JP2008165796A - エンドポイントリソースを使用したネットワークセキュリティ要素 - Google Patents
エンドポイントリソースを使用したネットワークセキュリティ要素 Download PDFInfo
- Publication number
- JP2008165796A JP2008165796A JP2007334351A JP2007334351A JP2008165796A JP 2008165796 A JP2008165796 A JP 2008165796A JP 2007334351 A JP2007334351 A JP 2007334351A JP 2007334351 A JP2007334351 A JP 2007334351A JP 2008165796 A JP2008165796 A JP 2008165796A
- Authority
- JP
- Japan
- Prior art keywords
- network
- request
- server
- unauthorized
- security element
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 本発明の課題は、エンドポイントリソースを使用した効果的なネットワークセキュリティ要素を提供することである。
【解決手段】
本発明は、エンドポイントサーバにおいてネットワークへのアクセスに対するリクエストを受信するステップと、前記リクエストが未許可のリクエストを含むことを検出するステップと、前記リクエストをネットワークセキュリティ要素に誘導するステップとを有する方法を提供する。
【選択図】 図1
【解決手段】
本発明は、エンドポイントサーバにおいてネットワークへのアクセスに対するリクエストを受信するステップと、前記リクエストが未許可のリクエストを含むことを検出するステップと、前記リクエストをネットワークセキュリティ要素に誘導するステップとを有する方法を提供する。
【選択図】 図1
Description
本発明の実施例は、コンピュータセキュリティに関する。より詳細には、本発明の実施例は、エンドポイントリソースを使用したネットワークセキュリティ要素に関する。
コンピュータオペレーションについて、外部者による攻撃に対抗するため、多数のネットワークセキュリティ要素が導入されてきた。例えば、許可を受けていない者がしばしば、ネットワークにおいてシステムのアクセス可能ポイントを探索することによって、ネットワークリソースにアクセスしようとする。
認証されていないネットワークへのエントリを解決するため考案されてきたネットワークセキュリティ要素には、動作中のコンピュータリソースから有害なトラフィックを引き離し、システムスタッフが攻撃者を解析することを可能にするため組み合わされるダークネットアナライザ(darknet analyzer)とハニーポット(honeypot)がある。一般に、セキュリティ要素は、許可を受けていない人が未使用のサブネット上にあり、このためアクセスされるべきでないIP(Internet Protocol)アドレスにアクセスしようとしていることを認識する。アクセスが検出されると、許可を受けていないユーザは、“ダークネット”と呼ばれるかもしれない動作中のネットワークから独立したサーバ又はシステムにガイドされるかもしれない。さらに、ネットワークセキュリティは、許可を受けていないユーザが、ユーザのアクセス方法又はネットワークに関する知識レベルを暴露することを奨励するようシステムをエミュレートしようとするかもしれず(“ハニーポットと呼ばれる)、これのより、システムアドミニストレータがネットワークセキュリティを向上させることを可能にする。
しかしながら、従来のシステムは動作について限定され、多くのケースにおいてネットワークをプロテクトしない。許可を受けていないユーザが十分な知識を有している場合、ユーザは、ダークネット処理をトリガーすることを回避することが可能であるかもしれない。例えば、ユーザが未割当てのIPアドレスや未使用のネットワークを回避することが可能である場合、ユーザは検出されないかもしれない。さらに、許可を受けていないユーザによって、ダークネット/ハニーポットの処理が検出されるかもしれず、ネットワークアドミニストレータが侵入者に関する情報を取得可能になる前に、ユーザがコンタクトを中断することが可能となる。
本発明の課題は、上記問題点を解決することである。すなわち、本発明の課題は、エンドポイントリソースを使用した効果的なネットワークセキュリティ要素を提供することである。
上記課題を解決するため、本発明は、エンドポイントサーバにおいてネットワークへのアクセスに対するリクエストを受信するステップと、前記リクエストが未許可のリクエストを含むことを検出するステップと、前記リクエストをネットワークセキュリティ要素に誘導するステップとを有する方法を提供する。
また、本発明は、ネットワークへのアクセスに対するリクエストを受信するためのインタフェースと、前記ネットワークへのアクセスに対する許可されたリクエストを検出するモジュールと、ネットワークセキュリティ要素とを有するサーバであって、当該サーバは、検出された未許可のリクエストを前記ネットワークセキュリティ要素に誘導するサーバを提供する。
さらに、本発明は、イーサネット(登録商標)接続のためのイーサネット(登録商標)ケーブルと、前記イーサネット(登録商標)ケーブルに接続され、当該ネットワークへのアクセスに対する未許可のリクエストを誘導するエンドポイントサーバと、前記エンドポイントサーバに接続されるネットワークセキュリティ要素と、前記ネットワークの動作から独立したセキュリティサーバとを有するネットワークであって、前記エンドポイントサーバは、当該ネットワークへのアクセスに対する検出された未許可のリクエストを前記ネットワークセキュリティ要素に送信し、前記セキュリティサーバは、前記ネットワークセキュリティ要素から前記未許可のリクエストに関するデータを受信するネットワークを提供する。
さらに、本発明は、マシーンによりアクセスされると、エンドポイントサーバにおいてネットワークへのアクセスに対するリクエストを受信するステップと、前記リクエストが未許可のリクエストを含むことを検出するステップと、前記リクエストをネットワークセキュリティ要素に誘導するステップとを有する処理を前記マシーンに実行させるデータを有するマシーンアクセス可能媒体から構成される生産物を提供する。
本発明によると、エンドポイントリソースを使用した効果的なネットワークセキュリティ要素を提供することが可能となる。
本発明の実施例は、エンドポイントリソースを使用したネットワークセキュリティ要素に関する。
ここで使用される“ダークネット(darknet)”という用語は、動作中のネットワーク要素から未許可の使用を引き離すのに使用されるネットワークサーバ又は要素を意味する。一般的な具体例では、未使用のサブネットにおいて未割当てIPアドレスにアクセスしようとするユーザが検出されると、ダークネットに誘導されるかもしれない。
“ハニーポット(honeypot)”という用語は、未許可のユーザへのネットワークアクセスをエミュレートするのに使用されるネットワーク要素を意味する。具体例では、未許可であると疑われるネットワークにアクセスする主体が、未許可のアクセス試行に関する情報を取得するため、ハニーポットに誘導されるかもしれない。
“ネットワークセキュリティ要素”という用語は、未許可のアクセスからネットワークをプロテクトするための要素を意味する。“ネットワークセキュリティ要素”という用語は、限定されるものではないが、ダークネットやハニーポットを含む。
本発明の実施例では、未許可のユーザに対するプロテクトを行うネットワークセキュリティ要素は、ネットワーク全体に分散されている。本発明の実施例では、ネットワークセキュリティの処理は、ネットワークエンドポイントの分散されたネットワークセキュリティ要素の利用を通じて拡大される。具体例として、ダークネット/ハニーポットに誘導される許可されたアクセスのタイプは、各ファンクションのネットワークエンドポイントへの分散を通じて拡大される。本発明の実施例では、ネットワークセキュリティ要素は、従来技術による処理に限定されず、エンドポイントリソースによりアクセス可能なレベルにおいてトラフィックを解析する。
ダークネットやハニーポットなどのネットワークセキュリティ要素は、企業のセキュリティ部門において極めて有用なツールとなっている。これらセキュリティ要素は、通常は中央に存在し、通常は未使用のサブネットにおけるIPアドレスを宛先とするトラフィックを迂回させることによって、企業IPスペースの各部分の視認性を有する。しかしながら、このアプローチによる重大な問題は、使用されているネットワークにおける使用されているIPアドレス又は未使用のIPアドレスを宛先とするトラフィックがセキュリティ要素をエスケープすることによって、多くの発生を視認できないということである。このため、従来の構成は、知識のある又はスキルのある攻撃者に対処するのに有用性が低い。他のトポロジーの知識を精査又は有する前にネットワークトラフィックをモニタする攻撃者など、IPスペース割当てに関する知識を有している攻撃者は、これらの検出システムを部分的又は完全に回避することが可能であり、このため、セキュリティ要素は、アクティブなネットワークにおける割り当てられたIPアドレスへのアクセスを制限可能な攻撃者を視認することができなくなる。
本発明の実施例では、ネットワークセキュリティは、エンドポイントリソースがセキュリティについて利用可能となるように、ネットワーク全体に分散される。エンドポイントリソースの利用は、ダークネットを宛先とするトラフィックにおいてさらなる詳細さを提供することによって、より多くの処理を視認可能であり、エンドポイントレベルにおける処理のエミュレーションを可能にし、これにより、エミュレーションのクオリティが向上する。ダークネット処理の分散化は、セキュリティシステムが回避することをより困難にし(アクティブなアドレスがシステムの範囲内に含まれるため)、セキュリティシステムが検出することをより困難にする(エンドポイントシステムは、動作中のシステムの処理をより密接に近似することが可能であるため)ことを可能にする。一例として、エンドポイントは、通常のシステムとしてパケットに対して同一のTTL(Time To Live)を提供することが可能である。ここで、TTLは、パケットが長時間ネットワークにあり、破棄されるべきかルータに通知するIPパケットにおける値である。これにより、パケット伝送におけるリモートシステムの不可避な遅延のため、リモートダークネットからの利用が不可であるレスポンスが提供される。
本発明の実施例では、ネットワークは、実際のホストシステムによりエミュレートされるサーバの1以上のエミュレーションを有する。例えば、ネットワークルータは、実際のシステムによりエミュレートされるように、1以上のエミュレートされるシステムと1以上の実際のホストシステムへのアクセスを提供するかもしれない。エミュレートされたシステムは、動作中のシステムの一部として考えられることが意図されるが、実際には、エンドポイントレベルにおけるエミュレーションである。
本発明の実施例では、ネットワークセキュリティの分散は、多くのリソースの投資なくネットワークにおいて実現可能である。例えば、ME(Management Engine)における相対的に少量のエンドポイントリソースしか、ネットワークセキュリティ処理の分散化のため要求されない。さらに、何れのホストOS(Operating System)の関与も不要であり、このため、分散化されたセキュリティ要素を配置及び使用するのにシンプルなものにする。本発明の実施例では、すべてのネットワークトラフィックがMEを通過するため、OSの関与は不要となり、このため、OSが悪意のあるパケットを確認する機会を有する前に、セキュリティ対策をとることができる。このため、OSは露呈されず、侵入処理は完全にME装置内で保持される。
本発明の実施例では、エンドポイントシェル(セキュリティのため提供されたサーバのエミュレーション)は、許可を受けていないように見える特定タイプのトラフィック(“interesting”として定義される任意のトラフィックとして参照されるかもしれない)又はこのようなトラフィックに関する統計量を中央セキュリティサーバ(ダークネット/ハニーポットサーバ)に送信する。分散されたセキュリティ要素の使用は、処理におけるこのような構成の視認性を増大させるのに使用されるかもしれない。ある実施例では、分散されたネットワークセキュリティ要素は、通常はダークネット/ハニーポットサーバにより提供されるネットワークスペースを選択的に視認する従来の処理の主要な問題を回避するのに使用されるかもしれない。
本発明のある実施例では、インテルコーポレイションにより製造されているIntel Active Management Technology(iAMT)MEなどのリソースが、特定のトラフィックタイプを選択的に検出し、又は特定の統計量を生成し、これらを中央ダークネット/ハニーポットにわたすため利用されるかもしれない。しかしながら、本発明の実施例は当該実施例に限定されるものでない。ある実施例では、“interesting”ネットワークトラフィックを分類するのに使用されるエージェントは、あるタイプの信号又はデータが受信されると“トリップされる(tripped)”要素であるサーキットブレーカ(CB)であるかもしれない。本発明の実施例では、MEの拡張がハニーポットタイプのアクションを実行するのに利用されるか、又はそれを介しリモートアナライザにわたされる特定のトラフィックタイプを複製するのに利用されるかもしれない。一例では、サーバが、TCP(Transport Control Protocol)接続を確立するためのリクエストを示すSYNリクエストを受信したが、当該トラフィックがクローズドポートを宛先としている場合、サーバは、通常はRST(Reset)レスポンスを送信する。本発明の実施例では、サーバのMEは、トラフィックがクローズドポートを宛先とするとき、RSTレスポンスの代わりにSYNACK(又はSYN/ACK)を送信し(サーバに送信されたSYNに応答した確認及び同期)、その後、以下のパケットをダークネット/ハニーポットサーバに送信するよう構成されるかもしれない。
本発明の実施例では、エンドポイントエージェントにおいて確立されるネットワークセキュリティ要素の処理は、検出された許可されていないネットワークトラフィックの迂回を含む。このような迂回に使用される方法は、各種実現形態により様々であり、限定されるものではないが以下を含むかもしれない。
(1)未許可のトラフィックを転送するためIPトンネルを開くこと。IPトンネルは、IP−in−IPトンネル(“IP in IP Tunneling”(Internet Network Working Group RFC 1853,October 1995、“IP Encapsulation Within IP”(Internet Network Working Group RFC 2003,October 1996に提供されるように、各種機能を有するIPインターネットワークの各部分の間のブリッジとして機能するエンドポイントの間で情報を転送するのに一般に使用される)又は他の同様の方法などを含む各種手段を用いて確立されるかもしれない。
(2)(パケット分類のためIPパケットのヘッダに設けられたフィールドを指定する)既知のDSCP(Differenciated Services Code Point)の値によるトラフィックのマーキング。本例では、ネットワークインフラストラクチャは、指定された情報をダークネットにわたすため、ポリシーベースルーティング方法を利用することが可能とされる。
(1)未許可のトラフィックを転送するためIPトンネルを開くこと。IPトンネルは、IP−in−IPトンネル(“IP in IP Tunneling”(Internet Network Working Group RFC 1853,October 1995、“IP Encapsulation Within IP”(Internet Network Working Group RFC 2003,October 1996に提供されるように、各種機能を有するIPインターネットワークの各部分の間のブリッジとして機能するエンドポイントの間で情報を転送するのに一般に使用される)又は他の同様の方法などを含む各種手段を用いて確立されるかもしれない。
(2)(パケット分類のためIPパケットのヘッダに設けられたフィールドを指定する)既知のDSCP(Differenciated Services Code Point)の値によるトラフィックのマーキング。本例では、ネットワークインフラストラクチャは、指定された情報をダークネットにわたすため、ポリシーベースルーティング方法を利用することが可能とされる。
本発明の実施例では、実施例に応じて、エンドポイントエージェントは指定された基準に該当するすべてのパケット、当該トラフィックの統計的サンプリングなどの特定のパケット、又は当該トラフィックに関する統計量のみを中央ダークネット/ハニーポットコントローラにわたしてもよい。多数のステーションが分散されたエンドポイントセキュリティソリューションに参加する場合、ネットワークトラフィックの疎な統計的サンプリングでさえ、ネットワークアドミニストレータが状況を解析するのにネットワーク環境で行われているものへの十分な視認性を提供するかもしれない。
本発明のある実施例では、ネットワークは、ホストOSによる参加を知ることなく、企業セキュリティ解析エンティティとして、iAMTをサポートするエンドポイントなどの既存のエンドポイントを利用可能である。この構成は、エンドポイント構成を複雑にせず、パフォーマンスに対する影響を最小限にするため、望ましいものである。さらに、分散されたセキュリティ構成の実施例は、ステーションアドミニストレータでなく管理団体によって直接制御される。ホストOSの外部の制御されたエンティティを使用することは、これらのエンティティをISPセキュリティセンサネットワーク活動全体に統合するプロセスを簡単化し、マルウェア活動の視認性において大きなギャップに接近するよう動作するかもしれない。マルウェアの予想される継続的進化によって、当該機能は完全な防御を実現するのに重要であるかもしれない。さらに、OSの外部のセキュリティエンティティを設けることは、マルウェアがOSを改ざんすることを防ぐのに利用可能である。
本発明の実施例では、ダークネット及びハニーポット機能を向上させるためのプロセスが提供され、トポロジーアウェアマルウェアが監視を逃れる可能性を防ぐよう動作する。本発明の実施例では、システムはハニーポットとしてドメイン内のすべてのホストの利用を可能にする。
図1は、ネットワークへの未許可の又は悪意あるトラフィックエントリの検出及び/又は回避を行うためのネットワークセキュリティ要素の使用を示す。この図では、未許可又は危険なユーザ105が、ファイアウォール110などを含む各種セキュリティエージェント及び装置によりプロテクト可能なネットワーク(ユーザの外部のネットワーク105a)に入ろうとしているか、又はこのようなネットワーク(ユーザの内部のネットワーク105b)においてすでに正当なユーザとなっている。ユーザ105が他のセキュリティ手段を回避することが可能である場合、ユーザは、システム上の1以上のIPアドレスに対する攻撃にアクセス又は生成しようと試みるかもしれない。動作中のネットワーク125へのアクセスを提供する又はその一部であるかもしれないシステムIPアドレス115に加えて、通常はアクセスされるべきでない未使用のIPアドレス120が存在するかもしれない。未使用のIPアドレスにアクセスしようとするユーザ105による試みは、当該活動を検出し、及び/又はユーザの方法又は意図に関する情報を未許可のユーザが漏洩するよう誘導するため、動作中のネットワークをエミュレートするダークネット/ハニーポットサーバに誘導させるかもしれない。さらに、他のネットワーク要素は、ユーザによるアクセスを制限するのに利用可能であり、それは、ダークネットにおいて導出された情報に基づいているかもしれない。
しかしながら、未許可のユーザは、IPアドレス割当てに関する知識を取得しているかもしれず、このため、上述するように未使用のIPスペースへのアクセスを回避し、検出及びダークネット130への誘導を回避するかもしれない。さらに、ユーザ105がダークネットに誘導されたとしても、ダークネットの処理はそれの実際の機能を露呈するかもしれない。特に、ユーザ105が到達しようと試みていたローカルシステムとは対照的に、中央ダークネットサーバからのレスポンスを取得する際の遅延は、ユーザに状況を気付かせるかもしれない。ユーザ105が予め警告される場合、ユーザは検出を回避するため、異なる戦略を試みるかもしれない。
本発明の実施例では、ダークネット/ハニーポットサーバ130の機能は、エンドポイントの処理を利用することを介して支援される。本発明の実施例では、ダークネット及びハニーポット処理は、ローカライズされたエンドポイント機能を利用してセキュリティプロセスの向上を実現する。
図2は、分散されたネットワークセキュリティシステムの実施例である。図2に示されたシステムは、可能なネットワーク構成の単なる一例であり、本発明の実施例は何れか特定のネットワーク構成に限定されるものでない。図2では、ワイドエリアネットワーク(WAN)205が分散されたダークネットコントローラ210を有している。ダークネットコントローラ210は、ネットワークのエンドポイントにおいて実現される分散されたセキュリティ要素のためのコントローラとして機能する。WAN205は、キャンパスAのWANルータ215、キャンパスBのWANルータ220、・・・、キャンパスNのWANルータ215を含むキャンパスのための複数のルータを有する。キャンパスAのWANルータ215は、リアルホストA240、リアルホストB245及びホストA240により実際にエミュレートされるホストC250を含むローカルエリアネットワーク(LAN)によるLANルータ230にデータを送信する。同様に、キャンパスBのWANルータ220は、リアルホストX255、リアルホストY260及びホストX255により実際にエミュレートされるホストZ265を含むローカルエリアネットワーク(LAN)によるLANルータ235にデータを送信する。
本発明の実施例では、ネットワークのダークネット処理は、分散されたダークネットコントローラ210により制御され、エミュレートされるネットワークホスト要素であるホストC250とホストZ265に分散される。本発明の実施例では、不適切なネットワークリクエストに対する視認性の向上が、エミュレートされたホストとリアルホストシステムの双方を通じて提供される。バーチャルなホストC250及びZ265にトラフィックを誘導する試みは、ダークネットコントローラ210に転送又は通知される。さらに、リアルホストA、B、X及びY上の未使用ポートを宛先とするトラフィックはまた、ダークネットコントローラ210に転送又は通知されるかもしれない。リダイレクトされたトラフィックの移行は、IPトンネリングによって、既知のDSCPによりトラフィックをマーキングすることによって、又は他の方法によって提供されるかもしれない。さらに、ホストサーバはまた、ポートがクローズされていることを特定するRSTを傍受し、何れの接続が試みられているか確認するため、SYNACKを送信することが可能であり、試みられた未許可のアクセスに関する情報を識別するため、コントローラ210の分散されたハニーポット処理に当該リクエストをトンネリングするようにしてもよい。
図3は、出力方向(outbound)パケットモニタのための処理を示す。図3では、出力方向パケットモニタプロセス305が確立されると、システムがハニーポットモードにあるか、すなわち、未許可リクエストに対するハニーポット処理が存在するモードにあるか判断される(310)。システムがハニーポットモードにない場合、パケットは通過され、プロセスは315に戻る。ハニーポットモードがアクティブ状態にある場合、RST状態があるか判断される(320)。RST状態がない場合、パケットは通過可能であり、プロセスは315に戻る。RST状態がある場合、未許可ユーザがより多くの情報を漏洩することを誘導しようとするため、SYNACKが送信される(325)。プロセスはさらに、未許可ユーザにTCPセッションが確立されていることを確信させるため、ハニーポットTCPシミュレーションを呼び出すことを含む。
図4は、入力方向(inbound)パケットモニタのための処理を示す。本発明の実施例では、入力方向パケットモニタプロセス405が確立されると、未許可ユーザからの入力方向パケットがわたされる(410)。その後、システムがハニーポットモードにあるか判断される(415)。システムがハニーポットモードにない場合、プロセスは、他のパケットが受信されるまで継続される。システムがハニーポットモードにある場合、パケットに関する統計量が計算され(420)、その後、それは未許可のネットワークトラフィックを解析するのに利用可能である。
図5は、本発明の実施例を利用したコンピュータシステムを示す。コンピュータシステムは、サーバのためのエンドポイントサーバを表し、エンドポイントサーバは、ネットワークの分散されたダークネット/ハニーポット処理において使用される。本発明に関係ない標準的及び周知のコンポーネントは示されていない。本発明の実施例では、コンピュータ500は、情報を通信するためのバス505又は他の通信手段と、情報を処理するためバス505に接続された2以上のプロセッサ510(第1プロセッサ515と第2プロセッサ520として示される)などの処理手段とを有する。プロセッサ510は、1以上の物理的プロセッサと、1以上の論理的プロセッサとを有するかもしれない。さらに、各プロセッサ510は、複数のプロセッサコアを有するかもしれない。コンピュータ500は、簡単化のため1つのバス505により示されているが、複数のバスを有してもよく、このようなバスとのコンポーネント接続は可変的であるかもしれない。図5に示されるバス505は、1以上の物理的バス、ポイント・ツー・ポイント接続、又は双方が適切なブリッジ、アダプタ若しくはコントローラにより接続されるものを表す概念図である。バス505は、例えば、システムバス、PCI(Peripheral Component Interconnect)バス、HyperTransport若しくはISA(Industry Standard Architecture)バス、SCSI(Small Computer System Interface)バス、USB(Universal Serial Bus)、IIC(I2C)バス、“ファイアウォール”とも呼ばれるIEEE(Institute of Electrical and Electronics Engineers)規格1394バス(“Standard for a High Performance Serial Bus”1394−1995,IEEE,published August 30,1996及び補足)を含むかもしれない。
コンピュータ500はさらに、プロセッサ510により実行される命令及び情報を格納するため、メインメモリ525としてRAM(Random Access Memory)又は他の動的ストレージデバイスを有する。メインメモリ525はまた、プロセッサ510による命令の実行中に、一時的な変数又は他の中間情報を格納するのに利用されるかもしれない。RAMメモリは、メモリコンテンツのリフレッシュ処理を要求するDRAM(Dynamic Random Access Memory)と、コンテンツのリフレッシュ処理を要求しないが、コストの高いSRAM(Static Random Access Memory)とを含む。DRAMメモリは、信号を制御するためクロック信号を有するSDRAM(Synchronous Dynamic Random Access Memory)と、EDODRAM(Extended Data−Out Dynamic Random Access Memory)とを含むかもしれない。メインメモリの使用は、無線装置から受信した信号を格納する。コンピュータ500はまた、プロセッサ510に対する命令及び静的情報を格納するため、ROM(Read Only Memory)530及び/又は他の静的ストレージデバイスを有するかもしれない。
データストレージ535がまた、情報及び命令を格納するため、コンピュータ500のバス505に接続されてもよい。データストレージ535は、磁気ディスク若しくは光ディスク及びそれの対応するドライブ、フラッシュメモリ若しくは他の不揮発性メモリ又は他のメモリデバイスを含むかもしれない。これらの要素は、一体化されてもよいし、又は個別のコンポーネントであってもよく、コンピュータ500の他の要素の一部を利用するものであってもよい。
コンピュータ500はまた、エンドユーザに情報を表示するため、CRT(Cathode Ray Tube)ディスプレイ、LCD(Liquid Crystal Display)、プラズマディスプレイ又は他の何れかの表示技術などの表示装置540にバス505を介し接続されるかもしれない。一部の環境では、表示装置は、入力装置の少なくとも一部として利用されるタッチ画面であってもよい。一部の環境では、表示装置540は、音声情報を提供するためのスピーカーなどの音声装置を含むものであってもよいし、そうでなくてもよい。入力装置545は、情報及び/又はコマンド選択をプロセッサ510に通信するため、バス505に接続されてもよい。各種実現形態では、入力装置545は、キーボード、キーパッド、タッチ画面及びスタイラス、音声起動システム、他の入力装置又は上記装置の組み合わせであるかもしれない。他のタイプのユーザ入力装置として、1以上のプロセッサ510に方向情報及びコマンド選択を通信し、表示装置540上のカーソル移動を制御するため、マウス、トラックボール、カーソル方向キーなどのカーソル制御装置550があげられる。
通信装置555はまた、バス505に接続されるかもしれない。実現形態に応じて、通信装置555は、トランシーバ、ワイヤレスモデム、ネットワークインタフェースカード、マザーボード上のLAN又は他のインタフェースデバイスを含むかもしれない。通信装置555を使用することにより、無線装置からの信号を受信する。無線通信について、通信装置555は1以上のアンテナ558を有するかもしれない。一実施例では、通信装置555は、不適切なアクセスからコンピュータ500をプロテクトするためのファイアウォールを有するかもしれない。コンピュータ500は、インターネット、LAN又は他の環境とのリンクを含む通信装置555を使用して、LAN565などのネットワークや他のデバイスとリンクされるかもしれない。コンピュータ500はまた、電力を提供又は生成するため、電源、バッテリ、太陽電池、燃料電池又は他のシステム若しくはデバイスを有する電力装置又はシステム560を有するかもしれない。電力装置又はシステム960により提供される電力は、コンピュータ500の各要素に必要に応じて分配される。
本発明の実施例では、コンピュータ500は、分散されたネットワークセキュリティシステムの一部として動作する機能を含むエンドポイントサーバである。ある実施例では、プロセッサ510は、入力されたデータパケットを処理し、未使用アドレス又はポート番号にアクセスするためのリクエストを有するパケットなど、許可されていると予想されるパケットを検出する。ある実施例では、コンピュータは、未許可のデータトラフィックの一部若しくはすべて又は当該データトラフィックに関する統計量を、検出されたトラフィックの解析とコントローラのセキュリティ処理のため、中央ダークネットコントローラに転送する。
本開示を利用して、本発明の範囲内において上記記載及び図面からの他の多数の変形が可能であるということを当業者は理解するであろう。実際、本発明は、上述した詳細に限定されるものでない。本発明の範囲を規定するのは、請求項とそれに対して補正されたものである。
上記記載では、本発明の完全な理解を提供するため、説明上、多数の具体的詳細が提供された。しかしながら、本発明がこれら具体的詳細のいくつかを使用することなく実現可能であるということは、当業者に明らかであろう。また、周知な構成及び装置はブロック図の形式により示されている。
本発明は、様々なプロセスを有するかもしれない。本発明のプロセスは、ハードウェアコンポーネントにより実行されてもよく、又はプログラムされた汎用若しくは特定用途プロセッサ又は論理回路に当該プロセスを実行させるのに利用されるマシーン実行可能命令により実現されてもよい。あるいは、当該プロセスは、ハードウェアとソフトウェアの組み合わせにより実行されてもよい。
本発明の各部分は、本発明によるプロセスを実行するようコンピュータ(又は他の電子装置)をプログラムするのに利用可能な命令を格納したマシーン可読媒体を含むコンピュータプログラムプロダクトとして提供されるかもしれない。マシーン可読媒体は、以下に限定されるものではないが、フロッピー(登録商標)ディスケット、光ディスク、CD−ROM(Compact Disk Read Only Memory)、光磁気ディスク、ROM、RAM、EPROM(Erasable Programmable ROM)、EEPROM(Electrically EPROM)、磁気若しくは光カード、フラッシュメモリ、又は電子命令を格納するのに適した他のタイプのメディア/マシーン可読媒体を含むかもしれない。さらに、本発明はまた、通信リンク(モデム又はネットワーク接続など)を介し搬送波又は他の伝搬媒体により実現されるデータ信号によって、リモートコンピュータから要求元コンピュータに伝送されるプログラムを有するコンピュータプログラムプロダクトとしてダウンロードされるかもしれない。
本方法の多くは、それらの最も基本的な形式により記述されているが、本発明の基本的な範囲から逸脱することなく、プロセスが何れかの方法に追加又は削除することが可能であり、また記載されたメッセージの何れかに情報を追加又は省略することが可能である。また、さらなる改良及び調整が可能であるということが当業者に明らかであろう。上記実施例は、本発明を限定するものでなく、それを例示するために提供される。本発明の範囲は、上記具体例によってではなく、請求項によってのみ決定されるべきである。
また、本明細書を通じて、“一実施例”又は“ある実施例”とう表現は、ある特徴が本発明の実現形態に含まれるかもしれないことを意味していることが理解されるべきである。同様に、本発明の実施例についての上記説明では、本発明の各種特徴は、本開示を簡単化し、様々な発明の特徴の1以上を理解するのに利用するため、1つの実施例、図面又はその記載に一体的にグループ化されていることが理解されるべきである。しかしながら、本開示による方法は、請求された発明が各請求項に明示的に記載されるよりも多くの特徴を必要とするという意図を反映させるものとして解釈されるべきでない。以下の請求項が反映するように、本発明の特徴は開示された1つの実施例のすべての特徴を有しないかもしれない。従って、各請求項は本発明の個別の実施例として記載されることによって、請求項は本記載に明示的に含まれる。
105 ユーザ
125、205 ネットワーク
130 サーバ
210 ダークネットコントローラ
215、220、225 ルータ
240、245、250 ホスト
500 コンピュータ
505 バス
510 プロセッサ
525 メモリ
535 データストレージ
125、205 ネットワーク
130 サーバ
210 ダークネットコントローラ
215、220、225 ルータ
240、245、250 ホスト
500 コンピュータ
505 バス
510 プロセッサ
525 メモリ
535 データストレージ
Claims (24)
- エンドポイントサーバにおいてネットワークへのアクセスに対するリクエストを受信するステップと、
前記リクエストが未許可のリクエストを含むことを検出するステップと、
前記リクエストをネットワークセキュリティ要素に誘導するステップと、
を有する方法。 - 前記未許可のリクエストは、アクティブなアドレスの未使用要素に対するリクエストを含む、請求項1記載の方法。
- 前記未使用要素は、アクティブなIP(Internet Protocol)アドレスの未使用ポートである、請求項2記載の方法。
- 前記ネットワークセキュリティ要素から前記ネットワークの動作から独立したセキュリティコントローラに、前記未許可のリクエストに関するデータを誘導するステップをさらに有する、請求項1記載の方法。
- 前記未許可のリクエストに関するデータは、前記ネットワークへのアクセスに対するリクエストを含むデータパケットを有する、請求項4記載の方法。
- 前記データは、前記ネットワークへのアクセスに対するリクエストを記述した統計量を有する、請求項4記載の方法。
- 前記ネットワークセキュリティ要素が、前記リクエストのアクノリッジメントによって前記リクエストに応答するステップをさらに有する、請求項1記載の方法。
- 前記ネットワークセキュリティ要素は、エミュレートされたサーバである、請求項1記載の方法。
- ネットワークへのアクセスに対するリクエストを受信するためのインタフェースと、
前記ネットワークへのアクセスに対する許可されたリクエストを検出するモジュールと、
ネットワークセキュリティ要素と、
を有するサーバであって、
当該サーバは、検出された未許可のリクエストを前記ネットワークセキュリティ要素に誘導するサーバ。 - 検出された未許可のリクエストは、アクティブなネットワークアドレスの未使用要素に対するリクエストを含む、請求項9記載のサーバ。
- 前記未使用要素は、アクティブなIP(Internet Protocol)アドレスの未使用ポートである、請求項10記載のサーバ。
- 前記ネットワークセキュリティ要素は、前記未許可のリクエストに関するデータをダークネットサーバに誘導する、請求項9記載のサーバ。
- 前記ネットワークセキュリティ要素は、前記検出された未許可のリクエストの1以上を前記ダークネットサーバに誘導する、請求項12記載のサーバ。
- 前記ネットワークセキュリティ要素は、前記検出された未許可のリクエストの1以上を記述する統計量を前記ダークネットサーバに誘導する、請求項12記載のサーバ。
- 前記ネットワークセキュリティ要素は、前記リクエストのアクノリッジメントにより検出された未許可のリクエストに応答する、請求項9記載のサーバ。
- 前記ネットワークセキュリティ要素は、当該サーバによるエミュレーションから構成される、請求項9記載のサーバ。
- イーサネット(登録商標)接続のためのイーサネット(登録商標)ケーブルと、
前記イーサネット(登録商標)ケーブルに接続され、当該ネットワークへのアクセスに対する未許可のリクエストを誘導するエンドポイントサーバと、
前記エンドポイントサーバに接続されるネットワークセキュリティ要素と、
前記ネットワークの動作から独立したセキュリティサーバと、
を有するネットワークであって、
前記エンドポイントサーバは、当該ネットワークへのアクセスに対する検出された未許可のリクエストを前記ネットワークセキュリティ要素に送信し、
前記セキュリティサーバは、前記ネットワークセキュリティ要素から前記未許可のリクエストに関するデータを受信するネットワーク。 - 検出された未許可のリクエストは、アクティブなネットワークアドレスの未使用要素に対するリクエストを含む、請求項17記載のネットワーク。
- 前記ネットワークセキュリティ要素は、前記リクエストのアクノリッジメントによって検出された未許可のリクエストに応答する、請求項17記載のネットワーク。
- 前記ネットワークセキュリティ要素は、エミュレートされたサーバから構成される、請求項17記載のネットワーク。
- マシーンによりアクセスされると、
エンドポイントサーバにおいてネットワークへのアクセスに対するリクエストを受信するステップと、
前記リクエストが未許可のリクエストを含むことを検出するステップと、
前記リクエストをネットワークセキュリティ要素に誘導するステップと、
を有する処理を前記マシーンに実行させるデータを有するマシーンアクセス可能媒体から構成される生産物。 - 前記未許可のリクエストは、アクティブなアドレスの未使用要素に対するリクエストを含む、請求項21記載の生産物。
- 前記未使用要素は、アクティブなIP(Internet Protocol)アドレスの未使用ポートである、請求項22記載の生産物。
- 前記マシーンアクセス可能媒体はさらに、前記ネットワークセキュリティ要素から前記ネットワークの動作から独立したセキュリティコントローラに、前記未許可のリクエストに関するデータを誘導するステップをさらに有する処理を前記マシーンに実行されるデータを有する、請求項21記載の生産物。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/647,860 US8949986B2 (en) | 2006-12-29 | 2006-12-29 | Network security elements using endpoint resources |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011116659A Division JP2011210273A (ja) | 2006-12-29 | 2011-05-25 | エンドポイントリソースを使用したネットワークセキュリティ要素 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2008165796A true JP2008165796A (ja) | 2008-07-17 |
Family
ID=39586010
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007334351A Pending JP2008165796A (ja) | 2006-12-29 | 2007-12-26 | エンドポイントリソースを使用したネットワークセキュリティ要素 |
| JP2011116659A Pending JP2011210273A (ja) | 2006-12-29 | 2011-05-25 | エンドポイントリソースを使用したネットワークセキュリティ要素 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011116659A Pending JP2011210273A (ja) | 2006-12-29 | 2011-05-25 | エンドポイントリソースを使用したネットワークセキュリティ要素 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US8949986B2 (ja) |
| EP (1) | EP1988683B1 (ja) |
| JP (2) | JP2008165796A (ja) |
| KR (1) | KR101010465B1 (ja) |
| CN (1) | CN101212482B (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010161488A (ja) * | 2009-01-06 | 2010-07-22 | National Institute Of Information & Communication Technology | ネットワーク監視システム及びその方法 |
| US8677484B2 (en) | 2011-03-31 | 2014-03-18 | International Business Machines Corporation | Providing protection against unauthorized network access |
Families Citing this family (47)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8667582B2 (en) * | 2007-12-10 | 2014-03-04 | Mcafee, Inc. | System, method, and computer program product for directing predetermined network traffic to a honeypot |
| US8413238B1 (en) * | 2008-07-21 | 2013-04-02 | Zscaler, Inc. | Monitoring darknet access to identify malicious activity |
| US8650630B2 (en) * | 2008-09-18 | 2014-02-11 | Alcatel Lucent | System and method for exposing malicious sources using mobile IP messages |
| US8732296B1 (en) * | 2009-05-06 | 2014-05-20 | Mcafee, Inc. | System, method, and computer program product for redirecting IRC traffic identified utilizing a port-independent algorithm and controlling IRC based malware |
| US8752174B2 (en) * | 2010-12-27 | 2014-06-10 | Avaya Inc. | System and method for VoIP honeypot for converged VoIP services |
| US9356942B1 (en) | 2012-03-05 | 2016-05-31 | Neustar, Inc. | Method and system for detecting network compromise |
| US9245144B2 (en) * | 2012-09-27 | 2016-01-26 | Intel Corporation | Secure data container for web applications |
| WO2014063110A1 (en) * | 2012-10-19 | 2014-04-24 | ZanttZ, Inc. | Network infrastructure obfuscation |
| CN104426742B (zh) * | 2013-08-27 | 2019-03-15 | 腾讯科技(深圳)有限公司 | 群组访问方法、服务器、客户端及系统 |
| US9621568B2 (en) * | 2014-02-11 | 2017-04-11 | Varmour Networks, Inc. | Systems and methods for distributed threat detection in a computer network |
| US11507663B2 (en) | 2014-08-11 | 2022-11-22 | Sentinel Labs Israel Ltd. | Method of remediating operations performed by a program and system thereof |
| US9710648B2 (en) | 2014-08-11 | 2017-07-18 | Sentinel Labs Israel Ltd. | Method of malware detection and system thereof |
| US10193924B2 (en) * | 2014-09-17 | 2019-01-29 | Acalvio Technologies, Inc. | Network intrusion diversion using a software defined network |
| CN104410705A (zh) * | 2014-12-10 | 2015-03-11 | 成都实唯物联网科技有限公司 | 一种安全的多外设远程群控网络、组网方法及通信方法 |
| US9525697B2 (en) | 2015-04-02 | 2016-12-20 | Varmour Networks, Inc. | Delivering security functions to distributed networks |
| US9938019B2 (en) * | 2015-05-21 | 2018-04-10 | The Boeing Company | Systems and methods for detecting a security breach in an aircraft network |
| WO2016189843A1 (ja) * | 2015-05-27 | 2016-12-01 | 日本電気株式会社 | セキュリティシステム、セキュリティ方法、及びプログラムを記憶する記録媒体 |
| US10142353B2 (en) | 2015-06-05 | 2018-11-27 | Cisco Technology, Inc. | System for monitoring and managing datacenters |
| US10536357B2 (en) | 2015-06-05 | 2020-01-14 | Cisco Technology, Inc. | Late data detection in data center |
| US10051059B2 (en) * | 2015-06-05 | 2018-08-14 | Fisher-Rosemount Systems, Inc. | Methods and apparatus to control communications of endpoints in an industrial enterprise system based on integrity |
| US10560422B2 (en) * | 2015-06-28 | 2020-02-11 | Verisign, Inc. | Enhanced inter-network monitoring and adaptive management of DNS traffic |
| US11252181B2 (en) * | 2015-07-02 | 2022-02-15 | Reliaquest Holdings, Llc | Threat intelligence system and method |
| US10476891B2 (en) * | 2015-07-21 | 2019-11-12 | Attivo Networks Inc. | Monitoring access of network darkspace |
| US20170155717A1 (en) * | 2015-11-30 | 2017-06-01 | Intel Corporation | Direct memory access for endpoint devices |
| CN105553817A (zh) * | 2015-12-09 | 2016-05-04 | 小米科技有限责任公司 | 即时通讯信息查看方法、装置和终端 |
| US10284598B2 (en) * | 2016-01-29 | 2019-05-07 | Sophos Limited | Honeypot network services |
| US11108562B2 (en) | 2016-05-05 | 2021-08-31 | Neustar, Inc. | Systems and methods for verifying a route taken by a communication |
| WO2017193093A1 (en) | 2016-05-05 | 2017-11-09 | Neustar, Inc. | Systems and methods for enabling trusted communications between entities |
| US10958725B2 (en) | 2016-05-05 | 2021-03-23 | Neustar, Inc. | Systems and methods for distributing partial data to subnetworks |
| US11277439B2 (en) | 2016-05-05 | 2022-03-15 | Neustar, Inc. | Systems and methods for mitigating and/or preventing distributed denial-of-service attacks |
| US11025428B2 (en) | 2016-05-05 | 2021-06-01 | Neustar, Inc. | Systems and methods for enabling trusted communications between controllers |
| US9985988B2 (en) * | 2016-06-01 | 2018-05-29 | Acalvio Technologies, Inc. | Deception to detect network scans |
| US10447734B2 (en) * | 2016-11-11 | 2019-10-15 | Rapid7, Inc. | Monitoring scan attempts in a network |
| US11616812B2 (en) | 2016-12-19 | 2023-03-28 | Attivo Networks Inc. | Deceiving attackers accessing active directory data |
| US11695800B2 (en) | 2016-12-19 | 2023-07-04 | SentinelOne, Inc. | Deceiving attackers accessing network data |
| US20180302418A1 (en) * | 2017-04-12 | 2018-10-18 | Cybersecurity Defense Solutions, Llc | Method and system for detection and interference of network reconnaissance |
| EP3643040A4 (en) | 2017-08-08 | 2021-06-09 | SentinelOne, Inc. | METHODS, SYSTEMS AND DEVICES FOR DYNAMIC MODELING AND GROUPING OF END POINTS FOR EDGE NETWORKING |
| US11233821B2 (en) * | 2018-01-04 | 2022-01-25 | Cisco Technology, Inc. | Network intrusion counter-intelligence |
| US11470115B2 (en) | 2018-02-09 | 2022-10-11 | Attivo Networks, Inc. | Implementing decoys in a network environment |
| TWI657681B (zh) * | 2018-02-13 | 2019-04-21 | 愛迪爾資訊有限公司 | 網路流分析方法及其相關系統 |
| CN108833333B (zh) * | 2018-04-12 | 2020-07-10 | 中国科学院信息工程研究所 | 一种基于dcs分布式控制的蜜罐系统 |
| CN108881512B (zh) * | 2018-06-15 | 2021-06-29 | 郑州云海信息技术有限公司 | Ctdb的虚拟ip均衡分配方法、装置、设备及介质 |
| US10762200B1 (en) | 2019-05-20 | 2020-09-01 | Sentinel Labs Israel Ltd. | Systems and methods for executable code detection, automatic feature extraction and position independent code detection |
| CN112422481B (zh) * | 2019-08-22 | 2021-10-26 | 华为技术有限公司 | 网络威胁的诱捕方法、系统和转发设备 |
| US11579857B2 (en) | 2020-12-16 | 2023-02-14 | Sentinel Labs Israel Ltd. | Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach |
| CN113098905B (zh) * | 2021-05-08 | 2022-04-19 | 广州锦行网络科技有限公司 | 基于蜜罐的窄带物联网终端设备的防攻击方法及系统 |
| US11899782B1 (en) | 2021-07-13 | 2024-02-13 | SentinelOne, Inc. | Preserving DLL hooks |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004086880A (ja) * | 2002-06-28 | 2004-03-18 | Oki Electric Ind Co Ltd | 警戒システム、広域ネットワーク防護システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法 |
| US20040111636A1 (en) * | 2002-12-05 | 2004-06-10 | International Business Machines Corp. | Defense mechanism for server farm |
| JP2005128919A (ja) * | 2003-10-27 | 2005-05-19 | Nec Fielding Ltd | ネットワークセキュリティーシステム |
| WO2006113781A1 (en) * | 2005-04-18 | 2006-10-26 | The Trustees Of Columbia University In The City Of New York | Systems and methods for detecting and inhibiting attacks using honeypots |
Family Cites Families (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6981155B1 (en) * | 1999-07-14 | 2005-12-27 | Symantec Corporation | System and method for computer security |
| US6775657B1 (en) * | 1999-12-22 | 2004-08-10 | Cisco Technology, Inc. | Multilayered intrusion detection system and method |
| US6907533B2 (en) * | 2000-07-14 | 2005-06-14 | Symantec Corporation | System and method for computer security using multiple cages |
| JP4683518B2 (ja) * | 2001-07-24 | 2011-05-18 | Kddi株式会社 | 不正侵入防止システム |
| US7058796B2 (en) * | 2002-05-20 | 2006-06-06 | Airdefense, Inc. | Method and system for actively defending a wireless LAN against attacks |
| US7042852B2 (en) * | 2002-05-20 | 2006-05-09 | Airdefense, Inc. | System and method for wireless LAN dynamic channel change with honeypot trap |
| JP3794491B2 (ja) * | 2002-08-20 | 2006-07-05 | 日本電気株式会社 | 攻撃防御システムおよび攻撃防御方法 |
| US7412723B2 (en) * | 2002-12-31 | 2008-08-12 | International Business Machines Corporation | Method and system for morphing honeypot with computer security incident correlation |
| US7383578B2 (en) * | 2002-12-31 | 2008-06-03 | International Business Machines Corporation | Method and system for morphing honeypot |
| US7031264B2 (en) * | 2003-06-12 | 2006-04-18 | Avaya Technology Corp. | Distributed monitoring and analysis system for network traffic |
| GB2405229B (en) * | 2003-08-19 | 2006-01-11 | Sophos Plc | Method and apparatus for filtering electronic mail |
| US8127356B2 (en) * | 2003-08-27 | 2012-02-28 | International Business Machines Corporation | System, method and program product for detecting unknown computer attacks |
| US7581249B2 (en) * | 2003-11-14 | 2009-08-25 | Enterasys Networks, Inc. | Distributed intrusion response system |
| EP1578082B1 (en) * | 2004-03-16 | 2007-04-18 | AT&T Corp. | Method and apparatus for providing mobile honeypots |
| US8190731B2 (en) * | 2004-06-15 | 2012-05-29 | Alcatel Lucent | Network statistics processing device |
| US7657735B2 (en) * | 2004-08-19 | 2010-02-02 | At&T Corp | System and method for monitoring network traffic |
| JP2006099590A (ja) | 2004-09-30 | 2006-04-13 | Oki Electric Ind Co Ltd | アクセス制御装置、アクセス制御方法およびアクセス制御プログラム |
| US7464171B2 (en) * | 2004-10-01 | 2008-12-09 | Microsoft Corporation | Effective protection of computer data traffic in constrained resource scenarios |
| US7540025B2 (en) * | 2004-11-18 | 2009-05-26 | Cisco Technology, Inc. | Mitigating network attacks using automatic signature generation |
| US20060161982A1 (en) * | 2005-01-18 | 2006-07-20 | Chari Suresh N | Intrusion detection system |
| US7765596B2 (en) * | 2005-02-09 | 2010-07-27 | Intrinsic Security, Inc. | Intrusion handling system and method for a packet network with dynamic network address utilization |
| US8065722B2 (en) * | 2005-03-21 | 2011-11-22 | Wisconsin Alumni Research Foundation | Semantically-aware network intrusion signature generator |
| US8171544B2 (en) * | 2005-04-20 | 2012-05-01 | Cisco Technology, Inc. | Method and system for preventing, auditing and trending unauthorized traffic in network systems |
| US7574741B2 (en) * | 2005-04-20 | 2009-08-11 | Cisco Technology, Inc. | Method and system for preventing operating system detection |
| US20070005963A1 (en) * | 2005-06-29 | 2007-01-04 | Intel Corporation | Secured one time access code |
| US20070011676A1 (en) * | 2005-06-30 | 2007-01-11 | Ravi Sahita | Architecture and system for secure host management |
| US8132018B2 (en) * | 2005-06-30 | 2012-03-06 | Intel Corporation | Techniques for password attack mitigation |
| US8015605B2 (en) * | 2005-08-29 | 2011-09-06 | Wisconsin Alumni Research Foundation | Scalable monitor of malicious network traffic |
| US7706253B1 (en) * | 2005-12-02 | 2010-04-27 | Network Equipment Technologies, Inc. | Gateway to route communications during a fault |
| US20080134321A1 (en) * | 2006-12-05 | 2008-06-05 | Priya Rajagopal | Tamper-resistant method and apparatus for verification and measurement of host agent dynamic data updates |
-
2006
- 2006-12-29 US US11/647,860 patent/US8949986B2/en not_active Expired - Fee Related
-
2007
- 2007-12-21 EP EP07255031.2A patent/EP1988683B1/en not_active Not-in-force
- 2007-12-26 JP JP2007334351A patent/JP2008165796A/ja active Pending
- 2007-12-28 KR KR1020070140966A patent/KR101010465B1/ko not_active IP Right Cessation
- 2007-12-28 CN CN200710305278XA patent/CN101212482B/zh not_active Expired - Fee Related
-
2011
- 2011-05-25 JP JP2011116659A patent/JP2011210273A/ja active Pending
-
2015
- 2015-02-03 US US14/613,334 patent/US9979749B2/en not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004086880A (ja) * | 2002-06-28 | 2004-03-18 | Oki Electric Ind Co Ltd | 警戒システム、広域ネットワーク防護システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法 |
| US20040111636A1 (en) * | 2002-12-05 | 2004-06-10 | International Business Machines Corp. | Defense mechanism for server farm |
| JP2005128919A (ja) * | 2003-10-27 | 2005-05-19 | Nec Fielding Ltd | ネットワークセキュリティーシステム |
| WO2006113781A1 (en) * | 2005-04-18 | 2006-10-26 | The Trustees Of Columbia University In The City Of New York | Systems and methods for detecting and inhibiting attacks using honeypots |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010161488A (ja) * | 2009-01-06 | 2010-07-22 | National Institute Of Information & Communication Technology | ネットワーク監視システム及びその方法 |
| US8677484B2 (en) | 2011-03-31 | 2014-03-18 | International Business Machines Corporation | Providing protection against unauthorized network access |
| US8683589B2 (en) | 2011-03-31 | 2014-03-25 | International Business Machines Corporation | Providing protection against unauthorized network access |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2011210273A (ja) | 2011-10-20 |
| US20150244739A1 (en) | 2015-08-27 |
| US20080163354A1 (en) | 2008-07-03 |
| CN101212482A (zh) | 2008-07-02 |
| US8949986B2 (en) | 2015-02-03 |
| CN101212482B (zh) | 2013-11-20 |
| KR101010465B1 (ko) | 2011-01-21 |
| US9979749B2 (en) | 2018-05-22 |
| EP1988683A1 (en) | 2008-11-05 |
| KR20080063209A (ko) | 2008-07-03 |
| EP1988683B1 (en) | 2013-07-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101010465B1 (ko) | 엔드포인트 리소스를 사용하는 네트워크 보안 요소 | |
| Birkinshaw et al. | Implementing an intrusion detection and prevention system using software-defined networking: Defending against port-scanning and denial-of-service attacks | |
| US10652210B2 (en) | System and method for redirected firewall discovery in a network environment | |
| EP3923551A1 (en) | Method and system for entrapping network threat, and forwarding device | |
| US8661250B2 (en) | Remote activation of covert service channels | |
| CN110099040B (zh) | 一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法 | |
| CN111756712B (zh) | 一种基于虚拟网络设备伪造ip地址防攻击的方法 | |
| US11252183B1 (en) | System and method for ransomware lateral movement protection in on-prem and cloud data center environments | |
| CN110881052A (zh) | 网络安全的防御方法、装置及系统、可读存储介质 | |
| CN212850561U (zh) | 实现内网信息安全的网络安全隔离装置 | |
| Lu et al. | An SDN‐based authentication mechanism for securing neighbor discovery protocol in IPv6 | |
| Žagar et al. | Security aspects in IPv6 networks–implementation and testing | |
| Rahman et al. | Holistic approach to arp poisoning and countermeasures by using practical examples and paradigm | |
| KR101593897B1 (ko) | 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법 | |
| Luo et al. | TPAH: a universal and multi-platform deployable port and address hopping mechanism | |
| Scott-Hayward et al. | OFMTL-SEC: State-based security for software defined networks | |
| Juba et al. | Dynamic isolation of network devices using OpenFlow for keeping LAN secure from intra-LAN attack | |
| Abdulla | Survey of security issues in IPv4 to IPv6 tunnel transition mechanisms | |
| Mutaher et al. | OPENFLOW CONTROLLER-BASED SDN: SECURITY ISSUES AND COUNTERMEASURES. | |
| Assegie et al. | Comparative study on methods used in prevention and detection against adress resolution protocol spoofing attack | |
| Quitiqut et al. | Utilizing Switch Port Link State to Detect Rogue Switches | |
| Deri et al. | Practical network security: experiences with ntop | |
| Sallowm et al. | a hybrid honeypot scheme for Distributed Denial of Service Attack | |
| CN112671783B (zh) | 一种基于vlan用户组的防主机ip扫描方法 | |
| Sun et al. | simulation and safety Analysis of 6to4 Tunnel Technology Based on eNsP |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100518 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100818 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100914 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101214 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110125 |