピュータ・システム40を含む多数の他のコンピューティング・デバイスへのアクセスを提供する。第2のコンピュータ・システム40はまた、第2のLAN43によって接続される2つのコンピュータ41、42を含む。
【0077】
本発明のこの例示的な実施形態において、第1のコンピュータ・システム10上のコンピュータ1は、脅威検出システムを有し、したがって、第1のコンピュータ・システムへの脅威を検出するための脅威検出法を実行する。したがって、コンピュータ1は、本明細書に説明されるプロセスのステップを実行するように構成されたプロセッサ、このプロセスの実行に関する情報を記憶するように要求されるメモリ、並びに要求される情報を収集するためのネットワークインターフェースを備える。この方法は、これより図3を参照して詳細に説明されるものとする。
【0078】
コンピュータ1は、システム10内の各ユーザ及びマシンの「正常な挙動」の動的な常に変化するモデルを構築し維持する。本アプローチは、ベイジアン数学に基づき、システム10内のすべてのインタラクション、イベント、及び通信-どのコンピュータがどのコンピュータと話すのか、作成されたファイル、アクセスされているネットワーク-を監視する。
【0079】
例えば、コンピュータ2は、企業のサンフランシスコ・オフィスを拠点とし、マーケティング・ネットワークに定期的にアクセスするマーケティング従業員によって運用される。コンピュータ2は、およそ午前8時半から午後6時までアクティブであり、通常、第2のコンピュータ・システム40内のこの企業のU.K.オフィス内のマシンと、午前9時半から正午まで通信する。この同じ従業員は、事実上一度も従業員タイムシートにアクセスすることはなく、企業のアトランタネットワークに接続することはめったになく、東南アジアには取引がない。脅威検出システムは、この従業員に関する利用可能なすべての情報を取り出して、その人物の「生活パターン」を確立し、この「生活パターン」はさらなる情報が集められると動的に更新される。「正常な」モデルは、変動するベンチマークとして使用され、システムが、この正常な生活パターンから外れるように思われるシステム上の挙動を見分け、この挙動を変則としてフラグを立て、さらなる調査を依頼することを可能にする。
【0080】
脅威検出システムは、今日の攻撃者がますます用心深くなっているという事実に対処するように構築される。攻撃者は、ユーザのマシンを遅くすることなどによってエンド・ユーザに疑いを生じさせることを回避することを確実にするために、正常なソフトウェアプロトコルを使用してシステム内に「隠れている」場合がある。したがって、いかなる攻撃プロセスも、マウス又はキーボードが使用される場合には停止する、又は「引き下がる」。しかしながら、依然としてより精巧な攻撃は、逆を試み、正常なプロセスに見せ掛けてメモリ内に隠れ、比較的単純な警備プロセスを打破しようとマシンがアクティブであるときにのみCPUサイクルを盗む。これらの精巧な攻撃者は、ユーザの入力と直接関連付けられない活動を探す。高度な持続的脅威(APT)攻撃は、典型的には、数週間、数か月、数年という非常に長いミッションウィンドウを有し、そのようなプロセッササイクルは、マシン性能に影響を与えないように、それほど頻繁には盗まれない場合がある。しかしながら、どれほど攻撃が隠されかつ精巧であるとしても、攻撃は、セキュリティ侵害中及びその前後で、典型的なマシン挙動における測定可能な差分を、たとえ極端にわずかであるとしても残すものである。この挙動の差分は、コンピュータ1にインストールされる脅威検出システムによって使用されるベイジアン数学分析の形態で、観察され作用され得る。
【0081】
図4は、脅威検出システムと他のネットワーク保護との統合をブロック図において例証する。ネットワークは、一般的には、防御の第一線としてファイアウォール402を有する。ファイアウォール402は、入ってくるネットワーク・データ・パケット上のパケット・ヘッダを分析して、ネットワーク・ポリシーを実行する。ファイアウォール402は、イベント全体についてパケット・ヘッダ及びペイロードを分析するために侵入防止システム(IPS)と統合され得る。内部では、アイデンティティ管理モジュール404が、ネットワークのユーザのアクセスを制御する。
【0082】
ネットワーク・セキュリティ・モジュール406は、ネットワーク・アドミニストレータによって決定されるようなネットワークのための実践及びポリシーを実行することができる。暗号化モジュール408は、ネットワーク内の通信を暗号化することができるだけでなく、ネットワーク・エンティティと外部エンティティとの間の通信を暗号化及び復号することもできる。ウイルス対策又はマルウェア対策モジュール410は、既知のウイルス及びマルウェアについてパケットを検索し得る。パッチ管理モジュール412は、ネットワーク内のセキュリティ・アプリケーションに最新パッチが適用されていることを確実にすることができる。集中ロギングモジュール414は、ネットワークの内部での通信及びネットワークとの対話的な通信の両方を追跡し得る。脅威検出システムは、ネットワークのためのリアルタイム脅威インテリジェンス416として作用することができる。リアルタイム脅威インテリジェンスは、ネットワークを保護するために他の防御コンポーネントと相互作用し得る。
【0083】
サイバー防御自己学習プラットフォームは、機械学習技術を使用する。高等な数学を使用する機械学習技術は、ルールなしに、以前に識別されなかった脅威を検出し、自動的にネットワークを防御することができる。今日の攻撃は、人間による応答が十分な速さで生じることができないほどの深刻度及び速度のものであり得るということに留意されたい。これらの自己学習の進展のおかげで、今では、マシンが、台頭する脅威を発見し、最も深刻なサイバー脅威に反撃するために適切なリアルタイムの応答を展開することが可能である。
【0084】
サイバー脅威防御プラットフォームは、サイバー脅威防御プラットフォームによって保護されているシステム内のすべての人物、デバイス、及びネットワーク活動について何が正常性を表すのかを理解する精巧な「生活パターン」を構築する。
【0085】
脅威検出システムは、真の変則を見分けるために自己学習し正常性を検出し得、あらゆるサイズの組織が、個別及び群レベルの両方で組織のネットワーク上のユーザ及びマシンの挙動を理解することを可能にする。既定義の記述的オブジェクト及び/又はシグネチャを使用するのではなく、挙動を監視することは、より多くの攻撃が前もって見分けられ、不正行為の極めて巧妙な標識が検出され得ることを意味する。従来のレガシー防御とは異なり、特定の攻撃タイプ又は新規マルウェアは、それが検出され得る前に、第一に目にされる必要がない。挙動防御アプローチは、今日のますます精巧なサイバー攻撃ベクトルを予測し把握するために、セキュリティ侵害の際及びその地点の後で、マシン、及び人間の活動の両方を挙動的に、数学的にモデル化する。本アプローチは、したがって、何が正常であるかをコンピュータ的に確立し、何が異常であるかをその後検出することが可能である。
【0086】
この知的システムは、価値判断をすること、及びより高い価値、より思慮に富んだタスクを実行し得る。機械学習は、複雑なアルゴリズムが考案されること、及び生成される結果を解釈するための全般的なフレームワークを必要とする。しかしながら、これらのアプローチは、正しく適用されるとき、マシンが、論理的な確率ベースの決定を行い、思慮に富んだタスクを請け負うことを促進することができる。
【0087】
高度な機械学習は、自動化されたサイバー脅威及び人間が引き起こすサイバー脅威に対する戦いの最前線にあり、ルール及びシグネチャベースのアプローチの限界を克服する。例えば、機械学習は、以前の攻撃の知識に依存せずに、ネットワーク内で何が正常であるかを学習する。機械学習は、すべてのデバイス及び人物がわずかに異なるという近代ビジネスの複雑性及び多様性の規模で発達する。機械学習は、いかなる非正常な活動も可視であるように、攻撃者のイノベーションを攻撃者に向ける。機械学習は、確率論的数学を使用して、挙動に関する仮定を絶えず再訪する。機械学習は、常に最新であり、人間による入力を頼りにしない。サイバーセキュリティ技術において機械学習を利用することは難しいが、正しく実施されれば、非常に強力である。機械学習は、以前は識別されなかった脅威が、それらの発現がいかなるルールセット又はシグネチャもトリガすることに失敗するときでさえ、検出され得ることを意味する。代わりに、機械学習は、システムが、大量のデータ・セットを分析し、それが目にするものについての「生活パターン」を学習することを可能にする。
【0088】
図5は、高度な機械学習を使用して変則的な挙動を検出するサイバー脅威防御プラットフォームの適用を例証する。挙動の正常なパターン510は、以前の挙動に基づいた98%の発生確率など、発生のしきい値レベル内のユーザ又はデバイス挙動のセットを説明し得る。変則的な活動520は、発生のしきい値レベルを上回るユーザ又はデバイス挙動のセットを説明し得る。サイバー脅威防御プラットフォームは、自律応答530を開始して、正常な挙動に影響を及ぼすことなく変則的な活動を妨害することができる。
【0089】
機械学習は、いくつかの人間の能力をマシンへ近似することができる。機械学習は、過去の情報及び洞察を使用して判断を形成することによって、思考を近似することができる。機械学習は、システムが情報を即時に処理するようにリアルタイムで作用することができる。機械学習は、新しい情報に基づいて、モデルの機械学習理解に絶えず挑戦し、これを適合させることにより、自己改善することができる。
【0090】
したがって、新規の教師なし機械学習は、コンピュータが、事前の警告又は監督なしに、台頭する脅威を認識することを可能にする。
【0091】
教師なし機械学習
教師なし学習は、予め規定されたラベルなしに問題を解明する。これにより、システムは、予想外のことに対処し、不確実性を受け入れることが可能になる。システムは、検索のターゲットの特徴を常に知っているわけではないが、データを独立して分類し、説得力のあるパターンを検出することができる。
教師なし学習は、予め規定されたラベルなしに問題を解明する。これにより、システムは、予想外のことに対処し、不確実性を受け入れることが可能になる。システムは、検索のターゲットの特徴を常に知っているわけではないが、データを独立して分類し、説得力のあるパターンを検出することができる。
【0092】
サイバー脅威防御プラットフォームの教師なし機械学習法は、予め規定されたラベルを用いてデータを訓練することを必要としない。代わりに、教師なし機械学習法は、人間による入力を必要とすることなく、データ内の主なパターン及び傾向を識別することができる。教師なし学習は、コンピュータが、プログラマがすでに知っていることを超えて、以前には知られていない関係を発見することを可能にするという利点を提供する。
【0093】
サイバー脅威防御プラットフォームは、教師なし機械学習アルゴリズムの固有の実装形態を使用して、ネットワーク・データを大規模に分析し、予想外のことに知的に対処し、不確実性を受け入れる。何を探すべきかを知ることができるように過去の脅威の知識に頼る代わりに、サイバー脅威防御プラットフォームは、データを独立して分類し、正常な挙動であると見なされ得ることを規定する説得力のあるパターンを検出し得る。「正常性」のこの観念から逸脱する任意の新規挙動は、脅威又はセキュリティ侵害を示し得る。サイバー脅威防御プラットフォームの、サイバーセキュリティに対する教師なし機械学習の影響は、変革的である。別の方法では未検出されずにいる脅威が、見分けられ、強調され、コンテクストに従って優先付けされ、これらのアルゴリズムを使用して孤立され得る。機械学習の適用は、全ネットワーク可視性及びはるかに大幅に向上した検出レベルを提供する可能性を有し、ネットワークが内部防御機構を有することを確実にする。機械学習は、最も深刻なサイバー脅威に対して自動応答をいつ実行すべきか学習する能力を有し、進行中の攻撃を、それらが組織にとっての危機になる前に粉砕する。
【0094】
この新規の数学は、データ内の重要な関係を識別するだけでなく、そのような推論と関連付けられた不確実性を数値化する。この不確実性を知り、理解することによって、ベイジアン確率分析に基づいて、多くの結果を一貫したフレームワーク内にまとめることが可能になる。機械学習の裏の数学は、非常に複雑でありきちんと理解することは難しい。ロバストな信頼できるアルゴリズムが、現実世界環境へのそれらの適用の成功を可能にするスケーラビリティを伴って、開発される。
【0095】
概要
一実施形態において、サイバーセキュリティへのサイバー脅威防御プラットフォームの確率的アプローチは、ベイジアン・フレームワークに基づく。これにより、サイバー脅威防御プラットフォームが、潜在的に変則のネットワーク挙動の大量の弱い標識を統合して、どれくらいの可能性でネットワーク・デバイスがセキュリティ侵害されるかの単一の明白な尺度を生み出すことを可能にする。この確率的数学アプローチは、ネットワークのノイズの中、たとえ検索のターゲットが何であるか分からないときでも、重要な情報を理解する能力を提供する。
一実施形態において、サイバーセキュリティへのサイバー脅威防御プラットフォームの確率的アプローチは、ベイジアン・フレームワークに基づく。これにより、サイバー脅威防御プラットフォームが、潜在的に変則のネットワーク挙動の大量の弱い標識を統合して、どれくらいの可能性でネットワーク・デバイスがセキュリティ侵害されるかの単一の明白な尺度を生み出すことを可能にする。この確率的数学アプローチは、ネットワークのノイズの中、たとえ検索のターゲットが何であるか分からないときでも、重要な情報を理解する能力を提供する。
【0096】
脅威のランク付け
重要なことに、サイバー脅威防御プラットフォームのアプローチは、データ内に存在する不可避の曖昧さを説明し、異なるデータが含み得るわずかに異なる証拠レベル同士を区別する。単純な2値出力「悪意のある」又は「無害」を生成する代わりに、サイバー脅威防御プラットフォームの数学アルゴリズムは、潜在的なセキュリティ侵害の異なる程度を示す出力をもたらす。この出力は、システムのユーザが、異なるアラートを厳密な様式でランク付けして、最も早急に行動を必要とするものを優先させ、同時にルールベースのアプローチと関連付けられた多数の擬陽性の問題を削除することを可能にする。
重要なことに、サイバー脅威防御プラットフォームのアプローチは、データ内に存在する不可避の曖昧さを説明し、異なるデータが含み得るわずかに異なる証拠レベル同士を区別する。単純な2値出力「悪意のある」又は「無害」を生成する代わりに、サイバー脅威防御プラットフォームの数学アルゴリズムは、潜在的なセキュリティ侵害の異なる程度を示す出力をもたらす。この出力は、システムのユーザが、異なるアラートを厳密な様式でランク付けして、最も早急に行動を必要とするものを優先させ、同時にルールベースのアプローチと関連付けられた多数の擬陽性の問題を削除することを可能にする。
【0097】
根本レベルでは、サイバー脅威防御プラットフォームは、デバイスによるネットワーク挙動の大量の異なる尺度の分析に基づいて、何が「正常な」挙動を構成するかを数学的に特徴付ける。そのようなネットワーク挙動は、サーバ・アクセス、データ・アクセス、イベントのタイミング、認証情報使用、ドメイン・ネーム・サーバ(DNS)リクエスト、及び他の同様のパラメータを含み得る。ネットワーク挙動の各尺度は、次いで、変則の挙動を検出するためにリアルタイムで監視される。
【0098】
クラスタリング
何がデバイスにとって正常と見なされるべきかを正しくモデル化することができるように、デバイスの挙動は、ネットワーク上の他の同様のデバイスのコンテクスト内で分析されなければならない。これを達成するために、サイバー脅威防御プラットフォームは、教師なし学習の強みを活用して、程よいサイズのネットワーク上でさえも手動では行うことが不可能であるタスクである、デバイスの自然発生するグルーピングをアルゴリズム的に識別する。
何がデバイスにとって正常と見なされるべきかを正しくモデル化することができるように、デバイスの挙動は、ネットワーク上の他の同様のデバイスのコンテクスト内で分析されなければならない。これを達成するために、サイバー脅威防御プラットフォームは、教師なし学習の強みを活用して、程よいサイズのネットワーク上でさえも手動では行うことが不可能であるタスクである、デバイスの自然発生するグルーピングをアルゴリズム的に識別する。
【0099】
ネットワーク内の関係の展望をできる限り全体論的に達成するために、サイバー脅威防御プラットフォームは、マトリクスベースのクラスタリング、密度ベースのクラスタリング、及び階層的クラスタリング技法を含むいくつかの異なるクラスタリング法を同時に採用する。結果として生じるクラスタは、次いで、模範的な挙動のモデリングを個々のデバイスに通知するために使用される。クラスタリングは、ネットワーク上の他の同様のデバイスのコンテクスト内で挙動を分析する。クラスタリング・アルゴリズムは、手動では行うことが不可能である、自然発生するデバイスのグルーピングを識別する。さらに、サイバー脅威防御プラットフォームは、モデルに通知するために複数の異なるクラスタリング法を同時に実行する。
【0100】
ネットワークトポロジ
また、いかなるサイバー脅威検出システムも、ネットワークがその個々の部分の合計よりもはるかに多く、その意味のほとんどがその異なるエンティティ間の関係に含まれているということを認識しなければならない。また、いかなるサイバー脅威防御プラットフォームも、複雑な脅威は、多くの場合、このネットワーク構造内のわずかな変化を誘発することができるということをさらに認識しなければならない。そのような脅威を把握するため、サイバー脅威防御プラットフォームは、ネットワークトポロジの複数の相をモデル化することができるように、いくつかの異なる数学法を採用する。
また、いかなるサイバー脅威検出システムも、ネットワークがその個々の部分の合計よりもはるかに多く、その意味のほとんどがその異なるエンティティ間の関係に含まれているということを認識しなければならない。また、いかなるサイバー脅威防御プラットフォームも、複雑な脅威は、多くの場合、このネットワーク構造内のわずかな変化を誘発することができるということをさらに認識しなければならない。そのような脅威を把握するため、サイバー脅威防御プラットフォームは、ネットワークトポロジの複数の相をモデル化することができるように、いくつかの異なる数学法を採用する。
【0101】
1つのアプローチは、ネットワーク内の重要な接続構造を明らかにする反復マトリクス法に基づく。これらと並行して、サイバー脅威防御プラットフォームは、ネットワークの「エネルギーランドスケープ」のモデル化により、中に隠されている変則の基礎構造を明らかにすることを可能にする、統計物理学の分野からのモデルの革新的な適用を開発した。
【0102】
ネットワーク構造
ネットワーク・デバイス、並びにネットワーク自体の挙動のモデル化におけるさらに重要な課題は、大量の潜在的な予測変数の存在を伴う問題の高次元構造である。ローカル・エリア・ネットワーク(LAN)、広域ネットワーク(WAN)、及びクラウド内のパケットトラフィック及びホスト活動を観察することは、入力及び出力の両方が、プロトコル、ソース及び宛先マシン、ログ変化、ルール・トリガ、及びその他など、多くの相互に関係した特徴を含み得ることから困難である。疎かつ一貫した構造の予測関数を学習することは、過剰適合を回避するには重要である。
ネットワーク・デバイス、並びにネットワーク自体の挙動のモデル化におけるさらに重要な課題は、大量の潜在的な予測変数の存在を伴う問題の高次元構造である。ローカル・エリア・ネットワーク(LAN)、広域ネットワーク(WAN)、及びクラウド内のパケットトラフィック及びホスト活動を観察することは、入力及び出力の両方が、プロトコル、ソース及び宛先マシン、ログ変化、ルール・トリガ、及びその他など、多くの相互に関係した特徴を含み得ることから困難である。疎かつ一貫した構造の予測関数を学習することは、過剰適合を回避するには重要である。
【0103】
このコンテクストにおいて、サイバー脅威防御プラットフォームは、Least Absolute Shrinkage and Selection Operator(LASSO)法などのL1-正則化技法を適用することに基づいてネットワーク挙動及び接続性のモデル内の疎構造を学習するために最先端の大規模計算アプローチを採用している。これにより、効率的に解決可能な凸最適化問題が割り当てられ、簡素なモデルをもたらし得る異なるネットワークコンポーネント及びイベント間の真の関連性の発見が可能になる。
【0104】
再帰的ベイジアン推定
ネットワーク挙動の異なる尺度のこれら複数の分析を組み合わせて、各デバイスの状態の単一の包括的描写を生成するために、サイバー脅威防御プラットフォームは、ベイズフィルタの実装により再帰的ベイジアン推定(RBE)の強みを生かす。
ネットワーク挙動の異なる尺度のこれら複数の分析を組み合わせて、各デバイスの状態の単一の包括的描写を生成するために、サイバー脅威防御プラットフォームは、ベイズフィルタの実装により再帰的ベイジアン推定(RBE)の強みを生かす。
【0105】
RBEを使用して、サイバー脅威防御プラットフォームの数学モデルは、新規情報がシステムに利用可能になると、コンピュータ的に効率的な様式で絶えず適合することができる。それらは、新規の証拠と照らし合わせて脅威レベルを継続して再計算して、従来のシグネチャベースの方法が失敗するところの、変化する攻撃挙動を識別する。
【0106】
サイバーセキュリティへのサイバー脅威防御プラットフォームの革新的なアプローチは、変化するデバイス挙動及びコンピュータネットワーク構造を追跡するためのベイジアン法の使用を開拓した。サイバー脅威防御プラットフォームの数学モデリングの中核は、その数学モデルが新規のネットワーク・データにリアルタイムで適用されることを可能にする精巧なソフトウェアプラットフォームによって可能にされる、模範的な挙動の決定である。その結果が、サイバー脅威又はセキュリティ侵害を示し得るコンピュータネットワーク挙動履歴内のマシンイベントにおけるわずかな変動を識別することができるシステムである。
【0107】
サイバー脅威防御プラットフォームは、数学分析及び機械学習を使用して潜在的な脅威を検出し、システムが台頭するリスクの先を行くことを可能にする。サイバー脅威防御プラットフォームアプローチは、検出がもはや以前の攻撃のアーカイブに依存しないことを意味する。代わりに、攻撃は、ネットワーク内で何が正常性を表すかの背景理解に対して見分けられ得る。プリ定義は必要とされず、それが、最も可能性のある洞察及び今日の脅威に対する防御を可能にする。検出能力に加えて、サイバー脅威防御プラットフォームは、最も脅迫的なサイバー侵害への即時の応答として、デジタル抗体を自動的に作成することができる。サイバー脅威防御プラットフォームアプローチは、サイバー脅威に対して検出及び防護の両方を行う。純粋な教師なし機械学習は、機能していないサイバーセキュリティへのシグネチャベースのアプローチに対する依存を取り除く。サイバー脅威防御プラットフォームの技術は、自らのネットワークの規模を理解し、活動のレベルを観察し、潜在的に弱いエリアを検出しようとするセキュリティ・チームにとって必須のツールになることができる。これらは、手動で捜し出されることをもはや必要としないが、むしろ、自動化されたシステムによってフラグが立てられ、それらの意義に関してランク付けされる。
【0108】
機械学習技術は、今日のハッカー及びインサイダ脅威からのシステムの防御における、及びサイバー攻撃の知られていない方法への応答を定式化することにおける、基礎的な味方である。それは、サイバーセキュリティにおける画期的な段階的変化である。防御は内部で開始しなければならない。
【0109】
例となる方法
脅威検出システムはこれより、コンピュータ及びコンピュータネットワークにおける挙動変化を検出するための教師なしベイジアン数学モデルの適用により正常な挙動における確率的変化を通じたサイバー脅威の自動検出のための脅威検出システムによって実行されるプロセスのフローを参照してさらに詳細に説明されるものとする。
脅威検出システムはこれより、コンピュータ及びコンピュータネットワークにおける挙動変化を検出するための教師なしベイジアン数学モデルの適用により正常な挙動における確率的変化を通じたサイバー脅威の自動検出のための脅威検出システムによって実行されるプロセスのフローを参照してさらに詳細に説明されるものとする。
【0110】
核となる脅威検出システムは、「ベイジアン確率的」と呼ばれる。ベイジアン確率は、複数の時系列データにおける周期性を自動的に決定し、変則挙動検出の目的のために単一又は複数の時系列データにわたる変化を識別するベイジアンシステムである。
【0111】
図6は、人間、マシン、又は他の活動をモデル化するための方法の一実施形態のフローチャートを例証する。サイバー脅威防御プラットフォームは、最初に、複数のソースからデータを取り込む(ブロック602)。生のデータ・ソースは、インターネット・プロトコル(IP)又は他のネットワーク・テスト・アクセス・ポイント(TAP)若しくはスイッチド・ポート・アナライザ(SPAN)ポートから取得される生のネットワークIPトラフィック;マシン生成されたログファイル;建物アクセス(「スワイプカード」)システム;産業用制御システム(ICS)分散型ネットワークを流れるIP若しくは非IPデータ;個々のマシン、周辺機器、若しくはコンポーネント電力使用量;電気通信信号強度;又は、中央処理装置(CPU)使用量、メモリ使用量、ディスク使用量、ディスク・フリー・スペース、ネットワーク使用量、及びその他など、オンホストのソースから得られるマシンレベル性能データを含むが、これらに限定されない。
【0112】
サイバー脅威防御プラットフォームは、生のデータから二次メトリックを得る(ブロック604)。これらの生のデータ・ソースから、所与のメトリックについて各々が時系列データを生み出す複数のメトリックが得られ得る。データは、個々のタイム・スライス内へ放り込まれる。例えば、観察される数は、1秒あたり、10秒あたり、又は60秒あたりに数えられ得る。これらのバケットは、選択される内部サイズの任意の倍数についてより長い範囲値を提供することが必要とされる後のステージにおいて組み合わせられ得る。例えば、選択される根本的なタイム・スライスが60秒の長さである場合、各メトリック時系列は、60秒ごとにそのメトリックについての単一の値を記憶し、次いで、60秒の固定倍数(120秒、180秒、600秒など)の任意の新規の時系列データが、正確性の損失なしに計算され得る。メトリックは、直接選択され、低次モデルによってベイジアン確率に供給され、この低次モデルは、データの何らかの固有の基本部分を反映し、かつ特定のドメイン知識を用いて生のデータから得られ得る。獲得されるメトリックは、システムが探している脅威に依存する。安全なシステムを提供するために、サイバー脅威防御プラットフォームは、一般的に、幅広い範囲の潜在的な脅威に関する複数のメトリックを獲得する。知られている不審なドメインに接触するネットワーク内のコンポーネントからの通信。
【0113】
使用される実際の特定のメトリックは、メトリックが選択される限り、ベイジアン確率的システムには大部分は不適切である。ネットワーク・トラフィックから得られるメトリックは、時間間隔あたりに、ネットワーク化されたデバイスに入る、若しくはそこを去るデータのバイト数、ファイル・アクセス、通信プロセスの共通性又は珍しさ、無効なSecure-Sockets Layer(SSL)証明、失敗した認証の試み、又はeメールアクセスパターンなどのデータを含み得る。
【0114】
送信制御プロトコル(TCP)、ユーザ・データグラム・プロトコル(UDP)、又は他のトランスポート層IPプロトコルがIPネットワークにわたって使用される場合、及び、インターネット制御メッセージ・プロトコル(ICMP)又はインターネット・グループ・メッセージ・プロトコル(IGMP)などの代替のインターネット層プロトコルが使用される場合には、使用中のプロトコルの構造の知識及び基本パケット・ヘッダ分析が、さらなるメトリックを生成するために利用され得る。そのようなさらなるメトリックは、ネットワーク化されたデバイスから生じ、かつ公的にアドレス指定可能なIP範囲に達することを目的とする、時間間隔あたりのマルチキャストの数、ネットワーク化されたデバイスから生じる内部リンク-ローカルIPブロードキャスト・リクエストの数、パケット・ペイロード・データのサイズ、或いはデバイスによって作られる個々のTCP接続の数、又は、デバイスによって、すべての宛先にわたる組み合わされた総計としてか、単一のターゲット・マシン若しくは特定のネットワーク範囲などの任意の定義可能なネットワーク範囲に対してか、のいずれかで転送されるデータを含み得る。
【0115】
アプリケーション層プロトコルが決定及び分析され得るIPトラフィックの場合には、例えば以下のような、時系列メトリックのさらなるタイプが規定され得る。これらの時系列メトリックは、例えば、ネットワーク化されたデバイスが、ここでも、任意の定義可能なネットワーク範囲に対して、若しくは総計のいずれかで、時間間隔あたりに生成するDNSリクエストの数;マシンが時間間隔あたりに生成する、簡易メール転送プロトコル(SMTP)、郵便局プロトコル(POP)、若しくはインターネット・メッセージ・アクセス・プロトコル(IMAP)ログイン若しくはログイン失敗の数;生成される軽量ディレクトリ・アクセス・プロトコル(LDAP)ログイン若しくはログイン失敗の数;サーバ・メッセージ・ブロック(SMB)、SMB2、ファイル転送プロトコル(FTP)、若しくはその他などのファイル共有プロトコルを介して転送されるデータ;或いは、Microsoft Windows Active Directoryへのログイン、Linux若しくはUnix様システムへのSecure Shell(SSH)若しくはローカル・ログイン、又はKerberosなどの他の認証システムを含み得る。
【0116】
これらのメトリックを獲得するために必要とされる生のデータは、ネットワーク内部開閉装置への受動型ファイバ又は銅接続を介して、仮想開閉実装形態、クラウドベースのシステム、又は通信デバイス自身から収集され得る。理想では、システムは、組織のフルカバレージを提供するために全通信パケットのコピーを受信する。
【0117】
他のソースの場合、いくつかのドメイン特有の時系列データが得られ、これらデータは各々が、そのデータの根本的なソースの全く異なる及び識別可能な相を反映するように選択され、それは経時的なそのシステムの使用又は挙動をある意味では反映する。
【0118】
これらの時系列データの多くは、極めて疎であり、大半のデータ点は0に等しい。例は、従業員が建物若しくは建物の部分にアクセスするためにスワイプカードを使用すること、又は、ユーザがMicrosoft Windows Active Directoryサーバによって認証された自分のワークステーションにログインすることであり、これは、典型的には1日あたり少ない回数が実施される。常時onのウェブ・サーバ内外へ移動するデータのサイズ、ウェブ・サーバCPU利用、又は複写機の電力使用量など、他の時系列データ・セットは、一層稠密される。
【0119】
データのタイプにかかわらず、そのような時系列データ・セットは、周期性を呈するように、明確な人間の挙動の結果として元来生成されるにしろ、自動化コンピュータ若しくは他のシステムの結果として元来生成されるにしろ、ほぼ定期的な間隔で繰り返されるデータ内の様々なパターンの傾向を有する。さらには、そのようなデータは、時系列内で明白である、多くの全く異なるが独立した定期的な時間期間を有し得る。
【0120】
検出器は、二次メトリックの分析を実行する(ブロック606)。検出器は、ターゲットネットワークを有する異なる変数セットに対して特定の数学法を実施する離散数学モデルである。例えば、隠れマルコフ・モデル(HMM)は、ノード間のパケットのサイズ及び送信時間を特に見る場合がある。検出器は、大まかに配置されたモデルのピラミッドである階層内に提供される。各検出器モデルは、フィルタとして効率的に作用し、その出力をピラミッドのより高い場所にある別のモデルへ渡す。ピラミッドのトップにあるのは、最終的な脅威決定モデルであるベイジアン確率である。低次の検出器は各々が、根本的なネットワーク及び/若しくはコンピュータの異なるグローバル属性又は「特徴」を監視する。これらの属性は、パケット速度及び形態、エンドポイントファイルシステム値、並びにTCP/IPプロトコルタイミング及びイベントなどのすべての内部の計算的な特徴についての経時的な値であり得る。各検出器は、HMMなどの内部数学モデルを所有する検出器に基づいて異なる環境因子を記録し、それについて決定を行うように特殊化される。
【0121】
脅威検出システムは、可能性のあるいかなる脅威も探すように構成され得る一方、実践では、本システムは、脅威検出システムが使用されているネットワークに応じて、1又は2以上の特定の脅威を見続ける場合がある。例えば、脅威検出システムは、所望のコンプライアンス及びヒューマンリソースポリシーなどのネットワークの知られている特徴が、確率決定出力から生じる異常の確率のセット又は変動するしきい値と協力するときにトリガすることができる明示的に規定されたヒューリスティック又は検出器内に包含されるやり方を提供する。ヒューリスティックは、データ測定/トークン化する検出器及びローカルの文脈情報の出力から実行時に得られる原子オブジェクトを有する正規表現を呈する複雑な一連の重み付けされた論理表現を使用して構築される。これらの一連の論理表現は、次いで、オンラインライブラリ内に記憶され、尺度/トークン化する検出器からの出力に対してリアルタイムにパースされる。例となるポリシーは、「HR懲戒状況の対象となる任意の従業員(文脈情報)が以前の挙動と比較したときに変則である様式で(ベイジアン確率出力)機密情報(ヒューリスティック定義)にアクセスしている場合にアラートをする」という形態をとり得る。言い換えると、検出器のピラミッドの異なるアレイが、特定のタイプの脅威を検出するために提供される。
【0122】
二次メトリック上で検出器によって実施される分析は、次いで、正常な挙動のモデルと一緒に使用するのに好適な形態でデータを出力する。分かるように、データは、正常な挙動のモデルと比較すること、及び正常な挙動のモデルを更新することに好適な形態にある。
【0123】
脅威検出システムは、観察された挙動の生活パターン分析にマッピングされる自動化された適応周期性検出を使用して、脅威が存在する可能性を示す脅威リスク・パラメータを計算する(ブロック608)。これは、脅威が経時的に、模範的な集合的な又は個々の挙動からの逸脱をそれ自体が示した属性の収集されたセットから存在することを推定する。自動化された適応周期性検出は、ベイジアン確率が、観察されたネットワーク又はマシン内で最も適切であるように計算された時間の期間を使用する。さらには、生活パターン分析は、どのように人間又はマシンが経時的に行動するか、例えば、それらが典型的にはいつ作業を開始及び終了するかを識別する。これらのモデルは継続して自動的に適合するため、本質的に、既知のシステムよりも打破することが難しい。脅威リスク・パラメータは、特定の構成において脅威が存在する確率である。代替的に、脅威リスク・パラメータは、脅威が存在することを表す値であり、これは、脅威の可能性を示す1又は2以上のしきい値と比較される。
【0124】
実践では、脅威を計算するステップは、ユーザに関連して収集される現在のデータを、分析されているユーザ及びシステムの正常な挙動のモデルと比較することを伴う。収集される現在のデータは、時間における期間に関し、これは、新規データのある特定の流入、又は数秒から数日までの特定の時間期間に関連し得る。いくつかの構成において、システムは、システムの予期される挙動を予測するように構成される。予測される挙動は、次いで、脅威が存在するかどうかを決定するために実際の挙動と比較される。
【0125】
システムは、機械学習又は人工知能を使用して、企業のネットワークの内側で何が正常であるか、及び、何かが正常ではないときを理解する。システムは次いで、自動応答を呼び出して、人間のチームが巻き返すことができるまでサイバー攻撃を粉砕する。これは、接続を中断すること、悪意のあるeメールの送信を妨げること、ファイル・アクセスを妨げること、組織の外側の通信を妨げることなどを含み得る。このアプローチは、例えばラップトップの正常な挙動に影響を与えることなく攻撃を中断するためにできる限り外科的かつ管理されたやり方で始まる。攻撃がエスカレートすると、サイバー脅威防御プラットフォームは、最終的には、組織に対するより幅広い危害を防ぐためにデバイスを隔離し得る。
【0126】
システムの精度を向上させるために、チェックは、ユーザの現在の挙動を、関連ユーザ、例えば、単一のオフィス内のユーザと比較するために実行される。例えば、ユーザからの予想外に低レベルの活動が存在する場合、これは、ユーザからの非正常な活動には起因しない場合があるが、むしろオフィス全体に影響を与える因子であり得る。異常な挙動が実際に脅威を示すかどうかを評価するために、様々な他の因子が検討され得る。
【0127】
最後に、サイバー脅威防御プラットフォームは、脅威に関してさらなる行動が取られる必要があるかどうかについて、脅威リスク・パラメータに基づいて決定する(ブロック610)。脅威が存在する確率が提示された後に、人間のオペレータが、この決定を行い得る。代替的に、アルゴリズムが、例えば、決定された確率をしきい値と比較することによって、決定を行い得る。
【0128】
1つの構成において、ベイジアン確率の固有のグローバル入力を前提とすると、脅威可視化の形態が提供され、それは、ユーザが、すべての内部トラフィックにわたって脅威ランドスケープを見ることができ、そのようなことを、それらの内部ネットワークがどのように構造化又は稠密されるかを知る必要なしに、及び「ユニバーサルな」表示がネットワークの大きさに関係なく単一の区画内に提示されるような方法で、行うことができるものである。精密な調査下のネットワークのトポロジは、インタラクティブな3Dユーザ・インターフェースを介して、デバイス通信関係に基づいてグラフとして自動的に投影される。投影は、事前のシーディング又はスケルトン定義なしに任意のノードスケールに直線的にスケールすることができる。
【0129】
したがって、上述された脅威検出システムは、確率状態変数にわたる分布を維持するために再帰的ベイジアン推定の妥当性形態を実装する。この分布は、低レベルのホスト、ネットワーク、及びトラフィック観察又は「特徴」の複雑なセットから構築される。これらの特徴は、反復的に記録され、プラットフォーム上でリアルタイムに処理される。エンタープライズネットワーク、生体細胞若しくはソーシャルコミュニティ、又は確実にインターネット全体などの、一般には動的システム内のエンティティ間の関連性情報の妥当な表示は、経時的にトポロジ配線換えをしている及び意味的に発展している確率的ネットワークである。入力及び出力の両方が、数万から数百万の、相互に関係のある特徴(データトランスポート、ホスト-ウェブ-クライアントダイアログ、ログ変化、及びルール・トリガなど)を含むことができる分散されたデジタルエンタープライズ内のパケットトラフィック及びホスト活動の観察など、多くの高次構造化された入力/出力問題において、疎かつ一貫した構造の予測関数を学習することは、正規分布の欠如という課題を抱える。これを克服するために、脅威検出システムは、作業日、シフトパターン、及び他のルーチンなどの反復性の時間サイクルが動的に割り当てられる、ステップワイズ法というよりもむしろ回転する連続体を決定するデータ構造を備える。このようにして、説明変数、観察、及び特徴セット間の因果関係を推論及び試験するための非頻度論的アーキテクチャを提供する。これが、効率的に解決可能な凸最適化問題を可能にし、倹約モデルをもたらす。そのような構成において、脅威検出処理は、新規データの入力によってトリガされ得る。代替的に、脅威検出処理は、予測データがないことによりトリガされ得る。いくつかの構成において、処理は、特定の行動の指針となり得るイベントの存在によりトリガされ得る。
【0130】
本方法及びシステムは、コンピュータ可読媒体上に実行可能な形態で記憶されるソフトウェアの任意の部分を有する1又は2以上の処理コンポーネントによって実施されるように構成される。コンピュータ可読媒体は、非一時的であり得、無線又は他の搬送波を含まない。コンピュータ可読媒体は、例えば、半導体又は固体メモリ、磁気テープ、リムーバブルコンピュータフロッピーディスク、ランダムアクセスメモリ(RAM)、リードオンリメモリ(ROM)、剛性磁気ディスク、及び、CD-ROM、CD-R/W、又はDVDなどの光学ディスクなどの物理的なコンピュータ可読媒体であり得る。
【0131】
上述された様々な方法は、コンピュータプログラム製品によって実施され得る。コンピュータプログラム製品は、上述された様々な方法のうちの1又は2以上の機能を実施するようにコンピュータに命令するように構成されたコンピュータコードを含み得る。そのような方法を実施するためのコンピュータプログラム及び/又はコードは、コンピュータ可読媒体、又はコンピュータプログラム製品上の、コンピュータなどの装置に提供される。コンピュータプログラム製品の場合、一時的なコンピュータ可読媒体は、無線又は他の搬送波を含み得る。
【0132】
コンピュータなどの装置は、本明細書内で論じられる様々な方法に従って1又は2以上のプロセスを実施するためのそのようなコードに従って構成され得る。
【0133】
図7は、ネットワーク・イベント・データから変則的なイベントを識別するための方法の一実施形態のフローチャートを例証する。サイバー脅威防御プラットフォームは、1又は2以上のクライアント・デバイスに配備される1又は2以上のプローブからプローブ・データを収集するように構成されるプローブ・モジュールを使用することができる(ブロック702)。ネットワーク・エンティティは、ユーザ及びネットワーク・デバイスのうちの少なくとも一方を表す。プローブ・データは、ネットワーク・エンティティによるネットワーク管理された活動SaaS活動を説明することができる。
【0134】
サイバー脅威防御プラットフォームは、eメール・サービスからeメール・データを収集するように構成されるeメール・モジュールを使用することができる(ブロック704)。サイバー脅威防御プラットフォームは、プローブ・モジュールからのプローブ・データを用いてeメール・モジュールからのeメール・データをコンテクスト化して、分析のための組み合わされたデータ・セットを作成するためにコーディネータ・モジュールを使用する(ブロック706)。サイバー脅威防御プラットフォームは、少なくとも1つの機械学習モデルを使用して組み合わされたデータ・セットを分析して、正常な無害な挙動から逸脱するネットワーク上の挙動を見分けるように構成されるサイバー脅威モジュールを使用する(ブロック708)。少なくとも1つの機械学習モデルは、ネットワーク・エンティティの正常な無害な挙動について訓練する。少なくとも1つの機械学習モデルは、正常な挙動ベンチマークを、ネットワークの活動の正常なパターンに対応する少なくとも1つのパラメータのベンチマークとして使用して、逸脱した挙動を見分ける。
【0135】
サイバー脅威防御プラットフォームは、第三者イベント・データを含む組み合わされたデータ・セットを少なくとも1つの機械学習モデルと比較して、そのネットワーク・エンティティの正常な無害な挙動から逸脱するネットワーク上の挙動を見分ける比較モジュールを有する(ブロック710)。比較モジュールは、ネットワーク・エンティティが正常な挙動ベンチマークの違反状態にあるかどうかを識別することができる(ブロック712)。サイバー脅威モジュールは、違反状態及びそのネットワーク・エンティティの正常な無害な挙動から逸脱する一連の関連挙動パラメータがサイバー脅威に対応するかどうかを識別することができる(ブロック714)。
【0136】
サイバー脅威防御プラットフォームは、グラフィック・ユーザ・インターフェース内にサイバー脅威の図形表現を提示するように構成されるユーザ・インターフェース・モジュールを使用することができる(ブロック716)。サイバー脅威防御プラットフォームは、サイバー脅威に応答して取るべき自律応答を選択するように構成される自律応答モジュールを使用することができる(ブロック718)。自律応答は、例えば、ネットワーク・エンティティの許可を低減すること、又はネットワーク・エンティティのユーザ・アカウントを無効にすることであり得る。自律応答モジュールは、内部システム・アドミニストレータ又は第三者オペレータに、サイバー脅威に対する提案された応答と共にサイバー脅威のアラートを送信することができる(ブロック720)。自律応答モジュールは、サイバー脅威に応答して自律応答を実行することができる(ブロック722)。
【0137】
図8は、第三者イベント・データを例証する。ネットワーク・イベント・データは、様々な管理イベントを表す。管理イベントは、オンライン・アプリケーション又はサービスのユーザ・アカウントにログインしているユーザを説明するログイン・イベント802であり得る。管理イベントは、オンライン・アプリケーション又はサービスのユーザ・アカウントにログインするためのユーザの失敗を説明する失敗ログイン・イベント804であり得る。管理イベントは、オンライン・アプリケーションの仮想インスタンスの作成を説明するリソース作成イベント806であり得る。管理イベントは、オンライン・アプリケーションの仮想インスタンスの閲覧を説明するリソース閲覧イベント808であり得る。管理イベントは、オンライン・アプリケーションの仮想インスタンスの修正を説明するリソース修正イベント810であり得る。管理イベントは、オンライン・アプリケーションの仮想インスタンスの削除を説明するリソース削除イベント812であり得る。管理イベントは、オンライン・アプリケーションへのファイルのアップロードを説明するファイル・アップロード・イベント814であり得る。管理イベントは、オンライン・アプリケーションからのファイルのダウンロードを説明するファイル・ダウンロード・イベント816であり得る。管理イベントは、オンライン・アプリケーションに対する管理レベルにおける行動を説明する管理行動イベント818であり得る。
【0138】
サイバー脅威防御プラットフォームは、様々な方法を使用して管理イベントを取得することができる。ネットワーク・モジュールは、イベントごとにクライアント・デバイスから管理イベントを引き出すことができる。図9は、クライアント・デバイスからデータを引き出すための方法の一実施形態のフローチャートを例証する。ネットワーク・モジュールは、ハイパーテキスト転送プロトコル・セキュア(FITTPS)イベント・リクエストをクライアント・ネットワークに送信するように1又は2以上のコネクタに指示するように構成される(ブロック902)。HTTPSイベント・リクエストは、クライアント・ネットワークの監査ログからの管理イベントを要求する。1又は2以上のコネクタは、HTTPSイベント・リクエストを生成する(ブロック904)。1又は2以上のコネクタは、管理イベントを要求するためにHTTPSイベント・リクエストをクライアント・ネットワークに送信する(ブロック906)。ネットワーク・モジュールは、イベント・リクエストに応答して1又は2以上のコネクタから管理イベントを受信するように構成される(ブロック908)。ネットワーク・モジュールは、管理イベントのメタデータを得るように構成される(ブロック910)。
【0139】
自律応答モジュールは、サイバー脅威モジュールによって生成される脅威リスク・パラメータを使用して、応答を自律的に決定することができる。図10は、自律応答を識別するための方法の一実施形態のフローチャートを例証する。サイバー脅威防御プラットフォームは、サイバー脅威の側面を説明する値のセットを列挙する脅威リスク・パラメータを生成するように構成されるサイバー脅威モジュールを有し得る(ブロック1002)。サイバー脅威防御プラットフォームは、ベンチマーク・スコアのセットを有するベンチマーク・マトリクスを生成するように構成される自律応答モジュールを有し得る(ブロック1004)。自律応答モジュールは、サイバー脅威と関連付けられたタグ付きユーザを識別することができる(ブロック1006)。自律応答モジュールは、サイバー脅威と関連付けられたタグ付きユーザを識別する際に自律応答のためのしきい値を下げることができる(ブロック1008)。自律応答モジュールは、脅威リスク・パラメータをベンチマーク・マトリクスと比較して、自律応答を決定することができる(ブロック1010)。自律応答モジュールは、比較に基づいて自律応答を決定することができる(ブロック1012)。
【0140】
サイバー脅威防御プラットフォームは、変則的なイベントの相対的な危険性を説明するために脅威リスク・パラメータを生成することができる。図11は、脅威リスク・パラメータのブロック図を例証する。脅威リスク・パラメータは、財政、管理、情報技術、生産、又はその他など、識別される脅威のタイプを説明する脅威タイプ1102を有し得る。脅威リスク・パラメータは、テンプレート・エンティティが違反状態にある確率を説明する、違反の可能性を示す信頼度スコア1104を有し得る。脅威リスク・パラメータは、少なくとも1つのモデルによって表されるような、違反状態にあるテンプレート・エンティティが正常な挙動から逸脱しているパーセンテージを示す深刻度スコア1106を有し得る。脅威リスク・パラメータは、違反状態に起因する損害の深刻度を示す結果スコアを有し得る。
【0141】
図12は、脅威リスク・パラメータを生成するための方法の一実施形態のフローチャートを例証する。サイバー脅威モジュールは、違反状態の側面を説明する値のセットを列挙する脅威リスク・パラメータを生成することができる(ブロック1202)。サイバー脅威モジュールは、様々なクラスタリング技術を使用することによってサイバー脅威の脅威タイプを識別して、脅威を他の識別されたサイバー脅威と共にグループ化することができる(ブロック1204)。サイバー脅威モジュールは、信頼度スコアを生成することができる(ブロック1206)。サイバー脅威モジュールは、深刻度スコアを生成することができる(ブロック1208)。サイバー脅威モジュールは、結果スコアを生成することができる(ブロック1210)。サイバー脅威モジュールは、脅威リスク・パラメータに、信頼度スコア、深刻度スコア、及び結果スコアのうちの少なくとも1つを投入することができる(ブロック1212)。
【0142】
図13は、ベンチマーク・マトリクスのブロック図を例証する。自律応答モジュールは、サイバー脅威モジュールと併せて、ベンチマーク・マトリクスに、ネットワーク及びネットワークに対する脅威の両方の変化する性質に適合することができる変動するベンチマークを投入することができる。ベンチマーク・マトリクスは、これを上回るとテンプレート・エンティティが違反状態にあるという確率を説明する、違反の可能性を示す信頼度ベンチマーク1302を有し得る。ベンチマーク・マトリクスは、これを上回るとテンプレート・エンティティが違反状態にあるというパーセンテージを示す深刻度ベンチマーク1304を有し得る。ベンチマーク・マトリクスは、これを上回ると即時行動が取られるべきであるという違反状態に起因する損傷の深刻度を示す結果ベンチマーク1306を有し得る。自律応答モジュールは、より多くのデータが追加され、より大きいユーザ入力が受信されると、これらのベンチマークを調節することができる。
【0143】
自律応答モジュールは、各ベンチマーク・スコアに相対的重要性を割り当てて、イノキュレーション通知を送信するための決定を考慮に入れるために、各ベンチマーク・スコアに重みを割り当てることができる。ベンチマークと同様に、これらの重みは、経時的に進化し得る。例えば、ベンチマーク・マトリクスは、信頼度ベンチマークの重要性を示す信頼度重み1308、深刻度ベンチマークの重要性を示す深刻度重み1310、及び結果ベンチマークの重要性を示す結果重み1312を有し得る。これらの割り当てられた重みを使用して、ベンチマークからの異なる逸脱は、送信するべき最終決定及びイノキュレーション通知に対してより良好な結果を有し得る。
【0144】
図14は、分析された入力データをベンチマークと比較して、イノキュレーション通知をトリガするための方法の一実施形態のフローチャートを例証する。自律応答モジュールは、ベンチマーク・スコアのセットを有するベンチマーク・マトリクスを生成して、自律応答を決定することができる(ブロック1402)。自律応答モジュールは、違反識別プロセス中に収集されるデータに基づいて、ベンチマーク・スコアをベンチマーク・マトリクスに投入することができる(ブロック1404)。自律応答モジュールは、各ベンチマーク・スコアに相対的重要性を割り当てるために各ベンチマーク・スコアに重みを割り当てることができる(ブロック1406)。
【0145】
関心分類器
サイバー脅威検出プラットフォームは、各可能性のある接続のサブセットを分析することによってパケットインスペクションを実施するように構成される。接続を監視する1つのアプローチは、クライアント・デバイスへのすべての接続トラフィックを処理及び検査することである。このアプローチは、すべての接続が「関心あり」ではない、又は全体的にパースされることができないため、コンピュータ的に賢明ではない場合がある。代替的なアプローチは、接続特有のディープ・パケット・インスペクション及び処理を実施することである。このアプローチでは、ホスト・ベースのエージェント、仮想化センサ、集中型の物理機器、又は集中型のクラウド機器内などの、トラフィック・マネージャ・モジュールは、それらにどれくらい関心があるか、どれくらいの情報をサイバー脅威検出プラットフォームがプロトコルからパースすることができるか、及びセキュリティ・チームが接続を見ることを望むかどうかに基づいて、接続を異なって処理することができる。このアプローチは、計算を節約するために関心なしの接続を分岐又はフィルタリングし、関心ありの接続についてパケット・キャプチャ(PCAP)を自動的に復号又は生成し、それほど大きい値を提示しない接続のメタデータだけをパースする。トラフィック・マネージャ・モジュールは、接続を「分流する」ことができる。言い換えると、ネットワーク・カードは、接続の実際の内容を処理することを停止し、パケット数又はバイトなどのメタデータのみを供給して、計算時間を大いに減少させることができる。
サイバー脅威検出プラットフォームは、各可能性のある接続のサブセットを分析することによってパケットインスペクションを実施するように構成される。接続を監視する1つのアプローチは、クライアント・デバイスへのすべての接続トラフィックを処理及び検査することである。このアプローチは、すべての接続が「関心あり」ではない、又は全体的にパースされることができないため、コンピュータ的に賢明ではない場合がある。代替的なアプローチは、接続特有のディープ・パケット・インスペクション及び処理を実施することである。このアプローチでは、ホスト・ベースのエージェント、仮想化センサ、集中型の物理機器、又は集中型のクラウド機器内などの、トラフィック・マネージャ・モジュールは、それらにどれくらい関心があるか、どれくらいの情報をサイバー脅威検出プラットフォームがプロトコルからパースすることができるか、及びセキュリティ・チームが接続を見ることを望むかどうかに基づいて、接続を異なって処理することができる。このアプローチは、計算を節約するために関心なしの接続を分岐又はフィルタリングし、関心ありの接続についてパケット・キャプチャ(PCAP)を自動的に復号又は生成し、それほど大きい値を提示しない接続のメタデータだけをパースする。トラフィック・マネージャ・モジュールは、接続を「分流する」ことができる。言い換えると、ネットワーク・カードは、接続の実際の内容を処理することを停止し、パケット数又はバイトなどのメタデータのみを供給して、計算時間を大いに減少させることができる。
【0146】
接続特有のアプローチは、ネットワーク・カードを協働することができ、このネットワーク・カードは、トラフィックを処理するだけでなく、ボリューム、接続タイプ、又はプロトコルなどのネットワーク・カードを通過する流れに気付く。接続特有のアプローチは、いくつかの暗号化プロトコルを伴うものなど、メタデータが有用であることだけに基づいて、又は接続が関心なしと思われる大きい接続であることに基づいて、接続を分流することができる。接続特有のディープ・パケット・インスペクション及び処理アプローチはまた、接続が関心ありになる場合、「分流解除」することができる。例えば、サイバー脅威防御プラットフォームは、データ接続が関心ありと思われているため、再びデータの処理を開始するようにネットワーク・カードに命令することができる。サイバー脅威防御プラットフォームは、接続がデバイスの過去の挙動又はデバイス・ピア・グループ挙動のコンテクスト内で変則的であること、いくつかのデバイスにわたる同様の特徴を有する複数の接続が全体的な変則を増大させていること、又は後の行動が最初に関心なしの接続の「関心性」状態を変えていることに基づいて、関心ありの接続を識別することができる。自律行動モジュールは、次いで、なりすましリセット(RST)パケットへの接続に関するデータを取得することによって、接続を終了するか、若しくは接続が首尾よくブロックされていることをチェックするか、又はその情報を第三者ファイアウォールに供給することができる。関心ありの接続はまた、セキュリティ・システム、復号方法、又はチームが、パケット・キャプチャ内のパケットレベルでデータを復号することを望み得るほど十分に変則的になるものであり得る。コンピュータ的に高価かつ遅い復号は、最上位の調査値を有する接続のために確保される。ディープ・パケット・インスペクション・エンジンは、次いで、パケット・レベル・データを収集することができるため、セキュリティ・チームはそれを行うことができる。
【0147】
図15は、物理トラフィック・マネージャ・モジュールのブロック図を例証する。集中型の物理機器は、ネットワーク・カードを使用するトラフィック・マネージャ・モジュールを有し得る。ネットワーク・カードは、ネットワークからの接続を登録して、一連の1又は2以上のデータ・パケットを送信することができる。ネットワーク・カードは、1又は2以上のデータ・パケットを分析して、潜在的なサイバー脅威を識別することができる。ネットワーク・カードによる分析の後、ネットワーク・カードは、復号及び処理のため、データ・パケットをプロセッサに渡すことができる。プロセッサは、データをオフロード・モジュールに渡すことによって、任意のデータをネットワークに送信することができる。オフロード・モジュールは、データをパケット化し、新しいデータ・パケットをネットワークに送信することができる。
【0148】
ネットワーク・カードは、クライアント・ネットワーク内の1又は2以上のデバイス間の接続を登録して、一連の1又は2以上のデータ・パケットを送信するために、登録モジュールを有し得る。ネットワーク・カードは、接続の特徴と関心基準のセットとの比較を実行して、接続におけるサイバー脅威防御プラットフォームの関心度を決定するように構成される分類器モジュールを有し得る。分類器モジュールは、クライアント・ネットワークのためのホスト・パラメータのセットに基づいて関心基準のセットを調節することができる。ホスト・パラメータのセットは、記憶容量、処理能力、及びネットワーク帯域幅のうちの少なくとも1つであり得る。分類器モジュールは、比較に基づいて、接続に対する関心度を説明する関心分類器を適用するように構成され得る。ネットワーク・カードは、関心分類器が関心ありを示す場合、サイバー脅威について、接続の1又は2以上のデータ・パケットを試験するためにディープ・パケット・インスペクション(DPI)モジュールを有し得る。ネットワーク・カードは、関心分類器が関心なしを示す場合、接続の1又は2以上のデータ・パケットをディープ・パケット・インスペクション・エンジンから離れる方へ分流するように構成されるダイバータを有し得る。
【0149】
図16は、仮想トラフィック・マネージャ・モジュールのブロック図を例証する。ホスト・ベースのエージェント、ハイパーバイザ、又は集中型のクラウド機器は、仮想ネットマップ・モジュールを使用するトラフィック・マネージャ・モジュールを有し得る。ネットマップ・モジュールは、ネットワークからの接続を登録して、一連の1又は2以上のデータ・パケットを送信することができる。ネットマップ・モジュールは、1又は2以上のデータ・パケットを分析して、潜在的なサイバー脅威を識別することができる。ネットマップ・モジュールによる分析の後、ネットマップ・モジュールは、復号及び処理のため、データ・パケットをプロセッサに渡すことができる。プロセッサは、データをオフロード・モジュールに渡すことによって、任意のデータをネットワークに送信することができる。オフロード・モジュールは、データをパケット化し、新しいデータ・パケットをネットワークに送信することができる。
【0150】
仮想ネットマップ・モジュールは、クライアント・ネットワーク内の1又は2以上のデバイス間の接続を登録して、一連の1又は2以上のデータ・パケットを送信するために、登録モジュールを有し得る。仮想ネットマップ・モジュールは、接続の特徴と関心基準のセットとの比較を実行して、接続におけるサイバー脅威防御プラットフォームの関心度を決定するように構成される分類器モジュールを有し得る。分類器モジュールは、クライアント・ネットワークのためのホスト・パラメータのセットに基づいて関心基準のセットを調節することができる。ホスト・パラメータのセットは、記憶容量、処理能力、及びネットワーク帯域幅のうちの少なくとも1つであり得る。分類器は、比較に基づいて、接続に対する関心度を説明する関心分類器を適用するように構成され得る。仮想ネットマップ・モジュールは、関心分類器が関心ありを示す場合、サイバー脅威について、接続の1又は2以上のデータ・パケットを試験するためにディープ・パケット・インスペクション(DPI)モジュールを有し得る。仮想ネットマップ・モジュールは、関心分類器が関心なしを示す場合、接続の1又は2以上のデータ・パケットをディープ・パケット・インスペクション・エンジンから離れる方へ分流するように構成されるダイバータを有し得る。
【0151】
図17は、関心基準を確立するための方法の一実施形態のフローチャートを例証する。トラフィック・マネージャ・モジュールは、サイバー脅威防御プラットフォームの分析器モジュールから関心基準のセットを受信することができる(ブロック1702)。トラフィック・マネージャ・モジュールの分類器モジュールは、クライアント・デバイスのためのホスト・パラメータのセットを決定することができる(ブロック1704)。分類器モジュールは、ホスト・パラメータのセットに基づいて関心基準のセットを調節することができる(ブロック1706)。分類器モジュールは、将来の使用のため、関心基準のセットを記憶することができる(ブロック1708)。
【0152】
図18は、ディープ・パケット・インスペクション・エンジンとのデータ接続を処理するための方法の一実施形態のフローチャートを例証する。トラフィック・マネージャ・モジュールの登録モジュールは、クライアント・ネットワーク内の1又は2以上のデバイス間の接続を登録して、一連の1又は2以上のデータ・パケットを転送することができる(ブロック1802)。トラフィック・マネージャ・モジュールの分類器モジュールは、接続の特徴と関心基準のセットとの比較を実行して、接続におけるサイバー脅威防御プラットフォームの関心度を決定することができる(ブロック1804)。分類器モジュールは、接続が、短期接続、クライアント・デバイスのためのパラメータセット内で復号することができること、又は正常な接続パターン外、のうちの少なくとも1つであることに基づいて、接続が関心ありであることを決定することができる(ブロック1806)。分類器モジュールは、比較に基づいて、関心ありとして関心度を説明する関心分類器を接続に適用することができる(ブロック1808)。トラフィック・マネージャ・モジュールのダイバータは、関心分類器が関心ありを示す場合、サイバー脅威のためのさらなる試験のために、接続の1又は2以上のデータ・パケットをディープ・パケット・インスペクション・エンジンに渡すことができる(ブロック1810)。ディープ・パケット・インスペクション・エンジンは、パススルー接続の1又は2以上のデータ・パケットについてのパケット・メタデータのセットを収集することができる(ブロック1812)。トラフィック・マネージャ・モジュールのオフロード・モジュールは、集中型のサイバー脅威防御プラットフォームの外側で処理が実施されるとき、パケット・メタデータのセットを集中型のサイバー脅威防御プラットフォームの分析器モジュールに送信することができる(ブロック1814)。
【0153】
図19は、ディープ・パケット・インスペクション・エンジンを超えてデータ接続を分流するための方法の一実施形態のフローチャートを例証する。トラフィック・マネージャ・モジュールの登録モジュールは、クライアント・ネットワーク内の1又は2以上のデバイス間の接続を登録して、一連の1又は2以上のデータ・パケットを転送することができる(ブロック1902)。トラフィック・マネージャ・モジュールの分類器モジュールは、接続の特徴と関心基準のセットとの比較を実行して、接続におけるサイバー脅威防御プラットフォームの関心度を決定することができる(ブロック1904)。分類器モジュールは、接続が、長期接続であること、クライアント・デバイスのためのパラメータセット内で復号することができないこと、及び正常な接続パターン内にあること、のうちの少なくとも1つであることに基づいて、接続が関心なしであることを決定することができる(ブロック1906)。分類器モジュールは、比較に基づいて、関心なしとして関心度を説明する関心分類器を接続に適用することができる(ブロック1908)。トラフィック・マネージャ・モジュールのダイバータは、関心分類器が関心なしを示す場合、接続の1又は2以上のデータ・パケットをディープ・パケット・インスペクション・エンジンから離れる方へ分流することができる(ブロック1910)。クライアント・デバイスの処理モジュールは、分流された接続の1又は2以上のデータ・パケットについてのパケット・メタデータのセットを収集することができる(ブロック1912)。トラフィック・マネージャ・モジュールのオフロード・モジュールは、集中型のサイバー脅威防御プラットフォームの外側で処理が実施されるとき、パケット・メタデータのセットを集中型のサイバー脅威防御プラットフォームの分析器モジュールに送信することができる(ブロック1914)。分類器モジュールは、分流された接続についての接続長さ及びペイロード・サイズのうちの少なくとも1つを監視することができる(ブロック1916)。
【0154】
図20は、データ・パケット落ちを伴うデータ接続を処理するための方法の一実施形態のフローチャートを例証する。トラフィック・マネージャ・モジュールは、ディープ・パケット・インスペクション・エンジン内のパススルー接続を受信することができる(ブロック2002)。ディープ・パケット・インスペクション・エンジンは、パススルー接続内のパケット落ちを識別することができる(ブロック2004)。分類器モジュールは、パケット落ちに基づいて、異なる関心度を説明するアップデートされた関心分類器を適用することができる(ブロック2006)。ダイバータは、パケット落ちを伴うパススルー接続をディープ・パケット・インスペクション・エンジンから離れる方へ分流することができる(ブロック2008)。
【0155】
図21は、変則的なイベント中にデータ接続に対処するための方法の一実施形態のフローチャートを例証する。サイバー脅威防御プラットフォームのサイバー脅威モジュールは、クライアント・デバイスにおいて変則的なイベントを検出することができる(ブロック2102)。トラフィック・マネージャ・モジュールのダイバータは、クライアント・デバイスにおける変則的なイベントの検出時に、分流された接続をディープ・パケット・インスペクション・エンジンに再接続することができる(ブロック2104)。自律行動モジュールは、なりすましリセット(RST)パケットへの接続に関するデータを取得して、その接続を終了するか、その接続が首尾よくブロックされていることをチェックすることができる(ブロック2104)。自律行動モジュールは、クライアント・デバイスにおける変則的なイベントの分析器モジュールによる検出時に接続を切断することができる(ブロック2108)。トラフィック・マネージャ・モジュールの分類器モジュールは、変則的なイベントに基づいて関心基準のセットを調節することができる(ブロック2110)。
【0156】
ホスト・ベースの復号
サイバー脅威検出プラットフォームは、暗号化通信プロトコルを使用してこのネットワーク内のサイバー脅威からネットワークを保護するために、復号を使用した通信プロトコルをデータ・マイニングするように構成される。ドメイン・ネーム・システム(DNS)トラフィック及び他のプロトコルの暗号化は、平文プロトコルのセキュリティ・リスクが顕著となるにつれて需要が増加している。ホスト・ベースのトラフィック復号は、3つの方式でディープ・パケット・インスペクション(DPI)エンジンにおける復号にアプローチする。1つ目に、ホスト・ベースのエージェントは、第三者プロキシ又はエージェンシから秘密鍵を受信することができる。2つ目に、ホスト・ベースのエージェントは、セキュア・シェル・コンソール又は他のインターフェースを介して公開/秘密鍵ペアをホスト・ベースのエージェントと関連付けられた集中型の機器へアップロードすることができる。3つ目に、ホスト・ベースのエージェントは、クライアント・デバイスから鍵を取得することができる。第三者プロキシ又はエージェンシは、ユニバーサル・トランスレータを使用して第三者システムに命令し、それらからデータを取得する、デバイス-ホスト・ベースのサイバー脅威検出及び応答プラットフォームと連携する。ホスト・ベースの鍵取得は、プロセス・メモリ取得又はパーソナル・ファイアウォール・プロキシという、2つの可能なアプローチで構成される。
サイバー脅威検出プラットフォームは、暗号化通信プロトコルを使用してこのネットワーク内のサイバー脅威からネットワークを保護するために、復号を使用した通信プロトコルをデータ・マイニングするように構成される。ドメイン・ネーム・システム(DNS)トラフィック及び他のプロトコルの暗号化は、平文プロトコルのセキュリティ・リスクが顕著となるにつれて需要が増加している。ホスト・ベースのトラフィック復号は、3つの方式でディープ・パケット・インスペクション(DPI)エンジンにおける復号にアプローチする。1つ目に、ホスト・ベースのエージェントは、第三者プロキシ又はエージェンシから秘密鍵を受信することができる。2つ目に、ホスト・ベースのエージェントは、セキュア・シェル・コンソール又は他のインターフェースを介して公開/秘密鍵ペアをホスト・ベースのエージェントと関連付けられた集中型の機器へアップロードすることができる。3つ目に、ホスト・ベースのエージェントは、クライアント・デバイスから鍵を取得することができる。第三者プロキシ又はエージェンシは、ユニバーサル・トランスレータを使用して第三者システムに命令し、それらからデータを取得する、デバイス-ホスト・ベースのサイバー脅威検出及び応答プラットフォームと連携する。ホスト・ベースの鍵取得は、プロセス・メモリ取得又はパーソナル・ファイアウォール・プロキシという、2つの可能なアプローチで構成される。
【0157】
プロセス・メモリ取得アプローチにおいて、ホスト・ベースのエージェントのモジュールは、いつ新しい接続がポート443上で開かれるかを観察し、プロセスの別のモジュールに接続が開かれたことを通知する。このプロセス・メモリ取得アプローチは、このポートに限られず、むしろ安全な転送は、HTTPSトラフィックのための標準ポートである、ポート443を使用して行われる。他のモジュールは、接続を開いたプロセスのためのメモリを位置特定し、暗号化鍵であり得るパターンのためのメモリをスキャンする。他のモジュールは、次いで、この鍵を安全なシステムを介してサイバー脅威検出プラットフォームに渡し、この安全なシステムが、鍵及びプロセス情報を、DPIエンジンなどの正しい機器及び正しいモジュールに送付し、そこで秘密鍵は、観察されたトラフィックとマッチされて、復号され得る。パーソナル・ファイアウォール・プロキシモードは、ホスト・ベースのエージェントがパーソナル・ファイアウォールとして作用する場合であり、トラフィックは、デバイスごとに制御される。ホスト・ベースのエージェントは、トラフィックに対する「中間者」として作用して、復号形式でトラフィックを見るか、又は鍵がデバイスから出る前に鍵を取得する。パーソナル・ファイアウォール・プロキシモードは、プロセス分析を実施しており、かつ中間者プロキシとして作用しているエンドポイント・エージェントを使用することができる。
【0158】
図22は、クライアント・デバイス上でデータ接続のためのホスト・ベースの復号を使用するための方法の一実施形態のフローチャートを例証する。サイバー脅威防御プラットフォームの分析器モジュールは、クライアント・デバイスがホスト・ベースのトラフィック復号を許可すると決定することができる(ブロック2202)。分析器モジュールは、この決定を行う際に、エンドポイントの珍しさ、タイミングの珍しさ、ドメインの珍しさ、又は環境を検討し得る。分析器モジュールは、ホスト・ベースのトラフィック復号についてクライアント・デバイスにフラグを立てることができる(ブロック2204)。ディープ・パケット・インスペクション・エンジンは、ホスト・ベースのエージェントにおいて復号を実行することができる(ブロック2206)。ディープ・パケット・インスペクション・エンジンは、第三者エージェントから秘密鍵を受信することができる。代替的に、ホスト・ベースのエージェント上のディープ・パケット・インスペクション・エンジンは、暗号化されたトラフィックを公開/秘密鍵ペアが供給された集中型のサイバーセキュリティ防御プラットフォームに転送することができ、そのサイバーセキュリティ防御プラットフォームに位置するディープ・パケット・インスペクション・エンジンが代わりに復号及び処理を実施することを可能にする。さもなければ、ディープ・パケット・インスペクション・エンジンは、クライアント・ネットワークから秘密鍵を取得することができる。
【0159】
関心ありのパケット・データのための外部ストレージ
サイバーセキュリティ防御プラットフォームは、インターネット上のデータベース又はクラウド内のプライベート・データベースなどのストレージ・デバイスと協働して、より長い及びより徹底した分析のために関心ありのパケット・データを記憶することができ、その結果として、ストレージの量が懸念事項として最小化される。サイバーセキュリティ防御プラットフォームは、単にサイバーセキュリティ・プラットフォーム自体だけのストレージと比較して、ストレージ内に大量のパケットを保存することができる。さらに、ストレージがストレージ・サイズにおいて制限されないことから、ストレージは、より長い持続時間にわたってパケットを記憶することができる。追加的に、ストレージは、外部ストレージが理由で、データに対してより計算的な人工知能を実行することができる。サイバーセキュリティ防御プラットフォームは、詳細な調査を実施することを望むオペレータによる取得のため、ディープ・パケット・インスペクション(DPI)エンジンによって処理されたパケット・データを期間限定ストレージに書き込むことができる。監視されたネットワークを横断する莫大な量のデータ及びディープ・パケット・インスペクションを受けることに起因して、限られた量のデータのみが記憶される傾向がある。したがって、パケット・データは、関心度に基づいて保持される。データは、関心度に基づいて段階的な期限のために構成され得、関心のあるデータは、長期ストレージに記憶され、より低いレベルの「関心性」を有する接続は、より早く期限切れになる。関心度は、プロトコルの変則性、接続の因子(ソース、宛先、タイミングなど)の変則性、又は任意の数の追加メトリックから得られ得る。ユーザは、ユーザ・インターフェースを通じて外部ストレージに送信されるべきxタイプのメトリックを有するパケットを識別することができる。分類器モジュールは、関心ありのデータ・パケットのデフォルト識別のための分類器を使用して、ユーザの入力を増加させることができる。
サイバーセキュリティ防御プラットフォームは、インターネット上のデータベース又はクラウド内のプライベート・データベースなどのストレージ・デバイスと協働して、より長い及びより徹底した分析のために関心ありのパケット・データを記憶することができ、その結果として、ストレージの量が懸念事項として最小化される。サイバーセキュリティ防御プラットフォームは、単にサイバーセキュリティ・プラットフォーム自体だけのストレージと比較して、ストレージ内に大量のパケットを保存することができる。さらに、ストレージがストレージ・サイズにおいて制限されないことから、ストレージは、より長い持続時間にわたってパケットを記憶することができる。追加的に、ストレージは、外部ストレージが理由で、データに対してより計算的な人工知能を実行することができる。サイバーセキュリティ防御プラットフォームは、詳細な調査を実施することを望むオペレータによる取得のため、ディープ・パケット・インスペクション(DPI)エンジンによって処理されたパケット・データを期間限定ストレージに書き込むことができる。監視されたネットワークを横断する莫大な量のデータ及びディープ・パケット・インスペクションを受けることに起因して、限られた量のデータのみが記憶される傾向がある。したがって、パケット・データは、関心度に基づいて保持される。データは、関心度に基づいて段階的な期限のために構成され得、関心のあるデータは、長期ストレージに記憶され、より低いレベルの「関心性」を有する接続は、より早く期限切れになる。関心度は、プロトコルの変則性、接続の因子(ソース、宛先、タイミングなど)の変則性、又は任意の数の追加メトリックから得られ得る。ユーザは、ユーザ・インターフェースを通じて外部ストレージに送信されるべきxタイプのメトリックを有するパケットを識別することができる。分類器モジュールは、関心ありのデータ・パケットのデフォルト識別のための分類器を使用して、ユーザの入力を増加させることができる。
【0160】
個々のバイトレベルデータの人工知能式の検査の性能は、パケット・データが集中型のサイバーセキュリティ・プラットフォーム内、又は仮想化プローブ上に保持されるとき、あまりにもコンピュータ的に高価かつ遅すぎて、プラットフォーム又はプローブ上に存在するプロセスによる性能を必要とする。安全な拡張ストレージ内に外部に記憶されるとき、外部インフラストラクチャが、プローブ又はサイバーセキュリティ・プラットフォームと計算処理電力を共有することなく、パケット・データに対して人工知能分析を実施するために利用され得る。外部インフラストラクチャは、Amazon AWS機械学習など、ローカルに位置する仮想マシン又は機械学習マイクロ・サービスであり得る。分析は、Transformer又は他の深層学習モデルを変則的に使用するためのバイトレベルの文字列の検査を含み得る。
【0161】
記憶容量の安全な拡張、及びサイバーセキュリティ機器内で維持されるいくつかのデータタイプは、大半の場合、サイバーセキュリティ防御プラットフォームと直接的に協働及び通信することができる。サイバーセキュリティ防御プラットフォームは、エンド・ユーザとインターフェースを取るためにディスプレイ上にユーザ・インターフェースを有する。サイバーセキュリティ防御プラットフォームは、物理的又は仮想化にかかわらず、別個の外部ストレージに安全に接続し、またこれと通信する。例えば、外部ストレージ、同じ仮想プライベート・クラウド(VPC)内又はサイバーセキュリティ防御プラットフォームを供給する組織により管理される仮想プライベート・クラウド内のクラウドベースのシンプル・ストレージ・システム(S3)バケット。ディープ・パケット・インスペクションを実施する仮想化プローブは、アプリケーション・プログラミング・インターフェース呼び出し、複数の因子検証を伴うトンネル、接続されたプローブを介した接続、又は追加の通信方法を介して、接続されたサイバーセキュリティ防御プラットフォームによりアクセスされるべきプローブ・ストレージの外側のこれに、関心ありの接続を直接書き込む。この仮想化は、データの破壊なしにトラフィック量が増加又は減少するとプローブが自動スケーリングすることを可能にし得る。
【0162】
本アプローチの追加の利益は、より大きくかつより長期のストレージである。追加のストレージ・クラスタ又はブロブが、需要に対処するために作成され得る。標準サイバーセキュリティ防御プラットフォーム配備のための選択肢は、追加のサービスとして管理VPC内の外部パケット・ストレージを利用することができる。パケット・データはまた、カスタマー・ネットワーク内のインテリジェンス・ツールなどの互換性のあるサービスからアプリケーション・プログラミング・インターフェースを介してクエリされ得るか、又は検索可能であり得る。最終的に、このようなデータのより小さいサブセットは、計算費用に起因して、より大きいデータ・セットに対しては実行不可能である潜在的な機械学習アプローチを可能にする。
【0163】
図23は、クライアント・デバイスへのデータ接続からのパケット・キャプチャのオフサイト・ストレージのための方法の一実施形態のフローチャートを例証する。ディープ・パケット・インスペクション・エンジンは、接続のための1又は2以上のデータ・パケットのパケット・キャプチャを収集することができる(ブロック2302)。ディープ・パケット・インスペクション・エンジンは、クラウド・シンプル・ストレージ・システム内に、パケット・キャプチャがいつ上書きされ得るかを示すパケット・キャプチャのための有効期限を設定することができる(ブロック2304)。ディープ・パケット・インスペクション・エンジンは、パケット・キャプチャをストレージのためにクラウド・シンプル・ストレージ・システムに送信することができる(ブロック2306)。
【0164】
ウェブサイト
ウェブサイトは、サイバー脅威防御プラットフォームを構成し、分析し、それと通信するためのブラウザベースのツール又は直接連携アプリツールとして構成される。
ウェブサイトは、サイバー脅威防御プラットフォームを構成し、分析し、それと通信するためのブラウザベースのツール又は直接連携アプリツールとして構成される。
【0165】
ネットワーク
いくつかの電子システム及びデバイスは、ネットワーク環境内で互いと通信することができる。ネットワークは、少なくとも1つのファイアウォール、少なくとも1つのネットワーク・スイッチ、ネットワークのユーザによって動作可能な複数のコンピューティング・デバイス、サイバー脅威コーディネータ・コンポーネント、及びホスト・ベースのエージェントを含み得る。図24は、ネットワーク化環境を概略図で例証する。ネットワーク環境は、通信ネットワークを有する。ネットワークは、光ネットワーク、セルラネットワーク、インターネット、ローカル・エリア・ネットワーク(「LAN」)、ワイドエリアネットワーク(「WAN」)、衛星ネットワーク、第三者「クラウド」環境、ファイバネットワーク、ケーブルネットワーク、及びそれらの組み合わせから選択される1又は2以上のネットワークを含み得る。いくつかの実施形態において、通信ネットワークは、インターネットである。通信ネットワークを介して互いと接続された多くのサーバコンピューティングシステム及び多くのクライアントコンピューティングシステムが存在し得る。
いくつかの電子システム及びデバイスは、ネットワーク環境内で互いと通信することができる。ネットワークは、少なくとも1つのファイアウォール、少なくとも1つのネットワーク・スイッチ、ネットワークのユーザによって動作可能な複数のコンピューティング・デバイス、サイバー脅威コーディネータ・コンポーネント、及びホスト・ベースのエージェントを含み得る。図24は、ネットワーク化環境を概略図で例証する。ネットワーク環境は、通信ネットワークを有する。ネットワークは、光ネットワーク、セルラネットワーク、インターネット、ローカル・エリア・ネットワーク(「LAN」)、ワイドエリアネットワーク(「WAN」)、衛星ネットワーク、第三者「クラウド」環境、ファイバネットワーク、ケーブルネットワーク、及びそれらの組み合わせから選択される1又は2以上のネットワークを含み得る。いくつかの実施形態において、通信ネットワークは、インターネットである。通信ネットワークを介して互いと接続された多くのサーバコンピューティングシステム及び多くのクライアントコンピューティングシステムが存在し得る。
【0166】
通信ネットワークは、少なくとも第1のサーバコンピューティングシステム及び第2のサーバコンピューティングシステムから選択される1又は2以上のサーバコンピューティングシステムを、互いと、並びに少なくとも1又は2以上のクライアントコンピューティングシステムとも接続することができる。サーバコンピューティングシステムは各々、任意選択的に、データベースなどの系統的なデータ構造を含み得る。1又は2以上のサーバコンピューティングシステムの各々は、1又は2以上の仮想サーバコンピューティングシステムを有し得、複数の仮想サーバコンピューティングシステムが、設計により実装され得る。1又は2以上のサーバコンピューティングシステムの各々は、データ完全性を保護するために1又は2以上のファイアウォール及び同様の防御を有し得る。
【0167】
少なくとも1又は2以上のクライアントコンピューティングシステム、例えば、モバイルコンピューティングデバイス(例えば、アンドロイドベースのオペレーティングシステムを有するスマートフォン)はサーバと通信することができる。クライアントコンピューティングシステムは、例えば、第1の電気式個人用輸送車両及び/又は第2の電気式個人用輸送車両と通信を交換することができる場合のあるソフトウェアアプリケーション又はハードウェアベースのシステムを含み得る。1又は2以上のクライアントコンピューティングシステムの各々は、データ完全性を保護するために1又は2以上のファイアウォール及び同様の防御を有し得る。
【0168】
クラウドプロバイダプラットフォームは、サーバコンピューティングシステムのうちの1又は2以上を含み得る。クラウドプロバイダは、クラウド(例えば、インターネットなどのネットワーク)内でアプリケーションソフトウェアをインストールし動作させることができ、クラウドユーザは、クライアントコンピューティングシステムのうちの1又は2以上からアプリケーションソフトウェアにアクセスすることができる。一般に、クラウド内にクラウドベースのサイトを有するクラウドユーザは、アプリケーションソフトウェアが実行する場所であるクラウドインフラストラクチャ又はプラットフォームを単独で管理することができない。したがって、サーバコンピューティングシステム及びその系統的なデータ構造は、共有リソースであり得、各クラウドユーザが共有リソースの特定の量の専用使用が与えられる。各クラウドユーザのクラウドベースのサイトは、クラウド内の仮想量の専用空間及び帯域幅を与えられ得る。クラウドアプリケーションは、実行時に複数の仮想マシン上にタスクを模倣して変化する作業要求を満たすことによって達成され得るスケーラビリティにおいて他のアプリケーションとは異なり得る。負荷分散装置は、仮想マシンのセットに作業を分散させる。このプロセスは、単一のアクセスポイントのみを見るクラウドユーザに対して透過的である。
【0169】
クラウドベースのリモートアクセスは、ハイパーテキスト転送プロトコル(「HTTP」)などのプロトコルを利用して、クライアントコンピューティングシステム内のウェブブラウザアプリケーションなど、クライアントコンピューティングシステム上のアプリケーションによる要求及び応答サイクルに従事するようにコードされ得る。クラウドベースのリモートアクセスは、スマートフォン、デスクトップコンピュータ、タブレット、又は任意の他のクライアントコンピューティングシステムによって、いつでも及び/又はどこでもアクセスされ得る。クラウドベースのリモートアクセスは、1)すべてのウェブブラウザベースのアプリケーションからの要求及び応答サイクル、3)専用オンラインサーバからの要求及び応答サイクル、4)クライアント・デバイス内のネイティブアプリケーションと、別のクライアントコンピューティングシステムへのクラウドベースのリモートアクセスとの直接的な間の要求及び応答サイクル、並びに5)それらの組み合わせに従事するようにコードされる。
【0170】
実施形態において、サーバコンピューティングシステムは、サーバエンジン、ウェブページ管理コンポーネント、コンテンツ管理コンポーネント、及びデータベース管理コンポーネントを含み得る。サーバエンジンは、基本の処理及びオペレーティングシステムレベルタスクを実施することができる。ウェブページ管理コンポーネントは、デジタルコンテンツ及びデジタル広告を受信及び提供することと関連付けられた、ウェブページ又は画面の作成及び表示又はルーティングを扱うことができる。ユーザ(例えば、クラウドユーザ)は、それらと関連付けられたユニフォームリソースロケータ(「URL」)によって、サーバコンピューティングシステムのうちの1又は2以上にアクセスすることができる。コンテンツ管理コンポーネントは、本明細書に説明される実施形態内の機能の大部分を扱うことができる。データベース管理コンポーネントは、データベース、データベースへのクエリ、及びデータの記憶に関する記憶及び取得タスクを含み得る。
【0171】
いくつかの実施形態において、サーバコンピューティングシステムは、ウィンドウ、ウェブページ等に情報を表示するように構成され得る。例えば、サーバコンピューティングシステム上で実行されるときに実行可能な任意のプログラムモジュール、アプリケーション、サービス、プロセス、及び他の同様のソフトウェアを含むアプリケーションは、サーバコンピューティングシステムに、ディスプレイ画面スペースの一部分内にウィンドウ及びユーザ・インターフェース画面を表示するようにさせることができる。ウェブページに関して、例えば、クライアントコンピューティングシステム上のブラウザを介したユーザは、ウェブページと相互作用し、次いで、ユーザ・インターフェース画面に提示されるクエリ/フィールド及び/又はサービスへの入力を供給することができる。ウェブページは、ウェブ・サーバ、例えば、サーバコンピューティングシステムによって、ハイパーテキストマークアップ言語(「HTML」)又はワイヤレスアクセスプロトコル(「WAP」)対応のクライアントコンピューティングシステム(例えば、クライアントコンピューティングシステム802B)又はそれらの任意の等価物上でサーブされ得る。クライアントコンピューティングシステムは、サーバコンピューティングシステムと相互作用するためにブラウザ及び/又は特定のアプリケーションをホストすることができる。各アプリケーションは、ソフトウェアコンポーネントが所望の情報の詳細を取り出すために提示フィールドなどを実行するようにコードされる機能を実施するように記述されるコードを有する。例えばサーバコンピューティングシステム内のアルゴリズム、ルーチン、及びエンジンは、提示フィールドから情報を取り出し、その情報をデータベースなどの適切な記憶媒体(例えば、データベース)に入れることができる。比較ウィザードは、データベースを参照し、そのようなデータを使用するように記述され得る。アプリケーションは、例えば、サーバコンピューティングシステム上でホストされ、例えば、クライアントコンピューティングシステムの特定のアプリケーション又はブラウザにサーブされ得る。次いで、アプリケーションは、詳細事項のエントリを可能にするウィンドウ又はページをサーブする。
【0172】
コンピューティング・システム
コンピューティング・システムは、全体的又は部分的に、いくつかの実施形態に従って、サーバ又はクライアントコンピューティングデバイスのうちの1又は2以上の部分であり得る。コンピューティング・システムのコンポーネントは、限定されるものではないが、1又は2以上の処理コアを有する処理ユニット、システムメモリ、及びシステムメモリを含む様々なシステムコンポーネントを処理ユニットに結合するシステムバスを含み得る。システムバスは、メモリバス又はメモリコントローラ、周辺機器用バス、及び様々なバスアーキテクチャのいずれかを使用するローカルバスから選択されるいくつかのタイプのバス構造のいずれかであり得る。
コンピューティング・システムは、全体的又は部分的に、いくつかの実施形態に従って、サーバ又はクライアントコンピューティングデバイスのうちの1又は2以上の部分であり得る。コンピューティング・システムのコンポーネントは、限定されるものではないが、1又は2以上の処理コアを有する処理ユニット、システムメモリ、及びシステムメモリを含む様々なシステムコンポーネントを処理ユニットに結合するシステムバスを含み得る。システムバスは、メモリバス又はメモリコントローラ、周辺機器用バス、及び様々なバスアーキテクチャのいずれかを使用するローカルバスから選択されるいくつかのタイプのバス構造のいずれかであり得る。
【0173】
コンピューティング・システムは、典型的には、様々なコンピューティングマシン可読媒体を含む。コンピューティングマシン可読媒体は、コンピューティング・システムによってアクセスされ得、かつ揮発性及び不揮発性両方の媒体、並びにリムーバブル及び非リムーバブル媒体を含む任意の利用可能な媒体であり得る。限定ではなく例として、コンピューティングマシン可読媒体使用は、コンピュータ可読命令、データ構造、他の実行可能なソフトウェア又は他のデータなどの情報の記憶を含む。コンピュータ-記憶媒体は、所望の情報を記憶するために使用され得、かつコンピューティング・デバイス900によってアクセスされ得る、RAM、ROM、EEPROM、フラッシュメモリ若しくは他のメモリ技術、CD-ROM、デジタルバーサタイルディスク(DVD)若しくは他の光ディスクストレージ、磁気カセット、磁気テープ、磁気ディスクストレージ若しくは他の磁気ディスクストレージデバイス、又は任意の他の有形媒体を含むが、これらに限定されない。ワイヤレスチャネルなどの一時的な媒体は、マシン可読媒体には含まれない。通信媒体は、典型的には、コンピュータ可読命令、データ構造、他の実行可能なソフトウェア、又は他の輸送機構を具現化し、任意の情報伝達媒体を含む。
【0174】
システムメモリは、リードオンリメモリ(ROM)及びランダムアクセスメモリ(RAM)などの揮発性及び/又は不揮発性メモリの形態にあるコンピュータ記憶媒体を含む。起動中などコンピューティング・システム内の要素間の情報を転送するのに役立つ基本ルーチンを含む基本入出力システム(BIOS)は、典型的には、ROMに記憶される。RAMは、典型的には、直ちにアクセス可能である、及び/又は、処理ユニットによって現在動作されているデータ及び/又はソフトウェアを含む。限定ではなく例として、RAMは、オペレーティングシステム、アプリケーションプログラム、他の実行可能なソフトウェア、及びプログラムデータの一部分を含み得る。
【0175】
ドライブ及び上述したそれらの関連コンピュータ記憶媒体は、コンピュータ可読命令、データ構造、他の実行可能なソフトウェア、コンピューティング・システムの他のデータのストレージを提供する。
【0176】
ユーザは、キーボード、タッチスクリーン、又はソフトウェア若しくはハードウェア入力ボタン、マイク、ポインティングデバイス、及び/又は、マウス、トラックボール、若しくはタッチパッドなどのスクローリング入力コンポーネントなどの入力デバイスを介してコンピューティング・システムにコマンド及び情報を入力し得る。マイクは、音声認識ソフトウェアと連携することができる。これら及び他の入力デバイスは、多くの場合、システムバスに結合されるユーザ入力インターフェースを通じて処理ユニットに接続されるが、パラレルバス、ゲームポート、又はユニバーサルシステムバス(USB)などの他のインターフェース及びバス構造によって接続されてもよい。ディスプレイモニタ又は他のタイプのディスプレイ画面デバイスもまた、ディスプレイインターフェースなどのインターフェースを介してシステムバスに接続される。モニタに加えて、コンピューティング・デバイスはまた、出力周辺機器インターフェースを通じて接続され得る、スピーカ、バイブレータ、照明、及び他の出力デバイスなどの他の周辺機器出力デバイスを含み得る。
【0177】
コンピューティング・システムは、リモートコンピューティングシステムなどの1又は2以上のリモートコンピュータ/クライアント・デバイスへの論理接続を使用してネットワーク化環境において動作することができる。論理接続は、パーソナルエリアネットワーク(「PAN」)(例えば、Bluetooth(登録商標))、ローカル・エリア・ネットワーク(「LAN」)(例えば、Wi-Fi)、及びワイドエリアネットワーク(「WAN」)(例えば、セルラネットワーク)を含み得るが、他のネットワークもまた含み得る。そのようなネットワーキング環境は、オフィス、エンタープライズ全体のコンピュータネットワーク、イントラネット、及びインターネットにありふれている。クラウドプラットフォームとやりとりをするブラウザアプリケーション又はダイレクトアプリは、コンピューティング・デバイス内にあり得、メモリに記憶され得る。
【0178】
本設計は、単一のコンピューティング・システム上で、及び/又は、本設計の異なる部分が分散コンピューティング・システムの異なる部分で実行される分散システム上で実行され得るということに留意されたい。
【0179】
本明細書に説明されるアプリケーションは、ソフトウェアアプリケーション、モバイルアプリ、及びオペレーティングシステムアプリケーションの部分であるプログラムを含むが、これらに限定されない。本説明のいくつかの部分は、コンピュータメモリ内のデータビットに対する動作のアルゴリズム及び象徴的表現に関して提示される。これらのアルゴリズム的な説明及び表現は、データ処理分野の当業者によって、自らの作業の内容を他の当業者に最も効果的に伝えるために使用される手段である。アルゴリズムは、ここでは、及び一般的には、所望の結果につながるステップの自己一致シーケンスであると考えられる。ステップは、物理量の物理的操作を必要とするものである。通常、しかしながら必須ではなく、これらの量は、記憶される、転送される、組み合わされる、及び別の方法で操作されることが可能である電気又は磁気信号の形態をとる。時々、主に慣用の理由のため、これらの信号を、ビット、値、要素、記号、文字、用語、数字等と呼ぶのが便利であることが証明されている。これらのアルゴリズムは、Python、C、C+、又は他の同様の言語など、いくつかの異なるソフトウェアプログラミング言語で書かれ得る。また、アルゴリズムは、ソフトウェア内のコード行、ソフトウェア内の構成済み論理ゲート、又はその両方の組み合わせと共に実施され得る。実施形態において、論理は、ブール論理のルールに従う電気回路、命令のパターンを含むソフトウェア、又はその両方の任意の組み合わせからなる。
【0180】
しかしながら、これらの用語及び同様の用語のすべては、適切な物理量と関連付けられることになり、これらの量に適用される便利なラベルにすぎないということについて留意すべきである。上の記載から明白であるように別途明確に示されない限り、説明全体を通して、「処理」又は「コンピューティング」又は「計算」又は「決定」又は「表示」などの用語を利用した記載は、コンピュータ・システムのレジスタ及びメモリ内の物理(電子)量として表されるデータを、コンピュータシステムメモリ若しくはレジスタ、又は他のそのような情報ストレージ、送信又は表示デバイス内の物理量として同様に表される他のデータへと操作及び変換するコンピュータ・システム、又は同様の電子コンピューティング・デバイスの行動及びプロセスを指すということを理解されたい。
【0181】
電子ハードウェアコンポーネントによって実施される多くの機能は、ソフトウェアエミュレーションによって複製され得る。したがって、それらの同じ機能を達成するために書き込まれるソフトウェアプログラムは、入力-出力回路内のハードウェアコンポーネントの機能性をエミュレートすることができる。
【0182】
先述の設計及びその実施形態は、かなり詳細に提供されているが、本明細書に提供される設計及び実施形態が制限されることは出願者の意図ではない。追加の適合及び/又は集成が可能であり、また、幅広い態様において、これらの適合及び/又は集成も包含される。したがって、以下の特許請求の範囲によって生じた範囲から逸脱することなく、先述の設計及び実施形態が準備され得、この範囲は、適切に解釈されるときには特許請求の範囲によってのみ制限される。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【国際調査報告】