JP2005057522A - ネットワーク攻撃に関する影響分析システム、ネットワーク攻撃に関する影響分析方法およびネットワーク攻撃に関する影響分析プログラム - Google Patents
ネットワーク攻撃に関する影響分析システム、ネットワーク攻撃に関する影響分析方法およびネットワーク攻撃に関する影響分析プログラム Download PDFInfo
- Publication number
- JP2005057522A JP2005057522A JP2003286695A JP2003286695A JP2005057522A JP 2005057522 A JP2005057522 A JP 2005057522A JP 2003286695 A JP2003286695 A JP 2003286695A JP 2003286695 A JP2003286695 A JP 2003286695A JP 2005057522 A JP2005057522 A JP 2005057522A
- Authority
- JP
- Japan
- Prior art keywords
- network
- verification
- packet
- attack
- impact analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【解決手段】 守備対象外のネットワークであるインターネット1と守備対象のネットワークである内部ネットワーク2との間で送受信されるパケットを監視する侵入検知システム11と、侵入検知システム11を介して取り込んだパケットである検証対象パケットが送信される検証用ネットワーク12とを有することを特徴とする。
【選択図】 図1
Description
また、本発明は、上述した事情に鑑みてなされたもので、侵入検知システムなどにより検知された攻撃により守備対象に実際に影響が出るか否かの判定、および、攻撃による守備対象システムの影響について具体的に検証、確認又は予測できるネットワーク攻撃に関する影響分析システム、ネットワーク攻撃に関する影響分析方法およびネットワーク攻撃に関する影響分析プログラムを提供することを目的とする。
本発明によれば、検証対象パケットを検証用ネットワークに送信するので、その送信後の検証用ネットワークの挙動を観察することなどにより、検証対象パケットが本当に守備対象のネットワーク又はシステムに悪影響を与えるか否かを検証、確認又は予測することができる。また、守備対象のネットワーク又はシステムが攻撃パケットによる影響を観察しにくいものでも、検証用ネットワークについて攻撃パケットによる影響を観察しやすい状態又は構成とすることで、検証対象パケットが悪影響を与えるか否かを容易に検証などすることができる。すなわち、本発明によれば、守備対象のネットワークなどがセキュリティ状態の観察用装置など所定装置以外の装置の接続が禁止されているものである場合でも、検証用ネットワークにセキュリティ状態の観察用装置を接続することができる。
本発明によれば、前記侵入検知システムが検出した攻撃しそうなパケット(検証対象パケット)をパケット再送装置が検証用ネットワークに送信することができる。したがって検証対象パケットを受信した後の検証用ネットワークの挙動を観察することなどにより、その検証対象パケットが守備対象のネットワークに対して本当に悪影響を与えるものか否かをより簡便に検証、確認又は予測することができる。
また、前記パケット再送装置は、侵入検知システムが検出した検証対象パケットを検証用ネットワークへ再送するために、パケット再送機能と、送信先IPアドレス変換機能とを有することが好ましい。
本発明によれば、ホスト型検証装置によって検証用ネットワークの状態変化すなわち検証対象パケットによって攻撃を受けたか否かを検出することができる。また、その攻撃の態様及び規模など(ファイルの変更、削除など)すなわち検証対象パケットが及ぼす影響をホスト型検証装置が検出することができる。したがって、本発明によれば、検証用パケットが内部ネットワークに対して影響を与えるか否かの判断、及びその影響の内容についての具体的な検証、確認又は予測などをすることができる。
本発明によれば、例えば、DoS(Denial of Service attack)攻撃など検証対象パケットが内部ネットワークを「踏み台」にして他のネットワークを攻撃するものであっても、その攻撃を検出することができる。これは、検証用ネットワークが検証対象パケットによって攻撃システムの「踏み台」にされた場合検証用ネットワーク内から外への通信量が急激に増大することとなる。そこで、その急激な通信量の変化をネットワーク型検証装置が検出することで、かかる「踏み台」攻撃を検出することができる。本発明は、内部ネットワークから外への通信量の変化を検出することが諸般の事情によりできない場合などに特に効果的である。
本発明によれば、内部ネットワークを構成しているホスト装置のオペレーティング・システム及びパッチ状態と検証用ネットワーク構成しているホスト装置のオペレーティング・システム及びパッチ状態とを同一にすることができる。ここで、パッチ状態とはセキュリティ対策のためのパッチなどである。したがって、本発明によれば、内部ネットワークのセキュリティ状態と検証用ネットワークのセキュリティ状態とを同一にすることができるので、検証用ネットワークの状態を観察することにより、内部ネットワークのセキュリティ状態を正確に観察することができる。
検証用ネットワークとしては、実際のネットワーク又は擬似的に生成した仮想ネットワークを用いることができる。実際のネットワーク及び仮想ネットワークともに、検証対象パケットの攻撃を受けても容易に初期状態などに戻すことが可能な構成としておくことができる。
本発明によれば、検証用ネットワークの状態を観察することにより、内部ネットワークが検証対象パケットによって実際に影響がでるか、及びその影響についての具体的な内容(ファイルの変更規模、CPUやメモリなどの資源の変化状態)を正確に観察することができる。
本発明によれば、内部ネットワークを構成するホスト装置のファイル、通信ポート及び構成資源の状態を把握することが困難である場合においても、内部ネットワークが検証対象パケットによって実際に影響がでるか、及びその影響についての具体的な内容を正確に観察及び検証などすることができる。
本発明によれば、例えば、攻撃パケット(検証対象パケットのうちの一つ)がTCP通信フローに従う場合、攻撃パケットを受信した検証用ネットワークのホスト装置から外部ネットワーク(インターネットなど)に向けて送信しているか否かを検出することができる。したがって、本発明によれば、検証対象パケットがDoS攻撃などにおける「踏み台」作りをするパケットであるか否かなどを検証、確認及び予測することができる。
本発明によれば、侵入検知システムを介して内部ネットワークに送信されるパケットの全てを検証用ネットワークで検証することができる。そこで、本発明によれば、侵入検知システムで検出されない新たな攻撃パケットなどについても検証用ネットワークで検出することができる。
本発明によれば、内部ネットワークにセキュリティ・パッチを施すことで、そのセキュリティ・パッチを検証用ネットワークにも施すことができる。そこで、本発明によれば、セキュリティ管理者などの労力を軽減させながら、検証対象パケットが内部ネットワークに対して影響を及ぼすか否かおよびその影響内容について、正確に検証、確認及び予測をすることが可能となる。
本発明によれば、セキュリティ監査装置により、内部ネットワークの各種セキュリティ状態を検出することができる。そして、監査反映装置により、内部ネットワークの各種セキュリティ状態を検証用ネットワークに反映させることができる。したがって、本発明によれば、労力をかけずに、内部ネットワークのセキュリティ状態と検証用ネットワークのセキュリティ状態とを同一にすることができる。そこで、本発明によれば、セキュリティ管理者などの労力を軽減させながら、内部ネットワークのセキュリティ状態を正確に観察できるとともに、内部ネットワーク2のセキュリティを高めることができる。
本発明によれば、検証用ネットワークで検証されたパケットを内部ネットワークに送信することができ、検証用ネットワークで検出された攻撃パケットが内部ネットワークに侵入することを未然に回避することができる。そこで、本発明によれば、侵入検知システムでは検出することができない新たな攻撃パケットが内部ネットワークに侵入することを未然に回避することもできる。また本発明によれば、侵入検知システムで誤って検出された正常パケット(非攻撃パケット)を安心して内部ネットワークに送信することができる。
図1は本発明の一実施形態に係るネットワーク攻撃に関する影響分析システムの構成例を示すブロック図である。本ネットワーク攻撃に関する影響分析システムは、内部ネットワーク2を守備対象のネットワーク及びシステムとしている。内部ネットワーク2は、侵入検知システム(IDS)11を介して、インターネット1と接続される。内部ネットワーク2は、現実に物理的に存在する所望のネットワークである。そして、内部ネットワーク2は、例えばドメインネームシステム(DNS)サーバ、ウェブ(Web)サーバ、メール(Mail)サーバ及び複数のパーソナルコンピュータ(UserPC)などのホスト装置を含んでいるものとする。内部ネットワーク2の代わりに所定のパーソナルコンピュータなどの単体を適用してもよい。
侵入検知システム11は、インターネット1と内部ネットワーク2との間で送受信されるパケットおよびトラヒックを監視するものである。そして、侵入検知システム11は、上記パケットおよびトラヒックを監視して、アラーム(アラート)、攻撃パケットおよび全パケットを収集してIDSログ11aとして保存する。すなわち、侵入検知システム11は、インターネット1と内部ネットワーク2との間を流れるパケットを分析し、パターン照合などにより不正アクセスと思われるパケット(攻撃パケット)を検出する。また、侵入検知システム11は、ウィルスなどを含むパケットもパターン照合などにより検出する。そして、侵入検知システム11は、検出した攻撃パケットをIDSログ11aとして保存するとともに、その検出ごとにアラーム(アラート)を出力し、管理者に通知する。アラートとは、管理者に対して注意又は警告を与えるために表示されるメッセージである。また、侵入検知システム11は、インターネット1と内部ネットワーク2との間を流れる全てのパケット(全パケット)をIDSログ11aとして保存することもできる。また侵入検知システム11としては、攻撃パケットを検出した場合、又は検証用ネットワーク12などからの指示により、インターネット1と内部ネットワーク2との間の通信を切断する機能を有するものとしてもよい。
ゲートウェイ14は、パケット再送装置13側の通信プロトコルと検証用ネットワーク12側の通信プロトコルとの違いを調整して、パケット再送装置13と検証用ネットワーク12との接続を可能にする装置である。
ここで、インターネット1と内部ネットワーク2との間でやり取りされる全てのパケットをIDSログ11aに含ませてもよい。
その検証対象パケットは、ゲートウェイ14を介して検証用ネットワーク12の各ホストに送信される。
次いで、ホスト型検証装置16は、検証用ネットワーク12の各ホストの挙動を確認する。また、このとき、ネットワーク型検証装置15は、検証用ネットワークから外に向かうパケット(SYNパケットなど)及び通信量の変化を確認する(ステップS3)。
パケット再送装置13は、例えばコムワース社の「SURVEYOR」というソフトウェアにおける「Packet Blaster」というモジュールを用いることで容易に実現できる。「Packet Blaster」は、パケットの送信仕様をユーザが簡便に指定できるパケット送信機能を有するソフトウェア・モジュールである。
a)検証用ネットワーク12を構成するホスト装置(DNSサーバ、Webサーバ、Mailサーバ、UserPCなど)に格納されているファイルが変更されたか否か。
b)検証用ネットワーク12を構成するホスト装置における通信ポートのオープン/クローズがされたか否か。
c)検証用ネットワーク12を構成するホスト装置におけるプロセスの起動/終了がされたか否か。
d)検証用ネットワーク12を構成するホスト装置の構成資源(CPU、メモリ容量など)の変化。
上記検査項目d)についても、検証用ネットワーク12を構成するホスト装置上で「ps」コマンドを実行させることにより確認できる。
上記パケット再送装置13は、侵入検知システム11が受信又は収集したパケットの全てを検証用ネットワーク12に送信する機能を有するものとしてもよい。ここで、侵入検知システム11が受信又は収集したパケットの全ての中には、侵入検知システム11で正常と判断されたパケットも含む。こられのパケットの全てを検証用ネットワーク12に送信して、上記ネットワーク型検証装置15およびホスト型検証装置16により検証用ネットワーク12の挙動を検査することにより、侵入検知システム11では検出できない未知の新たな攻撃パケットの検出が可能となる。
Claims (20)
- 守備対象外のネットワークと守備対象のネットワークである内部ネットワークとの間で送受信されるパケットを監視する侵入検知システムと、
前記侵入検知システムを介して取り込んだパケットである検証対象パケットが送信される検証用ネットワークとを有することを特徴とするネットワーク攻撃に関する影響分析システム。 - 前記侵入検知システムが検出したパケットを前記検証対象パケットとして前記検証用ネットワークに送信するパケット再送装置を有することを特徴とする請求項1に記載のネットワーク攻撃に関する影響分析システム。
- 前記検証用ネットワークにおける前記検証対象パケットを受信した後の状態変化を検出するホスト型検証装置を有することを特徴とする請求項1に記載のネットワーク攻撃に関する影響分析システム。
- 前記検証用ネットワークが前記検証対象パケットを受信した後における該検証用ネットワーク内から外への通信量の変化を検出するネットワーク型検証装置を有することを特徴とする請求項1に記載のネットワーク攻撃に関する影響分析システム。
- 前記検証用ネットワークは、前記内部ネットワークを構成しているホスト装置のオペレーティング・システムと、該ホスト装置に適用されているパッチ状態とのうちの少なくとも一方を再現可能な構成となっていることを特徴とする請求項1に記載のネットワーク攻撃に関する影響分析システム。
- 前記検証用ネットワークは、前記内部ネットワークの構成と実質的に同一な構成であって、該内部ネットワークと同一レベルのセキュリティ対策が施されていることを特徴とする請求項1に記載のネットワーク攻撃に関する影響分析システム。
- 前記ホスト型検証装置は、前記状態変化の検出するために、前記検証用ネットワークを構成するホスト装置に格納されているファイルが変更されたか否かと、該ホスト装置の通信ポートのオープン・クローズ状態と、該ホスト装置におけるプロセスの起動・終了がされたか否かと、該ホスト装置の構成資源の変化とのうちの少なくとも一つを検出することを特徴とする請求項3に記載のネットワーク攻撃に関する影響分析システム。
- 前記ネットワーク型検証装置は、前記検証用ネットワークを構成しているホスト装置であって前記検証対象パケットを受信したホスト装置が前記検証用ネットワークの外に向けてパケットを送信しているか否かを検出する手段を有することを特徴とする請求項4に記載のネットワーク攻撃に関する影響分析システム。
- 前記パケット再送装置は、前記侵入検知システムが受信したパケットの全てを前記検証用ネットワークに送信する機能を有することを特徴とする請求項2に記載のネットワーク攻撃に関する影響分析システム。
- 前記検証用ネットワークは、前記内部ネットワークを構成しているホスト装置に対して行われたセキュリティ・パッチと同一のセキュリティ・パッチを、自身のネットワークについて自動的に施すパッチ自動更新装置を有することを特徴とする請求項1乃至9のいずれか一項に記載のネットワーク攻撃に関する影響分析システム。
- 前記内部ネットワークのセキュリティ監査をするセキュリティ監査装置と、
前記セキュリティ監査装置の監査結果を前記検証用ネットワークに反映させる監査反映装置とを有することを特徴とする請求項1乃至10のいずれか一項に記載のネットワーク攻撃に関する影響分析システム。 - 前記検証用ネットワークで検証されたパケットを前記内部ネットワークに送信する検証済みパケット送信装置を有することを特徴とする請求項1乃至11のいずれか一項に記載のネットワーク攻撃に関する影響分析システム。
- 守備対象のネットワークである内部ネットワークに対応する検証用ネットワークを物理的に又は仮想的に設け、
前記内部ネットワークに入れるパケットを前記検証用ネットワークに入れ、該パケットが検証用ネットワークに及ぼす影響を検証することを特徴とするネットワーク攻撃に関する影響分析方法。 - 前記検証は、
前記検証用ネットワークを前記内部ネットワークの構成及びセキュリティ状態と同一にして行うことを特徴とする請求項13に記載のネットワーク攻撃に関する影響分析方法。 - 前記検証は、
前記内部ネットワークについて送受信されるパケットを監視する侵入検知システムで検出されたパケットを前記検証用ネットワークに入れることで行うことを特徴とする請求項13又は14に記載のネットワーク攻撃に関する影響分析方法。 - 前記検証がなされたパケットを前記内部ネットワークに入れることを特徴とする請求項13乃至15のいずれか一項に記載のネットワーク攻撃に関する影響分析方法。
- 守備対象のネットワークである内部ネットワークに対応する検証用ネットワークに、検証対象のパケットを入れるステップと、
前記検証対象のパケットが検証用ネットワークに及ぼす影響を検証するステップとをコンピュータに実行させることを特徴とするネットワーク攻撃に関する影響分析プログラム。 - 前記内部ネットワークの構成及びセキュリティ状態と略同一の仮想的なネットワークとして前記検証用ネットワークを構築するステップを有することを特徴とする請求項17に記載のネットワーク攻撃に関する影響分析プログラム。
- 侵入検知システムで検出されたパケットを前記検証対象のパケットとするステップを有することを特徴とする請求項17又は18に記載のネットワーク攻撃に関する影響分析プログラム。
- 前記検証するステップで検証がなされたパケットを前記内部ネットワークに入れるステップを有することを特徴とする請求項17乃至19のいずれか一項に記載のネットワーク攻撃に関する影響分析プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003286695A JP2005057522A (ja) | 2003-08-05 | 2003-08-05 | ネットワーク攻撃に関する影響分析システム、ネットワーク攻撃に関する影響分析方法およびネットワーク攻撃に関する影響分析プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003286695A JP2005057522A (ja) | 2003-08-05 | 2003-08-05 | ネットワーク攻撃に関する影響分析システム、ネットワーク攻撃に関する影響分析方法およびネットワーク攻撃に関する影響分析プログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005057522A true JP2005057522A (ja) | 2005-03-03 |
Family
ID=34365912
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003286695A Pending JP2005057522A (ja) | 2003-08-05 | 2003-08-05 | ネットワーク攻撃に関する影響分析システム、ネットワーク攻撃に関する影響分析方法およびネットワーク攻撃に関する影響分析プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005057522A (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007334536A (ja) * | 2006-06-14 | 2007-12-27 | Securebrain Corp | マルウェアの挙動解析システム |
JP2015231138A (ja) * | 2014-06-05 | 2015-12-21 | 日本電信電話株式会社 | サイバー攻撃演習システム、演習環境提供方法、および、演習環境提供プログラム |
US9794274B2 (en) | 2014-09-08 | 2017-10-17 | Mitsubishi Electric Corporation | Information processing apparatus, information processing method, and computer readable medium |
-
2003
- 2003-08-05 JP JP2003286695A patent/JP2005057522A/ja active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007334536A (ja) * | 2006-06-14 | 2007-12-27 | Securebrain Corp | マルウェアの挙動解析システム |
JP2015231138A (ja) * | 2014-06-05 | 2015-12-21 | 日本電信電話株式会社 | サイバー攻撃演習システム、演習環境提供方法、および、演習環境提供プログラム |
US9794274B2 (en) | 2014-09-08 | 2017-10-17 | Mitsubishi Electric Corporation | Information processing apparatus, information processing method, and computer readable medium |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10587647B1 (en) | Technique for malware detection capability comparison of network security devices | |
US8997236B2 (en) | System, method and computer readable medium for evaluating a security characteristic | |
US10225280B2 (en) | System and method for verifying and detecting malware | |
EP2106085B1 (en) | System and method for securing a network from zero-day vulnerability exploits | |
US7845007B1 (en) | Method and system for intrusion detection in a computer network | |
US9871811B2 (en) | Identifying security properties of systems from application crash traffic | |
US7941856B2 (en) | Systems and methods for testing and evaluating an intrusion detection system | |
US8572750B2 (en) | Web application exploit mitigation in an information technology environment | |
CN104468632A (zh) | 防御漏洞攻击的方法、设备及系统 | |
CN113660224B (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
US20040030931A1 (en) | System and method for providing enhanced network security | |
KR20060117693A (ko) | 웹 보안방법 및 그 장치 | |
US20210409446A1 (en) | Leveraging network security scanning to obtain enhanced information regarding an attack chain involving a decoy file | |
JP2014086821A (ja) | 不正コネクション検出方法、ネットワーク監視装置及びプログラム | |
JP5549281B2 (ja) | 不正侵入検知・防御システム、クライアントコンピュータ、不正侵入検知・防御装置、方法およびプログラム | |
KR102156379B1 (ko) | 정보수집 프로세스를 통한 에이전트리스 방식 취약점 진단시스템 및 그 방법 | |
Ravji et al. | Integrated intrusion detection and prevention system with honeypot in cloud computing | |
JP5476578B2 (ja) | ネットワーク監視システム及びその方法 | |
Le et al. | A threat computation model using a Markov Chain and common vulnerability scoring system and its application to cloud security | |
TWM592531U (zh) | 網路攻擊分析系統 | |
KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 | |
JP2005057522A (ja) | ネットワーク攻撃に関する影響分析システム、ネットワーク攻撃に関する影響分析方法およびネットワーク攻撃に関する影響分析プログラム | |
Todd et al. | Alert verification evasion through server response forging | |
TWI761122B (zh) | 網路資安威脅防護系統及相關的前攝性可疑網域示警系統 | |
Gheorghe et al. | Attack evaluation and mitigation framework |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050909 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20050912 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070419 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070515 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070712 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20071010 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20071010 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20071030 |