JP2019501441A - シミュレーションおよび仮想現実に基づくサイバー行動システム - Google Patents

シミュレーションおよび仮想現実に基づくサイバー行動システム Download PDF

Info

Publication number
JP2019501441A
JP2019501441A JP2018521868A JP2018521868A JP2019501441A JP 2019501441 A JP2019501441 A JP 2019501441A JP 2018521868 A JP2018521868 A JP 2018521868A JP 2018521868 A JP2018521868 A JP 2018521868A JP 2019501441 A JP2019501441 A JP 2019501441A
Authority
JP
Japan
Prior art keywords
cyber
data
actor
behavior
engine
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018521868A
Other languages
English (en)
Other versions
JP6495543B2 (ja
Inventor
ロバート・エル・グロスマン
キース・ビー・アレクサンダー
ジェイムズ・イー・ヒース
ランディ・リン・ギャレット
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
IronNet Cybersecurity Inc
Original Assignee
IronNet Cybersecurity Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by IronNet Cybersecurity Inc filed Critical IronNet Cybersecurity Inc
Publication of JP2019501441A publication Critical patent/JP2019501441A/ja
Application granted granted Critical
Publication of JP6495543B2 publication Critical patent/JP6495543B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • AHUMAN NECESSITIES
    • A63SPORTS; GAMES; AMUSEMENTS
    • A63FCARD, BOARD, OR ROULETTE GAMES; INDOOR GAMES USING SMALL MOVING PLAYING BODIES; VIDEO GAMES; GAMES NOT OTHERWISE PROVIDED FOR
    • A63F13/00Video games, i.e. games using an electronically generated display having two or more dimensions
    • A63F13/70Game security or game management aspects
    • A63F13/71Game security or game management aspects using secure communication between game devices and game servers, e.g. by encrypting game data or authenticating players
    • AHUMAN NECESSITIES
    • A63SPORTS; GAMES; AMUSEMENTS
    • A63FCARD, BOARD, OR ROULETTE GAMES; INDOOR GAMES USING SMALL MOVING PLAYING BODIES; VIDEO GAMES; GAMES NOT OTHERWISE PROVIDED FOR
    • A63F13/00Video games, i.e. games using an electronically generated display having two or more dimensions
    • A63F13/70Game security or game management aspects
    • A63F13/75Enforcing rules, e.g. detecting foul play or generating lists of cheating players
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/01Input arrangements or combined input and output arrangements for interaction between user and computer
    • G06F3/011Arrangements for interaction with the human body, e.g. for user immersion in virtual reality
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • AHUMAN NECESSITIES
    • A63SPORTS; GAMES; AMUSEMENTS
    • A63FCARD, BOARD, OR ROULETTE GAMES; INDOOR GAMES USING SMALL MOVING PLAYING BODIES; VIDEO GAMES; GAMES NOT OTHERWISE PROVIDED FOR
    • A63F13/00Video games, i.e. games using an electronically generated display having two or more dimensions
    • A63F13/30Interconnection arrangements between game servers and game devices; Interconnection arrangements between game devices; Interconnection arrangements between game servers
    • A63F13/33Interconnection arrangements between game servers and game devices; Interconnection arrangements between game devices; Interconnection arrangements between game servers using wide area network [WAN] connections
    • A63F13/335Interconnection arrangements between game servers and game devices; Interconnection arrangements between game devices; Interconnection arrangements between game servers using wide area network [WAN] connections using Internet
    • AHUMAN NECESSITIES
    • A63SPORTS; GAMES; AMUSEMENTS
    • A63FCARD, BOARD, OR ROULETTE GAMES; INDOOR GAMES USING SMALL MOVING PLAYING BODIES; VIDEO GAMES; GAMES NOT OTHERWISE PROVIDED FOR
    • A63F2300/00Features of games using an electronically generated display having two or more dimensions, e.g. on a television screen, showing representations related to the game
    • A63F2300/50Features of games using an electronically generated display having two or more dimensions, e.g. on a television screen, showing representations related to the game characterized by details of game servers
    • A63F2300/55Details of game data or player data management
    • A63F2300/5546Details of game data or player data management using player registration data, e.g. identification, account, preferences, game history
    • A63F2300/5553Details of game data or player data management using player registration data, e.g. identification, account, preferences, game history user representation in the game field, e.g. avatar
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06TIMAGE DATA PROCESSING OR GENERATION, IN GENERAL
    • G06T19/00Manipulating 3D models or images for computer graphics
    • G06T19/006Mixed reality
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Multimedia (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Business, Economics & Management (AREA)
  • Business, Economics & Management (AREA)
  • Social Psychology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Human Computer Interaction (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Traffic Control Systems (AREA)
  • Alarm Systems (AREA)

Abstract

サイバー行動を計算予測し、サイバーアクター間のサイバー対話を作成できるように、サイバーアクターに関連するサイバー行動を管理するためのサイバーセキュリティシステム。システムは、対話エンジンおよび解析ワークフローエンジンから入力データおよびデータを受信し、受信データに基づいて複数のサイバー行動空間を生成するように構成されたサイバー行動空間管理モジュールを含む。システムは、サイバーアクターデータを処理して、サイバー行動空間、サイバーシーン、サイバーマップ、および他のサイバーアクターとの対話を容易にするように構成された対話エンジンを含む。システムは、解析されたデータおよび対話エンジンデータに基づいてサイバー行動空間を解析し、サイバーデータを更新するように構成された解析ワークフローエンジンを含む。システムは、視覚化を計算し、視覚化を送信して表示するように構成された視覚化エンジンを含む。

