JP2015219859A - ネットワーク制御システム及びネットワーク制御方法 - Google Patents
ネットワーク制御システム及びネットワーク制御方法 Download PDFInfo
- Publication number
- JP2015219859A JP2015219859A JP2014105054A JP2014105054A JP2015219859A JP 2015219859 A JP2015219859 A JP 2015219859A JP 2014105054 A JP2014105054 A JP 2014105054A JP 2014105054 A JP2014105054 A JP 2014105054A JP 2015219859 A JP2015219859 A JP 2015219859A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- server
- client terminal
- unit
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】マルウェアに察知されずに感染端末の隔離及びマルウェアの調査を可能とする。【解決手段】ネットワーク制御システム10において、ネットワークシステム上の通信状態を計測する通信状態取得部117と、通信状態に基づきクライアント端末とサーバ152〜154との各間の経路の通信パターンを算出する通信パターン算出部116と、インシデント対応が必要である特定クライアント端末155と各サーバ152〜154との間の経路の各通信パターンにおいて通信発生確率が所定以下であるタイミングを判定する通信タイミング判定部122と、特定クライアント端末155と各サーバ152〜154との各間を接続するスイッチ151の設定を該当スイッチが含まれる経路について判定したタイミングで順次変更し、特定クライアント端末155からのサーバ152〜154への通信を遮断する切替実行部123を備える構成とする。【選択図】図1
Description
本発明は、ネットワーク制御システム及びネットワーク制御方法に関するものであり、具体的にはマルウェアに察知されずに感染端末の隔離及びマルウェアの調査を可能とする技術に関する。
近年、情報技術の普及に伴い、サイバー攻撃の多様化・複雑化が進んでいる。特に標的型攻撃と呼ばれるタイプの攻撃は、従来の愉快犯的な無差別攻撃と異なり、明確な目的を持ち、特定の個人や組織を標的として情報の窃取や改ざんを行う。この標的型攻撃により、実際に政府機関や企業等で被害が発生しており、社会問題となっている。
標的型攻撃の一例を以下に述べる。攻撃者は、まず、メールへの添付や、Webサイトからのダウンロード等の手法を利用し、マルウェアを、標的のネットワーク内におけるクライアント端末に侵入させる。こうしてクライアント端末に侵入したマルウェアは、該当クライアント端末が接続されているネットワークの調査や、攻撃者が用意した外部C&Cサーバからの新たなマルウェアのダウンロードによる攻撃機能補強、といった各種動作を行う。そうして最終的にマルウェアは、標的のネットワーク内において資産性の高い情報にアクセスし、その窃取や改ざんを行う。
一方、このような標的攻撃に伴うクライアント端末へのマルウェアの侵入自体を完全に防ぐのは難しいため、「ネットワーク上でのマルウェアの活動を検知し対処する」、「マルウェアが機密情報を外部に送信するのを防ぐ」、などの各対策を組み合わせた多重の防御が有効とされる。
上述のような対策を施した結果、ネットワークにマルウェアが侵入し活動している兆候を検知した場合、従来における一般的な対処方法は以下の通りである。まず、マルウェアに感染している可能性がある端末をネットワークから切り離して隔離し、調査環境に置く。これは、感染端末が外部からの影響を受けないようにする証拠保全のためと、感染端末がネットワーク上の他のホストへ攻撃することを防ぐためである。また、隔離後の感染端末を調査してマルウェアを特定し、その活動履歴を得る。最後に感染端末からマルウェアを除去し、該当マルウェアの活動内容を所定の管理者等に報告して、クリーンな端末をネットワークに再接続する。
このようなマルウェア対策に関する従来技術としては、例えば、マルウェア感染に気付いたユーザによる隔離命令に応じ、隔離実行モジュールがネットワーク機器の設定変更を実行し、リモートマシンの通信を遮断する技術(特許文献1参照)などが提案されている。
ところが、近年の標的型攻撃用マルウェアは高度化が進んでおり、上述した対策を実行してもこれを回避する機能を持つものがある。具体的には、調査されていることを検知すると、活動を停止してやりすごそうとする機能、マルウェア自身やシステムログを消去し
て証拠隠滅を図る機能、および感染先の全データを破壊しようとする機能、などである。こうした機能を備えるマルウェアは、自身が調査されていることを検知する場合、攻撃者が用意した外部C&Cサーバとの通信が遮断された事象を検知する、といった環境変化を利用した方法を実行する。
て証拠隠滅を図る機能、および感染先の全データを破壊しようとする機能、などである。こうした機能を備えるマルウェアは、自身が調査されていることを検知する場合、攻撃者が用意した外部C&Cサーバとの通信が遮断された事象を検知する、といった環境変化を利用した方法を実行する。
こうしたマルウェアに対し、従来手法で対処しようとすると、ネットワークから隔離した時点で該当マルウェアはその環境変化を察知し、上述のような回避動作を行うことになる。この場合、マルウェアの挙動が変化してしまい、マルウェアの発見が困難になる、マルウェアの活動による影響範囲が特定困難になる、マルウェアによる攻撃の証拠が保全できなくなる、などといった具合に、その後の調査に大いに支障が出ることとなる。
そこで本発明の目的は、マルウェアに察知されずに感染端末の隔離及びマルウェアの調査を可能とする技術を提供することにある。
上記課題を解決する本発明のネットワーク制御システムは、サーバとクライアント端末とがスイッチで接続されたネットワークシステム上における、スイッチとサーバとの接続関係の情報を格納したネットワーク構成データベースを記憶する記憶部と、前記ネットワークシステム上の通信状態を計測して記憶部に格納する通信状態取得部と、前記通信状態に基づき、所定期間におけるクライアント端末とサーバとの各間の経路の通信パターンを算出し、記憶部に格納する通信パターン算出部と、インシデント対応が必要である旨を入力部にて指定された特定クライアント端末について、前記記憶部より各サーバとの間の経路の各通信パターンを読み出し、当該各通信パターンにおいて前記特定クライアント端末と該当サーバとの間で通信の発生確率が所定以下であるタイミングを判定する通信タイミング判定部と、前記ネットワーク構成データベースに基づいて、前記特定クライアント端末と前記各サーバとの各間を接続する各スイッチを特定し、前記特定した各スイッチの設定を、該当スイッチが含まれる経路について前記判定したタイミングで順次変更し、前記特定クライアント端末からの前記サーバへの通信を遮断する切替実行部と、を備えることを特徴とする。
また、本発明のネットワーク制御方法は、サーバとクライアント端末とがスイッチで接続されたネットワークシステム上における、スイッチとサーバとの接続関係の情報を格納したネットワーク構成データベースを記憶する記憶部を備えたコンピュータシステムが、前記ネットワークシステム上の通信状態を計測して記憶部に格納する処理と、前記通信状態に基づき、所定期間におけるクライアント端末とサーバとの各間の経路の通信パターンを算出し、記憶部に格納する処理と、インシデント対応が必要である旨を入力部にて指定された特定クライアント端末について、前記記憶部より各サーバとの間の経路の各通信パターンを読み出し、当該各通信パターンにおいて前記特定クライアント端末と該当サーバとの間で通信の発生確率が所定以下であるタイミングを判定する処理と、前記ネットワーク構成データベースに基づいて、前記特定クライアント端末と前記各サーバとの各間を接続する各スイッチを特定し、前記特定した各スイッチの設定を、該当スイッチが含まれる経路について前記判定したタイミングで順次変更し、前記特定クライアント端末からの前記サーバへの通信を遮断する処理と、を実行することを特徴とする。
本発明によれば、マルウェアに察知されずに感染端末の隔離及びマルウェアの調査が可能となる。
−−−システム構成例−−−
本実施形態におけるネットワーク制御システムでは、マルウェア感染端末を隔離するにあたり、ネットワーク上の通信を監視し、各通信コネクションの開始・終了が発生するパターンを算出し、通信コネクションが切れているタイミングを見計らってネットワーク機器の設定を変更し、マルウェア感染端末からの通信を、切り替え可能なものから順次ダミーサーバへ誘導することで、マルウェアに検知されることなくマルウェア感染端末を隔離する。以下、図面を使って、本実施形態におけるネットワーク制御システムの例について説明する。
本実施形態におけるネットワーク制御システムでは、マルウェア感染端末を隔離するにあたり、ネットワーク上の通信を監視し、各通信コネクションの開始・終了が発生するパターンを算出し、通信コネクションが切れているタイミングを見計らってネットワーク機器の設定を変更し、マルウェア感染端末からの通信を、切り替え可能なものから順次ダミーサーバへ誘導することで、マルウェアに検知されることなくマルウェア感染端末を隔離する。以下、図面を使って、本実施形態におけるネットワーク制御システムの例について説明する。
図1は、本実施形態のネットワーク制御システム10と、当該ネットワーク制御システム10が制御対象とするネットワークとを含むネットワーク構成図である。図1に例示する本実施形態におけるネットワーク制御システム10は、ネットワーク切り替え制御サーバ101と、ネットワーク監視サーバ102とから構成される。なお、本実施形態ではネットワーク制御システム10を、上述のようにネットワーク制御切り替えサーバ101とネットワーク監視サーバ102とから構成する形態を例示しているが、一体のサーバのみでネットワーク制御システム10を構成するとしてもよいし、或いは、3体以上のサーバで構成するとしてもよい。
また、本実施形態におけるネットワーク制御システム10の制御対象となるネットワークは、通信路193、この通信路193に接続されたスイッチ151、このスイッチ151に接続され、インターネット194と接続する各サーバ152〜154、LAN196等を介して上述のスイッチ151と接続され、マルウェア感染調査の対象となるクライアント端末155、ダミーサーバ構築用ホスト156、および仮想マシン構築用ホスト157で構成される。 このうちスイッチ151、ダミーサーバ構築用ホスト156、および仮想マシン構築用ホスト157は、管理用通信路192を介してネットワーク切り替え制御サーバ101に接続されている。また、通信路193は、ネットワーク監視サーバ102に接続されている。
こうしたネットワーク構成におけるネットワーク切り替え制御サーバ101は、マルウェア感染等のインシデント発生時に、システム管理者の指示を受け、制御対象ネットワーク上のネットワーク機器すなわちスイッチ151の設定を変更することで、特定のクライアント端末155をネットワーク(例:サーバ152〜154とクライアント端末155との間の経路であるLAN196)からの隔離と復帰を実行する役割を持つ。
上述のネットワーク切り替え制御サーバ101は、システム管理者がネットワークの構成情報を入力する際のインターフェイスとなる設定時入力部111、この設定時入力部111から入力された情報を保持するネットワーク構成DB131、システム管理者がインシデント対応時にインシデント情報と隔離命令を入力する際のインターフェイスとなるインシデント時入力部112、このインシデント時入力部112からの入力を受けてインシデント情報を管理し各部に指示を出すインシデント時制御部113、このインシデント時
制御部113が扱う情報を格納するインシデント管理DB134、インシデント時制御部113からの指示を受けダミーサーバを構築、管理、削除するダミーサーバ管理部120、サーバ操作部119、ダミーサーバ管理部120らが扱う情報を格納するダミーサーバ管理DB133、インシデント時制御部113からの指示を受けてネットワーク設定を変更、管理する通信路管理部114、通信路制御部115、通信路管理部114等で扱う情報を格納する通信路管理DB135、および、管理対象ネットワーク上の機器と接続するための通信インターフェイス191を備える。
制御部113が扱う情報を格納するインシデント管理DB134、インシデント時制御部113からの指示を受けダミーサーバを構築、管理、削除するダミーサーバ管理部120、サーバ操作部119、ダミーサーバ管理部120らが扱う情報を格納するダミーサーバ管理DB133、インシデント時制御部113からの指示を受けてネットワーク設定を変更、管理する通信路管理部114、通信路制御部115、通信路管理部114等で扱う情報を格納する通信路管理DB135、および、管理対象ネットワーク上の機器と接続するための通信インターフェイス191を備える。
このうち通信路制御部115は、ネットワーク監視サーバ102から通信パターンを取得して適切なネットワーク切り替えタイミングを判定する通信タイミング判定部122と、この通信タイミング判定部122からの指示を受けて通信インターフェイス191を介して制御対象ネットワーク上の各スイッチ151の設定を変更する切替実行部123とから構成されている。
一方、ネットワーク監視サーバ102は、常に制御対象ネットワークの通信路193を監視してその通信状態の情報を取得し、取得した通信状態の情報に基づいて通信パターンを算出、格納して、インシデント発生時にネットワーク切り替え制御サーバ101に提供する役割を持つ。
また、ネットワーク監視サーバ102は、制御対象ネットワークの通信路193と接続する通信インターフェイス194、通信路193の通信内容を保持する通信履歴DB138、通信履歴DB138の情報から算出した通信パターンを保持する通信パターンDB137、通信インターフェイス194を通して取得した通信路193の通信のうち、通信開始と終了の情報のみを抽出して通信履歴DB138に格納する通信状態取得部117、および、通信履歴DB138に格納された情報から通信パターンを算出して通信パターンDB137に格納する通信パターン算出部116を備える。
なお、ダミーサーバ構築用ホスト156の論理構成は、仮想スイッチ161、およびダミーサーバ162、163からなる。また、仮想マシン構築用ホスト157の論理構成は、仮想スイッチ164、165、および仮想マシン166からなる。
図1の例では、物理スイッチをスイッチ151のみの構成としたが、物理スイッチ151は複数台あってもよい。また、ダミーサーバ構築用ホスト156、仮想マシン構築用ホスト157も複数台あってもよい。また、サーバ152〜154、ダミーサーバ162〜163、仮想マシン165〜166の数は任意である。また、スイッチ151、仮想スイッチ161、164は、管理用通信路192を介してネットワーク切り替え制御サーバ101からの指令を受け、設定を変更可能である。
−−−ハードウェア構成例−−−
続いて、図2を用いてネットワーク切り替え制御サーバ101、およびネットワーク監視サーバ102のハードウェア構成例について説明する。図2は、本実施形態のネットワーク制御システム10を構成する装置のハードウェア構成例を示す図である。
続いて、図2を用いてネットワーク切り替え制御サーバ101、およびネットワーク監視サーバ102のハードウェア構成例について説明する。図2は、本実施形態のネットワーク制御システム10を構成する装置のハードウェア構成例を示す図である。
本実施形態におけるネットワーク切り替え制御サーバ101およびネットワーク監視サーバ102のハードウェア構成は、サーバ装置として同じであり、CPU201、メモリ202、記憶装置203、通信インターフェイス204、入力装置205、および出力装置206が、バス207で接続された構成となっている。
このうちCPU201は中央演算装置であり、メモリ202(または記憶装置203)に保持しているプログラム210を実行することで、必要な機能(機能部)を実装するも
のとなる。例えばネットワーク切り替え制御サーバ101におけるCPU201は、設定時入力部111、インシデント時入力部112、インシデント時制御部113、通信路管理部114、通信路制御部115、サーバ操作部119、およびダミーサーバ管理部120の各機能を実装する。また、ネットワーク監視サーバ102におけるCPU201は、通信パターン算出部116、および通信状態取得部117の各機能を実装する。
のとなる。例えばネットワーク切り替え制御サーバ101におけるCPU201は、設定時入力部111、インシデント時入力部112、インシデント時制御部113、通信路管理部114、通信路制御部115、サーバ操作部119、およびダミーサーバ管理部120の各機能を実装する。また、ネットワーク監視サーバ102におけるCPU201は、通信パターン算出部116、および通信状態取得部117の各機能を実装する。
またメモリ202は、上述のCPU201が処理を実行する際に利用する主記憶装置であり、RAMなど揮発性記憶素子で構成される。一方、記憶装置203は、CPU201へ提供する入力データやCPU201から出力される出力データを保管するための補助記憶装置であり、SSD(Solid State Drive)やハードディスクドライブなど適宜な不揮発性記憶素子で構成される。また、本実施形態のネットワーク切り替え制御サーバ101における記憶装置203は、ネットワーク構成DB131、ダミーサーバ管理DB133、インシデント管理DB134、および通信路管理DB135を格納している。また、ネットワーク監視サーバ102における記憶装置203は、システム設定DB136、通信パターンDB137、および通信履歴DB138を格納している。
また、通信インターフェイス204は、外部ノードとの通信を行う通信装置であり、各種ネットワークと通信を行う。
また、入力装置205は、操作者からのキー入力や音声入力を受け付けるインターフェイスであり、例えば、キーボード、タッチパネル、カードリーダ、音声入力装置などで構成される。
また、出力装置206は、操作者に対して処理データの出力を行うインターフェイスであり、例えば、ディスプレイ、スピーカー、プリンタなどで構成される。
−−−ネットワーク構成DBの構成例−−−
次に、本実施形態のネットワーク制御システム10が用いるデータベースにおけるテーブル構造例について説明する。ここではまず、図3〜図5を使ってネットワーク構成DB131のテーブル構成例について説明する。図3は本実施形態のネットワーク構成DB131におけるスイッチテーブル400の構成例を示す図であり、図4はサーバテーブル410、図5はダミーサーバ構築用ホストテーブル420の各構成例を示す図である
本実施形態におけるネットワーク構成DB131は、スイッチテーブル400、サーバテーブル410、およびダミーサーバ構築用ホストテーブル420を含んでいる。
次に、本実施形態のネットワーク制御システム10が用いるデータベースにおけるテーブル構造例について説明する。ここではまず、図3〜図5を使ってネットワーク構成DB131のテーブル構成例について説明する。図3は本実施形態のネットワーク構成DB131におけるスイッチテーブル400の構成例を示す図であり、図4はサーバテーブル410、図5はダミーサーバ構築用ホストテーブル420の各構成例を示す図である
本実施形態におけるネットワーク構成DB131は、スイッチテーブル400、サーバテーブル410、およびダミーサーバ構築用ホストテーブル420を含んでいる。
このうちスイッチテーブル400は、ネットワーク切り替え制御サーバ101が、ネットワーク192を通して操作可能なスイッチ151の一覧を保持するテーブルであり、スイッチID401と、該当スイッチ151の管理用IPアドレス402との組み合わせを一つのレコードとする。このスイッチテーブル400におけるレコード数は、ネットワーク切り替え制御サーバ101が操作するスイッチ151の数に伴い変動する。
また、サーバテーブル410は、ネットワーク切り替え制御サーバ101が、クライアント端末155からの接続の可否を管理するサーバ152〜154の一覧を保持するテーブルであり、サーバID411をキーとして、該当サーバのIPアドレス412、用途413、デフォルトの隔離設定414、接続されるスイッチID415、その接続ポート番号416、およびイメージファイル417(該当サーバ用のダミーサーバの設定情報)を対応付けたレコードの集合体となっている。このサーバテーブル410のレコード数は、ネットワーク切り替え制御サーバ101が管理するサーバ152〜154の数に伴い変動する。
また、ダミーサーバ構築用ホストテーブル420は、ネットワーク切り替え制御サーバ101が管理する、ダミーサーバ構築用のリソースとなるホストの一覧を保持するためのテーブルであり、ダミーサーバ構築用ホスト156のホストID421をキーとして該当ホストのIPアドレス422を対応付けたレコードの集合体となっている。このダミーサーバ構築用ホストテーブル420のレコード数は、ネットワーク切り替え制御サーバ101が管理するダミーサーバ構築用ホスト156の数に伴い変動する。
なお、これら各テーブルの構成はあくまで一例であり、例えば各機器のMACアドレスを登録する列を加えるなど、必要に応じて構成を変化させても良い。
−−−インシデント管理DBの構成例−−−
次にインシデント管理DB134のテーブル構成例について説明する。図6は本実施形態のインシデント管理DB134におけるインシデントテーブル500の構成例を示す図である。このインシデントテーブル500は、マルウェア感染が疑われるクライアント端末155の情報を保持するテーブルであり、インシデントID501をキーとして、マルウェア感染端末たるクライアント端末155のIPアドレスすなわち感染クライアントIP502を対応付けたレコードの集合体となっている。このインシデントテーブル500のレコード数は、システム管理者が登録したマルウェア感染クライアントの数に伴い変動する。なお、ここで示したレコード構成はあくまで一例であり、例えば感染クライアントごとに個別のVLANのIDを割り振って隔離する場合、VLANのIDを格納する列を加えても良い。
次にインシデント管理DB134のテーブル構成例について説明する。図6は本実施形態のインシデント管理DB134におけるインシデントテーブル500の構成例を示す図である。このインシデントテーブル500は、マルウェア感染が疑われるクライアント端末155の情報を保持するテーブルであり、インシデントID501をキーとして、マルウェア感染端末たるクライアント端末155のIPアドレスすなわち感染クライアントIP502を対応付けたレコードの集合体となっている。このインシデントテーブル500のレコード数は、システム管理者が登録したマルウェア感染クライアントの数に伴い変動する。なお、ここで示したレコード構成はあくまで一例であり、例えば感染クライアントごとに個別のVLANのIDを割り振って隔離する場合、VLANのIDを格納する列を加えても良い。
−−−ダミーサーバ管理DBの構成例−−−
次にダミーサーバ管理DB133のテーブル構成例について説明する。図7は本実施形態のダミーサーバ管理DB133におけるダミーサーバテーブル600の構成例を示す図である。このダミーサーバテーブル600は、インシデント対処時に仮想マシン上に構築するダミーサーバ162、163の情報を保持するためのテーブルであり、インシデントID601と、該当ダミーサーバの識別情報であるサーバID602とをキーとして、対応するホストID603、接続先のスイッチID604、接続ポート番号605、および現在状態606を対応付けたレコードの集合体となっている。このダミーサーバテーブル600のレコード数は、インシデント対応時にシステム管理者が構築するダミーサーバ162、163の数に伴い変動する。
次にダミーサーバ管理DB133のテーブル構成例について説明する。図7は本実施形態のダミーサーバ管理DB133におけるダミーサーバテーブル600の構成例を示す図である。このダミーサーバテーブル600は、インシデント対処時に仮想マシン上に構築するダミーサーバ162、163の情報を保持するためのテーブルであり、インシデントID601と、該当ダミーサーバの識別情報であるサーバID602とをキーとして、対応するホストID603、接続先のスイッチID604、接続ポート番号605、および現在状態606を対応付けたレコードの集合体となっている。このダミーサーバテーブル600のレコード数は、インシデント対応時にシステム管理者が構築するダミーサーバ162、163の数に伴い変動する。
−−−通信路管理DBの構成例−−−
続いて本実施形態における通信路管理DB135のテーブル構成例について説明する。図8は本実施形態の通信路管理DB135における通信路テーブル700の構成例を示す図である。この通信路テーブル700は、クライアント端末155と各サーバ152〜154との間の各経路すなわち通信路の一覧を保持するためのテーブルであり、通信路の識別情報たる通信路ID701をキーとして、該当通信路に接続されるクライアント端末のIPアドレス702、そのクライアントポート番号703、接続されるサーバのIPアドレス704、ポート番号705、隔離設定706、および現在状態707を対応付けたレコードの集合体となっている。この通信路テーブル700のレコード数は、起動している通信路制御部115の数に伴い変動する。
続いて本実施形態における通信路管理DB135のテーブル構成例について説明する。図8は本実施形態の通信路管理DB135における通信路テーブル700の構成例を示す図である。この通信路テーブル700は、クライアント端末155と各サーバ152〜154との間の各経路すなわち通信路の一覧を保持するためのテーブルであり、通信路の識別情報たる通信路ID701をキーとして、該当通信路に接続されるクライアント端末のIPアドレス702、そのクライアントポート番号703、接続されるサーバのIPアドレス704、ポート番号705、隔離設定706、および現在状態707を対応付けたレコードの集合体となっている。この通信路テーブル700のレコード数は、起動している通信路制御部115の数に伴い変動する。
−−−システム設定DBの構成例−−−
次にシステム設定DB136の構成について説明する。本実施形態におけるシステム設定DB136は、ネットワーク切り替え制御サーバ101、ネットワーク監視サーバ102での処理で必要なパラメタを格納するデータベースであり、パラメタテーブル800を含んでいる。
次にシステム設定DB136の構成について説明する。本実施形態におけるシステム設定DB136は、ネットワーク切り替え制御サーバ101、ネットワーク監視サーバ102での処理で必要なパラメタを格納するデータベースであり、パラメタテーブル800を含んでいる。
図9は本実施形態のシステム設定DB136におけるパラメタテーブル800の構成例を示す図である。ここで例示するパラメタテーブル800は、切替実行部123が参照する切り替え試行回数と、通信パターン算出部116が参照するパターン算出時間間隔、通信履歴保持期間、過去状態分布クラス数下限、過去状態分布クラス数上限、非通信時間分布分割幅、非通信時間分布分割数と、通信タイミング判定部122が参照する非通信時間分布有効度係数、過去状態分布有効度係数、過去状態分布確率閾値といった各値を格納するテーブルである。
−−−通信パターンDBの構成例−−−
続いて本実施形態の通信パターンDB137の構成について説明する。図10は本実施形態の通信パターンDB137における予測有効度テーブル300の構成例を示す図であり、図11は非通信時間分布テーブル310の構成例、図12は過去状態分布テーブル320の各構成例を示す図である。
−−−通信パターンDBの構成例−−−
続いて本実施形態の通信パターンDB137の構成について説明する。図10は本実施形態の通信パターンDB137における予測有効度テーブル300の構成例を示す図であり、図11は非通信時間分布テーブル310の構成例、図12は過去状態分布テーブル320の各構成例を示す図である。
このうち予測有効度テーブル300は、テーブル名301をキーとしてその有効度302を対応付けたレコードの集合体となっている。
また、非通信時間分布テーブル310は、通信時間下限311をキーとして、該当時間幅の通信時間の出現数312および確率313を対応付けたレコードの集合体となっている。
また、過去状態分布テーブル320は、無通信時間と直前通信時間の組みに関する確率密度関数における平均および分散の各値を格納したテーブルであり、クラス番号321をキーとして、該当クラスの重み322、平均(無通信時間)323、平均(直前通信時間)324、分散(1,1)成分325、分散(1,2)成分326、分散(2,1)成分327、および分散(2,2)成分328を対応付けたレコードの集合体となっている。確率密度関数と分散、平均の対応関係は既知の一般的なものと同様である。
なお、上述の過去状態分布テーブル320は、2次元の確率密度関数を格納することを想定しているが、平均(無通信時間)、平均(直前通信時間)以外のデータを利用した3次元以上の確立密度関数を格納するよう構成してもよい。
−−−通信履歴DBの構成例−−
次に本実施形態の通信履歴DB138の構成例について説明する。図13は本実施形態の通信履歴DB138における通信履歴テーブル900の構成例を示す図であり、図14は通信中テーブル910の構成例を示す図である。
次に本実施形態の通信履歴DB138の構成例について説明する。図13は本実施形態の通信履歴DB138における通信履歴テーブル900の構成例を示す図であり、図14は通信中テーブル910の構成例を示す図である。
このうち通信履歴テーブル900は、制御対象ネットワーク上のサーバ152〜154とクライアント端末155との間の経路における通信状態のうち、該当通信の開始と終了にあたる時刻等を記録するテーブルであり、時刻901をキーとして、通信相手のうちの一方であるクライアント端末155のIPアドレス902、そのポート番号903、通信相手のうちの他方であるサーバのIPアドレス904、そのポート番号905、および通信状態906を対応づけたレコードの集合体となっている。この通信履歴テーブル900のレコード数は可変であり、登録されてから一定時間が経過したレコードは消去される。
また、通信中テーブル910は、現在通信中である、制御対象ネットワーク上のサーバ152〜154とクライアント端末155との間の経路における通信状態のうち、該当通信の開始と終了にあたる時刻等を記録するテーブルであり、時刻911をキーとして、通信相手の一方であるクライアント端末155のIPアドレス912、そのポート番号913、通信相手の他方であるサーバのIPアドレス914、そのポート番号915、を対応付けたレコードの集合体となっている。この通信中テーブル910のレコード数は可変で
あり、登録されてから一定時間が経過したレコードは消去される。
あり、登録されてから一定時間が経過したレコードは消去される。
−−−設定時入力部の詳細−−−
次に、図15〜17を用いて設定時入力部111について説明する。図15〜17は本実施形態の設定時入力部111におけるインターフェイス例1〜3をそれぞれ示す図である。ここで例示する設定時入力部111は、スイッチ情報入力画面1000、サーバ情報入力画面1010、およびダミーサーバ用ホスト入力画面1020の3つの画面をタブ形式にて一体に提供可能である。システム管理者は、この画面1000、1010、1020のうち希望の画面についてタブ1030によって選択できる。
次に、図15〜17を用いて設定時入力部111について説明する。図15〜17は本実施形態の設定時入力部111におけるインターフェイス例1〜3をそれぞれ示す図である。ここで例示する設定時入力部111は、スイッチ情報入力画面1000、サーバ情報入力画面1010、およびダミーサーバ用ホスト入力画面1020の3つの画面をタブ形式にて一体に提供可能である。システム管理者は、この画面1000、1010、1020のうち希望の画面についてタブ1030によって選択できる。
システム管理者は、こうした設定時入力部111を通して、制御対象ネットワークの構成情報をネットワーク構成DB131に入力する。スイッチ情報入力画面1000、サーバ情報入力画面1010、およびダミーサーバ用ホスト入力画面1020にて入力された情報は、それぞれスイッチテーブル400、サーバテーブル410、およびダミーサーバ構築用ホストテーブル420に格納される。
−−−インシデント時入力部の詳細−−−
次に、図18を用いてインシデント時入力部112について説明する。図18は本実施形態のインシデント時入力部112におけるインターフェイス例を示す図である。インシデント時入力部112が提供する現在状況画面1100では、システム管理者はインシデント対応中の案件について現在の状況を確認できる。
次に、図18を用いてインシデント時入力部112について説明する。図18は本実施形態のインシデント時入力部112におけるインターフェイス例を示す図である。インシデント時入力部112が提供する現在状況画面1100では、システム管理者はインシデント対応中の案件について現在の状況を確認できる。
システム管理者が、この現在状況画面1100における選択欄1101のプルダウンメニューから、インシデント対応中のクライアント端末すなわちマルウェア感染中のクライアント端末155を、各クライアント端末のIPアドレスをプルダウン形式で選択可能としたIPアドレス一覧1101から選択すると、例えばネットワーク切り替え制御サーバ101は、該当クライアント端末155からその接続先である各サーバ152〜154に至る各通信路の状況を、通信路管理DB135の通信路テーブル700から読み取って、隔離状態一覧1102に表示する。
この隔離状態一覧1102は、各通信路について「隔離中止」ボタンを備え、システム管理者がこれを押下することで、例えばネットワーク切り替え制御サーバ101は、該当クライアント・サーバ間の通信路に関して、上述の通信路テーブル700での現在状態を隔離復帰状態に遷移させる。あるクライアント端末155について、全ての通信路の復帰が完了した場合、インシデント対応完了となり、例えばネットワーク切り替え制御サーバ101は、該当クライアント端末155のIPアドレスをIPアドレス一覧1101のプルダウンメニューから取り除く。一方、システム管理者が新たなインシデントを入力する場合、「新規作成」ボタンを押すことで、例えばネットワーク切り替え制御サーバ101は、インシデント入力部112を新規インシデント入力画面1110に遷移させる。
他方、新規インシデント入力画面1110において、インシデント入力部112は、ネットワーク構成DB131のサーバテーブル410を参照し、サーバ一覧1112を表示する。このうち隔離設定のデフォルト値は、デフォルト隔離設定414に従う。
システム管理者は、入力欄1111にインシデント対応の対象となるクライアント端末155のIPアドレスを入力し、サーバ一覧1112に該当クライアント端末155から各サーバへの隔離設定と、ダミーサーバを動作させるホストの割り当てを入力する。その後、システム管理者が「決定」ボタンを押すことで、インシデント入力部112は、入力されたクライアント端末155のIPアドレスと各サーバへの隔離設定を、新たなインシデント案件として、インシデントテーブル500、ダミーサーバテーブル600、通信路
テーブル700に登録する。その後、インシデント時入力部112は、上述した現在状況画面1100に遷移する。また、システム管理者が「戻る」ボタンを押した場合、入力内容はキャンセルされ、インシデント時入力部112は現在状況画面1100に遷移する。
テーブル700に登録する。その後、インシデント時入力部112は、上述した現在状況画面1100に遷移する。また、システム管理者が「戻る」ボタンを押した場合、入力内容はキャンセルされ、インシデント時入力部112は現在状況画面1100に遷移する。
−−−ネットワーク制御方法のフロー例−−−
以下、本実施形態におけるネットワーク制御方法の実際手順について図に基づき説明する。以下で説明するネットワーク制御方法に対応する各種動作は、ネットワーク制御システム10を構成する各情報処理装置すなわちネットワーク切り替え制御サーバ101とネットワーク監視サーバ102がその各メモリに読み出して実行するプログラムによって実現される。そして、このプログラムは、以下に説明される各種の動作を行うためのコードから構成されている。
以下、本実施形態におけるネットワーク制御方法の実際手順について図に基づき説明する。以下で説明するネットワーク制御方法に対応する各種動作は、ネットワーク制御システム10を構成する各情報処理装置すなわちネットワーク切り替え制御サーバ101とネットワーク監視サーバ102がその各メモリに読み出して実行するプログラムによって実現される。そして、このプログラムは、以下に説明される各種の動作を行うためのコードから構成されている。
図19は、本実施形態におけるネットワーク制御方法の処理手順例を示すフロー図である。ここで、上述してきたようにネットワーク制御システム10は、ネットワーク切り替え制御サーバ101とネットワーク監視サーバ102とで構成され、ネットワーク監視サーバ102は常時稼働しており、ネットワーク切り替え制御サーバ101はネットワーク構成変更時またはマルウェア感染の発生時などインシデント対処時のみ処理を行う運用になっていることを想定する。
このうちネットワーク監視サーバ102は、常時、通信状態取得(ステップ1201)と通信パターン算出(ステップ1202)の各処理を実行している。通信状態取得の処理(ステップ1201)における通信状態取得部117は、制御対象ネットワークである通信路193を流れるパケットを通信インターフェイス194を介して取得し、このうち通信の開始と終了にあたるものを抽出して、該当パケットの情報を通信状態の情報として通信履歴DB138に格納する。本ステップ1201での処理は、図26に関する説明の際に詳しく述べる。
一方、通信パターン算出の処理(ステップ1202)における通信パターン算出部116は、上述の通信状態取得の処理(ステップ1201)で得た通信状態の情報を、通信履歴DB138から読みだして加工し、通信の特徴を表すパラメタを算出して通信パターンDB137に格納する。本ステップ1202の処理は、図27に関する説明の際に詳しく述べる。
他方、ネットワーク切り替え制御サーバ101は、システム管理者によりネットワーク構成が変更された場合、その内容を設定時入力部111で受け付けて、ネットワーク構成DB131を更新するネットワーク構成情報更新(ステップ1221)を実行する。本ステップ1221の処理は、本実施形態ではシステム管理者の入力により開始する。
また、インシデント発生に伴うシステム管理者からの隔離指令をインシデント時入力部112にて受けたネットワーク切り替え制御サーバ101は、その対処としてマルウェアに感染したクライアント端末155に関する隔離実行処理(ステップ1211)を実行し、その後、システム管理者からの該当クライアント端末155に関する復帰指令をインシデント時入力部112にて受け、所定の復帰処理(ステップ1212)を実行する。
上述のうち隔離実行処理(ステップ1211)は、ネットワーク切り替え制御サーバ101が、インシデント対処時に、マルウェアに感染した疑いのあるクライアント端末155から各サーバ152〜154への通信をダミーサーバへ誘導するよう、ネットワーク上のスイッチ151の設定を変更する処理である。本ステップ1211の処理は、本実施形態ではシステム管理者からの隔離実行指令により開始するが、これは一例であり、例えばマルウェア検知システムからのアラートにより開始するようにしても良い。
なお、システム管理者は、インシデント時入力部112を介して、隔離対象のクライアント端末155の情報や、各サーバ152〜154への隔離設定を入力するものとする。一方、ネットワーク切り替え制御サーバ101は、システム管理者の入力情報に従い、ダミーサーバを起動して、各通信路の状態を確認しながら適切なタイミングを判定して、スイッチ151の設定を順次変更する。本ステップ1211の処理は、図20に関する説明の際に詳しく述べる。
一方、復帰処理(ステップ1212)は、ネットワーク切り替え制御サーバ101が、インシデント対処時に、マルウェアの調査・対処を終えたクライアント端末155からの通信について、ダミーサーバへ誘導するスイッチ151の設定を解除する処理である。本ステップ1212の処理は、本実施形態ではシステム管理者からの復帰指令により開始するが、これは一例である。
−−−詳細フロー例1−−−
次に、インシデント対処時のフロー詳細について図に基づき説明する。まず図20を用いて、上述のステップ1211の処理の詳細について説明する。この場合、インシデント時制御部113は、インシデント時入力部112から、特定のクライアント端末155を隔離する指令を受信する。なお、インシデント時入力部112において上述の指令を受け付けるインターフェイスは、図18にて既に例示したように、新規インシデント入力画面1110となる。
次に、インシデント対処時のフロー詳細について図に基づき説明する。まず図20を用いて、上述のステップ1211の処理の詳細について説明する。この場合、インシデント時制御部113は、インシデント時入力部112から、特定のクライアント端末155を隔離する指令を受信する。なお、インシデント時入力部112において上述の指令を受け付けるインターフェイスは、図18にて既に例示したように、新規インシデント入力画面1110となる。
具体的には、ここで受信する情報は、隔離するクライアント端末155のIPアドレス(新規インシデント入力画面1110の入力欄1111で受け付けたもの)と、各サーバ152〜154への通信許可の設定情報(新規インシデント入力画面1110のサーバ一覧1112で受け付けた隔離設定、隔離先の各情報)となる。インシデント時制御部113は、上述のように受信した各情報のうち、例えば隔離対象たる感染クライアント端末155のIPアドレスを一つのインシデントの情報として、インシデントテーブル500にレコードを追加して格納する(ステップ1301)。
続いてインシデント時制御部113は、インシデント時入力部112から受信した各サーバ152〜154への通信許可の設定情報を参照し、この設定情報において例えば隔離設定が「隔離」で隔離先が「ダミー2」などとダミーサーバを利用した隔離処理が指定されていた場合、「隔離先」として指定された、すなわち起動する必要があるダミーサーバについて、ダミーサーバの設定情報としてネットワーク構成DB131のサーバテーブル410(図4)から該当サーバに関するイメージファイル417の情報を、ダミーサーバを動作させるプラットフォームとなるホストの情報としてダミーサーバ構築用ホストテーブル420(図5)からホスト管理用のIPアドレス422を、ダミーサーバ管理部120に通知する。(ステップ1302)。
この場合、ダミーサーバ管理部120は、インシデント時制御部113から受信した上述の指令に従って、サーバ操作部119に対し、該当指令でホスト管理用のIPアドレス422が割り当てられたホスト上で、仮想計算機としてダミーサーバを起動し(仮想計算機としてサーバを起動する手法については、仮想計算機に関する既存技術を採用すればよい)、指定されたイメージファイルをこのダミーサーバに読み込ませて設定するよう指示を出す。またダミーサーバ管理部120は、起動するダミーサーバの一覧をダミーサーバ管理DB133のダミーサーバテーブル600(図7)に格納し、現在状態606を「起動・設定中」とする(ステップ1303)。
またダミーサーバ管理部120は、サーバ操作部119からのダミーサーバの起動・設
定に関する完了通知を受信し、この完了通知を、上述の設定が完了したダミーサーバから順次、インシデント時制御部113に転送する。設定が完了したダミーサーバについては、ダミーサーバ管理部120が、ダミーサーバ管理DB133のダミーサーバテーブル600の該当するレコードの現在状態606を「動作中」に更新する(ステップ1304)。
定に関する完了通知を受信し、この完了通知を、上述の設定が完了したダミーサーバから順次、インシデント時制御部113に転送する。設定が完了したダミーサーバについては、ダミーサーバ管理部120が、ダミーサーバ管理DB133のダミーサーバテーブル600の該当するレコードの現在状態606を「動作中」に更新する(ステップ1304)。
一方、インシデント時制御部113は、ダミーサーバ管理部120から上述の設定完了の通知を受けたダミーサーバについて、通信路管理部114に対し隔離指示を出す(ステップ1305)。
この場合、通信路管理部114は、インシデント時制御部113からの隔離指示を受け、隔離するクライアント端末155から特定のサーバへの通信を、指定されたダミーサーバに誘導するよう、スイッチ151の設定を変更する。処理終了後、通信路管理部114は、インシデント時制御部113に処理結果を通知する(ステップ1306)。本ステップ1306の処理は、続く図21に関する説明の際に詳しく述べる。
最後にインシデント時制御部113は、上述の通信路管理部114からの結果通知を受け、該当結果をインシデント時入力部112に送り、上述の現在状況画面1100にて表示する(ステップ1307)。この現在状況画面1100にてシステム管理者はインシデント対応中の案件について現在の状況を確認できる。
−−−詳細フロー例2−−−
次に図21を用いて、通信路管理部114による上述のステップ1306の詳細について説明する。この場合、通信路管理部114は、上述の隔離指令を受信し(ステップ1401)、隔離指令が示す、隔離対象のクライアント端末155およびこのクライアント端末155の通信相手となるサーバの各IPアドレス702、704を通信路テーブル700(図8)から取得し、また、上述のステップ1303で起動済みのダミーサーバが接続されているスイッチ151のID604をダミーサーバテーブル600から取得する。
次に図21を用いて、通信路管理部114による上述のステップ1306の詳細について説明する。この場合、通信路管理部114は、上述の隔離指令を受信し(ステップ1401)、隔離指令が示す、隔離対象のクライアント端末155およびこのクライアント端末155の通信相手となるサーバの各IPアドレス702、704を通信路テーブル700(図8)から取得し、また、上述のステップ1303で起動済みのダミーサーバが接続されているスイッチ151のID604をダミーサーバテーブル600から取得する。
また、通信路管理部114は、通信履歴DB138の通信中テーブル910(図14)を参照し、上述した隔離対象のクライアント端末155およびその通信相手たるサーバの各IPアドレスをキーに、所定時間内に通信があったクライアントポート番号913を取得する(ステップ1402)。
次に通信路管理部114は、ステップ1402で得られたクライアントポート番号913の数だけ通信路制御部115を起動し(ステップ1403)、通信路管理DB135にレコードを追加する。更に、クライアントポート番号別の通信を通信路制御部115に割り振り、ネットワーク切り替えに必要な情報を通知する。以降、特定のクライアント・サーバの、特定のポート間での通信を、通信路制御部115が担当する通信とする。
続いて通信タイミング判定部122は、通信路管理部114から通信路制御部115の起動通知を受け、通信パターンDB137から、通信のパターン情報を取得する。このパターン情報と、通信履歴DB138の通信履歴テーブル900から取得した現在の通信状態とを比較し、ネットワーク切り替えに適切なタイミングを判定して、切替実行部123へネットワーク切り替え指示を出す(ステップ1404)。本ステップ1404の処理は、続く図22に関する説明の際に詳しく述べる。
一方、切替実行部123は、通信タイミング判定部122からの指示を受け、各スイッチ151にネットワーク切り替えの指令を出す(ステップ1405)。なお、この切り替え動作中に、隔離対象であるクライアント端末155の該当ポートからの通信が発生した
場合、当該ネットワーク切り替えを中断する。
場合、当該ネットワーク切り替えを中断する。
続いて切替実行部123は、上述のステップ1405におけるスイッチ151でのネットワーク切り替えが成功、すなわち切り替え動作中に、隔離対象であるクライアント端末155の該当ポートからの通信が発生しなかったか否か判定する(ステップ1406)。もしネットワーク切り替えに成功したのであれば(ステップ1406:yes)、切替実行部123は、通信路管理部114に対して結果を通知する(ステップ1408)。他方、切替動作を中断、すなわちネットワーク切り替えに失敗したのであれば(ステップ1406:no)、切替実行部123は、処理をステップ1407に進める(ステップ1406)。
次に切替実行部123は、上述のネットワーク切り替えを中断した回数が既定の回数を上回るか判定する(ステップ1407)。もし上回るのであれば(ステップ1407:yes)、切替実行部123は、ネットワーク切り替えに失敗したとみなし、通信路管理部114に対して結果を通知する。もし上回らないのなら(ステップ1407:no)、切替実行部123は、上述の切り替えを再試行するため、ステップ1404へ戻る。(ステップ1407)。
最後に通信路管理部114は、切替実行部123からの通知を受け、ネットワーク切り替えの成功、失敗をインシデント時制御部113に通知する。(ステップ1408)。
−−−詳細フロー例3−−−
次に図22を用いて、通信タイミング判定部122によるステップ1404の詳細を説明する。この場合、通信タイミング判定部122は、通信パターンDB137の予測有効度テーブル300を参照し、有効度302が最大であるテーブルすなわち非通信時間分布テーブル310および過去状態分布テーブル320のいずれかを、タイミング予測に利用するテーブルとして特定する(ステップ1501、ステップ1502)。
次に図22を用いて、通信タイミング判定部122によるステップ1404の詳細を説明する。この場合、通信タイミング判定部122は、通信パターンDB137の予測有効度テーブル300を参照し、有効度302が最大であるテーブルすなわち非通信時間分布テーブル310および過去状態分布テーブル320のいずれかを、タイミング予測に利用するテーブルとして特定する(ステップ1501、ステップ1502)。
上述のステップ1502においてタイミング予測に利用するテーブルとして、非通信時間分布テーブル310を選択した場合(ステップ1502:非通信時間分布)、通信タイミング判定部122は、非通信時間分布テーブル310と、通信履歴DB138の通信履歴テーブル900を参照し、ネットワークを切り替えるのに適したタイミングを算出して、切替実行部123に通知する(ステップ1503)。本ステップ1503の処理は、続く図23に関する説明の際に詳しく述べる。
一方、タイミング予測に利用するテーブルとして、過去状態分布テーブル320を選択した場合(ステップ1502:過去状態分布)、通信タイミング判定部122は、過去状態分布テーブル320と、通信履歴DB138の通信履歴テーブル900を参照し、ネットワークを切り替えるのに適したタイミングを算出して、切替実行部123に通知する(ステップ1504)。本ステップ1504の処理は、続く図24に関する説明の際に詳しく述べる。
なお、図22のフロー例では、選択するテーブルとして非通信時間分布テーブル310、過去状態分布テーブル320の2つを設定したが、3つ以上のテーブルから選択してもよい。
−−−詳細フロー例4−−−
次に図23を用いて、通信タイミング判定部122による上述のステップ1503の詳細を説明する。この場合、通信タイミング判定部122は、通信履歴DB138の通信履歴テーブル900を参照し、担当する通信路について最新のレコードを検索する(ステッ
プ1601)。具体的には、通信路制御部115が通信路管理部114によって生成された際に与えられた、クライアントIPアドレス、クライアントポート番号、サーバIPアドレス、サーバポート番号が、それぞれ通信履歴テーブル900の、クライアントIPアドレス902、クライアントポート番号903、サーバIPアドレス904、サーバポート番号905と一致するレコードのうち、時刻901が最新のレコードを選択する。
次に図23を用いて、通信タイミング判定部122による上述のステップ1503の詳細を説明する。この場合、通信タイミング判定部122は、通信履歴DB138の通信履歴テーブル900を参照し、担当する通信路について最新のレコードを検索する(ステッ
プ1601)。具体的には、通信路制御部115が通信路管理部114によって生成された際に与えられた、クライアントIPアドレス、クライアントポート番号、サーバIPアドレス、サーバポート番号が、それぞれ通信履歴テーブル900の、クライアントIPアドレス902、クライアントポート番号903、サーバIPアドレス904、サーバポート番号905と一致するレコードのうち、時刻901が最新のレコードを選択する。
続いて通信タイミング判定部122は、上述のステップ1601で選択したレコードの通信状態906を参照し、値が「開始」であれば、現在通信中とみなして(ステップ1602:yes)、再度ステップ1601を行う。他方、値が「終了」であれば、現在非通信中とみなして(ステップ1602:no)、ステップ1603へ進む(ステップ1602)。
次に通信タイミング判定部122は、上述のステップ1601で選択したレコードの時刻901を参照してメモリ上に保持し(ステップ1603)、ここで保持した時刻と現在時刻との差を計算し、通信終了時から経過した時間を算出する(ステップ1604)。
続いて通信タイミング判定部122は、非通信時間分布テーブル310を参照し、通信時間下限311が、上述のステップ1604で求めた経過時間以下で、なおかつ最大の値であるレコードを検索する(ステップ1605)。例えば、上述のステップ1604で求めた経過時間が「8」であった場合、非通信時間分布テーブル310における通信時間下限311のうち、経過時間「8」以下となるものは、通信時間下限「5」、「0」が特定出来るが、そのうち最大の値のものは「5」であるため、通信時間下限「5」のレコードを検索することになる。
次に通信タイミング判定部122は、上述のステップ1605で選択したレコードの通信時間下限311が、非通信時間分布テーブル310の中で最大の値か否かを判定する(ステップ1606)。この判定において、上述の通信時間下限が最大と判定されたならば(ステップ1606:yes)、通信タイミング判定部122は、ステップ1608へ進む。他方、上述の通信時間下限が最大と判定されなければ(ステップ1606:no)、通信タイミング判定部122はステップ1607へ進む。
続いて通信タイミング判定部122は、ステップ1607において、上述のステップ1605で選択したレコードと、非通信時間分布テーブル310の中で通信時間下限311がより大きいレコードとを参照し、確率313の値について、上述のステップ1605で選択したレコードが最大であるか否か判定する。上述のステップ1605で選択したレコードが最大であった場合(ステップ1607:yes)、通信タイミング判定部122は、ステップ1608へ進む。一方、上述のステップ1605で選択したレコードが最大でなかった場合(ステップ1607:no)、通信タイミング判定部122は、上述のステップ1604へ戻る。
またステップ1608において、通信タイミング判定部122は、切替実行部123に対して切り替え可能であることを通知する。
−−−詳細フロー例5−−−
次に、図24を用いて、通信タイミング判定部122による上述のステップ1504の詳細を説明する。この場合、通信タイミング判定部122は、通信履歴DB138の通信履歴テーブル900を参照し、担当する通信路について最新のレコードを検索する(ステップ1701)。具体的には、通信路制御部115が通信路管理部114によって生成された際に与えられた、クライアントIPアドレス、クライアントポート番号、サーバIPアドレス、サーバポート番号が、それぞれ通信履歴テーブル900の、クライアントIP
アドレス902、クライアントポート番号903、サーバIPアドレス904、サーバポート番号905と一致するレコードのうち、時刻901が最新のレコードを選択する。
次に、図24を用いて、通信タイミング判定部122による上述のステップ1504の詳細を説明する。この場合、通信タイミング判定部122は、通信履歴DB138の通信履歴テーブル900を参照し、担当する通信路について最新のレコードを検索する(ステップ1701)。具体的には、通信路制御部115が通信路管理部114によって生成された際に与えられた、クライアントIPアドレス、クライアントポート番号、サーバIPアドレス、サーバポート番号が、それぞれ通信履歴テーブル900の、クライアントIP
アドレス902、クライアントポート番号903、サーバIPアドレス904、サーバポート番号905と一致するレコードのうち、時刻901が最新のレコードを選択する。
続いて通信タイミング判定部122は、上述のステップ1701で選択したレコードの通信状態906を参照し、値が「開始」であれば、現在通信中とみなして(ステップ1702:yes)、再度ステップ1701を行う。一方、値が「終了」であれば、現在非通信中とみなして(ステップ1702:no)、通信タイミング判定部122はステップ1703へ進む。
次に通信タイミング判定部122は、上述のステップ1701で選択したレコードの時刻901を参照してメモリ上に保持する(ステップ1703)。また、通信タイミング判定部122は、通信履歴DB138の通信履歴テーブル900を参照し、担当する通信路の直前の通信時間を取得する(ステップ1704)。具体的には、担当する通信路に該当する送信元IPアドレス・ポート番号、宛先IPアドレス・ポート番号を持つレコードを検索し、通信状態が「開始」である最新のレコードと、「切断」である最新のレコードとの時刻901の差を計算する。
続いて通信タイミング判定部122は、過去状態分布テーブル320の各レコードに格納された確率密度関数のパラメタ、すなわち、平均(無通信時間)323、平均(直前通信時間)324、分散(1、1)成分325、分散(1、2)成分326、分散(2、1)成分327、および分散(2、2)成分328、の各値を参照し、上述のステップ1704で求めた直前の通信時間から、当てはまる確率が最高のレコード、すなわち過去状態分布テーブル320におけるクラスを選択する(ステップ1705)。具体的には、過去状態分布テーブル320の各レコードから、直前通信時間のみの確率密度関数を算出し、ステップ1704で求めた直前の通信時間を代入した値が最大になるレコードを選択する。
次に通信タイミング判定部122は、上述のステップ1703で取得した時刻と現在時刻との差を計算して経過時間を算出し、この経過時間と、過去状態分布テーブル320から上述のステップ1705で選択したレコードを参照し、通信開始の可能性が高い時間帯を算出する(ステップ1706)。具体的には、上述のステップ1705で選択したレコードから、無通信時間のみの確率密度関数を算出し、システム設定DB136で設定されている過去状態分布確率閾値を超える範囲を、上述の通信開始の可能性が高い時間帯とする。この時間帯に上述の経過時間が含まれる場合(ステップ1706:yes)、通信タイミング判定部122は、ステップ1707へ進む。他方、この時間帯に上述の経過時間が含まれない場合(ステップ1706:no)、通信タイミング判定部122は、ステップ1709へ進む。
次に通信タイミング判定部122は、ステップ1707において、上述の通信開始の可能性が高い時間帯の終了時刻と現在の経過時間との差を計算し、その時間が経過するまで待機する。
また通信タイミング判定部122は、ステップ1708において、担当する通信路で、マルウェア感染した上述のクライアント端末155からの通信が発生していないか、通信履歴DB138の通信履歴テーブル900を参照し確認する。この確認の結果、該当クライアント端末155からの通信が発生していたら(ステップ1708:yes)、通信タイミング判定部122は、ステップ1701へ戻る。他方、該当クライアント端末155からの通信が発生していなかった場合(ステップ1708:no)、通信タイミング判定部122は、ステップ1709へ進む。
このステップ1709において、通信タイミング判定部122は、切替実行部123に対し、ネットワーク切り替え可能であることを通知する。
−−−詳細フロー例6−−−
次に、図25を用いて、切替実行部123による上述のステップ1405〜ステップ1407の詳細を説明する。この場合、切替実行部123は、上述の通信タイミング判定部122からのネットワーク切り替え可能通知を受け、通信路管理部114から通知された設定に基づき、スイッチ151、仮想スイッチ161、仮想スイッチ164の設定を変更する(ステップ1801)。具体的には、上述の各スイッチ151、161、164に特定のパケットが入力された場合、出力先を切替実行部123に問い合わせるよう、各スイッチ151、161、164の設定を変更する指示を、通信インターフェイス191経由で各スイッチ151、161、164に送信する。
次に、図25を用いて、切替実行部123による上述のステップ1405〜ステップ1407の詳細を説明する。この場合、切替実行部123は、上述の通信タイミング判定部122からのネットワーク切り替え可能通知を受け、通信路管理部114から通知された設定に基づき、スイッチ151、仮想スイッチ161、仮想スイッチ164の設定を変更する(ステップ1801)。具体的には、上述の各スイッチ151、161、164に特定のパケットが入力された場合、出力先を切替実行部123に問い合わせるよう、各スイッチ151、161、164の設定を変更する指示を、通信インターフェイス191経由で各スイッチ151、161、164に送信する。
なお、上述の特定のパケットとは、パケットヘッダに記載された通信元・宛先情報が、通信路制御部115が通信路管理部114によって生成された際に与えられた、クライアントIPアドレス、クライアントポート番号、サーバIPアドレス、サーバポート番号と一致するものである。
続いて切替実行部123は、上述の各スイッチ151、161、164の設定変更にかかる時間だけ待機し、その待機時間中に上述の各スイッチ151、161、164に特定のパケットが入力され、切替実行部123に問い合わせ内容が伝達されてきた場合(ステップ1802:yes)、これに応じてステップ1805へ進む。
他方、待機時間中に上述の問い合わせ内容が伝達されてこなかった場合(ステップ1802:no)、切替実行部123はステップ1803へ進む。
次に切替実行部123は、上述の待機時間経過以降に特定パケットの入力に伴う問い合わせ内容の伝達が発生した場合、上述の各スイッチ151、161、164に対してクライアント端末155とダミーサーバとの間で通信するよう指示する(ステップ1803)。
また、切替実行部123は、上述のステップ1801で加えた、「特定のパケットが入力された場合に出力先を切替実行部123に問い合わせる設定」を解除し、上述の各スイッチ151、161、164の設定を、クライアント端末155とダミーサーバとの間で通信する設定とする(ステップ1804)。
続いて切替実行部123は、上述のステップ1804の実行を受けてネットワーク切り替えに成功したとみなし、通信路管理部114に結果を通知する(ステップ1805)。
−−−詳細フロー例7−−−
次に図26を用いて、通信状態取得部117による上述のステップ1201における処理を説明する。この場合、通信状態取得部117は、通信路193を流れるパケットを通信インターフェイス194を経由して取得し、このうち通信開始と通信終了にあたるパケットを抽出して、該当パケットが示す通信元・宛先と時刻とともに通信履歴DB138の通信履歴テーブル900に記録する(ステップ1901)。
次に図26を用いて、通信状態取得部117による上述のステップ1201における処理を説明する。この場合、通信状態取得部117は、通信路193を流れるパケットを通信インターフェイス194を経由して取得し、このうち通信開始と通信終了にあたるパケットを抽出して、該当パケットが示す通信元・宛先と時刻とともに通信履歴DB138の通信履歴テーブル900に記録する(ステップ1901)。
続いて通信状態取得部117は、上述のステップ1901で新規に記録した通信元・宛先の組み合わせが、通信中テーブル910のレコードに既に含まれるか検索し、既存であったならば、当該レコードの時刻911を現在時刻に書き換える(ステップ1902)。他方、既存でないならば、通信状態取得部117は、通信中テーブル910にて新規にレ
コードを作成し、現在時刻と通信元・宛先の組み合わせを格納する。
コードを作成し、現在時刻と通信元・宛先の組み合わせを格納する。
−−−詳細フロー例8−−−
次に図27を用いて、通信パターン算出部116による上述のステップ1202における処理を説明する。なお、通信パターン算出部116は、以下のステップ1911〜1917の各処理を定期的に行うものとする。その実行間隔は、システム設定DB136から取得するパターン算出時間間隔に従う。
次に図27を用いて、通信パターン算出部116による上述のステップ1202における処理を説明する。なお、通信パターン算出部116は、以下のステップ1911〜1917の各処理を定期的に行うものとする。その実行間隔は、システム設定DB136から取得するパターン算出時間間隔に従う。
まず通信パターン算出部116は、通信履歴DB138の通信履歴テーブル900を参照し、各通信のパターンを算出し、通信パターンDB137の非通信時間分布テーブル310、過去状態分布テーブル320に格納する。ここで、各通信とは、特定のIPアドレス、ポート番号の間の通信のことである。次に、通信パターン算出部116は、通信履歴DB138の通信中テーブル910を参照し、通信中のクライアントIPアドレス912、クライアントポート番号913、サーバIPアドレス914、およびサーバポート番号915の組み合わせを得る。通信パターン算出部116は、こうして得た各々の組み合わせについて、以下のステップ1913〜1915を繰り返し行う(ステップ1911、ステップ1912、ステップ1916)。
ここで通信パターン算出部116は、通信パターンDB137に、予測有効度テーブル300、非通信時間分布テーブル310、過去状態分布テーブル320(のファイル)を作成する(ステップ1913)。
次に通信パターン算出部116は、通信履歴DB138の通信履歴テーブル900を参照し、非通信時間の出現頻度からパターンを算出して非通信時間分布テーブル310に格納する。また、算出したパターンによる通信タイミング予測の正確性について見積もるため、有効度を評価し、予測有効度テーブル300に格納する(ステップ1914)。本処理は、続く図28の説明の際に詳しく述べる。
また通信パターン算出部116は、通信履歴DB138の通信履歴テーブル900を参照し、非通信時間とその直前の通信時間の相関からパターンを算出して過去状態分布テーブル320に格納する。また、算出したパターンによる通信タイミング予測の正確性について見積もるため、有効度を評価し、予測有効度テーブル300に格納する(ステップ1915)。本処理は、続く図29の説明の際に詳しく述べる。
なお、通信状態取得部116は、通信履歴テーブル900および通信中テーブル910を定期的に参照し、時刻901、時刻911の値を基準に、最終更新から一定時間が経過したレコードについては、順次削除する。基準となる経過時間は、システム設定DB136から取得する通信履歴保持時間に従う(ステップ1917)。
−−−詳細フロー例9−−−
次に図28を用いて、通信パターン算出部116による上述のステップ1914の詳細を説明する。図28に例示するフローにおいて、通信パターン算出部116は、与えられた特定の通信元・宛先の組み合わせについて、通信履歴テーブル900を参照し、レコードを検索する(ステップ2002〜ステップ2005)。
次に図28を用いて、通信パターン算出部116による上述のステップ1914の詳細を説明する。図28に例示するフローにおいて、通信パターン算出部116は、与えられた特定の通信元・宛先の組み合わせについて、通信履歴テーブル900を参照し、レコードを検索する(ステップ2002〜ステップ2005)。
この場合、通信パターン算出部116は、通信履歴テーブル900の各レコードを、時刻901の古い順に並べたとき、通信状態906が「終了」、「開始」の順に並んでいる部分をひとまとまりとして抽出する(ステップ2003)。また通信パターン算出部116は、上述の「終了」から「開始」の間の時間を非通信時間とし、該当時刻901の差を取ることでこれを計算し、メモリ上に保持する(ステップ2004)。
続いて通信パターン算出部116は、上述のステップ2004で保持した非通信時間のリストを、非通信時間長で分類し、各分類の出現回数をカウントする。分類の基準には、システム設定DB136を参照し、非通信時間分布分割幅、非通信時間分布分割数を利用する。その後、通信パターン算出部116は、上述の非通信時間の長さとカウントした出現回数との関係を、通信パターンDB137の非通信時間分布テーブル310に格納する(ステップ2006)。
また通信パターン算出部116は、非通信時間分布テーブル310を参照し、確率313を算出する。具体的には、非通信時間分布テーブル310の各レコードについて、通信時間下限311が該当レコード以上のレコードの出現数312を合計した値に対する、該当レコードの出現数312の値を計算し、確率313として該当レコードに記録する(ステップ2007)。また通信パターン算出部116は、出現数312の合計値で各レコードの出現数312を割り、正規化する(ステップ2008)。
最後に通信パターン算出部116は、非通信時間分布テーブル310の各レコードについて、出現数312の標準偏差を計算し、システム設定DB136から取得した非通信時間分布有効度係数をかけて、予測有効度テーブル300に結果を格納する(ステップ20109)。
−−−詳細フロー例10−−−
次に図29を用いて、通信パターン算出部116による上述のステップ1915の詳細を説明する。なお、図29に例示するフローにおいて、通信パターン算出部116は、与えられた特定の通信元・宛先の組み合わせについて、通信履歴テーブル900を参照し、レコードを検索する(ステップ2022〜ステップ2025)。
次に図29を用いて、通信パターン算出部116による上述のステップ1915の詳細を説明する。なお、図29に例示するフローにおいて、通信パターン算出部116は、与えられた特定の通信元・宛先の組み合わせについて、通信履歴テーブル900を参照し、レコードを検索する(ステップ2022〜ステップ2025)。
この場合、通信パターン算出部116は、通信履歴テーブル900の各レコードを、時刻901の古い順に並べたとき、通信状態906が「開始」、「終了」、「開始」の順に並んでいる部分をひとまとまりとして抽出する(ステップ2023)。
次に通信パターン算出部116は、上述のステップ2023で抽出したまとまりのうち「開始」から「終了」までの時間を通信時間、「終了」から「開始」の間の時間を非通信時間とし、これらをそれぞれ各時刻901の差を取ることで計算しメモリ上に保持する(ステップ2024)。
続いて通信パターン算出部116は、通信履歴テーブル900の全体に対して以上のステップ2023、2024の各処理を行い、連続する通信時間と非通信時間の関係について、クラスタリングを行う(ステップ2026)。具体的な手法としては、例えばEMアルゴリズムを使用する。また、クラスタリングで分割するクラス数は、システム設定DB136から取得した過去状態分布クラス数上限、過去状態分布クラス数下限の範囲で計算し、通信履歴テーブル900のレコードが示すデータとモデルとの適合度が高いものを採用する。適合度の評価としては、例えばベイズ情報量規準を使用する。
次に通信パターン算出部116は、上述のステップ2026でのクラスタリングに際して得られた分布について、各成分の平均値と共分散行列の要素の値を、通信パターンDB137の過去状態分布テーブル320に格納する(ステップ2027)。過去状態分布テーブル320の各レコードがひとつのクラスに対応する。
最後に通信パターン算出部116は、過去状態分布テーブル320を参照してベイズ情報量規準を計算し、システム設定DB136から取得した過去状態分布有効度係数をかけ
て、予測有効度テーブル300に結果を格納する(ステップ2028)。
て、予測有効度テーブル300に結果を格納する(ステップ2028)。
−−−その他の例−−−
上述までの実施形態では、2つのパターン算出方法を用いて算出した通信パターンに対し、予測有効度を計算してその値を比較し、通信タイミングの判定に利用する通信パターンを選択する例を説明した。一方、通信の特徴を事前に予測し登録しておくことで、通信タイミングの判定に利用する通信パターンを選択する形態を採用することもできる。この形態は、例えば、通信対象のサーバが利用する通信プロトコルに基づいて、通信の特徴を予測しやすい場合などに好適である。
上述までの実施形態では、2つのパターン算出方法を用いて算出した通信パターンに対し、予測有効度を計算してその値を比較し、通信タイミングの判定に利用する通信パターンを選択する例を説明した。一方、通信の特徴を事前に予測し登録しておくことで、通信タイミングの判定に利用する通信パターンを選択する形態を採用することもできる。この形態は、例えば、通信対象のサーバが利用する通信プロトコルに基づいて、通信の特徴を予測しやすい場合などに好適である。
ネットワーク制御システム10の各構成については上述のまでの実施形態と同様であるが、通信タイミング判定部122での処理に関して相違がある。例えば、上述のステップ1501、ステップ1502(図22)において、通信タイミング判定部122は、図30に例示する通信パターン算出方法指定テーブル2300を参照する。この場合の通信タイミング判定部122は、担当する通信路の通信対象のサーバの種類を、サーバID2301から判定し、それに対応するテーブル名2302を参照して、通信パターンを選択する。
以上、本発明を実施するための最良の形態などについて具体的に説明したが、本発明はこれに限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。
こうした本実施形態によれば、マルウェアに感染した端末を、該当マルウェアに検知されずにネットワークから隔離し、ひいてはマルウェアの活動を維持したままマルウェアの調査が可能となる。従って本実施形態によれば、マルウェアに察知されずに感染端末の隔離及びマルウェアの調査が可能となる。
本明細書の記載により、少なくとも次のことが明らかにされる。すなわち、本実施形態のネットワーク制御システムにおいて、前記通信パターン算出部は、前記通信状態に基づいて、前記通信パターンを複数種類算出し、前記算出した各通信パターン間で通信発生確率の偏りを算出する処理を更に実行するものであり、前記通信タイミング判定部は、前記タイミングの判定に用いる通信パターンを、前記通信発生確率の偏りに基づいて選択する処理を更に実行するものである、としてもよい。
これによれば、タイミング判定に好適な通信パターンを、通信発生確率の点で考慮して選択することが可能となり、タイミング判定精度の向上を図ることが出来る。ひいては、経路遮断等の処理がマルウェアに察知されにくい状況を構成し、特定クライアント端末すなわち感染端末の隔離及びマルウェアの調査が更に円滑化する。
また、本実施形態のネットワーク制御システムにおいて、前記通信パターン算出部は、前記通信状態が示す、非通信時間の出現頻度及び長さの履歴から、前記各間の経路に関して、非通信時間の長さに対する出現確率を算出するものであり、前記通信タイミング判定部は、前記タイミングを判定するに際し、前記特定クライアント端末について、前記経路における直近の通信終了時刻からの経過時間と前記出現確率を比較して、通信が発生する確率が極小になるタイミングを判定するものである、としてもよい。
これによれば、非通信時間の出現頻度及び長さを踏まえて、対象経路での実体により即したタイミング判定を行うことが可能となり、タイミング判定精度の向上を図ることが出来る。ひいては、経路遮断等の処理がマルウェアに察知されにくい状況を構成し、特定クライアント端末すなわち感染端末の隔離及びマルウェアの調査が更に円滑化する。
また、本実施形態のネットワーク制御システムにおいて、前記通信パターン算出部は、前記通信状態に基づいて、複数回の連続する通信及び非通信の各時間の長さに関する組み合わせパターンを複数個抽出し、前記組み合わせパターンのクラス分類を行ってクラスごとの分布のパラメタを算出するものであり、前記通信タイミング判定部は、直近の通信及び非通信の各時間の長さの組み合わせと、前記パラメタのうち最後の非通信時間を除くパラメタとを比較して、現在状態が分類されるクラスを判定し、当該クラスの分布パラメタから通信の発生する確率が所定閾値以下になるタイミングを判定するものである、としてもよい。
これによれば、連続する通信及び非通信時間の各長さを踏まえた確率密度関数を用いて、対象経路での現状に即したタイミング判定を精度良く行うことが可能となる。ひいては、経路遮断等の処理がマルウェアに察知されにくい状況を構成し、特定クライアント端末すなわち感染端末の隔離及びマルウェアの調査が更に円滑化する。
また、本実施形態のネットワーク制御システムにおいて、前記通信パターン算出部は、前記通信状態に基づき、所定期間におけるクライアント端末とサーバとの各ポート間の経路の通信パターンを算出し、記憶部に格納するものであり、前記切替実行部は、前記ネットワーク構成データベースに基づいて、前記特定クライアント端末と前記各サーバとの各ポート間を接続する各スイッチを特定し、前記特定した各スイッチの設定を、該当スイッチが含まれる経路について前記判定したタイミングで順次変更し、前記特定クライアント端末からの前記サーバへの通信を遮断するものである、としてもよい。
これによれば、経路のみならずクライアント端末とサーバの各ポート間に関する通信パターンを踏まえることで、実際のシステム構成に更に即したスイッチでの設定変更を行うことが可能となる。ひいては、経路遮断等の処理がマルウェアに察知されにくい状況を構成し、特定クライアント端末すなわち感染端末の隔離及びマルウェアの調査が更に円滑化する。
また、本実施形態のネットワーク制御システムにおいて、前記特定クライアント端末とサーバとの通信を模擬したダミーサーバを、前記ネットワークシステム上に構築するダミーサーバ構築部を更に備え、前記切替実行部は、前記ネットワーク構成データベースに基づいて、前記特定クライアント端末と前記各サーバとの各間を接続する各スイッチを特定し、前記特定した各スイッチの設定を、該当スイッチが含まれる経路について前記判定したタイミングで順次変更し、前記特定クライアント端末からの前記サーバへの通信を、前記ダミーサーバへ誘導する処理を実行するものである、としてもよい。
これによれば、上述の特定クライアント端末におけるマルウェアが、経路遮断等の処理に関して察知しにくい状況を構成して、特定クライアント端末すなわち感染端末の隔離及びマルウェアの調査が更に円滑化する。
また、本実施形態のネットワーク制御システムにおいて、前記記憶部は、サーバの種類と通信パターン算出方法との対応関係を定めたテーブルを保持するものであり、前記通信パターン算出部は、前記通信パターンの算出方法を複数備えるものであり、所定期間におけるクライアント端末とサーバとの各間の経路の通信パターンを算出するに際し、該当サーバに関して用いるべき通信パターン算出方法を前記テーブルで特定し、当該特定した通信パターン算出方法を用いて通信パターンを算出し、記憶部に格納するものである、としてもよい。
これによれば、サーバ種類に応じて精度良好となる適切な通信パターン算出方法を特定し、通信パターンを算出出来ることとなる。ひいては、経路遮断等の処理がマルウェアに
察知されにくい状況を構成し、特定クライアント端末すなわち感染端末の隔離及びマルウェアの調査が更に円滑化する。
察知されにくい状況を構成し、特定クライアント端末すなわち感染端末の隔離及びマルウェアの調査が更に円滑化する。
10 ネットワーク制御システム
101 ネットワーク切り替え制御サーバ
102 ネットワーク監視サーバ
111 設定時入力部
112 インシデント時入力部
113 インシデント時制御部
114 通信路管理部
115 通信路制御部
116 通信パターン算出部
117 通信状態取得部
119 サーバ操作部
120 ダミーサーバ管理部(ダミーサーバ構築部)
122 通信タイミング判定部
123 切替実行部
131 ネットワーク構成DB
133 ダミーサーバ管理DB
134 インシデント管理DB
135 通信路管理DB
136 システム設定DB
137 通信パターンDB
138 通信履歴DB
151 スイッチ
152〜154 サーバ
155 クライアント端末
156 ダミーサーバ構築用ホスト
157 仮想マシン構築用ホスト
161、164 仮想スイッチ
162、163 ダミーサーバ
165、166 仮想マシン
191、194 通信インターフェイス
195 インターネット
196 LAN
201 CPU
202 メモリ
203 記憶装置
204 通信部
205 入力部
206 出力部
207 バス
300 予測有効度テーブル
310 非通信時間分布テーブル
320 過去状態分布テーブル
400 スイッチテーブル
410 サーバテーブル
420 ダミーサーバ構築用ホストテーブル
500 インシデントテーブル
600 ダミーサーバテーブル
700 通信路テーブル
800 パラメタテーブル
900 通信履歴テーブル
910 通信中テーブル
101 ネットワーク切り替え制御サーバ
102 ネットワーク監視サーバ
111 設定時入力部
112 インシデント時入力部
113 インシデント時制御部
114 通信路管理部
115 通信路制御部
116 通信パターン算出部
117 通信状態取得部
119 サーバ操作部
120 ダミーサーバ管理部(ダミーサーバ構築部)
122 通信タイミング判定部
123 切替実行部
131 ネットワーク構成DB
133 ダミーサーバ管理DB
134 インシデント管理DB
135 通信路管理DB
136 システム設定DB
137 通信パターンDB
138 通信履歴DB
151 スイッチ
152〜154 サーバ
155 クライアント端末
156 ダミーサーバ構築用ホスト
157 仮想マシン構築用ホスト
161、164 仮想スイッチ
162、163 ダミーサーバ
165、166 仮想マシン
191、194 通信インターフェイス
195 インターネット
196 LAN
201 CPU
202 メモリ
203 記憶装置
204 通信部
205 入力部
206 出力部
207 バス
300 予測有効度テーブル
310 非通信時間分布テーブル
320 過去状態分布テーブル
400 スイッチテーブル
410 サーバテーブル
420 ダミーサーバ構築用ホストテーブル
500 インシデントテーブル
600 ダミーサーバテーブル
700 通信路テーブル
800 パラメタテーブル
900 通信履歴テーブル
910 通信中テーブル
Claims (8)
- サーバとクライアント端末とがスイッチで接続されたネットワークシステム上における、スイッチとサーバとの接続関係の情報を格納したネットワーク構成データベースを記憶する記憶部と、
前記ネットワークシステム上の通信状態を計測して記憶部に格納する通信状態取得部と、
前記通信状態に基づき、所定期間におけるクライアント端末とサーバとの各間の経路の通信パターンを算出し、記憶部に格納する通信パターン算出部と、
インシデント対応が必要である旨を入力部にて指定された特定クライアント端末について、前記記憶部より各サーバとの間の経路の各通信パターンを読み出し、当該各通信パターンにおいて前記特定クライアント端末と該当サーバとの間で通信の発生確率が所定以下であるタイミングを判定する通信タイミング判定部と、
前記ネットワーク構成データベースに基づいて、前記特定クライアント端末と前記各サーバとの各間を接続する各スイッチを特定し、前記特定した各スイッチの設定を、該当スイッチが含まれる経路について前記判定したタイミングで順次変更し、前記特定クライアント端末からの前記サーバへの通信を遮断する切替実行部と、
を備えることを特徴とするネットワーク制御システム。 - 前記通信パターン算出部は、前記通信状態に基づいて、前記通信パターンを複数種類算出し、前記算出した各通信パターン間で通信発生確率の偏りを算出する処理を更に実行するものであり、
前記通信タイミング判定部は、前記タイミングの判定に用いる通信パターンを、前記通信発生確率の偏りに基づいて選択する処理を更に実行するものである、
ことを特徴とする請求項1に記載のネットワーク制御システム。 - 前記通信パターン算出部は、前記通信状態が示す、非通信時間の出現頻度及び長さの履歴から、前記各間の経路に関して、非通信時間の長さに対する出現確率を算出するものであり、
前記通信タイミング判定部は、前記タイミングを判定するに際し、前記特定クライアント端末について、前記経路における直近の通信終了時刻からの経過時間と前記出現確率を比較して、通信が発生する確率が極小になるタイミングを判定するものである、
ことを特徴とする請求項1に記載のネットワーク制御システム。 - 前記通信パターン算出部は、前記通信状態に基づいて、複数回の連続する通信及び非通信の各時間の長さに関する組み合わせパターンを複数個抽出し、前記組み合わせパターンのクラス分類を行ってクラスごとの分布のパラメタを算出するものであり、
前記通信タイミング判定部は、直近の通信及び非通信の各時間の長さの組み合わせと、前記パラメタのうち最後の非通信時間を除くパラメタとを比較して、現在状態が分類されるクラスを判定し、当該クラスの分布パラメタから通信の発生する確率が所定閾値以下になるタイミングを判定するものである、
ことを特徴とする請求項1に記載のネットワーク制御システム。 - 前記通信パターン算出部は、前記通信状態に基づき、所定期間におけるクライアント端末とサーバとの各ポート間の経路の通信パターンを算出し、記憶部に格納するものであり、
前記切替実行部は、
前記ネットワーク構成データベースに基づいて、前記特定クライアント端末と前記各サーバとの各ポート間を接続する各スイッチを特定し、前記特定した各スイッチの設定を、該当スイッチが含まれる経路について前記判定したタイミングで順次変更し、前記特定ク
ライアント端末からの前記サーバへの通信を遮断するものである、
ことを特徴とする請求項1に記載のネットワーク制御システム。 - 前記特定クライアント端末とサーバとの通信を模擬したダミーサーバを、前記ネットワークシステム上に構築するダミーサーバ構築部を更に備え、
前記切替実行部は、前記ネットワーク構成データベースに基づいて、前記特定クライアント端末と前記各サーバとの各間を接続する各スイッチを特定し、前記特定した各スイッチの設定を、該当スイッチが含まれる経路について前記判定したタイミングで順次変更し、前記特定クライアント端末からの前記サーバへの通信を、前記ダミーサーバへ誘導する処理を実行するものである、
ことを特徴とする請求項1に記載のネットワーク制御システム。 - 前記記憶部は、サーバの種類と通信パターン算出方法との対応関係を定めたテーブルを保持するものであり、
前記通信パターン算出部は、前記通信パターンの算出方法を複数備えるものであり、所定期間におけるクライアント端末とサーバとの各間の経路の通信パターンを算出するに際し、該当サーバに関して用いるべき通信パターン算出方法を前記テーブルで特定し、当該特定した通信パターン算出方法を用いて通信パターンを算出し、記憶部に格納するものである、
ことを特徴とする請求項1に記載のネットワーク制御システム。 - サーバとクライアント端末とがスイッチで接続されたネットワークシステム上における、スイッチとサーバとの接続関係の情報を格納したネットワーク構成データベースを記憶する記憶部を備えたコンピュータシステムが、
前記ネットワークシステム上の通信状態を計測して記憶部に格納する処理と、
前記通信状態に基づき、所定期間におけるクライアント端末とサーバとの各間の経路の通信パターンを算出し、記憶部に格納する処理と、
インシデント対応が必要である旨を入力部にて指定された特定クライアント端末について、前記記憶部より各サーバとの間の経路の各通信パターンを読み出し、当該各通信パターンにおいて前記特定クライアント端末と該当サーバとの間で通信の発生確率が所定以下であるタイミングを判定する処理と、
前記ネットワーク構成データベースに基づいて、前記特定クライアント端末と前記各サーバとの各間を接続する各スイッチを特定し、前記特定した各スイッチの設定を、該当スイッチが含まれる経路について前記判定したタイミングで順次変更し、前記特定クライアント端末からの前記サーバへの通信を遮断する処理と、
を実行することを特徴とするネットワーク制御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014105054A JP2015219859A (ja) | 2014-05-21 | 2014-05-21 | ネットワーク制御システム及びネットワーク制御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014105054A JP2015219859A (ja) | 2014-05-21 | 2014-05-21 | ネットワーク制御システム及びネットワーク制御方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2015219859A true JP2015219859A (ja) | 2015-12-07 |
Family
ID=54779142
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014105054A Pending JP2015219859A (ja) | 2014-05-21 | 2014-05-21 | ネットワーク制御システム及びネットワーク制御方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2015219859A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017063336A (ja) * | 2015-09-25 | 2017-03-30 | 株式会社日立システムズ | ネットワーク制御装置、及びネットワーク制御方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH045743A (ja) * | 1990-04-24 | 1992-01-09 | Fujitsu Ltd | チャネルスイッチ制御方式 |
| JPH04263548A (ja) * | 1991-02-18 | 1992-09-18 | Ricoh Co Ltd | 通信端末装置 |
| JP2002041468A (ja) * | 2000-07-26 | 2002-02-08 | Nec Software Chubu Ltd | 不正アクセス防止サービスシステム |
| JP2007018028A (ja) * | 2005-07-05 | 2007-01-25 | Takeshi Kamei | 情報保護システム、情報保護サーバ、情報保護方法、情報保護プログラム |
| JP2007241461A (ja) * | 2006-03-06 | 2007-09-20 | Fuji Xerox Co Ltd | データ管理装置、データ管理方法及びデータ管理プログラムを記録した記録媒体 |
| JP2012061208A (ja) * | 2010-09-17 | 2012-03-29 | Planet:Kk | 止め具、止め装置、及び、これを用いた装身具 |
| JP2013078138A (ja) * | 2012-12-20 | 2013-04-25 | Sumitomo Electric Ind Ltd | 保守管理方法および局側装置 |
| JP2013187656A (ja) * | 2012-03-07 | 2013-09-19 | Nippon Telegr & Teleph Corp <Ntt> | 分散型クラウドインフラのための網制御システム及び経路管理サーバ及び網制御方法及びプログラム |
-
2014
- 2014-05-21 JP JP2014105054A patent/JP2015219859A/ja active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH045743A (ja) * | 1990-04-24 | 1992-01-09 | Fujitsu Ltd | チャネルスイッチ制御方式 |
| JPH04263548A (ja) * | 1991-02-18 | 1992-09-18 | Ricoh Co Ltd | 通信端末装置 |
| JP2002041468A (ja) * | 2000-07-26 | 2002-02-08 | Nec Software Chubu Ltd | 不正アクセス防止サービスシステム |
| JP2007018028A (ja) * | 2005-07-05 | 2007-01-25 | Takeshi Kamei | 情報保護システム、情報保護サーバ、情報保護方法、情報保護プログラム |
| JP2007241461A (ja) * | 2006-03-06 | 2007-09-20 | Fuji Xerox Co Ltd | データ管理装置、データ管理方法及びデータ管理プログラムを記録した記録媒体 |
| JP2012061208A (ja) * | 2010-09-17 | 2012-03-29 | Planet:Kk | 止め具、止め装置、及び、これを用いた装身具 |
| JP2013187656A (ja) * | 2012-03-07 | 2013-09-19 | Nippon Telegr & Teleph Corp <Ntt> | 分散型クラウドインフラのための網制御システム及び経路管理サーバ及び網制御方法及びプログラム |
| JP2013078138A (ja) * | 2012-12-20 | 2013-04-25 | Sumitomo Electric Ind Ltd | 保守管理方法および局側装置 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017063336A (ja) * | 2015-09-25 | 2017-03-30 | 株式会社日立システムズ | ネットワーク制御装置、及びネットワーク制御方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11374960B2 (en) | Methods, systems and media for evaluating layered computer security products | |
| US10783241B2 (en) | System and methods for sandboxed malware analysis and automated patch development, deployment and validation | |
| US8863293B2 (en) | Predicting attacks based on probabilistic game-theory | |
| CN109889547B (zh) | 一种异常网络设备的检测方法及装置 | |
| JP6379013B2 (ja) | ネットワーク制御システム、ネットワーク制御方法及びプログラム | |
| JP5972401B2 (ja) | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム | |
| US10291630B2 (en) | Monitoring apparatus and method | |
| JP6312578B2 (ja) | リスク評価システムおよびリスク評価方法 | |
| US20180115577A1 (en) | System and method for detecting and mitigating ransomware threats | |
| US20220060497A1 (en) | User and entity behavioral analysis with network topology enhancements | |
| US10262132B2 (en) | Model-based computer attack analytics orchestration | |
| JP6408395B2 (ja) | ブラックリストの管理方法 | |
| US20220159020A1 (en) | Network protection | |
| JP2015076863A (ja) | ログ分析装置、方法およびプログラム | |
| WO2006071985A2 (en) | Threat scoring system and method for intrusion detection security networks | |
| JP2016143299A (ja) | リスク評価システムおよびリスク評価方法 | |
| EP3264310A1 (en) | Computer attack model management | |
| JP5739034B1 (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
| JP6050162B2 (ja) | 接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム | |
| CN108280346A (zh) | 一种应用防护监控方法、装置以及系统 | |
| CN110619214A (zh) | 一种监控软件正常运行的方法和装置 | |
| CN113449302A (zh) | 一种检测恶意软件的方法 | |
| Hessam et al. | A new approach for detecting violation of data plane integrity in Software Defined Networks | |
| JP2015219859A (ja) | ネットワーク制御システム及びネットワーク制御方法 | |
| US9936008B2 (en) | Method and system for dynamically shifting a service |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160405 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20160606 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20170307 |