JP2013149109A - Security setting system, security setting method and program - Google Patents
Security setting system, security setting method and program Download PDFInfo
- Publication number
- JP2013149109A JP2013149109A JP2012009490A JP2012009490A JP2013149109A JP 2013149109 A JP2013149109 A JP 2013149109A JP 2012009490 A JP2012009490 A JP 2012009490A JP 2012009490 A JP2012009490 A JP 2012009490A JP 2013149109 A JP2013149109 A JP 2013149109A
- Authority
- JP
- Japan
- Prior art keywords
- virtual machine
- identification information
- signature
- communication
- signature file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
Description
本発明は、セキュリティ設定システム、セキュリティ設定方法およびプログラムに関する。 The present invention relates to a security setting system, a security setting method, and a program.
近年、ADSL網や光ファイバ網の整備や、各種ネットワークサービスの充実を背景にして、ネットワークに接続される機器の数が飛躍的に増加しており、ネットワークセキュリティの問題が顕著になってきている。 In recent years, with the development of ADSL networks and optical fiber networks and the enhancement of various network services, the number of devices connected to the network has increased dramatically, and network security problems have become prominent. .
ネットワークセキュリティの問題として挙げられるものとして、ネットワーク機器の脆弱性を突いて機器に感染・増殖するコンピュータウィルスや、機器の脆弱性とユーザの設定ミスなどにつけこんでネットワーク機器の制御を奪ったり、機器内に記録されているデータの窃盗や破壊を行ったりする不正アクセスがある。 Examples of network security issues include computer viruses that infect and propagate devices that exploit network device vulnerabilities, device vulnerabilities and user setting errors, and take control of network devices. There is unauthorized access such as stealing or destroying the data recorded inside.
このような外部ネットワークからの攻撃を防止するため、IDS(Intrusion Detection System)やIPS(Intrusion Protection System)といった不正を検知する技術が一般的に用いられている。IDSおよびIPSは、不正アクセスやウイルス等を不正な攻撃として検知するシステムであり、IDSは不正な攻撃を管理者へ通知するのに対し、IPSは管理者へ通知するとともに自動的に通信を遮断する。 In order to prevent such an attack from an external network, techniques for detecting fraud such as IDS (Intrusion Detection System) and IPS (Intrusion Protection System) are generally used. IDS and IPS are systems that detect unauthorized access and viruses as unauthorized attacks. IDS notifies administrators of unauthorized attacks, while IPS notifies administrators and automatically blocks communications. To do.
このようなIDSおよびIPSとして、不正アクセスやコンピュータウィルスを特徴付けるシグネチャデータを、ネットワークを介して配布して監視を行う技術が提案されている(例えば特許文献1)。 As such IDS and IPS, a technique has been proposed in which signature data characterizing unauthorized access and computer virus is distributed and monitored via a network (for example, Patent Document 1).
しかし、仮想マシンを動作させる仮想化基盤上に特許文献1の技術を適用する場合、多くの仮想マシンの起動が想定され、これら一つ一つの仮想マシンのOSやセキュリティ要件に適合したシグネチャデータを設定することが困難となる。また、各仮想マシンのOSやセキュリティ要件に適合したシグネチャデータを設定する場合、管理者は各仮想マシンに対応したシグネチャデータを手動で設定し、仮想マシン毎に配信する必要がある。したがって各仮想マシンに適合したシグネチャデータを効率よく設定するという観点からみると未だ十分とは言えない。
However, when the technology of
本発明は、上述のような事情に鑑みてなされたものであり、各仮想マシンに適合したシグネチャデータを効率よく設定することのできるセキュリティ設定システム、セキュリティ設定方法およびプログラムを提供することを目的としている。 The present invention has been made in view of the circumstances as described above, and an object thereof is to provide a security setting system, a security setting method, and a program capable of efficiently setting signature data suitable for each virtual machine. Yes.
上記目的を達成するため、本発明の第1の観点に係るセキュリティ設定システムは、
起動対象の仮想マシンを定義する仮想マシンイメージの識別情報を取得する仮想マシンイメージ識別情報取得手段と、
前記起動対象の仮想マシンを識別する仮想マシン識別情報を取得する仮想マシン識別情報取得手段と、
前記仮想マシンイメージに基づいて起動される仮想マシンに対して検出すべき通信データを含むシグネチャファイルを識別するシグネチャ識別情報を、前記仮想マシンイメージの識別情報に対応づけて記憶するシグネチャ識別情報記憶手段と、
前記仮想マシンイメージ識別情報取得手段で取得した仮想マシンイメージの識別情報に対応する前記シグネチャ識別情報を、前記シグネチャ識別情報記憶手段に記憶したシグネチャ識別情報に基づいて特定するシグネチャ識別情報特定手段と、
前記仮想マシン識別情報取得手段で取得した仮想マシン識別情報を前記シグネチャ識別情報特定手段で特定したシグネチャ識別情報により示されるシグネチャファイルに対応づけて記憶するシグネチャファイル記憶手段と、
前記シグネチャファイル記憶手段によりシグネチャファイルが記憶されたことに応答して前記起動対象の仮想マシンを起動する仮想マシン起動手段と、
前記仮想マシン起動手段で起動された仮想マシンに対する通信データに前記検出すべき通信データが含まれているか否かを前記シグネチャファイル記憶手段に記憶したシグネチャファイルに基づいて判定し、前記検出すべき通信データが含まれていると判定した場合に前記仮想マシンに対する通信を制限する通信制限手段と、
を備えることを特徴とする。
In order to achieve the above object, a security setting system according to the first aspect of the present invention provides:
A virtual machine image identification information acquisition means for acquiring identification information of a virtual machine image that defines a virtual machine to be started;
Virtual machine identification information acquisition means for acquiring virtual machine identification information for identifying the virtual machine to be activated;
Signature identification information storage means for storing signature identification information for identifying a signature file including communication data to be detected for a virtual machine activated based on the virtual machine image in association with the identification information of the virtual machine image When,
Signature identification information specifying means for specifying the signature identification information corresponding to the virtual machine image identification information acquired by the virtual machine image identification information acquisition means based on the signature identification information stored in the signature identification information storage means;
Signature file storage means for storing the virtual machine identification information acquired by the virtual machine identification information acquisition means in association with the signature file indicated by the signature identification information specified by the signature identification information specifying means;
Virtual machine activation means for activating the virtual machine to be activated in response to the signature file being stored by the signature file storage means;
It is determined based on a signature file stored in the signature file storage means whether or not the communication data to be detected is included in the communication data for the virtual machine activated by the virtual machine activation means, and the communication to be detected Communication limiting means for limiting communication to the virtual machine when it is determined that data is included;
It is characterized by providing.
前記通信制御手段は、
利用が要求される仮想マシンの仮想マシン識別情報と前記仮想マシンに対する通信データを示す操作情報とを記憶する仮想マシン識別情報記憶手段と、
前記シグネチャファイル記憶手段で記憶したシグネチャファイルのうち前記仮想マシン識別情報記憶手段に記憶した仮想マシン識別情報に対応するシグネチャファイルを取得するシグネチャファイル取得手段と、
前記シグネチャファイル取得手段で取得したシグネチャファイルの内容と前記仮想マシン識別情報記憶手段で記憶した操作情報の内容とを照合することにより前記検出すべき通信データの有無を判定する不正通信判定手段と、
前記不正通信判定手段により検出すべき通信データ有りと判定された場合に仮想マシンの管理者端末にネットワークを介して不正通信が行われていることを通知する不正通信通知手段と、
をさらに備えるようにしてもよい。
The communication control means includes
Virtual machine identification information storage means for storing virtual machine identification information of a virtual machine requested to be used and operation information indicating communication data for the virtual machine;
Signature file acquisition means for acquiring a signature file corresponding to the virtual machine identification information stored in the virtual machine identification information storage means among the signature files stored in the signature file storage means;
Unauthorized communication determination means for determining the presence or absence of communication data to be detected by comparing the contents of the signature file acquired by the signature file acquisition means and the contents of the operation information stored in the virtual machine identification information storage means;
An unauthorized communication notification means for notifying that an unauthorized communication is being performed via the network to an administrator terminal of the virtual machine when it is determined by the unauthorized communication determination means that there is communication data to be detected;
May be further provided.
前記仮想マシン識別情報記憶手段は、前記仮想マシン識別情報と前記操作情報とを仮想マシンの利用を要求するユーザが使用する通信端末からネットワークを介して取得し、
前記不正通信通知手段は、前記不正通信判定手段により検出すべき通信データ有りと判定された場合に前記通信端末との通信を遮断する、
ようにしてもよい。
The virtual machine identification information storage means acquires the virtual machine identification information and the operation information from a communication terminal used by a user who requests use of a virtual machine via a network.
The unauthorized communication notifying means interrupts communication with the communication terminal when it is determined that there is communication data to be detected by the unauthorized communication determining means.
You may do it.
上記目的を達成するため、本発明の第2の観点に係るセキュリティ設定方法は、
起動対象の仮想マシンを定義する仮想マシンイメージの識別情報を取得する仮想マシンイメージ識別情報取得ステップと、
前記起動対象の仮想マシンを識別する仮想マシン識別情報を取得する仮想マシン識別情報取得ステップと、
前記仮想マシンイメージに基づいて起動される仮想マシンに対して検出すべき通信データを含むシグネチャファイルを識別するシグネチャ識別情報を、前記仮想マシンイメージの識別情報に対応づけて記憶するシグネチャ識別情報記憶ステップと、
前記仮想マシンイメージ識別情報取得ステップで取得した仮想マシンイメージの識別情報に対応する前記シグネチャ識別情報を、前記シグネチャ識別情報記憶ステップで記憶したシグネチャ識別情報に基づいて特定するシグネチャ識別情報特定ステップと、
前記仮想マシン識別情報取得ステップで取得した仮想マシン識別情報を前記シグネチャ識別情報特定ステップで特定したシグネチャ識別情報により示されるシグネチャファイルに対応づけて記憶するシグネチャファイル記憶ステップと、
前記シグネチャファイル記憶ステップによりシグネチャファイルが記憶されたことに応答して前記起動対象の仮想マシンを起動する仮想マシン起動ステップと、
前記仮想マシン起動ステップで起動された仮想マシンに対する通信データに前記検出すべき通信データが含まれているか否かを前記シグネチャファイル記憶ステップで記憶したシグネチャファイルに基づいて判定し、前記検出すべき通信データが含まれていると判定した場合に前記仮想マシンに対する通信を制限する通信制限ステップと、
を備えることを特徴とする。
In order to achieve the above object, a security setting method according to the second aspect of the present invention includes:
A virtual machine image identification information acquisition step for acquiring identification information of a virtual machine image defining a virtual machine to be started;
A virtual machine identification information acquisition step for acquiring virtual machine identification information for identifying the virtual machine to be activated;
Signature identification information storing step for storing signature identification information for identifying a signature file including communication data to be detected for a virtual machine activated based on the virtual machine image in association with the identification information of the virtual machine image When,
A signature identification information specifying step for specifying the signature identification information corresponding to the virtual machine image identification information acquired in the virtual machine image identification information acquisition step based on the signature identification information stored in the signature identification information storage step;
A signature file storage step for storing the virtual machine identification information acquired in the virtual machine identification information acquisition step in association with the signature file indicated by the signature identification information specified in the signature identification information specification step;
A virtual machine starting step of starting the virtual machine to be started in response to the signature file being stored by the signature file storing step;
It is determined based on the signature file stored in the signature file storage step whether or not the communication data to be detected is included in the communication data for the virtual machine activated in the virtual machine activation step, and the communication to be detected A communication restriction step for restricting communication to the virtual machine when it is determined that data is included;
It is characterized by providing.
上記目的を達成するため、本発明の第3の観点に係るプログラムは、
コンピュータを、
起動対象の仮想マシンを定義する仮想マシンイメージの識別情報を取得する仮想マシンイメージ識別情報取得手段、
前記起動対象の仮想マシンを識別する仮想マシン識別情報を取得する仮想マシン識別情報取得手段、
前記仮想マシンイメージに基づいて起動される仮想マシンに対して検出すべき通信データを含むシグネチャファイルを識別するシグネチャ識別情報を、前記仮想マシンイメージの識別情報に対応づけて記憶するシグネチャ識別情報記憶手段、
前記仮想マシンイメージ識別情報取得手段で取得した仮想マシンイメージの識別情報に対応する前記シグネチャ識別情報を、前記シグネチャ識別情報記憶手段に記憶したシグネチャ識別情報に基づいて特定するシグネチャ識別情報特定手段、
前記仮想マシン識別情報取得手段で取得した仮想マシン識別情報を前記シグネチャ識別情報特定手段で特定したシグネチャ識別情報により示されるシグネチャファイルに対応づけて記憶するシグネチャファイル記憶手段、
前記シグネチャファイル記憶手段によりシグネチャファイルが記憶されたことに応答して前記起動対象の仮想マシンを起動する仮想マシン起動手段、
前記仮想マシン起動手段で起動された仮想マシンに対する通信データに前記検出すべき通信データが含まれているか否かを前記シグネチャファイル記憶手段に記憶したシグネチャファイルに基づいて判定し、前記検出すべき通信データが含まれていると判定した場合に前記仮想マシンに対する通信を制限する通信制限手段、
として機能させることを特徴とする。
In order to achieve the above object, a program according to the third aspect of the present invention provides:
Computer
Virtual machine image identification information acquisition means for acquiring identification information of a virtual machine image defining a virtual machine to be started,
Virtual machine identification information acquisition means for acquiring virtual machine identification information for identifying the virtual machine to be activated,
Signature identification information storage means for storing signature identification information for identifying a signature file including communication data to be detected for a virtual machine activated based on the virtual machine image in association with the identification information of the virtual machine image ,
Signature identification information specifying means for specifying the signature identification information corresponding to the virtual machine image identification information acquired by the virtual machine image identification information acquisition means based on the signature identification information stored in the signature identification information storage means;
Signature file storage means for storing the virtual machine identification information acquired by the virtual machine identification information acquisition means in association with the signature file indicated by the signature identification information specified by the signature identification information specifying means;
Virtual machine activation means for activating the virtual machine to be activated in response to the signature file being stored by the signature file storage means;
It is determined based on a signature file stored in the signature file storage means whether or not the communication data to be detected is included in the communication data for the virtual machine activated by the virtual machine activation means, and the communication to be detected Communication restriction means for restricting communication to the virtual machine when it is determined that data is included;
It is made to function as.
本発明によれば、各仮想マシンに適合したシグネチャデータを効率よく設定するこのできるセキュリティ設定システム、セキュリティ設定方法およびプログラムを提供することができる。 According to the present invention, it is possible to provide a security setting system, a security setting method, and a program that can efficiently set signature data suitable for each virtual machine.
以下、本発明の実施形態に係るセキュリティ設定システムを、図面を参照して説明する。 Hereinafter, a security setting system according to an embodiment of the present invention will be described with reference to the drawings.
本実施形態に係るセキュリティ設定システム100は、仮想マシン管理装置200と、DBサーバ300とから構成される。セキュリティ設定システム100は、仮想化基盤上で動作する複数の仮想マシンのOSや機能に適合するシグネチャであって予め作成されたものを、DBサーバ300上で管理し、仮想マシンの起動と同時に、各仮想マシンに対応するシグネチャをデータベース上から検索し、配信、設定する、プログラム制御により動作するコンピュータシステムである。
The
仮想マシン管理装置200は、主に、仮想マシンの管理者からの入力操作に応じて、起動が要求される仮想マシンに対するシグネチャデータの設定を行うコンピュータであり、図1に示すように、記憶部210と、制御部220と、通信部230と、上記各部を相互に接続するシステムバス240を備えている。
The virtual
記憶部210は、フラッシュメモリ、ハードディスク等の不揮発性メモリから構成され、制御部220の各機能部を実現させるためのプログラムと仮想マシン識別情報一覧が記憶されている。また、記憶部210には、後述する処理により、一の仮想マシン識別情報と複数のシグネチャファイルとを対応付ける仮想シグネチャ管理テーブルが格納される。
The
制御部220は、CPU等から構成される。制御部220は、プログラムに従って動作し、起動を要求された仮想マシンに適合するシグネチャデータを設定する設定処理や、仮想マシンの利用者からの仮想マシン利用要求にしたがってパケットの照合を行う照合処理に必要な機能を提供する。制御部220は、プログラムにより提供される主要な機能部として、仮想マシン管理部221と、シグネチャ管理部222と、パケット監視部223を備えている。
The control unit 220 includes a CPU and the like. The control unit 220 operates in accordance with a program and performs setting processing for setting signature data suitable for a virtual machine requested to be started, and verification processing for matching packets according to a virtual machine usage request from a virtual machine user. Provide necessary functions. The control unit 220 includes a virtual
仮想マシン管理部221は、詳しくは後述するが、記憶部210に格納されている仮想マシン識別情報一覧に従って起動を要求された仮想マシンに一意に対応する仮想マシン識別情報を作成する機能と、シグネチャ管理部222に、対応するシグネチャデータの取得を要求する機能と、起動を要求された仮想マシンを起動する機能を有している。
As will be described in detail later, the virtual
シグネチャ管理部222は、詳しくは後述するが、仮想マシン管理部221からの要求に応じてDBサーバ300に、対応するシグネチャデータの検索と取得を要求する機能と、取得したシグネチャデータをシグネチャ管理テーブルとして記憶部210へ格納する機能を有している。
As will be described in detail later, the
パケット監視部223は、詳しくは後述するが、仮想マシンの利用者からの利用要求に応じて、記憶部210に格納されているシグネチャID管理テーブルを参照してパケットパターンの照合を行い、仮想マシンへのアクセス許可を判定する機能を有している。
As will be described later in detail, the
通信部230は、シリアルインタフェース、或いはアナログ信号を受信するためのアナログインタフェースを有している。通信部230は、制御部220による制御により、DBサーバ300と通信を行う。
The
DBサーバ300は、仮想マシン管理装置200からの指示にしたがって、対応するシグネチャデータを検索し、仮想マシン管理装置200へシグネチャデータを提供するコンピュータである。DBサーバ300には、図2に示すようなシグネチャ管理DBと図3に示すような仮想マシンイメージ管理DBとが格納される。図2に示すシグネチャ管理DBは、シグネチャファイル管理テーブルとシグネチャID管理テーブルとから構成され、シグネチャファイル管理テーブルは、不正アクセスやウイルスの情報を定義したシグネチャファイルを、シグネチャを識別するシグネチャ識別情報ごとに対応づけたテーブルである。なお、シグネチャファイルには、不正アクセスやウイルスを検出した際に行われる処理等も含まれている。シグネチャID管理テーブルは、シグネチャ識別情報を、仮想マシンイメージを識別する仮想マシン識別情報ごとに対応づけたテーブルである。図3に示す仮想マシンイメージ管理DBは、仮想マシンイメージ管理テーブルから構成される。仮想マシンイメージ管理テーブルは、仮想マシンイメージファイルを特定する仮想マシンイメージファイル名を、仮想マシンイメージを識別する仮想マシン識別情報と対応づけたテーブルである。
The
DBサーバ300は、仮想マシン管理装置200からの要求にしたがって仮想マシンイメージファイルやシグネチャファイルを、格納された各種テーブルから検索し、仮想マシン管理装置200へ提供する。
The
以上が、セキュリティ設定システム100の構成である。続いて、セキュリティ設定システム100の動作について、図4〜図6を参照して説明する。
The above is the configuration of the
まず、設定処理におけるセキュリティ設定システム100の動作について、図4を参照して説明する。設定処理は、仮想マシンの管理者によるコンピュータの入力操作により、仮想マシンの起動要求を、通信部230を介して受信することにより開始される。
First, the operation of the
制御部220は、仮想マシン管理部221の機能により仮想マシンの起動要求を取得する(ステップS101)。仮想マシンの起動要求には、起動が要求される仮想マシンの仮想マシンイメージ識別情報が含まれている。 The control unit 220 acquires a virtual machine activation request by the function of the virtual machine management unit 221 (step S101). The virtual machine activation request includes virtual machine image identification information of the virtual machine requested to be activated.
そして、仮想マシン管理部221は、記憶部210に格納されている仮想マシン識別情報一覧に含まれる複数の仮想マシン識別情報から任意の識別情報を選択するなどして、仮想マシン識別情報を生成する(ステップS102)。なお、一度選択された仮想マシン識別情報は、仮想マシンの起動が終了するまでは再度選択されることのないように仮想マシン管理部221により制御される。また、起動を要求する仮想マシンが複数ある場合には、それぞれの要求に対して仮想マシン識別情報が生成される。
Then, the virtual
続いて仮想マシン管理部221は、仮想マシンイメージ識別情報を、通信部230を介してDBサーバ300へ送信し、仮想マシンイメージファイルの送信を要求する(ステップS103)。仮想マシンイメージファイルは、起動する仮想マシンの構成を定義する構成情報定義ファイルなどであり、仮想マシンを起動する際に参照される。
Subsequently, the virtual
DBサーバ300は、仮想マシン管理装置200から仮想マシンイメージ識別情報を受信すると、仮想マシン管理装置200からの要求に応じたデータを検索して提供する検索処理を開始する。まず、DBサーバ300は、仮想マシンイメージ管理DBを参照することにより、当該仮想マシンイメージ識別情報に対応する仮想マシンイメージファイルを検索して特定する(ステップS201)。そしてDBサーバ300は、検索結果として、特定した仮想マシンイメージファイルを仮想マシン管理装置200へ送信する(ステップS202)。
When the
仮想マシン管理装置200の制御部220は、仮想マシン管理部221の機能により通信部230を介して仮想マシンイメージファイルを取得すると、仮想マシン識別情報と仮想マシンイメージ識別情報とをシグネチャ管理部222へ渡す。シグネチャ管理部222は、仮想マシン識別情報と仮想マシンイメージ識別情報とを取得すると、取得した仮想マシンイメージ識別情報を、通信部230を介してDBサーバ300へ送信してシグネチャファイルの送信を要求する(ステップS104)。
When the control unit 220 of the virtual
DBサーバ300は、仮想マシン管理装置200から仮想マシンイメージ識別情報を受信すると、当該仮想マシンイメージ識別情報に対応するシグネチャ識別情報を、シグネチャID管理テーブルを参照して特定する(ステップS203)。続いてDBサーバ300は、ステップS203の処理で特定したシグネチャ識別情報に対応するシグネチャファイルを、シグネチャファイル管理テーブルを参照して特定する(ステップS204)。ステップS204の処理の後、DBサーバ300は、特定してシグネチャファイルを仮想マシン管理装置200に送信して(ステップS205)、処理を終了する。
When receiving the virtual machine image identification information from the virtual
仮想マシン管理装置200の制御部220は、シグネチャ管理部222の機能により通信部230を介してシグネチャファイルを取得すると、図5に示すように、取得したシグネチャファイルをステップS104の処理で取得した仮想マシン識別情報と対応付けて、記憶部210の仮想シグネチャ管理DBのシグネチャ管理テーブルへ格納する(ステップS105)。ステップS106の処理の後、シグネチャ管理部222は、シグネチャID管理テーブルへの格納が正常に行われたことを示す格納完了通知を仮想マシン管理部221へ渡す。
When the control unit 220 of the virtual
図4に戻り、仮想マシン管理部221は、格納完了通知を取得すると、ステップS202の処理によりDBサーバ300から送信された仮想マシンイメージファイルに基づいて、仮想マシンの管理者により起動の要求された仮想マシンを起動する(ステップS106)。
Returning to FIG. 4, when the virtual
ステップS106の処理の後、仮想マシン管理部221は、仮想マシンの起動が完了したことを示す起動完了通知を、通信部230を介して仮想マシンの管理者に送信し(ステップS107)、設定処理を終了する。
After the process of step S106, the virtual
次に、照合処理におけるセキュリティ設定システム100の動作について、図6を参照して説明する。照合処理は、対象となる仮想マシンの通信を監視する処理であり、仮想マシンが起動されることにより開始される。ここでは、仮想マシンの利用者により仮想マシンに対する利用要求が送信された場合における通信の監視を例に説明する。
Next, the operation of the
制御部220は、パケット監視部223の機能により、仮想マシンの利用要求を取得する(ステップS301)。仮想マシンの利用要求には、利用が要求される仮想マシンの仮想マシン識別情報と、当該仮想マシン上での処理の内容や通信データの内容を示す操作情報とが含まれている。なお、当該セキュリティ設定システム100は、仮想マシンに対する通信を全て監視するため、利用要求に限らず、例えば、通信の宛先やポート番号、プロトコルやパケットのデータ部を取得する機能も有している。
The control unit 220 acquires a virtual machine use request by the function of the packet monitoring unit 223 (step S301). The use request for the virtual machine includes virtual machine identification information of the virtual machine requested to be used, and operation information indicating the contents of processing on the virtual machine and the contents of communication data. Since the
続いてパケット監視部223は、取得した仮想マシン識別情報に基づいて、当該仮想マシン識別情報に対応するシグネチャファイルを、記憶部210に格納されている仮想シグネチャ管理テーブルから検索して特定する(ステップS302)。パケット監視部223は、ステップS302の処理で特定したシグネチャファイルを参照することで、当該シグネチャファイルの内容と、ステップS301の処理で取得した仮想マシンの利用要求に含まれる操作情報とを照合し、不正パケットであるか否かを判定する(ステップS303)。
Subsequently, based on the acquired virtual machine identification information, the
ステップS303の処理では、例えば、当該操作情報により示される通信データパケットのパケットパターンが、ステップS302の処理で特定したシグネチャファイルに含まれているか否かを、当該シグネチャファイルの内容(シグネチャデータ)を参照して判定する。パケット監視部223は、シグネチャファイルに当該パケットパターンが含まれている場合に不正パケットであると判定し、含まれていない場合には、不正パケットではないと判定する。
In the process of step S303, for example, whether or not the packet pattern of the communication data packet indicated by the operation information is included in the signature file specified in the process of step S302, the contents (signature data) of the signature file are determined. Judgment by reference. The
ステップS303の処理において、不正パケットではないと判定した場合(ステップS303;No)、パケット監視部223は、ステップS301で取得した仮想マシンの利用要求により特定される仮想マシンに対してのアクセスを許可し、操作情報により特定される操作を開始させ(ステップS304)、処理を終了する。
If it is determined in step S303 that the packet is not an illegal packet (step S303; No), the
一方、ステップS303の処理において、不正パケットであると判定した場合(ステップS303;Yes)、パケット監視部223は、当該セキュリティ設定システム100がIDSを採用しているかIPSを採用しているかに応じた処理を行い(ステップS306)、処理を終了する。
On the other hand, if it is determined in step S303 that the packet is an illegal packet (step S303; Yes), the
例えば、当該セキュリティ設定システム100がIDSを採用している場合には、不正パケットを検知したことを示す不正検知情報を、仮想マシンの管理者へ送信し、IPSを採用している場合には、不正パケットを検知した場合に、当該パケットを破棄して、仮想マシンの管理者と利用者に通知する。なお、この例では当該セキュリティ設定システム100における照合処理にて、仮想マシンに対する通信の監視を行う処理について説明したが、当該セキュリティ設定システム100は、監視対象の仮想マシンから利用者端末等への通信についても同様にして監視を行うことができる。
For example, when the
以上が、セキュリティ設定システム100の動作である。このような構成によれば、仮想マシンイメージを識別する仮想マシンイメージ識別情報に対応するシグネチャ識別情報が特定され、特定されたシグネチャ識別情報により識別されるシグネチャファイルが動的に設定されることとなる。したがって、各仮想マシンに適合したシグネチャデータを効率よく設定することができる。また、各仮想マシンの起動と同時に動的にシグネチャデータが設定されるため、仮想マシンの起動からシグネチャデータを設定するまでのタイムラグが解消され、その間における不正アクセス等の攻撃を防止することができる。
The operation of the
(変形例)
この発明は、上記の実施形態に限定されず、種々の変形及び応用が可能である。図4に示す設定処理において、ステップS102の処理の後に、ステップS103の処理とステップS201〜S202の処理を実行する例を示したが、これは一例である。当該ステップS103の処理とステップS201〜S202の処理は、ステップS105の処理の後でステップS106における仮想マシンの起動前に実行してもよい。
(Modification)
The present invention is not limited to the above-described embodiment, and various modifications and applications are possible. In the setting process shown in FIG. 4, the example in which the process in step S103 and the processes in steps S201 to S202 are executed after the process in step S102 is shown, but this is an example. The processing in step S103 and the processing in steps S201 to S202 may be executed after the processing in step S105 and before the virtual machine is started in step S106.
また、上記実施形態では、セキュリティ設定システム100が仮想マシン管理装置200と、DBサーバ300とから構成される例を示したが、仮想マシン管理装置200が、DBサーバ300が備えるシグネチャ管理DBと仮想マシンイメージ管理DBとを備えていれば、セキュリティ設定システム100は、仮想マシン管理装置200から構成されてもよい。
In the above embodiment, the
また、上記実施形態では、物理的構成を有する仮想マシン管理装置200により上記各処理を実行する例を示したが、これは一例である。例えば、図示しないサーバ上で予め格納されている仮想化ソフトウェアを起動し、当該仮想マシン管理装置200における各構成を仮想化環境で使用してもよい。すなわち、仮想マシン管理装置200自体を仮想サーバとしてもよい。
In the above-described embodiment, an example in which each process is executed by the virtual
上記実施形態では、ステップS105の処理において、シグネチャファイルを仮想マシン識別情報と対応付けて仮想シグネチャ管理DBのシグネチャ管理テーブルに格納する例を示したが、当該仮想シグネチャ管理テーブルは仮想マシン毎に、仮想マシンの管理者により編集可能であってもよい。この場合には、編集後のシグネチャファイルのファイル名を変更することが望ましい。 In the above embodiment, in the process of step S105, an example is shown in which the signature file is associated with the virtual machine identification information and stored in the signature management table of the virtual signature management DB. However, the virtual signature management table is It may be editable by the administrator of the virtual machine. In this case, it is desirable to change the file name of the signature file after editing.
また、上述の機能を、OS(Operating System)とアプリケーションとの分担、またはOSとアプリケーションとの協同により実現する場合等には、OS以外の部分のみを媒体に格納してもよい。 Further, when the above-described functions are realized by sharing between an OS (Operating System) and an application, or by cooperation between the OS and the application, only a part other than the OS may be stored in the medium.
また、搬送波にプログラムを重畳し、通信ネットワークを介して配信することも可能である。例えば、通信ネットワーク上の掲示板(BBS、Bulletin Board System)に当該プログラムを掲示し、ネットワークを介して当該プログラムを配信してもよい。そして、これらのプログラムを起動し、オペレーティングシステムの制御下で、他のアプリケーションプログラムと同様に実行することにより、上述の処理を実行できるように構成してもよい。 It is also possible to superimpose a program on a carrier wave and distribute it via a communication network. For example, the program may be posted on a bulletin board (BBS, Bulletin Board System) on a communication network, and the program may be distributed via the network. Then, the above-described processing may be executed by starting these programs and executing them in the same manner as other application programs under the control of the operating system.
100 セキュリティ設定システム
200 仮想マシン管理装置
210 記憶部
220 制御部
221 仮想マシン管理部
222 シグネチャ管理部
223 パケット監視部
230 通信部
240 システムバス
300 DBサーバ
DESCRIPTION OF
Claims (5)
前記起動対象の仮想マシンを識別する仮想マシン識別情報を取得する仮想マシン識別情報取得手段と、
前記仮想マシンイメージに基づいて起動される仮想マシンに対して検出すべき通信データを含むシグネチャファイルを識別するシグネチャ識別情報を、前記仮想マシンイメージの識別情報に対応づけて記憶するシグネチャ識別情報記憶手段と、
前記仮想マシンイメージ識別情報取得手段で取得した仮想マシンイメージの識別情報に対応する前記シグネチャ識別情報を、前記シグネチャ識別情報記憶手段に記憶したシグネチャ識別情報に基づいて特定するシグネチャ識別情報特定手段と、
前記仮想マシン識別情報取得手段で取得した仮想マシン識別情報を前記シグネチャ識別情報特定手段で特定したシグネチャ識別情報により示されるシグネチャファイルに対応づけて記憶するシグネチャファイル記憶手段と、
前記シグネチャファイル記憶手段によりシグネチャファイルが記憶されたことに応答して前記起動対象の仮想マシンを起動する仮想マシン起動手段と、
前記仮想マシン起動手段で起動された仮想マシンに対する通信データに前記検出すべき通信データが含まれているか否かを前記シグネチャファイル記憶手段に記憶したシグネチャファイルに基づいて判定し、前記検出すべき通信データが含まれていると判定した場合に前記仮想マシンに対する通信を制限する通信制限手段と、
を備えることを特徴とするセキュリティ設定システム。 A virtual machine image identification information acquisition means for acquiring identification information of a virtual machine image that defines a virtual machine to be started;
Virtual machine identification information acquisition means for acquiring virtual machine identification information for identifying the virtual machine to be activated;
Signature identification information storage means for storing signature identification information for identifying a signature file including communication data to be detected for a virtual machine activated based on the virtual machine image in association with the identification information of the virtual machine image When,
Signature identification information specifying means for specifying the signature identification information corresponding to the virtual machine image identification information acquired by the virtual machine image identification information acquisition means based on the signature identification information stored in the signature identification information storage means;
Signature file storage means for storing the virtual machine identification information acquired by the virtual machine identification information acquisition means in association with the signature file indicated by the signature identification information specified by the signature identification information specifying means;
Virtual machine activation means for activating the virtual machine to be activated in response to the signature file being stored by the signature file storage means;
It is determined based on a signature file stored in the signature file storage means whether or not the communication data to be detected is included in the communication data for the virtual machine activated by the virtual machine activation means, and the communication to be detected Communication limiting means for limiting communication to the virtual machine when it is determined that data is included;
A security setting system comprising:
利用が要求される仮想マシンの仮想マシン識別情報と前記仮想マシンに対する通信データを示す操作情報とを記憶する仮想マシン識別情報記憶手段と、
前記シグネチャファイル記憶手段で記憶したシグネチャファイルのうち前記仮想マシン識別情報記憶手段に記憶した仮想マシン識別情報に対応するシグネチャファイルを取得するシグネチャファイル取得手段と、
前記シグネチャファイル取得手段で取得したシグネチャファイルの内容と前記仮想マシン識別情報記憶手段で記憶した操作情報の内容とを照合することにより前記検出すべき通信データの有無を判定する不正通信判定手段と、
前記不正通信判定手段により検出すべき通信データ有りと判定された場合に仮想マシンの管理者端末にネットワークを介して不正通信が行われていることを通知する不正通信通知手段と、
をさらに備えることを特徴とする請求項1に記載のセキュリティ設定システム。 The communication control means includes
Virtual machine identification information storage means for storing virtual machine identification information of a virtual machine requested to be used and operation information indicating communication data for the virtual machine;
Signature file acquisition means for acquiring a signature file corresponding to the virtual machine identification information stored in the virtual machine identification information storage means among the signature files stored in the signature file storage means;
Unauthorized communication determination means for determining the presence or absence of communication data to be detected by comparing the contents of the signature file acquired by the signature file acquisition means and the contents of the operation information stored in the virtual machine identification information storage means;
An unauthorized communication notification means for notifying that an unauthorized communication is being performed via the network to an administrator terminal of the virtual machine when it is determined by the unauthorized communication determination means that there is communication data to be detected;
The security setting system according to claim 1, further comprising:
前記不正通信通知手段は、前記不正通信判定手段により検出すべき通信データ有りと判定された場合に前記通信端末との通信を遮断する、
ことを特徴とする請求項2に記載のセキュリティ設定システム。 The virtual machine identification information storage means acquires the virtual machine identification information and the operation information from a communication terminal used by a user who requests use of a virtual machine via a network.