Description

本発明のいくつかの実施形態は、概して、サイバーセキュリティ、特に、シミュレーションおよび仮想現実に基づくサイバー行動システムおよびサイバー行動システム間の知識共有に関する。
本出願は、参照により本明細書に組み込まれる、2016年7月14日に出願された米国仮出願第62/362,346号の優先権を主張する。
伝統的に、ネットワーク防御側は情報の断片だけを見直し、ネットワーク上で実際に何が起こっているのかを理解するのに役立つ。潜在的な行動コース、防御的な操作、および強制的なシナリオの強要を見るために、ネットワーク全体をシミュレートすることは非常に困難で人手を要する。現在のサイバーセキュリティの練習では、防御側はお互いに対戦することができるが、練習はネットワーク上で起こりうるシナリオのすべてを網羅していない。毎日、新しい脅威の数と複雑さが増し、ネットワークの防御側が現在のサイバー運用システムに追いつくのはますます難しくなる。
一般に、企業や組織はサイバーセキュリティ関連の問題を独自に処理している。彼らが情報を共有するときは、通常、サイバーセキュリティ関連のデータの共有を促進するための業界または政府の方針と枠組みを通じて行われる。情報を共有するための伝統的な方法では、攻撃の量や速度を処理するには十分ではない。企業が、ネットワーク内で、またはセクター、複数のセクター、若しくは国家を守るために戦っているネットワーク間で積極的に防御できる人材を企業を十分に活用することはできない。
開示される主題によれば、システム、方法、および非一時的なコンピュータ可読媒体は、サイバーアクターに関連するサイバー行動を管理するためのサイバーセキュリティシステムを提供し、サイバー行動を計算および予測し、サイバーアクターとの間のサイバー対話を作成することができる。
いくつかの実施形態では、開示される主題は、サイバー行動空間管理モジュール、対話エンジン、解析ワークフローエンジン、および視覚化エンジンを含むサイバーセキュリティシステムを含む。いくつかの実施形態では、サイバー行動空間管理モジュールは、対話エンジン、解析ワークフローエンジン、および視覚化エンジンと通信している。いくつかの実施形態では、サイバー行動空間管理モジュールは、入力サイバーデータ、センサデータ、エンリッチメントデータ、および第三者データのうちの少なくとも1つを含む入力データ、対話エンジンからのデータ、および解析ワークフローエンジンからのデータの入力データの少なくとも1つを受信するように構成される。いくつかの実施形態では、サイバー行動空間管理モジュールは、入力データ、対話エンジンからのデータ、および解析ワークフローエンジンからのデータのうちの少なくとも1つに基づいて複数のサイバー行動空間を生成するように構成され、複数のサイバー行動空間の各々は、サイバー行動空間データを含む。いくつかの実施形態では、サイバー行動空間データは、サイバーデータを含み、サイバーデータは、入力サイバーデータおよび変換入力サイバーデータのうちの少なくとも1つを含み、サイバーアクターデータは、複数のサイバーアクターに関連し、およびサイバーシーンデータは、複数のサイバーシーンに関連し、サイバー行動空間データは、サイバー行動空間データは、複数の次元、複数のモード、および複数のスケールによって定義される。いくつかの実施形態では、対話エンジンは、複数のサイバーアクターのうちの第1のサイバーアクターに関連する第1のサイバーアクターデータを受信するように構成され、第1のサイバーアクターはリアルサイバーアクターおよびシミュレートアクターの少なくとも1つを含む。いくつかの実施形態では、対話エンジンは、受信した第1のサイバーアクターデータを処理して、第1のサイバーアクターとサイバー行動空間、サイバーシーン、およびサイバーマップのうちの少なくとも1つとの間の第1の対話、サイバーマップは、複数のサイバー行動空間の少なくとも1つに関連し、第1のサイバーアクターと複数のサイバーアクターのうちの第2のサイバーアクターとの間の第2の対話とを容易にする。いくつかの実施形態では、対話エンジンは、第1の対話および第2の対話の少なくとも1つに関連するデータを送信するように構成される。いくつかの実施形態では、解析ワークフローエンジンは、複数のサイバー行動空間のそれぞれに関連付けられたサイバー行動空間データを解析して、サイバー行動を計算し、サイバーデータ、サイバーアクターデータ、およびサイバー行動空間データの少なくとも1つに基づくサイバーシーンデータ、計算されたサイバー行動、および計算されたサイバー行動の割り当てをサイバーデータ、サイバーアクターデータ、およびサイバーシーンデータ、第1の対話、および第2の対話のうちの少なくとも1つを更新するように構成される。いくつかの実施形態では、対話エンジンは、更新されたサイバーデータ、サイバーアクターデータ、およびサイバーシーンデータの少なくとも1つに関連するデータを送信するように構成される。いくつかの実施形態では、視覚化エンジンは、対話エンジン、およびサイバー行動空間のうちの少なくとも1つ、複数のサイバーアクター、複数のサイバーシーン、複数のサイバーマップ、および計算されたサイバー行動からの第1の対話および第2の対話のうちの少なくとも1つに関連するデータの少なくとも1つの視覚化を計算し、表示のために視覚化を送信する。
いくつかの実施形態では、サイバーセキュリティシステムは、サイバー行動空間管理モジュールと通信するクエリエンジンを含み、クエリエンジンは、第1のサイバーアクターから、複数のサイバー行動空間の少なくとも1つに関するクエリを受信するよう構成される。いくつかの実施形態では、クエリは、複数のサイバーエンティティの第1のサイバーエンティティに関連するリスク、第1のサイバーエンティティと同様のプロファイルを有する複数のサイバーエンティティのサイバーエンティティのグループ、第1のサイバーエンティティ、第1のサイバーアクター、第2のサイバーアクター、および第3のサイバーアクターのうちの少なくとも1つに関連する行動に関連付けることができる。いくつかの実施形態では、解析ワークフローエンジンは、複数のサイバーエンティティの各サイバーエンティティおよび複数のサイバーアクターの各サイバーアクターに関連するリスクを計算し、継続的に更新するように構成される。
いくつかの実施形態では、サイバーセキュリティシステムは、サイバー行動空間管理モジュールと通信し、複数のサイバーシーンを生成するように構成されたシミュレーションエンジンを含み、複数のサイバーシーンの各々は、サイバーデータのサブセット、サイバーシーン、複数のサイバー行動空間に関連付けられたサイバーマップとを含む。いくつかの実施形態では、シミュレーションエンジンは、実世界データおよびシミュレートされたデータの少なくとも1つで動作するように構成され、操作、解析、洞察、計画、トレーニング、是正措置、緩和措置の少なくとも1つの動作コースを提供するように構成される。
いくつかの実施形態では、解析ワークフローエンジンは、変換されたサイバー行動空間を生成するように構成され、変換されたサイバー行動空間を生成する。解析ワークフローエンジンは、さらに、サイバー行動空間データをテンソルデータおよび下位テンソル近似に変換するように構成され、機械学習を使用して、サイバー行動および変換されたサイバー行動空間に関連する複数のサイバー行動空間を定義する。
いくつかの実施形態では、解析ワークフローエンジンは、変換されたサイバー行動空間にルールおよび機械学習の少なくとも1つを適用するように構成され、リアルサイバーアクターまたはシミュレートされたアクター、サイバーエンティティ、マシン、組織、およびプロセスの少なくとも1つに関連するリスクを増減するサイバー行動を定義する。
いくつかの実施形態では、サイバーセキュリティシステムは、第1の組織に関連付けられ、リスクを増加または減少させるサイバー行動は、第1の組織に関連するサイバーアクターによって観察可能であり、第2の組織に関連するサイバーアクターによって観察不可能である。いくつかの実施形態では、サイバーセキュリティシステムは、サイバー行動交換エンジンを含み、サイバー行動交換エンジンは、サイバー行動空間管理モジュールと通信する。いくつかの実施形態では、サイバー行動交換エンジンは、プライバシー保護分散型機械学習アルゴリズムおよびプライバシー保護通信プロトコルの少なくとも1つを使用して、第2の組織に関連するサイバー行動交換エンジンにリスクを増加または減少させるサイバー行動を送信するように構成される。リスクを増加または減少させるサイバー行動を第2の組織のデータを解析するために使用することができ、第1の組織に関連するサイバー行動空間データは、第2の組織に関連するサイバーアクターによって観察不可能である。
いくつかの実施形態では、サイバーセキュリティシステムは、第1のサイバーアクターデータを処理して、変換されたサイバー行動空間に関連するサイバー行動の第1のサイバー行動と、変換されたサイバーに関連する複数のサイバーシーンの第1のサイバーシーンの少なくとも1つを決定し、第1のサイバー行動および第1のサイバーシーンに応答することに関連した操作能力、準備、およびトレーニングを改善する。
いくつかの実施形態では、解析ワークフローエンジンは、パケットデータ、ネットワークトラフィック、コンピュータログ、信号インテリジェンス、可視、赤外線、マルチスペクトル、ハイパースペクトル、合成開口レーダ、移動ターゲットインジケータレーダ、技術インテリジェンスデータ、およびインテリジェンス報告の少なくとも1つを処理するように構成される。
いくつかの実施形態では、複数のサイバー行動空間の各々は、リアルタイムサイバー行動空間、履歴サイバー行動空間、およびシミュレートされたサイバー行動空間のうちの少なくとも1つを含む。いくつかの実施形態では、サイバー行動は、初期偵察、スキャン、初期妥協、足場の確立、ビーコン、コマンドと制御、クレデンシャルキャプチャ、エスカレート特権、内部偵察、横運動、ネットワークマッピング、データの抽出、持続性維持、および関連する行動を含む。いくつかの実施形態では、複数の次元は、送信元アドレスと宛先アドレス、到着時刻、容量、パケットサイズ、およびプロトコルタイプの組み合わせを含み、複数のモードは、パケットデータ、ネットワークトラフィック、コンピュータログ、信号インテリジェンス、可視、赤外線、マルチスペクトル、ハイパースペクトル、合成開口レーダ、移動ターゲットインジケータレーダ、技術インテリジェンスデータ、およびインテリジェンス報告の組み合わせを含み、複数のスケールは、時間的マルチスケールデータと地理空間データとの組み合わせを含む。
いくつかの実施形態では、サイバー行動空間管理モジュールは、物理的なアクターに関する物理アクターセンサーデータおよび物理システムに関する物理システムセンサーデータのうちの少なくとも1つを含むセンサデータを受信するように構成され、入力データは、入力サイバーデータ、エンリッチメントデータ、および第三者データのうちの少なくとも1つ、対話エンジンからのデータ、および解析ワークフローエンジンからのデータを含む。いくつかの実施形態では、サイバー行動空間管理モジュールは、センサデータと、入力データ、対話エンジンからのデータ、および解析ワークフローエンジンからのデータの少なくとも1つに基づいて複数のサイバー行動空間を生成するように構成され、複数のサイバー行動空間の各々は、サイバー行動空間データを含む。いくつかの実施形態では、サイバー行動空間データは、サイバーデータを含み、サイバーデータは、入力サイバーデータおよび変換された入力サイバーデータ、複数のサイバーアクターに関連するサイバーアクターデータおよび複数のサイバーシーンに関連するサイバーシーンのうち少なくとも1つを含む。いくつかの実施形態では、サイバー行動空間データは、複数の次元、複数のモード、および複数のスケールによって定義される。いくつかの実施形態では、対話エンジンは、複数のサイバーアクターのうちの第1のサイバーアクターに関連する第1のサイバーアクターデータを受信するように構成され、第1のサイバーアクターは、リアルサイバーアクターおよびシミュレートアクターの少なくとも1つを含む。いくつかの実施形態では、対話エンジンは、受信した第1のサイバーアクターデータを処理して、第1のサイバーアクターとサイバー行動空間、サイバーシーン、およびサイバーマップのうちの少なくとも1つとの間の第1の対話、第1のサイバーアクターと複数のサイバーアクターのうちの第2のサイバーアクターとの間の第2の対話との少なくとも1つを容易にする。いくつかの実施形態では、対話エンジンは、第1の対話および第2の対話の少なくとも1つに関連するデータを送信するように構成される。いくつかの実施形態では、解析ワークフローエンジンは、複数のサイバー行動空間の各々に関連するサイバー行動空間データを解析して、サイバー行動を計算し、サイバー行動空間データ、計算されたサイバー行動、および計算されたサイバー行動のサイバーデータ、サイバーアクターデータ、およびサイバーシーンデータのうちの少なくとも1つの割り当てと、第1の対話、第2の対話、および物理システムおよび物理アクターの少なくとも1つに関する物理的行動の計算に基づいて、サイバーデータ、サイバーアクターデータ、およびサイバーシーンデータの少なくとも1つを更新するように構成される。いくつかの実施形態では、対話エンジンは、更新されたサイバーデータ、サイバーアクターデータ、およびサイバーシーンデータの少なくとも1つに関連するデータを送信するように構成される。いくつかの実施形態では、視覚化エンジンは、対話エンジンからの第1の対話および第2の対話のうちの少なくとも1つ、およびサイバー行動空間、複数のサイバーアクター、複数のサイバーシーン、複数のサイバーマップ、および計算されたサイバー行動のうち少なくとも1つに関連するデータの少なくとも1つの視覚化を計算するように構成される。いくつかの実施形態では、視覚化エンジンは、表示のために視覚化を送信するように構成される。
いくつかの実施形態では、センサデータを受信するように構成されたサイバーセキュリティシステムは、サイバー行動空間管理モジュールと通信するクエリエンジンを含む。いくつかの実施形態では、クエリエンジンは、第1のサイバーアクターから、複数のサイバー行動空間の少なくとも1つに関するクエリを受信するように構成される。いくつかの実施形態では、クエリは、複数のサイバーエンティティの第1のサイバーエンティティに関連するリスク、第1のサイバーエンティティと同様のプロファイルを有する複数のサイバーエンティティのサイバーエンティティのグループ、社内外の組織構成、および第1のサイバーエンティティ、サイバーエンティティのグループ内の各サイバーエンティティ、第1のサイバーアクター、第2のサイバーアクター、および第3のサイバーアクターのうちの少なくとも1つに関連する行動に関連付けられる。いくつかの実施形態では、解析ワークフローエンジンは、複数のサイバーエンティティの各サイバーエンティティおよび複数のサイバーアクターの各サイバーアクターに関連するリスクを計算し、継続的に更新するように構成される。
いくつかの実施形態では、センサデータを受信するように構成されたサイバーセキュリティシステムは、サイバー行動空間管理モジュールであるシミュレーションエンジンと通信するシミュレーションエンジンを含む。いくつかの実施形態では、シミュレーションエンジンは、複数のサイバーシーンを生成するように構成され、複数のサイバーシーンの各々は、サイバーデータのサブセット、サイバーシーン、および複数のサイバー行動空間に関連するサイバーマップを含む。いくつかの実施形態では、シミュレーションエンジンは、シミュレーションを生成するように構成される。いくつかの実施形態では、シミュレーションは、実世界データおよびシミュレートされたデータの少なくとも1つで動作するように構成され、操作、解析、洞察、計画、トレーニング、是正措置、および緩和措置の少なくとも1つの動作コースを提供するように構成される。
いくつかの実施形態では、センサデータを受信するように構成されたサイバーセキュリティシステムに関連する解析ワークフローエンジンは、変換されたサイバー行動空間を生成するように構成される。変換されたサイバー動作空間を生成するいくつかの実施形態では、解析ワークフローエンジンは、サイバー動作空間データをテンソルデータおよび下位テンソル近似に変換し、機械学習を使用して、変換されたサイバー行動空間に関連するサイバー動作および複数のサイバー動作空間を定義する。
いくつかの実施形態では、センサデータを受信するように構成されたサイバーセキュリティシステムに関連する解析ワークフローエンジンは、ルールおよび機械学習の少なくとも1つを変換されたサイバー行動空間に適用して、現実のサイバーアクターまたはシミュレートされたアクター、サイバーエンティティ、マシン、組織、およびプロセスの少なくとも1つに関連するリスクを増減するサイバー行動を定義する。
いくつかの実施形態では、センサデータを受信するように構成されたサイバーセキュリティシステムは、第1の組織に関連付けられ、リスクを増加または減少させるサイバー行動は、第1の組織に関連するサイバーアクターによって観察可能であり、第2の組織に関連するサイバーアクターによって観察不可能である。いくつかの実施形態では、サイバーセキュリティシステムは、サイバー行動交換エンジンを含み、サイバー行動交換エンジンは、サイバー行動スペース管理モジュールと通信する。いくつかの実施形態では、サイバー行動交換エンジンは、プライバシー保護分散型機械学習アルゴリズムおよびプライバシー保護通信プロトコルの少なくとも1つを使用して、第2の組織に関連するサイバー行動交換エンジンにリスクを増加または減少させるサイバー行動を送信するように構成される。リスクを増加または減少させるサイバー行動を第2組織のデータを解析するために使用することができ、第1組織に関連するサイバー行動空間データは、第2組織に関連するサイバーアクターによって観察不可能である。
いくつかの実施形態では、センサデータを受信するように構成されたサイバーセキュリティシステムに関連する第1のサイバーアクターデータは、変換されたサイバー行動空間に関連するサイバー行動の第1のサイバー行動と、変換されたサイバー行動に関連する複数のサイバーシーンのうちの第1のサイバーシーンの少なくとも1つを決定し処理され、第1のサイバー行動および第1のサイバーシーンへの応答に関連する操作能力、準備、およびトレーニングを改善する。
いくつかの実施形態では、解析ワークフローエンジンは、運用技術(OT)センサ、運用技術ログ、パケットデータ、ネットワークトラフィック、コンピュータログ、信号インテリジェンス、可視、赤外線、マルチスペクトル、ハイパースペクトル、合成開口レーダ、移動ターゲットインジケータレーダ、技術インテリジェンスデータ、およびインテリジェンス報告の少なくとも1つを処理するように構成される。
いくつかの実施形態では、センサデータを受信するように構成されたサイバーセキュリティシステムに関連する複数のサイバー行動空間の各々は、リアルタイムサイバー行動空間、履歴サイバー行動空間、およびシミュレートされたサイバー行動空間のうちの少なくとも1つを含む。いくつかの実施形態では、サイバー行動は、初期偵察、スキャン、初期妥協、足場の確立、ビーコン、コマンドおよび制御、クレデンシャルキャプチャ、エスカレート特権、内部偵察、横運動、ネットワークマッピング、データの抽出、持続性維持、および関連する行動の少なくとも1つを含む。
いくつかの実施形態では、センサデータを受信するように構成されたサイバーセキュリティシステムに関連する複数の次元は、送信元アドレスと宛先アドレス、到着時刻、容量、パケットサイズ、およびプロトコルタイプの組み合わせを含み、複数のモードは、パケットデータ、ネットワークトラフィック、コンピュータログ、信号インテリジェンス、可視、赤外線、マルチスペクトル、ハイパースペクトル、合成開口レーダ、移動ターゲットインジケータレーダ、技術インテリジェンスデータ、およびインテリジェンス報告の組み合わせを含み、複数のスケールは、時間的マルチスケールデータおよび地理空間データを含む。
開示された主題のこれらのおよび他の能力は、以下の図面、詳細な説明、および請求項を検討した後により完全に理解されるであろう。本明細書で使用される表現および用語は、説明のためのものであり、限定的であると見なされるべきではないことを理解されたい。
開示された主題の様々な目的、特徴、および利点は、同様の参照符号は類似の要素を識別する、以下の図面と関連して考慮される場合、開示される主題の以下の詳細な説明を参照することにより、より十分に理解され得る。本明細書で使用される表現および用語は、説明のためのものであり、限定的であると見なされるべきではないことを理解されたい。
本開示のいくつかの実施形態に係るサイバーセキュリティシステムを示すシステム図である。 本開示のいくつかの実施形態に係る異なるサイズのウィンドウを使用するマルチスケールモデリング技術を示す図である。 本開示のいくつかの実施形態に係るCBS内のデータをモデリングするため、およびCBSのテンソル表現用に使用されるマルチスケールモデリングを示す図である。 本開示のいくつかの実施形態に係るサイバー行動空間(CBS)の作成における下位ランク近似およびテンソルの役割を示す図である。 本開示のいくつかの実施形態に係る対話型CBS環境を管理する対話エンジンを示すシステム図である。 本開示のいくつかの実施形態に係るCBSのスイートを管理するシミュレーションエンジンを示すシステム図である。 本開示のいくつかの実施形態に係る制御された方法で企業内または企業間で安全に情報を共有する複数のサイバー行動交換(CBX)の動作を示すシステム図である。 本開示のいくつかの実施形態に係る動作技術環境と相互作用するサイバーセキュリティシステムを示すシステム図である。
いくつかの実施形態では、シミュレーションおよび仮想現実システムは、観察された行動関連情報、解析ワークフローを使用して計算された行動関連情報、および1つまたは複数の組織の複数の実在または仮想のサイバーアクターが、シーン、シミュレーションおよび仮想現実環境に従事したときに生成される行動関連情報を含み、行動関連情報を互いに共有することによって、サイバー防御側の操作能力およびトレーニングを強化するために使用される。
いくつかの実施形態では、行動関連情報は、2つ以上の組織が、トレーニングの強化のため、組織の防御の改善のため、または情報を共有する複数の組織の防御の改善のためにシーン、シミュレーションおよび仮想現実環境の一部として情報を交換することができるように、サイバー行動交換を使用して安全かつプライバシーを保護する方法で交換される。
サイバー行動空間
サイバーセキュリティシステムのいくつかの実施形態は、サイバー行動空間(本明細書ではCBSとも呼ばれる)に基づいており、サイバー行動空間は、その実施形態の1つにおいて、以下の5つの要素の少なくとも1つを含む。1)多次元、マルチモーダル、マルチスケールデータ、2)サイバーアクター、3)シーン、4)サイバー行動の1)、2)、または3)への割り当て、5)物理的行動の1)、2)、または3)への割り当て。これらの5つの要素の各々について、以下にさらに詳しく説明する。
多次元、マルチモーダル、マルチスケールのデータには、エンティティ、アクター、ネットワーク、物理空間、仮想空間、その行動、およびそれらの対話に関するデータが含まれるが、これらに限定されない。多次元は、導出、抽出、または計算されるデータ属性を指すことができる。サイバーデータのデータ属性の例には、送信元および宛先アドレス、到着時間、容量、パケットサイズ、およびプロトコルタイプが含まれるが、これらに限定されない。マルチモーダルデータは、サイバードメインを含む複数のセンサタイプまたはドメインから得られたデータを指す。マルチモーダルデータの例には、パケットデータ、ネットワークトラフィック、コンピュータログ、信号インテリジェンス、可視、赤外線、マルチスペクトル、ハイパースペクトル、合成開口レーダ、移動ターゲットインジケータレーダ、技術インテリジェンスデータ、およびインテリジェンス報告が含まれるが、これらに限定されない。マルチスケールは、異なる解像度のモデルで使用できるデータを指す。時間データ、地理空間データ、組織データ、およびネットワークデータは、すべてマルチスケールモデルの一部である可能性がある。例えば、時間的マルチスケールデータは、例えば、年、月、週、日、時間、分、秒、ミリ秒の単位でモデル化することができる時間を指す。例えば、地理空間マルチスケールデータには、家屋レベル、ブロックレベル、マルチブロックレベル、都市、地域など、さまざまなスケールでデータを含めることができる。
サイバーアクターは、個々のアクターまたはサイバーアクターの集まりを指すことができる。サイバーアクターは、実際の個人または仮想アクターであってもよく、リアルタイム、履歴およびシミュレートされたサイバー行動空間と対話することができる。以下でより詳細に説明するように、サイバー行動空間は、1人または複数人のサイバーアクターを含むことができる。いくつかの実施形態では、サイバー行動空間は、他のサイバーアクターまたはシミュレートされたサイバーアクターを含まない。
サイバーシーンは、アクター、エンティティ、ネットワーク、および物理的または仮想的な空間の組み合わせを指すことができる。いくつかの実施形態では、シーンはアクターを含まないか、またはエンティティ、ネットワーク、または物理的または仮想的な空間を含んでいなくてもよい。シーンの一例は、侵害されたエンティティからデータを抽出(または抽出)するサイバーアクターであり、データの抽出は行動モデルによって識別され、サイバー防御側はネットワークから侵害されたエンティティを隔離する。
サイバー行動の割り当ては、上述のように1)、2)または3)、またはそれらの構造、構成要素、またはそれらの組み合わせにすることができる。1)多次元、マルチモーダル、マルチスケールデータ、2)サイバーアクター、3)シーンの各々自体が複雑であり、通常、要素、下位要素、およびコレクションやコレクションのコレクションなどを持つ階層構造を持つ。サイバー行動の割り当ては、要素、要素間の関係、要素間のアレンジメント、要素、サブ要素およびそれらの関係から構築された構造、同様にサブ要素など、またはコレクション、コレクション間の関係、コレクション間のアレンジ、またはコレクションから構築された構造、コレクションのコレクションおよびその関係、同様にコレクションのコレクションなどであることができる。サイバー行動には、初期偵察、スキャン、初期妥協、足場の確立、ビーコン、コマンドと制御、クレデンシャルキャプチャ、エスカレート特権、内部偵察、横運動、ネットワークマッピング、データの抽出、持続性維持、および関連する行動を含むが、これらに限られない。例えば、データから作成された特徴で定義されたポイントのいくつかのクラスタには、”抽出行動”を割り当てることができるが、他のクラスタには”偵察行動”を割り当てることができる。抽出(データの抽出)とは、一般に、コンピュータまたはストレージデバイスからのデータの不正コピー、転送、またはデータの検索を指す。偵察行動とは、一般的に、ネットワークとそれに含まれるデバイスについて、その妥協を容易にするために学習することを指す。いくつかの実施形態では、行動は、次の方法で割り当てることができる。第1のデータセット内の各ポイントが、上に列挙されたサイバー行動の1つ、またはそのポイントに関連する行動が上に列挙された行動のいずれとも関連していないことを示すNAのようなラベルでラベル付けされていると仮定する。また、ポイントをクラスタにグループ化するアルゴリズムが使用されているとする。各クラスタは、そのクラスタ内で発生している他のどのラベルよりも、そのクラスタに関連性の高いラベルでラベル付けすることができる。今、第2のデータセットが与えられると、各ポイントをデータポイントに最も密接に関連するクラスタに割り当てることができ、次いでそのクラスタに対応するラベルでラベル付けすることができる。行動は、履歴データ、ストリーミングデータ、インタラクティブデータを解析する機械学習法や統計的方法の使用、ルールおよびルールエンジンを使用して行動を定義すること、エキスパートを使用して行動を定義すること、またはこれらの方法のいくつかの組み合わせの使用を含むが、これらに限られない、複数の方法でポイントを第1のデータセットに割り当てることができる。
物理的行動の割り当ては、上述のように1)、2)または3)、またはそれらの構造、構成要素または組み合わせにすることができる。サイバー行動と同様に、物理的行動の割り当ては、1)、2)、および3)の要素、サブ要素など、それらから構成された配置や関係、構造、1)、2)および3)のそれらの配置と関係とそれらから構築された構造コレクション、コレクションのコレクションなどであることができる。物理的行動には、ログイン、企業や職場の内外の個人の地理空間的位置、人間の動き、物理的なデバイスとマシン、人と物理的なデバイスとマシンとの相互作用を含むが、これらに限られない。例えば、作業場、アクセスパス、車両、データセンター、物理的なデバイスとマシンを含む環境、送電線や発電プラントのような物理的プラントとその構成要素を含む。
いくつかの実施形態では、上記の5つの要素のサブセットのみがサイバー行動空間内に存在する。
図1は、本開示のいくつかの実施形態に係るサイバーセキュリティシステム100を示す。サイバーセキュリティシステム100は、対話エンジン106、サイバー行動クエリエンジン107、視覚化エンジン108、監視/報告エンジン109、CBSマネージャ113、解析ワークフローエンジン114、シミュレーションエンジン115、サイバー行動交換(CBX)117および解析ワークフロー118を含む。図1は、サイバーデータ101、センサデータ102、エンリッチメントデータ103、第三者データ104、リアルおよび仮想サイバーアクター105、初期および更新サイバー行動空間(CBS)110、シミュレートされたCBS111、インタラクティブCBS112、およびオブザーバーおよびコントローラ116も示す。
サイバーデータ101は、サイバーエンティティ、サイバーアクター、ネットワークパケットおよびフロー、それらの行動及びそれらの対話に関するデータを含むが、これらに限定されない、多次元、マルチドメイン、マルチスケールサイバーデータを含むことができる。いくつかの実施形態では、サイバーデータ101は、データ管理システム(図示せず)によって管理される。データ管理システムは、リレーショナルデータベース、構成管理システムのインタフェース、または統合されたユーザインタフェースおよび記憶機構を有する他のコンピュータシステムであることができる。
センサデータ102は、可視、赤外線、マルチスペクトル、ハイパースペクトル、合成開口レーダ(SAR)、移動ターゲットインジケータ(MTI)、セキュリティカメラ、音響、バイオメトリック、およびカードリーダーを含むが、これらに限られない、物理環境に関する実際のデータまたはシミュレートされたデータを含むことができる。異なる種類のセンサデータ102は、本明細書ではマルチモーダルデータとも呼ばれる。
エンリッチメントデータ103は、動的ホスト構成プロトコル(DHCP)、ドメインネームシステム(DNS)、資産管理、構成管理、ログファイル、および人的資源情報を含むが、これらに限定されない、サイバーデータおよびセンサデータに追加のコンテキストを提供する情報を含む。
第三者データ104は、脅威管理フィード、評判ドメイン、およびブラックリストを含むが、これらに限定されない、以前のデータタイプと相関することができる追加のデータソースである。
解析ワークフロー118のコレクションは、履歴データ、ストリーミングデータ、シミュレートされたデータおよび相互作用からのデータを処理してサイバー行動を識別する。サイバー行動は、初期偵察、スキャン、初期妥協、足場の確立、ビーコン、コマンドとコントロール、クレデンシャルキャプチャ、エスカレート特権、内部偵察、横運動、ネットワークマッピング、データの抽出、持続性の維持、および関連する行動を含むが、これらに限定されない。いくつかの実施形態では、サイバー行動は、機械学習方法または履歴データを解析する統計的方法によって定義される。いくつかの実施形態では、行動を定義するために、エキスパートによって手動でコード化されるか、ルールエンジンによって管理されるルールが使用される。いくつかの実施形態では、これらおよび他の方法の組み合わせが使用される。
サイバーアクター105は、0人または複数人の他のサイバーアクターおよび0人または複数人シミュレートされたサイバーアクターを含むシーンを含むリアルタイム、履歴およびシミュレートされたサイバー行動空間と対話する能力を有する、実際の個人または仮想のものであり得る。
対話エンジン106は、リアルサイバーアクター105と仮想サイバーアクター105の両方がサイバー行動システムにインタフェースして変更することを可能にする。
サイバー行動クエリエンジン107は、リアルアクター、仮想アクター、およびシステムの他の構成要素が、これらに限定されないが、エクスフィル、または搾取行動、一般的に、または、特定の時間帯、特定のネットワークセグメント、および特定のポートに対して制限されない他の制約に限定されるそれらのサイバー行動などのサイバー行動をCBSに問い合わせることを可能にする。いくつかの実施形態では、サイバー行動クエリエンジンは、特定された時間セグメント、特定されたネットワークセグメント、特定されたポート、特定されたユーザ、特定されたデバイス、またはこれらと任意のものとのブール組み合わせおよびCBS内のデータの他の属性または特徴に関連するすべてのデータなど、CBSからのデータの特定のサブセットを検索することもできる。いくつかの実施形態では、サイバー行動クエリエンジンは、時間、ネットワークセグメント、およびユーザのカテゴリなどの次元に沿って掘り下げることもできる。例えば、ユーザの掘り下げは、すべてのユーザ、すべての従業員、部門を持つすべての従業員、および部門内の部内のすべての従業員に進むことができる。
視覚化エンジン108は、CBS、そのプロセス、構成要素、および出力の2−Dおよび3−D表現を提供する。
監視/報告エンジン109は、CBSおよびそのプロセスおよび構成要素のリアルタイムおよび履歴状態を提供する。
初期CBS110は、シミュレートされたCBSの開始状態を提供する。更新されたCBS110は、データおよびシステムの他の更新後のCBSである。
シミュレーションされたCBS111は、シミュレーションエンジン115によって生成されたCBS、ならびにCBSマネージャ113によって提供される他の更新を表す。
インタラクティブCBS112は、対話エンジン106によって生成されたCBS、ならびにCBSマネージャによって提供される他の更新を表す。
一般的なCBS118は、本明細書では、初期CBS110、更新されたCBS110、シミュレートされたCBS111、インタラクティブCBS112、またはシステム構成要素の1つによって生成された他のCBSのいずれか1つまたは組み合わせと呼ばれる。
CBSマネージャ113(本明細書ではサイバー行動空間管理モジュールとも呼ばれる)は、サイバーデータ101、センサデータ102、エンリッチメントデータ103および第三者データ104を含むが、これらに限定されない、データ119を管理する。CBSマネージャ113は、シミュレーションされた初期CBS、シミュレートされた環境に関連付けられたCBS、対話する環境に関連付けられたCBS、実際の環境に関連付けられたCBS、他のCBSおよびこれらの様々な組合せを含むシステムに関連するCBSのための制御および更新メカニズムも提供する。CBSマネージャ113は、サイバーセキュリティシステム100内の他の各構成要素と通信している。CBSマネージャは、データを処理し、処理されたデータと未処理のデータを構成要素間でルーティングする。本明細書で説明するように、CBSマネージャ113は、入力データに基づいてサイバー行動空間を生成する。いくつかの実施形態では、以下により詳細に説明するように、CBS、入力データ、および他のシステム構成要素からのデータの少なくとも1つに適用される解析ワークフローエンジン114によって実行される解析ワークフロー118によって、サイバー行動空間が生成または更新される。
解析ワークフローエンジン114は、CBSに関連するテンソルの解析ワークフローおよびCBSに関連するテンソルの下位近似のための解析ワークフローを含む、CBSで動作する解析のタイプおよび組み合わせを管理する。いくつかの実施形態では、解析ワークフローエンジン114は、サイバー行動空間に関連するサイバー行動空間データを解析してサイバー行動を計算し、サイバー行動空間データ、計算されたサイバー行動、並びに、サイバーデータ、サイバーアクターデータ、およびサイバーシーンデータの少なくとも1つへの計算されたサイバー行動の割り当ての少なくとも1つに基づいて、サイバーデータ、サイバーアクターデータ、およびサイバーシーンデータのうちの少なくとも1つ、並びに、サイバーアクターと他のサイバーアクターとの間の、およびサイバー行動空間との間の、対話を、更新する。例えば、通常どんなデータベースにも接続していないアクターが以前ログインしたことのないワークステーションにログインし、複数のデータベースに接続しようとして失敗した場合、そのアクターの正常な行動を調べる第1の解析ワークフローでは、新しいマシンの使用に基づいてデータベースのような通常はコンタクトしないサービスにコンタクトすることに対して高いスコアを割り当てることができる。第2の解析ワークフローでは、失敗したログインの数に基づいて高いスコアを割り当てることができ、第3の解析ワークフローでは、ログインが失敗しなかった場合でもコンタクトしようとした特に重要なデータベースに基づいて高いスコアを割り当てることができる。最後に、3つの解析ワークフローのスコアの解析に基づく第4の解析ワークフローは、アクターに”有害な可能性のあるアクター”のラベルを割り当てることができ、データベースへの失敗したログインに関連するデータセット内のポイントに”不正アクセスを試みた”というラベルを割り当てることができ、おそらく悪いアクター、関連するワークステーション、様々なデータベース、および関連する接続から部分的になるシーンに”試みられた横運動”のラベルを割り当てることができる。
シミュレーションエンジン115は、実世界からの入力だけでなく、アルゴリズムに基づくシミュレートに基づいて、仮想およびリアルのサイバーアクターから、シミュレートされたCBSを初期化および更新するためのメカニズムを提供する。
オブザーバーおよびコントローラ116は、目的が達成されることを確実にするためにCBSの全体的な状態を管理する。
サイバー行動交換117は、データを安全に共有し、企業内外の他のCBSとの対話を媒介するためのメカニズムを提供する。
いくつかの実施形態では、サイバー行動空間110,111,112,118のデータは、サイバーデータ101、センサデータ102、エンリッチメントデータ103、および第三者データ104を含むデータ119から由来する。CBSのサイバー行動は、解析ワークフローエンジン114によって管理される解析ワークフロー118によって定義される。リアルおよび仮想のサイバーアクター105は、CBSによって要求されるサイバーアクターを提供し、CBSによって要求されるシーンは、シミュレーションエンジン115、対話エンジン106、解析ワークフローエンジン114、またはエンジン106,114,115の組み合わせによって生成される。
いくつかの実施形態では、サイバーデータ101、センサデータ102、エンリッチメントデータ103または第三者データ104は、単一の場所内に、または2つ以上の地理的に分散した場所に分散させることができる。データが配信される場合、いくつかの実施形態では、高性能ネットワーク、エンタープライズサービスバス、または他の技術を含むネットワークが、データを伝送するために使用される。同様に、解析ワークフローエンジン114、シミュレーションエンジン115、対話エンジン106、および視覚化エンジン108を含むが、これらに限定されない、システム構成要素を分散させることができる。
CBSはマップで充実させることができる。この文脈での地図は、情報空間、物理空間、ネットワーク空間、サイバー空間、社会空間、および組織空間、またはデータおよび情報を含むこれらの異なる種類の空間のいくつかの組み合わせに結びついた視覚化として見ることができる。組織空間は、一連のエンティティ間の関係を示す。例は、ビジネスや他の組織のための組織構造である。内部組織空間はその組織内部の”内部”を指すことができ、”外部”は他のエンティティとの関係を指すことができる。例えば、CBSは、次のようなマップを用いて充実させることができる。組織に関連する施設の物理的位置について、異なるネットワークエンティティおよび他のデバイスがどのように一緒に接続されているかを記述するネットワークトポロジについて、個人とその報告構造を記述する組織空間について、データがどのように編成されているかを記述した情報構造についてのマップを用いて充実させることができる。
いくつかの実施形態では、シーンは、i)サイバー、センサ、エンリッチメント、第三者、または他のデータ、ii)リアルまたは仮想の2人以上のサイバーアクターのシーンにおける対話、またはiii)第三者による1つまたは複数のアクション(すなわち、シーンにないリアルまたは仮想のアクターによるアクション)、またはiv)シーンのリアルまたは仮想のアクターとの第三者による1つまたは複数の対話、に依存することができるリアルまたは仮想のサイバーアクター105による行動のシーケンスを指す。シーンを組み合わせてトレーニングシナリオを作成できる。いくつかの実施形態では、同じ組織からのアクターを地理的に分散させ、ネットワークを介して通信することができる。他の場合には、地理的に分散可能な異なる組織のリアルおよび仮想の両方のアクターが、サイバー行動交換117を使用して通信することができる。
シーンは、共通の問題を同期した方法で理解するために、サイバー行動交換117を使用して異なる地理的位置から複数の防御側を連れてシミュレーションに参加することができる。インタラクティブなシーンおよびシナリオは、いくつかの実施形態では、アクティブな防御側が取っているアクションおよび敵対者が取っているアクションによって行われた変更を含むことができる。一例として、サイバーアクターは、ネットワークセグメントのバックグラウンドノイズに隠れるほど静かな侵入したマシンからのネットワーク偵察に従事することができる。一方、個々にまたはチームで行動する複数の地理的な場所からの複数の防御側は、サイバーアクターと侵入したマシンをネットワークセグメント内の観察された行動から見つけようとする。
CBSは、新しいデータに基づいて更新されたCBS110を作成するために既存のCBSを更新すること、シミュレートされたCBS111を作成するための行動をシミュレートすること、およびリアルまたは仮想アクターがインタラクティブな環境に参加して、対話的な行動112を有するCBSを作成すること、これらに限定するものではないが、複数の方法で作成することができる。行動は、以下を含む複数の方法で定義することができる。i)機械学習および人工知能(AI)方法を使用して、履歴データまたはシミュレートされたデータから行動を学習する。ii)CBSシステムは、いくつかの実施形態では、ルール、行動プリミティブを含むコード、またはユーザ指定の行動を生成するためのより複雑な環境を使用して行動を生成できるように、アプリケーションプログラミングインタフェース(API)を有する。iii)自然言語処理を使用して、ドキュメント内のテキスト、内部ネットワークに格納されたテキスト、インターネットから抽出されたテキスト、ソーシャルメディアシステムから抽出されたテキストから行動を抽出することによって、行動を学習できる。iv)実際の個人が特定の行動または特別の行動に従事したときに生成されたデータを処理することによって行動を抽出することができる。
マルチスケールデータとテンソル表現
データの量、次元の数、モデルセグメントの数、およびデータのモダリティの数が増えるにつれて、本開示のいくつかの実施形態は、データ119をテンソルとして表す。テンソルは、複数のインデックスの配列である。テンソルの次数は、そのモードまたは次元の数である。テンソルは、ベクトル(1次テンソル)と行列(2次テンソル)の一般化と考えることができ、特殊ケースとしてベクトルと行列の両方を含む。テンソルの要素は、導出、抽出、または計算が可能な数値であり、マルチモーダルデータを表すことができる。テンソル3次の例は、5つのインデックスを有する数値的な配列であり、要素は、ある日の特定のプロトコルに関連する送信元IPから宛先IPへのトラフィックの量を表す。この例では、観察されたプロトコルが1,2,...,25の25種類にグループ化されていると仮定する。ここでは、送信元IP、宛先IP、およびプロトコルタイプの3つの次元がある。テンソルを作成するために使用できるマルチモーダルデータ属性の例には、パケットデータ、ネットワークトラフィック、コンピュータログ、信号インテリジェンス、可視、赤外線、マルチスペクトル、ハイパースペクトル、合成開口レーダ、および移動ターゲットレーダを含むが、これらに限られない。
本開示のいくつかの実施形態では、非周期グラフによって記述されるワークフローを使用してテンソルが処理され、ノードは、計算を表し、および有向エッジは、あるノード(エッジのソース)から別のノード(エッジのターゲット)へのデータフローを表す。ノードは複数のテンソルの入力と出力を持つことができ、一部の入力と出力はテンソル入力と出力のスライスまたは投影を使用できる。非周期グラフによって記述されるワークフローは、解析ワークフローエンジン114によって管理される解析ワークフローの例である。特に、これらのような解析ワークフローを使用して、CBS内のデータを処理し、機械学習、統計技術の使用、ルールの使用、または本開示に記載されている他の方法のいずれかを使用して関心のある行動を抽出することができる。シミュレーションエンジン115によってシミュレートされたCBS111を作成するために、テンソルに基づく方法も使用される。
データ内の任意の変数について、様々な方法を使用して、異なるスケールまたはレベルの粒度で解析を行うことができる。マルチスケールモデリングとは、システムを記述するために異なるスケールの複数のモデルを同時に使用し、様々なスケールの分解能でデータを使用するモデルを指す。例えば、マルチスケール時間解析では、図2を参照してより詳細に説明するように、ジャンピングウィンドウ205を使用して、ウィンドウ内のすべての測定値を単一の測定値、例えば平均、トリム平均、中央値、またはウィンドウ内のデータからの他の何らかの統計または特徴計算で置き換えることができる。本明細書で説明するように、ウィンドウは、区間[x,x+w]内のデータなど、データ属性または特徴xの連続するサブセットを指す。ウィンドウは、例えば、[x,x+w],[x+w,x+2w]からの重複しない方法で移動することによって、ジャンプすることができ、または、それらは、量sだけスライド、例えば、[x+s,x+s+w]、[x+2s,x+2s+w]、することができ、ここでs<wである。サイズが倍増するウィンドウのような異なるサイズのウィンドウを使用することによって、異なる解像度のスケールでCBSが生成される。マルチスケール解析は、元のデータと元のデータから得られたすべての特徴の両方に適用される。CBSに関連するデータおよび行動のマルチスケール時間解析は、CBSに関連するリアルタイムの行動よりも速く減速または再生するためにも使用できる。
図2は、本開示のいくつかの実施形態に係るデータ119のマルチスケール表示の計算を示す図である。図2aは、いくつかの実施形態に係る異なるサイズのウィンドウを使用するマルチスケールモデリング技術を示し、図2bは、いくつかの実施形態に係るCBS118およびCBSのテンソル表現203のモデリングにマルチスケールモデリングを使用する方法を示す。このようにして、マルチスケールモデリングを含むCBS118を計算するためにデータ119を使用することができ、マルチスケールモデリングを含むテンソル203を使用して表すことができる。CBSデータおよびテンソルは、解析ワークフローエンジン114によって解析されて、行動モデルを作成することができ、行動モデルおよび関連データをクエリに利用可能にすることができる。
図2に示すように、増加するサイズのジャンピングウィンドウ205のシーケンスは、各ウィンドウがその前の2倍のサイズで、データのマルチスケール表現を生成するために使用され得る。サイズやスケールが増加するウィンドウは、例えば、各ウィンドウを先の一例より大きく100x,100x,または100xにするなど、他の方法で生成することができる。データ206のテンソル表現およびデータ203のマルチスケール表現のテンソル表現は、以下に説明する方法でシステムによって解析することができる。本明細書で説明するテンソル表現を使用するいくつかの利点には、1)リアルタイムよりも速いプレイバックを含むマルチスケールの時間的仮想現実(VR)および履歴データのプレイバック、2)リアルタイムより速いプレイバック能力を含む、シミュレートされたデータのマルチスケール時間VRプレイバック、3)統合された履歴およびシミュレートされたデータのマルチスケール時間VR、を可能にすることを含む。
テンソルとマルチスケール解析の簡単な例として、送信元IP、宛先IP、送信元ポート、宛先ポート、および時間tを持つ5ウェイテンソルを、1ms,10ms,100ms,1秒,10秒,100秒,1000秒,10,000秒、および100,000秒の時間スケールwに対して構築することができ、ここでテンソルの各要素は、時間tからt+wまでの間、送信元IPおよび送信元ポートから宛先IPおよび宛先ポートまでのパケットの数を示す。視覚化およびインタラクションが100ms毎に1回(すなわち、10x毎秒で)リフレッシュされる場合、1秒以上でウィンドウに関連付けられたテンソルを使用すると、リアルタイムより速い(換言すれば、時間が速くなる)視覚化が得られる。例えば、ウィンドウのサイズが10秒で、インタラクティブCBS環境のシーンまたはリアルアクターおよび/またはバーチャルアクター間の対話が1秒当たり10倍にリフレッシュされる場合、壁時計によって測定されるリアルアクターまたはバーチャルアクター間の対話の各秒は、活動がリアルタイムで再生される場合の100秒の活動に対応する。すなわち、インタラクティブなCBS環境における仮想インタラクションはリアルタイムよりも速い。
このシステムのいくつかの実施形態は、CBSにおけるデータおよびそのテンソル表現を、CBSにおけるデータまたは処理されたデータを表すテンソルに対するより下位の近似のようなより低い次元の構造に縮小する方法を使用する。テンソルランクを定義する1つの方法は、下の例のように、適切な次元のk個のベクトルの外積の和としてテンソルの次数kを分解することである。この場合、総和の数がランクである。元のテンソルに対するこれらのより低いランクの近似は、CANDECCOMP/PARAFAC(CP)またはテンソルのタッカー分解を含むが、これらに限られない様々な方法で計算することができる。システムのいくつかの実施形態では、行動モデルは、これらのより下位の階数近似から元のテンソルへの特徴と関連付けられる。
簡単な例として、第1テンソル成分が次元nであり、第2テンソル成分が次元nであり、第3テンソル成分が次元nである次元3テンソルTx1,x2,x3を考える。テンソルTx1,x2,x3は、合計として次のように書くことができる。
x1,x2,x3=Σaoboc
ここで、合計は、i=1からrまであり、a,bおよびcはそれぞれ次元n,n,およびnのベクトルであり、oはベクトルの外積を示す。ここで、rは、より下位の次元のテンソル近似のランクである。テンソルTx1,x2,x3は自由度がnであり、低次元ランクrテンソル近似は、r(n+n+n)自由度を有し、小さなrおよび大きな次元のnよりもはるかに小さいことを観察する。これは、例えば、aの自由度がn、bの自由度がn、cの自由度がnであるため、aobocの外積に対する自由度が(n+n+n)である。上記の方程式の右辺にrのような外積があるので、以下の観察が続く。この分解は、CANDECOMP/PARAFACアルゴリズムを含むいくつかのアルゴリズムを使用して計算することができます。
いくつかの実施形態では、解析ワークフローエンジン114によってセンサからのデータに機械学習方法が適用され、行動モデル、クラスタおよびセグメント行動、およびエンティティリスク行列を含む処理された行動データ210が作成される。作成されたデータは、行動、リスク、または特別なクエリなどのユーザ指定のパラメータによって照会することができる。いくつかの実施形態では、エンティティのリスク行列自体にルールおよび機械学習方法が適用され、エンティティのリスクは、システムに置かれる様々なルール、モデル、およびワークフローの出力を含むルールおよび解析に基づいている。バッチ処理、ストリーミング、イベントベースの更新を使用して更新できるこれらの更新されたエンティティのリスク行列は、行動、リスク、または特別なクエリなどのユーザ指定のパラメータによって照会できる。
図3は、本開示のいくつかの実施形態に係るCBSの作成におけるテンソルへの下位ランク近似を示す図である。本開示のいくつかの実施形態では、解析ワークフローエンジン114を使用することによって解析ワークフローを適用して下位テンソル近似303をテンソル203に計算することにより、CBS118に関連するテンソル203から下位ランク近似が計算される。これらの下位のテンソル近似303は、新たに変換されたCBS304を定義するために使用される。このようにして、これらの下位テンソル近似303を使用していくつかのより高い次元の”ノイズ”を除去することができるので、データ119を使用して、特定のアプリケーションに対してより有用であり得る統計的特性を有するCBS304が作成される。サイバー行動クエリエンジン117は、CBS304に問い合わせることができ、対話エンジン106は、CBS304に基づいてインタラクティブ環境をサポートすることができる。また、サイバー行動交換117は、CBS304からの情報を他の組織に関連するCBSと共有することができる。
いくつかの実施形態では、解析ワークフローエンジン114は、各エンティティおよび/またはアクターに関するテンソルベースの方法を使用して複数の解析モデルを計算し、これらの複数の解析モデルを使用して各エンティティおよび/またはアクターのリスクスコアを作成する。いくつかの実施形態では、これらのリスクスコアは、エンティティまたはアクターに関連する新しいデータが処理されるときに更新される。アクターは、個人または個人のコレクション、組織または組織のコレクションを参照することができる。例えば、アクターは、既知または未知の個人または個人のグループを含み、システムを攻撃または防御することができる。エンティティは、ネットワークデバイス、ワークステーション、サーバ、モバイルデバイス、センサを含む、データに関連付けられているすべての要素を参照できる。一般に、エンティティには、データに関連付けられた個人、グループ、および組織も含めることができる。コンテキストに応じて、データに関連付けられた物理的エンティティは、データ(アクター)に関連付けられた個人および組織と区別することができる。
インタラクティブCBS環境
図4は、本開示のいくつかの実施形態による、対話型CBS環境401を管理する対話エンジン106を示すシステム図である。対話エンジン106は、インタラクティブCBSを作成し、2人またはそれ以上の実際または仮想のサイバーアクター105が、インタラクティブCBS環境401によって管理される1つまたは複数のCBSを、特定の行動または対話、またはサポートされているサイバー行動によって定義された一連の行動または対話と非同期的に更新することを可能にする。複数のリアルまたは仮想のサイバーアクターは、対話エンジン106を使用してインタラクティブCBS環境401を更新することによって仮想環境内のサイバーインタラクションに従事し、このようにして仮想現実環境を作成する。
対話エンジン106は、インタラクティブCBS環境401の作成の基礎を提供するために、履歴サイバーデータ101のストアを使用する。センサデータ102は、物理的環境に関する情報を提供する。エンリッチメントデータ103は、追加の文脈を提供する。対話エンジン106は、これらの情報源を統合する1組のCBSからなる環境を作成する。
インタラクティブCBS環境401は、視覚化、解析、共同作業、計画、トレーニング、演習、および戦争ゲームのための分散システムを提供する。多数のアクター105は、インタラクティブCBS環境401において競争することができ、または共同作業することができる。アクター105は、チームまたは他のグループに編成することができる。アクター105は、自分の組織または他の組織を表すことができる。アクター105は、他のアクター105と競合することができる広い範囲の目標を有することができる。
シミュレートされたエンティティ403は、アクター105の合成バージョンを表すことができるが、インタラクティブCBS環境401内の広範囲の他のエンティティを表すこともできる。一部のシミュレートされたエンティティ403は、敵を表すことができる。他のシミュレートされたエンティティ403は、アクター105をシミュレートして、追加の機能を提供することによってアクター105を補足し、サポートすることができる。シミュレートされたエンティティ403を使用して、インタラクティブCBS環境401内の活動の規模を増やすことができる。シミュレートされたエンティティ403は、自律的に動作するか、またはアクター105または他のシミュレートされたエンティティ403に応答する、インタラクティブCBS環境401内の機器を表すことができる。
オブザーバー−コントローラ402は、アクター105、シミュレートされたエンティティ403、およびインタラクティブCBS環境401の間の対話を監視する。オブザーバー−コントローラ402は、インタラクティブCBS環境401内の1組の対話の解析を支援することができる。オブザーバー−コントローラ402は、解析、トレーニング、練習またはシナリオの目標が確実に達成されるように、インタラクティブCBS環境401内のアクター105、シミュレートされたエンティティ403間の対話に介入することができる。
対話エンジン106は、一組の結果404を生成する。いくつか実施形態では、対話エンジン106は、中間結果および最終結果を生成することができる。結果は、視覚化、グラフ、およびアクター105およびシミュレートされたエンティティ403の活動ならびに解析、トレーニングの練習またはシナリオの全体的な結果に関する報告からなることができる。
いくつかの実施形態では、対話エンジン106は、異なる地理的位置からのアクター105またはシミュレートされたエンティティ403として表される複数の防御側が、同期した方法で設定される共通の問題を理解するためにシミュレーションに参加することを可能にする。この能力は、地理的地図をCBS401に統合するCBS401の能力によってサポートされる。同様に、異なる企業や異なるセクターの複数の防御側を仮想現実環境に持ち込んで、同期した方法で設定される共通の問題を理解することができる。この能力は、組織マップをCBS401に統合するCBS401の能力によってサポートされる。
図5は、本開示のいくつかの実施形態に係るCBSのスイートを管理するシミュレーションエンジン115を示すシステム図である。シミュレーションエンジン115は、上記の1つまたは複数の方法を使用して、シミュレートされたサイバー行動を作成する。特に、いくつかの実施形態では、サイバーデータ101、センサデータ102およびエンリッチメントデータ103は、初期CBS501を作成し、シミュレーションエンジン115によって必要とされる統計情報を提供するために使用される。このシミュレーション機能により、ネットワーク防御側はネットワークを生かすことができ、様々なプロセス、イベント、動作をシミュレートして、潜在的な結果を判断することができる。シミュレーションのコンテキストにより、ネットワーク防御側は、ネットワークを積極的に防御するための最適なオプションと動作が何であるかを判断するための様々なツールの影響を理解することができる。
シミュレーションエンジン115によって生成されたCBSのスイート502は、ネットワーク防御動作を最適化するために、比較され、互いに対比される。具体的には、解析ワークフローエンジン114によって生成された行動モデルを使用して、特定のシーンおよびシナリオにおける特定のアクター503に関心のある特定のサイバー行動を作成し、シミュレーションを更新することができる。シミュレーションエンジン115は、弱点を見つけるためにネットワーク構成を動的にテストするためにも使用することができる。
シミュレーションエンジン115は、ネットワーク防御側をテストして証明し、シミュレーションプログラムおよび監視および報告504を使用してセクタ内の複数の企業をトレーニングするために使用することもできる。
最後に、シミュレーションエンジン115を使用して、進行中のイベントの相対的な重要性をリアルタイムよりも速く動的に調査して、ネットワーク防御側の動作を優先させることができる。特に、トレーニングされた防御側の様々なレベルのための簡単なネットワーク防御動作をサポートするために、より小さい規模または”マイクロ”シミュレーションを使用することができる。
いくつかの実施形態では、システムは、シミュレーションの参加者が明確にシミュレーションに参加することを検証するために、暗号鍵のセットを使用する。このようにして、サイバー行動交換117を使用して、例えば、図1に示すように、チームを一緒にしたり、業界セクター内または複数の業界セクターから分散したチームでさえも、検証可能で安全な方法が得られる。
更新505は、シミュレーションの期間中に発生するサイバーデータ、センサデータ、およびエンリッチメントデータの変化に対するメカニズムを提供するが、CBSに組み込まれるシミュレーションには影響しない。例えば、地形データの変更によってシミュレーションが変更されることはないが、CBSに表示されるはずである。シミュレーションシステムの操作の一部として、シミュレーションを変更するサイバーデータ、センサデータ、およびエンリッチメントデータの変更が組み込まれている。
インタラクティブガイダンス506は、シミュレーション動作の通常のコース外でCBSを変更するためのメカニズムを提供する。このメカニズムは、ユーザ/管理者がシミュレーションのコースをガイドして、面白くない部分や非生産的部分を切り取るために使用できる。
条件に基づく制約507は、シミュレーションが限界を超えないようにすることによって、不正確な結果を最小限に抑えるためのメカニズムを提供する。シミュレーションには通常、不正確または無効になる条件がある。例えば、飛行シミュレーションは、特定の空気速度、高度、または異常な姿勢に対して無効になることがある。
サイバー行動交換
2つ以上のシステムからの情報は、サイバー行動交換によって共有することができる。図6は、本開示のいくつかの実施形態に係る制御された方法で企業620,630内または間で情報を安全に共有するための複数のサイバー行動交換(CBX)の動作を示すシステム図である。
いくつかの実施形態では、共有可能情報601を含むCBSが識別される。企業内の一部のCBS602は、参加組織の情報共有ポリシーのために共有できない。
例えば、データの投影、マスキング、データの変換、固定数の主成分の使用、より下位の近似への縮小、プライバシー保護機械学習を使用して作成された修正CBS603、または準同型暗号化、または同様の方法が、機械または人間が消費するための正しいフォーマットで共有されるサブセット、変換セット、または暗号化された情報セットを含むように作成することができる。いくつかの実施形態では、システム構成要素は、修正されたCBS603を作成するためにデータを投影、マスク、または他の方法612で変換する。
いくつかの実施形態では、プライベートまたは機密のビジネス情報が残っている場合、データにノイズを追加する、または準同型暗号化を使用してデータを暗号化するなどのプライバシー保護変換が604で使用され、共有可能なCBS605にデータが変換される。
参加機関の情報セキュリティおよび他のポリシーによって要求される情報共有606に関する追加の制約が適用される。
いくつかの実施形態では、結果として得られる共有可能なCBS605は、場合によっては信頼できる第三者にも含めて、他のCBX対応企業630への安全な送信のためにCBX607に送信される。いくつかの実施形態では、CBX対応企業630がデータを提出する各企業によって信頼されている場合、プライバシー保護後に信頼できる第三者が結果を返す場合に間接的にのみ、情報を他の組織と直接共有する必要はない変換および集計は、提出されたデータに適用される。
いくつかの実施形態では、共用可能なCBS605を暗号化して、機械または人間が消費するために他のCBX対応企業に安全に送信される安全なCBS608を作成する。
共有可能なCBS605または暗号化されたCBS608は、その企業に関連付けられたCBX609を介して、1つまたは複数のCBX対応企業630によって受信される。
協力企業は、関連するCBSを更新して、更新されたCBS610を作成する。どのCBSが更新に関連するかを決定することは、エンティティ、アクター、行動、データのどれを更新すべきかを決定するためのユニークなキーの使用、タグ、属性、特徴、および行動のどれを更新すべきかを決定する使用、または、どのCBSを更新すべきかを選択するためのルールまたは機械学習方法の使用を含むが、これらに限られない、複数の方法を使用することができる。
いくつかの実施形態では、関連する企業のセキュリティおよび情報共有ポリシー、ルール、または規制に基づいて、CBS611の一部が更新されない。
いくつかの実施形態では、図6に記載のプロセスに従って交換されたCBSは、単一のフォーマットされたデータレコードまたはフォーマットされたデータレコードのコレクションと同じくらい単純なもの、または保護された環境へのアクセスを獲得し、特権をエスカレートさせ、横方向に移動し、システムを攻撃するための特定の技能を表すサイバーデータ、サイバーアクターおよびサイバーシーンのコレクションと同じくらい複雑なものである。
仮想トレーニングと防御
いくつかの実施形態では、シミュレーションおよび仮想現実システムを使用して、観察された行動関連情報と、複数のリアルまたは仮想サイバーアクターがシーン、シミュレーションおよび仮想現実環境に参加したときに生成される行動関連情報の両方、行動関連情報を相互に共有することによってサイバー防御側の操作能力またはトレーニングを強化する。地理的に分散した企業内またはその中のすべての操作要素間で、このように観察またはシミュレートされたサイバー行動を共有することで、サイバー防御側と防御側の1つの要素が即座に”軍”になる。リアルとシミュレートされた仮想サイバーアクターやアバターの両方の”軍”は、サイバー防御側がシーン、シミュレーション、仮想現実環境に参加し、協力することを可能にする。このリアルタイムの協力は、複数の行動コース(COA)、防衛戦略、行動の影響をシミュレートし、この情報を共有仮想環境に組み込むことで、より包括的で迅速な操作の理解と意思決定プロセスをサポートする視覚効果を高めることができる。
いくつかの実施形態では、行動関連情報の交換は、2つ以上の組織からのリアルおよび仮想のアクターまたはアバターからのものであってもよい。いくつかの実施形態では、シミュレーションおよび仮想現実環境は、2つ以上の組織からのものであってもよい。このようにして、2つ以上の組織のサイバー防御側は、シーン、シミュレーション、仮想現実環境に参加し、協力することができる。
いくつかの実施形態では、シミュレーションエンジン115を使用して、インタラクティブCBS環境401で使用され、ネットワーク防御側(アクター105の一部がネットワーク防御側である場合)の行動コース(COA)を提供する複数のシミュレートされたCBS111を生成する。インタラクティブCBS環境を作成するためのデータは、サイバーデータ101、センサデータ102、および様々なタイプのエンリッチメントデータ103を含むことができるが、これらに限られない。アクター105およびオブザーバー/コントローラ402は、対話エンジン401を使用してトレーニングシナリオを作成し、COAを開発し、シナリオをリプレイし、結果を改善しようとする異なる動作をとることができる。インタラクティブ環境におけるこれらのシナリオは、シミュレートされたエンティティ403を含むことができる。
本開示のいくつかの実施形態では、シミュレーションエンジン115は、初期偵察、スキャン、初期妥協、足場の確立、ビーコン、コマンドと制御、クレデンシャルキャプチャ、エスカレート特権、内部偵察、横運動、ネットワークマッピング、データの抽出、持続性維持、および関連する行動を含むが、これらに限られない、行動に関与するシミュレートされた仮想サイバーアクターを含む複数のシミュレートされたCBSを生成するために使用される。対話エンジン106は、インタラクティブCBS環境において、ネットワーク防御側アクターが、デバイスの通信を阻止すること、侵入を止めるためにポートを阻止すること、ユーザを削除すること、またはユーザの特権を取り除くこと、およびプロセスを強制終了することを含むが、これらに限られない、動作をとることができるように使用される。仮想、リアル、またはその2つの組み合わせの場合、CBSを使用して仮想環境内の仮想シナリオを実施したり、または実際の環境を強化することができる。同様に、ネットワーク防御側は、インタラクティブCBS環境で、仮想またはリアルのサイバーアクターに対するネットワーク防御を実践できる。
いくつかの実施形態では、シミュレーションエンジン115は、初期偵察、スキャン、初期妥協、足場の確立、ビーコン、コマンドと制御、クレデンシャルキャプチャ、エスカレート特権、内部偵察、横運動、ネットワークマッピング、データの抽出、持続性維持、および関連する行動を含むが、これらに限られない、行動に関与するシミュレートされた仮想サイバーアクターを含む複数のシミュレートされたCBSを生成するために使用される。対話エンジン106は、インタラクティブCBS環境において、ネットワーク防御側のアクターが、デバイスの通信を阻止またはリダイレクトすること、侵入を止めるためにポートを阻止すること、ユーザを削除することまたはリダイレクトすることユーザの特権を削除したり、プロセスを強制終了したりすることを含むが、これらに限られない、動作をとることができるように使用される。このようにして、ネットワーク防御側は仮想環境でサイバー軽減技術を実践できる。CBSに悪質な性質の実際のサイバー活動が存在する場合、ネットワーク防御側は、これらの動作が実際に実行される前に、緩和動作の潜在的な影響を迅速に理解することができる。ネットワーク防御側は、インタラクティブCBS環境で仮想サイバーアクターに対するネットワーク防御を実践することができるが、実際のサイバー攻撃が進行中であり、リスクを軽減し、実行された防御やその他の動作が望ましい結果を達成する可能性を高める。いくつかの実施形態では、これらのシミュレーションはリアルタイムよりも速く実行され、ネットワーク防御側は、より迅速かつ効率的により良い結果をもたらすシナリオおよび動作をより迅速に処理することができる。仮想、リアル、またはその2つの組み合わせの場合、CBSを使用して仮想環境内の仮想シナリオを実施したり、実際の環境を強化することができる。同様に、ネットワーク防御側は、インタラクティブCBS環境で、仮想またはリアルのサイバーアクターに対するネットワーク防御を実践できる。
いくつかの実施形態では、アクターは、CBSの一部であるマルチスケール構造およびマップを使用してズームインまたはズームアウトすることができる。特定のクラスのエンティティ、システム、フローまたはプロセスに焦点を当てる。メモ、画像、およびダッシュボードでインタラクティブCBS環境に注釈を付けることができる。このようにして、アクターは環境をよりよく理解することができる。
いくつかの実施形態では、実際のサイバーアクターは、対話型CBS環境内で互いと通信して、自分の防衛動作をより良く調整することができる。
いくつかの実施形態では、シミュレーションエンジン115を使用して、初期偵察、スキャン、初期妥協、足場の確立、ビーコン、コマンドおよび制御、クレデンシャルキャプチャ、エスカレート特権、内部偵察、横運動、ネットワークマッピング、データの抽出、持続性維持、および関連する行動を含むが、これらに限られない、行動に関与するシミュレートされた仮想サイバーアクターを含む複数のシミュレートされたCBSを生成する。CBSのこれらの複数のシミュレーションを使用して、CBS内のエンティティのリスク計算は、モンテカルロ法またはベイジアン法を含むが、これらに限られないいくつかの異なる方法で計算することができる。このようにして、CBSのすべてのエンティティにリスクスコアを割り当てることができる。同様に、これらの方法は、多様性スコアを計算するためにも使用することができる。
いくつかの実施形態では、解析ワークフローエンジン114は、CBSにおけるデータのより低い次元のテンソル近似を計算するために使用される。次いで、シミュレーションエンジン115は、これらのより低い次元のテンソル近似を用いて、初期偵察、スキャン、初期妥協、足場の確立、ビーコン、コマンドおよび制御、クレデンシャルキャプチャ、エスカレート特権、内部偵察、横運動、ネットワークマッピング、データの抽出、持続性維持、および関連する行動を含むが、これらに限られない、行動に関与するシミュレートされた仮想サイバーアクターを含む複数のシミュレートされたCBSを生成するために使用される。CBSのこれらの複数のシミュレーションを使用して、CBS内のエンティティのリスク計算は、モンテカルロ法またはベイジアン法を含むが、これらに限られないいくつかの異なる方法で計算することができる。このようにして、CBSのすべてのエンティティにリスクスコアを割り当てることができる。同様に、これらの方法は、多様性スコアを計算するためにも使用することができる。
多様性スコアは、組織内または組織全体の多様性の程度と量を定量化したものである。ルータ、ファイアウォール、コンピュータなど、さまざまなベンダーの機器を使用することで、さまざまな機能を拡張できる。また、様々なネットワーク構成とトポロジを使用して多様性を高めることもできる。多様性は、攻撃に対する組織または複数の組織の脆弱性を評価する上で重要である。例えば、組織の多様性スコアが低い場合、攻撃の種類によって組織の大部分が混乱する可能性がある。対照的に、多様性スコアの高い組織では、同じ攻撃によって混乱した少数の組織しか存在しない。同様に、複数の組織では、多様性スコアが高いということは、すべての組織が同じ種類の攻撃によって同じ程度に影響を受けるわけではないことを意味する。
ダイバーシティスコアはテンソルとして格納できる。テンソルは、多様性スコアに多面的に寄与する側面を独自に捕捉することができる。ダイバーシティスコアは、以前に計算されたテンソルまたはテンソルのコレクションに演算子を適用することによって計算することができる。シミュレーションエンジン115は、組織内または組織全体の複数の構成を導出および探索するために使用することができる。シミュレーションの結果は、多様性スコアを計算するために使用されるテンソルまたはテンソルのコレクションに格納することができる。
リスクスコアは、多様性スコアと同様に、組織内または組織全体の攻撃のリスクの程度と量を定量化したものである。前述したように、多様性スコアはリスクスコアの重要な要因である。リスクスコアはテンソルとして格納することもできる。リスクスコアは、以前に計算されたテンソルまたはテンソルのコレクションに演算子を適用することによって計算することができる。シミュレーションを使用して、組織内または組織全体のリスクを導出および探索するために使用することもできる。シミュレーションの結果は、リスクスコアを計算するために使用されるテンソルまたはテンソルのコレクションに格納することができる。
いくつかの実施形態では、更新されたサイバーデータ、センサデータ、エンリッチメントデータ、および/または第三者データがCBSマネージャ102に供給されると、ダイバーシティスコアおよびリスクスコアが更新され、CBSマネージャ102は、新たに更新されたシミュレートされたCBSを作成し、CBS内のすべてのエンティティの更新されたリスクスコアを計算するために順番に使用される。
得られた多様性およびリスクテンソルは、情報の共有および共有CBS環境401の更新のために、CBX117を使用して、地理的に分散した複数の場所にわたって安全に共有することもできる。
いくつかの実施形態では、まず、CBS内のエンティティの異なる計算レベルの多様性を有するCBSのコレクションが作成され、それらの特性は、それらのオペレーティングシステム、それらの構成、それらのソフトウェアライブラリとソフトウェアユーティリティ、それらのソフトウェアアプリケーション、およびそれらのインタフェースが含まれるが、これらに限られない。このような各CBSのために、シミュレーションエンジン115は、初期偵察、スキャン、初期妥協、足場の確立、ビーコン、コマンドおよび制御、クレデンシャルキャプチャ、エスカレート特権、内部偵察、横運動、ネットワークマッピング、データの抽出、持続性維持、および関連する行動を含むが、これらに限られない、行動に関与するシミュレートされた仮想サイバーアクターを含む複数のシミュレートされたCBSを生成するために使用される。CBSのこれらの複数のシミュレーションを用いて、所与のレベルの多様性に対するエンティティのリスク計算が、例えば、モンテカルロ法またはベイジアン法を用いて計算される。このように、CBSのエンティティの多様性とリスクスコアの関係は、ネットワーク防御側によって理解され、CBS内のエンティティのリスクスコアを低減するために使用される。
いくつかの実施形態では、解析ワークフローエンジン114を使用して、CBS内のデータの下位テンソル近似を計算する。次に、これらの下位テンソル近似におけるCBSのコレクションが作成され、それぞれは、CBSにおけるエンティティの多様性の計算されたレベルおよびそれらのオペレーティングシステム、それらの構成、それらのソフトウェアライブラリとソフトウェアユーティリティ、それらのソフトウェアアプリケーション、およびそれらのインタフェースを含むが、これらに限られない、それらの特性を使用する。このようなCBSの各々について、シミュレーションエンジンは、初期偵察、スキャン、初期妥協、足場の確立、ビーコン、コマンドおよび制御、クレデンシャルキャプチャ、エスカレート特権、内部偵察、横運動、ネットワークマッピング、データの抽出、持続性維持、および関連する行動を含むが、これらに限られない、行動に関与するシミュレートされた仮想サイバーアクターを含む複数のシミュレートされたCBSを生成するために使用される。CBSのこれらの複数のシミュレーションを用いて、所与のレベルの多様性に対するエンティティのリスク計算が、例えば、モンテカルロ法またはベイジアン法を用いて計算される。このように、CBSのエンティティの多様性とリスクスコアの関係は、ネットワーク防御側によって理解され、CBSのエンティティのリスクスコアを低減するために使用される。
OT環境
いくつかの実施形態では、センサおよびサイバーデータは、運用技術(OT)環境内のデータから由来してもよい。OT環境とは、産業環境に限られない物理的機械および物理的プロセスを監視および制御するように設計されたハードウェアセンサおよびソフトウェアを指す。
図7は、本開示のいくつかの実施形態に係る動作技術環境と相互作用するサイバーセキュリティシステムを示すシステム図である。
物理マシン701はOTセンサ702によって監視され、データはOTネットワーク703に渡される。また、OTセンサ702は、物理マシン701を対話させて調整する物理アクター704を監視する。OTセンサ702は、状態、動作、対話、内部条件、外部条件、内部状態、性能、およびマシンおよびデバイスに関する関連データに関するデータを収集する。また、OTセンサ702は、環境条件および変化、人間の存在および関連データを含む物理的環境に関するデータを収集する。OTセンサは、OTネットワークを介して有線でマシンやデバイスに取り付けられ、マシンやデバイスに接続され、ITネットワークを介してマシンやデバイスに接続されたり、物理環境で分散されたりする。OTデータは、OT/ITネットワークインタフェース705内の標準ネットワークパケットにカプセル化され、OT/ITネットワークインタフェース705は、OT環境705に関連するIT環境707による処理に利用可能である。いくつかの実施形態では、OT/ITインタフェース705を含むIT環境707内の様々なIT構成要素を監視することができ、またはサイバーデータ707を作成するログファイルを生成することができ、サイバーデータ101の一例としてサイバーセキュリティシステムに利用できる。いくつかの実施形態では、ネットワークパケットまたはログファイルにカプセル化されたセンサデータ706は、サイバーセキュリティシステムへの入力103の1つとして利用可能である。センサデータ103およびサイバーデータ101は、上述のようにCBSマネージャ113によって処理される。
本明細書に記載される主題は、本明細書に開示される構造的手段およびその構造的均等物、またはそれらの組み合わせを含む、デジタル電子回路、またはコンピュータソフトウェア、ファームウェア、またはハードウェアにおいて実施され得る。本明細書に記載された主題は、(例えば、機械可読記憶装置内の)情報担体に有形に具体化されるか、または伝搬された信号で具体化される1つまたは複数のコンピュータプログラムなどの1つまたは複数のコンピュータプログラム製品として、またはデータ処理装置(例えば、プログラマブルプロセッサ、コンピュータ、または複数のコンピュータ)の動作を制御するために実施することができる。コンピュータプログラム(プログラム、ソフトウェア、ソフトウェアアプリケーション、またはコードとしても知られている)は、コンパイルまたはインタプリタ言語を含む任意の形式のプログラミング言語で記述することができ、スタンドアローンプログラムまたはコンピューティング環境での使用に適したモジュール、構成要素、サブルーチン、または他のユニットとして実装することができる。コンピュータプログラムは必ずしもファイルに対応しているとは限らない。プログラムは、他のプログラムまたはデータを保持するファイルの一部分、問題のプログラム専用の単一のファイル、または複数の調整されたファイル(例えば、1つまたは複数のモジュール、サブプログラム、またはコードの部分を格納するファイル)に格納することができる。コンピュータプログラムは、1つのコンピュータ上で、または1つのサイトの複数のコンピュータ上で実行され、または複数のサイトにわたって分散され、通信ネットワークによって相互接続されるように展開することができる。
本明細書で説明される主題の方法ステップを含む本明細書で説明されるプロセスおよび論理フローは、入力データで動作し出力を生成することによって本明細書に記載される主題の機能を実行する1つまたは複数のコンピュータプログラムを実行する1つまたは複数のプログラム可能なプロセッサによって実行することができる。プロセスおよび論理フローは、専用論理回路によって、実施することができ、本明細書で説明する主題の装置は、例えば、FPGA(フィールドプログラマブルゲートアレイ)またはASIC(特定用途向け集積回路)などの専用論理回路として実施することができる。
コンピュータプログラムの実行に適したプロセッサは、一例として、汎用マイクロプロセッサおよび専用マイクロプロセッサ、および任意の種類のデジタルコンピュータの任意の1つまたは複数のプロセッサを含む。一般に、プロセッサは、読み出し専用メモリまたはランダムアクセスメモリまたはその両方から命令およびデータを受信する。コンピュータの必須要素は、命令を実行するためのプロセッサと、命令およびデータを記憶するための1つまたは複数のメモリデバイスとである。一般に、コンピュータは、データ、例えば磁気、光磁気ディスク、または光ディスクを格納するための1つまたは複数の大容量記憶装置からのデータを受信するか、またはその両方にデータを転送するか、またはその両方に動作可能に結合される。コンピュータプログラム命令及びデータを具現化するのに適した情報担体は、例えば、半導体メモリ装置(例えば、EPROM、EEPROM及びフラッシュメモリ装置)、磁気ディスク(例えば、内蔵ハードディスク又はリムーバブルディスク)、光磁気ディスク及び光ディスク(例えば、CDおよびDVDディスク)を含む全ての形態の不揮発性メモリを含む。プロセッサおよびメモリは、専用論理回路によって補完または組み込むことができる。
ユーザとの対話を提供するために、本明細書に記載される主題は、コンピュータ、ウェアラブルデバイス、ヘッドアップディスプレイ、ゴーグル、ユーザに情報を表示するための、例えば、CRT(陰極線管)、レーザ投影デバイス、LCD(液晶ディスプレイ)、LED(発光ダイオード)またはOLED(有機発光ダイオード)などの表示デバイスまたは機構を有するレティナデバイス、ならびにユーザがコンピュータまたはデバイスに入力を提供することができるキーボードおよびポインティングデバイス(例えば、マウスまたはトラックボール)上で実施することができる。他の種類のデバイスを使用して、ユーザとの対話を提供することもできる。例えば、ユーザに提供されるフィードバックは、任意の形態の感覚フィードバック(例えば、視覚フィードバック、聴覚フィードバック、または触覚フィードバック)であってもよく、ユーザからの入力は、音響、音声、または触覚入力を含む任意の形態で受信することができる。
本明細書に記載される主題は、バックエンド構成要素(例えば、データサーバ)、ミドルウェア構成要素(例えば、アプリケーションサーバ)、またはフロントエンド構成要素(例えば、クライアントコンピュータモバイルデバイス、ウェアラブルデバイス、グラフィカルユーザインタフェースまたはユーザが本明細書に記載の主題の実装と対話することができるウェブブラウザを有する)、またはそのようなバックエンド、ミドルウェア、およびフロントエンド構成要素の任意の組み合わせを含む。システムの構成要素は、任意の形式または媒体のデジタルデータ通信、例えば、通信ネットワークによって相互接続することができる。通信ネットワークの例には、ローカルエリアネットワーク(“LAN”)およびワイドエリアネットワーク(“WAN”)、例えば、インターネットが含まれる。
開示された主題は、その適用において、構成の詳細及び以下の説明に記載される又は図面に示される構成要素の構成に限定されないことが理解されるべきである。開示される主題は、他の実施形態が可能であり、様々な方法で実践され実施される。また、本明細書で使用される表現および用語は、説明のためのものであり、限定的であるとみなされるべきではないことを理解されたい。
そうであるように、当業者であれば、本開示が基づいている概念は、開示される主題のいくつかの目的を実行するための他の構造、方法、およびシステムの設計の基礎として容易に利用され得ることを理解するであろう。したがって、特許請求の範囲は、開示される主題の精神および範囲から逸脱しない限り、同等の構成を含むとみなされることが重要である。
開示された主題は、前述の例示的な実施形態で説明され例示されているが、本開示は例としてのみなされたものであり、開示された主題の実施の詳細の多くの変更は、開示された主題の精神および範囲から逸脱することなく行うことができ、以下の請求項によってのみ限定される。

Claims (24)

  1. サイバー行動を計算し予測し、サイバーアクター間のサイバー対話を作成することができるように、サイバーアクターに関連するサイバー行動を管理するサイバーセキュリティシステムであって、
    前記システムは、
    サイバー行動空間管理モジュールと、
    対話エンジンと、
    解析ワークフローエンジンと、
    視覚化エンジンとを備え、
    前記サイバー行動空間モジュールは、前記対話エンジン、前記解析ワークフローエンジン、および前記視覚化エンジンと通信し、
    入力データ、前記対話エンジンからのデータ、および前記解析ワークフローエンジンからのデータのうち少なくとも1つを受信し、
    前記入力データ、前記対話エンジンからのデータ、および前記解析ワークフローエンジンからのデータのうち少なくとも1つに基づいて、複数のサイバー行動空間を作成するように構成され、
    前記入力データは、入力サイバーデータ、センサデータ、エンリッチメントデータ、および第三者データのうち少なくとも1つを含み、
    前記複数のサイバー行動空間の各々は、サイバー行動空間データを備え、
    前記サイバー行動空間データは、
    サイバーデータ、複数のサイバーアクターに関連するサイバーアクターデータ、および複数のサイバーシーンに関連するサイバーシーンデータを含み、
    前記サイバーデータは、入力サイバーデータおよび変換された入力サイバーデータのうち少なくとも1つを含み、
    前記サイバー行動空間データは、複数の次元、複数のモード、および複数のスケールによって定義され、
    前記対話エンジンは、
    前記複数のサイバーアクターのうちの第1のサイバーアクターに関連する第1のサイバーアクターデータを受信し、
    前記受信された第1のサイバーアクターデータを処理し、前記第1のサイバーアクターと、前記サイバー行動空間、前記サイバーシーン、およびサイバーマップのうち少なくとも1つとの間の第1の対話、および前記第1のサイバーアクターと、複数のサイバーアクターの第2のサイバーアクターとの間の第2の対話の少なくとも1つを容易にし、
    前記第1の対話および前記第2の対話のうち少なくとも1つに関連するデータを送信するように構成され、
    前記第1のサイバーアクターは、リアルサイバーアクターとシミュレートされたアクターのうち少なくとも1人を含み、
    前記サイバーマップは、複数のサイバー行動空間のうち少なくとも1つに関連付けられ、
    前記解析ワークフローエンジンは、
    複数のサイバー行動空間の各々に関連する前記サイバー行動空間データを解析し、サイバー行動を計算し、
    前記サイバー行動空間データ、
    前記計算されたサイバー行動、および、前記サイバーデータ、前記サイバーアクターデータ、および前記サイバーシーンデータのうちの少なくとも1つへの前記計算されたサイバー行動の割り当て、
    前記第1の対話、および
    前記第2の対話のうち少なくとも1に基づいて、前記サイバーデータ、前記サイバーアクターデータ、および前記サイバーシーンデータのうち少なくとも1つを更新し、
    前記サイバーデータ、前記サイバーアクターデータ、および前記サイバーシーンデータのうち前記更新された少なくとも1つに関連するデータを送信するように構成され、
    前記視覚化エンジンは、
    前記対話エンジンからの前記第1の対話および前記第2の対話のうち少なくとも1つに関連する前記データ、および
    前記サイバー行動空間、前記複数のサイバーアクター、前記複数のサイバーシーン、前記複数のサイバーマップ、および前記計算されたサイバー行動のうち少なくとも1つの少なくとも1つの視覚化を計算し、
    表示のために前記視覚化を送信するように構成される、
    サイバーセキュリティシステム。
  2. サイバー行動空間管理モジュールと通信する、クエリエンジンをさらに備え、
    前記クエリエンジンは、前記第1のサイバーアクターから、前記複数のサイバー行動空間のうち少なくとも1つに関するクエリを受信するように構成され、前記クエリは、
    複数のサイバーエンティティの第1のエンティティに関連するリスクと、
    前記第1のサイバーエンティティと類似のプロファイルを有する前記複数のサイバーエンティティのグループと、
    内部または外部の組織構造と、
    前記第1のサイバーエンティティ、前記第1のサイバーアクター、前記第2のサイバーアクターおよび第3のサイバーアクターのうち少なくとも1つに関連する行動のうち少なくとも1つに関連付けられ、
    前記第1のサイバーエンティティは、前記サイバーエンティティのグループ内の各サイバーエンティティであり、
    前記解析ワークフローエンジンはさらに、前記複数のサイバーエンティティの各サイバーエンティティおよび前記複数のサイバーアクターの各サイバーアクターに関連するリスクを計算して連続的に更新するように構成される、
    請求項1のサイバーセキュリティシステム。
  3. 前記サイバー行動空間管理モジュールと通信し、前記複数のサイバーシーンを生成するように構成されたシミュレーションエンジンをさらに備え、前記複数のサイバーシーンの各々は、前記サイバーデータおよび前記複数のサイバー行動空間に関連する前記サイバーマップのサブセットを含む、
    請求項1のサイバーセキュリティシステム。
  4. 前記シミュレーションエンジンは、シミュレーションを生成するようにさらに構成され、前記シミュレーションは、実世界データおよびシミュレートされたデータのうち少なくとも1つに対して動作し、
    操作、解析、洞察、計画、トレーニング、是正措置、緩和措置のうち少なくとも1つのための動作コースを提供するように構成される、
    請求項3のサイバーセキュリティシステム。
  5. 前記解析ワークフローエンジンは、変換されたサイバー行動空間を生成するようにさらに構成され、
    前記解析ワークフローエンジンは、変換されたサイバー行動空間を生成するために、前記サイバー行動空間データをテンソルデータおよび下位のテンソル近似に変換し、
    機械学習を使用して、サイバー行動および前記変換されたサイバー行動空間に関連する前記複数のサイバー行動空間を定義するようにさらに構成される、
    請求項1のサイバーセキュリティシステム。
  6. 前記解析ワークフローエンジンは、
    前記変換されたサイバー行動空間にルールおよび機械学習のうち少なくとも1つを適用して、
    リアルサイバーアクターまたはシミュレートされたアクターと、
    サイバーエンティティと、
    マシンと、
    組織と、
    プロセスと、
    のうち少なくとも1つに関連するリスクを増加または減少させるサイバー行動を定義するようにさらに構成される、
    請求項5のサイバーセキュリティシステム。
  7. 前記サイバーセキュリティシステムは、第1の組織に関連付けられ、さらに、リスクを増加または減少させる前記サイバー行動は、前記第1の組織に関連するサイバーアクターによって観察可能であり、第2の組織に関連するサイバーアクターによって観察不可能であり、
    前記サイバーセキュリティシステムは、
    前記サイバー行動空間管理モジュールと通信するサイバー行動交換エンジンをさらに備え、
    前記サイバー行動交換エンジンは、
    プライバシー保護分散型機械学習アルゴリズムおよびプライバシー保護通信プロトコルのうち少なくとも1つを使用して、リスクを増加または減少させる前記サイバー行動が、第2の組織内のデータを解析するために使用されるように、および前記第1の組織に関連する前記サイバー行動空間データは、前記第2の組織に関連するサイバーアクターによって観察不可能であるように、前記第2の組織に関連するサイバー行動交換エンジンにリスクを増加または減少させる前記サイバー行動を送信するように構成される、
    請求項6のサイバーセキュリティシステム。
  8. 前記第1のサイバーアクターデータは、
    前記変換されたサイバー行動空間に関連する前記サイバー行動の第1のサイバー行動、および
    前記変換されたサイバー行動空間に関連する複数のサイバーシーンの第1のサイバーシーンのうちの少なくとも1つを決定し、
    前記第1のサイバー行動および前記第1のサイバーシーンへの応答に関連する操作能力、準備、およびトレーニングを改善するようにさらに処理される、
    請求項5のサイバーセキュリティシステム。
  9. 前記解析ワークフローエンジンは、パケットデータ、ネットワークトラフィック、コンピュータログ、信号インテリジェンス、可視、赤外線、マルチスペクトル、ハイパースペクトル、合成開口レーダ、移動ターゲットインジケータレーダ、技術インテリジェンスデータ、およびインテリジェンス報告のうち少なくとも1つを処理するようにさらに構成される、
    請求項1のサイバーセキュリティシステム。
  10. 前記複数のサイバー行動空間の各々は、リアルタイムサイバー行動空間、履歴サイバー行動空間、およびシミュレートされたサイバー行動空間のうちの少なくとも1つを含む、
    請求項1のサイバーセキュリティシステム。
  11. 前記サイバー行動は、初期偵察、スキャン、初期妥協、足場の確立、ビーコン、コマンドおよび制御、クレデンシャルキャプチャ、エスカレート特権、内部偵察、横運動、ネットワークマッピング、データの抽出、持続性維持、および関連する行動を含む、
    請求項1のサイバーセキュリティシステム。
  12. 前記複数の次元は、送信元アドレスと宛先アドレス、到着時刻、容量、パケットサイズ、およびプロトコルタイプの組み合わせを含み、
    前記複数のモードは、パケットデータ、ネットワークトラフィック、コンピュータログ、信号インテリジェンス、可視、赤外線、マルチスペクトル、ハイパースペクトル、合成開口レーダ、移動ターゲットインジケータレーダ、技術インテリジェンスデータ、およびインテリジェンス報告の組み合わせを含み、
    前記複数のスケールは、時間的マルチスケールデータと地理空間データとの組み合わせを含む、
    請求項1のサイバーセキュリティシステム。
  13. サイバー行動を計算し予測し、サイバーアクター間のサイバー対話を作成することができるように、サイバーアクターに関連するサイバー行動を管理するサイバーセキュリティシステムであって、
    前記システムは、
    サイバー行動空間管理モジュールと、
    対話エンジンと、
    解析ワークフローエンジンと、
    視覚化エンジンとを備え、
    前記サイバー行動空間モジュールは、前記対話エンジン、前記解析ワークフローエンジン、および前記視覚化エンジンと通信し、
    センサデータ、入力データ、前記対話エンジンからのデータ、および前記解析ワークフローエンジンからのデータのうち少なくとも1つを受信し、
    前記センサデータ、および前記入力データ、前記対話エンジンからのデータ、および前記解析ワークフローエンジンからのデータのうち少なくとも1つに基づいて、複数のサイバー行動空間を作成するように構成され、
    前記センサデータは、物理アクターに関する物理アクターセンサデータおよび物理システムに関する物理システムセンサデータのうち少なくとも1つを含み
    前記入力データは、入力サイバーデータ、エンリッチメントデータ、および第三者データのうち少なくとも1つを含み、
    前記複数のサイバー行動空間の各々は、サイバー行動空間データを備え、
    前記サイバー行動空間データは、
    サイバーデータ、複数のサイバーアクターに関連するサイバーアクターデータ、および複数のサイバーシーンに関連するサイバーシーンデータを含み、
    前記サイバーデータは、入力サイバーデータおよび変換された入力サイバーデータのうち少なくとも1つを含み、
    前記サイバー行動空間データは、複数の次元、複数のモード、および複数のスケールによって定義され、
    前記対話エンジンは、
    前記複数のサイバーアクターのうちの第1のサイバーアクターに関連する第1のサイバーアクターデータを受信し、
    前記受信された第1のサイバーアクターデータを処理し、前記第1のサイバーアクターと、前記サイバー行動空間、前記サイバーシーン、およびサイバーマップのうち少なくとも1つとの間の第1の対話、および前記第1のサイバーアクターと、複数のサイバーアクターの第2のサイバーアクターとの間の第2の対話の少なくとも1つを容易にし、
    前記第1の対話および前記第2の対話のうち少なくとも1つに関連するデータを送信するように構成され、
    前記第1のサイバーアクターは、リアルサイバーアクターとシミュレートされたアクターのうち少なくとも1人を含み、
    前記サイバーマップは、複数のサイバー行動空間のうち少なくとも1つに関連付けられ、
    前記解析ワークフローエンジンは、
    複数のサイバー行動空間の各々に関連する前記サイバー行動空間データを解析し、サイバー行動を計算し、
    前記サイバー行動空間データ、
    前記計算されたサイバー行動、および、前記サイバーデータ、前記サイバーアクターデータ、および前記サイバーシーンデータのうちの少なくとも1つへの前記計算されたサイバー行動の割り当て、
    前記第1の対話、
    前記第2の対話、および
    前記物理システムおよび前記物理アクターのうちの少なくとも1つに関する物理行動の計算のうち少なくとも1に基づいて、前記サイバーデータ、前記サイバーアクターデータ、および前記サイバーシーンデータのうち少なくとも1つを更新し、
    前記サイバーデータ、前記サイバーアクターデータ、および前記サイバーシーンデータのうち前記更新された少なくとも1つに関連するデータを送信するように構成され、
    前記視覚化エンジンは、
    前記対話エンジンからの前記第1の対話および前記第2の対話のうち少なくとも1つに関連する前記データ、および
    前記サイバー行動空間、前記複数のサイバーアクター、前記複数のサイバーシーン、前記複数のサイバーマップ、および前記計算されたサイバー行動のうち少なくとも1つの少なくとも1つの視覚化を計算し、
    表示のために前記視覚化を送信するように構成される、
    サイバーセキュリティシステム。
  14. サイバー行動空間管理モジュールと通信する、クエリエンジンをさらに備え、
    前記クエリエンジンは、前記第1のサイバーアクターから、前記複数のサイバー行動空間のうち少なくとも1つに関するクエリを受信するように構成され、前記クエリは、
    複数のサイバーエンティティの第1のエンティティに関連するリスクと、
    前記第1のサイバーエンティティと類似のプロファイルを有する前記複数のサイバーエンティティのグループと、
    内部または外部の組織構造と、
    前記第1のサイバーエンティティ、前記第1のサイバーアクター、前記第2のサイバーアクターおよび第3のサイバーアクターのうち少なくとも1つに関連する行動のうち少なくとも1つに関連付けられ、
    前記第1のサイバーエンティティは、前記サイバーエンティティのグループ内の各サイバーエンティティであり、
    前記解析ワークフローエンジンはさらに、前記複数のサイバーエンティティの各サイバーエンティティおよび前記複数のサイバーアクターの各サイバーアクターに関連するリスクを計算して連続的に更新するように構成される、
    請求項13のサイバーセキュリティシステム。
  15. 前記サイバー行動空間管理モジュールと通信する、シミュレーションエンジンをさらに備え、前記シミュレーションエンジンは、前記複数のサイバーシーンを生成するように構成され、
    前記複数のサイバーシーンの各々は、前記サイバーデータ、前記サイバーシーン、および前記複数のサイバー行動空間に関連する前記サイバーマップのサブセットを含む、
    請求項13のサイバーセキュリティシステム。
  16. 前記シミュレーションエンジンは、シミュレーションを生成するようにさらに構成され、前記シミュレーションは、実世界データおよびシミュレートされたデータのうち少なくとも1つに対して動作し、
    操作、解析、洞察、計画、トレーニング、是正措置、緩和措置のうち少なくとも1つのための動作コースを提供するように構成される、
    請求項15のサイバーセキュリティシステム。
  17. 前記解析ワークフローエンジンは、変換されたサイバー行動空間を生成するようにさらに構成され、
    前記解析ワークフローエンジンは、変換されたサイバー行動空間を生成するために、前記サイバー行動空間データをテンソルデータおよび下位のテンソル近似に変換し、
    機械学習を使用して、サイバー行動および前記変換されたサイバー行動空間に関連する前記複数のサイバー行動空間を定義するようにさらに構成される、
    請求項13のサイバーセキュリティシステム。
  18. 前記解析ワークフローエンジンは、
    前記変換されたサイバー行動空間にルールおよび機械学習のうち少なくとも1つを適用して、
    リアルサイバーアクターまたはシミュレートされたアクターと、
    サイバーエンティティと、
    マシンと、
    組織と、
    プロセスと、
    のうち少なくとも1つに関連するリスクを増加または減少させるサイバー行動を定義するようにさらに構成される、
    請求項17のサイバーセキュリティシステム。
  19. 前記サイバーセキュリティシステムは、第1の組織に関連付けられ、さらに、リスクを増加または減少させる前記サイバー行動は、前記第1の組織に関連するサイバーアクターによって観察可能であり、第2の組織に関連するサイバーアクターによって観察不可能であり、
    前記サイバーセキュリティシステムは、
    前記サイバー行動空間管理モジュールと通信するサイバー行動交換エンジンをさらに備え、
    前記サイバー行動交換エンジンは、
    プライバシー保護分散型機械学習アルゴリズムおよびプライバシー保護通信プロトコルのうち少なくとも1つを使用して、リスクを増加または減少させる前記サイバー行動が、第2の組織内のデータを解析するために使用されるように、および前記第1の組織に関連する前記サイバー行動空間データは、前記第2の組織に関連するサイバーアクターによって観察不可能であるように、前記第2の組織に関連するサイバー行動交換エンジンにリスクを増加または減少させる前記サイバー行動を送信するように構成される、
    請求項18のサイバーセキュリティシステム。
  20. 前記第1のサイバーアクターデータは、
    前記変換されたサイバー行動空間に関連する前記サイバー行動の第1のサイバー行動、および
    前記変換されたサイバー行動空間に関連する複数のサイバーシーンの第1のサイバーシーンのうちの少なくとも1つを決定し、
    前記第1のサイバー行動および前記第1のサイバーシーンへの応答に関連する操作能力、準備、およびトレーニングを改善するようにさらに処理される、
    請求項17のサイバーセキュリティシステム。
  21. 前記解析ワークフローエンジンは、運用技術(OT)センサ、運用技術ログ、パケットデータ、ネットワークトラフィック、コンピュータログ、信号インテリジェンス、可視、赤外線、マルチスペクトル、ハイパースペクトル、合成開口レーダ、移動ターゲットインジケータレーダ、技術インテリジェンスデータ、およびインテリジェンス報告のうち少なくとも1つを処理するようにさらに構成される、
    請求項13のサイバーセキュリティシステム。
  22. 前記複数のサイバー行動空間の各々は、リアルタイムサイバー行動空間、履歴サイバー行動空間、およびシミュレートされたサイバー行動空間のうちの少なくとも1つを含む、
    請求項13のサイバーセキュリティシステム。
  23. 前記サイバー行動は、初期偵察、スキャン、初期妥協、足場の確立、ビーコン、コマンドおよび制御、クレデンシャルキャプチャ、エスカレート特権、内部偵察、横運動、ネットワークマッピング、データの抽出、持続性維持、および関連する行動を含む、
    請求項13のサイバーセキュリティシステム。
  24. 前記複数の次元は、送信元アドレスと宛先アドレス、到着時刻、容量、パケットサイズ、およびプロトコルタイプの組み合わせを含み、
    前記複数のモードは、パケットデータ、ネットワークトラフィック、コンピュータログ、信号インテリジェンス、可視、赤外線、マルチスペクトル、ハイパースペクトル、合成開口レーダ、移動ターゲットインジケータレーダ、技術インテリジェンスデータ、およびインテリジェンス報告の組み合わせを含み、
    前記複数のスケールは、時間的マルチスケールデータと地理空間データとの組み合わせを含む、
    請求項13のサイバーセキュリティシステム。
JP2018521868A 2016-07-14 2017-06-02 シミュレーションおよび仮想現実に基づくサイバー行動システム Active JP6495543B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201662362346P 2016-07-14 2016-07-14
US62/362,346 2016-07-14
PCT/US2017/035679 WO2018013244A1 (en) 2016-07-14 2017-06-02 Simulation and virtual reality based cyber behavioral systems

Publications (2)

Publication Number Publication Date
JP2019501441A true JP2019501441A (ja) 2019-01-17
JP6495543B2 JP6495543B2 (ja) 2019-04-03

Family

ID=60941202

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018521868A Active JP6495543B2 (ja) 2016-07-14 2017-06-02 シミュレーションおよび仮想現実に基づくサイバー行動システム

Country Status (12)

Country Link
US (2) US9910993B2 (ja)
EP (1) EP3338205B1 (ja)
JP (1) JP6495543B2 (ja)
CN (1) CN108140057B (ja)
CA (1) CA3001040C (ja)
ES (1) ES2728337T3 (ja)
HK (1) HK1257367B (ja)
IL (1) IL258003B (ja)
LT (1) LT3338205T (ja)
PL (1) PL3338205T3 (ja)
SA (1) SA519400842B1 (ja)
WO (1) WO2018013244A1 (ja)

Families Citing this family (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11403418B2 (en) * 2018-08-30 2022-08-02 Netskope, Inc. Enriching document metadata using contextual information
US10080961B2 (en) * 2016-06-30 2018-09-25 Roblox Corporation Uniform game display across multiple devices
US10171510B2 (en) 2016-12-14 2019-01-01 CyberSaint, Inc. System and method for monitoring and grading a cybersecurity framework
US10990432B1 (en) * 2017-11-30 2021-04-27 Ila Corporation Method and system for interactive cyber simulation exercises
US20210042145A1 (en) * 2018-11-29 2021-02-11 Bernardo Starosta Method and System for Interactive Cyber Simulation Exercises
CN108900516B (zh) * 2018-07-09 2021-06-22 赖洪昌 一种网络空间漏洞归并平台分布服务***
US11315014B2 (en) * 2018-08-16 2022-04-26 EMC IP Holding Company LLC Workflow optimization
US11601442B2 (en) 2018-08-17 2023-03-07 The Research Foundation For The State University Of New York System and method associated with expedient detection and reconstruction of cyber events in a compact scenario representation using provenance tags and customizable policy
CN109167695B (zh) * 2018-10-26 2021-12-28 深圳前海微众银行股份有限公司 基于联邦学习的联盟网络构建方法、设备及可读存储介质
US11783724B1 (en) * 2019-02-14 2023-10-10 Massachusetts Mutual Life Insurance Company Interactive training apparatus using augmented reality
US11018960B2 (en) 2019-03-06 2021-05-25 Cisco Technology, Inc. Accelerated time series analysis in a network
US11858517B2 (en) * 2019-03-07 2024-01-02 The Board Of Regents Of The University Of Texas System Dynamic groups and attribute-based access control for next-generation smart cars
CN110910198A (zh) * 2019-10-16 2020-03-24 支付宝(杭州)信息技术有限公司 非正常对象预警方法、装置、电子设备及存储介质
US11353855B1 (en) * 2019-12-13 2022-06-07 Amazon Technologies, Inc. Configuring and deploying gateway connectors and workflows for data sources at client networks
CN111161588B (zh) * 2020-01-14 2022-03-25 成都信息工程大学 一种网络化沉浸式驾驶***运营平台
TWI736278B (zh) * 2020-05-22 2021-08-11 中國科技大學 影像合成之語言學習系統及其方法
US11914705B2 (en) * 2020-06-30 2024-02-27 Microsoft Technology Licensing, Llc Clustering and cluster tracking of categorical data
CN112308978B (zh) * 2020-10-30 2021-06-15 武汉市真意境文化科技有限公司 一种对虚拟仿真空间虚拟实体的动态更新方法及***
CN112367337A (zh) * 2020-11-26 2021-02-12 杭州安恒信息技术股份有限公司 一种网络安全攻防方法、装置及介质
US11765189B2 (en) * 2021-01-13 2023-09-19 Gurucul Solutions, Llc Building and maintaining cyber security threat detection models
CN112908081B (zh) * 2021-01-29 2022-10-18 武汉烽火技术服务有限公司 一种基于虚拟化切片的网络教学实训***及其使用方法
US12028379B2 (en) * 2021-03-14 2024-07-02 International Business Machines Corporation Virtual reality gamification-based security need simulation and configuration in any smart surrounding
US11588705B2 (en) 2021-03-18 2023-02-21 International Business Machines Corporation Virtual reality-based network traffic load simulation
US12008379B2 (en) 2021-05-14 2024-06-11 Samsung Electronics Co., Ltd. Automotive image sensor, image processing system including the same and operating method thereof
US11856023B2 (en) 2021-05-25 2023-12-26 IronNet Cybersecurity, Inc. Identification of invalid advertising traffic
CN113379696B (zh) * 2021-06-04 2024-03-26 大连海事大学 一种基于迁移学习张量分解的高光谱异常检测方法
US12058163B2 (en) 2021-08-10 2024-08-06 CyberSaint, Inc. Systems, media, and methods for utilizing a crosswalk algorithm to identify controls across frameworks, and for utilizing identified controls to generate cybersecurity risk assessments
CN114374535B (zh) * 2021-12-09 2024-01-23 北京和利时***工程有限公司 一种基于虚拟化技术的控制器网络攻击防御方法与***
US20230224275A1 (en) * 2022-01-12 2023-07-13 Bank Of America Corporation Preemptive threat detection for an information system
US20240111858A1 (en) * 2022-10-03 2024-04-04 Varonis Systems, Inc. Network security probe

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016109005A2 (en) * 2014-10-21 2016-07-07 IronNet Cybersecurity, Inc. Cybersecurity system

Family Cites Families (72)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6597660B1 (en) 1997-01-03 2003-07-22 Telecommunications Research Laboratory Method for real-time traffic analysis on packet networks
US6088804A (en) 1998-01-12 2000-07-11 Motorola, Inc. Adaptive system and method for responding to computer network security attacks
US6279113B1 (en) 1998-03-16 2001-08-21 Internet Tools, Inc. Dynamic signature inspection-based network intrusion detection
US6134664A (en) 1998-07-06 2000-10-17 Prc Inc. Method and system for reducing the volume of audit data and normalizing the audit data received from heterogeneous sources
US6321338B1 (en) 1998-11-09 2001-11-20 Sri International Network surveillance
JP4501280B2 (ja) 1998-12-09 2010-07-14 インターナショナル・ビジネス・マシーンズ・コーポレーション ネットワークおよびコンピュータシステムセキュリティを提供する方法および装置
US6681331B1 (en) 1999-05-11 2004-01-20 Cylant, Inc. Dynamic software system intrusion detection
US6671811B1 (en) 1999-10-25 2003-12-30 Visa Internation Service Association Features generation for use in computer network intrusion detection
US6769066B1 (en) 1999-10-25 2004-07-27 Visa International Service Association Method and apparatus for training a neural network model for use in computer network intrusion detection
US6519703B1 (en) 2000-04-14 2003-02-11 James B. Joyce Methods and apparatus for heuristic firewall
US20030051026A1 (en) 2001-01-19 2003-03-13 Carter Ernst B. Network surveillance and security system
US7290283B2 (en) 2001-01-31 2007-10-30 Lancope, Inc. Network port profiling
US7458094B2 (en) 2001-06-06 2008-11-25 Science Applications International Corporation Intrusion prevention system
US7331061B1 (en) 2001-09-07 2008-02-12 Secureworks, Inc. Integrated computer security management system and method
US7543056B2 (en) 2002-01-15 2009-06-02 Mcafee, Inc. System and method for network vulnerability detection and reporting
US7225343B1 (en) 2002-01-25 2007-05-29 The Trustees Of Columbia University In The City Of New York System and methods for adaptive model generation for detecting intrusions in computer systems
US7448084B1 (en) 2002-01-25 2008-11-04 The Trustees Of Columbia University In The City Of New York System and methods for detecting intrusions in a computer system by monitoring operating system registry accesses
US8205259B2 (en) 2002-03-29 2012-06-19 Global Dataguard Inc. Adaptive behavioral intrusion detection systems and methods
US7603711B2 (en) 2002-10-31 2009-10-13 Secnap Networks Security, LLC Intrusion detection system
US7454499B2 (en) 2002-11-07 2008-11-18 Tippingpoint Technologies, Inc. Active network defense system and method
US7376969B1 (en) 2002-12-02 2008-05-20 Arcsight, Inc. Real time monitoring and analysis of events from multiple network security devices
US7483972B2 (en) 2003-01-08 2009-01-27 Cisco Technology, Inc. Network security monitoring system
US7603710B2 (en) 2003-04-03 2009-10-13 Network Security Technologies, Inc. Method and system for detecting characteristics of a wireless network
US8640234B2 (en) 2003-05-07 2014-01-28 Trustwave Holdings, Inc. Method and apparatus for predictive and actual intrusion detection on a network
US7386883B2 (en) 2003-07-22 2008-06-10 International Business Machines Corporation Systems, methods and computer program products for administration of computer security threat countermeasures to a computer system
JP3922375B2 (ja) 2004-01-30 2007-05-30 インターナショナル・ビジネス・マシーンズ・コーポレーション 異常検出システム及びその方法
US20050198363A1 (en) 2004-02-05 2005-09-08 Yibei Ling Preserving HTTP sessions in heterogeneous wireless environments
US7406606B2 (en) 2004-04-08 2008-07-29 International Business Machines Corporation Method and system for distinguishing relevant network security threats using comparison of refined intrusion detection audits and intelligent security analysis
EP1589716A1 (en) 2004-04-20 2005-10-26 Ecole Polytechnique Fédérale de Lausanne (EPFL) Method of detecting anomalous behaviour in a computer network
US8458793B2 (en) 2004-07-13 2013-06-04 International Business Machines Corporation Methods, computer program products and data structures for intrusion detection, intrusion response and vulnerability remediation across target computer systems
US8185955B2 (en) 2004-11-26 2012-05-22 Telecom Italia S.P.A. Intrusion detection method and system, related network and computer program product therefor
US7784099B2 (en) 2005-02-18 2010-08-24 Pace University System for intrusion detection and vulnerability assessment in a computer network using simulation and machine learning
US7814548B2 (en) 2005-09-13 2010-10-12 Honeywell International Inc. Instance based learning framework for effective behavior profiling and anomaly intrusion detection
US8079080B2 (en) 2005-10-21 2011-12-13 Mathew R. Syrowik Method, system and computer program product for detecting security threats in a computer network
EP1960867A4 (en) 2005-12-13 2010-10-13 Crossbeam Systems Inc SYSTEMS AND METHOD FOR PROCESSING DATA FLOWS
US8271412B2 (en) 2005-12-21 2012-09-18 University Of South Carolina Methods and systems for determining entropy metrics for networks
CA2531410A1 (en) 2005-12-23 2007-06-23 Snipe Network Security Corporation Behavioural-based network anomaly detection based on user and group profiling
US20070204345A1 (en) 2006-02-28 2007-08-30 Elton Pereira Method of detecting computer security threats
US7809740B2 (en) 2006-03-29 2010-10-05 Yahoo! Inc. Model for generating user profiles in a behavioral targeting system
US7739082B2 (en) 2006-06-08 2010-06-15 Battelle Memorial Institute System and method for anomaly detection
WO2008041915A2 (en) 2006-10-04 2008-04-10 Behaviometrics Ab Security system and method for detecting intrusion in a computerized system
US7840377B2 (en) 2006-12-12 2010-11-23 International Business Machines Corporation Detecting trends in real time analytics
CN101622652B (zh) 2007-02-08 2012-03-21 行为识别***公司 行为识别***
US8015133B1 (en) 2007-02-20 2011-09-06 Sas Institute Inc. Computer-implemented modeling systems and methods for analyzing and predicting computer network intrusions
US8392997B2 (en) 2007-03-12 2013-03-05 University Of Southern California Value-adaptive security threat modeling and vulnerability ranking
US7770203B2 (en) 2007-04-17 2010-08-03 International Business Machines Corporation Method of integrating a security operations policy into a threat management vector
US8707431B2 (en) 2007-04-24 2014-04-22 The Mitre Corporation Insider threat detection
US8296850B2 (en) 2008-05-28 2012-10-23 Empire Technology Development Llc Detecting global anomalies
US8326987B2 (en) 2008-11-12 2012-12-04 Lin Yeejang James Method for adaptively building a baseline behavior model
US8572736B2 (en) 2008-11-12 2013-10-29 YeeJang James Lin System and method for detecting behavior anomaly in information access
US8769684B2 (en) 2008-12-02 2014-07-01 The Trustees Of Columbia University In The City Of New York Methods, systems, and media for masquerade attack detection by monitoring computer user behavior
US8239668B1 (en) 2009-04-15 2012-08-07 Trend Micro Incorporated Computer security threat data collection and aggregation with user privacy protection
US8260779B2 (en) 2009-09-17 2012-09-04 General Electric Company Systems, methods, and apparatus for automated mapping and integrated workflow of a controlled medical vocabulary
US20120137367A1 (en) 2009-11-06 2012-05-31 Cataphora, Inc. Continuous anomaly detection based on behavior modeling and heterogeneous information analysis
US8528091B2 (en) 2009-12-31 2013-09-03 The Trustees Of Columbia University In The City Of New York Methods, systems, and media for detecting covert malware
US8424091B1 (en) 2010-01-12 2013-04-16 Trend Micro Incorporated Automatic local detection of computer security threats
US8863279B2 (en) 2010-03-08 2014-10-14 Raytheon Company System and method for malware detection
US8473415B2 (en) 2010-05-04 2013-06-25 Kevin Paul Siegel System and method for identifying a point of compromise in a payment transaction processing system
US8468599B2 (en) 2010-09-20 2013-06-18 Sonalysts, Inc. System and method for privacy-enhanced cyber data fusion using temporal-behavioral aggregation and analysis
US9032521B2 (en) * 2010-10-13 2015-05-12 International Business Machines Corporation Adaptive cyber-security analytics
WO2012083079A2 (en) * 2010-12-15 2012-06-21 ZanttZ, Inc. Network stimulation engine
US9043905B1 (en) 2012-01-23 2015-05-26 Hrl Laboratories, Llc System and method for insider threat detection
JP6139656B2 (ja) 2012-03-22 2017-05-31 ロス アラモス ナショナル セキュリティー,リミテッド ライアビリティー カンパニーLos Alamos National Security,Llc 異常部分グラフの検出のための道探査及び異常/変更検出及び網状況認知のためのdns要求及びホストエージェントの使用
IL219361A (en) * 2012-04-23 2017-09-28 Verint Systems Ltd Security systems and methods based on a combination of physical and cyber information
US8813228B2 (en) 2012-06-29 2014-08-19 Deloitte Development Llc Collective threat intelligence gathering system
KR101681855B1 (ko) * 2012-10-23 2016-12-01 레이던 컴퍼니 공격에 대한 네트워크 복원성을 시뮬레이트하기 위한 방법 및 장치
US8973140B2 (en) 2013-03-14 2015-03-03 Bank Of America Corporation Handling information security incidents
US8898784B1 (en) 2013-05-29 2014-11-25 The United States of America, as represented by the Director, National Security Agency Device for and method of computer intrusion anticipation, detection, and remediation
US20140365194A1 (en) 2013-06-06 2014-12-11 Zih Corp. Method, apparatus, and computer program product for dynamics/kinetics model selection
US9898741B2 (en) 2013-07-17 2018-02-20 Visa International Service Association Real time analytics system
US9602530B2 (en) 2014-03-28 2017-03-21 Zitovault, Inc. System and method for predicting impending cyber security events using multi channel behavioral analysis in a distributed computing environment
US9747551B2 (en) 2014-09-29 2017-08-29 Pivotal Software, Inc. Determining and localizing anomalous network behavior

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016109005A2 (en) * 2014-10-21 2016-07-07 IronNet Cybersecurity, Inc. Cybersecurity system

Also Published As

Publication number Publication date
EP3338205A4 (en) 2018-11-14
CN108140057A (zh) 2018-06-08
JP6495543B2 (ja) 2019-04-03
EP3338205A1 (en) 2018-06-27
US9910993B2 (en) 2018-03-06
US20180018462A1 (en) 2018-01-18
LT3338205T (lt) 2019-06-25
HK1257367B (zh) 2020-06-12
ES2728337T3 (es) 2019-10-23
IL258003B (en) 2018-11-29
CN108140057B (zh) 2020-07-17
SA519400842B1 (ar) 2021-11-25
PL3338205T3 (pl) 2019-10-31
CA3001040C (en) 2018-07-17
IL258003A (en) 2018-05-31
US20180018463A1 (en) 2018-01-18
WO2018013244A1 (en) 2018-01-18
US9875360B1 (en) 2018-01-23
CA3001040A1 (en) 2018-01-18
EP3338205B1 (en) 2019-05-01

Similar Documents

Publication Publication Date Title
JP6495543B2 (ja) シミュレーションおよび仮想現実に基づくサイバー行動システム
US11138312B2 (en) Cyber range integrating technical and non-technical participants, participant substitution with AI bots, and AI bot training
Abraham et al. Cyber security analytics: a stochastic model for security quantification using absorbing markov chains
US20240073226A1 (en) Quantum computing machine learning for security threats
Conti et al. Towards a cyber common operating picture
McNeese et al. The cognitive sciences of cyber-security: a framework for advancing socio-cyber systems
CN114978595B (zh) 威胁模型的构建方法、装置、计算机设备及存储介质
Patel et al. A systematic literature review on Virtual Reality and Augmented Reality in terms of privacy, authorization and data-leaks
Grant Speeding up planning of cyber attacks using AI techniques: State of the art
Alt et al. The cultural geography model: an agent based modeling framework for analysis of the impact of culture in irregular warfare
Ormrod et al. Cyber resilience as an information operations action to assure the mission
Elder et al. Alternatives to cyber warfare: deterrence and assurance
Pasieka et al. Activating the Process of Educational Services Using Independent Computing Resources to Manage and Monitor the Quality of Learning.
Möller et al. Attack models and scenarios
Luzhnov et al. Simulation of Protected Industrial Control Systems Based on Reference Security Model using Weighted Oriented Graphs
Haas et al. Aiding understanding of a contested information environment’s effect on operations
Abdallah et al. Hioa-cps: Combining hybrid input-output automaton and game theory for security modeling of cyber-physical systems
Turnbull The Modelling and Simulation of Integrated Battlefield Cyber-Kinetic Effects
Nack et al. Synthetic Environments for the Cyber Domain
Al-Mhiqani et al. Insider threat detection in cyber-physical systems: a systematic literature review
Sahın Privacy issues on social networks
Wong et al. A methodology for representing and assessing artificial intelligence decision aids within modeling and simulation
Barría et al. Training through simulation for digital battlefield
Rawther et al. Propagation of Cyber-Attacks in Computer Network: A simulation study
Gao et al. Research on Network Security Situation Assessment Method

Legal Events

Date Code Title Description
A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20181023

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181030

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190124

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190212

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190306

R150 Certificate of patent or registration of utility model

Ref document number: 6495543

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250