JP6272258B2 - Optimization device, optimization method, and optimization program - Google Patents

Optimization device, optimization method, and optimization program Download PDF

Info

Publication number
JP6272258B2
JP6272258B2 JP2015042492A JP2015042492A JP6272258B2 JP 6272258 B2 JP6272258 B2 JP 6272258B2 JP 2015042492 A JP2015042492 A JP 2015042492A JP 2015042492 A JP2015042492 A JP 2015042492A JP 6272258 B2 JP6272258 B2 JP 6272258B2
Authority
JP
Japan
Prior art keywords
pattern
security device
optimization
detection
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015042492A
Other languages
Japanese (ja)
Other versions
JP2016162350A (en
Inventor
泰大 寺本
泰大 寺本
永渕 幸雄
幸雄 永渕
高明 小山
高明 小山
寿春 岸
寿春 岸
博 故
博 故
秀雄 北爪
秀雄 北爪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2015042492A priority Critical patent/JP6272258B2/en
Publication of JP2016162350A publication Critical patent/JP2016162350A/en
Application granted granted Critical
Publication of JP6272258B2 publication Critical patent/JP6272258B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、最適化装置、最適化方法および最適化プログラムに関する。   The present invention relates to an optimization device, an optimization method, and an optimization program.

複雑かつ巧妙化するサイバー攻撃からネットワークを保護するために、FW(Fire Wall)、IDS(Intrusion Detection System)、WAF(Web Application Firewall)等の多様なセキュリティ機器が存在する。サイバー攻撃からネットワークを保護するため、事前に決められた静的なポリシーに基づいて、入力された通信のプロトコルやアプリケーション等の各種別に特化したセキュリティ機器を利用するようにトラヒック制御が行われている。   In order to protect networks from complex and sophisticated cyber attacks, there are various security devices such as FW (Fire Wall), IDS (Intrusion Detection System), WAF (Web Application Firewall) and the like. In order to protect the network from cyber attacks, traffic control is performed based on static policies determined in advance to use specialized security devices such as input communication protocols and applications. Yes.

しかしながら、セキュリティ機器によってサイバー攻撃の検知特性に差があるため、単一のセキュリティ機器によれば、複雑かつ巧妙化するサイバー攻撃の見逃しが発生してしまう。サイバー攻撃を見逃すと、ネットワークに対して重大な問題を引き起こしかねないため、サイバー攻撃の見逃しを削減することは重要な課題である。そこで、複数のセキュリティ機器を利用してサイバー攻撃の検知性能の低下を防止している。   However, since there is a difference in the detection characteristics of cyber attacks depending on the security device, a single security device may miss a complicated and sophisticated cyber attack. Missing cyber attacks can cause serious problems for the network, so reducing missed cyber attacks is an important issue. Therefore, the degradation of cyber attack detection performance is prevented by using multiple security devices.

なお、入力されたパケットの特徴に応じて経由させるネットワーク機器を動的に選択するサービスチェイニングと言われる技術が知られている(非特許文献1参照)。サービスチェイニングによれば、事前に設定されたポリシーに従って、入力された通信の送信元IP(Interet Protocol)アドレス、プロトコル、またはL(Layer)7の通信内容等の特徴に応じて利用するネットワーク機器の組み合わせおよび順序を指定することができる。例えば、HTTP(HyperText Transfer Protocol)通信を含む複数の種別の通信が混在する場合に、HTTP通信のみがHTTP通信用に特化したネットワーク機器を利用するように、トラヒックを制御することができる。   A technique called service chaining that dynamically selects a network device to be routed according to the characteristics of an input packet is known (see Non-Patent Document 1). According to service chaining, in accordance with a preset policy, a network device to be used in accordance with characteristics such as an input communication source IP (Interet Protocol) address, protocol, or communication content of L (Layer) 7 You can specify the combination and order. For example, when a plurality of types of communication including HTTP (HyperText Transfer Protocol) communication coexist, the traffic can be controlled so that only the HTTP communication uses a network device specialized for HTTP communication.

W.John, K.Pentikousis, G.Agapiou et al., “Research Directions in Network Service Chaining,” IEEE SDN4FNS, 2013W.John, K.Pentikousis, G.Agapiou et al., “Research Directions in Network Service Chaining,” IEEE SDN4FNS, 2013

サイバー攻撃の恐れのある各種別の通信に対してサービスチェイニングを適用すれば、各種別の通信でのサイバー攻撃に特化したセキュリティ機器を経由するようトラヒックを制御することができる。しかしながら、同じ種別の通信でのサイバー攻撃に特化した検知特性に差があるセキュリティ機器が複数存在する場合に、事前に設定された静的なポリシーおよび通信の種別によるトラヒック制御では、セキュリティ機器の検知特性に応じて選択して利用することができなかった。そのため、同一種別の通信でのサイバー攻撃に特化したセキュリティ機器群の全てのセキュリティ機器を同時に利用しなければならず、通信に遅延が生じ、各セキュリティ機器が処理すべきトラヒック量が増加してしまうおそれがあった。   If service chaining is applied to various types of communications that may be a cyber attack, it is possible to control traffic through a security device specialized for cyber attacks in various types of communications. However, if there are multiple security devices with different detection characteristics specialized for cyber attacks in the same type of communication, traffic control based on the static policy and communication type set in advance will cause the security device It was not possible to select and use according to the detection characteristics. Therefore, all security devices in the security device group specialized for cyber attacks in the same type of communication must be used at the same time, resulting in a delay in communication and an increase in the amount of traffic to be processed by each security device. There was a risk of it.

本発明は、上記に鑑みてなされたものであって、サイバー攻撃の検知性能を低下させることなく、通信遅延を削減し、セキュリティ機器が処理すべき負荷を低減することを目的とする。   The present invention has been made in view of the above, and an object of the present invention is to reduce a communication delay and reduce a load to be processed by a security device without degrading a cyber attack detection performance.

上述した課題を解決し、目的を達成するために、本発明に係る最適化装置は、通信の特徴を示すパターンと該パターンを検知したセキュリティ機器との対応付けを示す検知パターン情報を格納する検知特性記録部と、入力された通信の特徴を示すパターンを算出する算出部と、算出された前記パターンと類似するパターンである類似パターンを前記検知特性記録部から抽出し、該類似パターンを検知した前記セキュリティ機器を基にして、入力された前記通信を経由させるセキュリティ機器を決定する決定部と、を備えることを特徴とする。   In order to solve the above-described problems and achieve the object, the optimization device according to the present invention stores detection pattern information indicating a correspondence between a pattern indicating a feature of communication and a security device that has detected the pattern. A characteristic recording unit, a calculation unit that calculates a pattern indicating the characteristics of the input communication, and a similar pattern that is similar to the calculated pattern are extracted from the detection characteristic recording unit, and the similar pattern is detected. And a determining unit that determines a security device to be passed through the input communication based on the security device.

本発明によれば、サイバー攻撃の検知性能を低下させることなく、通信遅延を削減し、セキュリティ機器が処理すべき負荷を低減することができる。   According to the present invention, communication delay can be reduced and the load to be processed by the security device can be reduced without reducing the cyber attack detection performance.

図1は、本発明の一実施形態に係る最適化装置および最適化装置が適用されるセキュリティ対処システムの概略構成を示す模式図である。FIG. 1 is a schematic diagram showing a schematic configuration of an optimization apparatus according to an embodiment of the present invention and a security countermeasure system to which the optimization apparatus is applied. 図2は、従来のセキュリティ対処システムを説明するための説明図である。FIG. 2 is an explanatory diagram for explaining a conventional security countermeasure system. 図3は、本実施形態の検知パターン情報のデータ構成例を示す図である。FIG. 3 is a diagram illustrating a data configuration example of detection pattern information according to the present embodiment. 図4は、本実施形態の最適化装置の動作を説明するための説明図である。FIG. 4 is an explanatory diagram for explaining the operation of the optimization apparatus of the present embodiment. 図5は、本実施形態の最適化装置の動作を説明するための説明図である。FIG. 5 is an explanatory diagram for explaining the operation of the optimization apparatus of the present embodiment. 図6は、本実施形態の最適化装置の動作を説明するための説明図である。FIG. 6 is an explanatory diagram for explaining the operation of the optimization apparatus of the present embodiment. 図7は、本実施形態の最適化処理手順を示すフローチャートである。FIG. 7 is a flowchart showing the optimization processing procedure of this embodiment. 図8は、本実施形態の最適化処理手順を示すシーケンス図である。FIG. 8 is a sequence diagram showing the optimization processing procedure of this embodiment. 図9は、最適化プログラムを実行するコンピュータを示す図である。FIG. 9 is a diagram illustrating a computer that executes an optimization program.

以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。   Hereinafter, an embodiment of the present invention will be described in detail with reference to the drawings. In addition, this invention is not limited by this embodiment. Moreover, in description of drawing, the same code | symbol is attached | subjected and shown to the same part.

[セキュリティ対処システムの構成]
図1は、本実施形態に係る最適化装置および最適化装置が適用されるセキュリティ対処システムの概略構成を示す模式図である。図1に示すように、セキュリティ対処システム10は、最適化装置1と、セキュリティ機器群2と、ネットワーク(NW)機器3と、ネットワーク(NW)制御装置4とを備える。セキュリティ機器群2を構成するセキュリティ機器は、例えば、次世代FW、IDS/IPS(Intrusion Prevention System)、WAF等であり、各種別のサイバー攻撃を検知する。ネットワーク機器3は、例えば、ルーターやスイッチ等である。ネットワーク制御装置4は、例えば、OpenFlow Switch、仮想スイッチ、Reverse Proxy等であり、セキュリティ機器群2のうち指定されたセキュリティ機器を経由するようにパケット通信を制御する。 [Security system configuration]
FIG. 1 is a schematic diagram illustrating a schematic configuration of an optimization apparatus according to the present embodiment and a security countermeasure system to which the optimization apparatus is applied. As shown in FIG. 1, the security countermeasure system 10 includes an optimization device 1, a security device group 2, a network (NW) device 3, and a network (NW) control device 4. The security devices constituting the security device group 2 are, for example, next generation FW, IDS / IPS (Intrusion Prevention System), WAF, and the like, and detect various types of cyber attacks. The network device 3 is, for example, a router or a switch. The network control device 4 is, for example, an OpenFlow Switch, a virtual switch, a Reverse Proxy, or the like, and controls packet communication so as to pass through a designated security device in the security device group 2.

インターネット等の外部のネットワ−ク5から届いたパケットは、ネットワーク機器3、ネットワーク制御装置4、およびセキュリティ機器群2を経由して、内部ネットワーク(NW)6内の端末装置に送達される。   A packet received from an external network 5 such as the Internet is delivered to a terminal device in the internal network (NW) 6 via the network device 3, the network control device 4, and the security device group 2.

なお、図2に例示するように、従来のセキュリティ対処システム100では、入力されたパケットがセキュリティ機器群2の全てのセキュリティ機器を通過するように構成されていた。   As illustrated in FIG. 2, the conventional security countermeasure system 100 is configured such that an input packet passes through all security devices in the security device group 2.

本実施形態では、最適化装置1が後述する最適化処理を実行することにより、サイバー攻撃の恐れのある通信の特徴に応じて、セキュリティ機器群2のうちのパケットを経由させるセキュリティ機器をネットワーク制御装置4に対して指定する。   In the present embodiment, the optimization device 1 executes an optimization process to be described later, thereby controlling the security device that passes packets in the security device group 2 according to the characteristics of communication that may cause a cyber attack. Specify for device 4.

ネットワーク制御装置4は、例えばサービスチェイニングを適用し、パケットが指定されたセキュリティ機器を経由するように通信制御を行う。   The network control device 4 applies service chaining, for example, and performs communication control so that the packet passes through the designated security device.

セキュリティ機器は、パケットを受信した場合に、予め設定された設定情報に従って動作する。例えば、通信を遮断したり、検知したサイバー攻撃の情報を、ログ通信機能(syslog)等により最適化装置1に通知したりする。   When receiving a packet, the security device operates in accordance with preset setting information. For example, the communication is interrupted, or the detected cyber attack information is notified to the optimization device 1 by a log communication function (syslog) or the like.

[最適化装置の構成]
最適化装置1は、ワークステーションやパソコン等の汎用コンピュータで実現され、検知特性記録部11と制御部12とを備える。 [Configuration of optimization device]
The optimization apparatus 1 is realized by a general-purpose computer such as a workstation or a personal computer, and includes a detection characteristic recording unit 11 and a control unit 12.

検知特性記録部11は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現される。なお、検知特性記録部11は、LAN(Local Area Network)やインターネットなどの電気通信回線を介して制御部12と通信する構成でもよい。   The detection characteristic recording unit 11 is realized by a semiconductor memory device such as a RAM (Random Access Memory) or a flash memory, or a storage device such as a hard disk or an optical disk. The detection characteristic recording unit 11 may be configured to communicate with the control unit 12 via a telecommunication line such as a LAN (Local Area Network) or the Internet.

検知特性記録部11は、通信の特徴を示すパターンと該パターンを検知したセキュリティ機器との対応付けを示す検知パターン情報を格納する。具体的に、検知特性記録部11が格納する検知パターン情報は、図3に例示するように、各行に対応する各パターンについて、特徴、攻撃、およびセキュリティ機器別の検知特性の有無を含んで構成される。   The detection characteristic recording unit 11 stores detection pattern information indicating a correspondence between a pattern indicating communication characteristics and a security device that has detected the pattern. Specifically, the detection pattern information stored in the detection characteristic recording unit 11 includes, for each pattern corresponding to each row, the presence / absence of a detection characteristic for each feature, attack, and security device as illustrated in FIG. Is done.

ここで、特徴とは、通信の特徴を示すパターンを意味し、例えば、HTTPリクエストに含まれるクエリ文字列が例示される。図3に示す例では、1行目のパターンは、クエリ文字列「‘or X=X」が含まれることを特徴とするものである。   Here, the feature means a pattern indicating the feature of communication, and for example, a query character string included in the HTTP request is exemplified. In the example shown in FIG. 3, the pattern on the first line is characterized by including a query character string “‘ or X = X ”.

攻撃とは、検知された各パターンがサイバー攻撃であったか否かを示す。図3に示す例では、検知されたパターンがサイバー攻撃であった場合に「○」、サイバー攻撃ではなかった場合に「×」が記録されている。   The attack indicates whether or not each detected pattern is a cyber attack. In the example shown in FIG. 3, “◯” is recorded when the detected pattern is a cyber attack, and “X” is recorded when the detected pattern is not a cyber attack.

セキュリティ機器別の検知特性の有無とは、セキュリティ機器群2の各セキュリティ機器が各パターンの通信の特徴を検知したか否かを意味する。図3に示す例では、1行目のパターン「‘or X=X」について、セキュリティ機器としてのWAF AおよびWAF Bがサイバー攻撃として検知したこと、すなわち検知特性を有することが「検知」として記録されている。図3では、検知特性を有しないものについては何ら記録されておらず空白になっている。   The presence / absence of detection characteristics for each security device means whether each security device in the security device group 2 has detected a characteristic of communication of each pattern. In the example shown in FIG. 3, it is recorded as “detection” that WAF A and WAF B as security devices have detected a cyber attack, that is, have a detection characteristic, for the pattern “'or X = X” in the first row. Has been. In FIG. 3, nothing having no detection characteristic is blank and is not recorded.

制御部12は、メモリに記憶された処理プログラムを実行するCPU(Central Processing Unit)等を用いて実現され、処理プログラムを実行することにより、算出部121および決定部122として機能する。   The control unit 12 is realized using a CPU (Central Processing Unit) or the like that executes a processing program stored in a memory, and functions as the calculation unit 121 and the determination unit 122 by executing the processing program.

算出部121は、入力された通信の特徴を示すパターンを算出する。具体的に、図4に示すように、算出部121は、ネットワーク制御装置4から、入力された通信に関するヘッダ情報、通信データ、またはネットワーク機器3等による分析結果等の情報の入力を受け付けて、通信の特徴を示すパターンを算出する。   The calculation unit 121 calculates a pattern indicating the characteristics of the input communication. Specifically, as illustrated in FIG. 4, the calculation unit 121 receives input of information such as header information, communication data, or analysis results from the network device 3 or the like from the network control device 4, A pattern indicating the characteristics of communication is calculated.

図4には、入力された通信がHTTP通信である場合のセキュリティ対処システム10が例示され、セキュリティ機器群2として、複数のWAF(WAF A,WAF B、およびWAF C)が例示されている。そして、この図4に示す例では、入力されたHTTPリクエストのクエリ文字列に「ID=user1」、「Password=‘or 1=1−−」等の文字列が含まれている。この場合に、算出部121は、例えば文字列カーネル等の算出アルゴリズムを適用して、「user1」、「‘or X=X−−」、「X=X−−」等のパターンを算出する。   FIG. 4 illustrates a security countermeasure system 10 when the input communication is HTTP communication, and a plurality of WAFs (WAF A, WAF B, and WACF C) are illustrated as the security device group 2. In the example shown in FIG. 4, a character string such as “ID = user1”, “Password = ′ or 1 = 1−−” is included in the query character string of the input HTTP request. In this case, the calculation unit 121 calculates a pattern such as “user1”, “‘ or X = X−− ”,“ X = X−− ”by applying a calculation algorithm such as a character string kernel.

ここで、文字列カーネルは、文字列に含まれる部分文字列特定のルールに従って特徴ベクトルと呼ばれる数値列に変換するものである。ただし、通信の特徴を示すパターンを算出するアルゴリズムは、文字列カーネルに限定されない。また、通信の特徴を示すパターンは、算出されるかわりに、入力された通信に関する情報から収集されてもよい。   Here, the character string kernel converts the character string into a numerical value string called a feature vector according to a rule for specifying a partial character string included in the character string. However, the algorithm for calculating the pattern indicating the characteristics of communication is not limited to the character string kernel. Moreover, the pattern which shows the characteristic of communication may be collected from the information regarding the input communication instead of being calculated.

決定部122は、算出されたパターンと類似するパターンである類似パターンを検知特性記録部11から抽出し、該類似パターンを検知したセキュリティ機器を基にして、入力された通信を経由させるセキュリティ機器を決定する。   The determination unit 122 extracts a similar pattern, which is a pattern similar to the calculated pattern, from the detection characteristic recording unit 11, and selects a security device that passes the input communication based on the security device that has detected the similar pattern. decide.

具体的に、決定部122は、まず、算出部121が算出したパターンを検知特性記録部11に格納されているパターンと対比させ、類似している類似パターンを検知特性記録部11から抽出する。図4に示す例では、類似パターンとして、検知特性記録部11から「‘or X=X」および「X=X」を抽出する。   Specifically, the determination unit 122 first compares the pattern calculated by the calculation unit 121 with the pattern stored in the detection characteristic recording unit 11, and extracts similar patterns that are similar from the detection characteristic recording unit 11. In the example illustrated in FIG. 4, “′ or X = X” and “X = X” are extracted from the detection characteristic recording unit 11 as similar patterns.

次に、決定部122は、抽出した類似パターンに対応付けされている情報を参照し、この類似パターンを検知したセキュリティ機器を基にして、入力された通信を経由させる最小数のセキュリティ機器の組み合わせを決定する。そして、決定部122は、ネットワーク制御装置4に決定されたセキュリティ機器を指定して、入力された通信が決定されたセキュリティ機器を経由するように、ネットワーク制御装置4に通信制御を実行させる。   Next, the determination unit 122 refers to the information associated with the extracted similar pattern, and based on the security device that has detected the similar pattern, the combination of the minimum number of security devices that passes the input communication To decide. Then, the determination unit 122 designates the determined security device in the network control device 4 and causes the network control device 4 to execute communication control so that the input communication passes through the determined security device.

図5に示す例では、抽出した類似パターンから、「‘or X=X」のパターンを、WAF AおよびWAF Bとサイバー攻撃として検知できること、また「X=X」のパターンを、WAF Aがサイバー攻撃ではないものとして検知できることがわかる。そこで、決定部122は、WAF AおよびWAF Bを入力された通信を経由させるセキュリティ機器として決定する。こうすれば、「‘or X=X−−」のパターンをWAF AおよびWAF Bが検知した場合に、サイバー攻撃であると判断できることが推測される。   In the example shown in FIG. 5, from the extracted similar patterns, the pattern “'or X = X” can be detected as a cyber attack with WAF A and WAF B, and the pattern “X = X” It can be seen that it is not an attack. Therefore, the determination unit 122 determines WAF A and WAF B as security devices that pass the input communication. In this way, when WAF A and WAF B detect the pattern “’ or X = X−− ”, it is estimated that the attack can be determined as a cyber attack.

なお、決定部122は、算出されたパターンと決定されたセキュリティ機器の組み合わせと検知結果とを検知特性記録部11に格納する。具体的に、決定部122は、図6に示すように、「‘or X=X−−」をサイバー攻撃として、WAF AおよびWAF Bが検知できたことを検知特性記録部11に記録する。これにより、通信の特徴に対応するサイバー攻撃の検知事例が蓄積され、各セキュリティ機器の検知特性が学習される。したがって、利用するセキュリティ機器を高精度に最適化すなわち最小数化できる。   The determination unit 122 stores the calculated pattern, the determined combination of security devices, and the detection result in the detection characteristic recording unit 11. Specifically, as illustrated in FIG. 6, the determination unit 122 records, in the detection characteristic recording unit 11, that WAF A and WAF B have been detected using “′ or X = X−−” as a cyber attack. As a result, cyber attack detection cases corresponding to communication characteristics are accumulated, and the detection characteristics of each security device are learned. Therefore, it is possible to optimize, that is, minimize the number of security devices to be used with high accuracy.

また、検知特性記録部11の検知パターン情報には、検知されたサイバー攻撃ではないパターンも記録されている。これにより、サイバー攻撃ではないものをサイバー攻撃と誤って検知する誤検知が学習されるので、誤検知を高精度に防止することができる。   The detection pattern information in the detection characteristic recording unit 11 also records a pattern that is not a detected cyber attack. As a result, the false detection for erroneously detecting a non-cyber attack as a cyber attack is learned, so that the false detection can be prevented with high accuracy.

[最適化処理手順]
次に、図7のフローチャートおよび図8のシーケンス図を参照して、最適化装置1における最適化処理手順について説明する。図7のフローチャートおよび図8のシーケンス図は、例えば、操作者が図示しない入力部を操作して処理開始の指示入力を行ったタイミングで開始となる。 [Optimization procedure]
Next, the optimization processing procedure in the optimization apparatus 1 will be described with reference to the flowchart of FIG. 7 and the sequence diagram of FIG. The flowchart in FIG. 7 and the sequence diagram in FIG. 8 start, for example, at the timing when the operator inputs an instruction to start processing by operating an input unit (not shown).

まず、算出部121が、ネットワーク機器3からネットワーク制御装置4を介して通信情報を受信する(ステップS1,S11,S12)。   First, the calculation unit 121 receives communication information from the network device 3 via the network control device 4 (steps S1, S11, S12).

算出部121は、通信の特徴を算出する。そして、決定部122は、検知特性記録部11を参照し、算出された通信の特徴のパターンに類似する過去の類似パターンを検索する(ステップS2,S13)。   The calculation unit 121 calculates communication characteristics. Then, the determination unit 122 refers to the detection characteristic recording unit 11 and searches for past similar patterns similar to the calculated communication feature pattern (steps S2 and S13).

類似パターンがない場合には(ステップS3,No)、決定部122は、事前に指定されているセキュリティ機器の組み合わせを、入力された通信を経由させるセキュリティ機器として決定する(ステップS4)。   When there is no similar pattern (step S3, No), the determination unit 122 determines a combination of security devices designated in advance as a security device that passes the input communication (step S4).

一方、類似パターンがあった場合には(ステップS3,Yes,S14)、決定部122は、類似パターンを検知したセキュリティ機器を基にして、入力された通信を経由させる最小数のセキュリティ機器の組み合わせを決定する(ステップS5)。   On the other hand, if there is a similar pattern (steps S3, Yes, S14), the determination unit 122 combines the minimum number of security devices that pass the input communication based on the security device that detected the similar pattern. Is determined (step S5).

決定部122は、決定したセキュリティ機器の組み合わせをネットワーク制御装置4に指定する(ステップS6,S15)。   The determination unit 122 designates the determined combination of security devices to the network control device 4 (steps S6 and S15).

また、決定部122は、セキュリティ機器から検知結果を取得して(ステップS16,S17)、算出したパターンを検知特性記録部11に記録する(ステップS7,S18)。これにより、一連の最適化処理は終了する。   Further, the determination unit 122 acquires a detection result from the security device (steps S16 and S17), and records the calculated pattern in the detection characteristic recording unit 11 (steps S7 and S18). As a result, the series of optimization processing ends.

以上、説明したように、本実施形態の最適化装置1では、算出部121が、入力された通信の特徴を示すパターンを算出し、決定部122が、算出されたパターンと類似する類似パターンを検知特性記録部11から抽出し、該類似パターンを検知したセキュリティ機器を基にして、入力された通信を経由させるセキュリティ機器を決定する。これにより、本実施形態の最適化装置1は、検知特性に応じて最小数のセキュリティ機器を利用して確実かつ効率よくサイバー攻撃を検知することをできる。したがって、サイバー攻撃の検知性能を低下させることなく、通信遅延を削減し、セキュリティ機器が処理すべき負荷を低減することができる。   As described above, in the optimization apparatus 1 of the present embodiment, the calculation unit 121 calculates a pattern indicating the characteristics of the input communication, and the determination unit 122 generates a similar pattern similar to the calculated pattern. Based on the security device extracted from the detection characteristic recording unit 11 and detecting the similar pattern, the security device through which the input communication is passed is determined. Thereby, the optimization apparatus 1 of this embodiment can detect a cyber attack reliably and efficiently using the minimum number of security devices according to the detection characteristics. Therefore, communication delay can be reduced and the load to be processed by the security device can be reduced without reducing the cyber attack detection performance.

また、最適化装置1は、通信の特徴に対応するサイバー攻撃の検知事例を検知特性記録部11に蓄積して各セキュリティ機器の検知特性を学習する。これにより、利用するセキュリティ機器を高精度に最適化すなわち最小数化できる。   In addition, the optimization apparatus 1 accumulates the cyber attack detection cases corresponding to the communication characteristics in the detection characteristic recording unit 11 and learns the detection characteristics of each security device. As a result, it is possible to optimize, that is, minimize the number of security devices to be used with high accuracy.

[他の実施形態]
[プログラム]
上記実施形態に係る最適化装置1が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、係るプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、最適化装置1と同様の機能を実現する最適化プログラムを実行するコンピュータの一例を説明する。 [Other Embodiments]
[program]
It is also possible to create a program in which processing executed by the optimization device 1 according to the above embodiment is described in a language that can be executed by a computer. In this case, the same effect as the above-described embodiment can be obtained by the computer executing the program. Furthermore, the program similar to the above-described embodiment may be realized by recording the program on a computer-readable recording medium, and reading and executing the program recorded on the recording medium. Hereinafter, an example of a computer that executes an optimization program that realizes the same function as the optimization apparatus 1 will be described.

図9に示すように、最適化プログラムを実行するコンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。   As shown in FIG. 9, the computer 1000 that executes the optimization program includes, for example, a memory 1010, a CPU 1020, a hard disk drive interface 1030, a disk drive interface 1040, a serial port interface 1050, a video adapter 1060, and a network. Interface 1070. These units are connected by a bus 1080.

メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1041に接続される。ディスクドライブ1041には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1051およびキーボード1052が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1061が接続される。   The memory 1010 includes a ROM (Read Only Memory) 1011 and a RAM 1012. The ROM 1011 stores a boot program such as BIOS (Basic Input Output System). The hard disk drive interface 1030 is connected to the hard disk drive 1031. The disk drive interface 1040 is connected to the disk drive 1041. For example, a removable storage medium such as a magnetic disk or an optical disk is inserted into the disk drive 1041. For example, a mouse 1051 and a keyboard 1052 are connected to the serial port interface 1050. For example, a display 1061 is connected to the video adapter 1060.

ここで、図9に示すように、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各テーブルは、例えばハードディスクドライブ1031やメモリ1010に記憶される。   Here, as shown in FIG. 9, the hard disk drive 1031 stores, for example, an OS 1091, an application program 1092, a program module 1093, and program data 1094. Each table described in the above embodiment is stored in the hard disk drive 1031 or the memory 1010, for example.

また、最適化プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1093として、ハードディスクドライブ1031に記憶される。具体的には、上記実施形態で説明した最適化装置1が実行する各処理が記述されたプログラムモジュールが、ハードディスクドライブ1031に記憶される。   Further, the optimization program is stored in the hard disk drive 1031 as a program module 1093 in which a command executed by the computer 1000 is described, for example. Specifically, a program module describing each process executed by the optimization apparatus 1 described in the above embodiment is stored in the hard disk drive 1031.

また、最適化プログラムによる情報処理に用いられるデータは、プログラムデータ1094として、例えば、ハードディスクドライブ1031に記憶される。そして、CPU1020が、ハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。   Data used for information processing by the optimization program is stored as program data 1094 in, for example, the hard disk drive 1031. Then, the CPU 1020 reads the program module 1093 and the program data 1094 stored in the hard disk drive 1031 to the RAM 1012 as necessary, and executes the above-described procedures.

なお、最適化プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1041等を介してCPU1020によって読み出されてもよい。あるいは、最適化プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。   Note that the program module 1093 and the program data 1094 related to the optimization program are not limited to being stored in the hard disk drive 1031, but are stored in a removable storage medium and read by the CPU 1020 via the disk drive 1041 or the like. May be issued. Alternatively, the program module 1093 and the program data 1094 related to the optimization program are stored in another computer connected via a network such as a LAN (Local Area Network) or a WAN (Wide Area Network), and are transmitted via the network interface 1070. May be read by the CPU 1020.

以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述および図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例および運用技術等は全て本発明の範疇に含まれる。   As mentioned above, although embodiment which applied the invention made | formed by this inventor was described, this invention is not limited with the description and drawing which make a part of indication of this invention by this embodiment. That is, other embodiments, examples, operational techniques, and the like made by those skilled in the art based on this embodiment are all included in the scope of the present invention.

10 セキュリティ対処システム
1 最適化装置
11 検知特性記録部
12 制御部
121 算出部
122 決定部
2 セキュリティ機器群
3 ネットワーク機器
4 ネットワーク制御装置 DESCRIPTION OF SYMBOLS 10 Security countermeasure system 1 Optimization apparatus 11 Detection characteristic recording part 12 Control part 121 Calculation part 122 Determination part 2 Security equipment group 3 Network equipment 4 Network control apparatus

Claims (4)

通信の特徴を示すパターンと該パターンがサイバー攻撃であること、あるいはサイバー攻撃ではないことを検知したセキュリティ機器との対応付けを示す検知パターン情報を格納する検知特性記録部と、
入力された通信の特徴を示すパターンを算出する算出部と、
算出された前記パターンと類似するパターンである類似パターンを前記検知特性記録部から抽出し、該類似パターンを検知した前記セキュリティ機器を基にして、入力された前記通信を経由させるセキュリティ機器を決定する決定部と、
を備えることを特徴とする最適化装置。 A detection characteristic recording unit for storing detection pattern information indicating a correspondence between a pattern indicating a characteristic of communication and a security device that detects that the pattern is a cyber attack or is not a cyber attack ;
A calculation unit that calculates a pattern indicating the characteristics of the input communication;
A similar pattern, which is a pattern similar to the calculated pattern, is extracted from the detection characteristic recording unit, and a security device that passes the input communication is determined based on the security device that has detected the similar pattern. A decision unit;
An optimization device comprising: 前記決定部は、決定された前記セキュリティ機器の検知結果を取得し、取得した検知結果と算出された前記パターンと決定された前記セキュリティ機器とを用いて前記検知特性記録部を更新することを特徴とする請求項1に記載の最適化装置。 The determination unit acquires a detection result of the determined security device, and updates the detection characteristic recording unit using the acquired detection result, the calculated pattern, and the determined security device. The optimization apparatus according to claim 1. 最適化装置で実行される最適化方法であって、
前記最適化装置は、通信の特徴を示すパターンと該パターンがサイバー攻撃であること、あるいはサイバー攻撃ではないことを検知したセキュリティ機器との対応付けを示す検知パターン情報を格納する検知特性記録部を備え、
入力された通信の特徴を示すパターンを算出する算出工程と、
算出された前記パターンと類似するパターンである類似パターンを前記検知特性記録部から抽出し、該類似パターンを検知した前記セキュリティ機器を基にして、入力された前記通信を経由させるセキュリティ機器を決定する決定工程と、
を含んだことを特徴とする最適化方法。 An optimization method executed by an optimization device,
The optimization device includes a detection characteristic recording unit that stores detection pattern information indicating correspondence between a pattern indicating a communication characteristic and a security device that detects that the pattern is a cyber attack or is not a cyber attack. Prepared,
A calculation step of calculating a pattern indicating the characteristics of the input communication;
A similar pattern, which is a pattern similar to the calculated pattern, is extracted from the detection characteristic recording unit, and a security device that passes the input communication is determined based on the security device that has detected the similar pattern. A decision process;
An optimization method characterized by including 入力された通信の特徴を示すパターンを算出する算出ステップと、
算出された前記パターンと類似するパターンである類似パターンを、通信の特徴を示すパターンと該パターンがサイバー攻撃であること、あるいはサイバー攻撃ではないことを検知したセキュリティ機器との対応付けを示す検知パターン情報を格納する検知特性記録部から抽出し、該類似パターンを検知した前記セキュリティ機器を基にして、入力された前記通信を経由させるセキュリティ機器を決定する決定ステップと、
をコンピュータに実行させるための最適化プログラム。 A calculation step for calculating a pattern indicating the characteristics of the input communication;
A detection pattern indicating a correspondence between a pattern indicating a communication characteristic and a security device that has detected that the pattern is a cyber attack or a non-cyber attack. A determination step of determining a security device that is to be routed through the input communication based on the security device that has been extracted from the detection characteristic recording unit that stores the information and has detected the similar pattern;
An optimization program that causes a computer to execute.
JP2015042492A 2015-03-04 2015-03-04 Optimization device, optimization method, and optimization program Active JP6272258B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015042492A JP6272258B2 (en) 2015-03-04 2015-03-04 Optimization device, optimization method, and optimization program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015042492A JP6272258B2 (en) 2015-03-04 2015-03-04 Optimization device, optimization method, and optimization program

Publications (2)

Publication Number Publication Date
JP2016162350A JP2016162350A (en) 2016-09-05
JP6272258B2 true JP6272258B2 (en) 2018-01-31

Family

ID=56845032

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015042492A Active JP6272258B2 (en) 2015-03-04 2015-03-04 Optimization device, optimization method, and optimization program

Country Status (1)

Country Link
JP (1) JP6272258B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6577442B2 (en) 2016-11-01 2019-09-18 日本電信電話株式会社 Unauthorized intrusion prevention device, unauthorized intrusion prevention method and unauthorized intrusion prevention program
WO2019035313A1 (en) 2017-08-18 2019-02-21 日本電信電話株式会社 Intrusion prevention device, intrusion prevention method, and program
CN116436706B (en) * 2023-06-14 2023-08-22 天津市天河计算机技术有限公司 Network attack blocking method, system, equipment and medium in data center environment

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3649180B2 (en) * 2001-12-06 2005-05-18 日本電気株式会社 Security management system and routing program
JP2007157059A (en) * 2005-12-08 2007-06-21 Securebrain Corp Proactive illicit program detection method, detection device and computer program
JP4642707B2 (en) * 2006-06-14 2011-03-02 日本電信電話株式会社 Packet control apparatus, packet control method, and packet control program
US9571507B2 (en) * 2012-10-21 2017-02-14 Mcafee, Inc. Providing a virtual security appliance architecture to a virtual cloud infrastructure

Also Published As

Publication number Publication date
JP2016162350A (en) 2016-09-05

Similar Documents

Publication Publication Date Title
JP4490994B2 (en) Packet classification in network security devices
EP3127301B1 (en) Using trust profiles for network breach detection
US20210112091A1 (en) Denial-of-service detection and mitigation solution
US10616246B2 (en) SDN controller
US9398027B2 (en) Data detecting method and apparatus for firewall
Maeda et al. A botnet detection method on SDN using deep learning
US7873998B1 (en) Rapidly propagating threat detection
JP6256773B2 (en) Security system
JP2007521718A (en) System and method for protecting network quality of service against security breach detection
WO2017061469A1 (en) Identification system, identification device and identification method
US10397225B2 (en) System and method for network access control
JP6422677B2 (en) Network relay device, DDoS protection method and load distribution method using the same
JP6272258B2 (en) Optimization device, optimization method, and optimization program
EP3286650B1 (en) Network security analysis for smart appliances
JP7150552B2 (en) Network protection devices and network protection systems
JP6348655B2 (en) Security countermeasure invalidation prevention device, security countermeasure invalidation prevention method, and security countermeasure invalidation prevention program
JP5986340B2 (en) URL selection method, URL selection system, URL selection device, and URL selection program
JP2019165337A (en) Communication system, communication control device, communication control method, and communication control program
JP7060800B2 (en) Infection spread attack detection system and method, and program
JP6708575B2 (en) Classification device, classification method, and classification program
US20050289245A1 (en) Restricting virus access to a network
JP2019152912A (en) Unauthorized communication handling system and method
JP6693505B2 (en) Log analysis system, analysis device, analysis method, and analysis program
Choi et al. Slowloris dos countermeasure over websocket
JP2009081736A (en) Packet transfer apparatus and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170208

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20171115

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20171128

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171212

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171226

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171228

R150 Certificate of patent or registration of utility model

Ref document number: 6272258

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150