CN106464577A - 网络系统、控制装置、通信装置、通信控制方法以及通信控制程序 - Google Patents
网络系统、控制装置、通信装置、通信控制方法以及通信控制程序 Download PDFInfo
- Publication number
- CN106464577A CN106464577A CN201580031941.4A CN201580031941A CN106464577A CN 106464577 A CN106464577 A CN 106464577A CN 201580031941 A CN201580031941 A CN 201580031941A CN 106464577 A CN106464577 A CN 106464577A
- Authority
- CN
- China
- Prior art keywords
- communication
- control
- information
- communicator
- judged
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/64—Routing or path finding of packets in data switching networks using an overlay routing layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
控制装置(20)使用部分信息进行分析来判断通信中是否存在异常。而且,控制装置(20)在判断为通信中存在异常的情况下,对通信控制装置(12)控制通信路径,以使通信从通信装置(10)向控制装置(20)发送。而且,控制装置(20)判定通过通信路径的控制而发送来的通信是否是恶性的通信。其结果为,控制装置(20)在判定为通信是恶性的通信的情况下,对通信控制装置(12)进行控制,以限制该恶性的通信。
Description
技术领域
本发明涉及网络系统、控制装置、通信装置、通信控制方法以及通信控制程序。
背景技术
近年来,经由网络的攻击的方法高度发展,并且变得难以通过以往的基于事先防御的安全对策来应对。想要通过高性能·高功能的安全设备来应对这些攻击方法,但是若考虑到设备的费用或运行·管理的工时,则难以向一般的用户住宅或中小企业引入。因此,期望引入低廉的设备并实现高度的安全对策,但在这样的设备中,性能·功能将会受到限制。
例如,期待在家庭NW(Network:网络)或中小企业NW等用户NW中,仅引入具有最小限度的功能的低廉的设备,通过将该设备与位于用户NW的外部的功能联合起来,可期待实现高度的安全对策(即用户NW的安全的外包(Outsource))。
例如,作为安全对策,可考虑如下的技术:使用户NW与外部NW之间的全部通信流量(也包含通信分组(packet)、通信流)经由配置于因特网上的数据中心等外部功能或者进行镜像,由此,通过外部功能来无遗漏地监视用户NW的通信流量。另外,例如有如下的技术:对用户NW的流量进行采样且发送给配置于数据中心等的外部功能而进行异常检测。
另外,例如有如下的技术:在用户NW的外部判定从用户NW流过来的通信流量是否是经由IDS(Intrusion Detection System:入侵检测系统)向目的地应用服务器(AP服务器)的非法通信,而向管理者通知(例如,参照专利文献1)。具体而言,将被怀疑为向特定的AP服务器的非法访问的通信分配给具有负责该AP服务器的ISP(Internet ServicesProvider:互联网服务提供商)内的IDS的分组转发装置,当在该分组转发装置中判定为恶性的情况下,向管理者通知。由此,转发装置因为能够专用于向特定的服务器的通信而不是向任意的AP服务器的通信来实现IDS处理,因此降低处理负荷。
现有技术文献
专利文献
专利文献1:日本特开2009-117929号公报
发明内容
发明要解决的课题
但是,在上述的以往技术中,存在如下的课题:无法在不会对用户线路的频带带来压力并且不降低精度的情况下检测恶性通信来适当地保护用户通信。即,上述的监视全部通信流量的技术存在对频带带来压力的问题。另外,在上述的不以全部通信流量为对象而单纯地采样来进行异常检测的技术中,存在精度降低的问题。
另外,在将被怀疑为向特定的AP服务器的非法访问的通信流量转发到该服务器所属的服务提供商(ISP、MSSP(Managed Security Service Provider:安全管理服务提供商)等)的IDS来判定恶性的技术中,因为保护的对象是AP服务器,因此存在无法保护用户网络的通信的问题。
用于解决课题的手段
为了解决上述的课题而实现目的,本发明的网络系统具有通信装置和控制装置,该控制装置经由网络与所述通信装置进行通信,该网络系统的特征在于,所述通信装置具有:通信控制部,其对经由该通信装置的通信进行控制;收集部,其将与所述通信相关的信息中的一部分信息构成为部分信息而向所述控制装置发送,所述控制装置具有:分析部,其使用从所述通信装置接收到的部分信息进行分析,来判断所述通信中是否存在异常;控制判断部,其在所述分析部判断为所述通信中存在异常的情况下,对所述通信控制部控制通信路径,以使所述通信从所述通信装置向所述控制装置发送;以及解析部,其判定通过通信路径的控制而发送来的通信是否是恶性的通信,在所述解析部判定为所述通信是恶性的通信的情况下,所述控制判断部还对所述通信控制部进行控制,以限制该恶性的通信。
发明效果
根据本发明,实现如下的效果:抑制对用户网络的线路的频带带来的压力和与异常/恶性通信的检测相关的精度的降低来检测恶性通信,能够适当地保护用户网络的通信。
附图说明
图1是示出第一实施方式的网络系统的结构的图。
图2是示出第一实施方式的通信装置的结构的框图。
图3是示出第一实施方式的控制装置的结构的框图。
图4是对通信模式的迁移进行说明的图。
图5是说明第一实施方式的网络系统的通信控制处理的一系列的流程的图。
图6是示出第一实施方式的网络系统的通信控制处理的流程的顺序图。
图7是示出第一实施方式的收集装置中的收集处理的流程的流程图。
图8是示出第一实施方式的控制装置的通常模式下的通信控制处理的流程的流程图。
图9是示出第一实施方式的控制装置的镜像模式下的通信控制处理的流程的流程图。
图10是示出第一实施方式的控制装置的内联(inline)模式下的通信控制处理的流程的流程图。
图11是说明第二实施方式的网络系统的通信控制处理的一系列的流程的图。
图12是向特征向量空间的映射的概念图。
图13是示出用于异常判定处理的判定基准的一例的图。
图14是示出第二实施方式的网络系统中的通信控制处理的流程的顺序图。
图15是示出第二实施方式的控制装置的通常模式下的通信控制处理的流程的流程图。
图16是说明第三实施方式的网络系统的通信控制处理的一系列的流程的图。
图17是示出第三实施方式的网络系统中的通信控制处理的流程的顺序图。
图18是示出第三实施方式的收集装置中的收集处理的流程的流程图。
图19是说明第四实施方式的网络系统的通信控制处理的一系列的流程的图。
图20是说明集合的相似度的求出方法的图。
图21是说明在第五实施方式的网络系统中镜像模式时的通信控制处理的一系列的流程的图。
图22是说明在第五实施方式的网络系统中内联模式时的通信控制处理的一系列的流程的图。
图23是说明第六实施方式的网络系统中的通信控制处理的一系列的流程的图。
图24是示出第六实施方式的反常(anomaly)信息保存部中存储的信息的一例的图。
图25是示出第六实施方式的通信控制装置所具有的流表的一例的图。
图26是示出执行通信控制程序的计算机的图。
具体实施方式
以下基于附图详细地说明本申请的网络系统、控制装置、通信装置、通信控制方法以及通信控制程序的实施方式。此外,本申请的网络系统、控制装置、通信装置、通信控制方法以及通信控制程序并不限定于该实施方式。
[第一实施方式]
在以下的实施方式中,按顺序说明第一实施方式的网络系统的结构、通信装置的结构、控制装置的结构、网络系统的整体的处理的流程、通信装置以及控制装置各自的处理的流程,最后说明第一实施方式的效果。
[网络系统的结构]
图1是示出第一实施方式的网络系统的结构的图。在图1所示的网络系统100中,具有设置于用户NW 30内的通信装置10和设置于用户NW 30之外的控制装置20。通信装置10与控制装置20经由外部NW 60连接。
如图1所示,通信装置10的配置场所是用户NW 30侧。例如,通信装置10既可以嵌入到用户NW 30侧的用于因特网通信的外围路由器中,也可以布置于外围路由器与用户NW 30内的PC等终端40之间。在后者的情况下,成为内联型(透明型)的连接。即,经由通信装置10的通信或者其一部分成为处理对象。另外,通信装置10由收集装置11和通信控制装置12构成。
收集装置11对流过用户NW 30而经由通信装置10的通信流量的一部分进行收集,且作为通信流量的部分信息向控制装置20的收集管理装置21发送。此外,收集装置11既可以将所收集的通信流量的一部分直接向收集管理装置21发送,也可以仅将所收集的通信流量的一部中的其进一步的一部分作为部分信息发送,或者,也可以将聚合或者统计化的信息作为通信流量的部分信息向外部发送。
通信控制装置12按照从控制装置20收到的控制命令对通信流量进行控制。此外,后面会详细说明,作为通信流量的控制处理,有与通信模式的变更相伴的通信模式控制和安全控制(分组过滤等)。
控制装置20的配置场所是用户NW 30的外部,是控制NW 70侧。例如,控制装置20设置于通信载波NW或ISP的NW以及因特网上的数据中心。另外,控制装置20由收集管理装置21、分析装置22、控制判断装置23、解析装置24以及通信控制装置25的5个装置构成。此外,也可以将控制装置20作为一个装置,用一台来具有收集管理装置21、分析装置22、控制判断装置23、解析装置24以及通信控制装置25各自的功能。
收集管理装置21对从收集装置11发送的部分信息进行收集而向分析装置22发送。
分析装置22对从收集管理装置21接收到的部分信息进行例如基于机器学习的异常检测等的分析,且向控制判断装置23输出其分析结果。另外,将分析结果作为机器学习的模型信息进行存储而应用于以后的分析中。使用特征向量和模型信息(例如,由特征向量组构成的、将特征向量组聚合而构成的特征向量空间或者特征空间等)进行分析,且将该特征向量是否异常作为分析结果进行输出,其中,该特征向量是使用作为输入来受理的部分信息而构成的。而且,通过进行机器学习,将该特征向量反映到模型信息中,从而进行更新,来提高以后分析的精度。
控制判断装置23基于从分析装置22收到的分析结果来决定通信模式,且命令各通信控制装置12、25进行依照通信模式的通信模式控制。另外,控制判断装置23基于从解析装置24收到的解析结果来决定通信模式或安全控制的内容,且命令各通信控制装置12、25进行依照这些决定的通信控制。
解析装置24对所接收的通信流量进行深度的解析,判定是否是感染了恶意软件(Malware)等的恶性通信而向控制判断装置23输出判定结果。例如,解析装置24判定是恶性的“黑”、不是恶性的“白”、无法进行白黑判定的“灰”中的哪一种。此外,关于“灰”,可以通过多个分级进行判定,例如可以通过从更接近黑的5到接近白的1的5个等级进行判定。在判定结果中包含判定对象的通信协议号、目的地或发送源地址·端口号等,使用该信息对各通信控制装置12、25进行安全控制。
通信控制装置25按照从控制判断装置23收到的控制命令对通信流量进行控制。此外,作为通信流量的控制处理,有与通信模式的变更相伴的通信模式控制和安全控制。
在用户NW 30内,有作为PC等通信设备的终端40和用于与因特网进行通信的路由器80(或者终端装置)。通信装置10连接于终端40与路由器80之间,终端40进行因特网通信的通信流量全部经由通信装置10且经由路由器而与外部NW 60进行发送接收。
在此,对各装置举出具体例进行说明,例如,收集装置11基于sFlow代理而构成,收集管理装置21基于sFlow收集器而构成,各通信控制装置12、25基于OpenFlow(例如参照“https://www.opennetworking.org/”)兼容交换机和GRE或L2TP等隧道功能而构成。
另外,例如,分析装置22是作为异常检测处理能够进行在线机器学习并行分布式处理框架Jubatus(例如,参照NTT技术期刊2012.10、pp.30-35、“http://www.ntt.co.jp/journal/1210/files/jn201210030.pdf”)的异常检测的装置。另外,例如,解析装置24是对可进行Deep Packet Inspection(深度分组检测)的层2到层7的应用通信进行识别而进行深度的解析,并且能够检测、阻断恶性通信的行为的装置。
另外,解析装置24在判定为恶性通信(黑)的情况下,输出相应的消息日志。另外,解析装置24在判定为可疑的通信(灰)的情况下,输出相应的消息日志,此外,在对可疑度具有级别的情况下,将表示其级别的信息也一并输出。另外,解析装置24在判定为不是恶性通信(白)的情况下,通过输出相应的消息日志或者不输出消息日志,向外部的控制判断装置23或使用者通知不是恶性通信。
控制判断装置23可以基于分析装置22或解析装置24的结果来判断命令内容而经由OpenFlow控制器向OpenFlow兼容交换机(例如Open vSwitch(http://openvswitch.org/))发出命令,而对于通信控制装置12、25间的隧道的建立和删除,可以另行发出命令。
