知財求人 - 知財ポータルサイト「IP Force」
特表2024-536226機械学習を介して悪意のあるハンズオンキーボード活動を検出するためのシステムおよび方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-10-04
(54)【発明の名称】機械学習を介して悪意のあるハンズオンキーボード活動を検出するためのシステムおよび方法
(51)【国際特許分類】
G06F 21/55 20130101AFI20240927BHJP
【FI】
G06F21/55 320
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2024519606
(86)(22)【出願日】2021-10-08
(85)【翻訳文提出日】2024-05-02
(86)【国際出願番号】 US2021054090
(87)【国際公開番号】W WO2023055395
(87)【国際公開日】2023-04-06
(31)【優先権主張番号】17/491,575
(32)【優先日】2021-10-01
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
(71)【出願人】
【識別番号】521483559
【氏名又は名称】セキュアワークス コーポレーション
(74)【代理人】
【識別番号】100078282
【弁理士】
【氏名又は名称】山本 秀策
(74)【代理人】
【識別番号】100113413
【弁理士】
【氏名又は名称】森下 夏樹
(74)【代理人】
【識別番号】100181674
【弁理士】
【氏名又は名称】飯田 貴敏
(74)【代理人】
【識別番号】100181641
【弁理士】
【氏名又は名称】石川 大輔
(74)【代理人】
【識別番号】230113332
【弁護士】
【氏名又は名称】山本 健策
(72)【発明者】
【氏名】ボルヘス, ナッシュ
(57)【要約】
1つ以上のクライアントシステムからのテレメトリから導出される、情報取扱システムにおける無許可および/または悪意のあるハンズオンキーボード活動を検出することと、テレメトリにおいて検出された複数の部分的値/特異性をトークン化し、複数のトークンを形成することと、選択された時間ウィンドウにわたって複数のトークンまたは特徴を集約し、少なくとも部分的に、集約的特徴ベクトルを開発することと、集約的特徴ベクトルを1つ以上の機械学習サブシステムに提出することと、アンサンブルモデルを1つ以上の機械学習サブシステムからの1つ以上の出力に適用し、潜在的に悪意のあるハンズオンキーボード活動の全体的挙動脅威スコアを発生させることとを行うための方法。
【特許請求の範囲】
【請求項1】
情報取扱システムにおける無許可および/または悪意のあるハンズオンキーボード活動を検出するための方法であって、前記方法は、1つ以上のクライアントシステムからテレメトリを受信することと、
悪意のある活動の実施例に基づいて、前記テレメトリにおいて検出された複数の特異性をトークン化し、複数のトークンを形成することと、
選択された時間ウィンドウにわたって前記複数のトークンを集約し、少なくとも部分的に、集約的特徴ベクトルを開発することと、
悪意のある活動および悪意のない活動のうちの少なくとも1つの履歴コーパスで訓練される1つ以上の機械学習サブシステムに前記集約的特徴ベクトルを提出することと、
アンサンブルモデルを前記1つ以上の機械学習サブシステムからの1つ以上の出力に適用し、悪意のある活動および悪意のない活動のうちの少なくとも1つの別のコーパスで訓練される前記ハンズオンキーボード活動の全体的挙動脅威スコアを発生させることと
を含む、方法。
【請求項2】
ハッシングアルゴリズムを前記複数のトークンの少なくとも一部に適用し、前記トークンに関する複数のハッシュを出力することをさらに含み、類似するトークンは、前記複数のハッシュ内でともにグループ化される、請求項1に記載の方法。
【請求項3】
トークンの大規模なコーパスで訓練される少なくとも1つのニューラルネットワークを使用して、有限次元数値ベクトルの中に前記複数のトークンの少なくとも一部を埋込することをさらに含む、請求項1に記載の方法。
【請求項4】
前記選択された時間ウィンドウにわたって前記複数のトークンを集約することは、前記1つ以上のクライアントシステム毎に、以前に検出された特異性の未加工カウントおよび前記複数のトークンの個別のタイプのトークンの選択された統計値を集約することを含む、請求項1に記載の方法。
【請求項5】
前記統計値は、前記個別のタイプのトークンの未加工カウント、個別のタイプのトークンに関するイベントの数、および前記イベントの間の時間間隔についての時間統計値のうちの少なくとも1つを備える、請求項4に記載の方法。
【請求項6】
前記1つ以上のクライアントシステムの1つ以上の属性を前記集約的特徴ベクトルの中に組み込むことをさらに含み、前記1つ以上の属性は、時間的属性、ソフトウェア属性、オペレーティングシステム属性、ハードウェア属性、ユーザ属性、およびそれらの組み合わせのうちの少なくとも1つを備える、請求項1に記載の方法。
【請求項7】
前記1つ以上の機械学習サブシステムは、統計分析サブシステム、分類サブシステム、および回帰サブシステムのうちの少なくとも1つを含む、請求項1に記載の方法。
【請求項8】
前記1つ以上の機械学習サブシステムは、悪意のない活動から悪意のある活動を区別するために、教師あり機械学習を利用する、請求項1に記載の方法。
【請求項9】
前記1つ以上の機械学習サブシステムは、前記イベントを自動化されたもの、または人間挙動に由来するものとして特性評価するために、前記テレメトリにおけるイベントの間の到着間時間をモデル化する、請求項1に記載の方法。
【請求項10】
前記1つ以上の機械学習サブシステムは、ユーザまたはクライアントシステムがそのピアに対して通常ではない程度を判定するために、異常検出を利用する、請求項1に記載の方法。
【請求項11】
時間が経過するにつれて、前記集約的特徴ベクトルから古いトークンのうちの1つ以上を除去し、前記集約的特徴ベクトルの中に新しいトークンを組み込むことによって、前記1つ以上の機械学習サブシステムをリアルタイムで動作させることをさらに含む、請求項1に記載の方法。
【請求項12】
前記全体的挙動脅威スコアが所定の閾値を満たす場合、1つ以上の付加的機械学習サブシステムに前記集約的特徴ベクトルを提出することをさらに含み、前記1つ以上の付加的機械学習サブシステムは、前記1つ以上の機械学習サブシステムよりも算出的に高価である、請求項11に記載の方法。
【請求項13】
前記全体的挙動脅威スコアを所定の閾値と比較することと、セキュリティアナリストにセキュリティ脅威をアラートすること、前記クライアントシステムが攻撃されていないことを示すこと、および前記選択された時間ウィンドウを改訂し、前記テレメトリからの付加的トークンで前記集約的特徴ベクトルを更新することのうちの少なくとも1つを含む、応答アクションを開始することとをさらに含む、請求項1に記載の方法。
【請求項14】
単一のエンドツーエンド深層ニューラルネットワークを動作させ、前記テレメトリの前記複数のトークンならびに前記1つ以上のクライアントシステムのソフトウェア、ハードウェア、ユーザ、および時間的属性の両方を共同でモデル化し、前記全体的挙動脅威スコアを予測することをさらに含む、請求項1に記載の方法。
【請求項15】
キーボード活動を監視し、無許可および/または悪意のあるハンズオンキーボード活動を検出するためのシステムであって、前記システムは、1つ以上の情報取扱システムからのテレメトリを記憶するための1つ以上の記憶媒体と、
メモリ内に記憶された命令を実行するようにプログラムされる、少なくとも1つのプロセッサと
を備え、
前記少なくとも1つのプロセッサは、
前記1つ以上の情報取扱システムから前記監視されるキーボード活動に対応するテレメトリを収集することと、
悪意のある活動の実施例上の前記テレメトリ内に含まれる複数の特徴をトークン化し、複数のトークンを形成することと、
選択された時間ウィンドウにわたって前記複数のトークンを集約し、少なくとも部分的に、集約的特徴ベクトルを開発することと、
悪意のある活動および悪意のない活動のうちの少なくとも1つの履歴コーパスで訓練される1つ以上の機械学習サブシステムに前記集約的特徴ベクトルを提出することと、
アンサンブルモデルを前記1つ以上の機械学習サブシステムからの1つ以上の出力に適用し、悪意のある活動および悪意のない活動のうちの少なくとも1つの別のコーパスで訓練される前記ハンズオンキーボード活動の全体的挙動脅威スコアを発生させることと
を行うように動作可能である、システム。
【請求項16】
前記プロセッサはさらに、ハッシングアルゴリズムを前記複数のトークンの少なくとも一部に適用し、前記トークンに関する複数のハッシュを出力するように動作可能であり、類似するトークンは、前記複数のハッシュ内でともにグループ化される、請求項15に記載のシステム。
【請求項17】
前記プロセッサはさらに、トークンの大規模なコーパスで訓練される少なくとも1つのニューラルネットワークを使用して、有限次元数値ベクトルの中に前記複数のトークンの少なくとも一部を埋込するように動作可能である、請求項15に記載のシステム。
【請求項18】
前記選択された時間ウィンドウにわたって前記複数のトークンを集約することは、前記1つ以上のクライアントシステム毎に、以前に検出された特徴の未加工カウントおよび前記複数のトークンの個別のタイプのトークンの選択された統計値を集約することを含む、請求項15に記載のシステム。
【請求項19】
前記統計値は、前記個別のタイプのトークンの未加工カウント、個別のタイプのトークンに関するイベントの数、および前記イベントの間の時間間隔についての時間統計値のうちの少なくとも1つを備える、請求項18に記載のシステム。
【請求項20】
前記プロセッサはさらに、前記1つ以上のクライアントシステムの1つ以上の属性を前記集約的特徴ベクトルの中に組み込むように動作可能であり、前記1つ以上の属性は、時間的属性、ソフトウェア属性、オペレーティングシステム属性、ハードウェア属性、ユーザ属性、およびそれらの組み合わせのうちの少なくとも1つを備える、請求項15に記載のシステム。
【請求項21】
前記1つ以上の機械学習サブシステムは、統計分析サブシステム、分類サブシステム、および回帰サブシステムのうちの少なくとも1つを含む、請求項15に記載のシステム。
【請求項22】
前記1つ以上の機械学習サブシステムは、悪意のない活動から悪意のある活動を区別するために、教師あり機械学習を利用する、請求項15に記載のシステム。
【請求項23】
前記1つ以上の機械学習サブシステムは、前記イベントを自動化されたもの、または人間挙動に由来するものとして特性評価するために、前記テレメトリにおけるイベントの間の到着間時間の発生的モデル化を利用する、請求項15に記載のシステム。
【請求項24】
前記1つ以上の機械学習サブシステムは、ユーザまたはクライアントシステムがそのピアに対して通常ではない程度を判定するために、異常検出を利用する、請求項15に記載のシステム。
【請求項25】
前記プロセッサはさらに、前記全体的挙動脅威スコアを所定の閾値と比較することと、セキュリティアナリストにセキュリティ脅威をアラートすること、前記クライアントシステムが攻撃されていないことを示すこと、および前記選択された時間ウィンドウを改訂し、前記テレメトリからの付加的トークンで前記集約的特徴ベクトルを更新することのうちの少なくとも1つを含む、応答アクションを開始することとを行うように動作可能である、請求項15に記載のシステム。
【請求項26】
前記プロセッサはさらに、単一のエンドツーエンド深層ニューラルネットワークを実行し、前記テレメトリの前記複数のトークンならびに前記1つ以上のクライアントシステムのソフトウェア、ハードウェア、ユーザ、および時間的属性の両方を共同でモデル化し、前記全体的挙動脅威スコアを予測するように動作可能である、請求項15に記載のシステム。
【発明の詳細な説明】
【背景技術】
【0001】
(背景)
あらゆるタイプおよび規模の組織が、電子犯罪活動(「電子犯罪」)およびサイバー諜報活動と関連付けられるものを含む、セキュリティ違反、悪意のある攻撃、および他の無許可の活動からの増え続ける脅威に直面している。高度な脅威行為者が、そのような攻撃の既存のインジケータを伴わずに、特定の団体または業界に対してサイバー動作を開始することが起こることが、一般的である。しかしながら、経時的に、インシデント対応従事の間に、または第三者によって発見されるもの等の侵害インジケータ(IOC)または他のデジタル犯罪科学属性が、露見され得る。無許可のサイバー活動のそのような属性、技法、または他のインジケータを把握およびキュレートすることは、脅威検出および/または帰属化を支援することができる。しかしながら、一部の高度な脅威行為者は、自身の目的を達成するために、可能な限り長い間、検出されないようにしようとするであろう。情報システムへのアクセスおよび遠隔でコードを実行するための能力を得た後、これらの脅威行為者は、時として、検出することがより容易であり得る自動化スクリプトまたは事前コンパイルされたマルウェアを使用するのではなく、自身のキーボード上でコマンドを手動でタイプすることによって、自身の活動を実施するであろう。これは、多くの場合、行為者が、情報を集めること、これを分析すること、および該分析の結果を活用し、付加的アクセスを得る、または自身の目的に対してアクションを行うことの間を移行する際に行われる。
あらゆるタイプおよび規模の組織が、電子犯罪活動(「電子犯罪」)およびサイバー諜報活動と関連付けられるものを含む、セキュリティ違反、悪意のある攻撃、および他の無許可の活動からの増え続ける脅威に直面している。高度な脅威行為者が、そのような攻撃の既存のインジケータを伴わずに、特定の団体または業界に対してサイバー動作を開始することが起こることが、一般的である。しかしながら、経時的に、インシデント対応従事の間に、または第三者によって発見されるもの等の侵害インジケータ(IOC)または他のデジタル犯罪科学属性が、露見され得る。無許可のサイバー活動のそのような属性、技法、または他のインジケータを把握およびキュレートすることは、脅威検出および/または帰属化を支援することができる。しかしながら、一部の高度な脅威行為者は、自身の目的を達成するために、可能な限り長い間、検出されないようにしようとするであろう。情報システムへのアクセスおよび遠隔でコードを実行するための能力を得た後、これらの脅威行為者は、時として、検出することがより容易であり得る自動化スクリプトまたは事前コンパイルされたマルウェアを使用するのではなく、自身のキーボード上でコマンドを手動でタイプすることによって、自身の活動を実施するであろう。これは、多くの場合、行為者が、情報を集めること、これを分析すること、および該分析の結果を活用し、付加的アクセスを得る、または自身の目的に対してアクションを行うことの間を移行する際に行われる。
【0002】
高度な脅威行為者は、多くの場合、検出を回避するために、既存の資格情報およびシステム管理ソフトウェアを使用することによって、許可された人員のアクションおよび外観を模倣する。そのような偽装技法が、日常的な企業アクション/活動を模倣するために採用されると、それらのアクションは、多くの場合、検出することがより困難になる。そのような高度な脅威行為者と関連付けられる潜在的IOCの忠実度は、ファイルベースのマルウェアを採用するものよりも有意に低くなり得、これは、そのような攻撃の検出における遅延および/または失敗の両方をもたらし得る。故に、特に、高度な脅威行為者がハンズオンキーボード活動を介して自身の動作のより重要な段階を行っているとき、彼らの改良された挙動検出に関する必要性が、存在する。本開示は、当技術分野における前述および他の関連する、および関連しない問題/課題に対処する。
【発明の概要】
【課題を解決するための手段】
【0003】
(要約)
簡潔に説明すると、一側面では、本開示は、無許可の悪意のあるハンズオンキーボード活動の検出のために経時的に収集されるエンドポイントおよび拡張検出および応答システムからのテレメトリを含む、証拠の集約および精査のためのシステムおよび方法を対象とする。最初の特徴抽出段階または動作の間、受信/収集されたテレメトリの複数の部分的値および/または属性、例えば、プロセス、ネットワーク接続、ドメイン名、URL、ファイル/スクリプト/マクロおよびそれに対する動作、端末コマンド、カーネルオブジェクト、名前付きパイプ、イベント追跡、モジュール/ライブラリロード、スレッド投入、システム/ハイパーバイザ呼出、メモリ分析、スケジューリングされたタスク、ショートカット、サービス名、レジストリキー、デジタル証明書、認証イベント、および種々の他のソフトウェア、ハードウェア、およびユーザ属性が、分解およびトークン化される。
簡潔に説明すると、一側面では、本開示は、無許可の悪意のあるハンズオンキーボード活動の検出のために経時的に収集されるエンドポイントおよび拡張検出および応答システムからのテレメトリを含む、証拠の集約および精査のためのシステムおよび方法を対象とする。最初の特徴抽出段階または動作の間、受信/収集されたテレメトリの複数の部分的値および/または属性、例えば、プロセス、ネットワーク接続、ドメイン名、URL、ファイル/スクリプト/マクロおよびそれに対する動作、端末コマンド、カーネルオブジェクト、名前付きパイプ、イベント追跡、モジュール/ライブラリロード、スレッド投入、システム/ハイパーバイザ呼出、メモリ分析、スケジューリングされたタスク、ショートカット、サービス名、レジストリキー、デジタル証明書、認証イベント、および種々の他のソフトウェア、ハードウェア、およびユーザ属性が、分解およびトークン化される。
【0004】
一側面では、ハンズオンキーボード活動および他の手動アクションに対応するテレメトリが、情報システムまたは複数のシステムから、例えば、そのような情報取扱システムによって発生された種々のログから受信される際、本開示のシステムおよび方法は、テレメトリを解析およびトークン化し、収集されたテレメトリのスナップショットまたはビューを撮影し、種々の特異性または検出されたアクションを示す一連の特徴を抽出するであろう。抽出された特徴は、トークン化され、次いで、有限の時間ウィンドウにわたって集約されるであろう。統計値が、時間ウィンドウ内のトークンの時間的属性を特性評価するために、集約されたトークンから抽出されるであろう。情報システムのオペレーティングシステム、他のソフトウェア、ハードウェア、および/またはそのユーザと関連付けられるもの等の付加的属性もまた、特徴ベクトル内に含まれることができる。集約された特徴は、1つ以上の機械学習サブシステムに提供され、これは、類似する時間周期にわたって許可された活動からこれを判別するために、履歴実施例に基づいて脅威行為者を識別するように訓練される、1つ以上の分類器を含むことができる。機械学習システムは、予備スコアを発生させ、それらをアンサンブル分類器/学習システムにフィードし、規定の時間周期にわたるテレメトリの特徴が無許可または悪意のあるハンズオンキーボード活動からもたらされる尤度の全体的挙動脅威スコアを発生させるであろう。
【0005】
いくつかの実施形態では、テレメトリのトークン化自体は、標的システムと相互作用する既知の脅威行為者の実施例に基づくことができる。IOCが、それ自体では多すぎる誤検出を発生させるであろう場合であっても、それらは、様々なソースからの確率的情報を組み合わせる、より広範な機械学習ベースのシステムへの有用な入力であり得る。実施形態では、より低い忠実度のIOC(トークンとして使用される)は、同一の行為者による将来の活動の潜在的想起を増加させるために、直観に反して好ましい。次いで、下流の機械学習サブシステムは、雑音が多いIOCを補償し、集約的特徴ベクトル内に含有される証拠の総計を検証するとき、検出器の全体的精度を増加させることに関与し得る。
【0006】
複数の機械学習サブシステムが、並行して実行されることができ、異なる分類/回帰方略を使用するように構成されることができ、および/または異なる脅威行為者を検出し、および/または特定の方策、技法、および/または手順に焦点を当てるように最適化されることができる。本システムはさらに、概して、検出を回避しようとする脅威行為者によって手動で行われた悪意のある活動ならびにそれ自体がいくつかの手動およびより普及している自動化活動の混合である、大量の許可された活動の両方の履歴実施例を使用する。許可された、および無許可の活動の実施例は、より迅速に、かつはるかに高い忠実度で将来の類似する攻撃を識別するように機械学習サブシステムを訓練するために使用される。
【0007】
一側面では、情報取扱システムにおける悪意のあるハンズオンキーボード活動を検出するための方法は、1つ以上のクライアントシステムからテレメトリを受信することと、テレメトリにおいて検出された複数の部分的値/特異性をトークン化し、複数のトークンを形成することと、選択された時間ウィンドウにわたって複数のトークンまたは特徴を集約し、少なくとも部分的に、集約的特徴ベクトルを開発することと、集約的特徴ベクトルを1つ以上の機械学習サブシステムに提出することと、アンサンブルモデルを1つ以上の機械学習サブシステムからの1つ以上の出力に適用し、無許可のハンズオンキーボード活動の全体的挙動脅威スコアを発生させることとを含むことができる。
【0008】
別の側面では、手動で行われた無許可の活動を検出するためのシステムは、1つ以上の情報取扱システムからのテレメトリに関する1つ以上の記憶媒体と、メモリ内に記憶された命令を実行するようにプログラムされる、少なくとも1つのプロセッサとを含むことができ、少なくとも1つのプロセッサは、1つ以上の情報取扱システムから監視されるキーボード活動に対応するテレメトリを収集することと、テレメトリにおいて検出された複数の部分的値/特異性をトークン化し、複数のトークンを形成することと、選択された時間ウィンドウにわたって複数のトークンを集約し、少なくとも部分的に、集約的特徴ベクトルを開発することと、1つ以上の機械学習サブシステムに集約的特徴ベクトルを提出することと、アンサンブルモデルを1つ以上の機械学習サブシステムからの1つ以上の出力に適用し、挙動脅威スコアを発生させることとを行うように動作可能である。
【0009】
本開示の種々の目的、特徴、および利点が、付随の図面と併せて検討されるとき、以下の詳細の説明の精査に応じて、当業者に明白となるであろう。
【図面の簡単な説明】
【0010】
図示の簡略化および明確化のために、図において図示される要素が、必ずしも縮尺通りに描かれないことを理解されたい。例えば、いくつかの要素の寸法は、他の要素に対して誇張され得る。本開示の教示を組み込む実施形態が、本明細書の図面に関して示され、説明される。
【0011】
【0012】
【0013】
【0014】
【0015】
【0016】
【発明を実施するための形態】
【0017】
異なる図面における同一の参照記号の使用は、類似する、または同じアイテムを示す。
【0018】
(詳細な説明)
図と組み合わせた以下の説明は、本明細書に開示される教示の理解を支援するために提供される。説明は、本教示の種々の実装および実施形態を開示し、本教示の説明を支援するために提供されるが、本明細書に議論される実装、特徴、および実施形態は、本教示の範囲または適用可能性に対する限定として解釈されるべきではない。
図と組み合わせた以下の説明は、本明細書に開示される教示の理解を支援するために提供される。説明は、本教示の種々の実装および実施形態を開示し、本教示の説明を支援するために提供されるが、本明細書に議論される実装、特徴、および実施形態は、本教示の範囲または適用可能性に対する限定として解釈されるべきではない。
【0019】
図1は、セキュリティデータを使用し、一連の侵害インジケータ(IOC)、特に、低い忠実度を伴うものと関連付けられるリスクスコアを発生させ、侵害されている、または侵害されている可能性のある、他の組織/クライアントのクラスタリングおよび/またはそれとの類似性を利用することによって、明確に異なる組織またはクライアントを横断するセキュリティ脅威または悪意のあるアクションの発見を可能にする、または促進するように動作可能なセキュリティおよびイベント管理システム10を図示する、略図である。図1に示されるように、一連の組織/クライアントネットワーク化システム12は、例えば、MSSP(セキュリティ管理サービスプロバイダ)によって管理される、1つ以上のデータ管理センター14を含む、セキュリティイベント管理センター13と通信することができる。ネットワーク化システム12は、公共または私設ネットワーク、例えば、ローカルエリアネットワーク等のネットワーク16を通してデータセンター14と通信することができるが、クライアント/顧客情報取扱システム12は、ピアツーピアファイル共有システムまたは他の好適な無線、仮想、および/または有線接続等の他の好適な通信線18を通してデータセンター14と通信することができる。データセンター14はさらに、複数の情報取扱システム22がそれに接続される、1つ以上の内部ネットワーク20を含むことができる。一実施形態では、情報取扱システム22は、1つ以上のプロセッサ26と、1つ以上のメモリまたは他の好適な記憶媒体28とを含むことができる。メモリ28は、ランダムアクセスメモリ(RAM)、読取専用メモリ(ROM)、および/または他の非一過性コンピュータ可読媒体を含むことができる。
【0020】
図2は、例示的クライアント/顧客ネットワーク化システム12を図式的に図示する。システム12は、インターネットまたは別の広域ネットワーク、ローカルエリアネットワーク、またはそれらの組み合わせを含み得る、ネットワーク30を含むことができる。ネットワーク30は、ワークステーション、パーソナルコンピュータ、スマートセルラー電話、携帯情報端末、ラップトップコンピュータ、サーバ、および他の好適なデバイスを含み得る、一連の情報取扱システム32間のデータ通信を提供してもよい。情報取扱システム32は、有線接続34、Wi-Fiまたはセルラー接続等の無線接続36、または他の好適な通信線、またはそれらの組み合わせを通してネットワーク30に結合されることができる。いくつかの側面では、ネットワーク化システム12の情報取扱システム32は、概して、金融取引処理、航空券予約、企業データ記憶、オンラインショッピング、グローバル通信等の具体的ユーザまたは具体的使用のために構成されることができる。
【0021】
本開示の目的のために、情報取扱システムは、ビジネス、科学、制御、または他の目的のために、任意の形態の情報、機密情報、またはデータを算出する、計算する、判定する、分類する、処理する、伝送する、受信する、読み出す、発信する、切り替える、記憶する、表示する、通信する、明示する、検出する、記録する、複製する、取り扱う、または利用するように動作可能な任意の手段または手段の集合体を含んでもよい。例えば、情報取扱システムは、パーソナルコンピュータ(例えば、デスクトップまたはラップトップ)、タブレットコンピュータ、モバイルデバイス(例えば、携帯情報端末(PDA)またはスマートフォン)、サーバ(例えば、ブレードサーバまたはラックサーバ)、ネットワーク記憶デバイス、または任意の他の好適なデバイスであってもよく、サイズ、形状、性能、機能性、および価格において変動してもよい。情報取扱システムは、ランダムアクセスメモリ(RAM)、中央処理ユニット(CPU)またはハードウェアまたはソフトウェア制御論理等の1つ以上の処理リソース、読取専用メモリ(ROM)、および/または他のタイプの不揮発性メモリを含んでもよい。情報取扱システムの付加的コンポーネントは、1つ以上のディスクドライブ、外部デバイスと通信するための1つ以上のネットワークポート、ならびにキーボード、マウス、タッチスクリーン、および/またはビデオディスプレイ等の種々の入力および出力(I/O)デバイスを含んでもよい。情報取扱システムはまた、種々のハードウェアコンポーネントの間で通信を伝送するように動作可能な1つ以上のバスを含んでもよい。
【0022】
図2に示されるように、クライアント/顧客ネットワーク化システム12はさらに、例えば、有線接続34を通してネットワーク30に通信可能に結合される、1つ以上の監視デバイス40を含んでもよいが、または、無線接続等の他の好適な接続もまた、使用されることができる。監視デバイス40は、サーバ、シーケンス分析器、またはプロセッサおよびメモリまたは他の好適な記憶装置を有する、種々の他の好適なコンピューティングデバイスを含んでもよい。メモリは、ランダムアクセスメモリ(RAM)、読取専用メモリ(ROM)、および/または他の非一過性コンピュータ可読媒体を含むことができる。監視デバイス40はさらに、典型的には、各ネットワーク化システム12における活動、例えば、ネットワーク30に接続される情報取扱システム32の活動をリアルタイムで連続的に監視するためのコンピュータ可読命令を記憶および実行するように動作可能であろう。
【0023】
そのような監視される活動は、情報取扱システム32によるネットワークへのログオンおよびそれからのログオフ、ダウンロードおよび/またはアップロード、システム設定の変更、ネットワークによってアクセスされる、またはそれにアクセスすることを試行するIPアドレス等を含むことができる。加えて、実行されたプロセス(すなわち、タイプ、アクセスされた回数、結果として生じるアクション等)、修正されたファイルのタイプおよび/または数、ネットワーク接続、メモリ犯罪科学属性、および類似するログ付けされた、または他のデジタル犯罪科学およびインシデント対応(DFIR)調査活動等のネットワーク活動もまた、セキュリティログデータ/記録の一部として監視および収集されることができる。
【0024】
組織/クライアントネットワーク化システム12に通信可能に結合される監視デバイス40は、加えて、少なくとも部分的に、複数のデバイス32および/またはネットワーク化システム12の監視される活動に基づいて、具体的セキュリティ関連データ、セキュリティまたはイベントログ、未加工データ、および/または他の好適な記録または情報等の犯罪捜査情報を集約する、取り込む、または別様に受信するように構成されることができる。セキュリティデータは、監視デバイス40のメモリまたは記憶装置内に記憶されてもよく、組織/クライアントのためのセキュリティサービスを提供するMSSPに通信され、および/またはそれによってアクセスされることができる。例えば、各監視システム40は、セキュリティデータ/情報をMSSPデータセンターにおける1つ以上のサーバに自動的に送信してもよい、またはMSSPは、別様に、監視デバイス14のメモリまたは記憶装置から情報またはセキュリティデータに直接アクセスすることができる。
【0025】
そのようなデータの犯罪捜査分析/精査は、例えば、データが実際の攻撃または悪意のある行為者によって脅かされ、または破損されたかどうか、および判定および修復される応答イベントを判定するために実施されるであろう。結果として生じる犯罪捜査情報またはセキュリティデータはさらに、セキュリティデータが、MSSPによって分析/処理されるためにアクセス可能であるように、メモリ28上またはサーバまたは他の好適な情報取扱システム22および/またはセキュリティイベント管理センター13におけるデータ記憶装置内に記憶されることができる。クライアント/顧客ネットワーク化システム12における監視デバイス40が、随意であり、組織/クライアントまたはその技術パートナが、例えば、情報取扱システム32のうちの1つ以上を使用して、ネットワーク化システムを独立して監視し、別様に、犯罪捜査情報、セキュリティデータ、または他の好適なデータ/情報をMSSPに提供し得ることがさらに認識されるであろう。
【0026】
本開示の実施形態では、プロセッサ26は、ネットワーク化システム12を横断する脅威および/または悪意のある行為の発見を促進する、1つ以上のエンジン、コンピュータプログラム製品、プラットフォーム等を実行する、または別様にそれにアクセスするように動作可能であり得る。例えば、プロセッサ26は、1つ以上のネットワークシステムから受信されたシステムログおよび他の情報における値および/または属性をトークン化し、トークンを集約的特徴ベクトルに集約し、集約的特徴ベクトルを1つ以上の機械学習サブシステムに適用し、アンサンブル分類器を機械学習サブシステムからの出力に適用し、挙動脅威スコアを生産することができる。必要に応じて、プロセッサ26は、ネットワーク化システムにおける悪意のある活動に対処するために、アラートを発生させることができ、および/または修復および/または予防アクションを行うことができる。いくつかの実施形態では、これらのリスクスコアはさらに、新しいセキュリティデータが受信および分析されるにつれて、動的に更新/変更されることができる。
【0027】
実施形態では、ネットワーク化クライアントシステム等の情報システムにおいてコードを実行するための能力を達成した脅威行為者は、偵察、権限昇格、資格情報アクセス、水平移動、および最終目的を支援する他の機能等のクライアントシステムにおけるアクションを実施し得る。本脅威活動の一部または全ては、(例えば、マルウェアを用いて)自動化され得る。代替として、脅威行為者は、観察可能な侵害インジケータを最小限にし、自身の長期的目的を達成する前に検出される可能性を低減させるために、手動でこれらの活動(例えば、ハンズオンキーボード活動)を実施し得る。そのような脅威行為者は、脅威監視システムによって検出され得る既知のシグネチャを使用することを回避し得る。しかしながら、有限の時間ウィンドウにわたってそのような挙動の集合を監視する脅威検出システムは、機械学習を使用する確率的検出に適しており、例示的実施形態では、そのような検出の高い信頼度を有することができる。
【0028】
図3-4Bは、本開示による、脅威検出システムおよびハンズオンキーボード脅威検出の方法/プロセスの実施形態を図示する。図3に示されるように、脅威検出システム100は、ネットワークログ、プロセスログ、ファイルログ、カーネルログ、メモリログ、他の好適なシステムログ、および/または他の好適な情報等の1つ以上の入力102を含むことができる。例えば、入力102は、脅威検出システム100によって監視される1つ以上のクライアントシステムによって受信されることができる。実施形態では、入力102によって提供されるデータは、テレメトリ(例えば、タイムスタンプまたは他の選択された時間的識別子と関連付けられる情報)の形態において提供されることができる。入力102は、下記により詳細に説明されるようにデータを処理(例えば、トークン化)し、処理されたデータを時間的アグリゲータおよび分析器106に出力し得る、ログ特徴抽出器104によって受信されることができる。実施形態では、時間的アグリゲータおよび分析器106は、選択された時間ウィンドウにわたって処理されたデータを集約し、1つ以上の機械学習サブシステム108に提出される集約的特徴ベクトルを開発することができる。図3に示されるように、ソフトウェア属性、ハードウェア属性、ユーザ属性、および/または他の好適な属性等の付加的情報または属性110もまた、1つ以上の分類器108に渡されることができる。図示される実施形態では、アンサンブル分類器112が、1つ以上の分類器108から出力を受信し、アンサンブルモデルを出力に適用し、監視される活動の全体的挙動脅威スコアを発生させることができる。
【0029】
図4Aに示されるように、本方法は、監視されている1つ以上のクライアントシステムにおいて、202において、選択された時間的ウィンドウまたは時間周期(例えば、1時間または任意の好適な時間ウィンドウ)にわたって検出されたアクションに関するテレメトリを受信することを含むことができる。実施形態では、1つ以上のクライアントシステムからのテレメトリは、ネットワーク/DNS/URLログ、プロセスログ、ファイルログ、カーネルログ、メモリログ、認証ログ、侵入検出システムログ、アンチウィルス/マルウェアログ、レジストリログ、他の好適なシステムログ、および/または関連付けられるタイムスタンプを伴う他の好適な情報(例えば、図3の入力102)を含むことができる。いくつかの異なる入力102が、図3に含まれるが、列挙される入力102または他の入力の任意の組み合わせが、本開示から逸脱することなく、含まれ得る、または省略され得る。例示的実施形態では、システムログは、自動化システム(例えば、システム管理者または他の許可されたユーザによって使用され得るスクリプト)によって作製され得る、またはハンズオンキーボード活動によって(例えば、クライアントシステムのアクティブな人間ユーザによって)作製され得る、コマンドライン入力および/または他のデータを含み得る。そのようなハンズオンキーボード活動は、監視されるクライアントシステムの許可された使用と関連付けられ得る、または無許可および/または悪意のある活動と関連付けられ得る。本実施形態では、本システムおよび方法は、他の観察される活動から無許可および/または悪意のあるハンズオンキーボード活動を区別することを試みるように構成される。
【0030】
図示される実施形態では、潜在的に悪意のある、および/または無許可のハンズオンキーボード活動は、204において、特徴抽出エンジン(例えば、図3のログ特徴抽出器104)を通して選択された時間的ウィンドウまたは時間周期にわたって収集されたテレメトリを入力することによって、雑音(例えば、人間行為者および/または自動化システムによる許可された活動)の中で検出されることができる。特徴抽出エンジンは、テレメトリの部分的値/属性を開発/抽出し、これらの値/属性をトークン化することができる。例えば、特徴抽出エンジンは、それぞれが個別のタイムスタンプと関連付けられる、プロセス、ネットワーク接続、ドメイン名、URL、ファイル/スクリプト/マクロおよびそれに対する動作、端末コマンド、カーネルオブジェクト、名前付きパイプ、イベント追跡、モジュール/ライブラリロード、スレッド投入、システム/ハイパーバイザ呼出、メモリ分析、スケジューリングされたタスク、ショートカット、サービス名、レジストリキー、デジタル証明書、認証イベント、および/または他の好適な値/属性等の種々のテレメトリの部分的値および属性を分解することができる。実施形態では、これらの値/属性は、悪意のある、および/または悪意のない活動の履歴コーパス(すなわち、標識化された実施例)に基づいてトークン化されることができる。例えば、特徴抽出エンジンは、ファイル名の使用、ドメイン名またはIPアドレスの使用、あるコマンドまたはシステム管理ツールの使用、既存のファイルに付加的コンテンツを添付する反復方策、一度に、または順番に複数のコマンドを実行すること、イベントの間の特定のタイミングまたはジッタ、および/または事前の攻撃において使用された他の値等の脅威行為者に特異的であり得る、テレメトリにおける情報を識別し得る。そのような特異性は、それら自体では、十分に特徴的ではない場合がある、または一般的すぎて、シグネチャ(すなわち、それ自体で高い忠実度で悪意のある活動を示し得る任意の単一の属性)を開発することができない場合がある。しかしながら、これらの挙動特異性の蓄積および/またはパターン(例えば、あるトークンが選択された時間的ウィンドウまたは時間周期の間に異常な頻度で使用され、および/またはあるトークンが異常な組み合わせで使用される)は、攻撃を示し得る。
【0031】
実施形態では、悪意のある、および悪意のない活動の履歴コーパスは、複数のクライアントシステム、1つ以上の具体的クライアントシステム、または両方の組み合わせと関連付けられることができる。例えば、ある用語が、特定のクライアントシステムにおいて大文字化されることは、異常であり得、システムログにおいて大文字化されている用語のインスタンスは、トークン化され得る。そのようなトークンは、他の挙動特異性および/または他の情報とともに、特定の脅威行為者を示し得る、または悪意のない場合がある。他のクライアントシステムでは、システムログにおける用語の大文字化の使用における変動は、正常であり得、脅威活動を示さないであろう。
【0032】
図4Aの206に示されるように、特徴抽出エンジンから出力される複数のトークンの少なくとも一部は、随意に、ハッシングアルゴリズム(または複数のハッシングアルゴリズム)を通してフィードされることができる。例示的実施形態では、ハッシングアルゴリズムは、ハッシュ出力の間の衝突を人為的に作成するために構成される、制約された出力次元を有することができ、その衝突は、それらの入力特徴空間のより高密度の表現を学習するために、本方法の下流の機械サブシステム108のうちの1つ以上によって使用されることができる。例えば、あるトークンまたはトークンのタイプは、一意であり、または希少すぎて(例えば、ランダムに発生されるファイル名)、精査のためにシステムリソース(例えば、メモリ、算出時間等)を費やすことができない場合がある。それらが特異的であったため、トークン化されたが、履歴コーパスにおいて表されなかったそのような一意または希少なトークンおよび/または値/属性は、ハッシングアルゴリズムを通して実行され、一意/希少な特異性を追跡するために必要とされるシステムリソースを低減させることができる(例えば、結果として生じるハッシュは、より少ないシステムメモリを使用し得る)。ハッシュが、本開示から逸脱することなく、任意の好適なトークンに適用されることができる。実施形態では、ハッシングアルゴリズムは、機械学習サブシステム108において悪意のない、または悪意のある活動を示し得る方法で衝突および/または重複し得る、トークンを強制的にグループにすることによって、大量のデータを処理することに役立つことができる。図示される実施形態では、ハッシングアルゴリズムは、随意であり、206において、トークンのうちのいくつか、全てに適用される、またはトークンのいずれにも適用されない場合がある。
【0033】
次元削減に対する代替アプローチとして、複数のトークンは、随意に、図4Aの207に示されるように、有限次元数値ベクトル表現の中に埋込されてもよい。そのような埋込関数は、Word2Vecと、またはより一般的には、Token2VecまたはSequence2Vecと称され得る。本変換プロセス自体は、特性評価するために使用されるであろう同一のタイプのトークンで完全に訓練されてもよい、またはこれは、他のジャンルから交差訓練されてもよく、既存のモデルは、本タスクに適合されることができる。いずれの場合も、プロセス、ネットワーク接続、ドメイン名、URL、ファイル/スクリプト/マクロおよびそれに対する動作、端末コマンド、カーネルオブジェクト、名前付きパイプ、イベント追跡、モジュール/ライブラリロード、スレッド投入、システム/ハイパーバイザ呼出、メモリ分析、スケジューリングされたタスク、ショートカット、サービス名、レジストリキー、デジタル証明書、認証イベント、および種々の他の情報ユーザまたはシステム関連テレメトリ等のこれが使用されるであろうトークンのタイプに本変換プロセスを調整することが、多くの場合、必要である。
【0034】
その後、208において、特徴抽出エンジンから出力された複数のトークンおよび/またはハッシュ化されたトークンおよび/またはそれらのベクトル表現出力は、例えば、集約的特徴ベクトルを開発するために、時間的アグリゲータおよび分析器106によって遭遇されるクライアントシステム毎に、および/またはユーザ毎に、選択された時間ウィンドウにわたって集約されることができる。集約的特徴ベクトルは、異なるトークンの未加工カウント、時間ウィンドウ内のトークン/データのタイプ毎の未加工イベントの数、およびクライアントシステム毎のイベントの到着間タイミングについての情報(例えば、イベントの間の時間間隔についての統計値)等の関連する統計値を含むことができる。例示的実施形態では、そのような情報は、手動ハンズオンキーボード活動から他のシステムおよびエージェントによる自動化挙動を判別するために、機械学習サブシステム108のうちの1つ以上によって使用されることができる。例えば、人間行為者は、自動化システムよりもコマンドの間に長くかかり得る、または時間ウィンドウ内に多くの回数存在するあるトークンは、クライアントシステムにおける正常な活動の一部としてそのトークンがスクリプトと関連付けられることを示し得る。
【0035】
210に示されるように、付加的属性(図3に示される1つ以上の属性110等)が、集約的特徴ベクトルに追加される、または別様に集約的特徴ベクトルと関連付けられることができる。代替として、付加的属性は、集約的特徴ベクトルとともに、またはそれとは別個に、機械学習サブシステム108に直接追加されることができる。例えば、限定ではないが、そのような付加的情報は、クライアントシステム上にインストールされたプログラムの名称およびバージョン、オペレーティングシステム、ソフトウェアおよび/またはオペレーティングシステムの更新、新しいプログラムのインストール、クライアントシステム上で実行されるサービス、有効化されるスタートアップアイテム、使用中のアンチウィルスソフトウェア、ファイアウォール設定、ディスク暗号化のステータス等のソフトウェア属性を含むことができる。付加的属性はまた、プロセッサタイプ、コアの数、メモリの量、接続される周辺機器、ネットワークインターフェースおよび設定、開放し、聴取しているポート、Wi-Fiステータス、ハードウェア属性の変更(例えば、記憶デバイスの追加)等のクライアントシステムのハードウェア属性を含むことができる。さらに、グループメンバーシップ、権限のレベル、ログイン頻度、最後のパスワード変更以降に経過した時間、多要素認証ステータス、ユーザ属性の変更(例えば、ユーザの権限の変更)、顧客または機関タイプ(例えば、銀行、製造業者、販売業者等)、および/または他の属性等のユーザ属性が、含まれることができる。いくつかの実施形態では、ハッシングアルゴリズムまたは埋込関数が、それらが集約的特徴ベクトル内に含まれる前に、付加的属性のうちのいくつかまたは全てに適用されることができる。
【0036】
続けて、212において、集約的特徴ベクトルおよび随意の付加的属性110は、一連の機械学習サブシステム(例えば、図3に示される1つ以上の機械学習分類器108)に提出されることができる。例示的実施形態では、機械学習サブシステムは、悪意のない活動から悪意のある活動を区別し、活動を自動化されたもの、または人間挙動に由来するものとして特性評価し、および/または異常を検出するように構成されることができる。サブシステムは、統計分析ならびに分類または回帰アルゴリズムを使用することができる。実施形態では、サブシステムは、悪意のある活動と、有意により普及し得る悪意のない活動とを区別するために、少なくとも1つの教師あり機械学習システムを含むであろう。他のサブシステムは、関連付けられる活動を自動化されたもの、または人間挙動に由来するものとして特性評価するために、到着間時間の発生的モデル化を含むことができる。代替として、深層ニューラルネットワークまたは他のモデルが、ハンズオンキーボード活動のトークンおよび時間的特性の両方を共同でモデル化するために使用されてもよい。例えば、単一のエンドツーエンド深層ニューラルネットワークが、テレメトリのトークンならびにクライアントシステムのソフトウェア、ハードウェア、ユーザ、および時間的属性の両方を共同でモデル化し、全体的挙動脅威スコアを予測するために動作されることができる。代替として、任意の好適な数のサブシステムが、本開示から逸脱することなく、クライアントシステムのトークンおよび属性の任意の好適な組み合わせをモデル化することができる。
【0037】
いくつかの実施形態では、異常検出サブシステムが、特定のユーザまたはクライアントシステムがそのピアに対して通常ではない程度を判定するために、特徴ベクトルの付加的特性評価のために含まれることができる。例えば、製造企業のシステムが、特定の国との接続を有することは、正常であり得る一方、同一の国との接続は、銀行クライアントのシステムに関して異常であろう。他の機械学習サブシステムが、疑わしいハードウェア属性、ソフトウェア属性、ユーザ属性、および/または集約的特徴ベクトルの他の側面を検出し、異なるタイプの脅威行為者および/または異なる攻撃方法を検出し、および/または異なる分類方略を使用するように最適化されることができる。いくつかの実施形態では、機械学習サブシステムは全て、集約的特徴ベクトルの異なる側面を精査するように最適化されることができる。
【0038】
代替として、機械学習サブシステムの少なくとも一部は、重複する専門性を有することができる。例示的実施形態では、分類サブシステムは、ナイーブベイズ分類器、サポートベクターマシン、ランダムフォレスト、勾配ブースティング木、深層ニューラルネットワーク、および/または他の好適な技法を含むことができる。いくつかの実施形態では、観察される挙動と関連付けられる金融リスク等の数値出力を予測しようとするより柔軟なサブシステムを含むことが、所望され得る。例えば、そのようなサブシステムは、回帰分析、線形回帰、ロジスティック回帰、一般化線形モデル化、一般化加法モデル化、非線形回帰、および/または他の好適な技法を含み得る。これらの実施形態では、機械学習サブシステムは、並行して実行されるように構成されることができる。図示される実施形態では、任意の好適な数の機械学習サブシステムが、使用されることができる。
【0039】
その後、214において、機械学習サブシステムのそれぞれの出力は、悪意のある、および/または悪意のない活動の実施例の付加的および/または異なるコーパスを用いて訓練され、全体的挙動脅威スコアを発生させるように構成される。アンサンブル分類システムまたは回帰モデルにフィードされることができる。例えば、脅威スコアは、信頼度値および/または重大度値を含むことができる。いくつかの実施形態では、アンサンブル分類器は、そのような判定の信頼度および/または重大度に加えて、またはその代替として、行為者が内部者脅威、金銭的に動機付けられた犯罪者、国家的行為者であるかどうかのインジケーションを提供することができる。故に、機械学習サブシステムは、集約的特徴ベクトルの個別の側面を悪意のないものまたは悪意のあるものとしてフラグ付けすることができ、アンサンブル分類器は、機械学習サブシステムからの出力(例えば、予備脅威スコア)に基づいて、脅威スコアを出力することができる。例えば、1つの機械学習サブシステムは、ハードウェア属性の変更を疑わしいものとしてフラグ付けし得る一方、他の機械学習サブシステムは、悪意のある活動がないことを示し、アンサンブル分類器は、それに応じて、低い脅威スコアを開発し得る。
【0040】
代替として、機械学習サブシステムの組み合わせられた出力は、いくつかの機械学習サブシステムが、疑わしい活動をフラグ付けする場合、アンサンブル分類器からのより高い挙動脅威スコアにつながってもよい。いくつかの実施形態では、機械学習サブシステムのうちのいくつかからの出力は、アンサンブル分類器によって加重されることができる。例えば、特定の機械学習サブシステムによって疑わしいものとしてフラグ付けされる集約的特徴ベクトルの側面は、ネットワーク化システムにおける悪意のある活動を示す高い確率を有し得、アンサンブル分類器は、本機械学習サブシステムからの出力により多くの加重を与えることができる、または分析を停止し、アクションを行う(例えば、アラームを発生させ、および/または改善アクションを行う)ことができる。
【0041】
図4Bに示されるように、アンサンブル分類器から出力される挙動脅威スコアが、所定の閾値を上回る場合(216において)、脅威検出システムは、適切なアクションを行うことができる。例えば、アラームが、セキュリティアナリストに潜在的脅威をアラートするためにアクティブ化されることができ、および/または脅威検出システムは、(例えば、脅威を限定または排除するために)修復アクションを行うことができ、および/または予防アクションが、脅威に対処するために行われることができる(218において)。そうでなければ、216に記述されるように、挙動脅威スコアが、所定の値を上回らない場合、および220に示されるように、挙動脅威スコアが、所定の値を下回る場合、脅威検出システムは、ユーザおよび/またはシステムが現在脅威ではないことを判定する(222において)。実施形態では、ユーザ/システムは、無許可の行為者によるいかなる後続使用も検出するために、将来的に分析され続けるであろう。
【0042】
挙動脅威スコアが、上限の所定の値と下限の所定の値との間である場合では(216、220において)、脅威検出システムは、付加的テレメトリおよび/またはハッシュおよび/またはテレメトリの埋込された注釈またはインジケーションが、特定のユーザ/システムに関して分析され得るように、脅威検出システムによって精査されるトークン化されたデータに関する時間ウィンドウを調節および/または拡大することができる(224において)。例えば、調節および/または拡大された時間ウィンドウは、ステップ208に適用され、プロセスは、208から継続することができる。より複雑または算出的に高価なモデルが、最初に上限の所定の値と下限の所定の値との間のスコアである特徴ベクトルを評価するために使用され得ることもまた、可能性として考えられる。本開示の範囲から逸脱することなく、202-224に示されるアクションが、再配列または省略され得、他のアクションまたはステップが、含まれ得ることをさらに理解されたい。
【0043】
いくつかのストリーミングリアルタイム実施形態では、時間ウィンドウは、機械学習分類器等のために更新されることができる。例えば、より最近のイベントが、集約的特徴ベクトルに追加されることができる一方、より古いイベントは、時間ウィンドウが先へ偏移するにつれて、エージングアウトし、集約的特徴ベクトルから除去される。継続的に更新される集約的特徴ベクトルは、機械学習サブシステム、次いで、アンサンブル分類器を通してフィードされ、更新された挙動脅威スコアを生産することができる。例えば、機械学習サブシステムは、時間が経過するにつれて、集約的特徴ベクトルから古いトークンを除去し、集約的特徴ベクトルの中に新しいトークンを組み込むことによって、リアルタイムで動作されることができる。
【0044】
図5に示されるように、集約的特徴ベクトルは、最初に、機械学習サブシステムのうちの1つ以上を通して実行される。最初の機械学習サブシステムの結果が計算された後、それらの出力は、アンサンブル分類器にフィードされることができ(302において)、これは、全体的挙動脅威スコアが重大なアラート閾値を上回るかどうかを判定することができる(304において)。本挙動脅威スコアが、所定の重大なアラート閾値を上回る場合では、エンドポイントおよび拡張検出および応答システムは、セキュリティアナリストに潜在的脅威をアラートし、および/または修復および/または予防アクションを自動的に行うことができる(306において)。代替として、本挙動脅威スコアが、重大なアラート閾値を下回るが、高いアラート閾値を上回る場合では、本システムは、時間ウィンドウを調節し、および/または付加的情報を集め、および/またはより算出的に高価なモデルを利用することができる(308において)。これは、リアルタイムで動作することが可能なモデルが、多数の悪意のないデータをフィルタリングして除くために使用され得、少数の潜在的に疑わしいデータが、より複雑かつ算出的に高価なモデルを通してフィードされ得る、ストリーミング実施形態において特に有用である。組み合わせられた挙動脅威スコアが、高いアラート閾値を下回る場合(310において)、特徴ベクトルは、安全に破棄されることができる(314において)。組み合わせられた挙動脅威スコアが、高いアラート閾値を上回る場合(310において)、システム管理者は、潜在的脅威をアラートされ、および/または他の検出されたIOCとともにコンテキストを提供されることができる(312において)。
【0045】
図6は、本開示の具体的実施形態のそれぞれを施行することが可能な情報取扱システム700の実施例を示す。情報取扱システム700は、図1および2のユーザ情報取扱システム22、32、および40および/またはデータセンター13および/またはネットワーク化システム12内に含まれる、または別様にそれと通信する他の情報取扱システムを表すことができる。情報取扱システム700は、中央処理ユニット(CPU)、グラフィック処理ユニット(GPU)、または両方等のコンピュータシステムまたはプロセッサ702を含んでもよい。また、情報取扱システム700は、バス708を介して相互と通信し得る、主要メモリ704と、スタティックメモリ706とを含むことができる。情報取扱システム700は、アンテナおよびNFCサブシステム等の近距離無線通信(NFC)デバイスおよびインターフェース718を含む。情報取扱システム700はまた、ディスクドライブユニット716と、ネットワークインターフェースデバイス720とを含むことができる。
【0046】
示されるように、情報取扱システム700はさらに、液晶ディスプレイ(LCD)、有機発光ダイオード(OLED)、平面パネルディスプレイ、固体ディスプレイ、または陰極線管(CRT)、または他の好適なディスプレイ等のビデオディスプレイユニット710を含んでもよい。ビデオディスプレイユニット710はまた、タッチスクリーン入力を受け取る入力として作用してもよい。加えて、情報取扱システム700は、キーボード、またはマウスまたはタッチパッド等のカーソル制御デバイス、またはディスプレイユニット上の選択可能インターフェース等の入力デバイス712を含んでもよい。情報取扱システムは、バッテリシステム714を含んでもよい。情報取扱システム700は、電気通信が可能であり、そのリソース、音声通信、およびデータ通信が複数のデバイス間で共有され得る、デバイスを表すことができる。情報取扱システム700はまた、そのリソースが複数のクライアントデバイスによって共有され得る、サーバデバイスを表すことができる、またはこれは、ラップトップまたはタブレットパーソナルコンピュータ等の個々のクライアントデバイス、および/または本開示の範囲から逸脱することなく、任意の他の好適なデバイスを表すことができる。
【0047】
情報取扱システム700は、プロセッサに、本明細書に開示される方法またはコンピュータベースの機能のうちのいずれか1つ以上を実施させるように実行され得る、命令のセットを含むことができる。プロセッサ702は、スタンドアロンデバイスとして動作してもよい、またはネットワーク等を使用して他のコンピュータシステムまたは周辺デバイスに接続されてもよい。
【0048】
ネットワーク化展開では、情報取扱システム700は、サーバの立場で、またはサーバ-クライアントユーザネットワーク環境内のクライアント情報取扱デバイスとして、またはピアツーピア(または分散)ネットワーク環境内のピアコンピュータシステムとして動作してもよい。情報取扱システム700はまた、パーソナルコンピュータ(PC)、タブレットPC、セットトップボックス(STB)、スマートフォン、PDA、モバイルデバイス、パームトップコンピュータ、ラップトップコンピュータ、デスクトップコンピュータ、通信デバイス、無線電話、固定電話、制御システム、カメラ、走査装置、ファクシミリ機械、プリンタ、ページャ、個人の信頼されるデバイス、ウェブアプライアンス、ネットワークルータ、スイッチまたはブリッジ、またはその機械によって行われるべきアクションを規定する命令のセットを(順次または別様に)実行することが可能な任意の他の機械等の種々のデバイスとして実装される、またはその中に組み込まれることができる。特定の実施形態では、コンピュータシステム700は、音声、ビデオ、またはデータ通信を提供する、電子デバイスを使用して実装されることができる。さらに、単一の情報取扱システム700が、図示されるが、用語「システム」はまた、1つ以上のコンピュータ機能を実施するための命令のセットまたは複数のセットを個々に、または共同で実行する、システムまたはサブシステムの任意の集合を含むようにとられるものとする。
【0049】
ディスクドライブユニット716またはスタティックメモリ714は、ソフトウェア等の命令724の1つ以上のセットが埋込され得る、コンピュータ可読媒体722を含んでもよい。ディスクドライブユニット716またはスタティックメモリ706はまた、データ記憶のための空間を含有する。さらに、命令724は、本明細書に説明されるような方法または論理のうちの1つ以上を具現化してもよい。特定の実施形態では、命令724は、情報取扱システム700による実行の間、完全に、または少なくとも部分的に、主要メモリ704、スタティックメモリ706内、および/またはプロセッサ702内に常駐してもよい。主要メモリ704およびプロセッサ702もまた、コンピュータ可読媒体を含んでもよい。ネットワークインターフェースデバイス720は、ネットワーク726、例えば、広域ネットワーク(WAN)、ローカルエリアネットワーク(LAN)、無線ネットワーク、または他のネットワークへのコネクティビティを提供することができる。ネットワークインターフェースデバイス720はまた、2G、3G、4G、5G、LTE、または上記に説明されるものに類似する、類似する無線電気通信ネットワークとして特徴付けられるもの等の無線電気通信ネットワークを含む、マクロセルラーネットワークとインターフェースをとってもよい。ネットワークインターフェース720は、種々の無線コネクティビティのためのアンテナシステムと、信号受信、伝送、または関連処理のための電波周波数サブシステムとを有する、無線アダプタであってもよい。
【0050】
代替実施形態では、特定用途向け集積回路、プログラマブル論理アレイ、および他のハードウェアデバイス等の専用ハードウェア実装が、本明細書に説明される方法のうちの1つ以上を実装するために構築されることができる。種々の実施形態の装置およびシステムを含み得る用途は、広義には、様々な電子およびコンピュータシステムを含むことができる。本明細書に説明される1つ以上の実施形態は、モジュールの間で、それを通して通信され得る関連する制御およびデータ信号を伴う2つ以上の具体的な相互接続されたハードウェアモジュールまたはデバイスを使用して、または特定用途向け集積回路の部分として、機能を実装してもよい。故に、本システムは、ソフトウェア、ファームウェア、およびハードウェア実装を包含する。本開示の種々の実施形態によると、本明細書に説明される方法は、コンピュータシステムによって実行可能なソフトウェアプログラムによって実装されてもよい。さらに、例示的非限定的実施形態では、実装は、分散処理、コンポーネント/オブジェクト分散処理、および並列処理を含むことができる。代替として、仮想コンピュータシステム処理が、本明細書に説明されるような方法または機能性のうちの1つ以上を実装するために構築されることができる。
【0051】
本開示は、ネットワーク726に接続されるデバイスが、ネットワーク726を経由して音声、ビデオ、またはデータ、または他の情報データを通信し得るように、命令724を含む、または伝搬信号に応答して命令724を受信および実行する、コンピュータ可読媒体を想定する。さらに、命令724は、ネットワークインターフェースデバイス720を介して、ネットワーク726を経由して伝送または受信されてもよい。特定の実施形態では、BIOS/FWコード724が、メモリ704内に常駐し、情報取扱システム700の種々の機能を実施するためにプロセッサ702によって実行される、機械実行可能コードを含む。
【0052】
情報取扱システム700は、1つ以上のアプリケーションプログラム724と、基本入/出力システムおよびファームウェア(BIOS/FW)コード724とを含む。BIOS/FWコード724は、電源投入時に情報取扱システム700を初期化し、オペレーティングシステムを呼び出し、オペレーティングシステムと情報取扱システム700の他の要素との間の入力および出力相互作用を管理するように機能する。
【0053】
別の実施形態(図示せず)では、アプリケーションプログラムおよびBIOS/FWコードは、情報取扱システム700の別の記憶媒体内に常駐する。例えば、アプリケーションプログラムおよびBIOS/FWコードは、ドライブ716内、情報取扱システム700と関連付けられるROM(図示せず)内、情報取扱システム700の種々のデバイスと関連付けられるオプションROM(図示せず)内、記憶システム706内、ネットワークチャネル720と関連付けられる記憶システム(図示せず)内、情報取扱システム700の別の記憶媒体内、またはそれらの組み合わせの中に常駐することができる。アプリケーションプログラム724およびBIOS/FWコード724は、それぞれ、単一のプログラムとして、または本明細書に説明されるような種々の特徴を実行する別個のプログラムとして実装されることができる。
【0054】
コンピュータ可読媒体は、単一の媒体であるように示されるが、用語「コンピュータ可読媒体」は、一元化または分散データベースおよび/または命令の1つ以上のセットを記憶する関連付けられるキャッシュおよびサーバ等の単一の媒体または複数の媒体を含む。用語「コンピュータ可読媒体」はまた、プロセッサによる実行のための命令のセットを記憶、埋込、または搬送することが可能である、またはコンピュータシステムに、本明細書に開示される方法または動作のうちのいずれか1つ以上を実施させる、任意の媒体を含むものとする。
【0055】
特定の非限定的例示的実施形態では、コンピュータ可読媒体は、1つ以上の不揮発性読取専用メモリを格納する、メモリカードまたは他のパッケージ等のソリッドステートメモリを含むことができる。さらに、コンピュータ可読媒体は、ランダムアクセスメモリまたは他の揮発性再書込可能メモリであり得る。加えて、コンピュータ可読媒体は、伝送媒体を経由して通信される信号等の搬送波信号を介して受信された情報を記憶するためのディスクまたはテープまたは他の記憶デバイス等の光磁気または光学媒体を含むことができる。さらに、コンピュータ可読媒体は、クラウドベースの環境から等、分散ネットワークリソースから受信された情報を記憶することができる。電子メールまたは他の内蔵型情報アーカイブまたはアーカイブのセットへのデジタルファイル添付は、有形記憶媒体と同等である配布媒体と見なされ得る。故に、本開示は、データまたは命令が記憶され得る、コンピュータ可読媒体または配布媒体および他の均等物および後継媒体のうちのいずれか1つ以上を含むと見なされる。
【0056】
本明細書に説明される実施形態では、情報取扱システムは、ビジネス、科学、制御、娯楽、または他の目的のために、任意の形態の情報、機密情報、またはデータを算出する、分類する、処理する、伝送する、受信する、読み出す、発信する、切り替える、記憶する、表示する、明示する、検出する、記録する、複製する、取り扱う、または使用するように動作可能な任意の手段または手段の集合体を含む。例えば、情報取扱システムは、パーソナルコンピュータ、消費者電子デバイス、ネットワークサーバまたは記憶デバイス、スイッチルータ、無線ルータ、または他のネットワーク通信デバイス、ネットワーク接続デバイス(セルラー電話、タブレットデバイス等)、または任意の他の好適なデバイスであり得、サイズ、形状、性能、価格、および機能性において変動し得る。
【0057】
情報取扱システムは、メモリ(揮発性(ランダムアクセスメモリ等)、不揮発性(読取専用メモリ、フラッシュメモリ等)、またはそれらの任意の組み合わせ)、中央処理ユニット(CPU)、グラフィック処理ユニット(GPU)、ハードウェアまたはソフトウェア制御論理等の1つ以上の処理リソース、またはそれらの任意の組み合わせを含むことができる。情報取扱システムの付加的コンポーネントは、1つ以上の記憶デバイス、外部デバイスと通信するための1つ以上の通信ポート、ならびにキーボード、マウス、ビデオ/グラフィックディスプレイ、またはそれらの任意の組み合わせ等の種々の入力および出力(I/O)デバイスを含むことができる。情報取扱システムはまた、種々のハードウェアコンポーネントの間で通信を伝送するように動作可能な1つ以上のバスを含むことができる。情報取扱システムの部分は、それ自体が情報取扱システムと見なされ得る。
【0058】
「デバイス」、「モジュール」、または同等物と称されるとき、本明細書に説明される実施形態は、ハードウェアとして構成されることができる。例えば、情報取扱システムデバイスの一部は、例えば、集積回路(特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)、構造化ASIC、またはより大きいチップ上に埋込されたデバイス等)、カード(周辺コンポーネントインターフェース(PCI)カード、PCI-expressカード、パーソナルコンピュータメモリカード国際協会(PCMCIA)カード、または他のそのような拡張カード等)、またはシステム(マザーボード、システムオンチップ(SoC)、またはスタンドアロンデバイス等)等のハードウェアであってもよい。
【0059】
本デバイスまたはモジュールは、Pentium(登録商標)クラスまたはPowerPCTMブランドプロセッサまたは他のそのようなデバイス等のデバイスに埋込されたファームウェアを含むソフトウェア、または情報取扱システムの関連する環境を動作させることが可能なソフトウェアを含むことができる。本デバイスまたはモジュールはまた、ハードウェアまたはソフトウェアの前述の実施例の組み合わせを含むことができる。情報取扱システムが、ハードウェアおよびソフトウェアの任意の組み合わせでもあり得る、集積回路またはその部分を有する基板レベル製品を含み得ることに留意されたい。
【0060】
相互と通信するデバイス、モジュール、リソース、またはプログラムは、別様に明確に規定されない限り、相互と連続的に通信する必要はない。加えて、相互と通信するデバイス、モジュール、リソース、またはプログラムは、直接、または1つ以上の媒介を通して間接的に通信することができる。
【0061】
前述の説明は、概して、本開示の種々の実施形態を例証および説明する。しかしながら、種々の変更および修正が、本明細書に開示されるような本開示の精神および範囲から逸脱することなく、本開示の上記に議論される構造に行われ得、上記の説明に含有される、または付随の図面に示される全ての事項が、例証的なものとして解釈され、限定的意味でとられないものとすることを意図することが、当業者によって理解されるであろう。さらに、本開示の範囲は、上記および上記に説明される実施形態に対する種々の修正、組み合わせ、追加、改変等を網羅するように解釈されるものとし、これは、本開示の範囲内であると見なされるものとする。故に、本明細書に議論されるような本開示の種々の特徴および特性は、本開示の他の例証される、および例証されない実施形態に選択的に置換および適用され得、多数の変形例、修正、および追加がさらに、添付される請求項に記載されるような本発明の精神および範囲から逸脱することなく、それに行われることができる。
【図1】
【図2】
【図3】
【図4A】
【図4B】
【図5】
【図6】
【国際調査報告】