JP2012104088A - 情報セキュリティ保護ホスト - Google Patents

情報セキュリティ保護ホスト Download PDF

Info

Publication number
JP2012104088A
JP2012104088A JP2010273505A JP2010273505A JP2012104088A JP 2012104088 A JP2012104088 A JP 2012104088A JP 2010273505 A JP2010273505 A JP 2010273505A JP 2010273505 A JP2010273505 A JP 2010273505A JP 2012104088 A JP2012104088 A JP 2012104088A
Authority
JP
Japan
Prior art keywords
operating system
information
packet
service
network service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010273505A
Other languages
English (en)
Other versions
JP5374485B2 (ja
Inventor
Chih-Hung Lin
林志鴻
Chin-Wei Tien
田謹維
Seong-Ho Wang
王聲浩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute for Information Industry
Original Assignee
Institute for Information Industry
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute for Information Industry filed Critical Institute for Information Industry
Publication of JP2012104088A publication Critical patent/JP2012104088A/ja
Application granted granted Critical
Publication of JP5374485B2 publication Critical patent/JP5374485B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】情報セキュリティ保護ホストを提供する。
【解決手段】情報セキュリティ保護ホストは、ネットワークインターフェースと、仮想コンピュータモニタ(VMM)装置を備える。ネットワークインターフェースは、コンピュータネットワークに接続され、第1パケットを受信するように構成される。仮想コンピュータモニタ装置は、第1ネットワークサービスを提供する第1オペレーティングシステムを実行するように構成される。仮想コンピュータモニタ装置は、第1オペレーティングシステムの第1オペレーティングシステム情報及び第1ネットワークサービスの第1ネットワークサービス情報を即座に提供して第1パケットのセキュリティを判断するように更に構成される。
【選択図】図1

Description

本発明は、情報セキュリティ保護ホスト装置に関する。特に、本発明の情報セキュリティ保護ホストは、該ホスト上で実行している1つ以上のオペレーティングシステム及び該1つ以上のオペレーティングシステムにより提供されるネットワークサービスに基づいて、異なるオペレーティングシステム又は該オペレーティングシステムによって提供されるネットワークサービスに対応する一連の検証ルールを、受信パケットを検証するための複数の検証ルールから選択することができる。これにより、異なるオペレーティングシステムに関連するパケットの全てを同一の検証ルールによって検証することを回避することができる。
インターネットの急速な発展に伴い、現在、益々多くの企業がホストの開発を通してネットワークサービス(例えば、ウェブページサービス、電子メールサービス、ファイル転送プロトコル(FTP)サービス)を提供している。しかしながら、インターネットによって人々は情報を伝達する利便性を手に入れた一方で、何者かがホストに侵入してそこに記憶されているデータを盗んだり改ざんしたりする可能性もでてきた。そのため、ホストのデータを保護するために、ほぼ全てのホストで侵入検知システム(Intrusion Detection System;IDS)をインストールして様々な侵入イベントを検知してきた。
従来型IDSでは、パケットの内容を検証するために受信パケットに対して課す検証ルールが一般に多過ぎるため、ホスト内で実行しているオペレーティングシステムに脅威を与える可能性のないパケットに対しても検証のために全ての検証ルールを課している。しかしながら、著しく多くの検証ルールを課すことは、システム性能を損なう虞があり、誤った判断を下しがちになる。
更に、現在、企業のホストの中には、仮想コンピュータモニタ(Virtual Machine Monitor; VMM)装置を用いて、多くの異なるオペレーティングシステムを実行しているものもある。そのため、仮想コンピュータモニタ装置が従来型IDSを更に実行させてこれらの異なるオペレーションシステムに関連した各パケットを検証する場合、著しく多くの検証ルールを課すことにより損なわれる虞のあるシステム性能の問題がより深刻なものとなる。
上述した説明によると、当分野において、特に、仮想コンピュータモニタ装置をホストに用いて多くの異なるオペレーティングシステムを実行する際にIDSの検知性能を向上させるためには、更なる取り組みが要求されている。
本発明の目的は、情報セキュリティ保護ホスト装置を提供することである。情報セキュリティ保護ホストは、1つ以上のオペレーティングシステムを実行して1つ以上のネットワークサービスを提供する。情報セキュリティ保護ホストは、実行中のオペレーティングシステム及び該実行中のオペレーティングシステムによって提供されるサービスに基づいて、異なるオペレーティングシステムに関連付けられた受信パケットのセキュリティを判断する。
上述した目的を実現するために、本発明は、インターネットインターフェース及び仮想コンピュータモニタ(VMM)装置を備える情報セキュリティ保護ホストを開示するものである。ネットワークインターフェースは、コンピュータネットワークに接続し、第1パケットを受信するように構成される。仮想コンピュータモニタ装置は、ネットワークインターフェースに接続し、第1オペレーティングシステムを実行するように構成される。第1オペレーティングシステムは、第1ネットワークサービスを提供し、仮想コンピュータモニタ装置は、第1オペレーティングシステムの第1オペレーティングシステム情報及び第1ネットワークサービスの第1ネットワークサービス情報をリアルタイムで提供するように更に構成されている。第1ネットワークサービス情報は、第1サービスポート番号(Port Number)を含み、ネットワークインターフェースがポートを介して第1パケットを受信すると、仮想コンピュータモニタ装置は、第1オペレーティングシステム情報及び第1ネットワークサービス情報とに基づいて、第1パケットが第1オペレーティングシステムに関連付けられていること、そして、ポートのポート番号が第1パケットをフィルタするために第1サービスポート番号とは異なることを判断する。
本発明の他の目的は、情報セキュリティ保護ホストを提供することである。情報セキュリティ保護ホストは、1つ以上のオペレーティングシステムを実行して1つ以上のネットワークサービスを提供する。情報セキュリティ保護ホストは、複数の検証ルールを提供するセキュリティシステムを更に実行する。セキュリティシステムは、情報セキュリティ保護ホスト及びオペレーティングシステムによって提供されるネットワークサービス上で実行しているオペレーティングシステムに基づく検証ルールから、それぞれ異なるオペレーティングシステムに適用可能な検証ルールを選択する。そのため、情報セキュリティ保護ホストがオペレーティングシステムの1つに関連付けられたパケットを受信すると、セキュリティシステムは、オペレーティングシステムに対応した一連の選択検証ルールを適用して受信パケットの内容を検証する。これにより、全ての検証ルールを用いて受信パケットを検証する必要がなくなるため、検知性能が向上する。
上述した目的を実現するために、本発明は、インターネットインターフェース及び仮想コンピュータモニタ(VMM)装置を備える情報セキュリティ保護ホストを更に開示するものである。ネットワークインターフェースは、コンピュータネットワークに接続し、第1パケットを受信するように構成される。仮想コンピュータモニタ装置は、ネットワークインターフェースに接続し、第1オペレーティングシステム及びセキュリティシステムを実行するように構成される。第1オペレーティングシステムは、第1ネットワークサービスを提供する。セキュリティシステムは、複数の検証ルールを提供するように構成されている。仮想コンピュータモニタ装置は、第1オペレーティングシステムの第1オペレーティングシステム情報及び第1ネットワークシステムの第1ネットワークサービス情報をリアルタイムでセキュリティシステムに提供するので、セキュリティシステムは、第1オペレーティングシステム情報及び第1ネットワークサービス情報に基づいて、複数の検証ルールから第1の検証ルールを選択し、そして、第1パケットを検証するための第1検証ルールを適用するように、第1パケットが第1オペレーティングシステム情報に関連付けられていることを判断する。
本発明の他の目的は、情報セキュリティ保護ホストを提供することである。情報セキュリティ保護ホストは、1つ以上のオペレーティングシステムを実行して1つ以上のネットワークサービスを提供する。情報セキュリティ保護ホストは、複数の検証ルールを提供するセキュリティシステムを更に実行し、検証ルールに基づいてそれぞれのオペレーティングシステムに関連付けられている複数の受信パケットを検証する。パケットが検証ルールのうちの1つにパスできなければ、情報セキュリティ保護ホストは、該パケットがオペレーティングシステムのうちの1つに関連付けられているか、そして、該パケットがオペレーティングシステムに対して脅威となり得るかどうかを判断するように該ルールがオペレーティングシステムに関連付けられているかどうかを判断する。よって、上述した仕組みを通すことで、検証ルールに基づいてパケットを検証するためにセキュリティシステムを用いる場合に、誤った判断を下すことを防ぐことができる。
上述した目的を実現するために、本発明は、インターネットインターフェース及び仮想コンピュータモニタ(VMM)装置を備える情報セキュリティ保護ホストを更に開示するものである。ネットワークインターフェースは、コンピュータネットワークに接続し、第1パケットを受信するように構成される。仮想コンピュータモニタ装置は、ネットワークインターフェースに接続し、第1オペレーティングシステム及びセキュリティシステムを実行するように構成される。第1オペレーティングシステムは、第1ネットワークサービスを提供する。仮想コンピュータモニタ装置は、第1オペレーティングシステムの第1オペレーティングシステム情報及び第1ネットワークサービスの第1ネットワークサービス情報をリアルタイムで提供するように更に構成されている。セキュリティシステムは、複数の検証ルールを提供して該検証ルールに基づいて第1パケットを検証するように構成されている。第1パケットが検証ルールのうちの1つにパスできなければ、検証ルールに基づいて第1パケットを検証するためにセキュリティシステムを用いるときに誤った判断がなされないように、仮想コンピュータモニタ装置は、第1オペレーティングシステム情報又は第1ネットワークサービス情報に基づいて、第1パケットが第1オペレーティングシステムに関連付けられていること、そして、検証ルールが第1オペレーティングシステムに関連付けられていないことを更に判断する。
本発明の第1の実施形態に係る情報セキュリティ保護ホスト1の概略図である。 本発明の第2の実施形態に係る情報セキュリティ保護ホスト1の概略図である。 本発明の第3の実施形態及び第5の実施形態に係る情報セキュリティ保護ホスト1の概略図である。 本発明の第4の実施形態及び第6の実施形態に係る情報セキュリティ保護ホスト1の概略図である。
請求した発明の特徴を当技術分野の当業者によく理解してもらうために、技術の詳細及び主題の発明を実施するための好ましい実施形態を、図面を添付した以下の段落において説明する。
(実施形態1)
本発明は、情報セキュリティ保護ホスト装置を提供するものである。本発明の情報セキュリティ保護ホストは、1つ以上のオペレーティングシステムを実行し、該オペレーティングシステムのそれぞれは、1つ以上のネットワークサービスを提供する。オペレーティングシステムの1つに関連付けられたパケットを受信すると、情報セキュリティ保護ホストは、オペレーティングシステムのオペレーティングシステム情報及び該オペレーションシステムによって提供されるネットワークサービスのネットワークサービス情報に基づいて受信パケットのセキュリティを判断する。以下に説明する実施形態は、本発明の技術的な開示を単に説明するためのものであり、本発明の請求の範囲を限定するものではない。当然のことではあるが、以下の本実施形態及び添付の図面において、本発明と関係のない要素は図示せず省略してあり、添付図面における要素間のそれぞれの寸法は、理解しやすいように示してあるだけで実際の大きさを限定するものではない。
図1に、本発明の第1の実施形態に係る情報セキュリティ保護ホスト1を示す。情報セキュリティ保護ホスト1は、ネットワークインターフェース11及び仮想コンピュータモニタ(Virtual Machine Monitor; VMM)装置13を備える。情報セキュリティ保護ホスト1は、ネットワークインターフェース11を介して有線又は無線でコンピュータネットワーク2に接続する。コンピュータネットワーク2は、私設ネットワーク、公設ネットワーク、インターネット(Internet)、他の種類の任意のネットワーク又はこれらの組み合わせのうちの任意のものであってもよい。
仮想コンピュータモニタ装置13は、メモリ13aを備え、第1オペレーティングシステム131を実行するように構成されている。第1オペレーティングシステム131は、例えば、ウェブページ(Web Page)サービス、ファイル転送プロトコル(File Transfer Protocol; FTP)サービス、電子メールサービス、他のネットワークサービス又はこれらの組み合わせ等の第1ネットワークサービスを提供する。当然のことながら、第1オペレーティングシステム131は、Microsoftオペレーティングシステム、Unixライク(Unix−like)オペレーティングシステム又はネットワークサービスを提供し得る他の任意のオペレーティングシステムであってもよく、仮想コンピュータモニタ装置13は、一般のコンピュータホストハードウェア(例えば、中央処理装置(CPU)、メモリ、ハードディスク、メインボード等を備えるもの)又は1つ以上のオペレーティングシステムを同時に実行できる他の任意の装置であってもよい。
本実施形態において、仮想コンピュータモニタ装置13が第1オペレーティングシステム131を実行していると、第1オペレーティングシステム131を実行するにはメモリ13aを使用する必要があるため、メモリ13aはそこに記憶されている第1オペレーティングシステム131に関する情報、例えは、第1オペレーティングシステム131の第1オペレーティングシステム情報及び該第1オペレーティングシステムにより提供される第1ネットワークサービスの第1ネットワークサービス情報等の情報を得ることになる。第1オペレーティングシステム情報を用いて、第1オペレーティングシステムがMicrosoftオペレーティングシステム、Unixライクオペレーティングシステム又は他の任意のオペレーティングシステムであることを示してもよく、また、第1ネットワークサービス情報を用いて、第1ネットワークサービスにはウェブページサービス、FTPサービス、電子メールサービス、他の任意のネットワークサービス又はこれらの組み合わせ等を含んでもよいことを示してもよい。
Microsoftオペレーティングシステムを例にとると、Microsoftオペレーティングシステムを実行していると、そのカーネルが、関連するパラメータを記憶するためのメモリに記憶されるプロセス環境ブロック(Process Environment Block; PEB)データ構造体を構成する。OSMajorVersionフィールド及びPEBデータ構造体のOSMinorVersionフィールドを用いてMicrosoftオペレーティングシステムのバージョンパラメータを記憶する。例えば、OSMajorVersionフィールドの値が「7」で、OSMinorVersionフィールドの値が「0」の場合、MicrosoftオペレーティングシステムがWindows 7(商標)であることを示している。また、OSMajorVersionフィールドの値が「6」で、OSMinorVersionフィールドの値が「0」の場合、MicrosoftオペレーティングシステムがWindows Vista(商標)又はServer 2008(商標)であることを示している。また、OSMajorVersionフィールドの値が「5」で、OSMinorVersionフィールドの値が「2」の場合、MicrosoftオペレーティングシステムがWindows Server 2003(商標)であることを示している。そして、OSMajorVersionフィールドの値が「5」で、OSMinorVersionフィールドの値が「1」の場合、MicrosoftオペレーティングシステムがWindows XP(商標)であることを示している。PEBデータ構造体は、従来技術によるものであり、当業者であれば既存の技術文献に基づいてPEBデータ構造体の詳細な内容を容易に理解することができるので、本明細書ではその詳細は説明しない。
その上、Microsoftオペレーティングシステムが実行中には、そのカーネルもEPROCESSデータ構造体及びMIB_TCPROW_OWNER_MODULEデータ構造体を構成し、これら2つの構造体をメモリに記憶する。EPROCESSデータ構造体は、現在実行中のプロセス(すなわち、第1ネットワークサービスを提供するために用いるプロセス)を記録し、MIB_TCPROW_OWNER_MODULEデータ構造体は、実行中のプロセスに関連した情報を記録する。従って、プロセスリスト(Process List)をEPROCESSデータ構造体から取得することができ、その後、該プロセスリストにおけるプロセス同定(Process Identification; PID)に基づいて、実行中のプロセスに関連した情報をMIB_TCPROW_OWNER_MODULEデータ構造体から取得することができる。また、第1オペレーティングシステム131により提供される第1ネットワークサービスをアップデートする(すなわち、新規ネットワークサービスを設定する又は既存のネットワークサービスを閉じる)と、第1オペレーティングシステム131は、ページ不在(Page Fault)メッセージを生成するので、該ページ不在メッセージに基づいて仮想コンピュータモニタ装置13は、第1ネットワークサービス情報を更新するために新規ネットワークサービスの設定すること又は既存のネットワークサービスを閉じることに関するメッセージを取得することができる。
上述した例によると仮想コンピュータモニタ装置13は、そのメモリ13aから第1オペレーティングシステム131の第1オペレーティングシステム情報及び該第1オペレーティングシステム131により提供される第1ネットワークサービスの第1ネットワークサービス情報を読み出す。本明細書においては、Microsoftオペレーティングシステムだけを例に取り上げて説明したが、当業者であれば異なるオペレーティングシステムの仕様書に基づいてオペレーティングシステム情報及びネットワークサービス情報をメモリから取得する方法が理解できるであろう。そのため、オペレーティングシステム及び該オペレーティングシステムにより提供されるネットワークサービスは共に、本発明の請求の範囲を限定することを意図するものではなく、他のオペレーティングシステムの動作について更に説明することはしない。
次に、ネットワークインターフェース11が第1パケット102を受信すると、仮想コンピュータモニタ装置13は、第1ネットワークサービス情報に記録されている第1ネットワークサービスが用いる第1サービスポート番号(例えば807)に基づいて第1パケット102をフィルタする。例えば、ネットワークインターフェース11がポート(例えば544)を介して第1パケット102を受信すると、仮想コンピュータモニタ装置13は、第1パケット102が第1オペレーティングシステム131に関係付けられている(すなわち、第1パケット102が第1オペレーティングシステム131に対して定められている)という判断及び受信した第1パケット102が第1サービスポート番号とは異なるという判断に基づいて第1パケット102をフィルタアウトしてもよい。
(実施形態2)
図2に、本発明の第2実施形態に係る情報セキュリティ保護ホスト1を示す。第1実施形態とは異なり第2実施形態においては、ネットワークインターフェース11は、第2パケット104をコンピュータネットワーク2から更に受信し、情報セキュリティ保護ホスト1の仮想コンピュータモニタ装置13は、第2オペレーティングシステム133を実行するように更に構成されている。第2オペレーティングシステム133も、例えば、ウェブページサービス、ファイル転送プロトコル(FTP)サービス、電子メールサービス、他のネットワークサービス又はこれらの組み合わせ等の第2ネットワークサービスを提供する。同様に、第2オペレーティングシステム133は、Microsoftオペレーティングシステム、Unixライクオペレーティングシステム又はネットワークサービスを提供可能な他の任意のオペレーティングシステムであってもよい。
仮想コンピュータモニタ装置13が第1オペレーティングシステム133を実行していると、第2オペレーティングシステム133を実行するにはメモリ13aを使用する必要があるため、メモリ13aは、そこに記憶されている第2オペレーティングシステム133に関する情報、例えば、第2オペレーティングシステム133の第2オペレーティングシステム情報及び該第2オペレーティングシステムにより提供される第2ネットワークサービスの第2ネットワークサービス情報等に関する情報を得ることになる。第2オペレーティングシステム情報を用いて、第2オペレーティングシステムがMicrosoftオペレーティングシステム、Unixライクオペレーティングシステム又は他の任意のオペレーティングシステムであることを示してもよく、第2ネットワークサービス情報を用いて、第2ネットワークサービスには、ウェブページサービス、FTPサービス、電子メールサービス、他のネットワークサービス又はこれらの組み合わせを含んでもよいことを示してもよい。
次に、ネットワークインターフェース11が第2パケット104を受信すると、仮想コンピュータモニタ装置13は、第2ネットワークサービス情報に記録されている第2ネットワークサービスが用いる第2サービスポート番号(例えば707)に基づいて第2パケット104をフィルタしてもよい。例えば、ネットワークインターフェース11がポート(例えば474)を介して第2パケット104を受信すると、仮想コンピュータモニタ装置13は、第2パケット104が第2オペレーティングシステム133に関連付けられている(すなわち、第2パケット104は、第2オペレーティングシステム133に対して定められている)という判断及び受信した第2パケット104が第2サービスポート番号とは異なるという判断に基づいて第2パケット104をフィルタアウトしてもよい。
(実施形態3)
図3に、本発明の第3実施形態に係る情報セキュリティ保護ホスト1を示す。第1実施形態とは異なり第3実施形態においては、情報セキュリティ保護ホスト1の仮想コンピュータモニタ装置13は、セキュリティシステム135を実行するように更に構成されているので、第1ネットワークサービス情報に記録されている第1ネットワークサービスが用いる第1サービスポート番号に基づいて仮想コンピュータモニタ装置13が第1パケット102をフィルタする必要はない。セキュリティシステム135は、複数の検証ルールを提供するように構成されている。セキュリティシステム135は、侵入検知システム(Intrusion Detection System;IDS)、ネットワーク侵入検知システム(Network Intrusion Prevention System; NIDS)、ネットワーク侵入保護システム(Network Intrusion Prevention System; NIPS)、ウェブアプリケーションファイヤウォール(Web App Firewall)、ファイヤウォール(Firewall)又は保護を提供可能な他の任意のシステムであってもよい。
仮想コンピュータモニタ装置13は、そのメモリ13aから第1オペレーティングシステム131の第1オペレーティングシステム情報及び該第1オペレーティングシステム131により提供される第1ネットワークサービスの第1ネットワークサービス情報を読み出し、それらの情報をセキュリティシステム135に提供する。セキュリティシステム135は、第1オペレーティングシステム情報又は第1ネットワークサービス情報に基づいて複数の検証ルールから第1検証ルールを選択する。例えば、第1オペレーティングシステム情報が、第1オペレーティングシステム131がMicrosoftオペレーティングシステム(Windows Server 2003)であることを示し、第1ネットワークサービス情報が、第1ネットワークサービスが電子メールサービスを含むことを示すとき、セキュリティシステム135は、Microsoftオペレーティングシステム(Windows Server 2003)に関連付けられかつ電子メールサービスに更に関連付けられている検証ルールを複数の検証ルールから第1の検証ルールとして選択する。従って、第1パケット102をネットワークインターフェース11から受信すると、仮想コンピュータモニタ装置13は、まずセキュリティシステム135を用いて第1パケット102を検証する。セキュリティシステム135が、第1パケット102が第1オペレーティングシステム131に関連付けられている(すなわち、第1パケット102は、第1オペレーティングシステム131に対して定められている)と判断すると、全ての検証ルールではなく第1検証ルールを適用して第1パケット102を検証する。具体的には、第1パケット102が第1検証ルールを用いて行う検証にパスすると、次に仮想コンピュータモニタ装置13が第1オペレーティングシステム131で用いるために第1パケット102を提供する。一方、第1パケット102が第1検証ルールを用いて行う検証にパスしなければ、第1パケット102をフィルタアウトすることで、第1パケット102が第1オペレーティングシステム131に与える脅威を防いでいる。
更に、他の実施形態において仮想コンピュータモニタ装置13は、第1ネットワークサービス情報に記録されている第1ネットワークサービスが用いる第1サービスポート番号に基づいて、最初に第1パケット102をフィルタしてもよい。仮想コンピュータモニタ装置13が、第1パケット102が第1オペレーティングシステム131に関連付けられている(すなわち、第1パケット102は、第1オペレーティングシステム131に対して定められている)と判断し、そして、第1パケット102を受信するボート番号が第1サービスポート番号と等しいと判断すると、仮想コンピュータモニタ装置13は、セキュリティシステム135を用いて第1パケット102を検証する。すなわち、本発明の仮想コンピュータモニタ装置13は、セキュリティシステム135だけを用いてパケットを検証する、又は、セキュリティシステム135を用いてパケットを認証する前にポート番号に基づいてパケットをフィルタしてもよい。
(実施形態4)
図4に、本発明の第4実施形態に係る情報セキュリティ保護ホスト1を示す。第1実施形態とは異なり第4実施形態においては、ネットワークインターフェース11は、コンピュータネットワーク2から第2パケット104を更に受信し、情報セキュリティ保護ホスト1の仮想コンピュータモニタ装置13は、第2オペレーティングシステム133を実行するように更に構成されている。第2オペレーティングシステム133も、ウェブページサービス、ファイル転送プロトコル(FTP)サービス、電子メールサービス、他のネットワークサービス又はこれらの組み合わせ等の第2ネットワークサービスを提供する。同様に、第2オペレーティングシステム133は、Microsoftオペレーティングシステム、Unixライクオペレーティングシステム又はネットワークサービスを提供可能な他の任意のオペレーティングシステムであってもよい。第4実施形態においては、仮想コンピュータモニタ装置13は、第2ネットワークサービス情報に記録されている第2ネットワークサービスが用いる第2サービスポート番号に基づいて第2パケット104をフィルタしてもよい。
仮想コンピュータモニタ装置13が第1オペレーティングシステム133を実行していると、第2オペレーティングシステム133を実行するにはメモリ13aを使用する必要があるため、メモリ13aは、そこに記憶されている第2オペレーティングシステム133に関する情報、例えば、第2オペレーティングシステム133の第2オペレーティングシステム情報及び該第2オペレーティングシステムにより提供される第2のネットワークサービスの第2ネットワークサービス情報等に関する情報を得ることになる。第2オペレーティングシステム情報を用いて、第2オペレーティングシステム133がMicrosoftオペレーティングシステム、Unixライクオペレーティングシステム又は他の任意のオペレーティングシステムであることを示してもよく、第2ネットワークサービス情報を用いて、第2ネットワークサービスには、ウェブページサービス、FTPサービス、電子メールサービス、他の任意のネットワークサービス又はこれらの組み合わせを含んでもよいことを示してもよい。
仮想コンピュータモニタ装置13は、そのメモリ13aから第2オペレーティングシステム133の第2オペレーティングシステム情報及び該第2オペレーティングシステム133によって提供される第2ネットワークサービスの第2ネットワークサービス情報を読み出し、それらの情報をセキュリティシステム135に提供する。セキュリティシステム135は、第2オペレーティングシステム情報又は第2ネットワークサービス情報に基づいて複数の検証ルールから第2検証ルールを選択する。例えば、第2オペレーティングシステム情報が、第2オペレーティングシステム131がUnixライクオペレーティングシステムであることを示し、第2ネットワークサービス情報が、第2ネットワークサービスには、ウェブページサービス及びFTPサービスが含まれることを示すときは、セキュリティシステム135は、Unixライクオペレーティングシステムに関連付けられ、ウェブページサービス及びFTPサービスと更に関連付けられた検証ルールを第2検証ルールとして複数の検証ルールから選択する。従って、第2パケット104をネットワークインターフェース11が受信すると仮想コンピュータモニタ装置13は、セキュリティシステム135を用いて第2パケット104を検証する。セキュリティシステム135が、第2パケット104が第2オペレーティングシステム133に関連付けられている(すなわち、第2パケット104は、第2オペレーティングシステム133に対して定められている)と判断すると、全ての検証ルールではなく第2検証ルールを適用して第2パケット104を検証する。具体的には、第2パケット104が第2検証ルールを用いて行う検証にパスすると、仮想コンピュータモニタ装置13は、第2オペレーティングシステム133で用いるために第2パケット104を提供する。一方、第2パケット104が第2検証ルールを用いて行う検証にパスしなければ、第2パケット104をフィルタアウトすることにより、第2パケット104が第2オペレーティングシステム133に与える脅威を防いでいる。
更に、他の実施形態において仮想コンピュータモニタ装置13は、第2ネットワークサービス情報に記録されている第2ネットワークサービスが用いる第2サービスポート番号に基づいて、最初に第2パケット104をフィルタしてもよい。仮想コンピュータモニタ装置13が、第2パケット104が第2オペレーティングシステム133に関連付けられている(すなわち、第2パケット104は、第2オペレーティングシステム133に対して定められている)と判断し、そして、第2パケット104を受信するボート番号が第2サービスポート番号と等しいと判断すると、仮想コンピュータモニタ装置13は、セキュリティシステム135を用いて第2パケット104を検証する。
(実施形態5)
図3に、本発明の第5実施形態に係る情報セキュリティ保護ホスト1を示す。第1実施形態とは異なり第5実施形態においては、情報セキュリティ保護ホスト1の仮想コンピュータモニタ装置13は、セキュリティシステム135を実行するように更に構成される。セキュリティシステム135は、複数の検証ルールを提供するように構成される。セキュリティシステム135は、侵入検知システム(IDS)、ネットワーク侵入検知システム(NIDS)、ネットワーク侵入保護システム(NIPS)、ウェブアプリケーションファイヤウォール、ファイヤウォール又は保護を提供可能な他の任意のシステムであってもよい。
仮想コンピュータモニタ装置13は、第1パケット102を受信してからセキュリティシステム135を用いて第1パケット102を検証する。セキュリティシステム135は、全ての検証ルールを適用して第1パケット102を検証する。第1パケット102が検証ルールのうちの1つにパスできなければ、仮想コンピュータモニタ装置13は、第1オペレーティングシステム情報又は第1ネットワークサービス情報に基づいて、第1パケット102が第1オペレーティングシステム131に関連付けられていること、そして、検証ルールが第1オペレーティングシステム131に関連付けられていないことを更に判断して、セキュリティシステム135が全ての検証ルールを適用して第1パケット102を検証する際に誤った判断をしていないかどうかを判断する。具体的には、セキュリティシステム135が、第1パケット102は検証ルールに適合しないと判断する場合、セキュリティシステム135は、アラームを発行する。このアラームに応答して仮想コンピュータモニタ装置13は、パケットが第1オペレーティングシステム131に関連付けられている(すなわち、第1パケット102は、第1オペレーティングシステム131に対して定められている)と判断し、検証ルールが第1オペレーティングシステム131に関連付けられていないと判断する。例えば、第1オペレーティングシステム131はWindows Server 2003オペレーティングシステムだが、検証ルールがWindows Server 2003オペレーティングシステムに対して適用できない場合などのことである。従って、仮想コンピュータモニタ装置13は、セキュリティシステム135が第1パケット102に対して行った検証が誤っていたと判断することができる。このようにして、セキュリティシステム135が全ての検証ルールを適用して第1パケット102を検証する際に誤った判断をすることを防止することができる。
(実施形態6)
図4に、本発明の第6実施形態に係る情報セキュリティ保護ホスト1を示す。第5実施形態とは異なり第6実施形態においては、ネットワークインターフェース11は、コンピュータネットワーク2から第2パケット104を更に受信し、情報セキュリティ保護ホスト1の仮想コンピュータモニタ装置13は、第2オペレーティングシステム133を実行するように更に構成される。第2オペレーティングシステム133も、例えば、ウェブページサービス、ファイル転送プロトコル(FTP)サービス、電子メールサービス、他の任意のネットワークサービス又はこれらの組み合わせ等の第2ネットワークサービスを提供する。同様に、第2オペレーティングシステム133は、Microsoftオペレーティングシステム、Unixライクオペレーティングシステム又はネットワークサービスを提供可能な他の任意のオペレーティングシステムであってもよい。
仮想コンピュータモニタ装置13が第1オペレーティングシステム133を実行させていると、第2オペレーティングシステム133を実行するにはメモリ13aを使用する必要があるため、メモリ13aは、そこに記憶されている第2オペレーティングシステム133に関する情報、例えば、第2オペレーティングシステム133の第2オペレーティングシステム情報及び該第2オペレーティングシステムにより提供される第2のネットワークサービスの第2ネットワークサービス情報等に関する情報を得ることになる。第2オペレーティングシステム情報を用いて、第2オペレーティングシステム133がMicrosoftオペレーティングシステム、Unixライクオペレーティングシステム又は他の任意のオペレーティングシステムであることを示してもよく、第2ネットワークサービス情報を用いて、第2ネットワークサービスには、ウェブページサービス、FTPサービス、電子メールサービス、他の任意のネットワークサービス又はこれらの組み合わせを含んでもよいことを示してもよい。
仮想コンピュータモニタ装置13は、第2パケット104を受信してからセキュリティシステム135を用いて第2パケット104を検証する。セキュリティシステム135は、全ての検証ルールを適用して第2パケット104を検証する。第2パケット104が検証ルールのうちの1つにパスできなければ、仮想コンピュータモニタ装置13は、第2オペレーティングシステム情報又は第2ネットワークサービス情報に基づいて、第2パケット104が第2オペレーティングシステム133に関連付けられ、そして、検証ルールが第2オペレーティングシステム133に関連付けられていないと更に判断して、セキュリティシステム135が全ての検証ルールを適用して第2パケット104を検証する際に誤った判断をしていないかどうかを判断する。具体的には、セキュリティシステム135が、第2パケット104は検証ルールに適合しないと判断する場合、セキュリティシステム135がアラームを発行する。このアラームに応答して仮想コンピュータモニタ装置13は、パケットが第2オペレーティングシステム133に関連付けられている(すなわち、第2パケット104は、第2オペレーティングシステム133に対して定められている)と判断し、そして、検証ルールが第2オペレーティングシステム133に関連付けられていないと判断する。例えば、第2オペレーティングシステム133はUnixライクペレーティングシステムであるが、検証ルールがUnixライクオペレーティングシステムに対して適用できないような場合のことである。従って、仮想コンピュータモニタ装置13は、セキュリティシステム135が第2パケット104に対して行った検証が誤っていたことを判断することができる。このようにして、セキュリティシステム135が全ての検証ルールを適用して第2パケット104を検証する際に誤った判断をすることを防止することができる。
ここで、本実施形態における「第1」及び「第2」は、仮想コンピュータモニタ装置13が2つのオペレーティングシステムを実行し、2つの該オペレーティングシステムがそれぞれネットワークサービスを提供することを意味することが分かるが、他の実施形態においては、仮想コンピュータモニタ装置13は、それぞれが異なるネットワークサービスを提供する2つよりも多いオペレーティングシステムを更に実行することもできる。すなわち、仮想コンピュータモニタ装置13が2つよりも多いオペレーティングシステムを実行する時には、本実施形態を採用してもよい。
上述した説明によると、本発明において情報セキュリティ保護ホストの仮想コンピュータモニタ装置は、そのメモリから、仮想コンピュータモニタ装置上で実行している複数の異なるオペレーティングシステムの情報を取得し、その取得した情報に基づき、情報セキュリティ保護ホストが受信したパケットを異なるオペレーティングシステム又は該オペレーティングシステムによって提供されるネットワークサービスに基づいてフィルタする。更に、取得した情報に基づき、仮想コンピュータモニタ装置上で実行しているセキュリティシステムも、もともと使用されている多くの検証ルールから、異なるオペレーティングシステム又は該オペレーティングシステムによって提供されるネットワークサービスに対してそれぞれ適用可能な検証ルールを選択してもよい。従って、パケットが対応するオペレーティングシステムによっては、選択した検証ルールだけを用いてパケットを検証することもできるので、全ての検証ルールを用いてパケットを検証することを回避することができる。また、セキュリティシステムが全ての検証ルールを適用してパケットを検証する際に、そのような情報を用いることでパケットを検証する際に起こる誤った判断を防ぐこともできる。また、本発明の情報セキュリティ保護ホストは、検知性能を効率的に向上させ、誤った判断の発生を低減させることができる。
上記の開示は、詳細な技術内容でありその発明的特徴に関するものである。当業者であれば本発明の特徴から逸脱することなく、説明した本開示及び本発明の提案に基づいて様々な変更例及び代替例を進めることができるであろう。しかしながら、そのような変更例及び代替例は、上記の説明には十分には開示されていないが、添付した以下の請求の範囲において実質的に網羅されている。
1 情報セキュリティ保護ホスト
2 コンピュータネットワーク
11 ネットワークインターフェース
13 仮想コンピュータモニタ装置
13a メモリ
131 第1オペレーティングシステム
133 第2オペレーティングシステム
135 セキュリティシステム
102 第1パケット
104 第2パケット

Claims (25)

  1. コンピュータネットワークに接続し、第1パケットを受信するように構成されるネットワークインターフェースと、
    前記ネットワークインターフェースに接続し、第1ネットワークサービスを提供する第1オペレーティングシステムを実行すると共に、該第1オペレーティングシステムの第1オペレーティングシステム情報及び該第1ネットワークサービスの第1ネットワークサービス情報をリアルタイムで提供するように構成される仮想コンピュータモニタ(Virtual Machine Monitor;VMM)装置と、を備え、
    前記第1ネットワークサービス情報は、第1サービスポート番号を含み、前記ネットワークインターフェースがポートを介して前記第1パケットを受信すると、前記仮想コンピュータモニタ装置は、前記第1オペレーティングシステム情報又は前記第1ネットワークサービス情報に基づき、前記第1パケットが前記第1オペレーティングシステムに関連付けられていること、そして、前記ポートのポート番号(Port Number)が前記第1パケットをフィルタアウトするように前記第1サービスポート番号とは異なることを判断する情報セキュリティ保護ホスト。
  2. 前記仮想コンピュータモニタ装置は、複数の検証ルールを提供するように構成される第2セキュリティシステムを更に実行し、前記仮想コンピュータモニタ装置は、前記セキュリティシステムが、前記第1オペレーティングシステム情報及び前記第1ネットワークサービス情報に基づいて前記複数の検証ルールから第1検証ルールを選択するように前記第1オペレーティングシステム情報及び前記ネットワークサービス情報を前記セキュリティシステムにリアルタイムで更に提供し、前記仮想コンピュータモニタ装置が、前記第1オペレーティングシステム情報又は前記第1ネットワークサービス情報に基づいて、前記第1パケットが前記第1オペレーティングシステムに関連付けられていること、そして、前記ポートの前記ポート番号が前記第1サービスポート番号と等しいと判断すると、前記セキュリティシステムは、前記第1パケットが前記第1オペレーティングシステムに関連付けられていると判断して、前記第1検証ルールを適用して前記第1パケットを検証する請求項1に記載の情報セキュリティ保護ホスト。
  3. 前記仮想コンピュータモニタ装置は、メモリを更に備え、前記仮想コンピュータモニタ装置が前記第1オペレーティングシステムを実行すると、該メモリは、前記第1オペレーティングシステム情報及び前記第1ネットワークサービス情報を記憶する請求項1に記載の情報セキュリティ保護ホスト。
  4. 前記第1オペレーティングシステム情報を用いて、前記第1オペレーティングシステムがMicrosoftオペレーティングシステム及びUnixライク(Unix−like)オペレーティングシステムの一方であることを示す請求項1に記載の情報セキュリティ保護ホスト。
  5. 前記第1ネットワークサービスは、ウェブページ(Web Page)サービス、ファイル転送プロトコル(File Transfer Protocol; FTP)サービス及び電子メールサービスからなる群から選択される請求項1に記載の情報セキュリティ保護ホスト。
  6. 前記ネットワークインターフェースは、第2パケットを受信するように更に構成され、前記仮想コンピュータモニタ装置は、第2ネットワークサービスを提供する第2オペレーティングシステムを更に実行し、前記仮想コンピュータモニタ装置は、前記第2オペレーティングシステムの第2オペレーティングシステム情報及び前記第2ネットワークサービスの第2ネットワークサービス情報をリアルタイムで提供するように更に構成され、前記第2ネットワークサービス情報は、第2サービスポート番号を含み、前記ネットワークインターフェースが他のポートを介して前記第2パケットを受信すると、前記仮想コンピュータモニタ装置は、前記第2オペレーティングシステム情報又は第2ネットワークサービス情報に基づいて、前記第2パケットが前記第2オペレーティングシステムに関連付けられていること、そして、前記第2パケットをフィルタアウトするように前記他のポートのポート番号が前記第2のサービスポート番号と異なることを更に判断する請求項1に記載の情報セキュリティ保護ホスト。
  7. 前記仮想コンピュータモニタ装置は、複数の検証ルールを提供するように構成される第2セキュリティシステムを更に実行し、前記仮想コンピュータモニタ装置は、前記セキュリティシステムが前記第2オペレーティングシステム情報及び第2ネットワークサービス情報に基づいて前記複数の検証ルールから第2検証ルールを選択するように、前記第2オペレーティングシステム情報及び前記第2ネットワークサービス情報を前記セキュリティシステムに対して更にリアルタイムで提供し、前記仮想コンピュータモニタ装置が、前記第2オペレーティングシステム情報又は前記第2ネットワークサービス情報に基づいて、前記第2パケットが前記第2オペレーティングシステムに関連付けられていること、そして前記他のポートの前記ポート番号が前記第2サービスポート番号と等しいことを判断すると、前記セキュリティシステムは、前記第2パケットが前記第1オペレーティングシステムに関連付けられていると判断して、前記第2検証規則を適用して前記第2パケットを検証する請求項6に記載の情報セキュリティ保護ホスト。
  8. 前記仮想コンピュータモニタ装置は、メモリを更に備え、前記仮想コンピュータモニタ装置が前記第2オペレーティングシステムを実行すると、該メモリは前記第2オペレーティングシステム情報及び前記第2ネットワークサービス情報を記憶する請求項6に記載の情報セキュリティ保護ホスト。
  9. 前記第2オペレーティングシステム情報を用いて、前記第2オペレーティングシステムがMicrosoftオペレーティングシステム及びUnixライクオペレーティングシステムの一方であることを示す請求項6に記載の情報セキュリティ保護ホスト。
  10. 前記第2ネットワークサービスは、ウェブページサービス、ファイル転送プロトコル(FTP)サービス及び電子メールサービスからなる群から選択される請求項6に記載の情報セキュリティ保護ホスト。
  11. コンピュータネットワークに接続し、第1パケットを受信するように構成されるネットワークインターフェースと、
    前記ネットワークインターフェースに接続し、第1ネットワークサービスを提供する第1オペレーティングシステム及び複数の検証ルールを提供するように構成されるセキュリティシステムを実行するように構成される仮想コンピュータモニタ装置と、を備え、
    前記仮想コンピュータモニタ装置は、前記第1オペレーティングシステムの第1オペレーティングシステム情報及び前記第1ネットワークシステムの第1ネットワークサービス情報をリアルタイムで前記セキュリティシステムに提供するので、前記セキュリティシステムは、前記第1オペレーティングシステム情報又は前記第1ネットワークサービス情報に基づいて、前記複数の検証ルールから第1検証ルールを選択し、前記第1パケットを検証するための該第1検証ルールを適用するために前記第1オペレーティングシステムに前記第1パケットが関連付けられていることを判断する情報セキュリティ保護ホスト。
  12. 前記仮想コンピュータモニタ装置は、メモリを更に備え、前記仮想コンピュータモニタ装置が前記第1オペレーティングシステムを実行すると、該メモリは前記第1オペレーティングシステム情報及び前記第1ネットワークサービス情報を記憶する請求項11に記載の情報セキュリティ保護ホスト。
  13. 前記第1オペレーティングシステム情報を用いて、前記第1オペレーティングシステムがMicrosoftオペレーティングシステム及びUnixライクオペレーティングシステムの一方であることを示す請求項11に記載の情報セキュリティ保護ホスト。
  14. 前記第2ネットワークサービスは、ウェブページサービス、ファイル転送プロトコル(FTP)サービス及び電子メールサービスからなる群から選択される請求項11に記載の情報セキュリティ保護ホスト。
  15. 前記ネットワークインターフェースは、第2パケットを受信するように更に構成され、前記仮想コンピュータモニタ装置は、第2ネットワークサービスを提供する第2オペレーティングシステムを更に実行し、前記仮想コンピュータモニタ装置は、前記第2オペレーティングシステムの第2オペレーティングシステム情報及び前記第2ネットワークシステムの第2ネットワークサービス情報をリアルタイムで前記セキュリティシステムに提供するように更に構成されるので、前記セキュリティシステムは、前記第2オペレーティングシステム情報及び前記第2ネットワークサービス情報に基づいて、前記複数の検証ルールから第2検証ルールを選択して、前記第2パケットを検証するための前記第2検証ルールを適用するために前記第2オペレーティングシステムに前記第2パケットが関連付けられていることを判断する請求項11に記載の情報セキュリティ保護ホスト。
  16. 前記仮想コンピュータモニタ装置は、メモリを更に備え、前記仮想コンピュータモニタ装置が前記第2オペレーティングシステムを実行すると、該メモリは前記第2オペレーティングシステム情報及び前記第2ネットワークサービス情報を記憶する請求項15に記載の情報セキュリティ保護ホスト。
  17. 前記第2オペレーティングシステム情報を用いて、前記第2オペレーティングシステムがMicrosoftオペレーティングシステム及びUnixライクオペレーティングシステムの一方であることを示す請求項15に記載の情報セキュリティ保護ホスト。
  18. コンピュータネットワークに接続し、第1パケットを受信するように構成されるネットワークインターフェースと、
    前記ネットワークインターフェースに接続し、第1ネットワークサービスを提供する第1オペレーティングシステム及び複数の検証ルールを提供して該検証ルールに基づいて前記第1パケットを検証するように構成されるセキュリティシステムを実行するように構成るとともに、前記第1オペレーティングシステムの第1オペレーティングシステム情報及び前記第1ネットワークサービスの第1ネットワークサービス情報をリアルタイムで提供するように更に構成される仮想コンピュータモニタ装置と、を備え、
    前記第1パケットが前記検証ルールのうちの1つにパスできなければ、前記仮想コンピュータモニタ装置は、前記検証ルールに基づいて前記第1パケットを検証するために前記セキュリティシステムを用いるときに誤った判断がなされないように、前記第1オペレーティングシステム情報又は前記第1ネットワークサービス情報に基づいて、前記第1パケットが前記第1オペレーティングシステムに関連付けられていること、そして、前記検証ルールが前記第1オペレーティングシステムに関連付けられていないことを更に判断する情報セキュリティ保護ホスト。
  19. 前記仮想コンピュータモニタ装置は、メモリを更に備え、前記仮想コンピュータモニタ装置が前記第1オペレーティングシステムを実行すると、該メモリは前記第1オペレーティングシステム情報及び前記第1ネットワークサービス情報を記憶する請求項18に記載の情報セキュリティ保護ホスト。
  20. 前記第1オペレーティングシステム情報を用いて、前記第1オペレーティングシステムがMicrosoftオペレーティングシステム及びUnixライクオペレーティングシステムの一方であることを示す請求項18に記載の情報セキュリティ保護ホスト。
  21. 前記第1ネットワークサービスは、ウェブページサービス、ファイル転送プロトコル(FTP)サービス及び電子メールサービスからなる群から選択される請求項18に記載の情報セキュリティ保護ホスト。
  22. 前記ネットワークインターフェースは、第2パケットを受信するように更に構成され、前記仮想コンピュータモニタ装置は、第2ネットワークサービスを提供する第2オペレーティングシステムを更に実行し、前記セキュリティシステムは、前記検証ルールに基づいて前記第2パケットを更に検証し、前記第2パケットが前記検証ルールのうちの1つにパスできなければ、前記仮想コンピュータモニタ装置は、前記検証ルールに基づいて前記第2パケットを検証するために前記セキュリティシステムを用いるときに誤った判断がなされないように、前記第2オペレーティングシステム情報又は前記第2ネットワークサービス情報に基づいて、前記第2パケットが前記第2オペレーティングシステムに関連付けられていること、そして、前記検証ルールが前記第2オペレーティングシステムに関連付けられていないことを更に判断する請求項18に記載の情報セキュリティ保護ホスト。
  23. 前記仮想コンピュータモニタ装置は、メモリを更に備え、前記仮想コンピュータモニタ装置が前記第2オペレーティングシステムを実行すると、該メモリは前記第2オペレーティングシステム情報及び前記第2ネットワークサービス情報を記憶する請求項22に記載の情報セキュリティ保護ホスト。
  24. 前記第2オペレーティングシステム情報を用いて、前記第2オペレーティングシステムがMicrosoftオペレーティングシステム及びUnixライクオペレーティングシステムの一方であることを示す請求項22に記載の情報セキュリティ保護ホスト。
  25. 前記第2ネットワークサービスは、ウェブページサービス、ファイル転送プロトコル(FTP)サービス及び電子メールサービスからなる群から選択される請求項22に記載の情報セキュリティ保護ホスト。
JP2010273505A 2010-11-09 2010-12-08 情報セキュリティ保護ホスト Active JP5374485B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
TW099138462 2010-11-09
TW099138462A TWI453624B (zh) 2010-11-09 2010-11-09 資訊安全防護主機

Publications (2)

Publication Number Publication Date
JP2012104088A true JP2012104088A (ja) 2012-05-31
JP5374485B2 JP5374485B2 (ja) 2013-12-25

Family

ID=46020917

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010273505A Active JP5374485B2 (ja) 2010-11-09 2010-12-08 情報セキュリティ保護ホスト

Country Status (3)

Country Link
US (1) US8458785B2 (ja)
JP (1) JP5374485B2 (ja)
TW (1) TWI453624B (ja)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130030132A (ko) * 2011-09-16 2013-03-26 한국전자통신연구원 컴퓨팅 시스템의 보안기능 제공장치 및 제공방법
US10374904B2 (en) 2015-05-15 2019-08-06 Cisco Technology, Inc. Diagnostic network visualization
US9967158B2 (en) 2015-06-05 2018-05-08 Cisco Technology, Inc. Interactive hierarchical network chord diagram for application dependency mapping
US10142353B2 (en) 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters
US10536357B2 (en) 2015-06-05 2020-01-14 Cisco Technology, Inc. Late data detection in data center
US20170180308A1 (en) * 2015-12-18 2017-06-22 Bluedata Software, Inc. Allocation of port addresses in a large-scale processing environment
US10708183B2 (en) 2016-07-21 2020-07-07 Cisco Technology, Inc. System and method of providing segment routing as a service
US10972388B2 (en) 2016-11-22 2021-04-06 Cisco Technology, Inc. Federated microburst detection
US10708152B2 (en) 2017-03-23 2020-07-07 Cisco Technology, Inc. Predicting application and network performance
US10523512B2 (en) 2017-03-24 2019-12-31 Cisco Technology, Inc. Network agent for generating platform specific network policies
US10594560B2 (en) 2017-03-27 2020-03-17 Cisco Technology, Inc. Intent driven network policy platform
US10764141B2 (en) 2017-03-27 2020-09-01 Cisco Technology, Inc. Network agent for reporting to a network policy system
US10873794B2 (en) 2017-03-28 2020-12-22 Cisco Technology, Inc. Flowlet resolution for application performance monitoring and management
US10680887B2 (en) 2017-07-21 2020-06-09 Cisco Technology, Inc. Remote device status audit and recovery
US10554501B2 (en) 2017-10-23 2020-02-04 Cisco Technology, Inc. Network migration assistant
US10523541B2 (en) 2017-10-25 2019-12-31 Cisco Technology, Inc. Federated network and application data analytics platform
US10594542B2 (en) 2017-10-27 2020-03-17 Cisco Technology, Inc. System and method for network root cause analysis
US11233821B2 (en) 2018-01-04 2022-01-25 Cisco Technology, Inc. Network intrusion counter-intelligence
US10798015B2 (en) 2018-01-25 2020-10-06 Cisco Technology, Inc. Discovery of middleboxes using traffic flow stitching
US10574575B2 (en) 2018-01-25 2020-02-25 Cisco Technology, Inc. Network flow stitching using middle box flow stitching
US10826803B2 (en) 2018-01-25 2020-11-03 Cisco Technology, Inc. Mechanism for facilitating efficient policy updates
US10999149B2 (en) 2018-01-25 2021-05-04 Cisco Technology, Inc. Automatic configuration discovery based on traffic flow data
US11128700B2 (en) 2018-01-26 2021-09-21 Cisco Technology, Inc. Load balancing configuration based on traffic flow telemetry
CN108427733B (zh) * 2018-02-28 2021-08-10 网易(杭州)网络有限公司 审核规则的设置方法、装置和系统、设备、存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040015728A1 (en) * 2002-01-15 2004-01-22 Cole David M. System and method for network vulnerability detection and reporting
JP2006166062A (ja) * 2004-12-08 2006-06-22 Mitsubishi Electric Information Systems Corp 通信ドライバ装置、通信システム及び通信制御方法
JP2007500381A (ja) * 2003-07-30 2007-01-11 ジャルナ エスアー プロセッサとネットワークインタフェースとを共有する複数のオペレーティングシステム
WO2008050651A1 (fr) * 2006-10-26 2008-05-02 Nec Corporation Dispositif de communication, procédé de communication et programme de communication
US7496961B2 (en) * 2003-10-15 2009-02-24 Intel Corporation Methods and apparatus to provide network traffic support and physical security support
JP2010066931A (ja) * 2008-09-09 2010-03-25 Fujitsu Ltd 負荷分散機能を有した情報処理装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070083924A1 (en) * 2005-10-08 2007-04-12 Lu Hongqian K System and method for multi-stage packet filtering on a networked-enabled device
US8010990B2 (en) * 2006-10-26 2011-08-30 Intel Corporation Acceleration of packet flow classification in a virtualized system
US8146147B2 (en) * 2008-03-27 2012-03-27 Juniper Networks, Inc. Combined firewalls
US8868925B2 (en) * 2008-12-09 2014-10-21 Nvidia Corporation Method and apparatus for the secure processing of confidential content within a virtual machine of a processor

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040015728A1 (en) * 2002-01-15 2004-01-22 Cole David M. System and method for network vulnerability detection and reporting
JP2007500381A (ja) * 2003-07-30 2007-01-11 ジャルナ エスアー プロセッサとネットワークインタフェースとを共有する複数のオペレーティングシステム
US7496961B2 (en) * 2003-10-15 2009-02-24 Intel Corporation Methods and apparatus to provide network traffic support and physical security support
JP2006166062A (ja) * 2004-12-08 2006-06-22 Mitsubishi Electric Information Systems Corp 通信ドライバ装置、通信システム及び通信制御方法
WO2008050651A1 (fr) * 2006-10-26 2008-05-02 Nec Corporation Dispositif de communication, procédé de communication et programme de communication
JP2010066931A (ja) * 2008-09-09 2010-03-25 Fujitsu Ltd 負荷分散機能を有した情報処理装置

Also Published As

Publication number Publication date
US20120117642A1 (en) 2012-05-10
JP5374485B2 (ja) 2013-12-25
TWI453624B (zh) 2014-09-21
TW201220116A (en) 2012-05-16
US8458785B2 (en) 2013-06-04

Similar Documents

Publication Publication Date Title
JP5374485B2 (ja) 情報セキュリティ保護ホスト
KR101737726B1 (ko) 네트워크 트래픽에서의 불일치들을 검출하기 위한 하드웨어 자원들의 사용에 의한 루트킷 검출
US10587647B1 (en) Technique for malware detection capability comparison of network security devices
RU2738021C2 (ru) Система и способы для дешифрования сетевого трафика в виртуализированной среде
Xu et al. Attacking the brain: Races in the {SDN} control plane
Corona et al. Adversarial attacks against intrusion detection systems: Taxonomy, solutions and open issues
US8572750B2 (en) Web application exploit mitigation in an information technology environment
US7953980B2 (en) Signed manifest for run-time verification of software program identity and integrity
US9594881B2 (en) System and method for passive threat detection using virtual memory inspection
US9203802B2 (en) Secure layered iterative gateway
JP4938576B2 (ja) 情報収集システムおよび情報収集方法
US9444834B2 (en) Method and system for detecting behavior of remotely intruding into computer
US20100175108A1 (en) Method and system for securing virtual machines by restricting access in connection with a vulnerability audit
US11374964B1 (en) Preventing lateral propagation of ransomware using a security appliance that dynamically inserts a DHCP server/relay and a default gateway with point-to-point links between endpoints
US20100199351A1 (en) Method and system for securing virtual machines by restricting access in connection with a vulnerability audit
CA2874489A1 (en) Methods and apparatus for identifying and removing malicious applications
US20170111388A1 (en) Centralized and Automated Recovery
CN102624721B (zh) 一种特征码验证平台装置及特征码验证方法
WO2020195228A1 (ja) 分析システム、方法およびプログラム
US8549631B2 (en) Internet site security system and method thereto
KR102022626B1 (ko) 로그 분석을 이용한 공격 탐지 장치 및 방법
WO2020195229A1 (ja) 分析システム、方法およびプログラム
WO2020195230A1 (ja) 分析システム、方法およびプログラム
WO2021117665A1 (ja) 電子機器および電子機器の攻撃検知方法
JP6716995B2 (ja) 情報処理装置、情報処理方法、およびプログラム

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121016

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20130116

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20130121

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130207

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130528

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130814

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130903

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130920

R150 Certificate of patent or registration of utility model

Ref document number: 5374485

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250