JP7499262B2 - セキュリティシステムエンティティを動的に修正するための方法、システム、およびコンピュータ読取可能媒体 - Google Patents

セキュリティシステムエンティティを動的に修正するための方法、システム、およびコンピュータ読取可能媒体 Download PDF

Info

Publication number
JP7499262B2
JP7499262B2 JP2021544658A JP2021544658A JP7499262B2 JP 7499262 B2 JP7499262 B2 JP 7499262B2 JP 2021544658 A JP2021544658 A JP 2021544658A JP 2021544658 A JP2021544658 A JP 2021544658A JP 7499262 B2 JP7499262 B2 JP 7499262B2
Authority
JP
Japan
Prior art keywords
sse
security
security score
score
network traffic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021544658A
Other languages
English (en)
Other versions
JPWO2020176174A5 (ja
JP2022521669A (ja
Inventor
ゴパル,ラジャット
リウ,チョン
Original Assignee
オラクル・インターナショナル・コーポレイション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by オラクル・インターナショナル・コーポレイション filed Critical オラクル・インターナショナル・コーポレイション
Publication of JP2022521669A publication Critical patent/JP2022521669A/ja
Publication of JPWO2020176174A5 publication Critical patent/JPWO2020176174A5/ja
Application granted granted Critical
Publication of JP7499262B2 publication Critical patent/JP7499262B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