另外,也可以为,将OpenFlow控制器嵌入到各通信控制装置12、25,控制判断装置23对各OpenFlow控制器发送控制命令,接收到命令的OpenFlow控制器对对象的OpenFlow兼容交换机进行流条目(flow entry)的写入等的控制。
[通信装置的结构]
接着,使用图2来说明图1所示的通信装置10的结构。图2是示出第一实施方式的通信装置的结构的框图。如图2所示,该通信装置10由收集装置11和通信控制装置12构成。
收集装置11将与通信相关的信息中的一部分信息构成为部分信息而向控制装置20发送。或者,也可以对用户网络内的能够收集的所有通信进行收集,且将其一部分构成为部分信息。在此,所谓的用户网络内的通信是经由通信装置10的通信,例如表示封闭在用户网络内的通信或用户网络与因特网等外部网络之间的通信。收集装置11具有提取部11a和存储部11b。
存储部11b存储收集规则,该收集规则定义了用于收集部分信息的规定。例如,存储部11b存储提取规则或发送规则作为收集规则,其中该提取规则规定了提取部11a用于提取通信流量的条件,该发送规则规定了向收集管理装置21发送所提取的部分信息的条件。
提取部11a基于存储部11b中存储的收集规则来提取通信流量,且根据需要暂时地存储于存储部11b中。另外,提取部11a提取满足提取规则的必要条件的部分信息,且以满足发送规则的必要条件为契机向收集管理装置21发送。例如,提取部11a每当获取规定数量的分组时,向收集管理装置21发送满足收集规则的必要条件的部分信息。
通信控制装置12具有存储部12a、隧道部12b以及通信控制部12c。存储部12a存储在通信模式控制或安全控制中所需要的控制规则。
在此,对提取部11a的收集规则进行说明。收集装置11的存储部11b中存储的收集规则由以下部分构成:构成向进行异常检测等的分析装置22输入的特征向量的各元素的信息(例如,每个通信方向的时刻信息、通信会话的连接时间、识别用户或者用户NW 30的识别信息、发送源IP地址、目的地IP地址、发送源端口号、目的地端口号、应用识别信息、数据大小、用于名称解析的DNS查询和响应的内容信息或该查询的时间间隔、次数或所解析的名称的TTL(Time To Live:生存时间)等)、将这些信息以采样或以与采样相似的形式来聚合或者统计的计算方法、以及表示向收集管理装置21发送部分信息的契机(将所收集的时间间隔作为契机、将规定分组数收集作为契机等)的信息。例如,作为表示契机的信息,既可以将规定的时间间隔作为契机,也可以将收集了规定分组数作为契机。
另外,作为通信流量的收集,例如作为一例可举出能够在SNMP或sFlow、Netflow、IPFIX中获取的数据以及其采样方法。或者,也可以使用获取可在OpenFlow中处理的统计信息的结构。在该情况下,将在OpenFlow兼容交换机中收集的统计信息按照OpenFlow的规格发送给OpenFlow控制器。例如,在OpenFlow控制器嵌入于控制判断装置23的情况下,收集了统计信息的控制判断装置23转发给收集管理装置21,另外,在OpenFlow控制器嵌入于各通信控制装置(通信控制装置12和通信控制装置25)的情况下,将在通信控制装置12上收集的统计信息转发给收集管理装置21(也可以经由收集装置11)。另外,在嵌入有能够识别用于通信的层7的应用的单元的情况下,也可以将该识别信息包含于部分信息中。
除此之外,也可以嵌入以任意的形式聚合任意的信息的结构。通过捕获框架或者分组而进行分解,能够提取所需的元素信息。另外,既可以直接发送满足与收集规则相应的必要条件的规定的通信流量,也可以发送该通信流量的一部分。在该情况下,在后述的收集管理装置21侧生成部分信息或者根据所接收的信息生成应用于机器学习等的特征向量。例如,在应用了sFlow的技术的情况下,是基于采样的技术,在收集器(相当于收集管理装置21)中生成特征向量而不是在代理(相当于收集装置11)中生成特征向量。
隧道部12b与相对的控制装置20的通信控制装置25之间建立隧道。隧道部12b在通信模式是镜像模式或者内联模式时,为了使通信流量流入解析装置24而与相对的通信控制装置25的通信控制部25c之间建立隧道。通信控制部12c对经由通信装置10的通信进行控制。具体而言,通信控制部12c进行基于通信模式的通信模式控制和分组过滤等安全控制。
[控制装置的结构]
接着,使用图3来说明图1所示的控制装置20的结构。图3是示出第一实施方式的控制装置的结构的框图。如图3所示,该控制装置20由收集管理装置21、分析装置22、控制判断装置23、解析装置24以及通信控制装置25构成。
控制装置20观测在通信装置10中流动的通信流量,在判定为异常的通信(恶性或者不能断定为恶性但与正常的通信的动作不同的通信)的情况下或者判定为恶性通信的情况下,通过变更通信模式来对通信装置10的通信控制装置12和/或控制装置20的通信控制装置25命令通信模式控制,在判定为是恶性且需要通信阻断的情况下,对通信装置10的通信控制装置12和/或控制装置20的通信控制装置25命令安全控制。
收集管理装置21具有收集部21a和提取控制部21b。收集部21a从通信装置10收集部分信息而向分析装置22发送。提取控制部21b对收集装置11预先发送收集规则。
分析装置22对经由收集管理装置21从通信装置10接收到的部分信息进行分析,且使用所分析的分析结果来判断用户网络内的通信中是否存在异常。另外,分析装置22具有分析/学习部22a和存储部22b。此外,存储部22b存储作为判断通信的异常的判断基准的规则。
分析/学习部22a通过异常检测等机器学习对从收集管理装置21收到的部分信息进行分析,且向控制判断装置23通知其结果。另外,分析/学习部22a将机器学习的学习结果作为模型信息进行更新,且将所更新的模型信息存放于存储部22b中。
分析/学习部22a作为分析和学习的方法例如也可以使用作为基于密度的偏移值检测法的LOF(Local Outlier Factor:局部异常因子)等。在此,对分析和机器学习进行详细说明。首先,对特征向量化事先定义构成特征向量的元素,且登记于分析装置22中。
在通信分组的情况下,预先定义例如发送源/目的地IP地址或MAC地址、协议号(表示TCP/UDP等的编号)、端口号、数据部的认证信息(在有的情况下是1、在没有的情况下是0等)、数据大小、对用于通信应用进行识别的识别信息等能够从通信分组中获取的所有信息中的在分析·学习中所需要的元素,在受理了分组的输入的情况下,对该分组进行分解并提取所定义的所需的元素(也可以将IPv4地址由每个元素例如为8比特的多个元素构成),且创建由该元素构成的特征向量(若元素是n个则为n维的数值向量)。
这可以基于收集装置11的收集规则而在提取部11a中进行,总之,可以将在特征向量化中所需要的信息作为部分信息从收集装置11向收集管理装置21发送,且收集管理装置21根据该部分信息生成特征向量。
关于异常判定(分析),在对分析装置22的存储部22b存储的作为到此为止的学习结果的模型信息(例如,是特征向量组,成为通过规定的学习或者分类算法分类的1个以上的集合)赋予进行了特征向量化的输入信息作为输入的情况下,能够基于空间的距离或密度来判定是异常(或者表示从通常模型脱离的程度的反常)还是非异常。
关于学习,将特征向量存储于规定的存储部22b中,且基于规定的学习算法对所存储的特征向量组进行分类。作为异常检测的学习算法,例如能够应用LOF。在此,所谓的学习是指,将特征向量信息存储于存储部22b中,且从存储部22b中存储的特征向量信息组中导出集合的特征信息(如果是分类则是为了将集合进行分类而划线的边界线等)。通过使用该特征信息,能够进行分析。通过学习,更多样地将多数特征向量反映到模型信息中,由此能够提高使用了模型信息的分析的精度。
控制判断装置23具有判断部23a、控制命令部23b以及存储部23c。存储部23c存储各通信控制装置12、25的状态信息等。存储部23c例如对每个用户或者每个用户NW 30关联地存储状态信息,该状态信息是将用哪种通信模式对哪个用户或者用户NW 30的哪个通信流量进行路径控制、以及通信模式的迁移的历史、正在实施哪种安全控制。
判断部23a使用由分析装置22分析的分析结果来判断通信模式。具体而言,判断部23a在从分析装置22接收到分析结果时,基于分析结果进行判断而决定通信控制装置12的通信模式。
控制命令部23b在由分析装置22判断为通信中存在异常的情况下,对用户NW 30内的通信控制装置12控制通信路径,以将与被判断为异常的该通信相关的信息(与作为分析结果被判定为异常的特征向量相应·对应的通信)从通信控制装置12转发给解析装置24(经由或者被镜像)。另外,控制命令部23b在由解析装置24判定为用户NW 30内的通信是恶性的通信的情况下,进行控制以限制该恶性的通信。
例如,控制命令部23b在判断部23a决定的通信模式与当前的通信模式不同的情况下,向各通信控制装置12、25发送通信模式控制命令,以使各通信控制装置12、25遵从所决定的通信模式。另外,控制命令部23b在从解析装置24收到解析结果而判断为需要进行安全控制的情况下,向通信控制装置12(和/或25)发送安全控制命令。
在此,对通信控制装置12、25的存储部12a、25b中存储的控制规则进行说明。控制规则是用于基于通信模式的路径控制和安全控制的规则。如图4所示,在通信模式中规定有通常模式、镜像模式以及内联模式,根据考虑了分析装置22的分析结果的控制判断装置23的判断结果,各通信控制装置12、25向各模式迁移。
在通信模式是通常模式的情况下,设定如下的路径控制规则:对具有与内部NW(用户NW 30)进行通信的通信接口和与外部NW 60进行通信的通信接口的通信装置10的通信控制装置12进行控制,以将网桥/交换机、路由处理接收到的通信流量直接转发给目的地。
另外,在镜像模式和内联模式的情况下,在通信控制装置12与相对的通信控制装置25之间建立隧道。关于该隧道,既可以静态地建立,也可以以向该通信模式切换为契机而若未建立则动态地建立隧道。在该情况下,以向通常模式返回为契机动态地删除建立完毕隧道即可。
在镜像模式的情况下,设定如下的路径控制规则:对通信装置10的通信控制装置12进行控制,以将从与内部NW进行通信的通信接口或与外部NW 60进行通信的通信接口接收到的通信流量直接转发给目的地,并且将所接收的通信流量镜像到隧道相对侧而经由隧道进行转发。另一方面,设定如下的路径控制规则:对控制装置20的通信控制装置25进行控制,以将从隧道相对侧经由隧道接收到的通信流量转发给解析装置24。
在内联模式的情况下,设定如下的路径控制规则:对通信装置10的通信控制装置12进行控制,以将从与内部NW进行通信的通信接口接收到的通信流量向隧道相对侧经由隧道进行转发,将从与外部NW 60进行通信的通信接口接收到的通信流量向隧道相对侧经由隧道进行转发,将从隧道相对侧经由隧道接收到的通信流量对原来的目的地进行转发。而且,设定如下的路径控制规则:对通信装置10的通信控制装置12进行控制,以将从控制装置20的通信控制装置25经由隧道接收到的通信流量向该通信流量的目的地进行转发。
另一方面,设定如下的路径控制规则:对控制装置20的通信控制装置25进行控制,以将从隧道相对侧经由隧道接收到的通信流量向解析装置24进行转发,将从解析装置24接收到的通信流量经由隧道向隧道相对侧进行转发。
安全控制对判定为恶性通信或满足规定的条件的可疑的通信(在白黑灰的判定中相当于灰)的通信进行阻断。满足规定的条件的可疑的通信的阻断是为了安全起见的阻断,在阻断后判定为正常通信的情况下,在此时发送解除该阻断的控制命令。向通信控制装置12和/或25发出命令,以阻断控制判断装置23判断为应该阻断的通信。例如,在能够进行层3的IP地址或IP地址范围的级别、层4的TCP/UDP或端口号的级别以及应用层中的阻断控制的情况下,从通信流量中识别应该阻断的特定的应用并使用能够识别相应应用的信息对该应用通信进行阻断。在能够应用URL过滤器的情况下,也可以进行控制以将应该阻断的特定的URL或FQDN设定到过滤器。在能够应用邮件过滤器的情况下,也可以进行控制以将应该阻断的特定的邮件地址或域设定到过滤器。在阻断等安全控制的设定中所需要的信息包含于解析装置24输出的解析结果中,控制判断装置23使用所接收的解析结果来命令控制通信控制装置。
解析装置24在由控制判断装置23的判断部23a判断为通信中存在异常的情况下,在镜像模式下发挥功能的情况下,接收通过基于该镜像模式的路径控制转发来的通信,对该通信进行解析,判定用户NW 30内的通信是否是恶性的通信。
解析装置24具有详细解析部24a。详细解析部24a对通信流量的内容进行深度的解析,判定通信是白(通常通信)、黑(恶性通信)、灰(无法断定白黑的通信)中的哪一种,且与表示判定对象的通信的发送源·目的地的IP地址或端口号、应用识别信息等中的至少1个以上构成的组一起作为判定结果向控制判断装置23发送。
通信控制装置25具有隧道部25a、存储部25b以及通信控制部25c。隧道部25a在与相对的通信装置10的通信控制装置12之间建立隧道。例如,隧道部25a在镜像模式和内联模式时,为了使通信流量流入解析装置24而与相对的通信控制装置12的通信控制部12c之间建立隧道。
存储部25b存储在通信模式控制或安全控制中所需要的控制规则。通信控制部25c进行基于通信模式的通信模式控制。另外,通信控制部25c进行安全控制。
在此,使用图5来说明第一实施方式的网络系统100的通信控制处理的一系列的流程。图5是说明第一实施方式的网络系统的通信控制处理的一系列的流程的图。
如图5所示,收集装置11收集流过用户NW 30而经由通信控制装置12的通信流量或者其一部分(参照图5的(1))。而且,收集装置11将其作为通信流量的部分信息向控制装置20的收集管理装置21发送(参照图5的(2))。
接着,收集管理装置21收集从收集装置11发送的部分信息而向分析装置22发送(参照图5的(3))。而且,分析装置22对从收集管理装置21接收到的部分信息进行例如基于机器学习的异常检测等的分析,且向控制判断装置23输出该结果(参照图5的(4))。
之后,控制判断装置23基于从分析装置22收到的分析结果来决定通信模式,且命令各通信控制装置12、25进行依照通信模式的通信模式控制(参照图5的(5))。另外,解析装置24对所接收的通信流量进行深度的解析,判定是否是感染了恶意软件等的恶性通信,且向控制判断装置23输出判定结果(参照图5的(6))。
而且,控制判断装置23基于从解析装置24收到的解析结果来决定通信模式或安全控制的内容,且命令各通信控制装置12、25进行依照这些决定的通信控制(参照图5的(7))。例如,在通信模式是通常模式的情况下,通信控制装置12将终端40与因特网上的站点50之间的通信直接转发给目的地(参照图5的箭头A)。另外,例如,在通信模式是镜像模式的情况下,通信控制装置12将通信直接转发给目的地(因特网上的站点50或者终端40),并且对该双向的通信进行镜像而经由控制装置20的通信控制装置25也转发给解析装置24(参照图5的箭头B)。另外,例如,在通信模式是内联模式的情况下,通信控制装置12将终端40与因特网上的站点50之间的通信经由通信控制装置12、通信控制装置25以及解析装置24而经过用户NW 30侧的外围路由器转发给目的地。更具体而言,若是从终端40以因特网上的站点50为目的地的通信,则从终端40经过通信控制装置12、通信控制装置25并经由解析装置24,从那里折回而经过通信控制装置25、通信控制装置12以因特网上的站点50为目的地进行发送。若是从因特网上的站点50以终端40为目的地的通信,则成为其反向顺序的通信(参照图5的箭头C)。
[网络系统处理的一例]
接着,使用图6对第一实施方式的网络系统100中的通信控制处理的流程进行说明。图6是示出第一实施方式的网络系统中的通信控制处理的流程的顺序图。
如图6所示,收集装置11对流过用户NW 30而经由通信控制装置12的通信流量或者其一部分进行收集,且作为通信流量的部分信息向控制装置20的收集管理装置21发送(步骤S101)。接着,收集管理装置21收集从收集装置11发送的部分信息而向分析装置22发送(步骤S102)。
而且,分析装置22对从收集管理装置21接收到的部分信息进行例如基于机器学习的异常检测等的分析(步骤S103)。而且,分析装置22向控制判断装置23输出分析结果(步骤S104)。
之后,控制判断装置23基于从分析装置22收到的分析结果作为控制内容来判断通信模式(步骤S105),命令各通信控制装置12、25进行依照通信模式的通信模式控制(步骤S106),且向各通信控制装置12、25通知控制内容(步骤S107)。而且,各通信控制装置12、25设定所通知的通信模式控制(步骤S108、S109)。
在此,通信控制装置12在通信模式是镜像模式或者内联模式的情况下,向解析装置24发送通信流量(步骤S110)。而且,解析装置24对所接收的通信流量进行深度的解析(步骤S111),判定是否是感染了恶意软件等的恶性通信,且向控制判断装置23输出解析结果(步骤S112)。
而且,控制判断装置23基于从解析装置24收到的解析结果来判断通信模式或安全控制的内容(步骤S113),且命令各通信控制装置12、25进行与判断结果对应的通信控制(步骤S114),向各通信控制装置12、25通知通信模式或安全控制的内容(步骤S115)。而且,各通信控制装置12、25设定所通知的通信模式或安全控制(步骤S116、S117)。
这样,配置于用户NW 30的外部的控制装置20高效地收集作为流过用户NW 30的通信流量的一部分或者统计化后的信息的部分信息,且对所收集的通信流量的部分信息进行分析。而且,在通过分析判定为是异常的通信的行为的情况下,变更通信模式以使应该监视的用户NW 30的通信流量流入控制装置20。
另外,通过通信模式变更,在镜像模式或内联模式下进行通信的路径控制,由此能够通过观测不是部分信息的通信流量本身(有效载荷也可以作为对象),从而进行更深度的解析。在通过解析判定为表示感染了恶意软件等的恶性通信的情况下,进行控制以暂时或者恒久地阻断该通信流量。在判断为不是恶性而是正常的行为的通信的情况下,将通信模式例如变更成通常模式。
一般通过观测用户NW 30的通信流量中的部分信息,降低对用户NW 30的通信性能的影响。而且,通过该观测来进行异常检测的判定。这以规定的契机来继续进行。在判断为是异常的情况下,对该通信流量进行深度的解析,在进一步判定为是恶性通信的情况下,对该通信流量实施安全控制。
[收集装置的处理的一例]
接着,使用图7对收集装置11中的收集处理的流程进行说明。图7是示出第一实施方式的收集装置中的收集处理的流程的流程图。
如图7所示,收集装置11观测通信流量(步骤S201),判定通信流量是否符合提取规则(步骤S202)。其结果为,在符合提取规则的情况下(步骤S202的肯定),提取与通信相关的信息,或者进行统计化(步骤S203)。
而且,收集装置11在提取出与通信相关的信息或者进行了统计化时,判定是否符合发送规则(步骤S204)。例如,收集装置11判定是否经过了在发送规则中规定的规定的时间间隔,或者是否收集了在发送规则中规定的规定分组数。
其结果为,收集装置11在符合发送规则的情况下(步骤S204的肯定),向收集管理装置21发送部分信息(步骤S205)。另外,在不符合提取规则的情况下(步骤S202的否定),或者在不符合发送规则的情况下(步骤S204的否定),返回步骤S201的处理而反复进行处理。
[控制装置的处理的一例]
接着,使用图8、9、10对控制装置20中的通信控制处理的流程进行说明。图8是示出第一实施方式的控制装置的通常模式下的通信控制处理的流程的流程图。图9是示出第一实施方式的控制装置的镜像模式下的通信控制处理的流程的流程图。图10是示出第一实施方式的控制装置的内联模式下的通信控制处理的流程的流程图。
首先,使用图8对通常模式下的通信控制处理进行说明。如图8所示,首先,控制装置20的收集管理装置21收集从收集装置11发送的部分信息(步骤S301)。而且,分析装置22对从收集管理装置21接收到的部分信息进行例如基于机器学习的异常检测等的分析(步骤S302)。
而且,分析装置22使用所分析的分析结果来判断用户NW 30内的通信中是否存在异常(步骤S303)。其结果为,分析装置22在判定为通信中没有异常的情况下(步骤S303的否定),返回步骤S301的处理。另外,在判断为通信中存在异常的情况下(步骤S303的肯定),控制判断装置23基于从分析装置22收到的分析结果作为控制内容来判定通信模式(步骤S304)。
在此,控制判断装置23判定通信的异常程度是否比规定的阈值高(步骤S305)。其结果为,控制判断装置23在通信的异常程度比规定的阈值高的情况下(步骤S305的肯定),命令各通信控制装置12、25进行向内联模式迁移的通信模式控制(步骤S306)。另外,控制判断装置23在通信的异常程度是规定的阈值以下的情况下(步骤S305的否定),命令各通信控制装置12、25进行向镜像模式迁移的通信模式控制(步骤S307)。而且,各通信控制装置12、25设定被命令的通信模式控制(步骤S308)。此外,通信模式仅在通常模式以及镜像模式或内联模式的2种模式下实施的情况下,省略步骤S305,而择一地选择步骤S306或者步骤S307中的任一步骤。
接着,使用图9对镜像模式下的通信控制处理进行说明。如图9所示,解析装置24在镜像模式下对从通信控制装置12接收的通信流量进行深度的解析(步骤S401),判定通信是恶性的“黑”、不是恶性的“白”、无法进行白黑判定的“灰”中的哪一种(步骤S402)。
其结果为,在解析装置24判定为“黑”的情况下,控制判断装置23命令各通信控制装置12、25进行分组过滤等安全控制(步骤S403),且转移到步骤S407。
另外,在解析装置24判定为“白”的情况下,控制判断装置23命令各通信控制装置12、25进行向通常模式迁移的通信模式控制(步骤S404),且转移到步骤S407。
另外,在解析装置24判定为“灰”的情况下,控制判断装置23判定通信是否是需要注意(即“灰”的判定结果是否是规定的级别以上)(步骤S405)。例如,在是从更接近于黑的5到接近于白的1的5个级别的情况下,判定是否是“3”以上。
其结果为,控制判断装置23在是规定的级别以上的情况下(步骤S405的肯定),命令各通信控制装置12、25进行向内联模式迁移的通信模式控制(步骤S406),且转移到步骤S407。另外,在不是规定的级别以上的情况下(步骤S405的否定),返回步骤S401的处理而反复进行上述的处理。而且,在步骤S407中,通信控制装置25设定被命令的通信模式或安全控制并结束处理。此外,在通信模式仅在通常模式与镜像模式的2个模式下实施的情况下,省略步骤S405、步骤S406,在步骤402中判定为灰的情况下也可以返回步骤S401的处理。另外,通过事先设定,为了进一步提高安全性可以与黑判定相同地处理灰判定,或者为了避免过剩的通信阻断造成的弊端,也可以与白判定同样地处理灰判定。
接着,使用图10对内联模式下的通信控制处理进行说明。如图10所示,解析装置24在内联模式下对从通信控制装置12接收的通信流量进行深度的解析(步骤S501),判定通信是恶性的“黑”、不是恶性的“白”、不能判定白黑的“灰”中的哪一种(步骤S502)。
其结果为,在解析装置24判定为“黑”的情况下,控制判断装置23命令各通信控制装置12、25进行分组过滤等安全控制(步骤S503),且转移到步骤S507。
另外,在解析装置24判定为“灰”的情况下,控制判断装置23判定通信是否是需要注意(即“灰”的判定结果是否是规定的级别以上)(步骤S504)。例如,在是从更接近于黑的5到接近于白的1的5个级别的情况下,判定是否是“3”以上。
其结果为,控制判断装置23在不是规定的级别以上的情况下(步骤S504的否定),命令各通信控制装置12、25进行向镜像模式迁移的通信模式控制(步骤S505),且转移到步骤S507。另外,在是规定的级别以上的情况下(步骤S504的肯定),返回步骤S501的处理并反复进行上述的处理。
另外,在解析装置24判定为“白”的情况下,控制判断装置23命令各通信控制装置12、25进行向通常模式迁移的通信模式控制(步骤S506),且转移到步骤S507。而且,在步骤S507中,通信控制装置25设定被命令的通信模式或安全控制并结束处理。此外,在通信模式仅在通常模式与内联模式的2个模式下实施的情况下,省略步骤S504、步骤S505,在步骤502中判定为灰的情况下也可以返回步骤S501的处理。另外,通过事先设定,为了进一步提高安全性可以与黑判定同样地处理灰判定,或者为了避免过剩的通信阻断造成的弊端,也可以与白判定同样地处理灰判定。
[第一实施方式的效果]
这样,在第一实施方式的网络系统100中,通信装置10将与经由该通信装置10的通信相关的信息中的一部分信息或者统计化后的信息作为部分信息向控制装置20发送。而且,控制装置20对从通信装置10接收到的部分信息进行分析,使用所分析的分析结果来判断用户NW 30内的通信中是否存在异常。而且,控制装置20在判断为用户NW 30内的通信中存在异常的情况下,通过变更通信模式来进行路径控制,使用流过用户NW 30的通信进行解析,来判定用户NW 30内的通信是否是恶性的通信。控制装置20在判断为用户NW 30内的通信中存在异常的情况下,对用户NW 30内的通信装置10进行控制,以将与被判断为异常的该通信相关的信息(例如,具有被判定为异常的特征的通信流量)从通信装置10转发给解析装置24。而且,在由解析装置24判定为用户NW 30内的通信是恶性的通信的情况下,进行控制以限制该恶性的通信。
由此,第一实施方式的网络系统100抑制对用于从用户NW 30向作为外部NW 60的因特网等访问的通信线路的频带带来的压力或与异常·恶性通信的检测相关的精度的降低,来检测恶性通信,能够适当地保护用户通信。即,通常时,进行控制装置20对由通信装置10收集的部分信息进行分析来检测异常的处理,在检测到异常的情况下,将与用户NW 30的通信相关的信息转发给解析装置24,在IDS或IPS(Intrusion Prevention System:入侵防御系统)等中对被转发的全部数据进行深度的解析,由此判定恶性通信来应对恶性通信。由此,能够抑制对用户NW线路的频带带来的压力或与异常/恶性通信的检测相关的精度的降低,来判定恶性通信,应对恶性通信。
[第二实施方式]
在上述第一实施方式中,说明了通过异常检测等的机器学习来分析部分信息,进而将机器学习的结果作为模型信息进行更新的情况,但也可以通过将解析装置24的解析结果反映或者附加于分析装置22的模型信息中来更新模型信息。
例如,在分析装置22中的作为异常检测的学习结果的模型信息中,基于构成模型信息的特征向量组的密度或距离等根据规定的阈值来判定是否是成为异常的空间区域。在此,所谓的异常是与通常不同,在此时未必能够断定为是恶性通信。
因此,在第二实施方式中,以将作为由解析装置24获得的判定结果的标签(白/黑/灰)和由符合该判定结果的通信流量构成的特征向量作为组而映射(mapping)到模型信息的情况为例进行说明。此外,对与第一实施方式相同的处理省略说明。
图11是说明第二实施方式的网络系统的通信控制处理的一系列的流程的图。如图11所示,在第二实施方式的控制装置20中,分析装置22在进行基于机器学习的异常检测等的分析时,向控制判断装置23输出其结果(参照图11的(4)),且将分析结果作为机器学习的模型信息进行存储。
而且,控制判断装置23基于从解析装置24收到的解析结果来决定通信模式或安全控制的内容,且命令各通信控制装置12、25进行依照这些决定的通信控制后(参照图11的(7)),将从解析装置24收到的解析结果向分析装置22发送。而且,分析装置22将从解析装置23收到的解析结果映射到分析装置22的模型信息的空间上(参照图11的(8))。
在此,使用图12的例子对将解析结果映射到模型信息的空间上的处理进行说明。图12是向特征向量空间的映射的概念图。如图12所示,在特征向量空间中,存在通常模式下的分析装置22进行的异常检测的特征向量和与解析装置24的判定结果对应的特征向量。
在与该解析装置24的判定结果对应的特征向量中,标注有表示解析装置24的判定结果的标签。而且,对于包含与解析装置24的判定结果对应的特征向量的与规定的区域相应的特征向量,根据基于标签的判定基准进行控制。例如,在判定为“异常”的空间区域中作为标签映射有判定为“黑”的结果的情况下,判定为不是异常而是恶性通信。此外,不限于标注黑、白、灰的所有标签的情况,也可以仅将判定为黑和/或白的结果作为标签来标注。
另外,例如,也可以对标注标签的特征向量和满足规定的距离或密度的特征向量进行基于标签的判定。另外,例如,也可以事先决定表示判断基准的控制规则,且按照该控制规则决定控制内容。
在此,使用图13对判断基准的一例进行说明。图13是示出用于异常判定处理的判定基准的一例的图。如图13所例示那样,按照作为解析装置24的解析结果的“映射信息”和作为分析装置22的分析结果的“模型信息”的每个组合来规定了通信模式。
例如,在模型信息是“判定为异常的空间区域”、并且在该区域中相应地存在表示“白判定”的映射信息的情况下,当通过分析而检测出与该区域相应的通信(特征向量)时,进行基于“通常模式”的通信模式控制。即,虽然是判定为异常的空间区域,因为是判定为“白”而不是恶性通信的标签,因此维持通常模式。此外,在图13中,可以在括弧中记载“(或者镜像模式)”来决定括弧内的通信模式,只要使用户或管理者预先选择是通常模式还是镜像模式即可。
另外,例如,在模型信息是“未被判定为异常的空间区域”且在该区域中相应地存在表示“黑判定”的映射信息的情况下,当通过分析检测出与该区域相应的通信(特征向量)时,进行“安全控制”。即,即使是未被判定为异常的空间区域,因为是在恶性通信中被判定为某“黑”的标签,因此迁移到安全控制。
在第一实施方式中,没有从通常模式迁移到安全控制,但在第二实施方式中,通过如上所述地应用标签,能够反映异常的内容,因此,例如能够判定为因为是恶性通信(黑)因此是异常等,由此能够从通常模式迁移到安全控制。
此外,不仅仅是异常检测,例如也能够应用于聚类的机器学习中。通过使安全判定结果映射到通过机器学习分类的各簇中,能够对各簇标注标签。在此,所谓的聚类是指,在机器学习中以特征量的相关性/相似性较高的内容来编组,将分类对象的集合划分成实现内部结合和外部分离的部分集合。
用于该映射处理的标签和特征向量的组通过将与收集装置11同等的装置另行嵌入到解析装置24中、或者以内联连接的形态将收集装置11布置于解析装置24的跟前(解析装置24与通信控制装置25之间等)、或者对流入解析装置24的通信流量以镜像连接的形态布置收集装置11,由此收集与流入解析装置24的通信流量相关的信息。
而且,相当于收集装置11的装置提取部分信息而构成特征向量,进而将相当于作为解析装置24的安全判定结果的标签的信息与特征向量关联起来,而映射到分析装置22的模型信息中。该关联起来的特征向量和标签信息也可以经由控制判断装置23存储于分析装置22的存储部22b中。另外,既可以存储于控制判断装置23的存储部23c中,也可以在该情况下与从分析装置22中输出的分析结果组合起来应用于安全控制判断中。
即,对作为分析结果的特征向量的空间区域赋予意义(标注标签),由此,基于异常检测/分析结果,省略通信模式的变更而进行安全控制。或者,对于基于异常检测/分析结果从通常模式向镜像模式、内联模式迁移的地方,也可以采取省略镜像模式而从通常模式向内联模式迁移的判断。
接着,使用图14对第二实施方式涉及的网络系统100中的通信控制处理的流程进行说明。图14是示出第二实施方式的网络系统中的通信控制处理的流程的顺序图。此外,图14中的步骤S601~S617的处理与在图6中说明的第一实施方式的网络系统100中的通信控制处理的步骤S101~S117相同,因此省略说明。
各通信控制装置12、25设定所通知的通信模式或安全控制后(步骤S616、S617),控制判断装置23向分析装置22发送从解析装置24收到的解析结果(步骤S618)。而且,分析装置22将从解析装置24收到的解析结果映射到分析装置22的模型信息的空间上(步骤S619)。
接着,使用图15对控制装置20中的通信控制处理的流程进行说明。图15是示出第二实施方式的控制装置的通常模式下的通信控制处理的流程的流程图。
如图15所示,控制判断装置23在基于从分析装置22收到的分析结果来判定通信模式作为控制内容时(步骤S704),判定是否符合解析结果对照(步骤S705)。在此,例如,在被标注标签的特征向量相应于作为上述分析结果的特征向量的空间区域(被聚类的空间区域或者区分异常/通常的空间区域)的情况下,将该空间区域的整体或者在该空间区域内的从被标注标签的特征向量起规定的距离·范围内的空间区域视为由该标签代表的空间区域。分析装置22判定是否相应于该空间区域,进而判定相应的标签是什么。其结果为,在符合解析结果对照的情况下(步骤S705的肯定),命令各通信控制装置12、25进行分组过滤等安全控制(步骤S706)。
即,如上所述,在与解析装置24的解析结果(判定结果)对应的特征向量中,还标注有表示解析装置24的判定结果的标签。因此,对于与包含与解析装置24的判定结果对应的特征向量的规定的区域相应的部分信息的特征向量,根据基于标签的判定基准进行控制。例如,在被判定为“黑”的结果作为标签映射于被判定为“异常”的空间区域的情况下,判定为是恶性通信而不是异常,进行分组过滤等安全控制。
这样,在第二实施方式的网络系统中,将与解析装置24的解析结果相应的特征向量反映到分析装置22的模型信息中,来更新模型信息,由此,对作为机器学习的结果的模型信息赋予意义,能够作为控制判断的材料。
[第三实施方式]
在上述的第一实施方式中,说明了基于存储部11b中存储的收集规则将通信流量的部分信息发送给收集管理装置的情况,但也可以适当更新该收集规则。因此,在以下的第三实施方式中,对控制判断装置23适当更新收集规则的情况进行说明。此外,对与第一实施方式相同的处理省略说明。
图16是实施方式的网络系统的通信控制处理的一系列的流程的图。如图16所示,控制判断装置23经由收集管理装置21向收集装置11发送所更新的收集规则(参照图16的(8))。而且,收集装置11更新存储部11b中存储的收集规则(参照图16的(9))。之后,收集装置11基于所更新的收集规则向收集管理装置21发送部分信息(参照图16的(2))。
这样,在第三实施方式的网络系统中,为了进行更高精度的判定,控制判断装置23更新收集规则,由此更新应该收集的部分信息。
关于收集规则的更新,例如当将任意的发送源或者目的地IP地址作为对象时,可以将与不是分配给本国的IP地址的海外的IP地址或者海外的特定国·地区的IP地址的通信作为对象。另外,也可以将与特定的ISP管理的IP地址的通信作为对象。
另外,也可以更新收集部分信息的时间间隔或采样速率,其中,该采样速率表示以多少个分组来收集部分信息或者按照特定的目的地或每个发送源而以多少个分组来收集部分信息。例如,对于以10分钟间隔收集部分信息的地方,可以以1分钟间隔进行收集,也可以提高采样速率。另外,可以指定采样对象的协议或端口号,对于这些协议或端口号的通信流量的每100个分组的收集,也可以设为每10个分组的收集等,由此提高采样速率。
另外,关于更新的规则的决定方法,可考虑到如下的情况:获取作为机器学习的学习结果的异常检测的模型信息,由此,在特征向量空间上,能够确定基于特征向量的集合的密度或特征向量以及由特征向量构成的集合与集合之间的距离等而判定为异常的特征向量或者空间区域,因此,更新为能够更多且有效地收集与相应于该空间区域的特征向量相应的通信流量的规则。或者,因为由多样的特征向量构成模型信息,因此也可以更新为能够收集与在特征向量空间上还没有特征向量或者特征向量稀疏的空间相应的部分信息。
另外,在基于解析结果更新收集规则的情况下,例如,也可以以在规定期间内输出规定次数以上的黑判定作为结果的情况为条件,通过缩短收集的时间间隔或者提高采样速率来收集更多的部分信息。另外,例如,也可以以在规定期间内输出规定次数以上的相同或者相似的种类的黑判定作为结果的情况为条件,提取对该黑判定的种类赋予特征的信息(与成为黑判定的地址相应的国家的地址、表示服务的端口号、应用等),且更新成提高这些信息的收集比例的收集规则来收集部分信息。之后,在相同或者其他的规定期间未输出黑判定作为结果的情况下,也可以使更新的收集规则恢复原样。另外,也可以组合应用分析结果与解析结果进行来更新收集规则。
另外,基于分析装置22的模型信息和/或解析装置24的判定结果,一般来讲,在多数的机器学习中,基于固定的特征向量,进行分析·学习的处理。因而,因为与构成特征向量的元素的追加或删除、变更相伴的收集规则的更新并没有与作为到此为止的学习结果的模型信息一致,因此学习有时不能顺利地发挥作用。不过,在应用可允许构成特征向量的元素的动态地追加或删除、变更的学习算法的情况下,不受此限制。
接着,使用图17对第三实施方式的网络系统100中的通信控制处理的流程进行说明。图17是示出第三实施方式的网络系统中的通信控制处理的流程的顺序图。此外,图17中的步骤S804~S820的处理与在图6中说明的第一实施方式的网络系统100中的通信控制处理的步骤S101~S117相同,因此省略说明。
如图17所示,首先,一开始,收集管理装置21生成收集规则(步骤S801),且向收集装置11发送收集规则(步骤S802)。而且,收集装置11设定收集规则(步骤S803),且基于所设定的收集规则向收集管理装置21发送部分信息(步骤S804)。
之后,各通信控制装置12、25设定了所通知的通信模式或安全控制后(步骤S819、S820),控制判断装置23更新收集规则(步骤S821),且向收集装置11发送收集规则(步骤S822)。而且,收集装置11设定被更新的收集规则(步骤S823)。
接着,使用图18对收集装置11中的收集处理的流程进行说明。图18是示出第三实施方式的收集装置中的收集处理的流程的流程图。
如图18所示,收集装置11在从控制判断装置23受理了被更新的收集规则时,更新收集规则(步骤S901)。而且,收集装置11观测通信流量(步骤S902),判定通信流量是否符合被更新的提取规则(步骤S903)。其结果为,在符合提取规则的情况下(步骤S903的肯定),提取与通信相关的信息,或者进行统计化(步骤S904)。之后,进行与第一实施方式的收集装置11相同的处理,且向收集管理装置21发送部分信息(步骤S906)。
这样,在第三实施方式的网络系统中,为了进行更高精度的判定,控制判断装置23动态地更新收集规则,由此能够适当地收集应该收集的部分信息。
[第四实施方式]
在上述的第一实施方式中,基于1个用户NW 30的分析结果和/或解析结果进行判定,但也可以整合/共享作为各用户NW 30的分析结果的模型信息。由此,能够由更多数且多样的特征向量组构成模型信息,一般可预料到异常检测的精度的提高。在该情况下,分析装置22设为对各用户NW 30的特征向量进行1个机器学习而建立1个模型信息的结构。
因此,在第四实施方式中,以整合作为各用户NW 30的分析结果的模型信息并在分析装置22中共享每个用户的模型信息的情况为例进行说明。此外,对与第一实施方式相同的处理省略说明。
图19是说明第四实施方式的网络系统的通信控制处理的一系列的流程的图。如图19所示,分析装置22对各用户NW 30的特征向量进行1个机器学习而建立1个模型信息,且共享每个用户的模型信息(参照图19的(8))。
另外,也可以不是一律共享,而是对作为各用户NW 30的分析结果的模型信息进行聚类而仅在模型信息相似的用户NW 30的模型信息之间共享。通过在与原来的模型信息相似的模型信息(即与通信的行为相似的用户NW 30相应的模型信息)之间共享而不是将原来的模型信息单纯地整合且使之多样化,由此能够构成按照用户NW 30的通信倾向的模型信息。通过共享每个用户NW 30的本地的通信的倾向或行为的特征相似的用户NW 30间的模型信息,能够有效利用该特征,并且增加用于学习的信息,另外可预料到异常检测的精度的提高。
在该情况下,分析装置22将模型信息与每个用户NW 30关联地存储于存储部22b中。而且,以规定的契机来计算模型信息间的相似度,且对判定为相似的模型信息进行整合而共享。在该情况下,也可以存储每个用户NW 30的模型信息,并且进一步存储被整合的模型信息。
作为在模型信息的相似性的判定时所使用的集合间的相似度的求出方法,例如能够举出图20所例示那样的计算。分析装置22求出杰卡得(jaccard)系数、戴斯(dice)系数、辛普森(Simpson)系数作为所计算的系数“sim”,如果所计算的系数“sim”是规定的阈值以上,则判定为相似。此外,也可以求出杰卡得系数、戴斯系数、辛普森系数的3个系数来判定相似性,还可以求出任意1个或者2个系数来判定相似性。
另外,一边保持各用户NW 30的学习模型、各簇的学习模型一边进行用户NW 30的学习模型间、簇的学习模型间的倾向分析或以模型信息为单位的异常判定,由此不仅限于模型信息内的特征向量的异常判定,还能够判定模型信息其本身的异常,因此也可以应用该判定结果作为分析结果。在该情况下,即使在某个模型信息内不是异常的特征向量组,通过与其他的模型信息进行比较,也能够检测出该模型信息本身是异常的特征向量占多数的集合。
[第五实施方式]
在上述的第一实施方式中,说明了按照通信的异常的程度对是迁移到镜像模式还是迁移到内联模式进行控制的情况,但并不限于此。例如,也可以对各通信控制装置12、25进行控制以在分析装置22中检测出了异常的通信是被加密的通信的情况下,向内联模式迁移,在是明文通信的情况下,向镜像模式迁移。
即,在分析装置22中检测出了异常的通信是被加密的通信的情况下,即使向镜像模式迁移并将通信引入解析装置24中,因为被加密,因此在解析装置24中也无法实施DPI(Deep Packet Inspection)的深度的解析。
因此,在第五实施方式中,以对各通信控制装置12、25进行控制以在分析装置22中检测出了异常的通信是被加密的通信的情况下,向内联模式迁移,在是明文通信的情况下,向镜像模式迁移的情况为例进行说明。另外,在第五实施方式的网络系统中,说明新具有加密通信检查装置26的例子,加密通信检查装置26对从终端40接收到的加密通信进行解密而向解析装置22发送解密后的通信,并且再次进行加密而向目的地发送。此外,对与第一实施方式相同的处理省略说明。
控制判断装置23针对加密通信和明文通信的识别,例如也可以使用分组的发送源或目的地的端口号。例如,在HTTPS(Hypertext Transfer Protocol Secure:超文本传输协议安全)的通信中,在目的地的端口号是“443”的端口(https(http protocol over TLS/SSL:通过TLS/SSL的http协议):443)的情况下,或者在FTPS(File Transfer Protocolover SSL/TLS:通过SSL/TLS的文件传输协议)的通信中,在端口号是“989”的端口(FTP数据转发端口)或者“990”的端口(FTP控制端口)的情况下,判定为加密通信。
此外,当存在加密通信检查装置26无法解密的加密通信而已知无法解密的情况下,可以使向镜像模式迁移。该已知的不能解密的加密通信的识别也使用端口号。另外,在事先得知与特定的目的地进行VPN通信的情况下,可以使用目的地IP地址进行识别。另外,端口号或IP地址的信息存储于例如控制判断装置23中的存储部23c中。
例如,如图21所例示那样,控制判断装置23在判定为在分析装置中检测出了异常的通信是明文通信的情况下,使向镜像模式迁移。迁移到镜像模式后,与第一实施方式相同,通信控制装置25将所接收的通信转发给解析装置24。
另外,如图22所例示那样,控制判断装置23在判定为在分析装置中检测出了异常的通信是加密通信的情况下,使得向内联模式迁移。在此,一般来说,以在用户NW 30内的终端40中导入有加密通信检查装置26的CA(认证机构:certificate authority)证书为前提。
在内联模式下,加密通信检查装置26分别与终端40之间以及与Web服务器(网络服务器)90之间建立SSL/TLS等加密通信的会话。而且,加密通信检查装置26对所接收的加密通信进行解密,且向解析装置22发送解密后的通信,并且再次加密而向作为目的地的Web服务器90发送。此外,加密通信检查装置26是一般被称为SSL检查(inspection)装置等的装置。此外,加密通信检查装置26与解析装置24也可以由相同的装置构成。
这样,在第5实施方式中,因为对各通信控制装置12、25进行控制以在分析装置22中检测出了异常的通信是被加密的通信的情况下,向内联模式迁移,在是明文通信的情况下,向镜像模式迁移,因此即使在检测出了异常的通信是加密通信的情况下,解析装置24也能够解析该通信。
[第六实施方式]
在上述的第一实施方式中,说明了在通常模式下收集与流过用户NW 30侧的通信控制装置12的通信相关的部分信息而进行分析,在检测了异常时,使相应的通信迁移到镜像模式或者内联模式的情况,但并不限于此。例如,也可以为,在分析装置22中作为异常通信而保存过去检测出的信息,且使用所保存的信息对第一次出现的分组进行向镜像模式或者内联模式迁移的控制。
例如,在基于OpenFlow的规格的情况下,对于与OpenFlow兼容交换机的流表(flowtable)不相应的未登记的分组,能够将该分组以及该分组的规定的一部分信息转发给OpenFlow控制器。而且,在OpenFlow控制器侧决定该分组的处理,且能够将流条目设定到OpenFlow兼容交换机的流表以遵从该处理。也可以为,在这样的OpenFlow的规格中,对转发给OpenFlow控制器的分组,使用在分析装置22中作为异常通信而过去检测出的信息,进行向镜像模式或者内联模式迁移的控制、或者阻断相应的通信的控制。
在此,在以下的第六实施方式中,说明在OpenFlow的规格中对转发给OpenFlow控制器的分组使用在分析装置22中作为异常通信而过去检测出的信息进行向镜像模式或者内联模式迁移的控制的情况。此外,对与第一实施方式相同的处理省略说明。
使用图23对第六实施方式的网络系统的一例进行说明。图23是说明第六实施方式的网络系统中的通信控制处理的一系列的流程的图。如图23所示,在第六实施方式的网络系统中,还具有反常信息保存部27的点与第一实施方式不同。反常信息保存部27保存有基于分析装置22分析的结果而表示存在异常的通信的信息(以下适当记载为“反常信息”)。
另外,控制判断装置23在从具有OpenFlow兼容交换机功能的通信控制装置12经由OpenFlow控制器(开放流控制器)14接收到分组的情况下,判定该分组所包含的信息与反常信息保存部27中保存的反常信息是否一致,在判断为存在异常的情况下,对通信控制装置12、或者通信控制装置12、25进行向镜像模式或者内联模式迁移的控制,由此对通信控制装置12进行控制以将通信从通信控制装置12转发给解析装置24。此外,通信控制装置25也具有OpenFlow兼容交换机功能。
在此对反常信息进行具体说明。如图24所例示那样,反常信息保存部27例如将对各条目进行识别的“ID”、协议号、发送源IP地址、目的地IP地址、发送源端口号以及目的地端口号的“5元组(tuple)信息”与作为与该5元组信息相应的情况下的控制内容的“控制内容”关联起来进行存储。举出图24的具体情况进行说明,反常信息保存部27例如将ID“1”、协议号“6(TCP)”、发送源IP地址“A.B.C.D”、目的地IP地址“E.F.G.H”、发送源端口号“10000”、目的地端口号“80”以及控制内容“镜像模式”关联起来进行存储。此外,关于5元组信息也可以是IP地址的范围等进行范围指定的信息。
在此,在图24的例子中,在ID1、ID2中,关于对应协议号、发送源IP地址、目的地IP地址、发送源端口号以及目的地端口号分别存储信息,表示存储通信的双向的信息。另外,对于ID1、ID2来说,在5元组的所有项目与处理对象的分组的5元组的所有项目的信息一致的情况下,视为与存在异常的通信“相应”。
另外,在ID3、ID5中,在协议号、目的地IP地址以及目的地端口号这3个与处理对象的分组的信息一致的情况下,视为与存在异常的通信“相应”。在ID4、ID6中,在协议号、目的地IP地址这2个与处理对象的分组上的信息一致的情况下,视为与存在异常的通信“相应”。此外,对于ID3~ID6来说也可以与ID1、ID2同样地存储有双向的信息。
通信控制装置12依照被称为流条目的规则进行分组的转发处理。在流条目中,存储有关于对什么样的分组进行什么处理的分组处理的规则信息。例如,在通信控制装置12所具有的流条目中,如图25所例示的那样,将对流条目进行识别的“ID”、作为判定是否与所接收的分组匹配的条件的“匹配条件”、在分组与匹配条件一致的情况下进行的处理的“动作”、以及作为与分组相关的统计信息的“计数器”关联起来进行存储。此外,将图25的表称为流表,将流表中的各行称为流条目。所谓的统计信息,是分组数或字节数、从登记流条目起持续的持续时间等。
在匹配条件中,既可以对5元组的所有项目进行设定,也可以仅对1个以上的任意项目进行设定。而且,也可以在匹配条件中设定有输入了分组的OpenFlow兼容交换机的输入端口或5元组以外的分组报头信息的项目。另外,在动作中主要设定有与匹配条件匹配的分组的输出目的地端口、以及丢弃所匹配的分组、重写所匹配的分组的报头内的指定的馈送的处理等。此外,对于流条目中的统计信息而言,从具有OpenFlow兼容交换机功能的通信控制交换机12经由OpenFlow控制器14作为部分信息向分析装置22发送,对于统计信息以外的部分信息而言,经由收集管理装置21或者通信控制装置25向分析装置22发送。
返回图23的说明,对第六实施方式的网络系统中的通信控制处理的一系列的流程进行说明。如图23所示,通信控制装置12在所接收的分组是没有与流表相应的规则信息的未登记的分组的情况下(或者对规定的分组事先指定的情况下),将通知消息(Packet In消息)通知给OpenFlow控制器14(参照图23的(1))。在此,所谓的Packet In消息是在流表中没有匹配的流的情况下将接收分组送往OpenFlow控制器14的消息。
而且,OpenFlow控制器14向控制判断装置23通知包含于通知消息中的相应分组的5元组信息(参照图23的(2))。接着,控制判断装置23参照反常信息保存部27的反常信息,与收到的通知进行对照(参照图23的(3))。
而且,控制判断装置23在5元组信息符合反常信息的情况下,向OpenFlow控制器14发送控制命令以执行相应的控制(镜像模式、内联模式、或者安全控制),在不相应的情况下,向OpenFlow控制器14发送控制命令以执行通常模式的控制(参照图23的(4))。
而且,OpenFlow控制器14向收到通知消息(Packet In消息)的用户NW 30侧的通信控制装置12或者通信控制装置25通知设定流条目的消息(Flow Mod消息)(参照图23的(5))。而且,通信控制装置12或通信控制装置25在收到消息(Flow Mod消息)时,更新通信控制装置12或通信控制装置25的流条目/流表。而且,OpenFlow控制器14向发送来通知消息的通信控制装置12通知分组处理消息(Packet Out消息)。而且,通信控制装置12进行依照该分组处理消息(Packet Out消息)的处理。
以后,通信控制装置12在接收到与所更新的流表相应的分组的情况下,不向OpenFlow控制器14进行通知而进行依照流表的规则信息的分组处理。在此,Packet Out消息是为了将以Packet In发送给OpenFlow控制器14的分组发送给规定的目的地(或者丢弃等)而送回通信控制装置12侧时所使用的消息。
另外,OpenFlow控制器14根据需要对控制NW 70侧的通信控制装置25通知消息(Flow Mod消息:流条目的追加/更新/删除),该消息设定相当于相应控制(镜像模式、内联模式或者安全控制)的流条目(参照图23的(6))。在控制NW 70侧的通信控制装置25的流表中静态地设定有控制(镜像模式、内联模式)的情况下,不需要该通知,但在动态地设定控制(镜像模式、内联模式)的情况下,与向通信控制装置12的通知一起进行该通知。
此外,图23中的网络系统的结构是一例,但并不限于此,例如,反常信息保存部27可以包含于控制判断装置23,OpenFlow控制器14可以包含于控制判断装置23,二者也可以包含于控制判断装置23。
这样,在第六实施方式中,在分析装置22中保存作为异常通信而过去检测出的信息,使用所保存的信息进行向镜像模式或者内联模式迁移的控制,由此,即使对第一次出现的分组也能够适当地进行向镜像模式或者内联模式迁移的控制。
此外,也可以任意地组合应用上述的各实施方式所记载的发明。另外,在第一实施方式~第五实施方式中,也可以与第六实施方式同样地保存作为分析结果的表示反常的反常信息,控制判断装置23也可以使用该保存的反常信息向通信控制装置12或25通知设定来对通信进行控制。在该情况下,控制判断装置23定期地或者按照规定的契机从通信控制装置12收集与当前有效的通信(登记到OpenFlow兼容交换机的流表中的通信)相关的信息(5元组信息等),当存在与反常信息相应的通信的情况下,可以将该通信作为控制的对象。另外,OpenFlow兼容交换机的流表例如相当于通信控制装置12的存储部12a、通信控制装置25的25b。
以上,使用一些实施方式说明了本发明,但本发明的技术范围不限于上述实施方式所记载的范围。对本领域技术人员而言,能够对上述实施方式添加各种变更或者改良是清楚的。另外,添加了这样的变更或者改良的方式也能包含于本发明的技术范围内是根据权利要求书的记载而清楚的。
[安全控制]
例如,在上述的实施方式中,在通信控制装置12中过滤分组,但也可以使进行相应通信的终端与未图示的检疫NW连接,来实施终端内部的安全检查,且根据需要强制进行恶意软件去除或安全的更新。
在通常模式和镜像模式的情况下,在安全控制中,对通信装置10的通信控制装置12发送控制命令而在该通信控制装置12中实施。另一方面,在内联模式的情况下,在判定为恶性通信或可疑的通信的情况下,也可以在解析装置24中首先进行阻断,之后,向通信装置10的通信控制装置12发送反映安全控制的控制命令。在该情况下,消除从判定到阻断的时间滞后。或者,在通信装置10的通信控制装置12中进行安全控制的情况下,也可以进行与通常模式或镜像模式相同的处理。另外,在某用户NW30的通信中,解析结果成为黑判定的情况下的安全控制不仅可以应用于该用户NW30,也可以应用于其他的用户NW 30。将由控制判断装置23进行安全控制的对象作为通信控制装置12、25进行了说明,但至少也可以仅将通信控制装置12作为对象。此外,内联模式下的解析装置24的位置以内联连接的形式配置于终端40与因特网上的站点50之间,因此解析装置24接收到的通信流量直接透过而进行发送(解析装置24在判断为是恶性通信的情况下,也可以自己阻断该通信),在镜像模式下,因为解析装置24接收镜像拷贝后的通信流量,因此解析后进行丢弃。
[通信模式的迁移]
关于通信模式的迁移,既可以是在通常模式、镜像模式以及内联模式的3个模式间进行迁移的结构,也可以是在通常模式与镜像模式、通常模式与内联模式的2个模式间进行迁移的结构。在3个模式间进行迁移的情况下,既可以是从任意的模式向任意的模式迁移的结构,也可以是从该任意的迁移的结构中除去从内联模式向镜像模式的迁移的结构,另外,还可以是从该任意的迁移的结构中除去从通常模式向内联模式的迁移或从内联模式向镜像模式的迁移的结构。图4中的实线·虚线是表示迁移的推移的一例,也可以省略虚线的迁移。或者,也可以是组合了这些结构的结构。
另外,关于安全控制命令后,也可以当阻断与命令相应的通信后立即返回通常模式。或者,也可以在阻断相应通信后,继续保持内联模式(或者镜像),在解析装置24中白判定持续规定期间的情况下或者黑或灰的判定未输出规定期间的情况下返回通常模式。另外,涉及收集装置11与收集管理装置21之间的部分信息或收集规则的通信或通信控制装置12与25之间的通信也可以分别被加密。
[特征向量的生成]
在上述的实施方式中,说明了收集装置11生成特征向量而向收集管理装置21发送的情况,但并不限于此。例如,也可以为收集装置11将特征向量化所需要的信息发送给收集管理装置21,接收到该特征向量化所需要的信息的收集管理装置进行特征向量化而传递给分析装置。
[镜像模式或内联模式]
可以将经由通信装置10的所有通信流量作为这些通信模式的通信控制对象,但也可以将用户NW 30内的终端彼此的通信视为安全的通信等,而仅将内部NW与外部NW之间的通信作为通信模式控制的对象。另外,也可以仅将与特定的目的地和/或发送源之间的通信或特定的协议、服务、应用的通信作为通信模式控制的对象。在该情况下的对象以外的通信流量与通常模式相同地经由通信装置10在发送源与目的地之间通信。它们基于来自控制判断装置23的控制命令的内容来决定对象。此外,关于收集的通信,既可以仅将内部NW与外部NW之间的通信作为收集的对象,也可以在收集规则中描述有仅收集内部NW与外部NW之间的通信的规则。
关于3种通信模式控制的设定,对在控制判断装置23中配置有OpenFlow控制器,在通信控制装置12、25中配置有OpenFlow兼容交换机的情况下的控制进行了说明。
在成为基础的通常模式下,通信控制装置12实现一般的切换的功能。在通常模式下,通信控制装置25不进行特别动作。在镜像模式下,利用来自OpenFlow控制器的命令,在通信控制装置12的存储部12a中写入流条目,该流条目用于进行控制以将从与内部NW进行通信的通信接口或与外部NW进行通信的通信接口接收到的通信流量转发给目的地,并且也向隧道相对侧(通信控制装置25侧)转发。在通信控制装置25的存储部25b中写入有流条目,该流条目用于进行控制以将从隧道相对侧(通信控制装置12侧)接收的通信流量转发给解析装置24侧。
在内联模式下,在通信控制装置12的存储部12a中写入有流条目,该流条目用于进行控制以将与内部NW进行通信的通信接口接收到的通信流量或者与外部NW进行通信的通信接口接收的通信流量(不是来自隧道相对侧的通信流量)转发给隧道相对侧(通信控制装置25侧),将从隧道相对侧(通信控制装置25侧)接收到的通信流量转发给该通信流量的目的地。在通信控制装置25的存储部25b中写入有流条目,该流条目用于进行控制以将从隧道相对侧(通信控制装置12侧)接收到的通信流量转发给解析装置24侧,将从解析装置24侧返回的通信流量转发给隧道相对侧(通信控制装置12侧)。
在此,流条目是从OpenFlow控制器受理的控制规则,是包含匹配规则和动作的结构,在所输入的通信流量符合设定于匹配规则的条件的情况下,对该通信流量执行设定于与该匹配规则对应的动作中的控制。例如,能够在匹配规则中作为条件主要描述有作为从层1到层4的信息的、输入了分组的OpenFlow兼容交换机的端口、分组的发送源或目的地的MAC地址、IP地址、端口号这些信息中的1个以上的组。另外,在动作中能够指定将符合匹配规则的分组转发给指定的输出目的地的端口或者不转发符合的分组而丢弃等的动作。
此外,可以在镜像模式或内联模式下将所有通信流量作为控制对象,但也可以仅将特定的目的地或发送源、服务(端口号)的通信流量作为控制的对象。通过对流条目进行设定,能够进行单独的控制。在该情况下,这些单独的控制对象以外的通信流量作为通常模式被控制。
期望不是重写通信流量的分组的目的地地址等而进行变更,而是通过指定转发目的地的端口来可进行转发的控制。这是因为当重写分组时有可能阻碍适当的解析。因而,期望例如在隧道建立中准备隧道用的端口或者通信接口。
在变更通信模式的情况下,OpenFlow控制器命令各OpenFlow兼容交换机写入与想要控制的通信模式相应的流条目。
在OpenFlow控制器是配置于各通信控制装置的结构而不是配置于控制判断装置23的结构的情况下,控制判断装置23命令各OpenFlow控制器进行这些控制。而且,各OpenFlow控制器对相同装置内的OpenFlow兼容交换机写入流条目。
在安全控制中,作为解析结果而基于判定为应该进行限制的通信的目的地或发送源的IP地址或端口号等来阻断该通信,因此使用这些信息进行过滤的设定。在使用OpenFlow的规格的情况下,从OpenFlow控制器对OpenFlow兼容交换机写入与该设定相应的流条目,OpenFlow兼容交换机实施过滤。
另外,在上述实施方式中,基于异常检测或聚类的机器学习对所应用的通信模式进行了判断,但并不限于此,在基于部分信息分析为是满足规定的条件的通信的情况下,也可以采取变更通信模式的结构。例如,也可以为,将该规定的条件作为规则进行描述,且存储于分析装置22的存储部22b中,分析/学习部22a通过将该规则与所输入的部分信息进行对照,来输出分析结果,控制判断装置23基于该分析结果来判断通信模式。这在受理了显式的规则、例如表示与最近经常在计算机攻击中滥用的URL或FQDN、域、或者IP地址或其范围、国家或地区的通信的部分信息的情况下,由于适于该规则,因此可以从通常模式向镜像模式或者内联模式变更。另外,也可以包含它们并作为异常来处理。在机器学习中应用聚类的情况下,也可以将分类到特定的簇的输入信息作为异常来处理。
[部分信息等]
另外,部分信息只要是流过用户NW 30侧的通信装置的通信流量的一部分的通信即可。例如,也可以是以5元组作为组在相应的通信的开始时间、结束时间、在该期间流过的总分组数、总数据大小等统计信息。另外,例如也可以在终端A、B间的通信中按照通信的每个方向(A→B、B→A)计算统计信息。此外,该信息是在OpenFlow的规格中能够收集的信息。
另外,部分信息也可以是终端发送接收的通信中的特定的通信本身。例如,DNS等通信也可以始终镜像到收集管理装置或者分析装置。在该情况下,将想要从请求分组和应答分组中解析的名称和包含已解析的IP地址的信息关联起来进行存储。或者可以构成特征向量,也可以将域名或IP地址作为分析或机器学习的对象。
另外,部分信息可以是流过上述的用户NW侧的通信装置的通信业务量的一部分的通信和特定的通信本身的组合。另外,基于OpenFlow进行了说明,但并不限于此,只要是能够代替的SDN(Software Defined Networking:软件定义网络)技术或者是具有能够实现本发明的功能的技术,也可以代替。
[装置结构等]
通信装置10或控制装置20在内部包含的各功能(装置)能够物理地·虚拟地分布,此时两装置内的各功能(装置)也可以分别作为一个单位而分布。另外,例如,将收集管理装置21能够省略,将收集部21a可以嵌入到分析装置22中,将提取控制部21b可以嵌入到控制判断装置23中。另外,对于各装置内的各部件,在有效地发挥作用的程度下也可以采取嵌入到其他各装置中的结构。
[程序]
另外,也可以创建以计算机可执行的语言来描述了在上述实施方式的通信装置10或控制装置20执行的处理的程序。在该情况下,通过由计算机执行程序,能够获得与上述实施方式同样的效果。而且,也可以将该程序存储于计算机可读取的存储介质中,通过使计算机读入并执行该存储介质中记录的程序,实现与上述实施方式同样的处理。下面对执行实现与通信装置10或控制装置20同样的功能的通信控制程序的计算机的一例进行说明。
图26是示出执行通信控制程序的计算机的图。如图26所示,计算机1000例如具有存储器1010、CPU 1020、硬盘驱动器接口1030、盘驱动器接口1040、串行端口接口1050、视频适配器1060以及网络接口1070。通过总线1080连接这些各部件。
存储器1010包含ROM(Read Only Memory:只读存储器)1011和RAM(Random AccessMemory:随机存取存储器)1012。ROM 1011例如存储BIOS(Basic Input Output System:基本输入输出系统)等引导程序。硬盘驱动器接口1030与硬盘驱动器1090连接。盘驱动器接口1040与盘驱动器1041连接。例如磁盘或光盘等可装卸的存储介质插入于盘驱动器1041中。在串行端口接口1050上连接有例如鼠标1110和键盘1120。在视频适配器1060上连接有例如显示器1130。
在此,如图26所示,硬盘驱动器1090例如存储OS 1091、应用程序1092、程序模块1093以及程序数据1094。在上述实施方式中说明的各表存储于例如硬盘驱动器1090或存储器1010中。
另外,通信控制程序例如作为描述有由计算机1000执行的指令的程序模块而存储于硬盘驱动器1090中。具体而言,描述了在上述实施方式中说明的网络系统的各装置执行的各处理的程序模块存储于硬盘驱动器1090中。
另外,在基于通信控制程序的信息处理中使用的数据作为程序数据例如存储于硬盘驱动器1090中。而且,CPU 1020根据需要将硬盘驱动器1090中存储的程序模块1093或者程序数据1094读出到RAM 1012,且执行上述的各步骤。
此外,通信控制程序的程序模块1093或程序数据1094不限于存储于硬盘驱动器1090中的情况,例如也可以存储于可装卸的存储介质中而经由盘驱动器1041等由CPU 1020读出。或者,通信控制程序的程序模块1093或程序数据1094也可以存储于经由LAN(LocalArea Network:局域网)或WAN(Wide Area Network:广域网)等网络连接的其他计算机中而经由网络接口1070由CPU 1020读出。
标号说明
10:通信装置;11:收集装置;11a:提取部;11b、12a、22b、23c、25b:存储部;12、25:通信控制装置;12b、25a:隧道部;12c、25c:通信控制部;14:OpenFlow控制器;20:控制装置;21:收集管理装置;21a:收集部;21b:提取控制部;22:分析装置;22a:分析/学习部;23:控制判断装置;23a:判断部;23b:控制命令部;24:解析装置;24a:详细解析部;26:加密通信检查装置;27:反常信息保存部;100:网络系统。
Claims (12)
1.一种网络系统,该网络系统具有通信装置和控制装置,该控制装置经由网络与所述通信装置进行通信,所述网络系统的特征在于,
所述通信装置具有:
通信控制部,其对经由该通信装置的通信进行控制;
收集部,其将与所述通信相关的信息中的一部分信息构成为部分信息而向所述控制装置发送,
所述控制装置具有:
分析部,其使用从所述通信装置接收到的部分信息进行分析,来判断所述通信中是否存在异常;
控制判断部,其在所述分析部判断为所述通信中存在异常的情况下,对所述通信控制部控制通信路径,以使所述通信从所述通信装置向所述控制装置发送;以及
解析部,其判定通过通信路径的控制而发送来的通信是否是恶性的通信,
在所述解析部判定为所述通信是恶性的通信的情况下,所述控制判断部还对所述通信控制部进行控制,以限制该恶性的通信。
2.根据权利要求1所述的网络系统,其特征在于,
所述控制装置还具有存储部,该存储部存储模型信息,其中该模型信息是表示基于所述部分信息生成的特征空间的信息,并且应用于所述分析部进行的分析中,
所述解析部构成相应于与解析对象通信相关的信息的部分信息,将该部分信息与该通信的解析结果关联起来而得的附加信息与所述模型信息关联起来存储于所述存储部中,
在所述分析部判断为所述通信中存在异常、且判断为在所述模型信息的特征空间中在与所述附加信息关联的规定的区域内相应地存在被判断为异常的部分信息的情况下,所述控制判断部基于与该附加信息对应的解析结果来控制所述通信控制部。
3.根据权利要求1或2所述的网络系统,其特征在于,
所述控制判断部使用与所述分析部的分析相关的信息和/或与所述解析部的解析相关的信息来生成收集所述部分信息的收集规则,且向所述收集部发送该收集规则,来更新该收集部的收集规则。
4.根据权利要求1或2所述的网络系统,其特征在于,
所述控制装置还具有存储部,该存储部存储模型信息,其中该模型信息是表示基于所述部分信息生成的特征空间的信息,并且应用于所述分析部进行的分析中,
所述分析部还将共享模型信息存储于所述存储部中,使用所述共享模型信息判断所述通信中是否存在异常,其中该共享模型信息是对与分别经由多个通信装置的通信对应的模型信息进行共享而构成的。
5.根据权利要求3所述的网络系统,其特征在于,
所述控制装置还具有存储部,该存储部存储模型信息,其中该模型信息是表示基于所述部分信息生成的特征空间的信息,并且应用于所述分析部进行的分析中,
所述分析部还将共享模型信息存储于所述存储部中,使用所述共享模型信息判断所述通信中是否存在异常,其中该共享模型信息是对与分别经由多个通信装置的通信对应的模型信息进行共享而构成的。
6.一种控制装置,其特征在于,
该控制装置具有:
分析部,其使用从经由网络进行通信的通信装置接收到的作为与所述通信相关的信息中的一部分信息的部分信息进行分析,来判断所述通信中是否存在异常;
控制判断部,其在所述分析部判断为所述通信中存在异常的情况下,对所述通信装置控制通信路径,以使所述通信从所述通信装置向本装置发送;以及
解析部,其判定通过通信路径的控制而发送来的通信是否是恶性的通信,
在所述解析部判定为所述通信是恶性的通信的情况下,所述控制判断部还对所述通信装置进行控制,以限制该恶性的通信。
7.一种通信装置,其特征在于,
该通信装置具有:
通信控制部,其对经由本装置的通信进行控制;
收集部,其将与所述通信相关的信息中的一部分信息构成为部分信息而向经由网络与本装置进行通信的控制装置发送,
在所述控制装置判断为所述通信中存在异常的情况下,所述通信控制部还受理对通信路径进行控制以使所述通信向所述控制装置发送的命令,且进行对该通信路径进行控制的设定,另外,在所述控制装置判定为通信是恶性的通信的情况下,所述通信控制部还受理对该恶性的通信进行限制的命令,且进行对该恶性的通信进行限制的设定。
8.一种网络系统中的通信控制方法,该网络系统具有通信装置和控制装置,该控制装置经由网络与所述通信装置进行通信,所述通信控制方法的特征在于,
所述通信装置执行:
通信控制步骤,对经由该通信装置的通信进行控制;
收集步骤,将与所述通信相关的信息中的一部分信息构成为部分信息而向所述控制装置发送,
所述控制装置执行:
分析步骤,使用从所述通信装置接收到的部分信息进行分析,来判断所述通信中是否存在异常;
控制判断步骤,在通过所述分析步骤判断为所述通信中存在异常的情况下,对所述通信装置控制通信路径,以使所述通信从所述通信装置向所述控制装置发送;
解析步骤,判定通过通信路径的控制而发送来的通信是否是恶性的通信;以及
限制步骤,在通过所述解析步骤判定为所述通信是恶性的通信的情况下,对所述通信装置进行控制,以限制该恶性的通信。
9.一种通信控制程序,其特征在于,
用计算机实现权利要求6或7所述的装置。
10.一种网络系统,其具有通信装置和控制装置,该控制装置经由网络与所述通信装置进行通信,所述网络系统的特征在于,
所述通信装置具有:
通信控制部,其对经由该通信装置的通信进行控制;
收集部,其将与所述通信相关的信息中的一部分信息构成为部分信息而向所述控制装置发送,
所述控制装置具有:
分析部,其使用从所述通信装置接收到的部分信息进行分析,来判断所述通信中是否存在异常;
保存部,其基于所述分析部分析的结果,保存表示存在异常的通信的信息;
控制判断部,其在从所述通信装置接收到通信的情况下,判定该通信所包含的信息是否与所述保存部中保存的表示存在异常的通信的信息一致,在判断为存在异常的情况下,对所述通信控制部控制通信路径,以使所述通信从所述通信装置向所述控制装置发送;以及
解析部,其判定通过通信路径的控制而发送来的通信是否是恶性的通信,
在所述解析部判定为所述通信是恶性的通信的情况下,所述控制判断部还对所述通信控制部进行控制,以限制该恶性的通信。
11.一种控制装置,其特征在于,
该控制装置具有:
分析部,其使用从经由网络进行通信的通信装置接收到的作为与所述通信相关的信息中的一部分信息的部分信息进行分析,来判断所述通信中是否存在异常;
保存部,其基于所述分析部分析的结果,保存表示存在异常的通信的信息;
控制判断部,其在从所述通信装置接收到通信的情况下,判定该通信所包含的信息是否与所述保存部中保存的表示存在异常的通信的信息一致,在判断为存在异常的情况下,对所述通信装置控制通信路径,以使所述通信从所述通信装置向本装置发送;以及
解析部,其判定通过通信路径的控制而发送来的通信是否是恶性的通信,
在所述解析部判定为所述通信是恶性的通信的情况下,所述控制判断部还对所述通信装置进行控制,以限制该恶性的通信。
12.一种网络系统中的通信控制方法,该网络系统具有通信装置和控制装置,该控制装置经由网络与所述通信装置进行通信,所述通信控制方法的特征在于,
所述通信装置执行:
通信控制步骤,对经由该通信装置的通信进行控制;
收集步骤,将与所述通信相关的信息中的一部分信息构成为部分信息而向所述控制装置发送,
所述控制装置执行:
分析步骤,使用从所述通信装置接收到的部分信息进行分析,来判断所述通信中是否存在异常;
保存步骤,基于通过所述分析步骤分析的结果,保存表示存在异常的通信的信息;
控制判断步骤,在从所述通信装置接收到通信的情况下,判定该通信所包含的信息是否与所保存的表示存在异常的通信的信息一致,在判断为存在异常的情况下,对所述通信装置控制通信路径,以使所述通信从所述通信装置向所述控制装置发送;
解析步骤,判定通过通信路径的控制而发送来的通信是否是恶性的通信;以及
限制步骤,在通过所述解析步骤判定为所述通信是恶性的通信的情况下,对所述通信控制部进行控制,以限制该恶性的通信。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014-125403 | 2014-06-18 | ||
| JP2014125403 | 2014-06-18 | ||
| PCT/JP2015/067519 WO2015194604A1 (ja) | 2014-06-18 | 2015-06-17 | ネットワークシステム、制御装置、通信装置、通信制御方法および通信制御プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106464577A true CN106464577A (zh) | 2017-02-22 |
| CN106464577B CN106464577B (zh) | 2019-10-29 |
Family
ID=54935584
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580031941.4A Active CN106464577B (zh) | 2014-06-18 | 2015-06-17 | 网络系统、控制装置、通信装置以及通信控制方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US10476901B2 (zh) |
| EP (1) | EP3145130B1 (zh) |
| JP (3) | JPWO2015194604A1 (zh) |
| CN (1) | CN106464577B (zh) |
| WO (1) | WO2015194604A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110149239A (zh) * | 2019-04-01 | 2019-08-20 | 电子科技大学 | 一种基于sFlow的网络流量监控方法 |
Families Citing this family (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104077530A (zh) * | 2013-03-27 | 2014-10-01 | 国际商业机器公司 | 用于评估数据访问语句的安全性的方法和装置 |
| US20170004188A1 (en) * | 2015-06-30 | 2017-01-05 | Ca, Inc. | Apparatus and Method for Graphically Displaying Transaction Logs |
| JP6499098B2 (ja) * | 2016-02-16 | 2019-04-10 | 日本電信電話株式会社 | 転送制御装置、アプリケーション分析制御システム、転送制御方法及びアプリケーション分析制御方法 |
| CN107645478B (zh) | 2016-07-22 | 2020-12-22 | 阿里巴巴集团控股有限公司 | 网络攻击防御系统、方法及装置 |
| CN107809344B (zh) * | 2016-09-09 | 2021-01-22 | 中华电信股份有限公司 | 实时讯务量搜集与分析系统及方法 |
| JP6152998B1 (ja) * | 2016-09-29 | 2017-06-28 | パナソニックIpマネジメント株式会社 | テレビ会議装置 |
| JP6674036B2 (ja) * | 2016-10-03 | 2020-04-01 | 日本電信電話株式会社 | 分類装置、分類方法及び分類プログラム |
| JP6764313B2 (ja) * | 2016-10-20 | 2020-09-30 | 中華電信股▲分▼有限公司 | 即時トラフィック収集・分析システム及び方法 |
| US10425434B2 (en) * | 2017-01-19 | 2019-09-24 | Cisco Technology, Inc. | Statistical fingerprinting of network traffic |
| JP6760110B2 (ja) * | 2017-01-30 | 2020-09-23 | 富士通株式会社 | 制御装置、転送装置、および、制御方法 |
| WO2018139458A1 (ja) * | 2017-01-30 | 2018-08-02 | 日本電気株式会社 | セキュリティ情報分析装置、セキュリティ情報分析方法、セキュリティ情報分析プログラム、セキュリティ情報評価装置、セキュリティ情報評価方法及びセキュリティ情報分析システム、及び記録媒体 |
| KR101966514B1 (ko) * | 2017-03-23 | 2019-04-05 | 한국과학기술원 | 소프트웨어 정의 네트워크에서의 악성 프로그램 탐지 장치, 방법 및 컴퓨터 프로그램 |
| CN107493265B (zh) * | 2017-07-24 | 2018-11-02 | 南京南瑞集团公司 | 一种面向工业控制系统的网络安全监控方法 |
| JP6813451B2 (ja) * | 2017-07-28 | 2021-01-13 | 日本電信電話株式会社 | 異常検知システム及び異常検知方法 |
| JP6746140B2 (ja) * | 2017-08-23 | 2020-08-26 | Kyoto Robotics株式会社 | ピッキングシステム |
| JP6683673B2 (ja) * | 2017-12-12 | 2020-04-22 | 日本電信電話株式会社 | 異常検知システム、異常検知方法、および、異常検知プログラム |
| EP3729766A1 (en) * | 2017-12-24 | 2020-10-28 | Arilou Information Security Technologies Ltd. | System and method for tunnel-based malware detection |
| JP7059726B2 (ja) * | 2018-03-19 | 2022-04-26 | 株式会社リコー | 通信システム、通信制御装置、通信制御方法及び通信制御プログラム |
| JP7254099B2 (ja) * | 2018-05-21 | 2023-04-07 | 華為技術有限公司 | ネットワークデバイスを設定するための方法および装置ならびに記憶媒体 |
| JP7063185B2 (ja) | 2018-08-15 | 2022-05-09 | 日本電信電話株式会社 | 通信システム及び通信方法 |
| IL263956A (en) | 2018-12-24 | 2020-06-30 | Amzel Moshe | Systems and methods for early detection, warning and prevention of cyber threats |
| US20220272045A1 (en) * | 2019-07-12 | 2022-08-25 | Nippon Telegraph And Telephone Corporation | Extraction device, extraction method, and extraction program |
| JP7176636B2 (ja) * | 2019-07-17 | 2022-11-22 | 日本電信電話株式会社 | 生成装置、生成方法及び生成プログラム |
| JP6964829B2 (ja) | 2019-07-18 | 2021-11-10 | 三菱電機株式会社 | ネットワークセキュリティ装置、ネットワークセキュリティシステムおよびネットワークセキュリティ方法 |
| JP7319872B2 (ja) * | 2019-09-06 | 2023-08-02 | 株式会社日立製作所 | ネットワークセキュリティ装置及び学習優先度決定方法 |
| CN110602101B (zh) * | 2019-09-16 | 2021-01-01 | 北京三快在线科技有限公司 | 网络异常群组的确定方法、装置、设备及存储介质 |
| US11316885B1 (en) * | 2019-10-30 | 2022-04-26 | Rapid7, Inc. | Self-learning data collection of machine characteristics |
| JP7273759B2 (ja) * | 2020-03-19 | 2023-05-15 | 株式会社東芝 | 通信装置、通信方法、情報処理システムおよびプログラム |
| WO2023135778A1 (ja) * | 2022-01-17 | 2023-07-20 | 日本電気株式会社 | 通信分析装置、通信分析方法、通信分析システムおよび記録媒体 |
| EP4290822A1 (en) * | 2022-06-10 | 2023-12-13 | Sorin Mihai Grigorescu | Method and ai operating system for robotics and complex automation |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1878141A (zh) * | 2005-05-20 | 2006-12-13 | 阿拉克斯拉网络株式会社 | 网络控制装置及其控制方法 |
| JP2009117929A (ja) * | 2007-11-02 | 2009-05-28 | Nippon Telegr & Teleph Corp <Ntt> | 不正アクセス監視装置およびその方法 |
| JP2013192128A (ja) * | 2012-03-15 | 2013-09-26 | Fujitsu Telecom Networks Ltd | 中継装置及び中継方法 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3966231B2 (ja) | 2003-06-11 | 2007-08-29 | 日本電信電話株式会社 | ネットワークシステムと不正アクセス制御方法およびプログラム |
| US7457293B2 (en) | 2004-04-05 | 2008-11-25 | Panasonic Corporation | Communication apparatus, method and program for realizing P2P communication |
| US8200700B2 (en) | 2005-02-01 | 2012-06-12 | Newsilike Media Group, Inc | Systems and methods for use of structured and unstructured distributed data |
| JP4715293B2 (ja) | 2005-05-10 | 2011-07-06 | ソニー株式会社 | 無線通信システム、無線通信装置及び無線通信方法、並びにコンピュータ・プログラム |
| JP2006352831A (ja) * | 2005-05-20 | 2006-12-28 | Alaxala Networks Corp | ネットワーク制御装置およびその制御方法 |
| JP2007243459A (ja) | 2006-03-07 | 2007-09-20 | Nippon Telegraph & Telephone East Corp | トラヒック状態抽出装置及び方法ならびにコンピュータプログラム |
| CN101098156B (zh) | 2006-06-28 | 2012-05-23 | 鸿富锦精密工业(深圳)有限公司 | 具有特殊使用模式的通讯装置 |
| CN101686235B (zh) * | 2008-09-26 | 2013-04-24 | 北京神州绿盟信息安全科技股份有限公司 | 网络异常流量分析设备和方法 |
| JP2011130238A (ja) | 2009-12-18 | 2011-06-30 | Nippon Telegr & Teleph Corp <Ntt> | 異常トラヒック監視方法および異常トラヒック監視装置 |
| US20150169024A1 (en) | 2012-06-17 | 2015-06-18 | Nation-E Ltd | Disaster recovery system and method |
| JP2014155153A (ja) | 2013-02-13 | 2014-08-25 | Panasonic Corp | 秘密情報送信装置、秘密情報送信装置のプログラム、秘密情報送信システム、及び、秘密情報送信方法 |
| US10944765B2 (en) * | 2014-01-10 | 2021-03-09 | Red Bend Ltd. | Security system for machine to machine cyber attack detection and prevention |
| US9600676B1 (en) | 2014-06-16 | 2017-03-21 | Verily Life Sciences Llc | Application-level wireless security for wearable devices |
-
2015
- 2015-06-17 US US15/319,192 patent/US10476901B2/en active Active
- 2015-06-17 WO PCT/JP2015/067519 patent/WO2015194604A1/ja active Application Filing
- 2015-06-17 EP EP15809108.2A patent/EP3145130B1/en active Active
- 2015-06-17 CN CN201580031941.4A patent/CN106464577B/zh active Active
- 2015-06-17 JP JP2016529415A patent/JPWO2015194604A1/ja not_active Withdrawn
-
2017
- 2017-04-26 US US15/498,138 patent/US10397260B2/en not_active Expired - Fee Related
- 2017-05-24 JP JP2017103072A patent/JP6356871B2/ja active Active
- 2017-10-20 JP JP2017203905A patent/JP6453976B2/ja active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1878141A (zh) * | 2005-05-20 | 2006-12-13 | 阿拉克斯拉网络株式会社 | 网络控制装置及其控制方法 |
| JP2009117929A (ja) * | 2007-11-02 | 2009-05-28 | Nippon Telegr & Teleph Corp <Ntt> | 不正アクセス監視装置およびその方法 |
| JP2013192128A (ja) * | 2012-03-15 | 2013-09-26 | Fujitsu Telecom Networks Ltd | 中継装置及び中継方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110149239A (zh) * | 2019-04-01 | 2019-08-20 | 电子科技大学 | 一种基于sFlow的网络流量监控方法 |
| CN110149239B (zh) * | 2019-04-01 | 2022-10-14 | 电子科技大学 | 一种基于sFlow的网络流量监控方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106464577B (zh) | 2019-10-29 |
| US10397260B2 (en) | 2019-08-27 |
| JP6356871B2 (ja) | 2018-07-11 |
| EP3145130B1 (en) | 2019-02-27 |
| US20170149808A1 (en) | 2017-05-25 |
| US10476901B2 (en) | 2019-11-12 |
| JP6453976B2 (ja) | 2019-01-16 |
| JP2018038062A (ja) | 2018-03-08 |
| EP3145130A4 (en) | 2018-03-28 |
| JPWO2015194604A1 (ja) | 2017-04-27 |
| US20170230396A1 (en) | 2017-08-10 |
| JP2017143583A (ja) | 2017-08-17 |
| WO2015194604A1 (ja) | 2015-12-23 |
| EP3145130A1 (en) | 2017-03-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106464577B (zh) | 网络系统、控制装置、通信装置以及通信控制方法 | |
| US10795992B2 (en) | Self-adaptive application programming interface level security monitoring | |
| US11399288B2 (en) | Method for HTTP-based access point fingerprint and classification using machine learning | |
| KR101010302B1 (ko) | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 | |
| CN107733851A (zh) | 基于通信行为分析的dns隧道木马检测方法 | |
| CN106953837A (zh) | 具有威胁可视化的集成安全系统 | |
| KR101409563B1 (ko) | 애플리케이션 프로토콜 식별 방법 및 장치 | |
| CN108701187A (zh) | 混合硬件软件分布式威胁分析 | |
| CN111277587A (zh) | 基于行为分析的恶意加密流量检测方法及系统 | |
| CN110611640A (zh) | 一种基于随机森林的dns协议隐蔽通道检测方法 | |
| CN105051696A (zh) | 用于处理网络元数据的改进的流式处理方法及系统 | |
| CN110417729A (zh) | 一种加密流量的服务与应用分类方法及系统 | |
| CN114531273A (zh) | 一种防御工业网络系统分布式拒绝服务攻击的方法 | |
| CN112688932A (zh) | 蜜罐生成方法、装置、设备及计算机可读存储介质 | |
| WO2020087039A1 (en) | Distributed network and security operations platform | |
| Shahbar et al. | An analysis of Tor pluggable transports under adversarial conditions | |
| Viegas et al. | A resilient stream learning intrusion detection mechanism for real-time analysis of network traffic | |
| Oujezsky et al. | Botnet C&C traffic and flow lifespans using survival analysis | |
| CN110855602B (zh) | 物联网云平台事件识别方法及系统 | |
| Zaki et al. | Grano-GT: A granular ground truth collection tool for encrypted browser-based Internet traffic | |
| TWI667587B (zh) | 資訊安全防護方法 | |
| Gu et al. | Fingerprinting Network Entities Based on Traffic Analysis in High‐Speed Network Environment | |
| Wagh et al. | Effective framework of j48 algorithm using semi-supervised approach for intrusion detection | |
| Sobh | A Real-Time Hardware Intrusion Detection System and a Classifying Features Algorithm | |
| Zhang et al. | Fingerprinting Network Device Based on Traffic Analysis in High-Speed Network Environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |