JP2006011510A - 脆弱性検査システム - Google Patents
脆弱性検査システム Download PDFInfo
- Publication number
- JP2006011510A JP2006011510A JP2004183403A JP2004183403A JP2006011510A JP 2006011510 A JP2006011510 A JP 2006011510A JP 2004183403 A JP2004183403 A JP 2004183403A JP 2004183403 A JP2004183403 A JP 2004183403A JP 2006011510 A JP2006011510 A JP 2006011510A
- Authority
- JP
- Japan
- Prior art keywords
- vulnerability
- agent
- scenario
- network
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Debugging And Monitoring (AREA)
Abstract
【課題】 脆弱性検査の環境構築の自動化が可能でエージェントの作成が容易な脆弱性検査システムを実現する。
【解決手段】 ネットワークからの攻撃に対するシステムの脆弱性を検査する脆弱性検査システムにおいて、ネットワークに接続され情報やエージェントが格納されているサーバと、ネットワークに接続されたコンピュータとを備え、コンピュータで動作する制御エージェントが、開始指示されたシナリオに基づき必要な情報やエージェントをネットワークを介してサーバから取得してシナリオを実行するための環境をコンピュータ内に構築して脆弱性検査の準備を行い、準備が完了した時点で脆弱性検査を実行する。
【選択図】 図1
【解決手段】 ネットワークからの攻撃に対するシステムの脆弱性を検査する脆弱性検査システムにおいて、ネットワークに接続され情報やエージェントが格納されているサーバと、ネットワークに接続されたコンピュータとを備え、コンピュータで動作する制御エージェントが、開始指示されたシナリオに基づき必要な情報やエージェントをネットワークを介してサーバから取得してシナリオを実行するための環境をコンピュータ内に構築して脆弱性検査の準備を行い、準備が完了した時点で脆弱性検査を実行する。
【選択図】 図1
Description
本発明は、ネットワークからの攻撃に対するシステムの脆弱性を検査する脆弱性検査システムに関し、特に脆弱性検査の環境構築の自動化が可能でエージェントの作成が容易な脆弱性検査システムに関する。
従来のネットワークからの攻撃に対するシステムの脆弱性を検査する脆弱性検査システムに関連する先行技術文献としては次のようなものがある。
図6は「特許文献1」に記載された従来の脆弱性検査システムの一例を示す構成ブロック図である。図6において1は管理用コンピュータシステム、2,3,4及び5はDDoS(Distributed DoS攻撃:協調分散型DoS攻撃)攻撃を行う攻撃用コンピュータシステム、6は被検査対象の挙動を測定する計測コンピュータシステム、7は脆弱性検査中に各種サーバ等に対してhttp(HyperText Transfer Protocol)リクエスト等のサービス要求を行う善意コンピュータシステム、8は通信ネットワークのルータやレイヤ3スイッチ等の通信機器、9はファイヤウォール機能を有するファイヤウォール部、10はDNS(Domain Name System)サーバ、11はWWW(World Wide Web)サーバ、12はSMTP(Simple Mail Transfer Protocol)サーバである。
また、1,2,3,4及び5は検査コンピュータシステム50を、9,10,11及び12は被検査コンピュータシステム51をそれぞれ構成している。
管理コンピュータシステム1は各攻撃用コンピュータシステム2,3,4及び5に接続され、攻撃用コンピュータシステム2,3,4及び5は図6中”NT01”に示すネットワークの通信機器8に接続される。また、善意コンピュータシステム7もまた通信機器8に接続される。
一方、通信機器8はファイヤウォール部9を介してDNSサーバ10、WWWサーバ11及びSMTPサーバ12に相互に接続される。
さらに、通信機器8、ファイヤウォール部9、DNSサーバ10、WWWサーバ11及びSMTPサーバ12は図6中”NT01”に示すネットワークとは物理的に独立した図6中”NT02”に示す専用ネットワークにより計測コンピュータシステム6に相互に接続される。
ここで、図6に示す従来例の動作を図7を用いて説明する。図7は実際のDDoSツールの構成を示す説明図であり、図7中”AT11”及び”AT12”に示すネットワークを介して攻撃を指示するアタッカ部、図7中”HL11”,”HL12”及び”HL13”に示す攻撃を中継するハンドラ部、図7中”AG11”,”AG12”,”AG13”及び”AG14”に示す攻撃を実行するエージェント部が順次改装構造を有している。
そして、目標となるコンピュータシステムに対して攻撃をかける場合には、図7中”AT11”等に示すアタッカ部が攻撃を起動し、図7中”HL11”等に示すハンドラ部がその起動を受けて攻撃指示を中継し、図7中”AG11”等に示すエージェント部が目標のコンピュータシステムへ攻撃を開始する。
具体的には、管理コンピュータシステム1から攻撃指示を受けた攻撃用コンピュータシステム2〜5は、通信機器8を介して被検査コンピュータシステム51を構成するファイヤウォール部9、DNSサーバ10、WWWサーバ11及びSMTPサーバ12に対してDDos攻撃を行う。
一方、図6中”NT02”に示す専用ネットワークで接続された計測コンピュータシステム6は、このようなDDoS攻撃中に被検査コンピュータシステム51を構成するファイヤウォール部9、DNSサーバ10、WWWサーバ11及びSMTPサーバ12のリソース(CPU(Central Processing Unit)、メモリ、OS(Operating System)、ネットワーク等)の消費率を測定する。
このように、図6中”NT02”に示すような専用ネットワークを介して攻撃を受けている最中の被検査コンピュータシステム51の挙動を測定するので、その測定は正確である。また、図6中”NT02”に示す専用ネットワークにおいてはSNMP(Simple Network Management Protocol)によって挙動の測定等が行われる。
しかし、図6に示す従来例では、被測定コンピュータシステムの挙動の測定の為に専用ネットワークを設ける必要性等があり、脆弱性の検査に必要な環境を構築するのに手間がかかってしまうと言った問題点があった。
また、攻撃用コンピュータシステムで動作する図7中”AG11”等に示すようなエージェント部は規格化されておらず、新たなエージェントの作成には手間がかかってしまうと言った問題点があった。
従って本発明が解決しようとする課題は、脆弱性検査の環境構築の自動化が可能でエージェントの作成が容易な脆弱性検査システムを実現することにある。
従って本発明が解決しようとする課題は、脆弱性検査の環境構築の自動化が可能でエージェントの作成が容易な脆弱性検査システムを実現することにある。
このような課題を達成するために、本発明のうち請求項1記載の発明は、
ネットワークからの攻撃に対するシステムの脆弱性を検査する脆弱性検査システムにおいて、
前記ネットワークに接続され情報やエージェントが格納されているサーバと、前記ネットワークに接続されたコンピュータとを備え、
前記コンピュータで動作する制御エージェントが、開始指示されたシナリオに基づき必要な情報やエージェントを前記ネットワークを介して前記サーバから取得して前記シナリオを実行するための環境を前記コンピュータ内に構築して脆弱性検査の準備を行い、準備が完了した時点で脆弱性検査を実行することにより、脆弱性検査の環境構築の自動化が可能になる。
ネットワークからの攻撃に対するシステムの脆弱性を検査する脆弱性検査システムにおいて、
前記ネットワークに接続され情報やエージェントが格納されているサーバと、前記ネットワークに接続されたコンピュータとを備え、
前記コンピュータで動作する制御エージェントが、開始指示されたシナリオに基づき必要な情報やエージェントを前記ネットワークを介して前記サーバから取得して前記シナリオを実行するための環境を前記コンピュータ内に構築して脆弱性検査の準備を行い、準備が完了した時点で脆弱性検査を実行することにより、脆弱性検査の環境構築の自動化が可能になる。
請求項2記載の発明は、
請求項1記載の発明である脆弱性検査システムにおいて、
前記制御エージェントが、
前記シナリオの進捗により前記サーバから取得した前記エージェントに対して処理の実行を行わせることにより、脆弱性検査の環境構築の自動化が可能になる。
請求項1記載の発明である脆弱性検査システムにおいて、
前記制御エージェントが、
前記シナリオの進捗により前記サーバから取得した前記エージェントに対して処理の実行を行わせることにより、脆弱性検査の環境構築の自動化が可能になる。
請求項3記載の発明は、
請求項1記載の発明である脆弱性検査システムにおいて、
複数の前記コンピュータを備え、
複数の前記コンピュータで動作する全ての前記制御エージェントの準備が完了した時点で脆弱性検査を実行することにより、脆弱性検査の環境構築の自動化が可能になる。
請求項1記載の発明である脆弱性検査システムにおいて、
複数の前記コンピュータを備え、
複数の前記コンピュータで動作する全ての前記制御エージェントの準備が完了した時点で脆弱性検査を実行することにより、脆弱性検査の環境構築の自動化が可能になる。
請求項4記載の発明は、
請求項2記載の発明である脆弱性検査システムにおいて、
各々の前記制御エージェントが、
他のコンピュータで動作する前記制御エージェントとの間で同期をとりながら前記シナリオの進捗を管理すると共に前記シナリオの進捗により前記サーバから取得したそれぞれの前記エージェントに対して処理の実行を行わせることにより、脆弱性検査の環境構築の自動化が可能になる。
請求項2記載の発明である脆弱性検査システムにおいて、
各々の前記制御エージェントが、
他のコンピュータで動作する前記制御エージェントとの間で同期をとりながら前記シナリオの進捗を管理すると共に前記シナリオの進捗により前記サーバから取得したそれぞれの前記エージェントに対して処理の実行を行わせることにより、脆弱性検査の環境構築の自動化が可能になる。
請求項5記載の発明は、
請求項2記載の発明である脆弱性検査システムにおいて、
複数の前記コンピュータの一に脆弱性検査中に各種サーバに対してサービス要求を行う善意コンピュータの役割を実行させることにより、脆弱性検査の環境構築の自動化が可能になる。
請求項2記載の発明である脆弱性検査システムにおいて、
複数の前記コンピュータの一に脆弱性検査中に各種サーバに対してサービス要求を行う善意コンピュータの役割を実行させることにより、脆弱性検査の環境構築の自動化が可能になる。
請求項6記載の発明は、
請求項2若しくは請求項4記載の発明である脆弱性検査システムにおいて、
前記エージェントが、
init命令を受けた場合に、シナリオで指定されている設定ファイルを前記ネットワークを介して前記サーバから取得すると共に初期化を行うことにより、ユーザが比較的容易にエージェントを作成することが可能になり、拡張性が向上する。
請求項2若しくは請求項4記載の発明である脆弱性検査システムにおいて、
前記エージェントが、
init命令を受けた場合に、シナリオで指定されている設定ファイルを前記ネットワークを介して前記サーバから取得すると共に初期化を行うことにより、ユーザが比較的容易にエージェントを作成することが可能になり、拡張性が向上する。
請求項7記載の発明は、
請求項6記載の発明である脆弱性検査システムにおいて、
前記エージェントが、
start命令を受けた場合に、取得した前記設定ファイルに基づき定められた動作を実行することにより、ユーザが比較的容易にエージェントを作成することが可能になり、拡張性が向上する。
請求項6記載の発明である脆弱性検査システムにおいて、
前記エージェントが、
start命令を受けた場合に、取得した前記設定ファイルに基づき定められた動作を実行することにより、ユーザが比較的容易にエージェントを作成することが可能になり、拡張性が向上する。
請求項8記載の発明は、
請求項2若しくは請求項4記載の発明である脆弱性検査システムにおいて、
前記エージェントが、
stop命令を受けた場合に、実行中の動作を停止することにより、ユーザが比較的容易にエージェントを作成することが可能になり、拡張性が向上する。
請求項2若しくは請求項4記載の発明である脆弱性検査システムにおいて、
前記エージェントが、
stop命令を受けた場合に、実行中の動作を停止することにより、ユーザが比較的容易にエージェントを作成することが可能になり、拡張性が向上する。
請求項9記載の発明は、
請求項2若しくは請求項4記載の発明である脆弱性検査システムにおいて、
前記エージェントが、
post命令を受けた場合に、結果を前記ネットワークを介して前記サーバに保存することにより、ユーザが比較的容易にエージェントを作成することが可能になり、拡張性が向上する。
請求項2若しくは請求項4記載の発明である脆弱性検査システムにおいて、
前記エージェントが、
post命令を受けた場合に、結果を前記ネットワークを介して前記サーバに保存することにより、ユーザが比較的容易にエージェントを作成することが可能になり、拡張性が向上する。
請求項10記載の発明は、
請求項1、請求項2若しくは請求項4記載の発明である脆弱性検査システムにおいて、
前記シナリオが、
前記エージェントが実行する内容を時系列的に記述、若しくは、前記エージェントが実行する複数のステップを実行単位としてまとめて当該実行単位を組み合わせて記述したことにより、脆弱性検査の環境構築の自動化が可能になる。
請求項1、請求項2若しくは請求項4記載の発明である脆弱性検査システムにおいて、
前記シナリオが、
前記エージェントが実行する内容を時系列的に記述、若しくは、前記エージェントが実行する複数のステップを実行単位としてまとめて当該実行単位を組み合わせて記述したことにより、脆弱性検査の環境構築の自動化が可能になる。
請求項11記載の発明は、
請求項1、請求項2若しくは請求項4記載の発明である脆弱性検査システムにおいて、
前記シナリオが、
分岐、待機、繰り返し、若しくは、条件判断を行うように記述したことにより、脆弱性検査の環境構築の自動化が可能になる。
請求項1、請求項2若しくは請求項4記載の発明である脆弱性検査システムにおいて、
前記シナリオが、
分岐、待機、繰り返し、若しくは、条件判断を行うように記述したことにより、脆弱性検査の環境構築の自動化が可能になる。
請求項12記載の発明は、
請求項1、請求項2若しくは請求項4記載の発明である脆弱性検査システムにおいて、
前記シナリオが、
拡張マークアップ言語形式で記述したことにより、脆弱性検査の環境構築の自動化が可能になる。
請求項1、請求項2若しくは請求項4記載の発明である脆弱性検査システムにおいて、
前記シナリオが、
拡張マークアップ言語形式で記述したことにより、脆弱性検査の環境構築の自動化が可能になる。
本発明によれば次のような効果がある。
請求項1,2,3,4,5,10,11及び請求項12の発明によれば、各コンピュータで動作する制御エージェントが開始指示されたシナリオに基づき必要な情報やエージェントをサーバから取得してシナリオを実行するための環境をコンピュータ内に構築して脆弱性検査の準備を行い、全制御エージェントの準備が完了した時点で脆弱性検査を実行することにより、脆弱性検査の環境構築の自動化が可能になる。
請求項1,2,3,4,5,10,11及び請求項12の発明によれば、各コンピュータで動作する制御エージェントが開始指示されたシナリオに基づき必要な情報やエージェントをサーバから取得してシナリオを実行するための環境をコンピュータ内に構築して脆弱性検査の準備を行い、全制御エージェントの準備が完了した時点で脆弱性検査を実行することにより、脆弱性検査の環境構築の自動化が可能になる。
また、請求項6,7,8及び請求項9の発明によれば、エージェントが最低限実装すべき命令を実行する機能を規定してエージェントを規格化することにより、ユーザが比較的容易にエージェントを作成することが可能になり、拡張性が向上する。
以下本発明を図面を用いて詳細に説明する。図1は本発明に係る脆弱性検査システムの一実施例を示す構成ブロック図である。図1において13は脆弱性検査に必要なシナリオ、ソフトウェア、エージェント及び設定ファイル等の情報やツールが格納されているサーバ、14は脆弱性検査の内容やスケジュール等が記述されたシナリオを作成してサーバに保存するコンソール、15,16,17及び18は最小限の通信機能を有する制御エージェントが予めインストールされているコンピュータ、100はインターネットやLAN(Local Area Network)等の汎用のネットワークである。
サーバ13及びコンソール14はネットワーク100に相互に接続され、コンピュータ15,16,17及び18もまたネットワーク100に相互に接続される。
ここで、図1に示す実施例の動作を図2、図3及び図4を用いて説明する。図2は各コンピュータ15〜18内で動作する機能を説明する説明図、図3は脆弱性検査時のコンソール14の動作を説明するフロー図、図4は脆弱性検査時の各コンピュータ15〜18の動作を説明するフロー図である。
図2中”CP21”に示すコンピュータでは図2中”OS21”に示すオペレーティングシステム(以下、単にOSと呼ぶ。)が起動されると共に図2中”AG21”に示す制御エージェントがOS上で動作している。
また、制御エージェントはそれぞれシナリオの記述に基づき各コンピュータ15〜18に攻撃側のコンピュータの役割を実行させたり、或いは、被検査側(攻撃を受ける側)のコンピュータの役割を実行させたりして、システムを構成する制御エージェントが動作するコンピュータに対して任意の役割を実行させることができる。
図3中”S001”においてコンソール14は、サーバ13に保存されている既に作成されているシナリオ或いは新規に作成されたシナリオが選択され開始の指示がなされたか否かを判断し、もし、シナリオ開始指示があったと判断した場合には、図3中”S002”においてコンソール14は、ネットワーク100を介して各コンピュータ15〜18で動作する各制御エージェントに対して開始が指示されたシナリオ、具体的には、開始が指示されたシナリオの名称或いはURL(Uniform Resource Locator)等を通知する。
図4中”S101”において各コンピュータ15〜18、具体的には、各コンピュータ15〜18で動作する制御エージェントは、コンソール14からシナリオの名称或いはURL等の通知を受けたか否かを判断し、もし、当該通知を受けたと判断した場合には、図4中”S102”において制御エージェントは、当該通知に基づきネットワーク経由でサーバ13からシナリオの本体をダウンロードして取得する。
そして、図4中”S103”において制御エージェントは、取得したシナリオの記述内容に基づき当該シナリオの実行に必要なソフトウェア、エージェント或いは設定ファイル等の情報やツールをサーバ13からダウンロードして取得する。
例えば、サーバ13から取得されるエージェントは、攻撃側のコンピュータの役割を実行するエージェントであったり、被検査側(攻撃を受ける側)のコンピュータの役割を実行(具体的には、リソース(CPU、メモリ、OS、ネットワーク等)の消費率等を測定)するエージェントであったりする。
図4中”S104”において制御エージェントは、当該シナリオを実行するための環境を各コンピュータ内に構築して脆弱性検査の準備を行い、図4中”S105”において制御エージェントは、脆弱性検査の準備が完了した旨の通知をネットワーク100を介して他のコンピュータで動作する制御エージェントに対して通知する。
図4中”S106”において制御エージェントは、全ての制御エージェントの脆弱性検査の準備が完了したか否かを判断し、もし、全ての制御エージェントの脆弱性検査の準備が完了したと判断した場合には、図4中”S107”においてシナリオの記述に従って脆弱性検査を実行する。
具体的には、制御エージェントは、他のコンピュータで動作する制御エージェントとの間で同期を取りながらシナリオの進捗を管理すると共に制御エージェントは、シナリオの進捗によりエージェントに対して攻撃等の処理の実行を行わせる。
図4中”S108”において制御エージェントは、シナリオが終了、具体的には、シナリオの記述を全て実行したか否かを判断し、もし、シナリオが終了していないと判断した場合には図4中”S107”のステップに戻り、シナリオが終了したと判断した場合には、図4中”S109”において制御エージェントは、必要に応じて結果をネットワーク100を介してサーバ13に保存する。
具体的には、制御エージェントが被検査側(攻撃を受ける側)のコンピュータの役割を実行させる場合には、測定したリソース(CPU、メモリ、OS、ネットワーク等)の消費率等を前述の結果としてネットワーク100を介してサーバ13に保存する。
この結果、各コンピュータで動作する制御エージェントが開始指示されたシナリオに基づき必要な情報やエージェントをサーバから取得してシナリオを実行するための環境をコンピュータ内に構築して脆弱性検査の準備を行い、全ての制御エージェントの準備が完了した時点で脆弱性検査を実行することにより、脆弱性検査の環境構築の自動化が可能になる。
なお、図1に示す実施例の説明に際しては、それぞれネットワークに接続された1台のサーバ、1台のコンソール及び4台のコンピュータを例示しているが、勿論、この数には何ら限定されるものではない。
また、図1に示す実施例の説明に際しては、制御エージェントはそれぞれシナリオの記述に基づき各コンピュータに攻撃側のコンピュータの役割を実行させたり、或いは、被検査側(攻撃を受ける側)のコンピュータの役割を実行させたりしている旨記述しているが、勿論、従来例のように脆弱性検査中に各種サーバ等に対してhttpリクエスト等のサービス要求を行う善意コンピュータの役割を実行させても構わないし、その他の役割を実行させても構わない。
また、図1に示す実施例の説明に際しては、説明の簡単のためにシナリオの作成やシナリオの開始指示を行うために別途コンソール14を設けているが、勿論、コンピュータ15〜18の一或いは全てにコンソール14の機能を持たせても構わない。
また、各エージェントは”init”、”start”、”stop”及び”post”の各種命令を実行する機能を実装する。
エージェントは、”init”命令を受けた場合に、シナリオで指定されている設定ファイルをサーバ13からダウンロードして取得すると共に初期化を行い、”start”命令を受けた場合に、取得した設定ファイルに基づき定められた動作を実行する。
また、エージェントは、”stop”命令を受けた場合に、実行中の動作を停止し、”post”命令を受けた場合に、結果をネットワーク100を介してサーバ13に保存する。
図5はこのようなエージェントの命令による状態遷移の一例を示す説明図であり、図5中”S201”に示す起動後にエージェントが”init”命令を受けた場合、図5中”S202”に示す初期化済の状態に遷移する。
そして、図5中”S202”に示す初期化済の状態でエージェントが”start”命令を受けた場合、図5中”S203”に示す実行中の状態に遷移する。
さらに、図5中”S203”に示す実行中の状態でエージェントが”stop”命令を受けた場合、図5中”S204”に示す停止の状態に遷移する。
その後、図5中”S204”に示す停止の状態でエージェントが”post”命令を受けた場合、図5中”S205”に示すデータを保存した後、データ保存済の状態に遷移する。
また、図5中”S204”或いは”S205”に示す停止或いはデータ保存済の状態でエージェントが”init”命令を受けた場合、図5中”S202”に示す初期化済の状態に遷移する。
このように、エージェントが最低限実装すべき命令を実行する機能を規定してエージェントを規格化することにより、ユーザが比較的容易にエージェントを作成することが可能になり、拡張性が向上する。
また、シナリオの記述に関しては、単にエージェントが実行する内容を時系列的に記述しても構わないし、エージェントが実行する複数のステップを実行単位としてまとめて、当該実行単位を組み合わせてシナリオを記述しても勿論構わない。
また、シナリオの記述に関しては、分岐、待機、繰り返し、若しくは、条件判断等を行うように記述しても勿論構わない。
また、シナリオの記述に関しては、拡張マークアップ言語形式(XML:eXtensible Markup Language)で記述しても勿論構わない。
1 管理用コンピュータシステム
2,3,4,5 攻撃用コンピュータシステム
6 計測コンピュータシステム
7 善意コンピュータシステム
8 通信機器
9 ファイヤウォール部
10 DNSサーバ
11 WWWサーバ
12 SMTPサーバ
13 サーバ
14 コンソール
15,16,17,18 コンピュータ
50 検査コンピュータシステム
51 被検査コンピュータシステム
100 ネットワーク
2,3,4,5 攻撃用コンピュータシステム
6 計測コンピュータシステム
7 善意コンピュータシステム
8 通信機器
9 ファイヤウォール部
10 DNSサーバ
11 WWWサーバ
12 SMTPサーバ
13 サーバ
14 コンソール
15,16,17,18 コンピュータ
50 検査コンピュータシステム
51 被検査コンピュータシステム
100 ネットワーク
Claims (12)
- ネットワークからの攻撃に対するシステムの脆弱性を検査する脆弱性検査システムにおいて、
前記ネットワークに接続され情報やエージェントが格納されているサーバと、
前記ネットワークに接続されたコンピュータとを備え、
前記コンピュータで動作する制御エージェントが、開始指示されたシナリオに基づき必要な情報やエージェントを前記ネットワークを介して前記サーバから取得して前記シナリオを実行するための環境を前記コンピュータ内に構築して脆弱性検査の準備を行い、準備が完了した時点で脆弱性検査を実行する
ことを特徴とする脆弱性検査システム。 - 前記制御エージェントが、
前記シナリオの進捗により前記サーバから取得した前記エージェントに対して処理の実行を行わせることを特徴とする
請求項1記載の脆弱性検査システム。 - 複数の前記コンピュータを備え、
複数の前記コンピュータで動作する全ての前記制御エージェントの準備が完了した時点で脆弱性検査を実行することを特徴とする
請求項1記載の脆弱性検査システム。 - 各々の前記制御エージェントが、
他のコンピュータで動作する前記制御エージェントとの間で同期を取りながら前記シナリオの進捗を管理すると共に前記シナリオの進捗により前記サーバから取得したそれぞれの前記エージェントに対して処理の実行を行わせることを特徴とする
請求項2記載の脆弱性検査システム。 - 複数の前記コンピュータの一に脆弱性検査中に各種サーバに対してサービス要求を行う善意コンピュータの役割を実行させることを特徴とする
請求項2記載の脆弱性検査システム。 - 前記エージェントが、
init命令を受けた場合に、シナリオで指定されている設定ファイルを前記ネットワークを介して前記サーバから取得すると共に初期化を行うことを特徴とする
請求項2若しくは請求項4記載の脆弱性検査システム。 - 前記エージェントが、
start命令を受けた場合に、取得した前記設定ファイルに基づき定められた動作を実行することを特徴とする
請求項6記載の脆弱性検査システム。 - 前記エージェントが、
stop命令を受けた場合に、実行中の動作を停止することを特徴とする
請求項2若しくは請求項4記載の脆弱性検査システム。 - 前記エージェントが、
post命令を受けた場合に、結果を前記ネットワークを介して前記サーバに保存することを特徴とする
請求項2若しくは請求項4記載の脆弱性検査システム。 - 前記シナリオが、
前記エージェントが実行する内容を時系列的に記述、若しくは、前記エージェントが実行する複数のステップを実行単位としてまとめて当該実行単位を組み合わせて記述したことを特徴とする
請求項1、請求項2若しくは請求項4記載の脆弱性検査システム。 - 前記シナリオが、
分岐、待機、繰り返し、若しくは、条件判断を行うように記述したことを特徴とする
請求項1、請求項2若しくは請求項4記載の脆弱性検査システム。 - 前記シナリオが、
拡張マークアップ言語形式で記述したことを特徴とする
請求項1、請求項2若しくは請求項4記載の脆弱性検査システム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004183403A JP2006011510A (ja) | 2004-06-22 | 2004-06-22 | 脆弱性検査システム |
PCT/JP2005/005994 WO2005124572A1 (ja) | 2004-06-22 | 2005-03-23 | 脆弱性検査システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004183403A JP2006011510A (ja) | 2004-06-22 | 2004-06-22 | 脆弱性検査システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006011510A true JP2006011510A (ja) | 2006-01-12 |
Family
ID=35509898
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004183403A Pending JP2006011510A (ja) | 2004-06-22 | 2004-06-22 | 脆弱性検査システム |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP2006011510A (ja) |
WO (1) | WO2005124572A1 (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010271931A (ja) * | 2009-05-21 | 2010-12-02 | Hitachi Ltd | データ処理システム、データ処理方法、およびデータ処理プログラム |
JP2017174289A (ja) * | 2016-03-25 | 2017-09-28 | 日本電気株式会社 | セキュリティリスク管理システム、サーバ、制御方法、プログラム |
JP2021152983A (ja) * | 2020-04-08 | 2021-09-30 | 日本電気株式会社 | 端末、制御方法、及びプログラム |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000010806A (ja) * | 1998-06-25 | 2000-01-14 | Hitachi Ltd | 分散プログラム実行方法及び複数コンピュータ立ち上げ方法 |
JP2004021525A (ja) * | 2002-06-14 | 2004-01-22 | Canon Inc | ネットワークサーバへの負荷テストシステム |
JP2004118291A (ja) * | 2002-09-24 | 2004-04-15 | Hitachi Kokusai Electric Inc | ソフトウェア管理システム及び障害管理装置 |
-
2004
- 2004-06-22 JP JP2004183403A patent/JP2006011510A/ja active Pending
-
2005
- 2005-03-23 WO PCT/JP2005/005994 patent/WO2005124572A1/ja active Application Filing
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010271931A (ja) * | 2009-05-21 | 2010-12-02 | Hitachi Ltd | データ処理システム、データ処理方法、およびデータ処理プログラム |
JP2017174289A (ja) * | 2016-03-25 | 2017-09-28 | 日本電気株式会社 | セキュリティリスク管理システム、サーバ、制御方法、プログラム |
US10860722B2 (en) | 2016-03-25 | 2020-12-08 | Nec Corporation | Security risk management system, server, control method, and non-transitory computer-readable medium |
JP2021152983A (ja) * | 2020-04-08 | 2021-09-30 | 日本電気株式会社 | 端末、制御方法、及びプログラム |
JP7215525B2 (ja) | 2020-04-08 | 2023-01-31 | 日本電気株式会社 | 端末、制御方法、及びプログラム |
JP7468717B2 (ja) | 2020-04-08 | 2024-04-16 | 日本電気株式会社 | 端末、制御方法、及びプログラム |
Also Published As
Publication number | Publication date |
---|---|
WO2005124572A1 (ja) | 2005-12-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10728168B2 (en) | Method for providing a connection of a client to an unmanaged service in a client-server remote access system | |
CA2691666C (en) | System and method for simulating computer network attacks | |
US10108801B2 (en) | Web application vulnerability scanning | |
CN110704847B (zh) | 漏洞扫描方法及相关装置 | |
JP2019509681A (ja) | クラウド検証及びテスト自動化 | |
JP2014506045A (ja) | ネットワーク刺激エンジン | |
US20160063246A1 (en) | Preventing malicious instruction execution | |
US11461206B2 (en) | Cloud simulation and validation system | |
US20190258534A1 (en) | Message oriented middleware with integrated rules engine | |
US11575689B2 (en) | System, method, and computer program product for dynamically configuring a virtual environment for identifying unwanted data | |
EP2985716B1 (en) | Information processing device and identifying method | |
Saha et al. | Integrating apache airavata with docker, marathon, and mesos | |
US10019344B1 (en) | Computer implemented system and method and computer program product for a test framework for orchestration workflows | |
CN114968470A (zh) | 基于k8s集群的容器检测方法、装置、电子设备及存储装置 | |
JP2006011510A (ja) | 脆弱性検査システム | |
US8572732B2 (en) | System, method, and computer program product for enabling communication between security systems | |
JP2009237807A (ja) | 脆弱性診断実施装置および診断スケジュール作成プログラム | |
Srivastava et al. | An open-source SWUpdate and Hawkbit framework for OTA Updates of RISC-V based resource constrained devices | |
JP2011257994A (ja) | 更新api検出システム、更新api検出装置、更新api検出方法、および更新api検出プログラム | |
Malevanniy et al. | Simulation of distributed applications based on containerization technology | |
JP6973063B2 (ja) | 画像処理システムおよび情報処理機器 | |
CN117478440B (zh) | 一种poc批量验证方法、装置、设备和介质 | |
Bufalino et al. | Analyzing Microservice Connectivity with Kubesonde | |
CN116340675A (zh) | 一种基于调试器的网络请求抓包方法及系统 | |
George et al. | Protocol testing with symbolic execution and rule based specification using multicore approach |