TOP特許意匠商標
特許ウォッチ DM通知 Twitter
公開番号2022094335
公報種別公開特許公報(A)
公開日2022-06-24
出願番号2021200440
出願日2021-12-09
発明の名称脅威検知ネットワークにおける脅威検知方法、及び脅威検知ネットワーク
出願人エフ-セキュア コーポレーション
代理人特許業務法人太陽国際特許事務所
主分類G06F 21/55 20130101AFI20220617BHJP(計算;計数)
要約【課題】脅威検知ネットワークにおける脅威検知方法、ネットワークノード及びバックエンドサーバを提供する。
【解決手段】コンピュータネットワーク1は、相互接続されたネットワークノード5a~5h及びバックエンド/サーバ2を含む。ネットワークノードは、夫々に関連するデータを収集するセキュリティエージェントモジュール6a~6hを含む。セキュリティエージェントモジュールは、ネットワークノードに関連するデータを収集及び/又は分析し、ローカル挙動モデルを生成し、他のノード及び/又はバックエンドシステムと共有し、ユーザ活動をローカル挙動モデル及び/又は受信した挙動モデルと比較する。ローカル挙動モデル及び/又は受信した挙動モデルからの逸脱を検出した場合、異常挙動について警告する。バックエンド/サーバは、受信した異常データを他の挙動モデルと比較し、ネットワークノードに結果及び/又は比較に関連するデータを送信する。
【選択図】図1
特許請求の範囲【請求項1】
相互接続されたネットワークノードとバックエンドシステムとを含むネットワークにおける脅威検出のための方法であって、
前記ネットワークノードの少なくとも一部は、それぞれの前記ネットワークノードに関連するデータを収集するエージェントモジュールを備え、
前記方法は、
前記ネットワークノードに関連するデータを前記ネットワークノードで収集及び/又は分析し、
収集及び/又は分析された前記データに基づいて、前記ネットワークノードに関連する、前記ネットワークノードにおける少なくとも1つのローカル挙動モデルを生成し、
前記ネットワークノードに関連する少なくとも1つの生成されたローカル挙動モデルを、1つ以上の他のノード及び/又は前記バックエンドシステムと共有し、
ノード内のユーザ活動を、前記生成されたローカル挙動モデル及び/又は受信された挙動モデルと比較し、前記生成されたローカル挙動モデル及び/又は前記受信された挙動モデルからの逸脱が検出された場合、前記バックエンドシステム及び/又は前記他のノードに異常挙動などについて警告し、及び/又は
前記バックエンドシステムにおいて、受信した異常データを、同じ組織における他の挙動モデル及び/又は既知の悪意のあるユーザ挙動モデルなどの他の挙動モデルと比較し、前記バックエンドシステムから前記ノードに、結果及び/又は比較に関連するデータを送信することを含む、方法。
続きを表示(約 2,200 文字)【請求項2】
前記生成されたローカル挙動モデル及び/又は前記受信された挙動モデルからの逸脱が検出されると、前記エージェントモジュール及び/又は前記ノードは、データ収集のレベルを増加させること、前記生成されたローカル挙動モデル及び/又は前記受信された挙動モデルと一致しなかった前記データを前記バックエンドシステム及び/又は前記他のノードに送信すること、ユーザのリスクレベルを高めること、前記ノードのリスクレベルを高めること、及び/又は、オペレータに警告すること、のうちの少なくとも1つのアクションを実行する、請求項1に記載の方法。
【請求項3】
前記エージェントモジュールは、統計モデル、確率モデル、及び/又はディープラーニングモデルなどの機械学習モデルを利用して、ユーザ活動に関するデータを収集及び分析することによって挙動モデルを構築する、請求項1又は請求項2に記載の方法。
【請求項4】
前記生成された又は前記受信された挙動モデルは、ユーザの、自動化、攻撃、及び/又は同じアカウントを使用する別のユーザに起因する挙動の変化を認識するために、前記ユーザの活動を監視する際に使用される、請求項1~請求項3のいずれか1項に記載の方法。
【請求項5】
同一の行動モデルが、組織における対応する活動、対応する行動、及び/又は対応する役割を有するユーザを本質的にカバーする、請求項1~請求項4のいずれか1項に記載の方法。
【請求項6】
前記エージェントモジュールが、前記挙動モデルを作成するため、及び/又はユーザ活動を挙動モデルと比較する際に、実行されるプログラムとその実行頻度、ログイン位置、ログイン時間、ログイン場所、ネットワーク使用パターン、キーボードレイアウト、キーボード言語、タイピング頻度及び/又は速度、マウス及びタッチ画面移動パターン、タイピングエラー、コマンドラインのコマンド及び引数の構文及びスタイル、クリップボードの使用、ヘッドフォン、カメラ、画面、プリンタ、USBストレージ等の周辺機器及び/又は周辺機器の活動、画面ロック状態、キーボードショートカットの使用を含むコンピュータ使用データのうちの少なくとも1つを収集する、請求項1~請求項5のいずれか1項に記載の方法。
【請求項7】
前記バックエンドシステムは、前記ノード及び/又は前記ネットワークで使用される共有アカウントを識別し、複数の挙動モデルを識別された共有アカウントにリンクする、請求項1~請求項6のいずれか1項に記載の方法。
【請求項8】
前記ネットワークノードに関連する1つ以上のローカル挙動モデルが、前記ネットワークノードによって生成され、少なくとも1つの共通挙動モデルが、前記ネットワークの前記バックエンドシステムによって、及び/又は前記ネットワークノードによって、前記受信したローカル挙動モデルに少なくとも部分的に基づいて生成される、請求項1~請求項7のいずれか1項に記載の方法。
【請求項9】
前記ネットワークがスウォームインテリジェンスネットワークであり、かつ/又は前記スウォームインテリジェンスネットワークが、ローカルコンピュータネットワークの複数の相互接続されたネットワークノードを含み、前記挙動モデルが、前記バックエンドシステム及び/又は前記スウォームインテリジェンスネットワークのノードと共有される、請求項1~請求項8のいずれか1項に記載の方法。
【請求項10】
相互接続されたネットワークノードとバックエンドシステムとを含む、脅威検出ネットワークのネットワークノードであって、
前記ネットワークノードは、少なくとも1つ以上のプロセッサと、前記それぞれのネットワークノードに関連するデータを収集するように構成された少なくとも1つのセキュリティエージェントモジュールと、を備え、前記ネットワークノードは、前記ネットワークノードに関連するデータを収集及び/又は分析するように構成され、
前記ネットワークノードは、前記収集及び/又は分析されたデータに基づいて、前記ネットワークノードに関連する少なくとも1つのローカル挙動モデルを生成するようにさらに構成され、
前記ネットワークノードは、前記ネットワークノードに関連する少なくとも1つの生成されたローカル挙動モデルを、1つ以上の他のノードと、及び/又は前記バックエンドシステムと共有するようにさらに構成され、
前記ネットワークノードは、ノード内のユーザ活動を前記生成されたローカル挙動モデル及び/又は受信された挙動モデルと比較し、前記生成されたローカル挙動モデル及び/又は前記受信された挙動モデルからの逸脱が検出された場合、前記バックエンドシステム及び/又は前記他のノードに、異常挙動などについて警告するようにさらに構成され、及び/又は
前記ネットワークノードは、前記バックエンドシステムから、前記バックエンドシステムによって実行された比較に関する結果及び/又はデータを受信するように構成され、前記比較は、同一の組織における他の挙動モデル及び/又は既知の悪意のあるユーザの挙動モデルなどの他の挙動モデルによって受信された異常データを比較することを含む、ネットワークノード。
(【請求項11】以降は省略されています)

発明の詳細な説明【技術分野】
【0001】
本発明は、脅威検知ネットワークにおける脅威検知方法、脅威検知ネットワークのネットワークノード、脅威検知ネットワークのバックエンドサーバ、及び脅威検知ネットワークに関する。
続きを表示(約 2,600 文字)【背景技術】
【0002】
コンピュータ及びコンピュータネットワークのセキュリティシステムは、コンピュータ及びネットワークにおける脅威及び異常を検出するために使用される。その例は、エンドポイント検知及び応答(EDR:Endpoint Detection & Response)、管理された検知及び応答(MDR:Managed Detection and Response)の製品及びサービスである。EDRは、ブリーチ(侵害)が発生した際のブリーチの検出及び監視に焦点を当て、検出されたブリーチにどのように最良に応答するかを決定するのに役立つ。効率的で堅牢なEDRソリューションの発展は、機械学習、ビッグデータ、クラウドコンピューティングの出現によって部分的に可能になった。次に、MDRは、脅威の検知、応答、及び修復のためのサービスを提供する管理されたサイバーセキュリティサービスである。
【0003】
EDR又は他の対応するシステムは、(ITインフラストラクチャの任意の要素とすることができる)選択されたネットワークエンドポイント上にデータコレクタを配備する。データコレクタは、エンドポイントで行われている活動を監視し、収集したデータを、クラウドにあることが多い中央バックエンドシステム(「EDRバックエンド」)に送信する。EDRバックエンドがデータを受信すると、データは、EDRプロバイダによってセキュリティ侵害及び異常の兆候について分析及びスキャンされる前に処理(例えば、集約及び濃縮)される。
【0004】
しかし、EDRの問題は、データコレクタによって生成されるデータの量が極めて大きくなり得ることである。データ量は、通常、所与のEDRエンドポイントで起こる活動に比例し、そのEDRエンドポイントでの活動が大きい場合、生成されるデータ量も大きい。そのような大量のデータの直接的な結果として、サービス品質の低下、サービスコストの増加、大量のデータの管理に関連するリソースの消費の増加が挙げられる。例えば、大量のデータを処理し、使用可能なフォーマットで利用可能にする必要がある場合、EDRプロバイダにとって、関連するリソース・オーバーヘッド及び金銭的コストが非常に大きくなる場合があり、そのために、顧客組織にEDRを提供するコストが高くなる可能性がある。したがって、多くの組織は、単にEDRを実装しないことを選択し、エンドポイントプロテクション(EPP:End Point Protection)ソリューションのみに依存し続け、これは、基本的なEPPサービスが高度なファイルレス脅威に対する適切な保護を提供しないため、セキュリティリスクになり得る。
【0005】
EDRシステムの中には、収集されるデータについて選択的である(すなわち、選択的なデータ収集制限のポリシーを取る)ことによって、データオーバーヘッドを低減することを提案しているものがある。しかし、この解決策は、通常、効果的な監視、検出、及び法医学的分析を行うためにできるだけ完全なデータ画像を必要とするので、問題がある。悪意のある行為主体を監視し、追跡するためにどのデータが必要とされるかを事前に知ることは、しばしば不可能である。重要な情報が収集されなかったことが認識されることで、多くの場合、調査が止まってしまう可能性があり、そのようなEDRシステムを無効にする。
【0006】
長年にわたって、プロセス、ファイル、ネットワークアドレスなどのオブジェクトに対する評判の構築、又は個々のソフトウェアエンティティの挙動の分析に基づく技術が、サイバー防御のために開発されてきた。高度なターゲット攻撃、すなわち、リソースの豊富な攻撃者がランダムなターゲットを攻撃するのではなく、特定の組織又は個々のユーザを永続的にターゲットにする攻撃は、そのような防御を迂回するように設計されている。典型的な攻撃では、キーボード上のハッカーは、何らかの方法で、正式ユーザのアクセス証明を盗み、又は推測し、次いで、それらの証明を使用して、組織の仮想エステート内で移動する。これらの攻撃では、攻撃者は「ハッキング」するのではなく「ログイン」する。
【0007】
ユーザ、エンティティ、挙動分析(UEBA:User and Entity and Behavior Analysis)は、正規のエンティティ(サーバやモバイル機器など)やユーザの異常な振る舞いを検知することを指す用語である。1つのシナリオでは、これを使用して、通常は米国から朝にログインするユーザが、中国からの夜中に突然ログインするかどうか、又は通常のオフィスワーカが突然プログラムをコンパイルしているか、コマンドラインからサーバにログインしているか、などを検出することができる。
【0008】
典型的なUEBAアプローチがカバーしない問題は、ログインしたユーザの挙動が(まだ)明らかに異常又は悪意を示していない状況である。また、攻撃者は、あらゆるユーザに想定されるような行動をとることで、それを検知のおそれなく行うことができ、様々な形態の自動化を用いて正常な挙動を真似ることで、より一層、攻撃としての振る舞いを隠そうとする可能性が高い。そのため、このような状況もより確実に、かつ偽陽性率の低い状態で認識する必要がある。
【0009】
また、大量のデータを管理することに関連するコストを削減する必要性と、EDRシステムの文脈でデータを収集し処理する方法を改善し、同時に脅威検出機能に対する重大なリスクを回避する必要性がある。
【発明の概要】
【0010】
以下は、様々な発明の実施形態のいくつかの態様の基本的な理解を提供するために、単純化された概要を提示する。この概要は、本発明の広範な概要ではない。それは、本発明の重要な又は重要な要素を識別することも、本発明の範囲を描写することも意図していない。以下の概要は、単に、本発明の例示的な実施形態のより詳細な説明の前置きとして、本発明のいくつかの概念を簡略化した形態で提示するに過ぎない。
(【0011】以降は省略されています)

この特許をJ-PlatPatで参照する

関連特許

個人
データ構造
1日前
個人
マルチ集計シート
1か月前
個人
回覧支援システム
26日前
個人
電子旅程システム
26日前
個人
保険契約管理方法
29日前
個人
喋るハイテク家電
19日前
株式会社理研
演算装置
14日前
個人
遺言書作成システム
27日前
個人
家系図作成システム
27日前
個人
ライフ情報提供装置
26日前
個人
曲目音声入力システム
19日前
株式会社鶴
管理サーバ
26日前
日本精機株式会社
車載表示装置
4日前
凸版印刷株式会社
メタルカード
7日前
個人
災害管理サーバ
29日前
個人
結婚活動支援システム
12日前
個人
ゴーグル表示システム
26日前
HENNGE株式会社
サーバ
22日前
東レ株式会社
シミュレーション方法
22日前
個人
情報提供システム
19日前
シャープ株式会社
家電システム
19日前
個人
統計モデルによる勤務時間の推定
15日前
凸版印刷株式会社
非接触通信ICシート
4日前
株式会社ノーリツ
給湯装置
5日前
ヤマキ有限会社
値引き管理システム
21日前
三菱電機株式会社
映像表示装置
27日前
東洋計器株式会社
ガスの集中監視方法
20日前
テルモ株式会社
表示装置
22日前
オグラ金属株式会社
食品カウンタ装置
6日前
ビィデザイン株式会社
仮想空間システム
19日前
株式会社リコー
情報処理装置および方法
26日前
積水ハウス株式会社
情報処理装置
29日前
積水ハウス株式会社
地図生成装置
29日前
中国電力株式会社
業務時間管理システム
8日前
アンサー株式会社
勤務状況共有システム
今日
NISSHA株式会社
静電容量方式の圧力センサ
12日前
続きを見る