JP2007079815A - Autoimmune protection system - Google Patents

Autoimmune protection system Download PDF

Info

Publication number
JP2007079815A
JP2007079815A JP2005265574A JP2005265574A JP2007079815A JP 2007079815 A JP2007079815 A JP 2007079815A JP 2005265574 A JP2005265574 A JP 2005265574A JP 2005265574 A JP2005265574 A JP 2005265574A JP 2007079815 A JP2007079815 A JP 2007079815A
Authority
JP
Japan
Prior art keywords
template
autoimmune
fingerprint
database
internal network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2005265574A
Other languages
Japanese (ja)
Inventor
Rie Hakamata
理恵 袴田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2005265574A priority Critical patent/JP2007079815A/en
Publication of JP2007079815A publication Critical patent/JP2007079815A/en
Withdrawn legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide an autoimmune protection system, capable of protecting a computer from various threats even without a correction program. <P>SOLUTION: In this autoimmune protection system, a decoy server arranged on the Internet 111 is used, a record attacked is taken as a fingerprint, and this is reported as a template of autoimmune to an autoimmune template information management server within an internal network. The autoimmune template information management server forms a database of the new template, and reports it to each node or device to be monitored as a template of new threats, whereby each node connected to the internal network is protected from a new thread. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、ウイルスやワームその他のネットワークを経由して被害を及ぼす脅威から、ネットワークおよびネットワークに接続されたノードを防御するシステムに関する発明である。   The present invention relates to a system that protects a network and a node connected to the network from viruses, worms, and other threats that cause damage via the network.

インターネットに接続する際に、外部からもたらされるであろう脅威から内部ネットワークを守るために、ファイアーウォールと一般的によばれている、ソフトウエアあるいは専用装置によって、外部ネットワークと内部ネットワークを分断していた。   When connecting to the Internet, in order to protect the internal network from threats that might come from the outside, the external network and the internal network are separated by software or dedicated devices, commonly referred to as firewalls. It was.

ファイアーウォールは、あらかじめ定義されたパケットフィルタリング等のルールに基づき、やってきたパケットを内部に通過させるかどうかの判断を行う。定義された内容により、適切だと判断されたパケットはファイアーウォールを通過して内部ネットワークに到達する。   The firewall determines whether or not to allow incoming packets to pass through based on rules such as packet filtering defined in advance. Packets that are determined to be appropriate according to the defined contents pass through the firewall and reach the internal network.

この方法を用いれば、外部からのアクセスが不必要なネットワークサービスを遮断することができ、その結果、外部からの脅威から、内部ネットワークを守ることができる。   By using this method, it is possible to block network services that do not require external access, and as a result, it is possible to protect the internal network from external threats.

しかし、この方式では、ファイアーウォールによって正しいと認識された通信内容の中に悪意のあるデータが含まれていた場合には、これによって発生しうる脅威から、内部ネットワークを守ることができないという問題があった。   However, with this method, if malicious data is included in the communication content recognized as correct by the firewall, there is a problem that the internal network cannot be protected from the threat that may be generated by this. there were.

また、ファイアーウォールは、外部ネットワークから内部ネットワーク、内部ネットワークから外部ネットワークの通信を監視することはできるが、内部ネットワークの中でやり取りされているパケットは監視の対象外となっている。そのため、外部からウイルス感染した状態で持ち込まれたコンピュータを経由して内部ネットワークに接続されたコンピュータがウイルスやワームが内部ネットワークで蔓延するといった状況対してはなんの防御手段にもなり得ないという問題を抱えている。   The firewall can monitor communication from the external network to the internal network and from the internal network to the external network, but packets exchanged in the internal network are not monitored. Therefore, there is a problem that a computer connected to the internal network via a computer brought in from a virus-infected state cannot be used as a defense against the situation where viruses and worms spread on the internal network. Have

又、別の従来例としては、特許文献1及び特許文献2をあげることが出来る。
特開2003-281023号公報 特開2005-063032号公報 As another conventional example, Patent Literature 1 and Patent Literature 2 can be cited.
Japanese Patent Laid-Open No. 2003-281023 JP 2005-063032 A

前項で述べたように、インターネットからの脅威から内部ネットワークを守るためにファイアーウォールを設置しても、ファイアーウォール以外のルートで持ち込まれたウイルスやワームに対してはなす術がない。   As mentioned in the previous section, even if a firewall is installed to protect the internal network from threats from the Internet, there is no way to deal with viruses and worms brought in by routes other than the firewall.

また、新規のウイルスやワームが攻撃するセキュリティホールを修正するための修正プログラムは、コンピュータのオペレーティングシステムメーカーやアプリケーションメーカーが供給するが、セキュリティホールが発見されてから、その修正プログラムがリリースされ、テストされるまでの間、そのセキュリティホールへの脅威に対してコンピュータは無防備な状態にさらされることになる。   In addition, a fix for fixing a security hole that is attacked by a new virus or worm is supplied by the computer operating system manufacturer or application manufacturer. After the security hole is discovered, the fix is released and tested. In the meantime, your computer is exposed to threats to the security hole.

さらに、オペレーティングシステムに対する修正プログラムで、修正の内容によっては、従来動作していたアプリケーションプログラムが正常に動作しなくなる可能性もあり、実質上修正プログラムはあっても、それを適用できないといった状況も発生しうる。このようなアプリケーションを搭載したコンピュータは、実質上永遠に、そのセキュリティホールに対する脅威にさわされるのを余儀なくされることになる。   In addition, depending on the contents of the corrections to the operating system, the application program that has been operating in the past may not operate normally, and even if there is a correction program, it may not be applicable. Yes. Computers equipped with such applications will be forced to be exposed to threats to their security holes virtually indefinitely.

本発明では、上記問題を解決し、修正プログラムがなくてもコンピュータを種々の脅威から防御しうる環境を提供するものである。   The present invention solves the above problems and provides an environment in which a computer can be protected from various threats without a correction program.

インターネット上に配置されたおとりサーバを用い、攻撃を受けた記録をフィンガープリントとし、これを自己免疫の鋳型として、内部ネットワークにある自己免疫鋳型情報管理サーバに対してこれを通知し、自己免疫鋳型情報管理データベースに新しい鋳型としてデータベース化し、
これを監視対象の各ノードもしくは装置に新たな脅威の鋳型として通知することにより、新たなる脅威から、内部ネットワークに接続された各ノードを防御することにより、自己免疫型防御システムを実現したものである。 Using a decoy server placed on the Internet, the attacked record is used as a fingerprint, this is used as a template for autoimmunity, and this is notified to the autoimmune template information management server in the internal network. Create a new template in the information management database,
By notifying each node or device to be monitored as a new threat template, this protects each node connected to the internal network from new threats, thereby realizing an autoimmune defense system. is there.

以上説明したように、本発明によれば、インターネット上に配置されたおとりサーバを用い、攻撃を受けた記録をフィンガープリントとし、これを自己免疫の鋳型として、内部ネットワークにある自己免疫鋳型情報管理サーバに対してこれを通知し、自己免疫鋳型情報管理データベースに新しい鋳型としてデータベース化し、これを監視対象の各ノードもしくは装置に新たな脅威の鋳型として通知することにより、新たなる脅威から、内部ネットワークに接続された各ノードを防御することにより、自己免疫型防を行うことが可能となる。   As described above, according to the present invention, a decoy server placed on the Internet is used, and the attacked record is used as a fingerprint, and this is used as a template for autoimmunity to manage autoimmune template information in the internal network. This is notified to the server, converted into a database as a new template in the autoimmune template information management database, and this is notified to each monitored node or device as a new threat template. By protecting each node connected to, it is possible to perform autoimmune protection.

以下、本発明の詳細を実施例の記述に従って説明する。   Hereinafter, the details of the present invention will be described in accordance with the description of the embodiments.

図1と図2は、本発明の一実施例のネットワーク構成について記した図である。   1 and 2 are diagrams showing a network configuration according to an embodiment of the present invention.

図1において101と102は囮サーバである。このサーバ群は、ファイアーウォール103の外側、つまりインターネットから直接参照される位置におかれ、攻撃者はこのサーバに対して何らかの攻撃の下見活動や、実際の攻撃を行っていく。囮サーバは、一つでもかまわないが本実施例では、異なるオペレーティングシステムを実装したサーバを2台設置している。   In FIG. 1, 101 and 102 are bag servers. This server group is placed outside the firewall 103, that is, at a position that is directly referred to from the Internet, and the attacker conducts some kind of attack preview activity or actual attack against this server. The number of servers may be one, but in this embodiment, two servers with different operating systems are installed.

このサーバ101または102は外部から受信したパケットを逐一記録し、既に存在する攻撃パターン(攻撃のフィンガープリント)と一致するものであるかどうかの判断を行う機能を持ち、既知でないフィンガープリントと判断された場合は、この情報をファイアーウォール103を経由して管理コンソール104に送る。   This server 101 or 102 records the packets received from the outside one by one and has the function of judging whether or not it matches the existing attack pattern (attack fingerprint). If this happens, this information is sent to the management console 104 via the firewall 103.

管理コンソール104は、新たなフィンガープリントを攻撃の鋳型として鋳型データベース105に鋳型情報を保存するとともに、管理コンソール104およびクライアントコンピュータ106のネットワークプロトコルスタック部分107に、攻撃の鋳型を通知する。   The management console 104 stores the template information in the template database 105 using the new fingerprint as an attack template, and notifies the management console 104 and the network protocol stack portion 107 of the client computer 106 of the attack template.

クライアントコンピュータ106は、自分が受信するパケットが、自分の持っている鋳型情報に一致するかどうか確認し、一致した場合はこのパケットを破棄することによって、未知なる、かつオペレーティングシステムに対するセキュリティパッチ未対応の攻撃に対しても自己防衛可能な免疫力を備える事になる。   The client computer 106 checks whether the packet it receives matches the template information it has, and if it matches, discards this packet, making it unknown and not supporting security patches for the operating system It will be equipped with immunity that can defend itself against attacks.

また、万が一、囮サーバ101または102がウイルスまたはワームに感染してしまった場合、インターネット111や、内部ネットワーク112に影響を与えないよう、ルータ110およびファイアーウォール103に於いて、適切なアクセスコントロールを行う必要がある。   In the unlikely event that the trap server 101 or 102 is infected with a virus or worm, the router 110 and firewall 103 should have appropriate access control so that the Internet 111 and the internal network 112 are not affected. There is a need to do.

より安全性を高めるために、図2のような構成をとる事も可能である。   In order to further improve safety, it is possible to adopt a configuration as shown in FIG.

図2において、囮サーバは、ホスト208あるいは209の中で仮想的に動作するゲストオペレーティングシステムとして動作し、ホスト208あるいは209は、囮サーバが接続しているセグメントとは別のセグメント213に接続している。こうした構成をとる事により、囮サーバの囮オペレーティングシステム自体が、障害を受けた際にもホスト側オペレーティングシステムにより、囮オペレーティングシステムの状態を監視することが可能となり、また安全性もより増す構成となっている。   In FIG. 2, the trap server operates as a guest operating system that operates virtually in the host 208 or 209, and the host 208 or 209 connects to a segment 213 different from the segment to which the trap server is connected. ing. By adopting such a configuration, it is possible to monitor the status of the operating system by the host-side operating system even when the operating system itself of the server is damaged, and to increase the safety. It has become.

また、その際もファイアーウォールで適切なアクセスコントロール制御がなされる事はいうまでもない。   Needless to say, appropriate access control is performed by the firewall.

図1、図2ともクライアントコンピュータ106のプロトコルスタック部に、受信したパケットを鋳型データに照らし合わせ走査する機能を持たせているが、この部分をアプライアンス化して専用機器として、クライアントコンピュータ106とネットワークの間に設置することによって、プロトコルスタックの改変プログラムが提供できないノードに対しても、本システムの防御機構が機能することも可能であり、これにより本システムの監視ノードの摘要範囲は、クライアントコンピュータのハードウエアやオペレーティングシステムの制約を受けず、非常に広範囲なものとなっている。   In both FIG. 1 and FIG. 2, the protocol stack part of the client computer 106 has a function of scanning the received packet against the template data. By installing it in between, it is possible for the defense mechanism of this system to function even for nodes that cannot provide protocol stack modification programs. It is very widespread without being restricted by hardware or operating system.

図3は、本実施例における囮サーバ101または102の機能ブロック図である。   FIG. 3 is a functional block diagram of the bag server 101 or 102 in this embodiment.

図3に於いて、囮サーバ101または102は、通信制御部301を通じて、ネットワークに接続されている。通信制御部301は、自己宛もしくは、自分が接続しているネットワークに流れているパケットをすべてキャプチャし、通信パケット読み取り部304に送る。   In FIG. 3, the bag server 101 or 102 is connected to the network through the communication control unit 301. The communication control unit 301 captures all packets addressed to itself or flowing in the network to which the communication control unit 301 is connected, and sends the captured packet to the communication packet reading unit 304.

また、管理コンソール104との通信も司る。   It also manages communication with the management console 104.

通信パケット読み取り部304は、通信制御部301によってキャプチャされたパケットを解析し、パケットデータ比較部が、フィンガープリンとデータベース管理装置351に対して、受け取ったデータが、既知の攻撃のフィンガープリントと一致するか否かの比較を行う。   The communication packet reading unit 304 analyzes the packet captured by the communication control unit 301, and the packet data comparison unit receives the fingerprint and the database management device 351, and the received data matches the known attack fingerprint. Compare whether or not.

302は運用管理部で、この囮サーバの動作に関するログの管理や、当該ノードにログインできるユーザの管理を行う。   Reference numeral 302 denotes an operation management unit that manages logs related to the operation of the server and users who can log in to the node.

303は情報提供部で、パケットデータ比較部306の比較の結果、一連の通信が未知なる攻撃であると判断された場合は、管理コンソール104にこの一連の通信のフィンガープリントを、データ送信部305と、通信制御部301を経由して送信する。   Reference numeral 303 denotes an information providing unit. If it is determined that the series of communications is an unknown attack as a result of the comparison by the packet data comparing unit 306, the fingerprint of the series of communications is displayed on the management console 104, And transmitted via the communication control unit 301.

図4は、本実施例に於ける管理コンソール104の機能ブロック図である。   FIG. 4 is a functional block diagram of the management console 104 in this embodiment.

図4に於いて、通信制御部401は、管理コンソール104が、ネットワークを通じて、囮サーバ101または102、もしくは囮オペレーティングシステムをゲストオペレーティングシステムとして取り込んでいるホストサーバ108または109、クライアントコンピュータ106との通信を司る。   In FIG. 4, the communication control unit 401 communicates with the client computer 106 via the network by the management console 104 via the network, the server 101 or 102, or the host server 108 or 109 that captures the guest operating system as a guest operating system. To manage.

運用管理部402は、管理コンソール104の動作の動作に関するログの管理や、当該ノードにログインできるユーザの管理を行う。   The operation management unit 402 manages logs related to the operation of the management console 104 and manages users who can log in to the node.

404は、情報提供部で、クライアントノードに対して、新規の攻撃の鋳型を、データ送信部405と通信制御部401を介して提供する。   Reference numeral 404 denotes an information providing unit that provides a new attack template to the client node via the data transmission unit 405 and the communication control unit 401.

405は、鋳型データベース管理部で、囮サーバ101または102、もしくは囮オペレーティングシステムをゲストオペレーティングシステムとして取り込んでいるホストサーバ108または109、クライアントコンピュータ106から、送られてきた新規の攻撃のフィンガープリントや、既知の攻撃パターンを鋳型として鋳型データベース管理装置451を用いて管理している。   Reference numeral 405 denotes a template database management unit, which includes a fingerprint of a new attack sent from the 囮 server 101 or 102, or the host server 108 or 109 that incorporates the 囮 operating system as a guest operating system, or the client computer 106, A known attack pattern is used as a template for management using a template database management device 451.

406は、クライアント管理部で、当該管理コンソール104で管理対象となるクライアントの情報を管理ノードデータ管理部452を用いて管理している。   Reference numeral 406 denotes a client management unit that manages information about clients to be managed by the management console 104 using the management node data management unit 452.

図5は、本実施例に於ける、クライアントコンピュータ106の機能ブロック図である。   FIG. 5 is a functional block diagram of the client computer 106 in this embodiment.

図5において、501は通信制御部で、クライアントコンピュータ106のネットワークを通じた通信を制御する。   In FIG. 5, reference numeral 501 denotes a communication control unit which controls communication of the client computer 106 through the network.

502は運用管理部で、クライアントコンピュータ106自体の動作のログと、利用できるユーザのアカウント管理などを行う。   An operation management unit 502 performs an operation log of the client computer 106 and account management of available users.

また、管理コンソール104から送られてくる、攻撃の鋳型情報を鋳型データ管理装置に反映させ、また、同管理コンソール104から、削除通知がなされた攻撃の鋳型情報の消去も受けもつ。   Also, the attack template information sent from the management console 104 is reflected in the template data management apparatus, and the deletion of the attack template information notified from the management console 104 is also handled.

504は通信パケット読み取り部で、通信制御部501によって受信されたパケットに対して、そのパケットが要求する動作を実行する前にパケットデータ比較部506に送る。   A communication packet reading unit 504 sends a packet received by the communication control unit 501 to the packet data comparison unit 506 before executing an operation requested by the packet.

505は、データ送信部で、管理コンソール104と、通信制御部501の通信を司る。   A data transmission unit 505 controls communication between the management console 104 and the communication control unit 501.

506は、パケットデータ比較部で、通信制御部501によって受信されたパケットが、鋳型データ管理装置551を用いて、管理コンソールから通知された未知の攻撃パターンと一致するかどうかを検証する。   A packet data comparison unit 506 verifies whether the packet received by the communication control unit 501 matches the unknown attack pattern notified from the management console using the template data management device 551.

図6は、囮サーバ101または102で、フィンガープリンとデータベース管理装置351によって管理される、攻撃フィンガープリントの管理テーブルである。   FIG. 6 is an attack fingerprint management table managed by the fingerprint and database management device 351 in the trap server 101 or 102.

フィンガープリントデータベースには、既知の脅威の攻撃パターンがすべて格納されている。これらの情報は、囮サーバ101または102による攻撃パターンの収集データのみならず、本システムの提供者から、提供を受けた鋳型情報に基づき、管理コンソール104側から提供されることも可能である事を前提としている。   The fingerprint database stores all attack patterns of known threats. This information can be provided from the management console 104 side based on the template information provided from the provider of this system as well as the collected attack pattern data by the trap server 101 or 102. Is assumed.

図7は、管理コンソール104で、鋳型データベース管理装置451によって管理される、鋳型データベースの管理テーブルである。   FIG. 7 is a template database management table managed by the template database management device 451 in the management console 104.

既知の攻撃に関する鋳型データベースの各属性情報は、前述したように本システムの提供者から、定期的に、有償あるいは無償で提供される事が可能となっており、常に既知の脆弱性にとそれに対する脅威についての最新の情報を維持する事が可能となっている。   As described above, each attribute information of the template database related to known attacks can be provided periodically or free of charge from the provider of this system, and it is always a known vulnerability. It is possible to maintain up-to-date information on threats to

また、囮サーバが捕捉した新規の脅威の攻撃パターンに関する情報は、囮サーバ101または102、あるいは、もしくは囮オペレーティングシステムをゲストオペレーティングシステムとして取り込んでいるホストサーバ108または109によって、管理コンソール104の鋳型データベース管理装置451に提供される。   Further, information on attack patterns of new threats captured by the server is obtained from the template database of the management console 104 by the server 101 or 102, or the host server 108 or 109 that incorporates the operating system as a guest operating system. Provided to the management device 451.

囮サーバが捕捉して鋳型データベースに登録された新規の攻撃パターンについては、その情報が既知のものとして、対応策、脅威に対する識別番号(たとえばCVEなど)が確立した時点で本システムの提供者側から、管理コンソール104の鋳型データ管理総理551に対して、定期的有償あるいは無償で提供される情報に盛り込まれ、情報の更新が行われる。また、その脅威がネットワークやネットワーク接続機器に与えるリスクの程度によっては、定期的な情報アップデートを待たず、本システムの提供者からの任意のタイミングで、情報の更新を行う事も可能な構成となっている。   新 規 For new attack patterns that are captured by the server and registered in the template database, it is assumed that the information is known, and when the countermeasures and threat identification numbers (for example, CVE) are established, the provider side of this system Therefore, the information is updated in the information provided periodically or free of charge to the template data management prime minister 551 of the management console 104. In addition, depending on the degree of risk that the threat poses to the network and network-connected devices, it is possible to update the information at any time from the provider of this system without waiting for periodic information updates. It has become.

図8は、管理コンソール104で、管理ノードデータ管理装置452によって管理される、管理ノードデータベースの管理テーブルである。   FIG. 8 illustrates a management node database management table managed by the management node data management device 452 in the management console 104.

管理コンソール104は、このテーブルをもとにして、管理対象とすべきノードを認識し、また管理対象としているクライアントコンピュータ106のオペレーティングシステムの種類やそのバージョン、セキュリティパッチの摘要の有無や、動作しているアプリケーション、といった構成情報を持つ事によって、各クライアントコンピュータ106に必要な鋳型データをクライアントコンピュータ106の鋳型データ管理装置551に送ることが可能となっている。   Based on this table, the management console 104 recognizes the nodes that should be managed, the type and version of the operating system of the client computer 106 that is the management target, whether or not there is a description of security patches, and the operation. By having the configuration information such as the application, it is possible to send the template data necessary for each client computer 106 to the template data management device 551 of the client computer 106.

図9は、クライアントコンピュータ106で、鋳型データを管理するときの管理テーブルである。   FIG. 9 is a management table used when the client computer 106 manages template data.

前述したように、この鋳型データは、管理コンソール104から各クライアントコンピュータ106の鋳型データ管理装置551に送られてくるもので、各クライアントコンピュータ106用に最適化された情報となっている。この最適化を行う事によって、各クライアントコンピュータ106の鋳型データ管理装置551で、保持しなければならない情報は最小限にとどめられ、通信のスループットを低下させないよう配慮がなされている。   As described above, this template data is sent from the management console 104 to the template data management device 551 of each client computer 106, and is information optimized for each client computer 106. By performing this optimization, the template data management device 551 of each client computer 106 minimizes the information that must be held, and care is taken not to reduce the communication throughput.

図10は、本システムの提供者から、管理コンソールの鋳型情報データベース451に送られた情報の流れを示したものである。   FIG. 10 shows the flow of information sent from the provider of this system to the template information database 451 of the management console.

図10に於いて、鋳型情報提供サーバ1001は、鋳型マスターデータベース1002を有し、この鋳型マスターデータベースには、既知の脅威(攻撃パターン)についての攻撃の鋳型(フィンガープリント)の情報と、その攻撃が対象とするオペレーティングシステム、修正プログラム情報、正式に割り当てられたID(例えばCVEなど)を保持している。   In FIG. 10, a template information providing server 1001 has a template master database 1002, which contains information on attack templates (fingerprints) for known threats (attack patterns) and their attacks. Holds the target operating system, patch information, and officially assigned ID (for example, CVE).

鋳型情報提供サーバ1001は、有償あるいは無償で、管理コンソール104に、管理コンソールの鋳型データベース105のもつ鋳型データ情報との差分を送信する1061。このときの通信形態として、管理コンソール側104からのpullモデルと、鋳型情報提供サーバ1001側からのpushのモデルが考えられるが、どちらの形態を採用するか、あるいは両形態ともに採用するかは本システムが設置されたネットワーク管理ポリシーに基づく。   The mold information providing server 1001 transmits 1061 a difference from the mold data information stored in the mold database 105 of the management console to the management console 104 for a fee or free of charge. At this time, the pull model from the management console side 104 and the push model from the mold information providing server 1001 side are conceivable as communication modes at this time. Based on the network management policy in which the system is installed.

この鋳型情報提供サーバ1001と管理コンソール104間の通信は、相互にデジタル証明書などを利用した認証を行った上で、暗号化された通信を行うべきことはいうまでもない。   Needless to say, the communication between the template information providing server 1001 and the management console 104 should be encrypted after mutual authentication using a digital certificate or the like.

管理コンソール104は、新たな鋳型情報を、鋳型情報提供サーバ1001から受け取ると、これを、鋳型データベース105に登録する1062。   When the management console 104 receives new mold information from the mold information providing server 1001, it registers 1062 in the mold database 105.

鋳型データベース105に登録された鋳型情報は、前述したように管理ノードデータベース451と照合の上、管理コンソール104が管理対象としているクライアントこのピュータ106毎に最適な鋳型情報を作成し、各クライアントコンピュータ106に配布する。このとき、前述したように、鋳型情報を保持し、受信したパケットと照合する機能を反映できないクライアントコンピュータについては、この機能を有した専用装置として、クライアントコンピュータ106とネットワークの間に設置しうて、パケットの監視を行う事が可能となっている。   As described above, the template information registered in the template database 105 is collated with the management node database 451, and the management console 104 creates the optimal template information for each client 106 managed by the management console 104. Distribute to At this time, as described above, a client computer that retains the template information and cannot reflect the function of matching with the received packet can be installed between the client computer 106 and the network as a dedicated device having this function. Packet monitoring is possible.

また、管理コンソール104は、鋳型情報提供サーバ1001から提供された鋳型データから、攻撃のフィンガープリント情報を作成して、囮サーバ101または102、もしくは囮オペレーティングシステムをゲストオペレーティングシステムとして取り込んでいるホストサーバ108または109に送信し、フィンガープリントデータベースを最新のものとする。   In addition, the management console 104 creates an attack fingerprint information from the template data provided from the template information providing server 1001, and captures the trap server 101 or 102 or the trap operating system as a guest operating system. Send to 108 or 109 to keep the fingerprint database up to date.

この際も、管理コンソール104と囮サーバ101または102、もしくは囮オペレーティングシステムをゲストオペレーティングシステムとして取り込んでいるホストサーバ108または109の104間の通信は、相互にデジタル証明書などを利用した認証を行った上で、暗号化された通信を行うべきことはいうまでもない。   At this time, the communication between the management console 104 and the server 101 or 102, or the host server 108 or 109 that incorporates the guest operating system as a guest operating system, is mutually authenticated using a digital certificate or the like. Needless to say, encrypted communication should be performed.

図11は、囮サーバのフィンガープリントDBから、管理コンソールの鋳型情報データベース451に送られた情報の流れを示したものである。   FIG. 11 shows the flow of information sent from the fingerprint DB of the bag server to the template information database 451 of the management console.

図11は、囮サーバ101または102が捕捉した新規の脅威(攻撃パターン)を、管理コンソール104のもる鋳型データベース105に反映させ、クライアントコンピュータ106に、新規の脅威(攻撃パターン)である通知するときの情報の流れである。   In FIG. 11, the new threat (attack pattern) captured by the trap server 101 or 102 is reflected in the template database 105 held by the management console 104, and the client computer 106 is notified of the new threat (attack pattern). Is the flow of information.

この処理が発生するのは、鋳型情報提供サーバ1001でも管理されていない、新たな脅威と予測しうる攻撃(一連のパケット群)を囮サーバ101あるいは102が、受信した場合である。   This process occurs when the trap server 101 or 102 receives an attack (a series of packet groups) that is not managed by the template information providing server 1001 and can be predicted as a new threat.

囮サーバ101または102は、新たな攻撃パターンとして認識された一連のパケットをフィンガープリントとし、管理コンソールに通知1161する。管理コンソール104は、このフィンガープリント情報を鋳型データベース105に反映させ、管理下にあるクライアントコンピュータ106に通知する1063。   The eaves server 101 or 102 uses a series of packets recognized as a new attack pattern as a fingerprint, and notifies the management console 1161. The management console 104 reflects this fingerprint information in the template database 105 and notifies 1063 the client computer 106 under management.

なお、いうまでもないが、この際も管理コンソール104と囮サーバ101または102、もしくは囮オペレーティングシステムをゲストオペレーティングシステムとして取り込んでいるホストサーバ108または109と104間の通信は、相互にデジタル証明書などを利用した認証を行った上で、暗号化された通信を行われる。   Needless to say, the communication between the management console 104 and the server 101 or 102 or the host server 108 or 109 and 104 that incorporates the guest operating system as a guest operating system is also a digital certificate. Encrypted communication is performed after performing authentication using the above.

この一連の処理によって、何らかの理由でファイアーウォールの内側にこの新たな脅威(攻撃パターン)の元になる、ウイルスやワームが流入したとしても、管理コンソール104の管理下のクライアントコンピュータ106は、これらのウイルスやワームからの攻撃を回避することが可能なる。   Even if a virus or a worm that is the source of this new threat (attack pattern) flows into the firewall for some reason, the client computer 106 managed by the management console 104 It is possible to avoid attacks from viruses and worms.

自己免疫防御システム構成の一例1Example 1 of autoimmune defense system configuration 自己免疫防御システム構成の一例2Example 2 of autoimmune defense system configuration 本実施例における囮サーバ101または102の機能ブロック図Functional block diagram of bag server 101 or 102 in this embodiment 本実施例に於ける管理コンソール104の機能ブロック図Functional block diagram of the management console 104 in this embodiment 本実施例に於ける、クライアントコンピュータ106の機能ブロック図Functional block diagram of the client computer 106 in this embodiment 攻撃フィンガープリントとの管理テーブルの一例Example of management table with attack fingerprint 鋳型データベースの管理テーブルの一例Example of mold database management table 管理ノードデータベースの管理テーブルの一例Example of management table of management node database 鋳型データ管理テーブルの一例Example of mold data management table 本システムの提供者から、管理コンソールの鋳型情報データベース451に送られた情報の流れの例Example of information flow sent from the provider of this system to the template information database 451 of the management console 囮サーバのフィンガープリントDBから、管理コンソールの鋳型情報データベース451に送られた情報の流れの例Example of information flow sent from the server fingerprint DB to the management console template information database 451

Claims (4)

インターネット上に配置されたおとりサーバを用い、攻撃を受けた記録をフィンガープリントとし、これを自己免疫の鋳型として、内部ネットワークにある自己免疫鋳型情報管理手段に対して通知する自己免疫型防御システムであって、
前記おとりサーバは、インターネットにおける様々な攻撃のフィンガープリントをデータベースとして有し、
データベースにフィンガープリントが存在しないアクセスを受けた時に、これを新たな脅威とみなし、内部ネットワークにある自己免疫鋳型情報管理手段に得られたフィンガープリントを通知する手段を有し、
前記自己免疫鋳型情報管理手段は、おとりサーバから通知されたフィンガープリントを新しい鋳型としてデータベース化する手段を有し、
これを監視対象の各ノードもしくは装置に新たな脅威の鋳型として通知することにより、新たなる脅威から、内部ネットワークに接続された各ノードを防御することを可能とした自己免疫型防御システム。 This is an autoimmune defense system that uses a decoy server located on the Internet and uses the recorded attack as a fingerprint and uses it as a template for autoimmunity to notify autoimmune template information management means in the internal network. There,
The decoy server has a database of fingerprints of various attacks on the Internet,
When receiving an access without a fingerprint in the database, this is regarded as a new threat, and has means for notifying the fingerprint obtained to the autoimmune template information management means in the internal network,
The autoimmune template information management means has means for creating a database of the fingerprint notified from the decoy server as a new template,
An autoimmune defense system capable of protecting each node connected to the internal network from a new threat by notifying each monitored node or device as a new threat template. インターネット上に配置されたおとりサーバを用い、攻撃を受けた記録をフィンガープリントとし、これを自己免疫の鋳型として、内部ネットワークにある自己免疫鋳型情報管理手段に対して通知するシステムの制御方法であって、
前記おとりサーバは、インターネットにおける様々な攻撃のフィンガープリントをデータベースとして有し、
データベースにフィンガープリントが存在しないアクセスを受けた時に、これを新たな脅威とみなし、内部ネットワークにある自己免疫鋳型情報管理手段に得られたフィンガープリントを通知するステップを有し、
前記自己免疫鋳型情報管理手段は、おとりサーバから通知されたフィンガープリントを新しい鋳型としてデータベース化するステップを有し、
これを監視対象の各ノードもしくは装置に新たな脅威の鋳型として通知することにより、新たなる脅威から、内部ネットワークに接続された各ノードを防御することを可能とした自己免疫型防御システムの制御方法。 This is a system control method that uses a decoy server placed on the Internet and uses the attack record as a fingerprint and uses it as an autoimmune template to notify autoimmune template information management means in the internal network. And
The decoy server has a database of fingerprints of various attacks on the Internet,
When receiving an access for which no fingerprint exists in the database, this is regarded as a new threat, and has a step of notifying the obtained fingerprint to the autoimmune template information management means in the internal network,
The autoimmune template information management means has a step of creating a database of a fingerprint notified from the decoy server as a new template,
A method for controlling an autoimmune defense system capable of protecting each node connected to the internal network from a new threat by notifying each monitored node or device as a new threat template. . 請求項2に記載の自己免疫型防御システムの制御方法をコンピュータにより実現するためのプログラム。   The program for implement | achieving the control method of the autoimmune type | mold defense system of Claim 2 by computer. 請求項3に記載のプログラムを記憶した、コンピュータで読取り可能な記憶媒体。   A computer-readable storage medium storing the program according to claim 3.
JP2005265574A 2005-09-13 2005-09-13 Autoimmune protection system Withdrawn JP2007079815A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005265574A JP2007079815A (en) 2005-09-13 2005-09-13 Autoimmune protection system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005265574A JP2007079815A (en) 2005-09-13 2005-09-13 Autoimmune protection system

Publications (1)

Publication Number Publication Date
JP2007079815A true JP2007079815A (en) 2007-03-29

Family

ID=37940070

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005265574A Withdrawn JP2007079815A (en) 2005-09-13 2005-09-13 Autoimmune protection system

Country Status (1)

Country Link
JP (1) JP2007079815A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010525459A (en) * 2007-04-20 2010-07-22 ニューラルアイキュー,インコーポレーテッド System and method for analyzing unauthorized intrusion into a computer network
JP2019512761A (en) * 2016-02-23 2019-05-16 エヌチェーン ホールディングス リミテッドNchain Holdings Limited Reactive and preemptive security system for protection of computer networks and systems

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010525459A (en) * 2007-04-20 2010-07-22 ニューラルアイキュー,インコーポレーテッド System and method for analyzing unauthorized intrusion into a computer network
JP2019512761A (en) * 2016-02-23 2019-05-16 エヌチェーン ホールディングス リミテッドNchain Holdings Limited Reactive and preemptive security system for protection of computer networks and systems
JP2021114332A (en) * 2016-02-23 2021-08-05 エヌチェーン ホールディングス リミテッドNchain Holdings Limited Reactive and preemptive security system for protecting computer network and system
JP7167240B2 (en) 2016-02-23 2022-11-08 エヌチェーン ホールディングス リミテッド Reactive and preemptive security systems for protection of computer networks and systems
JP7167240B6 (en) 2016-02-23 2022-11-28 エヌチェーン ライセンシング アーゲー Reactive and preemptive security systems for protection of computer networks and systems

Similar Documents

Publication Publication Date Title
US9807115B2 (en) System and a method for identifying the presence of malware and ransomware using mini-traps set at network endpoints
TWI362196B (en) Network isolation techniques suitable for virus protection
US7958549B2 (en) Attack defending system and attack defending method
JP4741255B2 (en) System and method for protecting a computing device from computer exploits delivered in a protected communication over a networked environment
US8191141B2 (en) Method and system for cloaked observation and remediation of software attacks
US7343599B2 (en) Network-based patching machine
US20040015719A1 (en) Intelligent security engine and intelligent and integrated security system using the same
US20030084322A1 (en) System and method of an OS-integrated intrusion detection and anti-virus system
EP2013728A2 (en) Methods and apparatus providing computer and network security for polymorphic attacks
US20170070518A1 (en) Advanced persistent threat identification
JP2007521718A (en) System and method for protecting network quality of service against security breach detection
JP2006252256A (en) Network management system, method and program
JP2006243878A (en) Unauthorized access detection system
JP2010198386A (en) Illegal access monitoring system and illegal access monitoring method
US20110023088A1 (en) Flow-based dynamic access control system and method
JP4042776B2 (en) Attack detection device and attack detection method
CN101299760B (en) Information safety processing method and system, communication equipment
JP2007325293A (en) System and method for attack detection
JP2005193590A (en) Printing device
JP3699941B2 (en) Distributed denial of service attack prevention method, gate device, communication device, distributed denial of service attack prevention program, and recording medium
KR101775517B1 (en) Client for checking security of bigdata system, apparatus and method for checking security of bigdata system
KR20070029540A (en) The implementation method of total system security managements solution which supports anti-virus function and patch management function and early warning of the emergence of malicious codes which is based on insertion of the particular designed digital mark and the new detection and removal algorithem of the malicious files
Singh Intrusion Detection Systems (IDS) and Intrusion Prevention Systems (IPS) For Network Security: A Critical Analysis
JP2003283572A (en) Distributed disability-of-service attack preventing method, gate device, communication device, and program
WO2023125712A1 (en) Single packet authorization state detection method, terminal device, and storage medium

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20081202