(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-04-02
(54)【発明の名称】IoTデバイスのアプリケーションワークロードキャプチャ
(51)【国際特許分類】
G06F 21/55 20130101AFI20240326BHJP
H04L 12/22 20060101ALI20240326BHJP
【FI】
G06F21/55
H04L12/22
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2023560041
(86)(22)【出願日】2022-03-23
(85)【翻訳文提出日】2023-11-13
(86)【国際出願番号】 US2022021583
(87)【国際公開番号】W WO2022212150
(87)【国際公開日】2022-10-06
(32)【優先日】2021-03-31
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
(71)【出願人】
【識別番号】517392861
【氏名又は名称】パロ アルト ネットワークス,インコーポレイテッド
【氏名又は名称原語表記】Palo Alto Networks,Inc.
【住所又は居所原語表記】3000 Tannery Way,Santa Clara,California 95054,United States of America
(74)【代理人】
【識別番号】100107766
【氏名又は名称】伊東 忠重
(74)【代理人】
【識別番号】100070150
【氏名又は名称】伊東 忠彦
(74)【代理人】
【識別番号】100135079
【氏名又は名称】宮崎 修
(72)【発明者】
【氏名】ドゥ,ジュン
【テーマコード(参考)】
5K030
【Fターム(参考)】
5K030GA15
5K030JA10
5K030LC13
(57)【要約】
モノのインターネット(IoT)デバイスのアプリケーションワークロードキャプチャが開示される。ターゲットIoTデバイスが選択される。ターゲットデバイスに関連するフローが決定され、かつ、タグ付けされる。タグ付けされたフローからのパケットは、リングバッファの中へ受け入れられる。リングバッファに含まれるパケットの一部分に対して抽出を実行すべきであるという指示が受信される。
【特許請求の範囲】
【請求項1】
システムであって、
プロセッサであり、
ターゲットIoTデバイスを選択し、
ターゲットデバイスに関連するフローを決定して、かつ、タグ付けし、
前記タグ付けされたフローからのパケットをリングバッファの中へ受け入れ、
前記リングバッファに含まれる前記パケットの一部分に対して抽出が実行されるべきであるという指示を受信し、かつ、
前記パケットの前記部分を抽出する、
ように構成されている、プロセッサと、
メモリであり、
前記プロセッサに結合され、かつ、
前記プロセッサに命令を提供する、ように構成されている、
メモリと、
を含む、システム。
【請求項2】
前記ターゲットデバイスは、少なくとも部分的に、リスクスコアの上昇の検出に基づいて選択される、
請求項1に記載のシステム。
【請求項3】
前記リスクスコアは、少なくとも部分的に、前記ターゲットデバイスに対する既知のエクスプロイトの適用可能性の決定に基づいて上昇される、
請求項2に記載のシステム。
【請求項4】
前記リスクスコアは、少なくとも部分的に、前記ターゲットデバイスについて試みられたエクスプロイトの観察に基づいて上昇される、
請求項2に記載のシステム。
【請求項5】
前記ターゲットデバイスは、少なくとも部分的に、前記ターゲットデバイスに関連する構成変更に基づいて選択される、
請求項1に記載のシステム。
【請求項6】
前記構成変更は、前記ターゲットデバイスによるアプリケーションの使用における変更を含む、
請求項5に記載のシステム。
【請求項7】
前記アプリケーションは、前記ターゲットデバイスによって以前に使用されておらず、かつ、
前記変更は、前記ターゲットデバイスが前記アプリケーションを使用することを含む、
請求項6に記載のシステム。
【請求項8】
前記ターゲットデバイスは、少なくとも部分的に、前記ターゲットデバイスが通信するURLに基づいて選択される、
請求項1に記載のシステム。
【請求項9】
前記指示は、時間ベースのトリガの一部として受信される、
請求項1に記載のシステム。
【請求項10】
前記指示は、警報の生成に応答して受信される、
請求項1に記載のシステム。
【請求項11】
前記パケットの抽出された前記部分は、ネットワークトラフィック分析システムに提供される、
請求項1に記載のシステム。
【請求項12】
前記プロセッサは、さらに、
前記ターゲットデバイスに関連するパケットを前記リングバッファの中へ受け入れることを停止するための指示を受信する、ように構成されている、
請求項1に記載のシステム。
【請求項13】
パケットを受け入れることを停止するための前記指示は、キャプチャされている前記ターゲットデバイスに関連する規定の数のセッションに応答して受信される、
請求項12に記載のシステム。
【請求項14】
方法であって、
ターゲットIoTデバイスを選択するステップと、
ターゲットデバイスに関連するフローを決定して、かつ、タグ付けするステップと、
前記タグ付けされたフローからのパケットをリングバッファの中に受け入れるステップと、
前記リングバッファに含まれる前記パケットの一部分に対して抽出が実行されるべきであるという指示を受信するステップと、
前記パケットの前記部分を抽出するステップと、
を含む、方法。
【請求項15】
非一時的コンピュータ可読媒体に保管され、かつ、コンピュータ命令を含む、コンピュータプログラムであって、
前記コンピュータ命令が実行されると、コンピュータに、
ターゲットIoTデバイスを選択するステップと、
ターゲットデバイスに関連するフローを決定して、かつ、タグ付けするステップと、
前記タグ付けされたフローからのパケットをリングバッファの中に受け入れるステップと、
前記リングバッファに含まれる前記パケットの一部分に対して抽出が実行されるべきであるという指示を受信するステップと、
前記パケットの前記部分を抽出するステップと、
を実施させる、
コンピュータプログラム。
【発明の詳細な説明】
【背景技術】
【0001】
悪意のある個人は、様々な方法でコンピュータシステムを危険にさらす(compromise)ように試みる。一つの例として、そうした個人は、悪意のあるソフトウェア(「マルウェア(“malware”)」)を電子メール添付ファイルに埋め込み、または、他の形で含み、そして、疑うことを知らないユーザに対して送信し得る。実行されると、マルウェアは犠牲者のコンピュータを危険にさらし、そして、追加の不正なタスク(例えば、機密データの抽出、他のシステムへの伝播、等)を実行することができる。様々なアプローチを使用して、そうした危険および他の危険にさらされることに対してコンピュータを強化することができる。残念ながら、コンピュータを保護する既存の手法は、必ずしも全てのコンピューティング環境に適しているとは限らない。さらに、マルウェアの作者は、検出を回避するように彼らの技術を継続的に適合させている。そして、様々な状況において、マルウェアを検出し、かつ、その害を防止するための改善された技法に対する継続的な必要性が存在している。
【図面の簡単な説明】
【0002】
本発明の様々な実施形態が、以下の詳細な説明および添付の図面において開示されている。
【
図1】
図1は、悪意のあるアクティビティが検出されて、その害が低減される環境に係る一つの例を示している。
【
図2A】
図2Aは、データアプライアンスの一つの実施形態を示している。
【
図2B】
図2Bは、データアプライアンスの実施形態の論理コンポーネントの機能図である。
【
図2C】
図2Cは、IoTサーバとIoTモジュールとの間の一つの例示的なイベント経路を示している。
【
図2D】
図2Dは、デバイス発見イベントの一つの例を示している。
【
図2E】
図2Eは、セッションイベントの一つの例を示している。
【
図2F】
図2Fは、IoTモジュールの一つの実施形態を示している。
【
図2G】
図2Gは、IoTデバイス分析の実施に係る一つの例示的な方法を示している。
【
図3】
図3は、ネットワーク内のIoTデバイスについてAAAサポートを受動的に提供するためのプロセスに係る一つの実施形態を示している。
【
図4A】
図4Aは、様々な実施形態において、IoTデバイスの代わりに、IoTサーバによって、AAAサーバに送信されるRADIUSメッセージの例を示している。
【
図4B】
図4BCは、様々な実施形態において、IoTデバイスの代わりに、IoTサーバによって、AAAサーバに送信されるRADIUSメッセージの例を示している。
【
図4C】
図4Cは、様々な実施形態において、IoTデバイスの代わりに、IoTサーバによって、AAAサーバに送信されるRADIUSメッセージの例を示している。
【
図5】
図5は、IoTモジュールの一つの実施形態を示している。
【
図6】
図6は、IoTデバイスを分類するためのプロセスに係る一つの例を示している。
【
図7】
図7は、IoTサーバの一つの実施形態を示している。
【
図8】
図8は、IoTデバイスアプリケーションワークロードをキャプチャすることと併せて交換され得るメッセージの例を示している。
【
図9】
図9は、IoTデバイスアプリケーションワークロードをキャプチャするためのプロセスに係る一つの例を示している。
【発明を実施するための形態】
【0003】
本発明は、プロセス、装置、システム、合成物、コンピュータ読取り可能な記憶媒体上に具現化されたコンピュータプログラム製品、及び/又は、プロセッサを含む、多数の方法で実施することができる。プロセッサに結合されたメモリに保管され、かつ/あるいは、それによって提供される命令を実行するように構成されたプロセッサ、といったものである。この明細書では、これらの実施形態、または、本発明が採用し得るその他の形態は、技法(technique)と称される。一般的に、開示されるプロセスのステップの順序は、本発明の範囲内で変更され得る。特に指示のない限り、タスクを実行するように構成されているものと説明されたプロセッサまたはメモリといったコンポーネントは、所与の時間にタスクを実行するように一時的に構成されている一般的なコンポーネント、または、タスクを実行するように製造されている特定のコンポーネントとして実装することができる。ここにおいて使用されるように、用語「プロセッサ(“processor”)」は、コンピュータプログラム命令といった、データを処理するように構成された1つ以上のデバイス、回路、及び/又は、処理コアを参照する。
【0004】
本発明の1つ以上の実施形態の詳細な説明は、本発明の原理を説明する添付の図面と共に、以下で提供されている。本発明は、そうした実施形態に関連して説明されるが、本発明は、任意の実施形態に限定されるものではない。本発明の範囲は、請求項によってのみ限定されるものであり、そして、本発明は、多数の代替物、修正物、および均等物を包含している。本発明の完全な理解を提供するために、以下の説明において多数の具体的な詳細が記載されている。これらの詳細は、例示のために提供されているものであり、そして、本発明は、これらの特定の詳細の一部または全部を伴わずに、請求項に従って実施することができる。明確化のために、発明に関連する技術分野において周知の技術的資料は、発明が不必要に不明瞭にならないように詳細には説明されない。
【0005】
I.概要
【0006】
ファイアウォールは、一般的に、承認された通信がファイアウォールを通過するのを許可し、一方で、不正アクセスからネットワークを保護している。ファイアウォールは、典型的には、ネットワークアクセスのためにファイアウォール機能を提供する、デバイス、一式のデバイス、または、デバイスにおいて実行されるソフトウェアである。例えば、ファイアウォールは、デバイス(例えば、コンピュータ、スマートフォン、または、他のタイプのネットワーク通信可能なデバイス)のオペレーティングシステムの中に統合することができる。ファイアウォールは、また、コンピュータサーバ、ゲートウェイ、ネットワーク/ルーティング(routing)デバイス(例えば、ネットワークルータ)、または、データアプライアンス(例えば、セキュリティ機器、または他のタイプの特殊目的デバイス)といった、様々なタイプのデバイスまたはセキュリティデバイス上のソフトウェアアプリケーションとして統合され、または実行することができ、そして、いくつかの実装では、特定の動作は、ASICまたはFPGAといった、特定目的ハードウェアで実装することができる。
る。
【0007】
ファイアウォールは、典型的に、一式のルールに基づいてネットワーク送信を拒否または許可する。これらのルールのセットは、しばしば、ポリシ(例えば、ネットワークポリシ、またはネットワークセキュリティポリシ)として参照される。例えば、ファイアウォールは、不要な外部トラフィックが保護デバイスに到達するのを防ぐために、一式のルールまたはポリシを適用することによって、インバウンドトラフィック(inbound traffic)をフィルタリングすることができる。ファイアウォールは、また、一式のルールまたはポリシを適用することによってアウトバウンドトラフィックをフィルタリングすることができる(例えば、許可(allow)、ブロック(block)、モニタリング(monitor)、通知(notify)、またはログ(log)、及び/又は、ファイアウォールルールまたはファイアウォールポリシにおいて指定され得る他のアクションであり、これらは、ここにおいて説明されるような、様々な基準に基づいてトリガすることができる)。ファイアウォールは、また、同様に一式のルールまたはポリシを適用することによって、ローカルネットワーク(例えば、イントラネット)トラフィックをフィルタリングすることもできる。
【0008】
セキュリティデバイス(例えば、セキュリティ機器、セキュリティゲートウェイ、セキュリティサービス、及び/又は、他のセキュリティデバイス)は、様々なセキュリティ動作(例えば、ファイアウォール、アンチ-マルウェア、侵入防止/検出、プロキシ、及び/又は、他のセキュリティ機能)、ネットワーク機能(例えば、ルーティング、クオリティ・オブ・サービス(QoS)、ネットワーク関連リソースのワークロードバランシング、及び/又は、他のネットワーク機能)、及び/又は、他のセキュリティ及び/又はネットワーク関連の機能を実行することができる。例えば、ルーティングは、送信元(source)情報(例えば、IPアドレスおよびポート)、宛先(destination)情報(例えば、IPアドレスおよびポート)、および、プロトコル情報に基づいて実行することができる。
【0009】
基本的なパケットフィルタリング・ファイアウォールは、ネットワークを介して送信される個々のパケットを検査することによって、ネットワーク通信トラフィックをフィルタリングする(例えば、ステートレス(stateless)パケットフィルタリング・ファイアウォールである、パケットフィルタリング・ファイアウォールまたは第1世代ファイアウォール)。ステートレスパケットフィルタリング・ファイアウォールは、典型的に、個々のパケット自体を検査し、そして、検査されたパケットに基づいて(例えば、パケットの送信元および宛先のアドレス情報、プロトコル情報、および、ポート番号の組み合わせを使用して)ルールを適用する。
【0010】
アプリケーション・ファイアウォールは、また、(例えば、アプリケーション層フィルタリング・ファイアウォール、または、TCP/IPスタックのアプリケーションレベルにおいて機能する第2世代ファイアウォールを使用して)アプリケーション層フィルタリングを実行することもできる。アプリケーション層フィルタリング・ファイアウォールまたはアプリケーション・ファイアウォールは、一般的に、所定のアプリケーションおよびプロトコル(例えば、ハイパーテキスト転送プロトコル(HTTP)を使用したウェブブラウジング、ドメインネームシステム(DNS)要求、ファイル転送プロトコル(FTP)を使用したファイル転送、および、Telnet、DHCP、TCP、UDP、およびTFTP(GSS)といった、様々な他のタイプのアプリケーションおよび他のプロトコル)を識別することができる。例えば、アプリケーション・ファイアウォールは、標準ポートにおいて通信を試みる未認可(unauthorized)プロトコルをブロックすることができる(例えば、そのプロトコルについて非標準(non-standard)ポートを使用することにより黙って通り抜けること(sneak through)を試みる未認可/外れたポリシプロトコルは、一般的に、アプリケーション・ファイアウォールを使用して識別することができる)。
【0011】
ステートフル・ファイアウォールは、また、ステートフル・ベースのパケット検査を実行することもでき、そこでは、各パケットが、そのネットワーク送信のパケットフロー(packets/packet flow)と関連する一式のパケットのコンテキストの中で検査される。このファイアウォール技術は、一般的に、ステートフル・パケット検査として参照される。ファイアウォールを通過する全ての接続の記録を保持し、そして、パケットが、新しい接続の開始であるか、既存の接続の一部であるか、または、無効なパケットであるかを判断することができるからである。例えば、接続の状態は、それ自体が、ポリシの中のルールをトリガするクライテリアの1つになり得る。
【0012】
先進的または次世代ファイアウォールは、上述のように、ステートレスおよびステートフルなパケットフィルタリングおよびアプリケーション層フィルタリングを実行することができる。次世代ファイアウォールは、また、追加のファイアウォール技術を実行することもできる。例えば、先進的または次世代ファイアウォールとして、しばしば参照される所定の新しいファイアウォールは、また、ユーザおよびコンテンツを識別することができる。特に、所定の次世代ファイアウォールは、これらのファイアウォールが自動的に識別できるアプリケーションのリストを、何千ものアプリケーションまで拡大している。そうした次世代ファイアウォールの例は、Palo Alto Networksから市販されている(例えば、Palo Alto NetworksのPAシリーズのファイアウォール)。例えば、Palo Alto Networksの次世代ファイアウォールは、様々な識別技術を使用して、企業およびサービスプロバイダが、アプリケーション、ユーザ、およびコンテンツ-単にポート、IPアドレス、およびパケットだけでなく-を識別し、かつ、制御することを可能にする。様々な識別技術は、正確なアプリケーション識別のためのアプリケーションID(App-ID)(例えば、App ID)、ユーザ識別のためのユーザID(User-ID)(例えば、User ID)、および、リアルタイムなコンテンツスキャニングのためのコンテンツID(Content-ID)(例えば、Content ID)といったものである(例えば、Webサーフィンを制御し、かつ、データおよびファイルの転送を制限する)。これらの識別技術により、企業は、従来のポートブロッキングファイアウォールによって提供される従来のアプローチに従う代わりに、ビジネス関連の概念を使用して、アプリケーションの使用を安全に可能にすることができる。また、(例えば、専用装置として実装される)次世代ファイアウォールのための特定目的ハードウェアは、汎用ハードウェアにおいて実行されるソフトウェアよりも、アプリケーション検査についてより高いパフォーマンスレベルを一般的に提供する(例えば、Palo Alto Networks社が提供するセキュリティ機器といったものであり、シングルパス・ソフトウェアエンジンと堅く統合されている、専用の、機能固有の処理を利用し、Palo Alto NetworksのPAシリーズ次世代ファイアウォールについて、レイテンシ(latency)を最小化する一方で、ネットワークのスループットを最大化する)。
【0013】
先進的または次世代ファイアウォールは、また、仮想化ファイアウォールを使用して実装することもできる。そうした次世代ファイアウォールの例は、Palo Alto Networks社から市販されている(Palo Alto Networksのファイアウォールは、VMware(R) ESXiTMおよびNSXTM、Citrix(R)Netscaler SDXTM、KVM/OpenStack(Centos/RHEL、Ubuntu(R))、および、Amazon Web Services(AWS)を含む、様々な商用仮想化環境をサポートしている)。例えば、仮想化ファイアウォールは、物理的フォームファクタ機器で利用可能な、同様の、または、完全に同一の次世代ファイアウォールおよび先進的な脅威防止機能をサポートすることができ、企業は、プライベート、パブリック、およびハイブリッドなクラウドコンピューティング環境へのアプリケーションの流入を安全に可能にすることができる。VMモニタリング、ダイナミックアドレスグループ、およびRESTベースのAPIといった自動化機能により、企業は、VMの変化を動的にモニタすることができ、そのコンテキストをセキュリティポリシに反映させて、それにより、VMの変化時に生じ得るポリシの遅れ(lag)を排除している。
【0014】
II.例示的な環境
【0015】
図1は、悪意のあるアクティビティが検出され、そして、その害が低減される環境の例を示している。
図1に示される例において、クライアントデバイス104-108は、病院(「アクメ病院(“Acme Hospital”)」とも呼ばれる)の企業ネットワーク110において(それぞれに)存在するラップトップコンピュータ、デスクトップコンピュータ、および、タブレットである。データアプライアンス102は、クライアントデバイス104および106といった、クライアントデバイスと、企業ネットワーク110の外部の(例えば、外部ネットワーク118を介して到達可能な)ノードとの間の通信に関するポリシを実施するように構成されている。
【0016】
そうしたポリシの例は、トラフィックの成形、クオリティ・オブ・サービス(quality of service)、および、トラフィックのルーティングを管理するものを含んでいる。ポリシの他の例は、着信(incoming)(及び/又は送信(outgoing))電子メールの添付ファイル、ウェブサイトコンテンツ、インスタントメッセージングプログラムを介して交換されるファイル、及び/又は、他のファイル転送における脅威についてスキャンを必要とするものといった、セキュリティポリシを含んでいる。いくつかの実施形態において、データアプライアンス102は、また、企業ネットワーク110内に留まるトラフィックに関してポリシを実施するように構成されている。
【0017】
ネットワーク110は、また、ディレクトリサービス154、および、認証、認可、および課金(Authetication,Authorization,and Accounting、AAA)サーバ156を含んでいる。
図1に示される例では、ディレクトリサービス154(アイデンティティプロバイダまたはドメインコントローラとも呼ばれる)は、ライトウェイトディレクトリアクセスプロトコル(Lightweight Directory Access Protocol、LDAP)、または、他の適切なプロトコルを利用する。ディレクトリサービス154は、ユーザ識別および証明書情報を管理するように構成されている。ディレクトリサービス154の一例は、Microsoft社のActive Directoryサーバである。アクティブディレクトリサーバの代わりに、ケルベロスベース(Kerberos-based)のシステムといった、他のタイプのシステムも、また、使用することができ、本明細書で説明される技術は、それに応じて適合される。
図1に示される例において、AAAサーバ156は、ネットワークアドミッション制御(network admission server、NAC)サーバである。AAAサーバ156は、ネットワークに対する有線、無線、およびVPNのユーザおよびデバイスを認証し、ネットワークへのアクセスを許可する前に、ポリシコンプライアンスについてデバイスを評価して、修正し、かつ、役割に基づいてアクセスを区別し、そして、次いで、誰がネットワーク上にいるかについて監査および報告するように構成されている。AAAサーバ156の一例は、リモート認証ダイヤルインユーザサービス(Remote Authentication Dial-In User Service、RADIUS)を利用するシスコ社のアイデンティティサービスエンジン(ISE)サーバである。RADIUS以外のプロトコルを使用するものを含み、他のタイプのAAAサーバが、本明細書で説明される技法とともに使用され得る。
【0018】
様々な実施形態において、データアプライアンス102は、ディレクトリサービス154及び/又はAAAサーバ156への/からの(to/from)通信をリッスンする(例えば、メッセージを受動的にモニタリングする)ように構成されている。様々な実施形態において、データアプライアンス102は、ディレクトリサービス154及び/又はAAAサーバ156と通信する(すなわち、能動的にメッセージを通信する)ように構成されている。様々な実施形態において、データアプライアンス102は、ディレクトリサービス154及び/又はAAAサーバ156といった、様々なネットワーク要素と通信する(例えば、メッセージを能動的に通信する)オーケストレータ(図示なし)と通信するように構成されている。他のタイプのサーバも、また、ネットワーク110に含まれてよく、かつ、適用可能な場合にデータアプライアンス102と通信することができ、そして、ディレクトリサービス154及び/又はAAAサーバ156も、また、様々な実施形態においてネットワーク110から省略され得る。
【0019】
図1では、単一のデータアプライアンス102を有するように示されているが、所与のネットワーク環境(例えば、ネットワーク110)は、個別に動作するか、または協調して動作するかにかかわらず、データアプライアンスに係る複数の実施形態を含むことができる。同様に、「ネットワーク(“network”)」という用語は、本明細書では、簡単にするために、一般的に、単数形で(例えば、「ネットワーク110」として)呼ばれるが、本明細書で説明する技法は、適用可能な場合に、様々なネットワークレイヤにわたり様々なネットワーキングプロトコル(例えば、TCPおよびUDP)、および、インフラストラクチャ(例えば、スイッチおよびルータ)を使用して、ネットワーキング技術(例えば、仮想および物理)の様々な混合を含む、様々なサイズおよびトポロジの様々なネットワーク環境において展開され得る。
【0020】
データアプライアンス102は、リモートセキュリティプラットフォーム140と協働して動作するように構成され得る。セキュリティプラットフォーム140は、(例えば、サンプル分析モジュール124を介して)マルウェアサンプルについて静的および動的分析を実行すること、および、既知の悪意のあるファイル、ドメイン、等の署名(signature)のリストを、サブスクリプションの一部としてデータアプライアンス102といった、データアプライアンスに提供することを含む、種々のサービスを提供することができる。より詳細に以下で説明されるように、セキュリティプラットフォーム140は、また、ネットワーク110といったネットワーク内に存在するIoTデバイスの発見、分類、管理、等に関連付けられた情報を(例えば、IoTモジュール138を介して)提供することもできる。様々な実施形態において、署名、分析の結果、及び/又は、追加の情報(例えば、サンプル、アプリケーション、ドメイン、等に関するもの)が、データベース160において保管される。様々な実施形態において、セキュリティプラットフォーム140は、典型的なサーバクラスのオペレーティングシステム(例えば、Linux(登録商標))を実行する1つ以上の専用の市販のハードウェアサーバ(例えば、マルチコアプロセッサ、32G+のRAM、ギガビットネットワークインターフェイスアダプタ、および、ハードドライブを有すしている)を含む。セキュリティプラットフォーム140は、複数のそうしたサーバ、ソリッドステートドライブ、または、他のストレージ158、及び/又は、他の適用可能な高性能ハードウェアを含む、スケーラブルなインフラストラクチャにわたり実装され得る。セキュリティプラットフォーム140は、1つ以上の第三者によって提供されるコンポーネントを含む、いくつかの分散コンポーネントを含み得る。例えば、セキュリティプラットフォーム140の一部または全ては、Amazon社のElastic Compute Cloud(EC2)、及び/又は、Amazon社のSimple Storage Service(S3)を使用して実装され得る。さらに、データアプライアンス102と同様に、セキュリティプラットフォーム140が、データを保管すること又はデータを処理すること等の、タスクを実行するものとして参照されるときはいつでも、セキュリティプラットフォーム140のサブコンポーネントまたは複数のサブコンポーネントは(個々に、または第三者コンポーネントと協働して)、そのタスクを実行するように協働し得ることが理解されるべきある。例として、セキュリティプラットフォーム140は、1つ以上の仮想マシン(VM)サーバと協働して、(例えば、サンプル分析モジュール124を介して)静的/動的分析、及び/又は、(例えば、IoTモジュール138を介して)IoTデバイス機能を実行することができる。仮想マシンサーバの一つの例は、VMware社のESXi、Citrix社のXenServer、または、Microsoft社のHyper-Vといった、市販の仮想化ソフトウェアを実行する、市販のサーバクラスハードウェア(例えば、マルチコアプロセッサ、32+ギガバイトのRAM、および、1つ以上のギガビットネットワークインターフェイスアダプタ)を含む物理マシンである。いくつかの実施形態において、仮想マシンサーバは省略される。さらに、仮想マシンサーバは、セキュリティプラットフォーム140を管理する同じエンティティの制御下にあってよいが、また、第三者によって提供されてもよい。一つの例として、仮想マシンサーバは、EC2に依存することができ、セキュリティプラットフォーム140の残りの部分は、セキュリティプラットフォーム140のオペレータによって所有され、かつ、そのオペレータの制御下にある専用ハードウェアによって提供される。
【0021】
データアプライアンスの一つの実施形態が
図2Aに示されている。示される例は、種々の実施形態において、データアプライアンス102に含まれる物理的コンポーネントの表現である。具体的に、データアプライアンス102は、高性能マルチコア中央処理ユニット(CPU)202およびランダムアクセスメモリ(RAM)204を含んでいる。データアプライアンス102は、また、ストレージ210(1つ以上のハードディスクまたはソリッドステートユニット、といったもの)を含む。様々な実施形態において、データアプライアンス102は、企業ネットワーク110をモニタリングすること、および、開示された技術を実装することに使用される情報を(RAM204、ストレージ210、及び/又は、他の適切なロケーション、のいずれかに)保管する。そうした情報の例は、アプリケーション識別子、コンテンツ識別子、ユーザ識別子、要求されたURL、IPアドレスマッピング、ポリシおよび他の構成情報、署名、ホスト名/URL分類情報、マルウェアプロファイル、機械学習モデル、IoTデバイス分類情報、等を含む。データアプライアンス102は、また、1つ以上の任意的なハードウェアアクセラレータを含み得る。例えば、データアプライアンス102は、暗号化および復号動作を実行するように構成された暗号エンジン206、および、照合器(matching)を実行し、ネットワークプロセッサとして動作し、かつ/あるいは、他のタスクを実行するように構成された、1つ以上のフィールドプログラマブルゲートアレイ208を含み得る。
【0022】
データアプライアンス102によって実行されるものとしてここにおいて説明される機能性は、種々の方法で提供/実装することができる。例えば、データアプライアンス102は、専用のデバイスまたはデバイスセットであってよい。所与のネットワーク環境は、複数のデータアプライアンスを含んでよく、その各々は、ネットワークの特定の部分にサービスを提供するように構成されてよく、ネットワークの特定の部分にサービスを提供するように協働し得る、など。データアプライアンス102によって提供される機能は、汎用コンピュータ、コンピュータサーバ、ゲートウェイ、及び/又は、ネットワーク/ルーティング・デバイス上のソフトウェアとして統合され、または、実行され得る。いくつかの実施形態において、データアプライアンス102によって提供されるものとして説明される少なくともいくつかの機能性(functionality)が、代わりに(または、これに加えて)、クライアントデバイスにおいて実行しているソフトウェアによって、クライアントデバイス(例えば、クライアントデバイス104またはクライアントデバイス106)に提供される。データアプライアンス102によって実行されるものとして本明細書で説明される機能性は、また、セキュリティプラットフォーム140によって、または、それと協働して、少なくとも部分的に実行することもでき、かつ/あるいは、セキュリティプラットフォーム140によって実行されるものとして本明細書で説明される機能性は、適用可能な場合、データアプライアンス102によって、または、それと協働して少なくとも部分的に実行することもできる。一つの例として、IoTモジュール138によって実行されるものとして説明される様々な機能は、IoTサーバ134の実施形態によって実行され得る。
【0023】
データアプライアンス102がタスクを実行するものとして記述されるときはいつでも、単一のコンポーネント、コンポーネントのサブセット、またはデータアプライアンス102の全てのコンポーネントは、タスクを実行するために協働することができる。同様に、データアプライアンス102のコンポーネントがタスクを実行するものとして説明されるときはいつでも、サブコンポーネントは、タスクを実行することができ、かつ/あるいは、コンポーネントは、他のコンポーネントと共にタスクを実行することができる。様々な実施形態において、データアプライアンス102の一部は、1つ以上の第三者によって提供される。データアプライアンス102に利用可能な計算リソースの量といった要因に応じて、データアプライアンス102の種々の論理コンポーネント及び/又は特徴は省略されてよく、そして、ここにおいて説明される技術はそれに応じて適合される。同様に、追加の論理コンポーネント/特徴を、データアプライアンス102の実施形態に、適用可能なように含めることができる。種々の実施形態におけるデータアプライアンス102に含まれるコンポーネントの一つの例は、(例えば、パケットフロー解析に基づいてアプリケーションを識別するために種々のアプリケーション署名を使用して)アプリケーションを識別するように構成されているアプリケーション識別エンジンである。例えば、アプリケーション識別エンジンは、セッションが関与するトラフィックのタイプを決定することができる。Webブラウジング-ソーシャルネットワーキング、Webブラウジング-ニュース、SSH、等といったものである。様々な実施形態においてデータアプライアンス102に含まれるコンポーネントの別の例は、IoTサーバ134であり、より詳細に以下で説明される。IoTサーバ134は、物理的であるか仮想化されているかにかかわらず、スタンドアロンサーバ(または、サーバのセット)としてのものを含み、様々な形態をとることができ、そして、また、適用可能な場合、(例えば、
図1に示されるように)データアプライアンス102とコロケートされ/それに組み込まれてもよい。
【0024】
図2Bは、データアプライアンスの一つの実施形態の論理コンポーネントの機能図である。示される例は、種々の実施形態においてデータアプライアンス102に含まれ得る論理コンポーネントの表現である。別段の規定がない限り、データアプライアンス102の種々の論理コンポーネントは、一般的に、1つ以上のスクリプト(例えば、該当する場合、Java、python、等で書かれたもの)のセット(set)を含む種々の方法で実装可能である。
【0025】
図示のように、データアプライアンス102はファイアウォールを備え、かつ、管理プレーン212およびデータプレーン214を含んでいる。管理プレーンは、ポリシの設定およびログデータの表示のめのユーザインターフェイスを提供するといったことにより、ユーザインタラクション(user interaction)の管理について責任を負う。データプレーンは、パケット処理およびセッション処理を実行するといったことにより、データ管理について責任を負う。
【0026】
ネットワークプロセッサ216は、クライアントデバイス108といった、クライアントデバイスからパケットを受信し、そして、それらを処理のためにデータプレーン214に提供するように構成されている。フローモジュール218は、新しいセッションの一部としてパケットを識別するときはいつでも、新しいセッションフローを生成する。その後のパケットは、フロールックアップに基づいて、セッションに属しているものとして識別される。該当する場合、SSL復号エンジン220によってSSL復号化が適用される。そうでなければ、SSL復号エンジン220による処理は省略される。復号エンジン220は、データアプライアンス102がSSL/TLSおよびSSHの暗号化トラフィックを検査および制御することを助け、そして、従って、そうでなければ暗号化トラフィック内に隠されたままであり得る脅威を停止することを助ける。復号エンジン240は、また、機密性の高いコンテンツが企業ネットワーク110から去るのを防止することを助けることができる。復号は、URLカテゴリ、トラフィック元、トラフィック宛先、ユーザ、ユーザグループ、およびポート、といったパラメータに基づいて選択的に制御することができる(例えば、イネーブルされ、または、ディセーブルされる)。復号ポリシ(例えば、復号するセッションを指定するもの)に加えて、復号プロファイルは、ポリシによって制御されるセッションの様々なオプションを制御するために割り当てることができる。例えば、特定の暗号スイートおよび暗号化プロトコルバージョンの使用が要求され得る。
【0027】
アプリケーション識別(APP-ID)エンジン222は、セッションが関与するトラフィックのタイプを決定するように構成されている。一つの例として、アプリケーション識別エンジン222は、受信データ内のGETリクエストを認識し、そして、セッションがHTTPデコーダを必要とすると結論付けることができる。場合によって、例えば、ウェブブラウジングセッションにおいて、識別されたアプリケーションは変更することができ、そして、そうした変更はデータアプライアンス102によって書き留め(noted)られる。例えば、ユーザは、まず、企業のWiki(訪問したURLに基づいて「Webブラウジング-生産性(“Web Browsing-Productivity”)」として分類される)を閲覧し、次に、ソーシャルネットワーキングサイト(訪問したURLに基づいて「Webブラウジング-ソーシャルネットワーキング(“Web Browsing-Social Networking”)」として分類される)を閲覧することができる。異なるタイプのプロトコルは、対応するデコーダを有している。
【0028】
アプリケーション識別エンジン222によって行われた決定に基づいて、パケットが、脅威エンジン224によって、パケット(順序が乱れて受信され得る)を正しい順序に組み立て、そして、情報を抽出するように構成されている、適切なデコーダに対して、送信される。脅威エンジン224は、また、パケットに何が起こるべきかを決定するために、署名照合(signature matching)を実行する。必要に応じて、SSL暗号化エンジン226は、復号されたデータを再び暗号化することができる。パケットは、転送のために(例えば、宛先へ)転送モジュール228を使用して転送される。
【0029】
また、
図2Bにも示されるように、ポリシ232も、受信され、そして、管理プレーン212に保管される。ポリシは、ドメイン名及び/又はホスト/サーバ名を使用して指定することができる、1つ以上のルールを含むことができ、そして、ルールは、モニタリングされるセッショントラフィックフローからの様々な抽出されたパラメータ/情報に基づいて、加入者/IPフローに対するセキュリティポリシ実施のためといった、1つ以上の署名または他の照合基準または発見的方法を適用することができる。インターフェイス(I/F)通信器230が、管理通信(例えば、(REST)API、メッセージ、またはネットワークプロトコル通信、もしくは他の通信メカニズムを介して)について提供されている。ポリシ232は、また、IoTデバイスを含む通信を管理するためのポリシも含むことができる。
【0030】
III.IoTデバイスの発見および識別
【0031】
図1に戻って、悪意のある個人が(例えば、システム120を使用して)、マルウェア130を作成したと仮定する。悪意のある個人は、脆弱なクライアントデバイスがマルウェア130のコピーを実行することを望み、クライアントデバイスを危険にさらし、そして、クライアントデバイスをボットネット内のボットにさせている。危険にさらされたクライアントデバイスは、次いで、タスク(例えば、暗号通貨マイニング、サービス妨害攻撃への参加、および、他の脆弱なクライアントデバイスへの伝播)を実行するように、そして、外部エンティティ(例えば、コマンドアンドコントロール(C&C)サーバ150)に対して情報を報告するか、または、そうでなければ、データを抽出するように、並びに、適用可能な場合には、C&Cサーバ150から命令を受信するように、命令され得る。
【0032】
図1に示されるいくつかのクライアントデバイスは、典型的に企業組織内で使用される、コモディティコンピューティングデバイスである。例えば、クライアントデバイス104、106、および108は、典型的なオペレーティングシステム(例えば、macOS(登録商標)、Windows(登録商標)、Linux(登録商標)、Android、等)を、それぞれ実行する。そうしたコモディティコンピューティングデバイスは、しばしば、(例えば、それぞれに、企業発行のラップトップ、デスクトップ、およびタブレットとして)管理者によってプロビジョニングおよび維持され、そして、しばしば、(例えば、ユーザ識別および証明書情報を用いて構成されたディレクトリサービスプロバイダ(ドメインコントローラとも呼ばれる)によって管理される)ユーザアカウントとともに動作される。一つの例として、従業員アリス(Alice)にラップトップ104が支給され、彼女のACME関連電子メールにアクセスし、そして、様々なACME関連タスクを実行するために使用される。他のタイプのクライアントデバイス(本明細書では、一般的に、モノのインターネットまたはIoTデバイスと呼ばれる)も、また、ますますネットワーク内に存在しており、そして、しばしばIT部門によって「管理されていない(“unmanaged”)」。いくつかのそうしたデバイス(例えば、電話会議デバイス)は、様々な異なるタイプの企業にわたり(例えば、IoTホワイトボード144および146として)見出され得る。そうしたデバイスは、また、垂直型(vertical specific)であってもよい。例えば、注入ポンプ(infusion pumps)およびコンピュータ断層撮影スキャナ(例えば、CTスキャナ112)は、ヘルスケア企業ネットワーク(例えば、ネットワーク110)内で見出され得る、IoTデバイスの例であり、そして、ロボットアームは、製造企業ネットワーク内で見出され得るデバイスの例である。さらに、消費者向けIoTデバイス(例えば、カメラ)も、また、企業ネットワーク内に存在し得る。コモディティコンピューティングデバイスと同様に、ネットワーク内に存在するIoTデバイスは、そうしたネットワークの内部または外部の両方(または、適用可能な場合には両方)にあるリソースと通信し得る。
【0033】
コモディティコンピューティングデバイスと同様に、IoTデバイスは、悪質な個人のターゲットである。残念ながら、ネットワーク内のIoTデバイスの存在は、いくつかのユニークなセキュリティ/管理上の課題を提示するし得る。IoTデバイスは、しばしば、低電力デバイスまたは専用デバイスであり、そして、ネットワーク管理者の知識なしに、しばしば、配備される。そうした管理者に知られている場合でさえ、IoTデバイス上にエンドポイント保護ソフトウェアまたはエージェントをインストールすることが可能でないことがある。
IoTデバイスは、独自の(または、そうでなければ非標準の)プロトコルを使用して、第三者クラウドインフラストラクチャ(例えば、クラウドインフラストラクチャ126と直接的に通信する工業温度計152を伴う)によって管理され、かつ、単独で/直接的に通信することができる。これは、デバイスに対していつ脅威または攻撃が起こっているかに関して決定を下すために、そうしたデバイスの内外のネットワークトラフィックをモニタリングする試みを混乱させ得る。さらに、(例えば、ヘルスケア環境における)いくつかのIoTデバイスは、ミッションクリティカルである(例えば、ネットワーク接続された手術システム)。残念ながら、(例えば、マルウェア130によって)IoTデバイスが危険にさらされること、または、IoTデバイスに関連付けられたトラフィックに対するセキュリティポリシの誤適用は、潜在的に壊滅的な影響を有し得る。本明細書で説明される技術を使用して、IoTデバイスを含む異種ネットワークのセキュリティを改善することができ、かつ、そうしたネットワークにもたらされる危害を低減することができる。
【0034】
様々な実施形態において、データアプライアンス102は、IoTサーバ134を含んでいる。IoTサーバ134は、いくつかの実施形態において、セキュリティプラットフォーム140のIoTモジュール138と協働して、ネットワーク(例えば、ネットワーク110)内のIoTデバイスを識別するように構成されている。そうした識別は、IoTデバイスに関連付けられたトラフィックに関するポリシを作成して、実施するのを助けるために、そして、ネットワーク110の他の要素の機能を強化するために(例えば、コンテキスト情報をAAA156に提供する)、例えば、データアプライアンス102によって、使用され得る。様々な実施形態において、IoTサーバ134は、トラフィックを受動的にスニフ(sniff)し/モニタリングするように構成された1つ以上のネットワークセンサを組み込んでいる。そうしたネットワークセンサ機能を提供する1つの例示的な方法は、タップインターフェイスまたはスイッチミラーポートとしてのものである。トラフィックをモニタリングする他のアプローチも、また、適用可能な場合に、(追加または代替として)使用され得る。
【0035】
様々な実施形態において、IoTサーバ134は、(例えば、受動的にモニタリングネットワーク110から収集された)ログまたは他のデータを(例えば、フロントエンド142を介して)IoTモジュール138に提供するように構成されている。
図2Cは、IoTサーバとIoTモジュールとの間の一つの例示的なイベント経路(path)を示している。IoTサーバ134は、デバイス発見イベントおよびセッションイベントをIoTモジュール138に送信する。例示的な発見イベントおよびセッションイベントが、それぞれに、
図2Dおよび
図2Eに示されている。様々な実施形態において、発見イベントは、デバイスの識別情報(identity)を一意に識別または確認することができるパケットを観測するときはいつでも(例えば、DHCP、UPNP、またはSMBパケットが観測されるときはいつでも)、IoTサーバ110によって送信される。デバイスが有する(デバイスのネットワークの内部または外部いずれかの、他のノードとの)各セッションは、セッションに関する情報(例えば、送信元/宛先(source/destination)情報、受信/送信されたパケットの数、等)を要約するセッションイベント内に記述される。適用可能な場合、複数のセッションイベントが、IoTモジュール138に送信する前に、IoTサーバ134によって一緒にバッチ処理され得る。
図2Eに示される例では、2つのセッションが含まれている。IoTモジュール138は、デバイス評決イベントを介して、IoTサーバ134にデバイス分類情報を提供する(234)。
【0036】
IoTモジュール138を実装する一つの例示的な方法は、マイクロサービスベースのアーキテクチャを使用することである。IoTモジュール138は、また、適用可能な場合に、異なるプログラミング言語、データベース、ハードウェア、およびソフトウェア環境を使用して、かつ/あるいは、メッセージング対応(messaging enabled)であり、コンテキストによって境界を定められ、自律的に開発され、独立して展開可能であり、分散され、そして、自動化プロセスを用いて構築およびリリースされるサービスとしても実装され得る。IoTモジュール138によって実行される1つのタスクは、IoTサーバ134によって提供される(かつ、データアプライアンス136および148といったデータアプライアンスの他の実施形態によって提供される)データにおいてIoTデバイスを識別し、そして、それらのデバイスに関する追加のコンテキスト情報を提供する(例えば、それぞれのデータアプライアンスに戻す)ことである。
【0037】
図2Fは、IoTモジュールの一つの実施形態を示している。領域295は、全てのテナントのデータにわたり間隔を置いて(例えば、5分ごと、1時間ごと、および、毎日)実行されるスパークアプリケーション(Spark Application)のセットを示している。領域297は、カフカ(Kafka)メッセージバスを示している。IoTモジュール138によって(例えば、IoTサーバ134から)受信したセッションイベントメッセージは、(例えば、帯域幅を節約するために)IoTサーバ134において観測される際に複数のイベントを一緒にバンドルする。変換モジュール236は、受信したセッションイベントを個々のイベントへと平坦化し、そして、250においてそれらを発行するように構成されている。平坦化されたイベントは、様々な異なる集約ルールを使用して、集約モジュール238によって集約される。一つの例示的なルールは、「時間間隔(例えば、5分)について、特定のデバイス、および、それが使用する各アプリケーション(APP-ID)について、全てのイベントデータを集約する」である。別の例示的なルールは、「時間間隔(例えば、1時間)について、特定の宛先IPアドレスと通信する特定のデバイスについて、全てのイベントデータを集約する」である。各ルールについて、集約エンジン238は、集約される必要がある属性のリスト(例えば、デバイスによって使用されるアプリケーションのリスト、または、宛先IPアドレスのリスト)を追跡する。特徴抽出モジュール240は、属性から特徴(252)を抽出する。分析モジュール242は、抽出された特徴を使用して、(例えば、教師あり及び教師なし学習を使用して)デバイス分類を実行し、その結果(254)は、(例えば、動作インテリジェンスモジュール244、脅威分析モジュール246、および、異常検出モジュール248を介して)他のタイプの分析に電力供給(power)するために使用される。動作インテリジェンスモジュール244は、OTフレームワーク、および、動作(operational)またはビジネスインテリジェンスに関連する解析(例えば、デバイスがどのように使用されているか)を提供する。アラート(256)は、分析の結果に基づいて生成され得る。様々な実施形態において、モンゴDB(MongoDB)258は、集約されたデータおよび特徴値を格納するために使用される。バックグラウンドサービス262は、スパークアプリケーションによって集約されたデータを受信し、そして、データをモンゴDB 258に書き込む。APIサーバ260は、フロントエンド142から受信した要求に応えるために、モンゴDB 258からデータを引き出して、マージする。
【0038】
図2Gは、(例えば、分析モジュール242および関連要素に係る一実施形態としてのIoTモジュール138の中で)IoTデバイス識別分析を実装する一つの例示的な方法を示している。発見イベントおよびセッションイベント(例えば、
図2Dおよび
図2Eで、それぞれに、示されるようなもの)は、メッセージバス上でカフカトピックとして、メッセージバス上の生データ264として受信される(そして、また、ストレージ158にも保管される)。特徴は、特徴エンジン276によって抽出される(例えば、スパーク/マップリデューサ(MapReducer)を使用して実装され得る)。生データは、セキュリティプラットフォーム140によって、(例えば、送信元/宛先アドレスの)地理位置情報といった、追加のコンテキスト情報を用いて強化される(266)。メタデータ特徴抽出(268)の最中には、IPアドレスからある時間間隔内に送信されたパケットの数、その時間間隔中に特定のデバイスによって使用されたアプリケーションの数、および、その時間間隔中にデバイスによって連絡されたIPアドレスの数といった特徴が、構築される。特徴は、(例えば、メッセージバス上で)インライン分析エンジン272に(例えば、JSONフォーマットで)リアルタイムに渡され、かつ、(例えば、オフラインモデリング299中の)後続のクエリのために(例えば、アパッチパーケット(Apache Parquet)/データフレーム(Data Frame)といった適切なフォーマットで、特徴データベース270に)保管される、の両方である。
【0039】
メタデータから構築される特徴に加えて、本明細書では分析特徴と呼ばれる、第2タイプの特徴が、IoTモジュール138によって構築され得る(274)。一つの例示的な分析特徴は、集約データを使用して、時系列データに基づいて経時的に構築されるものである。解析特徴は、同様に、分析エンジン272にリアルタイムに渡され、かつ、特徴データベース270に保管される。
【0040】
インライン分析エンジン272は、メッセージハンドラを介して、メッセージバス上で特徴を受信する。実行される1つのタスクは、アクティビティ分類(278)であり、受信した特徴値/セッション情報に基づいてセッションに関連するアクティビティ(ファイルダウンロード、ログイン/認証プロセス、または、ディスクバックアップアクティビティといったもの)を識別しようと試み、そして、任意の適用可能なタグを添付する。アクティビティ分類278を実装する1つの方法は、畳み込みネットワークと組み合わされたニューラルネットワークベースの多層(multi-layer)パーセプトロンを介するものである。
【0041】
アクティビティ分類の結果として、特定のデバイスが、印刷アクティビティに従事しており(すなわち、印刷プロトコルを使用している)、そして、また、(例えば、HP URLを呼び出し、かつ、ステータス情報を報告するためにそれを使用することによって、更新をチェックするために)HPによって所有されているリソースに定期的にコンタクトしている、ことが判断されたと仮定する。様々な実施形態において、分類情報は、クラスタリングプロセス(教師なし)、および、予測プロセス(教師あり)の両方に渡される。いずれかのプロセスがデバイスの分類に成功した場合、その分類はデバイスデータベース286に保管される。
【0042】
デバイスは、その属性および他の挙動パターンに基づいて、ステージ1(stage one)クラスタリングエンジン280によって、複数のクラスタ(例えば、プリンタのように動作する、HPデバイスのように動作する、等)へとクラスタリングされ得る。クラスタリングエンジン280を実装する1つの方法は、極端勾配ブースティングフレームワーク(extreme gradient boosting framework)(例えば、XGB)を使用することである。ステージ1の分類器は、以前には見られなかったが、既存の既知のデバイスに類似しているデバイスを分類するのに有用であり得る(例えば、サーモスタットの新しいベンダーが、既知のサーモスタットと同様に挙動するサーモスタットデバイスを販売し始めている)。
【0043】
図2Gに示されるように、アクティビティ分類情報は、また、分類器282のセットにも提供され、そして、デバイスについて提供された特徴に基づいて、予測が実行される。2つの可能性が生じ得る。第1シナリオでは、デバイスが既知のデバイスプロファイルに一致する高い確率(すなわち、高い信頼性スコア)が存在していると決定される。そうであれば、デバイスに関する情報がステージ2(stage two)分類器(284)に提供され、それは、(例えば、提供された情報、および、任意の追加の適用可能なコンテキスト情報を使用して)デバイスの識別について最終的な判定(verdict)を行い、そして、それに応じて、デバイスデータベース286を更新する。ステージ2の分類器を実装する1つの方法は、勾配ブースティングフレームワークを使用することである。第2シナリオでは、信頼度スコアが低いと仮定する(例えば、デバイスは、HPプリンタとHPラップトップの両方に50%の信頼度で一致している)。このシナリオにおいて、分類器282によって決定された情報は、クラスタリングにおいて使用可能な追加の情報としてクラスタリングエンジン280に提供され得る。
【0044】
図2Gには、オフラインモデリングモジュール299も、また、示されている。オフラインモデリングモジュール299は、時間制約されていないので、インライン分析エンジン272とは対照的である(一方で、インライン分析エンジン272は、デバイス分類情報を(例えば、メッセージ234として)リアルタイムに提供しようと試みる)。定期的に(例えば、1日に1回、または、1週間に1回)、オフラインモデリングモジュール299(例えば、パイソン(Python)を使用して実装されるもの)は、インライン分析モジュール272によって使用されるモデルを再構築する。アクティビティモデリングエンジン288は、アクティビティ分類278のためにモデルを構築し、それは、また、インライン分析中にデバイス識別のために分類器によって使用される、デバイスタイプモデル(296)についても、また、使用される。ベースラインモデリングエンジン290は、デバイスモデルのベースライン挙動のモデルを構築し、それは、また、キルチェーン(kill chain)といった、特定のタイプのデバイス異常(292)、および、特定のタイプの脅威(294)をモデル化するときにも使用される。生成されたモデルは、様々な実施形態において、モデルデータベース298に保管される。
【0045】
IV.ネットワークエンティティID AAA
【0046】
前述のように、アリスには、ACMEによってラップトップ104が発行されたと仮定する。ネットワーク110の様々な構成要素は、アリスが様々なリソースにアクセスするために使用する際に、アリスのラップトップを認証するように協働する。一つの例として、アリスがラップトップ104をネットワーク110内に配置された無線アクセスポイント(図示なし)に接続するとき、無線アクセスポイントは、ネットワークアクセスをプロビジョニングしながら、AAAサーバ156と(直接的または間接的のいずれかで)通信することができる。別の例として、アリスが、彼女のACME電子メールにアクセスするためにラップトップ104を使用するとき、ラップトップ104は、彼女のインボックス、等フェッチしながら、ディレクトリサービス154と(直接的または間接的のいずれかで)通信することができる。コモディティオペレーティングシステムを実行するコモディティラップトップとして、ラップトップ104は、ラップトップ104が必要とする適切なリソースへのアクセスを得るのを助ける適切なAAAメッセージ(例えば、RADIUSクライアントメッセージ)を生成することができる。
【0047】
前述のように、110といったネットワーク内のIoTデバイス(例えば、デバイス146)によって提起される1つの問題は、そうしたデバイスが、しばしば、「管理されず(“unmanaged”)」(例えば、ネットワーク管理者によって、構成、プロビジョニング、管理されていない、等)、RADIUSといったプロトコルをサポートせず、そして、従って、ラップトップ104などの他のデバイスといったAAAサービスと統合され得ないことである。IoTデバイスにネットワーク110内のネットワークアクセスを提供するために、様々な手法が採用され得るが、それらの各々は欠点を有している。1つのオプションは、ACMEについて、IoTデバイスを(例えば、事前共有鍵(pre-shared key)を介して)ゲストネットワークの使用に制限することである。残念ながら、これは、IoTデバイスが、正当にアクセスを有するべきネットワーク110内の他のノードと通信することができない場合に、IoTデバイスの有用性を制限し得る。別のオプションは、IoTデバイスにネットワーク110に対する無制限なアクセスを許可することであり、セグメント化されたネットワークを有することのセキュリティ上の利益を軽減する。さらに別のオプションは、ACMEについて、所与のIoTデバイスがネットワーク110内のリソースにどのようにアクセスすることができるべきかを管理するルールを手動で指定することである。このアプローチは、一般的に、様々な理由で受け入れ難く/実行不可能である。一つの例として、管理者は、しばしば、IoTデバイスの配備に関与しなくてよく、そして、従って、そうしたデバイスに対するポリシが(例えば、データアプライアンス102において)含まれるべきであることを知らない。管理者が、例えば、アプライアンス102内の特定のIoTデバイスのための(例えば、デバイス112といったデバイスのための)ポリシを手動で構成し得る場合でさえも、そうしたポリシを最新に保つことは、エラーを起こしやすく、かつ、一般的に、ネットワーク110内に存在し得るIoTデバイスの膨大な数を考慮すると、受け入れ難い。さらに、そうしたポリシは、おそらく、単純であり(例えば、CTスキャナ112を、IPアドレス及び/又はMACアドレスによって、特定のネットワークに割り当てる)、そして、CTスキャナ112を含む接続/ポリシに対するよりきめの細かい制御(例えば、手術デバイス対POS(point of sales)端末に対して適用可能なポリシを動的に含む)を許可しない。さらに、CTスキャナ112がデータアプライアンス102に手動で含まれる場合でさえも、前述のように、IoTデバイスは、一般的に、RADIUSといった技術をサポートせず、そして、そうしたAAAサーバにCTスキャナ112のネットワーキングアクセスを管理させることの利点は、そうした技術をより完全にサポートする他のタイプのデバイス(例えば、ラップトップ104)と比較して、制限されるだろう。より詳細に以下で説明されるように、様々な実施形態において、データアプライアンス102は(例えば、IoTサーバ134を介して)、受動的な方法で、ネットワーク110内に存在するIoTデバイスに対して、AAA機能のサポートを提供するように構成されている。
【0048】
以下の説明では、ACMEにおけるアリスの部門が、最近、対話型ホワイトボード144を購入し、その結果、アリスが、他のACME従業員、並びに、ACMEの外部の個人(例えば、ボブ、ベータ大学(Beta University)の研究者であり、それ自体のネットワーク114、データアプライアンス136、および、ホワイトボード146を有している)と共同作業することができる、と仮定する。ホワイトボード146の初期セットアップの一部として、アリスは、ホワイトボードを電源に接続し、そして、(例えば、会議室のコンセントへの)有線接続、または、無線認証情報(例えば、会議室のビジターによる使用のための認証情報)をホワイトボードに提供する。ホワイトボード146がネットワーク接続をプロビジョニングするとき、IoTサーバ134は(例えば、上述のようなネットワークセンサといったメカニズムを介して)、ネットワーク110内の新しいデバイスとして、ホワイトボード146を認識する。この検出に応答して取られる1つのアクションは、セキュリティプラットフォーム140と通信することである(例えば、データベース160内にホワイトボード146について新しいレコードを作成し、そして、ホワイトボード146に関連付けられた任意の現在利用可能なコンテキスト情報を取り出す(例えば、ホワイトボード146の製造業者、ホワイトボード146のモデル、等を取得する))。セキュリティプラットフォーム140によって提供される任意のコンテキスト情報は、データアプライアンス102に提供(および、保管)され得る。それは、今度は、適用可能な場合、ディレクトリサービス154及び/又はAAAサーバ156に提供することができる。適用可能な場合、IoTモジュール138は、ホワイトボード146に関する更新されたコンテキスト情報を、それが利用可能になると、データアプライアンス102に提供することができる。そして、データアプライアンス102は(例えば、IoTサーバ134を介して)、同様に、ホワイトボード146に関する進行中の情報を、セキュリティプラットフォーム140に提供することができる。そうした情報の例は、ネットワーク110上のホワイトボード146の挙動に関する観察(例えば、それが行う接続に関する統計情報)を含み、ホワイトボード146といったデバイスについて挙動プロファイルを構築するために、セキュリティプラットフォーム140によって使用され得る。同様な挙動プロファイルが、他のデバイス(例えば、ホワイトボード144)について、セキュリティプラットフォーム140によって、構築され得る。そうしたプロファイルは、異常な挙動を検出することを含む、様々な目的のために使用することができる。一つの例として、データアプライアンス148は、セキュリティプラットフォーム140によって提供される情報を使用して、温度計152の履歴観測と比較して、かつ/あるいは、類似のモデル、製造業者の他の温度計(図示なし)と比較して、または、より一般的には、他のネットワーク内に存在する温度計を含めて、温度計152が異常に動作しているか否かを検出することができる。異常な挙動が(例えば、データアプライアンス148によって)検出された場合、適切な是正措置が自動的に講じられ得る。ネットワーク116上の他のノードに対する温度計152のアクセスを制限すること、アラートを生成すること、等といったものである。
【0049】
図3は、ネットワーク内のIoTデバイスについてAAAサポートを受動的に提供するためのプロセスに係る一つの実施形態を示している。様々な実施形態において、プロセス300は、IoTサーバ134によって実行される。プロセスは、IoTデバイスによって送信されたパケットのセットが取得されるときに、302において開始する。一つの例として、ネットワーク110上でホワイトボード146が最初にプロビジョニングされるとき、そうしたパケットは、302においてIoTサーバ134によって受動的に受信され得る。パケットは、また、ホワイトボード144に係る後続の使用の最中に、302において受信することもできる(例えば、アリスが、ホワイトボード146を介して、ボブとのホワイトボードセッションを有する際に)。304において、データパケットのセットに含まれる少なくとも1つのパケットが分析される。304で実行される処理の一つの例として、IoTサーバ134は、302で受信されたパケットがホワイトボード146によって送信されていると判定する。IoTサーバ134が取ることができる1つのアクションは、ホワイトボード146をネットワーク110上の新しいIoTデバイスとして識別し、そして、利用可能な場合、IoTモジュール138からコンテキスト情報を取得することである。306において、IoTサーバ134は、IoTデバイスの代わりに、IoTデバイスに関連付けられた情報を含むAAAメッセージを送信する。そうしたメッセージの例が、
図4Aに示されている。前述のように、ホワイトボード146は、RADIUSプロトコルをサポートしていない。しかしながら、IoTサーバ134は、ホワイトボード146の代わりに、(例えば、302で受信された情報を使用して、そして、また、適用可能な場合、セキュリティプラットフォーム140からも)
図4Aに示されるような、メッセージを生成することができる。前述のように、IoTサーバ134がホワイトボード146に関する情報をIoTモジュール138に提供するとき、IoTモジュール138は、種々のアクションをとることができる。データベース160内にホワイトボード146について記録を作成すること、および、その記録にホワイトボード146に関するコンテキスト情報を投入(populating)すること(例えば、その製造業者、モデル番号、等を決定する)といったものである。ホワイトボード146に関する追加のコンテキスト情報がセキュリティプラットフォーム140によって収集されると、そのプロファイルは更新され、そして、データアプライアンス102に伝搬され得る。ホワイトボード146がネットワーク110内で最初にプロビジョニングされるとき、追加のコンテキスト情報が利用可能でないことがある(例えば、セキュリティプラットフォーム140が、そうした追加の情報を有していないか、または、そうした情報をセキュリティプラットフォーム140によってIoTサーバ134に提供することが瞬時(instant)でないことがある)。従って、かつ、
図4Aに示されるように、ホワイトボード146の代わりにIoTサーバ134によって生成されるRADIUSメッセージは、限られた情報を含み得る。追加のコンテキスト情報が(例えば、IoTサーバ134によって、IoTモジュール138から)受信されると、ホワイトボード146の代わりにIoTサーバ134によって送られる後続のRADIUSメッセージは、そうした追加の情報で強化され得る。そうした後続のメッセージの例が、
図4Bおよび
図4Cに示されている。
図4Bは、ホワイトボード146に関するコンテキスト情報(例えば、多種多様なIoTデバイスに関するコンテキスト情報のデータベースを含むもの)が、一旦、IoTモジュール138によって提供されると、ホワイトボード146の代わりに、IoTサーバ134が送信することができる、RADIUSメッセージの一つの例を示している。
図4Bに示される例では、ホワイトボードの製造業者(パナソニック)、および、デバイスの性質(例えば、それがインタラクティブホワイトボードであること)といったコンテキスト情報が含まれている。そうしたコンテキスト情報は、AAAサーバ156といったAAAサーバによって使用されて、(ホワイトボード146を修正する必要なしに)ホワイトボード146に対して、AAAサービスを提供することができる。電話会議機器専用のサブネットワーク上で、自動的にプロビジョニングすることによる、といったものである。他のタイプのIoTデバイスも、また、デバイスタイプ、目的、等といった属性に基づいて自動的にグループ化され得る(例えば、重要な外科手術用機器が、そうした機器専用のサブネットワーク上で自動的にプロビジョニングされ、そして、従って、ネットワーク上の他のデバイスから分離されている)。そうしたコンテキスト情報は、ソーシャルネットワーキングパケットよりもホワイトボード146パケットに優先的な扱いを与えるポリシ(例えば、APP-IDを使用して決定される)といった、トラフィックシェーピングポリシなどのポリシを実施するために使用され得る。きめの細かいポリシは、同様に、重要な外科手術用機器との通信に適用され得る(例えば、そうした機器と通信する任意のデバイスが、期限切れのオペレーティングシステムを有することを防止すること、等)。
図4Cに示される例では、さらに、追加のコンテキスト情報が、ホワイトボード146の代わりに、RADIUSメッセージ内にIoTサーバ134によって含まれている。そうした追加のコンテキスト情報は、デバイスモデル、オペレーティングシステム、および、オペレーティングバージョンといった追加の属性情報を含んでいる。ホワイトボード146がネットワーク110内で最初にプロビジョニングされるとき、
図4Cに示されるコンテキスト情報の全ては、おそらく利用可能ではない。ホワイトボード146がネットワーク110内で経時的に使用されるにつれて、追加のコンテキスト情報が収集され得る(例えば、IoTサーバ134が、ホワイトボード146からのパケットを受動的に観測し続け、そして、セキュリティプラットフォーム140に情報を提供し続けるので)。この追加情報は、きめの細かいポリシを実施するために(例えば、データアプライアンス102によって)活用され得る。一つの例として、
図4Cに示されるように、ホワイトボード146は、Linux(登録商標)ベースであり、かつ、3.16のバージョンを有する、特定のオペレーティングシステムを実行する。頻繁に、IoTデバイスは、アップグレード可能でなく/パッチ可能でないオペレーティングシステムのバージョンを実行する。そうしたデバイスは、それらのオペレーティングシステムについてエクスプロイト(exploits)が開発される際に、セキュリティリスクをもたらし得る。データアプライアンス102は、期限切れのオペレーティングシステムを有するIoTデバイスをネットワーク110内の他のノードから隔離すること(または、そうでなければ、それらのアクセスを制限すること)、一方で、現在のオペレーティングシステムを有するIoTデバイスに対して、より制限の少ないネットワークアクセスを許可すること、等によって、コンテキスト情報に基づいてセキュリティポリシを実装することができる。
【0050】
図4A-
図4Cは、RADIUSアクセス要求メッセージの例を示している。適用可能な場合、IoTサーバ134は、ホワイトボード146の代わりに、様々なタイプのRADIUSメッセージを生成することができる。一つの例として、ホワイトボード146からのトラフィックが最初に観測されたときに、RADIUSアカウンティング開始メッセージが、トリガされ得る。定期的なRADIUSアカウンティング暫定更新メッセージは、ホワイトボードが使用されている間に送信することができ、RADIUSアカウンティング停止メッセージは、ホワイトボード146がオフラインになったときに送信することができる。
【0051】
V.IoTデバイスの発見および識別
【0052】
上述のように、セキュリティプラットフォーム140によって(例えば、IoTモジュール138を介して)実行される1つのタスクは、IoTデバイス分類である。一つの例として、IoTサーバ134が、デバイス発見メッセージをIoTモジュール138に送信すると、IoTモジュール138は、デバイスについて分類を決定し、そして、(例えば、
図2Cに示される判定234により)応答するように試みる。デバイスは、適用可能な場合、デバイスの後続の分類が実行される必要がない(または、適用可能な場合、そうでない場合に実行されるよりも低い頻度で実行される)ように、IoTモジュール138によって一意の識別子に関連付けられる。また、上述のように、決定された分類は、デバイスへの/からのトラフィックに対してポリシを実施するために(例えば、データアプライアンス102によって)使用され得る。
【0053】
デバイスを分類するために、様々な手法が使用され得る。第1アプローチは、組織的に一意の識別子(organizationally unique identifier、OUI)、それが実行するアプリケーションのタイプ、等といった、デバイスの静的属性を活用する、ルール/ヒューリスティクス(heuristics)のセットに基づいて、分類を行うことである。第2アプローチは、そのネットワークトラフィックから抽出されるデバイスの動的であるが、事前定義された属性(例えば、1日当たりに送信されるパケットの数)を活用する、機械学習技法を使用して、分類を行うことである。残念ながら、これらのアプローチは両方とも弱点を有している。
【0054】
ルールベースのアプローチは、一般的に、IoTデバイスの各タイプについて別個のルールが手動で作成されることを必要とする(デバイスの署名のタイプについて、どの属性/値が署名として使用されるべきかを記述している)。このアプローチによって提示される1つの課題は、どの署名が、共に、デバイスを識別することに関連し、かつ、他のデバイス署名の中で一意であるか、を決定することにある。さらに、ルールベースのアプローチでは、トラフィックから容易に取得することができる限られた数の静的属性が利用可能である(例えば、ユーザエージェント、OUI、URL宛先、等)。属性は、一般的に、正規表現(regular expression)が一致することができるパターンで現れるのに十分に単純である必要がある。別の課題は、新しいデバイスが市場に参入する(例えば、CTスキャナの新しいブランドまたはモデルが提供される)際に、存在し/識別可能であり得る、新しい静的属性を識別することにある。別の課題は、ルールがトリガされるためには、ネットワークトラフィック内の全ての一致する属性が収集される必要があることである。より少ない属性では、判定に達することができない。一つの例として、署名は、特定のOUIを有する特定のデバイスが、特定のURLに接続することを要求し得る。OUI自体を有することは、既にデバイスの識別の十分なインジケータであり得るが、署名は、URLも、また、観察されるまでトリガしない。このことは、デバイスの識別を決定することにおいて、さらなる遅延を引き起こす。別の課題は、経時的に変化するデバイスの静的属性として、署名を維持および更新することである(例えば、デバイスまたはデバイスによって使用されるサービスに対して行われる更新のため)。一つの例として、特定のデバイスは、最初に第1タイプのネットワークカードを使用して製造されたが、時間の経過により、製造業者は、(異なるOUIを示す)異なるネットワークカードに切り替えた可能性がある。ルールベースシステムが変更に気付いていない場合、偽陽性(false positive)が結果として生じ得る。さらに別の課題は、毎日オンラインにされる新しいIoTデバイスの数が、数百万の新たなデバイスインスタンスに近づくときの、署名の生成/検証のスケーリングにある。その結果として、新たに作成されたルールは、既存のルールと競合し得るものであり、そして、分類において偽陽性を引き起こす。
【0055】
機械学習ベースのアプローチは、一般的に、ネットワークトラフィックから抽出された静的特徴及び/又は動的特徴に基づいて、トレーニングモデルを作成することを含んでいる。新しいIoTデバイスからのネットワークデータに対する予測の結果は、関連する精度を有するデバイスの識別情報を提供する事前にトレーニングされたモデルに基づいている。機械学習的アプローチの問題の例は、以下のようである。予測が、新しいデバイスごとに、または、一定/一意のID(例えば、MACアドレス)を有していないデバイスに対して行われる場合、所望の精度に達するために必要とされる計算時間は許容できないことがある。生成される必要がある数千または数万の特徴が存在し、かつ、それらの特徴が、既定の時間ウィンドウ(time window)にわたり変換することがあり、有効な予測を行うために十分な数の特徴が利用可能になる前に、かなりの時間を要している(それは、ポリシ実施の目的を無効にし得る)。さらに、予測における遅延を最小限にすることが目的である場合には、ネットワークデータをストリーミングするための大規模なデータパイプラインを構築し、かつ、維持するためのコストが高くなり得る。さらに別の問題は、所与の展開環境に特有の無関係な特徴によってもたらされるノイズが、予測の精度を低下させ得ることである。そして、デバイスタイプの数が数万以上に達するときは、モデルを維持すること、および、更新することに課題が存在している。
【0056】
様々な実施形態において、セキュリティプラットフォーム140は、分類に対してハイブリッドアプローチを使用することによって、2つの前述のアプローチのそれぞれの問題に対処する。例示的なハイブリッド手法では、ネットワーク挙動パターン識別子(本明細書では、また、パターンIDとも呼ばれる)が、デバイスの各タイプについて生成される。様々な実施形態において、パターンIDは、(特徴または挙動カテゴリについて重要性スコアとして)それぞれの確率と組み合わせられた、属性またはシーケンス特徴のリストであり、それは、別個のネットワーク挙動記述を形成し、そして、IoTデバイスのタイプを識別するために使用され得る。パターンIDは、(例えば、データベースに)保管され、そして、デバイスの識別を識別/検証するために使用され得る。
【0057】
属性のセットについてトレーニングするときに、極端勾配ブースティングフレームワーク(例えば、XGB)といった、所定のアプローチは、(静的属性、動的属性、及び/又は、アグリゲートされ/変換された値であるか、にかかわらず)重要な特徴のトップリストを提供することができる。パターンIDは、一旦確立されたデバイスタイプを一意に識別するために使用され得る。特定の特徴がデバイスについて支配的である場合(例えば、特定の静的特徴(ブート時に非常に特定的なURLに連絡する、といったこと)が、98%の信頼度でデバイスを識別する)、それらは、ルールを自動的に生成するために、使用され得る。支配的な特徴が存在しない場合であってさえ、上位の特徴の表現は、それでもなお、パターンIDとして使用され得る(例えば、複数の特徴のセットがパターンに連結されている場合)。全ての既知のモデル(および、全ての既知のIoTデバイス)を含むデータセットについてトレーニングすることによって、モデル/一意に識別する特徴の間の潜在的な競合が回避され得る。さらに、パターンIDは、人間が読み取り可能である必要はない(しかし、識別目的のために、保管、共有、及び/又は、再使用され得る)。このアプローチによって、著しい時間節約も、また、実現され得る。その結果、ほぼリアルタイムの分類に使用され得る。支配的な特徴が観察されるとすぐに(多数の特徴が発生するまで待つことを要する代わりに)、特定のデバイスの分類が発生し得る。
【0058】
“Teem Room Display iPad(登録商標)”デバイスについてパターンIDを作成するために使用され得るデータの一つの例は、以下を含み得る(多変量モデルのトレーニングまたは複数のバイナリモデルのトレーニングを通して自動的に生成された完全なリストを伴う)。
*Appleデバイス(100%)
*特別なiPad(>98.5%)
*ティームルームアプリ(>95%)
*ボリュームパターンVPM-17を満たす(>95%)
*クラウド内サーバ(>80%)
【0059】
ハイブリッドアプローチを実施する一つの例示的な方法は、以下のとおりである。ニューラルネットワークベースの機械学習システムが、自動化されたパターンIDトレーニングおよび生成のために使用され得る。ニューラルネットワークモデルをトレーニングするために使用され得る特徴の例は、ネットワークトラフィックから抽出された静的特徴(例えば、OUI、ホスト名、TLS指紋、一致したL7ペイロード署名、等)、および、ネットワークトラフィックから抽出されたが環境に固有ではないシーケンス特徴(例えば、アプリケーション、アプリケーションのL7属性、カテゴリ特徴に変換されたボリューム範囲、等)の両方を含んでいる。特徴生成のために選択されたネットワークデータをリアルタイムでストリーミングするために、軽量(lightweight)データパイプラインが使用され得る。予測エンジンは、モデルをインポートし、そして、予測の遅延を最小化するようにキャッシングを提供するために、使用され得る。予測においては、短い(例えば、分ベースの)集約が、選択された配列特徴を安定化するために、使用され得る。カスタマイズされたデータ正規化、強化、集約、および、変換技術が、配列特徴を操作するために、使用され得る。より良好な精度のために、より長い集約ウィンドウが、トレーニングにおいて使用され得る。時間の経過にわたり、マージされ、そして、集約されている特徴を用いて、予測について精度が改善され得る。バックエンドフィードバックエンジンは、パターンID予測のために使用される属性を拡張するのに役立つ、「スローパス(“slow path”)」予測システム(例えば、デバイスタイプのモデリングサブシステム、および、デバイスグループのモデリングサブシステムを含む、機械学習ベースのアプローチ)の結果をルーティングするために使用され得る。デバイスグループモデルは、十分なサンプルまたは特徴が利用可能でないときに、デバイスタイプモデルに伴う問題を補償して、許容可能な閾値を超えて精度を改善するようにトレーニングされ得る(例えば、既定のタイプのセットに基づいて予測結果を割り当てること、そのうちのいくつかは、ラベル付けされていない同様のタイプのデバイスをクラスタ化するために別のサブシステムに付随する)。最終的に、リアルタイム予測エンジンからの結果を公開するために、判定モジュールが使用され得る。
【0060】
本明細書で説明されるような、分類に対するハイブリッドアプローチの例示的な利点は、以下のとおりである。第1に、高速収束(fast convergence)が発生し、所与のデバイスが、数分または数秒以内に潜在的に識別されることを可能にする。第2に、本発明は、ルールベースおよび機械学習ベースのシステムの個々の問題に対処する。第3に、それは、予測結果における安定性および一貫性を提供する。第4に、それは、数万(または、それ以上)の異なるタイプのIoTデバイスをサポートするスケーラビリティを有している。予測は、一般的に、新しいデバイスに対してのみ必要とされる(所与のデバイスが、L3ネットワークトラフィックベースの識別といった、一意のID割当てを欠いている場合でさえも)。
【0061】
モジュール138の実施形態を
図5に示されている。IoTモジュール138を実装する一つの例示的な方法は、サービスが細粒度(fine-grained)であり、かつ、プロトコルが軽量である、マイクロサービスベースのアーキテクチャを使用することである。サービスは、また、適用可能な場合、異なるプログラミング言語、データベース、ハードウェア、および、ソフトウェア環境、及び/又は、メッセージング対応であり、コンテキストによって境界を定められ、自律的に開発され、独立して展開可能であり、分散され、そして、自動化されたプロセスを用いて構築およびリリースされる、比較的小さいサービス、を使用して実装され得る。
【0062】
前述のように、様々な実施形態において、セキュリティプラットフォーム140は、ネットワーク(例えば、ネットワーク110)上でIoTデバイスに関する情報を(例えば、データアプライアンス102から)定期的に受信する。いくつかのケースにおいて、IoTデバイスは、セキュリティプラットフォーム140(例えば、昨年ネットワーク110上にインストールされたCTスキャナ)によって以前に分類されている。他のケースにおいて、IoTデバイスは、セキュリティプラットフォーム140によって新たに見られる(例えば、ホワイトボード146が初めて設置されている)。所与のデバイスがセキュリティプラットフォーム140によって以前に分類されていないと仮定する(例えば、一意のデバイス識別子、および、関連付けられたデバイス情報のセットを保管するデータベース286内に、デバイスのエントリが存在しない)。
図5に示すように、新しいデバイスに関する情報は、分類のために2つの異なる処理パイプラインに提供され得る。パイプライン504は、(パターンIDベースの方式に対応する)「高速パス(“fast path”)」の分類用パイプラインを表し、そして、パイプライン502は、(機械学習ベースの方式に対応する)「低速パス(“slow path”)」の分類用パイプラインを表している。
【0063】
パイプライン504においては、高速パス特徴エンジニアリングが実行され(508)、デバイスの適用可能な静的特徴およびシーケンス特徴を識別する。高速パス予測が、パターンIDまたは以前に構築されたモデルを使用して(例えば、上位の重要な特徴に基づいて、かつ、オフライン処理パイプライン506を使用して構築されたモデル)、実行される(510)。特定のパターンに一致しているデバイスの信頼性スコアが決定される(512)。デバイスに対する信頼性スコアが事前トレーニングされた閾値を満たす場合(例えば、0.9といった、モジュール138、または、その構成要素の全体的な予測精度に基づく)、分類は、適用可能な場合、(デバイスデータベース516内の)デバイスに割り当てられるか、または、更新され得る。最初に、信頼度スコアは、ほぼリアルタイムの高速パス処理に基づいている。このアプローチの利点は、データアプライアンス102が、デバイスのトラフィックにポリシを非常に迅速に適用し始めることができることである(例えば、モジュール138がデバイスを新規/未分類として識別してから数分以内)。アプライアンス102は、システム140からの分類判定を保留(pending)して、フェイルセーフ(fail-safe)(例えば、種々のネットワークリソースにアクセスするデバイスの能力を低減/制限する)、または、フェイルセーフ(例えば、デバイスの広範なアクセスを可能にする)するように構成され得る。追加の情報が利用可能になると(例えば、低速パス処理を介して)、適用可能な場合、信頼度スコアは、その追加情報に基づくことができる(例えば、信頼度スコアを増加させること、または、高速パス分類の最中になされた誤りを修正/訂正すること)。
【0064】
使用することができる特徴(例えば、静的属性および配列特徴)の例は、以下を含んでいる。パターンIDは、以下を含む、論理条件を伴う、これらの属性の任意の組み合わせであり得る。
*macアドレス内のOUI
*復号されたプロトコルからのホスト名文字列
*HTTP、および他のクリアテキストプロトコルからのユーザエージェント文字列
*復号されたSNMP応答からのシステム名文字列
*復号されたLDAPプロトコルからのOS、ホスト名、ドメイン、およびユーザ名
*復号されたDNSプロトコルからのURL
*SMBバージョン、コマンド、復号されたSMBプロトコルからのエラー
*TCPフラグ
*復号されたDHCPプロトコルからのオプション文字列
*医療におけるデジタル画像および通信(Digital Imaging and Communications in Medicine、DICOM)といった、復号されたIoTプロトコルからの文字列
*ローカルネットワークからのインバウンドアプリケーションのリスト
*インターネットからのインバウンドアプリケーションのリスト
*ローカルネットワークへのアウトバウンドアプリケーションのリスト
*インターネットへのアウトバウンドアプリケーションのリスト
*ローカルネットワークからのインバウンドサーバポートのリスト
*インターネットからのインバウンドサーバポートのリスト
*ローカルネットワークへのアウトバウンドサーバポートのリスト
*インターネットへのアウトバウンドサーバポートのリスト
*ローカルネットワークからのインバウンドIPのリスト
*インターネットからのインバウンドURLのリスト
*ローカルネットワークへのアウトバウンドIPのリスト
*インターネットへのアウトバウンドURLのリスト
【0065】
いくつかのケースにおいては、512で決定された信頼度スコアが非常に低いことがある。これが起こり得る1つの理由は、デバイスが新しいタイプであり(例えば、セキュリティプラットフォーム140によって以前に分析されていない新しいタイプのIoT玩具または他のタイプの製品)、そして、セキュリティプラットフォーム140上でデバイスについて利用可能な対応するパターンIDが存在しないためである。そうしたシナリオにおいて、デバイスに関する情報および分類結果は、例えば、デバイスによって示される挙動および他の適用可能な情報に対してクラスタリング(514)を実行することができる(例えば、デバイスが無線デバイスであること、プリンタのように作用すること、DICOMプロトコルを使用すること、等を判定するため)、オフライン処理パイプライン506に提供され得る。クラスタリング情報は、ラベルとして適用され、そして、適用可能な場合、追加の調査518のためにフラグ付けされて、その後に続いて見られる任意の類似のデバイスは自動的に一緒にグループ化される。調査の結果として、所与のデバイスに関する追加情報が決定される場合(例えば、新しいタイプの消費者向けIoT食肉温度計(meat thermometer)に対応するものとして識別される)、デバイス(および、同様の特性を有する全ての他のデバイス)は、それに応じて(例えば、ブランドXYZ食肉温度計として)再ラベル付けすることができ、関連付けられたパターンIDを生成され、そして、適用可能な場合(例えば、モデルが再構築された後に)、パイプライン502/504によって使用可能にすることができる。様々な実施形態において、オフラインモデリング520は、IoTデバイス識別のために使用される様々なモデル522をトレーニングし、かつ、更新するために毎日実行するプロセスである。様々な実施形態において、モデルは、新しいラベル付けされたデバイスをカバーするために毎日リフレッシュされ、そして、(低速パスパイプライン502について)挙動変化を反映し、かつ、その週の間に追加された新しい特徴およびデータインサイトに適応するために、毎週再構築される。新しいタイプのデバイスをセキュリティプラットフォーム140に追加するとき(すなわち、新しいデバイスパターンを作成する)、複数の既存のデバイスパターンが影響を受ける可能性があり、特徴のリストまたはそれらの重要性スコアのいずれかが更新されるのを必要とすることに留意すること。このプロセスは、自動的に実行され得る(そして、ルールベースのソリューションと比較して大きな利点である)。
【0066】
高速パスモデリングのために、ニューラルネットワークベースのモデル(例えば、FNN)、および、一般的な分類モデル(例えば、XGB)が、多変数機械学習モデルのために広範に使用されている。結果を改善し、クラスタリングへの入力を提供するのを助けるために、選択されたプロファイルについて、バイナリモデルも、また、構築される。バイナリモデルは、デバイスの識別情報、または、デバイスの所定の挙動に対して、はい/いいえ(yes/no)の回答を与える。例えば、デバイスがIP電話のタイプであるか、または、IP電話である可能性が低いかを判定するために、バイナリモデルが使用され得る。多変量モデルは、1の確率に対して正規化された多くの出力を有する。各出力は、デバイスのタイプに対応している。バイナリモデルは、一般的には、より高速であるが、正しい「はい(“yes”)」の答えを見つけることができるように、デバイスが、予測においてそれらの多くを通過することが必要となる。多変量モデルは、1つのステップで、それを達成することができる。
【0067】
低速パスパイプライン502は、特徴が抽出される(524)という点で、パイプライン504と同様である。しかしながら、パイプライン502によって使用される特徴は、典型的には、構築するために、ある期間を要する。一つの例として、「1日当たりに送信されるバイト数」という特徴は、収集するために1日を必要とする。別の例として、所定の使用パターンは、発生/観察されるのに、ある期間を要し得る(例えば、CTスキャナは、スキャンを実行するために毎時使用され(第1挙動)、データを毎日バックアップし(第2挙動)、そして、毎週更新について製造業者のウェブサイトを毎週チェックする(第3挙動))。低速パスパイプライン502は、特徴の完全なセットに対して新しいデバイスインスタンスを分類する試みにおいて、多変量分類器(526)を呼び出す。使用される特徴は、静的特徴またはシーケンス特徴に限定されるものではなく、同様に、ボリュームおよび時系列ベースの特徴も含む。これは、一般的に、ステージ1予測と呼ばれる。ステージ1予測の結果が最適でない場合(信頼度が低い)、特定のプロファイルについて、結果を改善するためにステージ2予測が使用される。低速パスパイプライン502は、新たなデバイスインスタンスを分類するために、追加のインポートされたデバイスコンテキストによってサポートされる決定木分類器のセット(528)を呼び出す。追加のデバイスコンテキストは、外部ソースからインポートされる。一つの例として、デバイスが接続したURLは、特徴として含まれ得るカテゴリおよびリスクベースの評判が与えられてきてよい。別の例として、デバイスによって使用されるアプリケーションは、特徴として含まれ得るカテゴリおよびリスクベースのスコアを与えられてきてよい。ステージ1予測526およびステージ2予測528からの結果を組み合わせることによって、低速パス分類の最終判定が、導出された信頼性スコアを用いて達成され得る。
【0068】
一般的には、低速パスパイプライン502に含まれる、2つのステージが存在している。低速パスパイプラインでは、いくつかの実施形態において、ニューラルネットワーク技法に基づいて、ステージ1モデルが、多変量分類器を用いて構築される。低速パスパイプラインのステージ2は、一般的に、ステージ1の確率関連の例外を処理するための追加の論理を伴う決定ベースモデルのセットである。予測において、ステージ2は、ステージ1からの入力を統合し、ルールおよびコンテキストを適用して、ステージ1の出力を検証し、そして、低速パスの最終出力を生成する。最終的な出力は、デバイスの識別情報、全体的な信頼度スコア、将来の高速パスパイプライン504に使用され得るパターンID、および、説明リストを含む。信頼性スコアは、モデルの信頼性および精度(モデルは、また、信頼性スコアも有している)、および、分類の一部としての確率に基づいている。説明リストは、結果に寄与する、特徴のリストを含む。上述のように、結果が既知のパターンIDから逸脱した場合に、調査がトリガされ得る。
【0069】
いくつかの実施形態においては、低速パスモデリングについて、2つのタイプのモデルが構築される。1つは、個人識別のためのものであり、そして、1つは、グループ識別のためのものである。例えば、異なるベンダーからの、または、異なるモデルを有する2つのプリンタ間の差異を見分けることは、しばしば、温度計からプリンタを区別することよりも困難である(例えば、プリンタは、ネットワーク挙動を示し、類似のプロトコルを話す、等の傾向があるため)。様々な実施形態においては、様々なベンダーからの様々なプリンタがグループの中に含まれ、そして、「プリンタ(“printer”)」モデルが、グループ分類のためにトレーニングされる。このグループ分類結果は、特定のプリンタの特定のモデルよりも良好な精度を提供することができ、そして、適用可能な場合、デバイスの信頼度スコアを更新するため、または、個々のプロファイルの識別情報ベースの分類に対して参照および検証を提供するために使用され得る。
【0070】
図6は、IoTデバイスを分類するためのプロセスに係る一つの例を示している。様々な実施形態において、プロセス600は、セキュリティプラットフォーム140によって実行される。プロセス600は、また、適用可能な他のシステム(例えば、IoTデバイスとオンプレミスで共配置(collocate)されたシステム)によって実行され得る。プロセス600は、IoTデバイスのネットワーク通信に関連付けられた情報が受信されたとき、602において開始する。一つの例として、そうした情報は、データアプライアンス102が、所与のIoTデバイスのデバイス発見イベントをセキュリティプラットフォーム140に送信するときに、セキュリティプラットフォーム220によって受信される。604では、デバイスが分類されていない(または、適用可能な場合、再分類が実行されるべきである)という決定が行われる。一つの例として、プラットフォーム140は、デバイスが分類されているか否かを判定するために、データベース286にクエリすることができる。606では、二部(two-part)分類が実行される。一つの例として、606において、高速パス情報の提供パイプライン504および低速パス分類パイプライン502の両方に対して、デバイスに関する情報を提供して、プラットフォーム140によって、二部分類が実行される。最終的に、608では、606で実行された分類プロセスの結果が、IoTデバイスに対してポリシを適用するように構成されたセキュリティアプライアンスに提供される。上述のように、これは、高度にきめの細かいセキュリティポリシが、最小限の管理努力を用いて潜在的にミッションクリティカルな環境において実装されるのを可能にする。
【0071】
プロセス600を実行する第1例において、Xbox Oneゲームコンソールがネットワーク110に接続されていると仮定する。分類の最中には、デバイスが以下の主要な特徴を有するという決定がなされ得る。100%の信頼度を有する「ベンダーはマイクロソフトである(“vendor=Microsoft”)」特徴、89.7%の信頼度を有する「マイクロソフトクラウドサーバと通信する(“communicates with Microsoft cloud server”)」特徴、および、78.5%の信頼度を有する「ゲームコンソール(“game console”)」の一致特徴。これらの3つの特徴/信頼度スコアは、デバイスをXbox Oneゲームコンソールであると識別するために、プロファイルIDのセット(ニューラルネットワークベースの予測によって行われるプロセス)に対して集合的に照合され得る(すなわち、512において、閾値を満たすプロファイルID一致が見出される)。第2例においては、AudioCodes IP電話がネットワーク110に接続されていると仮定する。分類の最中に、デバイスが、100%の信頼度で「ベンダーはAudioCodesである(“vendor=AudioCodes”)」特徴に一致し、98.5%の信頼度で「IPオーディオデバイスである(“is IP audio device”)」特徴に一致し、かつ、66.5%で「ローカルサーバのように動作する(“act as local server”)」特徴に一致する、という判定を行うことができる。これらの3つの特徴/信頼度スコアは、また、プロファイルIDのセットに対しても照合されるが、このシナリオでは、十分な信頼度で一致する既存のプロファイルIDは無いものと仮定する。デバイスに関する情報は、次いで、クラスタリングプロセス514に提供され得る。そして、適用可能な場合、新しいプロファイルIDが最終的に生成され、かつ、デバイスに関連付けされ得る(そして、将来のデバイスを分類するために使用される)。
【0072】
適用可能な場合、セキュリティプラットフォーム140は、決定された分類に基づいて特定のポリシを推奨することができる。以下は、実施することができるポリシの例である。
*全ての注入ポンプについて(ベンダーに関係なく)インターネットトラフィックを拒否する。
*所定のGEホストから/へ(from/to)を除いて、全てのGE ECGマシンについてインターネットトラフィックを拒否する。
*全てのCTスキャナについて(ベンダーに関係なく)画像保存通信システム(Picture Archiving and Communication System、PACS)サーバへの内部トラフィックのみを許可する。
【0073】
VI.IoTデバイスのアプリケーションワークロードキャプチャ
【0074】
いくつかのタイプのセキュリティ脅威は、単一のパケットまたはイベントの遵守に基づいて、リアルタイムで検出され、かつ/あるいは、防止され得る。一つの例として、データアプライアンス102は、ファイルの署名を既知の不良ファイルのリストと比較することによって、既知の悪意のあるファイル(例えば、悪意のあるウェブサイトからクライアントデバイス104によって行われる試行ファイルダウンロードとして、または、添付ファイルとしてクライアントデバイス104に送信されるものとして)の試行送信(attempted transmission)を検出/ブロックすることができる。他のタイプのセキュリティ脅威は、識別するために、より大きなデータセット(例えば、パケットキャプチャ)を必要とする。
【0075】
ネットワークトラフィック分析は、(例えば、トラフィックがデータアプライアンス102を通って流れる際に、データアプライアンス110によって)リアルタイムで実行され得る。そして、また、インシデント後のフォレンジック、リサーチ、等と併せて、(例えば、以前に保管されたトラフィックを分析するセキュリティプラットフォーム140によって)オフラインで実行され得る。残念ながら、いくつかのコンピューティングリソースの利用可能性は急速に成長し続けているが(例えば、クラウドベースのストレージおよびクラウドベースの計算能力)、一方で、他のリソース(例えば、データアプライアンス102のストレージおよび計算能力)は限られている。一つの例として、データアプライアンス102の実施形態は、毎秒数千のネットワークトランザクションを処理し得る。これは、数万以上の個々のパケット(潜在的には、1日当たり数テラバイトのパケット)に変換される。この量のデータをリアルタイムで保管して、処理することは、例えば、データアプライアンス102のハードウェア仕様に基づいて、困難であり/実行不可能であり得る。さらに、全てのパケットを保管して、処理することが可能であったとしても、それは、非常に高価である可能性が高く(例えば、クラウドストレージおよび関連するコンピューティングリソースを購入するコスト)、かつ/あるいは、そうでなければ、悪影響を及ぼす(例えば、データアプライアンス102に課される計算オーバーヘッドに起因して、エンドユーザによって経験されるネットワーク速度/性能の低下)。従って、リアルタイムトラフィック分析およびインシデント後のフォレンジック分析といった複雑なタスクを最もよくサポートするために、どのネットワークトラフィックがキャプチャされるかを優先順位付けすることができ、一方で、同時に、データアプライアンス102といったデータアプライアンス、および、そのリソースによって処理されるネットワークトラフィックの量に合わせてスケーリングすることもできることが、現在、必要とされている。
【0076】
図7は、IoTサーバの一つの実施形態を示している。前述のように、IoTサーバは、物理的であるか仮想化されているかにかかわらず、スタンドアロンサーバ(または、サーバのセット)としてのものを含み、種々の形態をとることができそして、また、適用可能な場合、(例えば、IoTサーバ134として)データアプライアンス102と共配置され/その中に組み込むこともできる。IoTサーバ134には、リアルタイム優先度リングバッファ702が含まれる(循環バッファ、循環キュー、または循環バッファとしても、また、呼ばれ得る)。バッファ702は、生のIoTネットワークセッションデータを保管する。バッファ702の一つの例示的な実装において、総バッファサイズは、任意的にスナップショットのためにリザーブされた追加の空間を伴う500MBのRAMである。バッファのサイズは、変化し得る。しかしながら、バッファサイズに対する制約は、リングバッファ内のIoTネットワークデータが、典型的には、低い情報密度を有するので、より大きいバッファを通してソートすることは、労力に値しないだろうということである。例示的な実装において、リングバッファ702は、それぞれ10MBのサイズを有する50個のバッチへと分割される。所与のバッチは、ある期間についてトラフィックデータ(例えば、生のトラフィックデータ)を含み、そして、バッチサイズ制限の10MBに達すると、新しいバッチが、トラフィックデータで満たされる。代替的な例においては、各ファイルについて時間ベースのIDが使用され、そして、バッチは時間によってインデックス付けされる。リングバッファ702は、1つが消費されるときにその要素をシャッフルさせる必要はなく、固定した最大サイズを有することができ、一定時間のキュー(queue)動作を有することができ、そして、書き込まれた第1データが上書きされた第1データであるという点で、先入れ先出し(FIFO)キュー列を連想させる方法で、古いデータを新しいデータを用いて上書きする。
【0077】
着信パケットが到着すると(710)、それらは、(例えば、バークレーパケットフィルタ(Berkeley Packet Filter、BPF)を介して)キャプチャのためにカーネルによって利用可能にされ得る。IoTサーバ134は、リングバッファ702と共に様々なタスクを実行する。第1タスクは、(例えば、BPFから)受信するパケットのサブセットを、リングバッファ702の中へ選択的に配置することである。第2タスクは、リングバッファ702からパケットのフローを選択的に抽出することである(例えば、トリガのアクティブ化に応答して、オフラインストレージ704に送信すること)。IoTサーバ134は、最も関心のあるフローに対応するトラフィックを自分の都合の良いように保存し、そして、(例えば、アラートがトリガした場合に)永続的な保管および後続の分析のために(例えば、コンテキスト情報として)パケットを提供することができる。
【0078】
A.ターゲット取得
【0079】
ルールエンジン706は、IoTサーバ134がパケットをリングバッファ702にいつ受け入れるべきか(例えば、どのような状況下で、IoTトラフィックがキャプチャされるべきか、および、どのIoTデバイスに関してか)を決定するための命令を、IoTサーバ134に提供するように構成されている。一つの例示的な実施形態において、ルールエンジン706は、IoTモジュール138に含まれており(例えば、1つ以上のスパークアプリケーション295として)、そして、IoTサーバ134がキャプチャターゲットを識別するのを手助けする。ターゲットマネージャ708は(例えば、1つ以上のスクリプトのセットとして実装され)、ルールエンジン706(および、適用可能な場合、データアプライアンス102自体のデバイスおよびネットワークトラフィックの観察)によって提供される情報を使用して、トラフィックキャプチャのためのターゲットのリストを維持する。より詳細に以下で説明されるように、トラフィックキャプチャは、所与のターゲットIoTデバイスに関連する全てのネットワークトラフィックに対して実行され得る。そして、また、(例えば、特定のプロトコルを使用して、特定のIPアドレス及び/又はポートへの/からのトラフィックといった、1つ以上の特定の種類のトラフィックに関連するトラフィック、及び/又は、ターゲットデバイスに関連する特定のアプリケーションに関係するトラフィックに)選択的に狭められる得る。
【0080】
IoTトラフィックがキャプチャされるべきか否かを決定する際の一つの例示的な考慮事項は、IoTデバイスに関連付けられたリスクレベルである。リスクレベルの一つの例は、以下のような、0-100ポイントのスケールにおけるスコアである。
*0-39 デバイスは、ノーマル/低リスクをもたらす。
*40-69 デバイスは、中リスクをもたらす(例えば、製造業者のデフォルトパスワードを使用するといった、悪いユーザプラクティスが観察された)。
*70-89 デバイスは、高リスクをもたらす(例えば、デバイスよって、または、それに対してエクスプロイトが試みられたか、または、デバイスが、危険なインターネットサイトにアクセスしようと試みた)。
*90-100 デバイスは、重大な危険をもたらす(例えば、デバイスの既知のブリーチ(breach)が発生した)。
様々な実施形態において、リスクレベルは、(例えば、上記で説明したように、IoTモジュール138によって分析されて、保管された様々な情報に基づいて)IoTモジュール138によって決定され、そして、様々な方法でキャプチャするためのIoTトラフィックを選択するために使用され得る。第1例において、ルールは、80以上のリスクスコアを有するネットワーク110内の全てのIoTデバイスのトラフィックをキャプチャすることをターゲットとするように設定され得る。所与のデバイスが、定期的に、かつ、一貫して60以下のスコアを有する場合に、そのトラフィックは、(他の適用可能な条件が満たされない限り)キャプチャされない。しかしながら、デバイスのリスクが80ポイントに上昇したという観察が行われた場合(例えば、デバイスが特所定の危険なアクションを取ることが観察された、デバイスのベンダーが脆弱性警告を発行した、または、デバイスのファームウェアが期限切れである場合)、そのデバイスは、ターゲットリストに追加され、そして、そのトラフィックの少なくとも一部のキャプチャが開始される。代替的な例において、ルールは、特定のスコアに達したか否かにかかわらず、閾値量(例えば、50ポイント以上のゲイン)だけセキュリティスコアが上昇する、IoTデバイスのトラフィックをキャプチャすることをターゲットにするように設定され得る。一つの例として、デバイスが、典型的には、スコア20のリスクを有するが、その後、(例えば、特定の危険なアクティビティの遵守に基づいて)スコア70のリスクを有する場合に、それは、ターゲットリストに追加され得る。
【0081】
IoTトラフィックがキャプチャされるべきか否かを決定する際の別の例示的な考慮事項は、IoTデバイスに対して検出された構成変更/挙動変化である(例えば、IoTデバイスが、異なる方法で既存のアプリケーションを使用し始めるか、または、新しいアプリケーションを使用し始める場合)。適用可能な場合、キャプチャは、変更されたアプリケーションに関連するトラフィックだけに範囲を限定され得る。
【0082】
選択的IoTデバイストラフィックキャプチャを実行するためのいくつかの特定の例示的なシナリオは、以下のとおりである。
*IVポンプは、適用可能な新しい共通の脆弱性とエクスポージャ(Common Vulnerabilities and Exposure、CVE)エントリの発行、および、ポンプの典型的な挙動に一致しない異常な接続の観察に起因して、IoTモジュール138によって、そのリスクスコアが(例えば、50から80に)上昇される。
*セキュリティカメラのセットは、第1サブネットから、以前に観察されていないネットワークからのインバウンド接続を可能にする異なるサブネットに再配置される。この構成変更は(カメラに関連する既存のCVEと共に)、それをキャプチャのターゲットにする。
*X線機械は、毎時間、インストールされたセキュリティエージェントからセキュリティサーバへの決まった(routine)ハートビート(heartbeat)接続を有している。X線機械はハートビートを失い始める。この観察された変化は、それをキャプチャのターゲットにする。
*マイクロソフトリモートデスクトッププロトコル(Remote Desktop Protocol、RDP)脆弱性が、マイクロソフトによって、発見され、発行されている。RDPプロトコルを利用する全てのIoTデバイスは、上昇したリスクスコアを有し、潜在的に、それらをキャプチャのためのターゲットとして適格にする。
【0083】
RDP脆弱性を例として使用すると、トラフィックキャプチャをターゲットにするためのルールは、以下のように指定することができる。
if risk_score changes and risk_score>medium and application==RDP
then tag=on and hours=24
【0084】
このルールは、デバイスのリスクスコアが高(high)または重大(critical)に変化し、かつ、それが使用しているアプリケーションがRDPである場合、関連付けられたパケット(本明細書では「RDPワークロード(“RDP workload”)」とも呼ばれる)が24時間にわたりキャプチャされるべきであることを規定する。パケットキャプチャを制限するために使用され得るルールの他の例は、ターゲットリストにおける所与のIoTデバイスについて、特定のIPアドレスへの/からの(または、特定のウェブサイトを介して交換される)トラフィック、または、特定の時間ウィンドウ(例えば、月曜日の午前8時-午前8時30分)において発生するトラフィックのみがキャプチャされることを指定するルールを含んでいる。
【0085】
デバイス上で実行している各アプリケーションは、データアプライアンスによって観察され得る対応するフロー(例えば、データアプライアンス102によって観察されるTCPフローまたはUDPフロー)を有している。前述のように、所与のIoTデバイスに関連する全てのパケットがキャプチャされ得る一方で、パケットキャプチャに対する全体的な負荷は、特定のフローに関連するパケットのみをキャプチャすることによって低減され得る。トランスポート層において、フローは、5タプルによって一意に識別され得る。すなわち、<src_ip,src_port,dst_ip,dst_port,prot>であり、ここで、src_ipはソースIPアドレスであり、src_portはソースポート番号であり、dst_ipは宛先IPアドレスであり、dst_portは宛先ポート番号であり、そして、protはプロトコル番号である。ハッシュテーブルは、それぞれ一意の5タプルを整数フロー識別子にマッピングするために、使用することができる。パケットが到着すると、ハッシュテーブルをルックアップするために、そのトランスポート層ヘッダ内の5タプルが使用され、フロー識別子が存在する場合はそれを発見し、または、そうでない場合は新しいものを作成する。IoTサーバ134が特定のフローに非常に具体的にフォーカスすることができる1つの方法は、パケットタグ付け器(packet tagger)712(例えば、スクリプトのセットとして実装可能)を用いて、それら(および、それらのパケット)にタグ付けすることを通じたものである。フロー内の第1パケットが受信されると(TCPの場合、例えば、TCPSYNパケットがクライアントによってサーバに送信される)、パケットが適用可能なターゲット設定(targeting)ルールに一致する場合に、パケットタグ付け器712は、フローにタグ付けする(例えば、5タプルをタグ付けリストに追加する)。後続のパケットが受信されると、それらの5タプルがタグ付けリストに現れる場合、それに応じて、リングバッファ702の中へ受け入れられ得る。
【0086】
上記の例において、かつ、逆に、ターゲットは、リスクスコアが正常に戻ったとき、または、他の条件(同じルールによって設定され得るもの)が満たされた(例えば、定義された数のセッションがキャプチャされた、または、ある期間が経過した)ときに、除去され得る。
【0087】
B.パケット抽出
【0088】
パケットが到着し続けると、リングバッファ702は、最終的に、そのストレージ内の古いパケットを新しいパケットで自動的に上書きし始める(すなわち、データは、比較的に短い時間期間についてリングバッファ上に残る)。特定の攻撃または他のセキュリティ関連の問題がより長い期間にわたり発生する場合には、検出を回避することができる(例えば、4日間分のトラフィックを必要とするネットワークトラフィック分析は、2時間のトラフィックしか利用可能でない場合には成功しないことがある)。パケットをリングバッファ702の中へ選択的に受け入れることに加えて、IoTサーバ134によって実行される別のタスクは、より長期間のストレージのために、リングバッファ702からパケットを選択的に抽出することである。それらの抽出されたパケットは、ローカルに保存され、そして、次いで、任意的に、オフラインストレージ704に送信され得る(例えば、ネットワーク110内に保管され、かつ/あるいは、集約および後続の分析のためにセキュリティプラットフォーム140によって保管される)。
【0089】
様々な実施形態において、パケット抽出器714は(例えば、スクリプトのセットとして実装可能)、リングバッファ702からパケットを抽出し、そして、それらを(例えば、適用可能な場合、外部にコピーされ得るローカルストレージに)保管する。抽出は、様々な方法で実施することができる。一つの例として、パケット抽出器714は、どのパケットを抽出すべきかを判断するために、スマートトリガのセットを使用することができる。スマートトリガの第1例は、時間ベースのトリガ(例えば、1時間に1回、または、毎日15:00)である。スマートトリガの第2例は、アラートベースのトリガである(例えば、IoTモジュール138は、アラートを生成し、そして、アラートによって暗示されるパケットを抽出するIoTサーバ134に対して提供する)。アラートベースのトリガの一つの例は、以下のとおりである。特定のIVポンプが、CVEに記述された特定のエクスプロイトに対して脆弱であることが知られている(そして、IVポンプに関連付けられたパケットがリングバッファ702にキャプチャされていた)と仮定する。さらに、IVポンプをターゲットとするアクティブなエクスプロイトが(例えば、アプライアンス102によって、または、セキュリティプラットフォーム140によって)観察されていると仮定する。アラートが、それに応じて(例えば、セキュリティプラットフォーム140によって)生成され、そして、究極的には(直接的または間接的に)IoTサーバ134にルーティングされ得る。次いで、オフラインストレージ(および、適用可能な場合、分析)のために、リングバッファ702からのIVポンプと関連付けられたパケットの抽出をトリガする。そうしたアラートは、同様に、適用可能な場合(例えば、IoTサーバ134が、IVポンプに関連付けられたパケットをリングバッファ702に未だ受け入れていない場合)、パケットのキャプチャを開始するために使用され得る。
【0090】
トリガは、様々な要因に基づいて構成され得る。そうした要因の例は、デバイスが「ミッションクリティカル(“mission critical”)」として指定されるか否か(例えば、トリガをより敏感にするか、または、トリガを連続ワークロードキャプチャのために自動トリガにするかのいずれか)、異常挙動(デバイスがその予想挙動から逸脱したときに、ワークロード抽出をトリガする)、適時性(ファイルは、フロー時間によってインデックス付けされ、そして、ワークロードは、タイムスタンプを使用して抽出され得る)、新しいパターン(事前挙動モデルをもたないデバイスは、開始時間を伴うが、まだ知られていないパターンを伴うトラフィックを有する。そうするように構成された場合には、パターンが学習され、かつ、ワークロードキャプチャを必要としないものとしてカテゴリ分類されるまで、連続ワークロードキャプチャをトリガすることができる)、および、脅威(高いリスクスコアを有するデバイスを含む、より大きい脅威は、トリガをより敏感にするか、または、連続ワークロードキャプチャのためにトリガを自動トリガにすることができる)、を含んでいる。
【0091】
図8は、IoTデバイスアプリケーションワークロードをキャプチャすることと併せて交換され得るメッセージの例を示している。
図8に示されるメッセージの交換は、上述のRDP脆弱性シナリオに対応している。シナリオにおいて発生するイベントは、RDPCVEが発行されること、RDPトラフィックが観測されること、および、デバイスのリスクスコアが増加すること(802)を含んでいる。これらのイベントは、集合的に、ルールエンジン706に、デバイスのRDPの使用に関連付けられたパケットをリングバッファ702にキャプチャし始めるように、ターゲットマネージャ708に命令し(804)、そして、また、その下でリングバッファ702からパケットが抽出されるべき条件をパケット抽出器714に命令させる(806)。1日が経過した後で、ルールエンジン706は、そのターゲットリストからデバイスを除去する(すなわち、そのパケットをキャプチャすることを停止する)ように、ターゲットマネージャ708に命令し(808)、そして、同様に、リングバッファ702から関連するパケットを抽出することを停止するように、抽出マネージャ810に命令する(810)。リングバッファ702に残っている(抽出されていない)デバイスに関連するパケットは、最終的には他のパケットで上書きされる。
【0092】
図9は、IoTデバイスアプリケーションワークロードをキャプチャするためのプロセスに係る一つの例を示している。様々な実施形態において、プロセス900は、IoTサーバ134によって実行される。プロセス900は、ターゲットIoTデバイスが選択されるときに、902において開始する。そうした選択の例は、(例えば、IoTモジュール138によって提供されるような)ルールエンジン706が、ターゲットリストに所与のIoTデバイスを追加するように、IoTサーバ134に命令するときに発生する。904では、デバイスに関連するフローが決定され、そして、タグ付けされる。タグは、パケット(すなわち、タグ付けされたフローに関連付けられたパケット)をリングバッファ(例えば、リングバッファ702)の中へ受け入れるために(例えば、906において)使用される。908では、リングバッファに含まれるパケットの一部分に対して抽出が実行されるべきであるという指示が受信される。そうした指示の例は、スマートトリガのトリガである。最終的に、910において、リングバッファからパケットが抽出される。一般的に、タグ付けされたフローに属する全てのパケットが抽出される。上述のように、抽出されたパケットは、(適用可能な場合)ローカルストレージに一時的に保管され、そして、オフラインで保管され得る。このアプローチの1つの利点は、潜在的に長い期間(例えば、数日または数週間)に及ぶ、パケットキャプチャが、オフライン分析のために効率的に構築され得ることである。
【0093】
前述の実施形態は、理解を明確にする目的のために、ある程度詳細に説明されてきたが、本発明は、提供される詳細に限定されるものではない。本発明を実施する多くの代替的な方法が存在している。開示された実施形態は、例示的なものであり、かつ、限定的なものではない。
【国際調査報告】