The unauthorized communication notifying means interrupts communication with the communication terminal when it is determined that there is communication data to be detected by the unauthorized communication determining means.
The security setting system according to claim 2.
前記起動対象の仮想マシンを識別する仮想マシン識別情報を取得する仮想マシン識別情報取得ステップと、
前記仮想マシンイメージに基づいて起動される仮想マシンに対して検出すべき通信データを含むシグネチャファイルを識別するシグネチャ識別情報を、前記仮想マシンイメージの識別情報に対応づけて記憶するシグネチャ識別情報記憶ステップと、
前記仮想マシンイメージ識別情報取得ステップで取得した仮想マシンイメージの識別情報に対応する前記シグネチャ識別情報を、前記シグネチャ識別情報記憶ステップで記憶したシグネチャ識別情報に基づいて特定するシグネチャ識別情報特定ステップと、
前記仮想マシン識別情報取得ステップで取得した仮想マシン識別情報を前記シグネチャ識別情報特定ステップで特定したシグネチャ識別情報により示されるシグネチャファイルに対応づけて記憶するシグネチャファイル記憶ステップと、
前記シグネチャファイル記憶ステップによりシグネチャファイルが記憶されたことに応答して前記起動対象の仮想マシンを起動する仮想マシン起動ステップと、
前記仮想マシン起動ステップで起動された仮想マシンに対する通信データに前記検出すべき通信データが含まれているか否かを前記シグネチャファイル記憶ステップで記憶したシグネチャファイルに基づいて判定し、前記検出すべき通信データが含まれていると判定した場合に前記仮想マシンに対する通信を制限する通信制限ステップと、
を備えることを特徴とするセキュリティ設定方法。 A virtual machine image identification information acquisition step for acquiring identification information of a virtual machine image defining a virtual machine to be started;
A virtual machine identification information acquisition step for acquiring virtual machine identification information for identifying the virtual machine to be activated;
Signature identification information storing step for storing signature identification information for identifying a signature file including communication data to be detected for a virtual machine activated based on the virtual machine image in association with the identification information of the virtual machine image When,
A signature identification information specifying step for specifying the signature identification information corresponding to the virtual machine image identification information acquired in the virtual machine image identification information acquisition step based on the signature identification information stored in the signature identification information storage step;
A signature file storage step for storing the virtual machine identification information acquired in the virtual machine identification information acquisition step in association with the signature file indicated by the signature identification information specified in the signature identification information specification step;
A virtual machine starting step of starting the virtual machine to be started in response to the signature file being stored by the signature file storing step;
It is determined based on the signature file stored in the signature file storage step whether or not the communication data to be detected is included in the communication data for the virtual machine activated in the virtual machine activation step, and the communication to be detected A communication restriction step for restricting communication to the virtual machine when it is determined that data is included;
A security setting method comprising:
起動対象の仮想マシンを定義する仮想マシンイメージの識別情報を取得する仮想マシンイメージ識別情報取得手段、
前記起動対象の仮想マシンを識別する仮想マシン識別情報を取得する仮想マシン識別情報取得手段、
前記仮想マシンイメージに基づいて起動される仮想マシンに対して検出すべき通信データを含むシグネチャファイルを識別するシグネチャ識別情報を、前記仮想マシンイメージの識別情報に対応づけて記憶するシグネチャ識別情報記憶手段、
前記仮想マシンイメージ識別情報取得手段で取得した仮想マシンイメージの識別情報に対応する前記シグネチャ識別情報を、前記シグネチャ識別情報記憶手段に記憶したシグネチャ識別情報に基づいて特定するシグネチャ識別情報特定手段、
前記仮想マシン識別情報取得手段で取得した仮想マシン識別情報を前記シグネチャ識別情報特定手段で特定したシグネチャ識別情報により示されるシグネチャファイルに対応づけて記憶するシグネチャファイル記憶手段、
前記シグネチャファイル記憶手段によりシグネチャファイルが記憶されたことに応答して前記起動対象の仮想マシンを起動する仮想マシン起動手段、
前記仮想マシン起動手段で起動された仮想マシンに対する通信データに前記検出すべき通信データが含まれているか否かを前記シグネチャファイル記憶手段に記憶したシグネチャファイルに基づいて判定し、前記検出すべき通信データが含まれていると判定した場合に前記仮想マシンに対する通信を制限する通信制限手段、
として機能させることを特徴とするプログラム。 Computer
Virtual machine image identification information acquisition means for acquiring identification information of a virtual machine image defining a virtual machine to be started,
Virtual machine identification information acquisition means for acquiring virtual machine identification information for identifying the virtual machine to be activated,
Signature identification information storage means for storing signature identification information for identifying a signature file including communication data to be detected for a virtual machine activated based on the virtual machine image in association with the identification information of the virtual machine image ,
Signature identification information specifying means for specifying the signature identification information corresponding to the virtual machine image identification information acquired by the virtual machine image identification information acquisition means based on the signature identification information stored in the signature identification information storage means;
Signature file storage means for storing the virtual machine identification information acquired by the virtual machine identification information acquisition means in association with the signature file indicated by the signature identification information specified by the signature identification information specifying means;
Virtual machine activation means for activating the virtual machine to be activated in response to the signature file being stored by the signature file storage means;
It is determined based on a signature file stored in the signature file storage means whether or not the communication data to be detected is included in the communication data for the virtual machine activated by the virtual machine activation means, and the communication to be detected Communication restriction means for restricting communication to the virtual machine when it is determined that data is included;
A program characterized by functioning as
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012009490A JP5814138B2 (en) | 2012-01-19 | 2012-01-19 | Security setting system, security setting method and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012009490A JP5814138B2 (en) | 2012-01-19 | 2012-01-19 | Security setting system, security setting method and program |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015183559A Division JP6010672B2 (en) | 2015-09-17 | 2015-09-17 | Security setting system, security setting method and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013149109A true JP2013149109A (en) | 2013-08-01 |
JP5814138B2 JP5814138B2 (en) | 2015-11-17 |
Family
ID=49046542
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012009490A Active JP5814138B2 (en) | 2012-01-19 | 2012-01-19 | Security setting system, security setting method and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5814138B2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016095597A (en) * | 2014-11-12 | 2016-05-26 | 富士通株式会社 | Disposition control program, disposition controller and disposition control method |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005251189A (en) * | 2004-02-13 | 2005-09-15 | Microsoft Corp | System and method for protecting network-connected computer system from attacks |
US20060136720A1 (en) * | 2004-12-21 | 2006-06-22 | Microsoft Corporation | Computer security management, such as in a virtual machine or hardened operating system |
JP2007011628A (en) * | 2005-06-29 | 2007-01-18 | Matsushita Electric Ind Co Ltd | Signature distribution device and signature distribution system |
US20100043073A1 (en) * | 2008-08-13 | 2010-02-18 | Fujitsu Limited | Anti-virus method, computer, and recording medium |
JP2011160301A (en) * | 2010-02-02 | 2011-08-18 | Nec Corp | Packet transfer system, and method of avoiding packet concentration in the system |
-
2012
- 2012-01-19 JP JP2012009490A patent/JP5814138B2/en active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005251189A (en) * | 2004-02-13 | 2005-09-15 | Microsoft Corp | System and method for protecting network-connected computer system from attacks |
US20060136720A1 (en) * | 2004-12-21 | 2006-06-22 | Microsoft Corporation | Computer security management, such as in a virtual machine or hardened operating system |
JP2006178936A (en) * | 2004-12-21 | 2006-07-06 | Microsoft Corp | Computer security management, such as in virtual machine or hardened operating system |
JP2007011628A (en) * | 2005-06-29 | 2007-01-18 | Matsushita Electric Ind Co Ltd | Signature distribution device and signature distribution system |
US20100043073A1 (en) * | 2008-08-13 | 2010-02-18 | Fujitsu Limited | Anti-virus method, computer, and recording medium |
JP2010044613A (en) * | 2008-08-13 | 2010-02-25 | Fujitsu Ltd | Anti-virus method, computer, and program |
JP2011160301A (en) * | 2010-02-02 | 2011-08-18 | Nec Corp | Packet transfer system, and method of avoiding packet concentration in the system |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016095597A (en) * | 2014-11-12 | 2016-05-26 | 富士通株式会社 | Disposition control program, disposition controller and disposition control method |
Also Published As
Publication number | Publication date |
---|---|
JP5814138B2 (en) | 2015-11-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10630643B2 (en) | Dual memory introspection for securing multiple network endpoints | |
US9698988B2 (en) | Management control method, apparatus, and system for virtual machine | |
RU2568295C2 (en) | System and method for temporary protection of operating system of hardware and software from vulnerable applications | |
EP2973171B1 (en) | Context based switching to a secure operating system environment | |
JP2019512791A (en) | Protecting Dynamic and Temporary Virtual Machine Instances in Cloud Environments | |
US9652276B2 (en) | Hypervisor and virtual machine protection | |
WO2016160595A1 (en) | System and method for threat-driven security policy controls | |
EP3416333A1 (en) | Seamless provision of secret token to cloud-based assets on demand | |
US8826275B2 (en) | System and method for self-aware virtual machine image deployment enforcement | |
KR20160110274A (en) | Server Apparatus for Dynamic Secure Module and Driving Method Thereof | |
JP2014023120A (en) | Information processing apparatus, method, and program | |
CN113039542A (en) | Secure counting in cloud computing networks | |
KR101107056B1 (en) | Method for protecting important information of virtual machine in cloud computing environment | |
JP6010672B2 (en) | Security setting system, security setting method and program | |
JP5814138B2 (en) | Security setting system, security setting method and program | |
CN105791221B (en) | Rule issuing method and device | |
JP5736346B2 (en) | Virtualization device, virtualization control method, virtualization device control program | |
JP5835022B2 (en) | Distribution apparatus, distribution processing method and program, information processing apparatus, information processing method and program | |
JP2005044021A (en) | Network security method, network security program, network security system and information management device | |
US20130074190A1 (en) | Apparatus and method for providing security functions in computing system | |
JP5635115B2 (en) | Quarantine program, quarantine method and information processing apparatus | |
KR101415403B1 (en) | System and method for providign secure space being shared | |
WO2016148471A1 (en) | Dynamic security module server device and operating method thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140826 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150526 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150602 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150730 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150818 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150917 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5814138 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |