JP2011198149A - セキュリティリスク検出システム - Google Patents
セキュリティリスク検出システム Download PDFInfo
- Publication number
- JP2011198149A JP2011198149A JP2010065202A JP2010065202A JP2011198149A JP 2011198149 A JP2011198149 A JP 2011198149A JP 2010065202 A JP2010065202 A JP 2010065202A JP 2010065202 A JP2010065202 A JP 2010065202A JP 2011198149 A JP2011198149 A JP 2011198149A
- Authority
- JP
- Japan
- Prior art keywords
- communication data
- network
- filter
- virus
- storage means
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【解決手段】実施態様によれば、第1のネットワークと第2のネットワークとの間に設けられ、第1のネットワークから入力された通信データをフィルタリングして出力する第1のフィルタ手段と、第1のフィルタ手段に入力された通信データを保存する第1の保存手段と、第1のフィルタ手段から出力された通信データを保存する第2の保存手段と、第1の保存手段に保存されている通信データをフィルタリングして出力する第2のフィルタ手段と、第2のフィルタ手段から出力された通信データを保存する第3の保存手段と、第2の保存手段に保存されている通信データと第3の保存手段に保存された通信データとを比較し、この比較結果を外部システムに通知する比較手段とを備える。
【選択図】図1
Description
前記第1の保存手段に保存されている通信データをフィルタリングして出力する第2のフィルタ手段と、前記第2のフィルタ手段から出力された通信データを保存する第3の保存手段と、前記第2の保存手段に保存されている通信データと前記第1の保存手段に保存されている通信データが前記第2のフィルタ手段でフィルタリングされた結果として前記第2のフィルタ手段から出力され前記第3の保存手段に保存された通信データとを比較し、この比較結果を外部システムに通知する比較手段とを備えることを特徴とする。
本実施例のセキュリティリスク検出システムの構成を示すブロック図を図1に示す。同図に示すように、本実施形態に係るセキュリティリスク検出システム10は、
フィルタ群50と、ネットワークフォレンジックツール(NFT)60と、再検証/比較サーバ80とから構成されている。
・ 過去の通信データをその通信当時フィルタ群50aでフィルタリングした結果
と
・ 上記と同じ過去の通信データを最新の設定を適用した現在のフィルタ群50bでフィルタリングした結果
を比較する。
(2)処理
以下、内向き(外部ネットワーク20から内部ネットワーク30方向)の通信にて、通信当時のフィルタ群50aでフィルタリングした結果と、最新の設定を適用したフィルタ群50bでフィルタリングを通した結果を比較する例を、フィルタリングによる通信データの遮断の有無によって以下の4パターンに分けて記載する。
[通信データ記録処理(内向き)]
通信データ記録処理(内向き)を図6のフローチャートと図7のシーケンス図を用いて説明する。ここで内向きとは、外部ネットワーク20から内部ネットワーク30への方向を意味する。
[通信データ記録処理(外向き)]
通信データ記録処理(外向き)を図8のフローチャートと図9のシーケンス図を用いて説明する。ここで外向きとは、システム内から外部ネットワーク20への方向を意味する。
[再検証/比較処理]
再検証/比較処理を図10のフローチャートに従い説明する。
[再検証/比較処理(内向き)]
再検証/比較フロー(内向き)の流れを示すフローチャートを図11に示す。
本実施例のセキュリティリスク検出システムによれば、各端末のセキュリティ対策の完全性によらず、過去のパターンファイルを適用したフィルタ群50では検出できなかった潜在的なセキュリティリスクを早期発見することで、時限ウイルス等による被害を防ぐと共に、各セキュリティリスク要因の登場時期や送信元も特定できるようになる。
本実施例のセキュリティリスク検出システムによれば、実施例1の効果に加えて、早期発見したセキュリティリスクの被害拡大を抑制することが可能となる。
本実施例のセキュリティリスク検出システムによれば、統計情報に基づいてフォレンジックツールの保存期間を限定するので、高いセキュリティリスク発見率を維持したまま、ディスク使用量を抑えることが可能となる。
セキュリティリスク検出システムの構成例を図14に示す。同図に示すように、本実施形態に係るセキュリティリスク検出システム10は、フィルタ群50として、メールサーバに加えてスパムフィルタ(SPAM Filter)を使用する場合の例である。
再検証/比較サーバは、
過去の結果が「加工無」であり、 現在の結果が「加工有」なら、過去にSPAMメールをそのまま通過させてしまった可能性があるので、SMTPサーバ(メール送信用サーバ)105を利用して、前記メールの取消しメールと、前記メールをSPAMとして加工した結果をメール送信する。
本実施例のセキュリティリスク検出システムによれば、スパムフィルタが過去にスパムメールをそのまま通過させてしまっていた場合でも、取り消して正しい結果をメール受信者に伝えることが可能となる。
上記のように、本発明の実施例によって記載したが、この開示の一部をなす論述及び図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施の形態、実施例及び運用技術が明らかとなる。
20・・・外部ネットワーク(インターネット)
30・・・内部ネットワーク(イントラネット)
31・・・コンピュータ(PC)
31a・・・コンピュータa(PCa)
31b・・・コンピュータb(PCb)
32・・・バーチャルLAN対応ネットワークスイッチ(VLAN対応SW)
40・・・スイッチ(SW)
40a・・・スイッチa(SWa)
40b・・・スイッチb(SWb)
50・・・フィルタ群
50a・・・フィルタ群a
50b・・・フィルタ群b
51・・・ファイアウォール(FW)
52・・・不正侵入不正行為検出装置(IPS/IDS)
53・・・ウイルス対策ゲートウェイ(GW)
60・・・ネットワークフォレンジックツール
60a・・・ネットワークフォレンジックツールa(NFTa)
60b・・・ネットワークフォレンジックツールb(NFTb)
70・・・ディスク
70a・・・ディスクa
70b・・・ディスクb
80・・・再検証/比較サーバ
80a・・・再検証/比較サーバa
80b・・・再検証/比較サーバb
100・・・外部システム
105・・・SMTPサーバ(メール送信用サーバ)
110・・・保存期間判定サーバ
120・・・ウィルスデータベースサーバ
Claims (4)
- 第1のネットワークと第2のネットワークとの間に設けられ、前記第1のネットワークから入力された通信データをフィルタリングして出力する第1のフィルタ手段と、
前記第1のネットワークから前記第1のフィルタ手段に入力された通信データを保存する第1の保存手段と、
前記第1のフィルタ手段から出力された通信データを保存する第2の保存手段と、
前記第1の保存手段に保存されている通信データをフィルタリングして出力する第2のフィルタ手段と、
前記第2のフィルタ手段から出力された通信データを保存する第3の保存手段と、
前記第2の保存手段に保存されている通信データと前記第1の保存手段に保存されている通信データが前記第2のフィルタ手段でフィルタリングされた結果として前記第2のフィルタ手段から出力され前記第3の保存手段に保存された通信データとを比較し、この比較結果を外部システムに通知する比較手段と
を具備することを特徴とするセキュリティリスク検出システム。 - 前記比較手段で比較した通信データが一致しない場合、前記一致しない通信データの少なくとも送信元または受信先いずれかのノードを指定するアドレスを持つ通信データを前記第1のフィルタ手段が遮断する
ことを特徴とする請求項1記載のセキュリティリスク検出システム。 - 前記第1のネットワークと前記第2のネットワーク内に設けられたノードとの通信データの通過をアドレスごとに遮断する検疫ネットワーク手段を更に備え、
前記比較手段で比較した通信データが一致しない場合、前記検疫ネットワーク手段は前記一致しない通信データの送信元または受信先となるノードのうち、少なくともいずれかのノードとの通信データの通過を遮断する
ことを特徴とする請求項1乃至請求項2記載のセキュリティリスク検出システム。 - ウイルスの登場時期とそれらの検出と駆除のためのパターンファイル作成時期の情報を保存したウイルス情報保存手段と、
前記第1の保存手段と前記第2の保存手段における通信データの保存期間を指示する指示手段とを備え、
前記指示手段は、前記ウイルス情報保存手段から前記ウイルスの登場時期とそのウイルスに対応する前記パターンファイルの作成時期を取得してその差から各ウイルスの対処期間と対処数を算出し、
この対処数を度数とする度数分布に基づいてウイルスの前記対処期間が含まれる期間を判断し、
この期間を前記通信データの保存期間として前記第1の保存手段と前記第2の保存手段に指示すること
を特徴とする請求項1乃至請求項3記載のセキュリティリスク検出システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010065202A JP2011198149A (ja) | 2010-03-19 | 2010-03-19 | セキュリティリスク検出システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010065202A JP2011198149A (ja) | 2010-03-19 | 2010-03-19 | セキュリティリスク検出システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2011198149A true JP2011198149A (ja) | 2011-10-06 |
Family
ID=44876238
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010065202A Pending JP2011198149A (ja) | 2010-03-19 | 2010-03-19 | セキュリティリスク検出システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2011198149A (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016038662A1 (ja) * | 2014-09-08 | 2016-03-17 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007018182A (ja) * | 2005-07-06 | 2007-01-25 | Mitsubishi Electric Corp | ウイルス検査装置及びウイルス検査システム |
JP2007264990A (ja) * | 2006-03-28 | 2007-10-11 | Matsushita Electric Works Ltd | 不正通信の自動通知装置、不正通信の自動通知プログラム |
JP2008197910A (ja) * | 2007-02-13 | 2008-08-28 | Fujitsu Ltd | ルール検証装置およびルール検証方法 |
-
2010
- 2010-03-19 JP JP2010065202A patent/JP2011198149A/ja active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007018182A (ja) * | 2005-07-06 | 2007-01-25 | Mitsubishi Electric Corp | ウイルス検査装置及びウイルス検査システム |
JP2007264990A (ja) * | 2006-03-28 | 2007-10-11 | Matsushita Electric Works Ltd | 不正通信の自動通知装置、不正通信の自動通知プログラム |
JP2008197910A (ja) * | 2007-02-13 | 2008-08-28 | Fujitsu Ltd | ルール検証装置およびルール検証方法 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016038662A1 (ja) * | 2014-09-08 | 2016-03-17 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
US9794274B2 (en) | 2014-09-08 | 2017-10-17 | Mitsubishi Electric Corporation | Information processing apparatus, information processing method, and computer readable medium |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7334264B2 (en) | Computer virus generation detection apparatus and method | |
CN100530208C (zh) | 适于病毒防护的网络隔离技术 | |
EP1873992B1 (en) | Packet classification in a network security device | |
EP2541862B1 (en) | A method of and apparatus for monitoring for security threats in computer network traffic | |
TWI453624B (zh) | 資訊安全防護主機 | |
US20060037075A1 (en) | Dynamic network detection system and method | |
US8261355B2 (en) | Topology-aware attack mitigation | |
US8751787B2 (en) | Method and device for integrating multiple threat security services | |
JP5050781B2 (ja) | マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法 | |
Stiawan et al. | The trends of intrusion prevention system network | |
KR20040106501A (ko) | 보안 정책의 자동 설정 및 갱신을 위한 방법 | |
CN110572412A (zh) | 云环境下基于入侵检测系统反馈的防火墙及其实现方法 | |
CN105187435A (zh) | 一种防火墙规则过滤优化方法 | |
US8898276B1 (en) | Systems and methods for monitoring network ports to redirect computing devices to a protected network | |
EP3767913B1 (en) | Systems and methods for correlating events to detect an information security incident | |
JP2004302538A (ja) | ネットワークセキュリティシステム及びネットワークセキュリティ管理方法 | |
JP2008083751A (ja) | 不正アクセス対応ネットワークシステム | |
US11399036B2 (en) | Systems and methods for correlating events to detect an information security incident | |
JP2017204721A (ja) | セキュリティシステム | |
CN108810008A (zh) | 传输控制协议流量过滤方法、装置、服务器及存储介质 | |
JPWO2015011827A1 (ja) | 情報処理装置、フィルタリングシステム、フィルタリング方法、及びフィルタリングプログラム | |
JP2011198149A (ja) | セキュリティリスク検出システム | |
US20040093514A1 (en) | Method for automatically isolating worm and hacker attacks within a local area network | |
CN114172881B (zh) | 基于预测的网络安全验证方法、装置及系统 | |
JP2009005122A (ja) | 不正アクセス検知装置、セキュリティ管理装置およびこれを用いた不正アクセス検知システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20111128 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20111206 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120530 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120601 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20121019 |