JP2005057522A - ネットワーク攻撃に関する影響分析システム、ネットワーク攻撃に関する影響分析方法およびネットワーク攻撃に関する影響分析プログラム - Google Patents
ネットワーク攻撃に関する影響分析システム、ネットワーク攻撃に関する影響分析方法およびネットワーク攻撃に関する影響分析プログラム Download PDFInfo
- Publication number
- JP2005057522A JP2005057522A JP2003286695A JP2003286695A JP2005057522A JP 2005057522 A JP2005057522 A JP 2005057522A JP 2003286695 A JP2003286695 A JP 2003286695A JP 2003286695 A JP2003286695 A JP 2003286695A JP 2005057522 A JP2005057522 A JP 2005057522A
- Authority
- JP
- Japan
- Prior art keywords
- network
- verification
- packet
- attack
- impact analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 ネットワークなどを介しての攻撃により守備対象システムに実際に影響が出るか否かの判定、および、攻撃による守備対象システムの影響について具体的に検証、確認又は予測できるネットワーク攻撃に関する影響分析システム、方法およびプログラムを提供する。
【解決手段】 守備対象外のネットワークであるインターネット1と守備対象のネットワークである内部ネットワーク2との間で送受信されるパケットを監視する侵入検知システム11と、侵入検知システム11を介して取り込んだパケットである検証対象パケットが送信される検証用ネットワーク12とを有することを特徴とする。
【選択図】 図1
【解決手段】 守備対象外のネットワークであるインターネット1と守備対象のネットワークである内部ネットワーク2との間で送受信されるパケットを監視する侵入検知システム11と、侵入検知システム11を介して取り込んだパケットである検証対象パケットが送信される検証用ネットワーク12とを有することを特徴とする。
【選択図】 図1
Description
本発明は、ネットワーク攻撃に関する影響分析システム、ネットワーク攻撃に関する影響分析方法およびネットワーク攻撃に関する影響分析プログラムに関する。
従来の侵入検知システム(IDS:Intrusion Detection System)は、登録された攻撃パターンに該当するパケットを検知するとアラームを出力して管理者に知らせる。また、従来のネットワークベース侵入検査方法としては、情報処理システムに対する攻撃パターンとしてデータベースに存在しない攻撃であっても、その攻撃を不正アクセスとして検知しようとする技術が考えられている(例えば、特許文献1参照)。また、従来の不正アクセス検知方法としては、オペレーティング・システム(OS:Operating System)及びサーバアプリケーションの異なるサーバを2つ用意しておく手法が考えられている。その手法では、疑わしいパケット(攻撃しそうなパケット)をその2つのサーバに並行入力し、そのときの応答データの差違の有無を検出する。ここで、差違があれば、攻撃パケットと判定する(例えば、特許文献2参照)。
特開2002−335246号公報
特開2003−67269号公報
しかしながら、従来の侵入検知システムでは、検知されたアラームの中に、誤検知、多重検知、セキュリティ対策済みの攻撃についての検知などが含まれるので、大量のアラームが出力され管理者の負担が大きいという問題点がある。その理由について説明する。守備対象とされるネットワーク又はシステムは、実際にはファイヤーウォール(Firewall)によるフィルタリング及びセキュリティ・パッチなどが適用されている。これにより、侵入検知システムにより検知された大量の攻撃パケットのうち実際にシステムに悪影響を与えるものは殆どない。侵入検知システムの管理者が最も知りたいことは、大量に検知されたアラームの中から本当に悪影響を及ぼすアラームと、そのアラームによる具体的な影響内容である。すなわち、従来の侵入検知システムでは、大量に出力されたアラームのうち本当に悪影響を及ぼす攻撃対象を示すアラームがほとんど無く、セキュリティレベルを上げるべく、大量に出力されたアラームについて管理者が注意を払おうとすると多大な労力が必要となっていた。そして、従来の侵入検知システムでは、アラームに対応するパケットである攻撃しそうなパケットによって守備対象のシステムなどが具体的にどのような影響(攻撃)を被るかを予測できるものはなかった。
また、上記特許文献1に記載されているネットワークベース侵入検査方法では、攻撃の「分析」手法については記載されているが、これは分析対象となるトラヒックの管理手法である。したがって、特許文献1においては、攻撃の「影響」をどのような手法で測定するかといった具体的な手法は何ら記載されていない。そこで、特許文献1に記載されているネットワークベース侵入検査方法では、ネットワークを介して送受信される大量のパケットの中から本当に悪影響を及ぼすパケットと、そのパケットによる具体的な影響内容とを知ることはできない。
また、上記特許文献2に記載されている不正アクセス検知方法では、そもそも正常なパケットであった場合でも、異なる応答データを返すOS又はアプリケーションである場合誤検出することとなる。また、特許文献2記載の技術では、応答データ以外に判断データが無いので、応答を必要としない攻撃パケットの場合には検出することができないという問題点もある。
本発明は、上述した事情に鑑みてなされたもので、ネットワークなどを介しての攻撃により守備対象システムに実際に影響が出るか否かの判定、および、攻撃による守備対象システムの影響について具体的に検証、確認又は予測できるネットワーク攻撃に関する影響分析システム、ネットワーク攻撃に関する影響分析方法およびネットワーク攻撃に関する影響分析プログラムを提供することを目的とする。
また、本発明は、上述した事情に鑑みてなされたもので、侵入検知システムなどにより検知された攻撃により守備対象に実際に影響が出るか否かの判定、および、攻撃による守備対象システムの影響について具体的に検証、確認又は予測できるネットワーク攻撃に関する影響分析システム、ネットワーク攻撃に関する影響分析方法およびネットワーク攻撃に関する影響分析プログラムを提供することを目的とする。
また、本発明は、上述した事情に鑑みてなされたもので、侵入検知システムなどにより検知された攻撃により守備対象に実際に影響が出るか否かの判定、および、攻撃による守備対象システムの影響について具体的に検証、確認又は予測できるネットワーク攻撃に関する影響分析システム、ネットワーク攻撃に関する影響分析方法およびネットワーク攻撃に関する影響分析プログラムを提供することを目的とする。
上記の目的を達成するために、請求項1記載の発明に係るネットワーク攻撃に関する影響分析システムは、守備対象外のネットワークと守備対象のネットワーク(システムも含む)である内部ネットワークとの間で送受信されるパケットを監視する侵入検知システムと、前記侵入検知システムを介して取り込んだパケットである検証対象パケットが送信される検証用ネットワークとを有することを特徴とする。
本発明によれば、検証対象パケットを検証用ネットワークに送信するので、その送信後の検証用ネットワークの挙動を観察することなどにより、検証対象パケットが本当に守備対象のネットワーク又はシステムに悪影響を与えるか否かを検証、確認又は予測することができる。また、守備対象のネットワーク又はシステムが攻撃パケットによる影響を観察しにくいものでも、検証用ネットワークについて攻撃パケットによる影響を観察しやすい状態又は構成とすることで、検証対象パケットが悪影響を与えるか否かを容易に検証などすることができる。すなわち、本発明によれば、守備対象のネットワークなどがセキュリティ状態の観察用装置など所定装置以外の装置の接続が禁止されているものである場合でも、検証用ネットワークにセキュリティ状態の観察用装置を接続することができる。
本発明によれば、検証対象パケットを検証用ネットワークに送信するので、その送信後の検証用ネットワークの挙動を観察することなどにより、検証対象パケットが本当に守備対象のネットワーク又はシステムに悪影響を与えるか否かを検証、確認又は予測することができる。また、守備対象のネットワーク又はシステムが攻撃パケットによる影響を観察しにくいものでも、検証用ネットワークについて攻撃パケットによる影響を観察しやすい状態又は構成とすることで、検証対象パケットが悪影響を与えるか否かを容易に検証などすることができる。すなわち、本発明によれば、守備対象のネットワークなどがセキュリティ状態の観察用装置など所定装置以外の装置の接続が禁止されているものである場合でも、検証用ネットワークにセキュリティ状態の観察用装置を接続することができる。
また、請求項2記載の発明は、前記ネットワーク攻撃に関する影響分析システムが、前記侵入検知システムが検出したパケットを前記検証対象パケットとして前記検証用ネットワークに送信するパケット再送装置を有することを特徴とする。
本発明によれば、前記侵入検知システムが検出した攻撃しそうなパケット(検証対象パケット)をパケット再送装置が検証用ネットワークに送信することができる。したがって検証対象パケットを受信した後の検証用ネットワークの挙動を観察することなどにより、その検証対象パケットが守備対象のネットワークに対して本当に悪影響を与えるものか否かをより簡便に検証、確認又は予測することができる。
また、前記パケット再送装置は、侵入検知システムが検出した検証対象パケットを検証用ネットワークへ再送するために、パケット再送機能と、送信先IPアドレス変換機能とを有することが好ましい。
本発明によれば、前記侵入検知システムが検出した攻撃しそうなパケット(検証対象パケット)をパケット再送装置が検証用ネットワークに送信することができる。したがって検証対象パケットを受信した後の検証用ネットワークの挙動を観察することなどにより、その検証対象パケットが守備対象のネットワークに対して本当に悪影響を与えるものか否かをより簡便に検証、確認又は予測することができる。
また、前記パケット再送装置は、侵入検知システムが検出した検証対象パケットを検証用ネットワークへ再送するために、パケット再送機能と、送信先IPアドレス変換機能とを有することが好ましい。
また、請求項3記載の発明は、前記ネットワーク攻撃に関する影響分析システムが、前記検証用ネットワークにおける前記検証対象パケットを受信した後の状態変化を検出するホスト型検証装置を有することを特徴とする。
本発明によれば、ホスト型検証装置によって検証用ネットワークの状態変化すなわち検証対象パケットによって攻撃を受けたか否かを検出することができる。また、その攻撃の態様及び規模など(ファイルの変更、削除など)すなわち検証対象パケットが及ぼす影響をホスト型検証装置が検出することができる。したがって、本発明によれば、検証用パケットが内部ネットワークに対して影響を与えるか否かの判断、及びその影響の内容についての具体的な検証、確認又は予測などをすることができる。
本発明によれば、ホスト型検証装置によって検証用ネットワークの状態変化すなわち検証対象パケットによって攻撃を受けたか否かを検出することができる。また、その攻撃の態様及び規模など(ファイルの変更、削除など)すなわち検証対象パケットが及ぼす影響をホスト型検証装置が検出することができる。したがって、本発明によれば、検証用パケットが内部ネットワークに対して影響を与えるか否かの判断、及びその影響の内容についての具体的な検証、確認又は予測などをすることができる。
また、請求項4記載の発明は、前記ネットワーク攻撃に関する影響分析システムが、前記検証用ネットワークが前記検証対象パケットを受信した後における該検証用ネットワーク内から外への通信量の変化を検出するネットワーク型検証装置を有することを特徴とする。
本発明によれば、例えば、DoS(Denial of Service attack)攻撃など検証対象パケットが内部ネットワークを「踏み台」にして他のネットワークを攻撃するものであっても、その攻撃を検出することができる。これは、検証用ネットワークが検証対象パケットによって攻撃システムの「踏み台」にされた場合検証用ネットワーク内から外への通信量が急激に増大することとなる。そこで、その急激な通信量の変化をネットワーク型検証装置が検出することで、かかる「踏み台」攻撃を検出することができる。本発明は、内部ネットワークから外への通信量の変化を検出することが諸般の事情によりできない場合などに特に効果的である。
本発明によれば、例えば、DoS(Denial of Service attack)攻撃など検証対象パケットが内部ネットワークを「踏み台」にして他のネットワークを攻撃するものであっても、その攻撃を検出することができる。これは、検証用ネットワークが検証対象パケットによって攻撃システムの「踏み台」にされた場合検証用ネットワーク内から外への通信量が急激に増大することとなる。そこで、その急激な通信量の変化をネットワーク型検証装置が検出することで、かかる「踏み台」攻撃を検出することができる。本発明は、内部ネットワークから外への通信量の変化を検出することが諸般の事情によりできない場合などに特に効果的である。
また、請求項5記載の発明は、前記検証用ネットワークが、前記内部ネットワークを構成しているホスト装置のオペレーティング・システムと、該ホスト装置に適用されているパッチ状態とのうちの少なくとも一方を再現可能な構成となっていることを特徴とする。
本発明によれば、内部ネットワークを構成しているホスト装置のオペレーティング・システム及びパッチ状態と検証用ネットワーク構成しているホスト装置のオペレーティング・システム及びパッチ状態とを同一にすることができる。ここで、パッチ状態とはセキュリティ対策のためのパッチなどである。したがって、本発明によれば、内部ネットワークのセキュリティ状態と検証用ネットワークのセキュリティ状態とを同一にすることができるので、検証用ネットワークの状態を観察することにより、内部ネットワークのセキュリティ状態を正確に観察することができる。
検証用ネットワークとしては、実際のネットワーク又は擬似的に生成した仮想ネットワークを用いることができる。実際のネットワーク及び仮想ネットワークともに、検証対象パケットの攻撃を受けても容易に初期状態などに戻すことが可能な構成としておくことができる。
本発明によれば、内部ネットワークを構成しているホスト装置のオペレーティング・システム及びパッチ状態と検証用ネットワーク構成しているホスト装置のオペレーティング・システム及びパッチ状態とを同一にすることができる。ここで、パッチ状態とはセキュリティ対策のためのパッチなどである。したがって、本発明によれば、内部ネットワークのセキュリティ状態と検証用ネットワークのセキュリティ状態とを同一にすることができるので、検証用ネットワークの状態を観察することにより、内部ネットワークのセキュリティ状態を正確に観察することができる。
検証用ネットワークとしては、実際のネットワーク又は擬似的に生成した仮想ネットワークを用いることができる。実際のネットワーク及び仮想ネットワークともに、検証対象パケットの攻撃を受けても容易に初期状態などに戻すことが可能な構成としておくことができる。
また、請求項6記載の発明は、前記検証用ネットワークが、前記内部ネットワークの構成と実質的に同一な構成であって、該内部ネットワークと同一レベルのセキュリティ対策が施されていることを特徴とする。
本発明によれば、検証用ネットワークの状態を観察することにより、内部ネットワークが検証対象パケットによって実際に影響がでるか、及びその影響についての具体的な内容(ファイルの変更規模、CPUやメモリなどの資源の変化状態)を正確に観察することができる。
本発明によれば、検証用ネットワークの状態を観察することにより、内部ネットワークが検証対象パケットによって実際に影響がでるか、及びその影響についての具体的な内容(ファイルの変更規模、CPUやメモリなどの資源の変化状態)を正確に観察することができる。
また、請求項7記載の発明は、前記ホスト型検証装置が、前記状態変化の検出するために、前記検証用ネットワークを構成するホスト装置に格納されているファイルが変更されたか否かと、該ホスト装置の通信ポートのオープン・クローズ状態と、該ホスト装置におけるプロセスの起動・終了がされたか否かと、該ホスト装置の構成資源(CPU、メモリなど)の変化とのうちの少なくとも一つを検出することを特徴とする。
本発明によれば、内部ネットワークを構成するホスト装置のファイル、通信ポート及び構成資源の状態を把握することが困難である場合においても、内部ネットワークが検証対象パケットによって実際に影響がでるか、及びその影響についての具体的な内容を正確に観察及び検証などすることができる。
本発明によれば、内部ネットワークを構成するホスト装置のファイル、通信ポート及び構成資源の状態を把握することが困難である場合においても、内部ネットワークが検証対象パケットによって実際に影響がでるか、及びその影響についての具体的な内容を正確に観察及び検証などすることができる。
また、請求項8記載の発明は、前記ネットワーク型検証装置が、前記検証用ネットワークを構成しているホスト装置であって前記検証対象パケットを受信したホスト装置が前記検証用ネットワークの外に向けてパケットを送信しているか否かを検出する手段を有することを特徴とする。
本発明によれば、例えば、攻撃パケット(検証対象パケットのうちの一つ)がTCP通信フローに従う場合、攻撃パケットを受信した検証用ネットワークのホスト装置から外部ネットワーク(インターネットなど)に向けて送信しているか否かを検出することができる。したがって、本発明によれば、検証対象パケットがDoS攻撃などにおける「踏み台」作りをするパケットであるか否かなどを検証、確認及び予測することができる。
本発明によれば、例えば、攻撃パケット(検証対象パケットのうちの一つ)がTCP通信フローに従う場合、攻撃パケットを受信した検証用ネットワークのホスト装置から外部ネットワーク(インターネットなど)に向けて送信しているか否かを検出することができる。したがって、本発明によれば、検証対象パケットがDoS攻撃などにおける「踏み台」作りをするパケットであるか否かなどを検証、確認及び予測することができる。
また、請求項9記載の発明は、前記パケット再送装置が、前記侵入検知システムが受信したパケットの全てを前記検証用ネットワークに送信する機能を有することを特徴とする。
本発明によれば、侵入検知システムを介して内部ネットワークに送信されるパケットの全てを検証用ネットワークで検証することができる。そこで、本発明によれば、侵入検知システムで検出されない新たな攻撃パケットなどについても検証用ネットワークで検出することができる。
本発明によれば、侵入検知システムを介して内部ネットワークに送信されるパケットの全てを検証用ネットワークで検証することができる。そこで、本発明によれば、侵入検知システムで検出されない新たな攻撃パケットなどについても検証用ネットワークで検出することができる。
また、請求項10記載の発明は、前記検証用ネットワークが、前記内部ネットワークを構成しているホスト装置に対して行われたセキュリティ・パッチと同一のセキュリティ・パッチを、自身のネットワークについて自動的に施すパッチ自動更新装置を有することを特徴とする。
本発明によれば、内部ネットワークにセキュリティ・パッチを施すことで、そのセキュリティ・パッチを検証用ネットワークにも施すことができる。そこで、本発明によれば、セキュリティ管理者などの労力を軽減させながら、検証対象パケットが内部ネットワークに対して影響を及ぼすか否かおよびその影響内容について、正確に検証、確認及び予測をすることが可能となる。
本発明によれば、内部ネットワークにセキュリティ・パッチを施すことで、そのセキュリティ・パッチを検証用ネットワークにも施すことができる。そこで、本発明によれば、セキュリティ管理者などの労力を軽減させながら、検証対象パケットが内部ネットワークに対して影響を及ぼすか否かおよびその影響内容について、正確に検証、確認及び予測をすることが可能となる。
また、請求項11記載の発明は、前記ネットワーク攻撃に関する影響分析システムが、前記内部ネットワークのセキュリティ監査をするセキュリティ監査装置と、前記セキュリティ監査装置の監査結果を前記検証用ネットワークに反映させる監査反映装置とを有することを特徴とする。
本発明によれば、セキュリティ監査装置により、内部ネットワークの各種セキュリティ状態を検出することができる。そして、監査反映装置により、内部ネットワークの各種セキュリティ状態を検証用ネットワークに反映させることができる。したがって、本発明によれば、労力をかけずに、内部ネットワークのセキュリティ状態と検証用ネットワークのセキュリティ状態とを同一にすることができる。そこで、本発明によれば、セキュリティ管理者などの労力を軽減させながら、内部ネットワークのセキュリティ状態を正確に観察できるとともに、内部ネットワーク2のセキュリティを高めることができる。
本発明によれば、セキュリティ監査装置により、内部ネットワークの各種セキュリティ状態を検出することができる。そして、監査反映装置により、内部ネットワークの各種セキュリティ状態を検証用ネットワークに反映させることができる。したがって、本発明によれば、労力をかけずに、内部ネットワークのセキュリティ状態と検証用ネットワークのセキュリティ状態とを同一にすることができる。そこで、本発明によれば、セキュリティ管理者などの労力を軽減させながら、内部ネットワークのセキュリティ状態を正確に観察できるとともに、内部ネットワーク2のセキュリティを高めることができる。
また、請求項12記載の発明は、前記ネットワーク攻撃に関する影響分析システムが、前記検証用ネットワークで検証されたパケットを前記内部ネットワークに送信する検証済みパケット送信装置を有することを特徴とする。
本発明によれば、検証用ネットワークで検証されたパケットを内部ネットワークに送信することができ、検証用ネットワークで検出された攻撃パケットが内部ネットワークに侵入することを未然に回避することができる。そこで、本発明によれば、侵入検知システムでは検出することができない新たな攻撃パケットが内部ネットワークに侵入することを未然に回避することもできる。また本発明によれば、侵入検知システムで誤って検出された正常パケット(非攻撃パケット)を安心して内部ネットワークに送信することができる。
本発明によれば、検証用ネットワークで検証されたパケットを内部ネットワークに送信することができ、検証用ネットワークで検出された攻撃パケットが内部ネットワークに侵入することを未然に回避することができる。そこで、本発明によれば、侵入検知システムでは検出することができない新たな攻撃パケットが内部ネットワークに侵入することを未然に回避することもできる。また本発明によれば、侵入検知システムで誤って検出された正常パケット(非攻撃パケット)を安心して内部ネットワークに送信することができる。
また、上記の目的を達成するために、請求項13記載の発明に係るネットワーク攻撃に関する影響分析方法は、守備対象のネットワークである内部ネットワークに対応する検証用ネットワークを物理的に又は仮想的に設け、前記内部ネットワークに入れるパケットを前記検証用ネットワークに入れ、該パケットが検証用ネットワークに及ぼす影響を検証することを特徴とする。
また、請求項14記載の発明は、前記検証が、前記検証用ネットワークを前記内部ネットワークの構成及びセキュリティ状態と同一にして行うことを特徴とする。
また、請求項15記載の発明は、前記検証が、前記内部ネットワークについて送受信されるパケットを監視する侵入検知システムで検出されたパケットを前記検証用ネットワークに入れることで行うことを特徴とする。
また、請求項16記載の発明は、前記検証がなされたパケットを前記内部ネットワークに入れることを特徴とする。
また、上記の目的を達成するために、請求項17記載の発明に係るネットワーク攻撃に関する影響分析プログラムは、守備対象のネットワークである内部ネットワークに対応する検証用ネットワークに、検証対象のパケットを入れるステップと、前記検証対象のパケットが検証用ネットワークに及ぼす影響を検証するステップとをコンピュータに実行させることを特徴とする。
また、請求項18記載の発明は、前記ネットワーク攻撃に関する影響分析プログラムが、前記内部ネットワークの構成及びセキュリティ状態と略同一の仮想的なネットワークとして前記検証用ネットワークを構築するステップを有することを特徴とする。
また、請求項19記載の発明は、前記ネットワーク攻撃に関する影響分析プログラムが侵入検知システムで検出されたパケットを前記検証対象のパケットとするステップを有することを特徴とする。
また、請求項20記載の発明は、前記ネットワーク攻撃に関する影響分析プログラムが前記検証するステップで検証がなされたパケットを前記内部ネットワークに入れるステップを有することを特徴とする。
本発明によれば、侵入検知システムなどにより検知された攻撃(パケットなど)により守備対象に実際に影響が出るか否かを正確に判定することができ、その攻撃による守備対象システムの影響について具体的に検証、確認又は予測することができる。
以下、図面を参照して本発明の一実施形態について説明する。
図1は本発明の一実施形態に係るネットワーク攻撃に関する影響分析システムの構成例を示すブロック図である。本ネットワーク攻撃に関する影響分析システムは、内部ネットワーク2を守備対象のネットワーク及びシステムとしている。内部ネットワーク2は、侵入検知システム(IDS)11を介して、インターネット1と接続される。内部ネットワーク2は、現実に物理的に存在する所望のネットワークである。そして、内部ネットワーク2は、例えばドメインネームシステム(DNS)サーバ、ウェブ(Web)サーバ、メール(Mail)サーバ及び複数のパーソナルコンピュータ(UserPC)などのホスト装置を含んでいるものとする。内部ネットワーク2の代わりに所定のパーソナルコンピュータなどの単体を適用してもよい。
図1は本発明の一実施形態に係るネットワーク攻撃に関する影響分析システムの構成例を示すブロック図である。本ネットワーク攻撃に関する影響分析システムは、内部ネットワーク2を守備対象のネットワーク及びシステムとしている。内部ネットワーク2は、侵入検知システム(IDS)11を介して、インターネット1と接続される。内部ネットワーク2は、現実に物理的に存在する所望のネットワークである。そして、内部ネットワーク2は、例えばドメインネームシステム(DNS)サーバ、ウェブ(Web)サーバ、メール(Mail)サーバ及び複数のパーソナルコンピュータ(UserPC)などのホスト装置を含んでいるものとする。内部ネットワーク2の代わりに所定のパーソナルコンピュータなどの単体を適用してもよい。
本ネットワーク攻撃に関する影響分析システムは、侵入検知システム11、検証用ネットワーク12、パケット再送装置13、検証用ネットワーク12に用いられるゲートウェイ(GW)14、ネットワーク型検証装置15およびホスト型検証装置16を構成要素としている。
侵入検知システム11は、インターネット1と内部ネットワーク2との間で送受信されるパケットおよびトラヒックを監視するものである。そして、侵入検知システム11は、上記パケットおよびトラヒックを監視して、アラーム(アラート)、攻撃パケットおよび全パケットを収集してIDSログ11aとして保存する。すなわち、侵入検知システム11は、インターネット1と内部ネットワーク2との間を流れるパケットを分析し、パターン照合などにより不正アクセスと思われるパケット(攻撃パケット)を検出する。また、侵入検知システム11は、ウィルスなどを含むパケットもパターン照合などにより検出する。そして、侵入検知システム11は、検出した攻撃パケットをIDSログ11aとして保存するとともに、その検出ごとにアラーム(アラート)を出力し、管理者に通知する。アラートとは、管理者に対して注意又は警告を与えるために表示されるメッセージである。また、侵入検知システム11は、インターネット1と内部ネットワーク2との間を流れる全てのパケット(全パケット)をIDSログ11aとして保存することもできる。また侵入検知システム11としては、攻撃パケットを検出した場合、又は検証用ネットワーク12などからの指示により、インターネット1と内部ネットワーク2との間の通信を切断する機能を有するものとしてもよい。
侵入検知システム11は、インターネット1と内部ネットワーク2との間で送受信されるパケットおよびトラヒックを監視するものである。そして、侵入検知システム11は、上記パケットおよびトラヒックを監視して、アラーム(アラート)、攻撃パケットおよび全パケットを収集してIDSログ11aとして保存する。すなわち、侵入検知システム11は、インターネット1と内部ネットワーク2との間を流れるパケットを分析し、パターン照合などにより不正アクセスと思われるパケット(攻撃パケット)を検出する。また、侵入検知システム11は、ウィルスなどを含むパケットもパターン照合などにより検出する。そして、侵入検知システム11は、検出した攻撃パケットをIDSログ11aとして保存するとともに、その検出ごとにアラーム(アラート)を出力し、管理者に通知する。アラートとは、管理者に対して注意又は警告を与えるために表示されるメッセージである。また、侵入検知システム11は、インターネット1と内部ネットワーク2との間を流れる全てのパケット(全パケット)をIDSログ11aとして保存することもできる。また侵入検知システム11としては、攻撃パケットを検出した場合、又は検証用ネットワーク12などからの指示により、インターネット1と内部ネットワーク2との間の通信を切断する機能を有するものとしてもよい。
検証用ネットワーク12は、侵入検知システム11が取り込んだパケットである検証対象パケットが送信されるネットワークである。そして、検証用ネットワーク12は、受信した検証対象パケットによる攻撃の成否と、その攻撃が成功した場合の影響を具体的に検証するための基盤となるものである。上記検証対象パケットは、侵入検知システム11において検知されアラートの対象となったパケット(攻撃パケット)とする。また、検証対象パケットとしては、侵入検知システム11が取り込んだ全てのパケット、すなわちインターネット1と内部ネットワーク2との間で送受信される全てのパケットとしてもよい。検証対象パケットは、侵入検知システム11においてIDSログ11aとしてデータベース化された後、パケット再送装置13及びゲートウェイ14を介して検証用ネットワーク12へ送信される。
検証用ネットワーク12は、ハードウェアとして現実に構築してもよく、1台のパーソナルコンピュータ上のメモリなどに仮想的な仮想ネットワークとして構築してもよい。そして、検証用ネットワーク12は、内部ネットワーク2と略同一の構造をしているものとする。したがって、検証用ネットワーク12は、内部ネットワーク2と同様に、例えばドメインネームシステム(DNS)、ウェブサーバ(Web)、メールサーバ(Mail)及び複数のパーソナルコンピュータ(UserPC)を含んでいるものとする。さらに、検証用ネットワーク12上の各ホスト装置(DNSサーバ、Webサーバ、Mailサーバ、UserPCなど、以下同じ)には、内部ネットワーク2上の各ホスト構成と同じレベルのセキュリティ対策用のパッチが適用されているものとする。
パケット再送装置13は、インターネット1と内部ネトワークとの間で送受信されるパケットのうちで、侵入検知システム11でIDSログ11aとしてデータベース化された検証対象パケットを、検証用ネットワーク12に再送するものである。
ゲートウェイ14は、パケット再送装置13側の通信プロトコルと検証用ネットワーク12側の通信プロトコルとの違いを調整して、パケット再送装置13と検証用ネットワーク12との接続を可能にする装置である。
ゲートウェイ14は、パケット再送装置13側の通信プロトコルと検証用ネットワーク12側の通信プロトコルとの違いを調整して、パケット再送装置13と検証用ネットワーク12との接続を可能にする装置である。
ネットワーク型検証装置15は、検証用ネットワーク12を構成しているホスト装置であって検証対象パケットを受信したホスト装置が検証用ネットワーク12の外に向けてパケットを送信しているか否かを検出する手段を有するものとする。また、検証用ネットワーク12が検証対象パケットを受信した後における検証用ネットワーク12内から外のネットワークへの通信量(パケット量など)の変化を検出するものとしてもよい。この通信量の変化を検出することにより、検証対象パケットが本当の攻撃パケットすなわち内部ネットワークに悪影響を与えるパケットであるか否かと、その悪影響の度合いを判断することが可能となる。例えば、検証対象パケットを受信した後に検証用ネットワーク12から外へ送信されるパケットの量が所定のしきい値以上に増大する場合がある。この場合、検証用ネットワーク12はDoS攻撃の「踏み台」にされていると判断することができる。なお、DoS(Denial of Service)攻撃とは標的となるサーバのサービスを不能にする攻撃である。すなわち、DoS攻撃は、セキュリティの甘いサイトなどをクラッキングツールを仕込み、そのサイト(踏み台)から標的のサーバに大量のパケットを送信してサーバに過剰な負荷をかける攻撃である。
これらにより、ネットワーク型検証装置15は、その通信量を変化させた検証対象パケットを特定して、内部ネットワーク2に対しても本当に悪影響を与える攻撃パケットを正確に特定することができる。これは、検証用ネットワーク12と内部ネットワーク2とは略同一構造でありセキュリティ対策用のパッチのレベルも略同一であるからである。またネットワーク型検証装置15は、その通信量の変化の大きさを検出することで、内部ネットワーク2に対する攻撃パケットの攻撃力(影響力)を確認及び予測することができる。
ホスト型検証装置16は、検証用ネットワーク12における検証対象パケットを受信した後の状態変化を検出するものである。すなわち、ホスト型検証装置16は、検証用ネットワーク12内のホスト装置上で、検証対象パケットによって生じた検証用ネットワーク12の影響(挙動)を検出するものである。
次に上記構成のネットワーク攻撃に関する影響分析システムの動作について、図2を参照して説明する。図2は本ネットワーク攻撃に関する影響分析システムの概要動作を示すフローチャートである。先ず、侵入検知システム11において疑わしいパケットが検出されアラーム(アラート)が出力される場合が生じる。このアラートと疑わしいパケットは、侵入検知システム11においてIDSログ11aとして一旦データベース化され保持される(ステップS1)。
ここで、インターネット1と内部ネットワーク2との間でやり取りされる全てのパケットをIDSログ11aに含ませてもよい。
ここで、インターネット1と内部ネットワーク2との間でやり取りされる全てのパケットをIDSログ11aに含ませてもよい。
次いで、パケット再送装置13は、IDSログ11aとして一旦データベース化された疑わしいパケットを検証対象パケット(攻撃パケット)として検証用ネットワーク12に向けて再送する(ステップS2)。
その検証対象パケットは、ゲートウェイ14を介して検証用ネットワーク12の各ホストに送信される。
次いで、ホスト型検証装置16は、検証用ネットワーク12の各ホストの挙動を確認する。また、このとき、ネットワーク型検証装置15は、検証用ネットワークから外に向かうパケット(SYNパケットなど)及び通信量の変化を確認する(ステップS3)。
その検証対象パケットは、ゲートウェイ14を介して検証用ネットワーク12の各ホストに送信される。
次いで、ホスト型検証装置16は、検証用ネットワーク12の各ホストの挙動を確認する。また、このとき、ネットワーク型検証装置15は、検証用ネットワークから外に向かうパケット(SYNパケットなど)及び通信量の変化を確認する(ステップS3)。
ここで、ネットワーク型検証装置15およびホスト型検証装置16の少なくとも一方により異変が検出された場合、検証用ネットワーク12に送信された検証対象パケットは内部ネットワーク2に対しても実際に悪影響を与える攻撃パケットであることが判明する。また、その検証対象パケットが内部ネットワーク2に対して実際に与える悪影響の具体的な内容もネットワーク型検証装置15およびホスト型検証装置16で把握することができる(ステップS4)。
これらにより、本実施形態のネットワーク攻撃に関する影響分析システムによれば、従来、攻撃の成否および具体的な影響内容を正確に判別することが困難であったネットワーク攻撃について、正確にかかる攻撃の成否を判別でき、具体的な影響内容も正確に把握することが可能となる。したがって、本実施形態のネットワーク攻撃に関する影響分析システムは、侵入検知システムの管理者及び運用者の労力を大幅に低減することができ、ネットワーク攻撃に対する分析結果の信頼性を大幅に向上させることができる。
また、本実施形態のネットワーク攻撃に関する影響分析システムは、ネットワーク攻撃についての検証を検証用ネットワーク12上で実施するので、現実に運用中の内部ネットワーク2に対して検証のための処理負荷を与えなくても済むという効果も有する。この効果は、内部ネットワーク2をいじることができない状況、すなわち内部ネットワーク2に対してネットワーク型検証装置15又はホスト型検証装置16を接続できない状況などにおいて特に大きな利点となる。
次に、検証用ネットワーク12の詳細について説明する。検証用ネットワーク12は、内部ネットワーク2を構成しているホスト装置のオペレーティング・システムと、そのホスト装置に適用されているパッチ状態とのうちの少なくとも一方を再現可能な構成となっている。このような構成にすることで、内部ネットワークを構成しているホスト装置のオペレーティング・システム及びパッチ状態と検証用ネットワーク構成しているホスト装置のオペレーティング・システム及びパッチ状態とを同一にすることができる。そして検証用ネットワーク12は、内部ネットワーク2の構成と実質的に同一な構成であって、内部ネットワーク2と略同一レベルのセキュリティ対策が施されている。
検証用ネットワーク12としてハードウェアにより実際にネットワークを構築した場合その検証用ネットワーク12を構成するホスト装置のハードディスク状態をそっくり上書き復元することで、影響を受けていない初期状態に戻すことができる。検証用ネットワーク12としてメモリ上に仮想ネットワークを構築した場合、その仮想ネットワークが検証対象パケットにより悪影響を受けたとしても、その仮想ネットワークを提示しているホスト装置を再起動することで、初期状態に戻すことができる。
ハードウェアにより実際に検証用ネットワーク12を構築する場合は、例えばSymantec社の「GHOST」というパッケージ・ソフトウェアを用いることで、検証用ネットワーク12を容易に実現できる。「GHOST」は、システムのアップグレード、バックアップおよび復旧を素早く安全に行う強力なハードディスク・クローニングおよびバックアップツールである。したがって、検証用ネットワーク12が検証対象パケットにより悪影響を受けた場合でも、「GHOST」の機能により影響を受けていない初期状態に簡単に戻すことができる。
仮想ネットワークとして検証用ネットワーク12を構築する場合は、例えばNetworld社の「VMware」というパケージ・ソフトウェアを用いることで、検証用ネットワーク12を容易に実現できる。「VMware」は、サーバ用の仮想マシンソフトウェアである。そして、「VMware」は、安全で安全で移動可能な仮想マシン内にサーバのリソースを分割、隔離することによって、サーバインフラストラクチャを簡素化する。したがって、「VMware」は、このようなリソースをリモートマシンから管理し、自動的に提供し、安全で統一されたプラットフォーム上で標準化することができる。
また、「VMware」は、物理コンピュータを論理コンピューティングリソースのプールに変換する。これにより、オペレーティングシステムおよびアプリケーションは、単一のハードウェアに常駐する複数の仮想マシン内に隔離される。システムリソースは、その時の必要に応じてオペレーティングシステムにダイナミックに割当てられる。このためメインフレームクラスのキャパシティ利用率とサーバインフラストラクチャの管理を実現できる。ホストOS上でアプリケーションとして実行される「VMware」は、より多くの仮想マシンで稼動するサーバを簡単に展開、管理、リモート操作するための安全で統一されたプラットフォームを提供する。したがって、「VMware」は、検証用ネットワーク12を安全な仮想サーバとして低コストで構築できる。
次に、パケット再送装置13の詳細について説明する。パケット再送装置13は、侵入検知システム11が収集した検証対象パケット(攻撃しそうなパケット)を検証用ネットワーク12へ再送する機能を有する。このため、パケット再送装置13は、検証対象パケットの送信先IPアドレスを検証用ネットワーク12のIPアドレスなどに変換するIPアドレス変換機能を有するものとする。
パケット再送装置13は、例えばコムワース社の「SURVEYOR」というソフトウェアにおける「Packet Blaster」というモジュールを用いることで容易に実現できる。「Packet Blaster」は、パケットの送信仕様をユーザが簡便に指定できるパケット送信機能を有するソフトウェア・モジュールである。
パケット再送装置13は、例えばコムワース社の「SURVEYOR」というソフトウェアにおける「Packet Blaster」というモジュールを用いることで容易に実現できる。「Packet Blaster」は、パケットの送信仕様をユーザが簡便に指定できるパケット送信機能を有するソフトウェア・モジュールである。
次に、ホスト型検証装置16の詳細について説明する。ホスト型検証装置16は、検証対象パケットによる検証用ネットワーク12の状態変化を検出するために、下記のa)〜d)の検査項目について少なくとも検査する。
a)検証用ネットワーク12を構成するホスト装置(DNSサーバ、Webサーバ、Mailサーバ、UserPCなど)に格納されているファイルが変更されたか否か。
b)検証用ネットワーク12を構成するホスト装置における通信ポートのオープン/クローズがされたか否か。
c)検証用ネットワーク12を構成するホスト装置におけるプロセスの起動/終了がされたか否か。
d)検証用ネットワーク12を構成するホスト装置の構成資源(CPU、メモリ容量など)の変化。
a)検証用ネットワーク12を構成するホスト装置(DNSサーバ、Webサーバ、Mailサーバ、UserPCなど)に格納されているファイルが変更されたか否か。
b)検証用ネットワーク12を構成するホスト装置における通信ポートのオープン/クローズがされたか否か。
c)検証用ネットワーク12を構成するホスト装置におけるプロセスの起動/終了がされたか否か。
d)検証用ネットワーク12を構成するホスト装置の構成資源(CPU、メモリ容量など)の変化。
上記検査項目a)については、例えばトリップワイヤ社の「Tripwire」というソフトウェアなどのツールを使用して検査する。そして、上記検査項目a)は、「Tripwire」などを使用して、初期のファイル状態(ファイルサイズ、ファイル内容など)から、検査対象パケットをホスト装置が受信又は実行した後のファイル状態への変化状況を検査することができる。ファイルの変更は、そのファイルについてのハッシュ値、ファイル作成日、ファイルサイズ情報を用いることで検証できる。ここで、ファイルについてのハッシュ値は、ファイル内容のデータをハッシュ関数によって変換したものであり、そのファイル内容の特徴をコンパクトに示すダイジェストである。
上記検査項目b)については、検証用ネットワーク12を構成するホスト装置上で「netstat」コマンドを用いて確認できる。「netstat」コマンドは、TCP/IPにおける通信の状態を調査するために使われる、基本的なコマンドである。すなわち「netstat」コマンドは、TCP/IPの統計情報、コネクション(セッション)状況、ルーティング情報など、現在どのようなネットワークが稼動しているのかを調査することのできるネットワークコマンドである。また、検査項目b)については、検証用ネットワーク12を構成するホスト装置の外部からそのホスト装置に対して「nmap」コマンドを送ることでも確認できる。「nmap」コマンドは、一般的なパーソナルコンピュータシステムで利用可能なコマンドであり、通信ポートがオープンかクローズかを検出するコマンドである。
上記検査項目c)については、例えば検証用ネットワーク12を構成するホスト装置上で「ps」コマンドを実行させることにより確認できる。「ps」コマンドは、一般的なパーソナルコンピュータシステムで利用可能なコマンドであり、ホスト装置のプロセス状態を表示させることができるコマンドである。
上記検査項目d)についても、検証用ネットワーク12を構成するホスト装置上で「ps」コマンドを実行させることにより確認できる。
上記検査項目d)についても、検証用ネットワーク12を構成するホスト装置上で「ps」コマンドを実行させることにより確認できる。
次に、ネットワーク型検証装置15の詳細について説明する。ネットワーク型検証装置15は、例えば検証用ネットワーク12を構成しているホスト装置のネットワークインターフェースカード(NIC)、又は検証用ネットワーク12用のゲートウェイ14に配置されるものとする。そして、ネットワーク型検証装置15は、検証用ネットワーク12を構成しているホスト装置であって検証対象パケットを受信したホスト装置が検証用ネットワーク12の外に向けてパケットを送信しているか否かを検出する手段を有するものとする。そして、ネットワーク型検証装置15は、例えば検証対象パケット(攻撃パケット)がTCPプロトコルの通信フローに従う場合、その検証対象パケットを受信した検証用ネットワーク12内のホスト装置からSYNパケットを外部ネットワーク(インターネット1)に向けて送信しているか否かを検査するものとする。
本実施形態のネットワーク攻撃に関する影響分析システムは、次に述べる機能構成を有するものとしてもよい。
上記パケット再送装置13は、侵入検知システム11が受信又は収集したパケットの全てを検証用ネットワーク12に送信する機能を有するものとしてもよい。ここで、侵入検知システム11が受信又は収集したパケットの全ての中には、侵入検知システム11で正常と判断されたパケットも含む。こられのパケットの全てを検証用ネットワーク12に送信して、上記ネットワーク型検証装置15およびホスト型検証装置16により検証用ネットワーク12の挙動を検査することにより、侵入検知システム11では検出できない未知の新たな攻撃パケットの検出が可能となる。
上記パケット再送装置13は、侵入検知システム11が受信又は収集したパケットの全てを検証用ネットワーク12に送信する機能を有するものとしてもよい。ここで、侵入検知システム11が受信又は収集したパケットの全ての中には、侵入検知システム11で正常と判断されたパケットも含む。こられのパケットの全てを検証用ネットワーク12に送信して、上記ネットワーク型検証装置15およびホスト型検証装置16により検証用ネットワーク12の挙動を検査することにより、侵入検知システム11では検出できない未知の新たな攻撃パケットの検出が可能となる。
検証用ネットワーク12は、内部ネットワーク2を構成しているホスト装置に対して行われたセキュリティ・パッチと同一のセキュリティ・パッチを、自身のネットワークについて自動的に施すパッチ自動更新装置(図示せず)を有することとしてもよい。このようにすると、内部ネットワークにセキュリティ・パッチを施すことにより、そのセキュリティ・パッチをパッチ自動更新装置が検証用ネットワークに施す。したがって、セキュリティ管理者などの労力を軽減させながら、検証対象パケットが内部ネットワークに対して影響を及ぼすか否かおよびその影響内容について、正確に検証、確認及び予測をすることが可能となる。
また、本実施形態のネットワーク攻撃に関する影響分析システムは、内部ネットワーク2のセキュリティ監査をするセキュリティ監査装置と、そのセキュリティ監査装置の監査結果を検証用ネットワーク12に反映させる監査反映装置とを有することとしてもよい。セキュリティ監査装置は、内部ネットワーク2が抱える情報セキュリティの主な問題点を提示すると共に、情報セキュリティポリシーを策定・見直し、さらには、改善を進める上で留意すべき点を提示する。すなわち、セキュリティ監査装置は、検証用ネットワーク12が有している脆弱性の指摘に留まらず、そうした問題点が発見された場合の対応の具体的方法、さらに、管理体制に潜在する脆弱性まで含めて指摘するものであることが好ましい。
そこで、セキュリティ監査装置は、内部ネットワーク2について、ペネトレーション監査、ソーシャルエンジニアリングによる監査、ホストにおけるOSバージョンの確認、アプリケーションの種類及びバージョンの確認、アクセス状況の確認、管理状況の確認、セキュリティ教育の状況確認、これらについての分析・評価などを行う。監査反映装置はセキュリティ監査装置の監査結果に基づいて、検証用ネットワーク12の構成及びセキュリティ状態を、内部ネットワーク2の構成及びセキュリティ状態と同一となるように変更する。
これらにより、セキュリティ監査装置が内部ネットワーク2の各種セキュリティ状態を正確に検出し、監査反映装置が内部ネットワーク2の各種セキュリティ状態を検証用ネットワーク12に反映させることができる。したがって、このような構成にすることで、労力をかけずに、内部ネットワーク2のセキュリティ状態と検証用ネットワーク12のセキュリティ状態とを同一にすることができる。そこで、本実施形態のネットワーク攻撃に関する影響分析システムによれば、セキュリティ管理者などの労力を軽減させながら、内部ネットワーク2のセキュリティ状態を正確に観察できるとともに、内部ネットワーク2のセキュリティを高めることができる。
また、本実施形態のネットワーク攻撃に関する影響分析システムは、検証用ネットワーク12で検証されたパケットを内部ネットワーク2に送信する検証済みパケット送信装置を有することとしてもよい。すなわち、侵入検知システム11で検知されたパケット又は内部ネットワーク2を宛先とする全てのパケットを先ず検証用ネットワーク12に送信して検証する。その後、検証用ネットワーク12に悪影響を与えないパケットすなわち正常なパケットと検証されたもののみを、検証済みパケット送信装置が内部ネットワーク2へ送信する。
これらにより、本実施形態のネットワーク攻撃に関する影響分析システムは、検証用ネットワーク12で高精度に検証されたパケットのみを内部ネットワーク2に送信することができ、攻撃パケットが内部ネットワーク2に侵入することを未然に回避することができる。そこで、本実施形態によれば、侵入検知システム11では検出することができない新たな攻撃パケットが内部ネットワーク2に侵入することを未然に回避することもできる。また、本実施形態によれば、侵入検知システム11で誤って検出された正常パケット(非攻撃パケット)を安心して内部ネットワーク2に送信することもできる。また、検証用ネットワーク12が攻撃パケットによって破壊されても、保護対象である内部ネットワーク2が破壊されることを回避でき、比較的簡易にかつ低コストで検証用ネットワーク12を復元することができる。また、本実施形態によれば、検証用ネットワーク12に対する攻撃パケットの影響が外部(インターネット1を含む)に出ることを未然に回避することができる。
以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、インターネット1と内部ネットワーク2との間で送受信される全てのパケットを検証用ネットワーク12へ送信する場合は、侵入検知システム11の代わりに、専用のパケット収集装置を設けてもよい。
上記実施形態のネットワーク攻撃に関する影響分析システムは、当該ネットワーク攻撃に関する影響分析システムの動作・機能をコンピュータを介して実行させるネットワーク攻撃に関する影響分析プログラムとして実現してもよい。ここで、「コンピュータ」は、WWWシステムを利用している場合であればホームページ提供環境(あるいは表示環境)も含むものとする。また、上記ネットワーク攻撃に関する影響分析プログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。また、上記ネットワーク攻撃に関する影響分析プログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能をコンピュータにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
上記ネットワーク攻撃に関する影響分析システムは、ネットワークを介さない攻撃、例えばフレキシブル・ディスク又はコンパクト・ディスクなどを介しての攻撃にも適用することができる。
1;インターネット、2;内部ネットワーク、11;侵入検知システム(IDS)、11a;IDSログ、12;検証用ネットワーク、13;パケット再送装置、14;ゲートウェイ(GW)、15;ネットワーク型検証装置、16;ホスト型検証装置
Claims (20)
- 守備対象外のネットワークと守備対象のネットワークである内部ネットワークとの間で送受信されるパケットを監視する侵入検知システムと、
前記侵入検知システムを介して取り込んだパケットである検証対象パケットが送信される検証用ネットワークとを有することを特徴とするネットワーク攻撃に関する影響分析システム。 - 前記侵入検知システムが検出したパケットを前記検証対象パケットとして前記検証用ネットワークに送信するパケット再送装置を有することを特徴とする請求項1に記載のネットワーク攻撃に関する影響分析システム。
- 前記検証用ネットワークにおける前記検証対象パケットを受信した後の状態変化を検出するホスト型検証装置を有することを特徴とする請求項1に記載のネットワーク攻撃に関する影響分析システム。
- 前記検証用ネットワークが前記検証対象パケットを受信した後における該検証用ネットワーク内から外への通信量の変化を検出するネットワーク型検証装置を有することを特徴とする請求項1に記載のネットワーク攻撃に関する影響分析システム。
- 前記検証用ネットワークは、前記内部ネットワークを構成しているホスト装置のオペレーティング・システムと、該ホスト装置に適用されているパッチ状態とのうちの少なくとも一方を再現可能な構成となっていることを特徴とする請求項1に記載のネットワーク攻撃に関する影響分析システム。
- 前記検証用ネットワークは、前記内部ネットワークの構成と実質的に同一な構成であって、該内部ネットワークと同一レベルのセキュリティ対策が施されていることを特徴とする請求項1に記載のネットワーク攻撃に関する影響分析システム。
- 前記ホスト型検証装置は、前記状態変化の検出するために、前記検証用ネットワークを構成するホスト装置に格納されているファイルが変更されたか否かと、該ホスト装置の通信ポートのオープン・クローズ状態と、該ホスト装置におけるプロセスの起動・終了がされたか否かと、該ホスト装置の構成資源の変化とのうちの少なくとも一つを検出することを特徴とする請求項3に記載のネットワーク攻撃に関する影響分析システム。
- 前記ネットワーク型検証装置は、前記検証用ネットワークを構成しているホスト装置であって前記検証対象パケットを受信したホスト装置が前記検証用ネットワークの外に向けてパケットを送信しているか否かを検出する手段を有することを特徴とする請求項4に記載のネットワーク攻撃に関する影響分析システム。
- 前記パケット再送装置は、前記侵入検知システムが受信したパケットの全てを前記検証用ネットワークに送信する機能を有することを特徴とする請求項2に記載のネットワーク攻撃に関する影響分析システム。
- 前記検証用ネットワークは、前記内部ネットワークを構成しているホスト装置に対して行われたセキュリティ・パッチと同一のセキュリティ・パッチを、自身のネットワークについて自動的に施すパッチ自動更新装置を有することを特徴とする請求項1乃至9のいずれか一項に記載のネットワーク攻撃に関する影響分析システム。
- 前記内部ネットワークのセキュリティ監査をするセキュリティ監査装置と、
前記セキュリティ監査装置の監査結果を前記検証用ネットワークに反映させる監査反映装置とを有することを特徴とする請求項1乃至10のいずれか一項に記載のネットワーク攻撃に関する影響分析システム。 - 前記検証用ネットワークで検証されたパケットを前記内部ネットワークに送信する検証済みパケット送信装置を有することを特徴とする請求項1乃至11のいずれか一項に記載のネットワーク攻撃に関する影響分析システム。
- 守備対象のネットワークである内部ネットワークに対応する検証用ネットワークを物理的に又は仮想的に設け、
前記内部ネットワークに入れるパケットを前記検証用ネットワークに入れ、該パケットが検証用ネットワークに及ぼす影響を検証することを特徴とするネットワーク攻撃に関する影響分析方法。 - 前記検証は、
前記検証用ネットワークを前記内部ネットワークの構成及びセキュリティ状態と同一にして行うことを特徴とする請求項13に記載のネットワーク攻撃に関する影響分析方法。 - 前記検証は、
前記内部ネットワークについて送受信されるパケットを監視する侵入検知システムで検出されたパケットを前記検証用ネットワークに入れることで行うことを特徴とする請求項13又は14に記載のネットワーク攻撃に関する影響分析方法。 - 前記検証がなされたパケットを前記内部ネットワークに入れることを特徴とする請求項13乃至15のいずれか一項に記載のネットワーク攻撃に関する影響分析方法。
- 守備対象のネットワークである内部ネットワークに対応する検証用ネットワークに、検証対象のパケットを入れるステップと、
前記検証対象のパケットが検証用ネットワークに及ぼす影響を検証するステップとをコンピュータに実行させることを特徴とするネットワーク攻撃に関する影響分析プログラム。 - 前記内部ネットワークの構成及びセキュリティ状態と略同一の仮想的なネットワークとして前記検証用ネットワークを構築するステップを有することを特徴とする請求項17に記載のネットワーク攻撃に関する影響分析プログラム。
- 侵入検知システムで検出されたパケットを前記検証対象のパケットとするステップを有することを特徴とする請求項17又は18に記載のネットワーク攻撃に関する影響分析プログラム。
- 前記検証するステップで検証がなされたパケットを前記内部ネットワークに入れるステップを有することを特徴とする請求項17乃至19のいずれか一項に記載のネットワーク攻撃に関する影響分析プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003286695A JP2005057522A (ja) | 2003-08-05 | 2003-08-05 | ネットワーク攻撃に関する影響分析システム、ネットワーク攻撃に関する影響分析方法およびネットワーク攻撃に関する影響分析プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003286695A JP2005057522A (ja) | 2003-08-05 | 2003-08-05 | ネットワーク攻撃に関する影響分析システム、ネットワーク攻撃に関する影響分析方法およびネットワーク攻撃に関する影響分析プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2005057522A true JP2005057522A (ja) | 2005-03-03 |
Family
ID=34365912
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003286695A Pending JP2005057522A (ja) | 2003-08-05 | 2003-08-05 | ネットワーク攻撃に関する影響分析システム、ネットワーク攻撃に関する影響分析方法およびネットワーク攻撃に関する影響分析プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2005057522A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007334536A (ja) * | 2006-06-14 | 2007-12-27 | Securebrain Corp | マルウェアの挙動解析システム |
| JP2015231138A (ja) * | 2014-06-05 | 2015-12-21 | 日本電信電話株式会社 | サイバー攻撃演習システム、演習環境提供方法、および、演習環境提供プログラム |
| US9794274B2 (en) | 2014-09-08 | 2017-10-17 | Mitsubishi Electric Corporation | Information processing apparatus, information processing method, and computer readable medium |
-
2003
- 2003-08-05 JP JP2003286695A patent/JP2005057522A/ja active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007334536A (ja) * | 2006-06-14 | 2007-12-27 | Securebrain Corp | マルウェアの挙動解析システム |
| JP2015231138A (ja) * | 2014-06-05 | 2015-12-21 | 日本電信電話株式会社 | サイバー攻撃演習システム、演習環境提供方法、および、演習環境提供プログラム |
| US9794274B2 (en) | 2014-09-08 | 2017-10-17 | Mitsubishi Electric Corporation | Information processing apparatus, information processing method, and computer readable medium |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10587647B1 (en) | Technique for malware detection capability comparison of network security devices | |
| US8997236B2 (en) | System, method and computer readable medium for evaluating a security characteristic | |
| US10225280B2 (en) | System and method for verifying and detecting malware | |
| EP2106085B1 (en) | System and method for securing a network from zero-day vulnerability exploits | |
| US7845007B1 (en) | Method and system for intrusion detection in a computer network | |
| US9871811B2 (en) | Identifying security properties of systems from application crash traffic | |
| US7941856B2 (en) | Systems and methods for testing and evaluating an intrusion detection system | |
| US8572750B2 (en) | Web application exploit mitigation in an information technology environment | |
| CN104468632A (zh) | 防御漏洞攻击的方法、设备及系统 | |
| CN113660224B (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
| US20040030931A1 (en) | System and method for providing enhanced network security | |
| KR20060117693A (ko) | 웹 보안방법 및 그 장치 | |
| US20210409446A1 (en) | Leveraging network security scanning to obtain enhanced information regarding an attack chain involving a decoy file | |
| JP2014086821A (ja) | 不正コネクション検出方法、ネットワーク監視装置及びプログラム | |
| JP5549281B2 (ja) | 不正侵入検知・防御システム、クライアントコンピュータ、不正侵入検知・防御装置、方法およびプログラム | |
| KR102156379B1 (ko) | 정보수집 프로세스를 통한 에이전트리스 방식 취약점 진단시스템 및 그 방법 | |
| Ravji et al. | Integrated intrusion detection and prevention system with honeypot in cloud computing | |
| JP5476578B2 (ja) | ネットワーク監視システム及びその方法 | |
| Le et al. | A threat computation model using a Markov Chain and common vulnerability scoring system and its application to cloud security | |
| TWM592531U (zh) | 網路攻擊分析系統 | |
| KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 | |
| JP2005057522A (ja) | ネットワーク攻撃に関する影響分析システム、ネットワーク攻撃に関する影響分析方法およびネットワーク攻撃に関する影響分析プログラム | |
| Todd et al. | Alert verification evasion through server response forging | |
| TWI761122B (zh) | 網路資安威脅防護系統及相關的前攝性可疑網域示警系統 | |
| Gheorghe et al. | Attack evaluation and mitigation framework |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050909 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20050912 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070419 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070515 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070712 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20071010 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20071010 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20071030 |