優先権主張
本願は、2019年2月26日に出願された米国特許出願連続番号第16/286,508号の優先権利益を主張する。当該特許出願の開示は、その全体がここに引用により援用される。
技術分野
ここに説明される主題は、企業ネットワークに関連付けられたセキュリティシステムを修正するためにネットワークトラフィックフローを動的に評価することに関する。より特定的には、ここに説明される主題は、セキュリティシステムエンティティを動的に修正するための方法、システム、およびコンピュータ読取可能媒体に関する。
背景
現在、企業ネットワーキングアプリケーションセキュリティシステムは、企業ネットワーク環境などの信頼されているネットワークを保護する任務を負うネットワーク機能またはアプリケーションサーバに対して実施されるように定義されたセキュリティポリシーに大いに依存する。とりわけ、セキュリティシステムをこのように使用することは、構成管理とログおよびイベント分析との利用を伴う。しかしながら、これらの手法はしばしば、セキュリティシステムデバイスが意図的に、偶然、または悪意を持って再構成されたインスタンスを区別できない。また、セキュリティシステムの構成の変化が意図的である場合でさえ、そのような変化がよりセキュアなシステムをもたらすか否かが必ずしも明らかであるとは限らない。
したがって、セキュリティシステムエンティティを動的に修正するための方法、システム、およびコンピュータ読取可能媒体の必要性が存在する。
概要
ここに説明される主題は、セキュリティシステムエンティティを動的に修正するための方法、システム、およびコンピュータ読取可能媒体を含む。1つの方法は、信頼されているネットワークをサポートするセキュリティシステムエンティティ(security system entity:SSE)のためのセキュリティスコアを、SSEのセキュリティポリシー構成に基づいて確立するステップを含む。方法はさらに、信頼されているネットワークに向けられた進入ネットワークトラフィックフローを、SSEによって受信するステップと、SSEのセキュリティポリシー構成と、SSEを介して信頼されているネットワークへの進入を許可された進入ネットワークトラフィックフローとに基づいて、SSEのための更新されたセキュリティスコアを求めるステップとを含む。方法はまた、更新されたセキュリティスコアが既定の量だけベースラインセキュリティスコアとは異なる場合に、SSEのセキュリティポリシー構成を改善するステップを含む。
セキュリティシステムエンティティを動的に修正するためのシステムは、少なくとも1つのプロセッサおよびメモリを含むセキュリティシステムエンティティ(SSE)を含む。システムはさらに、メモリに格納されたセキュリティ評価エンジン(security assessment engine:SAE)を含み、SAEは、少なくとも1つのプロセッサによって実行されると、信頼されているネットワークをサポートするSSEのためのベースラインセキュリティスコアを、SSEのセキュリティ構成に基づいて確立し、信頼されているネットワークに向けられた進入ネットワークトラフィックフローを、SSEを介して処理し、SSEのセキュリティ構成と、SSEを介して信頼されているネットワークへの進入を許可された進入ネットワークトラフィックフローとに基づいて、SSEのための更新されたセキュリティスコアを求め、更新されたセキュリティスコアが既定の量だけベースラインセキュリティスコアとは異なる場合に、SSEのセキュリティ構成を改善するために構成される。ここに使用されるように、ネットワークトラフィックフロー(たとえば、パケットフローまたはネットワークフロー)は、ソースコンピュータから宛先へ通信されるパケット(またはフレーム)のシーケンスを含み、宛先は、別のホスト、マルチキャストグループ、またはブロードキャストドメインであってもよい。いくつかの実施形態では、ネットワークトラフィックフローは、同様のソースインターネットプロトコル(Internet protocol:IP)アドレスおよびポート番号と、同様の宛先IPアドレスおよびポート番号とを含むことによって特徴付けられてもよい。
ここに説明される主題は、ハードウェア、ソフトウェア、ファームウェア、またはそれらの任意の組合せで実現されてもよい。そのため、ここに使用される「機能」、「ノード」、または「エンジン」という用語は、説明されている特徴を実現するためのハードウェアを指すが、それはまた、ソフトウェアおよび/またはファームウェアコンポーネントを含んでいてもよい。例示的な一実現化例では、ここに説明される主題は、コンピュータのプロセッサによって実行されると複数のステップを行なうようにコンピュータを制御するコンピュータ実行可能命令が格納された、非一時的コンピュータ読取可能媒体を使用して実現されてもよい。ここに説明される主題を実現するのに好適である例示的なコンピュータ読取可能媒体は、ディスクメモリデバイス、チップメモリデバイス、プログラマブルロジックデバイス、および特定用途向け集積回路などの非一時的コンピュータ読取可能媒体を含む。加えて、ここに説明される主題を実現するコンピュータ読取可能媒体は、単一のデバイスまたはコンピューティングプラットフォーム上に位置していてもよく、もしくは、複数のデバイスまたはコンピューティングプラットフォームにわたって分散されてもよい。
ここに説明される主題の一実施形態に従った、セキュリティシステムエンティティを動的に修正するための例示的なネットワークを示すブロック図である。 ここに説明される主題の一実施形態に従った例示的なセキュリティシステムエンティティを示すブロック図である。 ここに説明される主題の一実施形態に従った、セキュリティシステムエンティティを動的に修正するための例示的なプロセスを示すフローチャートである。 ここに説明される主題の一実施形態に従った、セキュリティシステムエンティティを動的に修正するための例示的なプロセスを示すフローチャートである。
詳細な説明
セキュリティシステムエンティティ(SSE)を動的に修正するための方法、システム、およびコンピュータ読取可能媒体が開示される。いくつかの実施形態では、開示される主題は、SSEのセキュリティスコアがいつ変化するかを検出するために、システムのセキュリティ構成および処理されたネットワークトラフィックフローの動的分析の使用を通してセキュリティシステムデバイス(たとえばSSE)のセキュリティスコアを生成することを含む。SSEの完全性またはセキュリティのレベルを評価するためのシステム監視に注目する代わりに、開示される主題は、SSEに入ってその後出る処理されたネットワークトラフィックフローに注目する。具体的には、開示されるSSEは、どのセキュリティ構成および/または基礎をなすセキュリティポリシーが、監視するSSEを横断して出ることを許可された観察されたネットワークトラフィックをもたらすかを判断するための統計的メカニズムを含む、セキュリティ評価エンジン(SAE)を採用する。加えて、開示されるSAEは、所望のネットワーク構成を保証することおよび特定のネットワークトラフィックフローを許可することに関してSSEがどれくらいセキュアであるかを示す、全体的セキュリティシステムスコアを計算するように構成される。とりわけ、開示されるSSEおよびSAEは、SSEによって採用された、以前に確立されたベースラインセキュリティ構成およびセキュリティポリシーによって見落とされた新たなトラフィックフロー入力に応答して、セキュリティシステム構成の変化および/またはセキュリティポリシーの変化を自動的に検出するために、ネットワークトラフィックフローを利用している。
ここに説明されるセキュリティスコアシステムは、多くの主要データ特性を利用する。とりわけ、ここに説明される以下の用語は、SSEによって処理されたネットワークトラフィックフローに関連付けられたいくつかの主要特性を定義するよう機能する。たとえば、ここに使用されるように、「ユーザ」とは、トラフィックデータを送信または消費する認証されたアイデンティティである。認証が関与しない状況では、ユーザは匿名であると考えられる。同様に、ここに説明されるような「ユーザデバイス」とは、ネットワーク上でネットワークトラフィックフローを送信または受信するためにユーザによって利用されるシステムである。いくつかの実施形態では、ユーザデバイスは、ハンドヘルドスマートフォン、GSMモバイルステーション、モバイルブロードバンドアダプタを装備したラップトップコンピュータ、または任意の他の同様のデバイスといった、データを受信または送信するためにモバイルサブスクライバエンドユーザによって直接利用されるあらゆるデバイスを含んでいてもよい。「ネットワーク」とは、ユーザが通信するために存在し、一般にインターネットプロトコル(IP)アドレス、プロトコル、ポート、および仮想ローカルエリアネットワーク(virtual local area network:VLAN)によって識別される、あらゆるネットワークシステムを含み得る。「アプリケーション」とは一般に、通信のためにユーザによって使用されるソフトウェアアプリケーションおよび/またはツールを指す。ここに使用されるように、「場所」とは、ネットワークトラフィックフローがどこで発生するかを特定する。場所はネットワーク情報に関連しているが、ネットワーク情報、アプリケーションデータ、ユーザ認証、および他のデータ内容から導き出された地理的場所に注目する。データとは、ネットワークトラフィックパケット(たとえばネットワークトラフィックフロー)で運ばれるリアルデータ内容を指す。
図1は、そのネットワークノード間でのネットワークトラフィックフロー(たとえば、パケットおよび/またはフレームトラフィック)の通信を容易にするように構成された例示的なネットワーク通信環境100を示すブロック図である。図1に示すように、ネットワーク通信環境100の上部は、信頼されていないドメインとして特徴付けられ得る複数の外部ネットワーク104を含む。対照的に、ネットワーク通信環境100の底部は、信頼されているドメイン102を含み、それは、信頼されているネットワークと、そのサービスアプリケーション108とを含んでいてもよい。ここに使用されるように、信頼されているネットワークとは、信頼されているネットワークおよび/または信頼されているドメインから発生する通信が、信頼できるおよび/またはセキュリティ侵害されていない(uncompromised)と大いに考えられるように、SSE106によってサポートされ保護されるネットワークである。とりわけ、信頼されているドメイン102および信頼されているネットワークは、セキュリティシステムエンティティ(SSE)106によって実現されるセキュアな境界110によって、外部ネットワーク104から論理的に隔てられる。
図1に示すように、SSE106は、セキュアな境界110と一致し得るネットワークエッジに位置付けられ、信頼されているドメイン102によってホストされる複数の信頼されているネットワークサービスアプリケーション108(たとえば企業ネットワークアプリケーション)にセキュリティサポートを提供する。いくつかの実施形態では、SSE106は、物理的セキュリティゲートウェイデバイス(たとえばセキュアインターネットゲートウェイ)、ファイアウォールデバイスなどを含んでいてもよい。同様に、SSE106は、ネットワークトラフィックセキュリティゲートウェイ機能、ファイアウォール機能、またはセキュアインターネットゲートウェイ機能を行なうように構成されたソフトウェア機能として具現化されてもよい。
図1に示すように、ネットワーク通信環境100は、SSE106に通信可能に接続されたシステム構成マネージャ112を含む。いくつかの実施形態では、システム構成マネージャ112は、SSE106にアクセスし、および/またはSSE106の動作を管理するためのユーザインターフェイス手段として、システムアドミニストレータによって使用され得る。システム構成マネージャ112はまた、信頼されているネットワークのために意図されたセキュリティポリシーを受信し、次に、SSE106によって使用可能である対応するセキュリティ構成を生成するように適合されてもよい。たとえば、企業システム(たとえば、信頼されているドメイン102)のためのセキュリティ対策を定義するセキュリティポリシーが、最初にシステム構成マネージャ112に供給され得る。システム構成マネージャ112は、セキュリティ構成を生成するように適合されてもよく、それは次に入力としてSSE106に提供される。いくつかの実施形態では、セキュリティ構成は、あるレベルのアクセスを指定するとともに、サービスアプリケーション108へのユーザのアクセスがSSE106によって許可される特定のユーザ、特定のユーザデバイス、特定のネットワークまたは場所、特定のアプリケーション、および/または特定の時間周期のために調節され得る、さまざまなシステム構成パラメータまたはアイテムを含んでいてもよい。セキュリティ構成入力はまた、内容制御に関する局面またはパラメータを特定することができる。特に、内容制御構成パラメータは、特定のネットワークアドレス(たとえば、関連付けられたプロトコル/サービス)と、構成されたSSE106を横断する(たとえば、入って出る)ことができるアプリケーションデータとを特定することができる。最後に、セキュリティ構成入力は、帯域幅管理およびサービス品質(QoS)を指定することによって、特定のレベルのサービス利用可能性を特定することができ、それにより、SSE106を通してパケットを通信するユーザにサービス利用可能性を保証する。
図2は、ここに説明される主題の一実施形態に従った例示的なセキュリティシステムエンティティを示すブロック図である。図2に示すように、SSE106は、中央処理装置(たとえば、シングルコアまたは多重処理コア)、マイクロプロセッサ、マイクロコントローラ、ネットワークプロセッサ、特定用途向け集積回路(application-specific integrated circuit:ASIC)などといった、1つ以上のプロセッサ202を含んでいてもよい。SSE106はまた、メモリ204を含んでいてもよい。メモリ204は、ランダムアクセスメモリ(random access memory:RAM)、フラッシュメモリ、磁気ディスクストレージドライブなどを含んでいてもよい。いくつかの実施形態では、メモリ204は、セキュリティ評価エンジン(SAE)206と、既知の脅威インテリジェンスデータベース210とを格納するように構成されてもよい。とりわけ、メモリ204に格納されたSAE206は、1つ以上のプロセッサ202によって実行されると、SSE106のためのさまざまな監視、管理、および/または修正機能性を行なうことができる。
いくつかの実施形態では、SAE206は、SSE106によって受信された広範な挙動データ信号を調べるために採用され得るデータ分析技術を含む。SAE206はまた、攻撃ツール、攻撃手法、攻撃手順、および攻撃シグネチャの記録を含む既知の脅威インテリジェンスデータベース210へのアクセスを有していてもよい。脅威インテリジェンスデータベース210にはまた、ホストIPアドレスまたは他のネットワーク場所の評判がプロビジョニングされ得る。いくつかの実施形態では、SAE206は、脅威インテリジェンスデータベース210に保持されたデータを、ネットワークトラフィック特性とともに利用して、SSE106を横断するネットワークトラフィックフローのセキュリティステータスを評価する。
SSE106がネットワーク通信環境100で構成され動作した後で、SSE106は、さまざまなタイプのネットワークパケットトラフィックをリアルタイムで処理することができる。たとえば、SSE106によって受信されたリアルタイムのネットワークトラフィックフローはその後、許可またはブロックされるネットワークトラフィックのタイプに関するリアルデータ知識および/またはインテリジェンスを生成するために使用される。また、SSE106は、帯域幅消費、提供されるアプリケーションサービスのためのサービス品質(QoS)などに関するリアルデータを生成するように適合され得る。機械学習インテリジェンスを使用して、全体的な動的セキュリティスコアが、SSM208および/またはSAE206によって、真のトラフィック処理結果を用いて生成されるであろう。
いくつかの実施形態では、SAE206は、静的セキュリティスコアおよび動的セキュリティスコアの双方を含む、SSE106のための「全体的セキュリティスコア」を求めるように構成される。たとえば、SAE206は最初に、SSE106のセキュリティ構成(および/または基礎をなすセキュリティポリシー)を分析することによって、静的セキュリティスコアを求めるように適合され得る。いくつかの実施形態では、SAE206は、SSE106上にプロビジョニングされたセキュリティ構成に基づくとともに、横断するネットワークトラフィックフローに対してセキュリティ構成ポリシー分析を実行する(たとえば、SSE106によって受信されたどのネットワークトラフィックフローが、SSE106を出ることを許可されるかを判断する)ために使用され得る、機能(たとえば「F(X)」)を含む。たとえば、SAE206によって実行されるセキュリティ構成ポリシー分析は、信頼されていないドメインからSSE106によって受信されたネットワークトラフィックフロー(すなわち、NETin)と、SSE106を介して信頼されているドメイン102への進入を許可された処理されたネットワークトラフィックフロー(たとえば、F(NETin))との関係を判断することができる。同様に、SAE206は、信頼されているドメイン102からSSE106によって受信されたネットワークトラフィックフロー(たとえば、NETout)と、SSE106を出ることを許可された処理されたネットワークトラフィックフロー(たとえば、F(NETout))との関係を、同じように計算することができる。たとえば、SAE206は、i)NETinとF(NETin)との間、および、ii)NEToutとF(NETout)との間にそれぞれ存在する差または「開き」と、SSE106に関連付けられた静的セキュリティスコアに対するその効果とを判断することができる。とりわけ、SSE106によって受信され許可されたネットワークトラフィックフロー間に存在する開き(たとえば、F(x)<x)が大きいほど、SAE206によって規定される静的セキュリティスコアがより大きくなる。いくつかの実施形態では、静的スコアは、SAE206によって、静的スコア=100-[(F(NETin)/NETin)100]のように求められ得る。
いくつかの実施形態では、SAE206は、あらゆるセキュリティ脆弱性を評価するために、SSE106のシステムカーネルおよびネットワーク層ステータスを調査するように構成され得る。SAE206はまた、構成された暗号、または任意の露出面インターフェイスについてチェックするように適合される。これらのチェックを実行した後で、SAE206は、セキュリティスコアマネージャ(SSM)208を利用して、SSE106の現在の構成およびシステムセットアップのための静的セキュリティスコアを生成する。いくつかの実施形態では、SSM208は、SSE106の全体的セキュリティスコア、静的セキュリティスコア、および/または動的セキュリティスコアを計算するように構成され得る、SAE206のコンポーネントである。
たとえば、SAE206は、(システム構成マネージャ112からの入力としてSSE106に提供された)セキュリティシステム構成を受信し、次に、さまざまな構成パラメータを評価して、SSE106のための関連付けられた静的セキュリティスコアを求めるように構成される。たとえば、SAE206は、i)システムカーネルセキュリティステータス、ii)ネットワークセットアップ、iii)露出されたサービスインターフェイスのセキュリティパラメータ、iv)システムリソース制御、ならびに、v)セキュリティ暗号およびアルゴリズムを含むもののそれらに限定されない、SSE106のシステム構成パラメータを調査するように構成され得る。SAE206はまた、脅威/トラフィックパターンインテリジェンスと、許可されたネットワークトラフィックフロー体積および持続時間とに基づいて、ネットワークトラフィックフロー(すなわち、SSE106を通って横断することを許可されたトラフィック)を監視するように適合され得る。とりわけ、SAE206は、SSE106のための静的セキュリティスコアを生成するために、これらのパラメータを処理するように構成され得る。いくつかの実施形態では、静的セキュリティスコアは、SAE206によって、静的セキュリティスコア=正規化された(SSEソフトウェア分析スコア+SSE構成分析スコア)のように求められ得る。
いくつかの実施形態では、SAE206は、SSE106の構成セキュリティの表示、およびSSE106へのセキュリティ構成変化を動的に監視するための手段の双方として機能する静的セキュリティスコアを作成する。SAE206は、静的セキュリティスコアを導き出すために、セキュリティツールおよびプロトコル分析とセキュリティポリシーフィルター機能分析とを利用するように構成され得る。たとえば、SSE106が、HTTPSで構成されていないウェブインターフェイスを利用する場合、SAE206は、静的セキュリティスコアを減少させて、HTTPSの使用がSSE106のために勧められることを示すように構成されてもよい。同様に、HTTPSがSSE106上で構成される場合、SAE206はまた、弱いTLSプロトコル(たとえば、TLS1.0またはTLS1.1)がSSE106によって利用されている場合に静的セキュリティスコアを減少させてもよい。そのようなシナリオでは、SAE206は、TLS1.2プロトコルのための勧告を発行することによって、この欠陥を改善するよう試みることができる。また、SSE106のセキュリティシステム構成に新たな構成変化が生じた場合、SAE206は、静的セキュリティスコアを再計算して、SSE106がよりセキュアになった(または、それに代えて、よりセキュアでなくなった)という、システムオペレータへのアラートを発行することができる。SAE206は、システムセキュリティレベルの検出された変化の具体的な理由を、関連する勧告とともに提供するように適合されてもよい。いくつかの実施形態では、SAE206(および/またはSSM208)は、その静的セキュリティ構成分析に基づいて、「0」~「100」の範囲に及ぶ静的セキュリティスコアを生成するように構成される。
上述のように、SAE206は、SSE106の静的セキュリティスコアの少なくとも一部を計算するための手段として、「セキュリティポリシーフィルター機能分析」を行なうことができる。とりわけ、SSE106上に構成されたあらゆるセキュリティポリシーは、限定的な機能として特徴付けられ得る。たとえば、これらのセキュリティポリシーは、SSE106によって受信され識別されたあるネットワークトラフィックフローの通過を拒否するように設計され得る。残りのトラフィックフローは、SSE106によって、信頼されているドメインへの進入を許可される。たとえば、「U」が、SSE106によって受信されたネットワークトラフィックのすべてを表わす場合、および、「A」が、プロビジョニングされたセキュリティ構成によって、SSE106を通過することを許可されたネットワークトラフィックを表わす場合、SAE206は、[(セキュリティツールおよびプロトコルスコア+(100-100A/U)]/2)と等しい全体的な静的セキュリティスコアを求めるように構成され得る。とりわけ、「セキュリティツールおよびプロトコルスコア」は、上述されたようなセキュリティツールおよびプロトコル分析から計算された、セキュリティスコアの部分である。
上述のように、全体的セキュリティスコアはさらに、動的セキュリティスコアの計算を含む。いくつかの実施形態では、SAE206は、SSE106によって受信された真の動的トラフィックに基づく2つの別個の動的セキュリティスコアを生成するように構成される。とりわけ、SAE206は、(たとえば外部ネットワーク104における)信頼されていないソースによって生成され、SSE106によって受信された信頼されていない進入パケットトラフィックフローに基づく第1の動的セキュリティスコアを生成してもよい。また、SSM208は、信頼されているドメイン102(たとえば、サポートされた信頼されている企業ネットワーク)内の信頼されているソースからSSE106によって受信された信頼されている進入パケットトラフィックフローに基づく第2の動的セキュリティスコアを生成してもよい。第1および第2の動的セキュリティスコアを計算するためにSSM208を使用した後で、SAE206(および/またはSSM208)は、SSE106のための単一の全体的な動的セキュリティスコアを計算して報告するために、これら2つの動的セキュリティスコアをともに組合せてもよい。
いくつかの実施形態では、SAE206は、i)攻撃シグネチャを有するパケット、ii)攻撃ツールを有するパケット、iii)マルウェアパターンを呈示するパケット、iv)偵察スキャンパケット、v)繰り返す無効パケット、vi)侵入攻撃パケット、vii)リプレイパケット、viii)認証失敗パケット、および、ix)なりすましパケットを含むもののそれらに限定されない、進入トラフィックフローパケット(たとえば、受信されたネットワークトラフィックフローパケットに含まれるパラメータ)を調査することによって、第1の動的セキュリティスコアを求めるために、SSM208を使用するように構成され得る。とりわけ、SAE206は、第1の動的セキュリティスコアを求めるために、信頼されていないソースからの進入ネットワークトラフィックフロー(たとえば、信頼されていないドメインからの着信パケットトラフィック)を処理し、SSM208を実行するように構成され得る。いくつかの実施形態では、SAE206は、(以下に説明されるような)トラフィック多様性指数を導き出すために、受信された進入ネットワークトラフィックフローの抽象化層の各々を検査することによって、第1の動的セキュリティスコアを求めるように構成される。
信頼されていないソースから開始されたトラフィックのためのこの第1の動的セキュリティスコアを求めるためにSSM208を使用することに加えて、SAE206は、信頼されているドメインにおけるソースから発生するネットワークトラフィックパケットに含まれるパケットおよび/またはパラメータを同様に調査することによって、第2の動的セキュリティスコアを求めるように構成され得る。たとえば、ネットワークトラフィックフローが、信頼されているドメインから発生する場合、トラフィックフローは、疑わしいおよび/または悪意がある可能性が低いとして指定されてもよい。しかしながら、信頼されているドメインから発生するネットワークトラフィックが必ずしも、トラフィックフローが安全であることを保証するとは限らない。たとえば、疑わしいネットワークトラフィックが、悪意のあるインサイダー(すなわち、信頼されているドメイン102内で操作するユーザ)から送信されるおそれがある。それに代えて、信頼されているドメイン102における企業ネットワークが、セキュリティ侵害されて攻撃ポイントとして使用され、またはボットネットとして機能するおそれがある。他の実施形態では、SAE206は、信頼されているドメインで発生するトラフィックのための追加のセキュリティを提供するように構成されてもよい。たとえば、SAE206は、データ保護またはデータ損失防止(data loss prevention:DLP)のために極秘データを調べるように適合され得る。
いくつかの実施形態では、SAE206は、i)攻撃シグネチャ、ii)攻撃ツール、iii)攻撃ボットネット、iv)極秘データ、v)疑わしいDNSパケット、vi)無効ネットワークからのパケット、vii)疑わしい迷惑パケット、および、vii)保護が弱いパケットを含むもののそれらに限定されない、退出ネットワークトラフィックフローパケット(すなわち、SSEを介して信頼されているドメインから信頼されていないドメインへ流れるトラフィック)に含まれるパケットおよび/またはパラメータを調査することによって、第2の動的セキュリティスコアを求めるように構成され得る。とりわけ、SAE206は、第2の動的セキュリティスコアを求めるために、信頼されているソースからの退出ネットワークトラフィックフロー(たとえば、SSEを介した、信頼されているドメインから信頼されていないドメインへのパケットトラフィック)を処理するように構成され得る。いくつかの実施形態では、SAE206は、第2の動的セキュリティスコアを求めるために、これらのパラメータの各々に等しい重みを割り当てることができる。いくつかの実施形態では、SAE206は、(以下に説明されるような)トラフィック多様性指数を導き出すために、受信された進入ネットワークトラフィックフローの抽象化層の各々を検査することによって、第2の動的セキュリティスコアを求めるように構成される。
いくつかの実施形態では、SAE206(および/またはSSM208)は次に、SSE106のための単一の全体的な動的セキュリティスコアを求めるために、SSM208によって求められた第1および第2の動的セキュリティスコアを組合せることができる。SSE106によって受信された動的パケットトラフィックの性質により、SAE206は、既定の時間間隔に従って動的セキュリティスコアを周期的に更新するように構成されてもよい。とりわけ、これらの既定の時間間隔は、SAE206が、ネットワークパケットトラフィック調査の管理可能で頻繁な時間周期に基づいて全体的な動的セキュリティスコアを確認することを可能にするように、システムアドミニストレータによって確立され得る。たとえば、SAE206は、複数の反復する既定の時間間隔を含む指定された長さの時間の監視セッション(たとえば、繰り返す既定の5分の時間間隔を含む10時間のセッション)を確立するように構成され得る。
ベースライン動的セキュリティスコアを確立した後で、SAE206は、SSE106のシステムセキュリティを高めるために、周期的に計算される動的セキュリティスコアを頻繁な比較のために利用するように構成され得る。たとえば、SAE206は、SSE106によって受信されたネットワークトラフィックフローをリアルタイムで分析することができる。既定の時間間隔が満了した後で、SAE206は、SSE106を通り抜けるネットワークトラフィックのタイプのための多様性指数(diversity index:DI)を計算するために、SSM208を使用するように構成される。計算された動的セキュリティスコアと、ベースライン動的セキュリティスコアとのその比較とに基づいて、SAE206は、SSE106のセキュリティ構成を評価し、(必要であれば)改善することができる。たとえば、SAE206による多様性指数の急増の検出は、動的セキュリティスコアの減少をもたらし、それにより、SSE106があまりセキュアではないことを示すであろう。そのため、SAE206は、測定された多様性指数の増加を引き起こしている疑わしいネットワークトラフィック(たとえば、あまり知られていないネットワークトラフィック)を遅らせるかまたはドロップすることによって多様性指数を減少させるためのより限定的なルールを実現することができる。とりわけ、SAE206によって行なわれるこの改善措置は、現在のネットワーク環境における多くの分散型サービス妨害(distributed denial-of-service:DDOS)攻撃を防止することができる。
いくつかの実施形態では、SAE206および/またはSSM208は、SSE106のためのトラフィック多様性指数(DI)を、動的セキュリティスコアの計算への最初のステップとして計算するように構成され得る。ここに使用されるように、多様性指数は、外部ネットワークインターフェイス(たとえば、信頼されていないドメイン側)および内部ネットワークインターフェイス(たとえば、信頼されているたドメイン側)上でSSE106によって受信されたネットワークトラフィックフローを観察することによって測定される動的セキュリティスコアの一部である。とりわけ、SAE206によるそのような監視および計算は、システムアドミニストレータによって既定された特定の時間間隔で連続的に実行される。たとえば、既定の時間間隔は、SSE106の利用可能な計算およびストレージリソースに基づいて、できるだけ小さくなり得る。いくつかの実施形態では、SAE206は、たとえば開放型システム間相互接続(Open Systems Interconnection:OSI)モデルスタックによって定義されるように、トラフィックをさまざまなネットワーク抽象化層にマッピングすることによって、受信されたネットワークトラフィックフローを分類する。いくつかの実施形態では、SAE206は、SSE106を横断するネットワークトラフィックフローに関連する媒体アクセス制御(media access control:MAC)アドレス、IPアドレス、ポート/プロトコル、セッション、および/またはアプリケーションを評価するように構成され得る。いくつかの実施形態では、SAE206はまた、ネットワークトラフィックフローを発信ユーザ、発信時間、および発信場所にマッピングすることができる(判明している場合)。
例示的な一例として、SAE206は、SSE106を横断するネットワークトラフィックフローの各ネットワーク抽象化層に存在する(ネットワークトラフィックフロー内の)さまざまなネットワークトラフィックフローパラメータの特定のカウント値を計算するために使用され得る(たとえば、システムアドミニストレータによって既定された)時間間隔または時間周期を利用することができる。たとえば、SAE206は、異なるソースMACアドレス(たとえば、SSE106によって受信されたネットワークトラフィックフロー入力において示されたMACアドレス)の数と、異なる宛先MACアドレス(たとえば、SSE106から送信されたネットワークトラフィックフロー出力において示されたMACアドレス)の数とを評価することができる。SAE206は、既定の時間間隔中にSSE106を横断するネットワークトラフィックフローにおいて検出されたすべてのこれらのソースおよび宛先MACアドレスの合計を求める。
この同じ既定の時間間隔中に(すなわち、MACアドレス総数が求められた時に)、SAE206はまた、SSE106を横断するネットワークトラフィックフローに含まれる異なるソースIPアドレスの数と宛先IPアドレスの数とを求めることに取りかかる。とりわけ、SAE206は、既定の時間間隔中にこれらのIPアドレスの合計を求める。
同様に、トランスポート層(たとえばポート/プロトコル層)で、SAE206は、同じ前述の既定の時間間隔中にネットワークトラフィックを通信するためにSSE106によって使用される異なるプロトコルおよび異なるポート(たとえばソースポートおよび宛先ポート)の数を求めるように構成される。
セッション層で、SAE206は、既定の時間周期中にSSE106によって扱われているライブセッションの合計を求める。たとえば、SAE206は、既定の時間間隔中に信頼されているドメインから発生しているライブセッションの数と、信頼されていないドメインから発生しているライブセッションの数とを計算するであろう。
アプリケーション層で、SAE206は、既定の時間間隔中にSSE106を横断するネットワークトラフィックフローによって使用される、および/または当該ネットワークトラフィックフローに対応する異なるアプリケーションタイプの数の合計を求める。
ユーザへのアプリケーションの関連付けが確立され得る場合、SAE206は、既定の時間間隔中にSSE106を横断するネットワークトラフィックフローに関連付けられた異なるユーザの合計を求める。
場所へのネットワークデータのマッピングが確立され得る場合、SAE206は、既定の時間間隔中にネットワークトラフィックフローがSSE106によってそこから受信される発生場所の総数を求める。
SAE206が、特定の既定の時間周期の間、上述されたように抽象化層の各々で合計を求めた後で、SAE206は、新たな既定の時間間隔を開始するように構成されてもよい。たとえば、SAE206は、参考のために、および、複数の繰り返される既定の時間間隔の各々を求めるために、SSE106でのネットワーク時間と同期するように構成される。とりわけ、SAE206は、SSE106の外部ネットワークインターフェイスおよび内部ネットワークインターフェイスの双方を横断するネットワークトラフィックデータの既定の時間間隔の各々で、スナップショットを連続的にとるように適合される。上述のように、SAE206は、SSE106の外部および内部ネットワークインターフェイスでネットワークトラフィックデータのスナップショットを使用して多様性指数を計算するように構成される。具体的には、各ネットワーク層についての別個の多様性スコア「D」が、SSM208および/またはSAE206によって計算される。いくつかの実施形態では、各抽象化層についての多様性指数は、以下のように計算され得る。
Figure 0007499262000001
とりわけ、変数「n」および変数「N」の各々は、評価されているネットワーク層に依存するエンティティの異なる数を表わす。たとえば、MAC層については、「n」は、SSEによって観察されたMACアドレスの総数を表わすことができ、一方、「N」は、可能なMACアドレスの総数を表わす。対照的に、トランスポート層については、「n」は、SSEで観察されたIPアドレスの総数を表わすことができ、一方、「N」は、可能なIPアドレスの総数を表わす。残りの層に存在するデータ点のためのnおよびNの値の決定についても、同様である。
各層について多様性指数「D」を計算した後で、SAE206は、正規化された個々の多様性指数を合計し、対応する層の総数で除算することによって、累積多様性指数(cumulative diversity index:CDI)を計算する。いくつかの実施形態では、SAE206は、累積多様性指数を計算するために、以下の式を使用することができる。
CDI=[正規化された(D)+正規化された(D)+…+正規化された(D)]/M
とりわけ、変数「M」は、SAE206によって計算される、正規化された多様性指数の数を指す。また、多様性指数は、以下のように計算され得る動的セキュリティスコアに反比例する。
動的セキュリティスコア=100-累積DI
いくつかの実施形態では、SAE206は、最終的なセキュリティスコアを生成するように構成される。すなわち、セキュリティ構成で構成されるデプロイされた/動作可能なSSE106のために、1対のセキュリティスコアが、SAE206によって生成される。特に、SAE206は、静的セキュリティスコアと、(上述の第1および第2の動的セキュリティスコアを含む)全体的な動的セキュリティスコアとを生成する。いくつかの実施形態では、静的セキュリティスコアおよび全体的な動的セキュリティスコアの各々は、「0」と「100」との間で数量化されるであろう。ここで、「0」スコアは保護がないことを表わし、「100」スコアは完全な/完璧な保護を表わす。SAE206が、SSE106のセキュリティ構成に生じた変化を検出すると、SAE206は、SSE106がよりセキュアになっていること、またはよりセキュアでなくなっていることを示すレポートを生成するように適合される。
静的セキュリティスコアが特定のしきい値未満であるとSAE206が検出した場合、SAE206は、SSE106がセキュアでない態様で静的に構成されていると判断する。それに代えて、全体的な動的セキュリティスコアが特定のしきい値を下回り、ひいては、全体的セキュリティスコアの欠陥に寄与しているとSAE206が判断した場合、SAE206は、SSE106が攻撃を受けやすいと判断する。全体的セキュリティスコアが予め定められたしきい値を下回ると、SAE206は、SSE106のための適切なセキュリティステータスを維持するために、よりセキュアな構成が必要とされると判断する。
いくつかの実施形態では、SAE206は、セキュリティ自己保護モードがイネーブルになると自動セキュリティ構成適合プロセスを実行するように構成され得る。たとえば、SAE206は、SSEのセキュリティスコアの検出された劣化を取り消すために、適切な自動構成変更を実行するように構成され得る。とりわけ、ある検出されたネットワークトラフィックパターンに起因してセキュリティスコアが低下していることをSAE206が検出した場合、SAE206は、新たなデータトラフィックパターンがブロックされるようにセキュリティ構成ポリシーを自動的に変更することによって、セキュリティスコアを通常に戻るように増加させるよう試みることができる。
SAE206はまた、セキュリティスコアを低下させるネットワークデータトラフィックパターンをログすることを含むセキュリティロギングおよび監査機能を実行するように構成され得る。これらのネットワークデータトラフィックパターンは、SSE106のデータベース210に格納され得る。SAE206はまた、それがSSE106のセキュリティを維持するかまたは高めるために取る任意の動的構成変更措置を記録することができる。これらのネットワークトラフィックパターンは、これらのトラフィックパターンを悪意があるかまたは良性であるとして識別することを人間の入力が支援する、教師あり学習システムの一部として作られ得る。
いくつかの実施形態では、SAE206は、動的セキュリティスコアを求めるように構成される。とりわけ、SAE206は、異なる抽象化層で提示されたトラフィック特性を評価することによってトラフィック多様性指数値を求めるように構成される。たとえばOSIモデルに従ったインターネットプロトコル通信は、物理層、データリンク層、ネットワーク層、トランスポート層、セッション層、プレゼンテーション層、およびアプリケーション層という7つの層から構成される。物理層を除き、SAE206は、他の6つの層の各々から得られた情報を、SSE106によって監視されたネットワークトラフィックに関連付けられたトラフィック特性とともに利用する。特に、多様性指数値がより大きくなるにつれて、SSE106を横断することを許可されるネットワークトラフィックのタイプがより広範になる。さらに、多様性指数値がより大きくなるにつれて、SSE106はよりセキュアでなくなる。とりわけ、トラフィック多様性指数は、動的セキュリティスコアと逆相関する(たとえば、動的セキュリティスコア=100-多様性指数値)。加えて、SAE206は、システムのセキュリティを評価するために多様性指数の急な増加または減少について監視するように構成され得る。たとえば、多様性指数の急増は、SSEが攻撃を受けているかまたは弱点についての偵察スキャンを受けていることを示す信頼できる表示であり得る。多様性指数スコアのそのような増加は、動的セキュリティスコアの下落をもたらし、それにより、適切な改善措置をとるようにSSEおよび/またはユーザに知らせるであろう。いくつかの実施形態では、SAE206は、以前に承認されたセキュリティ構成状態にSSEを戻す改善措置を開始してもよい。他の実施形態では、SAE206は、i)SSEソフトウェアの自動パッチングを実行する、ii)外部ネットワークへのSSEの接続をディスエーブルにする、iii)その後のフォレンジック分析のためのネットワークトラフィック記録を開始する、iv)あるタイプのネットワークトラフィックフローを自動ブロックする、といったことを行なうように構成され得る。たとえば、システム(たとえば、信頼されているドメインに位置付けられたシステム)の多くはおそらく、セキュリティ侵害され、DDOS攻撃のためのボットネット(たとえば、ボットネットDNS DDOS攻撃)の一部として使用されるおそれがある。このシナリオでは、エンジンは、DNS要求のための多様性指数(DI)の急増を検出し、動的セキュリティスコアを下落させるであろう。SAE206によって実行される自動改善アクションは、これらのDNS要求をブロックするように構成される。また、信頼されているドメインに位置するデータベースは、信頼されているドメインから大量のユーザ情報が送信されるようにセキュリティ侵害されるおそれがある。そのようなシナリオでは、エンジンは、(ネットワークトラフィックフロー処理の)この層のためのDIの急増を検出するであろう。(たとえば、D1の値が既定のしきい値を上回る)急増を検出した後で、SAE206は次に、ネットワークトラフィックフローのパケットが信頼されているネットワークを出ることをブロックする自動改善措置(たとえばデータ損失防止)を実行してもよい。
図3Aおよび図3Bは、ここに説明される主題の一実施形態に従った、セキュリティシステムエンティティを動的に修正するための例示的なプロセスまたは方法300を示すフローチャートである。いくつかの実施形態では、図3Aおよび図3Bに示す方法300は、ハードウェアプロセッサによって実行されるとブロック302~320のうちの1つ以上を行なう、メモリに格納されたアルゴリズムである。
ブロック302で、セキュリティシステム構成が受信される。いくつかの実施形態では、SSEは、システム構成マネージャに通信可能に接続され、システム構成マネージャからセキュリティシステム構成を受信する。たとえば、システムアドミニストレータは、システム構成マネージャによってセキュリティシステム構成に変換される複数のセキュリティポリシーを入力してもよい。結果として生じるセキュリティシステム構成は次に、SSEに送られる。
ブロック304で、SSEは、受信されたセキュリティシステム構成に従って構成される。いくつかの実施形態では、SSEは、セキュリティシステム構成を入力として受信し、その基礎をなすハードウェアおよびソフトウェアコンポーネントを、セキュリティシステム構成で特定されたセキュリティ構成パラメータに従って構成する。
ブロック306で、SAEは、SSEのためのベースライン静的セキュリティスコアを求める。いくつかの実施形態では、SAEは、実現されたセキュリティシステム構成に由来する、SSEのシステムカーネル、任意の構成された暗号、および露出されたサービスインターフェイス(たとえば、外部ネットワークインターフェイスおよび内部ネットワークインターフェイス)を調査するように構成され得る。SAEはまた、どのネットワークトラフィックフローがSSEで許可されるかまたはブロックされるかをチェックするために、トラフィックパターンインテリジェンスを利用することができる。結果として生じる構成を処理した後で、SAEは、ベースライン静的セキュリティスコアを生成する。
ブロック308で、SSEはデプロイされ、ネットワークトラフィックフローを受信し始める。いくつかの実施形態では、SSEはSAEを使用して、静的構成を監視し、外部ネットワークインターフェイスおよび内部ネットワークインターフェイスを介してSSEを横断するネットワークトラフィックフローを分析することを開始する。SSEが(たとえばシステムアドミニストレータによって定義されたような)期間デプロイされた後で、ネットワークトラフィックフローがSSEのインターフェイス(たとえば、SSEから信頼されているネットワークへのネットワークトラフィックフローを許可する内部ネットワークインターフェイス、および、SSEから信頼されているネットワークへのネットワークトラフィックフローを許可する外部ネットワークインターフェイス)を出るのを監視することによって、ベースライン動的セキュリティスコアが求められ得る。いくつかの実施形態では、ベースラインセキュリティスコアは、SSEを介して信頼されていないネットワークから信頼されているネットワークへ発生するネットワークトラフィックフローのみを使用して求められる。他の実施形態では、ベースライン動的セキュリティスコアは、SSEを介して信頼されているネットワークから信頼されていないネットワークへ通信されるネットワークトラフィックフロー(すなわち、信頼されているネットワークから受信され、SSEを横断することを許可されたネットワークトラフィックフロー)に基づく。
ブロック310で、SAEは、SSEを通って横断することを許可されたネットワークトラフィックフローの抽象化層の各々を検査する。予め定められた時間周期の後で、SAEは、ベースライン動的セキュリティスコアを求めるように構成され得る。いくつかの実施形態では、SAEは、(たとえば内部ネットワークインターフェイスで)SSEを介して信頼されているドメインに入るネットワークトラフィックフロー、(たとえば外部ネットワークインターフェイスで)SSEを介して信頼されているドメインを出て信頼されていないドメインに入るネットワークトラフィックフロー、またはそれら双方を検査する。特に、SAEは、MAC層、IP層、ネットワーク層、セッション層、アプリケーション層、およびユーザ層の各々で、セキュリティ構成によって特定されるような構成アイテムについて、ネットワークトラフィックフローを検査する。SAEはさらに、ネットワークトラフィックフローが発生した場所を判断するために場所層でネットワークトラフィックフローを検査するとともに、現在の時間についてネットワークトラフィックフローを検査するように構成される。
ブロック312で、SAEは、許可されたネットワークトラフィックフローに基づいて、累積トラフィック多様性指数を計算する。いくつかの実施形態では、SAEは、各ネットワーク層について別個の多様性スコアを求めることによって多様性指数を計算する。複数の多様性指数を求めた後で、SAEおよび/またはそのSSCは、複数の個々の多様性指数の各々を正規化し、次に、(上述のような)累積多様性指数を計算する。
ブロック314で、SAEおよび/またはSSCは、更新された動的セキュリティスコアを計算する。いくつかの実施形態では、SAEおよび/またはSSCは、計算された累積多様性指数を使用して、更新された動的セキュリティスコアを計算するように構成され得る。とりわけ、多様性指数は、SAEおよび/またはSSCによって「100」と累積多様性指数との差として計算され得る動的セキュリティスコア(たとえば、動的セキュリティスコア=100-CDI)に反比例する。いくつかの実施形態では、更新された動的セキュリティスコアは、SSEを介して信頼されていないネットワークから信頼されているネットワークへ発生するネットワークトラフィックフローのみを使用して求められる。他の実施形態では、更新された動的セキュリティスコアはまた、SSEを介して信頼されているネットワークから信頼されていないネットワークへ通信されるネットワークトラフィックフロー(すなわち、信頼されているネットワークから受信され、SSEを横断することを許可されたネットワークトラフィックフロー)に基づく。
ブロック316で、SAEは、以前に計算されたベースラインセキュリティスコア(すなわち、SSEのためのベースライン全体的セキュリティスコア)を、更新されたセキュリティスコア(すなわち、SSEのための更新された全体的セキュリティスコア)と比較するように構成される。更新されたセキュリティスコアがよりセキュアであるかまたはベースラインセキュリティスコアと同じセキュリティレベルであるとSAEが判断した場合、方法300はブロック318に進み、その場合、SSEは正常に機能し続ける(たとえばブロック320)。その他の場合、メッセージはブロック322に続く。他の実施形態では、更新されたセキュリティスコアはまた、SSEを介して信頼されているネットワークから信頼されていないネットワークへ通信されるネットワークトラフィックフロー(すなわち、信頼されているネットワークから受信され、SSEを横断することを許可されたネットワークトラフィックフロー)に基づく。
いくつかの実施形態では、SAEは、よりきめ細かいレベルで機能でき、以前に計算されたベースライン静的セキュリティスコアを、ブロック314で求められた(ブロック314で求められるような)更新された静的セキュリティスコアと比較するように構成される。さらに、SAEはまた、以前に計算されたベースライン動的セキュリティスコアを、更新された動的セキュリティスコアと比較するように構成される。SAEが、i)更新された静的セキュリティスコアがよりセキュアであるかまたはベースライン静的セキュリティスコアと同じセキュリティレベルであると判断した場合、または、ii)更新された動的セキュリティスコアがよりセキュアであるかまたはベースライン動的セキュリティスコアと同じセキュリティレベルであると判断した場合、正常に機能し続ける。その他の場合、方法300はブロックに続く。
ブロック322で、SAEは、更新されたセキュリティスコア(たとえば、更新された全体的セキュリティスコア、更新された静的セキュリティスコア、および/または更新された動的セキュリティスコア)が、既定のしきい値量だけ、それぞれのベースラインセキュリティスコアとは異なる場合に、更新されたセキュリティスコアがよりセキュアでないと判断し、次に、SSEのセキュリティ構成を改善するための対策を取る。たとえば、更新されたセキュリティスコアが単にベースラインセキュリティスコア未満である場合、もしくは、2つのセキュリティスコア間の差が既定のしきい値または範囲を上回った場合に、SAEはこの判断を下す。いくつかの実施形態では、SAEはシステム管理者に知らせてもよく、および/または別の改善措置を取ってもよい。
ここに説明される主題の利点は、システムの入力および出力に注目することによるSSEの動的改善を含む。イベント管理に基づいてセキュリティポリシーを実施することを試みる代わりに、開示されたSAEは、セキュリティシステム構成の変化または欠陥を速やかに検出するために、ネットワークトラフィックフローを使用する。とりわけ、説明された改善手法は、セキュリティシステム構成およびポリシーへの任意の変化が検出され得るレートを増加させる。加えて、そのような対策は、SSEでの適切なセキュリティポリシーが常に有効であることを保証する。これは、ネットワークおよびアプリケーションをセキュアにするコストへの莫大な影響、ならびに、セキュリティ違反によって生じる損害を有するおそれがある。そのため、そのような態様でそれ自体を動的に改善するように構成されたSSEは、ここに説明されたように、識別された疑わしいメッセージに応答し、および/または不正攻撃を防止することができ、コンピュータネットワークに対する不正行為および他のタイプの信号伝達攻撃の可能性をより効率的な態様で減少させることによって、コンピュータネットワークセキュリティの技術分野を向上させる。
ここに開示された主題のさまざまな詳細は、ここに開示された主題の範囲から逸脱することなく変更され得るということが理解されるであろう。また、前述の説明は、限定のためではなく、例示のみのためのものである。

Claims (17)

  1. 信頼されているネットワークをサポートするセキュリティシステムエンティティ(SSE)のためのベースラインセキュリティスコアを、前記SSEのセキュリティ構成に基づいて確立するステップと、
    前記信頼されているネットワークに向けられた進入ネットワークトラフィックフローを、前記SSEによって受信するステップと、
    前記SSEの前記セキュリティ構成と、前記SSEを介して前記信頼されているネットワークへの進入を許可された前記進入ネットワークトラフィックフローとに基づいて、前記SSEのための更新されたセキュリティスコアを求めるステップと、
    前記更新されたセキュリティスコアが既定の量だけ前記ベースラインセキュリティスコアとは異なる場合に、前記SSEの前記セキュリティ構成の自動改善を介して前記SSEを動的に修正するステップとを含み、
    前記ベースラインセキュリティスコアおよび前記更新されたセキュリティスコアの各々は、受信された前記進入ネットワークトラフィックフローの複数の異なるネットワーク抽象化層のそれぞれに存在するネットワークトラフィックフローパラメータの評価に対応する複数のトラフィック多様性指数に基づく動的セキュリティスコアを含む、コンピュータによって実行される方法。
  2. 前記ベースラインセキュリティスコアおよび前記更新されたセキュリティスコアの各々は、静的セキュリティスコアをさらに含む、請求項1に記載のコンピュータによって実行される方法。
  3. 前記SSEのための前記更新されたセキュリティスコアは、前記信頼されているネットワークから受信され、前記SSEを横断することを許可された前記進入ネットワークトラフィックフローに基づく、請求項2に記載のコンピュータによって実行される方法。
  4. 前記SSEは、前記セキュリティ構成を前記SSEに提供するために使用されるインターフェイスを含むシステム構成マネージャを含む、請求項1~3のいずれか1項に記載のコンピュータによって実行される方法。
  5. 前記SSEの前記セキュリティ構成を改善するステップは、以前に承認されたセキュリティ構成状態に戻るステップを含む、請求項1~4のいずれか1項に記載のコンピュータによって実行される方法。
  6. 前記SSEは、セキュアインターネットゲートウェイ、ファイアウォール、またはネットワークトラフィックセキュリティゲートウェイ機能を含む、請求項1~5のいずれか1項に記載のコンピュータによって実行される方法。
  7. 少なくとも1つのプロセッサおよびメモリを含むセキュリティシステムエンティティ(SSE)と、
    前記メモリに格納されたセキュリティ評価エンジン(SAE)とを含む、システムであって、
    前記SAEは、前記少なくとも1つのプロセッサによって実行されると、
    信頼されているネットワークをサポートする前記SSEのためのベースラインセキュリティスコアを、前記SSEのセキュリティ構成に基づいて確立し、
    前記信頼されているネットワークに向けられた進入ネットワークトラフィックフローを、前記SSEを介して処理し、
    前記SSEの前記セキュリティ構成と、前記SSEを介して前記信頼されているネットワークへの進入を許可された前記進入ネットワークトラフィックフローの一部とに基づいて、前記SSEのための更新されたセキュリティスコアを求め、
    前記更新されたセキュリティスコアが既定の量だけ前記ベースラインセキュリティスコアとは異なる場合に、前記SSEの前記セキュリティ構成の自動改善を介して前記SSEを動的に修正する、
    ために構成され、
    前記ベースラインセキュリティスコアおよび前記更新されたセキュリティスコアの各々は、受信された前記進入ネットワークトラフィックフローの複数の異なるネットワーク抽象化層のそれぞれに存在するネットワークトラフィックフローパラメータの評価に対応する複数のトラフィック多様性指数に基づく動的セキュリティスコアを含む、システム。
  8. 前記ベースラインセキュリティスコアおよび前記更新されたセキュリティスコアの各々は、静的セキュリティスコアと、前記動的セキュリティスコアとを含む、請求項7に記載のシステム。
  9. 前記SSEのための前記更新されたセキュリティスコアは、前記信頼されているネットワークから受信され、前記SSEを横断することを許可された前記進入ネットワークトラフィックフローに基づく、請求項8に記載のシステム。
  10. 前記SSEは、前記セキュリティ構成を前記SSEに提供するために使用されるインターフェイスを含むシステム構成マネージャを含む、請求項7~9のいずれか1項に記載のシステム。
  11. 前記SSEの前記セキュリティ構成を改善することは、以前に承認されたセキュリティ構成状態に戻ることを含む、請求項7~10のいずれか1項に記載のシステム。
  12. 前記SSEは、セキュアインターネットゲートウェイ、ファイアウォール、またはネットワークトラフィックセキュリティゲートウェイ機能を含む、請求項7~11のいずれか1項に記載のシステム。
  13. コンピュータのプロセッサによって実行されると複数のステップを行なうように前記コンピュータを制御する実行可能命令を備えるプログラムであって、前記複数のステップは、
    信頼されているネットワークをサポートするセキュリティシステムエンティティ(SSE)のためのベースラインセキュリティスコアを、前記SSEのセキュリティ構成に基づいて確立するステップと、
    前記信頼されているネットワークに向けられた進入ネットワークトラフィックフローを、前記SSEによって受信するステップと、
    前記SSEの前記セキュリティ構成と、前記SSEを介して前記信頼されているネットワークへの進入を許可された前記進入ネットワークトラフィックフローの一部とに基づいて、前記SSEのための更新されたセキュリティスコアを求めるステップと、
    前記更新されたセキュリティスコアが既定の量だけ前記ベースラインセキュリティスコアとは異なる場合に、前記SSEの前記セキュリティ構成の自動改善を介して前記SSEを動的に修正するステップとを含み、
    前記ベースラインセキュリティスコアおよび前記更新されたセキュリティスコアの各々は、受信された前記進入ネットワークトラフィックフローの複数の異なるネットワーク抽象化層のそれぞれに存在するネットワークトラフィックフローパラメータの評価に対応する複数のトラフィック多様性指数に基づく動的セキュリティスコアを含む、プログラム。
  14. 前記ベースラインセキュリティスコアおよび前記更新されたセキュリティスコアの各々は、静的セキュリティスコアと、前記動的セキュリティスコアとを含む、請求項13に記載のプログラム。
  15. 前記SSEのための前記更新されたセキュリティスコアは、前記信頼されているネットワークから受信され、前記SSEを横断することを許可された前記進入ネットワークトラフィックフローに基づく、請求項14に記載のプログラム。
  16. 前記SSEは、前記セキュリティ構成を前記SSEに提供するために使用されるインターフェイスを含むシステム構成マネージャを含む、請求項13~15のいずれか1項に記載のプログラム。
  17. 前記SSEの前記セキュリティ構成を改善するステップは、以前に承認されたセキュリティ構成状態に戻るステップを含む、請求項13~16のいずれか1項に記載のプログラム。
JP2021544658A 2019-02-26 2020-01-17 セキュリティシステムエンティティを動的に修正するための方法、システム、およびコンピュータ読取可能媒体 Active JP7499262B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/286,508 2019-02-26
US16/286,508 US11128670B2 (en) 2019-02-26 2019-02-26 Methods, systems, and computer readable media for dynamically remediating a security system entity
PCT/US2020/014017 WO2020176174A1 (en) 2019-02-26 2020-01-17 Methods, systems, and computer readable media for dynamically remediating a security system entity

Publications (3)

Publication Number Publication Date
JP2022521669A JP2022521669A (ja) 2022-04-12
JPWO2020176174A5 JPWO2020176174A5 (ja) 2023-01-27
JP7499262B2 true JP7499262B2 (ja) 2024-06-13

Family

ID=69650724

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021544658A Active JP7499262B2 (ja) 2019-02-26 2020-01-17 セキュリティシステムエンティティを動的に修正するための方法、システム、およびコンピュータ読取可能媒体

Country Status (5)

Country Link
US (1) US11128670B2 (ja)
EP (1) EP3932033A1 (ja)
JP (1) JP7499262B2 (ja)
CN (1) CN113228591B (ja)
WO (1) WO2020176174A1 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11290491B2 (en) 2019-03-14 2022-03-29 Oracle International Corporation Methods, systems, and computer readable media for utilizing a security service engine to assess security vulnerabilities on a security gateway element
US11470071B2 (en) * 2020-04-20 2022-10-11 Vmware, Inc. Authentication for logical overlay network traffic
US11716352B2 (en) * 2020-06-16 2023-08-01 Cisco Technology, Inc. Application protectability schemes for enterprise applications
US20220029882A1 (en) * 2020-07-24 2022-01-27 Mcafee, Llc Systems, methods, and media for monitoring cloud configuration settings
US11870813B2 (en) * 2021-04-30 2024-01-09 Docusign, Inc. Security operation selection using machine-learned model in document management system
CN114125032B (zh) * 2021-11-22 2023-06-16 杭州佳和电气股份有限公司 一种边缘协议数据处理方法和***

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050198099A1 (en) 2004-02-24 2005-09-08 Covelight Systems, Inc. Methods, systems and computer program products for monitoring protocol responses for a server application
JP2007006054A (ja) 2005-06-23 2007-01-11 Hitachi Ltd パケット中継装置及びパケット中継システム
JP2009543163A (ja) 2006-03-24 2009-12-03 エーブイジー テクノロジーズ シーワイ リミテッド ソフトウェア脆弱性悪用防止シールド
JP2010510707A (ja) 2006-11-17 2010-04-02 ノキア コーポレイション ダイナミックパラメータを使用してシステム選択を行う方法及び装置
WO2013084381A1 (ja) 2011-12-09 2013-06-13 アラクサラネットワークス株式会社 証明書配付装置およびその方法、並びにコンピュータプログラム
US20140351940A1 (en) 2013-05-21 2014-11-27 Rapid7, Llc Systems and methods for assessing security for a network of assets and providing recommendations
JP2015035061A (ja) 2013-08-08 2015-02-19 富士通株式会社 仮想マシン管理方法、仮想マシン管理プログラム及び仮想マシン管理装置

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5991879A (en) * 1997-10-23 1999-11-23 Bull Hn Information Systems Inc. Method for gradual deployment of user-access security within a data processing system
GB9810376D0 (en) * 1998-05-15 1998-07-15 3Com Technologies Ltd Computation of traffic flow by scaling sample packet data
US6760775B1 (en) * 1999-03-05 2004-07-06 At&T Corp. System, method and apparatus for network service load and reliability management
US6781990B1 (en) * 2002-02-11 2004-08-24 Extreme Networks Method and system for managing traffic in a packet network environment
US20040025173A1 (en) * 2002-04-24 2004-02-05 Gil Levonai Interaction abstraction system and method
US20040054925A1 (en) * 2002-09-13 2004-03-18 Cyber Operations, Llc System and method for detecting and countering a network attack
US9100431B2 (en) * 2003-07-01 2015-08-04 Securityprofiling, Llc Computer program product and apparatus for multi-path remediation
US20070113272A2 (en) * 2003-07-01 2007-05-17 Securityprofiling, Inc. Real-time vulnerability monitoring
EP1652138A4 (en) * 2003-07-11 2006-12-06 Computer Ass Think Inc MODELING APPLICATIONS AND COMPANY PROCESS SERVICES THROUGH AN AUTO DISCOVERY ANALYSIS
US7165216B2 (en) * 2004-01-14 2007-01-16 Xerox Corporation Systems and methods for converting legacy and proprietary documents into extended mark-up language format
US8447880B2 (en) * 2006-12-20 2013-05-21 Oracle America, Inc. Network stack instance architecture with selection of transport layers
US20090024663A1 (en) * 2007-07-19 2009-01-22 Mcgovern Mark D Techniques for Information Security Assessment
US8494072B2 (en) * 2007-11-06 2013-07-23 Qualcomm Incorporated Frequency diverse control mapping of channel elements to resource elements
US8065714B2 (en) * 2008-09-12 2011-11-22 Hytrust, Inc. Methods and systems for securely managing virtualization platform
US8307418B2 (en) 2010-03-16 2012-11-06 Genband Inc. Methods, systems, and computer readable media for providing application layer firewall and integrated deep packet inspection functions for providing early intrusion detection and intrusion prevention at an edge networking device
US8973088B1 (en) * 2011-05-24 2015-03-03 Palo Alto Networks, Inc. Policy enforcement using host information profile
US8839404B2 (en) * 2011-05-26 2014-09-16 Blue Coat Systems, Inc. System and method for building intelligent and distributed L2-L7 unified threat management infrastructure for IPv4 and IPv6 environments
TWI452886B (zh) * 2011-08-07 2014-09-11 Mediatek Inc 映射統一參數的方法
US9705849B2 (en) * 2014-09-30 2017-07-11 Intel Corporation Technologies for distributed detection of security anomalies
US10404748B2 (en) * 2015-03-31 2019-09-03 Guidewire Software, Inc. Cyber risk analysis and remediation using network monitored sensors and methods of use
US10536478B2 (en) * 2016-02-26 2020-01-14 Oracle International Corporation Techniques for discovering and managing security of applications
CN106603551A (zh) * 2016-12-28 2017-04-26 北京安天电子设备有限公司 一种基于安全基线的工控机安全防护***及方法
WO2018182661A1 (en) * 2017-03-31 2018-10-04 Intel Corporation Declarative intentional programming in machine-to-machine systems
US10855694B2 (en) * 2017-05-30 2020-12-01 Keysight Technologies Singapore (Sales) Pte. Ltd. Methods, systems, and computer readable media for monitoring encrypted packet flows within a virtual network environment
US20190035027A1 (en) * 2017-07-26 2019-01-31 Guidewire Software, Inc. Synthetic Diversity Analysis with Actionable Feedback Methodologies
US11290491B2 (en) 2019-03-14 2022-03-29 Oracle International Corporation Methods, systems, and computer readable media for utilizing a security service engine to assess security vulnerabilities on a security gateway element

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050198099A1 (en) 2004-02-24 2005-09-08 Covelight Systems, Inc. Methods, systems and computer program products for monitoring protocol responses for a server application
JP2007006054A (ja) 2005-06-23 2007-01-11 Hitachi Ltd パケット中継装置及びパケット中継システム
JP2009543163A (ja) 2006-03-24 2009-12-03 エーブイジー テクノロジーズ シーワイ リミテッド ソフトウェア脆弱性悪用防止シールド
JP2010510707A (ja) 2006-11-17 2010-04-02 ノキア コーポレイション ダイナミックパラメータを使用してシステム選択を行う方法及び装置
WO2013084381A1 (ja) 2011-12-09 2013-06-13 アラクサラネットワークス株式会社 証明書配付装置およびその方法、並びにコンピュータプログラム
US20140351940A1 (en) 2013-05-21 2014-11-27 Rapid7, Llc Systems and methods for assessing security for a network of assets and providing recommendations
JP2015035061A (ja) 2013-08-08 2015-02-19 富士通株式会社 仮想マシン管理方法、仮想マシン管理プログラム及び仮想マシン管理装置

Also Published As

Publication number Publication date
US20200274902A1 (en) 2020-08-27
WO2020176174A1 (en) 2020-09-03
CN113228591B (zh) 2023-06-02
US11128670B2 (en) 2021-09-21
CN113228591A (zh) 2021-08-06
EP3932033A1 (en) 2022-01-05
JP2022521669A (ja) 2022-04-12

Similar Documents

Publication Publication Date Title
JP7499262B2 (ja) セキュリティシステムエンティティを動的に修正するための方法、システム、およびコンピュータ読取可能媒体
US8230505B1 (en) Method for cooperative intrusion prevention through collaborative inference
US7757283B2 (en) System and method for detecting abnormal traffic based on early notification
KR100796996B1 (ko) 분산 네트워크의 노드상의 과부하 조건으로부터 보호하기위한 방법 및 장치
JP5745619B2 (ja) 情報システムインフラストラクチャのセキュリティポリシーを適合させるための方法
AU2015255980B2 (en) System and methods for reducing impact of malicious activity on operations of a wide area network
US8881259B2 (en) Network security system with customizable rule-based analytics engine for identifying application layer violations
KR101045362B1 (ko) 능동 네트워크 방어 시스템 및 방법
US8650287B2 (en) Local reputation to adjust sensitivity of behavioral detection system
Gupta et al. An ISP level solution to combat DDoS attacks using combined statistical based approach
US20180091547A1 (en) Ddos mitigation black/white listing based on target feedback
US20150256431A1 (en) Selective flow inspection based on endpoint behavior and random sampling
US10911473B2 (en) Distributed denial-of-service attack detection and mitigation based on autonomous system number
US11005865B2 (en) Distributed denial-of-service attack detection and mitigation based on autonomous system number
US9253153B2 (en) Anti-cyber hacking defense system
JP2013525927A5 (ja)
WO2005038598A2 (en) Policy-based network security management
US20140380457A1 (en) Adjusting ddos protection
CN113411296B (zh) 态势感知虚拟链路防御方法、装置及***
Devi et al. Cloud-based DDoS attack detection and defence system using statistical approach
Duela et al. Mitigation of DDoS threat to service attainability in cloud premises
John et al. Impact of AAB-DDoS Attacks in a Real-Time Cloud Environment and the Mitigation Strategies
Ladigatti et al. Mitigation of DDoS Attacks in SDN using Access Control List, Entropy and Puzzle-based Mechanisms
Georgiev et al. An Approach of Network Protection Against DDoS Attacks
Buchanan Security and forensic computing: intrusion detection systems.

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230117

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230117

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20240122

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240123

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240422

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240507

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240603

R150 Certificate of patent or registration of utility model

Ref document number: 7499262

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150