JP2004302538A - ネットワークセキュリティシステム及びネットワークセキュリティ管理方法 - Google Patents

ネットワークセキュリティシステム及びネットワークセキュリティ管理方法 Download PDF

Info

Publication number
JP2004302538A
JP2004302538A JP2003091481A JP2003091481A JP2004302538A JP 2004302538 A JP2004302538 A JP 2004302538A JP 2003091481 A JP2003091481 A JP 2003091481A JP 2003091481 A JP2003091481 A JP 2003091481A JP 2004302538 A JP2004302538 A JP 2004302538A
Authority
JP
Japan
Prior art keywords
network
data
firewall
terminal
virtual test
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003091481A
Other languages
English (en)
Other versions
JP4581104B2 (ja
Inventor
Masao Koden
政男 向殿
Motoyoshi Inayoshi
基悦 稲吉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Meiji University
Original Assignee
Meiji University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Meiji University filed Critical Meiji University
Priority to JP2003091481A priority Critical patent/JP4581104B2/ja
Publication of JP2004302538A publication Critical patent/JP2004302538A/ja
Application granted granted Critical
Publication of JP4581104B2 publication Critical patent/JP4581104B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Abstract

【課題】ネットワークシステムに対する未知の攻撃に有効に対処する。
【解決手段】外部ネットワーク1と防御対象ネットワーク2間を伝送するデータを監視するファイアウォール手段3を備え、ファイアウォール手段3に、いずれのネットワークにも属さない仮想試験端末4を接続し、ファイアウォール手段が、振分ルールに基づいてデータを防御対象ネットワーク2内の所定の端末21あるいは仮想試験端末4に振り分けて転送するデータ振分機能と、仮想試験端末からの実行済データを端末21に転送する実行済データ転送機能と、を備え、仮想試験端末4が、転送されたデータを実行する仮実行機能と、仮実行されたデータのうち正常に実行されたと判断されたデータをファイアウォール手段3に返送する正常実行データ返送機能と、を備えた。
【選択図】 図1

Description

【0001】
【発明の属する技術分野】
本発明は、ネットワークセキュリティシステムにかかり、特に、外部ネットワークから防御対象ネットワークへの不正なデータのアクセスを抑制するネットワークセキュリティシステムに関する。また、ネットワークセキュリティ管理方法に関する。
【0002】
【従来の技術】
近年、インターネットが急速に普及し、我々の生活環境として欠くことのできない存在になっている。そして、その利用は様々な分野にて行われ、例えば、電子メールのやり取り、ウェブサイトを開設することによる情報の提供、さらには、ネットワーク上のウェブサーバを用いてオンラインショップサイトを開設して当該サイトにて商品を販売するといったオンラインショッピング、なども普及している。このように、我々の生活に欠かせない存在となっていることと、オンラインショッピングの際にはクレジットカード番号の送受信などもネットワークを介して行うため、情報通信ネットワークのセキュリティ管理は非常に重要な位置付けとなっている。
【0003】
また、ネットワーク上のコンピュータに対する他人へのなりすましや、サーバ内のデータの改竄などの不正アクセスや、サーバの機能を無力化させる攻撃、さらには、悪質なコンピュータウイルスのばらまきなど、種々の不正行為による被害が絶えない。特に、近年では、ADSLやCATVネットワークを経由してインターネットに常時接続される環境が充実してきているから、一般ユーザの端末でさえもネットワーク上に接続された状態になっているケースが目立ち、かかる一般ユーザはセキュリティに関する注意力が低いため、不正行為の標的となってしまう可能性が高い。
【0004】
従って、上述したような不正行為に対する防御策として、種々のセキュリティシステムが開発されている。
【0005】
ネットワークセキュリティ技術の一つとして、ファイアウォール技術がある。ファイアウォールは、インターネットなどの信頼できないネットワークからの攻撃や、不正アクセスから組織内部のネットワーク(防御対象ネットワーク)を保護するためのシステムである。ファイアウォールの目的としては、必要な通信のみを通過させ、不要な通信を遮断することであり、通常内部のネットワークから外部はアクセスできるが、外部から内部(防御対象)のネットワークにアクセスができないような制御が一般的である。
【0006】
具体的な実現方式として、パケットレベルでアプリケーションの使用するポートを制御するパケットフィルタリング、およびアプリケーション(プロキシによる代理応答)で内外のネットワークを通信するアプリケーションゲートウェイ方式がある。まず、パケットフィルタリングについて、図11(a)のブロック図を参照して説明する。
【0007】
図11(a)に示すように、パケットフィルタリングを用いたファイアウォールの構築においては、外部ネットワークNo(インターネット)、内部ネットワークNi(LAN内)の各出入口に、ルータR101,R102をそれぞれ備える。そして、各ルータR101,R102間に、WWWサーバD101やメールサーバD102などの各サーバD103,D104などからなる非武装地帯D100(DeMilitarized Zone:以下、DMZと言う)が、上記外部、内部ネットワークから分離された状態で備えられている。ここで、DMZ(D100)では、上述したサーバの他、インターネット上で公開されるサービスと外部ネットワークと外部ネットワークが通信する際に使用されるプロキシサーバD104などが運用される。パケットフィルタリングではこれらのネットワークへのアクセスをルータのフィルタリング機能を用いて制限することでファイアウォール機能を提供する。
【0008】
ここで、外部ネットワークNoと接続されたルータR101(外部接続ルータ)は、DMZ以外へのアクセスを目的としたパケットを破棄する。当然、外部ネットワークと内部ネットワークが通信する際には直接通信することはできないので内部ネットワークの安全が確保される。また、同様に内部ネットワークNiと接続されたルータR102(内部接続ルータ)は、DMZ以外からのパケットを破棄する。そして、外部ネットワークNoはDMZで公開されているサービスにのみアクセスできるようになっているため、外部ネットワーク上の端末では、内部ネットワークにアクセスすることが困難となる。
【0009】
逆に、内部ネットワークNiと接続されたルータR102は、DMZ以外へのアクセスを目的としたパケットを破棄する。内部ネットワークNiが外部ネットワークNoのサーバなどにアクセスしたい場合には、DMZ(D100)内のプロキシサーバD104を経由する必要がある。プロキシサーバでは外部ネットワークへのアクセス要求があった場合に送信元IPと宛先IPを保持して、外部ネットワークと代理で通信を行う。この際ルータR101ではDMZ以外からのパケットは破棄する。なお、内部ネットワークNiは、DMZにはアクセス可能である。
【0010】
次に、アプリケーションゲートウェイ方式を説明する。ファイアウォールにおけるゲートウェイとは、内部ネットワークNiのホストから特定のアプリケーションを外部と接続させるために用いられるものである。しかし、結果的にはフィルタリングと同じ効用を示している。つまり、外部ネットワークNoから内部ネットワークNiのホストへ直接アクセスすることはできない。このとき、内部ネットワークNiから外部ネットワークNoへの接続にアプリケーションゲートウェイ(プロキシ)を用いるが、認められたサービスやホスト以外の利用を認めない、という制御が可能である。
【0011】
そして、パケットフィルタリングがネットワーク層とトランスポート層によってパケットを管理するのに対して、アプリケーションゲートウェイを用いる方法ではさらに上位のアプリケーションレベルでの監視が可能であり、ルータで行ってきたパケットフィルタリングのみでは得られない高度なファイアウォールの構築が可能である。アプリケーションゲートウェイの機能としては、各層のプロトコルにおけるパケットの通過制限、プロキシサーバ機能、アクセスログ収集機能、キャッシュ機能などがある。
【0012】
アプリケーションゲートウェイ方式にてセキュリティシステムを構築した例を、図11(b)に示す。なお、この図に示すファイアウォールFW100は、図11(a)に示す外部接続ルータR101と内部接続ルータR102とをまとめて図示したものである。そして、矢印にてデータの流れを示すが、まず、矢印A101に示すように、外部ネットワークNoからのデータを、所定のルールに則って送信されたデータのみをDMZ(D100)に通過させる。例えば、HTTPやSMTPなどの所定のプロトコルに則ったデータである。そして、これらのデータは、DMZ(D100)から再度ファイアウォールFW100を経て、内部ネットワークNiである社内ネットワーク内に伝送される(矢印A102,A103)。
【0013】
このとき、DMZ(D100)内の各サーバD111〜D113に対応して、内部(社内)ネットワークNiには各サーバや端末Ni101〜106が備えられていて、それぞれのサーバや端末が取り扱うプロトコルに則ったデータのみが伝送されることとなる(矢印A104参照)。また、上記データの流れとは逆に、社内ネットワークNiの社内メールサーバなどからは、ファイアウォール、メール中継サーバ、再度ファイアウォールを介して、インターネットNo上に伝送される(矢印A102,A105参照)。以上のことから、インターネットNoからファイアウォールFW100に登録されていないプロトコルによるデータは、社内ネットワークNiに伝送されることはなく(矢印A106参照)、不正アクセスなどを抑制することができる。逆に、社内ネットワークNiからのHTTPプロトコルなどによるデータは、ファイアウォールFW100を通過して、インターネットNo上に伝送される(矢印A107参照)。
【0014】
また、ファイアウォール技術の他にセキュリティシステムとして、不正アクセス監視システム、あるいは、侵入検知システム(以下、IDS(Intrusion Detection System)と呼ぶ)が開発されている。これは、ネットワークを流れるパケットを監視して、不正アクセスと思われるパケットを発見したときにアラームを表示するとともに、当該通信記録を収集し保存するとう仕組みのものである。なお、ツールによっては、アラームを表示すると同時に当該セッションを切断したり、ファイアウォールやルータのルールを変更するなどの機能を持っている。IDSのタイプには、ネットワーク型監視(ネットワーク上のパケットを監視)とホスト型監視(ホストサーバのI/Oパケットを監視)がある。
【0015】
IDSの基本的な構成を、図12(a)を参照して説明する。まず、IDSとなる機器H100は、は外部ネットワークNoと内部ネットワークNiとの間に備えられており、外部ネットワークNoから伝送されたパケットP100を監視する。例えば、送信元受信先IPアドレスを監視して、あらかじめ記憶部に記憶しておいた不正データのルールベースH101と照合し、当該ルールと一致しない場合には、内部ネットワークNiにパケットP100を通過させる。一方、一致する場合には、不正アクセスとして、ログ記録を取ったり(符号H102参照)、管理者に通知したり(符号H103参照)、セッションの切断、さらには、オペレータによるルールの変更を行う。
【0016】
そして、IDSの具体的な使用例を図12(b)に示す。この図に示すネットワークシステムでは、上述同様にルータR101,R102からなるファイアウォールFW100に加えて、その間のDMZ(D100)内を監視するネットワーク型IDS(H110)を備えている。また、DMZ(D100)内の各サーバに、ホスト型IDS(H111〜H113)をも備えている。このようにすることで、まず、ファイアウォールFW100によって認可された送信元受信先IPアドレス、ポート番号、許可プロトコルの制限を行い、DMZ(D100)内を流れるパケットをある程度絞り込む。そして、DMZ(D100)内を流れるパケットをネットワーク型IDS(H110)で監視すると共に、ホスト型IDS(H111〜H113)では、DMZ上の各端末(サーバ)を直接監視している。これは攻撃対象となりやすくセキュリティ的にも比較的開放されているDMZ上の各種サーバを重点的に監視し、不正侵入によって受けた被害に迅速に対応するためである。このセキュリティモデルにより、それぞれのセキュリティシステムを単体で利用するよりも遥に高いセキュリティ強度が保証される。
【0017】
さらに、上述したネットワークセキュリティに関するシステム以外にも、非特許文献1に示すネットワークダイナミックディフェンス手法が開示されている。この非特許文献1に示すシステムは、図13に示すように、A−IDS(Autonomous Intrusion Detection System:自律的侵入検知システム)と呼ばれ、防御したいネットワーク内(DMZ(D100))の全ての端末H120〜H123が別の端末によって監視される相互監視形態をとるのが特徴である。そのため端末が如何なる攻撃を受けても、攻撃を受けていない別の端末で侵入の検知と対応を管理者の介入なしに自律的に行うことが可能である。
【0018】
具体的には、各端末はA−IDS監視ネットワークのトポロジに従って監視対象の端末とデータ交換を行い、監視対象の端末が正常に動作しているか、すなわち不正侵入を受けていないかを監視する。そのため従来のIDSとは異なり、A−IDSは端末が停止状態に追いやられても検知が可能である。A−IDSは監視しているA−IDSに対して定期的に生存確認信号(SYN)を送信する。生存確認信号を受信したA−IDSは即座に生存応答信号(ACK)を返信する。もし、一定時間内に生存応答信号が戻ってこなければ、監視先の端末が致命的な攻撃によって停止状態に追い込まれたということである。この際A−IDS監視ネットワークを自律的に再構築という動作を行う。
【0019】
【非特許文献1】
柳川小次郎,稲吉基悦,向殿政男,自律分散概念に基づく不正侵入検知システム,第12回インテリジェント・システム・シンポジウム,pp.345−348,2002
【0020】
【発明が解決しようとする課題】
しかしながら、上述した各従来技術によるセキュリティシステムであっても、以下のような不都合が生じる。
【0021】
まず、上述したファイアウォールは、外部ネットワークNoと内部ネットワークNiとの間の通信を制御するシステムであり、外部からの不正アクセスを遮断することが可能であるが、ごく簡単なルールを設けて通信の許可、不許可を決めているので、このルールの想定外のアクセスを制限することは難しいことではない。従って未知の手法による侵入の試みに対しては何の対策もなされていないとも考えられる。
【0022】
例えば、ファイアウォールのパケットフィルタリングでは、パケットのヘッダ部分を解析する。ここには、そのパケットの通信元と通信先のIPアドレス、ポート番号が示されているため、あらかじめ特定の通信元、通信先のIPアドレス、ポート番号のパケットについてルールを設定し、これとのマッチングによりパケットの通過、非通過を決定している。すると、かかる場合には、パケットの内容にはまったく関知していないこととなる。このような場合、一般向けに公開しているウェブサーバへのIPアドレスと正しいポート番号(通常80)に向けてアクセスがあった場合、そのパケットの内容に関わらず通信は許可されてしまう。そのためウェブサーバへのリクエスト内容が不適切な攻撃を防ぐことはできない、という問題が生じる。
【0023】
一方で、アプリケーションゲートウェイではパケットの中身を検査するので、内部ネットワークと外部ネットワークをつなぐ場所にあるファイアウォールを通過するデータ量は膨大であり、処理負荷が非常に大きく、処理の遅延により通信速度の低下という問題が生じる。さらには、内部ネットワークNiからの不正利用やHTTP,SMTPといったファイアウォールで許可されたプロトコルに付随したウイルスについても、ファイアウォールでは防ぐことができない、という問題が生じる。
【0024】
また、IDSについて言えば、ルール記述の複雑さ、煩わしさが問題点として挙げられる。セキュリティの強化を行うにはファイアウォール同様にルールの追加、変更を行わなければならない。すなわち、IDSのルールは、デフォルト許可スタンスで記述されているため新種の攻撃が発見されるたびに管理者が手動でルール追加、変更を行わなければならず、ファイアウォールと比較してこれらの作業は多大な負担をもたらす。同時に過去の実績(パターンマッチ)をもとに判断しているため、未知の攻撃に対しては無力であるという問題が生じる。そして、仮に未知の攻撃によってシステムが攻撃されるような事態が発生しても、発見から防御までのタイムラグが発生する。
【0025】
さらに、IDSではネットワーク上に存在する多種多様なパケットを扱っているという性質上、不正パケットの誤検出と検出漏れの問題が生じる。ルールの数が増えればそれだけセキュリティ強度が増すが、その分、誤検出も増え、セキュリティ管理者の煩わしさが増大し、その逆ならば検出漏れが増えセキュリティ強度が下がってしまうというトレードオフの問題がある。
【0026】
また、A−IDSでは、新種の攻撃に対するルール追加、変更によるシステム管理者への負担の軽減、新種の攻撃に対する検知から防御対策のタイムラグの短縮、及び致命的な攻撃による通信不能状態でのシステムの自律的な対処、という問題に対するソリューションを提供している。しかし、やはり、A−IDSにおいても、現在のところ不正侵入に対する検知対象が監視端末への致命的な攻撃のみとされている。すなわち、監視端末の停止を伴う攻撃を不正侵入と定義し、それを前提として提案されている。このため情報の改竄や、ウイルスによるシステムダウンを伴わない未知の攻撃(異常検知)には対処できないといった問題がある。これは同時に、A−IDSで検知したということは、実際に不正アクセスが成功した後で既に被害を受けているという事を意味する。また複数の端末が同時にシステムダウンされ、監視元端末と監視先端末が同時に通信不能になるような場合も同様に対処不能である。
【0027】
以上のように、従来例におけるネットワークセキュリティシステムでは、既知の不正データの侵入などに対する不正な攻撃には対応可能であるものの、未知の不正な攻撃に対しては、事後的な対処ができるに留まり、事前の対処が不可能であるという問題が生じる。
【0028】
【発明の目的】
本発明は、上記従来例の有する不都合を改善し、特に、ネットワークシステムに対する未知の攻撃に有効に対処することのできるネットワークセキュリティシステム及びネットワークセキュリティ管理方法を提供すること、をその目的とする。
【0029】
【課題を解決するための手段】
そこで、本発明では、外部ネットワークと防御対象ネットワーク間を伝送するデータを監視するファイアウォール手段を備えたネットワークセキュリティシステムであって、ファイアウォール手段に、前記いずれのネットワークにも属さない仮想試験端末を接続している。そして、ファイアウォール手段が、あらかじめ登録された振分ルールに基づいて外部ネットワークから防御対象ネットワーク内の所定の端末に送信されたデータを当該防御対象ネットワーク内の所定の端末あるいは仮想試験端末に振り分けて転送するデータ振分機能と、仮想試験端末から返送された実行済データを防御対象ネットワーク内の所定の端末に転送する実行済データ転送機能と、を備えている。さらに、仮想試験端末が、ファイアウォール手段から転送されたデータを実行する仮実行機能と、仮実行されたデータのうちあらかじめ設定された基準に基づいて正常に実行されたと判断された実行済データをファイアウォール手段に返送する正常実行データ返送機能と、を備えた、という構成を採っている。
【0030】
このような構成にすることにより、まず、外部ネットワークから防御対象ネットワーク内の所定の端末に送信されたデータが、外部ネットワークと防御対象ネットワークとの間に備えられたファイアウォール手段に受信される。そして、ファイアウォール手段では、送信データの送信先やデータ形式などが抽出され、あらかじめファイアウォール手段に記憶された振分ルールと比較される。比較の結果、防御対象ネットワーク内の端末に送信してよいと判断される場合には、ファイアウォール手段は送信データを防御対象ネットワークに通過させ、そうでない場合には、仮想試験端末に転送する。
【0031】
仮想試験端末では、ファイアウォール手段からの送信データを実行し、あらかじめ記憶されている正常実行であるか否かの基準に適合するか否かを調べる。正常実行であると判断された場合には、当該送信データをファイアウォール手段を介して防御対象ネットワーク内の端末に送信する。一方、正常実行でない場合には、かかる送信データは防御対象ネットワークには送信しないこととなる。
【0032】
従って、あらかじめファイアウォール手段に登録されていない未知の送信データは、仮想試験端末に転送されて当該仮想試験端末にて実行され、正常実行されるものであると判断されたデータのみが防御対象ネットワークに通過されることとなるため、外部からの不正なアクセスを抑制し、未知の攻撃に対する被害を抑制することができ、ネットワークセキュリティの強化を図ることができる。
【0033】
また、上記構成に加え、仮想試験端末が、仮実行機能にて実行したデータに基づいてファイアウォール手段に登録された振分ルールに追加する新たな振分ルールデータを生成すると共に当該データをファイアウォール手段に送信する振分ルール生成機能を備え、ファイアウォール手段が、仮想試験端末から受信した新たな振分ルールデータを既に登録されている振分ルールに新たに登録する振分ルール登録機能を備えた、という構成とすると望ましい。
【0034】
これにより、仮想試験端末では、仮実行の結果、安全であると判断されたデータを識別するルール、あるいは、逆に危険であると判断されたデータを識別するルールが生成されて、かかるルールがファイアウォールに登録されることとなる。すると、次回からは、ファイアウォール手段にて、通過を許可するルールに登録されたデータは仮想試験端末にて仮実行されることなく防御対象ネットワークに通過され、一方、危険なデータとして識別されたルールに合致するデータは仮想試験端末で仮実行するまでもなく危険なデータであるから、当該仮想試験端末に転送することなくファイアウォール手段にて破棄する。従って、仮想試験端末にて仮実行するデータ量の減少を図ることができ、当該仮想試験端末の処理負担を軽減することができる。
【0035】
また、仮想試験端末は、防御対象ネットワーク内の所定の端末に所定のサービスを提供するサーバであることとしてもよい。これにより、例えば、防御対象ネットワーク内の端末に対してプロキシサーバやメールサーバとして作動するサーバが、仮想試験端末としての機能を果たすこととなる。すると、外部ネットワークから防御対象ネットワーク内の端末にデータが送信される際には、かかるデータは必ず上記サーバに蓄積されるが、この際に、かかるサーバ内で仮実行が行われて、データの安全性がチェックされる。従って、種々のサービスサーバの有効活用を図ることができ、セキュリティの強化を図りつつ、種々のデータに対応した仮想試験サーバを独立して備える必要がないため、運用コストの削減をも図ることができる。
【0036】
さらに、仮想試験端末を、防御対象ネットワーク内の所定の端末とほぼ同一の環境に設定してもよい。これにより、防御対象ネットワーク内の端末とほぼ同一環境の仮想試験端末にて送信データが仮実行されるため、正常であると判断されたデータが実際に防御対象ネットワーク内の端末に送信されて当該端末にて実行されても、異常作動することが有効に抑制される。従って、防御対象ネットワーク内に転送されるデータの信頼性の向上を図ることができる。
【0037】
また、外部ネットワークとファイアウォール手段との間に、他のファイアウォール手段を備え、当該他のファイアウォール手段が、外部ネットワークから防御対象ネットワークの所定の端末に送信されたデータを当該防御対象ネットワーク内に通過させる基準となる通過ルールを記憶すると共に、この通過ルールが、ファイアウォール手段に記憶された振分ルールとは異なるルールである、こととしてもよい。さらには、ファイアウォール手段と仮想試験端末との間に存在するパケットを監視する不正アクセス監視端末を備え、この不正アクセス監視端末が、あらかじめ定められた基準に基づいて不正アクセスパケットを検出して当該パケットに関する情報を記憶する不正パケット検出機能を備えた構成としてもよく、また、これに加え、記憶した不正アクセスパケットに関する情報を管理者に通知する不正パケット情報通知機能を備えた構成としてもよい。
【0038】
これにより、外部ネットワークからの送信データは、ファイアウォール手段に送信された前に、他のファイアウォール手段やIDSによりチェックを受けることとなる。従って、事前に不正データの振り分けが行われるため、ファイアウォール手段によって振り分けるパケットを絞ることができ、当該ファイアウォール手段の振分負担の軽減を図ることができる。
【0039】
また、本発明では、外部ネットワークと防御対象ネットワーク間を伝送するデータを監視するファイアウォール手段を備えると共に、このファイアウォール手段にいずれのネットワークにも属さない仮想試験端末を接続し、これによりネットワーク上のセキュリティを管理する方法であって、ファイアウォール手段があらかじめ登録された振分ルールに基づいて外部ネットワークから防御対象ネットワーク内の所定の端末に送信されたデータを当該防御対象ネットワーク内の所定の端末あるいは仮想試験端末に振り分けて転送するデータ振分工程と、仮装試験端末がファイアウォール手段から振り分けられて転送されたデータを実行する仮実行工程と、仮想試験端末が仮実行したデータのうちあらかじめ設定された基準に基づいて正常に実行されたと判断された実行済データをファイアウォール手段に返送する正常実行データ返送工程と、ファイアウォール手段が仮想試験端末から返送された実行済データを防御対象ネットワーク内の所定の端末に転送する実行済データ転送工程と、を備えた、ネットワークセキュリティ管理方法をも提供している。
【0040】
このようにしても、上述同様の作用、効果を得ることができ、上記目的を達成することができる。
【0041】
【発明の実施の形態】
〈第1の実施形態〉
以下、本発明の第1の実施形態を、図1乃至図6を参照して説明する。図1は、本発明であるネットワークセキュリティシステムの構成を示すブロック図であり、図2は、機能ブロック図である。図3は、システムにおけるデータの流れを示す説明図である。図4乃至図6は、システムの動作を示すフローチャートである。
【0042】
(構成)
本発明であるネットワークセキュリティシステムは、図1に示すように、外部ネットワーク1と防御対象ネットワーク2間を伝送するデータを監視するファイアウォール手段3を備えると共に、このファイアウォール手段3に、上記外部ネットワーク1、防御対象ネットワーク2のいずれにも属さない仮想試験端末4を接続して備えている。
【0043】
そして、上記ファイアウォール手段3と仮想試験端末4とが、後述するような機能を備えていることにより、外部ネットワーク1から防御対象ネットワーク2内の端末に送信されるデータの安全性をチェックし、安全性の高いデータのみを防御対象ネットワーク2内に通過させて、セキュリティの強化を図るというシステムである。以下、これを詳述する。
【0044】
(外部ネットワーク)
外部ネットワーク1は、電話回線などを用いて世界中に広がったネットワーク環境であるインターネットである。このインターネット上には、不特定多数のコンピュータが接続されていて、例えば、ウェブサイトを開設するウェブサーバや、電子メールのやり取りを行う個人の端末などが接続されている。従って、これらの間には、多種多様なデータが伝送している。なお、外部ネットワーク1は、上記インターネット網に限定されず、後述する防御対象ネットワーク2に対して外部と位置づけられるネットワークを指すものである。また、インターネットを構築する回線は、電話回線であることに限定されず、光ファイバーやCATV網を用いたものであってもよい。
【0045】
ここで、外部ネットワーク1と防御対象ネットワーク2との間には、ファイアウォール手段3が接続されていることを上述したが、ファイアウォール手段3と外部ネットワーク1との間には、さらに、外部ネットワーク1からの伝送データを防御対象ネットワーク2へと効率よく導くルータ5が備えられている。このルータ5は、例えば、外部ネットワーク1からのデータが、防御対象ネットワーク2内の端末へのものである場合にのみ、通過を許可するよう作動する。但し、かかるルータ5は、備えられていなくてもよい。
【0046】
(防御対象ネットワーク)
防御対象ネットワーク2は、外部ネットワーク1であるインターネット上からの不正アクセスや不正データの受信といった攻撃から防御する対象となる端末が存在するネットワーク網である。例えば、会社内のLANであったり、単に、個人の端末が存在するいわゆる内部ネットワークでもある。また、防御対象ネットワーク2は、このような一般ユーザの端末が存在するいわゆる内部ネットワークに限定されず、従来技術の説明時に図11(a)を参照して開示した、非武装地帯D100内のメールサーバD102などが対象となることもある。なお、以下本実施形態では、防御対象ネットワーク2が各ユーザ端末が接続された所定の社内LANである場合を想定して内部ネットワーク2と呼び、説明する。
【0047】
内部ネットワーク2内には、複数の端末21〜23が存在しており、相互に接続されていてLANを形成している。これらの端末21〜23が防御対象の端末であるが、以下に示す例では、特に、符号21の端末を防護対象として説明する。
【0048】
(ファイアウォール手段)
ファイアウォール手段3は、その基本構成は、一般的なファイアウォール機器と同一である。すなわち、所定の演算処理能力を有するCPUと、所定の記憶容量を有する記憶装置とを備えた、サーバ型のファイアウォール機器である。従って、その基本的な動作は従来のものと同様であって、内部ネットワーク(防御対象ネットワーク)2に対するデータの出入口に備えられ、当該内部ネットワーク2に出入りするパケットパターンの分析を行い、内部ネットワークへの転送をフィルタリングするというものである。
【0049】
但し、本願におけるファイアウォール手段3は、以下の点で従来例のものと異なる。それを、以下に詳述する。なお、このファイアウォール手段3を、上述したルータ5と区別するために、内部ファイアウォール3と呼ぶ。
【0050】
内部ファイアウォール3の構成を、図2を参照して説明する。図2は、本発明の構成を示す機能ブロック図である。この図に示すように、内部ファイアウォール3には、まず、振分ルール記憶部31が備えられている。この記憶部31は、上述したハードディスクなどの記憶装置に、当該内部ファイアウォール3がフィルタリングするパケットの振分ルールに関するデータが記憶されたものである。
【0051】
ここで、振分ルールについて説明する。本実施形態における振分ルールは、主に2つのルールベースからなり、具体的には、通過許可ルール、TPC転送禁止ルール、からなる。
【0052】
そして、通過許可ルールは、従来におけるファイアウォール機器と同様に、外部ネットワーク1から内部ネットワーク2に通過を許可するパケットルールを記述したものである。すなわち、デフォルト状態すなわちルールが何も記述されていない場合には、いかなるパケットをも通過禁止となる。この通過許可ルールとしては、具体的には、送信元・送信先のIPアドレスやポート番号、データのプロトコルタイプ、データに含まれる文字列、などである。従って、信頼できる送信元のIPアドレスを記述しておくことで、かかるパケットデータは防御ネットワークである内部ネットワーク2内への通過が許され、逆に、未知のパケットが内部ネットワーク2内に送信されることはない。
【0053】
また、TPC転送禁止ルールは、後述する仮想試験端末4への転送を禁止するパケットルールを記述したものである。すなわち、デフォルト状態すなわちルールが何も記述されていない場合には、総てのパケットが仮想試験端末4に転送されることとなる。この転送禁止ルールは、上記通過許可ルールと同様に、送信元・送信先のIPアドレスやポート番号、データのプロトコルタイプ、データに含まれる文字列、などである。従って、過去に不正であると判断されたパケットに関するデータをルールとして記述しておくことで、そのようなパケットを仮想試験端末4に転送することなく、後述するように内部ファイアウォール3で破棄することができる。そして、未知のパケットを仮想試験端末4に転送することができる。
【0054】
なお、本実施形態では、振分ルールとして上述した2つのルールのみならず、TPC実行対応ルールも含まれている。このTPC実行対応ルールは、後述するように仮想試験端末4が仮実行可能なサービス、あるいは、アプリケーションに対応したパケットを識別するルールを記述したものである。すなわち、かかるルールに記述されていないパケットを仮想試験端末4に転送しても、当該仮想試験端末4で仮実行することが不可能であるため、そのようなパケットを、転送前に内部ファイアウォールで振り分けるというものである。
【0055】
次に、内部ファイアウォール3が有する機能について説明する。なお、以下に説明する機能は、各機能処理を実現するプログラムがCPUに組み込まれることによって当該CPUが各機能として作動する。これを、模式的に図2に示す。
【0056】
内部ファイアウォール3は、外部ネットワーク1から内部ネットワーク(防御対象ネットワーク)2内の所定の端末21〜23に送信されたデータを受信する外部データ受信機能(送受信部32)と、この受信したデータをあらかじめ振分ルール記憶部31に登録された上記振分ルールに基づいて内部ネットワーク2内の所定の端末21〜23あるいは仮想試験端末4に振り分けて転送するデータ振分機能(データ振分部32及び送受信部34)と、仮想試験端末4から返送された実行済データを内部ネットワーク2内の所定の端末21〜23に転送する実行済データ転送機能(送受信部34)と、さらには、仮想試験端末4から受信した後述する新たな振分ルールデータを既に登録されている振分ルールに新たに登録する振分ルール登録機能(振分ルール登録部35)と、を備えている。なお、上記送受信部32,34は、機器としては同一のネットワーク接続機器にて構成されており、当該機器を通過する送受信データが各機能毎に取り扱われることとなる。上記機能を構成する各部について詳述する。
【0057】
まず、外部ネットワーク1と接続されている送受信部32は、受信したデータをデータ振分部32に転送する。データ振分機能は、データ振分部32と送受信部34にて構成されており、データ振分部32では、上述したように振分ルール記憶部31内の振分ルールに基づいて、パケットが通過許可ルールに一致する場合には、内部ネットワーク2に当該パケットを通過させる。それ以外のパケットは、TPC実行対応ルールと対比して一致しない場合には仮想試験端末4にて仮実行が不可能なので、かかるパケットを破棄する。そして、TPC実行対応ルールに一致するパケットは、TPC転送禁止ルールと対比して一致する場合には破棄し、一致しない場合には未知のパケットであるため、仮想試験端末4に転送する。このとき、内部ネットワーク2あるいは仮想試験端末4に転送されるパケットは、送受信部34を介してそれぞれに送信される。
【0058】
また、振分ルール登録部35は、仮想試験端末4から新たな振分ルールデータが送受信部34を介して送信されてくると、当該新たな振分ルールデータが対応する振分ルール記憶部31内の各ルールを更新登録する。例えば、TPC転送禁止ルールに追加する新たな送信元IPアドレスが新たな振り分けルールデータとして送信された場合には、TPC転送禁止ルールに当該IPアドレスを追加登録することとなる。なお、以上の各機能(各部)による処理内容は、動作説明時に詳述する。
【0059】
(仮想試験端末)
仮想試験端末4(TestPC:以下、TPCとも言う)は、内部ファイアウォール3に接続された記憶装置、演算装置(CPU)備えたをサーバコンピュータであり、外部ネットワーク1及び内部ネットワーク(防御対象ネットワーク)2のいずれにも属さない端末である。
【0060】
この仮想試験端末4のシステム環境は、防御対象である内部ネットワーク2内に存在する端末21〜23とほぼ同一の環境に設定されている。具体的には、内部ネットワーク2内の端末21〜23と同等のアプリケーション環境が用意されている。なお、端末21〜23毎に設定の細部が異なるが、特に、重要な端末(例えば、符号21の端末)と同一の環境設定としておくとよい。このように、内部ネットワーク2内の端末と同一環境に設定しているのは、後述するように、仮想試験端末4が未知のアクセスに対して防御ネットワーク上の端末の代わりに動作実行を代行するからである。以下、構成を詳述する。
【0061】
まず、仮想試験端末4のハードディスクなどの記憶装置には、不正実行定義記憶部41が形成されていて、後述するように仮想試験端末4が内部ファイアウォール3から送信されたデータを仮実行した結果、不正実行されたと判断する基準となるルールが記憶されている。不正実行定義は、例えば、仮想試験端末4上の監視対象プロセスが正常に終了しない、レジストリが改竄される、ファイルが改竄される、新規に不明なファイルが作成される、さらには、予想外のパケット送信が行われる、などを表すデータである。但し、かかる定義データは、上記のものに限定されず、防御対象である内部ネットワーク2の端末21〜23により異なる。
【0062】
また、仮想試験端末4には、以下に示す機能が備えられている。なお、以下に説明する機能は、各機能処理を実現するプログラムがCPUに組み込まれることによって当該CPUが各機能として作動する。これを、模式的に図2に示す。
【0063】
仮想試験端末4は、内部ファイアウォール3から転送されたデータを実行する仮実行機能(仮実行部42)と、仮実行されたデータのうち上述した不正実行定義に基づいて正常に実行されたと判断された実行済データを内部ファイアウォール3に返送する正常実行データ返送機能(仮実行部42及び送受信部43)と、さらには、仮実行部42にて実行したデータに基づいて内部ファイアウォール3に登録された振分ルールに追加する新たな振分ルールデータを生成すると共に当該データを内部ファイアウォール3に送信する振分ルール生成機能(振分ルール生成部44及び送受信部43)と、を備えている。
【0064】
上記各機能として作動する各部を詳述すると、まず、送受信部43は、内部ファイアウォール3から転送された未知のパケットを受信して、仮実行部42に送る。また、仮実行部42にて正常に実行されたデータや、振分ルール生成部44にて生成された新たな振分ルールデータを、内部ファイアウォールに返送する。
【0065】
また、仮実行部42は、内部ファイアウォール3から送信された未知のパケットを実際に実行する。そして、実行した際に、当該端末4上の起こる状態を不正実行定義記憶部41内のデータと比較して、かかる定義データに該当しない場合には、実行結果が正常であったと判断して、そのパケットを上記送受信部43を介して内部ファイアウォール3に返送する。この際に、内部ファイアウォールの防御ネットワークへの通過許可ルールとして追加するよう振分ルールにルール作成指令を出す。一方、監視対象プロセスが正常に終了しない、レジストリが改竄される、ファイルが改竄される、新規に不明なファイルが作成されるといった状態が起こり、かかる状態が不正実行定義に該当して不正実行である場合には、かかるパケットを破棄して、TPC転送禁止ルールにこのパケットルールを記述するよう、新たな振分ルールを生成するよう指示を出す。また、かかる場合には、その後、仮想試験端末4の環境を試験実行前の環境に復元する。
【0066】
そして、振分ルール生成部44は、上述したように、仮実行部42からの指示に応じて、すなわち、仮実行部42での実行結果に応じて、内部ファイアウォール3の振分ルール記憶部31に記憶されている振分ルールを更新する新たなルールデータを生成する。具体的には、仮実行部42にて正常実行である場合には、かかるパケットルールを、通過許可ルールに追加するよう生成し、逆に不正実行である場合には、TPC転送禁止ルールに追加するよう生成する。そして、生成した更新対象となる新たな振分ルールデータを、送受信部43を介して内部ファイアウォール3に送信する。
【0067】
また、図示していないが、仮想試験端末4には、自己修復機能が備えられている。この自己修復機能は、あらかじめ自己のシステム環境設定に関するデータを記憶しておき、上述したように、不正実行が行われたと判断されたときに、システム環境設定を参照して、不正実行前のシステム環境に復元する。あるいは、試験実行時には、レジストリやプロセスを常に監視している状態にあるので、かかる不正なレジストリ等の変更が検出されたときに、当該レジストリやプロセスを破棄し、システム環境の復元を行う。なお、このようなシステム環境を修復する処理は、自己の端末にて実行されることに限定されない。仮想試験端末4には、当該端末4の修復処理を行う他の端末が接続されていてもよい。
【0068】
(動作)
次に、本発明の動作を、図3のデータの流れを説明する図と、図4乃至図6のフローチャートを参照して説明する。なお、かかる動作説明では、内部ネットワーク2内の符号21に示す端末が、外部ネットワーク1上からデータを要求している場合を例示し、かかる場合に、外部ネットワーク1上からのパケットデータPがどのように伝送するかについて説明する。そしてこれに伴い、仮想試験端末4は、端末21にシステム環境に適応したものとなっている。また、主に、図4と図6は、内部ファイアウォール3の動作を、図5は仮想試験端末4の動作を示すものである。
【0069】
まず、図3に示すように、外部ネットワーク1上からの所定のパケットデータPがルータ5を通過し、内部ファイアウォール3に送信される(矢印A1、ステップS1)。そして、内部ファイアウォール3は、受信したパケットデータPを振分ルール記憶部31に記憶されている通過許可ルールと比較する(ステップS2)。
【0070】
ここで、パケットデータPのパケットパターン、例えば、パケットデータPのヘッダ部分に含まれる情報が、通過許可ルールと一致していれば(ステップS2で肯定判断)、正常なパケットとして内部ファイアウォール3を通過し、内部ネットワーク2内の端末21に送信される(矢印A2、ステップS6)。そして、要求先の端末2では、このパケットを受信して適切な処理を行う。一方、パケットパターンが通過許可ルールと一致しない場合には(ステップS2で否定判断)、続いて、パケットパターンを振分ルール記憶部31に記憶されているTPC実行対応ルールと比較する(ステップS3)。すなわち、このパケットが、仮想試験端末4が試験実行しているサービス及びアプリケーションに対応している否かを調べる。
【0071】
そして、パケットパターンがTPC実行対応ルールと一致していない場合には(ステップS3にて否定判断)、パケットPが仮想試験端末4で試験実行できないこととなる。すなわち、当該仮想試験端末4はパケットPの送信先である端末21と同一の環境となっているから、当該パケットPは端末21に送信されるべきものでないことがわかり、不正なパケットとして破棄される(矢印A3、ステップS7)。一方、パケットパターンがTPC実行対応ルールと一致している場合には(ステップS3にて肯定判断)、続いて、パケットパターンを振分ルール記憶部31に記憶されているTPC転送禁止ルールと比較する(ステップS4)。すなわち、パケットデータPが、あらかじめ不正パケットであるとして登録されていないかどうか、ということを調べる。
【0072】
そして、パケットパターンがTPC転送禁止ルールと一致している場合には(ステップS4にて肯定判断)、かかるパケットPは不正パケットであることが確認されたので破棄される(矢印A3、ステップS7)。一方、パケットパターンがTPC転送禁止ルールと一致していない場合には(ステップS4にて否定判断)、未知のパケットとして仮想試験端末4に転送する(矢印A4、ステップS5、図4の符号Aを介して図5に進む)。
【0073】
このように、これまでの動作を換言すると、内部ファイアウォール3があらかじめ登録された振分ルールに基づいて外部ネットワーク1から内部ネットワーク2内の所定の端末21に送信されたデータを当該内部ネットワーク2内の所定の端末あるいは仮想試験端末4に振り分けて転送する、という動作となっている(データ振分工程)。
【0074】
続いて、未知のパケットPを受信した仮想試験端末4は、受信したパケットPを仮実行(試験実行)する(ステップS11、仮実行工程)。このとき、仮想試験端末4は、不正実行定義記憶部41に記憶されているデータに基づいて、試験実行による動作が正常実行であるか否かを調べる(ステップS12)。例えば、仮想試験端末4上の監視対象プロセスが正常に終了しない、レジストリが改竄される、ファイルが改竄される、新規に不明なファイルが作成される、といった状態が起こらない場合には、正常実行であると判断し、そうでない場合には、異常実行であるとしてパケットPを不正パケットとする。
【0075】
正常実行された場合には(ステップS12にて肯定判断)、かかるパケットのパケットパターンを内部ファイアウォール3の通過許可ルールに追加すべく、更新する通過許可ルールを生成し(ステップS13)、当該生成したルールを内部ファイアウォール3に送信する(矢印A6、ステップS15)。また、これとほぼ同時に、正常に作動することを確認したパケットPを、内部ネットワーク2内の端末21に送信すべく、内部ファイアウォール3に返送する(矢印A5、ステップS14、正常実行データ返送工程)。
【0076】
一方、仮想試験端末4にて、正常実行されなかった場合には(ステップS12にて否定判断)、かかるパケットPは不正パケットであるので、当該パケットのパケットパターンを内部ファイアウォール3のTPC転送禁止ルールに追加すべく、更新するTPC転送禁止ルールを生成し(ステップS16)、当該生成したルールを内部ファイアウォール3に送信する(矢印A6、ステップS15)。また、これとほぼ同時に、正常に実行されなかったパケットPを破棄し(ステップS17)、仮想試験端末4のシステム環境を、試験実行前の環境に復元する(ステップS18)。
【0077】
続いて、図5の符号Bから図6に進む。仮装試験端末4にて正常に実行されたパケットPが内部ファイアウォール3にて受信されると(ステップS21にて肯定判断)、当該パケットPの送信対象である端末21にパケットPが転送される(矢印A5、ステップS22、実行済データ転送工程)。また、仮想試験端末4にて生成された新たな追加ルールデータが内部ファイアウォール3にて受信されると(矢印A6、ステップS23にて肯定判断)、当該内部ファイアウォール3では、各ルールの更新登録が行われる(ステップS24)。
【0078】
このようにすることにより、あらかじめ内部ファイアウォール3に登録されていない未知の送信データは、仮想試験端末4に転送されて当該仮想試験端末4にて試験実行されるため、正常実行されるものであると判断されたデータのみが内部ネットワークに通過されることとなる。このため、外部からの不正なデータのアクセスを抑制することができ、未知の攻撃に対する被害を抑制することができる。
【0079】
また、仮想試験端末4では、仮実行の結果、安全であると判断されたデータを識別するルール、あるいは、逆に危険であると判断されたデータを識別するルールが生成されて、かかるルールがファイアウォールに登録されることとなる。すると、次回からは、内部ファイアウォール3にて、通過を許可するルールに登録されたデータは仮想試験端末4にて仮実行されることなく内部ネットワーク2に通過され、一方、危険なデータとして識別されたルールに合致するデータは仮想試験端末4で仮実行するまでもなく危険なデータであるから、当該仮想試験端末に転送することなく内部ファイアウォール3にて破棄される。従って、仮想試験端末4にて仮実行するデータ量の減少を図ることができ、当該仮想試験端末の処理負担を軽減することができる。
【0080】
ここで、仮に、仮想試験端末4が試験実行したことにより、未知の攻撃(例えば、アプリケーションのセキュリティホールを突くなど)などにより、システムダウンに追い込まれた状態になったとしても、内部ファイアウォール3に記述されている通過許可ルールによって、許可されたパケットのみが内部ネットワーク2に通過することとなる。このような場合であっても、未知のデータを内部ネットワーク2に通過することなく、セキュリティが確保される。すなわち、いわゆるフェールソフト(縮退運転)構造となっている。
【0081】
一方、仮に、内部ファイアウォール3がシステムダウンに追い込まれたとしても、以後に送信されてきたパケットは内部ファイアウォールを通過することができず、外部からの不正パケットは内部ネットワーク2に到達することができない。すなわち、いわゆるフェールセーフ構造となっている。従って、かかる場合にも、ネットワークセキュリティが確保される。
【0082】
〈第2の実施形態〉
次に、本発明の第2の実施形態について、図7乃至図8を参照して説明する。図7は、ネットワークセキュリティシステムの第2の実施形態における構成を示すブロック図であり、図8は、仮想試験端末の構成を示す機能ブロック図である。
【0083】
(構成)
本実施形態におけるシステムは、特に電子メールに添付されたウイルスをチェックするよう作動する。具体的には、仮想試験端末140が、防御対象ネットワーク120内のメールサーバ121に送信される電子メールを展開して、当該電子メールにファイルが添付されている場合には当該ファイルを実行し、正常に実行されたものをメールサーバ121に送信する、というものである。従って、本実施形態は上記第1の実施形態の具体的な運用例であって、その各構成は、第1の実施形態とほぼ同様である。但し、以下の点で異なる。
【0084】
まず、仮想試験端末4の仮実行機能(図2の仮実行部に相当する機能)は、後述する内部ファイアウォール130から転送されたパケットデータPである電子メールを展開すると共に、当該電子メールに添付されているファイルを実行する。例えば、添付されているファイルが文書データなどであれば、所定のアプリケーションで開き、実行ファイルであれば実行する。そして、電子メールを展開したり、添付ファイルを実行したときに、不正処理が行われないかどうかを、不正実行定義記憶部に記憶されている不正実行定義データに基づいて調べる。このとき、不正実行定義データには、例えば、不正実行の定義として、レジストリの変更、ハードディスクへの書き込み、予測外のパケット送信、などを表すデータが記述されていて、かかる動作が行われないか否かを監視する。
【0085】
そして、不正実行された場合には、かかるパケットを破棄し、パケットルールをTPC転送禁止ルールに登録するデータを生成したり、仮想試験端末140自身のシステム環境を修復処理する。また、正常実行された場合には、当該パケットPである電子メールを防御対象ネットワーク120内のメールサーバ121に送信する。
【0086】
このように、本実施形態においては、仮想実行端末4が外部ネットワーク1から送信された電子メールを受信するSMTPサーバとして稼働するものである。すなわち、仮想試験端末140は、試験実行して電子メールに添付されたウイルスデータを監視するサーバとして機能すると共に、防御対象ネットワーク120内のメールサーバ121に対して電子メールを転送するというサービスを提供するSMTPサーバである。
【0087】
なお、本実施形態における防御対象ネットワーク120は、上記第1の実施形態において開示した一般ユーザなどの端末が接続されたいわゆる内部ネットワーク2とは異なり、従来例では非武装地帯として説明したネットワークである。このようなネットワーク120内に送信されるデータに対しても、本発明では有効に対処することができる。
【0088】
また、仮想試験端末140の具体的な構成は、図8に示すようになっており、動作説明時に詳述する。
【0089】
そして、上記仮想試験端末140の構成に伴い、内部ファイアウォール130は、上述同様に、振分ルールに基づいて外部ネットワーク110からのパケットデータPを防御対象ネットワーク120側に通過させたり、仮想試験端末140に転送するが、振分ルールが上述のものと異なる。具体的には、通過許可ルールには、SMTPに即したパケットを通過させないよう、かかる記述はされておらず、それ以外のメールサーバ121に通過させてよいパケットルールが記述されている。また、TPC転送禁止ルールには、悪質なウイルスデータに関するパケットルールが記述されていて、かかるウイルスデータを含む電子メールは内部ファイアウォール130にて破棄されるようになっている。
【0090】
(動作)
次に、図7乃至図8のデータの流れを参照して、システムの動作を説明する。まず、外部ネットワーク110から防御対象ネットワーク120上のメールサーバ121宛てのメールが、ルータ150を介して内部ファイアウォールに到達すると、通過許可ルールとの比較により、SMTP以外の通過許可パケットはメールサーバ121に通過される(矢印A11)。一方、SMTP対応パケットは、仮想試験端末140に転送される(矢印A12)。
【0091】
ここで、あらかじめルータ150にもパケットフィルタリング機能を備えておき、SMTP対応パケットや、特定のパケットルールのみを防御対象ネットワーク側(メールサーバ121側)に通過させるように設定しておいてもよい。そして、内部ファイアウォール130の通過許可ルールにはSMTP対応パケットルール以外の上記特定のパケットルールのみを記述し、当該特定のパケットルールのパケットデータのみをメールサーバ121に通過させ、SMTP対応パケットは仮想試験端末140に転送するようにしてもよい。このように、ルータ150を他のファイアウォール手段として備え、当該ルータの振分ルールが内部ファイアウォール130の振分ルールと異なる設定としておくことにより、内部ファイアウォール3にて振り分けるパケットの数を軽減することができる。
【0092】
続いて、内部ファイアウォール130から送信されたSMTP対応パケットは、仮想試験端末140の通信デバイス141、OS143を通過して、SMTPサーバ145に到達し(矢印A21)、さらに、テストデーモン147(Test・Daemon)が受け取る(矢印A22)。テストデーモン147は、対応するメールアプリケーション146を起動して(矢印A23)、このメールを実行する(矢印A24)。なお、どのようなメールアプリケーションを利用するかは、メールサーバ121の運用環境によって異なる。
【0093】
このとき、テストデーモン147は、レジストリ、プロセス、ファイルの更新状況を確認して、レジストリの改竄、不明なファイルの追加、さらには、外部に勝手にメールが送信される、などの不正処理が行われていないか監視する(矢印A25)。そして、実行した結果、不正な状況が確認されていなければ、本来のメール送信先の端末、本実施形態の場合にはメールサーバ121に、このパケットにかかるメールを、内部ファイアウォール130を介して送信する(矢印A13,A26)。
【0094】
このように、本システムを電子メールに添付されうるウイルス検索に用いることにより、メールを実際に対応アプリケーション上で実行し、その動向を確かめているため、従来より行われているパターンマッチングによるウイルススキャンでは、既知のウイルスしか発見することができないが、本システムでは、監視対象に作用するウイルスであれば未知のウイルス、新種のウイルスをも検知し、対応することができる。従って、防御対象ネットワーク120上のメールサーバが受信した電子メールの安全性の向上を図ることができ、個々のユーザに送信される電子メールの安全性も向上する。
【0095】
〈第3の実施形態〉
次に、本発明の第3の実施形態について、図9乃至図10を参照して説明する。図9は、ネットワークセキュリティシステムの第3の実施形態における構成を示すブロック図であり、図10は、仮想試験端末の構成を示す機能ブロック図である。
【0096】
(構成)
本実施形態におけるシステムは、特に、Webブラウジングを行う際に、当該HTMLファイルに組み込まれたウイルスをチェックするよう作動する。具体的には、仮想試験端末240が、防御対象ネットワーク220内のWebページを要求したクライアント端末221に送信されるHTTP対応パケットを実行し、正常に実行されたものをクライアント端末221に送信する、というものである。従って、本実施形態は上記第1の実施形態の具体的な運用例であって、その各構成は、第1の実施形態とほぼ同様である。但し、以下の点で異なる。
【0097】
なお、本実施形態では、防御対象ネットワーク230が第1の実施形態のものと同様に、一般ユーザの端末が接続されたいわゆる内部ネットワーク220である。
【0098】
まず、仮想試験端末240の仮実行機能(図2の仮実行部に相当する機能)は、後述する内部ファイアウォール230から転送されたパケットデータPであるHTTP対応パケットをWebブラウザ上で実行する。そして、実行したときに、不正処理が行われないかどうかを、不正実行定義記憶部に記憶されている不正実行定義データに基づいて調べる。このとき、不正実行定義データには、例えば、不正実行の定義として、レジストリの変更、ハードディスクへの書き込み、予測外のパケット送信、などを表すデータが記述されていて、かかる動作が行われないか否かを監視する。
【0099】
そして、不正実行された場合には、かかるパケットを破棄し、パケットルールをTPC転送禁止ルールに登録するデータを生成したり、仮想試験端末140自身のシステム環境を修復処理する。また、正常実行された場合には、当該パケットPであるHTTPパケットを内部ネットワーク220内の端末221に送信する。
【0100】
このように、本実施形態においては、仮想実行端末240が外部ネットワーク1から送信されたHTMLデータなどを中継するプロキシサーバとして稼働するものである。すなわち、仮想試験端末240は、試験実行してHTMLファイルに添付されたウイルスデータを監視すると共に、内部ネットワーク220内のクライアント端末221に対してHTMLファイルを転送するというサービスを提供するプロキシサーバである。
【0101】
なお、仮想試験端末240の具体的な構成は、図10に示すようになっており、動作説明時に詳述する。
【0102】
そして、上記仮想試験端末240の構成に伴い、内部ファイアウォール230は、上述同様に、振分ルールに基づいて外部ネットワーク210からのパケットデータPを内部ネットワーク側に通過させたり、仮想試験端末240に転送するが、振分ルールが上述のものと異なる。具体的には、通過許可ルールには、HTTPに即したパケットを通過させないよう、かかる記述はされておらず、それ以外の内部ネットワーク221内に通過させてよいパケットルールが記述されている。また、TPC転送禁止ルールには、悪質なウイルスデータに関するパケットルールが記述されていて、かかるウイルスデータを含むHTTPファイルは内部ファイアウォール230にて破棄されるようになっている。
【0103】
(動作)
次に、図9乃至図10のデータの流れを参照して、システムの動作を説明する。まず、外部ネットワーク210と内部ネットワーク220上のクライアント端末221との通信は、内部ファイアウォール230を介して行われるが、上述同様に、外部ネットワーク210から送信されたデータは、内部ファイアウォール230にて通過許可ルールと比較され、通過許可パケットは内部ネットワーク220内に通過される(矢印A31)。このとき、本実施形態では、HTTP対応パケットは、仮想試験端末240に転送されるよう、通過許可ルールが設定されている。なお、内部ネットワーク220から外部ネットワーク210に向かって送信されるデータも、通過許可されているパケットのみが通過することができる。
【0104】
そして、内部ネットワーク220上のクライアント端末221が、外部ネットワーク210上のWebサーバ(図示せず)に対するHTTPリクエストを行うと、当該リクエストが内部ファイアウォール230を介して仮想試験端末240に送信される(矢印A32)。仮想試験端末240は、このHTTPリクエストを通信デバイス241を介してテストデーモン247が受け取り(矢印A41,A42)、クライアント端末221のブラウザの代わりにプロキシとして、外部ネットワーク210上のWebサーバに対してHTTPリクエストを発行する(矢印A46,A33)。
【0105】
すると、かかるHTTPリクエストに対するWebサーバからのHTTPレスポンス(例えば、HTMLファイル)は、内部ファイアウォール230の通過許可ルールに基づいて、仮想試験端末240に送信される(矢印A34)。そして、かかるHTTPレスポンスを、テストデーモン247が受け取る(矢印A41,A42)。テストデーモンは、対応するWebブラウザ246を起動して(矢印A43)、このHTTPレスポンスであるHTMLファイルなどを実行する(矢印A24)。なお、どのようなWebブラウザ246を利用するかは、クライアント端末221の運用環境によって異なる。
【0106】
このとき、テストデーモン247は、レジストリ、プロセス、ファイルの更新状況を確認して、レジストリの改竄、不明なファイルの追加、さらには、外部に勝手にメールが送信される、などの不正処理が行われていないか監視する矢印A45)。そして、実行した結果、不正な状況が確認されていなければ、本来のHTTP要求元であるクライアント端末221に、このパケットにかかるHTTPレスポンスを、内部ファイアウォール230を介して送信する(矢印A35,A46)。一方、不正な状況が確認された場合には、そのHTTPレスポンスは破棄され、要求元のクライアント端末221にはその旨を伝えるメッセージなどが送信される。その後、仮想試験端末240は、実行前の環境に復元される。
【0107】
このようにすることにより、安全性が判断しがたいWebサイトであっても、要求に対して送信されるHTMLファイルなどが仮想試験端末にて実行されて、正常実行された当該HTMLファイルのみがクライアント端末に送信され、不正であると判断されたHTMLファイルなどは破棄されるため、不正データの侵入を抑制することができる共に、Webサイトの閲覧に対する危険性が軽減される。
【0108】
〈第4の実施形態〉
次に、本発明の第4の実施形態について説明する。本実施形態においては、上記実施形態において説明したネットワークセキュリティシステムの構成に、従来例において説明したIDS技術を組み込んだ構成となっている。
【0109】
具体的な構成としては、図1に示す内部ファイアウォール3と仮想試験端末4との間に存在するパケットを監視する不正アクセス監視端末(図示せず)を備えている。そして、この不正アクセス監視端末は、あらかじめ定められた基準に基づいて不正アクセスパケットを検出して当該パケットに関する情報を記憶する不正パケット検出機能や、記憶した不正アクセスパケットに関する情報を管理者に通知する不正パケット情報通知機能、を備えている。そして、上述したIDS技術と同様に、不正パケットが侵入したことのログを取ったり、かかるパケットに関するデータを管理者に通知することによって、かかるパケットルールがファイアウォールに登録されて、当該パケットを事前に排除することができる。
【0110】
特に、IDSを用いることにより、仮想試験端末の対象外となるパケット、すなわち、仮想試験端末にて実行不可能なパケットについても、分析が行われるため、不正なパケットをネットワークから有効に排除することができ、さらなるセキュリティの強化を図ることができる。
【0111】
なお、かかる構成に、上記第2の実施形態において説明したルータ150と同様に作用するルータ、具体的には、内部ファイアウォール3に通過させるパケットデータを事前にフィルタリングする別のファイアウォールであって、内部ファイアウォールと異なる通過許可ルールを備えたものを備えてもよい。これにより、内部ファイアウォールに到達するパケットは、既にあるルールにてフィルタリングされてその数が絞られているので、当該内部ファイアウォールにて振り分け処理するデータ数の減少を図ることができ、セキュリティの強化をも図ることができる。
【0112】
【発明の効果】
本発明は、以上のように構成され機能するので、これによると、あらかじめファイアウォール手段に登録されていない未知の送信データは、仮想試験端末に転送されて当該仮想試験端末にて実行され、正常実行されるものであると判断されたデータのみが防御対象ネットワークに通過されることとなるため、外部からの不正なアクセスを抑制し、未知の攻撃に対する被害を抑制することができ、ネットワークセキュリティの強化を図ることができる。
【0113】
また、仮実行の結果、安全であると判断されたデータを識別するルール、あるいは、逆に危険であると判断されたデータを識別するルールを生成して、ファイアウォールに登録することにより、自動的に通過を許可するルールや、仮想試験端末にて実行を禁止するルールを更新することができ、仮想試験端末にて仮実行するデータ量の減少を図ることができ、当該仮想試験端末の処理負担を軽減することができる。
【図面の簡単な説明】
【図1】本発明の第1の実施形態における構成を示すブロック図である。
【図2】本発明の第1の実施形態における構成を示す機能ブロック図である。
【図3】本発明であるシステムにおけるデータの流れを示す説明図である。
【図4】第1の実施形態における動作を示すフローチャートである。
【図5】第1の実施形態における動作を示すフローチャートであり、図4の続きを示すものである。
【図6】第1の実施形態における動作を示すフローチャートであり、図5の続きを示すものである。
【図7】本発明の第2の実施形態における構成を示すと共に、データの流れを示す説明図である。
【図8】図7に開示した第2の実施形態における仮想試験端末の構成を示す機能ブロック図である。
【図9】本発明の第3の実施形態における構成を示すと共に、データの流れを示す説明図である。
【図10】図9に開示した第3の実施形態における仮想試験端末の構成を示す機能ブロック図である。
【図11】図11(a),(b)は、従来におけるネットワークセキュリティシステムの概要を説明する説明図である。
【図12】図12(a),(b)は、従来におけるネットワークセキュリティシステムの概要を説明する説明図である。
【図13】従来におけるネットワークセキュリティシステムの概要を説明する説明図である。
【符号の説明】
1 外部ネットワーク(インターネット)
2 防御対象ネットワーク(内部ネットワーク)
3 ファイアウォール手段(内部ファイアウォール)
4 仮想試験端末
5 ルータ
21〜23 端末(防御対象ネットワーク内)
31 振分ルール記憶部
33 データ振分部
35 振分ルール登録部
41 不正実行定義記憶部
42 仮実行部
44 振分ルール生成部
P パケットデータ

Claims (7)

  1. 外部ネットワークと防御対象ネットワーク間を伝送するデータを監視するファイアウォール手段を備えたネットワークセキュリティシステムであって、
    前記ファイアウォール手段に、前記いずれのネットワークにも属さない仮想試験端末を接続し、
    前記ファイアウォール手段が、あらかじめ登録された振分ルールに基づいて前記外部ネットワークから前記防御対象ネットワーク内の所定の端末に送信されたデータを当該防御対象ネットワーク内の所定の端末あるいは前記仮想試験端末に振り分けて転送するデータ振分機能と、前記仮想試験端末から返送された実行済データを前記防御対象ネットワーク内の所定の端末に転送する実行済データ転送機能と、を備える共に、
    前記仮想試験端末が、前記ファイアウォール手段から転送されたデータを実行する仮実行機能と、仮実行されたデータのうちあらかじめ設定された基準に基づいて正常に実行されたと判断された実行済データを前記ファイアウォール手段に返送する正常実行データ返送機能と、を備えたことを特徴とするネットワークセキュリティシステム。
  2. 前記仮想試験端末が、前記仮実行機能にて実行したデータに基づいて前記ファイアウォール手段に登録された振分ルールに追加する新たな振分ルールデータを生成すると共に当該データを前記ファイアウォール手段に送信する振分ルール生成機能を備え、
    前記ファイアウォール手段が、前記仮想試験端末から受信した前記新たな振分ルールデータを既に登録されている前記振分ルールに新たに登録する振分ルール登録機能を備えた、ことを特徴とする請求項1記載のネットワークセキュリティシステム。
  3. 前記仮想試験端末は、前記防御対象ネットワーク内の所定の端末に所定のサービスを提供するサーバであることを特徴とする請求項1又は2記載のネットワークセキュリティシステム。
  4. 前記仮想試験端末を、前記防御対象ネットワーク内の所定の端末とほぼ同一の環境に設定したことを特徴とする請求項1,2又は3記載のネットワークセキュリティシステム。
  5. 前記外部ネットワークと前記ファイアウォール手段との間に、他のファイアウォール手段を備え、
    当該他のファイアウォール手段が、前記外部ネットワークから前記防御対象ネットワークの所定の端末に送信されたデータを当該防御対象ネットワーク内に通過させる基準となる通過ルールを記憶すると共に、この通過ルールが、前記ファイアウォール手段に記憶された前記振分ルールとは異なるルールであることを特徴とする請求項1,2,3又は4記載のネットワークセキュリティシステム。
  6. 前記ファイアウォール手段と前記仮想試験端末との間に存在するパケットを監視する不正アクセス監視端末を備え、
    この不正アクセス監視端末が、あらかじめ定められた基準に基づいて不正アクセスパケットを検出して当該パケットに関する情報を記憶する不正パケット検出機能を備えたことを特徴とする請求項1,2,3,4又は5記載のネットワークセキュリティシステム。
  7. 外部ネットワークと防御対象ネットワーク間を伝送するデータを監視するファイアウォール手段を備えると共に、このファイアウォール手段に前記いずれのネットワークにも属さない仮想試験端末を接続し、これによりネットワーク上のセキュリティを管理する方法であって、
    前記ファイアウォール手段があらかじめ登録された振分ルールに基づいて前記外部ネットワークから前記防御対象ネットワーク内の所定の端末に送信されたデータを当該防御対象ネットワーク内の所定の端末あるいは前記仮想試験端末に振り分けて転送するデータ振分工程と、前記仮装試験端末が前記ファイアウォール手段から振り分けられて転送されたデータを実行する仮実行工程と、前記仮想試験端末が仮実行したデータのうちあらかじめ設定された基準に基づいて正常に実行されたと判断された実行済データを前記ファイアウォール手段に返送する正常実行データ返送工程と、前記ファイアウォール手段が前記仮想試験端末から返送された実行済データを前記防御対象ネットワーク内の所定の端末に転送する実行済データ転送工程と、を備えたことを特徴とするネットワークセキュリティ管理方法。
JP2003091481A 2003-03-28 2003-03-28 ネットワークセキュリティシステム Expired - Fee Related JP4581104B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003091481A JP4581104B2 (ja) 2003-03-28 2003-03-28 ネットワークセキュリティシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003091481A JP4581104B2 (ja) 2003-03-28 2003-03-28 ネットワークセキュリティシステム

Publications (2)

Publication Number Publication Date
JP2004302538A true JP2004302538A (ja) 2004-10-28
JP4581104B2 JP4581104B2 (ja) 2010-11-17

Family

ID=33404843

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003091481A Expired - Fee Related JP4581104B2 (ja) 2003-03-28 2003-03-28 ネットワークセキュリティシステム

Country Status (1)

Country Link
JP (1) JP4581104B2 (ja)

Cited By (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005236825A (ja) * 2004-02-23 2005-09-02 Aruze Corp 電子メールシステム
JP2006331015A (ja) * 2005-05-25 2006-12-07 Mitsubishi Electric Corp サーバ装置保護システム
JP2010205232A (ja) * 2009-03-06 2010-09-16 Yahoo Japan Corp サーバおよびプログラム
JP2013236687A (ja) * 2012-05-11 2013-11-28 We Are Engineering Kk コンピュータゲーム
US8726085B2 (en) 2011-02-14 2014-05-13 International Business Machines Corporation Anomaly detection to implement security protection of a control system
JP2014519113A (ja) * 2011-05-24 2014-08-07 パロ・アルト・ネットワークス・インコーポレーテッド マルウェア解析システム
US9001661B2 (en) 2006-06-26 2015-04-07 Palo Alto Networks, Inc. Packet classification in a network security device
JP2015082787A (ja) * 2013-10-24 2015-04-27 ブライシス株式会社 クラウド環境においてセキュアなクレジットカードシステムを実現するための情報処理システムおよびファイアウォール装置
US9043917B2 (en) 2011-05-24 2015-05-26 Palo Alto Networks, Inc. Automatic signature generation for malicious PDF files
US9075410B2 (en) 2011-02-15 2015-07-07 International Business Machines Corporation Abnormality detection for isolating a control system
JP2016154389A (ja) * 2016-05-18 2016-08-25 ノキア ソリューションズ アンド ネットワークス オサケユキチュア 移動パケットコアネットワークにおけるセッション終了
US9565097B2 (en) 2008-12-24 2017-02-07 Palo Alto Networks, Inc. Application based packet forwarding
JP2017163504A (ja) * 2016-03-11 2017-09-14 Necプラットフォームズ株式会社 中継装置、通信システム、中継方法及び中継プログラム
WO2018079424A1 (ja) * 2016-10-24 2018-05-03 パナソニックIpマネジメント株式会社 製品の製造システム、マルウェア検知システム、製品の製造方法及びマルウェア検知方法
JP2019032630A (ja) * 2017-08-07 2019-02-28 サクサ株式会社 セキュリティ監視システム、セキュリティ監視装置、検証用装置、セキュリティ監視プログラム及び検証用プログラム
US10382360B2 (en) 2012-01-27 2019-08-13 Nokia Solutions And Networks Oy Session termination in a mobile packet core network
CN110336793A (zh) * 2019-06-10 2019-10-15 平安科技(深圳)有限公司 一种内网访问方法及相关装置
US10678911B2 (en) 2011-02-04 2020-06-09 International Business Machines Corporation Increasing availability of an industrial control system
JP2021072632A (ja) * 2021-01-05 2021-05-06 Necプラットフォームズ株式会社 受信データ判定方法、通信装置、および、プログラム
CN112769860A (zh) * 2021-01-25 2021-05-07 中国人民解放军92493部队参谋部 一种旁路设置的威胁管控系统及方法
CN117097573A (zh) * 2023-10-19 2023-11-21 深圳竹云科技股份有限公司 一种零信任安全体系下的防火墙动态访问控制方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11167537A (ja) * 1997-09-12 1999-06-22 Lucent Technol Inc ファイアウォールサービス提供方法
JP2000354034A (ja) * 1999-06-10 2000-12-19 Yoshimi Baba 事業:ハッカー監視室
JP2002314614A (ja) * 2001-04-10 2002-10-25 Nippon Telegraph & Telephone East Corp 電子メール中継システム及び電子メール中継方法
JP2002335246A (ja) * 2001-05-10 2002-11-22 Nippon Telegr & Teleph Corp <Ntt> ネットワークベース侵入検査方法及び装置並びにネットワークベース侵入検査用プログラム及びその記録媒体
JP2003067269A (ja) * 2001-08-30 2003-03-07 Mitsubishi Electric Corp 不正アクセス検知装置及び不正アクセス検知方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11167537A (ja) * 1997-09-12 1999-06-22 Lucent Technol Inc ファイアウォールサービス提供方法
JP2000354034A (ja) * 1999-06-10 2000-12-19 Yoshimi Baba 事業:ハッカー監視室
JP2002314614A (ja) * 2001-04-10 2002-10-25 Nippon Telegraph & Telephone East Corp 電子メール中継システム及び電子メール中継方法
JP2002335246A (ja) * 2001-05-10 2002-11-22 Nippon Telegr & Teleph Corp <Ntt> ネットワークベース侵入検査方法及び装置並びにネットワークベース侵入検査用プログラム及びその記録媒体
JP2003067269A (ja) * 2001-08-30 2003-03-07 Mitsubishi Electric Corp 不正アクセス検知装置及び不正アクセス検知方法

Cited By (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005236825A (ja) * 2004-02-23 2005-09-02 Aruze Corp 電子メールシステム
JP2006331015A (ja) * 2005-05-25 2006-12-07 Mitsubishi Electric Corp サーバ装置保護システム
JP4602158B2 (ja) * 2005-05-25 2010-12-22 三菱電機株式会社 サーバ装置保護システム
US9001661B2 (en) 2006-06-26 2015-04-07 Palo Alto Networks, Inc. Packet classification in a network security device
US9565097B2 (en) 2008-12-24 2017-02-07 Palo Alto Networks, Inc. Application based packet forwarding
JP2010205232A (ja) * 2009-03-06 2010-09-16 Yahoo Japan Corp サーバおよびプログラム
US10678911B2 (en) 2011-02-04 2020-06-09 International Business Machines Corporation Increasing availability of an industrial control system
US9064110B2 (en) 2011-02-14 2015-06-23 International Business Machines Corporation Anomaly detection to implement security protection of a control system
US8726085B2 (en) 2011-02-14 2014-05-13 International Business Machines Corporation Anomaly detection to implement security protection of a control system
US9354625B2 (en) 2011-02-15 2016-05-31 International Business Machines Corporation Abnormality detection for isolating a control system
US9075410B2 (en) 2011-02-15 2015-07-07 International Business Machines Corporation Abnormality detection for isolating a control system
US9043917B2 (en) 2011-05-24 2015-05-26 Palo Alto Networks, Inc. Automatic signature generation for malicious PDF files
JP2016146192A (ja) * 2011-05-24 2016-08-12 パロ・アルト・ネットワークス・インコーポレーテッドPalo Alto Networks Incorporated マルウェア解析システム
JP2014519113A (ja) * 2011-05-24 2014-08-07 パロ・アルト・ネットワークス・インコーポレーテッド マルウェア解析システム
US9491142B2 (en) 2011-05-24 2016-11-08 Palo Alto Networks, Inc. Malware analysis system
US10382360B2 (en) 2012-01-27 2019-08-13 Nokia Solutions And Networks Oy Session termination in a mobile packet core network
JP2013236687A (ja) * 2012-05-11 2013-11-28 We Are Engineering Kk コンピュータゲーム
JP2015082787A (ja) * 2013-10-24 2015-04-27 ブライシス株式会社 クラウド環境においてセキュアなクレジットカードシステムを実現するための情報処理システムおよびファイアウォール装置
JP2017163504A (ja) * 2016-03-11 2017-09-14 Necプラットフォームズ株式会社 中継装置、通信システム、中継方法及び中継プログラム
JP2016154389A (ja) * 2016-05-18 2016-08-25 ノキア ソリューションズ アンド ネットワークス オサケユキチュア 移動パケットコアネットワークにおけるセッション終了
JP7054824B2 (ja) 2016-10-24 2022-04-15 パナソニックIpマネジメント株式会社 製品の製造システム、マルウェア検知システム、製品の製造方法及びマルウェア検知方法
JPWO2018079424A1 (ja) * 2016-10-24 2019-09-19 パナソニックIpマネジメント株式会社 製品の製造システム、マルウェア検知システム、製品の製造方法及びマルウェア検知方法
WO2018079424A1 (ja) * 2016-10-24 2018-05-03 パナソニックIpマネジメント株式会社 製品の製造システム、マルウェア検知システム、製品の製造方法及びマルウェア検知方法
JP2019032630A (ja) * 2017-08-07 2019-02-28 サクサ株式会社 セキュリティ監視システム、セキュリティ監視装置、検証用装置、セキュリティ監視プログラム及び検証用プログラム
CN110336793A (zh) * 2019-06-10 2019-10-15 平安科技(深圳)有限公司 一种内网访问方法及相关装置
CN110336793B (zh) * 2019-06-10 2022-08-23 平安科技(深圳)有限公司 一种内网访问方法及相关装置
JP2021072632A (ja) * 2021-01-05 2021-05-06 Necプラットフォームズ株式会社 受信データ判定方法、通信装置、および、プログラム
JP7068514B2 (ja) 2021-01-05 2022-05-16 Necプラットフォームズ株式会社 受信データ判定方法、通信装置、および、プログラム
CN112769860A (zh) * 2021-01-25 2021-05-07 中国人民解放军92493部队参谋部 一种旁路设置的威胁管控系统及方法
CN112769860B (zh) * 2021-01-25 2022-10-18 中国人民解放军92493部队参谋部 一种旁路设置的威胁管控系统及方法
CN117097573A (zh) * 2023-10-19 2023-11-21 深圳竹云科技股份有限公司 一种零信任安全体系下的防火墙动态访问控制方法及装置
CN117097573B (zh) * 2023-10-19 2024-01-30 深圳竹云科技股份有限公司 一种零信任安全体系下的防火墙动态访问控制方法及装置

Also Published As

Publication number Publication date
JP4581104B2 (ja) 2010-11-17

Similar Documents

Publication Publication Date Title
JP4581104B2 (ja) ネットワークセキュリティシステム
EP2555486B1 (en) Multi-method gateway-based network security systems and methods
CN101496025B (zh) 用于向移动设备提供网络安全的系统和方法
JP4911018B2 (ja) フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム
US7756981B2 (en) Systems and methods for remote rogue protocol enforcement
EP1905197B1 (en) System and method for detecting abnormal traffic based on early notification
CN101802837B (zh) 通过对设备的动态地址隔离来提供网络和计算机防火墙保护的系统和方法
ES2309364T3 (es) Procedimiento y sistema de deteccion de una utilizacion no autorizada de una red de comunicaciones.
US7039950B2 (en) System and method for network quality of service protection on security breach detection
JP2006506853A (ja) 能動的ネットワーク防衛システム及び方法
JP2002342279A (ja) フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム
KR20080028381A (ko) 타겟 희생자 자체-식별 및 제어에 의해 ip네트워크들에서 서비스 거부 공격들에 대한 방어 방법
CN103858383B (zh) 防火墙群集中的验证共享
US11838319B2 (en) Hardware acceleration device for denial-of-service attack identification and mitigation
KR101006372B1 (ko) 유해 트래픽 격리 시스템 및 방법
JP2000354034A (ja) 事業:ハッカー監視室
JP2003099339A (ja) 侵入検知・防御装置及びプログラム
JP2006501527A (ja) ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃の確認と防御のための方法、データキャリア、コンピュータシステム、およびコンピュータプログラム
JP2003186763A (ja) コンピュータシステムへの不正侵入の検知と防止方法
Park A study about dynamic intelligent network security systems to decrease by malicious traffic
JP2011030223A (ja) フロー別の動的接近制御システム及び方法
Mavrommatis Confronting and intrusion detection techniques of cyber-attacks in wired and wireless communication networks
Selvaraj et al. Enhancing intrusion detection system performance using firecol protection services based honeypot system
JP2006201951A (ja) ネットワーク防御システム、ネットワーク防御方法、監視マネージャおよびプログラム
Hooper An intelligent detection and response strategy to false positives and network attacks: operation of network quarantine channels and feedback methods to IDS

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060327

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080704

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080826

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081027

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090428

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090629

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100406

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100513

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100803

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100809

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130910

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees