JP2007018044A - Self-reorganization system - Google Patents

Self-reorganization system Download PDF

Info

Publication number
JP2007018044A
JP2007018044A JP2005195981A JP2005195981A JP2007018044A JP 2007018044 A JP2007018044 A JP 2007018044A JP 2005195981 A JP2005195981 A JP 2005195981A JP 2005195981 A JP2005195981 A JP 2005195981A JP 2007018044 A JP2007018044 A JP 2007018044A
Authority
JP
Japan
Prior art keywords
computer
computers
self
unauthorized intrusion
configuration
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005195981A
Other languages
Japanese (ja)
Other versions
JP4528680B2 (en
Inventor
Hidekazu Yanagisawa
英一 柳澤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2005195981A priority Critical patent/JP4528680B2/en
Publication of JP2007018044A publication Critical patent/JP2007018044A/en
Application granted granted Critical
Publication of JP4528680B2 publication Critical patent/JP4528680B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a self-reorganization system equipped with a means for enabling the other computer which has not been hacked in the case of illegal hacking to reconfigure a system for maintaining the minimum task while holding the consistency of data, and to avoid any abnormal circumstance where all tasks are put in a stop status. <P>SOLUTION: This self-reorganization system is configured of a plurality of computers including a hacking detecting means 10 to which databases 101 to 104 where basic data are stored, and respectively accessed are assigned for monitoring the abnormal status of hacking, a configuration table 11 for storing path configuration and execution process list corresponding to the abnormal status due to illegal hacking, a communication module 12 for receiving status change notification from the other computer, and for notifying the other computer of the status change, and for receiving the notification of hacking from the other computer and an execution file group 13 such as task software and software for facilitating countermeasures to hacking, wherein the computer which has been hacked changes its own path configuration, and notifies the other computer of the abnormal status, and the other computer reconfigures a defense system. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、自己再組織化システムに係り、特に、システムを構成する複数の計算機のいずれかが不正侵入を受けた場合に自律防御する手段に関する。   The present invention relates to a self-reorganization system, and more particularly, to a means for autonomous defense when any of a plurality of computers constituting the system receives an unauthorized intrusion.

従来の不正侵入防止システムは、不正侵入に対して侵入をブロックする単機能に特化したものが圧倒的に多かった。   Conventional unauthorized intrusion prevention systems are overwhelmingly dedicated to single functions that block intrusions against unauthorized intrusions.

一方、障害があった時にもデータの一貫性を保つシステムとしては、各計算機に共通の共有メモリを外付けで有し、各計算機が、自機の異常を監視するとともに、その計算機に割り当てられた業務および障害発生の有無に関する情報を前記共有メモリ内の状況記憶部に書き込む一方、割り当てられた資源の記憶手段に、対応業務に関する処理状態情報を書き込む状況監視手段と、状況記憶部をアクセスし、他の計算機が障害によりダウンしたことを検出したらテーブルの定義情報に基づき割り当てられる業務対応の資源を自機の管理下に組み込む資源組込手段と、他の計算機のダウン時に、管理下に組み込む資源の記憶手段を処理タスクを用いてアクセスし、この記憶手段の情報に基づき対応業務を実行可能状態を構築するリカバリ処理手段と、当初からの割り当てに係る業務およびリカバリ処理手段により実行可能に構築された業務を実行する処理実行手段とを備えたコンピュータバックアップシステムが提案されている(例えば、特許文献1参照)。   On the other hand, as a system to maintain data consistency even when there is a failure, each computer has a common shared memory externally, and each computer monitors its own abnormality and is assigned to that computer. The status monitoring means for writing the processing status information related to the corresponding job to the storage means of the allocated resource, and the status storage section, while the information on the status of the business and the occurrence of the failure are written in the status storage section in the shared memory When it detects that another computer is down due to a failure, it incorporates a resource incorporation means for incorporating business-related resources allocated based on the definition information of the table under its own management, and incorporating under management when the other computer is down Recovery processing means for accessing a resource storage means using a processing task and constructing a state in which a corresponding job can be executed based on the information stored in the storage means , Computer backup system that includes a processing executing means for executing the executable-constructed business has been proposed by the business and recovery processing means according to the assignment from the beginning (for example, see Patent Document 1).

特開平07−044413号(第3頁 図1,図2)Japanese Patent Application Laid-Open No. 07-044413 (page 3, FIGS. 1 and 2)

従来の不正侵入防止システムでは、少なくとも1台の計算機が不正侵入されると、業務が中断してしまう場合があり、不正侵入された計算機から他の計算機へのより深い不正侵入を防止することが困難だった。   In the conventional intrusion prevention system, if at least one computer is illegally intruded, the business may be interrupted, and it is possible to prevent deeper illegal intrusion from an illegally intruded computer to another computer. It was difficult.

また、特許文献1に記載のコンピュータバックアップシステムは、主にシステムダウンに対するバックアップを課題としており、不正侵入には対応できなかった。   Further, the computer backup system described in Patent Document 1 mainly has a problem of backup against a system down, and cannot cope with unauthorized intrusion.

結局は、実行ファイル(プログラム)群だけでなく、基本データの一貫性を保てないと、再構成したシステムがバックアップ機能を果たせないという問題があった。   In the end, there was a problem that the reconfigured system could not perform the backup function unless the consistency of not only the executable file (program) group but also the basic data was maintained.

本発明の課題は、不正侵入を受けた時に、侵入されていない他の計算機が、データの一貫性を保ちながら最小限の業務を維持できるようにシステムの防御体制を再構築し、全業務が停止状態になる異常事態を回避する手段を備えた自己再組織化システムを提供することである。   The object of the present invention is to restructure the system defense system so that other computers that have not been intruded can maintain the minimum operations while maintaining the consistency of data when an unauthorized intrusion occurs. It is to provide a self-reorganization system provided with means for avoiding an abnormal situation that becomes a stop state.

本発明は、上記課題を解決するために、基本データを格納しそれぞれがアクセスするデータベースを割り当てられ、不正侵入の異常状態を監視する不正侵入検知手段と、不正侵入による異常状態に対応する経路構成および実行プロセスリストを保持する構成テーブルと、他の計算機からの状態変更通知を受信し状態変更を他の計算機に通知し他の計算機からの不正侵入の通知を受信する通信モジュールと、業務ソフトウエアおよび不正侵入対策ソフトウエアなどの実行ファイル群とを含む複数の計算機からなり、不正侵入された計算機が、自分の経路構成を変更し、他の計算機に異常状態または変更した経路構成を通知し、通知を受けた残りの計算機が、異常状態または変更した経路構成と構成テーブルとを照合し、経路構成および実行プロセスを変更し、協調して防御体制を再構築する自己再組織化システムを提案する。   In order to solve the above-described problems, the present invention provides an unauthorized intrusion detection means for monitoring an abnormal state of unauthorized intrusion, which is assigned with a database storing basic data and accessed by each database, and a path configuration corresponding to the abnormal state due to unauthorized intrusion A configuration table that holds an execution process list, a communication module that receives state change notifications from other computers, notifies state changes to other computers, and receives unauthorized intrusion notifications from other computers, and business software And a computer that includes an executable file group such as unauthorized intrusion prevention software, and the unauthorized computer changes its route configuration and notifies other computers of the abnormal state or changed route configuration, The remaining computers that received the notification check the path configuration and execution program by checking the path configuration against the abnormal status or changed path configuration table. Change the scan, we propose a self re-organization system to rebuild the defense system in a coordinated manner.

本発明によれば、不正侵入を検知した時に、不正侵入されていない他の計算機が、それよりも深い不正侵入を防ぐようにシステムを再構築するので、被害を最小限に限定できる。   According to the present invention, when an unauthorized intrusion is detected, another computer that has not been illegally intruded reconstructs the system so as to prevent unauthorized intrusion deeper than that, so damage can be limited to a minimum.

また、1つの共有テーブルによる従来の集中管理方式に代えて、各計算機が構成テーブルを保持し、異常事態に対して柔軟に協調動作するので、不正侵入された計算機の構成テーブルが破壊されても、不正侵入されていない他の計算機が、データの一貫性を保ちながら最小限の業務を維持できるようにシステムの防御体制を再構築し、全業務が停止状態になる異常事態を回避できる。   In addition, instead of the conventional centralized management method using a single shared table, each computer holds a configuration table and operates flexibly in cooperation with an abnormal situation, so even if the configuration table of an unauthorized computer is destroyed It is possible to reconstruct the system defense system so that other computers that have not been hacked can maintain the minimum operations while maintaining the consistency of the data, so that the abnormal situation in which all operations are stopped can be avoided.

さらに、1台の計算機が不正侵入され、他の計算機が防御体制に移行した後、別の計算機が不正侵入を受けた時も、各計算機が異常状態と構成テーブルとを照合し、新たな異常状態に対応した防御体制を再構築できる。   In addition, when one computer is hacked and another computer enters the defense system, and another computer is hacked, each computer checks the abnormal state against the configuration table and creates a new anomaly. The defense system corresponding to the state can be reconstructed.

次に、図1〜図5を参照して、本発明による自己再組織化システムの実施例を説明する。   Next, an embodiment of the self-reorganization system according to the present invention will be described with reference to FIGS.

図1は、本発明による自己再組織化システムの実施例1の系統構成を示すブロック図である。   FIG. 1 is a block diagram showing a system configuration of embodiment 1 of a self-reorganization system according to the present invention.

本実施例1の自己再組織化システムは、ネットワーク105により相互接続された計算機101〜104からなる。計算機101は、計算機102〜104への不正侵入を監視しており、計算機102〜104は、それぞれの業務を処理している。計算機101〜104は、基本データを格納しそれぞれがアクセスするデータベースD101〜D104を割り当てられている。   The self-reorganization system according to the first embodiment includes computers 101 to 104 interconnected by a network 105. The computer 101 monitors unauthorized intrusion into the computers 102 to 104, and the computers 102 to 104 are processing their respective tasks. Computers 101-104 are assigned databases D101-D104 which store basic data and access each.

各計算機101〜104は、検知手段10と、構成テーブル11と、通信モジュール12と、業務ソフトウエアおよび不正侵入対策ソフトウエアなどの実行ファイル群13とを含んでいる。   Each of the computers 101 to 104 includes a detection means 10, a configuration table 11, a communication module 12, and an execution file group 13 such as business software and unauthorized intrusion countermeasure software.

検知手段10は、不正侵入の異常状態を監視する。構成テーブル11は、不正侵入による異常状態に対応する経路構成情報および実行プロセスリストを保持している。   The detection means 10 monitors the abnormal state of unauthorized intrusion. The configuration table 11 holds path configuration information and an execution process list corresponding to an abnormal state due to unauthorized intrusion.

通信モジュール12は、他の計算機からの状態変更通知を受信し、状態変更を他の計算機に通知し、他の計算機からの不正侵入の通知を受信する。実行ファイル群13は、構成テーブル11が保持しているプロセスリストに挙げられているすべてのソフトウエアを格納している。   The communication module 12 receives state change notifications from other computers, notifies state changes to other computers, and receives unauthorized intrusion notifications from other computers. The executable file group 13 stores all the software listed in the process list held in the configuration table 11.

図2は、本発明の自己再組織化システムで用いる構成テーブル11の一例を示す図である。   FIG. 2 is a diagram showing an example of the configuration table 11 used in the self-reorganization system of the present invention.

構成テーブル11は、ID,異常状態,経路構成情報,実行プロセスリストが1レコードになるように作られており、それぞれのレコードには、各異常状態に対応した最適な経路構成情報および実行プロセスリストが割り当てられている。したがって、他の計算機に構成情報を通知する場合は、IDを送信するだけでよく、構成テーブル11の1レコードすべてを送信せずに済む。   The configuration table 11 is created so that an ID, an abnormal state, route configuration information, and an execution process list become one record, and each record has an optimum route configuration information and an execution process list corresponding to each abnormal state. Is assigned. Therefore, when notifying the configuration information to other computers, it is only necessary to transmit the ID, and it is not necessary to transmit all the records of the configuration table 11.

計算機101〜104のいずれかが不正侵入された時、検知手段10を使って自らの計算機への不正侵入を検知するか、または、全体への不正侵入を監視している計算機101から不正侵入されたことを通知される。   When any one of the computers 101 to 104 is illegally intruded, the detection means 10 is used to detect an unauthorized intrusion into the own computer, or an unauthorized intrusion is detected from the computer 101 monitoring the unauthorized intrusion to the entire computer. You will be notified.

不正侵入を検知したまたは不正侵入を通知された計算機は、検知された情報または通知された情報と図2の構成テーブル11とを照合し、該当する異常状態から経路構成情報および実行プロセスリストを取り出す。   The computer that has detected an unauthorized intrusion or that has been notified of an unauthorized intrusion collates the detected information or the notified information with the configuration table 11 in FIG. 2, and extracts path configuration information and an execution process list from the corresponding abnormal state. .

不正侵入を受けた計算機は、経路構成情報に基づいて計算機の経路情報を変更するとともに、実行プロセスリストに基づいて、実行ファイル群13から該当する実行ファイルを起動する。   The computer that has received the unauthorized intrusion changes the route information of the computer based on the route configuration information, and activates the corresponding executable file from the executable file group 13 based on the execution process list.

通知を受ける前に起動していた業務プロセスが実行プロセスリストに無い場合は、該当業務プロセスを終了する。   If the business process started before receiving the notification is not in the execution process list, the business process is terminated.

不正侵入を受けた計算機は、これらの処理が完了すると、システム構成上関連する他計算機に変更した構成テーブル11のIDを送信する。   Upon completion of these processes, the computer that has received unauthorized intrusion transmits the ID of the configuration table 11 that has been changed to another computer related to the system configuration.

図3は、本発明による自己再組織化システムの不正侵入監視の処理手順を示すフローチャートである。   FIG. 3 is a flowchart showing a processing procedure of unauthorized intrusion monitoring of the self-reorganization system according to the present invention.

ステップ61:各計算機101〜104は、受信待ち状態にあり、他の計算機から不正侵入検知や構成変更の通知があった場合、その信号を受信する。   Step 61: Each of the computers 101 to 104 is in a reception waiting state, and when there is a notification of unauthorized intrusion detection or configuration change from another computer, it receives the signal.

ステップ62:ステップ61で受信した情報は暗号化されているので、暗号を解読する。   Step 62: Since the information received in step 61 is encrypted, the code is decrypted.

ステップ63:解読した情報が不正侵入による異常状態を通知しているか、他の計算機の構成テーブル11に基づきシステム構成が変更されたこと示すIDかを判別する。   Step 63: It is determined whether or not the decrypted information indicates an abnormal state due to unauthorized intrusion or an ID indicating that the system configuration has been changed based on the configuration table 11 of another computer.

ステップ64a:不正侵入による異常状態の通知である場合、通知された情報と構成テーブル11の異常状態とを比較し、マッチしたレコードのID,経路構成情報,実行プロセスリストを取り出す。構成テーブル11には、すべての情報にマッチしない場合のレコードも含まれており、その場合はトラブルを生じないように、決められた処理に移行する。   Step 64a: When it is a notification of an abnormal state due to unauthorized intrusion, the notified information is compared with the abnormal state of the configuration table 11, and the matched record ID, path configuration information, and execution process list are extracted. The configuration table 11 also includes a record in the case of not matching all information, and in this case, the process proceeds to a predetermined process so as not to cause a trouble.

ステップ65a:経路構成情報に基づいて計算機の経路情報を変更する。変更した経路情報は、該当計算機上で動作する業務および不正侵入防御プロセスが参照する。   Step 65a: The route information of the computer is changed based on the route configuration information. The changed route information is referred to by the business operating on the computer and the unauthorized intrusion prevention process.

ステップ66a:実行プロセスリストに基づいて、該当プロセスに変更する。実行プロセスリストに無いプロセスで、既に起動しているプロセスは停止し、終了させる。   Step 66a: Based on the execution process list, the process is changed. Processes that are not in the execution process list and are already running are stopped and terminated.

ステップ67a:以上の処理が終了すると、関連する他計算機にマッチしたレコードのIDを通知する。   Step 67a: When the above processing is completed, the ID of the record matched with the other related computer is notified.

通知後、受信待ち状態に戻る。   After notification, it returns to the reception waiting state.

ステップ64b:他の計算機の構成テーブル11変更により処理が変更されたことをIDで通知された場合、通知された情報と構成テーブル11のIDとを比較し、マッチした経路構成情報,実行プロセスリストを取り出す。   Step 64b: When notified by ID that the processing has been changed by changing the configuration table 11 of another computer, the notified information is compared with the ID of the configuration table 11, and the matched path configuration information and execution process list are compared. Take out.

構成テーブル11にはすべての情報にマッチしない場合のレコードも含まれており、その場合はトラブルを生じないように、決められた処理に移行する。   The configuration table 11 also includes a record in the case of not matching all information, and in this case, the process proceeds to a predetermined process so as not to cause a trouble.

ステップ65b:経路構成情報に基づいて計算機の経路情報を変更する。変更した経路情報は、該当計算機上で動作する業務および不正侵入防御プロセスが参照する。   Step 65b: The route information of the computer is changed based on the route configuration information. The changed route information is referred to by the business operating on the computer and the unauthorized intrusion prevention process.

ステップ66b:実行プロセスリストに基づいて、該当プロセスに変更する。実行プロセスリストに無いプロセスで、既に起動しているプロセスは停止し、終了させる。   Step 66b: Change to the corresponding process based on the execution process list. Processes that are not in the execution process list and are already running are stopped and terminated.

ステップ67b:以上の処理が終了すると、関連する他計算機に前記IDを通知する。
通知後、受信待ち状態に戻る。 Step 67b: When the above processing is completed, the ID is notified to other related computers.
After notification, it returns to the reception waiting state.

なお、ステップ64a,64bでは、受信情報と構成テーブル11との単一マッチング方法の他に、一度IDX1を取得した後に、別なIDX2や異常状態を取得した時に、IDX2がIDX1を含んでいる場合は、IDX2の処理を実行し、IDX1がIDX2を含んでいる場合は、IDX2の処理は実行しないで、IDX1がIDX2を含んでいないまた部分的に含んでいる場合は、両状態を含んでいる異常状態を検索し、マッチした処理を実行するなどの複合マッチング方法を採用してもよい。   In Steps 64a and 64b, in addition to a single matching method between the received information and the configuration table 11, when IDX1 is acquired and another IDX2 or abnormal state is acquired, IDX2 includes IDX1. Executes IDX2 processing, if IDX1 includes IDX2, does not execute IDX2 processing, and if IDX1 does not include or partially includes IDX2, includes both states A complex matching method such as searching for an abnormal state and executing a matched process may be employed.

図4は、本発明による自己再組織化システムの実施例2の系統構成を示すブロック図である。   FIG. 4 is a block diagram showing a system configuration of Embodiment 2 of the self-reorganization system according to the present invention.

本実施例2の自己再組織化システムは、外部ネットワーク205と内部ネットワーク206とを中継するゲートウェイ計算機201と、計算機201〜204が参照可能なドメインサーバ計算機202と、データベースD203へのデータベースアクセス計算機が203と、内部ネットワーク206および外部ネットワーク205のクライアントからのサービス受付け計算機204とからなる。各計算機201〜204は、それぞれ不正侵入検知手段を持っている。   The self-reorganization system according to the second embodiment includes a gateway computer 201 that relays between an external network 205 and an internal network 206, a domain server computer 202 that can be referred to by the computers 201 to 204, and a database access computer to a database D203. 203 and a service reception computer 204 from clients of the internal network 206 and the external network 205. Each of the computers 201 to 204 has unauthorized intrusion detection means.

例えば、ドメインサーバ計算機202がデータベースアクセス計算機203への不正侵入を検知したとする。ドメインサーバ計算機202は、構成テーブル11に基づいて、パケットモニタリングソフトウエアを起動する。また、データベースアクセス計算機203へのクライアントからの要求は、サービス受付け計算機204に転送するよう経路を変更する、さらに、より深い不正侵入を防止するために、不正侵入されたデータベースアクセス計算機203からのアクセスを拒否する。   For example, it is assumed that the domain server computer 202 detects unauthorized intrusion into the database access computer 203. The domain server computer 202 activates the packet monitoring software based on the configuration table 11. In addition, the request from the client to the database access computer 203 changes the route to be transferred to the service receiving computer 204, and in order to prevent deeper unauthorized intrusion, the access from the unauthorized database access computer 203 To refuse.

変更が完了した後、データベースアクセス計算機203は、関連する他のゲートウェイ計算機201およびサービス受付け計算機204に変更した構成テーブル11のIDを通知する。   After the change is completed, the database access computer 203 notifies the other related gateway computer 201 and the service reception computer 204 of the changed ID of the configuration table 11.

IDの通知を受けたゲートウェイ計算機201は、構成テーブル11と通知されたIDとを照合し、該当する実行プロセスリストに基づいて、すべてのサービスを停止する。   Upon receiving the ID notification, the gateway computer 201 compares the configuration table 11 with the notified ID, and stops all services based on the corresponding execution process list.

一方、IDの通知を受けたサービス受付け計算機204は、構成テーブル11と通知されたIDとを照合し、該当する実行プロセスリストに基づいて、クライアントからのサービス受付けシステムとともに、データベースD203へのデータベースアクセスシステムを起動する。さらに、より深い不正侵入を防止するために、データベースアクセス計算機203からのデータベースD203へのアクセスを阻止するソフトウエアを起動する。   On the other hand, the service reception computer 204 that has received the notification of the ID collates the configuration table 11 with the notified ID, and accesses the database D203 along with the service reception system from the client based on the corresponding execution process list. Start the system. Furthermore, in order to prevent deeper illegal intrusion, software for blocking access to the database D203 from the database access computer 203 is activated.

この一連の処理により、内部からデータベースD203へのアクセス処理のみという最小限のシステム運用構成に変更し、かつ、外部からのサービス要求を遮断し、パケットモニタリングソフトウエアを起動することにより、不正侵入からの防御システムを再構築する。   By this series of processing, the system is changed to the minimum system operation configuration that only accesses the database D203 from the inside, and the service request from the outside is cut off, and the packet monitoring software is started to prevent unauthorized intrusion. Rebuild your defense system.

図5は、本発明による自己再組織化システムの実施例3の系統構成を示すブロック図である。   FIG. 5 is a block diagram showing a system configuration of Embodiment 3 of the self-reorganization system according to the present invention.

本実施例3は、ネットワーク305により相互接続されたメールサーバ計算機303と、ファイルサーバ計算機304と、メールサーバ計算機303およびファイルサーバ計算機304のサービスを利用するクライアント計算機301と、管理システム計算機302とからなる。各計算機301〜304は、不正侵入検知手段を有する。   The third embodiment includes a mail server computer 303, a file server computer 304, a client computer 301 that uses services of the mail server computer 303 and the file server computer 304, and a management system computer 302 that are interconnected by a network 305. Become. Each of the computers 301 to 304 has unauthorized intrusion detection means.

例えば、メールサーバ計算機303が、未知のコンピュータウイルスに感染し異常状態にあるクライアント計算機301からメールサーバ計算機303への不正アクセスを検知する。メールサーバ計算機303は、クライアント計算機301が不正侵入されていると判断した場合、異常状態と構成テーブル11とを照合し、マッチした構成情報に基づいてクライアント計算機301からの経路情報を削除し、実行プロセスリストに基づいてクライアント計算機301からのアクセスを拒否するプロセスを起動する。   For example, the mail server computer 303 detects unauthorized access to the mail server computer 303 from a client computer 301 that is infected with an unknown computer virus and is in an abnormal state. When the mail server computer 303 determines that the client computer 301 has been illegally intruded, the mail server computer 303 compares the abnormal state with the configuration table 11, deletes the route information from the client computer 301 based on the matched configuration information, and executes A process for refusing access from the client computer 301 based on the process list is started.

メールサーバ計算機303は、構成情報のIDを関連する他の管理システム計算機302に送信する。   The mail server computer 303 transmits the ID of the configuration information to another related management system computer 302.

構成情報のIDを受信した管理システム計算機302は、IDと構成テーブル11とを照合し、マッチした構成情報に基づいて実行プロセスリストにあるパケットモニタリングソフトウエアおよびクライアント計算機301の通信を不能にするソフトウエアを起動する。   The management system computer 302 that has received the ID of the configuration information collates the ID with the configuration table 11, and based on the matched configuration information, the packet monitoring software in the execution process list and the software that disables communication between the client computer 301 Start the software.

メールサーバ計算機303は、その後、システム運用上関連するファイルサーバ計算機304に構成情報のIDを送信する。   Thereafter, the mail server computer 303 transmits the ID of the configuration information to the file server computer 304 that is related to system operation.

構成情報のIDを受信したファイルサーバ計算機304は、IDと構成テーブル11とを照合し、マッチした構成情報に基づいて現存するファイルシステムサービスを停止し、クライアント計算機301を除外したファイル共有サービスのプロセスを起動する。   The file server computer 304 that has received the ID of the configuration information collates the ID with the configuration table 11, stops the existing file system service based on the matched configuration information, and excludes the client computer 301 from the file sharing service process. Start up.

不正侵入の検出には、計算機内部に不正侵入予測検出システムが内蔵されている。不正侵入予測検出システムは、通常の業務処理をするプロセスとは別に、入出力データ,負荷,インターフェースの呼出しについて、例えばニューラルネットワークを用いたパターンマッチングにより、正常でないと推測される挙動を不正侵入による異常と検出する。   For detection of unauthorized intrusion, an unauthorized intrusion prediction detection system is built in the computer. The unauthorized intrusion detection and detection system, in addition to the process of normal business processing, for the invocation of input / output data, load and interface, for example, the behavior that is assumed to be abnormal by pattern matching using a neural network, etc. Detect as abnormal.

不正侵入を検出する計算機を別途配置し、不正侵入の兆候がある場合に計算機を特定し、関連する他計算機に異常情報を通知する。   A computer for detecting unauthorized intrusion is arranged separately, and when there is a sign of unauthorized intrusion, the computer is identified and abnormal information is notified to other related computers.

構成テーブル11では、それぞれの異常状態について経路およびプロセスの実行リストが対応している。異常状態に対して新しく再構築するシステムは、異常状態にある計算機と同一のオペレーティングシステムの同一バージョン,同一アプリケーション,同一デバイスドライバを使用しないようにしてある。   In the configuration table 11, the path and process execution list correspond to each abnormal state. The system newly reconstructed for the abnormal state does not use the same version, the same application, and the same device driver of the same operating system as the computer in the abnormal state.

なお、いずれの実施例においても、不正侵入された計算機は、異常状態を検知したら、構成テーブルに基づき、自らの計算機をシャットダウンする手段を備える。   In any embodiment, a computer that has been illegally intruded is provided with means for shutting down its own computer based on the configuration table when an abnormal state is detected.

本発明による自己再組織化システムの実施例1の系統構成を示すブロック図である。It is a block diagram which shows the system | strain structure of Example 1 of the self-reorganization system by this invention. 本発明の自己再組織化システムで用いる構成テーブルの一例を示す図である。It is a figure which shows an example of the structure table used with the self-reorganization system of this invention. 本発明による自己再組織化システムの不正侵入監視の処理手順を示すフローチャートである。It is a flowchart which shows the process sequence of the unauthorized intrusion monitoring of the self-reorganization system by this invention. 本発明による自己再組織化システムの実施例2の系統構成を示すブロック図である。It is a block diagram which shows the system | strain structure of Example 2 of the self-reorganization system by this invention. 本発明による自己再組織化システムの実施例3の系統構成を示すブロック図である。It is a block diagram which shows the system | strain structure of Example 3 of the self-reorganization system by this invention.

符号の説明Explanation of symbols

10 検知手段
11 構成テーブル
12 通信モジュール
13 実行ファイル群
101〜104 計算機
201 ゲートウェイ計算機
202 ドメインサーバ計算機
203 データベースアクセス計算機
204 サービス受付け計算機
205,206 ネットワーク
301 クライアント計算機
302 管理システム計算機
303 メールサーバ計算機
304 ファイルサーバ計算機
305 ネットワーク
D101〜D104 データベース
D203 データベース DESCRIPTION OF SYMBOLS 10 Detection means 11 Configuration table 12 Communication module 13 Executable file group 101-104 Computer 201 Gateway computer 202 Domain server computer 203 Database access computer 204 Service reception computer 205,206 Network 301 Client computer 302 Management system computer 303 Mail server computer 304 File server Computer 305 Network D101-D104 Database D203 Database

Claims (7)

基本データを格納しそれぞれがアクセスするデータベースを割り当てられ、不正侵入の異常状態を監視する不正侵入検知手段と、不正侵入による異常状態に対応する経路構成および実行プロセスリストを保持する構成テーブルと、他の計算機からの状態変更通知を受信し状態変更を他の計算機に通知し他の計算機からの不正侵入の通知を受信する通信モジュールと、業務ソフトウエアおよび不正侵入対策ソフトウエアなどの実行ファイル群とを含む複数の計算機からなり、不正侵入された計算機が、自分の経路構成を変更し、他の計算機に異常状態を通知することを特徴とする自己再組織化システム。   An intrusion detection means that stores basic data and is accessed by each database and monitors abnormal states of unauthorized intrusion, a configuration table that holds a path configuration and execution process list corresponding to abnormal states due to unauthorized intrusion, and others A communication module that receives status change notifications from other computers, notifies status changes to other computers and receives unauthorized intrusion notifications from other computers, and executable files such as business software and unauthorized intrusion prevention software A self-reorganization system characterized in that a computer that has been illegally intruded changes a path configuration of itself and notifies other computers of an abnormal state. 基本データを格納しそれぞれがアクセスするデータベースを割り当てられ、不正侵入の異常状態を監視する不正侵入検知手段と、不正侵入による異常状態に対応する経路構成および実行プロセスリストを保持する構成テーブルと、他の計算機からの状態変更通知を受信し状態変更を他の計算機に通知し他の計算機からの不正侵入の通知を受信する通信モジュールと、業務ソフトウエアおよび不正侵入対策ソフトウエアなどの実行ファイル群とを含む複数の計算機と、前記複数の計算機とは別途配置され前記複数の計算機への不正侵入を検出する計算機とからなり、
別途配置された前記計算機が、不正侵入の兆候がある場合に侵入対象の計算機を特定して関連する他計算機に異常情報を通知し、および/または、不正侵入された計算機が、自分の経路構成を変更し、他の計算機に異常状態を通知することを特徴とする自己再組織化システム。 An intrusion detection means that stores basic data and is accessed by each database and monitors abnormal states of unauthorized intrusion, a configuration table that holds a path configuration and execution process list corresponding to abnormal states due to unauthorized intrusion, and others A communication module that receives status change notifications from other computers, notifies status changes to other computers and receives unauthorized intrusion notifications from other computers, and executable files such as business software and unauthorized intrusion prevention software A plurality of computers including the computers, and the plurality of computers are separately arranged to detect unauthorized intrusion into the plurality of computers,
The separately arranged computer identifies the intrusion target computer when there is a sign of unauthorized intrusion, notifies the related other computer of the abnormal information, and / or the illegally intruded computer has its own path configuration. A self-reorganization system characterized by changing the system and notifying other computers of abnormal conditions. 請求項1または2に記載された自己再組織化システムにおいて、
通知を受けた残りの計算機が、異常状態と構成テーブルとを照合し、経路構成および実行プロセスを変更し、協調して防御体制を再構築することを特徴とする自己再組織化システム。 In the self-reorganization system according to claim 1 or 2,
A self-reorganization system in which the remaining computers that receive the notification collate the abnormal state with the configuration table, change the path configuration and execution process, and reconstruct the defense system in cooperation. 基本データを格納しそれぞれがアクセスするデータベースを割り当てられ、不正侵入の異常状態を監視する不正侵入検知手段と、不正侵入による異常状態に対応する経路構成および実行プロセスリストを保持する構成テーブルと、他の計算機からの状態変更通知を受信し状態変更を他の計算機に通知し他の計算機からの不正侵入の通知を受信する通信モジュールと、業務ソフトウエアおよび不正侵入対策ソフトウエアなどの実行ファイル群とを含む複数の計算機からなり、不正侵入された計算機が、自分の経路構成を変更し、他の計算機に変更した経路構成を通知することを特徴とする自己再組織化システム。   An intrusion detection means that stores basic data and is accessed by each database and monitors abnormal states of unauthorized intrusion, a configuration table that holds a path configuration and execution process list corresponding to abnormal states due to unauthorized intrusion, and others A communication module that receives status change notifications from other computers, notifies status changes to other computers and receives unauthorized intrusion notifications from other computers, and executable files such as business software and unauthorized intrusion prevention software A self-reorganization system in which a computer that has been illegally intruded changes a route configuration of the computer and notifies other computers of the changed route configuration. 請求項4に記載された自己再組織化システムにおいて、
通知を受けた残りの計算機が、経路構成と構成テーブルとを照合し、経路構成および実行プロセスを変更し、
協調して防御体制を再構築することを特徴とする自己再組織化システム。 The self-reorganization system according to claim 4,
The remaining computers that have received the notification check the path configuration against the configuration table, change the path configuration and execution process,
A self-reorganization system characterized by collaborative reconstruction of the defense system. 請求項1ないし5のいずれか一項に記載された自己再組織化システムにおいて、
前記構成テーブルが、異常状態,経路構成,実行プロセスリストの組合せに一意に付けられたIDを含み、
前記異常状態または変更した経路構成の通知が、前記IDのみの送受信によりなされることを特徴とする自己再組織化システム。 In the self-reorganization system according to any one of claims 1 to 5,
The configuration table includes an ID uniquely assigned to a combination of an abnormal state, a path configuration, and an execution process list,
The self-reorganization system is characterized in that the notification of the abnormal state or the changed route configuration is made by transmitting / receiving only the ID. 請求項1ないし6のいずれか一項に記載された自己再組織化システムにおいて、
不正侵入された計算機は、異常状態を検知したら、構成テーブルに基づき、自らの計算機をシャットダウンする手段を備えることを特徴とする自己再組織化システム。
In the self-reorganization system according to any one of claims 1 to 6,
A self-reorganization system characterized in that a computer that has been illegally intruded is provided with means for shutting down its own computer based on a configuration table when an abnormal state is detected.
JP2005195981A 2005-07-05 2005-07-05 Self reorganization system Expired - Fee Related JP4528680B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005195981A JP4528680B2 (en) 2005-07-05 2005-07-05 Self reorganization system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005195981A JP4528680B2 (en) 2005-07-05 2005-07-05 Self reorganization system

Publications (2)

Publication Number Publication Date
JP2007018044A true JP2007018044A (en) 2007-01-25
JP4528680B2 JP4528680B2 (en) 2010-08-18

Family

ID=37755189

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005195981A Expired - Fee Related JP4528680B2 (en) 2005-07-05 2005-07-05 Self reorganization system

Country Status (1)

Country Link
JP (1) JP4528680B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016538618A (en) * 2013-10-03 2016-12-08 クアルコム,インコーポレイテッド Pre-identification of possible malicious behavior based on constituent paths
US10089459B2 (en) 2013-10-03 2018-10-02 Qualcomm Incorporated Malware detection and prevention by monitoring and modifying a hardware pipeline

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003228552A (en) * 2001-10-31 2003-08-15 Hewlett Packard Co <Hp> Mobile device for mobile telecommunication network providing intrusion detection
JP2005128962A (en) * 2003-10-27 2005-05-19 Nippon Telegr & Teleph Corp <Ntt> Intrusion detection system, intrusion detection method and recording medium

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003228552A (en) * 2001-10-31 2003-08-15 Hewlett Packard Co <Hp> Mobile device for mobile telecommunication network providing intrusion detection
JP2005128962A (en) * 2003-10-27 2005-05-19 Nippon Telegr & Teleph Corp <Ntt> Intrusion detection system, intrusion detection method and recording medium

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016538618A (en) * 2013-10-03 2016-12-08 クアルコム,インコーポレイテッド Pre-identification of possible malicious behavior based on constituent paths
US10089459B2 (en) 2013-10-03 2018-10-02 Qualcomm Incorporated Malware detection and prevention by monitoring and modifying a hardware pipeline

Also Published As

Publication number Publication date
JP4528680B2 (en) 2010-08-18

Similar Documents

Publication Publication Date Title
US7890626B1 (en) High availability cluster server for enterprise data management
CN100498725C (en) Method and system for minimizing loss in a computer application
JP4726416B2 (en) Method for operating a computer cluster
CN102132287B (en) Protecting virtual guest machine from attacks by infected host
US7673324B2 (en) Method and system for tracking an operating performed on an information asset with metadata associated therewith
EP3404948B1 (en) Centralized selective application approval for mobile devices
US8893285B2 (en) Securing data using integrated host-based data loss agent with encryption detection
JP5148607B2 (en) Automation of standard operating procedures in database management
EP2102781B1 (en) Highly available cryptographic key storage (hacks)
US20080276295A1 (en) Network security scanner for enterprise protection
US8589727B1 (en) Methods and apparatus for providing continuous availability of applications
CN103853634B (en) Disaster recovery system and disaster recovery method
US20030079158A1 (en) Secured digital systems and a method and software for operating the same
CN104391777B (en) Cloud platform and its operation and monitoring method and device based on (SuSE) Linux OS
US20180368007A1 (en) Security orchestration and network immune system deployment framework
US9380064B2 (en) System and method for improving the resiliency of websites and web services
WO2015037603A1 (en) Remote monitoring system, remote monitoring method, and program
US20220217148A1 (en) Techniques for protecting cloud native environments based on cloud resource access
US20220138036A1 (en) Safely recovering workloads within a finite timeframe from unhealthy cluster nodes
CN113938321B (en) Extensible operation and maintenance management system, method, electronic equipment and readable storage medium
JP4528680B2 (en) Self reorganization system
US9734191B2 (en) Asynchronous image repository functionality
Park et al. Static vs. dynamic recovery models for survivable distributed systems
KR101973728B1 (en) Integration security anomaly symptom monitoring system
JP6851212B2 (en) Access monitoring system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070511

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100223

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100426

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100518

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100607

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130611

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees