JP2006304303A - 無線ネットワークにおける安全な隔離と回復 - Google Patents
無線ネットワークにおける安全な隔離と回復 Download PDFInfo
- Publication number
- JP2006304303A JP2006304303A JP2006113081A JP2006113081A JP2006304303A JP 2006304303 A JP2006304303 A JP 2006304303A JP 2006113081 A JP2006113081 A JP 2006113081A JP 2006113081 A JP2006113081 A JP 2006113081A JP 2006304303 A JP2006304303 A JP 2006304303A
- Authority
- JP
- Japan
- Prior art keywords
- monitor
- attack
- local
- global
- layer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
【課題】無線アクセスネットワーク、及び特にWLANネットワークにおける悪意のある行いの犠牲者を隔離する。
【解決手段】犠牲者のデバイス上にソフトウェアを持つことによって、本システムは、侵入者の影響から犠牲者を回復させる能力を提供し、犠牲者が侵入者による次の攻撃によって影響を受けることを阻止する。好適な実施例は、二つの主要要素、すなわちローカルモニタとグローバルモニタとを含む。
【選択図】図1
【解決手段】犠牲者のデバイス上にソフトウェアを持つことによって、本システムは、侵入者の影響から犠牲者を回復させる能力を提供し、犠牲者が侵入者による次の攻撃によって影響を受けることを阻止する。好適な実施例は、二つの主要要素、すなわちローカルモニタとグローバルモニタとを含む。
【選択図】図1
Description
本出願は、ネットワークエンティティが攻撃されているか否かを検出し、攻撃等の影響を取り除く方法に関する。
(ネットワーク及びインターネットプロトコル)
最も悪評を持つインターネットを用いた多くのタイプのコンピュータネットワークがある。インターネットはコンピュータネットワークの世界的なネットワークである。今日、インターネットは、数百万人のユーザに利用可能な公的で、自立的なネットワークである。インターネットは、ホストを接続するために、TCP/IP(すなわち、伝送制御プロトコル/インターネットプロトコル)と呼ばれる通信プロトコルのセットを用いる。インターネットはインターネットバックボーンとして知られている通信インフラストラクチャーを持っている。インターネットバックボーンへのアクセスは、主として、企業と個人へのアクセスを転売するインターネットサービスプロバイダー(ISP)により制御される。
最も悪評を持つインターネットを用いた多くのタイプのコンピュータネットワークがある。インターネットはコンピュータネットワークの世界的なネットワークである。今日、インターネットは、数百万人のユーザに利用可能な公的で、自立的なネットワークである。インターネットは、ホストを接続するために、TCP/IP(すなわち、伝送制御プロトコル/インターネットプロトコル)と呼ばれる通信プロトコルのセットを用いる。インターネットはインターネットバックボーンとして知られている通信インフラストラクチャーを持っている。インターネットバックボーンへのアクセスは、主として、企業と個人へのアクセスを転売するインターネットサービスプロバイダー(ISP)により制御される。
IP(インターネットプロトコル)に関して、これは、データが一つのデバイス(例えば、電話、PDA(パーソナル・デジタル・アシスタント)コンピュータ等)からネットワーク上の別のデバイスに送られうるプロトコルである。今日、例えばIPv4、IPv6等を含む各種のIPのバージョンがある。ネットワーク上の各ホストデバイスは、IPネットワークへのホストデバイスの接続ポイントを識別する最低一つのIPアドレスを持っている。
IPは接続のないプロトコルである。通信中、終点間の接続は継続的ではない。ユーザがデータまたはメッセージを送受信する場合、このデータまたはメッセージは、パケットとして知られている成分に分割される。すべてのパケットは独立したデータのユニットとして取り扱われる。
インターネットまたは同類のネットワークによるポイント間の送信を標準化するために、OSI(開放型システム間相互接続)モデルが確立された。OSIモデルは、ネットワークにおける二つのポイント間の通信処理を、七つの積層されたレイヤに分離する。各レイヤは、自分自身の機能セットを加えている。各デバイスは、送信終点において各レイヤを通過する下りフローと、受信終点において各レイヤを通過する上りフローとが存在できるようにメッセージを取り扱う。七つの機能レイヤを提供するプログラム及び/又はハードウェアは、一般に、デバイスオペレーティングシステム、アプリケーションソフトウェア、TCP/IP及び/又はその他の伝送及びネットワークプロトコル、及びその他のソフトウェアとハードウェアの組み合わせである。
一般に、上部の四つのレイヤは、ユーザから、又はユーザへメッセージが通過するときに使用され、下部の三つのレイヤは、メッセージが、デバイス(例えば、IPホストデバイス)を通過するときに使用される。IPホストは、IPパケットを送受信することが可能な、例えばサーバ、ルータ、又はワークステーションのようなネットワーク上の任意のデバイスである。その他のホストに向けられたメッセージは、上部レイヤに渡されないが、その他のホストに転送される。OSIおよびその他類似のモデルでは、IPは、レイヤ3、すなわちネットワークレイヤにある。OSIモデルのレイヤを以下に列挙する。
レイヤ7(すなわちアプリケーションレイヤ)は、例えば、通信相手が識別され、サービス品質が識別され、ユーザ認証及び秘密が考慮され、データ構文上の制約が識別される等のレイヤである。
レイヤ6(すなわちプレゼンテーションレイヤ)は、例えば、一つのプレゼンテーションフォーマットからの到来及び発信データを、別のプレゼンテーションフォーマットに変換するレイヤである。
レイヤ5(すなわちセッションレイヤ)は、例えば、アプリケーション間の会話、交換、及び対話を設定し、調整し、終了するレイヤである。
レイヤ4(すなわちトランスポートレイヤ)は、例えば、エンド・トゥ・エンド・コントロール及びエラー・チェック等を管理するレイヤである。
レイヤ3(すなわちネットワークレイヤ)は、例えばルーティング及び転送等を取り扱うレイヤである。
レイヤ2(すなわちデータリンクレイヤ)は、例えば、物理レベルのための同期を与え、ビットスタッフィングを行い、伝送プロトコル知識及び管理等を提供するレイヤである。米国電気電子技術者協会(IEEE)は、データリンクレイヤを更に二つのサブレイヤ、すなわち、物理レイヤとのデータ伝送を制御するMAC(メディアアクセス制御)レイヤと、ネットワークレイヤとインタフェースし、コマンドを解釈してエラー回復を実行するLLC(論理リンク制御)レイヤとに細分割している。
レイヤ1(すなわち物理レイヤ)は、例えば物理レベルにおいてネットワークを通じてビットストリームを変換するレイヤである。IEEEは、物理レイヤをPLCP(物理レイヤ収束手順)サブレイヤと、PMD(物理媒体依存)サブレイヤとに細分割する。
一般に、レイヤ2よりも上位のレイヤ(例えば、OSIモデルにおけるネットワークレイヤすなわちレイヤ3等)は、高次レイヤと称される。
(無線ネットワーク)
無線ネットワークは、例えば、携帯及び無線電話、PC(パーソナルコンピュータ)、ラップトップコンピュータ、ウェアラブルコンピュータ、コードレス電話、ページャ、ヘッドセット、プリンタ、PDA等の様々なタイプのモバイルデバイスを含みうる。例えば、モバイルデバイスは、音声及び/又はデータの安全で高速な無線伝送のためのデジタルシステムを含みうる。典型的なモバイルデバイスは、以下に示す要素のうちの幾つか又は全てを含む。すなわち、トランシーバ(すなわち、例えば送信器と、受信器と、必要であればその他の機能とを統合した単一チップトランシーバ等を含む送信器及び受信器)、アンテナ、プロセッサ、一つ又は複数のオーディオトランスデューサ(例えば、オーディオ通信のためのデバイス内のスピーカ又はマイクロフォン)、電子磁気データ記憶装置(例えば、データ処理が提供されるデバイス内におけるROM、RAM、デジタルデータ記憶装置等)、メモリ、フラッシュメモリ、フルチップセット又は集積回路、インタフェース(例えば、USB、CODEC,UART,PCM等)などである。
無線ネットワークは、例えば、携帯及び無線電話、PC(パーソナルコンピュータ)、ラップトップコンピュータ、ウェアラブルコンピュータ、コードレス電話、ページャ、ヘッドセット、プリンタ、PDA等の様々なタイプのモバイルデバイスを含みうる。例えば、モバイルデバイスは、音声及び/又はデータの安全で高速な無線伝送のためのデジタルシステムを含みうる。典型的なモバイルデバイスは、以下に示す要素のうちの幾つか又は全てを含む。すなわち、トランシーバ(すなわち、例えば送信器と、受信器と、必要であればその他の機能とを統合した単一チップトランシーバ等を含む送信器及び受信器)、アンテナ、プロセッサ、一つ又は複数のオーディオトランスデューサ(例えば、オーディオ通信のためのデバイス内のスピーカ又はマイクロフォン)、電子磁気データ記憶装置(例えば、データ処理が提供されるデバイス内におけるROM、RAM、デジタルデータ記憶装置等)、メモリ、フラッシュメモリ、フルチップセット又は集積回路、インタフェース(例えば、USB、CODEC,UART,PCM等)などである。
モバイルユーザが無線接続を介してローカルエリアネットワーク(LAN)へ接続できる無線LAN(WLAN)は、無線通信のために利用されうる。無線通信は、例えば、光、赤外線、無線、マイクロ波のような電磁波を経由して伝搬する通信を含みうる。例えば、Bluetooth(登録商標)、IEEE802.11、及びHomeRFのように、現在、様々なタイプのWLAN規格が存在する。
一例として、Bluetooth(登録商標)製品は、モバイルコンピュータ間、モバイル電話間、ポータブルハンドヘルドデバイス間、パーソナル・デジタル・アシスタント間、及びその他のモバイルデバイス間のリンク、及びインターネットへの接続を提供するために使用される。Bluetooth(登録商標)は、モバイルデバイスがどのようにして容易に相互接続したり、狭帯域無線接続を用いて非モバイルデバイスと相互接続できるかを詳説するコンピュータ及び電気通信業界規格である。Bluetooth(登録商標)は、一つのデバイスから別のデバイスへのデータ同期と一致性を維持する必要がある様々なモバイルデバイスの普及から生じるエンドユーザ問題に対処するためにデジタル無線プロトコルを生成する。これによって、異なるベンダからの機器が、互いにシームレスに動作できるようになる。Bluetooth(登録商標)デバイスは、共通の命名概念に従って名付けられうる。例えば、Bluetooth(登録商標)デバイスは、Bluetooth(登録商標)デバイス名(BDN)、又はユニークなBluetooth(登録商標)デバイスアドレス(BDA)に関連する名前を有する。Bluetooth(登録商標)デバイスは、インターネットプロトコル(IP)ネットワークにも参加する。Bluetooth(登録商標)デバイスが、IPネットワーク上で動作すれば、このデバイスには、IPアドレス及びIP(ネットワーク)名が与えられる。従って、IPネットワークに参加するように構成されたBluetooth(登録商標)デバイスは、例えばBDN、BDA、IPアドレス、及びIP名を含む。用語「IP名」は、インタフェースのIPアドレスに対応する名前を称する。
IEEE規格、IEEE 802.11は、無線LAN及びデバイスのための技術を具体化する。802.11を用いて、幾つかのデバイスをサポートする各単一基地局によって無線ネットワーキングが達成される。いくつかの例では、無線ハードウェアが予め装備されたデバイスとして現れるか、又はユーザが、例えばカードのような、アンテナを含みうるハードウェアの個別部品をインストールできる。一例として、802.11で使用されるデバイスは一般に、このデバイスが、アクセスポイント(AP)、移動局(STA)、ブリッジ、PCMCIAカード、又は別のデバイスであるか否かに関わらず、三つの顕著な要素、すなわち無線トランシーバ、アンテナ、及びネットワーク内のポイント間のパケットフローを制御するMAC(メディアアクセス制御)レイヤを含む。
更に、幾つかの無線ネットワークでは、複数インタフェースデバイス(MID)が適用される。MIDは、例えばBluetooth(登録商標)インタフェース及び802.11インタフェースのような二つ又はそれ以上の独立ネットワークを含むことができるので、Bluetoothデバイスとインタフェースするのみならず、二つの別個のネットワーク上にも参加することができる。MIDは、IPアドレスと、このIPアドレスに関連付けられた共通のIP(ネットワーク)名とを持つ。
無線ネットワークデバイスは、Bluetoothデバイスに限られるのではなく、複数インタフェースデバイス(MID)、802.11xデバイス(例えば802.11a,802.11b,及び802.11gデバイスを含むIEEE802.11デバイス)、HomeRF(ホーム無線周波数)デバイス、Wi−Fi(ワイヤレス・フィディリティー)(登録商標)デバイス、GPRS(ジェネラル・パケット・ラジオ・サービス)デバイス、3Gセルラーデバイス、2.5Gセルラーデバイス、GSM(グローバル・システム・フォー・モバイル・コミュニケーション)デバイス、EDGE(エンハンスト・データ・フォー・GSM・エボリューション)デバイス、TDMAタイプ(時分割多元接続)デバイス、又はCDMA2000を含むCDMAタイプ(符号分割多元接続)デバイスを含みうる。個々のネットワークデバイスは、限定される訳ではないが、IPアドレス、Bluetoothデバイスアドレス、Bluetoothコモンネーム、Bluetooth IPアドレス、Bluetooth IPコモンネーム、802.11 IPアドレス、802.11 IPコモンネーム、又はIEEE MACアドレスを含む可変タイプのアドレスを含む。
無線ネットワークは、また、例えば、モバイルIP(インターネットプロトコル)システム内、PCSシステム内、及びその他のモバイルネットワークシステム内で見られる方法及びプロトコルをも含みうる。モバイルIPに関し、それは、インターネット・エンジニアリング・タスク・フォース(IETF)によって生成される標準的な通信プロトコルを含む。モバイルIPを用いて、モバイルデバイスユーザは、一旦割り当てられたIPアドレスを保持しながら、ネットワークを横断して移動することができる。リクエスト・フォー・コメント(RFC)3344を参照されたい。注:RFCは、インターネット・エンジニアリング・タスク・フォース(IETF)の公式文書である。モバイルIPは、インターネットプロトコル(IP)を強化し、ホームネットワークの外部に接続するとき、インターネットトラフィックを、モバイルデバイスに転送するための手段を追加する。モバイルIPは、各モバイルノードに、ホームネットワーク上のホームアドレスと、サブネット、及びネットワーク内のデバイスの現在位置を識別するケア・オブ・アドレス(CoA)とを割り当てる。デバイスが、別のネットワークに移動した時には、新たなケア・オブ・アドレスを受け取る。ホームネットワーク上の移動エージェントは、各ホームアドレスを、そのケア・オブ・アドレスに関連付けることができる。モバイルノードは、例えばインターネット・コントロール・メッセージ・プロトコル(ICMP)を用いてそのケア・オブ・アドレスを変更する毎に、バインディング・アップデートをホームエージェントに送る。
基本的なIPルーティング(すなわち、モバイルIPの外部)では、一般に、ルーティングメカニズムは、各ネットワークノードが例えばインターネットに対して常に一定の接続点を持っており、各ノードのIPアドレスが、接続されたネットワークリンクを識別するという仮定に基づいている本明細書において、用語「ノード」は、接続点を含む。これは、例えば、データ送信のための再配信点又は終点を含み、その他のノードへの通信を認識、処理及び/又は転送をすることができる。例えば、インターネットルータは、デバイスのネットワークを識別する例えばIPアドレスプレフィクス等を考慮することができる。そして、ネットワークレベルにおいて、ルータは、例えば特定のサブネットを識別するビットの集合を考慮することができる。そして、サブネットレベルでは、ルータは、特定のデバイスを識別するビットの集合を考慮することができる。典型的なモバイルIP通信によって、もしもユーザが、例えばインターネットからモバイルデバイスを切断し、新たなサブセットにおいてそれへの再接続を試みるのであれば、このデバイスは、新たなIPアドレス、適切なネットマスク、及びデフォルトルータを用いて再設定されねばならない。さもなければ、ルーティングプロトコルは、パケットを適切に配信できないであろう。
(ネットワーク攻撃)
いくつかの例では、ネットワークエンティティは、攻撃され、悪意のある行いの犠牲者になるかもしれない。そのような問題を解決するための事前の試みは、このネットワークエンティティが攻撃されているかを検出することに主に焦点が置かれてきた。この事前解決は、攻撃の影響を取り除くためのステップを取ることに焦点が置かれておらず、すなわち、この問題に対する完全な解決を与えるものではない。
いくつかの例では、ネットワークエンティティは、攻撃され、悪意のある行いの犠牲者になるかもしれない。そのような問題を解決するための事前の試みは、このネットワークエンティティが攻撃されているかを検出することに主に焦点が置かれてきた。この事前解決は、攻撃の影響を取り除くためのステップを取ることに焦点が置かれておらず、すなわち、この問題に対する完全な解決を与えるものではない。
本発明の好適な実施例は、既存のシステム及び方法をかなり改善することができる。
前述の問題に対する解決策が、適切な隔離と回復によって攻撃の影響を取り除くことであることが発見された。本発明の一つの広範な局面は、無線接続ネットワーク、特にWLANネットワークにおける悪意のある行いの犠牲者を隔離するための方法である。更に、犠牲者のデバイス上にソフトウェアを持つことによって、本発明のシステムは、侵入者の影響から犠牲者を回復させ、犠牲者が、侵入者による次の攻撃によって影響を受けることを阻止する能力を提供する。
本発明の別の広範な局面は、二つの主要な要素、つまりローカルモニタと、グローバルモニタとを含む。ネットワーク上のエンティティが攻撃されているかを検出し、攻撃の影響を取り除くためのシステムは、このエンティティを隔離することと、侵入者による攻撃の影響からこのエンティティを回復させることを含む。
本発明の別の局面は、侵入者によって攻撃されているエンティティを、攻撃の影響から回復させ、前記侵入者による更なる攻撃を阻止するためのエンティティのデバイス上へのソフトウェアの提供である。
本発明の別の局面では、ローカルモニタが無線パケットを傍受し、レイヤ2矛盾を分析し、無線パケットを傍受しレイヤ2矛盾を分析しているローカルモニタから展開された情報を、前記グローバルモニタへ転送する。
本発明の別の局面では、ローカルモニタは、有線インタフェースと、モニタリングポリシーデータベースと、検出スクリプトと、誤挙動データベースと、トラフィックスニファと、グローバルモニタへのインタフェースとを備えている。
本発明の別の局面では、ローカルモニタが、グローバルモニタへの有線接続を持っている。これによって、ローカルモニタは、悪意のある攻撃に対する無線接続の弱点へと、ローカルモニタをグローバルモニタの支配下におくことなくグローバルモニタと通信することができる。ローカルモニタは、複数の周波数チャネルを越えて複数のアクセスポイントをカバーすることができる。
本発明の別の局面では、ローカルモニタが、無線チャネル上のパケットを取得し、検出し、グローバルモニタにレイヤ2の弱点を報告し、有効な情報における攻撃サインとポリシーとに基づいてグローバルモニタ攻撃に対して報告することができる。
本発明の別の局面では、グローバルモニタが、複数のローカルモニタを調整し、管理する。グローバルモニタは、更に、複数のアクセスポイントとローカルモニタへの有線インタフェースと、ローカルモニタへのインタフェースと、システム情報格納部と、グローバル推論エンジンと、モニタリングポリシーデータベースとを備えることができる。グローバルモニタは、バックボーンネットワーク内に存在することができ、制御された方式で、アクセスルータを介してアクセス可能である。これによって、グローバルモニタは、ネットワークの無線部分において違った形で起こるかもしれない悪意のある攻撃から隔離される。
本発明の別の局面では、複数のローカルモニタを備えたグローバルモニタインタフェースがレイヤ3及びその後において弱点及び/又は攻撃を分析して検出し、ローカルモニタを管理し、ローカルモニタに問い合わせ、適切なアラーム及び/又はログを生成する。この攻撃は、サービスの拒否、無法なアクセスポイント攻撃、介入者攻撃、及び個人情報泥棒を含みうる。攻撃を検出すると、原因ノードが隔離され、将来の攻撃を防止するために、検出された攻撃と、回復メカニズムとが与えられる。
本発明の別の局面では、攻撃の影響からエンティティを回復させ、侵入者による更なる攻撃を阻止するために、ソフトウェアがエンティティのデバイス上に提供される。
様々な実施例の上述及び/その他の局面、特徴及び/又は利点が、添付図面と連携した以下の記述を考慮して更に認められるであろう。様々な実施例は、適用可能な異なる局面、特徴、及び/又は利点を含んだり、除外したりすることができる。更に、様々な実施例は、適用可能なその他の実施例の一つ又は複数の局面又は特徴を組み合わせることができる。特定の実施例の局面、特徴、及び/又は利点の記述は、その他の実施例、又は特許請求の範囲を制限するものとして解釈されるべきではない。
本発明の好適な実施例が、限定されることなく、一例として添付図面に示される。
本発明が多くの異なる形式で具体化される一方、ここでは、本開示は、本発明の原理の一例を与えるものと考えられるべきであり、そのような例は、ここで説明及び/又は例示された好適な実施例に本発明を限定することが意図とされていないという理解の下で、多くの例示的な実施例が説明される。
上述された問題に対する解決策は、適切な隔離と回復を通じて攻撃の影響を取り除くことであることが発見された。本発明の一つの広い局面は、無線アクセスネットワーク、特にWLANネットワークにおける悪意のある行いの犠牲者を隔離する方法である。更に、この犠牲者のデバイス上にソフトウェアを持つことによって、本発明のシステムは、侵入者の影響から犠牲者を回復させ、犠牲者が、侵入者による次の攻撃によって影響を受けることから阻止する能力を提供する。
本システムの好適な実施例は、二つの主要な構成要素、すなわちローカルモニタとグローバルモニタとを含む。
今、我々は、図1及び図2にそれぞれ示すように、ローカルモニタ及びグローバルモニタの設計詳細を与える。
(ローカルモニタ)
好適な実施例では、ローカルモニタは、無線パケットを傍受し、定義されたローカルポリシーに依存してレイヤ2矛盾を分析し、レイヤ3送信情報をグローバルモニタへ転送することに責任を持つ。
好適な実施例では、ローカルモニタは、無線パケットを傍受し、定義されたローカルポリシーに依存してレイヤ2矛盾を分析し、レイヤ3送信情報をグローバルモニタへ転送することに責任を持つ。
図1の概要図は、有線インタフェース102、モニタリングポリシーデータベース104、検出スクリプト106、誤挙動データベース108、傍受されたトラフィック110、及びグローバルモニタ112へのインタフェースを示している。
全てのトラフィックは、インフラストラクチャモードにおいて、アクセスポイント(AP)を介して遷移するので、APへの近接近は、ローカルモニタを配置するための論理的な選択となる。ローカルモニタは、グローバルモニタと通信するために、バックボーンネットワークへの有線接続102を持つことが要求される。なぜなら、無線接続は、悪意のある攻撃に対して無防備であるからである。ローカルモニタは、適用された無線LANと同じサブネット中に存在するかも、またはしないかもしれない。単一のローカルモニタ要素は、単一のAPに限定される必要はないが、実際には、複数の周波数チャネルを越えて複数のAPをカバーできることに注意されたい。802.11 WLANの場合、不規則なモードにあるローカルモニタは、その論理ネットワーク構成(例えば、ESSID及びWEP設定による802.11)に関わらず、サービスエリア内の複数のホストとAPからエアトラフィックの全てを捕捉することができる。802.11において最も一般的に使用されているPHYレイヤ規格は、DSSS(直接シーケンス拡散スペクトル)である。この技術を用いて、チャネルエネルギーのほとんどは、22MHz帯域を越えて拡散される。一方、チャネル空間は5MHzである。従って、隣接チャネルとの干渉を避けるために、5又はそれ以上のチャネル分離(5×5MHz 25MHz)が必要とされる。逆に、4チャネル以下の分離では、隣接チャネルからの信号を受信することが可能である。従って、ローカルモニタは、四つのチャネルによって分離されたその他のチャネルを観察することもできる。しかしながら、その他のチャネルからの信号は、伝搬環境に依存してローカルモニタに弱く現れるので、使用されている各周波数チャネルのためにローカルモニタを置くことが好ましい。このようにして、物理レイヤ依存性が回避され、ローカルモニタは、誤挙動トラフィックを傍受し(110)、迅速かつ効率的に分析し(104,106,108)、グローバルモニタに報告する。
好適な実施例では、ローカルモニタは、以下の機能を備えて設計される。
1.無線チャネルにおけるパケットを捕捉すること。
2.有効な攻撃サイン及びポリシーに基づき、レイヤ2弱点/攻撃を検出及び報告すること。
3.グローバルモニタへレイヤ3トラフィック情報を報告すること。
4.アラーム/ログを適切に生成すること。
5.エンティティのデバイス上のユーザエージェントソフトウェアと通信し、攻撃に関する情報を提供し、回復処理を開始すること。
1.無線チャネルにおけるパケットを捕捉すること。
2.有効な攻撃サイン及びポリシーに基づき、レイヤ2弱点/攻撃を検出及び報告すること。
3.グローバルモニタへレイヤ3トラフィック情報を報告すること。
4.アラーム/ログを適切に生成すること。
5.エンティティのデバイス上のユーザエージェントソフトウェアと通信し、攻撃に関する情報を提供し、回復処理を開始すること。
(グローバルモニタ)
好適な実施例では、図2に示すグローバルモニタは、複数のローカルモニタを調整し、管理することに主に責任を持つ。更に、グローバルモニタは、ポリシーデータベースで定義されたようなレイヤ2上のあらゆる矛盾を判定する責任を持つ。
好適な実施例では、図2に示すグローバルモニタは、複数のローカルモニタを調整し、管理することに主に責任を持つ。更に、グローバルモニタは、ポリシーデータベースで定義されたようなレイヤ2上のあらゆる矛盾を判定する責任を持つ。
グローバルモニタは、好適には、種々のAPとローカルモニタへの有線インタフェース202と、ローカルモニタへのインタフェース212と、システム情報格納部206と、グローバル推論エンジン208と、モニタリングポリシーデータベース204とを備えている。グローバルモニタは、バックボーンネットワーク内に存在し、そのネットワークの無線部分で起こるかもしれない悪意のある攻撃からそれを隔離するために制御された方式で、アクセスルータを通じてアクセスすることができる。ロバスト性とスケーラビリティの目的のために、グローバルモニタは、分散されることも可能である。ローカルモニタと種々のAPは、有線インタフェース202を経由してグローバルモニタに接続される。これは、グローバルモニタ上の無線DOS攻撃をかなり減らすのみならず、ローカルモニタとグローバルモニタとの間の接続の分断のリスクをも低減する。いくつかの好適な実施例では、グローバルモニタの幾つかの主要な機能は、以下を含んでいる。
1.様々なローカルモニタとインタフェースすること。
2.レイヤ3及びそれ以降におけるあらゆる弱点/攻撃を分析し、検出すること。
3.様々なローカルモニタを管理すること。
4.必要な場合、いつでも、ローカルモニタに問い合わせること。
5.適切なアラーム/ログを生成すること。
2.レイヤ3及びそれ以降におけるあらゆる弱点/攻撃を分析し、検出すること。
3.様々なローカルモニタを管理すること。
4.必要な場合、いつでも、ローカルモニタに問い合わせること。
5.適切なアラーム/ログを生成すること。
上記を備えることによって、本発明の好適な実施例の設計は、例えば(a)サービス拒否(DOS)攻撃、(b)無法なAP攻撃(ここでは、攻撃者が偽の(無法な)AR及び見せ掛けに自分自身を設定可能)、及び/又は(c)介入者タイプの攻撃、及び(L2)個人情報泥棒のような種々の攻撃を検出する際の手段となる。一旦検出されると、本発明の好適な実施例の設計は、先ず、原因ノードを攻撃から隔離し、次に、その後の攻撃を防ぐために、回復メカニズムを与える。
既存のシステムは、機能に関してのみ本質的に検出に焦点をおいてきた。一方、本発明の好適な実施例は、悪意のある行い又は攻撃の検出の隔離及び回復に焦点を置き、本発明の好適な実施例の回復アプローチは、二つの異なることである。好適な実施例の隔離及び回復システムは、洗練された検出技術を持つものでさえ、無線アクセスネットワーク内では、明らかでも、直接的でもない。
本発明の実施例の例示的な実装が、図3、図4、及び図5のスクリーンショットで示されている。図3は、検出、回復、及びグローバルモニタへの報告を行う良好なローカルモニタを示している。図4は、ローカルモニタによってグローバルモニタに報告されたアクティビィティを良好に示しているグローバルモニタを示している。図5は、ローカルモニタによってトリガされた回復を良好に実行するユーザエージェントを示す。
(本発明の広範な範囲)
本発明の例示的な実施例がここに説明されたが、本発明は、ここで説明された様々な好適な実施例に限定されるのではなく、等価要素、部分変更、省略、組み合わせ(例えば、様々な実施例を横断する局面の)、及び/又は本開示に基づいて、当該技術分野における者によって理解されうる変形例を持つ任意及び全ての実施例を含む。特許請求の範囲における制限は、特許請求の範囲において用いられた文言に基づいて広く解釈されるべきであって、本明細書において、又は本出願中に記載された例に限定されるものではない。これらの例は、非限定的と解釈されるべきである。例えば、本開示において、用語「好適な」は、非限定的であり、「好適であるが、限定されない」ことを意味する。本開示において、及び本出願中では、〜する手段(means−plus−function)又は〜するステップ(step−plus−function)という限定は、以下に示す条件、すなわち、a)「〜する手段」(means for)又は「〜するステップ」(step for)が明確に記載されている場合、b)対応する機能が明確に記載されている場合、及びc)構成をサポートする構成、材料、又は動作が記載されていない場合、のうちの全てが、特定の特許請求の範囲の限定の中に存在する場合にのみ適用されるであろう。本開示において、及び本出願中、「本発明」又は「発明」という用語は、本開示内の一つ又は複数の局面に関連して使用される。本発明又は発明という文言は、重大場面の識別として不適切に解釈されるべきではなく、全ての局面又は実施例を越えて適用しているものと不適切に解釈されるべきではなく(すなわち、本発明は、多くの局面及び実施例を持っているものと理解されるべきであり)、本出願又は特許請求の範囲を制限するものと不適切に解釈されるべきではない。本開示において、及び本出願中、用語「実施例」は、あらゆる局面、特徴、プロセス又はステップ、これらの任意の組み合わせ、及び/又はこれらの一部等を説明するために使用することが可能である。いくつかの例では、様々な実施例が、重複した特徴を含んでいるかもしれない。
本発明の例示的な実施例がここに説明されたが、本発明は、ここで説明された様々な好適な実施例に限定されるのではなく、等価要素、部分変更、省略、組み合わせ(例えば、様々な実施例を横断する局面の)、及び/又は本開示に基づいて、当該技術分野における者によって理解されうる変形例を持つ任意及び全ての実施例を含む。特許請求の範囲における制限は、特許請求の範囲において用いられた文言に基づいて広く解釈されるべきであって、本明細書において、又は本出願中に記載された例に限定されるものではない。これらの例は、非限定的と解釈されるべきである。例えば、本開示において、用語「好適な」は、非限定的であり、「好適であるが、限定されない」ことを意味する。本開示において、及び本出願中では、〜する手段(means−plus−function)又は〜するステップ(step−plus−function)という限定は、以下に示す条件、すなわち、a)「〜する手段」(means for)又は「〜するステップ」(step for)が明確に記載されている場合、b)対応する機能が明確に記載されている場合、及びc)構成をサポートする構成、材料、又は動作が記載されていない場合、のうちの全てが、特定の特許請求の範囲の限定の中に存在する場合にのみ適用されるであろう。本開示において、及び本出願中、「本発明」又は「発明」という用語は、本開示内の一つ又は複数の局面に関連して使用される。本発明又は発明という文言は、重大場面の識別として不適切に解釈されるべきではなく、全ての局面又は実施例を越えて適用しているものと不適切に解釈されるべきではなく(すなわち、本発明は、多くの局面及び実施例を持っているものと理解されるべきであり)、本出願又は特許請求の範囲を制限するものと不適切に解釈されるべきではない。本開示において、及び本出願中、用語「実施例」は、あらゆる局面、特徴、プロセス又はステップ、これらの任意の組み合わせ、及び/又はこれらの一部等を説明するために使用することが可能である。いくつかの例では、様々な実施例が、重複した特徴を含んでいるかもしれない。
Claims (21)
- ネットワーク上のエンティティが攻撃されているかを検出し、この攻撃の影響を取り除く方法であって、前記エンティティを隔離することと、侵入者による前記攻撃の影響から前記エンティティを回復させることとを含む方法。
- 侵入者による攻撃の影響からエンティティを回復させるためにソフトウェアをエンティティのデバイス上に提供することと、前記侵入者による更なる攻撃を阻止することとを更に含む請求項1に記載の方法。
- 前記ネットワークは無線アクセスネットワークである請求項2に記載の方法。
- 請求項3に記載の方法において、ローカルモニタとグローバルモニタとを用いることを更に含み、前記ローカルモニタは、無線パケットを傍受し、更に/或いはレイヤ2矛盾を分析し、前記無線パケットを傍受し更に/或いはレイヤ2矛盾を分析している前記ローカルモニタから展開された情報を、前記グローバルモニタに転送する方法。
- 請求項4に記載の方法において、前記ローカルモニタは、モニタリングポリシーデータベース、検出スクリプト、誤挙動データベース、及びトラフィックスニファ内の情報を処理し、有線インタフェースを経由してグローバルモニタへ前記情報を通信する方法。
- 請求項4に記載の方法において、前記ローカルモニタは、アクセスポイントに近接近している方法。
- 請求項3に記載の方法において、前記ローカルモニタは、無線チャネル上のパケットを捕捉し、攻撃サイン及びポリシーに基づいて弱点を検出し、前記弱点及びトラフィック情報をグローバルモニタに報告する方法。
- 少なくとも一つのローカルモニタが、複数の周波数チャネルを越えて複数のアクセスポイントをカバーする請求項5に記載の方法。
- 前記ローカルモニタが、無線チャネル上のパケットを捕捉し、レイヤ2弱点を検出し、報告する請求項4に記載の方法。
- 前記ローカルモニタが、有効な攻撃サイン及びポリシーに基づいて前記グローバルモニタに攻撃を報告する請求項4に記載の方法。
- 前記ローカルモニタが、レイヤ3トラフィック情報を前記グローバルモニタに報告する請求項4に記載の方法。
- 前記ローカルモニタが、攻撃アラーム及び/又はログを生成する請求項4に記載の方法。
- 前記ローカルモニタが、前記エンティティのデバイス上のユーザエージェントソフトウェアと通信して、前記攻撃に関する情報を提供し、回復処理を開始する請求項4に記載の方法。
- 前記グローバルモニタは、複数のローカルモニタを調整し、管理する請求項4に記載の方法。
- 前記グローバルモニタは、システム情報格納部、グローバル推論エンジン、及びモニタリングポリシーデータベース内の情報を処理し、処理した情報を有線インタフェースを経由して、複数のアクセスポイント及びローカルモニタに通信する請求項14に記載の方法。
- 前記グローバルモニタは、バックボーンネットワーク内に存在し、制御された方式で、アクセスルータを通じてアクセス可能であり、これによって、前記ネットワークの無線部分において発生しうる悪意のある攻撃から前記グローバルモニタが隔離されるようにした請求項14に記載の方法。
- 前記グローバルモニタは、複数のローカルモニタとインタフェースし、レイヤ3及びそれ以降において弱点及び/又は攻撃の分析及び検出を行い、ローカルモニタを管理し、ローカルモニタへの問い合わせを行い、アラーム及び/又はログを生成する請求項4に記載の方法。
- 前記攻撃は、サービスの拒否、無法なアクセスポイント攻撃、介入者攻撃、及び個人情報泥棒のうちの少なくとも一つを含み、攻撃を検出すると、前記検出された攻撃から原因ノードが隔離され、回復メカニズムがその後の攻撃を防ぐ請求項1に記載の方法。
- 請求項1に記載の方法において、侵入者による攻撃の影響からエンティティを回復させ、前記侵入者による更なる攻撃を阻止するためのソフトウェアをエンティティのデバイス上で処理することを更に含む請求項1に記載の方法。
- 前記ローカルモニタは、無線チャネル上のパケットを捕捉し、前記無線パケットを傍受し、更に/又はレイヤ2矛盾を分析し、前記無線パケットを傍受し更に/又はレイヤ2矛盾を分析している前記ローカルモニタから展開された情報を前記グローバルモニタに転送し、前記ローカルモニタは、モニタリングポリシーデータベース、検出スクリプト、誤挙動データベース、及びトラフィックスニファ内のパケット情報を処理し、前記情報を有線インタフェースを経由してグローバルモニタに報告し、少なくとも一つのローカルモニタは、複数の周波数チャネルを越えて複数のアクセスポイントをカバーしており、前記ローカルモニタは、有効な攻撃サイン及びポリシーに基づいて、レイヤ2弱点、レイヤ3トラフィック情報、及び攻撃を検出して前記グローバルモニタに報告し、攻撃アラーム及び/又はログを生成する請求項3に記載の方法。
- 前記グローバルモニタは、システム情報格納部、グローバル推論エンジン、及びモニタリングポリシーデータベースを持ち、複数のローカルモニタとインタフェースしている前記グローバルモニタは、複数のアクセスポイント及びローカルモニタへの有線インタフェースを経由して、複数のローカルモニタを調整して管理し、前記グローバルモニタは、バックボーンネットワークに存在し、制御された方式で、アクセスルータを経由してアクセス可能であり、これによって、前記ネットワークの無線部分において発生しうる悪意のある攻撃から前記グローバルモニタが隔離され、前記グローバルモニタは、レイヤ3及びそれ以降において弱点及び/又は攻撃の分析及び検出を行い、ローカルモニタへの問い合わせを行い、適切なアラーム及び/又はログを生成し、前記攻撃は、サービスの拒否、無法なアクセスポイント攻撃、介入者攻撃、及び個人情報泥棒のうちの少なくとも一つを含み、攻撃を検出すると、前記検出された攻撃から原因ノードを隔離し、回復メカニズム提供してその後の攻撃を防ぐ請求項20に記載の方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US67197505P | 2005-04-15 | 2005-04-15 | |
| US11/161,739 US7975300B2 (en) | 2005-04-15 | 2005-08-15 | Secure isolation and recovery in wireless networks |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006304303A true JP2006304303A (ja) | 2006-11-02 |
Family
ID=37110122
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006113081A Pending JP2006304303A (ja) | 2005-04-15 | 2006-04-17 | 無線ネットワークにおける安全な隔離と回復 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US7975300B2 (ja) |
| JP (1) | JP2006304303A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008241513A (ja) * | 2007-03-28 | 2008-10-09 | Matsushita Electric Ind Co Ltd | マイクロプレートの搬送装置 |
| JP2011527146A (ja) * | 2008-06-23 | 2011-10-20 | ハート コミュニケーション ファウンデーション | ワイヤレス通信ネットワークアナライザ |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007007326A2 (en) * | 2005-07-14 | 2007-01-18 | Gryphonet Ltd. | System and method for detection and recovery of malfunction in mobile devices |
| US8434148B2 (en) * | 2006-03-30 | 2013-04-30 | Advanced Network Technology Laboratories Pte Ltd. | System and method for providing transactional security for an end-user device |
| US9112897B2 (en) * | 2006-03-30 | 2015-08-18 | Advanced Network Technology Laboratories Pte Ltd. | System and method for securing a network session |
| US8225404B2 (en) * | 2008-01-22 | 2012-07-17 | Wontok, Inc. | Trusted secure desktop |
| US8918865B2 (en) | 2008-01-22 | 2014-12-23 | Wontok, Inc. | System and method for protecting data accessed through a network connection |
| US8655312B2 (en) * | 2011-08-12 | 2014-02-18 | F-Secure Corporation | Wireless access point detection |
| US9628420B1 (en) * | 2011-09-28 | 2017-04-18 | EMC IP Holding Company LLC | Method and apapratus for content, endpoint, and protocol man-in-the-middle user interface |
| US20150033336A1 (en) * | 2013-07-24 | 2015-01-29 | Fortinet, Inc. | Logging attack context data |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3840530B2 (ja) | 1996-04-01 | 2006-11-01 | 株式会社いうら | 車椅子 |
| CA2454828A1 (en) | 2001-07-24 | 2003-02-06 | Theresa Eileen Phillips | Network security architecture |
| US20030084321A1 (en) * | 2001-10-31 | 2003-05-01 | Tarquini Richard Paul | Node and mobile device for a mobile telecommunications network providing intrusion detection |
| CA2414789A1 (en) * | 2002-01-09 | 2003-07-09 | Peel Wireless Inc. | Wireless networks security system |
| US7058796B2 (en) * | 2002-05-20 | 2006-06-06 | Airdefense, Inc. | Method and system for actively defending a wireless LAN against attacks |
| JP2003348113A (ja) | 2002-05-22 | 2003-12-05 | Takeshi Hosohara | スイッチおよびlan |
| US7327690B2 (en) | 2002-08-12 | 2008-02-05 | Harris Corporation | Wireless local or metropolitan area network with intrusion detection features and related methods |
| WO2004097584A2 (en) * | 2003-04-28 | 2004-11-11 | P.G.I. Solutions Llc | Method and system for remote network security management |
| US7295831B2 (en) * | 2003-08-12 | 2007-11-13 | 3E Technologies International, Inc. | Method and system for wireless intrusion detection prevention and security management |
-
2005
- 2005-08-15 US US11/161,739 patent/US7975300B2/en not_active Expired - Fee Related
-
2006
- 2006-04-17 JP JP2006113081A patent/JP2006304303A/ja active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008241513A (ja) * | 2007-03-28 | 2008-10-09 | Matsushita Electric Ind Co Ltd | マイクロプレートの搬送装置 |
| JP2011527146A (ja) * | 2008-06-23 | 2011-10-20 | ハート コミュニケーション ファウンデーション | ワイヤレス通信ネットワークアナライザ |
Also Published As
| Publication number | Publication date |
|---|---|
| US7975300B2 (en) | 2011-07-05 |
| US20060236391A1 (en) | 2006-10-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2006304303A (ja) | 無線ネットワークにおける安全な隔離と回復 | |
| US7971253B1 (en) | Method and system for detecting address rotation and related events in communication networks | |
| US9003527B2 (en) | Automated method and system for monitoring local area computer networks for unauthorized wireless access | |
| US7216365B2 (en) | Automated sniffer apparatus and method for wireless local area network security | |
| US7970894B1 (en) | Method and system for monitoring of wireless devices in local area computer networks | |
| US7710933B1 (en) | Method and system for classification of wireless devices in local area computer networks | |
| JP4994359B2 (ja) | 3g無線ネットワークをシグナリング攻撃から防御するための方法及び装置 | |
| US9143956B2 (en) | System and method for monitoring and enforcing policy within a wireless network | |
| US20050273853A1 (en) | Quarantine networking | |
| US7333481B1 (en) | Method and system for disrupting undesirable wireless communication of devices in computer networks | |
| Lee et al. | On the detection of signaling DoS attacks on 3G/WiMax wireless networks | |
| Agarwal et al. | An efficient scheme to detect evil twin rogue access point attack in 802.11 Wi-Fi networks | |
| Shrivastava et al. | EvilScout: Detection and mitigation of evil twin attack in SDN enabled WiFi | |
| KR20070120604A (ko) | 무선 보안 정책에 따라 근거리 네트워크 내의 다수의네트워크 세그먼트를 감시하는 방법 및 장치 | |
| KR20070054067A (ko) | 무선 액세스 포인트 장치 및 그를 이용한 네트워크 트래픽침입탐지 및 차단방법 | |
| CA2661050C (en) | Dynamic temporary mac address generation in wireless networks | |
| Hafiz et al. | Profiling and mitigating brute force attack in home wireless LAN | |
| Zhang et al. | Client-based intrusion prevention system for 802.11 wireless LANs | |
| Abel | Survey of current and future trends in security in wireless networks | |
| Huang et al. | A flow-based network monitoring framework for wireless mesh networks | |
| von Sperling et al. | Evaluation of an IoT device designed for transparent traffic analysis | |
| Neumerkel et al. | A sophisticated solution for revealing attacks on wireless LAN | |
| Makhlouf et al. | Intrusion and anomaly detection in wireless networks | |
| Hashim et al. | Hierarchical security architecture for next generation mobile networks | |
| Karanth et al. | Monitoring of Wireless Networks for Intrusions and Attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080515 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080527 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080826 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081021 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090317 |