改良型侵入検出監査およびインテリジェント・セキュリティ分析の比較を使用して関連するネットワーク・セキュリティの脅威を識別するための方法およびシステム
【課題】 関連するセキュリティの脅威を識別するための装置、方法、およびコンピュータ・プログラムを提供すること。
【解決手段】 従来のコンピュータ・システムでは、「脅威」の定量化が一般にできないことから、セキュリティの脅威と実際のセキュリティの脅威とを識別することは複雑で困難なタスクである。インテリジェントな概念的クラスタリング技法を使用することにより、良性の動作から脅威を正確に識別することができる。したがって、電子商取引および一般に情報技術システムを、効率性を犠牲にすることなくより安全に実行することができる。
【解決手段】 従来のコンピュータ・システムでは、「脅威」の定量化が一般にできないことから、セキュリティの脅威と実際のセキュリティの脅威とを識別することは複雑で困難なタスクである。インテリジェントな概念的クラスタリング技法を使用することにより、良性の動作から脅威を正確に識別することができる。したがって、電子商取引および一般に情報技術システムを、効率性を犠牲にすることなくより安全に実行することができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、一般にネットワーク・セキュリティに関し、とりわけ、潜在的なセキュリティの脅威を特定および削除するための概念的クラスタリングの使用に関する。
【背景技術】
【0002】
現在のビジネス界では情報技術(IT)への依存が高まっているため、これまでになくITインフラストラクチャを保護する必要が増している。ITインフラストラクチャを保護するには、ネットワーク・セキュリティが主要な問題となっている。ダウンタイムの制限およびセキュアなデータ伝送の提供などの様々な理由から、ITインフラストラクチャを保護することが求められている。
【0003】
しかしながら、セキュリティ手段の実施は単純な作業ではない。ITシステムの場合、セキュリティの基本的な手法は、ITネットワークを横切るトラフィックを監視して、システム侵入を示すパターンを識別することである。侵入パターンを識別するためには、回帰分析およびある特定の帰納技法などの様々な方法が採用できる。一般にセキュリティ手法は、潜在的な侵入リスクを特定するために、ネットワーク・ポートおよびリソースの動作および要求の使用率を監視する。たとえば、日中または夜間のある一定の時間のある特定の要求がシステム攻撃を示す場合がある。したがって、パターン分析を採用してこうした特定を行うことができる。しかしながら、攻撃の方法は有限でもなければ静的でもない。むしろ攻撃の方法は変化する。したがって、パターン分析は、ITインフラストラクチャに害を及ぼそうとしている者と少なくとも同じ体制または少なくとも同等の外観を維持するように更新されなければならない。
【0004】
加えて、ネットワーク上で発生しているイベントの量が、一般にそれよりも量の少ない実際の侵入と比較して増加した場合、脅威の特定における難しさはそれに応じて増加する。スペースを簡略化することは可能であるが、スペースがあまりに一般的である場合、パターンは偽陽性(false positives)をトリガしてシステム・オペレーションを不必要に中断し、管理リソースを無駄に使用し、システムの信頼性を低下させることになる。
【発明の開示】
【発明が解決しようとする課題】
【0005】
したがって、現在のセキュリティ・アルゴリズムに関連付けられた従来の方法および装置に関連付けられた問題の少なくとも一部に対処する、潜在的なセキュリティ・リスクを分析する際の正確度を向上させるために質的および量的な測定値を利用するための方法あるいは装置またはその両方が求められている。
【課題を解決するための手段】
【0006】
本発明は、情報技術(IT)インフラストラクチャに対するコンピュータ・セキュリティの脅威を特定するための装置を提供する。ネットワーク・スキャナは、少なくとも1つの生物分類(taxonomy)を利用して可能性のある侵入を特定する。侵入検出器は、少なくとも1つの実際の侵入を検出する。偽陽性/真陽性(true-positive)(FPTP)検出器は、特定された可能性のある侵入と検出された実際の侵入とを比較して、生物分類を更新する。
【0007】
次に、本発明およびその利点をより完全に理解するために、添付の図面に関連して以下の説明を参照する。
【発明を実施するための最良の形態】
【0008】
以下の考察では、本発明を完全に理解するために多数の特定の細部が示される。しかしながら、当業者であれば、本発明がこうした特定の細部なしで実施できることを理解されよう。その他の場合では、不必要な細部で本発明を不明瞭にしないために、良く知られた要素が概略図またはブロック図の形で示されている。さらにほとんどの部分で、ネットワーク通信、電磁信号技法などに関する細部は、こうした細部が本発明の完全な理解を得るために必要とみなされないため、および関連分野の技術者の理解の範囲内であるとみなされるため、省略されている。
【0009】
さらに、特に指示されていない限り、本明細書で説明されたすべての機能は、ハードウェアまたはソフトウェア、あるいはそれらの何らかの組み合わせで実行可能であることに留意されたい。しかしながら好ましい実施形態では、これらの機能は、特に指示のない限り、コンピュータ・プログラム・コード、ソフトウェア、あるいはこうした機能を実行するために符号化された集積回路、またはそれらすべてなどの、コードに従って、コンピュータまたは電子データ・プロセッサなどのプロセッサによって実行される。
【0010】
図面のうちの図1を参照すると、参照番号100は、サンプル生物分類を示すブロック図を全体として指定する。生物分類100は、第1のレベル120、第2のレベル122、第3のレベル124、および第4のレベル126を有する。さらに第1のレベル120は、曜日カテゴリ102を有する。さらに第2のレベル122は、週末カテゴリ104および平日カテゴリ106を有する。さらに第3のレベルは、土曜日カテゴリ108、日曜日カテゴリ110、月曜日カテゴリ112、および金曜日カテゴリ114を有する。さらに第4のレベル126は、第1のタイムスタンプt1、第2のタイムスタンプt2、および第3のタイムスタンプt3を有する。
【0011】
生物分類を形成する場合、変化するレベルのそれぞれが相互に関係付けられる。タイムスタンプt1、t2、およびt3は、週のうちの特定の時間に発生する。したがって、各タイムスタンプt1、t2、およびt3は、土曜日108などの週のうちの特定の曜日としてカテゴリ化することが可能であり、週末104などの週のうちの時間としてカテゴリ化することが可能である。言い換えれば、後続の各レベルは、前のレベルの単一または複数のサブセットである。
【0012】
これに応じて、タイムスタンプが属するサブセットに関する各タイムスタンプt1、t2、およびt3に、数値を関係付けることができる。この種のカテゴリ化は「クラスタ」と呼ばれ、その定式化は「クラスタリング」として知られている。その後、この数値を使用して脅威のレベルを特定することができる。
【0013】
セキュリティ分析には、通常、イベントの組み合わせおよび順序とわかっている侵入とを相関させる必要がある。可能な組み合わせおよび順序は莫大な数であるため、有用なパターンを識別するのは極端に困難な可能性がある。図1のサンプル生物分類などの生物分類を利用するクラスタ分析は、可能な組み合わせおよび順序の数をリアルタイムでより速く処理されるサイズにまで削減するための効果的なデータ削減ツールである。クラスタリングは、オブジェクトをカテゴリまたはクラスタにグループ化することを追求し、カテゴリのオブジェクトは同様の特徴を有する。
【0014】
ほとんどのパターン分析は、類似点および相違点の量的または数値的測定値を使用して非常に適切に実行される。しかしながら、多くの有用な測定値およびパターンは質的または主観的であるため、類似点および相違点の測定値に容易に修正できるようにする特性を持たない。たとえば、バナナ、岩、およびヨーヨーの間の類似点の程度を決定する際に、量的測定値を一貫して適用することは困難である。
【0015】
セキュリティにおいてIPアドレス(たとえば9.8.765.43)などの共通の測定値が考えられる場合、この「数値」は実際には一致を表す。異なるIPアドレスは、セキュリティの観点から意味のある異なる特性を有する可能性がある。たとえば図1に示すように、アドレスが動的な場合、これらは特定のIPプロバイダ、特定の地理、または曜日を表す。
【0016】
図面のうちの図2を参照すると、参照番号200は、関連するセキュリティの脅威を識別するシステムを示すブロック図を全体として指定する。システム200は、コンピュータ・ネットワーク201、情報技術コンピュータ(IT)インフラストラクチャ203、サーバおよび侵入検出器204、ならびに偽陽性/真陽性検出器205を備える。
【0017】
コンピュータ・ネットワーク201は、第1の通信チャネル210を介してネットワーク・スキャナ202に結合される。またコンピュータ・ネットワーク201は、第2の通信チャネル211を介してITコンピュータ・インフラストラクチャ203にも結合される。コンピュータ・ネットワーク201は、インターネットを含むがこれに限定されることのない、任意のタイプを有することもできる。さらに、前述の通信チャネルのうちのいずれかが、無線リンク、パケット交換チャネル、回路交換または直接通信チャネル、情報転送の任意の他のチャネル、ならびにこうしたチャネルの任意の組み合わせを包含することになる。さらに、前述の通信チャネルのうちのいずれかを、図2に示されるように複数の通信チャネルまたは単一の通信チャネルを介して各構成要素に結合することができる。
【0018】
ネットワーク・スキャナ202はシステム200の他の要素である。ネットワーク・スキャナ202は、ITコンピュータ・インフラストラクチャ203の脅威の事前評価(assessment)分析を提供する。ネットワーク・スキャナ202は、第3の通信チャネル212を介してITコンピュータ・インフラストラクチャ203に結合される。ネットワーク・スキャナは、第1の通信チャネル210を介してコンピュータ・ネットワーク201にも結合される。加えてネットワーク・スキャナ202は、第4の通信チャネル213を介して偽陽性/真陽性検出器205にも結合される。攻撃のシミュレーションおよび様々な他の技法を介して、ネットワーク・スキャナは、攻撃に関する可能性のあるパターンを特定することができる。言い換えれば、ネットワーク・スキャナ202は、観察可能なデータを有意味の構造に編成するかまたは生物分類を展開する。たとえば、特定の会社から検出された使用量それ自体は有用でない可能性があるが、他のデータと併用して攻撃に対応する相関関係が展開される場合がある。CycSecure(登録商標)(Cycorp,Inc.,Suite 100, 3721 Executive Center Drive, Austin, TX 78731の登録商標および製品)などの、ネットワーク・スキャンを提供して生物分類を展開する、いくつかのサービスがある。さらに、前述の通信チャネルのいずれかが、無線回線、パケット交換チャネル、直接通信チャネル、およびこの3つの任意の組み合わせを包含することになる。さらに、図2に示されるように、前述の通信チャネルのいずれかを複数の通信チャネルまたは単一の通信を介して各構成要素に結合することができる。
【0019】
ITコンピュータ・インフラストラクチャ203は、保護を必要とする構成要素である。ITコンピュータ・インフラストラクチャ203は、第2の通信チャネル211を介してコンピュータ・ネットワークに結合される。また、ITコンピュータ・インフラストラクチャ203は、第3の通信チャネル212を介してネットワーク・スキャナ202にも結合される。ITコンピュータ・インフラストラクチャ203は、第5の通信チャネル214を介してサーバおよび侵入検出器204にも結合される。ITコンピュータ・インフラストラクチャ203は、単一または複数のコンピュータあるいはサーバまたはその両方からなることができる。ITコンピュータ・インフラストラクチャ203は、企業が運営に使用するフレームワークも提供する。さらに、前述の通信チャネルのいずれかが、無線回線、パケット交換チャネル、直接通信チャネル、およびこの3つの任意の組み合わせを包含することになる。さらに、図2に示されるように、前述の通信チャネルのいずれかを複数の通信チャネルまたは単一の通信を介して各構成要素に結合することができる。
【0020】
サーバおよび侵入検出器204は、ITコンピュータ・インフラストラクチャ203を監視する。サーバおよび侵入検出器204は、第5の通信チャネル214を介してITコンピュータ・インフラストラクチャ203に結合される。また、サーバおよび侵入検出器204は、第6の通信チャネル215を介して偽陽性/真陽性検出器205にも結合される。サーバおよび侵入検出器は、ITコンピュータ・インフラストラクチャ203上での実際の使用量および攻撃を監視し、ネットワーク侵入レポートを生成する。サーバおよび侵入検出器204は、偽陽性/真陽性検出器205からITコンピュータ・インフラストラクチャ203へ比較データをリレーして、意味クラスタ分析を改良することもできる。さらに、前述の通信チャネルのいずれかが、無線回線、パケット交換チャネル、直接通信チャネル、およびこの3つの任意の組み合わせを包含することになる。さらに、図2に示されるように、前述の通信チャネルのいずれかを複数の通信チャネルまたは単一の通信を介して各構成要素に結合することができる。
【0021】
偽陽性/真陽性検出器205は、脅威の事前評価の正確さを向上させる更新構成要素である。偽陽性/真陽性検出器205は、第4の通信チャネル213を介してネットワーク・スキャナに結合される。また偽陽性/真陽性検出器205は、第6の通信チャネル215を介してサーバおよび侵入検出器にも結合される。偽陽性/真陽性検出器205は、ネットワーク・スキャナ202から生成されたデータとサーバおよび侵入検出器204から生成されたデータとを比較して、偽陽性であると特定された識別済み脅威と、真陽性であると特定された識別済み脅威との相違点を特定する。脅威の区別が実施されると、脅威は優先順位付けされ、ITコンピュータ・インフラストラクチャの防御ソフトウェアが更新される。偽陽性/真陽性検出器205によって使用される脅威の分析方法について、以下および図3の流れ図で詳細に説明する。さらに、前述の通信チャネルのいずれかが、無線リンク、パケット交換チャネル、回路交換または直接通信チャネル、情報転送の任意の他のチャネル、ならびにこうしたチャネルの任意の組み合わせを包含することになる。さらに、前述の通信チャネルのうちのいずれかを、図2に示されるように複数の通信チャネルまたは単一の通信チャネルを介して各構成要素に結合することができる。
【0022】
図3を参照すると、参照番号300は、関連するセキュリティの脅威を識別する方法を示す流れ図を全体として指定する。
【0023】
ステップ301で、ネットワーク侵入検出装置が監査される。図2のシステム200は、図2のネットワーク・スキャナ202などの様々なネットワーク・スキャン装置を監視することができる。図2のネットワーク・スキャナ202は、図2のITコンピュータ・インフラストラクチャ203の防御構造の弱点について脅威の事前評価を実行する。図2の偽陽性/真陽性検出器205は、脅威の事前評価を介して特定されたすべての可能性のある脅威を取得するために、図2のネットワーク・スキャナ202の結果を監査する。
【0024】
ステップ302で、ネットワーク侵入レポートが取り出される。図2のサーバおよび侵入検出器204は、侵入およびセキュリティ低下の実際の測定値を作成する。図2のシステム200を監視することから、図2のサーバおよび侵入検出器204は、ネットワーク侵入レポートを生成し、図2の偽陽性/真陽性検出器205にこのレポートを転送する。
【0025】
ステップ303、304、および305で、ネットワーク侵入レポートと脅威の事前評価とが比較される。図2の偽陽性/真陽性検出器205がこの比較を実行する。比較することにより、図2の偽陽性/真陽性検出器205は、事前評価された脅威のいずれが実際の脅威であるか、および事前評価された脅威のいずれが良性(benign)であるかを特定することができる。その後図2の偽陽性/真陽性検出器205は、事前評価された脅威が良性である場合、ステップ304で、事前評価された脅威に偽陽性とラベル付けすることができる。また、図2の偽陽性/真陽性検出器205は、事前評価された脅威が実際の脅威である場合、ステップ305で、事前評価された脅威に真陽性とラベル付けすることができる。
【0026】
ステップ306、307、および308で、意味クラスタリングが改良される。図2のITコンピュータ・インフラストラクチャ203の防御アルゴリズムは、ラベル付け済みの事前評価された脅威を、図2の偽陽性/真陽性検出器205からリアルタイムで受け取る。精密なラベル付けは、防御アルゴリズムが、以前に誤って実際のセキュリティ・リスクであると特定された可能性のある良性の使用を可能にするための防御アルゴリズムを有する意味クラスタリングを、高速で更新できるようにする。さらにステップ307で、真陽性はサイズごとにソートされ、ステップ308で、ユーザ定義の優先順位に従って優先順位付けされる。真陽性セキュリティ脅威の編成により、図2のITコンピュータ・インフラストラクチャ203の防御をより良くすることができる。したがって、図3の改良型技法は、パターン・スペースのサイズを小さくし、多くの偽インスタンスを起動することなく潜在的な脅威を識別する。
【0027】
前述の説明から、本発明の好ましい実施形態において、その真の趣旨を逸脱することなく、様々な修正および変更が実行可能であることをさらに理解されよう。この説明は単なる例示の目的であると意図されたものであり、限定的な意味であるとみなすべきではない。本発明の範囲は、添付の特許請求の範囲の言い回しによってのみ限定されるものとする。
【0028】
以上、本発明について、ある特定の好ましい諸実施形態を参照しながら説明してきたが、開示された諸実施形態は、本来限定的でなく例示的であり、前述の開示では広範囲におよぶ変形、修正、変更、および置き換えが企図され、一部のインスタンスでは、対応する他の特徴を使用することなく本発明のいくつかの特徴が採用できることに留意されたい。多くのこうした変形および修正が、好ましい諸実施形態の前述の説明を再検討することに基づいて、当業者によって望ましいとみなされる場合がある。したがって、添付の特許請求の範囲は、広範囲にわたって、および本発明の範囲と一致する様式で、解釈されることが適切である。
【図面の簡単な説明】
【0029】
【図1】サンプル生物分類を示すブロック図である。
【図2】関連するセキュリティの脅威を識別するためのシステムを示すブロック図である。
【図3】関連するセキュリティの脅威を識別するための方法を示す流れ図である。
【技術分野】
【0001】
本発明は、一般にネットワーク・セキュリティに関し、とりわけ、潜在的なセキュリティの脅威を特定および削除するための概念的クラスタリングの使用に関する。
【背景技術】
【0002】
現在のビジネス界では情報技術(IT)への依存が高まっているため、これまでになくITインフラストラクチャを保護する必要が増している。ITインフラストラクチャを保護するには、ネットワーク・セキュリティが主要な問題となっている。ダウンタイムの制限およびセキュアなデータ伝送の提供などの様々な理由から、ITインフラストラクチャを保護することが求められている。
【0003】
しかしながら、セキュリティ手段の実施は単純な作業ではない。ITシステムの場合、セキュリティの基本的な手法は、ITネットワークを横切るトラフィックを監視して、システム侵入を示すパターンを識別することである。侵入パターンを識別するためには、回帰分析およびある特定の帰納技法などの様々な方法が採用できる。一般にセキュリティ手法は、潜在的な侵入リスクを特定するために、ネットワーク・ポートおよびリソースの動作および要求の使用率を監視する。たとえば、日中または夜間のある一定の時間のある特定の要求がシステム攻撃を示す場合がある。したがって、パターン分析を採用してこうした特定を行うことができる。しかしながら、攻撃の方法は有限でもなければ静的でもない。むしろ攻撃の方法は変化する。したがって、パターン分析は、ITインフラストラクチャに害を及ぼそうとしている者と少なくとも同じ体制または少なくとも同等の外観を維持するように更新されなければならない。
【0004】
加えて、ネットワーク上で発生しているイベントの量が、一般にそれよりも量の少ない実際の侵入と比較して増加した場合、脅威の特定における難しさはそれに応じて増加する。スペースを簡略化することは可能であるが、スペースがあまりに一般的である場合、パターンは偽陽性(false positives)をトリガしてシステム・オペレーションを不必要に中断し、管理リソースを無駄に使用し、システムの信頼性を低下させることになる。
【発明の開示】
【発明が解決しようとする課題】
【0005】
したがって、現在のセキュリティ・アルゴリズムに関連付けられた従来の方法および装置に関連付けられた問題の少なくとも一部に対処する、潜在的なセキュリティ・リスクを分析する際の正確度を向上させるために質的および量的な測定値を利用するための方法あるいは装置またはその両方が求められている。
【課題を解決するための手段】
【0006】
本発明は、情報技術(IT)インフラストラクチャに対するコンピュータ・セキュリティの脅威を特定するための装置を提供する。ネットワーク・スキャナは、少なくとも1つの生物分類(taxonomy)を利用して可能性のある侵入を特定する。侵入検出器は、少なくとも1つの実際の侵入を検出する。偽陽性/真陽性(true-positive)(FPTP)検出器は、特定された可能性のある侵入と検出された実際の侵入とを比較して、生物分類を更新する。
【0007】
次に、本発明およびその利点をより完全に理解するために、添付の図面に関連して以下の説明を参照する。
【発明を実施するための最良の形態】
【0008】
以下の考察では、本発明を完全に理解するために多数の特定の細部が示される。しかしながら、当業者であれば、本発明がこうした特定の細部なしで実施できることを理解されよう。その他の場合では、不必要な細部で本発明を不明瞭にしないために、良く知られた要素が概略図またはブロック図の形で示されている。さらにほとんどの部分で、ネットワーク通信、電磁信号技法などに関する細部は、こうした細部が本発明の完全な理解を得るために必要とみなされないため、および関連分野の技術者の理解の範囲内であるとみなされるため、省略されている。
【0009】
さらに、特に指示されていない限り、本明細書で説明されたすべての機能は、ハードウェアまたはソフトウェア、あるいはそれらの何らかの組み合わせで実行可能であることに留意されたい。しかしながら好ましい実施形態では、これらの機能は、特に指示のない限り、コンピュータ・プログラム・コード、ソフトウェア、あるいはこうした機能を実行するために符号化された集積回路、またはそれらすべてなどの、コードに従って、コンピュータまたは電子データ・プロセッサなどのプロセッサによって実行される。
【0010】
図面のうちの図1を参照すると、参照番号100は、サンプル生物分類を示すブロック図を全体として指定する。生物分類100は、第1のレベル120、第2のレベル122、第3のレベル124、および第4のレベル126を有する。さらに第1のレベル120は、曜日カテゴリ102を有する。さらに第2のレベル122は、週末カテゴリ104および平日カテゴリ106を有する。さらに第3のレベルは、土曜日カテゴリ108、日曜日カテゴリ110、月曜日カテゴリ112、および金曜日カテゴリ114を有する。さらに第4のレベル126は、第1のタイムスタンプt1、第2のタイムスタンプt2、および第3のタイムスタンプt3を有する。
【0011】
生物分類を形成する場合、変化するレベルのそれぞれが相互に関係付けられる。タイムスタンプt1、t2、およびt3は、週のうちの特定の時間に発生する。したがって、各タイムスタンプt1、t2、およびt3は、土曜日108などの週のうちの特定の曜日としてカテゴリ化することが可能であり、週末104などの週のうちの時間としてカテゴリ化することが可能である。言い換えれば、後続の各レベルは、前のレベルの単一または複数のサブセットである。
【0012】
これに応じて、タイムスタンプが属するサブセットに関する各タイムスタンプt1、t2、およびt3に、数値を関係付けることができる。この種のカテゴリ化は「クラスタ」と呼ばれ、その定式化は「クラスタリング」として知られている。その後、この数値を使用して脅威のレベルを特定することができる。
【0013】
セキュリティ分析には、通常、イベントの組み合わせおよび順序とわかっている侵入とを相関させる必要がある。可能な組み合わせおよび順序は莫大な数であるため、有用なパターンを識別するのは極端に困難な可能性がある。図1のサンプル生物分類などの生物分類を利用するクラスタ分析は、可能な組み合わせおよび順序の数をリアルタイムでより速く処理されるサイズにまで削減するための効果的なデータ削減ツールである。クラスタリングは、オブジェクトをカテゴリまたはクラスタにグループ化することを追求し、カテゴリのオブジェクトは同様の特徴を有する。
【0014】
ほとんどのパターン分析は、類似点および相違点の量的または数値的測定値を使用して非常に適切に実行される。しかしながら、多くの有用な測定値およびパターンは質的または主観的であるため、類似点および相違点の測定値に容易に修正できるようにする特性を持たない。たとえば、バナナ、岩、およびヨーヨーの間の類似点の程度を決定する際に、量的測定値を一貫して適用することは困難である。
【0015】
セキュリティにおいてIPアドレス(たとえば9.8.765.43)などの共通の測定値が考えられる場合、この「数値」は実際には一致を表す。異なるIPアドレスは、セキュリティの観点から意味のある異なる特性を有する可能性がある。たとえば図1に示すように、アドレスが動的な場合、これらは特定のIPプロバイダ、特定の地理、または曜日を表す。
【0016】
図面のうちの図2を参照すると、参照番号200は、関連するセキュリティの脅威を識別するシステムを示すブロック図を全体として指定する。システム200は、コンピュータ・ネットワーク201、情報技術コンピュータ(IT)インフラストラクチャ203、サーバおよび侵入検出器204、ならびに偽陽性/真陽性検出器205を備える。
【0017】
コンピュータ・ネットワーク201は、第1の通信チャネル210を介してネットワーク・スキャナ202に結合される。またコンピュータ・ネットワーク201は、第2の通信チャネル211を介してITコンピュータ・インフラストラクチャ203にも結合される。コンピュータ・ネットワーク201は、インターネットを含むがこれに限定されることのない、任意のタイプを有することもできる。さらに、前述の通信チャネルのうちのいずれかが、無線リンク、パケット交換チャネル、回路交換または直接通信チャネル、情報転送の任意の他のチャネル、ならびにこうしたチャネルの任意の組み合わせを包含することになる。さらに、前述の通信チャネルのうちのいずれかを、図2に示されるように複数の通信チャネルまたは単一の通信チャネルを介して各構成要素に結合することができる。
【0018】
ネットワーク・スキャナ202はシステム200の他の要素である。ネットワーク・スキャナ202は、ITコンピュータ・インフラストラクチャ203の脅威の事前評価(assessment)分析を提供する。ネットワーク・スキャナ202は、第3の通信チャネル212を介してITコンピュータ・インフラストラクチャ203に結合される。ネットワーク・スキャナは、第1の通信チャネル210を介してコンピュータ・ネットワーク201にも結合される。加えてネットワーク・スキャナ202は、第4の通信チャネル213を介して偽陽性/真陽性検出器205にも結合される。攻撃のシミュレーションおよび様々な他の技法を介して、ネットワーク・スキャナは、攻撃に関する可能性のあるパターンを特定することができる。言い換えれば、ネットワーク・スキャナ202は、観察可能なデータを有意味の構造に編成するかまたは生物分類を展開する。たとえば、特定の会社から検出された使用量それ自体は有用でない可能性があるが、他のデータと併用して攻撃に対応する相関関係が展開される場合がある。CycSecure(登録商標)(Cycorp,Inc.,Suite 100, 3721 Executive Center Drive, Austin, TX 78731の登録商標および製品)などの、ネットワーク・スキャンを提供して生物分類を展開する、いくつかのサービスがある。さらに、前述の通信チャネルのいずれかが、無線回線、パケット交換チャネル、直接通信チャネル、およびこの3つの任意の組み合わせを包含することになる。さらに、図2に示されるように、前述の通信チャネルのいずれかを複数の通信チャネルまたは単一の通信を介して各構成要素に結合することができる。
【0019】
ITコンピュータ・インフラストラクチャ203は、保護を必要とする構成要素である。ITコンピュータ・インフラストラクチャ203は、第2の通信チャネル211を介してコンピュータ・ネットワークに結合される。また、ITコンピュータ・インフラストラクチャ203は、第3の通信チャネル212を介してネットワーク・スキャナ202にも結合される。ITコンピュータ・インフラストラクチャ203は、第5の通信チャネル214を介してサーバおよび侵入検出器204にも結合される。ITコンピュータ・インフラストラクチャ203は、単一または複数のコンピュータあるいはサーバまたはその両方からなることができる。ITコンピュータ・インフラストラクチャ203は、企業が運営に使用するフレームワークも提供する。さらに、前述の通信チャネルのいずれかが、無線回線、パケット交換チャネル、直接通信チャネル、およびこの3つの任意の組み合わせを包含することになる。さらに、図2に示されるように、前述の通信チャネルのいずれかを複数の通信チャネルまたは単一の通信を介して各構成要素に結合することができる。
【0020】
サーバおよび侵入検出器204は、ITコンピュータ・インフラストラクチャ203を監視する。サーバおよび侵入検出器204は、第5の通信チャネル214を介してITコンピュータ・インフラストラクチャ203に結合される。また、サーバおよび侵入検出器204は、第6の通信チャネル215を介して偽陽性/真陽性検出器205にも結合される。サーバおよび侵入検出器は、ITコンピュータ・インフラストラクチャ203上での実際の使用量および攻撃を監視し、ネットワーク侵入レポートを生成する。サーバおよび侵入検出器204は、偽陽性/真陽性検出器205からITコンピュータ・インフラストラクチャ203へ比較データをリレーして、意味クラスタ分析を改良することもできる。さらに、前述の通信チャネルのいずれかが、無線回線、パケット交換チャネル、直接通信チャネル、およびこの3つの任意の組み合わせを包含することになる。さらに、図2に示されるように、前述の通信チャネルのいずれかを複数の通信チャネルまたは単一の通信を介して各構成要素に結合することができる。
【0021】
偽陽性/真陽性検出器205は、脅威の事前評価の正確さを向上させる更新構成要素である。偽陽性/真陽性検出器205は、第4の通信チャネル213を介してネットワーク・スキャナに結合される。また偽陽性/真陽性検出器205は、第6の通信チャネル215を介してサーバおよび侵入検出器にも結合される。偽陽性/真陽性検出器205は、ネットワーク・スキャナ202から生成されたデータとサーバおよび侵入検出器204から生成されたデータとを比較して、偽陽性であると特定された識別済み脅威と、真陽性であると特定された識別済み脅威との相違点を特定する。脅威の区別が実施されると、脅威は優先順位付けされ、ITコンピュータ・インフラストラクチャの防御ソフトウェアが更新される。偽陽性/真陽性検出器205によって使用される脅威の分析方法について、以下および図3の流れ図で詳細に説明する。さらに、前述の通信チャネルのいずれかが、無線リンク、パケット交換チャネル、回路交換または直接通信チャネル、情報転送の任意の他のチャネル、ならびにこうしたチャネルの任意の組み合わせを包含することになる。さらに、前述の通信チャネルのうちのいずれかを、図2に示されるように複数の通信チャネルまたは単一の通信チャネルを介して各構成要素に結合することができる。
【0022】
図3を参照すると、参照番号300は、関連するセキュリティの脅威を識別する方法を示す流れ図を全体として指定する。
【0023】
ステップ301で、ネットワーク侵入検出装置が監査される。図2のシステム200は、図2のネットワーク・スキャナ202などの様々なネットワーク・スキャン装置を監視することができる。図2のネットワーク・スキャナ202は、図2のITコンピュータ・インフラストラクチャ203の防御構造の弱点について脅威の事前評価を実行する。図2の偽陽性/真陽性検出器205は、脅威の事前評価を介して特定されたすべての可能性のある脅威を取得するために、図2のネットワーク・スキャナ202の結果を監査する。
【0024】
ステップ302で、ネットワーク侵入レポートが取り出される。図2のサーバおよび侵入検出器204は、侵入およびセキュリティ低下の実際の測定値を作成する。図2のシステム200を監視することから、図2のサーバおよび侵入検出器204は、ネットワーク侵入レポートを生成し、図2の偽陽性/真陽性検出器205にこのレポートを転送する。
【0025】
ステップ303、304、および305で、ネットワーク侵入レポートと脅威の事前評価とが比較される。図2の偽陽性/真陽性検出器205がこの比較を実行する。比較することにより、図2の偽陽性/真陽性検出器205は、事前評価された脅威のいずれが実際の脅威であるか、および事前評価された脅威のいずれが良性(benign)であるかを特定することができる。その後図2の偽陽性/真陽性検出器205は、事前評価された脅威が良性である場合、ステップ304で、事前評価された脅威に偽陽性とラベル付けすることができる。また、図2の偽陽性/真陽性検出器205は、事前評価された脅威が実際の脅威である場合、ステップ305で、事前評価された脅威に真陽性とラベル付けすることができる。
【0026】
ステップ306、307、および308で、意味クラスタリングが改良される。図2のITコンピュータ・インフラストラクチャ203の防御アルゴリズムは、ラベル付け済みの事前評価された脅威を、図2の偽陽性/真陽性検出器205からリアルタイムで受け取る。精密なラベル付けは、防御アルゴリズムが、以前に誤って実際のセキュリティ・リスクであると特定された可能性のある良性の使用を可能にするための防御アルゴリズムを有する意味クラスタリングを、高速で更新できるようにする。さらにステップ307で、真陽性はサイズごとにソートされ、ステップ308で、ユーザ定義の優先順位に従って優先順位付けされる。真陽性セキュリティ脅威の編成により、図2のITコンピュータ・インフラストラクチャ203の防御をより良くすることができる。したがって、図3の改良型技法は、パターン・スペースのサイズを小さくし、多くの偽インスタンスを起動することなく潜在的な脅威を識別する。
【0027】
前述の説明から、本発明の好ましい実施形態において、その真の趣旨を逸脱することなく、様々な修正および変更が実行可能であることをさらに理解されよう。この説明は単なる例示の目的であると意図されたものであり、限定的な意味であるとみなすべきではない。本発明の範囲は、添付の特許請求の範囲の言い回しによってのみ限定されるものとする。
【0028】
以上、本発明について、ある特定の好ましい諸実施形態を参照しながら説明してきたが、開示された諸実施形態は、本来限定的でなく例示的であり、前述の開示では広範囲におよぶ変形、修正、変更、および置き換えが企図され、一部のインスタンスでは、対応する他の特徴を使用することなく本発明のいくつかの特徴が採用できることに留意されたい。多くのこうした変形および修正が、好ましい諸実施形態の前述の説明を再検討することに基づいて、当業者によって望ましいとみなされる場合がある。したがって、添付の特許請求の範囲は、広範囲にわたって、および本発明の範囲と一致する様式で、解釈されることが適切である。
【図面の簡単な説明】
【0029】
【図1】サンプル生物分類を示すブロック図である。
【図2】関連するセキュリティの脅威を識別するためのシステムを示すブロック図である。
【図3】関連するセキュリティの脅威を識別するための方法を示す流れ図である。
【特許請求の範囲】
【請求項1】
複数の可能性のあるネットワーク侵入の可能性のある侵入レポートを取得するステップと、
少なくとも1つの生物分類を利用するように構成された、セキュリティ・ネットワークから少なくとも1つの実際の侵入レポートを取り出すステップと、
偽陽性および真陽性を特定するために、前記可能性のある侵入レポートと前記実際の侵入レポートとを比較するステップと、
前記偽陽性のうちの少なくとも1つおよび前記真陽性のうちの少なくとも1つで、前記少なくとも1つの生物分類を更新するステップと、
を有する、コンピュータ・セキュリティの脅威を特定するための方法。
【請求項2】
前記比較するステップが、
複数の可能性のあるネットワーク侵入のうちの少なくとも1つの可能性のあるネットワーク侵入を、少なくとも1つの実際の侵入が発生しなかった場合に、偽陽性としてラベル付けするステップと、
複数の可能性のあるネットワーク侵入のうちの少なくとも1つの可能性のあるネットワーク侵入を、少なくとも1つの実際の侵入が発生した場合に、真陽性としてラベル付けするステップと、
をさらに有する、請求項1に記載の方法。
【請求項3】
前記少なくとも1つの生物分類を更新するステップが、真陽性としてラベル付けされた前記複数のネットワーク侵入のうちの前記少なくとも1つの可能性のあるネットワーク侵入をソートするステップをさらに有する、請求項1に記載の方法。
【請求項4】
前記少なくとも1つの生物分類を更新するステップが、真陽性としてラベル付けされた前記複数のネットワーク侵入のうちの前記少なくとも1つの可能性のあるネットワーク侵入を優先順位付けするステップをさらに有する、請求項1に記載の方法。
【請求項5】
複数の可能性のあるネットワーク侵入の可能性のある侵入レポートを取得するための手段と、
少なくとも1つの生物分類を利用するように構成された、セキュリティ・ネットワークから少なくとも1つの実際の侵入レポートを取り出すための手段と、
偽陽性および真陽性を特定するために、前記可能性のある侵入レポートと前記実際の侵入レポートとを比較するための手段と、
前記偽陽性のうちの少なくとも1つおよび前記真陽性のうちの少なくとも1つで、前記少なくとも1つの生物分類を更新するための手段と、
を有する、コンピュータ・セキュリティの脅威を特定するための装置。
【請求項6】
前記比較するための手段が、
複数の可能性のあるネットワーク侵入のうちの少なくとも1つの可能性のあるネットワーク侵入を、少なくとも1つの実際の侵入が発生しなかった場合に、偽陽性としてラベル付けするための手段と、
複数の可能性のあるネットワーク侵入のうちの少なくとも1つの可能性のあるネットワーク侵入を、少なくとも1つの実際の侵入が発生した場合に、真陽性としてラベル付けするための手段と、
をさらに有する、請求項5に記載の装置。
【請求項7】
前記少なくとも1つの生物分類を更新するための手段が、真陽性としてラベル付けされた前記複数のネットワーク侵入のうちの前記少なくとも1つの可能性のあるネットワーク侵入をソートするための手段をさらに有する、請求項5に記載の装置。
【請求項8】
前記少なくとも1つの生物分類を更新するための手段が、真陽性としてラベル付けされた前記複数のネットワーク侵入のうちの前記少なくとも1つの可能性のあるネットワーク侵入を優先順位付けするための手段をさらに有する、請求項5に記載の装置。
【請求項9】
コンピュータ・セキュリティの脅威を特定するためのプログラムであって、前記プログラムが、
複数の可能性のあるネットワーク侵入の可能性のある侵入レポートを取得する機能と、
少なくとも1つの生物分類を利用するように構成された、セキュリティ・ネットワークから少なくとも1つの実際の侵入レポートを取り出す機能と、
偽陽性および真陽性を特定するために、前記可能性のある侵入レポートと前記実際の侵入レポートとを比較する機能と、
前記偽陽性のうちの少なくとも1つおよび前記真陽性のうちの少なくとも1つで、前記少なくとも1つの生物分類を更新する機能と、
をコンピュータに実現させるプログラム。
【請求項10】
前記比較する機能が、
複数の可能性のあるネットワーク侵入のうちの少なくとも1つの可能性のあるネットワーク侵入を、少なくとも1つの実際の侵入が発生しなかった場合に、偽陽性としてラベル付けする機能と、
複数の可能性のあるネットワーク侵入のうちの少なくとも1つの可能性のあるネットワーク侵入を、少なくとも1つの実際の侵入が発生した場合に、真陽性としてラベル付けする機能と、
をさらに有する、請求項9に記載のプログラム。
【請求項11】
前記少なくとも1つの生物分類を更新する機能が、真陽性としてラベル付けされた前記複数のネットワーク侵入のうちの前記少なくとも1つの可能性のあるネットワーク侵入をソートする機能をさらに有する、請求項9に記載のプログラム。
【請求項12】
前記少なくとも1つの生物分類を更新する機能が、真陽性としてラベル付けされた前記複数のネットワーク侵入のうちの前記少なくとも1つの可能性のあるネットワーク侵入を優先順位付けする機能をさらに有する、請求項9に記載のプログラム。
【請求項13】
コンピュータ・セキュリティの脅威を特定するためのプログラムを記録したコンピュータ可読媒体であって、前記プログラムが、
複数の可能性のあるネットワーク侵入の可能性のある侵入レポートを取得する機能と、
少なくとも1つの生物分類を利用するように構成された、セキュリティ・ネットワークから少なくとも1つの実際の侵入レポートを取り出す機能と、
偽陽性および真陽性を特定するために、前記可能性のある侵入レポートと前記実際の侵入レポートとを比較する機能と、
前記偽陽性のうちの少なくとも1つおよび前記真陽性のうちの少なくとも1つで、前記少なくとも1つの生物分類を更新する機能と、
をコンピュータに実現させる媒体。
【請求項14】
前記比較する機能が、
複数の可能性のあるネットワーク侵入のうちの少なくとも1つの可能性のあるネットワーク侵入を、少なくとも1つの実際の侵入が発生しなかった場合に、偽陽性としてラベル付けする機能と、
複数の可能性のあるネットワーク侵入のうちの少なくとも1つの可能性のあるネットワーク侵入を、少なくとも1つの実際の侵入が発生した場合に、真陽性としてラベル付けする機能と、
をさらに有する、請求項13に記載の媒体。
【請求項15】
前記少なくとも1つの生物分類を更新する機能が、真陽性としてラベル付けされた前記複数のネットワーク侵入のうちの前記少なくとも1つの可能性のあるネットワーク侵入をソートする機能をさらに有する、請求項13に記載の媒体。
【請求項16】
前記少なくとも1つの生物分類を更新する機能が、真陽性としてラベル付けされた前記複数のネットワーク侵入のうちの前記少なくとも1つの可能性のあるネットワーク侵入を優先順位付けする機能をさらに有する、請求項13に記載の媒体。
【請求項17】
少なくとも1つの可能性のある侵入を特定するために少なくとも1つの生物分類を利用する、ネットワーク・スキャナと、
少なくとも1つの実際の侵入を検出する、侵入検出器と、
前記少なくとも1つの生物分類を更新するために、前記少なくとも1つの可能性のある侵入と前記少なくとも1つの実際の侵入とを比較する、偽陽性/真陽性(FPTP)検出器と、
を備える、情報技術(IT)インフラストラクチャに結合された、コンピュータ・セキュリティの脅威を特定するための装置。
【請求項18】
さらに前記FPTP検出器が、前記少なくとも1つの可能性のある侵入に偽陽性または真陽性としてラベル付けするように少なくとも構成される、請求項17に記載の装置。
【請求項19】
前記FPTP検出器が、真陽性としてラベル付けされた可能性のある侵入をソートするように少なくとも構成される、請求項18に記載の装置。
【請求項20】
前記FPTP検出器が、真陽性としてラベル付けされた可能性のある侵入を優先順位付けするように少なくとも構成される、請求項18に記載の装置。
【請求項1】
複数の可能性のあるネットワーク侵入の可能性のある侵入レポートを取得するステップと、
少なくとも1つの生物分類を利用するように構成された、セキュリティ・ネットワークから少なくとも1つの実際の侵入レポートを取り出すステップと、
偽陽性および真陽性を特定するために、前記可能性のある侵入レポートと前記実際の侵入レポートとを比較するステップと、
前記偽陽性のうちの少なくとも1つおよび前記真陽性のうちの少なくとも1つで、前記少なくとも1つの生物分類を更新するステップと、
を有する、コンピュータ・セキュリティの脅威を特定するための方法。
【請求項2】
前記比較するステップが、
複数の可能性のあるネットワーク侵入のうちの少なくとも1つの可能性のあるネットワーク侵入を、少なくとも1つの実際の侵入が発生しなかった場合に、偽陽性としてラベル付けするステップと、
複数の可能性のあるネットワーク侵入のうちの少なくとも1つの可能性のあるネットワーク侵入を、少なくとも1つの実際の侵入が発生した場合に、真陽性としてラベル付けするステップと、
をさらに有する、請求項1に記載の方法。
【請求項3】
前記少なくとも1つの生物分類を更新するステップが、真陽性としてラベル付けされた前記複数のネットワーク侵入のうちの前記少なくとも1つの可能性のあるネットワーク侵入をソートするステップをさらに有する、請求項1に記載の方法。
【請求項4】
前記少なくとも1つの生物分類を更新するステップが、真陽性としてラベル付けされた前記複数のネットワーク侵入のうちの前記少なくとも1つの可能性のあるネットワーク侵入を優先順位付けするステップをさらに有する、請求項1に記載の方法。
【請求項5】
複数の可能性のあるネットワーク侵入の可能性のある侵入レポートを取得するための手段と、
少なくとも1つの生物分類を利用するように構成された、セキュリティ・ネットワークから少なくとも1つの実際の侵入レポートを取り出すための手段と、
偽陽性および真陽性を特定するために、前記可能性のある侵入レポートと前記実際の侵入レポートとを比較するための手段と、
前記偽陽性のうちの少なくとも1つおよび前記真陽性のうちの少なくとも1つで、前記少なくとも1つの生物分類を更新するための手段と、
を有する、コンピュータ・セキュリティの脅威を特定するための装置。
【請求項6】
前記比較するための手段が、
複数の可能性のあるネットワーク侵入のうちの少なくとも1つの可能性のあるネットワーク侵入を、少なくとも1つの実際の侵入が発生しなかった場合に、偽陽性としてラベル付けするための手段と、
複数の可能性のあるネットワーク侵入のうちの少なくとも1つの可能性のあるネットワーク侵入を、少なくとも1つの実際の侵入が発生した場合に、真陽性としてラベル付けするための手段と、
をさらに有する、請求項5に記載の装置。
【請求項7】
前記少なくとも1つの生物分類を更新するための手段が、真陽性としてラベル付けされた前記複数のネットワーク侵入のうちの前記少なくとも1つの可能性のあるネットワーク侵入をソートするための手段をさらに有する、請求項5に記載の装置。
【請求項8】
前記少なくとも1つの生物分類を更新するための手段が、真陽性としてラベル付けされた前記複数のネットワーク侵入のうちの前記少なくとも1つの可能性のあるネットワーク侵入を優先順位付けするための手段をさらに有する、請求項5に記載の装置。
【請求項9】
コンピュータ・セキュリティの脅威を特定するためのプログラムであって、前記プログラムが、
複数の可能性のあるネットワーク侵入の可能性のある侵入レポートを取得する機能と、
少なくとも1つの生物分類を利用するように構成された、セキュリティ・ネットワークから少なくとも1つの実際の侵入レポートを取り出す機能と、
偽陽性および真陽性を特定するために、前記可能性のある侵入レポートと前記実際の侵入レポートとを比較する機能と、
前記偽陽性のうちの少なくとも1つおよび前記真陽性のうちの少なくとも1つで、前記少なくとも1つの生物分類を更新する機能と、
をコンピュータに実現させるプログラム。
【請求項10】
前記比較する機能が、
複数の可能性のあるネットワーク侵入のうちの少なくとも1つの可能性のあるネットワーク侵入を、少なくとも1つの実際の侵入が発生しなかった場合に、偽陽性としてラベル付けする機能と、
複数の可能性のあるネットワーク侵入のうちの少なくとも1つの可能性のあるネットワーク侵入を、少なくとも1つの実際の侵入が発生した場合に、真陽性としてラベル付けする機能と、
をさらに有する、請求項9に記載のプログラム。
【請求項11】
前記少なくとも1つの生物分類を更新する機能が、真陽性としてラベル付けされた前記複数のネットワーク侵入のうちの前記少なくとも1つの可能性のあるネットワーク侵入をソートする機能をさらに有する、請求項9に記載のプログラム。
【請求項12】
前記少なくとも1つの生物分類を更新する機能が、真陽性としてラベル付けされた前記複数のネットワーク侵入のうちの前記少なくとも1つの可能性のあるネットワーク侵入を優先順位付けする機能をさらに有する、請求項9に記載のプログラム。
【請求項13】
コンピュータ・セキュリティの脅威を特定するためのプログラムを記録したコンピュータ可読媒体であって、前記プログラムが、
複数の可能性のあるネットワーク侵入の可能性のある侵入レポートを取得する機能と、
少なくとも1つの生物分類を利用するように構成された、セキュリティ・ネットワークから少なくとも1つの実際の侵入レポートを取り出す機能と、
偽陽性および真陽性を特定するために、前記可能性のある侵入レポートと前記実際の侵入レポートとを比較する機能と、
前記偽陽性のうちの少なくとも1つおよび前記真陽性のうちの少なくとも1つで、前記少なくとも1つの生物分類を更新する機能と、
をコンピュータに実現させる媒体。
【請求項14】
前記比較する機能が、
複数の可能性のあるネットワーク侵入のうちの少なくとも1つの可能性のあるネットワーク侵入を、少なくとも1つの実際の侵入が発生しなかった場合に、偽陽性としてラベル付けする機能と、
複数の可能性のあるネットワーク侵入のうちの少なくとも1つの可能性のあるネットワーク侵入を、少なくとも1つの実際の侵入が発生した場合に、真陽性としてラベル付けする機能と、
をさらに有する、請求項13に記載の媒体。
【請求項15】
前記少なくとも1つの生物分類を更新する機能が、真陽性としてラベル付けされた前記複数のネットワーク侵入のうちの前記少なくとも1つの可能性のあるネットワーク侵入をソートする機能をさらに有する、請求項13に記載の媒体。
【請求項16】
前記少なくとも1つの生物分類を更新する機能が、真陽性としてラベル付けされた前記複数のネットワーク侵入のうちの前記少なくとも1つの可能性のあるネットワーク侵入を優先順位付けする機能をさらに有する、請求項13に記載の媒体。
【請求項17】
少なくとも1つの可能性のある侵入を特定するために少なくとも1つの生物分類を利用する、ネットワーク・スキャナと、
少なくとも1つの実際の侵入を検出する、侵入検出器と、
前記少なくとも1つの生物分類を更新するために、前記少なくとも1つの可能性のある侵入と前記少なくとも1つの実際の侵入とを比較する、偽陽性/真陽性(FPTP)検出器と、
を備える、情報技術(IT)インフラストラクチャに結合された、コンピュータ・セキュリティの脅威を特定するための装置。
【請求項18】
さらに前記FPTP検出器が、前記少なくとも1つの可能性のある侵入に偽陽性または真陽性としてラベル付けするように少なくとも構成される、請求項17に記載の装置。
【請求項19】
前記FPTP検出器が、真陽性としてラベル付けされた可能性のある侵入をソートするように少なくとも構成される、請求項18に記載の装置。
【請求項20】
前記FPTP検出器が、真陽性としてラベル付けされた可能性のある侵入を優先順位付けするように少なくとも構成される、請求項18に記載の装置。
【図1】
【図2】
【図3】
【図2】
【図3】
【公表番号】特表2007−533001(P2007−533001A)
【公表日】平成19年11月15日(2007.11.15)
【国際特許分類】
【出願番号】特願2007−507357(P2007−507357)
【出願日】平成17年3月29日(2005.3.29)
【国際出願番号】PCT/US2005/010358
【国際公開番号】WO2005/101720
【国際公開日】平成17年10月27日(2005.10.27)
【出願人】(390009531)インターナショナル・ビジネス・マシーンズ・コーポレーション (4,084)
【氏名又は名称原語表記】INTERNATIONAL BUSINESS MASCHINES CORPORATION
【Fターム(参考)】
【公表日】平成19年11月15日(2007.11.15)
【国際特許分類】
【出願日】平成17年3月29日(2005.3.29)
【国際出願番号】PCT/US2005/010358
【国際公開番号】WO2005/101720
【国際公開日】平成17年10月27日(2005.10.27)
【出願人】(390009531)インターナショナル・ビジネス・マシーンズ・コーポレーション (4,084)
【氏名又は名称原語表記】INTERNATIONAL BUSINESS MASCHINES CORPORATION
【Fターム(参考)】
[ Back to top ]