JP2006526814A - 動的かつリスク認識型ネットワークセキュリティのためのシステムおよび方法 - Google Patents
動的かつリスク認識型ネットワークセキュリティのためのシステムおよび方法 Download PDFInfo
- Publication number
- JP2006526814A JP2006526814A JP2005500610A JP2005500610A JP2006526814A JP 2006526814 A JP2006526814 A JP 2006526814A JP 2005500610 A JP2005500610 A JP 2005500610A JP 2005500610 A JP2005500610 A JP 2005500610A JP 2006526814 A JP2006526814 A JP 2006526814A
- Authority
- JP
- Japan
- Prior art keywords
- connection
- node
- policy data
- network security
- security system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 22
- 230000002159 abnormal effect Effects 0.000 claims abstract description 17
- 238000004891 communication Methods 0.000 claims abstract description 16
- 230000004044 response Effects 0.000 claims abstract description 12
- 230000003068 static effect Effects 0.000 claims description 21
- 230000009471 action Effects 0.000 claims description 14
- 238000001514 detection method Methods 0.000 claims description 4
- 238000004458 analytical method Methods 0.000 claims description 2
- 230000009118 appropriate response Effects 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 9
- DZGWFCGJZKJUFP-UHFFFAOYSA-N tyramine Chemical compound NCCC1=CC=C(O)C=C1 DZGWFCGJZKJUFP-UHFFFAOYSA-N 0.000 description 9
- 230000007246 mechanism Effects 0.000 description 7
- 238000007726 management method Methods 0.000 description 5
- 206010000117 Abnormal behaviour Diseases 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000004088 simulation Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000013459 approach Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002085 persistent effect Effects 0.000 description 2
- 238000012502 risk assessment Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
動的かつリスク認識型ネットワークセキュリティのためのシステムおよび方法を記載する。一実施形態では、システムは通信媒体(102)を介する接続が異常である(疑わしい、悪意がある、通常の挙動から逸脱する、特定のプロファイルまたはパターンに適合する、またはこれらのいずれか一つである潜在的可能性がある)かどうかを動的に評価し、接続が特定の期間正常または異常のどちらとみなされるかによって、適切な応答を発生する。応答の型は、接続の発信元をその意図された宛先に接続することを阻止すること、接続の宛先を変更すること、接続を監査すること、またはこれらのいずれかの組合せを含むが、これらに限定されない。
Description
著作権保護の告知
この特許文書およびその図の開示の一部分は、著作権保護下の資料を含む。著作権所有者は、何人による当該特許文書のファクシミリ複製にも異存はないが、それ以外はいかなるものであれ全ての著作権を留保する。
この特許文書およびその図の開示の一部分は、著作権保護下の資料を含む。著作権所有者は、何人による当該特許文書のファクシミリ複製にも異存はないが、それ以外はいかなるものであれ全ての著作権を留保する。
本発明は、情報保証およびセキュリティに関する。さらに詳しくは、それはファイヤウォール、侵入検出、ネットワークセキュリティ、およびリスク評価の分野に関する。
背景技術
インターネットは、コンピュータユーザに利用可能な莫大な量の資源を作り出してきた。同時に、インターネットは、何百万台ものコンピュータの相互接続を要求することによって、コンピュータネットワークセキュリティの実質的な必要性を生み出してきた。ネットワークを保護する上で鍵となる要素はファイヤウォールである。
インターネットは、コンピュータユーザに利用可能な莫大な量の資源を作り出してきた。同時に、インターネットは、何百万台ものコンピュータの相互接続を要求することによって、コンピュータネットワークセキュリティの実質的な必要性を生み出してきた。ネットワークを保護する上で鍵となる要素はファイヤウォールである。
効率的かつ効果的なセキュリティを達成するために、ファイヤウォールは、規則に基づいてパケットを阻止するか、それとも許容するかを決定しなければならない。歴史的に、ファイヤウォールは、パケットを許容するか否かを決定するために、静的規則に依存してきた。例えば、静的ファイヤウォールに入れられる規則は一般的に、有効なインターネットプロトコル(IP)アドレスのリストを含む。ファイヤウォールがこれらのIPアドレスからパケットを受信すると、ファイヤウォールはパケットを通過させる。ファイヤウォールは一般的に、パケットがそこを通して通過することのできるポートの同様のリストを維持している。パケットをフィルタリングするための静的規則の使用は、ネットワークを効果的に保護するのには不充分である。
ファイヤウォール開発者は、従来のファイヤウォールを改善するために幾つかの手法を試行してきた。例えば、一部の従来のファイヤウォールは、ステートフル検査と呼ばれる技術を含む。例えばソファウェア・テクノロジーズ(http://www.sofaware.com/html/tech_stateful.shtm)およびチェック・ポイント(商標)ソフトウェアのFireWall−1(www.checkpoint.com)を参照されたい。
ステートフル検査は、各パケットを個別に審査する代わりに、ネットワークおよびネットワーク関連アプリケーションからの状態関連情報を使用して、制御決定を行なう技術である。ステートフル検査は、潜在的に悪意のあるパケットのフィルタリングを改善するが、この技術を実現する従来のファイヤウォールは、限定された組の情報源のみに依存している。
他の従来のファイヤウォールは、ファイヤウォールの能力を改善するためにネットワーク管理技術に依存してきた。例えば、Anturらの「Method and apparatus for reconfiguring and managing firewalls and security devices」(米国特許第6,243,815号、2001年6月5日)、Gaiらの「Method And Apparatus for defining and implementing high−level quality of service policies in computer networks」(米国特許第6,167,445号、2000年12月26日)、およびFinkらの「System, device and method for rapid packet filtering and processing」(米国特許第6,496,935号、2002年12月17日)を参照されたい。
ファイヤウォールを作製するための従来の技術のどれも、ネットワークアクセスを管理する動的なリスク認識方法を提供するものではない。
発明の概要
本発明の実施形態は、動的かつリスク認識型ネットワークセキュリティのためのシステムおよび方法を提供する。一実施形態では、システムは、通信媒体を介する接続が異常である(疑わしい、悪意がある、通常の挙動から逸脱する、特定のプロファイルまたはパターンに適合する、またはこれらのいずれか一つである潜在的可能性がある)かどうかを動的に評価し、接続が特定の期間正常または異常のどちらとみなされるかによって、適切な応答を発生する。応答の型は、接続の発信元をその意図された宛先に接続することを阻止すること、接続の宛先を変更すること、接続を監査すること、またはこれらのいずれかの組合せを含むが、これらに限定されない。
本発明の実施形態は、動的かつリスク認識型ネットワークセキュリティのためのシステムおよび方法を提供する。一実施形態では、システムは、通信媒体を介する接続が異常である(疑わしい、悪意がある、通常の挙動から逸脱する、特定のプロファイルまたはパターンに適合する、またはこれらのいずれか一つである潜在的可能性がある)かどうかを動的に評価し、接続が特定の期間正常または異常のどちらとみなされるかによって、適切な応答を発生する。応答の型は、接続の発信元をその意図された宛先に接続することを阻止すること、接続の宛先を変更すること、接続を監査すること、またはこれらのいずれかの組合せを含むが、これらに限定されない。
本発明の実施形態はソフトウェアまたは事前にプログラムされた装置を含むことができ、あるいは別のソフトウェア製品または装置に組み込むことができる。
本発明に係るネットワーク装置はどの時点においても一つまたはそれ以上の接続を解析することができ、理論的には装置が解析できる接続数の上限は無い。接続が通信媒体に到達すると、装置は一組の入力を審査し、かつ/または通信媒体が位置する環境で一組のアクションを実行する。これらの入力、およびアクションの結果に基づいて、装置は接続が異常であるか否かを決定する。接続が異常であると評価された場合、接続の識別子(発信元の名前など)のリスク計量が特定量だけ調整(増加または減少)される。ひとたび接続識別子のリスク計量が指定された閾値に達するかそれを超えると、その識別子によって識別された全ての将来の接続に対し、適切な応答が発生する。接続が正常であると決定された場合にも、リスク計量を調整することができる。
リスク計量調整量、審査する接続の型、適切な応答、入力、アクション、期間、通信媒体の特定の属性、環境の特定の属性、ならびに本発明に係るリスク評価および動的応答装置に必要または有益と思われる他の要素を指定するために、人間が定義できるおよび/または機械が生成することのできる一組のポリシーが使用される。
本発明の実施形態を使用することのできる用途の中には、適応型および知的ファイヤウォール、侵入検出システム、負荷分散システム、ネットワークトラフィック制御、ならびに様々な環境における信用度に基づくシステムが含まれるが、それらに限定されない。
本発明の実施形態は、従来のネットワークアクセス管理ソリューションより優れた多数の利点をもたらす。本発明の実施形態は、多種多様なアプリケーション、ポリシー、および他の情報を利用して、より知的かつ正確な決定を行う。また、本発明の実施形態は、使用される実際のネットワークプロトコルに関係しない、役割に基づくネットワーク管理の手法を提供する。本発明の実施形態は、役割、リスク、および他の属性の概念を使用して、ネットワークのノードについて記述しかつ特徴付ける。また、本発明の実施形態はファイヤウォールにおける実現に限定されない。さらに、実施形態がファイヤウォールとして実現される場合、該ファイヤウォールは従来のファイヤウォールより多様な情報源を使用し、かつ異常な接続に対して能動型対策を始動することができる。
本発明のさらなる詳細および利点を以下に記載する。
本発明のこれらおよび他の特徴、態様、および利点は、以下の詳細な説明を添付の図面を参照しながら読んだときに、いっそうよく理解される。
詳細な説明
本発明の実施形態は、通信媒体を介する接続が異常である(疑わしい、悪意がある、通常の挙動から逸脱する、特定のプロファイルまたはパターンに適合する、またはこれらのいずれか一つである潜在的可能性がある)かどうかを動的に評価し、かつ接続が特定の期間正常または異常のどちらとみなされるかによって適切な応答を発生する、新しいメカニズムを提供する。そのようなタスクを実行する他の同様のメカニズムとは異なり、本発明は、幾つかの形の管理および実施ポリシーと共にリスクを入力として使用する。
本発明の実施形態は、通信媒体を介する接続が異常である(疑わしい、悪意がある、通常の挙動から逸脱する、特定のプロファイルまたはパターンに適合する、またはこれらのいずれか一つである潜在的可能性がある)かどうかを動的に評価し、かつ接続が特定の期間正常または異常のどちらとみなされるかによって適切な応答を発生する、新しいメカニズムを提供する。そのようなタスクを実行する他の同様のメカニズムとは異なり、本発明は、幾つかの形の管理および実施ポリシーと共にリスクを入力として使用する。
今、図を参照すると、幾つかの図を通して同様の符号は同様の要素を示している。図1は、本発明の一実施形態の実現のための例示的環境である。図示する実施形態では、組織はファイヤウォール104を通してインターネット102にアクセスする。ファイヤウォール104は、当業者には周知の通り、基本的ネットワークセキュリティを提供する。
ファイヤウォール104は、認証実施機関(以下「AEF」という)106と通信する。下でさらに詳述するように、AEF106は、接続によって引き起こされるネットワーク内の資源に対する脅威を評価するために、静的ポリシーデータストア108および動的ポリシーデータストア110からポリシー情報を抽出する。接続とは、特定の期間有効な発信元と通信媒体上のノードとの間の通信の活動状態である。接続は接続識別子を使用して識別することができる。接続のための一般的な接続識別子は発信元のアドレスである。
本発明の実施形態では、AEF106は、コンピュータ可読媒体に格納されたプログラムコードを備える。AEF106のプロセッサはプログラムコードを実行する。プロセッサは例えば、入力を処理し、アルゴリズムを実行し、かつタッチセンシティブ入力装置から受け取った入力に応答して必要に応じて出力を生成することのできる、デジタル論理プロセッサを含むことができる。そのようなプロセッサはマイクロプロセッサ、ASIC、および状態機械を含むことができる。そのようなプロセッサは、プロセッサによって実行されたときにそこに記載されたステップをプロセッサに実行させる命令を格納する媒体、例えばコンピュータ可読媒体を含み、あるいはそれと通信することができる。
コンピュータ可読媒体の実施形態は、タッチセンシティブ入力装置と通信するプロセッサのようなプロセッサにコンピュータ可読命令を提供することのできる、電子、光学、磁気、または他の記憶装置または伝送装置を含むが、それらに限定されない。適切な媒体の他の例は、フロッピディスク、CD−ROM、磁気ディスク、メモリチップ、ROM、RAM、およびASIC、構成済みプロセッサ、あらゆる光媒体、あらゆる磁気テープまたは他の磁気媒体、またはコンピュータプロセッサがそこから命令を読み出すことのできるいずれかの他の媒体を含むが、それらに限定されない。また、ルータ、私設もしくは公衆ネットワーク、またはワイヤードおよびワイヤレス両方の他の伝送装置またはチャネルをはじめ、様々な他の形のコンピュータ可読媒体が、コンピュータに命令を伝達または搬送することができる。命令は、例えばC、C++、C#、Visual Basic、Java、およびJavaScriptをはじめ、いずれかのコンピュータプログラミング言語で書かれたコードを含むことができる。
本発明の実施形態のプログラムコードは、ハードウェア器具、サーバ上のソフトウェア、ファイヤウォール上のソフトウェア、スマートルータ、スマートゲートウェイ、スマートスイッチ、回路基板上の電子回路機構、モバイル装置、およびワイヤレス装置をはじめ、それらに限定されない多種多様な用途に実現することができる。
再び図1を参照すると、これらの脅威は、外部の例えばインターネット102、または内部のノード102a〜dなど、多くの様々な発信元に由来するかもしれない。発信元とは、インターネット102などの通信媒体を使用して接続を起動したシステム、ソフトウェア、または装置である。ノードが(企業LANのような)閉鎖された環境で通信媒体を使用して別のノードに接続するときに、接続を起動したノードは発信元として知られる。両義性がある場合は、宛先のようにふるまうノードを「宛先ノード」と呼ぶこともできる。ノードとは、接続の宛先であるシステム、ソフトウェア、または装置である。一部のノードはサービスを提供する。サービスとは、ノードによって提供される機能、便宜、または能力である。図示する実施形態では、ノード102a〜dはコンピュータワークステーションである。AEF106がネットワークの接続を解析すると、AEF106は、リスクレベルおよび本書に記載する他の基準についてのAEF106の解析に基づいて、動的ポリシーデータストア110に格納されたポリシーを動的に調整する。
図2は、本発明の実施形態におけるメッセージの流れを示すタイミング図である。AEF(106)が始動すると、それは静的ポリシーデータストア(110)からポリシー情報をロードする202。続いて、AEF(106)はインターネット(102)から接続を受け取る204。それに応じて、AEF(106)は動的ポリシーデータストア(110)から情報をロードする206。データストア(110)のサイズに応じて、AEF(106)は全てのポリシー情報または接続に関連するポリシー情報だけをロードすることができる。接続が異常でない場合、AEF(106)は接続をそれが向けられたノード(112a)に転送する208。
ノード(112a)が接続を受け取ると、ノード(112a)はAEF(106)にフィードバックを提供することができる210。例えば、接続はワームのようなウィルスを含むことがある。フィードバックに応答して、AEF(106)は動的ポリシーデータストア(110)内のポリシー情報を更新する212。図示する実施形態では、AEF(106)は次いで、動的ポリシーデータストア(110)からの更新されたポリシー情報を再ロードする214。
図3は、本発明の一実施形態で役割をいかに使用して、ノードおよびサービス値を割り当てるかを示す図である。役割とは、ノードを識別し、該ノードにその名前、ノード値、該ノードが利用可能なサービス、およびこれらの前記サービスのサービス値を提供するために使用することのできる構造である。図3は、本発明をコンピュータネットワーク環境で使用する場合に適用できる、ウェブサーバ用の役割302の一例を示す。役割302は様々な属性304を含む。図示する実施形態では、属性304は名前「web」およびノード値の6を有する。ノード値は、ノードにどれだけ価値があるかを数量的に指定する。本発明の実施形態が使用される環境におけるポリシーおよび/または制約条件に応じて、ノード値は有限または無限のいずれかとすることができる。
役割302はまた、それに関連付けられた少なくとも一つのサービス306を持つ。サービスもまた属性308を含む。属性308の一つがサービス値である。サービス値は、サービスにどれだけ価値があるかを数量的に指定する。本発明の実施形態が使用される環境におけるポリシーおよび/または制約条件に応じて、サービス値は有限または無限のいずれかとすることができる。
図4は、本発明の一実施形態における静的および動的データストアの様々な属性を示す図である。図示する実施形態では、AEF(106)の全体的ポリシー402は、静的ポリシー404および動的ポリシー406を含む。静的ポリシー404は、制約条件、役割、ノード−役割指定、閾値テーブル、サービス、およびアクションをはじめとする様々な属性を含む。これらの属性408は、データベース内のテーブル、ビジネスオブジェクトにプログラムされた規則、または規則をソフトウェアアプリケーションに格納して実行するための他の方法を含むことができる。静的ポリシー404は、追加属性をも含むことができる。図示する実施形態では、動的ポリシー406は単一の属性である脅威レベルテーブル410を含むことができる。これは単なる例示である。静的ポリシー404および動的ポリシーは両方とも、図4に示す属性のサブセットまたはスーパーセットを含むことができる。
静的ポリシー404の一つの属性408はアクションである。アクションは二つの目的を有する。第一は発信元の脅威レベルを調整することであり、第二はイベントの結果トリガされる対策として働くことである。対策は能動型または受動型のいずれかとすることができる。能動型対策は、宛先ノードが、発信元からの応答を要求する非同期メッセージまたはクエリを送信することを可能にする。受動型対策は方法に依存し、発信元にいかなるメッセージも送信しない(発信元は対策が講じられたことを知らない)。
脅威レベルとは、発信元またはいずれかの他の接続識別子がどれだけ異常であるかを指定する数量的尺度である。脅威レベルが高ければ高いほど、接続識別子は疑わしい。脅威レベルは、発信元に関連付けられるリスクと考えることもできる。接続がAEF(106)を通過することが許可されるかどうかは、ノード/サービスの脅威レベルおよび閾値の関数である。閾値は、ノードが異常な挙動に対しどれほど耐えられるかを指定する数量的尺度である。閾値はノードに対し、そのノード値に基づいて指定される。ノード値が高ければ高いほど、その閾値は低くなり、それは今度は、前記ノードが異常な挙動に対して低い耐性を示すことを意味する。脅威値および閾値に基づいて脅威を評価するプロセスについては、下でさらに詳述する。
図5は、本発明の一実施形態において結果的にグラフィック出力を生成するシミュレーションの流れを示す流れ図である。図5の流れ図は、本発明に従ってAEF(106)の効果を試験する方法の一例を提供する。図示する実施形態では、トラフィックプロファイルは、トラフィックプロファイルデータストア502に格納される。これらのプロファイルは、試みることのできる様々な型の異常および非異常(正常)接続を表わす。トラフィック発生器504は、AEF106への一連の接続を発生するために、トラフィックプロファイルデータストア502にアクセスする。
図1に関連して記載した通り、AEF106は、接続をいかに処理するかを決定するために、静的ポリシーデータストア108および動的ポリシーデータストア110から情報を抽出する。
接続が異常である場合、その接続の発信元アドレス(その接続識別子)の脅威レベルは、管理者定義ポリシーによって定義された量だけ増大される。次の場合、発信元kがノードiのサービスjに接続するアクセスが許可される。
threatLevel(k)<=nodeThreshold(i)ANDthreatLevel(k)<=serviceThreshold(i,j)
イベントの結果、脅威レベルは増大し、それはアクションをトリガする。上述の通り、アクションは脅威レベルを調整するかもしれない。例えば、アクションで発信元の脅威レベルを1.5だけ高めさせるために、アクションに次のステートメントを指定することができる。
イベントの結果、脅威レベルは増大し、それはアクションをトリガする。上述の通り、アクションは脅威レベルを調整するかもしれない。例えば、アクションで発信元の脅威レベルを1.5だけ高めさせるために、アクションに次のステートメントを指定することができる。
tli+l=tli+1.5
解析をサポートするために、静的ポリシーおよび動的ポリシーの二種類のポリシーが使用される。静的ポリシーは、メカニズムが意思決定を実行することができるように、メカニズムに規則を提供する。動的ポリシーは、全ての発信元の脅威レベルを追跡するために、メカニズムによって実時間で更新される。
解析をサポートするために、静的ポリシーおよび動的ポリシーの二種類のポリシーが使用される。静的ポリシーは、メカニズムが意思決定を実行することができるように、メカニズムに規則を提供する。動的ポリシーは、全ての発信元の脅威レベルを追跡するために、メカニズムによって実時間で更新される。
再び図5に戻って、図示する実施形態で、AEF106はイベント解析器506にイベントログを提供する。イベント解析器506はこれらのログを処理し、結果のグラフ508を発生する。図6、7、および8は、本発明の一実施形態によって生成されたグラフの例である。図6は、本発明の一実施形態における正常なプロファイルを持つトラフィックを示すグラフである。図7は、本発明の一実施形態における疑わしいプロファイルを持つトラフィックを示すグラフである。そして図8は、本発明の一実施形態における非常に悪意のあるプロファイルを持つトラフィックを示すグラフである。
本発明の生産(シミュレーションとは対照的に)の実施形態では、AEF106は多数の方法で脅威に応答することができる。応答の型は種類として、接続の発信元をその意図された宛先に接続すること(認証実施)を阻止すること、接続の宛先を変更すること、接続を監査すること、またはこれらのいずれかを含むことができるが、それらに限定されない。
本発明に係るAEF106は、例えば以下をはじめとする様々な方法を使用して、特定のノードの脅威レベルを調整することができる。
・接続発信元のオペレーティングシステムの受動フィンガプリントを得る。このオペレーティングシステム情報に基づいて、到来したパケットがそのオペレーティングシステムのパケットの基準に適合するかどうかを検査する。この情報は、特定の発信元に由来するスキャンを識別するためにも使用することができる。
・DNSレコードを検査して、内部ノードが初めて別の内部ノードに接続する場合(タイムアウト無く)、それがDNSサーバにアクセスしているかどうかを調べる。そうでない場合には発信元ノードは疑わしいかもしれない。
・高レベルの発見的規則を使用して、ネットワーク接続が正常か否かを決定する。例えば、発信元ポートが増分しているかどうか、接続がポートスキャンのように見えるかどうか、かつシーケンス番号に以前に遭遇したことがあるかどうかを決定する。
・侵入検出システム(IDS)シグネチャのデータベースと接続のパターンを照合する。一致するものがある場合、これは悪意のある攻撃の発生であるかもしれない。脅威レベルを上げ、悪化する場合には、それを遮断する。
・特定のノードのスイッチが切られるはずであるが、宛先ノードが依然として該ノードから接続を受けている場合には、悪意のある何かが発生しているかもしれない。
・ノードのユーザの挙動を検査する。一つのノードが別のノードに接続されるが、発信元ノードにユーザがおらず、あるいは異常な時間帯にユーザがいる場合、発信元ノードの脅威レベルを上げることができる。
・ノード毎に到来および送出データのログを記録し続ける。ノードAが時間tにノードBからトラフィックを受信するが、ノードBにおおよその時間tにおけるその送出データのログが無い場合、ノードBの脅威レベルを上げることができる。
・ノードにおけるユーザのアクションを検査し、悪意があるように見えるコマンドが無いか調べる。
・発信元ノードにピングを打ち、それが活動中であるか調べる。活動中でないが、依然としてデータを送信している場合には、何らかの問題が進行中であるかもしれない。
・発信元ノードによって起動された接続の帯域幅を検査し、それを期待されるトラフィックの型と照合する。例えば、我々は映像ストリーミングのようなアプリケーションに比較して、通常のトラフィックに高大域幅の利用を予想しない。ウェブトラフィックのような通常のトラフィックマルチメディアストリーミングのそれに匹敵する帯域幅を使用している場合、どこか問題があるかもしれない。
本発明の実施形態は、このメカニズム(役割情報つまり様々なノードに値を指定する能力)に特定的な文脈で、役割に基づくアクセス制御(RBAC)の概念を使用するノードの効率的な管理スキームを包含する。したがって、より価値の高いノードはより高い値を持つことができる。また、一実施形態は、対策を実行するために独立した汎用インタフェースを含む。対策に適用されるインタフェースは汎用であるので、メカニズムは潜在的にOSCモデルの全ての層からの入力を使用することができる。
本発明のAEFの実施形態は、組織内の新しいインターネットワームおよび電子メールウィルスの伝播速度を低減し、かつ最終的に伝播を完全に停止することができる。AEFはまた、遠隔位置からシステムを弱体化しようとする執拗な攻撃者を挫折させ、阻むこともできる。さらに、AEFは監視を提供し、組織内のシステムを誤用または悪用しようとする執拗な部内者を阻むこともできる。さらに、AEFはその意思決定にリスクおよび疑念を使用するので、将来の新しい形の未知の攻撃を阻止することができる。
本発明の好適な実施形態の上記の記載は、単に例示および説明のために提示したものであって、全てを網羅するように、あるいは開示した厳密な形に発明を限定するように意図したものではない。本発明の精神および範囲から逸脱することなく、多くの変形および適応が当業者には明白であろう。
用語集
ノード:ノードとは、接続の宛先であるシステム、ソフトウェア、または装置である。
ノード:ノードとは、接続の宛先であるシステム、ソフトウェア、または装置である。
発信元:発信元とは、通信媒体を使用して接続を起動したシステム、ソフトウェア、または装置である。ノードが(企業LANのような)閉鎖された環境で通信媒体を使用して別のノードに接続するときに、接続を起動したノードは発信元として知られる。両義性がある場合には、宛先のようにふるまうノードを「宛先ノード」と呼ぶこともできる。
サービス:サービスとは、ノードによって提供される機能、便宜、または能力である。
ノード値:ノード値は、ノードにどれだけ価値があるかを数量的に指定する。本発明が使用される環境におけるポリシーおよび/または制約条件に応じて、ノード値は有限または無限のいずれかとすることができる。
サービス値:サービス値は、サービスにどれだけ価値があるかを数量的に指定する。本発明が使用される環境におけるポリシーおよび/または制約条件に応じて、サービス値は有限または無限のいずれかとすることができる。
接続:接続とは、特定の期間有効な発信元と通信媒体上のノードとの間の通信の活動状態である。接続は接続識別子を使用して識別することができる。接続のための一般的な接続識別子は発信元のアドレスである。
役割:役割とは、ノードを識別し、該ノードにその名前、ノード値、該ノードが利用可能なサービス、およびこれらの前記サービスのサービス値を提供するために使用することのできる構造である。
アクション:アクションは二つの目的を有する。第一は発信元の脅威レベルを調整することであり、第二はイベントの結果トリガされる対策として働くことである。対策は能動型または受動型のいずれかとすることができる。能動型対策は、宛先ノードが、発信元からの応答を要求する非同期メッセージまたはクエリを送信することを可能にする。受動型対策は方法に依存し、発信元にいかなるメッセージも送信しない(発信元は対策が講じられたことを知らない)。
脅威レベル:脅威レベルとは、発信元またはいずれかの他の接続識別子がどれだけ異常であるかを指定する数量的尺度である。脅威レベルが高ければ高いほど、接続識別子は疑わしい。脅威レベルは、発信元に関連付けられるリスクと考えることもできる。
閾値:閾値とは、ノードが異常な挙動に対しどれほど耐えられるかを指定する数量的尺度である。閾値はノードに対し、そのノード値に基づいて指定される。ノード値が高ければ高いほど、その閾値は低くなり、それは今度は、前記ノードが異常な挙動に対して低い耐性を示すことを意味する。
Claims (17)
- 静的ポリシーデータストアと、
動的ポリシーデータストアと、
前記静的ポリシーデータストアおよび前記動的ポリシーデータストアと通信し、かつ接続のリスク認識解析を実行するように動作可能な認証実行機関(AEF)とを備えたネットワークセキュリティシステム。 - 前記静的ポリシーデータストアが、制約条件、役割、ノード−役割指定、閾値、ノード値、サービス値、およびアクション値のうちの少なくとも一つを含む、請求項1に記載のネットワークセキュリティシステム。
- 前記閾値が前記ノード値に反比例する、請求項2に記載のネットワークセキュリティシステム。
- 前記閾値が前記ノード値に反比例する、請求項2に記載のネットワークセキュリティシステム。
- 前記動的ポリシーデータストアが脅威レベルテーブルを含む、請求項1に記載のネットワークセキュリティシステム。
- 前記AEFがさらに、前記接続に対する応答を生成するように動作可能である、請求項1に記載のネットワークセキュリティシステム。
- 前記応答が、前記接続の発信元が意図された宛先に接続するのを阻止すること、前記接続の前記意図された宛先を変更すること、および前記接続を監査することのうちの少なくとも一つを含む、請求項6に記載のネットワークセキュリティシステム。
- 前記AEFがさらに対策を生成するように動作可能である、請求項1に記載のネットワークセキュリティシステム。
- 前記対策が能動型対策または受動型対策を含む、請求項8に記載のネットワークセキュリティシステム。
- 前記AEFがルータ、ゲートウェイ、ハードウェア器具、またはウェブサーバを含む、請求項1に記載のネットワークセキュリティシステム。
- 前記AEFと通信するファイヤウォールをさらに備える、請求項1に記載のネットワークセキュリティシステム。
- 前記AEFと通信する侵入検出システムをさらに備える、請求項1に記載のネットワークセキュリティシステム。
- 静的ポリシーデータストアから静的ポリシーデータ属性を受け取ることと、
ノードに向けられた接続要求を受け取ることと、
動的ポリシーデータストアから動的ポリシーデータ属性を受け取ることと、
少なくとも部分的に前記静的ポリシーデータ属性および少なくとも部分的に前記動的ポリシーデータ属性に基づいて、前記接続要求が異常であるかどうかを決定することを含む方法。 - 前記接続要求に応答することをさらに含む、請求項13に記載の方法。
- 応答が、前記接続要求を前記ノードに転送すること、前記接続の発信元が意図された宛先に接続するのを阻止すること、前記接続の前記意図された宛先を変更すること、および前記接続を監査することのうちの少なくとも一つを含む、請求項14に記載の方法。
- 前記決定の結果に基づいて前記動的ポリシーデータストア内の前記動的ポリシーデータ属性を更新することをさらに含む、請求項13に記載の方法。
- 前記接続要求が異常であると決定された場合、前記更新は脅威レベルを上げることを含む、請求項13に記載の方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2003/016817 WO2004109971A1 (en) | 2003-05-30 | 2003-05-30 | Systems and methods for dynamic and risk-aware network security |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006526814A true JP2006526814A (ja) | 2006-11-24 |
Family
ID=33509882
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005500610A Pending JP2006526814A (ja) | 2003-05-30 | 2003-05-30 | 動的かつリスク認識型ネットワークセキュリティのためのシステムおよび方法 |
Country Status (4)
| Country | Link |
|---|---|
| EP (1) | EP1629623A4 (ja) |
| JP (1) | JP2006526814A (ja) |
| AU (1) | AU2003231876A1 (ja) |
| WO (1) | WO2004109971A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007279906A (ja) * | 2006-04-04 | 2007-10-25 | Mitsubishi Electric Corp | ネットワークアクセス管理システム |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7937353B2 (en) | 2007-01-15 | 2011-05-03 | International Business Machines Corporation | Method and system for determining whether to alter a firewall configuration |
| US8042150B2 (en) | 2008-12-08 | 2011-10-18 | Motorola Mobility, Inc. | Automatic generation of policies and roles for role based access control |
| US10162969B2 (en) * | 2014-09-10 | 2018-12-25 | Honeywell International Inc. | Dynamic quantification of cyber-security risks in a control system |
| CN118555147B (zh) * | 2024-07-30 | 2024-10-29 | 湖南博盛芯微电子科技有限公司 | 一种防护方法、防火墙系统及设备 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5278901A (en) * | 1992-04-30 | 1994-01-11 | International Business Machines Corporation | Pattern-oriented intrusion-detection system and method |
| FR2706652B1 (fr) * | 1993-06-09 | 1995-08-18 | Alsthom Cge Alcatel | Dispositif de détection d'intrusions et d'usagers suspects pour ensemble informatique et système de sécurité comportant un tel dispositif. |
| FR2727269B1 (fr) * | 1994-11-21 | 1997-01-17 | Allegre Francois | Systeme de controle d'acces a des machines informatiques connectees en reseau prive |
| US6275942B1 (en) * | 1998-05-20 | 2001-08-14 | Network Associates, Inc. | System, method and computer program product for automatic response to computer system misuse using active response modules |
| US6219706B1 (en) * | 1998-10-16 | 2001-04-17 | Cisco Technology, Inc. | Access control for networks |
| US6321338B1 (en) * | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
| ATE326801T1 (de) * | 1999-06-10 | 2006-06-15 | Alcatel Internetworking Inc | Virtuelles privates netzwerk mit automatischer aktualisierung von benutzererreichbarkeitsinformation |
-
2003
- 2003-05-30 WO PCT/US2003/016817 patent/WO2004109971A1/en active Application Filing
- 2003-05-30 AU AU2003231876A patent/AU2003231876A1/en not_active Abandoned
- 2003-05-30 JP JP2005500610A patent/JP2006526814A/ja active Pending
- 2003-05-30 EP EP03817157A patent/EP1629623A4/en not_active Withdrawn
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007279906A (ja) * | 2006-04-04 | 2007-10-25 | Mitsubishi Electric Corp | ネットワークアクセス管理システム |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1629623A4 (en) | 2010-12-08 |
| EP1629623A1 (en) | 2006-03-01 |
| AU2003231876A1 (en) | 2005-01-04 |
| WO2004109971A1 (en) | 2004-12-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20200404007A1 (en) | Systems and Methods for Detecting Injection Exploits | |
| US11824875B2 (en) | Efficient threat context-aware packet filtering for network protection | |
| Schnackengerg et al. | Cooperative intrusion traceback and response architecture (CITRA) | |
| US8230505B1 (en) | Method for cooperative intrusion prevention through collaborative inference | |
| US8185510B2 (en) | Distributed security provisioning | |
| US8166554B2 (en) | Secure enterprise network | |
| US6484203B1 (en) | Hierarchical event monitoring and analysis | |
| US7735116B1 (en) | System and method for unified threat management with a relational rules methodology | |
| US20060206615A1 (en) | Systems and methods for dynamic and risk-aware network security | |
| JP2016053979A (ja) | 悪意のあるソフトウェアに対するローカル保護をするシステム及び方法 | |
| US7299489B1 (en) | Method and apparatus for host probing | |
| OConnor et al. | PivotWall: SDN-based information flow control | |
| Tudosi et al. | Secure network architecture based on distributed firewalls | |
| Jeyanthi | Internet of things (IoT) as interconnection of threats (IoT) | |
| Shaar et al. | DDoS attacks and impacts on various cloud computing components | |
| Nasrullayev et al. | Providing IoT security in Industry 4.0 using web application firewall | |
| Trabelsi et al. | Preventing ARP attacks using a fuzzy-based stateful ARP cache | |
| JP2006526814A (ja) | 動的かつリスク認識型ネットワークセキュリティのためのシステムおよび方法 | |
| Deri et al. | Using cyberscore for network traffic monitoring | |
| Nenova et al. | Intrusion detection system model implementation against ddos attacks | |
| Teja et al. | Prevention of Attacks and Flow Control of Firewalls | |
| Stepanek | Distributed firewalls | |
| Keromytis et al. | Designing firewalls: A survey | |
| Selvaraj et al. | Enhancing intrusion detection system performance using firecol protection services based honeypot system | |
| Liu et al. | A dynamic countermeasure method for large-scale network attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090714 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20091208 |