JP2007129547A - 情報処理装置、インシデント対応装置の制御方法、及びプログラム - Google Patents

情報処理装置、インシデント対応装置の制御方法、及びプログラム Download PDF

Info

Publication number
JP2007129547A
JP2007129547A JP2005320854A JP2005320854A JP2007129547A JP 2007129547 A JP2007129547 A JP 2007129547A JP 2005320854 A JP2005320854 A JP 2005320854A JP 2005320854 A JP2005320854 A JP 2005320854A JP 2007129547 A JP2007129547 A JP 2007129547A
Authority
JP
Japan
Prior art keywords
incident
information
response
policy
communication device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005320854A
Other languages
English (en)
Other versions
JP4459890B2 (ja
Inventor
Makoto Kayashima
信 萱島
Kazuyuki Nakagawa
和志 仲川
Hiromi Isokawa
弘実 磯川
Iwao Watanabe
巌 渡辺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2005320854A priority Critical patent/JP4459890B2/ja
Priority to US11/386,787 priority patent/US20070107041A1/en
Publication of JP2007129547A publication Critical patent/JP2007129547A/ja
Application granted granted Critical
Publication of JP4459890B2 publication Critical patent/JP4459890B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】実施可能なインシデントレスポンスをオペレータに定時することができるようにする。
【解決手段】通信装置に対してインシデントレスポンスを行う対応装置を制御する情報処理装置が、通信装置におけるインシデントの発生を検知し、インシデントへの対応方針を表す方針情報に対応付けて、対応装置が行うべきインシデントレスポンスを示すレスポンス情報、及び通信装置を特定する対応先情報をメモリに記憶し、インシデントの発生を検知した場合に、方針情報を一覧出力し、方針情報の指定を受け付け、受け付けた方針情報に対応するレスポンス情報及び対応先情報をメモリから読み出し、読み出した対応先情報により特定される通信装置を対象として、レスポンス情報により示されるインシデントレスポンスを行うように指示するコマンドをインシデント対応装置に送信する。
【選択図】図9

Description

本発明は、情報処理装置、インシデント対応装置の制御方法、及びプログラムに関する。
近年、通信システムにおけるコンピュータセキュリティインシデント(以下、インシデントと略記する。)への対応(インシデントレスポンスと呼ばれる。)の重要性が認知されている。特許文献1では、ネットワークを介した不正アクセスを防止するためのプログラムが提案されている。
特開2003−288282号公報
特許文献1のプログラムなどの従来技術では、あらかじめ定められたルールに従って自動的に処理が行われる。したがって、オペレータが、インシデントの発生場所や重要度などに応じて、実施されるべきインシデントレスポンスを柔軟に決定するということができない。
本発明は、このような背景を鑑みてなされたものであり、実施可能なインシデントレスポンスをオペレータに提示することのできる情報処理装置、インシデント対応装置の制御方法、及びプログラムを提供することを目的とする。
上記課題を解決するための本発明の主たる発明は、通信装置に対してインシデントレスポンスを行うインシデント対応装置を制御する情報処理装置であって、前記通信装置におけるインシデントの発生を検知するインシデント検知部と、前記インシデントへの対応方針を表す方針情報に対応付けて、前記インシデント対応装置が行うべき前記インシデントレスポンスを示す情報であるレスポンス情報、及び前記インシデントレスポンスの対象となる前記通信装置を特定する情報である対応先情報を記憶する対応策記憶部と、前記インシデントの発生を検知した場合に、前記対応策記憶部に記憶されている前記方針情報を一覧出力する方針一覧出力部と、前記方針情報の指定を受け付ける方針指定部と、受け付けた前記方針情報に対応する前記レスポンス情報及び前記対応先情報を前記対応策記憶部から読み出す対応策取得部と、読み出した前記対応先情報により特定される前記通信装置を対象として、読み出した前記レスポンス情報により示される前記インシデントレスポンスを行うように指示するコマンドを前記インシデント対応装置に送信するコマンド送信部と、を備えることとする。
本発明によれば、実施可能なインシデントレスポンスをオペレータに提示することができる。
==全体構成==
図1は本実施形態に係る通信システムの全体構成を示す図である。同図に示すように、本実施形態の通信システムでは、企業の構内等に敷設されるバックボーンネットワーク(以下、バックボーンと略記する。)51に、複数のネットワークセグメント(以下、セグメントと略記する。)52がルータ30によって接続されている。本実施形態において、バックボーン51及びセグメント52は、例えば、イーサネット(登録商標)や公衆電話回線などにより構築される通信ネットワークであり、本実施形態ではTCP/IPプロトコルに従った通信が行われることを想定する。
各セグメント52には、情報処理サービスを提供するサーバ10と、サーバ10において発生するインシデントを検知する侵入検知装置(Intrusion Detection System;以下、IDSという。)20とが接続されている。
サーバ10は情報処理を行うコンピュータであり、サーバ10において発生するインシデントとは、例えば、リソースの不正使用や、サービス妨害行為、データの破壊、意図しない情報の開示や、それらにいたるための行為など、コンピュータのセキュリティに関する事象のことをいい、具体的には、ICMP攻撃やSYN−Flood攻撃などの不正アクセス、サーバ10においてユーザがログインの試行を所定数以上失敗したこと(アカウントロックとも呼ばれる。)、ポートスキャンなどの不正アクセスの予備的行為などが含まれる。
IDS20は、例えば、通信ネットワークを流れるパケットを検査したり、サーバ10から通信ログを受信したりすることにより、サーバ10におけるインシデントの発生を検知する。IDS20により検知されたインシデントに関する情報(以下、インシデント情報という。)は、マネージャ装置40に通知される。
マネージャ装置40は、オペレータが操作するコンピュータであり、IDS20から通知されるインシデント情報を表示し、オペレータの指示に従ってルータ30の設定を変更する。
ルータ30は、バックボーン51及びセグメント52の間の経路制御を行うコンピュータであり、パケットの転送制御を行う。またルータ30は、いわゆるファイアウォール機能を有しており、ファイやウォール機能によってサーバ10への通信を制御することができる。本実施形態において、ルータ30は、インシデントが発生したサーバ10への通信を遮断することによりインシデントレスポンスを行うインシデント対応装置として機能する。
なお、本実施形態では簡単のため、サーバ10で発生したインシデントに対するインシデントレスポンスとしては、サーバ10への通信遮断をいうものとする。しかしインシデント対応装置が行うインシデントレスポンスは、これに限るものではない。サーバ10への通信遮断以外にも、例えば、サーバ10が管理するユーザのパスワード変更や、サーバ10で動作するアプリケーションプログラムの更新、サーバ10が管理するファイルのパーミッション変更、サーバ10が管理するデータのバックアップあるいはリストア、サーバ10の代替機として準備されているコンピュータへのパケットの転送などを行いうる。
==IDS20==
図2は、IDS20のハードウェア構成を示す図である。IDS20は、CPU201、メモリ202、記憶装置203、通信インタフェース204を備えている。記憶装置203はプログラムやデータを記憶する、例えば、ハードディスクドライブやCD−ROMドライブ、フラッシュメモリなどである。CPU201は記憶装置203に記憶されているプログラムをメモリ202に読み出して実行することにより各種の機能を実現する。通信インタフェース204は、セグメント52に接続するためのインタフェースである。通信インタフェース204としては、例えば、イーサネット(登録商標)に接続するためのアダプタや公衆電話回線に接続するためのモデムなどを用いることができる。
図3は、IDS20のソフトウェア構成を示す図である。IDS20は、インシデント検知部211及びインシデント情報送信部212を備えている。
インシデント検知部211は、例えば、セグメント52を流れるパケットのキャプチャや、サーバ10からの通信ログの取得などによりサーバ10においてインシデントが発生したかどうかを検知する。なお、インシデント検知部211によるインシデントの検知処理には、一般的な侵入検知装置の手法を用いることができる。
インシデント情報送信部212は、インシデント検知部211が検知したインシデントに関するインシデント情報61をマネージャ装置40に送信する。インシデント情報送信部212が送信するインシデント情報61の構成例を図4に示す。インシデント情報61は、インシデントの発生を検知した日時を示す検知日時611、IDS20の名称を示す検知装置612、IDS20のネットワークアドレスを示すIPアドレス613、検知したインシデントを示すインシデント614、インシデントに関するサーバ10のサービスを示すサービス615、インシデントに関するユーザを示すユーザ616を含んでいる。なお、インシデントの種類によっては、サーバ10のユーザに関係ないことがあり、その場合ユーザ616には「−」が設定される。
なお、インシデント検知部211及びインシデント情報送信部212は、CPU201が記憶装置203に記憶されているプログラムを実行することにより実現される。
==ルータ30==
図5は、ルータ30のハードウェア構成を示す図である。ルータ30は、CPU301、メモリ302、記憶装置303、通信インタフェース304及び305を備えている。記憶装置303はプログラムやデータを記憶する、例えばハードディスクドライブやCD−ROMドライブ、フラッシュメモリなどである。CPU301は記憶装置303に記憶されているプログラムをメモリ302に読み出して実行することにより、各種の機能を実現する。通信インタフェース304は、バックボーン51に接続するためのインタフェースであり、通信インタフェース305は、セグメント52に接続するためのインタフェースである。通信インタフェース304及び305には、例えば、イーサネット(登録商標)に接続するアダプタや公衆電話回線に接続するモデムなどを用いることができる。
図6は、ルータ30のソフトウェア構成を示す図である。ルータ30は、設定ファイル受信部311、ルーティング処理部312、設定ファイル記憶部35を備えている。
設定ファイル受信部311は、後述するマネージャ装置40から送信される、ルーティングに係る設定ファイル62を受信し、受信した設定ファイル62を設定ファイル記憶部35に記憶する。
設定ファイル62にはパケットの転送を許可するかどうかを規定するルールが記述される。設定ファイル62の一例を図7に示す。図7の例において、設定ファイル62はXML形式で記述されている。設定ファイル62には、1つのルールに1つの<AC>タグが対応する。<AC>タグには、type属性として「allow」又は「deny」が設定され、type属性に「allow」が設定された場合には、パケットの転送を許可することを示し、type属性に「deny」が設定された場合には、パケットの転送を禁止することを示す。設定ファイル62にはさらに、<AC>タグの子として、<SRC>タグ、<DST>タグ、及び<PORT>タグが記述される。<SRC>タグと<DST>タグとには、それぞれパケットの送信元と送信先とを示す条件がvalue属性に指定される。また、<PORT>タグには、サーバ10がサービスを提供するポート番号がvalue属性に指定される。なお、上記各タグのvalue属性にはワイルドカード(「*」)を記述することができる。図7の例において、id属性が「0001」の<AC>タグでは、「セグメント1」から「バックボーン」へのポート番号「80」番を対象としたパケットを「許可(allow)」していることが示されている。
ルーティング処理部312は、バックボーン51とセグメント52との間のパケットのルーティング処理を行う。ルーティング処理部312によるルーティング処理は、一般的なルータによる処理と同様である。ルータ30は、設定ファイル記憶部35に記憶されている設定ファイル62を参照して、転送しようとしているパケットについて、設定ファイル62に記述されている順番にルールを適用して、パケットの転送が可能かどうかを判断していく。図7の例では、id属性が「0999」番の<AC>タグにより、ポート番号「80」又は「25」以外の全てのパケットについて、転送を禁止(deny)しているため、ルータ30が図7に示す設定ファイル62に従う場合には、ポート番号が「80」又は「25」であるパケットについてのみ転送処理が行われることになる。
なお、設定ファイル受信部311及びルーティング処理部312は、ルータ30が備えるCPU301が記憶装置303に記憶されているプログラムをメモリ302に読み出して実行することにより実現される。また、設定ファイル記憶部35は、ルータ30が備えるメモリ302や記憶装置303が提供する記憶領域として実現される。
==マネージャ装置40==
図8は、マネージャ装置40のハードウェア構成を示す図である。マネージャ装置40は、CPU401、メモリ402、記憶装置403、通信インタフェース404、入力装置405、出力装置406を備えている。記憶装置403は、プログラムやデータを記憶する、例えば、ハードディスクドライブやCD−ROMドライブなどである。CPU401は記憶装置403に記憶されているプログラムをメモリ402に読み出して実行することにより各種の機能を実現する。通信インタフェース404は、バックボーン51に接続するためのインタフェースである。通信インタフェース404としては、例えば、イーサネット(登録商標)に接続するためのアダプタや公衆電話回線に接続するためのモデムなどを用いることができる。
図9は、マネージャ装置40のソフトウェア構成を示す図である。マネージャ装置40は、インシデント情報受信部411、インシデント情報表示部412、推奨順決定部413、対応策表示部414、対応コマンド入力部415、設定ファイル送信部416、復旧コマンド入力部417、対応策設定部418の各機能部と、インシデント情報データベース45、装置管理データベース46、テンプレート情報データベース47の各データベースとを備えている。
インシデント情報データベース45は、IDS20から送信されるインシデント情報61を記憶する。図10にインシデント情報データベース45の構成を示す。同図に示すように、インシデント情報データベース45は、上述した図4に示すインシデント情報61の履歴が記録される。
装置管理データベース46は、マネージャ装置40のオペレータが管理するIDS20及びルータ30(以下これらをエージェントと総称する。)に関する情報を記憶する。図11に装置管理データベース46の構成を示す。同図に示すように、装置管理データベース46は、エージェントの名称461、エージェントのIPアドレス462、エージェントの区分463、設定ファイル取得先464を対応付けて記憶している。区分463には「検知」又は「対応」が設定される。区分463が「検知」である場合、エージェントは、インシデントを検知するIDS20であることを示し、「対応」である場合、エージェントは、インシデントレスポンスを行うルータ30であることを示す。設定ファイル取得先464は、エージェントがルータ30である場合に、そのルータ30が管理している設定ファイル62にアクセスするためのURL(Uniform Resource Locator)である。なお、設定ファイル取得先464は、設定ファイル62が記録されている場所を示す情報であれば、URLに限るものではない。
テンプレート情報データベース47は、サーバ10においてインシデントが発生した場合の対応方針と、ルータ30に対して送信する設定ファイル62とを含む情報(以下、テンプレート情報という。)を記憶する。図12にテンプレート情報の構成を示す。同図に示すように、テンプレート情報には、インシデントが発生した場合の方針を表す対応方針471に対応付けて、設定ファイル名472と設定ファイル62の送信先になるルータの名称473とが含まれる。設定ファイル名472は、マネージャ装置40が管理する設定ファイル62のファイル名である。本実施形態では、対応方針471には、「通常時」、「すべてのサーバですべてのサービスを遮断」、「すべてのサーバで該当するサービスのみを遮断」、「該当するサーバですべてのサービスを遮断」、及び「該当するサーバで該当するサービスのみを遮断」の5種類の何れかが設定されるものとする。
インシデント情報受信部411は、IDS20から送信されるインシデント情報61を受信し、受信したインシデント情報61をインシデント情報データベース45に登録する。
インシデント情報表示部412は、インシデント情報データベース45に登録されているインシデント情報61を表示する。なお、インシデント情報表示部412がインシデント情報61を表示する画面例については後述する。
推奨順決定部413は、インシデントに対する対応方針の推奨度(対応方針の並べ順)を決定する。なお、対応方針の推奨度の決定処理の詳細については後述する。
対応策表示部414は、上記推奨度の順に対応方針を表示する。なお、対応方針を表示する画面例については後述する。
対応コマンド入力部415は、インシデントレスポンスを行うように指示するコマンド(以下、対応コマンドという。)の入力を受け付ける。本実施形態では、対応コマンド入力部415は、対応方針の表示画面から選択される対応方針の指定を対応コマンドとして受け付ける。
復旧コマンド入力部417は、インシデントレスポンスにより変更されたルータ30の設定をインシデントレスポンスを行う前の状態に指示するコマンド(以下、復旧コマンドという。)の入力を受け付ける。復旧コマンドは、キーボードなどから入力するようにしてもよいし、画面に表示されるボタンをマウスでクリックすることにより入力するようにしてもよい。
設定ファイル送信部416は、オペレータが指定する対応方針に対応する設定ファイル62をルータ30に送信する。本実施形態では、設定ファイル送信部416は、テンプレート情報をテンプレート情報データベース47から読み出し、読み出したテンプレート情報の設定ファイル名472が示す設定ファイル62を、名称473が示すルータ30に送信する。
対応策設定部418は、テンプレート情報を作成してテンプレート情報データベース47に登録する。
==テンプレート情報の入力処理==
図13にテンプレート情報の登録処理の流れを示す。また図14に、テンプレート情報の登録処理に用いられる設定情報入力画面71の一例を示す。
設定情報入力画面71は、設定対象となるルータ30を選択するプルダウンリスト711及び対応方針を選択するオプションボタン712を備えている。対応策設定部418は、装置管理データベース46から、区分463が「対応」である名称461を読み出し、読み出した名称461のリストをプルダウンリスト711に設定する。
また、設定情報入力画面71は、設定ファイル62の<AC>タグに対応する各設定情報の入力欄713を備えている。入力欄713の各行が1つの<AC>タグに対応する。オペレータは、上部の「追加」ボタン7131を押下することにより、<AC>タグを増やすことができる。また、各設定情報の先頭のラジオボタン7132を選択した上で、「削除」ボタン7133や、「上へ」ボタン7134、「下へ」ボタン7135を押下することで、選択された設定情報を削除したり、順番を入れ替えたりすることができる。
また、設定情報入力画面71は設定ファイル62の指定欄714を有しており、オペレータは、入力欄713を用いずに作成した設定ファイル62を指定することもできる。
対応策設定部418は、プルダウンリスト711から設定対象となるルータ30の選択を受け付け(S511)、オプションボタン712から対応方針の選択を受け付けると(S512)、選択されたルータ30及び対応方針に対応するテンプレート情報をテンプレート情報データベース47から検索し、該当するテンプレート情報がない場合(S513:YES)、装置管理データベース46から上記のルータ30に対応する設定ファイル取得先464を読み出し、読み出した設定ファイル取得先464に示される設定ファイル62を取得する(S514)。一方、該当するテンプレート情報がある場合には(S513:NO)、テンプレート情報データベース47から設定ファイル名472を取得し(S515)、設定ファイル名472が示す設定ファイル62を取得する(S516)。
対応策設定部418は、上記のようにして取得した設定ファイル62に基づいて、入力欄713に設定情報を表示し、オペレータから設定情報の入力を受け付ける(S517)。対応策設定部418は、入力された設定情報から設定ファイル62を作成し(S518)、選択された対応方針、選択されたルータ30、及び作成した設定ファイル62のファイル名を設定したテンプレート情報を作成し(S519)、作成したテンプレート情報をテンプレート情報データベース47に登録する(S520)。
なお、設定情報の作成時には、送信元、受信先、及びサービスのすべての場合を網羅できるように設定するようにする。図14の例でも、3番目の設定情報にワイルドカードを用いることにより、1番目及び2番目で設定されている条件にマッチしないパケットについては、すべての送信元、受信先、及びサービスについて転送をしない(deny)設定されている。
また、上記の登録処理は、ルータ30及び対応方針のすべての組み合わせについて行うようにする。
上記のようにして、サーバ10においてインシデントが発生した場合に、上述の4つの対応方針毎に、ルータ30において行われるインシデントレスポンス(本実施形態ではサーバ10に対する通信の遮断)を制御するための設定ファイル62がテンプレート情報データベース47に管理される。
==インシデントの監視画面==
本実施形態のマネージャ装置40は、IDS20から報告されるインシデント情報61を表示して、オペレータがインシデントの発生を監視できるようにしている。インシデント情報61の表示画面(以下、インシデント監視画面という。)72の一例を図15に示す。同図に示すようにインシデント監視画面72は、通信システムのネットワークの構成をツリー構造で表示するツリー表示欄721、通信装置一覧の表示欄722、及びインシデント情報61のリスト欄723を備えている。
ツリー表示欄721には、「セグメント1」から「セグメント4」までのセグメント52について、各セグメント52に接続されているサーバ10、IDS20、及びルータ30が表示される。
また、表示欄722には、バックボーン51及びセグメント52に接続されている通信装置の一覧が、アイコンにより表示される。なお、表示されるアイコンは、通信装置の種類によって変えるようにしてもよい。また、ツリー表示欄721においてセグメント52が選択された場合には、表示欄722に表示される通信装置を限定するようにしてもよい。この場合において、例えばツリー表示欄721において「セグメント1」が選択されたときには、表示欄722には「セグメント1」に接続されている通信装置である、「サーバ1」、「IDS1」、及び「ルータ1」のみが表示されるようにする。
リスト欄723には、インシデント情報データベース45に登録されているインシデント情報61の履歴が表示される。インシデント情報表示部412は、例えば、現在時刻から所定期間内のインシデント情報61をインシデント情報データベース45から読み出し、検知日時611の順にリスト欄723に表示する。
なお、表示欄722においては、インシデント情報61の検知装置612が示すIDS20やIPアドレス613に対応するサーバ10を強調表示するようにしてもよい。
==ルータ30の制御処理==
上記のインシデント監視画面72の表示欄722においてIDS20が選択されると、マネージャ装置40は、選択されたIDS20が検知したインシデントに対する対応方針のリストを表示し、オペレータから指定された対応方針に応じたインシデントレスポンスを行うようにルータ30を制御する処理を行う。
図16は、マネージャ装置40によるルータ30の制御処理の流れを示す図である。また、この処理において用いられる対応方針選択画面73及び74の一例を図17に示す。
上記のインシデント監視画面72においてIDS20が選択されると(S531)、マネージャ装置40は、インシデント情報データベース45から、選択されたIDS20(以下、選択IDSという。)が検知装置612に設定されており、現在時刻から所定時間前までの期間内に検知日時611が含まれているインシデント情報61を読み出す(S532)。ここでマネージャ端末40は図17に示す対応方針選択画面73を表示する。対応方針選択画面73は、選択IDSの表示欄731、期間の表示欄732、及びインシデント情報61のリスト表示欄733を備えており、上記の期間が表示欄732に表示され、上記の読み出したインシデント情報61がリスト表示欄733に表示される。
マネージャ装置40は、読み出したインシデント情報61のそれぞれについて、インシデント614をキーとして、選択IDSとは異なるIDS20が検知装置612に設定されているインシデント情報61がインシデント情報データベース45に登録されているかどうかにより、選択IDSが接続されているセグメント52とは異なるセグメント52において、同じインシデントが発生しているかどうかを判断する(S533)。対応方針選択画面73は、インシデントレスポンスの対象となるセグメント52の選択方針の選択欄734を備えており、異なるセグメント52において同じインシデントが発生している場合(S533:YES)、マネージャ装置40は、対応方針選択画面73の「すべてのセグメントで設定を変更する」という選択方針の推奨度を上げて、「該当セグメントのみ設定を変更する」という選択方針よりも前に表示する(S534)。
逆に、異なるセグメント52において同じインシデントが発生していない場合(S533:NO)、マネージャ装置40は、対応方針選択画面73の「該当セグメントのみ設定を変更する」という選択方針の推奨度を上げて、「すべてのセグメントで設定を変更する」という選択方針よりも前に表示する(S535)。
オペレータによって対応方針選択画面73に表示されている対象セグメントの選択方針の何れかに対応する選択ボタン735が押下されると(S536)、マネージャ装置40は、選択された選択方針に応じてインシデントレスポンスの対象となるセグメント52を決定し、決定したセグメント52をバックボーン51に接続しているルータ30を設定対象のルータ30(以下、設定対象ルータという。)として決定する(S537)。「すべてのセグメントで設定を変更する」という選択方針が指定された場合には、マネージャ装置40は、装置管理データベース46に登録されているすべてのルータ30を設定対象ルータとして決定する。また、「該当セグメントのみ設定を変更する」という選択方針が指定された場合には、マネージャ装置40は、上記(S532)において読み出したインシデント情報61のそれぞれのIPアドレス613からセグメント52を特定し、特定したセグメント52のそれぞれに対応するルータ30を装置管理データベース46から特定する。
また、マネージャ装置40の推奨順決定部413は、「すべてのサーバですべてのサービスを遮断」、「すべてのサーバで該当するサービスのみを遮断」、「該当するサーバですべてのサービスを遮断」、及び「該当するサーバで該当するサービスのみを遮断」の4つの対応方針の推奨度を決定し(S538)、対応策表示部414は、決定した推奨度の順に上記の4つの対応方針を、図17の対応方針選択画面74に一覧表示する(S539)。なお、対応方針の推奨度の決定処理の詳細については後述する。
マネージャ装置40の対応コマンド入力部415は、対応方針選択画面74に表示された対応方針の何れかに対応する選択ボタン742が押下されたこと(対応コマンド)を受け付け(S540)、設定ファイル送信部416は、選択された対応方針と上述の選択IDSとに対応するテンプレート情報をテンプレート情報データベース47から読み出し(S541)、読み出したテンプレート情報の設定ファイル名472に指定されている設定ファイル62を、名称472に指定されるルータ30に送信する(S542)。
上記のようにして、マネージャ装置40は、オペレータからの指示に従ってルータ30の設定を変更する。
==推奨順の決定処理==
図18は、推奨順決定部413による対応方針の推奨度の決定処理の流れを示す図である。また、図19に上記の処理に用いる点数のテーブルを示す。図19には、指標テーブルA75及び指標テーブルB76が示されている。これらのテーブルは、マネージャ装置40の記憶装置403やメモリ402に記憶される。指標テーブルA75は、インシデントが発生したサーバ10の数(以下、インシデント発生サーバ数という。)と、セグメント1〜4(52)の中でインシデントが発生したサーバ10が接続されているものの数(以下、インシデント発生セグメント数という。)とに対応付けて、点数を管理している。また、指標テーブルB76は、インシデントに係るサービスの数(以下、インシデント発生サービス数という。)と、インシデント発生セグメント数とに対応付けて点数を管理している。
マネージャ装置40の推奨順決定部413は、インシデント情報データベース45から、検知日時611が現在時刻から所定時間前までの期間(以下、所定期間という。)内のインシデント情報61を読み出し、読み出したインシデント情報61からIPアドレス613を重複なく抽出し、抽出したIPアドレス613の数をインシデント発生サーバ数としてカウントする(S551)。また、推奨順決定部413は、上記の読み出したインシデント情報61のそれぞれについて、IPアドレス613が属するセグメント52を特定し、特定したセグメント52を重複なく抽出し、抽出したセグメントの数をインシデント発生セグメント数としてカウントする(S552)。また、推奨順決定部413は、上記の読み出したインシデント情報61から重複なくサービス615を抽出し、抽出したサービス615の数をインシデント発生サービス数としてカウントする(S553)。
推奨順決定部413は、指標テーブルA75から、インシデント発生サーバ数と、インシデント発生セグメント数とに対応する点数(以下、点数Aという。)を取得し(S554)、指標テーブルB76から、インシデント発生サービス数と、インシデント発生セグメント数とに対応する点数(以下、点数Bという。)を取得する(S555)。
点数Aが2以上又は点数Bが2以上である場合(S556:YES)、推奨順決定部413は、「すべてのサーバですべてのサービスを遮断」(以下、「全サーバ全サービス」と記す。)の推奨順を1とし、「該当するサーバで該当するサービスのみを遮断」(以下、「1サーバ1サービス」と表記する。)の推奨順を4とする(S557)。すなわち、インシデント発生セグメント数が多く、インシデント発生サーバ数が多いほどその対応方針の推奨度を高くすることになる。
一方、点数Aが2以下且つ点数Bが2以下である場合(S556:NO)、「1サーバ1サービス」の推奨順を1とし、「全サーバ全サービス」の推奨順を4とする(S558)。すなわち、インシデント発生セグメント数が多く、インシデント発生サービス数が多いほどその対応方針の推奨度を高くすることになる。
推奨順決定部413は、点数Aが点数Bよりも大きい場合には(S559:YES)、「すべてのサーバで該当するサービスのみを遮断」(以下、「全サーバ1サービス」と表記する。)の推奨順を2とし、「該当するサーバですべてのサービスを遮断」(以下、「1サーバ全サービス」と表記する。)の推奨順を3とする(S560)。一方、点数Bが点数A以上である場合(S559:NO)、「1サーバ全サービス」の推奨順を2とし、「全サーバ1サービス」の推奨順を3とする(S561)。
上記のようにして、推奨順決定部413は、インシデント発生サーバ数やインシデント発生サービス数、インシデント発生セグメント数に応じて、対応方針の推奨度を決定することができる。
したがって、本実施形態のマネージャ装置40は、インシデントが発生したサーバ10が複数のセグメント52にわたって存在する場合には、より多くのセグメント52に対する通信をルータ30により遮断することを推奨して対応方針をオペレータに提示することができる。一方、インシデントが発生したサーバが少ないセグメント52に集中している場合には、その他のセグメント52に対する通信は継続したまま、インシデントの発生したセグメント52に限定して通信を遮断することを推奨して対応方針をオペレータに提示することができる。
また、マネージャ装置40は、インシデントが複数のサービスについて発生している場合には、より多くのサービスに対する通信を遮断することを推奨して対応方針をオペレータに提案することができる。一方、インシデントが少ないサービスについて集中して発生している場合には、その他のサービスについての通信は継続したまま、インシデントの発生しているサービスについての通信を遮断することを推奨して対応方針をオペレータに提示することができる。
上記のようにして、本実施形態のマネージャ装置40は、後続するインシデントの発生を防止しつつも不要な通信まで遮断しないように、適切且つ効果的なインシデントレスポンスを行うことのできる推奨順を決定し、その推奨順に対応方針をオペレータに提示することができる。したがって、オペレータはマネージャ装置40からの出力を参考にして適切で効果的なインシデントレスポンスを選択することができる。またその一方で、オペレータは、上記のインシデントの発生状況以外にも様々な条件を考慮の上、他のインシデントレスポンスの対応方針を柔軟に選択することもできる。すなわち、オペレータはインシデントレスポンスをより柔軟に行うことができる。
なお、本実施形態では、ルータ30によりインシデントレスポンスが実施されるものとしたが、サーバ10がインシデントレスポンスを行うようにしてもよい。サーバ10は、例えば、インシデントとしてユーザのログインの失敗が検知された場合に、それ以降そのユーザのアカウントや、そのユーザの属するグループがサーバ10を利用できないようにすることができる。この場合、マネージャ装置40は、サーバ10に対して上記のようなインシデントレスポンスを行うように指示するコマンドを送信するようにする。また、サーバ10は、サーバ10が実行するオペレーティングシステムやアプリケーションプログラムを更新するようなインシデントレスポンスを行うようにすることもできる。この場合、通信システムにプログラムを更新するためのパッチデータを管理するパッチ管理サーバを含めるようにして、サーバ10がパッチ管理サーバからパッチデータを取得し、取得したパッチデータをオペレーティングシステムやアプリケーションプログラムに適用することができる。
また、ルータ30やサーバ10以外に、インシデントレスポンスを実施するインシデント対応装置を別途設置するようにしてもよい。
==作業用端末を用いた場合==
また、本実施形態では、オペレータはマネージャ装置40を操作してインシデント情報の閲覧や対応方針の指定などを行うものとしたが、マネージャ装置40をWebサーバとし、オペレータは作業用端末を操作するようにしてもよい。この場合、マネージャ装置40の各機能部は、例えば、CGIプログラムとして実現し、オペレータが作業用端末で動作するWebブラウザを操作してマネージャ装置40にアクセスするようにすることができる。この場合における通信システム全体の処理の流れを図20に示す。図20では、上述した対応策設定部418によるテンプレート情報の登録処理(S810)、インシデント監視画面72によるインシデント情報の表示処理(S820)、及び復旧コマンドの入力によるルータ30の設定処理(S830)の流れが示されている。
テンプレート情報の登録処理では、オペレータは作業用端末を操作してマネージャ装置40にアクセスし、設定情報入力画面を取得するためのリクエスト(取得要求)を送信する(S811)。マネージャ装置40は、上記の取得要求に応じて、設定情報入力画面71を表示するための画面データを作業用端末に送信する(S812)。オペレータが設定情報入力画面71に設定情報を入力すると、作業用端末から設定情報がマネージャ装置40に送信され(S813)、マネージャ装置40は、上述した図12に示す処理と同様にして、受信した設定情報を含むテンプレート情報をテンプレート情報データベース47に登録する(S814)。
また、インシデント情報の表示処理において、オペレータは作業用端末を操作してマネージャ装置40にアクセスし、インシデント監視画面72の取得要求を送信する(S831)。マネージャ装置40は、上記の取得要求に応じて、インシデント監視画面72を表示するための画面データを作業用端末に送信する(S832)。一方、IDS20からインシデント情報がマネージャ装置40に送信され(S833)、マネージャ装置40は受信したインシデント情報をインシデント情報データベース45に登録する(S834)。作業用端末は定期的にインシデント監視画面72の取得要求をマネージャ装置40に送信し(S835)、マネージャ装置40は、取得要求毎にインシデント監視画面の画面データを作業用端末に送信する(S836)。
インシデント監視画面72のリスト欄723にインシデント情報のリストが表示された場合には、オペレータはIDS20を選択し、選択したIDS20がマネージャ装置40に送信される(S837)。マネージャ装置40は、セグメント52の選択方針の推奨度に応じた順序で選択方針を並べた対応方針選択画面73を表示するための画面データを作業用端末に送信する(S838)。オペレータはセグメント52の選択方針を選択し、作業用端末は選択された選択方針を示す情報をマネージャ装置40に送信する(S839)。マネージャ装置40は、対応方針の推薦度を決定して、推薦度順に対応方針を並べた対応方針選択画面74を表示するための画面データを作業用端末に送信する(S840)。オペレータは対応方針を選択し、作業用端末は選択された対応方針を示す情報をマネージャ装置40に送信する(S841)。マネージャ装置40は、指定された対応方針に対応する設定ファイル62をルータ30に送信して(S842)、ルータ30の設定を変更する。
また、復旧コマンドの入力によるルータ30の設定処理では、オペレータの操作に従って作業用端末から復旧コマンドがマネージャ装置40に送信されると(S861)、マネージャ装置40は、テンプレート情報データベース47から対応方針471が「通常時」であるテンプレート情報を読み出し、読み出したテンプレート情報の設定ファイル名472が示す設定ファイル62を名称472が示すルータ30に送信する(S862)。
上記のようにして、オペレータが作業用端末を操作してマネージャ装置40にアクセスし、インシデントレスポンスを実施するルータ30を制御することができる。
以上、本実施形態について説明したが、上記実施形態は本発明の理解を容易にするためのものであり、本発明を限定して解釈するためのものではない。本発明は、その趣旨を逸脱することなく、変更、改良され得ると共に、本発明にはその等価物も含まれる。
本実施形態に係る通信システムの全体構成を示す図である。 IDS20のハードウェア構成を示す図である。 IDS20のソフトウェア構成を示す図である。 インシデント情報61の構成例を示す図である。 ルータ30のハードウェア構成を示す図である。 ルータ30のソフトウェア構成を示す図である。 設定ファイル62の一例を示す図である。 マネージャ装置40のハードウェア構成を示す図である。 マネージャ装置40のソフトウェア構成を示す図である。 インシデント情報データベース45の構成を示す図である。 装置管理データベース46の構成を示す図である。 テンプレート情報の構成を示す図である。 テンプレート情報の登録処理の流れを示す図である。 設定情報入力画面71の一例を示す図である。 インシデント監視画面72の一例を示す図である。 マネージャ装置40によるルータ30の制御処理の流れを示す図である。 対応方針選択画面74の一例を示す図である。 推奨順決定部413による対応方針の推奨度の決定処理の流れを示す図である。 対応方針の推奨度の決定処理に用いる点数のテーブルを示す。 マネージャ装置40をサーバとしてクライアントの作業用端末からアクセスする構成の通信システムにおける処理の流れを示す図である。
符号の説明
10 サーバ 20 IDS
201 CPU 202 メモリ
203 記憶装置 204 通信インタフェース
211 インシデント検知部 212 インシデント情報送信部
30 ルータ 301 CPU
302 メモリ 303 記憶装置
304 通信インタフェース 305 通信インタフェース
311 設定ファイル受信部 312 ルーティング処理部
35 設定ファイル記憶部
40 マネージャ装置 401 CPU
402 メモリ 403 記憶装置
404 通信インタフェース 405 入力装置
406 出力装置 411 インシデント情報受信部
412 インシデント情報表示部 413 推奨順決定部
414 対応策表示部 415 対応コマンド入力部
416 設定ファイル送信部 417 復旧コマンド入力部
418 対応策設定部
45 インシデント情報データベース 46 装置管理データベース
461 名称 462 IPアドレス
463 区分 464 設定ファイル取得先
47 テンプレート情報データベース 471 対応方針
472 設定ファイル名 473 名称
51 バックボーン 52 セグメント
61 インシデント情報
611 検知日時 612 検知装置
613 IPアドレス 614 インシデント
615 サービス 616 ユーザ
62 設定ファイル
71 設定情報入力画面 72 インシデント監視画面
73 対応方針選択画面 74 対応方針選択画面

Claims (11)

  1. 通信装置に対してインシデントレスポンスを行うインシデント対応装置を制御する情報処理装置であって、
    前記通信装置におけるインシデントの発生を検知するインシデント検知部と、
    前記インシデントへの対応方針を表す方針情報に対応付けて、前記インシデント対応装置が行うべき前記インシデントレスポンスを示す情報であるレスポンス情報、及び前記インシデントレスポンスの対象となる前記通信装置を特定する情報である対応先情報を記憶する対応策記憶部と、
    前記インシデントの発生を検知した場合に、前記対応策記憶部に記憶されている前記方針情報を一覧出力する方針一覧出力部と、
    前記方針情報の指定を受け付ける方針指定部と、
    受け付けた前記方針情報に対応する前記レスポンス情報及び前記対応先情報を前記対応策記憶部から読み出す対応策取得部と、
    読み出した前記対応先情報により特定される前記通信装置を対象として、読み出した前記レスポンス情報により示される前記インシデントレスポンスを行うように指示するコマンドを前記インシデント対応装置に送信するコマンド送信部と、
    を備えることを特徴とする情報処理装置。
  2. 請求項1に記載の情報処理装置であって、
    前記インシデント対応装置が行う前記インシデントレスポンスは、前記通信装置に対する通信の遮断、前記通信装置に対してアクセスするユーザの制限、前記通信装置に記憶されているプログラムの更新、及び前記通信装置が管理するファイルに対するアクセス権限の変更の少なくとも何れかであること、
    を特徴とする情報処理装置。
  3. 請求項1に記載の情報処理装置であって、
    前記通信装置においてインシデントが発生したことを検知する検知装置と通信可能に接続し、
    前記インシデント検知部は、前記検知装置から送信される、前記通信装置において前記インシデントが発生したことを示すメッセージを受信することにより、前記インシデントの発生を検知すること、
    を特徴とする情報処理装置。
  4. 請求項1に記載の情報処理装置であって、
    前記インシデントが発生した前記通信装置の数であるインシデント発生数を算出するインシデント発生数算出部と、
    前記対応策記憶部に記憶されている前記方針情報のそれぞれについて、前記対応先情報により特定される前記通信装置の数である対応数を算出する対応数算出部と、
    前記対応策記憶部に記憶されている前記方針情報のそれぞれについて、前記対応数と前記インシデント発生数とに応じて推奨度を決定する推奨度決定部と、を備え、
    前記方針一覧出力部は、前記推奨度の順に前記方針情報を一覧出力すること、
    を特徴とする情報処理装置。
  5. 請求項1に記載の情報処理装置であって、
    前記通信装置は、複数のネットワークセグメントにより構成される通信ネットワークに接続しており、
    前記対応策記憶部は、前記方針情報に対応付けて、前記ネットワークセグメントを特定する情報であるセグメント特定情報を記憶しており、
    前記複数のネットワークセグメントのうち、前記インシデントが発生した前記通信装置が接続しているものの数であるインシデント発生セグメント数を算出するインシデント発生セグメント数算出部と、
    前記対応策記憶部に記憶されている前記方針情報のそれぞれについて、前記セグメント特定情報により特定される前記セグメントの数である対応セグメント数を算出する対応セグメント数算出部と、
    前記対応策記憶部に記憶されている前記方針情報のそれぞれについて、前記対応セグメント数と前記インシデント発生セグメント数とに応じて推奨度を決定する推奨度決定部と、を備え、
    前記方針一覧出力部は、前記推奨度の順に前記方針情報を一覧出力すること、
    を特徴とする情報処理装置。
  6. 請求項5に記載の情報処理装置であって、
    前記ネットワークセグメント毎に、前記ネットワークセグメントに接続する前記通信装置を記憶するセグメント所属装置記憶部と、
    前記インシデントの発生を検知した場合に、前記セグメント所属装置記憶部を参照して、前記セグメント特定情報により特定される前記セグメントに接続している他の前記通信装置を特定する対象先特定部と、を備え、
    前記コマンド送信部は、前記対応先情報により特定される前記通信装置に対して前記インシデントレスポンスを行うとともに、前記他の通信装置に対しても前記インシデントレスポンスを行うように指示するコマンドを前記インシデントレスポンス実行装置に送信すること、
    を特徴とする情報処理装置。
  7. 請求項1に記載の情報処理装置であって、
    前記通信装置は前記通信ネットワークを介して複数のサービスを提供し、前記インシデントレスポンスは前記サービスを対象としており、
    前記対応策記憶部は、前記方針情報に対応付けて、前記サービスを特定する情報であるサービス特定情報を記憶しており、
    前記インシデント検知部は、前記通信装置が提供する前記サービスにおいて発生する前記インシデントを検知し、
    前記複数のサービスのうち、前記インシデントが発生したものの数であるインシデント発生サービス数を算出するインシデント発生サービス数算出部と、
    前記対応策記憶部に記憶されている前記方針情報のそれぞれについて、前記サービス特定情報により特定される前記サービスの数である対応サービス数を算出する対応サービス数算出部と、
    前記対応策記憶部に記憶されている前記方針情報のそれぞれについて、前記対応サービス数と前記インシデント発生サービス数とに応じて推奨度を決定する推奨度決定部と、を備え、
    前記方針一覧出力部は、前記推奨度の順に前記方針情報を一覧出力すること、
    を特徴とする情報処理装置。
  8. 請求項7に記載の情報処理装置であって、
    前記通信装置毎に前記通信装置が提供するサービスを記憶するサービス記憶部と、
    前記インシデントの発生を検知した場合に、前記サービス記憶部を参照して、前記サービス特定情報により特定される前記サービスを提供している他の前記通信装置を特定する対象先特定部と、を備え、
    前記コマンド送信部は、前記対応先情報により特定される前記通信装置に対して前記インシデントレスポンスを行うとともに、前記他の通信装置に対しても前記インシデントレスポンスを行うように指示するコマンドを前記インシデントレスポンス実行装置に送信すること、
    を特徴とする情報処理装置。
  9. 請求項1に記載の情報処理装置であって、
    前記インシデント対応装置が行う前記インシデントレスポンスは、前記通信装置が通信ネットワークを介して送信されてくるデータを受信できないようにする制御であり、
    前記通信装置に対する制限の解除を指示するコマンドである制限解除コマンドの入力を受け付ける制限解除コマンド入力部を備え、
    前記コマンド送信部は、前記制限解除コマンドの入力に応じて、前記通信装置が前記通信ネットワークを介して送信されてくるデータを受信できるようにする制御を指示するコマンドを前記インシデント対応装置に送信すること、
    を特徴とする情報処理装置。
  10. 通信装置に対してインシデントレスポンスを行うインシデント対応装置を制御する情報処理装置が、
    前記通信装置におけるインシデントの発生を検知し、
    前記インシデントへの対応方針を表す方針情報に対応付けて、前記インシデント対応装置が行うべき前記インシデントレスポンスを示す情報であるレスポンス情報、及び前記インシデントレスポンスの対象となる前記通信装置を特定する情報である対応先情報をメモリに記憶し、
    前記インシデントの発生を検知した場合に、前記メモリに記憶されている前記方針情報を一覧出力し、
    前記方針情報の指定を受け付け、
    受け付けた前記方針情報に対応する前記レスポンス情報及び前記対応先情報を前記メモリから読み出し、
    読み出した前記対応先情報により特定される前記通信装置を対象として、読み出した前記レスポンス情報により示される前記インシデントレスポンスを行うように指示するコマンドを前記インシデント対応装置に送信すること、
    を特徴とするインシデント対応装置の制御方法。
  11. 通信装置に対してインシデントレスポンスを行うインシデント対応装置を制御するコンピュータに、
    前記通信装置におけるインシデントの発生を検知するステップと、
    前記インシデントへの対応方針を表す方針情報に対応付けて、前記インシデント対応装置が行うべき前記インシデントレスポンスを示す情報であるレスポンス情報、及び前記インシデントレスポンスの対象となる前記通信装置を特定する情報である対応先情報をメモリに記憶するステップと、
    前記インシデントの発生を検知した場合に、前記メモリに記憶されている前記方針情報を一覧出力するステップと、
    前記方針情報の指定を受け付けるステップと、
    受け付けた前記方針情報に対応する前記レスポンス情報及び前記対応先情報を前記メモリから読み出すステップと、
    読み出した前記対応先情報により特定される前記通信装置を対象として、読み出した前記レスポンス情報により示される前記インシデントレスポンスを行うように指示するコマンドを前記インシデント対応装置に送信するステップと、
    を実行させるためのプログラム。

JP2005320854A 2005-11-04 2005-11-04 情報処理装置、インシデント対応装置の制御方法、及びプログラム Expired - Fee Related JP4459890B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2005320854A JP4459890B2 (ja) 2005-11-04 2005-11-04 情報処理装置、インシデント対応装置の制御方法、及びプログラム
US11/386,787 US20070107041A1 (en) 2005-11-04 2006-03-23 Information processor, method and program for controlling incident response device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005320854A JP4459890B2 (ja) 2005-11-04 2005-11-04 情報処理装置、インシデント対応装置の制御方法、及びプログラム

Publications (2)

Publication Number Publication Date
JP2007129547A true JP2007129547A (ja) 2007-05-24
JP4459890B2 JP4459890B2 (ja) 2010-04-28

Family

ID=38005280

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005320854A Expired - Fee Related JP4459890B2 (ja) 2005-11-04 2005-11-04 情報処理装置、インシデント対応装置の制御方法、及びプログラム

Country Status (2)

Country Link
US (1) US20070107041A1 (ja)
JP (1) JP4459890B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014171211A (ja) * 2013-02-06 2014-09-18 Ricoh Co Ltd 情報処理システム
JP2016533107A (ja) * 2013-08-12 2016-10-20 ウォル−マート ストアーズ,インコーポレーティッド 有害動作体の自動ブロッキング
JP2017063336A (ja) * 2015-09-25 2017-03-30 株式会社日立システムズ ネットワーク制御装置、及びネットワーク制御方法

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8122110B1 (en) * 2006-06-30 2012-02-21 Rockstar Bidco, LP Active configuration templating
US20090287913A1 (en) * 2008-05-15 2009-11-19 Honeywell International Inc. Apparatus and method for configuring switches, routers, and other configurable devices
CN101877696B (zh) * 2009-04-30 2014-01-08 国际商业机器公司 在网络应用环境下重构错误响应信息的设备和方法
EP2464054A1 (en) * 2010-12-07 2012-06-13 British Telecommunications Public Limited Company Communications device
US9165250B2 (en) 2013-01-30 2015-10-20 Bank Of America Corporation Dynamic incident response
US9773405B2 (en) 2013-03-15 2017-09-26 Cybersponse, Inc. Real-time deployment of incident response roadmap
US10552615B2 (en) 2016-02-18 2020-02-04 Swimlane Llc Threat response systems and methods

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6453345B2 (en) * 1996-11-06 2002-09-17 Datadirect Networks, Inc. Network security and surveillance system
US6298445B1 (en) * 1998-04-30 2001-10-02 Netect, Ltd. Computer security
JP2003288282A (ja) * 2002-03-28 2003-10-10 Fujitsu Ltd 不正アクセス防止プログラム
US7246156B2 (en) * 2003-06-09 2007-07-17 Industrial Defender, Inc. Method and computer program product for monitoring an industrial network
US7644365B2 (en) * 2003-09-12 2010-01-05 Cisco Technology, Inc. Method and system for displaying network security incidents
US7657939B2 (en) * 2005-03-14 2010-02-02 International Business Machines Corporation Computer security intrusion detection system for remote, on-demand users

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014171211A (ja) * 2013-02-06 2014-09-18 Ricoh Co Ltd 情報処理システム
JP2016533107A (ja) * 2013-08-12 2016-10-20 ウォル−マート ストアーズ,インコーポレーティッド 有害動作体の自動ブロッキング
US10084749B2 (en) 2013-08-12 2018-09-25 Walmart Apollo, Llc Automatic blocking of bad actors across a network
JP2017063336A (ja) * 2015-09-25 2017-03-30 株式会社日立システムズ ネットワーク制御装置、及びネットワーク制御方法

Also Published As

Publication number Publication date
JP4459890B2 (ja) 2010-04-28
US20070107041A1 (en) 2007-05-10

Similar Documents

Publication Publication Date Title
JP4459890B2 (ja) 情報処理装置、インシデント対応装置の制御方法、及びプログラム
CN101610264B (zh) 一种防火墙系统、安全服务平台及防火墙系统的管理方法
JP2002108728A (ja) 障害情報の掲載方法およびプロバイダ設備
WO2003100619A1 (fr) Dispositif, programme et procede de detection d'acces non autorise
KR102014807B1 (ko) 우회 접속 탐지 및 차단 기능을 구비한 접근통제 시스템
KR100788256B1 (ko) 네트워크를 이용한 웹서버 위변조 모니터링 시스템 및모니터링 방법
KR20060117693A (ko) 웹 보안방법 및 그 장치
JP2006262019A (ja) ネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク検疫装置
JP4823813B2 (ja) 異常検知装置、異常検知プログラム、および記録媒体
JP3961112B2 (ja) パケット通信制御システム及びパケット通信制御装置
JP4713186B2 (ja) ネットワーク監視方法及びネットワーク監視システム
JP2000324104A (ja) バーチャル通信ネットワークにおけるセキュリティーポリシー設定方法、セキュリティーポリシーマネージャ及びこれを用いたバーチャル通信ネットワークシステム
KR20080077019A (ko) 부정 통신 프로그램의 규제 시스템 및 그 프로그램
JP2008165632A (ja) 通信データ監視装置および通信データ監視方法およびプログラムおよび記録媒体
JP2002232451A (ja) 通信管理方法、通信監視装置、および、コンピュータシステム
KR20170041614A (ko) 화이트리스트 기반의 네트워크 보안 장치 및 방법
CN110569987A (zh) 自动化运维方法、运维设备、存储介质及装置
JPH09325927A (ja) ネットワーク遠隔管理システム
JP2006079228A (ja) アクセス管理装置
JP5069168B2 (ja) ネットワーク運用監視システム、マネージャ装置、及びネットワーク運用監視方法
JP2007041926A (ja) ユーザ端末判別方法
JP2005167793A (ja) 送信情報管理システム及び送信情報管理プログラム
JP5244781B2 (ja) Webサーバ及び方法
JP4537538B2 (ja) 不正侵入検知システム
CN116436668B (zh) 信息安全管控方法、装置,计算机设备,存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080118

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091124

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100122

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100209

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100210

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130219

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees