JP2012212391A - 不正アクセスに対する防御をするシステム、方法およびプログラム - Google Patents

不正アクセスに対する防御をするシステム、方法およびプログラム Download PDF

Info

Publication number
JP2012212391A
JP2012212391A JP2011078533A JP2011078533A JP2012212391A JP 2012212391 A JP2012212391 A JP 2012212391A JP 2011078533 A JP2011078533 A JP 2011078533A JP 2011078533 A JP2011078533 A JP 2011078533A JP 2012212391 A JP2012212391 A JP 2012212391A
Authority
JP
Japan
Prior art keywords
information processing
processing apparatus
unauthorized access
mode
virtual machine
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011078533A
Other languages
English (en)
Other versions
JP5697206B2 (ja
Inventor
Seiji Muneto
誠治 宗藤
Yasuhiko Hayata
恭彦 早田
Masami Tada
政美 多田
Akira Daimon
昭 大門
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Priority to JP2011078533A priority Critical patent/JP5697206B2/ja
Priority to US13/419,554 priority patent/US8677484B2/en
Priority to US13/560,471 priority patent/US8683589B2/en
Publication of JP2012212391A publication Critical patent/JP2012212391A/ja
Application granted granted Critical
Publication of JP5697206B2 publication Critical patent/JP5697206B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/74Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2127Bluffing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Mathematical Physics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】不正アクセスに対する防御をする。
【解決手段】情報処理装置に対する不正アクセスを検出する検出部と、情報処理装置のモードを遷移させる制御部と、を備えるシステムであって、コンピュータは、第1の仮想マシンおよび第2の仮想マシンを実行し、制御部は、正常に動作している場合において、第1の仮想マシンにより実現される情報処理装置を正常モードで動作させ、第2の仮想マシンにより実現される情報処理装置をスタンバイモードで動作させ、不正アクセスを検出した場合、第1の仮想マシンにより実現される情報処理装置をデコイモードに遷移させ、第2の仮想マシンにより実現される情報処理装置を正常モードに遷移させる、システムを提供する。
【選択図】図3

Description

本発明は、不正アクセスに対する防御をするシステム、方法およびプログラムに関する。
不正アクセスに対する防御をするコンピューティングシステムが知られている。特許文献1には、アプリケーションへの攻撃をモニタするハニーポットを用いたシステムが記載されている。
特許文献1 特表2008−537267号公報
ところで、ハニーポッドは実際に不正アクセスがされるまでは必要とならない。また、不正アクセスがされた場合、不正アクセス者をハニーポッドによって、より長い期間だませることが好ましい。また、不正アクセスを検出した場合には、不正アクセスをより早く隔離できることが好ましい。
上記課題を解決するために、本発明の第1の態様においては、コンピュータにより実行される仮想マシンにより仮想的に実現された情報処理装置に対する不正アクセスを検出する検出部と、外部ネットワークから前記情報処理装置への正当アクセスを転送する正規ネットワークと、前記外部ネットワークから前記情報処理装置への不正アクセスを転送するハニーポッドネットワークと、不正アクセスが検出されていない前記情報処理装置を前記正規ネットワークに接続し、不正アクセスが検出された前記情報処理装置を前記ハニーポッドネットワークに接続する制御部と、を備え、前記制御部は、前記検出部が前記不正アクセスを検出したことに応じて、前記情報処理装置を、前記不正アクセスを通常動作から切り離すデコイモードへと遷移させるシステム、方法、および、プログラムを提供する。
なお、上記の発明の概要は、本発明の必要な特徴の全てを列挙したものではない。また、これらの特徴群のサブコンビネーションもまた、発明となりうる。
本実施形態に係るコンピューティングシステム10の構成を示す。 不正アクセスが無い場合における、コンピューティングシステム10の構成を示す。 不正アクセスが無い場合の構成から不正アクセスの可能性がある場合の構成へと遷移するコンピューティングシステム10の状態を示す。 不正アクセスの可能性がある場合の構成から、不正アクセスが検出された場合の構成へと遷移するコンピューティングシステム10の状態を示す。 不正アクセスが検出された場合における、コンピューティングシステム10の構成を示す。 情報処理装置20のモード遷移のフローを示す。 本実施形態の変形例に係るコンピューティングシステム10において、不正アクセスがある場合における、コンピューティングシステム10の構成を示す。 本実施形態に係るコンピュータ1900のハードウエア構成の一例を示す。
以下、発明の実施の形態を通じて本発明を説明するが、以下の実施形態は特許請求の範囲にかかる発明を限定するものではない。また、実施形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須であるとは限らない。
図1は、本実施形態に係るコンピューティングシステム10の構成を示す。本実施形態に係るコンピューティングシステム10は、一例として、工業システムおよびインフラストラクチャ(交通およびエネルギ等)システムの各オブジェクトの管理および制御をするICS(Industrial Control Systems)である。また、本実施形態に係るコンピューティングシステム10は、一例として、オフィス内または家庭内のネットワークに接続された様々なデバイス(例えば電話機およびコピー機、等々)を管理するシステムであってもよい。また、コンピューティングシステム10は、企業等内のネットワークに接続された複数のコンピュータを管理するシステムであってもよいし、データセンタ等のネットワークに接続された多数のサーバを管理するシステムであってもよい。
コンピューティングシステム10は、複数のコンピュータ40と、複数の機器22と、正規ネットワーク32と、ハニーポッドネットワーク34と、ゲートウェイ36とを備える。
複数のコンピュータ40のそれぞれは、複数の情報処理装置20のそれぞれを実現する。本実施形態において、複数の情報処理装置20のそれぞれは、コンピュータ40が実行する仮想マシンにより仮想的に実現される。複数の情報処理装置20のそれぞれは、プログラムを実行してデータ処理および機器22の制御等を行う。
また、より具体的には、複数の情報処理装置20のそれぞれは、一例として、プログラムの実行に応じて機器22を制御するPLC(Programmable Logic Controller)である。また、情報処理装置20は、機器22の制御をせずにデータ処理のみを実行する構成(例えばコンピュータ単体)であってもよい。
複数の機器22のそれぞれは、何れかの情報処理装置20により制御される。複数の機器22のそれぞれは、一例として、ICSにおける制御対象である。また、複数の機器22のそれぞれは、一例として、オフィス内または家庭内に設けられるデバイス(例えば電話機およびコピー機、等々)であってもよい。
正規ネットワーク32は、不正アクセスがされていない情報処理装置20が接続される。正規ネットワーク32は、外部ネットワークから情報処理装置20への正当アクセスを転送する。また、正規ネットワーク32は、当該コンピューティングシステム10内に設けられた複数の情報処理装置20の間で行われるアクセスを転送する。
ハニーポッドネットワーク34は、不正アクセスがされた情報処理装置20が接続される。ハニーポッドネットワーク34は、外部ネットワークから情報処理装置20への不正アクセスを転送する。
ゲートウェイ36は、外部ネットワークから当該コンピューティングシステム10内の情報処理装置20へのアクセスの経路を制御する。また、ゲートウェイ36は、当該コンピューティングシステム10内の情報処理装置20から外部ネットワーク上の指定されたコンピュータへのアクセスの経路を制御する。
図2は、不正アクセスが無い場合における、コンピューティングシステム10の構成を示す。本実施形態において、情報処理装置20は、コンピュータ40により実行される複数の仮想マシン42により実現される。本例においては、コンピュータ40は、それぞれが情報処理装置20を仮想的に実現する第1の仮想マシン42−1および第2の仮想マシン42−2を実行する。また、この場合において、コンピュータ40は、第1の仮想マシン42−1および第2の仮想マシン42−2を管理する仮想マシンマネージャ44(VMM)を実行する。
また、コンピューティングシステム10は、検出部24と、制御部26とを備える。本実施形態において、検出部24および制御部26は、コンピュータ40内に実現され、仮想マシンマネージャ44に接続される。
検出部24は、情報処理装置20に対する不正アクセスを検出する。即ち、検出部24は、正当利用者以外の者による、ネットワークを介した情報処理装置20へのアクセスを検出する。検出部24は、一例として、ネットワークを介して情報処理装置20等内への不正に進入する行為、ネットワークを介して情報処理装置20等内の情報を不正に取得する行為、ネットワークを介して情報処理装置20等のデータ処理を妨害する行為、およびネットワークを介して情報処理装置20等を破壊する行為等を検出する。
制御部26は、情報処理装置20のモードを制御する。複数の情報処理装置20のそれぞれは、制御部26により設定されたモードに応じた動作をする。
制御部26は、複数の仮想マシン42のそれぞれにより実現される情報処理装置20のそれぞれのモードを、次のように制御する。まず、制御部26は、情報処理装置20に対して不正アクセスが無く正常に動作している場合において、第1の仮想マシン42−1により実現される情報処理装置20を正常モードで動作させ、第2の仮想マシン42−2により実現される情報処理装置20をスタンバイモードで動作させる。
情報処理装置20は、正常モードにおいて、通常動作を実行する。即ち、情報処理装置20は、正常モードにおいて、プログラムを実行し、入力ポートに入力されたデータに応じたデータ処理を実行する。そして、正常モードで動作する情報処理装置20は、データ処理の結果に応じたデータを出力ポートから出力して、機器22の動作を制御したり、他の情報処理装置20へデータを送信したりする。
また、情報処理装置20は、スタンバイモードにおいて、データ処理の実行を待機している。即ち、情報処理装置20は、スタンバイモードにおいて、プログラムの実行を停止して、通常モードへの遷移指示が与えられることを待機している。
また、制御部26は、情報処理装置20に対して不正アクセスが無く正常に動作している場合において、第1の仮想マシン42−1および第2の仮想マシン42−2を、正規ネットワーク32に接続されたコンピュータ40に実行させる。そして、制御部26は、正常モードで動作する情報処理装置20(第1の仮想マシン42−1により実現される情報処理装置20)を正規ネットワーク32上のアドレスに生成する。さらに、制御部26は、スタンバイモードで動作する情報処理装置20(第2の仮想マシン42−2により実現される情報処理装置20)を正規ネットワーク32を介して他のコンピュータ等からアクセスできないように生成する。これにより、制御部26は、不正アクセスが検出されていない情報処理装置20を正規ネットワーク32に接続して、正当アクセス者に対して情報処理装置20へアクセスさせることができる。
図3は、不正アクセスが無い場合の構成から不正アクセスの可能性がある場合の構成へと遷移するコンピューティングシステム10の状態を示す。
情報処理装置20に対して不正アクセスが無く正常に動作している場合において、検出部24は、第1の仮想マシン42−1により実現された情報処理装置20に対して不正アクセスがあるかどうか、および、不正アクセスの可能性があるかどうかを常時検出する。ここで、制御部26は、第1の仮想マシン42−1により実現された情報処理装置20に対して不正アクセスの可能性がある場合、第1の仮想マシン42−1により実現される情報処理装置20を正常モードからプロービングモードに遷移させる。
また、情報処理装置20は、プロービングモードにおいて、入力ポートに通常動作におけるデータを入力して、出力ポートを通常動作から切り離し可能な状態で動作を実行する。即ち、情報処理装置20は、プロービングモードにおいて、正常モードで動作する情報処理装置20に対して入力されるデータと同等のデータを入力ポートに入力してデータ処理を実行する。これにより、プロービングモードで動作する情報処理装置20は、機器22の動作を実際に制御したり、他の情報処理装置20へデータを送信したりするが、不正アクセスと判断された場合には機器22および他の情報処理装置20からいつでも切り離せる状態となる。
また、コンピュータ40は、機器22と同様の動作を仮想的に実現する仮想デバイス52を実行してもよい。この場合、プロービングモードで動作する情報処理装置20は、出力ポートから出力したデータを仮想デバイス52へと出力して、仮想デバイス52の動作を制御することができる。これにより、プロービングモードで動作する情報処理装置20は、不正アクセス者に対して機器22が不正アクセスに応じて動作したように見せかけて、不正アクセス者をだますことができる。また、仮想デバイス52経由で機器22へのアクセスを実施することで、機器22への不正なアクセスを検出しブロックすることもできる。
図4は、不正アクセスの可能性がある場合の構成から、不正アクセスが検出された場合の構成へと遷移するコンピューティングシステム10の状態を示す。図5は、不正アクセスが検出された場合における、コンピューティングシステム10の構成を示す。
検出部24は、第1の仮想マシン42−1により実現されたプロービングモードで動作する情報処理装置20に対して、不正アクセスがあるかどうかを引き続き検出する。この結果、検出部24が第1の仮想マシン42−1により実現された情報処理装置20に対して不正アクセスが無いと判断した場合には、制御部26は、第1の仮想マシン42−1による情報処理装置20の実行を正常モードに戻す。一方、検出部24が第1の仮想マシン42−1により実現された情報処理装置20に対して不正アクセスがあると検出された場合には、制御部26は、第1の仮想マシン42−1により実現された情報処理装置20をプロービングモードからデコイモードに遷移させる。
また、制御部26は、第1の仮想マシン42−1をデコイモードに遷移させた場合には、第2の仮想マシン42−2を正常モードで稼動させて、第1の仮想マシン42−1と入れ替える。また、さらに、この場合、制御部26は、第3の仮想マシン42−3をスタンバイモードで準備する。
情報処理装置20は、デコイモードにおいて、通常動作をしている他の装置から不正アクセスを切り離した動作を実行する。即ち、情報処理装置20は、デコイモードにおいて、入力ポートに通常動作におけるデータとは異なる擬似データを入力してデータ処理を実行する。そして、情報処理装置20は、デコイモードにおいて、データ処理の結果に応じたデータを出力ポートからは出力しない。即ち、プロービングモードで動作する情報処理装置20は、機器22の動作を実際に制御したり、他の情報処理装置20へデータを送信したりしない。
これにより、制御部26は、不正アクセスの可能性のある情報処理装置20を当該コンピューティングシステム10内の情報処理装置20および機器22に影響を与えないように切り離すとともに、不正アクセス者に対して当該コンピューティングシステム10内の正確な情報を与えないようにすることができる。また、制御部26は、不正アクセス者に対して擬似データを与えて、不正アクセスが成功しているようにだますことができる。
また、制御部26は、デコイモードで動作する情報処理装置20を実現する第1の仮想マシン42−1を、正常モードで動作する情報処理装置20を実現する第2の仮想マシン42−2を実行するコンピュータ40とは異なるコンピュータ40により実行させる。より具体的には、制御部26は、デコイモードで動作する情報処理装置20を実現する第1の仮想マシン42−1を、ハニーポッドネットワーク34に接続されたコンピュータ40により実行させる。なお、情報処理装置20をコンピュータ40間で移動させる場合、それぞれのコンピュータ40上の制御部26は、移動させる情報処理装置20の状態を互いに共有する。
また、仮想マシンの実行を停止せずに物理ホストを移動する技術は、一例として、VMWare(商標)等の多くの仮想化技術により実用化されており、ここでは、このような技術を利用して情報処理装置20の移動を実現する。
そして、制御部26は、デコイモードで動作する情報処理装置20(第1の仮想マシン42−1により実現される情報処理装置20)をハニーポッドネットワーク34上のアドレスに生成する。即ち、制御部26は、不正アクセスが検出された情報処理装置20をハニーポッドネットワーク34に接続する。更に、移動が完了したことに応じて、制御部26は、ゲートウェイ36に対して第1の仮想マシン42−1に対するアクセスを、正規ネットワーク32に代えてハニーポッドネットワーク34に転送するように指示する。これにより、制御部26は、不正アクセスをハニーポッドネットワーク34内に隔離することができる。
また、コンピュータ40は、機器22と同様の動作を仮想的に実現する仮想デバイス52を実行してもよい。この場合、デコイモードで動作する情報処理装置20は、出力ポートから出力したデータを仮想デバイス52へと出力して、仮想デバイス52の動作を制御することができる。これにより、デコイモードで動作する情報処理装置20は、不正アクセス者に対して、機器22が不正アクセスに応じて動作したように見せてだますことができる。
また、制御部26は、正常モードにおいて、第1の仮想マシン42−1により実現された情報処理装置20に対して不正アクセスがあった場合、第1の仮想マシン42−1により実現される情報処理装置20を、正常モードからデコイモードに直接遷移させてもよい。即ち、制御部26は、プロービングモードを介さずに、第1の仮想マシン42−1により実現される情報処理装置20を正常モードからデコイモードに遷移させてもよい。これにより、制御部26は、より早急に不正アクセスをハニーポッドネットワーク34に隔離することができる。
図6は、情報処理装置20のモード遷移のフローを示す。当該コンピューティングシステム10は、2つの仮想マシン42に限らず、3以上の仮想マシン42により情報処理装置20を実現してもよい。この場合において、3以上の仮想マシン42のそれぞれにより実現される情報処理装置20のそれぞれは、図6に示すステップS11からステップS18の処理を実行する。
まず、情報処理装置20は、スタンバイモードで動作する(ステップS11)。情報処理装置20は、スタンバイモードにおいて、直前の順位の情報処理装置20に対して不正アクセスの可能性が無い場合(ステップS12のNo)、スタンバイモードを続行する。また、情報処理装置20は、スタンバイモードにおいて、直前の順位の情報処理装置20に対して不正アクセスがある場合(ステップS12のYes)、正常モード(ステップS13)に遷移する。
続いて、情報処理装置20は、正常モードにおいて、当該情報処理装置20に対して不正アクセスの可能性が無い場合(ステップS14のNo)、正常モードを続行する。また、情報処理装置20は、正常モードにおいて、当該情報処理装置20に対して不正アクセスの可能性がある場合(ステップS14のYes)、プロービングモード(ステップS15)に遷移する。
続いて、情報処理装置20は、プロービングモードにおいて、当該情報処理装置20に対して不正アクセスが無いと判断された場合(ステップS16のNo)、正常モード(ステップS13)に戻る。また、情報処理装置20は、プロービングモードにおいて、当該情報処理装置20に対して不正アクセスがあると判断された場合(ステップS16のYes)、デコイモード(ステップS17)に遷移する。
続いて、情報処理装置20は、デコイモードにおいて、予め定められた期間実行を継続する(ステップS18)。例えば、情報処理装置20は、不正アクセスがなくなるまで実行を継続する。そして、情報処理装置20は、デコイモードにおいて、予め定めら得た期間経過した後、実行を停止して当該フローを抜ける(ステップS18のYes)。
以上のように、本実施形態に係るコンピューティングシステム10は、不正アクセスが検出されたことに応じてコンピューティングシステム10のモードを遷移させて、不正アクセスを通常動作をしている他の装置から切り離す。これにより、コンピューティングシステム10によれば、不正アクセスが検出されるまでリソースを必要としないので、リソースを効率良く利用することができる。
また、本実施形態に係るコンピューティングシステム10は、不正アクセスがされたリソース自体のモードを変化させて、不正アクセスを通常動作をしている他の装置から切り離す。これにより、コンピューティングシステム10によれば、不正アクセス者をだましたまま早急に不正アクセスをハニーポッドネットワーク34へと隔離して、不正アクセス者を長期間だますことができる。
なお、本実施形態に係る制御部26は、情報処理装置20を正常モードからプローブモードに遷移させ、その後、プローブモードからデコイモードに遷移させる。しかし、正常モードの段階において不正アクセスがあることが確実に検出できた場合には、制御部26は、情報処理装置20を正常モードからデコイモードに直接遷移させてもよい。これにより、制御部26は、より早急に不正アクセスをハニーポッドネットワーク34に隔離することができる。
図7は、本実施形態の変形例に係るコンピューティングシステム10において、不正アクセスがある場合におけるコンピューティングシステム10の構成を示す。本変形例に係るコンピューティングシステム10は、図1から図6を参照して説明したコンピューティングシステム10と略同一の機能および構成を備えるので、以下、略同一の機能および構成を有する要素に同一の符号を付けて、相違点のみ説明する。
本変形例に係るコンピューティングシステム10は、収集部60を更に備える。収集部60は、デコイモードで動作する情報処理装置20に対する不正アクセスの情報を収集する。収集部60は、一例として、不正アクセス者を特定するための情報等の解析をする。
そして、制御部26は、不正アクセスについて予め定められた種類の情報(例えば不正アクセス者に関する情報が検出できた場合)を収集できた場合には、デコイモードで動作する情報処理装置20の実行を停止する。このような本変形例に係るコンピューティングシステム10は、デコイモードで動作する情報処理装置20の実行を長期間継続させなくてもよいので、リソースを有効に利用することができる。
また、本変形例において、情報処理装置20は、機器22を制御する装置である。そして、情報処理装置20は、機器22を予め定められたタイミング毎に機器を基準状態とするように制御する。情報処理装置20は、一例として、機器22の状態を、一定期間毎(例えば数10分毎)に初期状態に戻すように制御をする。
そして、制御部26は、第1の仮想マシン42−1により実現される情報処理装置20に対する不正アクセスを検出した場合であって、機器22が基準状態となったタイミングにおいて、第1の仮想マシン42−1により実現される情報処理装置20を正常モードから他のモード(プローブモードまたはデコイモード)に遷移させ、第2の仮想マシンにより実現される情報処理装置20をスタンバイモードから正常モードに遷移させる。例えば、制御部26は、検出部24が不正アクセスを検出した場合、機器22が初期状態に戻ったタイミングにおいて、情報処理装置20のモード遷移を実行する。これにより、本変形例に係るコンピューティングシステム10によれば、情報処理装置20の切り換えによる制御対象への影響を少なくすることができる。
また、本変形例において、制御部26は、プロービングモードで動作する情報処理装置20の振る舞いを収集し、収集した振る舞いをデコイモードで動作する情報処理装置20に実行させてもよい。例えば、制御部26は、プロービングモードで動作する情報処理装置20に入力される入力データの振る舞い、プロービングモードで動作する情報処理装置20が制御する仮想デバイス52の振る舞い等を収集する。そして、制御部26は、収集した入力データの振る舞いおよび仮想デバイス52の振る舞いを、デコイモードで動作する情報処理装置20へと反映する。これにより、本変形例に係るコンピューティングシステム10によれば、より長い期間、不正アクセス者をだますことができる。
図8は、本実施形態に係るコンピュータ1900のハードウェア構成の一例を示す。本実施形態に係るコンピュータ1900は、ホスト・コントローラ2082により相互に接続されるCPU2000、RAM2020、グラフィック・コントローラ2075、及び表示装置2080を有するCPU周辺部と、入出力コントローラ2084によりホスト・コントローラ2082に接続される通信インターフェイス2030、ハードディスクドライブ2040、及びCD−ROMドライブ2060を有する入出力部と、入出力コントローラ2084に接続されるROM2010、フレキシブルディスク・ドライブ2050、及び入出力チップ2070を有するレガシー入出力部とを備える。
ホスト・コントローラ2082は、RAM2020と、高い転送レートでRAM2020をアクセスするCPU2000及びグラフィック・コントローラ2075とを接続する。CPU2000は、ROM2010及びRAM2020に格納されたプログラムに基づいて動作し、各部の制御を行う。グラフィック・コントローラ2075は、CPU2000等がRAM2020内に設けたフレーム・バッファ上に生成する画像データを取得し、表示装置2080上に表示させる。これに代えて、グラフィック・コントローラ2075は、CPU2000等が生成する画像データを格納するフレーム・バッファを、内部に含んでもよい。
入出力コントローラ2084は、ホスト・コントローラ2082と、比較的高速な入出力装置である通信インターフェイス2030、ハードディスクドライブ2040、CD−ROMドライブ2060を接続する。通信インターフェイス2030は、ネットワークを介して他の装置と通信する。ハードディスクドライブ2040は、コンピュータ1900内のCPU2000が使用するプログラム及びデータを格納する。CD−ROMドライブ2060は、CD−ROM2095からプログラム又はデータを読み取り、RAM2020を介してハードディスクドライブ2040に提供する。
また、入出力コントローラ2084には、ROM2010と、フレキシブルディスク・ドライブ2050、及び入出力チップ2070の比較的低速な入出力装置とが接続される。ROM2010は、コンピュータ1900が起動時に実行するブート・プログラム、及び/又は、コンピュータ1900のハードウェアに依存するプログラム等を格納する。フレキシブルディスク・ドライブ2050は、フレキシブルディスク2090からプログラム又はデータを読み取り、RAM2020を介してハードディスクドライブ2040に提供する。入出力チップ2070は、フレキシブルディスク・ドライブ2050を入出力コントローラ2084へと接続すると共に、例えばパラレル・ポート、シリアル・ポート、キーボード・ポート、マウス・ポート等を介して各種の入出力装置を入出力コントローラ2084へと接続する。
RAM2020を介してハードディスクドライブ2040に提供されるプログラムは、フレキシブルディスク2090、CD−ROM2095、又はICカード等の記録媒体に格納されて利用者によって提供される。プログラムは、記録媒体から読み出され、RAM2020を介してコンピュータ1900内のハードディスクドライブ2040にインストールされ、CPU2000において実行される。
コンピュータ1900にインストールされ、コンピュータ1900をコンピューティングシステム10として機能させるプログラムは、検出モジュールと、制御モジュールとを備える。これらのプログラム又はモジュールは、CPU2000等に働きかけて、コンピュータ1900を、コンピューティングシステム10としてそれぞれ機能させる。
これらのプログラムに記述された情報処理は、コンピュータ1900に読込まれることにより、ソフトウェアと上述した各種のハードウェア資源とが協働した具体的手段である検出部24および制御部26として機能する。そして、これらの具体的手段によって、本実施形態におけるコンピューティングシステム10の使用目的に応じた情報の演算又は加工を実現することにより、使用目的に応じた特有のコンピューティングシステム10が構築される。
一例として、コンピュータ1900と外部の装置等との間で通信を行う場合には、CPU2000は、RAM2020上にロードされた通信プログラムを実行し、通信プログラムに記述された処理内容に基づいて、通信インターフェイス2030に対して通信処理を指示する。通信インターフェイス2030は、CPU2000の制御を受けて、RAM2020、ハードディスクドライブ2040、フレキシブルディスク2090、又はCD−ROM2095等の記憶装置上に設けた送信バッファ領域等に記憶された送信データを読み出してネットワークへと送信し、もしくは、ネットワークから受信した受信データを記憶装置上に設けた受信バッファ領域等へと書き込む。このように、通信インターフェイス2030は、DMA(ダイレクト・メモリ・アクセス)方式により記憶装置との間で送受信データを転送してもよく、これに代えて、CPU2000が転送元の記憶装置又は通信インターフェイス2030からデータを読み出し、転送先の通信インターフェイス2030又は記憶装置へとデータを書き込むことにより送受信データを転送してもよい。
また、CPU2000は、ハードディスクドライブ2040、CD−ROMドライブ2060(CD−ROM2095)、フレキシブルディスク・ドライブ2050(フレキシブルディスク2090)等の外部記憶装置に格納されたファイルまたはデータベース等の中から、全部または必要な部分をDMA転送等によりRAM2020へと読み込ませ、RAM2020上のデータに対して各種の処理を行う。そして、CPU2000は、処理を終えたデータを、DMA転送等により外部記憶装置へと書き戻す。このような処理において、RAM2020は、外部記憶装置の内容を一時的に保持するものとみなせるから、本実施形態においてはRAM2020および外部記憶装置等をメモリ、記憶部、または記憶装置等と総称する。本実施形態における各種のプログラム、データ、テーブル、データベース等の各種の情報は、このような記憶装置上に格納されて、情報処理の対象となる。なお、CPU2000は、RAM2020の一部をキャッシュメモリに保持し、キャッシュメモリ上で読み書きを行うこともできる。このような形態においても、キャッシュメモリはRAM2020の機能の一部を担うから、本実施形態においては、区別して示す場合を除き、キャッシュメモリもRAM2020、メモリ、及び/又は記憶装置に含まれるものとする。
また、CPU2000は、RAM2020から読み出したデータに対して、プログラムの命令列により指定された、本実施形態中に記載した各種の演算、情報の加工、条件判断、情報の検索・置換等を含む各種の処理を行い、RAM2020へと書き戻す。例えば、CPU2000は、条件判断を行う場合においては、本実施形態において示した各種の変数が、他の変数または定数と比較して、大きい、小さい、以上、以下、等しい等の条件を満たすかどうかを判断し、条件が成立した場合(又は不成立であった場合)に、異なる命令列へと分岐し、またはサブルーチンを呼び出す。
また、CPU2000は、記憶装置内のファイルまたはデータベース等に格納された情報を検索することができる。例えば、第1属性の属性値に対し第2属性の属性値がそれぞれ対応付けられた複数のエントリが記憶装置に格納されている場合において、CPU2000は、記憶装置に格納されている複数のエントリの中から第1属性の属性値が指定された条件と一致するエントリを検索し、そのエントリに格納されている第2属性の属性値を読み出すことにより、所定の条件を満たす第1属性に対応付けられた第2属性の属性値を得ることができる。
以上に示したプログラム又はモジュールは、外部の記録媒体に格納されてもよい。記録媒体としては、フレキシブルディスク2090、CD−ROM2095の他に、DVD又はCD等の光学記録媒体、MO等の光磁気記録媒体、テープ媒体、ICカード等の半導体メモリ等を用いることができる。また、専用通信ネットワーク又はインターネットに接続されたサーバシステムに設けたハードディスク又はRAM等の記憶装置を記録媒体として使用し、ネットワークを介してプログラムをコンピュータ1900に提供してもよい。
以上、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されない。上記実施の形態に、多様な変更または改良を加えることが可能であることが当業者に明らかである。その様な変更または改良を加えた形態も本発明の技術的範囲に含まれ得ることが、特許請求の範囲の記載から明らかである。
特許請求の範囲、明細書、および図面中において示した装置、システム、プログラム、および方法における動作、手順、ステップ、および段階等の各処理の実行順序は、特段「より前に」、「先立って」等と明示しておらず、また、前の処理の出力を後の処理で用いるのでない限り、任意の順序で実現しうることに留意すべきである。特許請求の範囲、明細書、および図面中の動作フローに関して、便宜上「まず、」、「次に、」等を用いて説明したとしても、この順で実施することが必須であることを意味するものではない。
10 コンピューティングシステム
20 情報処理装置
22 機器
24 検出部
26 制御部
32 正規ネットワーク
34 ハニーポッドネットワーク
36 ゲートウェイ
40 コンピュータ
42 仮想マシン
44 仮想マシンマネージャ
52 仮想デバイス
60 収集部
1900 コンピュータ
2000 CPU
2010 ROM
2020 RAM
2030 通信インターフェイス
2040 ハードディスクドライブ
2050 フレキシブルディスク・ドライブ
2060 CD−ROMドライブ
2070 入出力チップ
2075 グラフィック・コントローラ
2080 表示装置
2082 ホスト・コントローラ
2084 入出力コントローラ
2090 フレキシブルディスク
2095 CD−ROM

Claims (13)

  1. コンピュータにより実行される仮想マシンにより仮想的に実現された情報処理装置に対する不正アクセスを検出する検出部と、
    外部ネットワークから前記情報処理装置への正当アクセスを転送する正規ネットワークと、
    前記外部ネットワークから前記情報処理装置への不正アクセスを転送するハニーポッドネットワークと、
    不正アクセスが検出されていない前記情報処理装置を前記正規ネットワークに接続し、不正アクセスが検出された前記情報処理装置を前記ハニーポッドネットワークに接続する制御部と、
    を備え、
    前記制御部は、前記検出部が前記不正アクセスを検出したことに応じて、前記情報処理装置を、前記不正アクセスを通常動作から切り離すデコイモードへと遷移させる
    システム。
  2. 前記コンピュータは、前記情報処理装置を仮想的に実現する第1の前記仮想マシンおよび第2の前記仮想マシンを実行し、
    前記制御部は、
    正常に動作している場合において、前記第1の仮想マシンにより実現される前記情報処理装置を正常モードで動作させ、前記第2の仮想マシンにより実現される前記情報処理装置を処理の実行を待機しているスタンバイモードで動作させ、
    前記第1の仮想マシンにより実現される前記情報処理装置に対する不正アクセスを検出した場合、前記第1の仮想マシンにより実現される前記情報処理装置を前記正常モードから前記デコイモードに遷移させ、前記第2の仮想マシンにより実現される前記情報処理装置を前記スタンバイモードから前記正常モードに遷移させる
    請求項1に記載のシステム。
  3. 前記制御部は、前記デコイモードで動作する前記情報処理装置を実現する前記第1の仮想マシンを、前記正常モードで動作する前記情報処理装置を実現する前記第2の仮想マシンを実行するコンピュータとは異なるコンピュータにより実行させる
    請求項2に記載のシステム。
  4. 前記制御部は、
    前記情報処理装置に対して不正アクセスの可能性がある場合、前記第1の仮想マシンにより実現される前記情報処理装置を、正常モードから、入力ポートに通常動作におけるデータを入力して出力ポートを通常動作から切り離し可能な状態で動作するプロービングモードに遷移させ、
    前記プロービングモードで動作する前記情報処理装置に対する不正アクセスを検出した場合、前記第1の仮想マシンにより実現される前記情報処理装置を前記プロービングモードから前記デコイモードに遷移させる
    請求項2または3に記載のシステム。
  5. 前記制御部は、前記プロービングモードで動作する前記情報処理装置を実現する前記第1の仮想マシンを、前記正常モードで動作する前記情報処理装置を実現する前記第2の仮想マシンを実行するコンピュータと同一のコンピュータにより実行させる
    請求項4に記載のシステム。
  6. 前記制御部は、前記プロービングモードで動作する前記情報処理装置の振る舞いを収集し、収集した振る舞いを前記デコイモードで動作する前記情報処理装置に実行させる
    請求項4または5に記載のシステム。
  7. 前記デコイモードで動作する前記情報処理装置に対する不正アクセスの情報を収集する収集部を更に備える
    請求項1から6の何れか1項に記載のシステム。
  8. 前記制御部は、前記不正アクセスについて予め定められた種類の情報を収集できた場合には、前記デコイモードで動作する前記情報処理装置の実行を停止する
    請求項7に記載のシステム。
  9. 前記情報処理装置は、機器を制御する装置であって、前記機器を予め定められたタイミング毎に基準状態とし、
    前記制御部は、前記第1の仮想マシンにより実現される前記情報処理装置に対する不正アクセスを検出した場合であって、前記機器が基準状態となったタイミングにおいて、前記第1の仮想マシンにより実現される前記情報処理装置を前記正常モードから他のモードに遷移させ、前記第2の仮想マシンにより実現される前記情報処理装置を前記スタンバイモードから前記正常モードに遷移させる
    請求項2に記載のシステム。
  10. 情報処理装置に対する不正アクセスを検出する検出部と、
    前記検出部が前記不正アクセスを検出したことに応じて、前記情報処理装置を、前記不正アクセスを通常動作から切り離すデコイモードへと遷移させる制御部と、
    を備えるシステム。
  11. 前記情報処理装置は、コンピュータにより実行される仮想マシンにより仮想的に実現される
    請求項10に記載のシステム。
  12. 情報処理装置を備えるシステムへの不正アクセスに対する防御をする方法であって、
    前記システムは、
    外部ネットワークから前記情報処理装置への正当アクセスを転送する正規ネットワークと、
    前記外部ネットワークから前記情報処理装置への不正アクセスを転送するハニーポッドネットワークと、
    を備え、
    コンピュータにより実行される仮想マシンにより仮想的に実現された情報処理装置に対する不正アクセスを検出する検出ステップと、
    不正アクセスが検出されていない前記情報処理装置を前記正規ネットワークに接続し、不正アクセスが検出された前記情報処理装置を前記ハニーポッドネットワークに接続する制御ステップと
    を備え、
    前記制御ステップでは、前記検出ステップにおいて前記不正アクセスを検出したことに応じて、前記情報処理装置を、前記不正アクセスを通常動作から切り離すデコイモードへと遷移させる
    方法。
  13. コンピュータを、請求項1から11の何れか1項に記載のシステムとして機能させるためのプログラム。
JP2011078533A 2011-03-31 2011-03-31 不正アクセスに対する防御をするシステム、方法およびプログラム Expired - Fee Related JP5697206B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2011078533A JP5697206B2 (ja) 2011-03-31 2011-03-31 不正アクセスに対する防御をするシステム、方法およびプログラム
US13/419,554 US8677484B2 (en) 2011-03-31 2012-03-14 Providing protection against unauthorized network access
US13/560,471 US8683589B2 (en) 2011-03-31 2012-07-27 Providing protection against unauthorized network access

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011078533A JP5697206B2 (ja) 2011-03-31 2011-03-31 不正アクセスに対する防御をするシステム、方法およびプログラム

Publications (2)

Publication Number Publication Date
JP2012212391A true JP2012212391A (ja) 2012-11-01
JP5697206B2 JP5697206B2 (ja) 2015-04-08

Family

ID=46929102

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011078533A Expired - Fee Related JP5697206B2 (ja) 2011-03-31 2011-03-31 不正アクセスに対する防御をするシステム、方法およびプログラム

Country Status (2)

Country Link
US (2) US8677484B2 (ja)
JP (1) JP5697206B2 (ja)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016514313A (ja) * 2013-03-04 2016-05-19 クラウドストライク インコーポレイテッド セキュリティ攻撃への欺きに基づく応答
JP2016515746A (ja) * 2013-04-19 2016-05-30 ニシラ, インコーポレイテッド エンドポイントセキュリティとネットワークセキュリティサービスを調整するフレームワーク
JP2016520237A (ja) * 2013-06-01 2016-07-11 ゼネラル・エレクトリック・カンパニイ ハニーポートが有効なネットワークセキュリティ
JP2018120296A (ja) * 2017-01-23 2018-08-02 ファナック株式会社 通信環境への侵入を検出するシステム、および侵入検出方法
US10491628B2 (en) 2014-09-17 2019-11-26 Mitsubishi Electric Corporation Attack observation apparatus and attack observation method
JP2020065166A (ja) * 2018-10-17 2020-04-23 富士通株式会社 マルウェア検査支援プログラム、マルウェア検査支援方法および通信装置
JP2021528744A (ja) * 2018-06-20 2021-10-21 ノートンライフロック インコーポレイテッド 周辺デバイスへのアクセスを制御するためのシステム及び方法
US11418537B2 (en) 2018-01-04 2022-08-16 Fujitsu Limited Malware inspection apparatus and malware inspection method

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8789179B2 (en) * 2011-10-28 2014-07-22 Novell, Inc. Cloud protection techniques
US9152808B1 (en) * 2013-03-25 2015-10-06 Amazon Technologies, Inc. Adapting decoy data present in a network
US8943594B1 (en) * 2013-06-24 2015-01-27 Haystack Security LLC Cyber attack disruption through multiple detonations of received payloads
IL227343A0 (en) 2013-07-04 2013-12-31 Shaked Microbiology A method for the control of harmful algal blooms
US9491189B2 (en) 2013-08-26 2016-11-08 Guardicore Ltd. Revival and redirection of blocked connections for intention inspection in computer networks
US9491190B2 (en) 2013-12-26 2016-11-08 Guardicore Ltd. Dynamic selection of network traffic for file extraction shellcode detection
US9667637B2 (en) 2014-06-09 2017-05-30 Guardicore Ltd. Network-based detection of authentication failures
US9912529B2 (en) * 2014-08-20 2018-03-06 International Business Machines Corporation Tenant-specific log for events related to a cloud-based service
US20160070908A1 (en) * 2014-09-10 2016-03-10 Microsoft Corporation Next generation of security operations service
US10193924B2 (en) * 2014-09-17 2019-01-29 Acalvio Technologies, Inc. Network intrusion diversion using a software defined network
US9686296B1 (en) 2015-01-06 2017-06-20 Blackpoint Holdings, Llc Systems and methods for providing network security monitoring
EP3057283A1 (en) * 2015-02-16 2016-08-17 Alcatel Lucent A method for mitigating a security breach, a system, a virtual honeypot and a computer program product
KR101703491B1 (ko) * 2015-03-26 2017-02-22 제노테크주식회사 클라우드 시스템의 보안 서비스 제공방법 및 그 클라우드 시스템
US10855721B2 (en) * 2015-05-27 2020-12-01 Nec Corporation Security system, security method, and recording medium for storing program
WO2016189841A1 (ja) * 2015-05-27 2016-12-01 日本電気株式会社 セキュリティシステム、セキュリティ方法、及びプログラムを記憶する記録媒体
US20170111391A1 (en) * 2015-10-15 2017-04-20 International Business Machines Corporation Enhanced intrusion prevention system
US10225284B1 (en) * 2015-11-25 2019-03-05 Symantec Corporation Techniques of obfuscation for enterprise data center services
CN105938437B (zh) * 2016-05-30 2019-03-22 北京大学 一种云环境下抗同驻的虚拟机部署方法
US10581914B2 (en) 2016-06-03 2020-03-03 Ciena Corporation Method and system of mitigating network attacks
US11093611B2 (en) 2017-06-25 2021-08-17 ITsMine Ltd. Utilization of deceptive decoy elements to identify data leakage processes invoked by suspicious entities
CN109347881B (zh) * 2018-11-30 2021-11-23 东软集团股份有限公司 基于网络欺骗的网络防护方法、装置、设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008306610A (ja) * 2007-06-11 2008-12-18 Hitachi Ltd 不正侵入・不正ソフトウェア調査システム、および通信振分装置
JP2010044613A (ja) * 2008-08-13 2010-02-25 Fujitsu Ltd ウイルス対策方法、コンピュータ、及びプログラム
WO2010030169A2 (en) * 2008-09-12 2010-03-18 Mimos Bhd. A honeypot host
JP2010073011A (ja) * 2008-09-19 2010-04-02 Hitachi Information Systems Ltd 仮想マシンセキュリティ管理システム及び仮想マシンセキュリティ管理方法
JP2010525459A (ja) * 2007-04-20 2010-07-22 ニューラルアイキュー,インコーポレーテッド コンピュータネットワークへの不正侵入を解析するシステムおよび方法

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0325820A (ja) 1989-06-21 1991-02-04 Mitsubishi Electric Corp 遮断器テスター
US7146640B2 (en) 2002-09-05 2006-12-05 Exobox Technologies Corp. Personal computer internet security system
US20040078592A1 (en) 2002-10-16 2004-04-22 At & T Corp. System and method for deploying honeypot systems in a network
US7216365B2 (en) * 2004-02-11 2007-05-08 Airtight Networks, Inc. Automated sniffer apparatus and method for wireless local area network security
US8171553B2 (en) * 2004-04-01 2012-05-01 Fireeye, Inc. Heuristic based capture with replay to virtual machine
US20060165073A1 (en) * 2004-04-06 2006-07-27 Airtight Networks, Inc., (F/K/A Wibhu Technologies, Inc.) Method and a system for regulating, disrupting and preventing access to the wireless medium
JP4050253B2 (ja) 2004-06-22 2008-02-20 株式会社ラック コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム
US20060161982A1 (en) * 2005-01-18 2006-07-20 Chari Suresh N Intrusion detection system
US7676841B2 (en) * 2005-02-01 2010-03-09 Fmr Llc Network intrusion mitigation
CA2604544A1 (en) 2005-04-18 2006-10-26 The Trustees Of Columbia University In The City Of New York Systems and methods for detecting and inhibiting attacks using honeypots
US8479288B2 (en) * 2006-07-21 2013-07-02 Research In Motion Limited Method and system for providing a honeypot mode for an electronic device
US8949986B2 (en) 2006-12-29 2015-02-03 Intel Corporation Network security elements using endpoint resources
US20080222729A1 (en) * 2007-03-05 2008-09-11 Songqing Chen Containment of Unknown and Polymorphic Fast Spreading Worms
US9009829B2 (en) * 2007-06-12 2015-04-14 The Trustees Of Columbia University In The City Of New York Methods, systems, and media for baiting inside attackers
US20090044270A1 (en) * 2007-08-07 2009-02-12 Asaf Shelly Network element and an infrastructure for a network risk management system
JP5083760B2 (ja) 2007-08-03 2012-11-28 独立行政法人情報通信研究機構 マルウェアの類似性検査方法及び装置
US8122505B2 (en) * 2007-08-17 2012-02-21 International Business Machines Corporation Method and apparatus for detection of malicious behavior in mobile ad-hoc networks
US20090204964A1 (en) 2007-10-12 2009-08-13 Foley Peter F Distributed trusted virtualization platform
US8667582B2 (en) * 2007-12-10 2014-03-04 Mcafee, Inc. System, method, and computer program product for directing predetermined network traffic to a honeypot
US8060710B1 (en) * 2007-12-12 2011-11-15 Emc Corporation Non-disruptive migration using device identity spoofing and passive/active ORS pull sessions
US8181250B2 (en) * 2008-06-30 2012-05-15 Microsoft Corporation Personalized honeypot for detecting information leaks and security breaches
JP2010198386A (ja) 2009-02-25 2010-09-09 Nippon Telegr & Teleph Corp <Ntt> 不正アクセス監視システムおよび不正アクセス監視方法
US8312468B2 (en) * 2009-06-09 2012-11-13 Open Kernel Labs Methods and apparatus for fast context switching in a virtualized system
US8789189B2 (en) 2010-06-24 2014-07-22 NeurallQ, Inc. System and method for sampling forensic data of unauthorized activities using executability states
US9106697B2 (en) * 2010-06-24 2015-08-11 NeurallQ, Inc. System and method for identifying unauthorized activities on a computer system using a data structure model

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010525459A (ja) * 2007-04-20 2010-07-22 ニューラルアイキュー,インコーポレーテッド コンピュータネットワークへの不正侵入を解析するシステムおよび方法
JP2008306610A (ja) * 2007-06-11 2008-12-18 Hitachi Ltd 不正侵入・不正ソフトウェア調査システム、および通信振分装置
JP2010044613A (ja) * 2008-08-13 2010-02-25 Fujitsu Ltd ウイルス対策方法、コンピュータ、及びプログラム
WO2010030169A2 (en) * 2008-09-12 2010-03-18 Mimos Bhd. A honeypot host
JP2010073011A (ja) * 2008-09-19 2010-04-02 Hitachi Information Systems Ltd 仮想マシンセキュリティ管理システム及び仮想マシンセキュリティ管理方法

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
CSNG200500054001; 竹森 敬祐,力武 健次,三宅 優,中尾 康二: '"Intrusion Trap Systemにおける安全で有向なログ収集のための動的切替え機能の実装' 情報処理学会論文誌 第44巻、第8号, 20030815, p.1838-1847, 社団法人情報処理学会 *
CSNJ200710045173; 天野 將宏,簑原 隆: '"仮想環境を用いたハニーポットファームの実現"' 情報処理学会第69回(平成19年)全国大会講演論文集(3) 4W-6, 20070306, p.3-361〜3-362, 社団法人情報処理学会 *
JPN6014042908; 竹森 敬祐,力武 健次,三宅 優,中尾 康二: '"Intrusion Trap Systemにおける安全で有向なログ収集のための動的切替え機能の実装' 情報処理学会論文誌 第44巻、第8号, 20030815, p.1838-1847, 社団法人情報処理学会 *
JPN6014042910; 天野 將宏,簑原 隆: '"仮想環境を用いたハニーポットファームの実現"' 情報処理学会第69回(平成19年)全国大会講演論文集(3) 4W-6, 20070306, p.3-361〜3-362, 社団法人情報処理学会 *
JPN6014042912; 鈴木 友博: '"仮想ネットワークを利用した攻撃監視システム"' 未踏iPedia:開発成果情報:2009年度上期未踏ユース開発成果 , 2009, [オンライン] *

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11809555B2 (en) 2013-03-04 2023-11-07 Crowdstrike, Inc. Deception-based responses to security attacks
JP2016514313A (ja) * 2013-03-04 2016-05-19 クラウドストライク インコーポレイテッド セキュリティ攻撃への欺きに基づく応答
US10713356B2 (en) 2013-03-04 2020-07-14 Crowdstrike, Inc. Deception-based responses to security attacks
US11196773B2 (en) 2013-04-19 2021-12-07 Nicira, Inc. Framework for coordination between endpoint security and network security services
JP2016515746A (ja) * 2013-04-19 2016-05-30 ニシラ, インコーポレイテッド エンドポイントセキュリティとネットワークセキュリティサービスを調整するフレームワーク
US11736530B2 (en) 2013-04-19 2023-08-22 Nicira, Inc. Framework for coordination between endpoint security and network security services
US10075470B2 (en) 2013-04-19 2018-09-11 Nicira, Inc. Framework for coordination between endpoint security and network security services
US10511636B2 (en) 2013-04-19 2019-12-17 Nicira, Inc. Framework for coordination between endpoint security and network security services
JP2016520237A (ja) * 2013-06-01 2016-07-11 ゼネラル・エレクトリック・カンパニイ ハニーポートが有効なネットワークセキュリティ
US10491628B2 (en) 2014-09-17 2019-11-26 Mitsubishi Electric Corporation Attack observation apparatus and attack observation method
JP2018120296A (ja) * 2017-01-23 2018-08-02 ファナック株式会社 通信環境への侵入を検出するシステム、および侵入検出方法
US10511612B2 (en) 2017-01-23 2019-12-17 Fanuc Corporation System and method of detecting intrusion into communication environment
US11418537B2 (en) 2018-01-04 2022-08-16 Fujitsu Limited Malware inspection apparatus and malware inspection method
JP2021528744A (ja) * 2018-06-20 2021-10-21 ノートンライフロック インコーポレイテッド 周辺デバイスへのアクセスを制御するためのシステム及び方法
JP7144544B2 (ja) 2018-06-20 2022-09-29 ノートンライフロック インコーポレイテッド 周辺デバイスへのアクセスを制御するためのシステム及び方法
JP2020065166A (ja) * 2018-10-17 2020-04-23 富士通株式会社 マルウェア検査支援プログラム、マルウェア検査支援方法および通信装置
JP7107153B2 (ja) 2018-10-17 2022-07-27 富士通株式会社 マルウェア検査支援プログラム、マルウェア検査支援方法および通信装置
US11316888B2 (en) 2018-10-17 2022-04-26 Fujitsu Limited Malware inspection support system and malware inspection support method

Also Published As

Publication number Publication date
US20120254951A1 (en) 2012-10-04
JP5697206B2 (ja) 2015-04-08
US20120297452A1 (en) 2012-11-22
US8683589B2 (en) 2014-03-25
US8677484B2 (en) 2014-03-18

Similar Documents

Publication Publication Date Title
JP5697206B2 (ja) 不正アクセスに対する防御をするシステム、方法およびプログラム
US10552208B2 (en) Migrating a virtual machine that owns a resource such as a hardware device
JP5754704B2 (ja) 複数の産業制御システム間の通信を制御するシステム
KR102255767B1 (ko) 가상 머신 감사를 위한 시스템 및 방법들
JP5665188B2 (ja) ソフトウエア更新を適用した情報処理装置を検査するシステム
CN102207886B (zh) 虚拟机快速仿真辅助
JP5167844B2 (ja) プロセッサ、電子機器、割込み制御方法及び割込み制御プログラム
US10102373B2 (en) Method and apparatus for capturing operation in a container-based virtualization system
CN107454958A (zh) 使用多个嵌套页表隔离客户机代码和数据
JP2018520446A (ja) 非同期イントロスペクション例外を使用するコンピュータセキュリティシステムおよび方法
US20080052709A1 (en) Method and system for protecting hard disk data in virtual context
RU2005135472A (ru) Управление безопасностью компьютера, например, в виртуальной машине или реальной операционной системе
US20080215852A1 (en) System and Device Architecture For Single-Chip Multi-Core Processor Having On-Board Display Aggregator and I/O Device Selector Control
US10552345B2 (en) Virtual machine memory lock-down
US20180365428A1 (en) Configuration of a memory controller for copy-on-write with a resource controller
US10657022B2 (en) Input and output recording device and method, CPU and data read and write operation method thereof
US10572671B2 (en) Checking method, checking system and checking device for processor security
US10452408B1 (en) System and method for intercepting data flow between a computer process and a file
CN110765462B (zh) 一种操作控制方法、装置、计算系统及电子设备
McDaniel et al. Identifying weaknesses in VM/hypervisor interfaces

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140108

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140930

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20141007

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20141216

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150120

RD14 Notification of resignation of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7434

Effective date: 20150121

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150206

R150 Certificate of patent or registration of utility model

Ref document number: 5697206

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees