CN107430665A - 安全措施无效化防止装置、安全措施无效化防止方法和安全措施无效化防止程序 - Google Patents
安全措施无效化防止装置、安全措施无效化防止方法和安全措施无效化防止程序 Download PDFInfo
- Publication number
- CN107430665A CN107430665A CN201680013029.0A CN201680013029A CN107430665A CN 107430665 A CN107430665 A CN 107430665A CN 201680013029 A CN201680013029 A CN 201680013029A CN 107430665 A CN107430665 A CN 107430665A
- Authority
- CN
- China
- Prior art keywords
- safes
- point
- ineffective treatment
- safety measure
- function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/70—Virtual switches
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
Abstract
安全措施无效化防止装置(100)具有:取得部(135),其取得与具备进行连接于网络的节点的安全措施的应对功能的安全点中的应对功能被无效化的无效化安全点有关的无效化安全点信息;判定部(136),其根据由取得部(135)取得的无效化安全点信息,对是否存在无效化安全点的应对功能所应对的安全事件进行判定;以及提取部(137),其在由判定部(136)判定为存在安全事件的情况下,提取可转移无效化安全点的应对功能的安全点。
Description
技术领域
本发明涉及安全措施无效化防止装置、安全措施无效化防止方法和安全措施无效化防止程序。
背景技术
近些年来,提出了对抗变得复杂和巧妙的网络攻击的各种方法。例如,提出了在云计算环境或SDN(Software Defined Network:软件定义网络)上使用多个安全设备的安全控制体系结构。
作为一例,这种安全控制体系结构实施根据服务器用途而事先设定的对于安全网络结构的配置,并且根据对安全事件事先设定的安全策略和控制设备的映射信息来动态追加策略设定。由此,安全控制体系结构会动态地变更安全策略,因此可提高安全性。
在先技术文献
非专利文献
非专利文献1:Xiang Wang、Zhi Liu、Jun Li、Baohua Yang、Yaxuan Qi、“Tualatin:Towards Network Security Service Provision in Cloud Datacenters”、IEEE、978-1-4799-3572-7/14/$31.00 2014
发明内容
发明要解决的课题
然而,在上述的现有技术中,存在会发生安全措施无效的情况的问题。例如,在上述技术中,在网络结构发生动态变更的情况下,不存在使安全措施动态追随而进行优化的方式。因此,在上述技术中,在通过网络的动态变更而使得分组不再通过安全设备的情况下,该安全设备无法执行安全措施。因此,在上述技术中,存在安全措施无效的情况。
用于解决课题的手段
为了解决上述课题,达成目的,本发明的安全措施无效化防止装置的特征在于,具有:取得部,其取得与无效化安全点有关的无效化安全点信息,该无效化安全点是具备应对功能的安全点中的应对功能被无效化的安全点,该应对功能是进行与网络连接的节点的安全措施的功能;判定部,其根据所述取得部取得的无效化安全点信息,对是否存在所述无效化安全点的应对功能所应对的安全事件进行判定;以及提取部,其在由所述判定部判定为存在安全事件的情况下,提取可转移所述无效化安全点的应对功能的安全点。
发明效果
根据本发明,可获得能够防止安全措施变为无效的效果。
附图说明
图1是表示实施方式的安全措施无效化防止系统的结构的图。
图2是表示实施方式的安全措施无效化防止装置的结构的图。
图3是表示实施方式的安全措施无效化防止装置的安全信息存储部的一例的图。
图4是用于说明实施方式的安全措施无效化防止系统的网络路径变更前的处理的一例的说明图。
图5是用于说明实施方式的安全措施无效化防止处理中的取得处理的一例的说明图。
图6是用于说明实施方式的安全措施无效化防止处理中的判定处理的一例的说明图。
图7是用于说明实施方式的安全措施无效化防止处理中的提取处理的一例的说明图。
图8是用于说明实施方式的安全措施无效化防止处理中的输出处理的一例的说明图。
图9是用于说明实施方式的安全措施无效化防止处理中的安全事件转移后的处理的一例的说明图。
图10是表示实施方式的安全措施无效化防止装置的安全措施无效化防止处理的步骤的流程图。
图11是表示其他实施方式的安全措施无效化防止装置的结构的图。
图12是表示执行安全措施无效化防止程序的计算机的图。
具体实施方式
以下,根据附图对本申请的安全措施无效化防止装置、安全措施无效化防止方法和安全措施无效化防止程序的实施方式进行详细说明。另外,并非通过本实施方式对本申请的安全措施无效化防止装置、安全措施无效化防止方法和安全措施无效化防止程序进行限定。
[实施方式]
在以下的实施方式中,按照顺序说明实施方式的安全措施无效化防止系统的结构、安全措施无效化防止装置的结构、安全措施无效化防止装置的处理的流程,最后说明实施方式的效果。
[安全措施无效化防止系统的结构]
使用图1,对实施方式的安全措施无效化防止系统1的结构进行说明。图1是表示实施方式的安全措施无效化防止系统1的结构的图。安全措施无效化防止系统1具有vFW(virtual FireWall:虚拟防火墙)10、vIPS(virtual Intrusion Prevention System:虚拟入侵防御系统)15、vWAF(virtual Web Application Firewall:虚拟Web应用防火墙)20、Web服务器50和安全措施无效化防止装置100。
vFW10、vIPS15、vWAF20、Web服务器50和安全措施无效化防止装置100通过网络N进行通信。作为网络N的一个方式,无论有线或无线,可举出LAN(Local Area Network:局域网)或VPN(Virtual Private Network:虚拟专用网络)等的通信网。例如,在安全措施无效化防止系统1中,分组通过网络N而按顺序流过vFW10、vIPS15、vWAF20、Web服务器50,从而到达安全措施无效化防止装置100。
另外,在图1的例子中,举例示出了vFW10、vIPS15、vWAF20、Web服务器50和安全措施无效化防止装置100分别为1台的情况,然而不限于此,也可以分别形成为任意的数量。此外,在图1的例子中,安全措施无效化防止系统1还可以具有其他的安全设备等。
vFW10是作为安全点而针对外部的攻击对Web服务器50进行保护的防火墙。具体而言,vFW10切断根据规定的基准而判断为非法的通信。例如,vFW10作为安全措施功能具有切断网络层上的非法通信的“Layer3切断(以下称作L3切断)”、以及切断传输层上的非法通信的“Layer4切断(以下称作L4切断)”。作为一例,vFW10由虚拟设备实现。
vIPS15是作为安全点防止向Web服务器50的非法侵入的侵入防止系统。具体而言,vIPS15在检测到蠕虫或拒绝服务(DoS)攻击等的分组所具备的特征性模式时切断通信。例如,vIPS15作为安全措施功能而具有“L3切断”和“L4切断”。作为一例,vIPS15由虚拟设备实现。
vWAF20是作为安全点来保护Web服务器50的Web应用防火墙。具体而言,vWAF20切断SQL注入或跨站脚本攻击等成为对于Web应用的攻击的通信。例如,vWAF20作为安全措施功能而具有切断应用层上的非法通信的“Layer7切断(以下称作L7切断)”。作为一例,vWAF20由虚拟设备实现。
Web服务器50是在安全措施无效化防止系统1中作为被保护的对象的服务器。具体而言,Web服务器50通过vFW10、vIPS15和vWAF20具备的安全措施功能来进行安全措施,从网络N接收可靠性较高的分组。作为一例,Web服务器50由虚拟设备实现。
安全措施无效化防止装置100是防止安全点的安全措施功能的无效化的装置。具体而言,安全措施无效化防止装置100将可转移具备进行连接于网络N的Web服务器50(相当于节点的一例)的安全措施的安全措施功能(相当于应对功能的一例)的vFW10、vIPS15和vWAF20中的安全措施功能被无效化的无效化安全点的安全措施功能的安全点提取并输出。例如,安全措施无效化防止装置100输出可转移伴随由未图示的外部系统进行的网络变更而偏离于到Web服务器50为止的网络路径上,由此使得安全措施功能无效化的无效化安全点的安全措施功能的安全点。另外,在不存在可转移无效化安全点的安全措施功能的安全点的情况下,安全措施无效化防止装置100无法转移伴随网络变更而无效化的安全点而会发生不进行安全措施的安全事件,因此输出表示发生安全漏洞的警告。
这样,在安全措施无效化防止系统1中,安全措施无效化防止装置100输出无效化安全点的转移候选,因此可防止安全措施变为无效。
[安全措施无效化防止装置的结构]
接着,对实施方式的安全措施无效化防止装置100进行说明。图2是表示安全措施无效化防止装置的功能结构的一例的图。如图2所示,安全措施无效化防止装置100具有通信I/F部130、存储部131和控制部132。
通信I/F部130是在与其他的装置之间进行通信控制的接口。通信I/F部130通过网络N与其他的装置和系统收发各种信息。例如,通信I/F部130通过网络N从外部的装置接收分组。此外,通信I/F部130接收与具备进行连接于网络N的Web服务器50的安全措施的安全措施功能的安全点中的安全措施功能被无效化的无效化安全点有关的无效化安全点信息。此外,通信I/F部130接收与具备进行Web服务器50的安全措施的安全措施功能的安全点有关的安全点信息、与安全点具备的安全措施功能有关的安全措施功能信息、以及与安全措施功能所应对的安全事件有关的安全事件信息。作为通信I/F部130,可采用LAN卡等的网络接口卡。
存储部131是闪存等的半导体存储器元件、硬盘、光盘等的存储装置。另外,存储部131可以是RAM(Random Access Memory:随机存取存储器)、闪存、NVSRAM(Non VolatileStatic Random Access Memory:非易失性静态随机存取存储器)等的可改写数据的半导体存储器。
存储部131存储由控制部132执行的OS(Operating System:操作系统)或处理所接收的请求的各种程序。进而,存储部131存储在由控制部132执行的程序中使用的各种数据。例如,存储部131具有安全信息存储部140。
安全信息存储部140存储与具备进行连接于网络N的节点的安全措施的安全措施功能的安全点有关的信息。具体而言,安全信息存储部140存储与具备进行Web服务器50的安全措施的安全措施功能的安全点有关的安全点信息、与安全点具备的安全措施功能有关的安全措施功能信息(相当于应对功能信息的一例)、以及与安全措施功能所应对的安全事件有关的安全事件信息(相当于事件信息的一例)。例如,安全信息存储部140作为安全点信息存储与具备在连接有Web服务器50的网络路径上进行Web服务器50的安全措施的安全措施功能的安全点有关的信息。此外,安全信息存储部140作为安全事件信息,存储与安全措施功能所应对的网络攻击有关的信息。作为一例,安全信息存储部140将安全事件信息与安全点和安全措施功能对应起来存储。这里,图3示出实施方式的安全措施无效化防止装置100的安全信息存储部140的一例。如图3所示,安全信息存储部140具有“安全点”、“安全措施功能”、“安全事件”等项目。
“安全点”表示对具备进行连接于网络的节点的安全措施的安全措施功能的安全点进行识别的名称。“安全措施功能”表示安全点具备的安全措施功能的名称。例如,“安全措施功能”存储有按照每个安全点或网络而任意定义的信息。“安全事件”表示安全点的安全措施功能所应对的事件。例如,在“安全事件”中存储有作为执行安全措施功能的起因的事件。作为一例,“安全事件信息”存储有按照每个安全措施功能而任意定义的信息。
即,在图3中,示出安全点“vFW”具备安全措施功能“L3切断”和“L4切断”的例子。此外,安全点“vFW”的安全措施功能“L3切断”表示应对安全事件“事件e1”的例子。即,安全点“vFW”在安全事件“事件e1”发生的情况下,通过执行安全措施功能“L3切断”来防止非法通信。另一方面,安全点“vFW”的安全措施功能“L4切断”表示不存在所应对的安全事件的例子。
此外,图3示出了安全点“vIPS”具备安全措施功能“L3切断”和“L4切断”的例子。即,安全点“vIPS”是具备与安全点“vFW”相同的安全措施功能的例子。安全点“vIPS”的安全措施功能“L3切断”表示应对安全事件“事件e2”的例子。另一方面,安全点“vIPS”的安全措施功能“L4切断”表示应对安全事件“事件e3”的例子。
此外,在图3中,示出了安全点“vWAF”具备安全措施功能“L7切断”的例子。即,这是安全点“vWAF”不具备与安全点“vIPS”相同的安全措施功能的例子。安全点“vWAF”的安全措施功能“L7切断”表示应对安全事件“事件e4”的例子。
控制部132是控制安全措施无效化防止装置100的器件。作为控制部132,可采用CPU(Central Processing Unit:中央处理单元)、MPU(Micro Processing Unit:微处理单元)等的电子电路或ASIC(Application Specific Integrated Circuit:专用集成电路)、FPGA(Field Programmable Gate Array:现场可编程门阵列)等的集成电路。控制部132具有用于储存规定了各种的处理步骤的程序和控制数据的内部存储器,并通过这些程序和数据来执行各种处理。控制部132通过各种程序进行动作而作为各种的处理部发挥功能。例如,控制部132具有取得部135、判定部136、提取部137和输出部138。
取得部135取得与安全点有关的各种信息。具体而言,取得部135取得与具备进行连接于网络的节点的安全措施的应对功能的安全点中的应对功能被无效化的无效化安全点有关的无效化安全点信息。例如,取得部135将对实施网络变更的外部系统在变更时所控制的安全点进行识别的信息作为无效化安全点信息取得。换言之,取得部135将对伴随网络变更而偏离于网络路径上的安全点进行识别的信息作为无效化安全点信息取得。作为一例,取得部135从外部系统或无效化安全点取得无效化安全点信息。
此外,取得部135取得与各安全点的安全措施功能所应对的安全事件有关的信息。具体而言,取得部135取得与具备进行节点的安全措施的安全措施功能的安全点有关的安全点信息、与安全点具备的安全措施功能有关的安全措施功能信息、以及与安全措施功能所应对的安全事件有关的安全事件信息。例如,取得部135作为安全点信息而取得与具备在连接有Web服务器50的网络路径上进行Web服务器50的安全措施的安全措施功能的安全点有关的信息。此外,取得部135作为安全事件信息而取得与安全措施功能所应对的网络攻击有关的信息。作为一个方式,取得部135从外部系统或各安全点取得安全点信息、安全措施功能信息和安全事件信息的最新信息。作为一例,取得部135通过轮询方式取得安全点信息、安全措施功能信息和安全事件信息。在其他的例子中,取得部135从各安全点或外部系统通过在各信息的变更时接收通知的通知方式来取得安全点信息、安全措施功能信息和安全事件信息。并且,取得部135将所取得的安全点信息、安全措施功能信息和安全事件信息储存在安全信息存储部140中。
判定部136判定安全事件的有无。具体而言,判定部136根据由取得部135取得的无效化安全点信息,对是否存在无效化安全点的安全措施功能所应对的安全事件进行判定。例如,判定部136根据由取得部135取得的无效化安全点信息以及在安全信息存储部140中存储的安全点信息、安全措施功能信息和安全事件信息,判定是否存在无效化安全点的安全措施功能所应对的安全事件。作为一例,判定部136参照在安全信息存储部140中存储的安全事件信息中的与无效化安全点的安全措施功能对应的安全事件信息,按照每个安全措施功能判定是否存在无效化安全点的安全措施功能所应对的安全事件。
提取部137提取作为转移候选的安全点。具体而言,提取部137在由判定部136判定为存在安全事件的情况下,提取可转移无效化安全点的安全措施功能的安全点。例如,提取部137在由判定部136判定为至少存在1个安全事件的情况下,按照每个安全事件提取无效化安全点以外的安全点中的可转移无效化安全点的安全措施功能的安全点。作为一例,提取部137作为可转移的安全点而提取位于连接有Web服务器50的网络路径上的安全点中的可转移无效化安全点的安全措施功能的安全点。
输出部138输出转移候选的安全点。具体而言,输出部138将被提取部137提取的安全点作为转移候选的安全点输出。例如,输出部138将由提取部137按照每个安全事件提取的安全点作为转移候选的安全点输出。作为一例,输出部138将无效化安全点与可转移的安全点对应起来输出。
另外,输出部138在由判定部136判定为不存在无效化安全点的安全措施功能所应对的安全事件的情况下,输出表示不存在转移对象的安全事件的内容。作为一例,输出部138输出“转移对象的安全事件=无”。
此外,输出部138在由于不存在可转移无效化安全点的安全措施功能的安全点而未由提取部137提取出的情况下,输出表示不存在可转移的安全点的内容。作为一例,输出部138以与判断对象的安全事件对应起来的方式输出“可转移的安全点=无”。作为另一个方式,输出部138无法转移伴随网络变更而无效化的安全点所应对的安全事件,会发生不进行安全措施的安全事件,因此输出表示发生安全漏洞的警告。
这里,使用图4~9,对实施方式的安全措施无效化防止装置100进行的安全措施无效化防止处理的一例进行说明。在图4~9的例子中,安全措施无效化防止系统1具有vFW10、vIPS15、vWAF20、Web服务器50和安全措施无效化防止装置100。以下,针对向Web服务器50进行安全攻击的情况进行说明。
首先,使用图4,对网络路径变更前的安全措施无效化防止系统1的处理状况进行说明。图4是用于说明实施方式的安全措施无效化防止系统的网络路径变更前的处理的一例的说明图。图4示出对于在从网络N到Web服务器50的网络路径上发生的安全攻击,由vFW10、vIPS15和vWAF20的安全措施功能进行应对的安全事件的例子。此外,在图4的例子中,以分组从网络N按顺序流过vFW10、vIPS15、vWAF20、Web服务器50的方式形成网络路径L1。
如图4所示,vFW10的L3切断功能应对安全事件“事件e1”。这里,vFW10的L3切断功能作为安全事件“事件e1”的攻击者的发送方IP(SrcIP)而保存“A”。此外,vFW10的L3切断功能作为安全事件“事件e1”的保护对象的IP(DstIP)而保存“Web-1”。
vIPS15的L3切断功能应对安全事件“事件e2”。这里,vIPS15的L3切断功能作为安全事件“事件e2”的SrcIP而保存“B”。此外,vIPS15的L3切断功能作为安全事件“事件e2”的DstIP而保存“Web-1”。
vIPS15的L4切断功能应对安全事件“事件e3”。这里,vIPS15的L4切断功能作为安全事件“事件e3”的SrcIP而保存“C”。此外,vIPS15的L4切断功能作为安全事件“事件e3”的DstIP而保存“Web-1”。此外,vIPS15的L4切断功能作为针对安全事件“事件e3”的保护对象的TCP端口编号(DstPort)而保存“a”。
vWAF20的L7切断功能应对安全事件“事件e4”。这里,vWAF20的L7切断功能作为安全事件“事件e4”的SrcIP而保存“D”。此外,vWAF20的L7切断功能作为安全事件“事件e4”的DstIP而保存“Web-1”。此外,vWAF20的L7切断功能作为安全事件“事件e4”的签名信息(Signature)而保存“I”。
并且,vFW10、vIPS15和vWAF20根据各安全点的各安全措施功能所应对的安全事件,实施安全设定。
这里,安全措施无效化防止装置100将与各安全点的安全措施功能和安全措施功能所应对的安全事件有关的信息与安全点对应起来保持。例如,安全措施无效化防止装置100从各安全点或外部系统取得并存储各安全点的安全措施功能和安全措施功能所应对的安全事件的最新信息。作为一例,安全措施无效化防止装置100通过轮询方式或通知方式取得安全点、安全措施功能和安全事件的最新信息。
并且,通过未图示的外部系统来实施网络路径L1的变更。这种情况下,安全措施无效化防止装置100取得与伴随网络路径L1的变更而安全措施功能被无效化的无效化安全点有关的信息。关于这一点使用图5进行说明。图5是用于说明实施方式的安全措施无效化防止处理中的取得处理的一例的说明图。图5示出网络路径从图4所示的网络路径L1变更为网络路径L2的例子。这种情况下,分组从网络N按照vFW10、vWAF20、Web服务器50的顺序在网络路径L2上流动。换言之,分组不会从网络路径L1通过伴随网络路径L2的变更而偏离于网络路径上的vIPS15。因此,保护Web服务器50的vFW10、vIPS15和vWAF20中的vIPS15不会供分组通过而不会执行安全措施功能,因此被无效化。
于是,安全措施无效化防止装置100取得与具备进行连接于网络N的Web服务器50的安全措施的安全措施功能的vFW10、vIPS15和vWAF20中的作为安全措施功能被无效化的无效化安全点的vIPS15有关的无效化安全点信息。在图5的例子中,安全措施无效化防止装置100作为无效化安全点信息In1而取得“vIPS”。例如,安全措施无效化防止装置100从实施网络变更的外部系统或作为被无效化的安全点的vIPS15取得无效化安全点信息In1。
此后,安全措施无效化防止装置100对于无效化安全点的安全措施功能和安全事件进行现状的确认。具体而言,安全措施无效化防止装置100根据所取得的无效化安全点信息来判定是否存在无效化安全点的安全措施功能所应对的安全事件。关于这一点使用图6进行说明。图6是用于说明实施方式的安全措施无效化防止处理中的判定处理的一例的说明图。在图6的例子中,安全措施无效化防止装置100以无效化安全点信息In1的“vIPS”为检索关键词参照在安全信息存储部140中存储的安全点“vIPS”的安全措施功能和安全事件。并且,安全措施无效化防止装置100判定作为安全措施功能“L3切断”所应对的安全事件而存在“事件e2”。此外,安全措施无效化防止装置100判定作为安全措施功能“L4切断”所应对的安全事件存在“事件e3”。
接着,安全措施无效化防止装置100提取作为无效化安全点具有的安全措施功能的转移候选的安全点。具体而言,安全措施无效化防止装置100在判定为存在安全事件的情况下,提取可转移无效化安全点的安全措施功能的安全点。关于这一点使用图7进行说明。图7是用于说明实施方式的安全措施无效化防止处理中的提取处理的一例的说明图。在图7的例子中,安全点“vFW”具有作为与无效化安全点“vIPS”的安全措施功能“L3切断”和“L4切断”相同的功能的“L3切断”和“L4切断”。另一方面,安全点“vWAF”仅具有安全措施功能“L7切断”,不具有与无效化安全点“vIPS”的安全措施功能“L3切断”和“L4切断”相同的功能。于是,安全措施无效化防止装置100作为可转移的安全点提取具备与无效化安全点“vIPS”的安全措施功能“L3切断”和“L4切断”相同的功能的安全点“vFW”。
此后,安全措施无效化防止装置100输出与可转移无效化安全点的安全措施功能的安全点有关的信息。具体而言,安全措施无效化防止装置100将所提取的安全点作为转移候选的安全点输出。例如,安全措施无效化防止装置100按照无效化安全点的各安全措施功能所应对的每个安全事件输出转移候选的安全点。
关于这一点使用图8进行说明。图8是用于说明实施方式的安全措施无效化防止处理中的输出处理的一例的说明图。在图8的例子中,安全措施无效化防止装置100输出表示转移无效化安全点的安全措施功能的安全点的转移信息141。例如,转移信息141如图8所示,具有“转移对象安全点”、“转移对象功能”、“转移对象安全事件”、“转移目的地候选”等项目。“转移对象安全点”表示作为将安全措施功能转移到其他的安全点的对象的无效化安全点。“转移对象功能”表示转移对象安全点具备的转移对象的安全措施功能。“转移对象安全事件”表示转移对象安全点的转移对象的安全措施功能所应对的安全事件。“转移目的地候选”表示对转移对象安全点具备的转移对象的安全措施功能所应对的安全事件进行转移的转移目的地的安全点。
在图8的例子中,安全措施无效化防止装置100作为转移对象安全点“vIPS”的转移对象功能“L3切断”所应对的转移对象安全事件“事件e2”的转移目的地候选而输出“vFW”。此外,安全措施无效化防止装置100作为转移对象安全点“vIPS”的转移对象功能“L4切断”所应对的转移对象安全事件“事件e3”的转移目的地候选而输出“vFW”。
此后,根据与由安全措施无效化防止装置100输出的转移目的地候选有关的转移信息141,进行无效化安全点具备的应对功能所应对的安全事件的转移处理。例如,转移处理根据由安全措施无效化防止装置100输出的转移信息141由外部系统执行变更安全点的设定的操作。关于这一点使用图9进行说明。图9是用于说明实施方式的安全措施无效化防止处理中的安全事件转移后的处理的一例的说明图。在图9的例子中,在安全措施无效化防止系统1中,vFW10的安全措施功能“L3切断”应对被无效化的vIPS15的安全措施功能“L3切断”以往所应对的安全事件“事件e2”。即,vFW10的安全措施功能“L3切断”除了应对安全事件“事件e1”之外,还应对安全事件“事件e2”。因此,vFW10的L3切断功能除了保存安全事件e1的SrcIP“A”和DstIP“Web-1”之外,还保存安全事件e2的SrcIP“B”和DstIP“Web-1”。
此外,vFW10的安全措施功能“L4切断”应对被无效化的vIPS15的安全措施功能“L4切断”以往所应对的安全事件“事件e3”。因此,vFW10的L4切断功能保存安全事件e3的SrcIP“C”、DstIP“Web-1”和DstPort“a”。
另外,vWAF20的L7切断功能在从网络路径L1变更为网络路径L2后也持续应对安全事件e4。因此,vWAF20的L7切断功能持续保存安全事件e4的SrcIP“D”、DstIP“Web-1”和Signature“I”。
这样,安全措施无效化防止装置100输出与可转移被无效化的安全点的安全措施功能所应对的安全事件的安全点有关的信息。由此,安全措施无效化防止装置100能够通过其他的安全点来应对被无效化的安全点的安全措施功能所应对的安全事件,因此可防止安全措施变为无效。例如,安全措施无效化防止装置100根据与可转移的安全点有关的信息而能够使外部系统进行安全点的设定,因此在发生了无效化安全点的情况下也能够维持安全级别。此外,安全措施无效化防止装置100能够在不降低安全级别的情况下进行网络的变更,因此可进行自由的网络运用。
另外,外部系统还可以根据转移信息141来执行中止网络变更的操作等。例如,外部系统在不存在可转移的安全点的情况下,若实施网络变更则会发生安全漏洞,因此执行中止网络变更的操作。
[处理步骤]
接着,使用图10,对实施方式的安全措施无效化防止装置100进行的安全措施无效化防止处理的流程进行说明。图10是表示实施方式的安全措施无效化防止装置的安全措施无效化防止处理的步骤的流程图。
在图10的例子中,安全措施无效化防止装置100在由外部系统等变更了作为保护对象的Web服务器50的网络路径的情况下,开始安全措施无效化防止处理。
具体而言,安全措施无效化防止装置100首先取得与具备进行连接于网络的Web服务器50的安全措施的安全措施功能的安全点中的安全措施功能被无效化的无效化安全点有关的无效化安全点信息(步骤S101)。例如,安全措施无效化防止装置100从外部系统或无效化安全点取得对伴随网络变更而偏离于网络路径上的安全点进行识别的信息作为无效化安全点信息。
此后,安全措施无效化防止装置100根据所取得的无效化安全点信息,判定是否存在无效化安全点的安全措施功能所应对的安全事件(步骤S102)。例如,安全措施无效化防止装置100根据所取得的无效化安全点信息、在安全信息存储部140中存储的安全点信息、安全措施功能信息和安全事件信息,判定是否存在无效化安全点的安全措施功能所应对的安全事件。
并且,安全措施无效化防止装置100在判定为不存在任何安全事件的情况下(步骤S103;No),输出“转移对象的安全事件=无”(步骤S104),结束安全措施无效化防止处理。
另一方面,安全措施无效化防止装置100在判定为存在1个以上安全事件的情况下(步骤S103;Yes),提取可转移无效化安全点的安全措施功能的安全点(步骤S105)。例如,安全措施无效化防止装置100按照每个安全事件提取无效化安全点以外的安全点中的可转移无效化安全点的安全措施功能的安全点。
并且,安全措施无效化防止装置100在提取了可转移的安全点的情况下(步骤S106;Yes),将判断对象的安全点与可转移的安全点对应起来作为转移候选的安全点输出(步骤S107)。
另一方面,安全措施无效化防止装置100在不存在可转移无效化安全点的安全措施功能的安全点而未能提取的情况下(步骤S106;No),与判断对象的安全事件对应起来地输出“可转移的安全点=无”(步骤S108)。作为一例,安全措施无效化防止装置100无法转移伴随网络变更而被无效化的安全点而发生不进行安全措施的安全事件,因此可以输出表示发生安全漏洞的警告。
并且,安全措施无效化防止装置100判定对于无效化安全点的安全措施功能所应对的所有的安全事件是否都执行了提取处理(步骤S109)。这里,安全措施无效化防止装置100在判定为对于无效化安全点的安全措施功能所应对的所有的安全事件未执行提取处理的情况下(步骤S109;No),对尚未进行提取处理的安全事件反复执行步骤S105~S109。另一方面,安全措施无效化防止装置100在判定为对无效化安全点的安全措施功能所应对的所有的安全事件都执行了提取处理的情况下(步骤S109;Yes),结束安全措施无效化防止处理。
[变形例]
在上述的实施方式中,说明了安全措施无效化防止装置100在由判定部136判定为存在安全事件的情况下,提取可转移无效化安全点的安全措施功能的安全点。
这里,安全措施无效化防止装置100在存在多个可转移无效化安全点的安全措施功能的安全点的情况下,可以根据各种的选定基准来提取可转移的安全点。具体而言,安全措施无效化防止装置100在存在多个可转移无效化安全点的安全措施功能的安全点的情况下,根据各种的选择算法来提取可转移的多个安全点中的1个最优的安全点。例如,安全措施无效化防止装置100的提取部137提取可转移无效化安全点的安全措施功能的安全点中的与攻击Web服务器50的攻击源最近的安全点。作为一例,提取部137根据无效化安全点的安全措施功能所应对的安全事件,提取无效化安全点以外的可转移的多个安全点中的与攻击Web服务器50的攻击源最近的安全点。
这样,安全措施无效化防止装置100的提取部137提取可转移无效化安全点的安全措施功能的安全点中的与攻击Web服务器50的攻击源最近的安全点。
由此,安全措施无效化防止装置100能够提取出可转移的多个安全点中的安全事件的应对最有效的安全点,因此可提高无效化安全点的转移效果。
此外,在上述的实施方式中,示出了vFW10、vIPS15、vWAF20和Web服务器50是由虚拟设备实现的虚拟资源的情况,然而也可以是物理的安全设备。由此,安全措施无效化防止装置100在通过物理的安全点对保护节点进行保护的情况下,也能够防止安全措施变为无效。
此外,在上述的实施方式中,示出了保护对象的节点仅为Web服务器50的例子,然而保护对象的节点也可以为多个。这种情况下,安全措施无效化防止装置100按照每个保护对象的节点,将保护该节点的安全点信息、安全措施功能信息和安全事件信息存储在安全信息存储部140中进行管理。由此,安全措施无效化防止装置100在保护对象的节点为多个的情况下也能够防止安全措施变为无效,因此可维持安全级别。
[实施方式的效果]
如上,实施方式的安全措施无效化防止装置100具有:取得部135,其取得与具备进行连接于网络的Web服务器50的安全措施的安全措施功能的安全点中的安全措施功能被无效化的无效化安全点有关的无效化安全点信息;判定部136,其根据由取得部135取得的无效化安全点信息,判定是否存在无效化安全点的安全措施功能所应对的安全事件;提取部137,其在由判定部136判断为存在安全事件的情况下,提取可转移无效化安全点的安全措施功能的安全点;以及输出部138,其将由提取部137提取的安全点作为转移候选的安全点输出。
此外,实施方式的安全措施无效化防止装置100还具有安全信息存储部140,该安全信息存储部140存储与具备进行Web服务器50的安全措施的安全措施功能的安全点有关的安全点信息、与安全点具备的安全措施功能有关的安全措施功能信息、以及与安全措施功能所应对的安全事件有关的安全事件信息。此外,在实施方式的安全措施无效化防止装置100中,判定部136根据由取得部135取得的无效化安全点信息、以及在安全信息存储部140中存储的安全点信息、安全措施功能信息和安全事件信息,判定是否存在无效化安全点的安全措施功能所应对的安全事件。
此外,在实施方式的安全措施无效化防止装置100中,安全信息存储部140作为安全点信息存储与具备在连接有Web服务器50的网络路径上进行Web服务器50的安全措施的安全措施功能的安全点有关的信息,并作为安全事件信息存储与安全措施功能所应对的网络攻击有关的信息。
此外,在实施方式的安全措施无效化防止装置100中,判定部136参照在安全信息存储部140中存储的安全事件信息中的与无效化安全点的安全措施功能对应的安全事件信息,按照每个安全措施功能判定是否存在无效化安全点的安全措施功能所应对的安全事件。此外,在实施方式的安全措施无效化防止装置100中,提取部137在由判定部136判定为至少存在1个安全事件的情况下,按照每个安全事件提取无效化安全点以外的安全点中的可转移无效化安全点的应对功能的安全点。此外,在实施方式的安全措施无效化防止装置100中,输出部138将由提取部137按照每个安全事件提取的安全点作为转移候选的安全点输出。
此外,在实施方式的安全措施无效化防止装置100中,提取部137作为可转移的安全点,提取位于连接有Web服务器50的网络路径上的安全点中的可转移无效化安全点的安全措施功能的安全点。
由此,实施方式的安全措施无效化防止装置100输出与可转移被无效化的安全点的安全措施功能所应对的安全事件的安全点有关的信息。由此,安全措施无效化防止装置100能够通过其他的安全点来应对被无效化的安全点的安全措施功能所应对的安全事件,因此可避免基于安全措施的既存的安全效果变为无效。例如,安全措施无效化防止装置100根据与可转移的安全点有关的信息能够使外部系统进行安全点的设定,因此即使发生无效化安全点也能够维持安全级别。
此外,在实施方式的安全措施无效化防止装置100中,提取部137提取可转移无效化安全点的安全措施功能的安全点中的与攻击Web服务器50的攻击源最近的安全点。
由此,实施方式的安全措施无效化防止装置100能够提取可转移的多个安全点中的安全事件的应对最有效的安全点,因此可提高无效化安全点的转移效果。
[其他实施方式]
此外,在上述实施方式中,安全措施无效化防止装置100在提取出作为转移候选的安全点后,输出与作为转移候选的安全点有关的转移信息141。此后,在上述实施方式中,说明了根据由安全措施无效化防止装置100输出的转移信息141而由外部系统执行变更安全点的设定的操作,由此进行转移处理的情况,然而本发明不限于此。例如,安全措施无效化防止装置还可以在提取作为转移候选的安全点后,自动转移到所提取的安全点。
于是,以下,作为其他的实施方式,说明在安全措施无效化防止装置100A提取了作为转移候选的安全点后,自动转移到被提取的安全点的情况。另外,对于与上述的实施方式同样的结构和处理省略说明。
图11是表示其他的实施方式的安全措施无效化防止装置的结构的图。如图11所示,其他实施方式的安全措施无效化防止装置100A相比图2的安全措施无效化防止装置100不同之处在于不具有输出部138而具有转移部139。
转移部139进行转移,使得可由提取部137提取的安全点应对无效化安全点的安全措施功能所应对的安全事件。具体而言,转移部139在由提取部137提取出安全点时,进行转移,使得可由所提取的安全点应对被无效化的安全点的安全措施功能所应对的安全事件。
例如,在转移处理时,安全措施无效化防止装置100A执行变更所提取的安全点的设定的操作。关于这一点,使用前述的图7和图9的例子进行说明。如图7所例示的那样,例如,安全措施无效化防止装置100A作为可转移的安全点,提取具备与无效化安全点“vIPS”的安全措施功能“L3切断”和“L4切断”相同的功能的安全点“vFW”。
这种情况下,如图9例示的那样,安全措施无效化防止装置100A进行转移处理,除了使vFW10的安全措施功能“L3切断”能够应对安全事件“事件e1”之外,还能够应对被无效化的vIPS15的安全措施功能“L3切断”以往所应对的安全事件“事件e2”。因此,安全措施无效化防止装置100A除了使vFW10的L3切断功能保存安全事件e1的SrcIP“A”和DstIP“Web-1”之外,还使其保存安全事件e2的SrcIP“B”和DstIP“Web-1”。
此外,安全措施无效化防止装置100A进行转移处理,使得vFW10的安全措施功能“L4切断”能够应对被无效化的vIPS15的安全措施功能“L4切断”以往所应对的安全事件“事件e3”。因此,安全措施无效化防止装置100A使vFW10的L4切断功能保存安全事件e3的SrcIP“C”、DstIP“Web-1”和DstPort“a”。
另外,安全措施无效化防止装置100A在存在多个可转移无效化安全点的安全措施功能的安全点的情况下,如前所述,可以根据各种的选定基准来提取可转移的安全点。例如,安全措施无效化防止装置100A的提取部137提取可转移无效化安全点的安全措施功能的安全点中的与攻击Web服务器50的攻击源最近的安全点。这种情况下,安全措施无效化防止装置100A的转移部139控制为转移到与攻击源最近的安全点。
这样,其他实施方式的安全措施无效化防止装置100A转移为使得可在由提取部137提取的安全点应对无效化安全点的安全措施功能所应对的安全事件,因此能够使被无效化的安全点的安全措施功能所应对的安全事件自动转移到其他的安全点进行应对。
以上,说明了本发明的若干实施方式,然而这些实施方式是作为示例而提示的,并非用于限定发明的范围。这些实施方式可通过其他的各种方式加以实施,可以在不脱离发明主旨的范围内进行各种省略、置换、变更。这些实施方式及其变形包含于发明的范围和主旨,并且同样包含于权利要求书所述的发明及其均等的范围内。
在上述的实施方式中图示出的各装置的各结构要素为功能概念的内容,并不要求在物理上一定与图示出的结构要素相同。即,各装置的分散、统合的具体方式(例如,图2的方式)不限于图示的内容,可以将其全部或一部分根据各种的负荷或使用状况等以任意的单位在功能或物理上分散、统合地构成。例如,可以将判定部136和提取部137统合为一个部分,另一方面,还可以将取得部135分散为取得无效化安全点信息的取得部和取得安全点信息的取得部。
此外,通过各装置实现的各处理功能的全部或任意的一部分可由CPU和通过该CPU解析执行的程序来实现,或者可作为基于布线逻辑的硬件实现。
此外,还可以手动进行在上述实施方式中说明的各处理中的说明为自动进行的处理的全部或一部分。或者,还可以通过公知的方法来自动进行说明为手动进行的处理的全部或一部分。
[程序]
此外,还可以制作通过计算机可执行的语言记述由上述实施方式的安全措施无效化防止装置100、100A执行的处理的程序。这种情况下,计算机执行程序,由此可获得与上述实施方式同样的效果。进而,将该程序记录于计算机可读取的记录介质中,使计算机读入在该记录介质中记录的程序并执行,由此也可以实现与上述实施方式同样的处理。以下,说明执行实现与安全措施无效化防止装置100、100A同样的功能的安全措施无效化防止程序的计算机的一例。
图12是表示执行安全措施无效化防止程序的计算机的图。如图12所示,计算机1000例如具有存储器1010、CPU1020、硬盘驱动器接口1030、磁盘驱动器接口1040、串行端口接口1050、视频适配器1060和网络接口1070。这些各部通过总线1080而连接起来。
存储器1010包括ROM(Read Only Memory:只读存储器)1011和RAM1012。ROM1011例如存储BIOS(Basic Input Output System:基本输入输出系统)等的BOOT程序。硬盘驱动器接口1030与硬盘驱动器1090连接。磁盘驱动器接口1040与磁盘驱动器1041连接。磁盘驱动器1041例如供磁盘或光盘等的可装卸的存储介质插入。串行端口接口1050例如供鼠标1110和键盘1120连接。视频适配器1060例如供显示器1130连接。
这里,如图12所示,硬盘驱动器1090例如存储OS1091、应用程序1092、程序模块1093和程序数据1094。在上述实施方式中说明的各表例如被存储于硬盘驱动器1090或存储器1010。
此外,安全措施无效化防止程序例如作为记述有由计算机1000执行的指令的程序模块而被存储于硬盘驱动器1090。具体而言,记述有由上述实施方式所说明的安全措施无效化防止装置100、100A执行的各处理的程序模块1093被存储于硬盘驱动器1090。
此外,用于安全措施无效化防止程序的信息处理中的数据作为程序数据例如被存储于硬盘驱动器1090。并且,CPU1020根据需要将在硬盘驱动器1090中存储的程序模块1093或程序数据1094读出到RAM1012,执行上述各步骤。
另外,安全措施无效化防止程序的程序模块1093或程序数据1094不限于被存储于硬盘驱动器1090的情况,例如还可以被存储于可装卸的存储介质,通过磁盘驱动器1041等由CPU1020读出。或者,安全措施无效化防止程序的程序模块1093或程序数据1094还可以存储于通过LAN或WAN(Wide Area Network:广域网)等的网络连接的其他计算机,通过网络接口1070由CPU1020读出。
标号说明
1 安全措施无效化防止系统
100,100A 安全措施无效化防止装置
135 取得部
136 判定部
137 提取部
138 输出部
139 转移部
140 安全信息存储部
Claims (14)
1.一种安全措施无效化防止装置,其特征在于,具有:
取得部,其取得与无效化安全点有关的无效化安全点信息,该无效化安全点是具备应对功能的安全点中的应对功能被无效化的安全点,该应对功能是进行与网络连接的节点的安全措施的功能;
判定部,其根据所述取得部取得的无效化安全点信息,对是否存在所述无效化安全点的应对功能所应对的安全事件进行判定;以及
提取部,其在由所述判定部判定为存在安全事件的情况下,提取可转移所述无效化安全点的应对功能的安全点。
2.根据权利要求1所述的安全措施无效化防止装置,其特征在于,
该安全措施无效化防止装置还具有输出部,该输出部将所述提取部提取出的安全点作为转移候选的安全点进行输出。
3.根据权利要求1所述的安全措施无效化防止装置,其特征在于,
该安全措施无效化防止装置还具有转移部,该转移部对所述无效化安全点的安全措施功能所应对的安全事件进行转移,使得可由所述提取部提取出的安全点进行应对。
4.根据权利要求1所述的安全措施无效化防止装置,其特征在于,
该安全措施无效化防止装置还具有存储部,该存储部存储安全点信息、应对功能信息以及事件信息,其中,该安全点信息与具备应对功能的安全点有关,该应对功能是进行所述节点的安全措施的功能,该应对功能信息与该安全点具备的应对功能有关,该事件信息与该应对功能所应对的安全事件有关,
所述判定部根据所述取得部取得的无效化安全点信息、在所述存储部中存储的安全点信息、应对功能信息以及事件信息,判定是否存在所述无效化安全点的应对功能所应对的安全事件。
5.根据权利要求4所述的安全措施无效化防止装置,其特征在于,
所述存储部存储:
作为所述安全点信息,与具备在所述节点连接的网络路径上进行该节点的安全措施的应对功能的安全点有关的信息;以及
作为所述事件信息,与所述应对功能所应对的网络攻击有关的信息。
6.根据权利要求4所述的安全措施无效化防止装置,其特征在于,
所述判定部参照所述存储部中存储的事件信息中的与该无效化安全点的应对功能对应的事件信息,按照每个应对功能判定是否存在所述无效化安全点的应对功能所应对的安全事件,
在由所述判定部判定为至少存在1个安全事件的情况下,所述提取部按照每个安全事件提取所述无效化安全点以外的安全点中的可转移所述无效化安全点的应对功能的安全点。
7.根据权利要求1所述的安全措施无效化防止装置,其特征在于,
所述提取部作为所述可转移的安全点,提取位于所述节点连接的网络路径上的安全点中的可转移所述无效化安全点的应对功能的安全点。
8.根据权利要求1所述的安全措施无效化防止装置,其特征在于,
所述提取部提取可转移所述无效化安全点的应对功能的安全点中的与攻击所述节点的攻击源最近的安全点。
9.一种由安全措施无效化防止装置执行的安全措施无效化防止方法,其特征在于,包括:
取得工序,取得与无效化安全点有关的无效化安全点信息,该无效化安全点是具备应对功能的安全点中的应对功能被无效化的安全点,该应对功能是进行与网络连接的节点的安全措施的功能;
判定工序,根据通过所述取得工序取得的无效化安全点信息,对是否存在所述无效化安全点的应对功能所应对的安全事件进行判定;以及
提取工序,在通过所述判定工序判定为存在安全事件的情况下,提取可转移所述无效化安全点的应对功能的安全点。
10.根据权利要求9所述的安全措施无效化防止方法,其特征在于,
该安全措施无效化防止方法还包括输出工序,在该输出工序中,将通过所述提取工序提取的安全点作为转移候选的安全点进行输出。
11.根据权利要求9所述的安全措施无效化防止方法,其特征在于,
该安全措施无效化防止方法还包括转移工序,在该转移工序中,对所述无效化安全点的安全措施功能所应对的安全事件进行转移,使得可由通过所述提取工序提取的安全点进行应对。
12.一种安全措施无效化防止程序,其用于使计算机执行如下步骤:
取得步骤,取得与无效化安全点有关的无效化安全点信息,该无效化安全点是具备应对功能的安全点中的应对功能被无效化的安全点,该应对功能是进行与网络连接的节点的安全措施的功能;
判定步骤,根据通过所述取得步骤取得的无效化安全点信息,对是否存在所述无效化安全点的应对功能所应对的安全事件进行判定;以及
提取步骤,在通过所述判定步骤判定为存在安全事件的情况下,提取可转移所述无效化安全点的应对功能的安全点。
13.根据权利要求12所述的安全措施无效化防止程序,其特征在于,
该安全措施无效化防止程序还执行输出步骤,在该输出步骤中,将通过所述提取步骤提取的安全点作为转移候选的安全点进行输出。
14.根据权利要求12所述的安全措施无效化防止程序,其特征在于,
该安全措施无效化防止程序还具有转移步骤,在该转移步骤中,对所述无效化安全点的安全措施功能所应对的安全事件进行转移,使得可由通过所述提取步骤提取的安全点进行应对。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015042377 | 2015-03-04 | ||
JP2015-042377 | 2015-03-04 | ||
PCT/JP2016/056108 WO2016140198A1 (ja) | 2015-03-04 | 2016-02-29 | セキュリティ対処無効化防止装置、セキュリティ対処無効化防止方法およびセキュリティ対処無効化防止プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107430665A true CN107430665A (zh) | 2017-12-01 |
CN107430665B CN107430665B (zh) | 2021-08-10 |
Family
ID=56848311
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201680013029.0A Active CN107430665B (zh) | 2015-03-04 | 2016-02-29 | 安全措施无效化防止装置、安全措施无效化防止方法和记录介质 |
Country Status (6)
Country | Link |
---|---|
US (1) | US11050776B2 (zh) |
EP (1) | EP3252648B1 (zh) |
JP (1) | JP6348655B2 (zh) |
CN (1) | CN107430665B (zh) |
AU (2) | AU2016226956B2 (zh) |
WO (1) | WO2016140198A1 (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10922417B2 (en) | 2015-09-15 | 2021-02-16 | Nec Corporation | Information processing apparatus, information processing method, and program |
WO2018134865A1 (ja) * | 2017-01-17 | 2018-07-26 | 株式会社日立製作所 | 情報管理システム |
WO2021019637A1 (ja) * | 2019-07-29 | 2021-02-04 | オムロン株式会社 | セキュリティ装置、サーバ装置、セキュリティシステム、及びセキュリティ機能設定方法 |
JP2023075526A (ja) * | 2021-11-19 | 2023-05-31 | 株式会社日立製作所 | 通信管理装置および方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050108568A1 (en) * | 2003-11-14 | 2005-05-19 | Enterasys Networks, Inc. | Distributed intrusion response system |
US20070061876A1 (en) * | 2005-09-14 | 2007-03-15 | Sbc Knowledge Ventures, L.P. | System and method for reducing data stream interruption during failure of a firewall device |
CN101360053A (zh) * | 2008-09-08 | 2009-02-04 | 华南理工大学 | 基于信息熵的路由干扰影响度量方法 |
US20120023546A1 (en) * | 2010-07-22 | 2012-01-26 | Juniper Networks, Inc. | Domain-based security policies |
US20150033285A1 (en) * | 2011-10-24 | 2015-01-29 | International Business Machines Corporation | Non-intrusive method and apparatus for automatically dispatching security rules in cloud environment |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6957348B1 (en) * | 2000-01-10 | 2005-10-18 | Ncircle Network Security, Inc. | Interoperability of vulnerability and intrusion detection systems |
US9525696B2 (en) * | 2000-09-25 | 2016-12-20 | Blue Coat Systems, Inc. | Systems and methods for processing data flows |
KR20080032114A (ko) * | 2005-06-23 | 2008-04-14 | 엑스디에스, 인코포레이티드 | 이동 장치의 네트워크 어드레스 변경을 위한 방법 및 장치 |
US8572735B2 (en) | 2007-03-29 | 2013-10-29 | George Mason Research Foundation, Inc. | Attack resistant continuous network service trustworthiness controller |
JP4469910B1 (ja) * | 2008-12-24 | 2010-06-02 | 株式会社東芝 | セキュリティ対策機能評価プログラム |
GB2474545B (en) * | 2009-09-24 | 2015-06-24 | Fisher Rosemount Systems Inc | Integrated unified threat management for a process control system |
JP2012208863A (ja) * | 2011-03-30 | 2012-10-25 | Hitachi Ltd | 脆弱性判定システム、脆弱性判定方法、および、脆弱性判定プログラム |
US10003525B2 (en) * | 2014-11-14 | 2018-06-19 | Fisher-Rosemount Systems, Inc. | Methods and apparatus to provide redundancy in a process control system |
-
2016
- 2016-02-29 EP EP16758891.2A patent/EP3252648B1/en active Active
- 2016-02-29 CN CN201680013029.0A patent/CN107430665B/zh active Active
- 2016-02-29 WO PCT/JP2016/056108 patent/WO2016140198A1/ja active Application Filing
- 2016-02-29 US US15/554,380 patent/US11050776B2/en active Active
- 2016-02-29 JP JP2017503649A patent/JP6348655B2/ja active Active
- 2016-02-29 AU AU2016226956A patent/AU2016226956B2/en not_active Expired - Fee Related
-
2019
- 2019-05-16 AU AU2019203446A patent/AU2019203446B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050108568A1 (en) * | 2003-11-14 | 2005-05-19 | Enterasys Networks, Inc. | Distributed intrusion response system |
US20070061876A1 (en) * | 2005-09-14 | 2007-03-15 | Sbc Knowledge Ventures, L.P. | System and method for reducing data stream interruption during failure of a firewall device |
CN101360053A (zh) * | 2008-09-08 | 2009-02-04 | 华南理工大学 | 基于信息熵的路由干扰影响度量方法 |
US20120023546A1 (en) * | 2010-07-22 | 2012-01-26 | Juniper Networks, Inc. | Domain-based security policies |
US20150033285A1 (en) * | 2011-10-24 | 2015-01-29 | International Business Machines Corporation | Non-intrusive method and apparatus for automatically dispatching security rules in cloud environment |
Also Published As
Publication number | Publication date |
---|---|
WO2016140198A1 (ja) | 2016-09-09 |
CN107430665B (zh) | 2021-08-10 |
AU2019203446B2 (en) | 2021-04-08 |
JP6348655B2 (ja) | 2018-06-27 |
AU2016226956A1 (en) | 2017-09-07 |
EP3252648B1 (en) | 2021-09-22 |
EP3252648A1 (en) | 2017-12-06 |
EP3252648A4 (en) | 2018-09-05 |
US20180041535A1 (en) | 2018-02-08 |
AU2016226956B2 (en) | 2019-04-18 |
JPWO2016140198A1 (ja) | 2017-07-27 |
US11050776B2 (en) | 2021-06-29 |
AU2019203446A1 (en) | 2019-06-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112769821B (zh) | 一种基于威胁情报和att&ck的威胁响应方法及装置 | |
CN107430665A (zh) | 安全措施无效化防止装置、安全措施无效化防止方法和安全措施无效化防止程序 | |
CN112073411B (zh) | 一种网络安全推演方法、装置、设备及存储介质 | |
EP3660713B1 (en) | Securing privileged virtualized execution instances | |
JP6101408B2 (ja) | イベント相関グラフを使用してコンピューティングシステムに対する攻撃を検出するためのシステム及び方法 | |
KR102309116B1 (ko) | 데이터 플로우 기반 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 | |
US20210200870A1 (en) | Performing threat detection by synergistically combining results of static file analysis and behavior analysis | |
CN113169975A (zh) | 用于网络微分段和纳分段的安全规则的自动生成 | |
CN105493060A (zh) | 蜜端主动网络安全 | |
US11461467B2 (en) | Detecting and mitigating malicious software code embedded in image files using machine learning techniques | |
CN104994094B (zh) | 基于虚拟交换机的虚拟化平台安全防护方法、装置和系统 | |
US20220159014A1 (en) | Mitigating malware impact by utilizing sandbox insights | |
CN103995705B (zh) | 一种操作系统地址空间随机化分配系统及方法 | |
CN110336835A (zh) | 恶意行为的检测方法、用户设备、存储介质及装置 | |
CN104217163A (zh) | 一种检测结构化异常处理攻击的方法及装置 | |
JP7028559B2 (ja) | 攻撃検知システム、攻撃検知方法および攻撃検知プログラム | |
Shaheed et al. | Web application firewall using machine learning and features engineering | |
US9519780B1 (en) | Systems and methods for identifying malware | |
CN103970574B (zh) | office程序的运行方法及装置、计算机系统 | |
TWI711939B (zh) | 用於惡意程式碼檢測之系統及方法 | |
CN104994100B (zh) | 海底观测网数据上岸分发与安全保护方法 | |
CN109450892A (zh) | 一种计算机网络检测方法 | |
CN110505189A (zh) | 终端安全代理突破的识别方法、识别设备及存储介质 | |
CN116506216B (zh) | 一种轻量化恶意流量检测存证方法、装置、设备及介质 | |
CN116886423B (zh) | 一种服务器安全异常检测方法、系统、存储介质及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |