JP7198617B2 - security system - Google Patents

security system Download PDF

Info

Publication number
JP7198617B2
JP7198617B2 JP2018177069A JP2018177069A JP7198617B2 JP 7198617 B2 JP7198617 B2 JP 7198617B2 JP 2018177069 A JP2018177069 A JP 2018177069A JP 2018177069 A JP2018177069 A JP 2018177069A JP 7198617 B2 JP7198617 B2 JP 7198617B2
Authority
JP
Japan
Prior art keywords
computer
infected
network
communication
unauthorized
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018177069A
Other languages
Japanese (ja)
Other versions
JP2020047175A (en
Inventor
吉弘 岡田
美穂 小瀧
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi High Tech Solutions Corp
Original Assignee
Hitachi High Tech Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi High Tech Solutions Corp filed Critical Hitachi High Tech Solutions Corp
Priority to JP2018177069A priority Critical patent/JP7198617B2/en
Publication of JP2020047175A publication Critical patent/JP2020047175A/en
Application granted granted Critical
Publication of JP7198617B2 publication Critical patent/JP7198617B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、サイバー攻撃から情報システムを保護する技術に関する。 The present invention relates to technology for protecting information systems from cyberattacks.

情報システムに対するサイバー攻撃は多様化しており、単一の仕組みのみによって情報システムをサイバー攻撃から保護することは次第に困難になってきている。そこで近年においては、サイバー攻撃が情報システムに対して到達する前に攻撃を排除する入口保護対策と、仮にコンピュータがサイバー攻撃を受けてしまったとしてもその影響をできる限り抑制する出口保護対策との両面において、保護を図る場合がある。このように多段的な保護を図ることにより、サイバー攻撃に対する耐性を向上させることが期待される。 Cyber-attacks on information systems are diversifying, and it is becoming increasingly difficult to protect information systems from cyber-attacks with only a single mechanism. Therefore, in recent years, there has been a need for entrance protection measures that eliminate cyberattacks before they reach information systems, and exit protection measures that minimize the impact of cyberattacks on computers even if they do occur. Protection may be sought on both sides. It is expected that resistance to cyber-attacks will be improved by implementing multi-stage protection in this way.

下記特許文献1は、検疫ネットワークを構成する手法について記載している。検疫ネットワークは、内部ネットワークから隔離された個別ネットワーク上に検査対象コンピュータを接続して適当な手法により検査し、検査をパスした場合のみそのコンピュータを内部ネットワークへ接続することを許可しようとするものである。同文献においては、ARP応答によって検疫ネットワークを実現するとしている(要約参照)。 Patent Literature 1 listed below describes a technique for constructing a quarantine network. Quarantine network is intended to connect the computer to be inspected to a separate network isolated from the internal network, inspect it by an appropriate method, and allow the computer to be connected to the internal network only if it passes the inspection. be. In the same document, it is said that a quarantine network is realized by ARP responses (see abstract).

特開2008-154012号公報JP 2008-154012 A

上記特許文献1のような従来の検疫ネットワークは、コンピュータウイルスなどの不正データが内部ネットワークへ侵入する前にこれを検出することが意図されている。すなわちこのような検疫ネットワークは、入口保護システムの1種として構成されているのが通常である。他方で出口保護システムにおいては、サイバー攻撃の影響を受けたコンピュータを検出した後、そのコンピュータから内部ネットワークに対する影響をどのように排除するのかについては、必ずしも堅牢な対策が取られているとは言い難い状況にある。 A conventional quarantine network, such as that of Patent Document 1, is intended to detect unauthorized data such as computer viruses before they enter the internal network. That is, such a quarantine network is usually configured as one type of entrance protection system. On the other hand, in the exit protection system, after detecting a computer that has been affected by a cyberattack, it cannot be said that robust measures are taken to eliminate the impact on the internal network from that computer. I am in a difficult situation.

本発明は、上記のような課題に鑑みてなされたものであり、内部ネットワークの入口部分において不正データの侵入を防止するとともに、不正データに感染した感染コンピュータを隔離することにより、コンピュータシステムのセキュリティを向上することを目的とする。 SUMMARY OF THE INVENTION The present invention has been devised in view of the above-described problems, and is intended to improve the security of a computer system by preventing unauthorized data from entering an internal network and by isolating infected computers infected with unauthorized data. The purpose is to improve

本発明に係るセキュリティシステムは、コンピュータネットワークの前段において不正データの侵入を防止する入口保護システムと、感染コンピュータによる不正動作を抑制する出口保護システムとを備え、前記出口保護システムはさらに、前記感染コンピュータを前記コンピュータネットワークから隔離する排除システムを備える。 A security system according to the present invention comprises an entrance protection system that prevents unauthorized data from entering a computer network, and an exit protection system that inhibits unauthorized operations by an infected computer. from the computer network.

本発明に係るセキュリティシステムによれば、コンピュータネットワークの入口と出口の双方において多段的に不正データを排除することにより、コンピュータネットワークのセキュリティを向上させることができる。 According to the security system of the present invention, the security of a computer network can be improved by eliminating unauthorized data in multiple stages both at the entrance and exit of the computer network.

実施形態1に係るセキュリティシステム10のネットワーク構成図である。1 is a network configuration diagram of a security system 10 according to Embodiment 1. FIG. 物理サーバ400の構成例である。4 is a configuration example of a physical server 400; 物理サーバ400の別構成例である。3 is another configuration example of the physical server 400. FIG. 実施形態2に係るセキュリティシステム10における物理サーバ400の構成例である。It is a configuration example of a physical server 400 in the security system 10 according to the second embodiment. 実施形態2に係るセキュリティシステム10における物理サーバ400の別構成例である。4 is another configuration example of the physical server 400 in the security system 10 according to the second embodiment.

<実施の形態1>
図1は、本発明の実施形態1に係るセキュリティシステム10のネットワーク構成図である。セキュリティシステム10は、物理サーバ400が属するコンピュータネットワークをサイバー攻撃から保護するシステムである。セキュリティシステム10は、入口保護システム200と出口保護システム100を備える。 <Embodiment 1>
FIG. 1 is a network configuration diagram of a security system 10 according to Embodiment 1 of the present invention. The security system 10 is a system that protects the computer network to which the physical server 400 belongs from cyberattacks. Security system 10 comprises an entrance protection system 200 and an exit protection system 100 .

セキュリティシステム10が配置されているコンピュータネットワーク環境は、大別して外部ネットワークと内部ネットワークに分けられる。外部ネットワークは、外部ルータ310よりもインターネット500側のネットワークである。入口保護システム200は、外部ルータ310と内部ルータ320との間に配置されている。内部ネットワークは内部ルータ320から見てインターネット500とは反対側のゾーンである。 The computer network environment in which the security system 10 is installed is roughly divided into an external network and an internal network. The external network is a network on the Internet 500 side of the external router 310 . Ingress protection system 200 is located between external router 310 and internal router 320 . The internal network is the zone on the opposite side of the Internet 500 from the internal router 320 .

外部ルータ310は、インターネット500に対して送信するパケットの通信経路を制御する中継装置である。内部ルータ320は、内部ネットワーク内におけるパケットの通信経路を制御するとともに、内部ネットワークと外部ネットワークとの間の通信を中継する中継装置である。 The external router 310 is a relay device that controls the communication path of packets sent to the Internet 500 . The internal router 320 is a relay device that controls communication paths of packets within the internal network and relays communication between the internal network and the external network.

各ネットワークに属するコンピュータは、ネットワークスイッチを介して接続されるのが一般的である。図1においては内部ネットワークに属するコンピュータを集約するネットワークスイッチ330を例示した。ネットワークスイッチ330は、LAN(Local Area Network)ケーブルポートを複数備える。内部ネットワークに属するコンピュータは、LANケーブルをネットワークスイッチ330が備えるポートに接続することにより、他のコンピュータと接続される。 Computers belonging to each network are generally connected via a network switch. FIG. 1 illustrates a network switch 330 that aggregates computers belonging to an internal network. The network switch 330 has a plurality of LAN (Local Area Network) cable ports. Computers belonging to the internal network are connected to other computers by connecting LAN cables to ports provided in the network switch 330 .

<実施の形態1:入口保護システム>
入口保護システム200は、外部ネットワークから到達する不正データが内部ネットワークに対して侵入する前にこれを排除するためのシステムである。入口保護システム200は、ファイアウォール(FW)210、侵入防止システム(IPS)220、サンドボックス230、Webアプリケーションファイアウォール(WAF)240を備える。 <Embodiment 1: Entrance protection system>
The entrance protection system 200 is a system for eliminating unauthorized data arriving from an external network before it enters the internal network. The entrance protection system 200 comprises a firewall (FW) 210 , an intrusion prevention system (IPS) 220 , a sandbox 230 and a web application firewall (WAF) 240 .

FW210は、特定のTCPポートを用いる通信のみを通過させる。IP(Internet Protocol)ネットワークにおける通信プロトコルはそれぞれ特定のTCPポート番号が割り当てられているので、特定のTCPポートのみ通過させることにより、不正な通信をある程度排除することができる。外部ネットワークから内部ネットワークへ向かうパケットを通過させるときと、内部ネットワークから外部ネットワークへ向かうパケットを通過させるときそれぞれにおいて、異なるルールを適用することもできる。例えば外部ネットワークからはHTTPプロトコルによる通信のみを許可し、内部ネットワークからはその他プロトコルによる通信も許可する、などの通信制御も可能である。 The FW 210 only passes communications using a specific TCP port. Since a specific TCP port number is assigned to each communication protocol in an IP (Internet Protocol) network, unauthorized communication can be eliminated to some extent by allowing only specific TCP ports to pass. Different rules can be applied when passing packets from the external network to the internal network and when passing packets from the internal network to the external network. For example, it is possible to control communication by permitting only HTTP protocol communication from the external network and permitting communication by other protocols from the internal network.

IPS220は、特定の通信パターンをあらかじめ不正通信パターンとして保持しておき、その不正通信パターンに合致する通信を遮断する。したがってIPS220は、外部ネットワークと内部ネットワークとの間の通信経路上に配置されている。IPS220が検出する不正通信パターンの例としては、SYNフラッド攻撃やワームによる特定の通信パターンなどが挙げられる。その他、クロスサイトJAVA(登録商標)スクリプトを送り付けてきたような場合も不正通信パターンとみなすことができる。 The IPS 220 holds a specific communication pattern in advance as an unauthorized communication pattern, and blocks communication that matches the unauthorized communication pattern. Therefore, IPS 220 is arranged on the communication path between the external network and the internal network. Examples of unauthorized communication patterns detected by the IPS 220 include SYN flood attacks and specific communication patterns caused by worms. In addition, sending a cross-site JAVA (registered trademark) script can also be regarded as an unauthorized communication pattern.

サンドボックス230は、不正データである可能性があるデータを動作させてその挙動を監視し、不正データであることが確認できればこれを排除するシステムである。例えば電子メールの添付ファイルやFTP(File Transfer Protocol)によって送信されてくるファイルなどが監視対象となる。監視対象は必ずしも実行形式のファイルに限らず、リンクライブラリなどのように他の実行形式ファイルと連動して動作するデータも監視してもよい。サンドボックス230は不正データを自由に動作させる必要があるので、内部ネットワークから隔離されたセグメントに配置されている。 The sandbox 230 is a system that operates data that may be fraudulent data, monitors its behavior, and eliminates data if it can be confirmed as fraudulent data. For example, a file attached to an e-mail or a file transmitted by FTP (File Transfer Protocol) is monitored. The object to be monitored is not necessarily limited to executable files, and data that operates in conjunction with other executable files such as link libraries may also be monitored. Sandbox 230 is located in a segment that is isolated from the internal network because it is necessary to allow malicious data to run freely.

WAF240は、Webアプリケーション上の特定の動作パターンをあらかじめ不正パターンとして保持しておき、その不正パターンに合致するWebアプリケーション上の動作を遮断する。例えばWebアプリケーション上でパスワード入力フォームが提供されている場合、パスワード総当たり攻撃を検知してこれを遮断することができる。SQLインジェクション攻撃などもWAF240によって遮断することができる。 The WAF 240 stores specific behavior patterns on the web application as fraudulent patterns in advance, and blocks behaviors on the web application that match the fraudulent patterns. For example, when a password entry form is provided on a web application, a password brute force attack can be detected and blocked. SQL injection attacks and the like can also be blocked by the WAF 240 .

<実施の形態1:出口保護システム>
出口保護システム100は、内部ネットワークにおいて不正データに感染した感染コンピュータによる不正挙動の影響を抑制するためのシステムである。出口保護システム100は、排除システム110と後述するエンドポイントセキュリティシステム120を備える。 <Embodiment 1: Exit protection system>
The exit protection system 100 is a system for suppressing the influence of fraudulent behavior by an infected computer infected with fraudulent data in an internal network. The egress protection system 100 comprises an exclusion system 110 and an endpoint security system 120, described below.

排除システム110は、不正データに感染した感染コンピュータが内部ネットワーク内に存在することを認識すると、その感染コンピュータと内部ネットワークとの間の通信経路を遮断することにより、その感染コンピュータを内部ネットワークから隔離する。具体的には、以下のような手法のいずれかを単独で用いることもできるし、これら2以上を組み合わせて用いることもできる。 When the elimination system 110 recognizes that an infected computer infected with illegal data exists in the internal network, it isolates the infected computer from the internal network by blocking the communication path between the infected computer and the internal network. do. Specifically, any one of the following methods can be used alone, or two or more of them can be used in combination.

(通信経路を遮断する手法その1:経路制御)
コンピュータ間で通信を確立する際には、通信経路が存在する必要がある。通信経路はそのコンピュータが属するルータによって制御されている。図1の内部ネットワークにおいては内部ルータ320がその役割を有する。具体的には、内部ルータ320は内部ネットワークにおけるコンピュータ間の通信経路を定義する通信経路データを保持しており、各コンピュータは他コンピュータと通信する際にまず内部ルータ320へアクセスする。内部ルータ320は、通信経路データにしたがって通信を中継する。感染コンピュータを内部ネットワークから隔離するためには、感染コンピュータが他のコンピュータと通信するための通信経路を内部ルータ320が保持していなければよい。そこで排除システム110は、感染コンピュータが存在することを認識すると、その感染コンピュータを送信元とする通信経路が存在しないように、内部ルータ320が保持する通信経路データを書き換える。具体的には、ルーティングテーブルの該当部分を静的に上書する。これにより、感染コンピュータを内部ネットワークから論理的に排除することができる。 (Method 1 for blocking the communication route: route control)
When establishing communication between computers, a communication path must exist. The communication path is controlled by the router to which the computer belongs. The internal router 320 has that role in the internal network of FIG. Specifically, the internal router 320 holds communication path data defining communication paths between computers in the internal network, and each computer first accesses the internal router 320 when communicating with other computers. The internal router 320 relays communication according to communication route data. In order to isolate the infected computer from the internal network, the internal router 320 should not have a communication path for the infected computer to communicate with other computers. Therefore, when the exclusion system 110 recognizes the presence of an infected computer, it rewrites the communication route data held by the internal router 320 so that there is no communication route with the infected computer as the transmission source. Specifically, it statically overwrites the corresponding part of the routing table. This allows the infected computer to be logically excluded from the internal network.

(通信経路を遮断する手法その2:スイッチ制御)
内部ネットワーク内のコンピュータはネットワークスイッチ330を介して接続されているので、ネットワークスイッチ330を介して感染コンピュータを隔離することができる。具体的には、排除システム110は感染コンピュータが接続されているLANケーブルポートを無効化することにより、感染コンピュータを内部ネットワークから物理的に隔離することができる。その他、LANケーブルポート間の内部接続を変更することにより、感染コンピュータが接続されているポートとその他コンピュータが接続されているポートとの間の通信を遮断してもよい。さらには、ネットワークスイッチ330に接続されているコンピュータ間のネットワーク構成をネットワークスイッチ330内部でソフトウェアによって定義している場合、ソフトウェア上の設定を変更することにより、感染コンピュータを他のコンピュータから隔離したネットワークセグメントに配置してもよい。排除システム110は、以上いずれかの手法により、感染コンピュータを論理的に隔離することができる。 (Method 2 for blocking the communication path: switch control)
Since the computers in the internal network are connected through network switch 330, infected computers can be isolated through network switch 330. FIG. Specifically, the exclusion system 110 can physically isolate the infected computer from the internal network by disabling the LAN cable port to which the infected computer is connected. Alternatively, by changing the internal connection between the LAN cable ports, communication between the port to which the infected computer is connected and the port to which other computers are connected may be cut off. Furthermore, if the network configuration between the computers connected to the network switch 330 is defined by software inside the network switch 330, the infected computer can be isolated from other computers by changing the settings on the software. Can be placed in segments. The exclusion system 110 can logically isolate infected computers by any of the above methods.

(通信経路を遮断する手法その3:ARPテーブル(1))
IPネットワークにおいて送信元コンピュータが送信先コンピュータに対してパケットを送信する際には、両コンピュータのIPアドレスとMAC(Media Access Control)アドレスの対応関係をあらかじめ把握しておく必要がある。ARP(Address Resolution Protocol)は、この対応関係を取得するために各コンピュータがそれぞれ用いるプロトコルである。各コンピュータはこの対応関係をARPテーブルとして保持する。送信先コンピュータのMACアドレスが分からない場合、送信元コンピュータはこれを回答するように要求するARPリクエストをブロードキャストする。排除システム110は、IPネットワークにおける以上の仕組みを利用して、以下の手法により感染コンピュータを隔離する。 (Method 3 for blocking the communication path: ARP table (1))
When a source computer transmits a packet to a destination computer on an IP network, it is necessary to know in advance the correspondence between the IP addresses and MAC (Media Access Control) addresses of both computers. ARP (Address Resolution Protocol) is a protocol used by each computer to obtain this correspondence. Each computer holds this correspondence as an ARP table. If the destination computer's MAC address is not known, the source computer broadcasts an ARP request asking it to reply. The exclusion system 110 uses the above mechanism in the IP network to isolate infected computers by the following method.

(通信経路を遮断する手法その3:ARPテーブル(2))
排除システム110は、感染コンピュータからARPリクエストを受け取ったとき、感染コンピュータが保持するARPテーブル上で感染コンピュータと内部ネットワーク内の他コンピュータとの間の通信が確立できなくなるようなARP応答を返信することにより、感染コンピュータを内部ネットワークから論理的に隔離する。例えば送信先コンピュータのIPアドレスとMACアドレスとの間の対応関係を偽るARP応答を返信することが考えられる。これにより、感染コンピュータが他コンピュータへアクセスしようとしても、他コンピュータの正しいMACアドレスが得られないので、アクセス不可となる。さらには、他コンピュータが感染コンピュータへアクセスしないように、他コンピュータにおけるARPテーブルを書き換えるARP応答を発信してもよい。具体的には、他コンピュータ上において感染コンピュータのIPアドレスとMACアドレスとの間の対応関係を偽るARP応答を発信すればよい。これらはいずれも、内部ネットワークに属する各コンピュータのARPテーブルを偽るARP応答を発信することにより、感染コンピュータを内部ネットワークから論理的に隔離するものである。ARPテーブルは有効期限があるのが一般的であるので、排除システム110はその有効期限が切れたことを契機として、各コンピュータのARPテーブルを書き換えることができる。以上の他、特許文献1が記載している手法を適宜用いることができる。 (Method 3 for blocking the communication path: ARP table (2))
When receiving an ARP request from an infected computer, the exclusion system 110 returns an ARP response that prevents establishment of communication between the infected computer and other computers in the internal network on the ARP table held by the infected computer. logically isolates the infected computer from the internal network. For example, it is conceivable to return an ARP response falsifying the correspondence relationship between the IP address and MAC address of the destination computer. As a result, even if the infected computer tries to access another computer, the access is disabled because the correct MAC address of the other computer cannot be obtained. Furthermore, an ARP response that rewrites the ARP table in the other computer may be transmitted so that the other computer does not access the infected computer. Specifically, an ARP response falsifying the correspondence relationship between the IP address and MAC address of the infected computer may be sent on the other computer. All of these logically isolate the infected computer from the internal network by sending an ARP response that falsifies the ARP table of each computer belonging to the internal network. Since the ARP table generally has an expiration date, the elimination system 110 can rewrite the ARP table of each computer when the expiration date expires. In addition to the above, the method described in Patent Document 1 can be used as appropriate.

図2は、物理サーバ400の構成例である。物理サーバ400は、CPU(Central Processing Unit)410を備える。エンドポイントセキュリティシステム120は物理サーバ400上に実装されている。エンドポイントセキュリティシステム120は、物理サーバ400上に存在する不正データを検出し、可能な限りこれを物理サーバ400上から除去することを試みる。 FIG. 2 is a configuration example of the physical server 400. As shown in FIG. The physical server 400 includes a CPU (Central Processing Unit) 410 . Endpoint security system 120 is implemented on physical server 400 . The endpoint security system 120 detects unauthorized data present on the physical server 400 and attempts to remove it from the physical server 400 as much as possible.

エンドポイントセキュリティシステム120は、例えばCPU410が実行する保護プログラムとして構成することができる。保護プログラムは、例えば既知の不正データの動作パターンなどをあらかじめ保持しておき、物理サーバ400上でこれと合致する動作を検出することにより、不正データを検出する。あるいは、不正挙動を累積的に学習することにより自ら不正データの動作パターンを学習するような保護プログラムを用いることもできる。学習する対象としては、(a)不正データ自身または不正データが使用するデータのバイナリ配置パターン、(b)不正データが使用するTCPポート、(c)不正データが使用するライブラリのファイルパス、などが考えられる。 Endpoint security system 120 may be configured as a protection program executed by CPU 410, for example. The protection program stores, for example, an operation pattern of known unauthorized data in advance, and detects unauthorized data by detecting an operation that matches this pattern on the physical server 400 . Alternatively, a protection program that learns behavior patterns of fraudulent data by itself by cumulatively learning fraudulent behavior can be used. Targets to be learned include (a) the binary arrangement pattern of the malicious data itself or the data used by the malicious data, (b) the TCP port used by the malicious data, and (c) the file path of the library used by the malicious data. Conceivable.

エンドポイントセキュリティシステム120は、物理サーバ400上で不正データを検出すると、その旨を記録したログを出力する。排除システム110は、このログをエンドポイントセキュリティシステム120から取得してその内容を確認することにより、物理サーバ400が不正データに感染したことを認識する。これに代えて、エンドポイントセキュリティシステム120と排除システム110との間で、不正データを検出した旨を即座に通知してもよい。 When the endpoint security system 120 detects unauthorized data on the physical server 400, it outputs a log to that effect. The exclusion system 110 acquires this log from the endpoint security system 120 and confirms its contents, thereby recognizing that the physical server 400 has been infected with unauthorized data. Alternatively, endpoint security system 120 and exclusion system 110 may be notified immediately of detection of unauthorized data.

不正データの1類型として、コマンド&コントロール型のマルウェアが挙げられる。このタイプの不正データは、感染コンピュータを支配下におき、遠隔コンピュータから感染コンピュータに対してコマンドを送信して所望の不正動作をさせるものである。コマンドを送信する遠隔コンピュータを、コマンド&コントロールサーバと呼ぶ。排除システム110は、感染コンピュータがこのタイプの不正データに感染したことを認識した場合は、感染コンピュータを内部ネットワークから隔離することに代えてまたはこれに加えて、感染コンピュータとコマンド&コントロールサーバとの間の通信を遮断してもよい。遮断するための具体的手段は上記手法その1~その3と同様である。 One type of malicious data is command-and-control malware. This type of rogue data takes control of an infected computer and sends commands from a remote computer to the infected computer to perform desired rogue actions. A remote computer that sends commands is called a command and control server. If the Exclusion System 110 learns that an infected computer has been infected with this type of malicious data, the Exclusion System 110 may alternatively or additionally isolate the infected computer from the internal network by communication between them may be blocked. The specific means for blocking are the same as the methods 1 to 3 above.

図3は、物理サーバ400の別構成例である。物理サーバ400は、ハイパーバイザ420の配下に仮想サーバ(Virtual Machine:VM)を配置した構成を備える場合がある。仮想サーバ環境においても、ファイアウォールを配置する場合がある。図3においては、VM421とVM422との間の通信を特定のTCPポートに限定するため、仮想FW423を同じハイパーバイザ420の配下に配置した例を示した。 FIG. 3 is another configuration example of the physical server 400 . The physical server 400 may have a configuration in which a virtual server (Virtual Machine: VM) is arranged under the hypervisor 420 . A firewall may also be deployed in a virtual server environment. FIG. 3 shows an example in which virtual FW 423 is arranged under the same hypervisor 420 in order to limit communication between VM 421 and VM 422 to a specific TCP port.

仮想FW423は、VM421とVM422との間の通信を記録するログを出力する。仮想FW423は、通信の正常度や異常度を表すフラグをこのログに出力することもできる。例えば禁止しているTCPポートを用いようと試みる通信が過度に多い場合、その程度に応じた警告レベルをログに記録することができる。排除システム110は、仮想FW423が出力するログを取得してその内容を確認することにより、仮想サーバが不正データに感染したことを認識することができる。これに代えて、警告レベルが閾値を超えた仮想サーバのアドレス等を仮想FW423から排除システム110に対して即座に通知してもよい。 The virtual FW 423 outputs logs that record communications between the VM 421 and the VM 422 . The virtual FW 423 can also output flags representing the degree of normality or abnormality of communication to this log. For example, if too many communications attempt to use a prohibited TCP port, a corresponding warning level can be logged. The exclusion system 110 can recognize that the virtual server has been infected with unauthorized data by acquiring the log output by the virtual FW 423 and confirming the contents thereof. Alternatively, the virtual FW 423 may immediately notify the exclusion system 110 of the address of the virtual server whose warning level exceeds the threshold.

不正データに感染した仮想サーバ(図3においてはVM421または422)を排除システム110が内部ネットワークから隔離するための具体的手段は上記手法その1~その3と同様である。仮想サーバも内部ネットワークに属するコンピュータとして振る舞うことに変わりはないからである。 The specific means by which the elimination system 110 isolates the virtual server (VM 421 or 422 in FIG. 3) infected with unauthorized data from the internal network is the same as methods 1 to 3 above. This is because the virtual server still behaves as a computer belonging to the internal network.

図3においては、仮想FW423が異常な通信を検出することにより、不正データに感染した仮想サーバを認識することを説明したが、図2と同様のエンドポイントセキュリティシステム120を仮想サーバ上に構成することにより、不正データに感染した仮想サーバを認識してもよい。 In FIG. 3, it was explained that the virtual firewall 423 recognizes a virtual server infected with unauthorized data by detecting abnormal communication, but the endpoint security system 120 similar to that in FIG. By doing so, a virtual server infected with unauthorized data may be recognized.

<実施の形態1:まとめ>
本実施形態1に係るセキュリティシステム10は、入口保護システム200と出口保護システム100を備え、出口保護システム100はさらに、感染コンピュータを内部ネットワークから隔離する排除システム110を備える。これにより、内部ネットワークをサイバー攻撃から多段的に保護するとともに、感染コンピュータから内部ネットワークに対して与える影響を抑制することができる。したがって、内部ネットワークのサイバーセキュリティを向上させることができる。 <Embodiment 1: Summary>
The security system 10 according to the first embodiment comprises an entrance protection system 200 and an exit protection system 100, and the exit protection system 100 further comprises an exclusion system 110 that isolates infected computers from the internal network. As a result, the internal network can be protected from cyberattacks in multiple stages, and the impact of the infected computer on the internal network can be suppressed. Therefore, the cyber security of the internal network can be improved.

本実施形態1に係るセキュリティシステム10は、感染コンピュータと内部ネットワークとの間の通信経路を遮断することにより、感染コンピュータを内部ネットワークから隔離する。具体的には、排除システム110は(a)内部ルータ320上のルーティングテーブルを書き換えて感染コンピュータと内部ネットワークとの間の通信経路を遮断する、(b)ネットワークスイッチ330のポート間の接続関係を変更することにより感染コンピュータと内部ネットワークとの間の通信経路を遮断する、(c)内部ネットワークに属するコンピュータのARPテーブルを偽装する、などの手法を用いることができる。これにより排除システム110は、感染コンピュータを内部ネットワークから確実に隔離することができる。 The security system 10 according to the first embodiment isolates the infected computer from the internal network by blocking the communication path between the infected computer and the internal network. Specifically, the exclusion system 110 (a) rewrites the routing table on the internal router 320 to cut off the communication path between the infected computer and the internal network, It is possible to use methods such as blocking the communication path between the infected computer and the internal network by changing it, and (c) camouflaging the ARP table of the computer belonging to the internal network. This allows the exclusion system 110 to ensure that the infected computer is isolated from the internal network.

本実施形態1に係るセキュリティシステム10は、感染コンピュータがコマンド&コントロール型の不正データに感染した場合、感染コンピュータとコマンド&コントロールサーバとの間の通信を遮断することもできる。これにより、内部ネットワークに対する影響のみならず、感染コンピュータを起点とするコマンド&コントロール型の様々なサイバー攻撃を包括的に遮断することができる。例えば感染コンピュータがボットネットワークの構成要素として振る舞うことを防止できる。したがって、内部ネットワークに対する影響に留まらず、周辺ネットワークに対する影響をも抑制することができる。 The security system 10 according to the first embodiment can also block communication between the infected computer and the command and control server when the infected computer is infected with unauthorized command and control data. As a result, it is possible to comprehensively block not only the impact on the internal network, but also various command-and-control type cyber-attacks originating from infected computers. For example, infected computers can be prevented from acting as members of a bot network. Therefore, it is possible to suppress not only the influence on the internal network but also the influence on the peripheral network.

本実施形態1に係るセキュリティシステム10は、エンドポイントセキュリティシステム120と排除システム110との間で、感染コンピュータを特定するデータをやり取りする。これにより、従来は個別に動作するに留まっていたエンドポイントセキュリティシステム120と排除システム110が相互連携して、セキュリティを相乗的に高めることができる。本実施形態1はこの点において、単に各システムを個別に利用するのみならず、これらの相乗効果を発揮させる具体的手法を提供する、本実施形態1固有の技術的着想に基づくものであるといえる。 The security system 10 according to the first embodiment exchanges data identifying infected computers between the endpoint security system 120 and the exclusion system 110 . As a result, the endpoint security system 120 and the exclusion system 110, which conventionally operate independently, can cooperate with each other to enhance security synergistically. In this respect, the first embodiment is based on the technical idea unique to the first embodiment, which not only utilizes each system individually, but also provides a specific method for exhibiting a synergistic effect. I can say.

本実施形態1に係るセキュリティシステム10は、仮想FW423と排除システム110との間で、感染コンピュータを特定するデータをやり取りする。これにより、仮想サーバが不正データに感染した場合であっても、その仮想サーバを内部ネットワークから隔離することができる。仮想FW423と排除システム110は従来個別に動作するに留まっていたが、本実施形態1によればこれらが相互連携することにより、仮想サーバ環境においてもセキュリティを相乗的に高めることができる。本実施形態1はこの点においても固有の技術的着想に基づくものであるといえる。 The security system 10 according to the first embodiment exchanges data identifying infected computers between the virtual FW 423 and the exclusion system 110 . As a result, even if a virtual server is infected with unauthorized data, the virtual server can be isolated from the internal network. Conventionally, the virtual FW 423 and the exclusion system 110 have only operated individually, but according to the first embodiment, they cooperate with each other to synergistically enhance security even in a virtual server environment. It can be said that the first embodiment is based on a unique technical idea in this respect as well.

<実施の形態2>
図4は、本発明の実施形態2に係るセキュリティシステム10における物理サーバ400の構成例である。仮想サーバが有するIPアドレスは、ハイパーバイザ420が提供する仮想ネットワーク内部におけるプライベートIPアドレスである場合もある。この場合は例えばハイパーバイザ420が提供するNAT(Network Address Translation)421によってIPアドレスがプライベートアドレスから内部ネットワーク上のアドレスへ変換され、これにより各仮想サーバは他コンピュータと通信することができる。 <Embodiment 2>
FIG. 4 is a configuration example of a physical server 400 in the security system 10 according to Embodiment 2 of the present invention. The IP address that the virtual server has may be a private IP address inside the virtual network provided by the hypervisor 420 . In this case, for example, a NAT (Network Address Translation) 421 provided by the hypervisor 420 converts the IP address from a private address to an address on the internal network, thereby allowing each virtual server to communicate with other computers.

図4のようなアドレス構成においては、排除システム110が仮想サーバを内部ネットワークから排除しようとしたとき、不都合が生じる場合がある。排除システムが感染コンピュータのIPアドレスを指定して内部ネットワークから隔離しようとしたとき、感染コンピュータのプライベートIPアドレスを排除システム110が知る手段が存在していないからである。具体的には、不正データに感染した仮想サーバのARPテーブルを書き換えようとしたとき、その仮想サーバのプライベートIPアドレスを指定する手段が存在しないことになる。 In the address configuration as shown in FIG. 4, inconvenience may occur when the exclusion system 110 attempts to exclude the virtual server from the internal network. This is because there is no way for the exclusion system 110 to know the private IP address of the infected computer when the exclusion system specifies the IP address of the infected computer and isolates it from the internal network. Specifically, when attempting to rewrite the ARP table of a virtual server infected with unauthorized data, there is no means for designating the private IP address of that virtual server.

そこで本実施形態2において、排除システム110は、不正データに感染した仮想サーバを隔離するように、ハイパーバイザ420に対して依頼する。ハイパーバイザ420はその依頼を受けて、その仮想サーバをNAT421の配下にある仮想ネットワークから隔離する。隔離する具体的な手法としては、実施形態1で説明した手法その1~その3と同様のものを仮想ネットワークにおいて実施すればよい。例えば仮想ネットワークにおいても仮想ルータや仮想ネットワークスイッチが構成されている場合は、これらに対して手法その1~その2に対応する手順を実施すればよい。あるいは手法その3と同様に、仮想サーバが有するARPテーブルを書き換えるARP応答を仮想ネットワーク内において配信してもよい。 Therefore, in the second embodiment, the exclusion system 110 requests the hypervisor 420 to isolate the virtual server infected with unauthorized data. The hypervisor 420 receives the request and isolates the virtual server from the virtual network under the NAT 421 . As a specific method for isolation, methods similar to methods 1 to 3 described in the first embodiment may be implemented in a virtual network. For example, if virtual routers and virtual network switches are configured in a virtual network, procedures corresponding to methods 1 and 2 may be performed for these. Alternatively, similarly to technique 3, an ARP response for rewriting the ARP table of the virtual server may be distributed within the virtual network.

図5は、本実施形態2に係るセキュリティシステム10における物理サーバ400の別構成例である。図4で説明した手法は、仮想サーバのIPアドレス体系が排除システム110のIPアドレス体系とは切り離されていることに起因して必要になる。これに代えて図5においては、ハイパーバイザ420の配下の仮想サーバとして、排除システム110のスレーブとして動作する仮想排除システム111を構成している。仮想排除システム111は、仮想サーバ上に排除システム110と同様のシステムを構築したものである。 FIG. 5 is another configuration example of the physical server 400 in the security system 10 according to the second embodiment. The approach described in FIG. 4 is necessary due to the fact that the virtual server's IP addressing scheme is separate from the exclusion system's 110 IP addressing scheme. Instead, in FIG. 5, a virtual exclusion system 111 operating as a slave of the exclusion system 110 is configured as a virtual server under the hypervisor 420 . The virtual exclusion system 111 is a system similar to the exclusion system 110 constructed on a virtual server.

排除システム110は、不正データに感染した仮想サーバを隔離するように、仮想排除システム111に対して依頼する。仮想排除システム111は、不正データに感染した仮想サーバと同じ仮想ネットワークに属するので、その仮想サーバを排除するために特別な工夫は必要ない。 The exclusion system 110 requests the virtual exclusion system 111 to isolate the virtual server infected with the malicious data. Since the virtual exclusion system 111 belongs to the same virtual network as the virtual server infected with unauthorized data, no special device is required to exclude the virtual server.

本実施形態2において、不正データに感染した仮想サーバを排除システム110が認識する際には、例えば仮想ネットワーク上における仮想サーバのプライベートIPアドレスを記述したログを排除システム110が取得すればよい。排除システム110は、そのプライベートIPアドレスを直接指定する手段を有していないが、これに代えてそのプライベートIPアドレスを有する仮想サーバを仮想ネットワークから隔離するように、ハイパーバイザ420または仮想排除システム111に対して依頼すればよい。 In the second embodiment, when the exclusion system 110 recognizes a virtual server infected with unauthorized data, the exclusion system 110 may acquire a log describing the private IP address of the virtual server on the virtual network, for example. Exclusion system 110 does not have the means to directly specify its private IP address, but instead allows hypervisor 420 or virtual exclusion system 111 to isolate the virtual server with that private IP address from the virtual network. can be requested.

<実施の形態2:まとめ>
本実施形態2に係るセキュリティシステム10は、仮想サーバが不正データに感染した場合であっても、排除システム110と仮想ネットワークが相互に連携することによりその仮想サーバを仮想ネットワークから隔離することができる。これにより、仮想ネットワーク内において不正データの影響が拡散することを防止できる。また物理サーバ400全体を隔離する必要はないので、隔離にともなうシステム機能低下を最小限に留めることができる。 <Embodiment 2: Summary>
Even if a virtual server is infected with unauthorized data, the security system 10 according to the second embodiment can isolate the virtual server from the virtual network by mutual cooperation between the exclusion system 110 and the virtual network. . As a result, it is possible to prevent the influence of unauthorized data from spreading within the virtual network. In addition, since it is not necessary to isolate the entire physical server 400, it is possible to minimize deterioration of system functions due to isolation.

<本発明の変形例について>
本発明は、前述した実施形態に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施形態の構成の一部を他の実施形態の構成に置き換えることが可能であり、また、ある実施形態の構成に他の実施形態の構成を加えることも可能である。また、各実施形態の構成の一部について、他の構成の追加・削除・置換をすることが可能である。 <Regarding Modifications of the Present Invention>
The present invention is not limited to the embodiments described above, and includes various modifications. For example, the above-described embodiments have been described in detail in order to explain the present invention in an easy-to-understand manner, and are not necessarily limited to those having all the configurations described. Also, part of the configuration of one embodiment can be replaced with the configuration of another embodiment, and the configuration of another embodiment can be added to the configuration of one embodiment. Moreover, it is possible to add, delete, or replace part of the configuration of each embodiment with another configuration.

以上の実施形態において、FW210、IPS220、サンドボックス230、WAF240は、それぞれ別のサーバコンピュータ上に実装することもできるし、これらのうち2以上を同一のサーバコンピュータ上に実装することもできる。排除システム110も同様にサーバコンピュータ上に実装することができる。 In the above embodiment, the FW 210, IPS 220, sandbox 230, and WAF 240 can be implemented on separate server computers, or two or more of them can be implemented on the same server computer. Exclusion system 110 can also be implemented on a server computer.

上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、または、ICカード、SDカード等の記録媒体に置くことができる。また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。 Some or all of the above configurations, functions, processing units, processing means, etc. may be realized by hardware, for example, by designing integrated circuits. Moreover, each of the above configurations, functions, etc. may be realized by software by a processor interpreting and executing a program for realizing each function. Information such as programs, tables, and files that implement each function can be stored in recording devices such as memories, hard disks, SSDs (Solid State Drives), or recording media such as IC cards and SD cards. Further, the control lines and information lines indicate those considered necessary for explanation, and not all control lines and information lines are necessarily indicated on the product. In practice, it may be considered that almost all configurations are interconnected.

10:セキュリティシステム
100:出口保護システム
110:排除システム
120:エンドポイントセキュリティシステム
200:入口保護システム
210:FW
220:IPS
230:サンドボックス
240:WAF
310:外部ルータ
320:内部ルータ
330:ネットワークスイッチ
400:物理サーバ
420:ハイパーバイザ
423:仮想FW 10: Security System 100: Exit Protection System 110: Exclusion System 120: Endpoint Security System 200: Entrance Protection System 210: FW
220: IPS
230: Sandbox 240: WAF
310: External router 320: Internal router 330: Network switch 400: Physical server 420: Hypervisor 423: Virtual FW

Claims (9)

内部コンピュータネットワークに接続された情報システムに対するサイバー攻撃から前記情報システムを保護するセキュリティシステムであって、
前記内部コンピュータネットワークと外部ネットワークとの間に配置され、前記外部ネットワークから前記内部コンピュータネットワークに対して侵入しようとする攻撃をブロックする入口保護システム、
前記内部コンピュータネットワークに接続されたコンピュータが不正データに感染したときそのコンピュータによる不正動作を抑制する出口保護システム、
を備え、
前記入口保護システムは、
特定のTCPポートを用いる通信および、外部ネットワークから内部ネットワークへの通信の場合はHTTPプロトコルによる通信のみを通過させるファイアウォールシステム、
特定の通信パターンをあらかじめ不正通信パターンとして保持しておき、その不正通信パターンに合致する通信を検知した場合、遮断する侵入防止システム、
前記外部ネットワークから送信されてきたデータを前記内部コンピュータネットワークから隔離されたサンドボックスコンピュータ上で動作させてその挙動を監視することにより、前記データが不正データであるか否かを判定し、不正データと判定した場合に排除するサンドボックスシステム、
Webアプリケーション上の特定の動作パターンをあらかじめ不正パターンとして保持しておき、その不正パターンに合致するWebアプリケーション上の動作を遮断するWebアプリケーションファイアーウォールシステム、
を備え、
前記出口保護システムはさらに、前記情報システムが接続されている内部コンピュータネットワークから前記不正データに感染した感染コンピュータを隔離する不正コンピュータ排除システムを備え
前記出口保護システムは、前記内部コンピュータネットワークに属する仮想コンピュータ間における特定のTCPポートを用いる通信を遮断する仮想ファイアウォールシステムを備え、
前記仮想ファイアウォールシステムは、通信を許可していないTCPポートを用いる通信を検出すると、その旨の通知またはログを出力し、
前記不正コンピュータ排除システムは、前記仮想ファイアウォールシステムが出力した前記通知または前記ログに基づき、通信を許可していないTCPポートを用いる仮想コンピュータを感染コンピュータであると特定するとともに、特定した前記感染コンピュータを隔離する
ことを特徴とするセキュリティシステム。 A security system that protects an information system connected to an internal computer network from cyber attacks against said information system,
an entrance protection system that is placed between the internal computer network and an external network and blocks attacks from the external network to the internal computer network;
an exit protection system that suppresses unauthorized operations by computers connected to the internal computer network when infected with unauthorized data;
with
The entrance protection system comprises:
A firewall system that allows only communication using a specific TCP port and communication using the HTTP protocol in the case of communication from an external network to an internal network,
An intrusion prevention system that stores specific communication patterns in advance as fraudulent communication patterns and blocks communications that match the fraudulent communication patterns.
By operating the data transmitted from the external network on a sandbox computer isolated from the internal computer network and monitoring its behavior, it is determined whether or not the data is fraudulent data. A sandbox system that eliminates if it is determined that
A web application firewall system that stores specific operation patterns on web applications as fraud patterns in advance and blocks operations on web applications that match the fraud patterns;
with
The exit protection system further comprises a rogue computer exclusion system for isolating infected computers infected with the rogue data from an internal computer network to which the information system is connected ,
The egress protection system comprises a virtual firewall system that blocks communication using a specific TCP port between virtual computers belonging to the internal computer network;
When the virtual firewall system detects communication using a TCP port for which communication is not permitted, it outputs a notification or log to that effect,
The unauthorized computer exclusion system identifies a virtual computer using a TCP port for which communication is not permitted as an infected computer based on the notification or the log output by the virtual firewall system, and identifies the identified infected computer. isolate
A security system characterized by: 前記不正コンピュータ排除システムは、前記感染コンピュータと前記内部コンピュータネットワークとの間の通信経路を遮断することにより、前記感染コンピュータを前記内部コンピュータネットワークから隔離する
ことを特徴とする請求項1記載のセキュリティシステム。 2. The security system according to claim 1, wherein said unauthorized computer exclusion system isolates said infected computer from said internal computer network by blocking a communication path between said infected computer and said internal computer network. . 前記内部コンピュータネットワークは、前記内部コンピュータネットワークに属する各コンピュータと前記感染コンピュータとの間の通信経路を定義する通信経路データを管理するルータを備え、
前記不正コンピュータ排除システムは、前記内部コンピュータネットワークに属する各コンピュータと前記感染コンピュータとの間の通信経路が存在しなくなるように前記通信経路データを書き換えることにより、前記感染コンピュータと前記内部コンピュータネットワークとの間の通信経路を遮断する
ことを特徴とする請求項2記載のセキュリティシステム。 The internal computer network comprises a router that manages communication path data defining communication paths between each computer belonging to the internal computer network and the infected computer,
The unauthorized computer exclusion system rewrites the communication path data so that the communication path between each computer belonging to the internal computer network and the infected computer does not exist, thereby rewriting the infected computer and the internal computer network. 3. The security system according to claim 2, which cuts off a communication path between. 前記内部コンピュータネットワークは、前記内部コンピュータネットワークに属する各コンピュータと前記感染コンピュータとの間の通信を中継するネットワークスイッチを備え、
前記ネットワークスイッチは、コンピュータと接続する通信ポートを複数備えるとともに、各前記通信ポート間の接続を内部的に変更することができるように構成されており、 前記不正コンピュータ排除システムは、前記感染コンピュータから前記内部コンピュータネットワークに属する各コンピュータに対する通信を中継しないように各前記通信ポート間の接続を変更することにより、前記感染コンピュータと前記内部コンピュータネットワークとの間の通信経路を遮断する
ことを特徴とする請求項2記載のセキュリティシステム。 the internal computer network comprises a network switch that relays communication between each computer belonging to the internal computer network and the infected computer;
The network switch has a plurality of communication ports that connect to computers, and is configured to be able to internally change the connection between each of the communication ports, A communication route between the infected computer and the internal computer network is cut off by changing connections between the communication ports so as not to relay communications to computers belonging to the internal computer network. 3. A security system according to claim 2. 前記不正コンピュータ排除システムは、前記内部コンピュータネットワークに属するコンピュータのIPアドレスとMACアドレスとの間の対応関係を回答するように要求するアドレス解決パケットを監視し、
前記不正コンピュータ排除システムは、前記感染コンピュータから送信された前記アドレス解決パケットを検出すると、前記内部コンピュータネットワークに属するコンピュータの前記対応関係を偽る回答を、前記感染コンピュータからの前記アドレス解決パケットに対して返信することにより、前記感染コンピュータと前記内部コンピュータネットワークとの間の通信経路を遮断する
ことを特徴とする請求項2記載のセキュリティシステム。 The unauthorized computer exclusion system monitors an address resolution packet requesting a response of correspondence between IP addresses and MAC addresses of computers belonging to the internal computer network;
When the unauthorized computer exclusion system detects the address resolution packet transmitted from the infected computer, the unauthorized computer exclusion system sends a reply that falsifies the correspondence relationship of the computers belonging to the internal computer network to the address resolution packet from the infected computer. 3. The security system according to claim 2, wherein replying cuts off a communication path between the infected computer and the internal computer network. 前記不正コンピュータ排除システムは、前記感染コンピュータに対してコマンドを送信するコマンド&コントロールサーバと前記感染コンピュータとの間の通信を検知することにより、前記感染コンピュータによる不正動作を遮断、抑制する
ことを特徴とする請求項1記載のセキュリティシステム。 The unauthorized computer exclusion system is characterized by blocking and suppressing unauthorized operations by the infected computer by detecting communication between the infected computer and a command and control server that transmits commands to the infected computer. 2. The security system of claim 1, wherein: 前記出口保護システムは、前記不正データを検出する保護プログラムを実行することにより、前記感染コンピュータが感染した前記不正データを検出し、
前記不正コンピュータ排除システムは、前記保護プログラムとの間で前記不正データを検出した結果を互いにやり取りすることにより、前記感染コンピュータが前記不正データに感染したことを特定するとともに、前記不正データを排除する
ことを特徴とする請求項1記載のセキュリティシステム。 the exit protection system detects the unauthorized data infected by the infected computer by executing a protection program for detecting the unauthorized data;
The unauthorized computer exclusion system specifies that the infected computer is infected with the unauthorized data and eliminates the unauthorized data by exchanging the detection result of the unauthorized data with the protection program. The security system according to claim 1, characterized in that: 記感染コンピュータが、前記仮想コンピュータとして構成されているとともに、前記仮想コンピュータをホストするハイパーバイザ上においてIPアドレスを割り当てられている場合、前記不正コンピュータ排除システムは、前記ハイパーバイザを介して、前記対応関係を偽る回答を前記アドレス解決パケットに対して返信する
ことを特徴とする請求項5記載のセキュリティシステム。 When the infected computer is configured as the virtual computer and is assigned an IP address on a hypervisor that hosts the virtual computer, the unauthorized computer exclusion system, via the hypervisor, 6. The security system according to claim 5, wherein a reply falsifying a correspondence relationship is returned to said address resolution packet. 前記感染コンピュータは、前記不正データを検知するとともにその検知した不正データを前記感染コンピュータ上から除去する保護プログラムを実行することにより、前記不正データから前記感染コンピュータ自身を保護し、
前記保護プログラムは、不正プログラムの動作パターンを学習するとともに、学習した前記不正プログラムの動作パターンと前記不正データの動作パターンとをマッチングすることにより、前記不正データを検出する
ことを特徴とする請求項1記載のセキュリティシステム。 The infected computer protects itself from the unauthorized data by detecting the unauthorized data and executing a protection program that removes the detected unauthorized data from the infected computer,
The protection program detects the malicious data by learning an operational pattern of the malicious program and matching the learned operational pattern of the malicious program with the operational pattern of the malicious data. 1. The security system according to claim 1.
JP2018177069A 2018-09-21 2018-09-21 security system Active JP7198617B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018177069A JP7198617B2 (en) 2018-09-21 2018-09-21 security system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018177069A JP7198617B2 (en) 2018-09-21 2018-09-21 security system

Publications (2)

Publication Number Publication Date
JP2020047175A JP2020047175A (en) 2020-03-26
JP7198617B2 true JP7198617B2 (en) 2023-01-04

Family

ID=69899822

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018177069A Active JP7198617B2 (en) 2018-09-21 2018-09-21 security system

Country Status (1)

Country Link
JP (1) JP7198617B2 (en)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006100996A (en) 2004-09-28 2006-04-13 Toshiba Corp Network integrated supervisory apparatus, network integrated supervisory method, and network integrated supervisory system
JP2007266931A (en) 2006-03-28 2007-10-11 Matsushita Electric Works Ltd Communication interruption apparatus, and communication interruption program
JP2014126963A (en) 2012-12-26 2014-07-07 Nec Corp Communication control system, communication control method and communication control program
JP2015511047A (en) 2012-03-19 2015-04-13 クアルコム,インコーポレイテッド Computing device that detects malware
US20170054685A1 (en) 2015-08-18 2017-02-23 Konstantin Malkov Agentless Security of Virtual Machines Using a Network Interface Controller
JP2017117354A (en) 2015-12-25 2017-06-29 株式会社日立ソリューションズ Information leakage prevention system and method
JP2017228153A (en) 2016-06-23 2017-12-28 富士通株式会社 Attack content analysis program, attack content analysis method and attack content analysis device
JP2018121218A (en) 2017-01-25 2018-08-02 エヌ・ティ・ティ・コミュニケーションズ株式会社 Attack detection system, attack detection method and attack detection program

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4321375B2 (en) * 2004-06-18 2009-08-26 沖電気工業株式会社 Access control system, access control method, and access control program

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006100996A (en) 2004-09-28 2006-04-13 Toshiba Corp Network integrated supervisory apparatus, network integrated supervisory method, and network integrated supervisory system
JP2007266931A (en) 2006-03-28 2007-10-11 Matsushita Electric Works Ltd Communication interruption apparatus, and communication interruption program
JP2015511047A (en) 2012-03-19 2015-04-13 クアルコム,インコーポレイテッド Computing device that detects malware
JP2014126963A (en) 2012-12-26 2014-07-07 Nec Corp Communication control system, communication control method and communication control program
US20170054685A1 (en) 2015-08-18 2017-02-23 Konstantin Malkov Agentless Security of Virtual Machines Using a Network Interface Controller
JP2017117354A (en) 2015-12-25 2017-06-29 株式会社日立ソリューションズ Information leakage prevention system and method
JP2017228153A (en) 2016-06-23 2017-12-28 富士通株式会社 Attack content analysis program, attack content analysis method and attack content analysis device
JP2018121218A (en) 2017-01-25 2018-08-02 エヌ・ティ・ティ・コミュニケーションズ株式会社 Attack detection system, attack detection method and attack detection program

Also Published As

Publication number Publication date
JP2020047175A (en) 2020-03-26

Similar Documents

Publication Publication Date Title
US10230761B1 (en) Method and system for detecting network compromise
US7617533B1 (en) Self-quarantining network
US9992225B2 (en) System and a method for identifying malware network activity using a decoy environment
KR100663546B1 (en) A malignant bot confrontation method and its system
JP6083009B1 (en) SDN controller
AU2003222180B2 (en) System and method for detecting an infective element in a network environment
EP1895738B1 (en) Intelligent network interface controller
US10440055B2 (en) Apparatus and method for implementing network deception
US20100071065A1 (en) Infiltration of malware communications
JP6256773B2 (en) Security system
US11303673B1 (en) System and method for preventing lateral propagation of ransomware using a security appliance that functions as a DHCP relay on a shared network
JP2006243878A (en) Unauthorized access detection system
US10924510B2 (en) Method and system for a distributed early attack warning platform (DEAWP)
JP2008054204A (en) Connection device, terminal device, and data confirmation program
JP7150552B2 (en) Network protection devices and network protection systems
CN109861961B (en) Network defense device and network defense system
EP1754348B1 (en) Using address ranges to detect malicious activity
JP7198617B2 (en) security system
US11159533B2 (en) Relay apparatus
Yuhong et al. Industrial internet security protection based on an industrial firewall
JP2008011008A (en) Unauthorized access prevention system
US20170346844A1 (en) Mitigating Multiple Advanced Evasion Technique Attacks
JP6851211B2 (en) Network monitoring system
Bartman et al. An introduction to applying network intrusion detection for industrial control systems
US11979431B1 (en) System and method for prevention of lateral propagation of ransomware using ARP control on network switches to create point-to-point links between endpoints

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210910

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220428

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220510

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220705

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220913

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20221027

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20221206

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221219

R150 Certificate of patent or registration of utility model

Ref document number: 7198617

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350