JP2007122749A - 警戒システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法 - Google Patents
警戒システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法 Download PDFInfo
- Publication number
- JP2007122749A JP2007122749A JP2007005509A JP2007005509A JP2007122749A JP 2007122749 A JP2007122749 A JP 2007122749A JP 2007005509 A JP2007005509 A JP 2007005509A JP 2007005509 A JP2007005509 A JP 2007005509A JP 2007122749 A JP2007122749 A JP 2007122749A
- Authority
- JP
- Japan
- Prior art keywords
- access
- information
- policy
- wide area
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 不正アクセスの監視の連携の強化、高度化と、検知時におけるアクセス制御の連携の強化、高度化とを達成する。
【解決手段】 本発明は、外部ネットワークとの複数の接続点を持つ広域ネットワークを、不正アクセスから防護するものである。各接続点における不正アクセスを検知し警報情報を通知するシステムと、通知された警報情報を記憶する手段と、各接続点における通信内容から当該ネットワークのアクセス状況を抽出するモニタと、抽出したアクセス状況を記憶する手段とを有する。また、各接続点に設けられアクセス制御を実行するゲートノードと、記憶されたアクセス状況と警報情報を元に、検知した不正アクセスの侵入経路を解析して通知するシステムと、侵入経路解析結果と警報情報を元に、ゲートノードにおけるアクセス制御ルールを生成する手段と、それをゲートノードに配布する手段とを備えている。
【選択図】 図1
【解決手段】 本発明は、外部ネットワークとの複数の接続点を持つ広域ネットワークを、不正アクセスから防護するものである。各接続点における不正アクセスを検知し警報情報を通知するシステムと、通知された警報情報を記憶する手段と、各接続点における通信内容から当該ネットワークのアクセス状況を抽出するモニタと、抽出したアクセス状況を記憶する手段とを有する。また、各接続点に設けられアクセス制御を実行するゲートノードと、記憶されたアクセス状況と警報情報を元に、検知した不正アクセスの侵入経路を解析して通知するシステムと、侵入経路解析結果と警報情報を元に、ゲートノードにおけるアクセス制御ルールを生成する手段と、それをゲートノードに配布する手段とを備えている。
【選択図】 図1
Description
本発明は、警戒システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法に関し、特に、広域イントラネットに関係するセキュリティ管理のシステムや方法に適用し得るものである。
例えば、政府で定める重要インフラ7分野の機能障害や機能停止を狙ったサイバーテロや不正アクセス等の攻撃からネットワークを守るためのセキュリティ管理に適用し得るものである。
近年、ネットワークのオープン化やネットワーク相互接続が進み、社会活動におけるネットワーク依存の度合いが増大しており、ネットワークシステムに対する不正なアクセスやいわゆる重要インフラを狙ったサイバーテロ等の脅威が増大してきている。
しかしながら、一般的にはネットワークシステム等のセキュリティ管理に関する運用方法がネットワーク上の各拠点によって異なっていたり、また、事案発生時の対応方法が、広域のイントラネットによって形成された会社規模などのネットワークシステムにおいても、本来、迅速かつ統一的なセキュリティ事案対応を行うべき各拠点においても異なっていたりするケースが多い(特許文献1〜4参照)。言い換えると、いわゆるセキュリティ管理の方法に関して、ネットワークシステム全体に対するセキュリティ管理領域内で個々のバラツキが生じているのが現状である。なお、拠点とは、ネットワークシステムにおいて、利用者に開放されたアクセスポイントや、他のIPネットワークとの相互接続点を指すものとする。
従来、アクセス制御系のセキュリティ管理技術として、例えば、ファイアウォールを各拠点に配置し、システム管理者が、各拠点に分散配置されたファイアウォールのアクセス制御ポリシーを遠隔地から一元的に管理する方法が考案されている。
しかし、この方法は、必ずしも観測された攻撃に連動するものではなく、統一的なセキュリティ事案対応としては不十分である。
また、不正侵入検知システム(IDS:Intrusion Detection System)を分散配置し、一元的に各IDSを管理する方法も考案されている。
これも、従来のIDSが有する検知機能が拠点単位で独立していることを前提にしており、あくまでもIDSが発する警告を一元的に監視している程度に留まっている。市販のIDS製品の中では、攻撃検知後の通信遮断といった防御系機能も実装している製品もあるが、これは拠点のルータやファイアウォールと個別に連動するのみであり、観測された攻撃を元にアクセス制御機能と連動し、ネットワークシステム全体のセキュリティ管理領域内を統一的なポリシーにもとづき防御を試みるには至っていない。
さらに、異なるネットワークシステム間での防護ポリシー情報の共有も同様に行われていない。
特開2001−313640
特開2000−124952
特開2000−261483
特開2000−259521
近年のネットワークのオープン化やネットワークシステム同士の相互接続による広域化、さらには、政府が進めるe−Japan戦略による国内のIT化が加速的に推進されている。これは、社会活動がネットワークシステム(ネットワーク基盤)に依存する方向に進んでいることを示すものである。社会活動そのものがネットワーク基盤に依存するということは、不正アクセス等が行われ、セキュリティ上の安全を害う事態が発生した場合、その被害の波及範囲が増大することをも意味する。また、組織的に企てられたサイバーテロなどによる脅威も増大することも意味している。
特に、複数の外部接続点を有する広域イントラネットによって形成されたネットワークシステムにおいては、アクセス制御による防御手段が局所的な手段に始終してしまい、ネットワーク基盤全体の統一的なセキュリティ管理が行えない状況に陥りがちであり、以下のような問題が生ずる。
(1)セキュリティ管理が各拠点によってバラバラで統一されていない。
(2)サイバー攻撃を想定した統一的ポリシーの実行が困難。
(3)異なるネットワーク基盤間で防護ポリシーが共有されていない。
会社規模のネットワークシステムにおいて、広域イントラネット内のある拠点では特に攻撃を検出していないので安全に見えた状況でも、別の拠点には既に攻撃が加えられたか、若しくは、その兆候と見なせる偵察行為を検出した場合に、広域イントラネット全体としてどのような運用をするべきかという問題が生ずる。また、セキュリティ事案発生時の対応方法や防護ポリシーの管理方法の隙間を通り抜け、セキュリティ管理の不統一を悪用した脅威が出現する可能性も危惧されている。
各拠点にインターネット等の外部ネットワークとのアクセスポイントを持つような広域のイントラネットをなすネットワークシステムにおいて、各拠点に、従来技術によるファイアウォールやIDSといったセキュリティ対策製品を導入し、各拠点で不正アクセスの監視を行っても、各拠点の局所的なセキュリティレベルの確保には繋がるかもしれない。
しかし、これは局所的な観測による不正侵入検知を前提にしているため、各拠点を入り口として広域イントラネット全体を攻撃の対象としたサイバーテロの可能性があるセキュリティ事案や企業全体の対応体制を要する広範囲な事案の発生を見逃たり、攻撃すら検知できない。これでは、ある拠点で観測された攻撃に連動した統一的なアクセス制御を広域イントラネット全体に対して行なうことができないので、セキュリティ管理の方法として、効率的な防御手段とは言い難い。
ある拠点に属するサーバを対象とした外部からの攻撃若しくはその兆候を検出した場合、同様のサービスを提供する他のサーバも攻撃の標的となる可能性があるため、安全確認の期間では、他の拠点に属する同様のサービスもアクセスを規制するなど、ネットワークシステムに隙間を作らないように、広域イントラネット全体の統一的ポリシーを適用しなければ全体的なセキュリティレベルの確保は困難である。
また、広域イントラネット全体の運用やサービスの停止は極力避けたい。しかし、極度に危険な状況が想定される攻撃が加えられる可能性がある場合には、広域イントラネット全体の安全確認を実施するといった運用が必要となる。絶えずCERT/CCやJPCERT/CCのような情報提供機関からアナウンスされる、こういったインシデント情報を自ら調査して防護する必要もある。各システム管理者が個別に調査して防御のためのアクセス制御に関する防護ポリシーを生成するよりも、即効性のある防御のための防護ポリシーを各拠点で統一的に共有した方が効率的である。異なる広域イントラネット間においても同様のことが言える。
以上のように、従来技術の範囲においては、市販のファイアウォールやIDSの導入が有効と思われがちであるが、それだけでは不十分であり、セキュリティ管理領域内で統制されたセキュリティ管理の運用が伴って初めて安全確保が可能となる。また、会社規模の広域イントラネットで形成されたネットワークシステムにおいて、各拠点に外部ネットワークとの接続点を持つような場合には、各拠点毎のセキュリティ管理だけでなく、ネットワークシステム全体をセキュリティ管理領域とした統一的なセキュリティ管理が必要である。それを行うにはネットワークシステムの運用コストの増大を招かぬよう対応体制や信頼性の高い連携の仕組みを作る必要がある。
本発明は、ネットワークシステム全体のセキュリティ管理を対象とし、不正アクセスの監視の連携の強化、高度化と、検知時におけるアクセス制御の連携の強化、高度化とを達成できるシステムや方法を提供しようとしたものである。
また、本発明は、ネットワークシステム全体のセキュリティ管理を対象とし、サイバーテロ攻撃を想定したアクセス制御に関する統一的な防護ポリシーの実行システムや方法を提供しようとしたものである。
さらに、本発明は、異なるネットワークシステム間でセキュリティ管理上有効な情報の共有と協調連携するシステムや方法を提供しようとしたものである。
さらにまた、本発明は、上述のシステムや方法を実現できる個別技術を提供しようとしたものである。
第1の本発明は、外部ネットワークとの接続点を持つ1又は複数の広域ネットワークを階層的にセキュリティ管理する警戒センタを複数有する警戒システムであって、上記各警戒センタが、他の警戒センタとの間で、不正アクセスを回避するためのアクセス制御ルールを授受し合うアクセス制御ルール授受手段を有し、アクセス制御ルールを共有することを特徴とする。
第2の本発明の不正アクセス追跡方法は、ある広域ネットワークのアクセス状況である通信アクティビティの情報を、異なる広域ネットワーク間、及び又は、複数の広域ネットワークを対象としている、異なる警戒ドメイン間を跨って通知し、上記通信アクティビティを追跡対象とすることにより、不正アクセスを受けた被害側のネットワークから見て経路上最も遠くに位置するネットワークと、そのエッジノードを特定化することを特徴とする。
第3の本発明は、外部ネットワークとの接続点に設けられた不正アクセス検知システムにおいて、異常検出方式の第1の侵入検知装置と、不正検出方式の第2の侵入検知装置とを、上記第1の侵入検知装置が上記外部ネットワーク側にくるように直列に接続し、上記第1及び上記第2の侵入検知装置を並行して動作させることを特徴とする。
第4の本発明は、外部ネットワークとの接続点に設けられた不正アクセス検知システムにおいて、異常検出方式の第1の侵入検知装置と、アクセス制御を実行するゲートノードと、不正検出方式の第2の侵入検知装置とを、上記第1の侵入検知装置が上記外部ネットワーク側にくるようにこの順に直列に接続したことを特徴とする。
第5の本発明は、外部ネットワークと複数の接続点を持つ広域ネットワークへの不正アクセスを検知する不正アクセス検知システムであって、(イ)複数の接続点へのアクセスのアクセス元の情報及びアクセス先の情報の異同で定まる関連度や時系列上での同時性に基づき、各接続点における複数のアクセス情報を分類する情報分類手段と、(ロ)分類したアクセス情報の関連性を類推し、関連性が高い複数のアクセスが存在したときに、不正アクセスがなされたと判定する不正アクセス判定手段とを備え、(ハ)広域ネットワーク内の複数の接続点へのアクセスを組み合わせて、攻撃が成立する広域的攻撃を検知することを特徴とする。
第6の本発明は、ネットワークのいずれかの拠点への不正アクセスの発信源を追跡する不正アクセス追跡方法において、(イ)各拠点におけるアクセス状況である通信アクティビティを抽出し、(ロ)複数の拠点で抽出された通信アクティビティを繋ぎ合わせたアクティビティマップを生成し、(ハ)不正アクセスに関する警報情報に対応する通信アクティビティを検索し、(ニ)検索された通信アクティビティに係る、上記アクティビティマップの軌跡に基づき、侵入経路を検出することを特徴とする。
第7の本発明は、広域ネットワークのアクセス制御によるセキュリティ管理方法であって、(イ)不正アクセスを検知した旨の、ある拠点からの警報情報と、各拠点における通信のアクセス状況である通信アクティビティの情報とに基づいて、アクセスを排除する拠点を定め、(ロ)当該広域ネットワーク内の各拠点へのアクセスを排除するアクセス制御ルールを生成し、(ハ)上記アクセス制御ルールを各拠点のゲートノードへ配布することを特徴とする。
第8の本発明は、広域ネットワークのアクセス制御によるセキュリティ管理方法であって、(イ)当該広域ネットワーク内の各拠点へのアクセスを排除するアクセス制御ルールを送付する防護処理と、(ロ)不正アクセスが加えられた経路を追跡する追跡処理と、(ハ)不正アクセスの発信源に向かってネットワーク探索を目的とした逆スキャニングを行う警戒処理と、(ニ)不正アクセスの発信源に向かって攻撃情報を送り込む対抗攻撃処理とを含み、(ホ)上記各処理での必要情報を、広域ネットワーク内の拠点間、拠点及び広域ネットワーク間で授受することを特徴とする。
第9の本発明は、DDos攻撃などの分散型サービス妨害から防護する攻撃防護方法であって、(イ)広域ネットワーク内の各拠点における通信のアクセス状況である通信アクティビティを、複数の広域ネットワークが属する警戒ドメイン内部で授受し合うと共に、複数の警戒ドメイン間でも授受し合い、(ロ)授受し合った通信アクティビティの協調処理により、分散型サービス妨害の発信源を追跡し、(ハ)最も被害ネットワークから遠くに位置するネットワークとそのネットワークにおけるエッジノードを特定化してアクセスを排除させることを特徴とする。
本発明によれば、不正アクセスの監視の連携の強化、高度化と、検知時におけるアクセス制御の連携の強化、高度化とを達成できる。サイバーテロ攻撃を想定したアクセス制御に関する統一的な防護ポリシーの実行システムや方法を提供できる。さらに、異なるネットワークシステム間でセキュリティ管理上有効な情報の共有と協調連携するシステム等を提供できる。さらにまた、上述のシステムや方法を実現できる個別技術を提供できる。
(A)実施形態
以下、本発明による警戒システム及び不正アクセス検知システムなどの一実施形態を図面を参照しながら詳述する。
以下、本発明による警戒システム及び不正アクセス検知システムなどの一実施形態を図面を参照しながら詳述する。
(A−1)実施形態の概要説明
(A−1−1)システム及びセキュリティ管理領域の構成
図1は、実施形態の協調型警戒システムの全体構成イメージを示すブロック図であり、この図1では、協調型警戒システムと広域イントラネット防護システム(広域ネットワーク防護システム)との相互の関係も示している。
(A−1−1)システム及びセキュリティ管理領域の構成
図1は、実施形態の協調型警戒システムの全体構成イメージを示すブロック図であり、この図1では、協調型警戒システムと広域イントラネット防護システム(広域ネットワーク防護システム)との相互の関係も示している。
また、図2は、図1における各広域イントラネット防護システムの内部構成のイメージを示すブロック図である。
あるネットワークシステムが広域イントラネットにより形成され、各拠点がそれぞれ異なるアクセスポイントを有するような場合、このネットワークシステムのアクセス制御に関して、セキュリティ領域を「管理ドメイン」とする。また、このようなネットワークシステム(広域イントラネット)が何らかの外部ネットワーク(例えばインターネット等)によって相互接続された状態の管理ドメインを「警戒ドメイン」とする。
言い換えると、この実施形態の協調型警戒システムにおいては、ある広域イントラネット同士がインターネットのようなオープンな(セキュリティ的に未統制の)ネットワークによって接続されたモデルにおいて、管理ドメイン同士が階層関係によってある警戒ドメインに含まれている。
尚、本発明におけるイントラネットは、外部からアクセス不能な会社内のネットワークを指すイントラネットのみを対象とするものではなく、全てのIPネットワークを対象とする。
図1に示す協調型警戒システムの警戒ドメインの例は、広域イントラネットA、B、…、Cに、それぞれの中央監視センタ1A、1B、…、1Cが設けられ、広域イントラネットA、B、…、Cに対応する管理ドメイン2A、2B、…、2Cが並列状に構成されており、それらを階層の上位で包含する形態で構成された場合を示している。
各広域イントラネットA、B、…、Cの管理ドメイン(図1の各楕円領域に対応)2A、2B、…、2Cは、対応する中央監視センタ1A、1B、…、1Cでそれぞれ統一的なアクセス制御に関するセキュリティ管理が実行できる環境下にあるようになされている。
各管理ドメイン2A、2B、…、2Cの上位に位置する(図1では、各中央監視センタ1A、1B、…、1Cの上位に位置する)サイバーテロ警戒センタサーバ(以下、サイバーテロ警戒センタと呼ぶ)3は、管理ドメイン2A、2B、…、2Cにおける全体的なアクセス制御に関するセキュリティ管理を行うために、警戒ドメインを形成し、各中央監視センタ1A、1B、…、1Cとの間で、攻撃情報や防護ポリシーを授受し合い、情報の共有を行う。
また、サイバーテロ警戒センタ3は、他の同様な警戒ドメイン上の警戒センタ3xとの間で、攻撃情報や防護ポリシーを授受し合い、情報の共有を行う。
さらに、サイバーテロ警戒センタ3は、不正アクセスやサイバーテロ事案に関する情報センタ(情報提供組織;例えば、日本ではJPCERT/CCや、IPAセキュリティセンタ(情報処理振興事業協会)等)4から攻撃情報や有効な防護手段に関する情報の提供を受けることができる他、情報センタ4に対して情報を提供することができるものとする。
管理ドメインと警戒ドメインの関係を図3及び図4に示す。
図3及び図4は、協調型警戒システムを実現するために、それぞれのネットワークシステム(広域イントラネット)において統一的ポリシー管理を実行する範囲(管理ドメイン)と、広域イントラネット相互でポリシー制御を互いに協調し合う協調の範囲(警戒ドメイン)と、複数の警戒ドメイン相互でポリシー制御を互いに協調し合う関係を示したものであり、図1を補完するものとなっている。
図3は、協調型警戒システムと広域イントラネット防護システム各々のセキュリティ管理領域の範囲として、管理ドメインと警戒ドメインの階層構造を示したものである。
図4は、広域イントラネット防護システム間のセキュリティ管理領域(管理ドメイン)を束ねる警戒ドメイン(各々はサイバーテロ警戒センタに対応)が相互に協調して構成される複数の協調型警戒システム相互の警戒ドメイン構成を示したものである。
(A−1−2)広域イントラネット防護システムの構成
図2は、図1における各広域イントラネット防護システム5A〜5Cの内部構成のイメージを、広域イントラネット防護システム5Aを例に示したブロック図である。
図2は、図1における各広域イントラネット防護システム5A〜5Cの内部構成のイメージを、広域イントラネット防護システム5Aを例に示したブロック図である。
図2に示したネットワーク(広域イントラネット)(図1では2Aに相当)は、インターネット等の外部ネットワークと接続されるアクセスポイントを複数有する拠点が4拠点(A1/GN、A2/GN、A3/GN、A4/GN)あり、それらの拠点が内部ネットワークで相互に接続された一般的な広域イントラネットを示している。各拠点のアクセスポイントは、例えば、地理的な制約から公衆回線に接続され、このネットワークが提供する業務サービスを提供する。この場合、管理ドメインの範囲は、図2に示した4つの拠点を含む広域イントラネット全体となる。
広域イントラネットの全体的なセキュリティ管理を行うのが、図2(及び図1)に示す中央監視センタ1Aである。中央監視センタ1Aは、各拠点A1/GN、A2/GN、A3/GN、A4/GNのアクセス制御を司り、管理ドメイン内のセキュリティ管理を実行するために、各拠点に配置されたアクティビティモニタ10、不正アクセス検知システム11、ゲートノード12との間でアクセス制御に必要なセキュリティ管理情報を授受する。
中央監視センタ1Aは、少なくとも、通信アクティビティ監視システム1A−1と、侵入経路解析システム1A−2、防護ポリシー管理システム1A−3及びデータ蓄積システム1A−4から構成される。
通信アクティビティ監視システム1A−1は、各拠点A1/GN、…、A4/GNに配置されたアクティビティモニタ10から通知される通信アクティビティ等を収集し(丸付数字1)、通信アクティビティと、これに添付された情報とをデータ蓄積システム1A−4に蓄積すると共に、通信アクティビティの状態や属性を監視するものである。
なお、詳細は後述するが、本明細書においては、通信内容から判定できる、当該広域イントラネットへのアクセス状況を「通信アクティビティ」と呼んでいる。
侵入経路解析システム1A−2は、各拠点A1/GN、…、A4/GNに配置された不正アクセス検知システム11から攻撃(丸付数字2)検知に関する警報(丸付数字3)を受けた防護ポリシー管理システム1A−3からの解析指示に基づき、不正アクセス検知システム11から送られた警報に含まれる情報と、通信アクティビティ監視システム1A−1が収集した通信アクティビティとから、侵入経路の解析(丸付数字4)を行い、解析結果を防護ポリシー管理システム1A−3に通知するものである。
防護ポリシー管理システム1A−3は、不正アクセス検知システム11から警報(丸付数字3)を受信すると、これをデータ蓄積システム1A−4に蓄積し、警報に含まれる情報に基づき、検知された不正アクセスの危険レベルを判断し、危険レベルが高いと判断した場合に、侵入経路解析システム1A−2に対し、侵入経路の解析を指示する。そして、侵入経路解析システム1A−2からの侵入経路解析結果(丸付数字4)と警報に含まれる情報を元に、各拠点A1/GN、…、A4/GNに配置されたゲートノード12へ配布するためのアクセス制御に関するフィルタリングポリシーを生成し、各ゲートノード12へ配布(丸付数字5)を行うものである。
フィルタリングポリシーは、例えば、ゲートノード12に対し、アクセス拒否(Refuse)やアクセス無視(Drop)等により、特定のアクセスを排除するアクセス制御を指示するためのものである。
データ蓄積システム1A−4は、各種データを蓄積するためのものである。
尚、この実施形態では、防護ポリシー管理システム1A−3が警報を受信・蓄積し、解析を指示する例について説明しているが、本発明は、これに限定されるものではなく、侵入経路解析システム1A−2が警報を受信・蓄積し侵入経路の解析を実行するものであっても構わない。
広域イントラネット内の各拠点A1/GN、…、A4/GNは、単一若しくは複数の外部ネットワークとの接続点(アクセスポイント)を有している。各拠点A1/GN、…、A4/GNには、上述したように、アクティビティモニタ10、不正アクセス検知システム11及びゲートノード12を配置している。
不正アクセス検知システム11は、アクセスポイントにおける侵入検知を行うものである。アクティビティモニタ10は、通信内容から当該広域イントラネット1Aへのアクセス状況(通信アクティビティ)を監視するものである。ゲートノード12は、各拠点の内部ネットワークとの境界点に位置するものであり、フィルタリングポリシーに基づいて通信を切断可能な中継装置である。
図5は、各拠点A1/GN、…、A4/GNに配置されたハードウェア構成例を示すブロック図である。
図5では、図2の各拠点An/GN(nは1〜4)において、公衆網やインターネット網などの外部ネットワークと、内部ネットワークシステムとが、ルータ20、ゲートノード12及びファイアウォール22を介して接続されていることを示している。ルータ20及びファイアウォール22は、既知のものと同様なものである。
ゲートノード12は、前述した通り防護ポリシーに基づいて通信を切断可能な中継装置であり、図22に示す如く、信号の送受信を行う第1の送受信部61、第2の送受信部62、受信した信号を記憶する記憶部63を備え、第1又は第2の送受信部61、62が受信した信号を判別し、記憶部63に記憶させると共に、受信したフィルタリングポリシーに基づき、記憶部63に記憶させた信号を他方の送受信部に送るか否かにより通信の切断を制御する制御部64を備える。
また、各拠点には図5に示す通り、アクティビティモニタ10、異常検出(AD;Anomaly Detection)装置23及び不正検出(MD;Misuse Detection)装置24が設けられている。
アクティビティモニタ10は、通信経路上のパケット情報から通信アクティビティに関わる情報を抽出可能な回線モニタ装置であり、図23に示す通り、通信系路上の信号を検出する信号検出部71、検出した情報を記憶する信号記憶部72、以上の構成を制御すると共に中央監視センタ1Aに通信アクティビティを送信する制御部73を備える。尚、通信アクティビティを送信する際、送信元となったアクティビティモニタを特定する情報や、アクティビティモニタが配置された拠点のゲートノードを特定する情報を添付しても構わない。
ここで、アクティビティモニタ10の配置は、これに限定されるものではなく、破線で示したアクティビティモニタ10’の配置でも構わない他、双方に配置しても構わない。また、アクティビティモニタをゲートノード12中に配置しても構わない。
AD装置23は、例えば、ルータ20及びゲートノード12間の通信経路上を検出対象とし、未知の攻撃や兆候を検出するものであり、MD装置24は、例えば、ゲートノード12及びファイアウォール22間の通信経路上を検出対象とし、既知の攻撃を特定するものである。
不正アクセス検知システムは、AD装置23若しくはMD装置24の何れか一方により構成しても良く、AD装置23及びMD装置24の両方から構成しても構わず、更に、AD装置23、MD装置24及びゲートノード12によって構成しても構わない。尚、AD装置23及びMD装置24は、既知のものと同様なものである。
また、不正アクセス検知システムは、攻撃(不正アクセス)を検知すると、警報として、攻撃の危険レベル(高い、低い等)、攻撃名(個別に定義した攻撃の名称)、攻撃のアクセス元とアクセス先の情報、攻撃のプロトコル種別、攻撃の検知時刻等を中央監視センタに通知する。尚、警報に、送信元となった不正アクセス検知システムを特定する情報や、不正アクセス検知システムが配置された拠点のゲートノードを特定する情報を添付しても構わない。
ゲートノード12、アクティビティモニタ10、AD装置23及びMD装置24などは、例えば、第2のルータ25、ルータ1A−5(図2)を介して、専用線などによって、上述した中央監視センタ1A(図2)と接続されており、中央監視センタ1Aとの情報授受を実行できるようになされている。
なお、ファイアウォール22には、Webサーバ26、メールサーバ27、DNS(Domain Name System)サーバ28などの各種サーバが接続されている。
(A−1−3)広域イントラネット防護システムの動作概要
次に、広域イントラネット防護システムの動作の概要を、図1、図2、図6を参照しながら説明する。
次に、広域イントラネット防護システムの動作の概要を、図1、図2、図6を参照しながら説明する。
ステップS1:複数のアクセスポイントを有する広域イントラネットAにおいて、各拠点A1/GN〜A4/GNに配置されたアクティビティモニタ10は、アクセス状況(通信アクティビティ)を常時監視し、アクセス状況が変化するたびに中央監視センタ1Aの通信アクティビティ監視システム1A−1に、変化後の通信アクティビティを通知する。
中央監視センタ1A内の通信アクティビティ監視システム1A−1では、全拠点A1/GN〜A4/GNに配置されたアクティビティモニタ10から送られてくる通信アクティビティを、通知元となったアクティビティモニタ10を特定する情報と関連付けて、データ蓄積システム1A−4に蓄積する(アクティビティモニタ10が配置された拠点のゲートノード12を特定する情報と関連付けて蓄積しても構わない)と共に、蓄積した通信アクティビティに基づいて、管理ドメイン2A(図1)内の全ての拠点A1/GN〜A4/GNを通過する通信アクティビティの属性や、発生、消滅等を監視し、広域イントラネットA全体のアクセス状況を把握する。
ステップS2−1:ある拠点An/GNのアクセスポイントに配置された不正アクセス検知システム11が、攻撃若しくはその疑いがある情報等の不正アクセスを検知した場合、不正アクセス検知システム11は、警報として、検出した不正アクセスの、危険レベル(高い、低い等)、アクセス元とアクセス先の情報(ソースIPアドレス、ソースポート番号、ディスティネーションIPアドレスや、ディスティネーションポート番号等の、発生した通信の端点のアドレス等)、プロトコル種別、検知時刻、等を中央監視センタ内1Aの防護ポリシー管理システム1A−3へ通知する。通知を受けた防護ポリシー管理システム1A−3は、受信した警報を通知元となった不正アクセス検知システム11を特定する情報と関連付けて、データ蓄積システム1A−4に蓄積する(不正アクセス検知システム11が配置された拠点のゲートノード12を特定する情報と関連付けて蓄積しても構わない)と共に、危険レベルを元に、危険レベルが低いと判断した場合はそのまま放置し、危険レベルが高いと判断した場合(例えば、警報に含まれる攻撃の危険レベルが「高い」を示す場合)は侵入経路解析システム1A−2に侵入経路の解析を指示する。
ステップS2−2:解析を指示された中央監視センタ1A内の侵入経路解析システム1A−2では、データ蓄積システム1A−4を参照し、アクティビティモニタ10から送られた広域イントラネットA全体の通信アクティビティと、不正アクセス検知システム11から送られた警報に関する情報に基づき、検知された不正アクセスと関連する通信アクティビティが通過した広域イントラネットA内の侵入経路を解析する。
例えば、通信アクティビティと警報に含まれる情報とを照合し、検出時刻が同一若しくは所定時間内であり、アクセス元・アクセス先情報とプロトコル種別とが同じ属性を持つ通信アクティビティを抽出し、不正アクセスとみなされた通信アクティビティが通過していたゲートノード12を特定することで、広域イントラネットA内の通過経路、すなわち侵入経路を割り出すことが可能である。解析結果としては、特定したゲートノード12を特定する情報(アドレス等)を通知する。
これは、インターネットのような非常に広域なネットワークにおいて、あるサーバが攻撃者によって乗っ取られ、かつ、送信元のIPアドレスを偽る操作(踏み台となったホストのアドレス詐称や、IPスプーフィング)が行われても、通信アクティビティの属性の判別によって実際に通信が通過した経路(侵入経路)を割り出すことが可能であることを意味しており、いわゆるインターネット上の発信源の追跡や逆探知技術として有効である。
ステップS3:中央監視センタ1A内の防護ポリシー管理システム1A−3では、侵入経路解析システム1A−2からの侵入経路の解析結果をデータ蓄積システム1A−4に蓄積すると共に、データ蓄積システム1A−4を参照し、侵入経路の解析結果と警報に含まれる情報をもとに、各拠点A1/GN、…、A4/GNに配置されたゲートノード12に対して配布するべきフィルタリングポリシーを生成し、蓄積し、それを、各ゲートノード12に配布する。
このとき、各ゲートノード12へ配布するフィルタリングポリシーは、直接の侵入経路となったゲートノードと侵入経路から外れたゲートノードに対して、それぞれ別々のフィルタリングポリシーを生成しても良い。
例えば、直接の侵入経路となったゲートノードは、安全性が確認されるまで閉鎖とし、直接の侵入経路から外れたゲートノードは、攻撃の発信源からはアクセスを拒否するといったフィルタリングポリシーであっても良い。
また例えば、広域イントラネットA全体を外部ネットワークから閉鎖するために、全てのゲートノードに対して、閉鎖といったフィルタリングポリシーを生成し配布するようにしても良い。
さらに、例えば、以前に各ゲートノードへフィルタリングポリシーを配布している場合、実行中のフィルタリングポリシーの取り消しやフィルタリングポリシー間の矛盾を除去して、最適化できるようにフィルタリングポリシーを管理し、生成・配布するようにしても良い。
以上のように、広域イントラネット防護システム5Aでは、広域イントラネットA内の各拠点A1/GN、…、A4/GNで個別に行っていたアクセス制御に関するセキュリティ管理を統一的に実行することで、各拠点の局所的防御では行えないネットワーク基盤全体の効率的セキュリティ管理を行うための、「広域イントラネット内の通信アクティビティ監視」と、「侵入経路の解析」と、「解析結果を元に各拠点単位のアクセス制御に関する管理」を行うことができる。
(A−1−4)中央監視センタとサイバーテロ警戒センタとの情報授受
次に、広域イントラネット防護システムの中央監視センタ1Aと、サイバーテロ警戒センタ3との間での情報授受について、図1、図2を利用しながら説明する。
次に、広域イントラネット防護システムの中央監視センタ1Aと、サイバーテロ警戒センタ3との間での情報授受について、図1、図2を利用しながら説明する。
サイバーテロ警戒センタ3は、受信した情報を蓄積する他、予め情報を記憶させるためのDBサーバと、他の構成との情報の授受や、汎用防護ポリシー生成・配布・管理や、情報の解析を行なうための管理サーバから構成される。
上述したように、各中央監視センタ(例えば1A)には、その広域イントラネット(A)内の各拠点(A1/GN、…、A4/GN)から通知されたアクセス状況に関する情報(通信アクティビティ)と、検知された不正アクセスに関する警報と、侵入経路に関する情報と、それらに対する防護ポリシーであるフィルタリングポリシーとが管理されている。
サイバーテロ警戒センタ3は、管轄下の各中央監視センタの管理ドメイン内で検知された不正アクセスに関する警報を元に中央監視センタが配布したフィルタリングポリシーの通知を受ける。図1の例では、中央監視センタ1A、1Bからサイバーテロ警戒センタ3へ通知される防護ポリシーA、Bが相当する。また、中央監視センタからサイバーテロ警戒センタへの通知は、中央監視センタがゲートノードにフィルタリングポリシーを配布する際に通知する。
サイバーテロ警戒センタ3は、中央監視センタ1A、1Bから通知を受けると、通知されたフィルタリングポリシーA、Bを、他の管理ドメイン(図1では、中央監視センタ1C)へ配布可能な情報に汎用化するために、検知された攻撃の種類や、追跡可能であった攻撃の発信源等を含む情報のみに集約し、かつ、各中央監視センタ1A、1Bで使われたフィルタリングポリシーを、その配布先のゲートノードのアドレスは除去した情報に変換し、これを汎用フィルタリングポリシーとして各中央監視センタ1A、1B、1Cへ配布する。
このことによって、中央監視センタ1Cが管理する広域イントラネットCにおいては、実害が検知されなくても、結果的に汎用フィルタリングポリシーが共有された状況になる。
(A−1−5)管理ドメイン内の汎用防護ポリシーの扱い
次に、管理ドメイン内における、サイバーテロ警戒センタからの汎用防護ポリシーの扱いについて汎用フィルタリングポリシーを例に、図1、図2を用いて説明する。
次に、管理ドメイン内における、サイバーテロ警戒センタからの汎用防護ポリシーの扱いについて汎用フィルタリングポリシーを例に、図1、図2を用いて説明する。
サイバーテロ警戒センタ3から配布された汎用フィルタリングポリシーは、サイバーテロ警戒センタ3において、配布先ゲートノードのアドレス情報等が除去されて汎用化された情報に変換されており、各中央監視センタ1A、…、1Cの防護ポリシー管理システムにおいては、汎用フィルタリングポリシーを受信すると、それぞれの広域イントラネットA、…、C上のアドレス情報を付加しフィルタリングポリシー(個別フィルタリングポリシー)に変換した上で、各ゲートノード12(図2)に配布する。
以上のように、汎用フィルタリングポリシーは、各中央監視センタ1A、…、1Cの防護ポリシー管理システムにおいて、自管理ドメイン内のゲートノード12へ配布可能な個別フィルタリングポリシーに変換され、各ゲートノード12へ配布される。
このとき、中央監視センタ1A、…、1Cの防護ポリシー管理システムでは、以前に配布済みのフィルタリングポリシーとの関係を整合し最適化できるようにフィルタリングポリシーを管理する。例えば、既に配布済みのフィルタリングポリシーと同一となった場合は再度の配布を省略する。また例えば、前回配布したフィルタリングポリシーのアクセス制御範囲が広く、新たに生成した個別フィルタリングポリシーによって、逆にアクセス制御範囲が狭まる恐れがある場合は、アクセス制御範囲が狭まることを回避する。
(A−1−6)サイバーテロ警戒センタ間の情報授受
次に、サイバーテロ警戒センタ3と他のサイバーテロ警戒センタ3xとの間の情報授受についてフィルタリングポリシーを例に、図1を用いて説明する。
次に、サイバーテロ警戒センタ3と他のサイバーテロ警戒センタ3xとの間の情報授受についてフィルタリングポリシーを例に、図1を用いて説明する。
上述したように、サイバーテロ警戒センタ3は、自警戒ドメイン内からフィルタリングポリシー(個別フィルタリングポリシー)を受信すると、既に配布済みであるか否かにより有効性を判断し、有効な場合は、受信したフィルタリングポリシーをもとに汎用フィルタリングポリシーを生成し、自警戒ドメイン内の中央監視センタ1A〜1Cへ配布する(有効性の判断は、汎用フィルタリングポリシーを生成した後にしても構わない)。
さらに、サイバーテロ警戒センタ3は、他の同様のサイバーテロ警戒センタ(図1では、他の警戒センタ)3xとの間で、互いの警戒ドメイン内で蓄積された汎用防護ポリシーを授受し合い、既に配布済みであるか否かにより有効性を判断し、自警戒ドメイン内で有効な汎用防護ポリシーを抽出し、それを配下の各中央監視センタへ配布する。
各中央監視センタ(1A、…、1C)は、上位のサイバーテロ警戒センタ3(図1)から配布された汎用防護ポリシーに、個別情報を付加し、防護ポリシー(個別防護ポリシー)として各ゲートノード12(図2)へ配布する。
(A−1−7)情報センタとサイバーテロ警戒センタとの情報授受
次に、セキュリティ事案(いわゆるインシデント情報)の情報提供を目的とした情報センタとサイバーテロ警戒センタとの情報授受について、図1を用いて説明する。
次に、セキュリティ事案(いわゆるインシデント情報)の情報提供を目的とした情報センタとサイバーテロ警戒センタとの情報授受について、図1を用いて説明する。
サイバーテロ警戒センタ3は、セキュリティ事案の情報提供を目的とした他の組織の情報センタ(例えば、日本ではJPCERT/CCやIPAセキュリティセンタ(情報処理振興事業協会)、米国ではCERT/CC)から提供される不正アクセス事案やサイバーテロの恐れがある事案に関する攻撃情報と、その防護に関する情報を必要に応じて収集する。そして、それをもとに汎用防護ポリシーを生成し、自警戒ドメイン内の中央監視センタ1A〜1Cに配布するとともに、他の警戒センタ3xとの間で汎用防護ポリシーの授受を行う。あるいは、それをもとに自警戒ドメイン内の中央監視センタ1A〜1Cに、広域的攻撃の検出開始を指示する。
このことによって、各警戒ドメインやその配下の管理ドメインに汲まなく情報が行き渡るため、アクセス制御に関する防御に必要な情報を有効活用することができる。
(A−2)実施形態の主要機能の詳細説明
図7は、実施形態のシステムの主要機能を、中央監視センタと、サイバーテロ警戒センタについて整理して示したものである。
図7は、実施形態のシステムの主要機能を、中央監視センタと、サイバーテロ警戒センタについて整理して示したものである。
中央監視センタの主要機能としては、
(1)ネットワーク上の通信活動状況(通信アクティビティ)の収集・監視
(2)不正検出、異常検出を併用したハイブリッド型IDS監視に基づく処理
(3)広域イントラネット上での攻撃、アクティビティ追跡(侵入経路解析)
(4)広域イントラネットの防護ポリシー(個別防護ポリシー)の生成とゲートノードへの配布
(5)上位警戒センタからの汎用防護ポリシーを防護ポリシー(個別防護ポリシー)に変換
があり、中央監視センタは、これらの機能の実現部を有している。
(1)ネットワーク上の通信活動状況(通信アクティビティ)の収集・監視
(2)不正検出、異常検出を併用したハイブリッド型IDS監視に基づく処理
(3)広域イントラネット上での攻撃、アクティビティ追跡(侵入経路解析)
(4)広域イントラネットの防護ポリシー(個別防護ポリシー)の生成とゲートノードへの配布
(5)上位警戒センタからの汎用防護ポリシーを防護ポリシー(個別防護ポリシー)に変換
があり、中央監視センタは、これらの機能の実現部を有している。
また、サイバーテロ警戒センタの主要機能としては、
(1)下位中央監視センタからの防護ポリシー(個別防護ポリシー)の収集・分析
(2)各種分析結果による汎用防護ポリシーの生成・配布
(3)警戒センタ間の汎用防護ポリシーの授受と協調型のアクティビティ追跡
(4)情報センタ、警戒センタ等からのサイバーテロ情報収集、情報提供
があり、サイバーテロ警戒センタは、これらの機能の実現部を有している。
(1)下位中央監視センタからの防護ポリシー(個別防護ポリシー)の収集・分析
(2)各種分析結果による汎用防護ポリシーの生成・配布
(3)警戒センタ間の汎用防護ポリシーの授受と協調型のアクティビティ追跡
(4)情報センタ、警戒センタ等からのサイバーテロ情報収集、情報提供
があり、サイバーテロ警戒センタは、これらの機能の実現部を有している。
(A−2−1)中央監視センタの主要機能
以下、図1及び図2に示した中央監視センタ1Aを例に、中央監視センタの主要機能を説明する。
以下、図1及び図2に示した中央監視センタ1Aを例に、中央監視センタの主要機能を説明する。
(1)ネットワーク上の通信活動状況(通信アクティビティ)の収集・監視
中央監視センタ1Aの通信アクティビティ監視システム1A−1は、アクティビティモニタ10から与えられる、各拠点A1/GN、…、A4/GNを通過する通信のアクセス状況(通信アクティビティ)を常時監視し、侵入経路解析システム1A−2は、広域イントラネットA内の拠点を通過する通信アクティビティと、不正アクセス検知システム11の警報によって、侵入経路を解析することができる。
中央監視センタ1Aの通信アクティビティ監視システム1A−1は、アクティビティモニタ10から与えられる、各拠点A1/GN、…、A4/GNを通過する通信のアクセス状況(通信アクティビティ)を常時監視し、侵入経路解析システム1A−2は、広域イントラネットA内の拠点を通過する通信アクティビティと、不正アクセス検知システム11の警報によって、侵入経路を解析することができる。
(2)不正検出、異常検出を併用したハイブリッド型IDS監視に基づく処理
不正アクセス検知システム11は、不正検出と異常検知とを併用したハイブリッド型IDSで構成することにより高度な不正アクセス検知を実行でき、中央監視センタ1Aでは、不正アクセス検知システム11からの警報として送られる情報に基づいて侵入経路の解析が行われる。さらに、1箇所の不正アクセス検知システム11では攻撃とは見なせない場合や、危険レベルが低いと判定される場合であっても、中央監視センタ1Aが総合的に解析することで、分散された攻撃と見なせるような不正アクセスも検知し(広域的攻撃検知)、これに基づいて防護ポリシーを生成し配布する。
不正アクセス検知システム11は、不正検出と異常検知とを併用したハイブリッド型IDSで構成することにより高度な不正アクセス検知を実行でき、中央監視センタ1Aでは、不正アクセス検知システム11からの警報として送られる情報に基づいて侵入経路の解析が行われる。さらに、1箇所の不正アクセス検知システム11では攻撃とは見なせない場合や、危険レベルが低いと判定される場合であっても、中央監視センタ1Aが総合的に解析することで、分散された攻撃と見なせるような不正アクセスも検知し(広域的攻撃検知)、これに基づいて防護ポリシーを生成し配布する。
(3)広域イントラネット上での攻撃、アクティビティ追跡(侵入経路解析)
侵入経路解析システム1A−2は、中央監視センタ1Aの通信アクティビティ監視システム1A−1で収集した通信アクティビティと、不正アクセス検知システム11から警報として送られる情報を用いて、当該攻撃が通過した広域イントラネットA内の経路を分析する。このことにより、広域イントラネットA内のあるホストなどが踏み台に悪用され、発信源のアドレス情報を詐称された場合でも、通信アクティビティを観測できるネットワークの範囲において、攻撃の発信源の解析(逆探知)が可能である。
侵入経路解析システム1A−2は、中央監視センタ1Aの通信アクティビティ監視システム1A−1で収集した通信アクティビティと、不正アクセス検知システム11から警報として送られる情報を用いて、当該攻撃が通過した広域イントラネットA内の経路を分析する。このことにより、広域イントラネットA内のあるホストなどが踏み台に悪用され、発信源のアドレス情報を詐称された場合でも、通信アクティビティを観測できるネットワークの範囲において、攻撃の発信源の解析(逆探知)が可能である。
(4)広域イントラネットの防護ポリシー(個別防護ポリシー)の生成とゲートノードへの配布
防護ポリシー管理システム1A−3は、不正アクセス検知システム11から警報として送られる情報と、侵入経路解析システム1A−2かの解析結果として送られる情報をもとに、広域イントラネットA上の各ゲートノード12のアドレス情報も含んだ防護ポリシー(個別防護ポリシー)を生成し、これを各ゲートノード12に配布する(この際、上位のサイバーテロ警戒センタに対しても配布する)。
防護ポリシー管理システム1A−3は、不正アクセス検知システム11から警報として送られる情報と、侵入経路解析システム1A−2かの解析結果として送られる情報をもとに、広域イントラネットA上の各ゲートノード12のアドレス情報も含んだ防護ポリシー(個別防護ポリシー)を生成し、これを各ゲートノード12に配布する(この際、上位のサイバーテロ警戒センタに対しても配布する)。
また、防護ポリシー管理システム1A−3では、広域イントラネットA上の全ゲートノード12へ配布した防護ポリシーを一元的に管理し、広域イントラネットA内で防護ポリシー間の矛盾が生じないようにする。
(5)上位警戒センタからの汎用防護ポリシーを防護ポリシー(個別防護ポリシー)に変換
広域イントラネットAが属する警戒ドメイン内のサイバーテロ警戒センタ3から配布される汎用防護ポリシーを受け、各ゲートノード12へ配布可能な防護ポリシー(個別防護ポリシー)に変換した上で配布を行う。また、上記機能(4)と同様の防護ポリシーの管理に適用される。
広域イントラネットAが属する警戒ドメイン内のサイバーテロ警戒センタ3から配布される汎用防護ポリシーを受け、各ゲートノード12へ配布可能な防護ポリシー(個別防護ポリシー)に変換した上で配布を行う。また、上記機能(4)と同様の防護ポリシーの管理に適用される。
(A−2−2)サイバーテロ警戒センタ(協調型警戒システム)
以下、図1及び図2に示したサイバーテロ警戒センタ3を例に、サイバーテロ警戒センタの主要機能を説明する。
以下、図1及び図2に示したサイバーテロ警戒センタ3を例に、サイバーテロ警戒センタの主要機能を説明する。
(1)下位中央監視センタからの防護ポリシー(個別防護ポリシー)の収集・分析
サイバーテロ警戒センタ3が管理する警戒ドメイン内の各中央監視センタ1A〜1Cから防護ポリシー(個別防護ポリシー)の配布を受けると、自サイバーテロ警戒センタ3で蓄積するほか、蓄積した防護ポリシーを分析する。
サイバーテロ警戒センタ3が管理する警戒ドメイン内の各中央監視センタ1A〜1Cから防護ポリシー(個別防護ポリシー)の配布を受けると、自サイバーテロ警戒センタ3で蓄積するほか、蓄積した防護ポリシーを分析する。
(2)各種分析結果により汎用防護ポリシーを生成・配布
各中央監視センタ1A〜1Cから配布された防護ポリシー(個別防護ポリシー)を分析し、配布済みであるか否かによって有効性を判断し、自警戒ドメイン内の他の中央監視センタ(送信元が1Aであれば1B、1C)に有効な情報の場合、攻撃の標的となった個別のサーバのアドレスや、個別のゲートノードのアドレス情報等を除去した汎用防護ポリシーを生成し、これを各中央監視センタ(1B、1C)へ配布する。
各中央監視センタ1A〜1Cから配布された防護ポリシー(個別防護ポリシー)を分析し、配布済みであるか否かによって有効性を判断し、自警戒ドメイン内の他の中央監視センタ(送信元が1Aであれば1B、1C)に有効な情報の場合、攻撃の標的となった個別のサーバのアドレスや、個別のゲートノードのアドレス情報等を除去した汎用防護ポリシーを生成し、これを各中央監視センタ(1B、1C)へ配布する。
(3)警戒センタ間の汎用防護ポリシーの授受と協調型のアクティビティ追跡
自警戒ドメイン内で生成・配布した汎用防護ポリシーや、他の情報組織から収集した事案に関する情報を元に生成・配布した汎用防護ポリシーを、蓄積すると共に、自警戒ドメイン以外のサイバーテロ警戒センタ3xと授受し合う(汎用防護ポリシーを生成・配布する際に、自警戒ドメイン以外のサイバーテロ警戒センタ3xにも配布する)。
自警戒ドメイン内で生成・配布した汎用防護ポリシーや、他の情報組織から収集した事案に関する情報を元に生成・配布した汎用防護ポリシーを、蓄積すると共に、自警戒ドメイン以外のサイバーテロ警戒センタ3xと授受し合う(汎用防護ポリシーを生成・配布する際に、自警戒ドメイン以外のサイバーテロ警戒センタ3xにも配布する)。
他のサイバーテロ警戒センタ3xからも新たな汎用防護ポリシーを受け、蓄積すると共に、これをまた別のサイバーテロ警戒センタとの間で授受するようにしても良い(汎用防護ポリシーのフォワーディング(転送))。他のサイバーテロ警戒センタ3xから受けた新たな汎用防護ポリシーを、配布済みであるか否かによって有効性を判断し、自警戒ドメインに有効な場合は配下の各中央監視センタ1A〜1Cへ汎用防護ポリシーとして配布する。
協調型アクティビティ追跡は、自警戒ドメイン内のある中央監視センタ(例えば1A)から受けた防護ポリシーを別の管理ドメインの中央監視センタ(例えば1B、1C)へ配布し、配布された中央監視センタ(例えば1B、1C)はその防護ポリシーを元に同じ属性の通信アクティビティが自管理ドメイン内で存在していないかを捜索し、当該通信アクティビティが存在していた場合、その旨をサイバーテロ警戒センタ3へ送る。このことにより、ある管理ドメイン内で検知された属性の通信アクティビティの発信源を別の管理ドメインに跨いで追跡することが可能となっている。また、防御という観点においては、より発信源に近いネットワーク上で、閉鎖などの防御手段を適用した方が、被害の最小化という意味において有効である。特にサービス妨害(DoS攻撃)などは、発信源が他の管理ドメインを通過することが判明している場合、より発信源に近いゲートノードで閉鎖処置を適用する方が防御手段として有効である。
上述した追跡機能については、図8を用いて、後でより詳細を説明する。
(4)情報センタ、警戒センタ等からのサイバーテロ情報収集、情報提供
サイバーテロ事案や不正アクセス事案に関する情報提供を行う情報センタや警戒センタ等の他の情報組織から攻撃情報や防護手段を収集し、これを汎用防護ポリシーとして蓄積する。
サイバーテロ事案や不正アクセス事案に関する情報提供を行う情報センタや警戒センタ等の他の情報組織から攻撃情報や防護手段を収集し、これを汎用防護ポリシーとして蓄積する。
蓄積した汎用防護ポリシーは、他の情報組織も情報を利用できるような表現形式に変換し、情報提供を行う。
(A−3)実施形態での個別技術の説明
実施形態で適用している個別技術のうち、侵入検知技術、侵入経路解析技術、防護ポリシー管理技術、協調型ポリシー情報の授受技術について、以下、補足説明を行う。
実施形態で適用している個別技術のうち、侵入検知技術、侵入経路解析技術、防護ポリシー管理技術、協調型ポリシー情報の授受技術について、以下、補足説明を行う。
(A−3−1)効率的防御のための攻撃検知方法(侵入検知技術)
(A−3−1−1)検知対象となる攻撃分類
検知対象となる攻撃として、(1)ポートスキャン等のネットワーク探査に準ずる行為、(2)不正アクセス行為(プロトコルパラメータを使った既知の攻撃又はそれに準ずる未知の攻撃)、(3)DoS攻撃やDDoS攻撃、(4)ワーム型コンピュータウィルスの感染活動などを対象とする。
(A−3−1−1)検知対象となる攻撃分類
検知対象となる攻撃として、(1)ポートスキャン等のネットワーク探査に準ずる行為、(2)不正アクセス行為(プロトコルパラメータを使った既知の攻撃又はそれに準ずる未知の攻撃)、(3)DoS攻撃やDDoS攻撃、(4)ワーム型コンピュータウィルスの感染活動などを対象とする。
(A−3−1−2)局所的攻撃検知
各拠点における局所的攻撃検知方法として、以下に示す第1の方法又は第2の方法を適用する。
各拠点における局所的攻撃検知方法として、以下に示す第1の方法又は第2の方法を適用する。
第1の方法は、各拠点においては、図9に示すように、不正検出装置(MD)24、異常検出装置(AD)23を併用し、高感度な攻撃検知を実行でき、また、ワーム型コンピュータウィルス活動の攻撃検知を実行できるようにしたものである。
図9において、異常検出装置(AD)23は、ネットワーク観測点に対し、検出用エンジン(検出ルールなど)23Eを利用して、攻撃の兆候や、未知の攻撃を検出するものであり、不正検出装置(MD)24は既知攻撃のパターン情報などが格納されているデータベース24Dを参照しながら既知攻撃を検出(特定)するものである。ここで、不正検出装置(MD)24及び異常検出装置(AD)23としては、既存のものを適用することができる。但し、防護ポリシーなどで提供された情報が、データベース24Dや検出用エンジン23Eに直ちに反映される点や、不正検出装置(MD)24及び異常検出装置(AD)23が直列に接続されながら並行動作する点が、従来技術と異なっている。
なお、第1の方法においては、不正検出装置(MD)24及び異常検出装置(AD)23は、図示しないゲートノードに対し、外部ネットワーク側又は内部ネットワーク側の同一側に設けられている。
第2の方法は、各拠点においては、図10に示すように、不正検出装置(MD)24、ゲートノード12、異常検出装置(AD)23を併用し、より高感度な攻撃検知を実現しようとしたものである。
第2の方法は、ゲートノード12のトラフィックフィルタ機能(通信切断機能)によって、図示しない中央監視センタからのフィルタリングポリシーに適合するトラフィックだけを内部ネットワークへ流入させるような制御が可能である。第1の方法では、全てのトラフィックがネットワーク観測点で観測されてしまい、内部ネットワークにとって影響がない攻撃も検知してしまう可能性がある。
第2の方法を適用することにより、外部ネットワーク側のネットワーク観測点1では全てのトラフィックを観測することで攻撃の兆候を幅広く観測し、内部ネットワーク側のネットワーク観測点2では攻撃ノイズが除去され、内部ネットワークのセキュリティポリシーに関係する攻撃だけ観測することも可能である。
以上のように、ゲートノード12を組み合わせることにより、異常検出(アノーマリ検出)を攻撃の兆候検知用とし、ゲートノード12を攻撃の絞り込み(攻撃ノイズ除去)用とし、不正検出(ミスユース検出)を攻撃の特定用とする仕組みがとれるため、セキュリティ管理上、より効率的な防御のための攻撃検知が可能となる。
(A−3−1−3)広域的攻撃検知(分散攻撃検知)
不正アクセス検知システムによる1箇所のローカル監視では、攻撃と見なされないアクセスや、危険レベルが低いと判定される不正アクセスでも、図11(A)に示すように、広域分散ネットワークとして関連度を分析することで危険レベルが高い不正アクセスとして検出することができる。広域イントラネットにおける広域的攻撃検知は、中央監視センタが各拠点から収集した通信アクティビティ又は警報に基づいて、広域的攻撃を検出する。
不正アクセス検知システムによる1箇所のローカル監視では、攻撃と見なされないアクセスや、危険レベルが低いと判定される不正アクセスでも、図11(A)に示すように、広域分散ネットワークとして関連度を分析することで危険レベルが高い不正アクセスとして検出することができる。広域イントラネットにおける広域的攻撃検知は、中央監視センタが各拠点から収集した通信アクティビティ又は警報に基づいて、広域的攻撃を検出する。
広域的攻撃の検出は、常時、定期的に、又は必要に応じて(他の警戒ドメインや管理ドメインにおいて広域的攻撃が検出された場合や、頻繁に不正アクセスが検出された場合、他)行なうものとする。
攻撃とみなされないアクセスに関する広域的攻撃は、通信アクティビティ監視システムが、新たに受信した通信アクティビティと、蓄積した通信アクティビティを比較し、分類し、危険度を判定することによって検出する。また、比較する通信アクティビティは、新たに受信したもの及び蓄積しているもののアクティビティ状態が、コネクション型のコネクション確立中の通信アクティビティを対象として行なうことを前提とする。
詳細に説明すると、広域的攻撃の検出を開始すると、通信アクティビティ監視システムは、アクティビティモニタから新たな通信アクティビティ[a]が通知されると、通信アクティビティを記憶しているデータ蓄積システムを参照し、通知された通信アクティビティ[an]と、通信アクティビティ[a]の検出時刻から所定時間[t]前迄の間に検出された1又は複数の通信アクティビティ[b]のアクティビティ端点及びプロトコル種別を、通知される度に、比較し([an]と比較するものを通信アクティビティ[bn]とする)、プロトコル種別が同一の通信アクティビティ[bn]を、送信元IPアドレスと宛先IPアドレスの一致・不一致に応じて分類する。また、通信アクティビティ[b]は、通信アクティビティ[b]が通知された拠点に配置されたゲートノードを特定する情報(アドレス等)と共に分類する。
図11(B)は、送信元IPアドレスと宛先IPアドレスの一致・不一致に応じた分類を示し、送信元及び宛先が同じ場合を関連度A、送信元が同じで宛先が異なる場合を関連度B、送信元が異なり宛先が同じ場合を関連度C、送信元及び宛先が異なる場合を関連度Dと定義し、通信アクティビティ[bn]をゲートノードを特定する情報と共に分類する。
通信アクティビティ[bn]の分類完了後、各関連度毎に、ゲートノードを特定する情報を用いて、同一ゲートノードからの通信アクティビティ[bn]を1件とカウントすることによって、全ての通信アクティビティ[bn]の件数Xと、関連度A、B及びCに分類された通信アクティビティ[bn]の件数Yとを求め、件数Xに対する件数Yの割合Zを求める。(以上の処理を、新たな通信アクティビティ[a]を受信する度に繰り返す。)そして、割合Zが所定の割合(例えば50%)以上であった場合、広域的攻撃であると判定し、その旨を防護ポリシー管理システムに通知する。
尚、上述の例では、アクティビティモニタから通知された新たな通信アクティビティ[a]と、通信アクティビティ[b]とを比較する例を説明したが、通信アクティビティ[a]に替えて、所定の通信アクティビティ[c](危険度が高いと認定されたもの等)を用いるものとし、新たな通信アクティビティ[a]の通知を受ける度に、通信アクティビティ[c]と、通信アクティビティ[b]とを比較するようにしても構わない。
危険レベルが低いと判定される不正アクセスに関する広域的攻撃は、防護ポリシー管理システムが、不正アクセス検知システムから送られる警報を比較し、分類し、危険度を判定することによって検出する。
詳細に説明すると、防護ポリシー管理システムは、不正アクセス検知システムから受信した警報に関する情報をデータ蓄積システムに蓄積しており、広域的攻撃の検出を開始すると、新たな警報[a]が通知される毎に、蓄積した警報に関する情報を参照し、通知された警報[an]と、警報[a]の検出時刻から所定時間[t]前迄の間に検出された1又は複数の警報[b]に含まれるアクセス元とアクセス先の情報及びプロトコル種別を、比較し([an]と比較するものを警報[bn]とする)、プロトコル種別が同一の警報[bn]を、アクセス元IPアドレスとアクセス先IPアドレスの一致・不一致に応じて分類する。また、警報[b]は、警報[b]が通知された拠点に配置されたゲートノードを特定する情報(アドレス等)と共に分類する。
警報[bn]の分類や、分類完了後の処理は、前述した攻撃とみなされないアクセスに関する検出の通信アクティビティを警報に置き換えて、同様に行なうことで、割合Zを求め、割合Zが所定の割合(例えば50%)以上であった場合、広域的攻撃であると判定する。
広域的攻撃であると判定した後の処理は、攻撃とみなされないアクセスについての判定と、危険レベルが低いと判定される不正アクセスについての判定とは、同一であり、防護ポリシー管理システムにおいて、分類された通信アクティビティ又は警報に基づいてフィルタリングポリシーを生成し、関連度A、B及びCに分類されたゲートノードに配布する。尚、フィルタリングポリシーは、関連度Dに分類されたゲートノードも含めて配布しても構わない他、関連度に応じて異なるフィルタリングポリシーを生成・配布しても、共通のフィルタリングポリシーを生成・配布しても構わない。
(A−3−2)通信アクティビティ識別による追跡方法(追跡技術)
次に、通信アクティビティの詳細と、同一攻撃に係る通信アクティビティや攻撃検知などを識別し攻撃の通過ルートなどを把握する追跡方法について説明する。
次に、通信アクティビティの詳細と、同一攻撃に係る通信アクティビティや攻撃検知などを識別し攻撃の通過ルートなどを把握する追跡方法について説明する。
なお、従来技術においては、通信コネクションの存在のみか、あるいは、データ転送量(トラフィック量)のみを計測し、それらを蓄積し、攻撃検知時の追跡調査を手動で行うようになされていた。
(A−3−2−1)アクセス状況(通信アクティビティ)モデルの定義
実施形態において、通信アクティビティの発生とは、図12に示すように、ネットワーク上の観測点において、コネクションが開設されたことや、無活動の状態から何らかのトラフィックを観測したことや、パケットの通過を検出したことを言う。
実施形態において、通信アクティビティの発生とは、図12に示すように、ネットワーク上の観測点において、コネクションが開設されたことや、無活動の状態から何らかのトラフィックを観測したことや、パケットの通過を検出したことを言う。
また、通信アクティビティの消滅とは、図12に示すように、ネットワーク上のある観測点において、コネクションが切断されたことや、発生を観測したトラフィックが一定時間観測されなかったことを言う。
通信アクティビティ発生後は、トラフィックを観測したノードにおいて、通信アクティビティによって通信状態を管理する。
この実施形態は、コネクション型(コネクションオリエンテッド型)もコネクションレス型のネットワークも対象としており、また、プロトコルレイヤによって、コネクション型及びコネクションレス型が異なる通信形態も対象としており、従って、以下のような定義によって、通信アクティビティを管理する。
(A−3−2−2)通信アクティビティの定義
通信アクティビティとは、広域イントラネットへのアクセス状況に関する情報であり、アクティビティ端点、プロトコル種別及び検出時刻から成る情報である(これにアクティビティタイプ及びアクティビティ状態を加えても構わない)。ここで、アクティビティ端点、プロトコル種別、検出時刻、アクティビティタイプ及びアクティビティ状態を総称してアクティビティ属性と呼ぶ。
通信アクティビティとは、広域イントラネットへのアクセス状況に関する情報であり、アクティビティ端点、プロトコル種別及び検出時刻から成る情報である(これにアクティビティタイプ及びアクティビティ状態を加えても構わない)。ここで、アクティビティ端点、プロトコル種別、検出時刻、アクティビティタイプ及びアクティビティ状態を総称してアクティビティ属性と呼ぶ。
アクティビティ端点に関する情報とは、発生した通信の端点のアドレスに関する情報であり、アクセス元やアクセス先に関する、ソースIPアドレスや、ソースポート番号、ディスティネーションIPアドレス、ディスティネーションポート番号等を利用する。
プロトコル種別とは、当該トラフィックの通信で適用されている通信プロトコルの種類に関する情報であり、例えば、IANA番号を利用する。
アクティビティタイプとは、コネクション型か、コネクションレスのリプライ(Reply)型か、コネクションレス片方向型(完全コネクションレス型)か等の、端点間のコネクションのタイプに関する情報であり、通信アクティビティの監視を考慮して、コネクションレス型として上記2種類を扱うことにしている。
アクティビティ状態とは、コネクションの状態に関する情報であり、(i)コネクション型(TCP)のコネクション状態(例えば、確立、確立中、切断、切断中)、(ii)コネクションレス型のリプライ状態(例えば、応答の返信状態、無応答状態)、(iii)コネクションレス型の一方向通信状態(例えば、無応答)、等の状態の種類を扱うことにしている。
検出時刻とは、アクティビティモニタが以上の情報を検出した時刻に関する情報である。
以上では、プロトコルレイヤ3、4の情報をアクティビティ属性の情報とする例を示したが、他のプロトコルレイヤの情報などを、アクティビティ属性の情報に含めるようにしても良い。言い換えると、中央監視センタが収集し管理する任意のプロトコルレイヤの情報であっても良い。
(A−3−2−3)通信アクティビティの重ね合わせ分析
侵入経路解析システム(図2の1A−2)が、不正アクセス検知システム(図2の11)からの警報に応じて、検出時刻が同一若しくは所定時間内の通信アクティビティから、プロトコル種別が一致し、かつ、アクセス元・アクセス先の情報とアクティビティ端点が一致する通信アクティビティを抽出し、その通信アクティビティが通過したゲートノードを特定することを、通信アクティビティの重ね合わせ分析と呼ぶ。
侵入経路解析システム(図2の1A−2)が、不正アクセス検知システム(図2の11)からの警報に応じて、検出時刻が同一若しくは所定時間内の通信アクティビティから、プロトコル種別が一致し、かつ、アクセス元・アクセス先の情報とアクティビティ端点が一致する通信アクティビティを抽出し、その通信アクティビティが通過したゲートノードを特定することを、通信アクティビティの重ね合わせ分析と呼ぶ。
図13に示すように、各拠点に配置されたアクティビティモニタ10が得た通信アクティビティは、通信アクティビティ監視システム(図2の1A−1)に送信され、中央監視センタ内のデータ蓄積システム1A−4に、送信元となったアクティビティモニタ10を特定する情報(IPアドレス等)と関連付けて蓄積する(又は、ゲートノードを特定する情報(IPアドレス等)と関連付けて蓄積する)。そして、不正アクセス検知システム(図2の11)からの警報に基づいて、侵入経路解析システム(図2の1A−2)は、通信アクティビティを重ね合わせ分析することによって警報と関わりのある通信アクティビティが通過したゲートノードを特定する。侵入経路解析システムは、データ蓄積システムに予め記憶した、監視対象内のゲートノードの配置とそれらの接続に関するネットワーク地図情報(いわゆるネットワーク構成マップ)を参照し、特定したゲートノードをネットワーク地図情報上に反映させ、それらを繋ぎ合わせてパスPを特定し、管理対象ネットワーク上の侵入経路を示すアクティビティマップを作成する。
尚、アクティビティモニタを特定する情報から、その拠点に配置されたゲートノードを特定する場合、データ蓄積システムにこれらを関連付ける情報を予め記憶させる必要がある。
例えば、図14に示すように、拠点A1/GN、A2/GN、A5/GNからの通信アクティビティを重ね合わせ分析し、ネットワーク地図情報上に反映させ、それらを繋ぎ合わせたマップ上の軌跡であるパスPを上書きしてアクティビティマップ(図14)を作成する。
なお、通信アクティビティを中央監視センタに通知するためのプロトコルなどは、任意であって良く、通信専用線を適用するものであっても良い。また、動的ルーティングを採用しているパケットなどに関して、属性定義によって同一通信アクティビティと識別できるならば、その複数のパスを全てアクティビティマップに書き込むようにしても良い。
(A−3−2−4)攻撃元の追跡
侵入経路解析システム(図2の1A−2)は、アクティビティマップを作成した後に、不正アクセスとみなされた通信アクティビティを通過させたゲートノードの中から、ゲートノードの配置に基づき、ネットワークの境界に位置するゲートノード(以下エッジノードと呼ぶ)を抽出し(エッジノードの判定と呼ぶ)、アクティビティマップへ反映させる。
侵入経路解析システム(図2の1A−2)は、アクティビティマップを作成した後に、不正アクセスとみなされた通信アクティビティを通過させたゲートノードの中から、ゲートノードの配置に基づき、ネットワークの境界に位置するゲートノード(以下エッジノードと呼ぶ)を抽出し(エッジノードの判定と呼ぶ)、アクティビティマップへ反映させる。
例えば、図14のアクティビティマップの例において、拠点A5/GNに配置された不正アクセス検知システム(IDS)11が不正を検知し、その不正アクセス検知システム11からの警報を元に、図示しない中央監視センタの侵入経路解析システムが、アクティビティマップを作成し、拠点A1/GNにおける外部ネットワークとの境界に位置するゲートノードがエッジノードENであると判定しアクティビティマップに反映させる。
尚、侵入経路解析システムは、侵入経路の解析結果として、特定したゲートノード及びエッジノードを特定する情報(IPアドレス等)を通知する。
また、同一の攻撃に対し、複数の不正アクセス検知システムが反応した場合、同一のエッジノードを解析する処理が複数生成されるが、例えば、通信アクティビティの属性情報を適宜利用しながら、複数の不正アクセス検知システムからの最初の警報に基づいたエッジノードの判定処理だけを実行させるようにし、エッジノードの判定が並行して実行されることを抑止するようにしても良い。
(A−3−3)ポリシー生成(防護ポリシー管理技術)
次に、ゲートノードに配布するためのフィルタリングポリシーや他の防護ポリシーの生成方法や管理方法などについて説明する。
次に、ゲートノードに配布するためのフィルタリングポリシーや他の防護ポリシーの生成方法や管理方法などについて説明する。
(A−3−3−1)ポリシー表記方法
防護ポリシーの表記方法は、図15に示すように、ポリシーID、発効日時、ポリシー有効期限、ポリシータイプ(ポリシー種別)、ポリシー端点、アクション種別、ポリシー適用タイプ、対抗攻撃参照ID、ポリシー認証カード、拡張情報などを情報の構成要素としており、防護ポリシーの種類によって一部内容が異なることがある。尚、ポリシー認証カードはオプションとして付加するものであり必須ではない。
防護ポリシーの表記方法は、図15に示すように、ポリシーID、発効日時、ポリシー有効期限、ポリシータイプ(ポリシー種別)、ポリシー端点、アクション種別、ポリシー適用タイプ、対抗攻撃参照ID、ポリシー認証カード、拡張情報などを情報の構成要素としており、防護ポリシーの種類によって一部内容が異なることがある。尚、ポリシー認証カードはオプションとして付加するものであり必須ではない。
ポリシーID(No)には、防護ポリシーの識別情報(識別番号)が挿入される。ポリシーIDは、防護ポリシーの生成元などが任意に定めて良いものであるが、汎用防護ポリシーか個別防護ポリシーかを区別できる情報を盛り込むことが好ましい。
ポリシー発効日時には、当該防護ポリシーが有効となるタイムスタンプが挿入される。
ポリシー有効期限には、当該防護ポリシーが、有効期限が無期限である無期限防護ポリシーか、有限である場合には、その期限(タイムスタンプ)が挿入される。
ポリシータイプ(ポリシー種別)には、当該防護ポリシーが、フィルタリング(Filtering)ポリシーか、追跡(Tracking)ポリシーか、警戒(Scanning)ポリシーか、攻撃(Offensive)ポリシーかを表す情報が挿入される。
ポリシー端点には、防護ポリシーの適用対象となるアクセスに関する、通信アクティビティのアクセス元の情報である送信元IPアドレス(発IPアドレス)や、アクセス先の情報である宛先IPアドレス(着IPアドレス)や、通信プロトコルのプロトコル種別が挿入される。
アクション種別には、ポリシー端点において条件を特定したアクセスに対するアクセス制御を定めるものとし、アクセス拒否(Refuse)、アクセス無視(Drop)、アクセス許可(Accept)、ネットワーク切断(NetworkClose)、以前の防護ポリシー解除(PolicyOff)、検出通知条件の変更(Configure Indication)などのアクションの種類情報が挿入される。
ポリシー適用タイプには、当該防護ポリシーの適用先(例えばフィルタリングポリシーをどのゲートノードへ適用すべきか等)を指定する情報が挿入される。この指定には、例えば、当該広域イントラネット又は警戒ドメイン内の全てのゲートノードという指定も可能とする。
対抗攻撃参照IDには、CVE番号、CERT番号など、情報提供機関が規定する対抗攻撃の参照番号が挿入される。
ポリシー認証カードには、偽造防止のために、当該防護ポリシーを発行したサイバーテロ警戒センタ(図1の3参照)や中央監視センタ(図1の1A〜1C参照)の認証証明書が挿入される。
拡張領域には、必要に応じて、各種防護ポリシーに固有の情報が挿入される。
なお、ポリシーの表記のためのコード体系やエンコード方法は問われない。また、防護ポリシーの要素として、当該防護ポリシーの配布先(例えばフィルタリングポリシーが与えられるべき、ゲートノードのタイプ等)など他の要素を、図15に示した要素に代え、又は、図15に示した要素に加え、設けるようにしても良い。
(A−3−3−3)防護ポリシーのタイプ
防護ポリシーとしては、フィルタリングポリシー、追跡ポリシー、警戒ポリシー、攻撃ポリシーなどがある。
防護ポリシーとしては、フィルタリングポリシー、追跡ポリシー、警戒ポリシー、攻撃ポリシーなどがある。
フィルタリングポリシーは、攻撃を回避する目的で適用するアクセス制御ルールである。
追跡ポリシーは、他の管理ドメインにおいても不正アクセスに関する侵入経路を解析し、攻撃が行われた経路を追跡するための追跡ルールである。追跡ルールには、エッジノードにおいて収集された通信アクティビティを使用する。
警戒ポリシーは、アミを張って警戒するためのものであり、将来攻撃元となり得る警戒対象(サーバー等)のIPアドレス、攻撃能力を抽出するためのルールである。ルールは、警戒する対象に関するスキャニングパターンを示している。警戒ポリシーは、サイバーテロ警戒センタにおいて、生成すると共に、スキャニングパターンからスキャニング用パケットを生成し警戒対象に送信しその応答を監視するために用いられる。
攻撃ポリシーは、攻撃元が判明している場合の逆攻撃(Counter Attack)ルール(短時間の攻撃)である。なお、攻撃ポリシーを適用するためには、攻撃ポリシーに従った攻撃機能(攻撃ツールなど)が搭載されたサーバを設ける必要がある。
尚、上記各ポリシーの構成については(A−3−4−2)項の各ポリシー構成にて説明する。
(A−3−3−4)防護ポリシーの矛盾検出
この実施形態の場合、解除ポリシーに該当する防護ポリシーが存在しない。そのため、各ゲートノードなどは、ポリシー有効期限を遵守し、例えば、ポリシー有効期限経過時点で防護ポリシーを解除する。
この実施形態の場合、解除ポリシーに該当する防護ポリシーが存在しない。そのため、各ゲートノードなどは、ポリシー有効期限を遵守し、例えば、ポリシー有効期限経過時点で防護ポリシーを解除する。
同一防護ポリシーの重複を検出したときには、各拠点などは、いずれか一方のみを有効とする。同一ではないが、例えば、ポリシー有効期限だけが異なっていたり、適用されるゲートノードの範囲だけが異なっていたり、複数の防護ポリシー間に情報の包含関係がある場合には、狭い範囲の防護ポリシーを優先させても良く、逆に、広い範囲の防護ポリシーを優先させても良く、また、ポリシー種別によって、優先させる防護ポリシーを変えるようにしても良い。
防護ポリシーに認証情報が存在しないか、認証情報が無効の場合には、その防護ポリシーを無効として扱っても良く、認証情報が不存在又は無効でも、その防護ポリシーを有効なものと扱うようにしても良い。
(A−3−4)個別防護ポリシー/汎用防護ポリシーの変換
次に、中央監視センタで実行される個別防護ポリシー及び汎用防護ポリシー間の変換について説明する。
次に、中央監視センタで実行される個別防護ポリシー及び汎用防護ポリシー間の変換について説明する。
(A−3−4−1)個別防護ポリシーと汎用防護ポリシー
上述した図15に示したように、防護ポリシーの情報要素は、ポリシーID、発効日時、ポリシー有効期限、ポリシータイプ、ポリシー端点、アクション種別、ポリシー適用タイプ、対抗攻撃参照ID、ポリシー認証カードなどである。
上述した図15に示したように、防護ポリシーの情報要素は、ポリシーID、発効日時、ポリシー有効期限、ポリシータイプ、ポリシー端点、アクション種別、ポリシー適用タイプ、対抗攻撃参照ID、ポリシー認証カードなどである。
個別防護ポリシーは、図15に示した全ての防護ポリシー情報要素を含み、各中央監視センタから、管理対象のゲートノードへ配布されるべき情報である。すなわち、個別防護ポリシーは、当該システムの個別情報(発/着IPアドレス等)も含んだ防護ポリシー情報である。
汎用防護ポリシーは、図16に示すように、防護ポリシーの情報要素の中から、ポリシー端点の宛先IPアドレス(着IPアドレス)、発効日時、ポリシー適用タイプを除外(マスク)した防護ポリシー情報である。
すなわち、個別防護ポリシーから汎用防護ポリシーへの変換では、図16に示したマスク要素を除外すれば良く、これは、サイバーテロ警戒センタにおいて行なわれる。
逆に、汎用防護ポリシーから個別防護ポリシーへの変換では、上記マスク要素を追加すれば良く中央監視センタ(図1の1B参照)において行なわれる。発効日時には、例えば、中央監視センタが個別防護ポリシーへ変換した日時を挿入しても良い。ポリシー適用タイプには、例えば、その広域イントラネットにおいて、当該防護ポリシーの配布対象となるゲートノードのIDを挿入する。ポリシー端点の宛先IPアドレス(着IPアドレス)には、例えば、当該広域イントラネットについて予め定まっているデフォルト値を挿入する。
(A−3−4−2)各防護ポリシー構成
図17は、防護ポリシーの種類によるポリシー要素(や個別防護ポリシーと汎用防護ポリシー)の相違などを示す説明図である。
図17は、防護ポリシーの種類によるポリシー要素(や個別防護ポリシーと汎用防護ポリシー)の相違などを示す説明図である。
フィルタリングポリシーは、攻撃回避のための防護ポリシー情報であり、図17(A)に示す通り、ポリシーID、発効日時、ポリシー有効期限、ポリシータイプ、ポリシー端点、アクション種別、ポリシー適用タイプ、対抗攻撃参照ID、ポリシー認証カードから構成される(ポリシー認証カードはオプション)。また、フィルタリングポリシーの汎用ポリシーは、図17(A)に示すように、発効日時、ポリシー端点の着IPアドレス、ポリシー適用タイプがマスクされる(協調型アクティビティ追跡においては、発行日時、ポリシー端点の着IPアドレスがマスクされる)。
追跡ポリシーは、「通信アクティビティXを捜索範囲内で捜索する」ための防護ポリシー情報であり、図17(B)に示す通り、ポリシーID、発効日時、ポリシー有効期限、ポリシータイプ、ポリシー適用タイプ、対抗攻撃参照ID、ポリシー認証カード、拡張領域から構成される(ポリシー認証カードはオプション)。追跡ポリシーに対し、サイバーテロ警戒センタや中央監視センタは、管理する範囲内で当該通信アクティビティを観測したゲートノードの情報を要求元に応答する。そのため、拡張領域にはエッジノードにおいて収集された通信アクティビティXが設けられている。また、追跡ポリシーの汎用ポリシーは、図17(B)に示す通りである。
警戒ポリシーは、警戒条件のための防護ポリシーである。そのため、図17(C)に示すように、拡張領域には、警戒条件を明示するために警戒対象のIPアドレスが設けられている。警戒ポリシーの汎用ポリシーは、図17(C)に示す通りである。
攻撃ポリシーは、「Xに対してYを行い、攻撃(反撃)する」ための防護ポリシーである。そのため、図17(D)に示すように、拡張領域には、攻撃条件が設けられている。攻撃ポリシーの汎用ポリシーは、図17(D)に示す通りである。
なお、異なる警戒ドメインへ転送される、アクティビティ協調追跡のための警戒ポリシー(汎用ポリシー)の構成は、上述した通りのものであっても良く、上記要素に、アクティビティ協調追跡のための警戒ポリシーであることなどの情報を盛り込む要素などが設けられたものであっても良い。
(A−3−5)協調型アクティビティ追跡機能の詳細説明
図8は、協調型警戒システムにおける協調型アクティビティ追跡機能のイメージを示している。なお、図8において、図1との同一、対応部分には同一、対応符号を付して示している。
図8は、協調型警戒システムにおける協調型アクティビティ追跡機能のイメージを示している。なお、図8において、図1との同一、対応部分には同一、対応符号を付して示している。
サイバーテロ警戒センタ3(図1)が管理する警戒ドメインに属する管理ドメインA、B(図8では、それぞれ広域イントラネットA、Bで示される楕円部分に相当)がそれぞれ、中央監視センタ1A、1Bで管理されているものとする。管理ドメインA、Bにおいては、中央監視センタ1A、1Bについて上述した5つの機能、(1)通信アクティビティの収集・監視、(2)ハイブリッド型IDS監視に基づく処理、(3)侵入経路解析、(4)防護ポリシー(個別防護ポリシー)生成・配布、(5)汎用防護ポリシーの個別変換が動作するものとする。
サイバーテロ警戒センタ3は、警戒ドメイン内の協調型アクティビティ追跡機能を、以下の3個の手段(図8のサイバーテロ警戒センタ3内の丸付数字1〜丸付数字3の部分)で実現する。
なお、警戒ドメイン内の管理ドメイン相互で協調連携し合い、通信アクティビティを追跡する様子が想像できることから、協調型アクティビティ追跡機能と呼ぶ。
(1)汎用追跡ポリシーの生成・配布
警戒ドメインに属する中央監視センタ1A(図8)では、不正アクセス検知システムからの不正アクセス検知(丸付数字2)に関する警報に基づき、侵入経路を解析(丸付数字3)し、フィルタリングポリシーを生成し、ゲートノードに配布(丸付数字4)する。この際、防護ポリシー管理システムにおいて、追跡ポリシーを生成し侵入経路解析結果、フィルタリングポリシーと共にサイバーテロ警戒センタ3に配布する。
警戒ドメインに属する中央監視センタ1A(図8)では、不正アクセス検知システムからの不正アクセス検知(丸付数字2)に関する警報に基づき、侵入経路を解析(丸付数字3)し、フィルタリングポリシーを生成し、ゲートノードに配布(丸付数字4)する。この際、防護ポリシー管理システムにおいて、追跡ポリシーを生成し侵入経路解析結果、フィルタリングポリシーと共にサイバーテロ警戒センタ3に配布する。
追跡ポリシーは、警報に関する管理ドメインA内のエッジノードにおいて収集された通信アクティビティを持ち、これを受信したサイバーテロ警戒センタは、情報を蓄積すると共に、汎用追跡ポリシーを生成し、中央監視センタ1Bに配布する。
(2)アクティビティマップ作成
汎用追跡ポリシーを受信した中央監視センタ1Bの防護ポリシー管理システムは、侵入経路解析システムに、汎用追跡ポリシーに基づく侵入経路の解析を指示する。侵入経路解析システムは、汎用追跡ポリシーで指示された通信アクティビティのアクティビティ端点、プロトコル種別と検出時刻を元に、データ蓄積システムを参照し、これらが合致する通信アクティビティの抽出を試みる(検出時刻については同一若しくは所定時間以内のものを抽出する)。そして、通信アクティビティが抽出できた場合には、抽出した通信アクティビティを収集したアクティビティモニタが配置された拠点のゲートノードを特定すると共にエッジノードを特定する。防護ポリシー管理システムは、侵入経路解析システムから該当する通信アクティビティの有無と、有の場合には解析結果(抽出したゲートノードとエッジノードを特定する情報)の通知を受けると、これらを追跡ポリシー応答として、サイバーテロ警戒センタに通知する。
汎用追跡ポリシーを受信した中央監視センタ1Bの防護ポリシー管理システムは、侵入経路解析システムに、汎用追跡ポリシーに基づく侵入経路の解析を指示する。侵入経路解析システムは、汎用追跡ポリシーで指示された通信アクティビティのアクティビティ端点、プロトコル種別と検出時刻を元に、データ蓄積システムを参照し、これらが合致する通信アクティビティの抽出を試みる(検出時刻については同一若しくは所定時間以内のものを抽出する)。そして、通信アクティビティが抽出できた場合には、抽出した通信アクティビティを収集したアクティビティモニタが配置された拠点のゲートノードを特定すると共にエッジノードを特定する。防護ポリシー管理システムは、侵入経路解析システムから該当する通信アクティビティの有無と、有の場合には解析結果(抽出したゲートノードとエッジノードを特定する情報)の通知を受けると、これらを追跡ポリシー応答として、サイバーテロ警戒センタに通知する。
追跡ポリシー応答では、汎用追跡ポリシーで指示された当該通信アクティビティが管理ドメインB内に存在した場合は、管理ドメインAで検知された攻撃が管理ドメインB内も経路として通過したことを示しており、追跡が成功したことを意味する。当該通信アクティビティが管理ドメインB内に存在しなかった場合は、管理ドメインBを経路として通過していないため、追跡不能であることを意味する。
サイバーテロ警戒センタ3では、中央監視センタ1Aから受信した侵入経路解析結果と、中央監視センタ1Bから受信した追跡ポリシー応答とを、予め記憶させた、自警戒ドメイン内のゲートノードの配置とそれらの接続に関するネットワーク地図情報上に反映させ、アクティビティマップを作成し、これを元にエッジノードを抽出しアクティビティマップに反映させる。
仮に当該攻撃の通信アクティビティが、管理ドメインBを上流側の経路として通過した場合、管理ドメインB上の通過点(管理ドメインB内の該当するゲートノード)に対する閉鎖等のアクセス制御を適用することが、管理ドメインA内でアクセス制御を適用するよりも、被害の最小化という意味で有効である。すなわち、ある攻撃が検知された場合、管理ドメインや警戒ドメイン全体から見た被害の最少化を目的とした防御のためには、より攻撃の上流となった通過点(図8では、管理ドメインB上のB2/GNで示されるゲートノード)でアクセス制御する方が、管理ドメインA以外の他の管理ドメインへの波及を防ぐという意味で有効である。
(3)フィルタリングポリシー生成・配布
アクティビティマップの作成により、警戒ドメイン内の最も上流に位置する当該攻撃の通過点(エッジノード)が、攻撃を検知した管理ドメイン以外の管理ドメイン内で割り出せた場合、サイバーテロ警戒センタ3は追跡に成功した管理ドメイン(図8では、管理ドメインB)に対する汎用フィルタリングポリシーを生成し、配布する。
アクティビティマップの作成により、警戒ドメイン内の最も上流に位置する当該攻撃の通過点(エッジノード)が、攻撃を検知した管理ドメイン以外の管理ドメイン内で割り出せた場合、サイバーテロ警戒センタ3は追跡に成功した管理ドメイン(図8では、管理ドメインB)に対する汎用フィルタリングポリシーを生成し、配布する。
また、同時に追跡ポリシーの送付元(中央監視センタA)に対しては、追跡が成功したか否かの追跡結果を通知する。
汎用フィルタリングポリシーの生成・配布では、管理ドメインAで使用したフィルタリングポリシー(個別フィルタリングポリシー)から個別の(管理ドメインA内の)ゲートノードのアドレス等は除去された汎用フィルタリングポリシーが生成されており、中央監視センタ1Bでは、管理ドメインB上の個別のゲートノードのアドレス情報を付加するなど個別変換を行い、ゲートノード(図8では、B2/GN)へ配布される。ゲートノードB2/GNでは、フィルタリングポリシー(個別フィルタリングポリシー)で指示されたアクセス制御を適用し、閉鎖等の処置を施す。
(A−3−6)協調型アクティビティ追跡によるDDoS攻撃防御(DDoS攻撃に対する協調型ポリシー情報の授受技術)
次に、協調型アクティビティ追跡によるDDoS攻撃の防御方法、言い換えると、DDoS攻撃に対する協調型ポリシー情報の授受技術について説明する。
次に、協調型アクティビティ追跡によるDDoS攻撃の防御方法、言い換えると、DDoS攻撃に対する協調型ポリシー情報の授受技術について説明する。
(A−3−6−1)典型的なDDoS攻撃の攻撃モデル
典型的なDDoS攻撃ソフトウェアとして知られるTrinoo、TFNなどの攻撃モデルは、図18に示すように、クライアント50、マスタ51及び多数のデーモン52から構成された階層型の攻撃体制で構成される。
典型的なDDoS攻撃ソフトウェアとして知られるTrinoo、TFNなどの攻撃モデルは、図18に示すように、クライアント50、マスタ51及び多数のデーモン52から構成された階層型の攻撃体制で構成される。
(A−3−6−2)警戒ドメイン内のエッジノード解析
図19に示すように、管理ドメイン(中央監視センタ)A、B、C間で通信アクティビティを授受し合う動作によって、警戒ドメイン内のエッジノード(侵入ポイント;Ingress Point)を解析し、そのエッジノードに対してフィルタリングポリシーを配布する。侵入経路解析では、被害ネットワーク(管理ドメイン)から最も遠くに位置するネットワーク及びそのエッジノードを検出する。
図19に示すように、管理ドメイン(中央監視センタ)A、B、C間で通信アクティビティを授受し合う動作によって、警戒ドメイン内のエッジノード(侵入ポイント;Ingress Point)を解析し、そのエッジノードに対してフィルタリングポリシーを配布する。侵入経路解析では、被害ネットワーク(管理ドメイン)から最も遠くに位置するネットワーク及びそのエッジノードを検出する。
図19の例は、管理ドメイン(中央監視センタ)A、B、C間の通信アクティビティの授受によって、中央監視センタ1AがDDoS攻撃のエッジノードを解析して、サイバーテロ警戒センタ3にフィルタリングポリシーを与え、サイバーテロ警戒センタ3が、それを汎用フィルタリングポリシーに変換し、各中央監視センタ1B、1Cに与えて、エッジノードに対してフィルタリングを実行させる場合を示している。
(A−3−6−3)警戒ドメイン間のエッジノード追跡
図20に示すように、警戒ドメイン(サイバーテロ警戒センタ)間で通信アクティビティを授受し合う協調動作によって警戒ドメイン間でエッジノードを追跡し、フィルタリングポリシーの適用を行う。
図20に示すように、警戒ドメイン(サイバーテロ警戒センタ)間で通信アクティビティを授受し合う協調動作によって警戒ドメイン間でエッジノードを追跡し、フィルタリングポリシーの適用を行う。
図20の例は、警戒ドメイン(サイバーテロ警戒センタ)A、B間の通信アクティビティの授受によって、警戒ドメインA内の管理ドメインAにおけるDDoS攻撃の侵入ポイントを検出してエッジノードを追跡し、サイバーテロ警戒センタ3Bが配下の中央監視センタ1Bによって、エッジノードに対してフィルタリングポリシーを実行させる場合を示している。
(A−3−7)協調型ポリシー授受プロトコル(協調型ポリシー情報の授受技術)
次に、実施形態での協調型ポリシー授受プロトコル、言い換えると、協調型ポリシー情報の授受技術の概要について説明する。
次に、実施形態での協調型ポリシー授受プロトコル、言い換えると、協調型ポリシー情報の授受技術の概要について説明する。
(A−3−7−1)基本シーケンス(アラート(Alert)系)
図21は、アラート(警報)系の授受に関する基本シーケンスの一例を示すものである。
図21は、アラート(警報)系の授受に関する基本シーケンスの一例を示すものである。
中央監視センタ1及びゲートノード12間や、サイバーテロ警戒センタ3及び中央監視センタ1間では、セッションを開設し、認証を行い、情報授受のためのキー(Key)を交換する(T1、T2)。
ゲートノード12が配置された拠点の不正アクセス検知システム11は、その後、規定フォーマットに従っているアラート(警報)メッセージを中央監視センタ1に与える(T3)。
それを有効に受信した中央監視センタ1はアクノリッジ(Ack)をゲートノード12に返信すると共に(T4)、サイバーテロ警戒センタ3に対しては、規定フォーマットに従っているアラート(警報)メッセージを与える(T5)。
それを有効に受信したサイバーテロ警戒センタ3はアクノリッジ(Ack)を中央監視センタ1に返信する(T6)。アラートメッセージに対するアクノリッジを受領した中央監視センタ1は、配送を伝える個別防護ポリシー(Delivery Original Policy)をゲートノード12に送信し(T7)、それに対するゲートノード12からのアクノリッジ(Ack)を待って(T8)、配送を伝える個別防護ポリシーをサイバーテロ警戒センタ3に送信する(T9)。サイバーテロ警戒センタ3は、その防護ポリシーの有効な受信に対してアクノリッジ(Ack)を中央監視センタ1に返信する(T10)。
その後、中央監視センタ1及びゲートノード12間のセッションや、サイバーテロ警戒センタ3及び中央監視センタ1間のセッションの切断処理が実行される(T11、T12)。
サイバーテロ警戒センタ3及び他のサイバーテロ警戒センタ3x間では、セッションを開設し、認証を行い、情報授受のためのキー(Key)を交換すると(T13)、直ちに、サイバーテロ警戒センタ3が、配送を伝える汎用防護ポリシー(Delivery General Policy)を他のサイバーテロ警戒センタ3xに送信し(T14)、他のサイバーテロ警戒センタ3xは、その防護ポリシーの有効な受信に対してアクノリッジ(Ack)をサイバーテロ警戒センタ3に返信する(T15)。
その後、サイバーテロ警戒センタ3及び他のサイバーテロ警戒センタ3x間のセッションの切断処理が実行される(T16)。
以上のようにして、防護ポリシー情報を、サイバーテロ警戒センタ3及び中央監視センタ1間やサイバーテロ警戒センタ3及び他のサイバーテロ警戒センタ3x間などで授受し合う(転送する)ことができる。上記図21に示す処理の起動が、他のサイバーテロ警戒センタ3x配下の中央監視センタの管理下にあるゲートノードのことも当然あり得る。
(A−3−7−2)アラート系情報項目
図21で上述したようなシーケンスで授受されるアラート系情報の項目としては、(1)メッセージ−ID、(2)検出イベント(攻撃の危険レベル、攻撃名、攻撃のアクセス元とアクセス先の情報、攻撃のプロトコル種別等)、(3)検知時刻、(4)検出履歴(検出回数など)、(5)検出元のゲートノードや不正アクセス検知システム(IDS)の識別情報などを挙げることができる。
図21で上述したようなシーケンスで授受されるアラート系情報の項目としては、(1)メッセージ−ID、(2)検出イベント(攻撃の危険レベル、攻撃名、攻撃のアクセス元とアクセス先の情報、攻撃のプロトコル種別等)、(3)検知時刻、(4)検出履歴(検出回数など)、(5)検出元のゲートノードや不正アクセス検知システム(IDS)の識別情報などを挙げることができる。
(A−3−7−3)アクノリッジ(やナック(Nack))情報項目
図21で上述したようなシーケンスで授受されるアクノリッジ(ナックとして機能することもある)の情報項目としては、(1)アクノリッジの対象となるメッセージ−ID、(2)センタ識別又はゲートノード識別情報、(3)理由コードを挙げることができる。
図21で上述したようなシーケンスで授受されるアクノリッジ(ナックとして機能することもある)の情報項目としては、(1)アクノリッジの対象となるメッセージ−ID、(2)センタ識別又はゲートノード識別情報、(3)理由コードを挙げることができる。
(A−3−7−4)クエリー(Query;照会)系情報項目(警戒センタ外サービス)
図21では示していないが、サイバーテロ警戒センタ3、3xは、外部の情報センタ等(警戒センタ外)に攻撃などを照会する(問い合わせる)ことができる他、外部の情報センタ等がサイバーテロ警戒センタ3、3xへ攻撃などを照会することができる。
図21では示していないが、サイバーテロ警戒センタ3、3xは、外部の情報センタ等(警戒センタ外)に攻撃などを照会する(問い合わせる)ことができる他、外部の情報センタ等がサイバーテロ警戒センタ3、3xへ攻撃などを照会することができる。
その際のシーケンスは、図示は省略するが、サイバーテロ警戒センタ3、3xが外部の情報センタ等に照会する場合は、サイバーテロ警戒センタ3、3xと外部の情報センタ等とのセッション確立(認証、キー交換を含む)、外部の情報センタ等への問合せ用のクエリー系情報の送信、サイバーテロ警戒センタ3、3xへの返信、セッションの切断などである。また、外部の情報センタ等がサイバーテロ警戒センタ3,3xに照会する場合は、サイバーテロ警戒センタ3、3xと外部の情報センタ等とのセッション確立(認証、キー交換を含む)、サイバーテロ警戒センタ3への問合せ用のクエリー系情報の送信、外部の情報センタ等への返信、セッションの切断などである。
このようなシーケンスで用いられるクエリー系情報の項目としては、(1)メッセージ−ID、(2)クエリータイプ(問合せ種別;検索、所在問合せ等)、(3)検索結果、所在情報(ダウンロード可能なURL等)などを挙げることができる。
(A−4)実施形態の効果
上記実施形態によれば、以下の効果を奏することができる。
上記実施形態によれば、以下の効果を奏することができる。
単一の広域イントラネット内の各拠点においてアクセス制御に関するセキュリティ管理を実施することができる。
管理ドメインの異なる複数の広域イントラネット間でインシデント情報と防護ポリシー(アクセス制御に関するポリシー)とを授受し合い、複数の広域イントラネット間を跨ってアクセス制御に関するセキュリティ管理を実施することができる。
また、複数の警戒ドメイン間でアクセス制御に関するセキュリティ管理を実施することができる。ここで、階層型のセキュリティ管理において、防護ポリシー情報を共有することができる。
さらに、同一警戒ドメイン内の複数の広域イントラネット間で、常に最新のインシデント情報に基づいたアクセス制御に関するセキュリティ管理を実施することができる。
さらにまた、情報センタからの情報を活用して汎用防護ポリシーを生成し、サイバーテロ警戒センタ間で授受し合うことによって、異なる警戒ドメイン間で常に最新のインシデント情報に基づいたアクセス制御に関するセキュリティ管理を実施することができる。
また、複数の中央監視センタ及びサイバーテロ警戒センタ間の授受情報に通信アクティビティを付加することなどによって、ある広域イントラネット防護システムで観測された攻撃が別の広域イントラネット防護システム内を経由している場合でも、その攻撃の発信源を追跡することができる。
同様に、複数のサイバーテロ警戒センタ間で授受し合う情報に、通信アクティビティを含めることによって、複数の異なる警戒ドメイン間に跨る攻撃の発信源を追跡することができる。
同一の中央監視センタ配下の拠点間の通信アクティビティを重ね合わせ分析することにより、複数の異なる拠点間に跨る攻撃の発信源を追跡することができる。
不正検出方式の不正侵入検知装置と異常検知方式の不正侵入検知装置との直列配置や、不正検出方式の不正侵入検知装置とゲートノードと異常検知方式の不正侵入検知装置との直列配置によって、局所的な観測点において、高度な侵入検知を行うことができる。
局所的な攻撃だけでなく、広域イントラネット全体を利用し、複数のアクセスポイントへの攻撃を組合せて成立するような攻撃を検知することができる。
アクティビティマップを生成することにより、不正侵入した複数のサーバを経由するいわゆる踏み台を使った不正アクセスでも、偽りの発信アドレスを使った不正アクセスでも追跡を行うことができる。
不正アクセスの攻撃を検知した旨の警報情報と通信アクティビティを利用して、広域イントラネット内の各拠点への接続制限を行うアクセス制御ルールを自動生成し、それを各拠点に配置されたゲートノードへ配布することによって、広域イントラネット内のアクセス制御に関するセキュリティ管理技法を提供することができる。
また、フィルタリングポリシー、追跡ポリシー、警戒ポリシー、攻撃ポリシーを用いたセキュリティ管理技法を提供することができる。
協調型追跡技法を用いることにより、DDoS攻撃を、より効果的に防御することができる。
(B)他の実施形態
なお、本発明に係るセキュリティ管理対象である広域ネットワーク(広域イントラネット等)の種類は限定されるものではない。例えば、各管理ドメインを都道府県単位のイントラネットとし、警戒ドメインを全自治体(全国)にするようなシステムに対しても、本発明を適用することができる。
なお、本発明に係るセキュリティ管理対象である広域ネットワーク(広域イントラネット等)の種類は限定されるものではない。例えば、各管理ドメインを都道府県単位のイントラネットとし、警戒ドメインを全自治体(全国)にするようなシステムに対しても、本発明を適用することができる。
1A〜1C…管理ドメインの中央監視センタ、
1A−1…通信アクティビティ監視システム、
1A−2…侵入経路解析システム、
1A−3…防護ポリシー管理システム、
2A〜2C…管理ドメイン、
3、3x…サイバーテロ警戒センタ、
4…情報センタ、
5A〜5C…広域イントラネット防護システム、
10…アクティビティモニタ、
11…不正アクセス検知システム、
12…ゲートノード。
1A−1…通信アクティビティ監視システム、
1A−2…侵入経路解析システム、
1A−3…防護ポリシー管理システム、
2A〜2C…管理ドメイン、
3、3x…サイバーテロ警戒センタ、
4…情報センタ、
5A〜5C…広域イントラネット防護システム、
10…アクティビティモニタ、
11…不正アクセス検知システム、
12…ゲートノード。
Claims (9)
- 外部ネットワークとの接続点を持つ1又は複数の広域ネットワークを階層的にセキュリティ管理する警戒センタを複数有する警戒システムであって、
上記各警戒センタが、他の警戒センタとの間で、不正アクセスを回避するためのアクセス制御ルールを授受し合うアクセス制御ルール授受手段を有し、アクセス制御ルールを共有することを特徴とする警戒システム。 - ある広域ネットワークのアクセス状況である通信アクティビティの情報を、異なる広域ネットワーク間、及び又は、複数の広域ネットワークを対象としている、異なる警戒ドメイン間を跨って通知し、
上記通信アクティビティを追跡対象とすることにより、不正アクセスを受けた被害側のネットワークから見て経路上最も遠くに位置するネットワークと、そのエッジノードを特定化する
ことを特徴とする不正アクセス追跡方法。 - 外部ネットワークとの接続点に設けられた不正アクセス検知システムにおいて、
異常検出方式の第1の侵入検知装置と、不正検出方式の第2の侵入検知装置とを、上記第1の侵入検知装置が上記外部ネットワーク側にくるように直列に接続し、上記第1及び上記第2の侵入検知装置を並行して動作させることを特徴とする不正アクセス検知システム。 - 外部ネットワークとの接続点に設けられた不正アクセス検知システムにおいて、
異常検出方式の第1の侵入検知装置と、アクセス制御を実行するゲートノードと、不正検出方式の第2の侵入検知装置とを、上記第1の侵入検知装置が上記外部ネットワーク側にくるようにこの順に直列に接続したことを特徴とする不正アクセス検知システム。 - 外部ネットワークと複数の接続点を持つ広域ネットワークへの不正アクセスを検知する不正アクセス検知システムであって、
複数の接続点へのアクセスのアクセス元の情報及びアクセス先の情報の異同で定まる関連度や時系列上での同時性に基づき、各接続点における複数のアクセス情報を分類する情報分類手段と、
分類したアクセス情報の関連性を類推し、関連性が高い複数のアクセスが存在したときに、不正アクセスがなされたと判定する不正アクセス判定手段とを備え、
広域ネットワーク内の複数の接続点へのアクセスを組み合わせて、攻撃が成立する広域的攻撃を検知することを特徴とする不正アクセス検知システム。 - ネットワークのいずれかの拠点への不正アクセスの発信源を追跡する不正アクセス追跡方法において、
各拠点におけるアクセス状況である通信アクティビティを抽出し、
複数の拠点で抽出された通信アクティビティを繋ぎ合わせたアクティビティマップを生成し、
不正アクセスに関する警報情報に対応する通信アクティビティを検索し、
検索された通信アクティビティに係る、上記アクティビティマップの軌跡に基づき、侵入経路を検出する
ことを特徴とする不正アクセス追跡方法。 - 広域ネットワークのアクセス制御によるセキュリティ管理方法であって、
不正アクセスを検知した旨の、ある拠点からの警報情報と、各拠点における通信のアクセス状況である通信アクティビティの情報とに基づいて、アクセスを排除する拠点を定め、
当該広域ネットワーク内の各拠点へのアクセスを排除するアクセス制御ルールを生成し、
上記アクセス制御ルールを各拠点のゲートノードへ配布する
ことを特徴とするセキュリティ管理方法。 - 広域ネットワークのアクセス制御によるセキュリティ管理方法であって、
当該広域ネットワーク内の各拠点へのアクセスを排除するアクセス制御ルールを送付する防護処理と、
不正アクセスが加えられた経路を追跡する追跡処理と、
不正アクセスの発信源に向かってネットワーク探索を目的とした逆スキャニングを行う警戒処理と、
不正アクセスの発信源に向かって攻撃情報を送り込む対抗攻撃処理とを含み、
上記各処理での必要情報を、広域ネットワーク内の拠点間、拠点及び広域ネットワーク間で授受する
ことを特徴とするセキュリティ管理方法。 - DDos攻撃などの分散型サービス妨害から防護する攻撃防護方法であって、
広域ネットワーク内の各拠点における通信のアクセス状況である通信アクティビティを、複数の広域ネットワークが属する警戒ドメイン内部で授受し合うと共に、複数の警戒ドメイン間でも授受し合い、
授受し合った通信アクティビティの協調処理により、分散型サービス妨害の発信源を追跡し、
最も被害ネットワークから遠くに位置するネットワークとそのネットワークにおけるエッジノードを特定化してアクセスを排除させる
ことを特徴とする攻撃防護方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007005509A JP2007122749A (ja) | 2002-06-28 | 2007-01-15 | 警戒システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法 |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002190720 | 2002-06-28 | ||
JP2007005509A JP2007122749A (ja) | 2002-06-28 | 2007-01-15 | 警戒システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003184597A Division JP4052983B2 (ja) | 2002-06-28 | 2003-06-27 | 警戒システム及び広域ネットワーク防護システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007122749A true JP2007122749A (ja) | 2007-05-17 |
Family
ID=38146439
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007005509A Pending JP2007122749A (ja) | 2002-06-28 | 2007-01-15 | 警戒システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2007122749A (ja) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010537525A (ja) * | 2007-08-21 | 2010-12-02 | エヌイーシー ヨーロッパ リミテッド | マルチメディアシステムへの攻撃を検知する方法および攻撃検知機能を備えたマルチメディアシステム |
JP2011176434A (ja) * | 2010-02-23 | 2011-09-08 | Nippon Telegr & Teleph Corp <Ntt> | トラヒック量変化検知と連携した原因特定システム、方法、装置、及びプログラム |
JP2014528678A (ja) * | 2011-10-05 | 2014-10-27 | マカフィー, インコーポレイテッド | 悪意あるインターネットホストをトラッキング及びブロッキングするための分散システム及び方法 |
US9800593B2 (en) | 2014-08-04 | 2017-10-24 | Fujitsu Limited | Controller for software defined networking and method of detecting attacker |
JP2018516419A (ja) * | 2015-04-17 | 2018-06-21 | ソルトラ・ソリューションズ・エルエルシー | 標準化されたフォーマットでサイバー脅威情報を安全に配送し交換するコンピュータ化されたシステム |
US10348743B2 (en) | 2015-09-07 | 2019-07-09 | Fujitsu Limited | Identification method and information processing device |
JP2021179660A (ja) * | 2020-05-11 | 2021-11-18 | 株式会社日立ソリューションズ | インシデント情報分析装置、分析方法、および分析プログラム |
CN115174238A (zh) * | 2022-07-12 | 2022-10-11 | 中国电信股份有限公司 | 网络攻击源识别方法及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000124952A (ja) * | 1998-10-15 | 2000-04-28 | Ntt Data Corp | 電子データの追跡方法及びシステム、記録媒体 |
JP2000216780A (ja) * | 1998-05-19 | 2000-08-04 | Hitachi Ltd | ネットワ―ク管理システム |
JP2000259521A (ja) * | 1999-03-10 | 2000-09-22 | Toshiba Corp | ネットワークセキュリティルール管理システム及びネットワークセキュリティルール管理装置 |
JP2001313640A (ja) * | 2000-05-02 | 2001-11-09 | Ntt Data Corp | 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体 |
JP2002334061A (ja) * | 2001-05-08 | 2002-11-22 | Ntt Data Corp | 不正アクセス監視システムおよびそのプログラム |
-
2007
- 2007-01-15 JP JP2007005509A patent/JP2007122749A/ja active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000216780A (ja) * | 1998-05-19 | 2000-08-04 | Hitachi Ltd | ネットワ―ク管理システム |
JP2000124952A (ja) * | 1998-10-15 | 2000-04-28 | Ntt Data Corp | 電子データの追跡方法及びシステム、記録媒体 |
JP2000259521A (ja) * | 1999-03-10 | 2000-09-22 | Toshiba Corp | ネットワークセキュリティルール管理システム及びネットワークセキュリティルール管理装置 |
JP2001313640A (ja) * | 2000-05-02 | 2001-11-09 | Ntt Data Corp | 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体 |
JP2002334061A (ja) * | 2001-05-08 | 2002-11-22 | Ntt Data Corp | 不正アクセス監視システムおよびそのプログラム |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010537525A (ja) * | 2007-08-21 | 2010-12-02 | エヌイーシー ヨーロッパ リミテッド | マルチメディアシステムへの攻撃を検知する方法および攻撃検知機能を備えたマルチメディアシステム |
JP2011176434A (ja) * | 2010-02-23 | 2011-09-08 | Nippon Telegr & Teleph Corp <Ntt> | トラヒック量変化検知と連携した原因特定システム、方法、装置、及びプログラム |
JP2014528678A (ja) * | 2011-10-05 | 2014-10-27 | マカフィー, インコーポレイテッド | 悪意あるインターネットホストをトラッキング及びブロッキングするための分散システム及び方法 |
US9800593B2 (en) | 2014-08-04 | 2017-10-24 | Fujitsu Limited | Controller for software defined networking and method of detecting attacker |
JP2018516419A (ja) * | 2015-04-17 | 2018-06-21 | ソルトラ・ソリューションズ・エルエルシー | 標準化されたフォーマットでサイバー脅威情報を安全に配送し交換するコンピュータ化されたシステム |
US10348743B2 (en) | 2015-09-07 | 2019-07-09 | Fujitsu Limited | Identification method and information processing device |
JP2021179660A (ja) * | 2020-05-11 | 2021-11-18 | 株式会社日立ソリューションズ | インシデント情報分析装置、分析方法、および分析プログラム |
WO2021229910A1 (ja) * | 2020-05-11 | 2021-11-18 | 株式会社日立ソリューションズ | インシデント情報分析装置、分析方法、および分析プログラム |
JP7441719B2 (ja) | 2020-05-11 | 2024-03-01 | 株式会社日立ソリューションズ | インシデント情報分析装置、分析方法、および分析プログラム |
CN115174238A (zh) * | 2022-07-12 | 2022-10-11 | 中国电信股份有限公司 | 网络攻击源识别方法及装置 |
CN115174238B (zh) * | 2022-07-12 | 2024-03-05 | 中国电信股份有限公司 | 网络攻击源识别方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4052983B2 (ja) | 警戒システム及び広域ネットワーク防護システム | |
Karie et al. | IoT threat detection advances, challenges and future directions | |
US6775657B1 (en) | Multilayered intrusion detection system and method | |
CN106411562B (zh) | 一种电力信息网络安全联动防御方法及系统 | |
JP5248612B2 (ja) | 侵入検知の方法およびシステム | |
US7089303B2 (en) | Systems and methods for distributed network protection | |
CN109587174B (zh) | 用于网络防护的协同防御方法和系统 | |
EP1887754B1 (en) | A system that provides early detection, alert, and response to electronic threats | |
Jou et al. | Architecture design of a scalable intrusion detection system for the emerging network infrastructure | |
US7197563B2 (en) | Systems and methods for distributed network protection | |
US8209759B2 (en) | Security incident manager | |
JP2007122749A (ja) | 警戒システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法 | |
KR101217647B1 (ko) | 특정 소스/목적지 ip 어드레스 쌍들에 기초한 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치 | |
Sherif et al. | Intrusion detection: systems and models | |
KR20020062070A (ko) | 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법 | |
CN116827675A (zh) | 一种网络信息安全分析系统 | |
Krishnan et al. | An adaptive distributed intrusion detection system for cloud computing framework | |
JP2004302538A (ja) | ネットワークセキュリティシステム及びネットワークセキュリティ管理方法 | |
Abbas et al. | Subject review: Intrusion Detection System (IDS) and Intrusion Prevention System (IPS) | |
Fakeeh | An overview of DDoS attacks detection and prevention in the cloud | |
JP3609382B2 (ja) | 分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム | |
JP2000354034A (ja) | 事業:ハッカー監視室 | |
Vokorokos et al. | Network security on the intrusion detection system level | |
Benjamin et al. | Protecting IT systems from cyber crime | |
Kishore et al. | Intrusion Detection System a Need |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100119 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100525 |