JP2021077373A - 脅威検出方法及びコンピュータ装置 - Google Patents
脅威検出方法及びコンピュータ装置 Download PDFInfo
- Publication number
- JP2021077373A JP2021077373A JP2020185257A JP2020185257A JP2021077373A JP 2021077373 A JP2021077373 A JP 2021077373A JP 2020185257 A JP2020185257 A JP 2020185257A JP 2020185257 A JP2020185257 A JP 2020185257A JP 2021077373 A JP2021077373 A JP 2021077373A
- Authority
- JP
- Japan
- Prior art keywords
- new process
- code module
- external code
- computer
- network node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Computer And Data Communications (AREA)
Abstract
【課題】ハッキング及び生活圏外の攻撃者などの複雑な脅威、搾取、インサイダー脅威、及びAPT(Advanced Persistent Threats)がどのように制御されるか、を改善する。【解決手段】コンピュータネットワークのネットワークノードでの新しいプロセスの開始を検出し、プロセスが外部コードモジュールを要求することを判定し、プロセス開始時間に対して、新しいプロセスが要求する少なくとも1つの外部コードモジュールがロードされる時間と、前記プロセスの開始との間に経過した時間が所定の期待境界外にあるときに、新しいプロセスによって要求される外部コードモジュールの使用が異常であると判定することに基づいて、ネットワークノード及び/またはコンピュータネットワークを保護するためのさらなるアクションをとる。【選択図】図2
Description
本発明は、コンピュータネットワークセキュリティシステムにおける脅威検出方法及びコンピュータネットワークセキュリティシステムに関する。
管理検出応答(MDR)及びエンドポイント検出応答(EDR)製品及びサービスなどのコンピュータネットワークセキュリティシステムが普及している。これらのシステムは、侵害が発生したとき及び発生した後の侵害の検出及び監視に焦点を当てており、どのように最良に応答するかを判定するのに役立つ。MDR/EDRの成長は、機械学習、ビッグデータ及びクラウドコンピューティングの出現によって部分的に可能になった。
EDRまたはその他の対応するシステムは、選択したネットワークエンドポイント(ITインフラストラクチャの任意の要素とすることができる)にデータコレクタを展開する。データコレクタは、エンドポイントで発生しているアクティビティを監視し、収集したデータを中央のバックエンドシステム(「EDRバックエンド」)に送信する。これは多くの場合、クラウドに配置される。EDRバックエンドがデータを受信すると、データは分析され、EDRプロバイダによってセキュリティ侵害や異常の兆候がないかスキャンされる前に処理される(集計や拡張など)。
これらのシステムの1つの問題は、攻撃者が、その戦術、技法、及び手順を常に変更する傾向があり、したがって、誤用検出の効率が不足していることである。攻撃の既知の傾向は、正当なソフトウェアアプリケーション及びその発信者における信頼を悪用することである。
したがって、異常が検出される方法、ならびに、ハッキング及び生活圏外の攻撃者などの複雑な脅威、搾取、インサイダー脅威、及びAPT(Advanced Persistent Threats)がどのように制御されるか、を改善する必要がある。また、特に、高度な脅威が評判のよい信頼できるプロセス/実行可能イメージ内で起こる状況において、当該脅威の検出を改善する必要がある。
本発明の第1の態様によれば、コンピュータネットワークのネットワークノードでの新しいプロセスの開始を検出し、前記プロセスが外部コードモジュールを要求することを判定し、プロセス開始時間に対して、前記新しいプロセスが要求する少なくとも1つの外部コードモジュールがロードされる時間を監視し、前記プロセスの開始と前記外部コードモジュールのロードとの間に経過した時間が所定の期待境界外にあるときに、前記新しいプロセスによって要求される外部コードモジュールの使用が異常であると判定し、検出された前記新しいプロセスによって要求される外部コードモジュールの使用が異常であると判定することに基づいて、ネットワークノード及び/またはコンピュータネットワークを保護するためのさらなるアクションをとる、脅威検出方法が提供される。
本発明の第2の態様によれば、コンピュータネットワークのネットワークノードでの新しいプロセスの開始を検出し、前記プロセスが外部コードモジュールを要求することを判定し、プロセス開始時間に対して、前記新しいプロセスが要求する少なくとも1つの外部コードモジュールがロードされる時間を監視し、前記プロセスの開始と前記外部コードモジュールのロードとの間に経過した時間が所定の期待境界外にあるときに、前記新しいプロセスによって要求される外部コードモジュールの使用が異常であると判定し、検出された前記新しいプロセスによって要求される外部コードモジュールの使用が異常であると判定することに基づいて、ネットワークノード及び/またはコンピュータネットワークを保護するためのさらなるアクションをとる、ように構成されている少なくとも1つのプロセッサを含む、コンピュータ装置が提供される。
本発明の第3の態様によれば、コンピュータコードが記憶されたコンピュータ記憶媒体を含むコンピュータプログラム製品が提供される。コンピュータコードは、コンピュータシステム上で実行されると、当該システムを本発明の上記第2の態様によるコンピュータ装置として動作させる。
異常が検出される方法、ならびに、ハッキング及び生活圏外の攻撃者などの複雑な脅威、搾取、インサイダー脅威、及びAPT(Advanced Persistent Threats)がどのように制御されるか、を改善する。
図1は、コンピュータシステム、例えば、EDRシステムがインストールされた第1コンピュータネットワーク1の一部を概略的に示す。また、本発明の実施形態を実施することができる任意の他のコンピュータシステムを、この例で使用されるEDRシステムの代わりに、または、加えて使用することができる。第1コンピュータネットワークは、クラウド3を介してEDRバックエンド2に接続される。EDRバックエンド2は、第1コンピュータネットワークに対して第2コンピュータネットワーク上にノードを形成する。第2コンピュータネットワークは、EDRシステムプロバイダによって管理され、ゲートウェイまたは他のインターフェイス(図示せず)またはEDRバックエンド2に適切な他のネットワーク要素によってクラウド3から分離されてもよい。第1コンピュータネットワーク1は、ゲートウェイ4または他のインターフェイスによってクラウド3から分離されてもよい。他のネットワーク構造も考えられる。図1の例では、要素は分離されたエンティティまたは結合されたエンティティとして図示されているが、各要素は、分離されているか、及び/または結合されているか否かに拘わらず、他の任意の組み合わせで実装することが可能である。
第1コンピュータネットワーク1は、複数の相互接続されたネットワークノード5a〜5hから形成され、ネットワークノード5a〜5hのそれぞれは、コンピュータ、スマートフォン、タブレット、ラップトップ、または他のネットワーク接続可能なハードウェアなどのコンピュータネットワーク1内の要素を表す。コンピュータネットワークに示された各ネットワークノード5a〜5hは、データコレクタ(または「センサ」)6a〜6hがインストールされたEDRエンドポイントも表す。データコレクタは、ゲートウェイや他のインターフェイスなど、コンピュータネットワークの他の要素にインストールすることもできる。データコレクタ4aは、図1のゲートウェイ4にインストールされている。データコレクタ6a〜6h、4aは、例えば、プログラムまたはファイルハッシュ、ノード5a〜5hに記憶されたファイル、ネットワークトラフィックのログ、プロセスログ、メモリから切り取られたバイナリまたはファイル(例えば、DLL、EXE、またはメモリフォレンジックアーチファクト)、及び/またはノード5a〜5hまたはゲートウェイ4上で実行されるプログラムまたはスクリプトによって実行される監視アクションからのログ(例えば、tcpダンプ)を含む、様々なタイプのデータをネットワークノード5a〜5hまたはゲートウェイ4で収集する。
セキュリティ侵害の検出及び監視を支援することができる任意のタイプのデータが、それらのライフサイクル中にデータコレクタ6a〜6h、4aによって収集されてもよく、監視及び収集されるデータのタイプは、EDRシステムのインストール時にEDRシステムプロバイダによって定義された規則に従って、またはEDRバックエンド2からの命令に応答して設定されてもよいことが想定される。例えば、データコレクタ6a〜6h、4aは、EDRエンドポイント上で実行されるプログラムの挙動に関するデータを収集することができ、いつ新しいプログラムが開始されるかを観察することができる。適切なリソースが利用可能である場合、収集されたデータは、データコレクタ6a〜6h、4aによって、それぞれのノードに、または第1コンピュータネットワーク1上の適切な記憶場所(図示せず)に、永続的にまたは一時的に記憶され得る。
データコレクタ6a〜6h、4aはまた、収集されたデータに対していくつかの単純な予備処理ステップを実行することができるが、これは、各ネットワークノード5a〜5hまたはゲートウェイ4で利用可能なコンピューティング及びネットワークリソースによって制限される。
データコレクタ6a〜6h、4aは、収集したデータなどの情報を送信したり、クラウド3を介してEDRバックエンド2との間で命令を送受信したりするようにセットアップされている。これにより、EDRシステムプロバイダは、第1コンピュータネットワーク1を管理する機構において人間の定常的な存在を維持する必要なしに、EDRシステムを遠隔的に管理することができる。
モジュール6a〜6h、4aは、ネットワークノード5a〜5hのそれぞれに関連するモデルを生成し、適応させるために、ネットワークから受信された収集されたデータ及び情報を使用するようにさらに構成され得る。例えば、既知のセキュリティ脅威が検出された場合、モジュール6a〜6h、4aは、ローカルコンピュータネットワーク内のネットワークノードにセキュリティ警告を生成して送信し、検出されたセキュリティ脅威に対応するためのセキュリティ対策をアクティベートするように構成してもよい。さらに、新たな脅威である可能性が非常に高いと推定される異常が識別された場合、モジュール6a〜6h、4aは、脅威を検証し、収容し、収集されたデータ及び受信された情報に基づいて新たな脅威モデルを生成し、生成された新たな脅威モデルをコンピュータネットワーク内で共有するように構成され得る。
図2は、一実施形態による方法を示すフロー図である。この例で説明されている方法のステップは、セキュリティサーババックエンド、コンピュータネットワークの1つ以上のネットワークノード(エンドポイント)、またはそれらの組み合わせによって処理することができる。
本方法は、コンピュータネットワークのエンドポイントノードのようなネットワークノードのコンピュータプロセスが監視されているS201において開始する。
S202において、ネットワークノードにおいて新たなプロセス開始が検出された場合、S203に進む。検出されない場合には、S201に戻り、コンピュータプロセスの監視が継続される。
S203では、検出された新たなプロセスが外部コードモジュールを要求するか否かを判定する。一実施形態では、外部コードモジュールの使用は、差分分析を使用することによって判定することができる。例えば、プロセスに関連する実行可能イメージのファイルコンテンツを処理することによって、このプロセスによって使用可能な外部コードモジュールのリストを検索することができる。これは、インポートテーブル(Import Table、Delayed Import Table、.dynsym/.dynstrセクションなど)の処理、コードの処理、及び様々なアーチファクト(文字列、リソーステーブルなど)の抽出を意味するが、これらに限定されない。
一実施形態では、ロード及びアンロードされている新しいコードモジュールに関する情報は、F-SecureのxDRセンサ、Sandviper、デバッガ、エミュレータ、または動的計測などの動的分析方法によって収集することができる。
一実施形態では、新しいコードモジュールのロードまたはアンロードごとに、コードモジュールが予想コードモジュールロードリストのリストにない場合、コードモジュールは遅延(暗黙)ロードイベントとしてマークされ、元のイベントの疑わしさのレベルが増大され、ロードされたモジュールが故意にクリーンで普及しており、主流ではない特定の目的のために使用される場合、元のイベントの疑わしさのレベルが再び増大され、イベントはさらなる調査のためにマークされる。
S203で、新しいプロセスが外部コードモジュールを要求すると判定された場合、S204に進み、新しいプロセスの開始時間に対して、新しいプロセスによって要求される外部コードモジュールのうちの1つまたは複数がロードされる時間が観察される。
S205において、新しいプロセスの開始と外部コードモジュールのロードとの間に経過した時間が所定の期待境界外にある場合、S206に進み、新しいプロセスによって要求される外部コードモジュールの使用が異常であると判定される。新しいプロセスの開始と外部コードモジュールのロードとの間に経過した時間が所定の期待境界を超えない場合、S208に進み、新しいプロセスによって要求される外部コードモジュールの使用が異常ではないと判定される。
S207では、検出された新しいプロセスによって要求される外部コードモジュールの使用が異常であると判定することに基づいて、ネットワークノード及び/またはコンピュータネットワークを保護するために、さらなるアクションが取られる。
一実施形態では、異常な外部モジュールのロードの検出は、プロセスのタイムライン分析に基づく。観測された時間(新しいプロセスの開始時間対外部コードモジュールロード時間)の間の時間差が所定の限界を超えることを検出することに基づいて、脅威を識別することができる。遅延した外部コードモジュールのロードは、プロセスによって要求される外部コードモジュールの事前の知識なしに検出することもできる。この目的のために、過去の観察に関連する関連情報を使用することができる。同様のコードモジュールが同様のプロセスによって使用されるという認識は、判定において使用されることができる。プロセス間の類似性は、様々な属性を見ることによって定義することができる。この目的のために、これらのプロセスのための実行可能イメージのファイル名が十分に類似しているか、または実行可能イメージのコンテンツの部分が十分に強く一致しているか(例えば、SSDEEP、IMPHASH、SHA256などを使用して)を定義することができる。コードモジュール間の類似性は、プロセスの実行可能ファイルに対して有効な任意の基準によって定義されてもよい。さらに、プロセス実行の開始に対して追加のコードモジュールがロードされた時間が判定される。このデータは、例えば動的解析法を用いて検索することができる。
一実施形態では、遅延外部コードモジュールの検出は、様々な機械学習異常検出アプローチを適用することによって構成することができ、モデルは、プロセス及びモジュールまたは類似のプロセス及びモジュールの時間遅延分布(異なる動的フレームワーク/データ収集アプローチが適用される場合には時間スケールが正規化される)、プロセスまたは類似のプロセスのモジュール使用量分布、及び/またはモジュールまたは類似のモジュールのプロセス使用量分布を表すことができる。
一実施形態では、新しいプロセスは、コードモジュール、動的ロードライブラリ、共有オブジェクトのうちの1つまたは複数の実行を含む。
一実施形態では、本方法は、実行可能イメージが1つまたは複数の所定のホワイトリスト基準を満たすか否かを判定することによって、新しいプロセスのための関連する実行可能イメージがクリーンであることが既知であるか否かを判定することをさらに含む。一実施形態では、関連する実行可能イメージがクリーンであることが分かっているプロセス、すなわち、実行可能イメージが1つ以上の明示的なホワイトリスト基準(例えば、ベットされた、信頼できる製造業者からの有効なAuthenticode署名を有するファイル、または主要なオペレーティングシステムの一部であるファイル)を満たすプロセスについて、このプロセスのための外部コードモジュールの使用が異常であるか否かを判定する。この判定は、上述したように、様々な異なる方法で実施することができる。
一実施形態では、本方法は、新たなプロセスによって使用され得る予想される外部コードモジュールのリストを検索するために、関連実行可能イメージのファイルコンテンツを処理することをさらに含む。ファイルコンテンツを処理することは、インポートテーブルを処理すること、コードを処理すること、様々なアーチファクトを抽出することのうちの1つまたは複数を含むことができる。
一実施形態では、本方法は、さらに、ロードまたはアンロードされている新しいコードモジュールに関する情報を収集し、全ての新しいコードモジュールのロードまたはアンロードに関連して、本方法が、新しいコードモジュールのロード/アンロードが予想される外部コードモジュールのリストにない場合に、新しいプロセスの疑わしさのレベルを増加させる。
一実施形態では、新しいプロセスによって要求される外部コードモジュールの使用が異常であるか否かを判定することは、プロセスのための実行可能イメージのファイル名を比較すること、及び/またはプロセスのための実行可能イメージのコンテンツの部分を比較することに基づいて、新しいプロセスによって要求される外部コードモジュールが十分に類似した特性を有する既知のプロセスのグループに属すると判定することにさらに基づく。
一実施形態では、コンピュータネットワーク及び/または関連する任意のネットワークノードをセキュアにするためのさらなるアクションをとることは、1つ以上のネットワークノードのスイッチオフの防止、1つ以上のネットワークノードのファイアウォールのスイッチオン、セキュリティ侵害の兆候が検出された1つ以上のネットワークノードのユーザへの警告、及び/または1つ以上のネットワークノードへのソフトウェア更新の送信を含むリストのうちの1つ以上を含む。
一実施形態では、新しいプロセスによって要求される外部コードモジュールの使用が異常であると判定することに基づいてとられるさらなるアクションは、攻撃者が停止され、そのアクティビティのトレースが破壊されないことを保証するために、ネットワークノードの設定を変更することによって即時アクションをとることを含むことができる。設定の変更には、例えば、RAM内の情報を保存するために、1つ以上のノード(コンピュータまたは他の装置であってもよい)がスイッチオフされないようにすること、1つ以上のノードでファイアウォールをスイッチオンして攻撃者を即座に遮断すること、1つ以上のノードのユーザに、侵害が検出され、そのワークステーションが調査中であることが警告されること、及び/またはシステム更新またはソフトウェアパッチが、侵害の兆候を検出することに応答して、EDRバックエンド2からノードに送信されること、などが含まれてもよい。これらのアクションのうちの1つまたは複数は、上述のアルゴリズムによって自動的に開始され得ることが想定される。例えば、上記の方法を用いて、データを収集し、コンピュータネットワーク1内のノードからEDRバックエンド2に送ることができる。分析アルゴリズムは、脅威が検出されたことを判定する。アルゴリズムは、脅威の兆候が検出されたと判定すると、人間の介入なしに関連するネットワークノードにコマンドを生成して発行し、ノードで上記のアクションの1つ以上を自動的に開始することができる。これを行うことにより、人間の介入なしに、非常に高速で、起こり得る侵害を停止させることができ、かつ/または損傷を自動的に最小限に抑えることができる。
一般に、提案したアプローチは、従来の脅威検出方式に多くの改良を導入する。このような改良は、例えば、実行の後の段階で、特に、評判がよく信頼できるプロセス又は実行可能なイメージの内部で起こる状況において、コードを動的にロードする高度な脅威を検出することができることを含む。
一実施形態による別の改善は、動的コードロードのタイミングに基づいて、異常な、及び潜在的に悪意のあるアクティビティを検出することができることである。これは、特に、監視下にあるエンティティが信頼され、他のデータが不足しているか、または計算するのにコストがかかりすぎる状況において有益である。したがって、本発明は、非常に効果的な脅威検出スキームを提供すると同時に、脅威検出に必要なデータ量を低減し、その結果、コンピュータシステムのリソースを節約し、コストを節約することを可能にする。
さらに、提案された脅威検出スキームは、外部モジュールがどのように使用されているかについての異常を検出することができるので、例えば、最近見られるサプライチェーン攻撃のような場合、及びシェルコードまたは外部ペイロードが攻撃者によって使用される場合に、極めて有用である。
本明細書で説明するような任意の適切なコンピュータネットワークシステム、サーバ、エンドポイントノード/デバイス、及びコンピュータ装置は、それぞれ、本発明の実施形態による脅威検出方法を実行するか、またはそれに寄与することができる。このようなシステムのプロセッサは、本明細書に記載する方法及びプロセスに基づいてコンピュータプログラム命令を実行するように構成され、そのような命令は、メモリのような非一時的コンピュータ可読媒体に記憶される。コンピュータプログラム命令は、別のコンピュータ可読媒体から、または通信インターフェイスを介して別の装置からメモリに読み込まれてもよい。メモリに含まれる命令は、コンピュータ装置のプロセッサに、本明細書に記載するようなプロセスまたは方法を実行させる。代替的に、または加えて、ハードワイヤード回路を、コンピュータプログラム命令の代わりに、または組み合わせて使用して、本発明と調和するプロセス及び方法を実施することができる。ハードウェア回路の例としては、半導体チップ、集積回路、フィールドプログラマブルゲートアレイ、特定用途向け集積回路、電子プログラマブル集積回路等が挙げられるが、これらに限定されない。したがって、本発明は、ハードウェア回路及び/またはソフトウェアの任意の特定の組合せに限定されない。
非一時的コンピュータ可読媒体は、そこに記憶されたコンピュータプログラム命令を含み、それは、サーバ、サーバシステム、または他のコンピューティングシステムの1つ以上のプロセッサ上で実行されるとき、脅威検出のプロセスまたは方法のステップを実行し、図1及び2を参照して本明細書に記載するように、新しいプロセスによって要求される外部コードモジュールの使用が異常であると判定することに基づいて、ネットワークノード及び/またはコンピュータネットワークを保護するためのさらなるアクションをとる。
本発明は、上述のような好ましい実施形態に関して説明されてきたが、これらの実施形態は、例示的なものにすぎず、特許請求の範囲は、これらの実施形態に限定されないことを理解されたい。当業者は、添付の特許請求の範囲内にあると考えられる開示を考慮して、修正及び代替を行うことができるであろう。本明細書に開示または例示される各特徴は、単独であろうと、または任意の適切な組み合わせであろうと、本明細書に開示または例示される任意の他の特徴とともに、本発明に組み込まれてもよい。
2 EDRバックエンド
3 クラウド
4 ゲートウェイ
4a データコレクタ
5a〜5h ネットワークノード
6a〜6h データコレクタ
3 クラウド
4 ゲートウェイ
4a データコレクタ
5a〜5h ネットワークノード
6a〜6h データコレクタ
Claims (18)
- コンピュータネットワークのネットワークノードでの新しいプロセスの開始を検出し、
前記プロセスが外部コードモジュールを要求することを判定し、
プロセス開始時間に対して、前記新しいプロセスが要求する少なくとも1つの外部コードモジュールがロードされる時間を監視し、
前記プロセスの開始と前記外部コードモジュールのロードとの間に経過した時間が所定の期待境界外にあるときに、前記新しいプロセスによって要求される外部コードモジュールの使用が異常であると判定し、
検出された前記新しいプロセスによって要求される外部コードモジュールの使用が異常であると判定することに基づいて、ネットワークノード及び/またはコンピュータネットワークを保護するためのさらなるアクションをとる、
脅威検出方法。 - 前記新しいプロセスは、コードモジュール、動的ロードライブラリ、共有オブジェクトの少なくとも1つの実行を含む、
請求項1に記載の脅威検出方法。 - 前記新しいプロセスのための関連する実行可能イメージがクリーンであることが既知であるか否かを判定することをさらに含み、
前記新しいプロセスのための関連する実行可能イメージがクリーンであることが既知であるか否かを判定することは、前記実行可能イメージが少なくとも1つの所定のホワイトリスト基準を満たすか否かを判定することを含む、
請求項1に記載の脅威検出方法。 - 前記新しいプロセスによって使用されることができる予想される外部コードモジュールのリストを取り出すために、関連する実行可能イメージのファイルコンテンツを処理することをさらに含む、
請求項1に記載の脅威検出方法。 - 前記ファイルコンテンツを処理することは、インポートテーブルの処理、コードの処理、様々なアーチファクトの抽出の少なくとも1つを含む、
請求項4に記載の脅威検出方法。 - ロードまたはアンロードされている新しいコードモジュールに関する情報を収集し、
全ての新しいコードモジュールのロードまたはアンロードに関連して、前記新しいコードモジュールのロード/アンロードが予想される外部コードモジュールのリストにない場合に、前記新しいプロセスの疑わしさのレベルを増加させる、
請求項4に記載の脅威検出方法。 - 前記新しいプロセスによって要求される外部コードモジュールの使用が異常であるか否かを判定することは、前記プロセスのための実行可能イメージのファイル名の比較及び/または前記プロセスのための実行可能イメージのコンテンツの部分の比較に基づいて、前記新しいプロセスによって要求される前記外部コードモジュールが、十分に類似した特性を有する既知のプロセスのグループに属することを判定することにさらに基づく、
請求項1に記載の脅威検出方法。 - 前記ネットワークノード及び/またはコンピュータネットワークを保護するためのさらなるアクションをとることが、
少なくとも1つの前記ネットワークノードのスイッチオフの防止、
少なくとも1つの前記ネットワークノードのファイアウォールのスイッチオン、
セキュリティ侵害の兆候が検出された少なくとも1つの前記ネットワークノードのユーザへの警告、及び/または、
少なくとも1つの前記ネットワークノードへのソフトウェア更新の送信、
の少なくとも1つを含む、
請求項1に記載の脅威検出方法。 - コンピュータネットワークのネットワークノードでの新しいプロセスの開始を検出し、
前記プロセスが外部コードモジュールを要求することを判定し、
プロセス開始時間に対して、前記新しいプロセスが要求する少なくとも1つの外部コードモジュールがロードされる時間を監視し、
前記プロセスの開始と前記外部コードモジュールのロードとの間に経過した時間が所定の期待境界外にあるときに、前記新しいプロセスによって要求される外部コードモジュールの使用が異常であると判定し、
検出された前記新しいプロセスによって要求される外部コードモジュールの使用が異常であると判定することに基づいて、ネットワークノード及び/またはコンピュータネットワークを保護するためのさらなるアクションをとる、
ように構成されている少なくとも1つのプロセッサを含む、
コンピュータ装置。 - 前記新しいプロセスは、コードモジュール、動的ロードライブラリ、共有オブジェクトの少なくとも1つの実行を含む、
請求項9に記載のコンピュータ装置。 - 前記プロセッサは、さらに、
前記新しいプロセスのための関連する実行可能イメージがクリーンであることが既知であるか否かを判定する、
ように構成され、
前記新しいプロセスのための関連する実行可能イメージがクリーンであることが既知であるか否かを判定することは、前記実行可能イメージが少なくとも1つの所定のホワイトリスト基準を満たすか否かを判定することを含む、
請求項9に記載のコンピュータ装置。 - 前記プロセッサは、さらに、
前記新しいプロセスによって使用されることができる予想される外部コードモジュールのリストを取り出すために、関連する実行可能イメージのファイルコンテンツを処理する、
ように構成されている、
請求項9に記載のコンピュータ装置。 - 前記ファイルコンテンツを処理することは、インポートテーブルの処理、コードの処理、様々なアーチファクトの抽出の少なくとも1つを含む、
請求項12に記載のコンピュータ装置。 - 前記プロセッサは、さらに、
ロードまたはアンロードされている新しいコードモジュールに関する情報を収集し、
全ての新しいコードモジュールのロードまたはアンロードに関連して、前記新しいコードモジュールのロード/アンロードが予想される外部コードモジュールのリストにない場合に、前記新しいプロセスの疑わしさのレベルを増加させる、
ように構成されている、
請求項12に記載のコンピュータ装置。 - 前記プロセッサは、さらに、
前記プロセスのための実行可能イメージのファイル名の比較及び/または前記プロセスのための実行可能イメージのコンテンツの部分の比較に基づいて、前記新しいプロセスによって要求される前記外部コードモジュールが、十分に類似した特性を有する既知のプロセスのグループに属することを判定することに基づいて、前記新しいプロセスによって要求される外部コードモジュールの使用が異常であるか否かを判定する、
ように構成されている、
請求項9に記載のコンピュータ装置。 - 前記ネットワークノード及び/またはコンピュータネットワークを保護するためのさらなるアクションをとることが、
少なくとも1つの前記ネットワークノードのスイッチオフの防止、
少なくとも1つの前記ネットワークノードのファイアウォールのスイッチオン、
セキュリティ侵害の兆候が検出された少なくとも1つの前記ネットワークノードのユーザへの警告、及び/または、
少なくとも1つの前記ネットワークノードへのソフトウェア更新の送信、
の少なくとも1つを含む、
請求項9に記載のコンピュータ装置。 - コンピュータ装置上で実行されるとき、前記コンピュータ装置を請求項9に記載のコンピュータ装置として動作させる、コンピュータ可読コードを含むコンピュータプログラム。
- 請求項17に記載のコンピュータプログラムと非一時的コンピュータ可読媒体とを含むコンピュータプログラム製品であって、前記コンピュータプログラムは、前記非一時的コンピュータ可読媒体に記憶されている、コンピュータプログラム製品。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
GB1916345.0 | 2019-11-11 | ||
GB1916345.0A GB2588822B (en) | 2019-11-11 | 2019-11-11 | Method of threat detection |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2021077373A true JP2021077373A (ja) | 2021-05-20 |
Family
ID=69062107
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020185257A Pending JP2021077373A (ja) | 2019-11-11 | 2020-11-05 | 脅威検出方法及びコンピュータ装置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US11811803B2 (ja) |
EP (1) | EP3819799B1 (ja) |
JP (1) | JP2021077373A (ja) |
GB (1) | GB2588822B (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11924241B1 (en) * | 2023-09-26 | 2024-03-05 | Lookout, Inc. | Real-time mitigative security architecture |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070056035A1 (en) * | 2005-08-16 | 2007-03-08 | Drew Copley | Methods and systems for detection of forged computer files |
US20080010538A1 (en) * | 2006-06-27 | 2008-01-10 | Symantec Corporation | Detecting suspicious embedded malicious content in benign file formats |
US20130276119A1 (en) * | 2008-03-11 | 2013-10-17 | Jonathan L. Edwards | System, method, and computer program product for reacting to a detection of an attempt by a process that is unknown to control a process that is known |
US8607340B2 (en) * | 2009-07-21 | 2013-12-10 | Sophos Limited | Host intrusion prevention system using software and user behavior analysis |
US9536091B2 (en) * | 2013-06-24 | 2017-01-03 | Fireeye, Inc. | System and method for detecting time-bomb malware |
US9413774B1 (en) * | 2014-10-27 | 2016-08-09 | Palo Alto Networks, Inc. | Dynamic malware analysis of a URL using a browser executed in an instrumented virtual machine environment |
CN105678164B (zh) * | 2014-11-20 | 2018-08-14 | 华为技术有限公司 | 检测恶意软件的方法及装置 |
US10037333B2 (en) * | 2015-08-05 | 2018-07-31 | Facebook, Inc. | Systems and methods for determining content similarity |
US10706149B1 (en) * | 2015-09-30 | 2020-07-07 | Fireeye, Inc. | Detecting delayed activation malware using a primary controller and plural time controllers |
GB2554390B (en) * | 2016-09-23 | 2018-10-31 | 1E Ltd | Computer security profiling |
US10482248B2 (en) * | 2016-11-09 | 2019-11-19 | Cylance Inc. | Shellcode detection |
US10505953B2 (en) * | 2017-02-15 | 2019-12-10 | Empow Cyber Security Ltd. | Proactive prediction and mitigation of cyber-threats |
US11030308B2 (en) * | 2017-08-09 | 2021-06-08 | Nec Corporation | Inter-application dependency analysis for improving computer system threat detection |
GB2569302B (en) * | 2017-12-12 | 2022-05-25 | F Secure Corp | Probing and responding to computer network security breaches |
US11263307B2 (en) * | 2018-01-08 | 2022-03-01 | Digital Immunity Llc | Systems and methods for detecting and mitigating code injection attacks |
-
2019
- 2019-11-11 GB GB1916345.0A patent/GB2588822B/en active Active
-
2020
- 2020-11-05 JP JP2020185257A patent/JP2021077373A/ja active Pending
- 2020-11-05 EP EP20205869.9A patent/EP3819799B1/en active Active
- 2020-11-10 US US17/094,414 patent/US11811803B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US11811803B2 (en) | 2023-11-07 |
GB2588822B (en) | 2021-12-29 |
EP3819799A1 (en) | 2021-05-12 |
US20210144165A1 (en) | 2021-05-13 |
GB2588822A (en) | 2021-05-12 |
EP3819799B1 (en) | 2022-07-27 |
GB201916345D0 (en) | 2019-12-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10872151B1 (en) | System and method for triggering analysis of an object for malware in response to modification of that object | |
US10599846B2 (en) | Segregating executable files exhibiting network activity | |
US10678919B2 (en) | System and method for detecting and monitoring process creation | |
US9781144B1 (en) | Determining duplicate objects for malware analysis using environmental/context information | |
US9639693B2 (en) | Techniques for detecting a security vulnerability | |
US9774615B1 (en) | Techniques for detecting anomalous network traffic | |
CN109586282B (zh) | 一种电网未知威胁检测***及方法 | |
US10515213B2 (en) | Detecting malware by monitoring execution of a configured process | |
WO2013117148A1 (zh) | 检测远程入侵计算机行为的方法及*** | |
JP2019079492A (ja) | コンボリューションのポピュラリティに基づいて異常なイベントを検出するシステムおよび方法 | |
US10225284B1 (en) | Techniques of obfuscation for enterprise data center services | |
US11233823B1 (en) | Efficient implementation of honeypot devices to detect wide-scale network attacks | |
WO2015109912A1 (zh) | 缓冲区溢出攻击检测装置、方法和安全防护*** | |
CN110505246B (zh) | 客户端网络通讯检测方法、装置及存储介质 | |
JP7161021B2 (ja) | サイバーセキュリティ保護システムおよび関連する事前対応型の不審ドメイン警告システム | |
US10200374B1 (en) | Techniques for detecting malicious files | |
JP2021077373A (ja) | 脅威検出方法及びコンピュータ装置 | |
US9141795B2 (en) | Techniques for detecting malicious activity | |
JP7167290B2 (ja) | サイバーセキュリティ保護システムおよび関連する事前対応型の不審ドメイン警告システム | |
US20190026465A1 (en) | Malware Detection | |
US20180219884A1 (en) | Changing the deployment status of a pre-processor or analytic | |
TWI764618B (zh) | 網路資安威脅防護系統及相關的前攝性可疑網域示警系統 | |
CN114785542A (zh) | 一种木马检测方法、***、电子设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230906 |